試論當(dāng)今電子商務(wù)環(huán)境下的網(wǎng)絡(luò)審計(jì)

葉　蓓

摘要：本文以電子商務(wù)環(huán)境下的網(wǎng)絡(luò)審計(jì)為論著對(duì)象，論述了電子商務(wù)與網(wǎng)絡(luò)審計(jì)的關(guān)系及其影響，產(chǎn)生了網(wǎng)絡(luò)審計(jì)較傳統(tǒng)審計(jì)的創(chuàng)新和發(fā)展前景；著重探討了網(wǎng)絡(luò)審計(jì)的核心問題；同時(shí)也實(shí)事求是地指出其存在的問題并嘗試探討解決方式。

關(guān)鍵詞：電子商務(wù)；安全技術(shù)；網(wǎng)絡(luò)；審計(jì)

引言

步入21世紀(jì)，信息化浪潮席卷全球。電子商務(wù)在其推動(dòng)下迅猛發(fā)展。網(wǎng)絡(luò)與社會(huì)經(jīng)濟(jì)的密切結(jié)合，逐步改變了生產(chǎn)和勞動(dòng)結(jié)構(gòu)。甚至有人預(yù)言，在不久的將來，網(wǎng)絡(luò)經(jīng)濟(jì)將在整體社會(huì)經(jīng)濟(jì)中占主導(dǎo)地位。因此，討論與經(jīng)濟(jì)形態(tài)密切相關(guān)的網(wǎng)絡(luò)審計(jì)，對(duì)審計(jì)人員而言也變得更有意義了。

一、電子商務(wù)環(huán)境與網(wǎng)絡(luò)審計(jì)

電子商務(wù)E-ComTnerce是網(wǎng)絡(luò)經(jīng)濟(jì)的基礎(chǔ)，其特點(diǎn)是不在依靠面對(duì)面交易以及紙質(zhì)單據(jù)傳送，而借助于電子網(wǎng)絡(luò)技術(shù)和現(xiàn)代通訊來全面實(shí)現(xiàn)自動(dòng)化交易和結(jié)算。電子商務(wù)的出現(xiàn)，改變了企業(yè)現(xiàn)有的商務(wù)操作模式和管理方法：而企業(yè)通過建立公司局域網(wǎng)(INIRANIYT)，通過外聯(lián)網(wǎng)(EXTRANET)或互聯(lián)網(wǎng)(Intemet)，將自己與關(guān)聯(lián)企業(yè)、上游供應(yīng)商、客戶聯(lián)系起來，形成更廣泛的信息系統(tǒng)。它允許企業(yè)利用更廣泛的外部和市場(chǎng)資源，把產(chǎn)、供、銷符環(huán)節(jié)集成在這個(gè)大的電子商務(wù)圈中。隨著電子商務(wù)的興起，傳統(tǒng)的審計(jì)模式越來越無法適應(yīng)：審計(jì)環(huán)境、審計(jì)內(nèi)容、審計(jì)方式等方面也隨之產(chǎn)生一系列的重大變化，從而也促成了網(wǎng)絡(luò)審計(jì)的誕生。本文探討的正是以電子商務(wù)為審計(jì)對(duì)象，以網(wǎng)絡(luò)為媒介和被審計(jì)單位信息載體與傳播方式的網(wǎng)絡(luò)審計(jì)。

二、網(wǎng)絡(luò)審計(jì)較傳統(tǒng)審計(jì)的創(chuàng)新

(一)審計(jì)環(huán)境的創(chuàng)新

1改變了企業(yè)的交易方式

傳統(tǒng)的商務(wù)活動(dòng)中，有紙質(zhì)的原始憑證記錄交易。會(huì)計(jì)人員遵循原始憑證——記賬憑證——明細(xì)賬和總賬——會(huì)計(jì)報(bào)表的手工方式進(jìn)行操作。企業(yè)的一切經(jīng)濟(jì)活動(dòng)都有經(jīng)手人簽名，整套賬以紙介質(zhì)有序保存，方便查閱，也不易刪改。電子商務(wù)大大改變了企業(yè)的交易模式。企業(yè)在線發(fā)布供貨信息與廣告招攬顧客，顧客在線訂購，欠款隨時(shí)轉(zhuǎn)結(jié)；憑證、賬簿也可由計(jì)算機(jī)系統(tǒng)自動(dòng)生成。這樣，交易的紙記錄消失了，取而代之的是以電子數(shù)據(jù)的形式記載和傳遞的虛擬憑證、賬簿以及報(bào)表。

