电子商务审计及其风险研究汇总十篇

序论：好文章的创作是一个不断探索和完善的过程，我们为您推荐十篇电子商务审计及其风险研究范例，希望它们能助您一臂之力，提升您的阅读品质，带来更深刻的阅读感受。

篇（1）

一、电子商务环境下的企业审计风险研究

在电子商务系统高度自动化的条件下，审计证据的充分性和适当性取决于电子商务系统控制的有效性。因此，对电子商务审计主要集中在电子商务系统交易过程和控制测试。审计对象也要从财务报表及其相关资料扩展到被审计单位的资信状况、内部控制等对财务报表产生重要影响的诸多事项上来。一般情况下，审计风险=重大错报风险×检查风险，由于电子商务的无纸化、电子化和网络化等特点，无论是电子商务的重大错报风险还是检查风险都比传统审计风险要高。电子商务采用的全球网络化信息系统，企业一方面面临着系统自身的风险，可能导致会计数据被篡改、破坏，另一方面面临着电脑病毒和电脑黑客的入侵，导致会计数据的丢失。这些致使电子商务重大错报风险的加大。电子合同、电子函件、电子订单的存在使注册会计师审计中对其真实性、合法性很难辨别，导致电子商务审计风险中的检查风险要比传统的检查风险要高，审计工作的难度更高。

二、电子商务环境下企业审计要素的变化

1.审计目标

在传统的审计中，审计目标主要是为了查错防弊。主要是通过对企业账目的审查来核对企业会计报表的真实性，从而分析判断企业采用的会计处理办法是否符合法律所规定的会计准则，并是否能够真实反应企业真实的经营以及财务状况。另一方面，随着信息技术的不断发展，电商企业等新兴产业的不断发展，经济活动的开放性也更强。这些新兴行业的审计目标也不断的扩展，客户服务功能的审计、电子支付审计等都成为了审计目标。

2.审计对象

纵观电子商务环境下，通过对互联网将企业的物资流、资金流与信息资源都融合在一起。经济交易的双方可以通过电子商务系统对产品的报价以及查询、电子合同的签订等经济活动都能产生相关的电子凭据。因此，在电子商务环境下，电子证据以及电子支付等均是企业审计的重要对象。

3.审计方法

现阶段，涌现了很多网络审计软件为电子商务环境下的电商企业提供了技术的支持。在数据的采集上，审计人员通过审计端口对企业会计信息的数据进行搜集。通过对计算机以及互联网络可以进行远程登录、电子函证、文件传输，以传输信息，获取相关的审计证据。在对数据的分析上，审计人员在运用审计相应的软件，准确和快速的获取信息对生成审计报告以及，都能够有效的为审计工作提高时效性。

三、电子商务环境下对审计的思考

1.加快电子商务审计法律法规的完善

对我国计算机审计的各种法律规定，计算机的审计准则都需要有制定标准的格式。需要制定有关电子商务的法律法规，把电子凭证、合同以及有法律效应的数字签名的保管都需要明确制定下来，有关电子商务与网络经济的立法都需要满足我国的国情，同时借鉴国际相关法规以及立法，能够促进我国的电子商务审计法律法规的建立以及完善，保证电子商务审计能够有法可依。

2.充分利用计算机网络审计

电子商务审计的内容主要包括电子商务系统处理和控制功能的审查，为了证实电商企业的交易事项是否合法以及安全可靠，这些都是传统的审计所没有的。首先必须利用计算机网络技术对审计单位计算机会计信息系统的应用控制进行审查，然后根据一般控制与应用控制的审查结果来决定抽查的范围与重点。通过网络对审计单位的会计数据进行手机审核时，需要对审计单位的审计人员赋予应有的审核权限，可以高效的完成审计工作。另外，对异常项目通过调查和数据分析进行测试、检查、分析与核对，这样可以达到降低审计风险的目的。

3.加快审计的电子化应用技术

随着电子商务发展的需要，对加强计算机审计实用环境的建设提出了更加长远的发展。对各级审计机关对计算机硬件的建设需要给予足够的重视，加大计算机设备系统的投资，对审计机关内部审计资料库的建设，能够有效促进审计事业的现代化发展。要让审计人员尽快参与审计软件的开发，使审计软件的使用在电子商务环境下能够具有自身的实用性，以便今后的计算机审计信息化的建设能够顺利的实施。

四、结语

在电子商务环境下，电商企业的业务流程发生了一些变化，这就需要新的机构来对企业进行有效的监督，以确保电子商务环境市场下的有序进行。同时，电子商务在另一方面也改变了企业审计的环境，迫使企业审计改进传统的审计模式，并采用先进的信息技术，优化审计流程，确保企业审计能够满足新形势的发展要求。

参考文献：

[1]王爽.浅谈网络审计的风险及其防范[J].数码世界，2005（13）.

[2]王萍.网络审计的对象创新和业务创新[J].会计天地，2004（8）.

篇（2）

随着电子商务平台建设的日渐完善，电子商务经济逐步成为我国经济发展的重要组成部分，电子商务环境下的审计也越来越受到相关部门的重视。目前，我国对于新兴事物的审计制度建设还不完善，对于由此产生的风险及防范研究更是少之又少。因此，充分了解电子商务环境下的审计制度以及可能产生的风险因素，对于进一步加强电子商务经济规范建设具有重要的指导意义。

一、电子商务环境下的审计与审计风险特征

电子商务是随着现代网络技术不断完善而出现的产物，是结合电子支付方式、网络商贸、数据处理等技术的综合型新兴贸易方式，具有不同于传统贸易的无纸化性、多样性、隐蔽性、动态性等特点。因此，电子商务环境下的审计也因电子商务的特性而具有区别于传统审计的特性。

（一）电子商务环境下的审计特征

传统审计主要包括对被审计单位财务报表以及与此相关的一些会计凭证、交易往来合同等，电子商务环境下的审计除此之外，还包括因电子商务交易而产生的电子发票、回款单、支付凭证等。具体来说，主要包括：被审计单位获取相关会计信息以外的资料，如被审计单位的战略计划、内部控制制度以及同类单位的相关数据；被审计单位内部控制安全性相关的电子商务信息；注册会计师在进行审计时根据被审计单位提供的现有资料得出的其他相关信息。会计信息与其他相关信息共同构成电子商务环境下的审计资料，只有这些信息完整才能保证审计结果的准确性。

1、电子商务环境下的审计信息具有易破坏性。电子商务环境下所有相关的审计信息都转为电子信息，相关的取数、存储以及汇总加工等都通过计算机完成，一旦中间步骤有人工操作不当之处，就会导致整个数据信息有误且很难被发现。因此，注册会计师在提取相关数据信息时要对最终呈现的数据做合理性和完整性分析，减少因操作不当带来的信息错误。同时，因为电子数据缺乏原始纸质凭证做基础，电子数据被篡改比较容易，进一步加大了审计信息的易破坏性。

2、电子商务环境下的审计信息具有动态性。由于电子商务平台24小时在线服务，在这一实时过程中，电子商务信息处于动态传输中，为注册会计师提取审计信息提供了难度。注册会计师不能因为提取审计信息而认为静止电子商务信息的传输，这样很可能破坏原有的电子商务信息。而为了保证注册会计师提取的电子信息准确完整，职能通过电子商务在线实时数据访问实现，进一步加大审计的风险。

3、电子商务环境下的网络安全难以控制。电子商务环境下，作为交易平台的网络环境具有开放性和数据实时变化性，如何保证网络安全是保证审计基础数据准确性的基础。针对目前计算机病毒和黑客技术的日益更新，电子商务的网络安全正受到各方的威胁，因此，建立完善的网络安全控制系统是保证电子商务环境下审计信息准确性的重要基础，也是保证电子商务有序进行的重要保障。

（二）电子商务环境下的审计风险特征

电子商务环境下的审计风险，是指在电子商务环境下的财务报表存在重大错误而使注册会计师发表不恰当审计意见的可能性。审计风险具体来说，主要包括两大部分，即重大报错风险和检查风险。电子商务环境下的审计风险同样包括该两大部分，其中重大报错风险是指在电子商务环境下可能存在的与电子商务有关的财务报表错误，是在审计开始之前就存在的风险；而检查风险是指在发生电子商务有关的审计过程中，发现的与被审计单位有关的经济活动存在不合规问题，该报错可能与前期的重大报错风险有关，也有可能是单独存在的风险。

1、电子商务环境下的审计风险具有客观性。电子商务环境下的审计风险与传统模式下的审计风险，同样是一种不确定性的客观存在，该风险不以注册会计师的意志而转移，是每个被审计企业都存在的固有风险。该风险由企业内部控制的缺陷、电子商务本身具有的特性以及其他外部条件所决定。同时由于审计以抽样调查为主，样本的偏差可能导致整体审计推断结果有误差，进一步导致审计风险的客观存在。

2、电子商务环境下的审计风险具有普遍性。审计风险涉及审计工作的各个方面，发生在整个审计过程之中。在会计师事务所承接审计业务阶段，如果对被审计单位的状况不够了解，可能面临不良资产的风险；在审计业务前期准备过程中，如果没有充分了解被审计单位并制作符合被审计单位自身业务特点的审计方案，则可能导致最终出具的审计结论有失偏颇的风险；在审计业务实施阶段，如果没有准确收集被审计单位的电子信息，并进行甄别和判断，可能发生错误的审计判断，加大被审计单位的审计风险。3、电子商务环境下的审计风险具有部分可控性。虽然审计风险存在客观性和普遍性，但审计风险同样具有部分可控性。注册会计师在接手某个审计业务时，可以在充分了解被审计单位的相关信息基础上，执行全面完善的审计计划，准确甄别收集的审计信息，制定合理的审计程序，将认为可控部分的审计风险降到最低。

