試論當(dāng)今電子商務(wù)環(huán)境下的網(wǎng)絡(luò)審計

葉　蓓

摘要：本文以電子商務(wù)環(huán)境下的網(wǎng)絡(luò)審計為論著對象，論述了電子商務(wù)與網(wǎng)絡(luò)審計的關(guān)系及其影響，產(chǎn)生了網(wǎng)絡(luò)審計較傳統(tǒng)審計的創(chuàng)新和發(fā)展前景；著重探討了網(wǎng)絡(luò)審計的核心問題；同時也實事求是地指出其存在的問題并嘗試探討解決方式。

關(guān)鍵詞：電子商務(wù)；安全技術(shù)；網(wǎng)絡(luò)；審計

引言

步入21世紀(jì)，信息化浪潮席卷全球。電子商務(wù)在其推動下迅猛發(fā)展。網(wǎng)絡(luò)與社會經(jīng)濟的密切結(jié)合，逐步改變了生產(chǎn)和勞動結(jié)構(gòu)。甚至有人預(yù)言，在不久的將來，網(wǎng)絡(luò)經(jīng)濟將在整體社會經(jīng)濟中占主導(dǎo)地位。因此，討論與經(jīng)濟形態(tài)密切相關(guān)的網(wǎng)絡(luò)審計，對審計人員而言也變得更有意義了。

一、電子商務(wù)環(huán)境與網(wǎng)絡(luò)審計

電子商務(wù)E-ComTnerce是網(wǎng)絡(luò)經(jīng)濟的基礎(chǔ)，其特點是不在依靠面對面交易以及紙質(zhì)單據(jù)傳送，而借助于電子網(wǎng)絡(luò)技術(shù)和現(xiàn)代通訊來全面實現(xiàn)自動化交易和結(jié)算。電子商務(wù)的出現(xiàn)，改變了企業(yè)現(xiàn)有的商務(wù)操作模式和管理方法：而企業(yè)通過建立公司局域網(wǎng)(INIRANIYT)，通過外聯(lián)網(wǎng)(EXTRANET)或互聯(lián)網(wǎng)(Intemet)，將自己與關(guān)聯(lián)企業(yè)、上游供應(yīng)商、客戶聯(lián)系起來，形成更廣泛的信息系統(tǒng)。它允許企業(yè)利用更廣泛的外部和市場資源，把產(chǎn)、供、銷符環(huán)節(jié)集成在這個大的電子商務(wù)圈中。隨著電子商務(wù)的興起，傳統(tǒng)的審計模式越來越無法適應(yīng)：審計環(huán)境、審計內(nèi)容、審計方式等方面也隨之產(chǎn)生一系列的重大變化，從而也促成了網(wǎng)絡(luò)審計的誕生。本文探討的正是以電子商務(wù)為審計對象，以網(wǎng)絡(luò)為媒介和被審計單位信息載體與傳播方式的網(wǎng)絡(luò)審計。

二、網(wǎng)絡(luò)審計較傳統(tǒng)審計的創(chuàng)新

(一)審計環(huán)境的創(chuàng)新

1改變了企業(yè)的交易方式

傳統(tǒng)的商務(wù)活動中，有紙質(zhì)的原始憑證記錄交易。會計人員遵循原始憑證——記賬憑證——明細(xì)賬和總賬——會計報表的手工方式進行操作。企業(yè)的一切經(jīng)濟活動都有經(jīng)手人簽名，整套賬以紙介質(zhì)有序保存，方便查閱，也不易刪改。電子商務(wù)大大改變了企業(yè)的交易模式。企業(yè)在線發(fā)布供貨信息與廣告招攬顧客，顧客在線訂購，欠款隨時轉(zhuǎn)結(jié)；憑證、賬簿也可由計算機系統(tǒng)自動生成。這樣，交易的紙記錄消失了，取而代之的是以電子數(shù)據(jù)的形式記載和傳遞的虛擬憑證、賬簿以及報表。

