目前,电子商务已越来越多地进入个人消费、企业经营、政府采购活动中,相应地,支持电子商务的各种网站、代写硕士论文网址也如雨后春笋般地建立起来。电子商务网站的起步与发展,改变了传统的经营运作模式,为信息共享和信息协作提供了无限空间。同时,如何为电子商务网站提供独立、客观和公正的审计和鉴证,也将成为各级审计部门关注的热点问题。

一、电子商务网站的特点及弊病

电子商务作为21世纪的主要经济贸易方式之一,给传统的商业运作模式带来了巨大变革。企业应用电子商务,一般在互联网上设置WEB站点,将自己的数据中心建立在数据服务器上,把相关信息置放在网站主页上,选择流行的浏览器作为主界面,与商家或消费者进行网上交易,实现物流、信息流和资金流的协调统一。

1.商务网站的主要经营模式。按电子商务服务的区域划分,商务网站的交易模式主要有两类:商家对消费者模式(BtoC)和商家对商家模式(BtoB)。BtoC模式为个人用户提供了二种全新的购物方式选择,如网上零售商店。BtoB模式是发展潜力最大的交易形式,如网上商业城。它只吸引商家和企业参与,为商家和企业提供网上信息交易平台。

2.网上支付方式。网上支付是电子商务发展的关键。与传统的现金交易支付手段不同的是,BtoC和BtoB交易可采用以下主要的支付方式完成各种款项的结算:(1)银行卡支付;(2)电子支付;(3)电子现金;(4)网上银行。为保证网上支付信息的机密性、支付过程的完www.51lunwen.com整性、商家及客户身份的合法性,网上支付系统要得到全国统一的金融认证中心的安全性认证。如:采用银行卡结算应获取SET电子证书,采用网上银行支付应获取Pm电子证书等。

3.货物配送渠道。配送是电子商务最重要的执行环节。受运输费用和运输时间的限制,目前网上销售大多是信息产品和小件商品。实物商品一般可通过两种方式配送:一是由下展的快运关联企业负责商品的包装、仓储和运输;二是委托专业的物流配送公司或邮政机构按规定的时间和地点将货物送达。

虽然电子商务前景广阔,但它的进一步推广普及还需要克服许多困难,其中最突出的就是交易安全问题。因为电子商务中的大部分交易过程是通过互联网进行的,消费者与商家不直接见面,而且消费者在做出购买决策之前,通常是通过网页上的介绍了解商品的特点,而无法见到实物,这样就存在可能使消费者遭受损失的风险。比如,在交易过程中,买方的信用卡密码被窃或泄漏,从而资金被盗用;或者提供商品或服务的商家是虚假的,从而造成钱付了,却收不到货的风险;此外,也有可能该电子商家实际提供的商品和服务不符合买方的预期,甚至可能是伪劣的或非法的。

由于种种风险的存在,消费者在互联网上从事电子交易就不免心存疑虑。针对这些问题,除了政府的正确引导和大力支持之外,审计部门的客观监督必不可少。而电子商务网站审计正是通过获取有关电子化交易的相关信息,检查交易业务、交易控制与披露信息的一致性,检验和估计经营的有效控制等审计程序,对商务网站所发生的电子化商业行为、系统安全进行审查和测试,为商务网站提供鉴证服务。

二、网站审计的内涵及特点

网站审计是电子商务审计的一个分支,其概念是从传统的电算化审计概念发展而来的。它是审计人员(包括工程技术人员)以网站为审计对象,对在网站上所进行的电子化商业行为及信息系统安全工作进行审计,并提出鉴证服务的一项工作。

具体而言,其内容包括: 1.对在网站上进行的交易、支付、清算等各种业务进行一般的审查、监督,对电子交易系统持续经营、数据仓库、数据市场、数据采撷、Nonstop“不停顿”能力、Nonstop平台进行评估;2.要依据安全评估准则对网站的基础设施进行安全测试和评定,包括数据的完整性、数据加密、访问授权、双向身份认证、防火墙等安全措施;3.网站审计工作人员将对其进行的业务是否真实合法、所提供的商品或服务的信息披露是否具有完整可靠性,其是否提供足够的安全措施,保证消费者私人信息的保密性,进行评价并提供意见。

在电子商务环境下,一方面,由于我国目前网络与电子商务发展的法律法规体系欠完善,有关电子商务鉴证的具体标准和准则尚未出台,给电子商务网站审计带来了实质性的困难;另一方面,交易过程的无纸化,使得电子商务网站审计动态取证具有一定的难度,交易程序的简便化,使得审计对商务网站自身的内部控制制度依赖性增大,越不健全的内部控制制度,审计的风险越大;网络系统的虚似性和开放性使得对电子商务网站的安全评价成为审计的核心。其主要特点是:

