从20世纪70年代起步的计算机网络技术,在20世纪末已经进入了高速发展的阶段,给人类的生活带来了翻天覆地的变化。在美国,1998年互联网产业的收入已达3,014亿美元,对经济的影响力可与汽车制造业匹敌,对其他行业的影响更是无法估量的。据预测,到2004年,全球互联网业的收入将达到24,000亿美元。网络经济的存在已经毋庸置疑,大有成为世界经济主导的趋势。那么,在网络经济中,
注册会计师应该如何开展自己的业务呢?虚拟的网络公司和网上交易会对会计和审计带来什么样的影响呢?
美国注册会计师协会(AICPA)和加拿大注册会计师协会(CICA)在这方面走在了前面,他们正努力在网络世界中开拓出注册会计师行业的新领域。网站认证(Web Trust)就是AICPA和CICA提供给网站的一种新兴的鉴证服务。
一、网站认证的由来
(一)产生背景
1997年,美国政府正式提出了电子商务框架(E-business framework)的概念。同一年,AICPA与CICA联合提出了一项旨在帮助网站浏览者增强对网站的信任,帮助保障隐私,认证网站安全和减低网络商业诈骗风险的新的互联网网站鉴证服务—Webtrust。这项鉴证服务是由持有特许专业执照的注册会计师,按照AICPA和CICA公布的“网站认证”准则与规范(Principles and Criterias)对被审查网站的在线隐私(Online Privacy)、安全性(Security)、有效性(Availability)、商业模式与交易信誉(Business Practices/Transaction Integrity)、认可(Non-repudiation)、保密性(Confidentiality)、CA服务等七方面进行审查和鉴证,对于符合准则与规范的网站,允许其将AICPA或CICA委托Verisign公司管理的“网站认证”徽记以超链接(Hyperlink)方式放置在该网站的主页(首页)上,供浏览网站的顾客点击后,以安全方式查看位于Verisign网站的注册会计师鉴证报告。
网络安全、隐私权和浏览者信任等问题一直是严重阻碍网络经济发展的主要问题。一方面,各网站公司、安全技术机构和微软等的研发中心都在不断的更新完善加密技术,推出一些认证方式,维护网络安全;但另一方面,在开放型的网络世界中,人们不断听到、看到和受到各种网络安全的威胁,因此对于网上交易戒心重重。此外,虚拟的网站使顾客只能通过网页的内容来了解公司而无法知晓公司的规模、诚信、产品和服务的实际状况,更无法确认网站承诺的安全保密条款会否得到不折不扣地执行,而且越是有名的安全技术性认证,越容易引起黑客的攻击兴趣。AICPA和CICA正是看到了这一新兴的市场,利用自身独立、客观、公正的良好第三者形象和专业的技能知识开始介入这一市场,使“网站认证”服务应运而生。
(二)准则内容
也许是受到计算机行业惯例的影响,AICPA在推出其“网站认证准则与规范”时使用了X.0版的模式。其最新的3.0版准则与前期的2.0版和1.0版比较,有了很大的进步,将网站认证的范围扩大到了BtoB、ISP、CA等范围。3.0版准则提供给网站更多的认证选择,以满足其具体的需要。例如提供BtoC服务的网站会对“在线隐私”和“商业模式与交易完整”认证更感兴趣;提供BtoB服务的网站会对“安全”和“认可”认证更感兴趣。以下是3.0版准则的简要介绍:
1.在线隐私。2000年11月30日AICPA制定了“在线隐私”准则与规范3.0版:“网站应该充分地揭示其对在线商务隐私的运作程序,并遵守这些程序,保持对这些程序的有效控制,对在电子商务中产生的私人信息的安全提供合理的保证”。该准则适用于BtoC、ISP和ASP服务。
2.安全性。2001年1月1日,AICPA制定了“安全性”准则与规范3.0版:“网站应揭示、执行和保持其安全保护政策,并对所有接近电子商务系统和数据的人都是通过了安全政策下的授权提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
3.商业模式与交易信誉。2001年1月1日,AICPA制定了“商业模式与交易完整”准则与规范3.0版:“网站应揭示、执行和保持其既定的商业运作政策,并为商务运作完整、准确和一致的遵循其政策提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
