自1997年7月美国政府正式发布“全球电子商务政策框架”以来,在全球范围内掀起了一股电子商务的热潮。目前,电子商务已越来越多的进入个人消费、企业经营、政府采购活动中,相应地,支持电子商务的各种网站、网址也如雨后春笋般地建立起来。
一、网站审计产生的客观必然性
网站审计是电子商务不断发展,经济活动网络化、虚拟化的产物,电子商务这一新事物的出现,必然要求审计工作也随之在新的审计概念、审计技术领域有所突破。虽然电子商务前景广阔,但它的进一步推广普及还需要克服许多困难,其中最突出的就是交易安全问题。因为电子商务中的大部分交易过程是通过互联网进行的,消费者与商家不直接见面,而且消费者在做出购买决策之前,通常是通过网页上的介绍了解商品的特点,而无法见到实物,这样就存在可能使消费者遭受损失的风险。比如,在交易过程中,买方的信用卡密码被窃或泄漏,从而资金被盗用;或者提供商品或服务的商家是虚假的,从而造成钱付了,却收不到货的风险;此外,也有可能该电子商家实际提供的商品和服务不符合买方的预期,甚至可能是伪劣的或非法的。由于种种风险的存在,消费者在互联网上从事电子交易就不免心存疑虑。针对这些问题,最近美国注册会计师协会(AICPA)及加拿大注册会计师协会(CICA)联合推出了一项新的审计服务项目——网站审计,并专门制定了相应的审计标准。
二、网站审计概念的内涵
网站审计是电子商务审计的一个分支,其概念是从传统的电算化审计概念发展而来的。它是审计人员(包括工程技术人员)以网站为审计对象,对在网站上所进行的电子化商业行为及信息系统安全工作进行审计,并提出鉴证服务的一项工作。县体而言,其内容包括:1.对在网站上进行的交易、支付、清算等各种业务进行一般的审查、监督,对电子交易系统持续经营、数据仓库、数据市场、数据采掘、Nonstop“不停顿”能力、Nonstop平台进行评估; 2.要依据安全评估准则对网站的基础设施进行安全测试和评定,包括数据的完整性、数据加密、访问授权、双向身份认证、防火墙等安全措施;3.网站审计工作人员将对其进行的业务是否真实合法,所提供的商品或服务的信息披露是否具有完整可靠性,其是否提供足够的安全措施,保证消费者私人信息的保密性,进行评价并提供意见。
三、网站审计与传统电算化审计的比较
虽然网站审计概念来源于传统电算化审计,但它们之间既有联系又有区别,具体表现为:
(一)电算化审计是网站审计的基础。无论系统多么复杂,进行网站审计也必须从个别的单机系统开始,从单机到网络,虽然审计的对象和侧重点不同,但是没有电算化审计的基础知识是谈不上开展网络审计的。
(二)审计职能没有变。无论什么审计,都是起到监督、评价、鉴证的作用。
(三)审计模式没有变。两者工作开展的方式都是从审计对象出发,从物理方面(如电子计算机设备)、逻辑方面(如数据访问的安全政策)到软件方面(如程序)进行审计。
(四)审计范围明显扩大。电算化审计仅以数据文件的处理作为主要审计内容,而网站审计的对象和内容涉及到整个商业行为,并且这种商业行为是运转在网络上的,其中一部分还是虚拟和真空的。另外,电算化审计对安全的要求较低,且没有标准可参照,而网站审计则对安全提出了更高要求,它将安全问题作为一项系统工程来考虑,并按专门的安全评估准则对安全性进行审计。
(五)审计工作难度更大。由于网上电子商务涉及面广,尤其牵涉大量的计算机和通信方面的工程技术,这使得审计工程更加专业化、复杂化、系统化,需要大量的各种技术人员在统一协调下开展工作,审计的主体、线索类型、程序、准则都发生了很大变化。同时,由于被审计对象有一大部分是虚拟的数字信号,加上通常有长时间对数据进行试探性攻击的人为因素的存在,致使审计工作具有延续性,必须定期进行审计。而电算化审计一般只涉及单机系统,所需工程技术比较单一,虽然在目前的审计工作中仍存在着许多难以解决的问题,但相对网络审计牵涉面较窄。
(六)审计工作开支巨大,审计成本很高。由于网站审计需要大量的工程技术人员和先进的设备,审计工作成本必然很高。计算机和通信技术的快速发展,同样要求审计人员的素质。技术水平和使用的设备有相应的提高,因而在审计人员的培训和基础设施上的投资必然很大。
四、网站审计的有关内容与方法
网站审计是由经过特别认可的注册会计师来执行的,在实际工作中审计人员应注意以下几方面:
(一)审计人员可通过数据获取、样本抽取。异常项目调查、数据分析与处理等方法进行测试、检查、分析与核对;还可以利用审计接口软件来获取原始数据;利用审计抽样软件来进行样本抽取,以决定审计范围、审计证据;利用审计分析软件来进行各种数量关系的配比分析与数据查询;利用数据仓库技术来进行多维度分析;利用审计专家系统来进行审计推理与判断,以此来做好网站业务真实、合法性的审计工作。
(二)由于网络的发展,信息、数据的传输和交易事项可以在顷刻之间不留痕迹地完成,所以审计人员要特别关注网站在设施、输入、软件、输出四个方面易出现的欺诈和舞弊行为,并考虑其重要性视情况在网站审计报告中予以恰当披露,以确保其提供商品或服务的信息披露的完整可靠性。
(三)对网站安全性的审计工作可从以下四点入手:1.安全技术的审计。对此,可侧重检查防火墙技术、网络系统反病毒功能。数据加密措施、身份认证和授权等软件技术的应用和实施情况,可以用模拟数据对系统的各安全关键点进行全面检查。2.安全管理制度建立和实施情况的审计。一般可采用面谈法。访问和实地察看法按预先给定的内部控制制度评价清单进行。3.审查有关计算机安全的国家法律和管理条例的执行情况。4.审计人员将对符合审计标准的电子商务网站颁发合格标志,该标志将出现在网站主要网页醒目的位置上,它表明该网站经过专门注册会计师审计符合AICPA和CICA所制定的一般标准。鉴于网站审计工作本身应具有的延续性,AICPA和CICA还要求注册会计师至少每90天对商务网站重新审计一次,以确定其是否仍然符合网站审计标准,从而决定该网站能否继续保留这项标志。此外,当访问者点去这项标志时,他们可以得到更详细的网站审计报告,以帮助他们评估网站的安全性,提高对网上交易的信心。值得指出的是,注册会计师对网站颁发合格标志,只是表示对网站总体安全性的一种评价,并不意味他们将对每一笔具体业务的安全性提供保证,也不对消费者在交易中的可能损失承担责任。