二、电子商务环境下审计风险的国内外研究动态

电子商务环境下的审计风险研究在国内外都属于探索阶段，相关理论体系尚未完善。国外的研究重点主要集中在电子商务环境下审计风险产生的原因，国内的研究重点相对来说全面一些，不仅分析了电子商务环境下审计风险产生的原因，而且针对不同的风险点提出了相应的防范措施。

（一）国内研究动态

刘强（2009）在《电子商务对财务报表审计的影响》中提出，电子商务环境下的财务报表审计将面临巨大的冲击，主要包括电子商务环境对于传统财务环境的挑战，因审计对象和范围的无限扩大而产生的界定问题，以及由此产生的一系列审计风险。对此，张倩在《我国电子商务环境下的审计风险防范》中指出，针对电子商务环境下风险的信息化与不确定性，应该及时把握电子商务的政策动态，正确区分传统经济下的审计风险与电子商务环境下的审计风险，有针对性地提出关于审计环境、审计对象、审计主体以及审计客体的风险防范措施。针对于电子商务环境下的审计风险，李俊杰（2010）在《电子商务审计探析》中做了详细的分析，他将电子商务环境下的审计风险分为电子商务固有的风险、传统环境下的审计风险以及电子商务环境下的综合审计风险，并通过对电子商务特有的国际化、信息化及无纸化等特点进行针对性的分析，提出防范风险应从把握网络安全审计以及完善电子数据分析等方面着手。

（二）国外研究动态

国外对于电子商务环境下的审计风险研究，主要集中在产生风险的原因上，包括对被审计单位的内部控制不合理、电子商务本身存在的无纸化、信息化、支付方式多样化等特征，以及传统审计模式无法适应电子商务交易模式的多边性。Harkness通过研究传统审计模式下电子商务的交易风险，总结出电子商务模式下的风险主要集中在审计线索的变化、审计技术的更新速度慢以及审点的多边性。

三、电子商务环境下的风险分析

（一）审计环境产生的风险

1、我国电子商务运营环境不规范。我国电子商务的发展随着互联网的不断推进而得到迅猛发展，各方数据表明，中国的电子商务规模已处于国际前列。但与电子商务相关的一些辅助业务却没能跟上。一方面，作为电子商务基础的物流系统还不能满足现有发展迅猛的电子商务市场，极大制约了电子商务业务的进一步扩张。现有的电子商务模式下，大部分实物都以物流系统为辅助，但目前的物流系统存在配送人员专业化程度低、管理体制不完善以及售后服务维权机制不健全等，导致物流系统建设缺乏竞争力。另一方面，电子商务的信息系统建设还无法满足日渐发展的电子商务市场。电子商务竞争中，各企业的竞争力主要集中在产品信息的收集、顾客需求信息的收集以及产品质量和配送效率上，而这些的基础都在于信息系统的建设。在这方面上，我国与世界发达国家的水平还存在差距。

2、相关法律法规和审计准则不完善。我国对于电子商务的立法最早于2004年出台了《中华人民共和国电子签名法》，首次对新兴贸易进行了法律规范，也对电子商务模式下的审计提供了法律基础。但我国在电子商务相关的法律建设上起步较晚，还存在诸多不足之处。一方面，我国出台了电子签名法，但有关电子商务完整的法律体系建设还未完善，导致电子商务在细节处理上没有一个统一的标准，造成企业在处理问题上的混乱。另一方面，我国现行的审计准则只适用于传统模式下的审计，对于新兴的电子商务审计尚未做明确规定，导致注册会计师在进行电子商务审计时无相关法律法规做参考，审计结论存在一定的偏差。

（二）审计对象产生的风险

1、企业内部控制不健全。传统模式下，企业的内部控制主要以手工为主，包括对工作人员的工作行为、业务处理是否得当以及经济业务规范等进行控制，而电子商务环境下的内部控制在此基础上还要对网络信息系统建设、计算机运行风险等多方面进行控制，这从专业性上提出了更高的要求，且具有一定的不可控性。此外，传统模式下的业务审批需要多层的人工审核，并按职责分工确保对每一层次的审批做到记录规范、准确，审计部门可以随时调取相关审批流程记录，而在电子商务模式下，内部审批的控制都以计算机程序自动设定而完成，缺乏人为的主观可调整性。同时，由于我国缺乏电子商务所需的专业人才，在电子商务管理上存在诸多漏洞，尤其对于电子商务购销业务中的发票开具与保管，导致账面混乱等现象时有发生。

2、从业人员专业素质有待提高。由于我国电子商务处于刚起步阶段，具有电子商务专业的人才较少，电子商务业务的从业人员素质参差不齐，且大部分属于兼职人员。因此，现有的电子商务从业人员无法适应对专业度要求越来越高的网络化电子商务需求。一方面，专业素质不足的电子商务从业人员无法对国际贸易中的产品进行准确认知，无法通过外语与外商进行准确的交流和贸易协商，也无法对日益更新的电子商务交易系统进行熟练操作，导致电子商务企业交易无法顺利进行。另一方面，传统的兼职型电子商务从业人员已经无法满足现有的国际化贸易需求，现有的电子商务要求从业人员必须具备对产品充分认知、营销、计算机等综合素质，目前我国的电子商务从业人员大部分缺乏电子商务以外的综合型知识。与此同时，我国电子电子商务企业在人才管理上存在对待不公的现象。出于企业业绩的考量，大部分企业重销售人员而轻技术维护人员等基础保障人员，导致相关人才流失。此外，因为缺乏对信息系统建设的重视，导致信息泄露事件时有发生，这是企业在信息安全建设上的疏忽，也是人才建设上的不完善。

3、电子支付、电子签名审计难度大。电子商务环境下的合同签订以及货款支付等都通过网络平台实现，扩展了传统模式下的结算方式，因此，与之相关的审计范围也相应扩展。在新型业务模式下，注册会计师需要对被审计单位网上签订的合同、网上的支付阶段等进行完整、准确地审查，并结合被审计单位提供的相关财务纸质凭证进行分析，推断其中可能存在的不合理问题。而电子商务环境下的业务活动形式多样、结算方式复杂、支付方式隐蔽、电子签名确定难度大等，这一系列问题不仅增大了注册会计师的审核难度，同时也加大了企业的审计风险。

（三）由审计人员产生的审计风险

1、审计人员专业水平不够。电子商务环境下的审计要求审计人员具备会计、审计、电子商务以及网络等多方面的综合能力，而就目前我国审计人员具备的专业水平来说，还停留在传统模式下的审计水平，与现有的高科技业务环境衔接不上。同时，审计队伍中的人员老龄化也是突出问题。这就导致这些具备扎实财务审计专业知识的人员缺乏对计算机方面知识的了解，存在审计能力不足的问题。此外，现有的审计人员选拔上，单纯以财务、审计等传统模式下的知识考察为主，缺少电子商务、计算机等综合方面的考量，导致审计人员在进行审计时不熟悉电子商务业务的处理过程和会计处理方法，更缺乏对电子商务审计风险的判断能力。

2、缺乏特有的电子商务审计软件。目前，针对电子商务模式下的审计软件还很少，大部分都是与传统贸易模式通用的审计软件，但对于电子商务模式下大规模的数据处理还缺乏运行能力。主要原因在于目前市场上流通的财务软件都以传统通用型财务软件为主，在传统软件下很难导入电子商务模式的审计软件，软件之间的不兼容性导致特有的审计软件无法推广。同时，会计师事务所不可能因为传统审计软件的运行能力不足，而单独开发特有的财务软件和配套审计软件，这巨大的开发成本与审计业务收入不相匹配。另外，在注册会计师进行审计时需要被审计单位提供专门用于审计取数的系统接口，但就目前我国的执行情况来说，只有部门企业完全执行这个规定，致使审计部门调取电子商务数据困难，加大审计风险。

四、电子商务环境下的审计风险防范对策建议

针对目前电子商务环境下存在的审计风险，应有针对性的从几方面进行着手防范。

（一）完善我国电子商务审计环境

1、规范我国电子商务经营环境。针对目前我国电子商务存在的物流体系不完善问题，我国应着手从完善物流基础设施建设、加强物流专业人才的培养以及提供物流相关的财政优惠政策等进行扶持。同时，我国可以参考国外的先进物流建设经验，建立第三方物流专业机构，将物流从电子商务运营中独立出来。通过建立第三方物流专业机构，一方面可以增强物流的综合服务能力，提高货物运送的效率，另一方面，独立的物流第三方建设可以形成完善的物流网络，提供更专业、便捷的服务，降低运送成本等。因此，完善第三方物流系统建设是规范我国电子商务经营环境的重要举措，也是促进电子商务稳步发展、降低电子商务环境下审计风险的基本保障。

2、完善电子商务相关法规。完善电子商务相关法规可以从法律层面规范电子商务的经营市场，从保护消费者权益、保护个人隐私、保障网络交易支付安全等角度进行规范。同时，对于电子商务的经营管理上，政府应以市场自我调节为主，不应过度干预。在电子商务审计方面，我国注册会计师协会虽然已经出台了1633号审计准则，该准则从电子商务对财务报表审计的影响方面进行了大致规定，但在审计具体程序中的相关数据提取细节、判定标准等方面并未作详细的规定。因此，有必要从适应现代电子商务运营要求方面，完善电子商务环境下的审计准则，减少不确定性。

