电子审计范文
时间:2023-06-19 10:54:38
电子审计范文第1篇
一、大数据及电子商务解析
大数据作为信息领域全新的抽象的概念之一,提出的时间较短。实际上大数据及其应用并不是新鲜事物,在国外已经兴起很长时间,在国内也是早有应用,只不过发展得较为缓慢。一方面,国内对数据收集有着严格的管控制度,导致数据基础设施建设迟缓;另一方面,大数据的观念还没有普及,大部分大数据应用的思想只为专业人士所掌握。大数据虽然没有明确的定义,但是其4V特征却得到各方面较为一致的认可。所谓4V特征即:体量(Volume)巨大、种类多(Variety)、速度(Velocity)快、价值(Value)密度低。当今社会已进入信息时代,互联网的繁荣发展,使得在网络上可检索到数以亿计、千亿计的数据信息,这些数据量,即为大数据的一部分。大数据涉及的范围十分广泛,并不仅仅局限于网络上的信息,还包含社会各领域、各行业以及日常生活中方方面面的信息。随着经济的发展,大数据将发展成为一种“资产”,并将贯穿于各个领域行业,同时为其增创价值。电子商务一般是指主要利用Internet从事的商务活动。联合国国际贸易程序简化工作组对电子商务的定义是:采用电子形式开展商务活动,它包括在供应商、客户、政府及其他参与方之间通过任何电子工具,如EDI、Web技术、电子邮件等共享非结构化商务信息,并管理和完成在商务活动、管理活动和消费活动中的各种交易。从该定义中可看出,电子商务是使用各种电子工具从事商务活动,只不过Internet是众多电子工具中的一种。电子商务主要涉及商(Agent)、商家(Business)和消费者(Consumer)三方。电子商务按交易对象可以分为很多种类,常见的如以阿里巴巴为代表的B2B模式、以京东商城为代表的B2C模式以及以淘宝为代表的C2C模式。此外,还有企业对政府的电子商务(B2G),消费者对政府的电子商务(C2G),商、商家、消费者三者相互转化的电子商务(ABC)等。大数据处理为电子商务提供了广阔的平台,一方面大数据处理为市场营销提供便利。企业利用大数据处理,对市场进行分析,尽量达到成本最低化、效率最高化目标,在找到营销中的利润点和市场的潜在价值后,为更多客户提供所需的商品。另一方面,通过大数据处理为客户提供个性化服务。随着生活水平的提高,人们对物质需求的个性化更强,在大数据处理模式下,通过对用户的数据分析来改变过去传统商业模式的处理,从而满足用户的习惯性需求或潜在需求。
二、大数据背景下的电子商务对审计的影响
审计是由国家授权或接受委托的专职机构和人员,依照国家法规、审计准则和会计理论,运用专门的方法,对被审计单位的财政、财务收支、经营管理活动及其相关资料的真实性、正确性、合规性、合法性、效益性进行审查和监督,评价经济责任,鉴证经济业务,用以维护财经法纪、改善经营管理、提高经济效益的一项独立性的经济监督活动。审计按照执行主体分类,可以分为:内部审计、社会审计和政府审计。大数据背景下的电子商务存在着鲜明的特点,对各类审计产生了深远的影响。
(一)对内部审计的影响
科技的发展,特别是大数据处理的发展,使得电子商务的自动化、无纸化、数字化等特征更加明显。这就对企业内部审计过程造成了影响和制约。首先,相关配套法律法规不健全,这些法律法规包括会计、审计方面,也包括与电子商务有关的方方面面;其次,内审人员整体素质不适应电子商务内审工作的要求,知识结构单一的审计人员已经适应不了大数据背景下的电子商务审计;再次,审计风险复杂化程度加大,除了固有风险,审计的控制风险和检查风险更加不易掌控;最后,某些审计程序和方法不适应电子商务环境。比如,大数据的广泛应用,一是审计不仅仅局限于被审计单位证账表等单方面信息,通过大数据分析得到到全覆盖信息已经成为可能;二是应用大数据可以实现审计机关与其他部门的联合审计;三是大数据的应用,在审计范围方面可以实现由抽样审计到全面审计的转变,充分体现审计的事前监督的作用。
(二)对社会审计的影响
在社会审计中,注册会计师要通过搜集证据对被审计单位会计报告的合法性、公允性及会计处理方法的一贯性表示意见。传统会计中的会计报告是对企业财务状况和经营成果的事后反映,主要考虑了会计信息的可靠性,而相关性与及时性不足。电子商务环境下,会计信息使用者可通过获得授权等方式随时查询企业信息,使得及时性大大提高。审计人员完成审计报告的时间距离会计报告的完成时间往往间隔几个月,当信息使用者得到的滞后的审计报告时,有些信息已经过时。对于海量的数据,审计人员如何进行处理是个难题。比如,大数据处理将使电子商务数据资产化,这类资产如何进行确认、计量、记录和报告,就是摆在会计和审计人员面前的一个难题。当然,社会审计和内部审计一样,需建立健全相关的法律法规;在人员素质方面,社会审计对人才的需求更高,社会审计的某些审计程序和方法不适应电子商务环境的表现也更突出。
(三)对政府审计影响
电子商务和政府审计关联紧密的内容就是政府采购方面的审计。当前将电子商务引入政府采购、实现采购人在线直购的地区不断增多,这成为电子商务的一种新形态,同时也符合电子政务的需求。政府采购范围几乎涵盖了公共机构和部门采购活动的全部,货物,工程和服务都是政府采购的对象。政府采购采用电子商务后,可使价格趋向统一、采购过程透明、审批环节简化。政府采购规模大、品种多,产品差异化大等特点使得采用电子商务后能大大提高政府采购的效率。政采电商化在节约了时间成本的同时,还降低了财务成本。政府采购模式的变化,使得政府审计受到了很大的影响。首先,相关法律不够健全。政府采购法律中涉及电子商务的内容不够健全完备。其次,审计过程中尤其是对采购执行结果的审计,在确定审计项目、审计范围和程序方法方面都和传统审计有所区别。在知识结构方面,政府审计对审计人员的要求虽然没有像内部审计和社会审计那么高,但政府审计自身的特点也对人员素质有着独特的要求。
三、完善大数据背景下电子商务审计的对策
(一)建立健全相关法律法规
关于内部审计、社会审计和政府审计,以及电子商务相关的法律法规已经建立了很多,但详细规范电子商务和审计的法律法规少之又少。我国应该加快相关的法律法规建设,一方面,加快中国电子商务立法的步伐,并随着网络交易、信息保护、物流快递、电子支付、跨境电商、食品安全、互联网金融等一系列的电商行业相关法律法规的陆续出台,为电子商务行业的健康发展保驾护航;另一方面,制定和完善审计相关法律法规中和电子商务有关的内容。把审计的内容和电商内容以法律的形式明确下来,使得在操作上更具有可行性。另外,大数据等审计信息化建设也需要在审计领域“大数据”技术应用的相关法规建设。需要注意的问题是,大数据背景下的电子商务从空间范围来看是全球性的。电子商务的业务范围涉及全球的各个角落,这就不可避免地存在国家之间的交易和联系。制定和完善相关法律法规时一定要有国际视野,制定出既有利于电子商务发展的,又能够解决国家之间争端的法规。
(二)建设大数据平台,加快审计信息化建设步伐
大数据平台的建设应充分利用“金审工程”的建设成果,加大大数据背景下的审计研究力度。各类审计要充分利用平台上的数据,达到资源共享。应当建立企业中央数据库,得到有关电子商务方面的信息。光有数据还不够,还要有数据分析平台,通过这些平台得到电子商务方面的信息,为各类审计所用。同时也要注意各平台数据的综合运用,如政府采购中心电子商城平台与审计信息化数据库的共享与运用。
(三)加大审计人员的素质培养力度
在大数据背景下,部分审计人员知识结构不合理之处凸显,难以应付电子商务环境下的审计风险。在会计信息系统中,凭证、账簿、报表等系统存在于同一个数据库中,再加上电子商务业务所具有的数据特点,这对审计人员的素质提出了更高的要求。在审计人员的素质培养方面,一方面要加强现有审计人员知识结构调整,另一方面,要注重培养一批年轻的后备力量。比如,各大专院校在审计人才培养中,从专业设置、课程体系构建方面要侧重于大数据背景下的培养目标,培养出一批既懂审计知识,又懂现代信息技术的人才。当然,“术业有专攻”,审计人员也不是全能的,如果在审计过程中遇到高难的技术问题,还可能需要与信息技术等领域的专业人士通力合作,这时的团队力量显得尤为重要。“中国注册会计师审计准则第1633号-电子商务对财务报表审计的影响”准则中明确提出了对审计人员知识和技能的要求、对被审计单位电子商务的了解、识别风险以及对内部控制的考虑等方面的内容。企业的审计人员必须了解电子商务各阶段的工作。在确定审计所涉及的电子商务类型,判断电子商务的开展程度,熟悉电子商务运营的各个环节之后,审计人员对各个阶段有了透彻的了解,工作起来就能得心应手。数据只有被应用、分析、处理以后,才能为人类服务。在大数据背景下,审计人员对纷繁复杂的数据会显得无所适从,对可能出现的风险估计不足。这就要求发挥人的聪明才智,改进和创新审计程序和方法,降低审计风险。“互联网+”时代,以数据为核心的电子商务是企业发展的新模式。这也是电子商务的内在需求。随着技术的进步,特别是大数据的处理,电子商务将得到进一步的发展。有了健全的法律法规和各种应用平台,有了知识结构合理的专业团队以后,充分发挥人的主观能动性,结合各类被审计业务的特点大力研究电子商务审计理论,充分利用大数据资源,积极加强国际间的沟通与合作,这些都将对审计,尤其是电子商务审计的理论和实务方面产生深远的影响。
电子审计范文第2篇
(一)管理型会计软件
为适应经济和提高企业自身管理水平,许多企业迫切需要会计软件能具有资金管理、核算、项目管理核算、财务分析、辅助决策的功能,这就形成了管理型会计软件,管理型会计软件突破了会计软件只局限于会计核算的界限,向全面参予管理决策发展。
(二)核算型会计软件
随着电算化的普及,财务软件也从帐务、工资等单项处理,过渡到深入全面的会计核算,如往来、存货、成本等,形成了以核算为体系的会计软件。目前国内主要会计软件,都具有这些功能。但核算型会计软件缺乏管理思想,很难与企业管理信息系统(MIS)融为一体。
(三)ERP会计软件(战略型会计软件)