2改變了企業(yè)的運作方式

電子商務(wù)不僅改變了企業(yè)傳統(tǒng)的交易模式，而且使企業(yè)內(nèi)部的運作方式發(fā)生了質(zhì)的變化。隨著網(wǎng)絡(luò)財務(wù)和電子商務(wù)的廣泛應(yīng)用，業(yè)務(wù)數(shù)據(jù)和財務(wù)數(shù)據(jù)都將在計算機系統(tǒng)中集成，使審計工作的大量原始業(yè)務(wù)數(shù)據(jù)和各種證據(jù)都可以從被審計單位機器相關(guān)業(yè)務(wù)單位的計算機系統(tǒng)中直接獲取，這不僅為真正有效實用的計算機審計創(chuàng)造了條件，同時為全面高效的網(wǎng)絡(luò)審計提供了廣闊的發(fā)展空間。

3改變了審計的法律環(huán)境

我國目前基本形成了以《中華人民共和國會計法》為中心，國家統(tǒng)一的會計規(guī)章制度為輔助的企業(yè)審計法規(guī)體系，各行各業(yè)的會計處理都有相應(yīng)的準(zhǔn)則為指導(dǎo)。可以說，傳統(tǒng)審計面對的是相對有序的外部環(huán)境。而網(wǎng)絡(luò)時代，傳統(tǒng)企業(yè)紛紛開展電子商務(wù)，參與競爭，甚至出現(xiàn)無辦公場地、無企業(yè)實體、無產(chǎn)品實體的“三無”虛擬企業(yè)。新的《會計法》增加了關(guān)于網(wǎng)絡(luò)財會的內(nèi)容。不過，與之對應(yīng)的“網(wǎng)絡(luò)審計”在準(zhǔn)則和立法方面還存在滯后性。

(二)審計內(nèi)容的創(chuàng)新

除外部交易的原始憑證無紙化外，企業(yè)內(nèi)部業(yè)務(wù)的審計線索也發(fā)生了質(zhì)的變化。由于內(nèi)部原始單據(jù)變?yōu)殡姶呕畔ⅲ嬎銠C信息系統(tǒng)根據(jù)確認(rèn)的經(jīng)濟業(yè)務(wù)自動編制記賬憑證、登記賬簿、編制報表，實行財會核算自動化，會計的確認(rèn)、記錄和報告都由計算機按程序指令執(zhí)行，各項處理沒有直接責(zé)任人。而電磁化的會計信息，既可能被不留痕跡地刪改，也可能完全無記錄或被夸大地記錄下來。如果被審計單位的系統(tǒng)存在設(shè)計缺陷，審計線索可能無法被追索到。即使系統(tǒng)留有充分的審計線索，其產(chǎn)生與存儲方式、特地與風(fēng)險都與傳統(tǒng)的審計線索有重大區(qū)別，從而大大增加審計風(fēng)險性。

(三)審計手段的創(chuàng)新

網(wǎng)絡(luò)審計改變了會計信息的利用加工方式，作為審計人員，面對網(wǎng)絡(luò)交易，其審計手段也隨之做出相應(yīng)變動。

1審計人員在獲取審計信息時，對內(nèi)，在取得權(quán)限后可以進入被審計單位的內(nèi)部網(wǎng)，直接查看內(nèi)部會計信息。在獲取進一步的權(quán)限后，還可以直接復(fù)制、傳送重要信息。對外，審計人員可以訪問與客戶有往來的供貨商、購貨商，提供相關(guān)服務(wù)的銀行、稅務(wù)所、工商局等部門的網(wǎng)站，收集相關(guān)的經(jīng)濟信息和金融、財稅、法律政策。

2審計人員可以利用獨立審計軟件或企業(yè)內(nèi)部系統(tǒng)會計平臺的強大功能，檢查、核對憑證。

3計算功能：輸入正確的公式，根據(jù)政策變動的情況下及時調(diào)整公式。

4分析性復(fù)合的數(shù)據(jù)也可在計算機中顯示其趨勢走向，還可以自動計算相關(guān)數(shù)據(jù)以助于分析。

三、網(wǎng)絡(luò)審計存在的問題之對策

目前的網(wǎng)絡(luò)審計環(huán)境還不完善：政府、企業(yè)未全面上網(wǎng)，更無健全的法律法規(guī)來保障電子商務(wù)的正常進行。就審計人員而言，網(wǎng)絡(luò)審計需要的是對會計、審計、計算機技術(shù)特別是網(wǎng)絡(luò)安全技術(shù)運用嫻熟的專業(yè)人士，要求既要博學(xué)又要專業(yè)。此外，由于電子商務(wù)催谷了在線支付交易方式以及數(shù)字貨幣的誕生。如何對它們進行審計，對審計工作者而言，也是一項具有挑戰(zhàn)的課題。