（二）防范电子商务审计对象的风险

1、完善电子商务企业内部控制制度。内部控制作为规范企业经营的重要制度，能让电子商务企业强化风险意识，重视对企业数据完整性、准确性的控制，提高企业所有层面对于电子商务内部控制的重视程度，强化从业人员的风险意识。因此，加强电子商务企业的内部控制教育和培训非常重要。首先，企业要从实际出发，制定适合本企业的内部控制制度；其次，在内部控制的实践中，要加强对政策的执行掌控，可以通过设立专门的内部控制监督部门，制定各部门具体的考核计划等进行电子商务业务的全过程控制；最后，在执行结果的考量上，可以采取适当的惩罚和激励机制，提高全员对于自觉践行内部控制的积极性。此外，对于电子商务企业数据和程序的安全性控制上，相关行政管理部门可以通过制定完善的准则予以规范，从法律法规角度进行强制执行。

2、提高电子商务企业从业人员专业能力。面对竞争日益激烈的电子商务贸易，必须从加强本企业从业人员的专业能力入手，提高整个企业的综合竞争力。首先，企业要重视对具备管理能力和电子商务从业能力人才的重视和培养，利用提升薪资福利、加强企业凝聚力等方面留住人才；其次，在企业的日常运营中，要注重对员工的培训，包括最新的经济政策和市场消费动态，通过不断对员工充电来提升专业能力；最后，在企业中更要实行优胜劣汰的竞争机制，提升员工自我学习和竞争的能力。

3、加强对电子商务环境下新内容的审计。针对目前电子商务审计中存在的电子签名、网络支付审核等问题，从事审计工作的注册会计师在日常应加强对这些方面知识的关注，提高自我对电子商务运行的认知和对电子商务取数的能力。同时，提升电子商务环境下的网络安全控制问题也是一个待解决内容，企业可以通过购买防护能力更强的防火墙技术和加密技术，提高本企业的数据安全，从而降低企业整体的经营风险和审计风险。

（三）防范电子商务审计人员的风险

篇（3）

(一)会计信息的电磁化使审计线索易于缺失　在电子商务环境下，企业内部的审计线索发生了质的变化，记录业务的内部原始单据，如领料单等原始凭证变为电磁化的信息，计算机系统根据确认的经济业务自动编制记账凭证、登记账簿、编制报表，实现财会核算的电算化。会计的确认、计量、记录和报告都集中由计算机程序指令执行，各项处理再没有直接的人员负责。传统的审计线索可能完全消失，取而代之的是电磁化的会计信息。电磁化的会计信息，磁盘和磁带比纸质的凭证、账簿、报表更易被破坏。如果保管不好，存储在磁性介质上的会计信息会因介质的破坏而丢失。更危险的是这些信息肉眼无法直接识别，可能被删改而不留痕迹，有些只是暂存的，如果设计考虑不周，审计时就不能追溯其来源。

(二)审计范围的扩大使审计固有风险加大　审计范围是指针对特定审计对象所开展的审计实践活动在空间上所达到的广度。传统审计主要是对被审计单位特定时期内的会计报表及其他相关资料及其所反映的经济活动进行审计。电子商务环境下，除了对传统审计内容进行审计外，还需要对系统开发以及控制、运行环境等进行审查。在电子商务环境下，电子商务系统特点及其固有的风险决定了审计内容必须包括对网络信息系统处理和控制功能的审查，以证实其业务处理是否真实、合法及安全可靠。对内部网络功能与控制的审计包括：硬件系统的审计、软件系统的审计、人员组织及内部控制系统的审计；对外部网及相关单位的审计包括：审查网上的认证机构、加数字时间戳的机构、网上银行或电子货币发行单位的真实可靠性、加密技术和防火墙技术等网络安全控制措施的有效性。由于网上经济交易、资本决策都是在网络系统各工作站上完成的，因此，在电子商务环境下，审计的侧重点从事后审计转为实时审计，全方位地评价网络交易的安全性以及财务报告存在的风险要素，从而使审计固有风险加大。

(三)电子商务系统的特点使审计风险控制难度增强　由于互联网系统的分散性、开放性等特点，其安全保密性措施难以完善。计算机信息系统一方面面临系统故障的风险，以及对电子商务数据的非法访问、篡改、泄密和破坏的风险；另一方面还面临着被非法入侵和剽窃电子商务数据的风险、计算机病毒和黑客破坏的风险以及网络化经营管理存在的计算机舞弊问题。此外，若企业电子商务系统的设计存在先天性的功能性缺陷则可能给企业的内部控制制度执行和企业交易信息的处理等许多环节带来难以克服的弊端。因此，不完善的电子商务系统，以及其所处开放式的网络平台，将给会计信息客观公允地反映企业财务状况和经营成果带来负面影响，降低企业内控水平，从而增强审计风险控制的难度。

(四)审计人员知识的局限性使审计结论难以准确　审计人员的计算机知识、网络技术和电子商务知识程度也成为评价检查风险的考虑因素。在电子商务环境下，由于审计环境、审计线索、安全控制、审计内容和审计技术的改变，对缺乏计算机、网络技术和电子商务知识的审计人员，会因为审计线索改变而不能识别、审查和评价企业的风险和控制，从而影响实质性测试的效果和审计结论的恰当性。为了准确对被审单位财务报表进行审计，有关审计部门、会计事务所必须拥有大量的既懂电子商务知识，又精通财会知识，法律知识的复合型人才。同时，这些复合型审计人才还须通晓有关审计软件的开发、维护，计算机的保养等。

二、电子商务环境下控制审计风险的相关对策

(一)审计线索方面的追踪审查　在电子商务环境下，审计需要跟踪的审计线索大部分存储在电磁性介质上，而磁性介质又容易被复制、篡改且不留下痕迹，审计人员应对审计线索的内部控制予以关注：一是在系统内建立日志和追踪文件，以审查在数据处理过程中是否有过渡文件进行修改和处理；二是在审计机构和签字确认单位的同时形成原始数据的备份或在不同部门各自形成相关的数据库(特别应当包括数额、金额和单价等主要数据项)，这样既可以相互监督，又可以使审计线索得以保留；三是可采取就地审计和突击审计的方式，以防程序员对被审系统的应用程序加以篡改，防止操作员对被审系统数据文件进行增加、删除、修改等，从而达到降低审计风险的目的。

(二)数据安全方面的防范控制　电子商务与电子货币、电子支付、电子结算的发展，带来了一个十分严峻的问题就是安全性问题。为控制审计风险，实际工作中可以从以下方面着手：一是硬件系统的控制。测试的重点包括：实体安全、火灾报警防护系统、使用记录、后备电源、操作规程、灾害恢复计划等。系统操作员对处理日常运作及部件失灵是否作出了适当的记录与定期分析、硬件的灾难恢复计划是否适当、是否制定了相关的操作规程、各硬件的资料归档是否完整等。二是软件系统的控制。软件系统包括系统软件和应用软件，其中最主要的是操作系统、数据库系统和会计软件系统。总体控制目标应达到防止来自硬件失灵、计算机黑客、病毒感染、具有特权职员的各种破坏行为，保障系统正常运行。三是数据资源的控制。数据加密是电子商务信息系统中防止信息失真的最基本的控制技术。数据加密可以在OSI协议参考模型的多个层次上实现。系统的主体验证关键是要验证主体的信息，有效地保护数据的完整性。备份不仅在网络系统硬件故障或人为失误时起到保护用，还在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。四是病毒的控制。充分利用防火墙技术，利用防火墙的过滤来实现局域网与外部网之间相互访问控制。做好经常性的病毒检测工作，进行杀毒、护理和动态的防范。

(三)内部控制方面的了解测试　在网络环境下，审计人员除对原有的审计范围和内容进行审计外，还应对被审单位信息系统的内部控制制度健全性和实际执行情况进行符合性测试，找出控制弱点。一是了解测试被审单位是否制定适当的权限标准体系，岗位人员是否按照所授予的权限对系统进行作业；二是了解测试被审单位是否将系统内不相容职务划分清楚，在数据输出时，对不同密级的数据授予不同的权限；三是了解测试被审单位的系统操作是否遵循一定的标准、操作规程进行；四是了解测试试被审单是否建立数据备份与数据档案管理制度。系统数据与软件管理是否由不同人承担，系统进行备份数据恢复时，是否是由具体操作员和主管共同批准。

篇（4）

在电子商务环境下，企业的会计信息系统已成为网络化数据系统的一部分，企业的财务信息通过网络信息技术实现实时的披露。这样，正如世纪公司财务报表的公开披露形成了报表审计市场，实时在线的财务披露也将催生实时在线审计报告的市场。在每一项经济交易中，买卖双方都不愿意在信息不充分的情况下进行，这种经济需求是审计产生的根本条件。随着网络信息技术在财务信息披露中的广泛应用，广大的信息使用群体对企业所披露的信息的公允和诚信逐渐产生鉴证的需求。

我们从审计发生的频率、审计结果的表达形式、审计对象的信息内容和信息含量、审计报告的作用方式，以及审计报告的使用者群体等方面，将电子商务环境下的实时审计报告与传统的财务报表审计报告进行比较（见表）。