4.有效性。2001年1月1日,AICPA制定了“有效性”准则与规范3.0版:“网站应揭示、执行和保持其既定的有效性政策,并为电子商务交易的有效性提供合理的保证”。该项准则适用于BtoB、BtoC、ISP和ASP服务。
除上述准则外,“网站认证”的其他准则与规范与以前旧版模式内容没有太大变化。
(三)发展现状
根据AICPA网站2001年5月的消息,目前共有17个国家和地区的注册会计师协会获准其会员提供网站认证鉴证服务,其中包括香港会计师公会(HKSA)。但是,获得网站认证徽记的网站不足40家。台湾学者的相关研究认为,网站认证发展受阻的主要原因是:1.公众对注册会计师的网站认证鉴证服务还很不熟悉。2.网站认证的收费较高,对于很多网站来说不具成本效益。3.消费者是因为对网站感兴趣才进入该网站。4.注册会计师不善于进行网站认证营销。可见,网站认证还处于起步阶段,需要注册会计师们的大力推广,不断更新。
二、网站认证的特点
由于网络的虚拟特性,信息、证据的痕迹不能直接观察,网络技术环境更新迅速以及网站信誉鉴证有特殊目的等原因,使得这一鉴证服务有别于传统审计业务,具有许多新的特点。
(一)目标和审查重点。
网站认证不是以网站的财务状况、经营业绩为审查的中心目标,而是以网站的安全性、信息的管理保护等为审查对象,以评价这些内容是否符合有关准则与规范为目标进行的鉴证服务。这一目标的变化,直接导致了鉴证的各要素和鉴证方法的变化。因此,可以说网站认证是一种全新的审计概念。
我们认为,网站认证仍然是一种审计活动,而不是其他的管理咨询等非审计业务。美国会计学会(AAA)对审计的定义是“为确定关于经济行为及经济现象的结论和所制定的标准之间的一致程度,而对这种结论有关的证据进行收集、评定,并将结果传达给利害关系人的有组织的过程。”可见,现代审计的概念早已经拓宽到管理审计、经济效益审计等多方面。“网站认证”作为现代审计的新分支,是网络经济的产物,是在注册会计师对网站进行审计时,结合客观现实的需要应运而生的。从审计的本质上讲,网站认证是对虚拟网站向客户提供BtoB、BtoC商务模式以及ISP、ASP、CA等经济活动是否符合有关规范所进行的评价与鉴证。
(二)审计职能
一般认为,审计具有监督、评价、鉴证职能。网站认证的评价职能是显而易见的,注册会计师对网站的营运方式分析、系统的安全测试、数据资料的管理维护抽样调查等都是为了要评价网站的安全性、有效性、合规性。虽然说评价的内容有所变化,但评价职能本身是没有改变的。网站认证的鉴证职能是其本身目标的直接体现,正是因为有了鉴证职能,网站浏览者和客户才会加强对网站的信任感,才能实现电子商务润滑剂的功能。“网站认证”由于是注册会计师接受网站本身的委托对其进行的审查活动,除对网站内部人员有一定监督作用外,监督职能因此并不突出。
(三)审计的主体、客体和对象
虽然网站认证依然是由注册会计师进行的,但是它对注册会计师提出了更高的要求。首先,注册会计师必须有特殊的专业执照才能进行这项业务,这不同于管理审计、管理咨询等业务。其次,注册会计师必须充分考虑是否需要其他专家的协助,而这往往是必不可少的,就犹如人寿保险审计,需要有精算师的配合与协助一样。最后,网站认证徽记是由Verisign网站提供和管理。所以网站认证审计的主体已经不再像传统审计那样单纯了。
网站认证的客体是网站。由于这一客体与传统的公司、组织有显著不同,因此“网站认证”审计也显得与众不同。网站公司往往实体业务很简单,更多更主要的经济活动是发生在虚拟的网络世界中,对这样的客体进行审计必须选择与之相适应的手段和方法。
网站认证的对象是网站的系统安全模式、网站的经济活动程序等等,这与传统的审计大不一样。
(四)审计风险
一方面,网站认证报告的对象是不确定的所有网站服务使用者,不局限于审计委托人;另一方面,网络的变化迅速,使用“网站认证”鉴证报告的浏览者得到的是根据以前信息做出的安全认证,这对于网络世界来说是明显滞后的。所以,注册会计师的风险很大,必须在认证报告中加入适当的说明,以明确责任。
(五)审计方法、手段和报告方式
综上所述,我们知道网站认证的目标、客体和对象与传统审计相比较有了很大变化,因此在审计手段和方法上也有相应的变化。
首先,网站认证的审计程序是:评价委托风险接受委托并获得管理当局声明书系统管理控制评价符合测试、实质测试完成审计工作,提出管理建议书,要求进行改进以达到标准出具报告,申请给与网站认证徽记每3个月进行复核测试。其中的最后一个步骤就是传统审计所没有的,是适应网络经济飞速发展的客观需要而采取的一项重要内容。而且,网站认证中管理当局声明书的内容较传统审计有很大不同,管理当局被要求对其管理网站的各项安全保密政策以及其他要求注册会计师审计的方面的政策和执行情况进行揭示与责任说明。网站认证中的管理当局声明书相当于传统审计中的会计报表加管理当局声明书,这与传统审计有所区别。