(一)相關(guān)對策

1全面提高審計人員素質(zhì)

實現(xiàn)電子商務(wù)后，由于審計信息的收集、審計手段與信息輸出方式等的進步，對審計人員的要求也大大提高了。不懂得計算機技術(shù)的審計人員，會因為會計信息的改變而無法跟蹤追查，會因為不懂得電子商務(wù)的特點和風(fēng)險而不能審查和評價其內(nèi)部控制，會因為不會使用習(xí)慣軟件而無法開展工作。因此，審計人員不僅要豐富自己的專業(yè)知識，更要掌握一定的科學(xué)技術(shù)，能滿足電子商務(wù)環(huán)境下審計工作的基本需要。

2制定修改審計標(biāo)準(zhǔn)和準(zhǔn)則

建立新的審計標(biāo)準(zhǔn)和準(zhǔn)則指導(dǎo)工作時間。例如，對電子商務(wù)環(huán)境下審計人員的一般要求以及電子商務(wù)系統(tǒng)的內(nèi)部控制準(zhǔn)則等，使審計人員做到有法可依。

3對網(wǎng)絡(luò)審計工作實行專項立法

電子證據(jù)的無形性和易篡改性造成了審計證據(jù)確定的困難；電子簽名因不同于手書簽名幾導(dǎo)致法律上的難以認(rèn)定；電子合同的瞬間完成使合同簽訂和生效時間的確認(rèn)存在爭議，等等。這些都在一定程度上使審計工作尤其是合法性審計工作處于無法可依的局面。而補充性的法律條例并不一定能很好地說明問題。因此，最理想的情況是對網(wǎng)絡(luò)審計實行專項立法。如，對企業(yè)使用自行設(shè)計的軟件的立法約束。除了指定軟件設(shè)計條例外，在軟件設(shè)計好后，相關(guān)部門還需選取各種類型的數(shù)據(jù)，特別是極端數(shù)據(jù)如銷售為零甚至負(fù)銷售額來測試軟件的邏輯正確性。確保其系統(tǒng)的穩(wěn)定可靠。對于有網(wǎng)絡(luò)訂購業(yè)務(wù)的企業(yè)還必須對其訂單號的連續(xù)性作出規(guī)定等。若測試員或?qū)徲嬋藛T發(fā)現(xiàn)連續(xù)兩次訂單號第一次是200871，第二次忽然變?yōu)?98865，則可以斷定該企業(yè)的電子商務(wù)系統(tǒng)存在缺陷及隱匿銷售的風(fēng)險。針對以上種種，以有專項立法

予以嚴(yán)格監(jiān)管為上。

4網(wǎng)絡(luò)審計的核心問題。操作系統(tǒng)的缺陷、專業(yè)應(yīng)用軟件的漏洞以及網(wǎng)絡(luò)安全本身的問題，都將會給審計工作者帶來前所未有的考驗。可以說，網(wǎng)絡(luò)審計的核心問題是如何同時確保審計的效率和安全性。下面將予以單獨討論。

四、網(wǎng)絡(luò)審計的核心問題：如何構(gòu)建安全的網(wǎng)絡(luò)審計

安全的網(wǎng)絡(luò)審計有賴于安全機制的建立與技術(shù)手段的輔助。網(wǎng)絡(luò)審計的安全機制，主要包括介入管理、安全監(jiān)視和安全恢復(fù)等三方面接入管理主要處理好身份鑒別和接入控制，以控制信息的利用。安全監(jiān)視包括安全報警設(shè)置、報警報告以及檢查跟蹤。安全恢復(fù)是指有專人或?qū)ｍ椫贫缺O(jiān)控網(wǎng)絡(luò)流量，留意異常情況，并及時備份數(shù)據(jù)以助系統(tǒng)恢復(fù)到安全狀態(tài)。對于網(wǎng)絡(luò)安全技術(shù)而言，主要可以運用專網(wǎng)、訪問控制、數(shù)據(jù)認(rèn)證、加密等。當(dāng)網(wǎng)絡(luò)審計發(fā)展到一定階段，可以嘗試建立一個像軍用網(wǎng)、教育網(wǎng)那樣獨立于INTERNET之外，但又與之有接口相連的審計專用網(wǎng)絡(luò)。而在當(dāng)今基本依托于互聯(lián)網(wǎng)的實務(wù)操作中，審計人員必須提高警覺，防范以下各種可能的風(fēng)險。