随着我国企业从重视内部管理,以提高生产效率、降低成本为核心的生产管理时代,到面向市场的,以建立全面竞争优势为核心的新管理时代,会计软件从管理型发展到战略型、实现企业内部物流、资金流与信息流的一体化管理,实现管理与决策有机统一,并将适应在Internet/Intranet/Extranet上,实现与外部资源的统一,会计软件从离散的部门级应用走向整体的企业级应用。企业信息化建设的一个重要阶段是建设企业核心的业务管理和应用系统阶段。而在这个阶段最有代表性的是企业内部的资源计划系统ERP。ERP是一种科学管理思想的计算机实现,他对产品研发和设计、作业控制、生产计划、投入品采购、市场营销、销售、库存、财务和人事等方面以及相应的模块组成部分,采取集成优化的方式进行管理。ERP不是机械的适应企业现有的流程,而是对企业流程中不合理的部分提出改进和优化建议,并可能导致组织机构的重新设计和业务流程重组。
从实际应用分析,我国企业电子化的水平不一,有的企业尚未电子化,有的还处于或者单一模型会计软件阶段或者核算型会计软件阶段。另外,同样是在ERP级的企业,其应用水平也有较大差异,有的只是部分甚至单一模块的应用,有的只是将其作为原有信息管理系统的补充,有的网络管理相当薄弱。但是,企业电子化发展的趋势是不可逆转的,现在只要有企业要建设信息化系统,他就会超越会计软件发展的低级阶段,而将瞄准其最新的研究成果上,也就是说,一旦企业进行电子化的再造,其涉及的领域将空前广泛,不仅仅是会计电算化,而是产、供、销、设备、仓储、运输、设计、质量乃至人教劳资等企业管理的各个领域。目前越来越多的企业在加紧企业管理信息系统的建设,这从我国财务及企业管理软件开发供应商的规模上也可反映出来。我国财务及企业管理软件开发供应商已涌现出了包括用友、金蝶、安易等一大批公司,据用友公司介绍,仅用友截止2000年年初,其地区分、子公司50余家,商500余家,客户服务中心100余家,行业覆盖率100%,用户数约20万家,除此之外,还有大量上规模的企业在自行开发应用。由此可见,企业电子审计的环境已逐步形成,且其电子化的色彩将伴随着电子商务的产生和发展而变得越来越浓。
二、现行电子审计轨迹分析
审计轨迹,是指在经济业务和会计制度核算中通过编码、交叉索引和连接帐户余额与原始交易数据的书面资料所提供的一连串的信息企业的会计系统应为每笔业务、每项经济活动提供一个完整的审计轨迹。审计轨迹对企业管理当局和审计人员都很重要,企业管理当局可使用审计轨迹来答复客户对有关资料的询问或质疑,审计人员可使用审计轨迹来验证和追查经济活动。没有审计轨迹,审计工作将难以开展。在电子环境下,那些原来审计人员常见的记帐凭证、明细帐表、科目汇总表、有个性的笔迹等有的已消失,有的发生了变化,变得更加隐藏、更加复杂,从而加大了审计工作的难度。当前,我国会计软件的开发正处于从起步到形成产业的阶段,由于考虑到会计处理系统的效率和研制成本等原因,软件开发在设计开发中,对如何充分保留并提供审计轨迹却未给予足够重视。换句话说,更加详细地描述审计轨迹的会计软件的开发还需进一步努力补缺。因此,国家有关部门应尽快出台有关制度、标准,使设计者有章可循,审计人员有标准可依。
(一)应用软件层
目前由国内企业开发的知名财务软件产品包括金蝶、用友和安易、新中大等,其软件产品也较丰富,一种较为流行的审计轨迹安排就是上机日志。各系统随时对各个产品或模块的每个操作员的上下机时间、操作的具体功能等情况都进行登记,形成上机日志,以便使所有的操作都有所记录、有迹可寻。由于上机日志数量庞大,为了便于审计人员有重点地进行选择,迅速发现问题,通常系统还会提供过滤功能,这样,审计人员就可以选择那些在符合性测试中发现的较薄弱的内部控制环节进行有重点的实质性测试,提高工作效率。另外,系统还提供了从报表到凭证和从凭证到报表的双向查询功能,从而建立了一条应用程序内的审计轨迹。
(二)数据库层
1、MicrosoftSQLServer2000
MicrosoftSqlServer是企业信息管理系统中应用较为广泛的一种数据库管理系统,从版本上看,其产品主要有SYBASESQLSERVER,MicrosoftSQLSERVER4,MicrosoftSQLSERVER6,MicrosoftSQLSERVER6.5,MicrosoftSQLSERVER7.0,MicrosoftSQLSERVER2000。微软公司最新推出的关系型数据库管理系统MicrosoftSQLSERVER2000是一个面向下一代的数据库和数据分析系统,具有很高的可靠性、可伸缩性、可用性、可管理性等特点。MicrosoftSQLSERVER2000是一种典型的具有客户机/服务器体系结构的关系型数据库管理系统,他使用TRANS-ACT-SQL语句在客户机和服务器之间传送请求和回应。MicrosoftSQLSERVER2000带有的常用工具包括SQLSERVERENTERPRISEMANAGER、SQLSERVEROUERYANALYZER、各类向导工具和SQLSERVERPROFILER。其中我们在创建审计轨迹中可以利用的工具是SQLSERVERPROFILER。
设计者开发SQLSERVERPROFILER工具的目的是为了捕捉系统的活动,用于分析、诊断和审计系统的性能。可以利用其跟踪事件的功能,通过适当的设置来安排我们的审计轨迹。为了使用这一工具,必须创建一个跟踪定义,一旦定义了跟踪,我们就可以启动、停止、暂停和继续运行跟踪。当其运行时,SQLSERVERPROFILER监测指定服务器上的SQLSERVER事件,并且为所选的事件捕捉满足过滤条件的指定数据。当这种跟踪数据被捕捉时可以交互显示,并且将跟踪结果存储在指定的表或文件中。例如,我们可以在TRACEPROPERTIES窗口的GENERAL选项卡中指定跟踪服务器的名称(应当将其设置成财务软件运行的数据库服务器名),跟踪文件保存的地点(应当是一个相对安全的地点),跟踪失效的时间点等;在EVENTS选项卡中指定希望使用该跟踪捕捉的事件(如将TSQL事件分类中的STMTCOMPLETED事件选入,则将对已经完成的TRANSACT-SQL语句进行捕捉):在DATACOLUMNS选项卡中设置需要捕捉的数据列(如将DATABASENAME,STARTTIME,ENDTIME,TEXT,LOGINNAME,OBJECTNAME等选入数据列,则将对语句正在其中运行的数据库名、事件开始的时间、事件结束的时间、当前指定的对象名、用户登录系统的名称、捕捉到跟踪中的事件类的文本值等进行捕捉)。
一旦设置完成,就可以运行跟踪了。跟踪可以是持续运行的,为了不影响系统的性能,我们应当及时将相应的跟踪文件备份。当然,审计人员应当根据被审计方的实际情况作出运行跟踪最佳时间的职业判断以便提高系统的运行效率。
SQLSERVERPROFIIER提供了由用户定义跟踪事件数据的功能,但这一功能是有限的。一个更可行更灵活的方案是利用MicrosoftSQLSERVER2000提供的触发器技术。
2、ORACLE8
ORACLE8数据库从其安全性考虑,设有多个安全层,并且可以对各层进行审计,利用ORACLE8自带的这种审计功能,我们可以安排所需的财务审计轨迹。ORACLE8具有审计发生在其内部所有动作的能力,审计记录可以写入SYS.AUD$的审计踪迹,可以被审计的三种不同的操作类型包括:注册企图、对象访问和数据库操作,利用其中的对对象的数据交换操作审计功能,就可以获得相应的审计轨迹。
首先我们使数据库允许审计,必须在INIT.ORA文件中的AUDITTRAIL值设为DB(允许审计,并将审计结果写入SYS.AUD$表),对于特定的表(如ACCOUNT表),我们所需要的审计轨迹主要是插入(INSERT、删除(DELETE)和更新(UPDATE)操作,可以利用以下的语句来进行:AUDITINSERTONACCOUNTBYACCESS;AUDITUPDATEONACCOUNTBYACCESS;AUDITDELETEONACCOUNTBYACCESS;上述语句指定了一个审计记录在每次插入、删除和更新ACCOUNT表时写入,审计记录结果可以通过对DBA-AUDIT-OBJECT视图的查询进行显示。
如果在SYS.AUD$上储存信息,就必须先保护该表,否则用户可通过非法操作来删除审计踪迹,由于SYS.AUD$是存在数据库内的,可通过以下命令来保护该表:AUDITALLONSYSAUD$BYACCESS;而且对该表的操作只能由具有CONNECTINTERNAL能力的用户来删除(例如,在DBA组中)。
另外,ORACLE8的触发器功能也是较强大的,如可以建立A和B两个触发器来对TABI表设置审计轨迹,并将轨迹记录在TAB2、TAB3表中。
CREATTRIGGERA
AFTERINSERTORUPDATEORDELETEONTAB1
DECLARE
STATEMENTTYPECHAR(1);
BEGIN
IFINSERTINGTHEN
STATEMENTTYPE:=‘I’;
ELSIFUPDATINGTHEN
STATEMENTTYPE:=‘U’;
ELSE
STATEMENTTYPE:‘D’;
ENDIF;
INSERTINTOTAB2
VALUES(SYSDATE,STATEMENTTYPE,USER);
ENDA;
CREATTRIGGERB
BEFOREINSERTORUPDATEORDELETEONTAB1
FOREACHROW
BEGIN
INSERTINTOTAB3
VALUES(SYSDATE,USER,
NEW.ID,:NEW.RECORDER,:OLD.ID,:OLD,RECORDER);
ENDB;
3、其他数据库
ACCESS、FOXPRO等数据库可以通过设置密码等方式来限制访问,但直接利用数据库本身来设置审计轨迹是很困难的。
(三)操作系统层
1、Windows2000操作系统
