基于可信第三方的電子商務在線審計研究

摘要：電子商務在線審計已成為研究熱點。目前，由于電子商務面臨的高風險和欺詐的情況建立了基于可信第三方的電子商務在線審計模式，提出了基于可信第三方的電子商務在線審計內容和程序，并設計了一些關鍵的在線審計指標等，對基于可信第三方的電子商務審計具有理論創新意義和一定實際應用價值。

關鍵詞：電子商務；在線審計；可信第三方

中圖分類號：F713．36;F239．1 文獻標識碼：A

Online Audit of Electronic Commerce Based on Trusted Third Party

Wu Xiao-qiang Qiu Wan-hua2

(1.School of Automation Science and Electrical Engineering， Beijing University of

Aeronautics Astronautics，Beijing 100083，China;2.School of Economics and Management，

Beijing University of Aeronautics Astronautics，Beijing 100083，China)[JZ）]

Abstract: Online audit of electronic commerce has been regarded as a hot and critical issue. According to the high risk and fraud under the circumstance of e-commerce，the paper discusses the online audit mode of e-commerce based on Trusted Third Party(TTP). The content and program of online audit based on TTP is put forward with key indexes for online audit.

電子商務的出現對傳統審計提出了嚴峻的挑戰^[1]。同時，審計需要為電子商務平穩安全的運行提供方法和策略的支持。電子商務交易具有跨越國際性、虛擬性、實時性、信息不對稱、不確定性、高風險性、高欺詐等特點。如何為電子商務提供在線的獨立、客觀和公正審計和鑒證，也成為了研究熱點^[2]。在設計電子商務協議的時候，需考慮到系統運行在線審計的需要，為電子商務的審計提供必要元素，在電子商務系統運行時能夠支持審計模式。

在安全電子商務協議中，可信第三方TTP的角色日益重要。幾乎在所有實用的安全電子商務協議中，可信第三方都在不同程度地發揮作用

^[8-9]。

一、引言

Elliott(2001)在展望審計未來的時候提出一個模型設想，他的模型設想演進為一種實時審計模式。根據Elliott的實時審計模式，審計師所考察的企業風險主要來自于企業與其他企業形成電子商務交易關系的過程^[2]。

電子商務系統的獨特特點決定了對其審計必然涉及對電子商務系統本身處理和控制功能的審計，以判斷電子商務系統對交易事項的處理是否真實、合法、安全和可靠。一方面，存在較高風險的電子商務交易實時完成，因此，對其審計提出了同步實時性的要求；另一方面，電子商務離線審計所需的審計數據只有通過實時審計的環境下才能采集和保存。總之，電子商務審計具有實時性要求、在線完成、可追究性要求、繼承性要求等特點。

二、基于可信第三方電子商務審計內容

電子商務審計主要是通過獲取有關電子化交易的相關信息，檢查交易業務、交易控制與披露信息的一致性，檢驗和估計經營的有效控制等審計程序，對發生的電子商務交易的系統安全性進行審查和測試，為電子商務網站提供審計服務。

Jagdish Pathak(2003)提出了一種電子商務審計模型，在其模型中，構建了對電子商務環境中的網絡、計算、安全和數據庫為主要審計內容的模型。在電子商務協議是技術和業務邏輯的混合體，因此，其審計內容可分為技術審計、業務審計以及離線審計數據采集和準備^[3]。

（一）技術過程審計

1.交易和支付過程審計。交易和支付過程審計包括實體誠信審計、隱私保護合法性、交易數據的一致性和完整性、交易完整性、邏輯和流程正確性審計。為滿足電子商務協議安全屬性或目標，在設計在線審計協議中，應考慮有效的審計程序以滿足電子商務協議可用性(availability)、可行性(capability)、功能性(functionality)和可說明性(accountability)等的安全屬性或目標。

2.系統異常、例外和災害審計。對于異常和例外情況下，如電子商務系統對錯誤處理是否具有重復性和連續性的審計。極端情況下，系統崩潰或宕機的情況下，對于應急恢復及災害處理等審計。

3.需確定評價電子商務審計有效性的指標。

（二）業務審計內容

對于業務審計內容，筆者分別按照商戶、持卡人、發卡銀行、收單銀行等不同的實體提出和歸納了不同的在線業務審計內容。

（三）離線審計的數據采集和準備

對電子商務而言，在線審計非常重要，但同時在線審計無法滿足所有必要的審計目標，離線審計是非常有益的補充。離線審計的數據來源和采集過程很多是由在線審計積累和準備的，在線審計的一個重要內容就是為離線審計提供數據采集和準備。

電子商務系統需提前考慮到在線和離線審計的需要，應在在線交易中保留充分的審計數據和足夠的信息。在電子商務環境下的企業財務信息披露面臨著信息技術和資本市場等方面的挑戰，審計作為企業財務報表的鑒證者，自然要接受由此而產生的挑戰。這些挑戰不僅對審計工作方式形成沖擊，而且對審計方法和模式也提出了更新的需求。