表传统审计报告与电子商务环境下的实时审计报告比较

传统报表审计报告电子商务环境下的

实时审计报告

审计频率年度实时

审计结果审计意见经济鉴证

信息内容针对财务报表信息针对使用者选定的信息

信息含量以历史信息为主导既包括历史数据，也包括大量现

现时和未来预测信息

使用范围向投资者、债权人提供向决策者提供

审计方式纠错、侦察舞弊除传统方式之外，还兼有监控

与咨询功能

通过比较我们可以知道，在审计报告的形式和内容上，以及在审计报告的编制和使用方式上，实时审计报告体现了电子商务环境对会计审计领域的重大影响，也体现出会计审计的发展是基于经济环境发展的基本前提。报表审计报告是现代企业制度和工业经济环境作用于会计信息需求的产物，电子商务环境下的实时审计报告也正是现代网络信息经济作用于现行会计信息诚信需求的产物。

五、电子商务环境下的审计风险

在任何审计环境下，审计师在制定审计计划时都要根据个人判断对审计风险进行评估。在比较简单的情形下，审计师可以根据个人判断将审计风险划分为高、中、低等档次。在复杂的情况下，审计师需要建立有效的风险模型来量化审计风险的等级。在电子商务环境下，由于信息经济环境更加复杂，需要建立有效的审计风险模型来评估审计任务中的风险程度。所有的风险评估都离不开审计师对审计程序中的某些指标进行主观性的判断。通过主观判断，审计师选择一定的风险评估方法，使自己的审计决策达到预定的有效程度。在电子商务环境下，审计师对审计风险的控制仍然离不开传统审计理论对审计风险的评估模型，即从固有风险、控制风险和检查风险三个基本要素来分析审计业务中的风险程度和法律责任。通过对这三类风险要素的理解，可以降低从事审计业务而招致损失的可能性。在电子商务环境下，会计信息受到最大的挑战就是会计记录的有效性、完整性和公正性，与之相关的审计和内部控制概念则是职责划分、信息安全和纠错技术。电子证据与传统证据的不同之处在于它们由电子商务企业的内部控制来保证有效性，它们的可用性和可靠性通常依赖于对经济交易有效性和完整性的内部控制效果。

由于在电子商务环境下信息披露错误会跨越不同的企业信息系统，因此其影响十分严重。一般情况下，固有风险与被审计企业经营系统的安全性相关，对其评估的主要范畴包括：（）企业信息系统管理及经验的完整性；（）企业信息系统变更情况；（）可能导致企业信息系统掩饰或错报信息的异常压力；（）企业经营和信息系统的性质（电子商务计划和系统的复杂和整合程度）；（）影响企业的行业版权所有因素（包括信息技术的适用性等）；（）企业供应链、技术引进、经营合作等第三方对企业信息系统控制的影响水平；（）前任审计时间及其审计发现。

传统审计中的控制风险通常不容易被企业内部控制系统及时地防范、侦察和纠正。但在电子商务环境下，由于企业经济业务数据通过企业的信息系统自动地进行加工和处理，而且数据由计算机系统进行实时的反馈，因此出现控制风险的概率比较低。审计师在考虑审计任务的控制风险时，应注意企业内部控制系统的独立性和有效性，并通过系统检测证明其正常运行。

在审计风险三个基本要素中，只有检查风险是审计师能够真正控制的。电子商务环境下，审计师需要综合地考察对固有风险的评估结果以及符合性测试对控制风险的测定结论，决定对被审计企业的信息系统及其生成数据的实质性测试范围。固有风险和控制风险的程度越高，审计师就越有必要执行详细的实质性测试，来获取足够的证据和把握，将审计业务的误差控制在可容忍的范围内。

六、电子商务环境下的审计独立性

篇（5）

现如今，电子商务已成为人们生活中不可或缺的一部分，随着互联网信息化的高度发展，原有的传统商业模式已发生了翻天覆地的改变，在这种环境下，相关电子商务的审计工作面临着巨大的挑战。

1电子商务环境下审计的概念

今天所说的电子商务一般是指在互联网上进行的商业活动。电子商务环境下的审计，就是注册会计师对被审计单位的电子商务活动以及反映这些电子商务活动的会计记录和网络记录进行的必要的审计。它包括两个方面：①注册会计师对被审计单位的电子商务活动以及所反映的会计记录的真实性、完整性、合法性进行审计；②注册会计师对被审计单位的网络系统的可靠性、安全性、合规性进行审计。在这样的环境下，审计的一些主要要素也发生了改变。首先，审计环境由审计人员亲自到被审计单位进行审计证据的收集变为借助因特网、计算机、现代通信技术来进行；其次，审计对象由企业的会计信息和企业经营管理活动有关的其他信息变为计算机系统生成的会计信息或者储存信息；另外，审计方法也由人工变为了系统自动运算生成。这样，就在一定程度上增加了我们的审计风险。

2我国电子商务环境下的审计风险研究

2.1相关法律法规和审计准则不完善

虽然我国在电子商务的法律法规的制定和有关电子商务审计准则的制度方面取得了不少成绩，但是，仍存在着很大的不足。一方面，我国电子商务还缺少基础性的法律。虽然《中华人民共和国电子签名法》已出台多年，但整个电子商务的法律体系还没建立，很多电子商务细节缺乏统一的标准。另一方面，虽然我国现行的审计准则对电子商务审计有所涉及，但对注册会计师审计时的标准和具体程序没有明确规定，导致注册会计师在电子商务环境下审计时和传统审计的方法一样，这很可能会带来审计风险。

2.2社会信用体系缺失，网络安全问题严重

人与人之间的高度的信任是电子商务运行的基础，但是在我国，社会信用体系还没有建立，人们的信用观念相对淡薄，企业的信用水平低下，这难以保证企业与企业、企业和个人之间交易的正常稳定的进行，很可能导致信息造假、欺骗、欺诈等风险行为，导致电子商务风险的出现。另外，网络安全问题是互联网发展过程中一个不可忽视的关键问题。电子商务面临的安全问题主要包括信息的造假、信息的篡改以及对信息进行窃取等。如果不能保证电子商务的安全性，注册会计师在审计中无法获得真实可靠的审计证据，审计的风险自然就会增大。

2.3电子商务环境下企业的内部控制薄弱

我国的电子商务兴起比较晚，很多企业刚开始运用电子商务平台经营自己的业务，对电子商务的一些细节和特点还不太熟悉，电子商务的管理及其控制对于很多企业都存在很多漏洞，诸如运用电子商务的购销业务，电子发票的开具和保管等，这些都加大了我们对电子商务的审计风险。

2.4审计人员的专业胜任能力不够

电子商务环境下审计涉及审计、会计、电子商务、网络技术等多方面的审计，注册会计师在电子商务环境下进行审计时不仅要掌握财务、审计方面的专业知识，而且也要对电子商务，网络技术等方面的知识有一定的了解。然而，由于我国电子商务刚刚兴起，这方面的审计人才无论在数量上还是专业胜任能力上都存在严重的不足。此外，审计老龄化也是个突出的问题，年龄较大的审计人员虽然在传统的财务审计方面经验丰富，但对电子商务、计算机方面的知识了解很少。

3我国电子商务审计风险的防范

3.1完善我国电子商务的法律法规和审计准则

电子商务法律法规能够对电子商务活动起到规范的作用。虽然我国在电子商务立法方面取得了一定成就，但这些法律法规还不能满足现实的需要，因此必须加快电子商务审计法律法规的建设进程。在电子商务法律法规的制定上我们可以借鉴一些国家的经验，制定出以保护消费者权益、保护个人隐私、保护平等竞争、保护公平交易为原则的电子商务法律法规。

3.2完善社会信用体系和维护网络安全

能否有效的解决电子商务信用风险问题，依赖于整个社会信用体系的建立和健全，政府相关部门可以通过与企业和个人相关的税务、工商、质检等系统，来建立企业和个人的信用数据库，并且可以向社会开放，为社会提供信用查询，这样可以对企业和个人的信用状况做出评判，以此来完善社会信用体系。

3.3鼓励企业建立完善的电子商务内部控制制度

企业应提高管理层对电子商务内部控制系统的认识、强化电子商务人员的风险意识。因此，对企业管理层的现代化管理教育和培训十分重要。企业的管理层要重视企业内部控制部门的作用，加强内部控制部门对企业管理的参与。企业的内部控制部门要定期对内部控制系统进行评估，包括针对电子商务的内部控制系统的评估

篇（6）

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2016. 07. 011

[中图分类号] F239 [文献标识码] A [文章编号] 1673 - 0194（2016）07- 0028- 02

现如今，电子商务已成为人们生活中不可或缺的一部分，随着互联网信息化的高度发展，原有的传统商业模式已发生了翻天覆地的改变，在这种环境下，相关电子商务的审计工作面临着巨大的挑战。

1 电子商务环境下审计的概念

今天所说的电子商务一般是指在互联网上进行的商业活动。电子商务环境下的审计，就是注册会计师对被审计单位的电子商务活动以及反映这些电子商务活动的会计记录和网络记录进行的必要的审计。它包括两个方面：①注册会计师对被审计单位的电子商务活动以及所反映的会计记录的真实性、完整性、合法性进行审计；②注册会计师对被审计单位的网络系统的可靠性、安全性、合规性进行审计。