Windows2000是微软最近推出的操作系统,其覆盖的用户面之广是史无前例的:从家庭用户、商业用户、笔记本用户、工作组服务器、部门服务器到提供企业计算和安全环境的高级服务器到可以提供全球联机电子交易服务的数据中心服务器。尽管可以分为四个版本:PROFESSIONAL(专业版)、SERVER(服务器版)、ADVANCEDSERVER(高级服务器版)和DATACENTERSERVER(数据中心服务器版),然而内核和界面是一样的,区别仅在于支持的CPU数量和某些高级功能和服务。作为单用户多任务的内置网络功能操作系统,Windows2000拥有一个健全的用户帐户和工作环境,利用其固有的安全机制,可以安排我们的审计轨迹。
Windows2000使用“本地安全设置”更精确地管理工作组中的用户和资源,它将安全策略地分成两类:帐户策略和本地策略。其中,本地策略包括审核策略、用户权利指派和安全选项,其中的审核策略就是用来指定要记录的事件类型,这些类型涉及从系统范围的事件(例如用户登录)到指定事件(例如某用户试图读取某个特定文件),这些事件包括成功事件、不成功事件或兼而有之。审核记录写入计算机的安全日志,通过“事件查看器”我们可以获得部分审计轨迹。
为了控制各种审计轨迹文件的数量,同时为了保护重要文件(包括审计踪迹文件)不被非法删除、修改,Windows2000新的“加密文件系统”(EFS提供了一种核心文件加密技术,该技术用于在NTFS文件系统卷上存储已加密文件。对已加密的文件的用户,加密是透明的。但是,试图访问已加密文件的入侵者将被禁止这些操作。具体操作时既可以通过为文件设置加密属性,也可以用命令行功能CIPHER加密文件。当然,利用Windows2000的文件和文件夹权限设置功能,也可以控制各种审计轨迹文件的数量。
2、UNIX操作系统
从安全性来讲,普遍的观点是UNIX操作系统的安全性能高于Windows操作系统,正因为如此,UNIX操作系统也为我们提供了获取更多,更精确的审计轨迹的可能性。UNIX能自动生成很多日志文件,这些日志文件可以形成我们的审计轨迹。
UNIX的日志分为三类:
(1)连接时间日志——由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/Utmp,login等程序更新wtmp和utmp文件,使我们能够跟踪谁在何时登录到系统。
(2)进程统计——由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。
(3)错误日志——由syslogd执行。各种系统守护进程、用户程序和内核通过syslog向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志,像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
这三类日志中,连接时间日志是我们从中发现审计轨迹的最重要的一类,其中的utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键——保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中:登录进入和退出纪录在文件wtmp中:最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中,所有的纪录都包含时间戳。
另外,一旦启动进程统计子系统,UNIX可以跟踪每个用户运行的每条命令,从中也可以建立我们的审计轨迹。
(四)网络环境(网络安全)
电子数据是通过计算机网络进行传输的,传输的数据是否准确和安全,涉及计算机网络技术的可靠性和网络系统的安全管理问题。计算机网络技术已经基本成熟,但网络上的数据传递的安全仍然是一个重要的问题,需要审计人员关注的是系统数据的安全评价问题。
对等网络虽然具有廉价、易于建立、运行和维护等优点,但对于企业级的联网选择来说,这绝对不是一个最佳选择,由于网络中每台计算机地位均等,要对整个网络进行管理就缺乏手段,同样要设置有效的审计轨迹就较为困难了。
对企业来说,客户机一服务器网络是一种较好的选择,通过服务器上的网络管理软件或应用软件,是可以设置审计轨迹的。另外,利用网络的其他外部设备,如路由器,也可以安排相应的审计轨迹。
三、电子审计轨迹标准的设想
(一)应用软件层
首先,应设置相应的安全访问控制,记录各种访问,尤其是数据更改、删除和新增的记录必须保留。其次,从报表审计角度,必须提供从凭证到报表数据和从报表数据到凭证以及凭证与凭证之间的查询工具。最后,各种电子凭证必须具备防抵赖、防伪造和可追溯性,如可采用可靠的电子签名来代替原有的手签。
(二)数据库层、操作系统层和网络环境
在这些层面,主要是考虑安全访问控制,必须严禁各种非法的未经授权的数据访问,必须记录数据更改、删除和新增的操作,同时应能自动保护记录审计轨迹的文件。
(三)保护审计轨迹
1、从硬件上保护审计轨迹
一旦系统投入运行,如出于某种原因需要对某些设备更换、更改布局、更改设置或升级,必须将其对审计轨迹的影响纳入产品选择或更改的考核范围。
2、从软件上保护审计轨迹
必须进行系统开发审计,系统开发审计是对被审单位的会计电算化系统的开发、修改及日常维护过程的审计。对系统开发进行审计的主要目的是确保开发经过授权,开发过程遵循正确的标准,修改部分在使用前经过充分的测试和记录。系统开发审计的内容:系统开发审计包括应用程序开发审计、程序修改审计和系统维护及记录审计。其中,应将审计轨迹的保护作为审计的一项重要内容。
3、从网络应用上保护审计轨迹
应加强网络安全管理,保护审计轨迹。安全管理是网络管理中极其重要的内容,它涉及法规、人事、设备、技术、环境等诸多因素,是一项难度很大的工作;单就技术性方面的管理而言,依据OSI安全体系结构,可分为:系统安全管理、安全服务管理和特定的安全机制管理。其中,后两类管理分别是针对涉及某种特定、具体的安全服务与安全机制的管理;而系统安全管理则又包括总体安全策略的管理(维护与修改)、事件处理管理、安全审计管理、安全恢复管理以及与其他两类安全管理的交互和协调。
(四)内部控制制度
1、职责分离
除传统的业务执行、记录、批准职能分离外,程序设计、系统维护、业务操作和内部审计各类职责也应分离。
2、内部审计
除传统审计业务外,还应设置系统安全审计、系统开发审计等岗位。
3、制定各种规章制度
包括数据接触制度、数据储存、备份与更改制度、程序设计与更改制度、系统管理与维护制度和各种内部审计制度。
电子审计范文第3篇
我国企业会计电算化和管理信息系统的发展与我国会计软件的发展是基本同步的。从1979年我国在长春一汽开始进行会计电算化系统开发探索始,我国的会计软件应用发展大致经历了非商品化的开发过程、单一模型会计软件阶段、核算型会计软件、管理型会计软件、ERP会计软件(战略型会计软件)这五个阶段。从目前应用的广泛性和前景看,后三种软件较为人们所关注。
电子审计轨迹分析
(一)核算型会计软件
随着电算化的普及,财务软件也从帐务、工资等单项处理,过渡到深入全面的会计核算,如往来、存货、成本等,形成了以核算为体系的会计软件。目前国内主要会计软件,都具有这些功能。但核算型会计软件缺乏管理思想,很难与企业管理信息系统(MIS)融为一体。
(二)管理型会计软件
为适应经济和提高企业自身管理水平,许多企业迫切需要会计软件能具有资金管理、核算、项目管理核算、财务分析、辅助决策的功能,这就形成了管理型会计软件,管理型会计软件突破了会计软件只局限于会计核算的界限,向全面参予管理决策发展。
(三)ERP会计软件(战略型会计软件)
随着我国企业从重视内部管理,以提高生产效率、降低成本为核心的生产管理时代,到面向市场的,以建立全面竞争优势为核心的新管理时代,会计软件从管理型发展到战略型、实现企业内部物流、资金流与信息流的一体化管理,实现管理与决策有机统一,并将适应在Internet/Intranet/Extranet上,实现与外部资源的统一,会计软件从离散的部门级应用走向整体的企业级应用。企业信息化建设的一个重要阶段是建设企业核心的业务管理和应用系统阶段。而在这个阶段最有代表性的是企业内部的资源计划系统ERP。ERP是一种科学管理思想的计算机实现,他对产品研发和设计、作业控制、生产计划、投入品采购、市场营销、销售、库存、财务和人事等方面以及相应的模块组成部分,采取集成优化的方式进行管理。ERP不是机械的适应企业现有的流程,而是对企业流程中不合理的部分提出改进和优化建议,并可能导致组织机构的重新设计和业务流程重组。
从实际应用分析,我国企业电子化的水平不一,有的企业尚未电子化,有的还处于或者单一模型会计软件阶段或者核算型会计软件阶段。另外,同样是在ERP级的企业,其应用水平也有较大差异,有的只是部分甚至单一模块的应用,有的只是将其作为原有信息管理系统的补充,有的网络管理相当薄弱。但是,企业电子化发展的趋势是不可逆转的,现在只要有企业要建设信息化系统,他就会超越会计软件发展的低级阶段,而将瞄准其最新的研究成果上,也就是说,一旦企业进行电子化的再造,其涉及的领域将空前广泛,不仅仅是会计电算化,而是产、供、销、设备、仓储、运输、设计、质量乃至人教劳资等企业管理的各个领域。目前越来越多的企业在加紧企业管理信息系统的建设,这从我国财务及企业管理软件开发供应商的规模上也可反映出来。我国财务及企业管理软件开发供应商已涌现出了包括用友、金蝶、安易等一大批公司,据用友公司介绍,仅用友截止2000年年初,其地区分、子公司50余家,商500余家,客户服务中心100余家,行业覆盖率100%,用户数约20万家,除此之外,还有大量上规模的企业在自行开发应用。由此可见,企业电子审计的环境已逐步形成,且其电子化的色彩将伴随着电子商务的产生和发展而变得越来越浓。
二、现行电子审计轨迹分析
