拓宽电子商务下的内部审计瓶颈

电子商务作为21世纪主要的经营和贸易方式，正在给传统的商业运作模式带来巨大的变革；企业应用电子商务不仅打破了传统贸易形式的时间和空间的限制，使企业在更大范围乃至全球范围内实现物流、信息流的协调统一；而且，电子商务环境下的内部审计作为传统内部审计与电子商务相结合的产物，将会以更高的效率和质量为处于信息化和竞争异常激烈时代的企业服务。

一、电子商务环境下内部审计的制约瓶颈

电子商务不仅在技术上影响着企业价值链的每一个环节，而且重新整合、改造了管理模式和企业生存环境，对企业的内部审计产生了深远的影响。目前制约电子商务环境下的内部审计的瓶颈主要包括：

1、相关配套法律不健全的制约。首先，相关会计法规不完善。传统的商务活动从签约、履行合同到款项结算，一般以书面形式出现并由经办人签名确认，会计核算制度、结算制度、审计制度等均离不开这些原始资料。电子商务造就了自动化、无纸化、数字化的环境，数字签字代替了纸面签字，这必然对传统的适应于纸面交易的会计法规带来影响。其次，有关电子商务的立法跟不上电子商务发展的步伐。我国电子商务发展的历程尚短，在立法方面存在着许多不足，如网络知识产权保护、个人私隐权保护、版权著作权保护、身份认证与安全、信息泄密等方面都亟待法律规范。再次，内部审计标准和形式尚不完善。由于内部审计环境发生了重大变化，内部审计的审计线索、审计方法和审计技术手段也发生了变化，这导致内部审计准则的某些内容已不适应现实情况，而一些新增的审计内容在内部审计准则中又得不到相应条款的规范，如电子商务环境下的内部控制审计准则、内部审计软件功能开发标准和系统开发内部审计准则等等。

2、内审人员知识结构单一，不适应电子商务内审工作的要求。电子商务环境下，内部审计工作需要既懂电子商务知识，又精通内部审计理论和实践的复合型人才。但目前我国内部审计人员知识结构单一，除了财会审计知识和经验外，计算机、电子商务、网络以及系统控制等方面的知识十分欠缺。另外，知识老化、理论与实践脱节现象也十分严重，使得内部审计工作效率低、费用大。

3、审计风险复杂化的制约。审计风险由固有风险、控制风险和检查风险组成。在电子商务环境下，以数据库为基础的实时内部审计，使得审计风险日益复杂化。首先是固有风险复杂化。在手工系统中，会计信息记录在纸质介质上，从凭证到账簿再到报表，每一步都有文字记录，都有经手人签字。这样，不仅会计信息易于辨认追溯，而且还留下了清晰的审计线索。而在电子商务环境下，原始凭证从搜集、输入、加工到报表自动生成这一过程，几乎无须人工干涉。这不仅会因为计算机系统大都不能做合理、合法和数据真实性的分析，造成原始数据的搜集与输入存在错漏的可能性，而且会由于所产生的电子数据储存在以磁盘、光盘为主的磁性存储介质上，极易被不留痕迹地破坏修改，从而使传统的审计线索不复存在。

同时，由于机器故障、操作失误、程序处理和网络传输故障、计算机病毒和黑客攻击等存在的可能性，使得内部审计固有风险的变数增加。其次是控制风险复杂化。在手工系统下，通过职责及人员分工形成的内部控制体系和通过凭证账簿、报表之间的钩稽关系形成的内部控制体系相辅相成，保证了数据的真实、完整和安全。而在电子商务环境下，后者基本上失去了作用，只能依靠前者和系统设计来达到控制目的。这显然降低了内部控制的效果。另外，网络传输故障、数据存储故障、软件不完善和电子支付手段的出现与应用，也使得内部控制难以有效地防止数据出错和控制支付风险。再次，检查风险复杂化。在手工系统下，会计信息记录在纸质介质上，不仅易长期保存，而且有明显的审计线索，使内部控制的测试看得见、摸得着，而在电子商务环境下，电子化数据储存在磁性介质上，不易长期保存，且内部控制融汇于系统之中，致使内部审计人员需借助计算机及相应的内部审计软件，才能进行审计工作。

4、传统审计程序和方法不适应电子商务环境。在电子商务环境下，电子数据具有无纸化、不受空间限制、瞬时性等特征，使得审计信息的收集、审计线索的发现，都需要借助计算机来进行。而且，在对电子商务活动进行内部审计时，所有测试都必须在不改变数据库或记录的条件下进行。由于网络系统一般是联机的实时系统，这使得内部审计人员很难让其在某一特定时间停下来接受大规模的测试，如果测试工作需要改变数据记录，就意味着内部审计人员给系统带来差错。同时，由于系统实时性、交易数据处理的高速性和处理程序的复杂性，使得内部审计人员对在测试中出现差错的系统重新进行恢复更加困难。