在这样的环境下，审计的一些主要要素也发生了改变。首先，审计环境由审计人员亲自到被审计单位进行审计证据的收集变为借助因特网、计算机、现代通信技术来进行；其次，审计对象由企业的会计信息和企业经营管理活动有关的其他信息变为计算机系统生成的会计信息或者储存信息；另外，审计方法也由人工变为了系统自动运算生成。这样，就在一定程度上增加了我们的审计风险。

2 我国电子商务环境下的审计风险研究

2.1 相关法律法规和审计准则不完善

虽然我国在电子商务的法律法规的制定和有关电子商务审计准则的制度方面取得了不少成绩，但是，仍存在着很大的不足。一方面，我国电子商务还缺少基础性的法律。虽然《中华人民共和国电子签名法》已出台多年，但整个电子商务的法律体系还没建立，很多电子商务细节缺乏统一的标准。另一方面，虽然我国现行的审计准则对电子商务审计有所涉及，但对注册会计师审计时的标准和具体程序没有明确规定，导致注册会计师在电子商务环境下审计时和传统审计的方法一样，这很可能会带来审计风险。

2.2 社会信用体系缺失，网络安全问题严重

人与人之间的高度的信任是电子商务运行的基础，但是在我国，社会信用体系还没有建立，人们的信用观念相对淡薄，企业的信用水平低下，这难以保证企业与企业、企业和个人之间交易的正常稳定的进行，很可能导致信息造假、欺骗、欺诈等风险行为，导致电子商务风险的出现。

另外，网络安全问题是互联网发展过程中一个不可忽视的关键问题。电子商务面临的安全问题主要包括信息的造假、信息的篡改以及对信息进行窃取等。如果不能保证电子商务的安全性，注册会计师在审计中无法获得真实可靠的审计证据，审计的风险自然就会增大。

2.3 电子商务环境下企业的内部控制薄弱

我国的电子商务兴起比较晚，很多企业刚开始运用电子商务平台经营自己的业务，对电子商务的一些细节和特点还不太熟悉，电子商务的管理及其控制对于很多企业都存在很多漏洞，诸如运用电子商务的购销业务，电子发票的开具和保管等，这些都加大了我们对电子商务的审计风险。

2.4 审计人员的专业胜任能力不够

电子商务环境下审计涉及审计、会计、电子商务、网络技术等多方面的审计，注册会计师在电子商务环境下进行审计时不仅要掌握财务、审计方面的专业知识，而且也要对电子商务，网络技术等方面的知识有一定的了解。然而，由于我国电子商务刚刚兴起，这方面的审计人才无论在数量上还是专业胜任能力上都存在严重的不足。

此外，审计老龄化也是个突出的问题，年龄较大的审计人员虽然在传统的财务审计方面经验丰富，但对电子商务、计算机方面的知识了解很少。

3 我国电子商务审计风险的防范

3.1 完善我国电子商务的法律法规和审计准则

电子商务法律法规能够对电子商务活动起到规范的作用。虽然我国在电子商务立法方面取得了一定成就，但这些法律法规还不能满足现实的需要，因此必须加快电子商务审计法律法规的建设进程。在电子商务法律法规的制定上我们可以借鉴一些国家的经验，制定出以保护消费者权益、保护个人隐私、保护平等竞争、保护公平交易为原则的电子商务法律法规。

3.2 完善社会信用体系和维护网络安全

能否有效的解决电子商务信用风险问题，依赖于整个社会信用体系的建立和健全，政府相关部门可以通过与企业和个人相关的税务、工商、质检等系统，来建立企业和个人的信用数据库，并且可以向社会开放，为社会提供信用查询，这样可以对企业和个人的信用状况做出评判，以此来完善社会信用体系。

3.3 鼓励企业建立完善的电子商务内部控制制度

篇（7）

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等，而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来，我国面临的网络仿冒威胁正在逐渐加大，仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件，超过2004年全年案件数，商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)－逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全，人与计算机之间的交互主要局限在大型计算机上的哑终端，安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段，由事件驱动，没有形成规范的管理流程。在此阶段的前期，只重视技术手段。后期开始重视管理手段，但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度，但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑，形成一套较为完整的安全管理策略，其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略，内容也包括了技术手段、安全管理制度、人员安全教育等等，基本上形成体系，技术和管理手段综合统一，但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次，安全管理策略也演进到安全风险管理阶段。主要特点如下：

1.安全风险管理成为主流趋势；在安全管理策略的演进过程中，技术和管理手段综合统一、又融入了风险管理的分析、防范策略，从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One)，认为信息安全问题最终将归结为风险管理问题，风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理，制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》，对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险，在相当程度上取决于采用的信息技术的先进程度，系统的设计开发水平，以及相关设施设备及其供应商的选择等；银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样，监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此，大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法，加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作，从经济学的角度出发分析风险，充分衡量保持安全的代价和收益之间的关系，寻求用最小的代价实现最大的效用，在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略，在全局上缺乏系统论理论的指导，在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞，无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略，以及作为指导意见的规则规范，如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB／T18336．1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》，尽管提出了比较全面的安全风险管理方案，层次上也比较清晰，但是还不足以作为一个风险防范系统。实践中，电子商务组织是一个复杂的系统组织，电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟，定量分析不足

电子商务模式自身的发展历史也不过20几年，在风险分析的定量技术上并不成熟；如BS7799中推荐的电子商务安全风险管理中实施风险评估时，往往将威胁发生的可能性定性划分为几个级别，将威胁所造成的影响也定性划分为1～5级，实质上是将一些按照概率发生的事件定义为不连续的几个级别，在操作上易行，但造成了度量的不精确。在进行监控和审计之后，也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上，电子商务的安全风险无非是新兴的商业模式对传统的风险的改变，以及产生的在传统风险控制领域暂时无法明晰的新风险；现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题，站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次；忽略了风险的整体性，只进行偏信息和技术的研究，导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言，传统金融业务的风险控制与电子商务的技术风险控制，两个方面存在脱节，同样属于商业银行的风险，存在着不同的管理策略，导致多头管理、资源浪费、机构之间的扯皮，乃至缺位管理。

(四)风险管理策略无法依赖外部的信息安全管理行业

在发达国家，信息系统审计(IsAudit)作为一种信息技术服务被广泛提供，许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业，专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法，提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系，制定和引进了一批重要的信息安全管理标准、法律法规，风险评估工作得到了一定重视，但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门；但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距，风险控制实质上仍然分散在各个子部门；风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门；风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如，风险管理部门接受了电子交易部的风险控制报告，表面上履行的内控审核的流程，但审核作用有限，无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想，将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中，经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内，然后进行监控和审计；尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入，从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环，安全风险管理的有效性就上一个台阶，商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中，商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定，商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失，巴塞尔委员会制定资本要求的转换系数；在度量损失的分布时，主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来，利用现有的度量方法进行精确的风险定量分析的尝试。

篇（8）

1电子商务概述

1.1电子商务的概念

对于电子商务的概念，目前国际上还未给出一个统一的定义，按照WTO的定义，电子商务就是公司利用网络平台进行的产销与财会等活动，其内涵不仅包括网络上的商品交易行为，同时也包括了所有通过计算机你与通信技术来解决问题、控制成本、提高产品附加值以及扩大市场份额的商业运营活动，例如以网络技术实现企业物资的核对、进货、样品展示、订单处理及发货、网络付款等。首先，电子商务是通过现代信息技术实现了传统商业的中间经销商核心功能，从而为买卖双方节约了成本，实现了买卖双方的共赢。其次，电子商务的性质实际上就是一个不受时空限制的交易市场，让市场的资源配置能力得到了显著地提高，极大提高了商业活动的效率。第三，电子商务的发展受到两个方面因素的制约，一方面，其需要计算机与通讯技术的发展为其插上翅膀，另一方面，其无法脱离“商务”这一传统人类活动本质内容。电子商务的概念并不能简单的认为是商务的电子化。现代电子商务早已脱离了初始阶段将商品通过网络平台进行交易初级模式，而是发展成为了一种“企业全方位信息化革命”的高级模式。即通过计算机与通信技术来解决问题、控制成本、提高产品附加值以及扩大市场份额的商业运营活动。

1.2电子商务模式的分类

1.2.1B2B

B2B（BTB，即Business-to-Business）是指企业与企业之间通过网络进行数据信息的交换、传递，开展交易活动的商业模式。它将企业内部网和企业的产品及服务，通过 B2B网站或移动客户端与客户紧密结合起来，通过网络的快速反应，为客户提供更好的服务，从而促进企业的业务发展。

互联网公司的频繁倒闭、互联网泡沫的破灭，轰轰烈烈的电子商务热等等事件使得 B2B企业经历了发展、消弭到再复苏的坎坷历程。一路走来，B2B已日趋成熟，加之以中国适宜的大环境为依托。政府社会的大力支持、得天独厚的行业优势和成熟的管理经验，使得 B2B在各行各业中飞速发展，占据了电子商务的较高份额。服务平台在降低企业成本、提高企业交易效率、推进企业核心业务的发展上起到重要作用。

1.2.2B2C

B2C（Business-to-Customer），指直接面向消费者销售产品和服务商业零售模式。这种形式的电子商务一般以网络零售业为主，主要借助于互联网开展在线销售活动。B2C即企业通过互联网为消费者提供网上商店，消费者通过网络在网上购物、网上支付等消费行为。电子商务节省了客户和企业双方的时间和空间，提高效率，得到人们认同获得迅速发展。B2C的商务模式主要代表是亚马逊，国内主流的电商品牌主要有天猫、京东、当当网等。