审计轨迹,是指在经济业务和会计制度核算中通过编码、交叉索引和连接帐户余额与原始交易数据的书面资料所提供的一连串的信息企业的会计系统应为每笔业务、每项经济活动提供一个完整的审计轨迹。审计轨迹对企业管理当局和审计人员都很重要,企业管理当局可使用审计轨迹来答复客户对有关资料的询问或质疑,审计人员可使用审计轨迹来验证和追查经济活动。没有审计轨迹,审计工作将难以开展。在电子环境下,那些原来审计人员常见的记帐凭证、明细帐表、科目汇总表、有个性的笔迹等有的已消失,有的发生了变化,变得更加隐藏、更加复杂,从而加大了审计工作的难度。当前,我国会计软件的开发正处于从起步到形成产业的阶段,由于考虑到会计处理系统的效率和研制成本等原因,软件开发在设计开发中,对如何充分保留并提供审计轨迹却未给予足够重视。换句话说,更加详细地描述审计轨迹的会计软件的开发还需进一步努力补缺。因此,国家有关部门应尽快出台有关制度、标准,使设计者有章可循,审计人员有标准可依。
(一)应用软件层
目前由国内企业开发的知名财务软件产品包括金蝶、用友和安易、新中大等,其软件产品也较丰富,一种较为流行的审计轨迹安排就是上机日志。各系统随时对各个产品或模块的每个操作员的上下机时间、操作的具体功能等情况都进行登记,形成上机日志,以便使所有的操作都有所记录、有迹可寻。由于上机日志数量庞大,为了便于审计人员有重点地进行选择,迅速发现问题,通常系统还会提供过滤功能,这样,审计人员就可以选择那些在符合性测试中发现的较薄弱的内部控制环节进行有重点的实质性测试,提高工作效率。另外,系统还提供了从报表到凭证和从凭证到报表的双向查询功能,从而建立了一条应用程序内的审计轨迹。
(二)数据库层
1、MicrosoftSQLServer2000
MicrosoftSqlServer是企业信息管理系统中应用较为广泛的一种数据库管理系统,从版本上看,其产品主要有SYBASESQLSERVER,MicrosoftSQLSERVER4,MicrosoftSQLSERVER6,MicrosoftSQLSERVER6.5,MicrosoftSQLSERVER7.0,MicrosoftSQLSERVER2000。微软公司最新推出的关系型数据库管理系统MicrosoftSQLSERVER2000是一个面向下一代的数据库和数据分析系统,具有很高的可靠性、可伸缩性、可用性、可管理性等特点。MicrosoftSQLSERVER2000是一种典型的具有客户机/服务器体系结构的关系型数据库管理系统,他使用TRANS-ACT-SQL语句在客户机和服务器之间传送请求和回应。MicrosoftSQLSERVER2000带有的常用工具包括SQLSERVERENTERPRISEMANAGER、SQLSERVEROUERYANALYZER、各类向导工具和SQLSERVERPROFILER。其中我们在创建审计轨迹中可以利用的工具是SQLSERVERPROFILER。
设计者开发SQLSERVERPROFILER工具的目的是为了捕捉系统的活动,用于分析、诊断和审计系统的性能。可以利用其跟踪事件的功能,通过适当的设置来安排我们的审计轨迹。为了使用这一工具,必须创建一个跟踪定义,一旦定义了跟踪,我们就可以启动、停止、暂停和继续运行跟踪。当其运行时,SQLSERVERPROFILER监测指定服务器上的SQLSERVER事件,并且为所选的事件捕捉满足过滤条件的指定数据。当这种跟踪数据被捕捉时可以交互显示,并且将跟踪结果存储在指定的表或文件中。例如,我们可以在TRACEPROPERTIES窗口的GENERAL选项卡中指定跟踪服务器的名称(应当将其设置成财务软件运行的数据库服务器名),跟踪文件保存的地点(应当是一个相对安全的地点),跟踪失效的时间点等;在EVENTS选项卡中指定希望使用该跟踪捕捉的事件(如将TSQL事件分类中的STMTCOMPLETED事件选入,则将对已经完成的TRANSACT-SQL语句进行捕捉):在DATACOLUMNS选项卡中设置需要捕捉的数据列(如将DATABASENAME,STARTTIME,ENDTIME,TEXT,LOGINNAME,OBJECTNAME等选入数据列,则将对语句正在其中运行的数据库名、事件开始的时间、事件结束的时间、当前指定的对象名、用户登录系统的名称、捕捉到跟踪中的事件类的文本值等进行捕捉)。
一旦设置完成,就可以运行跟踪了。跟踪可以是持续运行的,为了不影响系统的性能,我们应当及时将相应的跟踪文件备份。当然,审计人员应当根据被审计方的实际情况作出运行跟踪最佳时间的职业判断以便提高系统的运行效率。
SQLSERVERPROFIIER提供了由用户定义跟踪事件数据的功能,但这一功能是有限的。一个更可行更灵活的方案是利用MicrosoftSQLSERVER2000提供的触发器技术。
2、ORACLE8
电子审计范文第4篇
【关键词】电子商务 审计风险 审计范围
一、电子商务审计面临的挑战
(一)电子商务审计法律法规体系尚未完善
传统审计准则已经相当完善,而在电子商务环境下,有关电子商务签证的具体标准尚未出台,给电子商务企业审计带来实质性困难和风险。电子商务审计的法律依据明显不足,尽管电子商务已有一段时间的发展,但在法律方面还是一片空白。
(二)会计记录资料发生了改变
电子商务的出现,改变了财务会计信息的载体,使审计证据的形式发生了变化。在电子商务环境下,经济业务产生的原始凭证以电磁信息的形式在网上传递并储于磁性介质中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行。
(三)审计范围发生变化
电子商务环境下,审计范围已扩展到传统审计内容之外,传统的报表审计内容是指被审单位特定时期内的会计报表及其他相关资料及其所反映的经济活动。电子商务环境下还需对系统硬件环境进行审查,包括各部件的兼容性,信息通道的畅通性等。
(四)审计风险加大
相对于传统商务方式下企业的内部控制而言,电子商务环境下企业的内部控制发生了巨大的变化。在电子商务环境下,由于计算机数据处理的集中性,使大部分控制作用基本失去作用,传统的会计岗位职责被打破,使得在传统交易方式下的账簿控制体系失去作用,网络环境系统建立和运行的复杂性,导致内部控制的范围也相应扩大,电子商务引起的技术性风险可能使审计风险中的固有风险和控制风险增大。
(五)审计人员的素质有待提高
大多数工作在基层的审计人员虽然都接受了一些计算机知识培训,但一般多是初级程度的培训,远不能适应计算机审计的要求。此外开发实用性和通用性较强的审计软件所需的高层次、高水平的人员也很缺乏,人才的缺乏严重制约着我国计算机审计的发展。
二、对于电子商务审计挑战的对策思考
(一)加快电子商务审计法律法规的完善
制定我国计算机审计的各种规范化、标准化文件,包括计算机审计的法律准入规定,计算机审计准则,各类审计数据库或输出数据的标准格式等。应尽快制定有关电子商务的法律法规,把电子凭证、电子合同和数字签名的法律效力和保管要求,数字认证机构的管理,电子信息与网络系统的安全等相关内容以法律法规的形式明确下来,有关电子商务与网络经济的立法要立足我国的国情,同时借鉴国际上有关示范法或其他国家的有关法规进行立法,促进我国的电子商务审计法律法规的建立和完善,保证电子商务审计的有法可依。
(二)充分利用计算机网络审计
实现电子商务以后,电子商务审计的内容包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的。首先必须利用计算机网络技术对被审计单位计算机会计信息系统的一般控制和应用控制进行审查,然后根据一般控制和应用控制审查结果决定抽查的重点和范围,通过网络对被审计单位财会数据进行收集审核,审计人员在网上通过被审计单位赋予的审查权限,可以完成大部分审计工作,利用审计软件抽取样本,进行各种数量关系的配比分析与数据查询,对异常项目通过调查和数据分析进行测试、检查、分析与核对,这样可以达到降低审计风险的目的。
(三)加快审计的电子化应用技术
顺应电子商务发展的需要,加快计算机硬件和计算机审计使用环境的建设。从审计事业的长远发展出发,各级审计机关应对计算机硬件建设给予足够的重视,加大对计算机设备和系统的投资,着重审计机关内部局域网和审计资料库的建设,促进审计事业的现代化。要让审计人员尽快参与审计软件的开发研制,使审计软件突出实用性即具有审计特色,以便于今后计算机审计方法的应用和审计信息化建设能顺利实施。
(四)采取措施降低审计风险
审计人员要了解网络会计系统内部控制程序,系统中会计组织机构设置是否合理有效,岗位之间的牵制是否充分有效,根据自己处理传统舞弊案件的经验,运用相应的审计手段,对数据的不安全因素进行审计,审查操作人员是否通过篡改程序和数据文件导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,利用审计法规管理软件对系统合法性与合规性进行验证,利用审计接口软件获取充分、适当的审计证据,减少固有风险和控制风险,利用审计抽样软件进行符合性测试和实质性测试。审查磁性化的会计信息及其存储材料的完全性,计算机系统是否具有应急恢复功能,系统防火墙是否完备等,减少网络病毒的传播及黑客的攻击,以最大限度地降低审计的外部风险。
(五)不断提高审计人员的素质
要推动电子商务审计的发展,必须加强计算机审计人才的培养。因此审计人员应加强计算机网络知识的学习与培训,不断完善个人知识结构,进一步提高自身职业素质,以满足审计业务范围日益拓展的需要。并把计算机审计列为必修课,培养复合型审计人才,为电子商务审计的开展提供人才保障。
由以上所述可见,电子商务的出现对传统审计提出了严峻的挑战,但开展电子商务是国际大趋势所在,同时又给审计一个创新的机遇。随着我国审计法规的不断完善,审计人员素质的逐步提高,审计技术的逐渐进步,我们有理由相信,审计会对电子商务时代的到来充满信心。因此,我们必须迎接挑战,把握机遇,推动我国电子商务审计的现代化建设。
参考文献
[1]王晓东,蔡昌.电子商务环境下网络审计的初步探讨[J].中国管理信息化,2005(06).
[2]杨锐.浅析电子商务环境下审计风险[J].东北大学学报,2003(02).
[3]孙宝文,李辉.电子商务的风险管理与审计研究[J].中央财经大学学报,2003(05).
[4]郭亚辉.电子商务对传统审计的影响及创新[J].经济师,2003(05).