2改變了企業(yè)的運(yùn)作方式

電子商務(wù)不僅改變了企業(yè)傳統(tǒng)的交易模式，而且使企業(yè)內(nèi)部的運(yùn)作方式發(fā)生了質(zhì)的變化。隨著網(wǎng)絡(luò)財(cái)務(wù)和電子商務(wù)的廣泛應(yīng)用，業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)都將在計(jì)算機(jī)系統(tǒng)中集成，使審計(jì)工作的大量原始業(yè)務(wù)數(shù)據(jù)和各種證據(jù)都可以從被審計(jì)單位機(jī)器相關(guān)業(yè)務(wù)單位的計(jì)算機(jī)系統(tǒng)中直接獲取，這不僅為真正有效實(shí)用的計(jì)算機(jī)審計(jì)創(chuàng)造了條件，同時(shí)為全面高效的網(wǎng)絡(luò)審計(jì)提供了廣闊的發(fā)展空間。

3改變了審計(jì)的法律環(huán)境

我國(guó)目前基本形成了以《中華人民共和國(guó)會(huì)計(jì)法》為中心，國(guó)家統(tǒng)一的會(huì)計(jì)規(guī)章制度為輔助的企業(yè)審計(jì)法規(guī)體系，各行各業(yè)的會(huì)計(jì)處理都有相應(yīng)的準(zhǔn)則為指導(dǎo)。可以說，傳統(tǒng)審計(jì)面對(duì)的是相對(duì)有序的外部環(huán)境。而網(wǎng)絡(luò)時(shí)代，傳統(tǒng)企業(yè)紛紛開展電子商務(wù)，參與競(jìng)爭(zhēng)，甚至出現(xiàn)無辦公場(chǎng)地、無企業(yè)實(shí)體、無產(chǎn)品實(shí)體的“三無”虛擬企業(yè)。新的《會(huì)計(jì)法》增加了關(guān)于網(wǎng)絡(luò)財(cái)會(huì)的內(nèi)容。不過，與之對(duì)應(yīng)的“網(wǎng)絡(luò)審計(jì)”在準(zhǔn)則和立法方面還存在滯后性。

(二)審計(jì)內(nèi)容的創(chuàng)新

除外部交易的原始憑證無紙化外，企業(yè)內(nèi)部業(yè)務(wù)的審計(jì)線索也發(fā)生了質(zhì)的變化。由于內(nèi)部原始單據(jù)變?yōu)殡姶呕畔ⅲ?jì)算機(jī)信息系統(tǒng)根據(jù)確認(rèn)的經(jīng)濟(jì)業(yè)務(wù)自動(dòng)編制記賬憑證、登記賬簿、編制報(bào)表，實(shí)行財(cái)會(huì)核算自動(dòng)化，會(huì)計(jì)的確認(rèn)、記錄和報(bào)告都由計(jì)算機(jī)按程序指令執(zhí)行，各項(xiàng)處理沒有直接責(zé)任人。而電磁化的會(huì)計(jì)信息，既可能被不留痕跡地刪改，也可能完全無記錄或被夸大地記錄下來。如果被審計(jì)單位的系統(tǒng)存在設(shè)計(jì)缺陷，審計(jì)線索可能無法被追索到。即使系統(tǒng)留有充分的審計(jì)線索，其產(chǎn)生與存儲(chǔ)方式、特地與風(fēng)險(xiǎn)都與傳統(tǒng)的審計(jì)線索有重大區(qū)別，從而大大增加審計(jì)風(fēng)險(xiǎn)性。

(三)審計(jì)手段的創(chuàng)新

網(wǎng)絡(luò)審計(jì)改變了會(huì)計(jì)信息的利用加工方式，作為審計(jì)人員，面對(duì)網(wǎng)絡(luò)交易，其審計(jì)手段也隨之做出相應(yīng)變動(dòng)。

