电子商务是利用计算机网络进行的商务交易和商务服务活动的总称,其重要表现形式是商务交易和商务服务活动不再依靠纸面文件以及单据的传送,而是借助于计算机技术和信息技术、网络互联技术和现代通讯技术来全面实现电子化的交易和结算过程。电子商务的特点使得审计在审计轨迹、审计范围、审计内容、审计风险都发生了重大的变化,本文拟就电子商务环境下审计风险所发生的变化进行浅析并提出相关对策。
一、电子商务环境下审计风险变化
(一)会计信息的电磁化使审计线索易于缺失
在电子商务环境下,企业内部的审计线索发生了质的变化,记录业务的内部原始单据,如领料单等原始凭证变为电磁化的信息,计算机系统根据确认的经济业务自动编制记账凭证、登记账簿、编制报表,实现财会核算的电算化。会计的确认、计量、记录和报告都集中由计算机程序指令执行,各项处理再没有直接的人员负责。传统的审计线索可能完全消失,取而代之的是电磁化的会计信息。电磁化的会计信息,磁盘和磁带比纸质的凭证、账簿、报表更易被破坏。如果保管不好,存储在磁性介质上的会计信息会因介质的破坏而丢失。更危险的是这些信息肉眼无法直接识别,可能被删改而不留痕迹,有些只是暂存的,如果设计考虑不周,审计时就不能追溯其来源。
(二)审计范围的扩大使审计固有风险加大
审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。传统审计主要是对被审计单位特定时期内的会计报表及其他相关资料及其所反映的经济活动进行审计。电子商务环境下,除了对传统审计内容进行审计外,还需要对系统开发以及控制、运行环境等进行审查。在电子商务环境下,电子商务系统特点及其固有的风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查,以证实其业务处理是否真实、合法及安全可靠。对内部网络功能与控制的审计包括:硬件系统的审计、软件系统的审计、人员组织及内部控制系统的审计;对外部网及相关单位的审计包括:审查网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实可靠性、加密技术和防火墙技术等网络安全控制措施的有效性。由于网上经济交易、资本决策都是在网络系统各工作站上完成的,因此,在电子商务环境下,审计的侧重点从事后审计转为实时审计,全方位地评价网络交易的安全性以及财务报告存在的风险要素,从而使审计固有风险加大。
(三)电子商务系统的特点使审计风险控制难度增强
由于互联网系统的分散性、开放性等特点,其安全保密性措施难以完善。计算机信息系统一方面面临系统故障的风险,以及对电子商务数据的非法访问、篡改、泄密和破坏的风险;另一方面还面临着被非法入侵和剽窃电子商务数据的风险、计算机病毒和黑客破坏的风险以及网络化经营管理存在的计算机舞弊问题。此外,若企业电子商务系统的设计存在先天性的功能性缺陷则可能给企业的内部控制制度执行和企业交易信息的处理等许多环节带来难以克服的弊端。因此,不完善的电子商务系统,以及其所处开放式的网络平台,将给会计信息客观公允地反映企业财务状况和经营成果带来负面影响,降低企业内控水平,从而增强审计风险控制的难度。
(四)审计人员知识的局限性使审计结论难以准确
审计人员的计算机知识、网络技术和电子商务知识程度也成为评价检查风险的考虑因素。在电子商务环境下,由于审计环境、审计线索、安全控制、审计内容和审计技术的改变,对缺乏计算机、网络技术和电子商务知识的审计人员,会因为审计线索改变而不能识别、审查和评价企业的风险和控制,从而影响实质性测试的效果和审计结论的恰当性。为了准确对被审单位财务报表进行审计,有关审计部门、会计事务所必须拥有大量的既懂电子商务知识,又精通财会知识,法律知识的复合型人才。同时,这些复合型审计人才还须通晓有关审计软件的开发、维护,计算机的保养等。 二、电子商务环境下控制审计风险的相关对策
(一)审计线索方面的追踪审查
在电子商务环境下,审计需要跟踪的审计线索大部分存储在电磁性介质上,而磁性介质又容易被复制、篡改且不留下痕迹,审计人员应对审计线索的内部控制予以关注:一是在系统内建立日志和追踪文件,以审查在数据处理过程中是否有过渡文件进行修改和处理;二是在审计机构和签字确认单位的同时形成原始数据的备份或在不同部门各自形成相关的数据库(特别应当包括数额、金额和单价等主要数据项),这样既可以相互监督,又可以使审计线索得以保留;三是可采取就地审计和突击审计的方式,以防程序员对被审系统的应用程序加以篡改,防止操作员对被审系统数据文件进行增加、删除、修改等,从而达到降低审计风险的目的。
(二)数据安全方面的防范控制
电子商务与电子货币、电子支付、电子结算的发展,带来了一个十分严峻的问题就是安全性问题。为控制审计风险,实际工作中可以从以下方面着手:一是硬件系统的控制。测试的重点包括:实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。系统操作员对处理日常运作及部件失灵是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整等。二是软件系统的控制。软件系统包括系统软件和应用软件,其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。三是数据资源的控制。数据加密是电子商务信息系统中防止信息失真的最基本的控制技术。数据加密可以在OSI协议参考模型的多个层次上实现。系统的主体验证关键是要验证主体的信息,有效地保护数据的完整性。备份不仅在网络系统硬件故障或人为失误时起到保护用,还在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。四是病毒的控制。充分利用防火墙技术,利用防火墙的过滤来实现局域网与外部网之间相互访问控制。做好经常性的病毒检测工作,进行杀毒、护理和动态的防范。