电子审计范文第5篇
一、对审计重要程度的影响
随着电子商务的发展,商务活动将以计算机和通信网络的完美运行为基础,它对计算机系统强烈的依赖性潜伏着巨大的威胁,控制不灵、使用不当就可能造成灾难性的后果,并且存在计算机病毒和“黑客”的肆意侵袭、计算机犯罪等等都导致电子商务信息失真的风险。因此,审计人员不仅要对电子商务活动产生的数据是否真实、正确、合法进行审计,而且还要对电子商务系统的硬件和软件,进而对整个电子商务系统的安全性、可靠性、内部控制的健全性与有效性等方面进行审计,从而指出被审单位电子商务系统内部管理和控制上的薄弱环节,提高电子商务信息的可靠性和真实性,有效地防止利用计算机随意篡改电子商务数据或破坏磁性介质上的数据等舞弊行为的发生。因此,实现电子商务以后,审计工作的重要性远远超过以往。同时,商务活动的网络化使企业与外部的信息交换更为频繁、快捷,经营周期大大缩短,交易活动呈现很强的实时性。由于外部审计人员对企业交易活动缺乏及时全面的了解而无法进行实时监督,致使他们对交易活动的审计越来越困难,这样内部审计的重要程度则大大提高。
二、对审计风险的影响
从审计工作的角度看,电子商务系统在使用过程中的风险越大,在检查风险既定的情况下,审计风险也越大。电子商务引起的风险主要包括下列几个方面:(1)数据高度集中于电子商务系统,易导致机密的数据被不法分子拷贝,甚至可能被非法篡改而不留下任何痕迹。(2)如果在电子商务系统设计时考虑不周,电子商务系统可能无法判断某些事件是否符合逻辑,对不合理的事项也会照样处理。(3)电子商务系统主要以磁盘、磁带、光盘等存储介质作为信息载体,记录于这些存储介质上的信息是肉眼不可见的,必须借助于计算机的“翻译”,才能以人可以理解的形式表现出来,但同一信息可以被“翻译”成不同的形式。利用磁性介质难以实现诸如签字、盖章等这些使信息证据化的操作。(4)电子商务系统对错误的处理具有重复性和连续性。(5)电子商务系统中许多不相容职责相对集中,加大了舞弊的风险。(6)系统设计时可能没有考虑到审计工作的需要,没有留下充分的审计线索。(7)计算机病毒的入侵和“黑客”对电子商务系统的故意破坏。上述因素都可能使得审计风险中的固有风险和控制风险增大。根据审计风险模型,审计风险由固有风险、控制风险、检查风险构成,审计风险=固有风险×控制风险×检查风险。该模型清楚地揭示,在固有风险和控制风险较高的情况下,审计人员只有通过扩大审计范围、在抽样审计中增加样本量等措施,降低检查风险,才会使审计风险得以保持在适当水平。
三、对审计线索的影响
审计线索对审计来说是极为重要的。审计工作中,审计人员正是通过跟踪审计线索,审核有关经济业务和收集审计证据的。而审计的过程,实质上就是不断收集、鉴定和综合运用审计证据的过程。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经手人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止;也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。但是,实现电子商务以后,传统的单据没有了,纸质记录消失了,代之的是存有数据处理资料的磁盘、磁带、光盘等,这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别的了。此外,原始单据进入计算机以后,中间的交易处理由计算机自动完成,传统的审计线索在这里中断、消失了,传统的审计方法,有的已不适用。审计线索的肉眼不可见性,一方面增加了审计调查取证的难度,另一方面也从心理上给审计人员造成了压力。
四、对审计内容的影响
实现电子商会以后,审计的监督职能并没有改变,使审计的内容发生了相应的变化。首先,电子商务系统的特点及其固有的风险决定了审计内容必须包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的;其次,由于电子商务系统已经开发完成并投入使用后再对它进行修改优化,要比在系统设计阶段对它改过困难得多,代价也昂贵得多。因此,电子商务系统的设计应有审计人员(一般是内审人员)的参加。在系统设计开发阶段,审计人员要提请开发人员注意并监督审查下列问题:(1)系统的功能是否恰当、完备,能否满足用户商务活动的需要;(2)系统的数据流程、处理方法是否符合有关贸易法规;(3)系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;(4)系统是否保留了充分的审计线索,保证了系统的可审性;(5)系统的安全保密措施和管理制度是否健全,能否保证系统安全可靠地运行;(6)系统的文档资料是否全面、完整。
五、对审计方法与技术的影响
在电子商务环境下,审计的对象发生了变化,大量的证据都存储在肉眼不可见的磁性介质上,对这些证据,审计人员只能利用计算机技术进行审查,即把计算机当作基本的审计工具使用,迅速、有效地完成审阅、核对、分析、比较等各项审计工作,从而提高审计的效率与质量。在对电子商务活动进行审计时,单机系统环境下的审计方法有的已不适用。这主要表现在对电子商务活动进行审计时,所有测试都必须在不改变数据库或记录的要件下设计具体的测试方法。由于网络系统的持续运行,使得审计人员很难让其在某一特定时间停下来接受大规模的测试,如果测试会改变数据记录,就意味着审计人员给系统带来差错。当然,可以设计能够纠正差错的测试程序,但是被审单位是否允许这种改变记录的方法,令人怀疑。同时由于系统实时的特点,也使得这种改变记录的审计方法很可能产生后遗症。由于交易数据处理的高速性和处理程序的复杂性,使得审计人员很难对经过测试后的系统重新进行复原。因而,就审计方法而言,采用整体检测法及受控处理法等进行系统测试的审计方法,对审计人员审查和评价整个电子商务系统显得尤为重要。因此,在执行电子商务审计任务时,审计人员往往要在系统运行的同时进行审计。
六、对审计方式的影响
在网络世界里,企业的生产和经营的组织形式将趋于多样化,并随着不同交易事项自由组合成新的经营主体——虚拟企业(Virtual
Firms)。虚拟企业存在于计算机网络之中,它是一种临时组成的,没有固定形态和明确空间范围的结合体。它可以随业务活动的需要,由若干相互独立的公司经过整合、重组而成,也可以随交易业务的完成而随时终止。电子商务使得虚拟企业的交易可以在瞬间完成,虚拟企业也就可能在交易完成后立即解散。网络社会的虚拟企业,其存续的时间有很大程度的不确定性、伸缩性和随机性。虚拟企业存续的时间可以很长,长达几年或几十年;也可以很短,只存在几秒钟。故虚拟企业的快速结合与解散,要求审计工作必须随时、随地进行,实时、即时提供审计信息,而不能按照传统的审计工作要求,定期提供审计信息。因此,随着电子商务的不断发展,传统的事后审计与就地审计方式将逐步消失,审计工作将采用在线实时审计方式,即通过审计机关的计算机及时审查监督电子商务系统的交易业务,这样一方面可以及时收集审计证据,另一方面也能得出可靠的审计结论。目前我们就应考虑审计机关的计算机系统如何及时监督电子商务系统,这就需要电子商务系统具有相应的审计接口。采用在线实时审计方式,还可以极大地提高对电子商务审计的效率与质量。
七、对审计人员素质的影响
实现电子商务以后,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,决定了对审计人员要求的提高。不懂得计算机的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不懂得电子商务的特点和风险而不能审查和评价其内部控制,会因为不会使用计算机和网络系统而无法对电子商务活动进行审计。实现电子商务以后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。在这种情况下,审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯、电子商务知识与技能。只有全面提高审计人员的业务素质和工作能力,才能满足电子商务审计工作的需要。
八、对审计标准和准则的影响
电子商务使得审计对象、审计线索、审计方法等各方面都发生了变化,人们以往在审计工作中逐步建立起的一系列审计标准和准则已不完全适用于变化了的情况,需要建立新的审计标准和准则指导审计工作实践。例如,对电子商务审计人员的一般要求、电子商务的事前审计准则、电子商各系统安全可靠评价标准、电子商务系统内部控制准则等。
九、对审计立法的影响
电子审计范文第6篇
电子商务在极大地提高了商务活动的及时性,实现了书写电子化、信息传送数据化、支付手段现代化的同时,也引起审计方法和技术、审计信息的存储介质、审计范围等产生了一系列的重大变化。作为审计人员,只有了解电子商务对审计工作的影响,才能作出恰当的电子商务审计结论。电子商务对审计实务的影响主要表现在下列几个方面:一、对审计重要程度的影响随着电子商务的发展,商务活动将以计算机和通信网络的完美运行为基?约扑慊低城苛业囊揽啃郧狈啪薮蟮耐玻刂撇涣椤⑹褂貌坏本涂赡茉斐稍帜研缘暮蠊⑶掖嬖诩扑慊《竞汀昂诳汀钡乃烈馇窒⒓扑慊缸锏鹊榷嫉贾碌缱由涛裥畔⑹д娴姆缦铡R虼耍蠹迫嗽辈唤鲆缘缱由涛窕疃氖菔欠裾媸怠⒄贰⒑戏ń猩蠹疲一挂缘缱由涛裣低车挠布腿砑哉龅缱由涛裣低车陌踩浴⒖煽啃浴⒛诓靠刂频慕∪杂胗行缘确矫娼猩蠹疲佣赋霰簧蟮ノ坏缱由涛裣低衬诓恐卫砗涂刂粕系谋∪趸方冢岣叩缱由涛裥畔⒌目煽啃院驼媸敌裕行У胤乐估眉扑慊嬉獯鄹牡缱由涛袷莼蚱苹荡判越橹噬系氖莸任璞仔形姆⑸R虼耍迪值缱由涛褚院螅蠹乒ぷ鞯闹匾栽对冻酝M保涛窕疃耐缁蛊笠涤胪獠康男畔⒔换桓捣薄⒖旖荩芷诖蟠笏醵蹋灰谆疃氏趾芮康氖凳毙浴S捎谕獠可蠹迫嗽倍云笠到灰谆疃狈笆比娴牧私舛薹ń惺凳奔喽剑率顾嵌越灰谆疃纳蠹圃嚼丛嚼眩庋诓可蠹频闹匾潭仍虼蟠筇岣摺?二、对审计风险的影响从审计工作的角度看,电子商务系统在使用过程中的风险越大,在检查风险既定的情况下,审计风险也越大。电子商务引起的风险主要包括下列几个方面:(1)数据高度集中于电子商务系统,易导致机密的数据被不法分子拷贝,甚至可能被非法篡改而不留下任何痕迹。(2)假如在电子商务系统设计时考虑不周,电子商务系统可能无法判定某些事件是否符合逻辑,对不合理的事项也会照样处理。(3)电子商务系统主要以磁盘、磁带、光盘等存储介质作为信息载体,记录于这些存储介质上的信息是肉眼不可见的,必须借助于计算机的“翻译”,才能以人可以理解的形式表现出来,但同一信息可以被“翻译”成不同的形式。利用磁性介质难以实现诸如签字、盖章等这些使信息证据化的操作。(4)电子商务系统对错误的处理具有重复性和连续性。(5)电子商务系统中许多不相容职责相对集中,加大了舞弊的风险。(6)系统设计时可能没有考虑到审计工作的需要,没有留下充分的审计线索。(7)计算机病毒的入侵和“黑客”对电子商务系统的故意破坏。上述因素都可能使得审计风险中的固有风险和控制风险增大。根据审计风险模型,审计风险由固有风险、控制风险、检查风险构成,审计风险=固有风险×控制风险×检查风险。该模型清楚地揭示,在固有风险和控制风险较高的情况下,审计人员只有通过扩大审计范围、在抽样审计中增加样本量等措施,降低检查风险,才会使审计风险得以保持在适当水平。三、对审计线索的影响审计线索对审计来说是极为重要的。审计工作中,审计人员正是通过跟踪审计线索,审核有关经济业务和收集审计证据的。而审计的过程,实质上就是不断收集、鉴定和综合运用审计证据的过程。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经手人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止;也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。但是,实现电子商务以后,传统的单据没有了,纸质记录消失了,代之的是存有数据处理资料的磁盘、磁带、光盘等,这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别的了。此外,原始单据进入计算机以后,中间的交易处理由计算机自动完成,传统的审计线索在这里中断、消失了,传统的审计方法,有的已不适用。审计线索的肉眼不可见性,一方面增加了审计调查取证的难度,另一方面也从心理上给审计人员造成了压力。四、对审计内容的影响实现电子商会以后,审计的监督职能并没有改变,使审计的内容发生了相应的变化。首先,电子商务系统的特点及其固有的风险决定了审计内容必须包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的;其次,由于电子商务系统已经开发完成并投入使用后再对它进行修改优化,要比在系统设计阶段对它改过困难得多,代价也昂贵得多。因此,电子商务系统的设计应有审计人员(一般是内审人员)的参加。在系统设计开发阶段,审计人员要提请开发人员注重并监督审查下列问题:(1)系统的功能是否恰当、完备,能否满足用户商务活动的需要;(2)系统的数据流程、处理方法是否符合有关贸易法规;(3)系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊;(4)系统是否保留了充分的审计线索,保证了系统的可审性;(5)系统的安全保密措施和治理制度是否健全,能否保证系统安全可靠地运行;(6)系统的文档资料是否全面、完整。五、对审计方法与技术的影响在电子商务环境下,审计的对象发生了变化,大量的证据都存储在肉眼不可见的磁性介质上,对这些证据,审计人员只能利用计算机技术进行审查,即把计算机当作基本的审计工具使用,迅速、有效地完成审阅、核对、分析、比较等各项审计工作,从而提高审计的效率与质量。在对电子商务活动进行审计时,单机系统环境下的审计方法有的已不适用。这主要表现在对电子商务活动进行审计时,所有测试都必须在不改变数据库或记录的要件下设计具体的测试方法。由于网络系统的持续运行,使得审计人员很难让其在某一特定时间停下来接受大规模的测试,假如测试会改变数据记录,就意味着审计人员给系统带来差错。当然,可以设计能够纠正差错的测试程序,但是被审单位是否答应这种改变记录的方法,令人怀疑。同时由于系统实时的特点,也使得这种改变记录的审计方法很可能产生后遗症。由于交易数据处理的高速性和处理程序的复杂性,使得电子商务在极大地提高了商务活动的及时性,实现了书写电子化、信息传送数据化、支付手段现代化的同时,也引起审计方法和技术、审计信息的存储介质、审计范围等产生了一系列的重大变化。作为审计人员,只有了解电子商务对审计工作的影响,才能作出恰当的电子商务审计结论。电子商务对审计实务的影响主要表现在下列几个方面:
一、对审计审计人员很难对经过测试后的系统重新进行复原。因而,就审计方法而言,采用整体检测法及受控处理法等进行系统测试的审计方法,对审计人员审查和评价整个电子商务系统显得尤为重要。因此,在执行电子商务审计任务时,审计人员往往要在系统运行的同时进行审计。六、对审计方式的影响在网络世界里,企业的生产和经营的组织形式将趋于多样化,并随着不同交易事项自由组合成新的经营主体——虚拟企业(VirtualFirms)。虚拟企业存在于计算机网络之中,它是一种临时组成的,没有固定形态和明确空间范围的结合体。它可以随业务活动的需要,由若干相互独立的公司经过整合、重组而成,也可以随交易业务的完成而随时终止。电子商务使得虚拟企业的交易可以在瞬间完成,虚拟企业也就可能在交易完成后立即解散。网络社会的虚拟企业,其存续的时间有很大程度的不确定性、伸缩性和随机性。虚拟企业存续的时间可以很长,长达几年或几十年;也可以很短,只存在几秒钟。故虚拟企业的快速结合与解散,要求审计工作必须随时、随地进行,实时、即时提供审计信息,而不能按照传统的审计工作要求,定期提供审计信息。因此,随着电子商务的不断发展,传统的事后审计与就地审计方式将逐步消失,审计工作将采用在线实时审计方式,即通过审计机关的计算机及时审查监督电子商务系统的交易业务,这样一方面可以及时收集审计证据,另一方面也能得出可靠的审计结论。目前我们就应考虑审计机关的计算机系统如何及时监督电子商务系统,这就需要电子商务系统具有相应的审计接口。采用在线实时审计方式,还可以极大地提高对电子商务审计的效率与质量。七、对审计人员素质的影响实现电子商务以后,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,决定了对审计人员要求的提高。不懂得计算机的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不懂得电子商务的特点和风险而不能审查和评价其内部控制,会因为不会使用计算机和网络系统而无法对电子商务活动进行审计。实现电子商务以后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。在这种情况下,审计人员不仅要有丰富的审计知识,而且要把握一定的计算机、网络、通讯、电子商务知识与技能。只有全面提高审计人员的业务素质和工作能力,才能满足电子商务审计工作的需要。八、对审计标准和准则的影响电子商务使得审计对象、审计线索、审计方法等各方面都发生了变化,人们以往在审计工作中逐步建立起的一系列审计标准和准则已不完全适用于变化了的情况,需要建立新的审计标准和准则指导审计工作实践。例如,对电子商务审计人员的一般要求、电子商务的事前审计准则、电子商各系统安全可靠评价标准、电子商务系统内部控制准则等。九、对审计立法的影响实现电子商务以后,审计工作同样要依法进行,对交易业务是否合规合法等的判定必须以有关法律法规为依据。但是,目前的审计法规都是适应传统书面记录形式的,电子商务时代必须建立与之相适应的新的审计法规。例如,电子证据的无形性和易篡改性造成了审计证据确定的困难;电子签名因不同于手书签名而导致法律上难以认定;电子合同的瞬间完成使得合同签订和生效时间的确定存在争议,等等。这在一定程度上使得审计工作尤其是进行合法性审计时处于无法可依的局面,亟需立法加以明确。
电子审计范文第7篇
关键词:电子商务;安全审计;安全管理
中图分类号:F239文献标志码:A文章编号:1673-291X(2011)21-0097-02
一、外部审计
外部审计是指审计师对企业电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。
1.制度审计。在电子商务网络系统环境下,网络电子交易数据安全是关系到交易双方切身利益的关键问题,是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施,至少包括三个方面:一是网络数据安全技术方面的措施;二是安全管理制度(措施)的制定和实施;三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况,通常可从如下几点进行评价:(1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况;实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。(2)审查安全管理制度建立和施行的情况,采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。(3)审查有关计算机安全的国家法律和管理条例的执行情况。
2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务,可为电子商务用户提供职业安全保障。
内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家,具有良好的基础背景和良好的声誉。在中国,内部审计师除了参与财务审计,还参与对管理效益和人离任内部审计和对企业计算机信息系统的实施情况审计,大量参与税务、财务和评估等咨询服务工作。
内部审计业务是按照特定的审计规范的程序执行,对内部控制与经营、业务审查和评价,内部审计师有着敏锐的专业洞察能力,这是内部审计师发展计算机网络内部审计的良好职业背景基础。
内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计,其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑,才能赢得网络交易的多方的信赖,同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中,根据对交易合法性和交易信息的可靠性和安全性,是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容,内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价,已具有特别的专长和丰富的经验。
3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中,它们在运行过程中都会产生大量的日志信息,其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析,挖掘出其中隐藏的异常动态信息,并利用各个审计源之间的联动及时阻断各种入侵活动。同时,对进出网络内部的电子邮件和传输信息实时跟踪,进行数据截取和还原,更好的维护系统安全。
分析和审计公司电子商务网站的安全审计系统是否具有以下功能:(1)网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况,全面掌握网络活动和行为。(2)事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时,系统自动断开该用户的连接并及时向管理员发出报警信号。(3)自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表,管理员可以迅速、直观地浏览报表内容,了解系统的当前运行情况和资源使用情况,在减少管理员单纯人为判断和经验参与的情况下,能更好地帮助系统管理员及时采取相应措施,从而使威胁整个网络的潜在破坏最小化,提高系统的安全性能。(4)系统综合管理。虽然安全审计系统是一个独立运行的软件系统,但是它和其他安全产品如防火墙、VPN,漏洞扫描等并不会产生冲突,相反它们能够相互协调和促进、更好地起到系统安全防护的作用。
二、内部审计
内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。
(一)技术审计
1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查,主要是检查是否有端口访问控制情况――进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类:口令或密钥、身份鉴别(如指纹)和使用权限控制,其中最安全的认证是身份鉴别(用指纹或其他特性),但制作费用比较昂贵,其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外,主要查各类型控制执行的情况。
2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的,并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据,网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性,很容易受到舞弊人或黑客的修改和破坏,要确保合法的客户对网络数据库访问的便利性和网络数据的完整性,应比非网络系统增加对数据库的加密管理,相应地形成数据库的加密管理审计,其内容:一是审查服务器的数据库加密装置,服务器密码装置的密钥分配,这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密,测试关键的网络数据在传输中的全程加密,此种加密是通过专用的软件实现的,因此,对这类的加密软件要进行特别的安全保护管理。
3.运行审计。(1)记录、跟踪系统的运行状况。利用审计工具,监视和记录系统的活动情况,如记录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须要有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。
(二)财务审计
1.数据库审计。在无纸化环境下,内部审计能鉴别出已发生的经济业务及其数据的真实和可靠,这是内部审计师所面临的严峻挑战。显然,内部审计师必须开发一套电子商务内部审计专用的软件和改进传统的审计程序,来适应这种审计的需要。电子商务审计软件一定能使内部审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索,否则时过境迁,就无案可查。
2.内控制度审计。网络化的计算机信息系统不断发展,内部控制将会变得越来越重要。从前述内容可以进一步说明网络环境下的内部控制制度的重要性。可以断言,在电子商务环境下,内部审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面,都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息(含会计信息)的可靠性和经济业务处理的恰当性,并且对内部控制的状况作出全面评价。
3.披露事项审计。保证电子交易的可靠性和真实性,是任何交易的基本前提。为了增强网络上的客户或消费者的信心,电子商务网络系统必须具有如下的披露基本要求:(1)对电子商务销售的商品和服务进行披露,若含有证明商品性能和服务效果的信息,必须注明其信息来源;(2)对交易条件进行披露,如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策;(3)售后服务和产品技术支持;(4)客户的权利、包括投诉的程序,并应告知客户企业的经营地址、电话号码和办公时间;(5)对争议的处理,争议处理的程序,包括管理当局和请第三方中立机构处理争议问题的程序。
4.客户信息隐私保护审计。为合理保证在电子商务中保证客户私人信息的隐私权,电子商务网站必须遵循:保证客户信息不会被传送到其他网站;客户有权禁止其信息在与交易无关的场合使用和为第三方所使用;客户私人信息未经授权不准访问,客户私人信息不能随意被透露给其他的单位或个人;网站工作人员只有处理业务时方能使用客户私人信息;在存储、变更或从客户计算机上复制信息前应得到客户的许可;严禁向客户输送恶意的程序;企业信息保护的控制得到有效执行;企业若不能执行上述控制手段,应及时公告,并说明正在采取的补救措施。
参考文献:
[1]傅元略,等.企业信息化下的财务监控[M].北京:中国财政经济出版社,2003.
