电子商务是以商务活动为主体,依托计算机技术、网络技术和通信技术,实现电子化、数字化和网络化的整个商务活动过程。随着电子商务企业的发展,传统企业经营管理模式的改变必然引起审计模式的改变,审计环境、审计风险、审计内容与审计方法都产生了很大变化。由此,审计人员不再面对单纯的会计信息系统,这给审计人员带来巨大挑战。本文就电子商务系统审计目标、特点及内容方面进行阐述。 一、电子商务系统审计的目标及特点 (一)电子商务系统审计目标 电子商务审计的对象包括两方面:一是被审计单位的经济业务事项;二是电子商务系统。两者的目标不尽相同,既相互补充、印证,又相互区别。一方面,运用信息技术对被审计的财务报表、相关信息和经营活动进行审计,并对财务报表的合法性、公允性、一贯性等发表审计意见,主要起监督、鉴证、服务的作用。另一方面,对被审计单位包括电子商务系统在内的信息系统在保护资产安全、数据完整及系统有效性和效率等方面进行审计,并发表审计意见。 对被审计单位经济业务的审计,主要采用计算机技术进行辅助分析,本质上较接近传统手工审计,在此不做赘述。本文主要从电子商务系统审计的角度进行阐述。 (二)电子商务系统审计特点 1.数据电子化 电子商务企业经济业务数据及程序/系统运行数据存储于数据库系统中,审计人员必须采用审计接口技术完成数据采集,并通过数据清洗、转换加载到数据仓库,从而获取符合审计分析的数据。 2.应用计算机辅助审计技术(CAATs) 由于电子商务经济业务及程序/系统运行数据完全电子化,审计人员必须采用计算机辅助审计技术,否则无法获取审计线索进行符合性、实质性测试,亦无法得出审计结论。目前,计算机辅助审计技术可以分为两类:面向系统的CAATs和面向数据的CAATs。前者用于验证程序及系统,后者用于分析电子数据。 3.审计报告内容革新 除披露传统手工审计信息外,电子商务审计还必须包括业务和客户隐私信息的保密性;保障私人信息不被用于其他与电子交易无关的方面;支付结算及其安全保障;特别突出审计系统内部控制的作用。 4.实时审计 实时审计是指利用计算机技术、网络及通讯技术与被审计对象信息系统建立实时连接,随时获取审计证据、更新报告、提供报告的一种新的审计模式。随着电子商务时代的到来,传统的期间审计模式必然向实时审计模式转变。 二、电子商务系统审计内容 本文将电子商务系统审计内容分为系统生命周期审计、系统软硬件资源审计、系统安全审计、系统管理审计、系统内部控制审计、电子商务业务审计、灾难恢复与业务持续计划审计七个方面。电子商务系统审计内容及目标如图1所示。
(一)系统生命周期审计(系统规划、开发、验收、运行与维护) (1)系统规划阶段审计:是否采用合理的系统规划方法(关键成功因素法、战略目标集转化法、企业系统规划法等);是否进行必要的可行性分析;是否有相应的资金、人员做后续保障。(2)系统开发阶段审计:确定开发过程是否遵循既定的政策且获得相关的审核与批准;确认系统开发文档是否准确、完整;确认是否实施全面有效的质量控制。(3)系统验收阶段审计:确实是否进行功能测试、业务流程测试、容错测试、安全性测试、性能测试、适用性测试等全面测试,并达到系统规划标准,不存在由于舞弊或重大错误导致的风险;系统开发或购买费用是否合理。(4)系统运行阶段审计:确定系统各项功能是否健全、有效;确认系统是否得到及时维护。(5)系统维护阶段审计:确定是否存在且执行维护计划;确认是否存在未经授权下,在重点问题上擅自更改系统设置或变更系统;确定在维护期间,是否采取必要的保护及恢复措施,如创建还原点、数据备份等;确定系统维护后是否进行过充分测试,保证系统功能完整性及数据准确性;确定是否存在详细的系统维护记录,包括维护范围、日期、备份及相关责任人。 (二)系统软硬资源审计 审计目标:确认被审计单位软硬件真实性、完整性、合法性;被审计单位所使用的软硬件资源是否能满足电子商务业务开展的需要;被审计单位软硬件资源是否符合国家法律法规,如由审计署组织起草、国家标准管理委员会批准实施的《财经信息技术——会计核算软件数据接口》国家标准。 (三)系统安全审计 1.电子商务网络数据安全审计 电子商务的网络数据安全,包括网络数据安全技术和安全管理措施制定及实施。审计师通常可从如下几个方面进行审计:网络系统反病毒技术(预防病毒技术、监测病毒技术、杀毒技术)、防火墙技术、数据加密措施、认证技术(数字签名技术、身份识别技术、数字摘要、数字证书等)和授权等软件技术的实施、应用情况;检查岗位责任实施、安全日志制度;审查《计算机信息系统安全保护条例》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等有关信息系统安全的法律、法规的执行情况。 2.网路访问控制审计 网络访问控制包括访问权限控制和用户认证。访问权限控制方面的审计主要检查是否存在资源节点、用户节点访问控制,其中资源节点提供服务或数据,用户节点访问资源节点所提供的服务与数据。如客户访问电子商务系统,其仅能查到所赋予权限范围内的一些资源数据(产品名称、价格、数量等),而对其权限外的数据(商品进价、库存数量、定价策略等)就无法访问。用户认证的方法,一般可分为用户/口令认证、令牌认证、生物特征认证等,其中较为广泛应用的为前两种。用户认证审查内容:各种认证方法、各种控制的执行情况。