1.2.3C2C

C2C（Customer to Customer），是指个人与个人之间的电子商务。C2C最为广泛所知的是“淘宝”，模式还包括分类广告、个性定制服务、个人物品二手物品的交易、虚拟资产的出售。在电子商务的诸多模式中，模式为消费者个人提供了宽广的网上交易空间，为消费者提供了便利与实惠，使得电子商务发展逐步大众化、平民化，是电子商务迅速发展的一个重要内容。国内比较有名的电商平台是淘宝网、拍拍网、易趣网等。

1.2.4O2O

O2O（即Online To Offline），是指将线下的商务机会与互联网结合，让互联网成为线下交易的平台，这个概念最早来源于美国。O2O的概念非常广泛，既可涉及到线上，又可涉及到线下，可以通称为O2O。在线下进行产品的销售或服务的提供，通过互联网来推广宣传，消费者可以通过互联网甄选需求，并且在线预订、结算，之后进行线下的实际消费。甚至可以灵活地进行线上预订，线下交易、消费。电商平台主要体现在团购网站，包括美团网、糯米网、大众点评网等，团购渗透在我们生活中的吃喝玩乐。

1.3电子商务的基本流程

电子商务的基本流程可以用网络商品直销的流程来代表，消费者卖方利用网络商店形式开展买卖活动。这种在网上进行的交易活动最大的特点是买卖双方直接在网上沟通，交易环节少、速度快、费用低。其流程基本分为6个步骤：

（1）客户在网络平台上检索所需产品信息及评价，选择意向产品进入意向购买产品区进行候选，即放入电子商务平台的“购物车”中。

（2）客户选定待选产品后，进入“购物车”中，确定所要购买的产品。此时，电子商务平台会自动生成客户所需要支付的金额。

（3）客户通过电子商务平台提供的即时通讯软件与商家对产品交易的细节进行询问。

（4）客户设定自己的相关信息，主要包括收货地址、收货人姓名、收货人联系方式、支付方式以及所购买的产品的型号、数目。

（5）客户向电子商务企业支付货款。支付方式有多种途径。从收货的时间前后分类，主要可分为货到付款、预付款以及到货确认后由第三方转款三种方式。

（6）客户收到货物后，检查货物是否完好，在确认收货后对商家货物进行评价。

2电子商务环境下面临的审计风险

2.1电子商务审计

2.1.1审计的基本概念

审计通过多年不断的完善和发展，至今已形成完备的科学体系。目前最普遍被认可的审计概念，是美国会计学会（AAA）的审计概念委员会在发表的《基本审计概念说明》，将审计定义为：“审计是一个系统化过程，即通过客观地获取和评价有关经济活动与经济事项认定的证据，以证实这些认定与既定标准的符合程度，并将结果传达给有关使用者。”

注册会计师执行审计工作，是企业提高财务信息的真实度、降低财务风险的有效手段。注册会计师在审计工作中所发挥的作用就是，他们出具的审计意见可以提高财务报表信息的可靠性或可信度。在整个审计监督体系中，注册会计师审计相对于政府审计和内部审计，占据更重要地位，本文所探讨的审计，均为注册会计师（CPA）审计范畴。

2.1.2电子商务环境下的审计

电子商务环境下审计是指审计人员对网络上所进行的经济活动和信息系统的安全性进行监督和评价，不仅对网上的交易、支付、清算等各项业务进行审查和监督，而且针对网上容易发生的各种不安全现象进行安全性评定以及提出要求。

2.1.3电子商务环境下审计的特点

（1）计算机网络技术的应用。电子商务在网络中开展，其经济交易数据完全电子化和无纸化，在这里传统的审计线索被，电磁化的审计线索取代。审计人员必须充分应用计算机网络技术来开展审计，否则对网络的数据库审计和许多实质性测试和符合性测试无法实施。

（2）交易的执行与信息处理的数据库。在科技日益发展的今天，随着电子商务的不断普及，企业经济事项（含会计事项）及其相关数据基本可由计算机自动化数据处理形成数据库。审计也必须随之改变建立一套相应的数据处理系统。

（3）强调内部控制制度的重要性。网络化的计算机信息系统不断发展，电算化软件的普及，纸质凭证将会越来越少，计算机管理与操作人员对各种数据的收集与处理上有很大的随机性和专断性，所以内部控制将会变得越来越重要。

2.2电子商务环境下的审计风险

2.2.1审计风险的概念

《美国审计准则说明》给出了审计风险的定义：“风险是审计人员对财务报表中的可能存在的重大错报，在非有意的情况下没有做出适当的修正审计意见。”中国审计人员协会公布的《独立审计具体准则第9号内部控制和审计风险》中对审计风险定义为：“审计风险是指财务报表存在重大错误或漏报，而审计人员在执行审计工作后未能指出这些错误或漏报，从而发表不恰当审计意见的可能性。”以上两个定义大体相同，其主要包括两方面的含义：一是企业发生错误或漏报的，未能公允的反映出被审计单位的财务状况、经营成果的财务报表，注册会计师在执行审计工作时未能察觉，认为其公允，发表了无保留意见的审计报告；二是被审计单位的财务报表本身是公允的，但注册会计师认为错误，发表了不恰当的审计意见。

2.2.2电子商务环境下审计风险类型

电子商务环境下审计风险指的是在当前网络系统的大环境下，由于审计人员对审计证据和审计线索的判断和分析是通过信息化的审计技术或者财务技术，而导致会计报表出现重大错报和漏报，最终导致审计人员在审计之后发表不恰当的审计意见的可能性。网络审计风险一般包括以下几种类型：

（1）数据高度集中于网络系统，财务数据流程过程中的签章等传统手段不再存在，非法侵入网络的人可能不留痕迹将数据非法修改、删除、隐匿、转移和伪造原始数据，审计难度加大从而使审计风险增加。

（2）支付手段多变，主要以电子货币（如电子现金、电子支票、电子信用卡等）进行交易，审计人员很难判断交易是否真实，货币的收付是否真实。

（3）交易商结成的数据广泛集中于网络平台进行交易和决策，系统之间相互影响产生连锁反应，加大了审计风险。

（4）内部人员的操作风险和道德风险。操作程序规范性不强、操作人员缺乏防范意识是操作风险产生的两大主要原因。业的内部管理人员有时也会对会计数据进行非法访问、篡改，甚至泄密和破坏。

（5）计算机处理的集中性和连贯性使职责分工的约束机制可能失效。

（6）数据存储载体的改变和共存程度的提高使得传统交易方式下的账簿控制体系失去作用。

（7）电子商务技术的发展已超出现有法律体系的规范，交易的合法性不易确定。

3电子商务环境下审计风险的成因及控制对策

3.1环境成因分析及控制对策

3.1.1电子商务环境

在传统企业的审计中，被审计单位的会计资料能够提供完整的审计证据。而在电子商务的环境下，被审计单位与供货商和消费者之间的依赖性增强，在电子商务运行的过程中人为干预的状况减少，这使得审计难度上升。

对此可以加强网络审计的立法准则。电子商务审计同传统的审计一样需要以完整的审计证据为根基实施审计，在如今的电子商务环境下我们需要制定一系列的专门的网络法律，对网络系统、网络化审计系统的风险防范做出明文规定，以使得我国网络审计的运作更加规范，更有保障。

3.1.2网络安全问题

在电子商务运行过程中，商家、消费者、支付方之间通过网络相互联系，购买、支付等一系列商务活动都会受到网络安全的威胁。例如信息可能被篡改、信息可能会被拦截、信息可能不真实的情况会增加。注册会计师无法或得真实可靠的审计证据无疑增加了审计难度、审计风险。

审计人员可以制定有针对性的审计方法和技术来解决安全问题给审计带来的困难。例如嵌入式测试设备、审计数据实时追踪技术、扩展性记录等。嵌入式测试设备是指审计人员将所提供的程序代码按所决定的嵌入点与客户的处理程序合成一体，来执行审计程序，测试控制情况。最终的审计结果可以将复杂的审计数据汇总成一份简单的文件报告，以此作为会计审计的轨迹，便于复查，注册会计师用来确保审计程序的执行情况趋于正常。审计数据实时追踪技术。审计机构可以利用专门的网络追踪软件，对审计数据实施及时的追踪，以防止他人非法篡改信息数据。同时，还可以对操作人员的操作行为实施监控，提高审计人员的自觉性和规范性。扩展性记录。扩展性记录是指在应用系统的业务记录中添加审计元素，扩充了业务数据的内容的同时使审计线索变得完整。审计人员可以通过抽取的方式对这些数据进行审查。

3.1.3法律法规体系及准则

电子商务需要一套完整的法律法规体系，要涉及电子签名的合同法、身份辨认程序、电子文件规范、及税法等等的方方面面。因为电子交易的不规范会直接导致审计风增加。我国已制定《中华人民共和国注册会计师法》和《中国注册会计师独立审计准则》等相关规范。但面对电子商务环境，由于审计证据、审计范围都发生变化，过去的准则规范并不能完全适应当今的变化，注册会计师没有特定的审计标准，这必然会增加审计风险。

制定符合中国现状的网络审计准则，一方面要能继续保持审计人员执行审计业务的独立、公正、客观的要求。另一方面要适应电子商务环境，在对象、线索、方法、流程、结果等各方面相对于传统审计都发生了变化的情况下，规范审计的以网络信息系统为中心的一整套制度以及电子版本的业务约定书、管理说明书、审计报告等电子文件的合法化。