1專業(yè)應(yīng)用軟件風(fēng)險

專業(yè)應(yīng)用軟件包括電子商務(wù)平臺和財會、審計軟件等。按來源可分兩類，一是獨立軟件，即由企業(yè)以外的獨立公司開發(fā)的，如用友。二是由被審計單位提出申請，在審計人員監(jiān)督下自行研制或向軟件公司定制的。獨立審計軟件公開發(fā)售，其漏洞和不完善之處也是面向公眾的。比如，筆者根據(jù)對教學(xué)版金蝶軟件的實際操作發(fā)現(xiàn)，一旦取得計算機管理員和會計系統(tǒng)管理員雙重權(quán)限。理論上是可以抹殺或篡改部分審計痕跡的。這類漏洞若被別有用心之人利用，將會給審計工作帶來極大風(fēng)險。而企業(yè)獨立設(shè)計或定制軟件，審計人員很可能從未接觸過。既然不熟悉其運用方式，對其違規(guī)舞弊的防范更是無可談起了。所以，在實際工作中，除了要求企業(yè)嚴(yán)格限制管理員權(quán)限，定期備份數(shù)據(jù)外，審計人員須多接觸財會軟件和電子商務(wù)系統(tǒng)，增強自身的專業(yè)基本功。

2電子商務(wù)系統(tǒng)風(fēng)險

首先，在系統(tǒng)的設(shè)計開發(fā)階段，審計人員應(yīng)該注意檢查以下問題：

1)系統(tǒng)可行性；

2)經(jīng)營業(yè)務(wù)和財會處理功能的合法性和正確性；

3)系統(tǒng)是否建立了恰當(dāng)?shù)某绦蚩刂疲乐篃o意的差錯或有意的舞弊；

4)系統(tǒng)的可審計性，是否留下了充分的審計軌跡；

5)系統(tǒng)測試的全面性和恰當(dāng)性；

6)系統(tǒng)文檔資料的完整性。

其次，在電子商務(wù)系統(tǒng)運行后，審計內(nèi)容必須增加對其處理和控制功能的審查，以證實其對交易事項的處理是否真實、合法及安全可靠。比如對于有在線交易的企業(yè)。審計人員可以連續(xù)發(fā)起兩次交易看其訂單號是否連續(xù)等。

3操作系統(tǒng)風(fēng)險

當(dāng)今流行的各電子商務(wù)公司的操作平臺，不論是WINDOWS系列還是Mac：等，其存在安全漏洞、后門等不完善處屢見不鮮。這些漏洞一旦不及時彌補，很可能造成系統(tǒng)的崩潰或內(nèi)部資料的泄露。審計人員工作時，可以核對企業(yè)是否有定期維護其操作系統(tǒng)，及時下載補丁更新。

4企業(yè)內(nèi)部控制風(fēng)險

如被審計企業(yè)職責(zé)分離不當(dāng)，易引起內(nèi)控失靈。對此，審計人員要格外注意：被審計單位有無將數(shù)據(jù)維護、系統(tǒng)管理、輸入、核對等崗位分離，是否明確了各人的操作范圍，以利相互監(jiān)督。

5外部風(fēng)險：計算機及網(wǎng)絡(luò)安全問題

計算機病毒容易造成系統(tǒng)的崩潰和信息的缺失，而黑客的入侵則會帶來被審計資料的外泄甚至篡改。黑客常見的入侵手段包括IP欺騙、利用系統(tǒng)和軟件的后門或漏洞、木馬侵入等。對此，要在第一時間下載系統(tǒng)和軟件的補丁，將已知的漏洞和后門統(tǒng)統(tǒng)堵上。其次，設(shè)置軟件、硬件防火墻，用于過濾非法地址和阻擋頻繁的探測攻擊，還可使用網(wǎng)絡(luò)加密技術(shù)，確保機密數(shù)據(jù)的安全。再次，審計人員要注意遵守網(wǎng)絡(luò)道德和公司章程，不將運行會計和審計系統(tǒng)的電腦用于不相關(guān)網(wǎng)站的訪問，不下載不明文件，也不使用任何未經(jīng)確認(rèn)的外接設(shè)備，如USB閃存，定期更新殺毒軟件等。