[2]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.
[3]王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3).
[4]戴卫明.中国电子商务风险及其控制研究[J].生产力研究,2010,(9).
电子审计范文第8篇
一、电子商务系统审计的必然性和必要性
在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。
二、网络风险和风险管理
网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。
通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。
三、电子商务系统审计中网站的合法性证明
网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。
解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。
四、内部审计和电子商务系统审计
美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。
尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。
电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。
五、关注电子商务系统的审计风险
电子审计范文第9篇
本文立足于电子商务环境下审计理论的发展趋势,尝试从一些审计理论的基本要素来阐明电子商务环境下审计理论的基本框架,主要内容包括:电子商务环境下的审计目标和范围、审计证据和线索、审计程序与方法,以及电子商务环境下的审计报告、审计风险、审计独立性。
一、电子商务环境下的审计目标和审计范围
电子商务环境是企业的经营活动与现代网络信息技术整合而成的企业内外部条件。在这种商业环境下,传统的审计模式与企业的信息技术、网络技术融合,使得审计目标也具有针对企业资源计划和电子商务的独特性,这种独特性体现为:审计要确保企业战略信息的安全性、可靠性和完整性;审计是从实物形态上的资本保全转变为对投资者利益及各种资产价值的保全,包括企业系统及网络的价值;信息资产是现代企业生存与成功的重要因素,审计的主要社会功能是监督企业对这些信息资产进行合理、有效的使用与管理。
传统审计建立在查错防弊的基础上,审计目的主要在于揭露会计资料中的错误与舞弊现象。但是在电子商务环境下,审计目的不仅包括揭露会计错误与报告中的舞弊行为,而且还需要从根源上防范、杜绝会计错弊现象发生,同时向被审计企业提供管理咨询、技术支持等多元化服务。
从审计范围上看,审计师所面对的不单是企业的财务报表数据,而是内容极其丰富、宽泛的信息系统。在网络化的会计信息系统中,审计师通过被审计企业的信息接口转换,经被审计企业的授权,直接在企业内部互联网上调阅相关的经济业务信息。这些经济业务信息包括财务与非财务信息、货币和非货币形态的信息、数字化信息和图形化信息、历史信息和未来预测性信息等。通过对这些信息的获取与审查,在时间和空间纬度上,审计师将传统的财务报表审计范围拓展到多元化、实时、存续的经济鉴证范畴,即所谓“实时审计”的范围。
二、电子商务环境下的审计证据和审计线索
在传统的企业交易中,经济信息的记录是以纸张为载体的,企业的交易处理系统和簿记方式为传统审计方式提供了以纸张为载体的审计证据。但是,以纸张载体为主的会计信息系统存在着一些缺陷,如簿记人工成本较大、文件处理错误较多,簿记和报告时间滞后,缺少必要的备份,文档储存有局限等。这些缺陷催生了企业对无纸化商务环境的需求。无纸化办公不仅为企业节省了大量的人力、物力和财力,而且最大的优势是信息可以及时或适时地进行共享。随着企业的电子商务交易形式和无纸化办公方式的日益普及,审计师要取得适当的审计证据,就需要根据商业和技术环境的变化来调整相应的审计程序。
审计证据的收集往往决定了审计工作的成败,而审计线索是审计师选择审计突破点并实施审计追踪的事实依据。在传统审计模式下,审计证据从企业财会人员根据企业交易和事项编制的簿记文档或相关记录文件中获取,审计师可以通过常规的征询、检查来核实企业交易的真实性和完整性,从而侦察审计线索。传统审计证据主要以原始凭证、记账凭证、账簿和财务报表等纸张形式为主。在电子商务环境下,企业的内部经营管理资源通过网络系统实现电子数据化或无纸化,企业与外部的交易行为也是通过无纸化的信息系统来完成,从经济业务的发生到会计信息的生成,都是由企业的信息系统自动完成。传统会计意义上的会计凭证和会计文件的生成方式及会计信息的传播载体发生了根本变化。电子商务环境对传统企业经营环境的取代,使企业的经济业务及其信息更加精确、便利和快捷。在企业信息系统中,这些经济业务数据都作为输入或保存信息储存在系统或磁盘中。由此可见,电子商务环境并没有改变企业交易的经济实质,而是改变了审计证据的形式以及取得审计线索的审计程序。
三、电子商务环境下的审计程序与方法
(一)电子数据的采集
在电子商务环境下采集企业经济业务的相关数据,要注意电子数据的无纸化、不受空间限制、瞬时性等特征。审计人员可以通过被审计企业所应用的网络系统中预留的接口,进行终端联机,通过网络传递取得更可靠的经济业务数据,对被审计企业信息系统的完整性、存在性进行认证,对企业的电子商务交易的确认、计量、报告的真实性、合法性进行评价。审计师也可以通过专业审计软件或审计模块,独立地从被审计企业的信息系统中下载审计任务所要求的企业经济业务数据。
对于企业交易的电子数据采集有很多方法,从企业信息系统的技术系统分层分析,审计师一般可以在被审计企业的操作系统、数据库管理系统、应用程序接口或企业的会计软件系统等不同的层次进行经济数据的采集操作。如果在被审计企业的信息系统中植入了独立的审计模块,审计师对电子数据的采集就可以交由嵌入式审计模块来完成。
(二)审计程序创新
随着网络技术在会计领域的应用与发展,会计信息系统逐渐转变成由人、计算机系统、网络系统、数据与程序等有机结合的人机交互作用的“智能型”系统,使会计工作的重心从会计核算转向信息化管理。会计的信息化推动了网络技术下适时、有效的信息化审计手段的发展。通过审计与现代信息技术的有机结合,审计的监督、管理、支持等服务得到不断的创新。目前应用较广的审计程序创新主要有以下三种。
第一种创新是系统克隆技术的应用,即在被审计企业的管理信息系统之外,对其相关的经济业务数据进行“克隆”,形成一个与企业会计系统并行的克隆体,来执行审计师对被审计企业经济业务的分析、测试以及核查。审计师通过信息系统克隆手段,判断企业会计信息系统在原始数据、初始化数据以及会计软件上有无非授权的改动,证明企业会计信息的公允性。
第二种创新是嵌入式审计模块,也常被人们称为“审计黑匣子”,指审计师在被审计企业的会计信息系统中安装具有记录功能的程序模块,对被审计企业的会计信息系统进行监控,并直接获取相关的审计证据。这种审计模块不仅监控被审计企业会计信息系统的操作情况,而且本身具有隐蔽性、安全性和稳定性。
第三种审计创新是并行审计技术的应用。并行审计是一种在相关企业经济业务或事项发生的同时或稍微滞后的时间内出具审计结果的审计技术。随着企业的会计信息系统网络化形成,企业财务信息实现实时在线的披露,传统的年度或季度审计程序不能满足商业环境发展的要求,基于在线控制测试和实时实质性测试模式的并行审计模式将成为电子商务环境下的主要审计创新模式。但是,无论在哪种形式上进行审计程序的创新,都离不开审计目的与审计环境的制约,审计程序创新的最终目的没有改变,审计程序的执行永远是为了提高决策的信息质量,保证信息环境的精确与诚信。
(三)适时的分析性复核程序
分析性复核程序在审计过程中始终是一个关键的步骤。无论是审计业务的承接,还是在审计工作行将完成阶段,分析性复核程序对保证审计质量至关重要。传统的审计分析性复核程序主要侧重于财务比率,用截面数据或序时数据来分析判断被审计企业的真实财务状况。这种分析复核方式由于传统审计技术原因,受到数据类型和数量的限制。
在电子商务环境下,企业资源及其相关数据通过网络化进行整合和共享,使审计师可以直接接触被审计企业的数据库等信息资源,利用详尽及时的立体数据来提高分析性复核的质量。如果在被审计企业的系统中安装嵌入式审计模块,审计师就可以根据审计需要,适时地执行分析性复核程序,而不是传统审计中的一年一次的分析性复核。同时,基于网络信息和实时数据的分析性复核技术也得到了不断更新和完善,提高了审计业务完成的质量。
四、电子商务环境下的审计报告
会计研究表明,提高企业的信息披露的宽泛程度和报告频率,会给企业带来经济效益,这些信息披露同样需要审计鉴证其公允和诚信。现行审计的对象是年度财务报表,而且仅限于财务信息的审计。可以预见,未来的审计对象不仅包括被审计企业的财务信息,也将包括非财务信息。甚至有学者认为,在电子商务环境下的实时审计报告模式应该披露或报告被审计企业的财务状况和经营业绩、网络财务系统的合理性及安全性、专门的财务分析系统对被审计企业未来形势进行的分析、被审计企业的重大变化及其对相关利益者产生的影响。
在电子商务环境下,企业的会计信息系统已成为网络化数据系统的一部分,企业的财务信息通过网络信息技术实现实时的披露。这样,正如20世纪公司财务报表的公开披露形成了报表审计市场,实时在线的财务披露也将催生实时在线审计报告的市场。在每一项经济交易中,买卖双方都不愿意在信息不充分的情况下进行,这种经济需求是审计产生的根本条件。随着网络信息技术在财务信息披露中的广泛应用,广大的信息使用群体对企业所披露的信息的公允和诚信逐渐产生鉴证的需求。