其次,许多审计测试都必须通过计算机进行,不存在绕过计算机审计的方法。例如,在进行客户登录是否有安全保护,是否只能进入授权级别的内容,交易是否是在安全模式下进行等测试只能在网络上进行,相关的审计证据也是以电子方式存在,这是网站认证审计的一大特点。
第三,网站认证的委托人(审计报告的对象)与传统的报表审计不同。一般来说,“网站认证”是由网站管理当局委托注册会计师进行的,审计报告的对象是网站的管理当局,这是与目前的网站认证报告的使用目的相关的。网站所有者并不需要网站认证来证明网站的安全,因为这只是经营者提高业绩而进行的努力,所以网站认证的委托人大都是网站的管理当局。
最后,网站认证的报告方式别具一格。网站认证报告是通过被审计网站主页上的一个超链接图标与Verisign网站的相关报告链接,浏览者点击该图标就可以看到注册会计师的审计报告。这种审计报告是网站通过了何种认证标准的报告,不存在传统概念下的保留意见、否定意见或拒绝表示意见报告。以下是一份根据网站认证3.0版“安全性”准则与规范书写的报告范例:
独立审计师报告
兴隆公司管理当局:
我们已经审查了贵公司2000年1月1日到2000年12月31日的管理声明书(链接到管理声明书),声明包括揭示了所有重要的电子商务安全政策,并遵循了这些政策,且对只有获得授权的人才能在上述安全政策下接近电子商务系统和数据保持了有效的控制。我们的审查是根据美国注册会计师协会“网站认证”安全性准则进行的(可链接到安全性准则)。执行程序、揭示政策、遵循和控制是兴隆公司管理当局的责任。我们的责任是根据我们的审查发表审计意见。
我们的审计程序是按照美国注册会计师协会的标准执行的,这些审计程序包括:(1)获得和了解兴隆公司揭示的安全政策和相关安全控制程序,(2)测试这些安全政策的执行遵守情况,(3)测试和评价安全控制执行的有效性,(4)其它我们认为必要的审计程序。我们认为我们的审查为我们的审计意见提供了合理的基础。
我们认为,兴隆公司的上述管理声明书,依据美国注册会计师协会“网站认证”安全标准,在所有重要方面都进行了公允地表达。
由于控制内在的限制,一些错误和舞弊可能存在而没有被检查出来。并且,基于我们的发现而得出的结论,在未来的期间,存在这些结论不适用的风险,因为:(1)安全系统和控制可能改变,(2)执行环境的变化,(3)时间流逝带来的变化,(4)对安全政策和程序的遵循可能懈怠。
在兴隆公司网站上的网站认证徽记是本报告内容的一种符号表示,它不是对本报告的更新,也不代表任何更进一步的保证。
埃得华会计师事务所
弗内斯特·埃得华 注册会计师
华盛顿特区
2001年2月1日
三、中国注册会计师应如何面对网站认证
网站认证审计在我国还是个新鲜的事物。如何发展我国注册会计师的网站认证业务呢?笔者认为,我国注册会计师行业的建设随着时间与经验的积累,水平在逐渐提高。但由于种种原因,社会大众对我们注册会计师这个行业的信任度还不是很高。这是我国注册会计师拓展网络鉴证服务市场的主要阻碍。要克服这些障碍,我们仍有许多方面的工作必须加以努力。具体来讲:
1.有必要建立一部管理电子商务的基本法。没有法律的保护,任何行业的自律,任何第三方的证明,都不能使消费者和客户真正的放心。如果消费者权益没有明确的法律保护,那么电子商务将是一件风险很高的商业行为,更何况是网站认证。
2.中国注册会计师协会应该为网站认证或网站审计制定标准,提供资格认证。每一个行业都有自身的特点,虽然我们没必要为每一个行业制定特殊的
审计准则,但是对于个别重要或特殊的行业还是应该根据实际情况,进行相应的处理。我们完全可以参考金融保险企业审计那样,为网站认证或网站审计规定新的游戏规则。
3.随着经济环境的变化,注册会计师必须无时无刻地加强自身的专业技能与知识创新,提高职业道德水平。事务所应该努力延伸在网络经济方面的触角,学习新事物,拓展新市场。反观我国注册会计师工作压力重,再学习时间少,全面更新专业技能知识难度大。
4.网站认证的发展壮大依赖于网络经济、电子商务的发展壮大。我国社会主义市场经济的建设事业还没有完全完成,市场经济的规则还不完善,旧的习惯和方法还桎梏着一小部分人的思维,网络经济道途坎坷的情况有待逐步改善。