對持卡人驗證信息是否充足，如是否具備卡號、卡有效期、交易密碼、姓名和身份證件號碼等信息；

三、基于可信第三方電子商務在線審計程序

在線審計主要可分為數據采集，審計主體和模型選擇，內容逐項審計，離線審計數據準備，生成在線審計報告等主要步驟。筆者研究范圍限于在可信第三方存在的情況下在線審計的情況，審計內容和要點難免存在無法或無需在聯線環境下實現，而離線審計時探討在聯機環境下無法進行的審計內容。

（一）審計程序

審計以在線數據、賬表等為基礎，以確保審計報告的公允性、合法性和一貫性^[5]。對被審計單位的內部控制進行審查評價，需要借鑒制度基礎審計的方法，以提高審計效率。基于可信第三方的電子商務在線審計程序如圖1所示。在對于在線審計的各個步驟之中，都需為離線審計提供數據準備。

（二）在線審計指標設計

在審計過程中，需要設計指標來滿足在線審計有效性等目標，下面給出一些分析和反映在線審計成功情況、欺詐情況、網絡服務、主機可用情況等指標。

1.在線審計通過率

其中，假定有n筆需審計抽樣的交易，而k為審計存在錯誤的筆數，svi是第i筆結算交易金額，avi是審計交易金額。

其中，k為商戶退單交易數，n為總共收單交易數，wtai是第i筆商戶退單交易額，tai為第i筆收單交易額。如，商戶連續兩個月的月商戶退單比率超過 2．5％，或月退單筆數超過 50 筆，第三方審計機構將向其收單機構提交書面預警通知，敦促其盡快采取整改措施。

通過對商戶交易量的異常變動、商戶已被確認的欺詐交易金額、商戶的可疑交易行為、商戶因欺詐原因被調單及被退單的情況進行綜合評分，經系統評分達到“高風險商戶”標準的商戶應記錄在在線審計報告中。

5.網絡服務安全審計指標

在實際業務運營中，對電子商務系統上報的各種事件等進行取樣與統計分析，從概率上分析在當前時間和過去一段時間內系統的安全狀況情況。網絡服務Sj的風險指數定義為攻擊發生次數、攻擊嚴重程度和當前時間段對應權值的函數（王偉，2005）^[6]。

其中，h為評估分析單元劃分的段數，這里把一天作為一個分析單元劃分為2個時間段，辦公時間(8:00-18:00)、非辦公時間(18:00-24:00， 0:00-8:00)，即h=2；θt為評估單元對應的權重，其值由管理員根據網絡系統不同時間段的正常訪問量Rt進行歸一化處理得到；k為某時間段內服務Sj的攻擊種類數；Ci為某時間段內服務Sj受攻擊的發生次數；Pji為攻擊的嚴重程度，其值由攻擊所屬類型來確定。在實際的環境中，系統一旦遭到破壞，造成的后果就比較嚴重，參照 Snort手冊，用比較大的值，如采用16、4、2 分別表示系統高、中、低三個等級的嚴重威脅程度^[6]。

6.交易成功比率

交易成功比率是指針對商戶、發卡銀行、收單銀行分別而言，成功交易數與總交易數的比例。

四、總結

在線審計對于保障電子商務正常穩定運行、仲裁糾紛、發現重大風險和隱患等有著重要意義^[7]。因此，設計有效的在線審計協議和審計指標體系等在理論和實際應用中仍需進一步深入研究。

同時，可信第三方對于電子商務環境下的在線審計起著非常重要的作用，對于審計的獨立性和公正性等也有一定的意義。但需要注意的是，審計主體與可信第三方的融合與信息交互的困難，存在職能定義或范圍上的困難，在實際操作中可能存在界定上或主體上不明確的問題。

參考文獻：

[1]Steve G. Sutton， Clark Hampton. Risk assessment in an extended enterprise environment: redefining the audit model[J]. International Journal of Accounting Information Systems， 2003，13(4):57-73.

[2] Deron Liang， Fengyi Lin， Soushan Wu. Electronically auditing EDP systems With the support of emerging information technologies[J]. International Journal of Accounting Information Systems， 200 12(2):130-147.

[3] K. Hung Chan and Phyllis L. MO. Ownership Effects on Audit-Detected Error Characteristics: An Empirical Study in an Emerging Economy[J]. The International Journal of Accounting，33(2):235-261.

[4] Sandra Cherie Henderson. Is Auditor Participation in Developing Electronic CommerceSystems: the Impact on System Success. Ph.D. Dissertation， Auburn University， 2002.

[5] 孫寶文，李輝. 電子商務的風險管理與審計研究[J]. 中央財經大學學報， 2003(5):76-81.

[6] 王偉， 陳秀真， 管曉宏. 深度防衛的自適應入侵檢測系統[J]. 西安交通大學學報，2005(4):339-342.

[7] 吳小強. 電子商務協議建模、分析和風險預警模型研究[D]. 北京:北京航空航天大學博士學位論文，2006.

[8] 吳小強， 劉晶， 朱世朋. 基于可信第三方的安全支付認證模型及應用[J].計算機集成制造系統CMIS，2005，23(6):89-95.

[9] Xiao-Qiang Wu， Wan-Hua Qiu， Xiu-Sheng Li et al. An integrated framework for design: securing business-to-consumer e-commerce[J]. Journal of Systems Science Information. 2005，3(4):811-828.

(責任編輯：呂洪英)

注：“本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文?！?/p>