1審計(jì)人員在獲取審計(jì)信息時(shí)，對(duì)內(nèi)，在取得權(quán)限后可以進(jìn)入被審計(jì)單位的內(nèi)部網(wǎng)，直接查看內(nèi)部會(huì)計(jì)信息。在獲取進(jìn)一步的權(quán)限后，還可以直接復(fù)制、傳送重要信息。對(duì)外，審計(jì)人員可以訪問與客戶有往來的供貨商、購貨商，提供相關(guān)服務(wù)的銀行、稅務(wù)所、工商局等部門的網(wǎng)站，收集相關(guān)的經(jīng)濟(jì)信息和金融、財(cái)稅、法律政策。

2審計(jì)人員可以利用獨(dú)立審計(jì)軟件或企業(yè)內(nèi)部系統(tǒng)會(huì)計(jì)平臺(tái)的強(qiáng)大功能，檢查、核對(duì)憑證。

3計(jì)算功能：輸入正確的公式，根據(jù)政策變動(dòng)的情況下及時(shí)調(diào)整公式。

4分析性復(fù)合的數(shù)據(jù)也可在計(jì)算機(jī)中顯示其趨勢(shì)走向，還可以自動(dòng)計(jì)算相關(guān)數(shù)據(jù)以助于分析。

三、網(wǎng)絡(luò)審計(jì)存在的問題之對(duì)策

目前的網(wǎng)絡(luò)審計(jì)環(huán)境還不完善：政府、企業(yè)未全面上網(wǎng)，更無健全的法律法規(guī)來保障電子商務(wù)的正常進(jìn)行。就審計(jì)人員而言，網(wǎng)絡(luò)審計(jì)需要的是對(duì)會(huì)計(jì)、審計(jì)、計(jì)算機(jī)技術(shù)特別是網(wǎng)絡(luò)安全技術(shù)運(yùn)用嫻熟的專業(yè)人士，要求既要博學(xué)又要專業(yè)。此外，由于電子商務(wù)催谷了在線支付交易方式以及數(shù)字貨幣的誕生。如何對(duì)它們進(jìn)行審計(jì)，對(duì)審計(jì)工作者而言，也是一項(xiàng)具有挑戰(zhàn)的課題。

(一)相關(guān)對(duì)策

1全面提高審計(jì)人員素質(zhì)

實(shí)現(xiàn)電子商務(wù)后，由于審計(jì)信息的收集、審計(jì)手段與信息輸出方式等的進(jìn)步，對(duì)審計(jì)人員的要求也大大提高了。不懂得計(jì)算機(jī)技術(shù)的審計(jì)人員，會(huì)因?yàn)闀?huì)計(jì)信息的改變而無法跟蹤追查，會(huì)因?yàn)椴欢秒娮由虅?wù)的特點(diǎn)和風(fēng)險(xiǎn)而不能審查和評(píng)價(jià)其內(nèi)部控制，會(huì)因?yàn)椴粫?huì)使用習(xí)慣軟件而無法開展工作。因此，審計(jì)人員不僅要豐富自己的專業(yè)知識(shí)，更要掌握一定的科學(xué)技術(shù)，能滿足電子商務(wù)環(huán)境下審計(jì)工作的基本需要。

2制定修改審計(jì)標(biāo)準(zhǔn)和準(zhǔn)則

建立新的審計(jì)標(biāo)準(zhǔn)和準(zhǔn)則指導(dǎo)工作時(shí)間。例如，對(duì)電子商務(wù)環(huán)境下審計(jì)人員的一般要求以及電子商務(wù)系統(tǒng)的內(nèi)部控制準(zhǔn)則等，使審計(jì)人員做到有法可依。