3.2审计对象成因分析及控制对策

3.2.1电子数据信息

在电子商务的交易形势下，交易双方利用电子邮件和电子数据交换（EDI）的形式来传递交易信息。传统经济业务模式下的纸质数据被电子数据所替代，电子数据的易消失性和易破坏性，以及电子数据的法律效力问题都将是注册会计师需要关注的重点。对此我国可以鼓励发展第三方物流，使第三方物流成为我国物流业的主体，这样不仅有利于提高物流企业的社会化和专业化水平，还有利于电子商务企业节省资源，集中力量发展自己的优势项目。

3.2.2内部控制

电子商务企业在内部控制方面的变化主要如下：一是控制形式由手工控制转化为手工控制和计算机控制相结合，部分内部控制可以由计算机自动进行；二是产生新的内部控制点，使内部控制更加复杂。注册会计师除了对会计人员及其工作、信息处理的方式和程序进行分析外，还要对计算机硬件、软件、程序等进行控制；三是内部控制制度发生改变。传统手工记账形式下总账与明细账相互牵制制度，凭证经多人复核的形式已经不存在，会计信息系统的内部控制中，数据的一系列处理都统一由计算机完成。因此，注册会计师检查的重点由财务部门转移到了电子数据处理部门。

为了加强企业内部控制，保护数据安全，并使审计人员能够获得完整、真实的会计数据，降低审计人员的审计风险，可以使用的方法包括：（1）对公司的硬件设备、软件设施进行检查，对其设置用户管理权限；（2）对网络系统进行外部访问设置，以便于实时监控；（3）在业务流程上，应强化信息的输入、处理、控制、输出控制。对关键的业务实施敏感业务控制；（4）对内部的系统维护和系统人员应严格分离，并定期进行人员培训，防止操作失误和舞弊行为的发生。

3.3审计主体成因分析

3.3.1审计人员

传统审计的账账核对、账证核对、账表核对等重要的会计工作，而在电子商务环境下，企业以网络信息系统为核心进行账务处理，原始凭证、记账凭证、会计报表等同属于一个数据库，这都对会计师提出了更高的要求。部分会计师缺乏计算机技术，对电子商务的知识了解较少，从而不能有效的识别和评价企业的风险和内部控制。除此之外，一部分审计人员盲目信任网络和计算机技术的安全可靠性，在审计过程中不能保持独立性和谨慎性，难以提出客观的审计结果。审计人员的职业道德水平对审计工作质量起着关键性的作用，经济社会的快速发展对网络审计工作提出了更高的要求。在新的环境下审计人员更要审计人员更要谦虚谨慎、独立客观不断提高自身的职业道德水平和专业素质能力。

3.3.2审计的技术和方法

从目前的会计师事务所处理审计实务过程来看，大部分会计师事务所仍然使用绕过计算机审计的方法，要求电子商务企业将所有的原始凭证、记账凭证、会计账簿、会计报表打印输出，通过手工操作的方式提出审计意见，做出审计结论。但是，当电子数据在生成时就发生故意篡改、舞弊的行为，那么由原始的电子数据所派生出的会计凭证、会计报表的数据等也会出错，不能作为可靠的审计证据。传统的审计方法无法对网络交易的经济数据进行追踪审查，这也会带来审计风险。由于电子商务环境的变化，大部分企业的主要会计数据形成信息化的数据库，信息的真实性受到质疑。因此，审计人员关注的重点是企业的数据库，获取到最原始的数据，确保其真实性和有效性。

篇（9）

一、电子商务概述

电子商务指的是利用计算机网络技术以及远程通信技术，实现整个商务（买卖）的全球化、电子化、数字化、无纸化、便捷化、一体化和网络化。电子商务在最近几年来以日新月异的速度在全球拓展，为企业、个人和每个团体带来了诸多便利，从营销到整理会计账目都与以往发生了巨大的变化，甚至已延伸到我们每个人生活的每一件事。尤其对于企业的经营管理，电子商务提供了极为便捷的经营管理方式，例如，企业的交易记录和交易数据都摆脱了纸质的交易记录模式，而采用了全新的电子记录的方式，以电子化信息和数据的形式存在；同时，这些电子化的信息和数据都是在网络间以实时在线的方式进行转移以及处理，信息和数据的传送呈现动态性、一体性和实时性。企业的营销、会计核算、税收计算等几乎所有经营活动已发生全面的变化。因此，我们的审计工作也应相应做出改变。

二、电子商务审计的特点

（一）利用计算机互联网技术方法

电子商务是在计算机互联网环境下进行的，其商务交易数据信息完全实现电子化和无纸化。审计工作人员要进行审计工作，必须充分利用计算机互联网技术，否则对电子化的数据库审计及许多符合性测试、实质性测试是无法实施的。

（二）对无纸化的电子数据信息进行审计

随着电子商务日新月异的发展，企业的各项经济管理事务及其相关数据均可由计算机辅助系统自动化数据处理传递形成数据库。这种情况下，审计面临着全新的鉴别经济管理事务及其相关数据是否真实可靠的挑战。因此，必须对传统的审计理论、审计方法进行变革，研发电子商务审计专用软件，以适应电子商务审计工作的需要。

（三）内部控制极为重要

计算机信息系统与互联网技术发展一日千里，用传统纸张来记录经济管理相关事务已逐渐消失，因此内部控制极为重要。在电子商务环境下，由于与商务交易数据信息完全实现电子化和无纸化，所以审计人员必须通过测试内控来评估电子商务经济管理信息（包括会计信息）的真实性和可靠性及会计处理的恰当性和适当性，并且对内控的有效性做出全面系统评价。

（四）审计报告内容变化更新

美国注册会计师协会的电子商务审计准则做出相关规定，电子商务审计报告的内容应包括如下几方面：一是审计的业务范围――如某期间内电子商务和会计信息的披露及其业务数据的真实性、可靠性、完整性和电子数据信息安全保护的情况。二是描述审计人员审计工作的主要内容：了解内部控制系统的措施；按照有关要求所执行的控制测试、业务测试；评估内部控制的有效性以及实施其他必要的程序。这些相关工作为我们出具审计意见提供合理的基础。三是侧重于对以下几个方面发表审计意见：业务和信息的保密和遵循的信息披露要求；电子商务的订单履行和支付结算模式安全保障等。

三、电子商务审计面临的挑战

（一）电子商务审计人才的缺失

大学生本科教育中的计算机教育把大量时间精力浪费在基础计算机操作教育上，这使大学对真正的计算机技术教育时间被挤占，使大学教育的资源被浪费。而大多数现在工作在基层的审计人员工作时一般接受的多是简单的计算机培训，已经跟不上计算机审计发展的速度。另外研发实用性、可操作性和稳定性较强的审计系统软件所必须的高层次技术人才也很匮乏，人才的缺失严重制约着我国计算机电子商务审计的发展。

（二）对审计工作人员的学习及不断继续教育要求提高

传统审计工作中的账证核对、账表核对、账账核对等相对比较重要的审计工作，需要由具有丰富经验的审计人员来进行，而在电子商务审计中，要想进行审计，审计工作人员首先必须充分掌握会计信息系统的工作方式，在此基础上，才能顺利开展相关工作。目前，许多审计工作人员虽不能说对网络却很陌生，却也尚未真正充分掌握计算机会计系统的工作流程及关键点，无法充分将计算机网络技术应用在日常工作中，难以对大量复杂的网络会计系统进行审计。

（三）电子商务审计的发展跟不上电子商务的发展

在利润的驱动下，电子商务的发展一日千里，各种商业电子商务人才也层出不穷，他们反过来也推动电子商务市场的飞速发展。而反观电子商务审计，并不存在像电子商务中巨大的利润驱动，所以电子商务审计作为一个整体无法跟上电子商务的发展速度。在各项会计业务做出变化的时候，审计工作仅仅在对应方面作出修改，而没有从整体上建立配套的审计理论、审计流程、审计方法。

（四）电子商务审计法律法规体系不完善

传统的审计法律法规体系已相当完善，而对于电子商务，相关的法律法规体系仍未充分完善，给电子商务审计带来一些无法回避的风险和困难。例如，对电子数据的安全保护不够，对个人企业隐私的保护不够，大量的数据信息被外泄，电子数据的安全可靠性无法获得充分保证；电子支付及余额宝等理财产品也没有相关具体的法律法规来规范市场；与电子商务审计有关的法律法规更新太慢等等。尽管电子商务已有一段时间的发展，电子商务审计也有几十年经验，但与电子商务审计有关的法律依据仍明显不足，电子商务审计法律法规体系有待完善。

（五）获取电子商务审计证据的难度加大

由于电子数据的无形性、易修改性、易消失性和易破坏性，储存在计算机与网络中的电子数据信息的真实可靠性更难以获得保证，操作人员操作不当、计算机故障、网络故障、计算机病毒都有可能对电子数据产生影响。还有例如购买虚拟物品，由于商品的载体并不存在，真实销售数量很难获得，造成获取审计证据的困难加大。另外，传统的纸质凭证账表等会计资料如果修改很难不留下痕迹，而对于电子化的数据，只要进入相关系统，任何一个人可以在几秒内不留痕迹的对数据进行修改，修改过的痕迹难以看出。