5、内部审计的独立性可能被弱化。一般来说，内部审计的独立性受到所处环境的制约，环境变化必然会威胁到内部审计的独立性。在电子商务环境下，内部审计的独立性被弱化的表现如下：首先，由于内部审计人员的业务素质跟不上电子商务环境的要求，使得内部审计人员在进行内部审计工作时，越来越多地依赖于辅助人员，如计算机专家等，这样内部审计人员的独立性受到威胁。其次，为了确保会计信息系统的可审性，系统的开发阶段需要内部审计人员的参与。这样，在审计该系统时，容易给人造成内部审计人员自己审计自己参与开发的系统的印象，从而影响到内部审计人员的独立性。

二、拓宽电子商务环境下内部审计瓶颈的途径

1、完善相关法律法规。首先，建立一个健康的电子商务环境。我国电子商务的立法应解决电子商务中出现的各类综合问题，并通过立法规范电子商务活动，保障电子商务的安全和保密，对一些计算机犯罪、计算机泄密、窃取商业金融机密等行为给以严厉的法律制裁，为形成健康的电子商务环境扫清道路。其次，建立一套新的内部审计标准和准则，例如建立信息系统可靠性的内部审计准则和电子商务内部控制审计准则等。建立的新内部审计准则，需把内部控制尤其是组织机构和管理制度列为重点，把数据输入、处理和输出控制、计算机的操作过程及网络安全作为内部审计的重要内容，以使内部审计工作在新的环境下能够顺利进行。再次，完善相关配套法律法规。确保企业内部审计不断创新，以适应新的审计环境，为达到内部审计目标提供良好的外部环境。

2、更新内部审计人员的知识结构，积极培养复合型人才。他们除了精通财会审计知识，还应该掌握如下技能：

（1）系统设计技术、因特网和本地网、防火墙、信用认证、电子商务营运系统、密钥加密、数字签名等安全技术系列；

（2）电子商务系统可靠性、风险确认及评估、对网站提供安全的签证、富有成效而又谨慎的电子商务业务审计程序、网络内部控制分析等新的内部审计技术方法。

3、降低审计风险。要降低内审风险必须从以下三个方面着手：

（1）降低固有风险。首先，加强企业在电子商务环境下的网络安全，确保企业信息资源的完整、真实。通过配置和设置可靠的硬件设备，采用新的先进的加密算法，建立相对开放且安全级别高的专用局域网，以确保企业信息系统的安全，降低会计数据和其他信息数据被滥用、篡改和丢失的可能性。其次，开发和完善会计信息系统的设计，留下清晰的审计线索。为保证系统的可审性，在会计系统的开发阶段必须注意到审计的要求，使系统在处理时能留下可供追索的审计线索，以便内部审计人员能跟踪审计线索，顺利完成审计工作。如，完特操作日志设计，非经过授权不可擅自修改报表的函数公式等。

（2）降低控制风险。首先，完善内部控制。通过合理划分操作员的责任范围，设置权限密码，要求用户定期修改自己的密码；通过软件设计划分若干系统或功能模块设置不同责任中心（岗位），并严禁跨责任中心设置的操作权限等，加强内部控制。其次，依靠先进的网络和软硬件平台以及良好的会计信息系统软件，减少会计数据出现异常错误。再次，加强企业与银行之间的合作，建立两者之间的电子凭证和数据接口标准，保障电子支付安全。

（3）降低检查风险。面对新的审计环境，内部审计人员应努力掌握相关信息技术，提高业务素质，学会利用计算机和优良的审计软件，采用更有效审计程序和审计方法，降低检查风险，以便更好地发挥内部审计的作用，为企业服务。

4、改进和创新审计程序和方法。首先，改进审计信息的收集方法。在电子商务环境下，企业在设计信息系统时，应预留下内部审计人员进行审计信息收集的接口，这样，内部审计人员可以通过专业审计软件或审计模块，从企业的信息系统中获取审计任务所要求的企业经营业务数据。其次，改进和创新审计程序和方法。主要包括：

（1）应用系统克隆技术；

（2）采用嵌入式审计模块；

（3）应用并行模拟审计技术；

（4）扩展记录；

（5）跟踪技术；

（6）利用适时的分析性复核程序，提高内部审计工作质量。

5、提高内部审计的独立性。内部审计人员应独立于他们所审计的活动之外，只有这样，他们才能自主地、客观地、有效地进行自己的工作，作出公正的、无偏见的判断。在电子商务环境下，要提高内部审计的独立性，应努力做到：首先，提高内部审计人员的业务素质，积极培养复合型人才；其次，内部审计人员在参与会计系统开发的过程中，既要与开发者保持融洽的关系，又必须明确参与的目的和限度，不参与任何决策行为，以保持咨询的地位和内部审计的独立性；再次，应提高内部审计的组织地位。一般来说，内部审计机构所隶属的层次越高，独立性和权威性越强；反之，则越弱。如果将内部审计设置在董事会下的审计委员会之下，这种组织形式会有利于提高内部审计机构的独立性和权威性。