1.审计范围明显扩大。网站审计的对象和内容涉及到整个商业行为,并且这种商业行为是运转在网络上的,其中一部分还是虚拟和真空的。另外,电算化审计对安全的要求较低,且没有标准可参照,而网站审计则对安全提出了更高要求,它将安全问题作为一项系统工程来考虑,并按专门的安全评估准则对安全性进行审计。

2.审计工作难度更大。由于网上电子商务涉及面广,尤其牵涉大量的计算机和通信方面的工程技术,这使得审计工程更加专业化、复杂化、系统化,需要大量的各种技术人员在统一协调下开展工作,审计的主体、线索类型、程序、准则都发生了很大变化。同时,由于被审计对象有一大部分是虚拟的数字信号,加上通常有长时间对数据进行试探性攻击的人为因素的存在,致使审计工作具有延续性,必须定期进行审计。

3.审计工作开支巨大,审计成本很高。由于网站审计需要大量的工程技术人员和先进的设备,审计工作成本必然很高。计算机和通信技术的快速发展,同样要求审计人员的高素质。技术水平和使用的设备有相应的提高,因而在审计人员的培训和基础设施上的投资必然很大。

三、电子商务网站审计的方法及要点

(一)电子商务网站审计的方法

审计人员可通过数据获取、样本抽取、异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对;还可以利用审计接口软件来获取原始数据;利用审计抽样软件来进行样本抽取,以决定审计范围、审计证据;利用审计分析软件来进行各种数量关系的配比分析与数据查询;利用数据仓库技术来进行多维度分析;利用审计专家系统来进行审计推理与判断,以此来做好网站业务真实、合法性的审计工作。

(二)电子商务网站审计的要点

1.对网站交易合法性和有效性的审查。首先,审计部门应审查网站域名是否经过政府授权,以免使商标权受到侵犯和干扰。其次,对网站提供商品或劳务的交易进行审查:如果网站提供数字化信息产品,如软件、电子书籍等,审计部门可通过网络特别授权登录网站审查信息化商品交易的合法性;如果网站提供实物商品,应采取实地调查或函证的方法检查其货源供应、货物储运情况,以评价物流配送体系的完整性和健全性;如果网站以提供服务为主,则需对其服务过程进行穿行测试。最后,应对电子交易所采用的网上支付系统进行安全测试,如:网上支付系统是否经过CA认证、是否设置安全网关等。

2.对网络信息真实性和完整性的评价。为了检测网络信息的真实性,审计部门应重点审查网络信息的存取过程中身份识别技术、口令选取技术、防火墙技术和保密传真技术的运用情况;为了检测网络信息的完整性,注册会计师则应着重审查是否采用了数据加密技术或报文验证码技术,是否建立了完善的电子数据接收、签发与验证制度,是否具备有效的防治计算机病毒的措施。

3.对网站安全性和可靠性的测试。可从以下四点入手:(1)检查商务网站是否严格执行计算机网络系统及环境安全法规与管理制度;检测网络硬件设备、网络应用软件是否可靠,用户管理权限是否设置,各种授权控制是否具有审计功能,网络传输数据的关键点是否进行加密,是否能提供可供安全审计的网络使用报告;检查系统入侵防范、检查控制措施。如:是否设置防火墙,是否采用了身份认证技术,是否进行了授权管理,是否建立了实时监控系统;此外,还应对系统紧急事件响应能力和系统恢复能力进行模拟测试,如:是否预留审计日志,是否采用备份和快速重构技术等。

(2)安全管理制度建立和实施情况的审计。一般可采用面谈法、访问和实地察看法按预先给定的内部控制制度评价清单进行。

(3)审查有关计算机安全的国家法律和管理条例的执行情况。

(4)审计人员将对符合审计标准的电子商务网站颁发合格标志,该标志将出现在网站主要网页醒目的位置上,当访问者点去这项标志时,他们可以得到更详细的网站审计报告,以帮助他们评估网站的安全性,提高对网上交易的信心。

(5)审计部门通过上述一系列的审查和检测,最后进行综合认证,评价网站系统内部控制的风险,出具审计工作报告,对于符合规定标准的商务网站颁发WEB认证印章,印章经过数字加密后加载在网站的主页上供访问者浏览查阅,以提高客户和消费者对商务网站的信心。由于商务网站的开放性和动态性,应沿用国际惯例对其实施连续审计,大约每隔90天重新进行一次鉴证,以确定其是否符合规定的要求,并对其发布在网站上的WEB认证印章进行更新,否则印章将会自动失效。