电子商务审计与传统审计相比有三方面不同:第一,以网络系统和电子商务业务为对象;第二,计算机作为审计的基本工具;第三,适应计算机网络环境的创新审计技术和方法。 电子商务环境下,除了对传统审计内容进行审计外,还需要对系统开发以及控制、运行环境进行审查。借鉴美国开展网上审计准则的内容,电子商务审计的主要内容包括: 1.电子商务网络安全的审计 在手工信息处理环境下,审计师对会计信息和数据的安全性问题几乎不作为审计的重要内容,但在电子商务网络系统环境下,网络电子交易数据安全是关系到交易双方切身利益的关键问题,也是企业计算机网络应用的最大障碍和审计的最重要问题之一。审计师所评价的电子商务网络系统与传统手工系统相比有如下几种过去从没有涉及到的安全问题:计算机病毒的破坏、黑客的侵袭、内部人员的计算机舞弊、数据丢失和篡改等。 电子数据安全审计工作是保障计算机安全的重要手段。电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它即是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(ISO)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源。电子商务的网络数据安全措施,至少包括三方面: (1)网络数据安全技术方面的措施; (2)安全管理措施的制定和实施; (3)社会立法和法律保障措施。 审计师关心的是这些措施实施的情况,通常可从如下几点进行评价: (1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况,实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。 (2)审查安全管理制度建立和施行的情况,一般采用面谈法、访问和实地察看法,按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。 (3)审查有关计算机安全的国家法律和管理条例的执行情况。 2.网络访问控制审计 网络访问控制包括访问权限控制和用户认证。访问权限控制的审查,主要是检查是否有端口访问控制情况——进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。如某一销售代理用户通过用户号认证进入被访问的企业计算机系统,他仅能查到所赋予权限范围内的一些数据(该销售点可销售的产品项目、价格、可销售数量),而对更敏感的数据(企业整体的销售情况和定价策略)就无法访问。 用户认证的方法,一般可分三类:口令或密钥、身份鉴别(如指纹)和使用权限控制,其中最安全的认证是身份鉴别(用指纹或其他特性),但制作费用比较昂贵,其他两种方法都是最常用的用户认证法。初步审查除了各种认证方法外,主要审查各类型控制执行的情况。 3.网络中的数据加密审计 现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的,并与外部交易有关的国内网络和国际网络系统相连接。客户机一般处理业务数据,网络数据库和软件程序库一般由服务器统一控制管理。网络数据库和程序库包括范围很广,有企业的基本业务数据库(包括电子商务交易合同、销售发票和发货单等)、编制各种会计凭证的数据库等。由于网络中的数据库具有共享性,很容易受到舞弊人或黑客的修改和破坏,要确保合法客户对网络数据库访问的便利性和网络数据的完整性,要求网络系统增加对数据库的加密管理,相应地形成数据库的加密管理审计。其内容: (1)审查服务器的数据库加密装置,服务器密码装置的密钥分配,这种审查主要是了解系统管理员和相应密钥分配情况。 (2)审查网络端对端的加密,测试关键的网络数据在传输中的全程加密,此种加密是通过专用的软件实现的,因此,对这类加密软件要进行特别的安全保护管理。 4.披露事项的审计 保证电子交易的可靠性和真实性,是任何交易的基本前提。为了增强网络客户或消费者的信心,电子商务网络系统必须具有如下披露的基本要求: (1)对电子商务销售的商品和服务进行披露,若含有证明商品性能和服务效果的信息,必须注明其信息来源; (2)对交易条件进行披露,如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策; (3)售后服务和产品技术支持; (4)客户的权利,包括投诉的程序和应告知客户企业的经营地址、电话号码和办公时间; (5)对争议的处理,包括管理当局和请第三方中立机构处理争议问题的程序。 为确保上述披露基本要求的实现,审计需要考虑的测试内容为: (1)测试客户对产品或服务要求的电子签约情况: 对每一笔交易或客户要求的正确性和完整性进行检查;交易达成前需要得到客户的肯定答复。 (2)送货处理情况的测试:按要求的数量和质量在约定的时间内送达客户;或应客户要求提供产品和信息;非常情况必须及时通知客户。 (3)电子商务交易账单和支付的测试:交易达成前,告知客户销售价格及其他所有费用;按双方认定的交易开具账单进行电子清算;账单或清算错误应及时告知客户。