3對(duì)網(wǎng)絡(luò)審計(jì)工作實(shí)行專項(xiàng)立法

電子證據(jù)的無形性和易篡改性造成了審計(jì)證據(jù)確定的困難；電子簽名因不同于手書簽名幾導(dǎo)致法律上的難以認(rèn)定；電子合同的瞬間完成使合同簽訂和生效時(shí)間的確認(rèn)存在爭(zhēng)議，等等。這些都在一定程度上使審計(jì)工作尤其是合法性審計(jì)工作處于無法可依的局面。而補(bǔ)充性的法律條例并不一定能很好地說明問題。因此，最理想的情況是對(duì)網(wǎng)絡(luò)審計(jì)實(shí)行專項(xiàng)立法。如，對(duì)企業(yè)使用自行設(shè)計(jì)的軟件的立法約束。除了指定軟件設(shè)計(jì)條例外，在軟件設(shè)計(jì)好后，相關(guān)部門還需選取各種類型的數(shù)據(jù)，特別是極端數(shù)據(jù)如銷售為零甚至負(fù)銷售額來測(cè)試軟件的邏輯正確性。確保其系統(tǒng)的穩(wěn)定可靠。對(duì)于有網(wǎng)絡(luò)訂購業(yè)務(wù)的企業(yè)還必須對(duì)其訂單號(hào)的連續(xù)性作出規(guī)定等。若測(cè)試員或?qū)徲?jì)人員發(fā)現(xiàn)連續(xù)兩次訂單號(hào)第一次是200871，第二次忽然變?yōu)?98865，則可以斷定該企業(yè)的電子商務(wù)系統(tǒng)存在缺陷及隱匿銷售的風(fēng)險(xiǎn)。針對(duì)以上種種，以有專項(xiàng)立法

予以嚴(yán)格監(jiān)管為上。

4網(wǎng)絡(luò)審計(jì)的核心問題。操作系統(tǒng)的缺陷、專業(yè)應(yīng)用軟件的漏洞以及網(wǎng)絡(luò)安全本身的問題，都將會(huì)給審計(jì)工作者帶來前所未有的考驗(yàn)。可以說，網(wǎng)絡(luò)審計(jì)的核心問題是如何同時(shí)確保審計(jì)的效率和安全性。下面將予以單獨(dú)討論。

四、網(wǎng)絡(luò)審計(jì)的核心問題：如何構(gòu)建安全的網(wǎng)絡(luò)審計(jì)

安全的網(wǎng)絡(luò)審計(jì)有賴于安全機(jī)制的建立與技術(shù)手段的輔助。網(wǎng)絡(luò)審計(jì)的安全機(jī)制，主要包括介入管理、安全監(jiān)視和安全恢復(fù)等三方面接入管理主要處理好身份鑒別和接入控制，以控制信息的利用。安全監(jiān)視包括安全報(bào)警設(shè)置、報(bào)警報(bào)告以及檢查跟蹤。安全恢復(fù)是指有專人或?qū)ｍ?xiàng)制度監(jiān)控網(wǎng)絡(luò)流量，留意異常情況，并及時(shí)備份數(shù)據(jù)以助系統(tǒng)恢復(fù)到安全狀態(tài)。對(duì)于網(wǎng)絡(luò)安全技術(shù)而言，主要可以運(yùn)用專網(wǎng)、訪問控制、數(shù)據(jù)認(rèn)證、加密等。當(dāng)網(wǎng)絡(luò)審計(jì)發(fā)展到一定階段，可以嘗試建立一個(gè)像軍用網(wǎng)、教育網(wǎng)那樣獨(dú)立于INTERNET之外，但又與之有接口相連的審計(jì)專用網(wǎng)絡(luò)。而在當(dāng)今基本依托于互聯(lián)網(wǎng)的實(shí)務(wù)操作中，審計(jì)人員必須提高警覺，防范以下各種可能的風(fēng)險(xiǎn)。

1專業(yè)應(yīng)用軟件風(fēng)險(xiǎn)

專業(yè)應(yīng)用軟件包括電子商務(wù)平臺(tái)和財(cái)會(huì)、審計(jì)軟件等。按來源可分兩類，一是獨(dú)立軟件，即由企業(yè)以外的獨(dú)立公司開發(fā)的，如用友。二是由被審計(jì)單位提出申請(qǐng)，在審計(jì)人員監(jiān)督下自行研制或向軟件公司定制的。獨(dú)立審計(jì)軟件公開發(fā)售，其漏洞和不完善之處也是面向公眾的。比如，筆者根據(jù)對(duì)教學(xué)版金蝶軟件的實(shí)際操作發(fā)現(xiàn)，一旦取得計(jì)算機(jī)管理員和會(huì)計(jì)系統(tǒng)管理員雙重權(quán)限。理論上是可以抹殺或篡改部分審計(jì)痕跡的。這類漏洞若被別有用心之人利用，將會(huì)給審計(jì)工作帶來極大風(fēng)險(xiǎn)。而企業(yè)獨(dú)立設(shè)計(jì)或定制軟件，審計(jì)人員很可能從未接觸過。既然不熟悉其運(yùn)用方式，對(duì)其違規(guī)舞弊的防范更是無可談起了。所以，在實(shí)際工作中，除了要求企業(yè)嚴(yán)格限制管理員權(quán)限，定期備份數(shù)據(jù)外，審計(jì)人員須多接觸財(cái)會(huì)軟件和電子商務(wù)系統(tǒng)，增強(qiáng)自身的專業(yè)基本功。