（六）审计风险加大

与传统商务模式下的企业内部控制相比，电子商务模式企业的内部控制在很多地方发生了很大变化。电子商务模式下，因为电子数据处理的集中性、一体性、实时性，使相当一部分控制制度失去了作用，甚至有些传统的会计岗位职责已与过去不同；计算机网络系统建立运行和控制的有效性和复杂性，导致内控的范围扩大，这些技术性风险很可能使审计风险中的固有风险以及控制风险加大。

四、对电子商务审计面临挑战的对策思考

（一）建立系统体系培养审计人才

为培养足以应对新时代电子商务审计需要的审计人才，我国应建立系统的审计人才培养体系。考虑到电子商务已然成为当今商务业务的主体，因而审计人员应进一步加强计算机互联网知识的培训与学习，优化完善人才知识结构。为了大学能把更多的精力放在教授专业计算机财务应用和审计应用，本文认为应进一步强化对中小学生的计算机教育，建立起从小学开始到初中到高中到大学的计算机网络知识教育体系，使学生在进入大学时已能熟练使用计算机软件及相关应用，这样在本科期间就能集中全部精力教授更专业更具实用性的审计知识。

（二）加强审计人员的系统学习及继续教育

审计人员的自身的工作能力十分重要，因此加强审计人员的系统学习及继续教育，是我国电子商务审计工作顺利实施的关键。笔者认为应进一步在注册会计师资格考试中增加财务软件应用、审计软件应用、计算机网络知识等与电子商务审计相关的内容。

（三）加大投入力度增快电子商务审计发展

注册会计师协会应充分利用各方面资源，从整体上系统地重新审视当前的审计基础理论和方法，例如审计计划、审计目标、审计程序甚至审计流程、审计制度，站在较高的角度充分考虑当今及未来可能的各方面因素。注册会计师协会应加大对计算机网络建设和信息系统的投资，建立起现代化的审计系统，加快计算机审计、审计机关内部资料库的建设，使审计工作进入新时代。

（四）加快电子商务审计法律法规的完善

制定我国电子商务审计的各种系统化、规范化、标准化的文件，包括审计制度、审计准则、审计计划、审计目标、审计流程以及各类财务软件输出数据的标准格式、数据库的规范等。对电子数据、电子报告、电子账簿、电子凭证、电子记录、电子合同和数字签名签章的传送保管方式和法律效力等方面的法律法规进行系统完善。还有，应制定严格地法律大力保护电子数据的安全，打击泄露数据信息的行为，对相关违法犯罪严厉惩治。

（五）完善软硬件设施以获得可靠审计证据

首先应完善相关软件的设计，对相关软件的开发资格进行严格的审查管理，建立统一的各种电子信息数据标准；完善系统强制备份功能，对不正常的修改、跨期操作等强制备份。同时应对各硬件设备进行改良，增强数据存储器的安全性能和稳定性能。

（六）采取相关措施降低审计风险

审计人员必须充分了解被审计单位的内部控制系统，由于电子数据处理的集中性、一体性、实时性，应全面观察考虑被审计单位各机构设置是否合理、是否适合企业的商务模式；对被审计单位实用的会计软件的合法性与合规性进行测试，会计软件是否安全可靠没有被篡改。甚至，在不久的将来，软件开发人员可以开发配套的会计软件和审计软件，通过在被审单位的会计软件中嵌入执行特定审计功能的程序段，将审计人员的计算机与被审计单位的互联，这样即可实现远程实时监控审计，有效降低审计风险。

篇（10）

中图分类号：F239文献标志码：A文章编号：1673-291X（2011）21-0097-02

一、外部审计

外部审计是指审计师对企业电子商务网站的安全工作进行审计，对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。

1.制度审计。在电子商务网络系统环境下，网络电子交易数据安全是关系到交易双方切身利益的关键问题，是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施，至少包括三个方面：一是网络数据安全技术方面的措施；二是安全管理制度(措施)的制定和实施；三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况，通常可从如下几点进行评价：（1）审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况；实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。（2）审查安全管理制度建立和施行的情况，采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。（3）审查有关计算机安全的国家法律和管理条例的执行情况。

2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务，可为电子商务用户提供职业安全保障。

内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家，具有良好的基础背景和良好的声誉。在中国，内部审计师除了参与财务审计，还参与对管理效益和人离任内部审计和对企业计算机信息系统的实施情况审计，大量参与税务、财务和评估等咨询服务工作。

内部审计业务是按照特定的审计规范的程序执行，对内部控制与经营、业务审查和评价，内部审计师有着敏锐的专业洞察能力，这是内部审计师发展计算机网络内部审计的良好职业背景基础。

内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计，其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑，才能赢得网络交易的多方的信赖，同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中，根据对交易合法性和交易信息的可靠性和安全性，是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容，内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价，已具有特别的专长和丰富的经验。

3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中，它们在运行过程中都会产生大量的日志信息，其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析，挖掘出其中隐藏的异常动态信息，并利用各个审计源之间的联动及时阻断各种入侵活动。同时，对进出网络内部的电子邮件和传输信息实时跟踪，进行数据截取和还原，更好的维护系统安全。

分析和审计公司电子商务网站的安全审计系统是否具有以下功能：（1）网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况，全面掌握网络活动和行为。（2）事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时，系统自动断开该用户的连接并及时向管理员发出报警信号。（3）自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表，管理员可以迅速、直观地浏览报表内容，了解系统的当前运行情况和资源使用情况，在减少管理员单纯人为判断和经验参与的情况下，能更好地帮助系统管理员及时采取相应措施，从而使威胁整个网络的潜在破坏最小化，提高系统的安全性能。（4）系统综合管理。虽然安全审计系统是一个独立运行的软件系统，但是它和其他安全产品如防火墙、VPN，漏洞扫描等并不会产生冲突，相反它们能够相互协调和促进、更好地起到系统安全防护的作用。

二、内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上，主要包括两个方面的内容：对电子商务系统的技术审计；对电子商务公司的财务进行审计。

（一）技术审计

1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查，主要是检查是否有端口访问控制情况――进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类：口令或密钥、身份鉴别（如指纹）和使用权限控制，其中最安全的认证是身份鉴别（用指纹或其他特性），但制作费用比较昂贵，其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外，主要查各类型控制执行的情况。

2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的，并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据，网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性，很容易受到舞弊人或黑客的修改和破坏，要确保合法的客户对网络数据库访问的便利性和网络数据的完整性，应比非网络系统增加对数据库的加密管理，相应地形成数据库的加密管理审计，其内容：一是审查服务器的数据库加密装置，服务器密码装置的密钥分配，这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密，测试关键的网络数据在传输中的全程加密，此种加密是通过专用的软件实现的，因此，对这类的加密软件要进行特别的安全保护管理。

3.运行审计。（1）记录、跟踪系统的运行状况。利用审计工具，监视和记录系统的活动情况，如记录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作，并放人系统日志中保存在磁盘上，使影响系统安全性的存取以及其他非法操作留下线索，以便审查。（2）检测各种安全事故。审计工具能检测和判定对系统的攻击，如多次使用非法口令登录系统的尝试，及时提供报警甚至自动处理，使系统安全管理人员能够了解系统的运行情况，及时堵住非法入侵者。（3）保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果，是查找、分析网络系统安全事件的客观依据，是重要的系统文档，必须要有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计，其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此，运用内部审计可以很好地控制风险的发生。

（二）财务审计

1.数据库审计。在无纸化环境下，内部审计能鉴别出已发生的经济业务及其数据的真实和可靠，这是内部审计师所面临的严峻挑战。显然，内部审计师必须开发一套电子商务内部审计专用的软件和改进传统的审计程序，来适应这种审计的需要。电子商务审计软件一定能使内部审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索，否则时过境迁，就无案可查。

2.内控制度审计。网络化的计算机信息系统不断发展，内部控制将会变得越来越重要。从前述内容可以进一步说明网络环境下的内部控制制度的重要性。可以断言，在电子商务环境下，内部审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面，都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息（含会计信息）的可靠性和经济业务处理的恰当性，并且对内部控制的状况作出全面评价。

3.披露事项审计。保证电子交易的可靠性和真实性，是任何交易的基本前提。为了增强网络上的客户或消费者的信心，电子商务网络系统必须具有如下的披露基本要求：（1）对电子商务销售的商品和服务进行披露，若含有证明商品性能和服务效果的信息，必须注明其信息来源；（2）对交易条件进行披露，如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策；（3）售后服务和产品技术支持；（4）客户的权利、包括投诉的程序，并应告知客户企业的经营地址、电话号码和办公时间；（5）对争议的处理，争议处理的程序，包括管理当局和请第三方中立机构处理争议问题的程序。

4.客户信息隐私保护审计。为合理保证在电子商务中保证客户私人信息的隐私权，电子商务网站必须遵循：保证客户信息不会被传送到其他网站；客户有权禁止其信息在与交易无关的场合使用和为第三方所使用；客户私人信息未经授权不准访问，客户私人信息不能随意被透露给其他的单位或个人；网站工作人员只有处理业务时方能使用客户私人信息；在存储、变更或从客户计算机上复制信息前应得到客户的许可；严禁向客户输送恶意的程序；企业信息保护的控制得到有效执行；企业若不能执行上述控制手段，应及时公告，并说明正在采取的补救措施。

参考文献：

[1]傅元略，等.企业信息化下的财务监控[M].北京:中国财政经济出版社，2003.

[2]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学，2008.