- 相关推荐
电子商务系统审计
当前,商务的越来越广泛,电子商务系统审计的就是对电子商务系统的安全性和可靠性的核实确认。国际内部审计师协会最新电子商务系统审计和控制报告中指出:电子商务的定义是方式或PDF交货方式,审计的定义是指核查(核实查处)确认,电子商务系统审计是基于系统本身的可审计性和控制程序。审计模块设计是审计成功与否的关键,根据审计模块和风险向治理层提供审计报告。由于高的,治理层需要对一些不可丈量的、无形的资产范畴如信誉、客户服务满足度等进行评估,用户需要查询网站的商标或其他经第三方确认过的真实性,因此,电子商务系统审计是对网站或电子商务提供这类核查确认的服务。一、电子商务系统审计的必然性和必要性
在贸易活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监视、控制和审计。与传统贸易相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依靠于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满足程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的正确估算。企业治理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会其生存和发展。风险因素包括:贸易信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级治理层对电子商务系统的安全运作和效益满足和放心。
二、网络风险和风险治理
网络风险如同灾难一样不可预见。风险治理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价治理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以熟悉到潜伏风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制本钱,主要是指接受、避免、转移、监测本钱的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的正当性证实
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否正确真实,机构背景是否正当正当,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须正当、公平,必须用于某一特定、公然的目的,必须取得该个人的同意并受到保护,本人必须有权进进系统进行修改或删除,信息的越域活动和将来的使用、表露必须予以安全保证和限制等。
解决这些网站正当性的途径之一就是由一公证机构提供可靠的证实,以使终端用户能对网站提供的商务放心。如Verisign, TRUSTe,BBB Online ,Web Trust ,SysTurst等都是具有良好的信誉并且提供证实-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册师协会对“核实查证”的定义是“进步决策者所需要信息的质量或的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计职员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监视和控制。
尽管当前很多人以为核实查证通常与外部审计职员相关,内部审计职员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低本钱、进步市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计职员是否把握相关的技术知识,了解贸易风险及风险治理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计职员应了解企业的业务,以服务为宗旨并努力增值,积极进步专业技能,关注系统的效率和效益,建立对电脑领域的职业敏感性。
五、关注电子商务系统的审计风险
审计前,治理层有责任告知审计职员有关公司政策、实践操纵、程序、控制方面的重要改变,使审计职员能基于真实情况和计划各项审核工作,分解审计项目的各组成部分。审计过程中,审计职员应与治理层公然分享所有发现的题目,讨论应采取的措施。为了分析电子商务系统,审计职员要有经常进进系统的特权,并申明权限的使用是为了审核工作,并承担不当使用的责任。假如企业不愿提供必要的进进系统的权限,审计职员应评估这种情况下风险。进行风险评估时,审计职员必须置身于公司的风险状态下,充分考虑审计风险:如在公司有重大偏差时,作出无偏差的审计结论;客户风险-在审计后发生公司经营滑坡或不能持续经营;以及审计职员将面临财政、或信誉上的损失。
【电子商务系统审计】相关文章:
电子商务审计03-24
JAVA实现电子商务系统03-22
浅析电子商务推荐系统03-22
涉密网络主机审计系统设计03-19
电子商务环境下的审计题目03-22
论电子商务时代的网络审计12-09
电子商务环境下的审计问题.03-22
电子商务网站的系统设计03-22
基于战略系统的审计风险模型研究03-04