2電子商務(wù)系統(tǒng)風(fēng)險(xiǎn)

首先，在系統(tǒng)的設(shè)計(jì)開發(fā)階段，審計(jì)人員應(yīng)該注意檢查以下問題：

1)系統(tǒng)可行性；

2)經(jīng)營(yíng)業(yè)務(wù)和財(cái)會(huì)處理功能的合法性和正確性；

3)系統(tǒng)是否建立了恰當(dāng)?shù)某绦蚩刂疲乐篃o意的差錯(cuò)或有意的舞弊；

4)系統(tǒng)的可審計(jì)性，是否留下了充分的審計(jì)軌跡；

5)系統(tǒng)測(cè)試的全面性和恰當(dāng)性；

6)系統(tǒng)文檔資料的完整性。

其次，在電子商務(wù)系統(tǒng)運(yùn)行后，審計(jì)內(nèi)容必須增加對(duì)其處理和控制功能的審查，以證實(shí)其對(duì)交易事項(xiàng)的處理是否真實(shí)、合法及安全可靠。比如對(duì)于有在線交易的企業(yè)。審計(jì)人員可以連續(xù)發(fā)起兩次交易看其訂單號(hào)是否連續(xù)等。

3操作系統(tǒng)風(fēng)險(xiǎn)

當(dāng)今流行的各電子商務(wù)公司的操作平臺(tái)，不論是WINDOWS系列還是Mac：等，其存在安全漏洞、后門等不完善處屢見不鮮。這些漏洞一旦不及時(shí)彌補(bǔ)，很可能造成系統(tǒng)的崩潰或內(nèi)部資料的泄露。審計(jì)人員工作時(shí)，可以核對(duì)企業(yè)是否有定期維護(hù)其操作系統(tǒng)，及時(shí)下載補(bǔ)丁更新。

4企業(yè)內(nèi)部控制風(fēng)險(xiǎn)

如被審計(jì)企業(yè)職責(zé)分離不當(dāng)，易引起內(nèi)控失靈。對(duì)此，審計(jì)人員要格外注意：被審計(jì)單位有無將數(shù)據(jù)維護(hù)、系統(tǒng)管理、輸入、核對(duì)等崗位分離，是否明確了各人的操作范圍，以利相互監(jiān)督。

5外部風(fēng)險(xiǎn)：計(jì)算機(jī)及網(wǎng)絡(luò)安全問題

計(jì)算機(jī)病毒容易造成系統(tǒng)的崩潰和信息的缺失，而黑客的入侵則會(huì)帶來被審計(jì)資料的外泄甚至篡改。黑客常見的入侵手段包括IP欺騙、利用系統(tǒng)和軟件的后門或漏洞、木馬侵入等。對(duì)此，要在第一時(shí)間下載系統(tǒng)和軟件的補(bǔ)丁，將已知的漏洞和后門統(tǒng)統(tǒng)堵上。其次，設(shè)置軟件、硬件防火墻，用于過濾非法地址和阻擋頻繁的探測(cè)攻擊，還可使用網(wǎng)絡(luò)加密技術(shù)，確保機(jī)密數(shù)據(jù)的安全。再次，審計(jì)人員要注意遵守網(wǎng)絡(luò)道德和公司章程，不將運(yùn)行會(huì)計(jì)和審計(jì)系統(tǒng)的電腦用于不相關(guān)網(wǎng)站的訪問，不下載不明文件，也不使用任何未經(jīng)確認(rèn)的外接設(shè)備，如USB閃存，定期更新殺毒軟件等。