我们从审计发生的频率、审计结果的表达形式、审计对象的信息内容和信息含量、审计报告的作用方式,以及审计报告的使用者群体等方面,将电子商务环境下的实时审计报告与传统的财务报表审计报告进行比较(见表1)。
表1传统审计报告与电子商务环境下的实时审计报告比较
传统报表审计报告电子商务环境下的实时审计报告
审计频率年度实时
审计结果审计意见经济鉴证
信息内容针对财务报表信息针对使用者选定的信息
信息含量以历史信息为主导既包括历史数据,也包括大量现时和未来预测信息
使用范围向投资者、债权人提供向决策者提供
审计方式纠错、侦察舞弊除传统方式之外,还兼有监控与咨询功能
通过比较我们可以知道,在审计报告的形式和内容上,以及在审计报告的编制和使用方式上,实时审计报告体现了电子商务环境对会计审计领域的重大影响,也体现出会计审计的发展是基于经济环境发展的基本前提。报表审计报告是现代企业制度和工业经济环境作用于会计信息需求的产物,电子商务环境下的实时审计报告也正是现代网络信息经济作用于现行会计信息诚信需求的产物。
五、电子商务环境下的审计风险
在任何审计环境下,审计师在制定审计计划时都要根据个人判断对审计风险进行评估。在比较简单的情形下,审计师可以根据个人判断将审计风险划分为高、中、低等档次。在复杂的情况下,审计师需要建立有效的风险模型来量化审计风险的等级。在电子商务环境下,由于信息经济环境更加复杂,需要建立有效的审计风险模型来评估审计任务中的风险程度。所有的风险评估都离不开审计师对审计程序中的某些指标进行主观性的判断。通过主观判断,审计师选择一定的风险评估方法,使自己的审计决策达到预定的有效程度。在电子商务环境下,审计师对审计风险的控制仍然离不开传统审计理论对审计风险的评估模型,即从固有风险、控制风险和检查风险三个基本要素来分析审计业务中的风险程度和法律责任。通过对这三类风险要素的理解,可以降低从事审计业务而招致损失的可能性。在电子商务环境下,会计信息受到最大的挑战就是会计记录的有效性、完整性和公正性,与之相关的审计和内部控制概念则是职责划分、信息安全和纠错技术。电子证据与传统证据的不同之处在于它们由电子商务企业的内部控制来保证有效性,它们的可用性和可靠性通常依赖于对经济交易有效性和完整性的内部控制效果。
由于在电子商务环境下信息披露错误会跨越不同的企业信息系统,因此其影响十分严重。一般情况下,固有风险与被审计企业经营系统的安全性相关,对其评估的主要范畴包括:(1)企业信息系统管理及经验的完整性;(2)企业信息系统变更情况;(3)可能导致企业信息系统掩饰或错报信息的异常压力;(4)企业经营和信息系统的性质(电子商务计划和系统的复杂和整合程度);(5)影响企业的行业因素(包括信息技术的适用性等);(6)企业供应链、技术引进、经营合作等第三方对企业信息系统控制的影响水平;(7)前任审计时间及其审计发现。
传统审计中的控制风险通常不容易被企业内部控制系统及时地防范、侦察和纠正。但在电子商务环境下,由于企业经济业务数据通过企业的信息系统自动地进行加工和处理,而且数据由计算机系统进行实时的反馈,因此出现控制风险的概率比较低。审计师在考虑审计任务的控制风险时,应注意企业内部控制系统的独立性和有效性,并通过系统检测证明其正常运行。
在审计风险三个基本要素中,只有检查风险是审计师能够真正控制的。电子商务环境下,审计师需要综合地考察对固有风险的评估结果以及符合性测试对控制风险的测定结论,决定对被审计企业的信息系统及其生成数据的实质性测试范围。固有风险和控制风险的程度越高,审计师就越有必要执行详细的实质性测试,来获取足够的证据和把握,将审计业务的误差控制在可容忍的范围内。
六、电子商务环境下的审计独立性
审计独立性是一切审计业务的核心。所有的审计准则都要求审计师对被审计企业保持不偏不倚的公正性,以免使审计结果的可靠性由于非技术性因素受到损害,这是对审计独立性的一个操作性界定。具体地讲,审计独立性表现为:(1)审计师与被审计企业保持经济意义上的独立;(2)审计师不能与被审计企业存在任何有损于财务报告客观性的利益关联;(3)审计师与被审计企业的关系或行为不得影响或参与被审计企业的管理决策。因此,无论审计环境如何变化,审计独立性原则都要求审计师在执行审计程序时保持公正的职业判断,回避令其独立性受到置疑的情况。
在传统的审计任务结构中,这种审计独立性一般不容易受到技术因素的影响。但是在电子商务环境下,审计师要有效地完成审计任务,尤其是对被审计企业的实时在线审计任务,就必须在信息系统的技术配置上与被审计企业的会计及其他管理信息系统形成一定的关联关系。实时数据的采集、在线审计程序的执行、网络为载体的财务披霹审计及其鉴证报告,这些审计内容都离不开被审计企业信息系统的技术支持。
非鉴证业务也是与审计独立性相关的另一个重要因素。有些关于电子商务的非鉴证,如协助客户设计、实施电子商务软件,帮助客户在传统会计系统中置入电子商务信息系统等,都会对审计师的执业独立性产生影响。审计师在向企业提供这些与电子商务相关的非鉴证时,不得偏离独立性这个关键的前提。传统审计禁止审计师参与审计客户的日常簿记、直接参与或干预审计客户的管理控制过程等有损于执业独立性的行为。将这个原则应用到现代电子商务审计中,就要求审计师在服务于审计客户过程中,不得代行企业员工职能,不得进行客户企业的网站服务器控制、网络管理、电子商务软件和数据库维护等经营性活动。如果审计师向审计客户提供监管客户企业日常经营的信息系统和维护管理审计客户网站的服务,就很有可能影响其审计的独立性。
[参考文献]
[1]李若山,刘大贤。审计学:案例与教学[M].北京:经济科学出版杜,2000年。
[2]赵玮。企业电子商务活动审计初探[J].审计与经济研究,2002,(2)。
[3]陆斌。电子商务环境下审计理论的构建[J].中国会计电算化,2001,(2)。
[4]张金城。电子商务对审计实务的影响[J].财务与会计,2000,(10)。
[5]Elliot,R……Twenty-firstcenturyassurance[J].Auditing:AJournalofPractice&Theory,2002,(2)。
[6]Elliot,R……Assuranceserviceopportunities:Implicationsforacademia[J].AccountingHorizons1997,(4)。
[7]Groomer,S.M.,U.S.Murthy.Continuousauditingofdatabaseapplications:Anembeddedauditmoduleapproach[J].JournalofInformationSystems1989,(2)。
电子审计范文第10篇
电子数据安全是建立在计算机网络安全基础上的一个子项安全系统,它既是计算机网络安全概念的一部分,但又和计算机网络安全紧密相连,从一定意义上讲,计算机网络安全其实质即是电子数据安全。国际标准化组织(iso)对计算机网络安全的定义为:“计算机系统有保护计算机系统的硬件、软件、数据不被偶然或故意地泄露、更改和破坏。”欧洲几个国家共同提出的“信息技术安全评级准则”,从保密性、完整性和可用性来衡量计算机安全。对电子数据安全的衡量也可借鉴这三个方面的内容,保密性是指计算机系统能防止非法泄露电子数据;完整性是指计算机系统能防止非法修改和删除电子数据;可用性是指计算机系统能防止非法独占电子数据资源,当用户需要使用计算机资源时能有资源可用。
二、电子数据安全的性质
电子数据安全包括了广义安全和狭义安全。狭义安全仅仅是计算机系统对外部威胁的防范,而广义的安全是计算机系统在保证电子数据不受破坏并在给定的时间和资源内提供保证质量和确定的服务。在电子数据运行在电子商务等以计算机系统作为一个组织业务目标实现的核心部分时,狭义安全固然重要,但需更多地考虑广义的安全。在广义安全中,安全问题涉及到更多的方面,安全问题的性质更为复杂。
(一)电子数据安全的多元性
在计算机网络系统环境中,风险点和威胁点不是单一的,而存在多元性。这些威胁点包括物理安全、逻辑安全和安全管理三个主要方面。物理安全涉及到关键设施、设备的安全和硬件资产存放地点的安全等内容;逻辑安全涉及到访问控制和电子数据完整性等方面;安全管理包括人员安全管理政策、组织安全管理政策等内容。电子数据安全出现问题可能是其中一个方面出现了漏洞,也可能是其中两个或是全部出现互相联系的安全事故。
(二)电子数据安全的动态性
由于信息技术在不断地更新,电子数据安全问题就具有动态性。因为在今天无关紧要的地方,在明天就可能成为安全系统的隐患;相反,在今天出现问题的地方,在将来就可能已经解决。例如,线路劫持和窃听的可能性会随着加密层协议和密钥技术的广泛应用大大降低,而客户机端由于b0这样的黑客程序存在,同样出现了安全需要。安全问题的动态性导致不可能存在一劳永逸的解决方案。
(三)电子数据安全的复杂性
安全的多元性使仅仅采用安全产品来防范难以奏效。例如不可能用一个防火墙将所有的安全问题挡在门外,因为黑客常常利用防火墙的隔离性,持续几个月在防火墙外试探系统漏洞而未被发觉,并最终攻入系统。另外,攻击者通常会从不同的方面和角度,例如对物理设施或协议、服务等逻辑方式对系统进行试探,可能绕过系统设置的某些安全措施,寻找到系统漏洞而攻入系统。它涉及到计算机和网络的硬件、软件知识,从最底层的计算机物理技术到程序设计内核,可以说无其不包,无所不在,因为攻击行为可能并不是单个人的,而是掌握不同技术的不同人群在各个方向上展开的行动。同样道理,在防范这些问题时,也只有掌握了各种入侵技术和手段,才能有效的将各种侵犯拒之门外,这样就决定了电子数据安全的复杂性。
(四)电子数据安全的安全悖论
目前,在电子数据安全的实施中,通常主要采用的是安全产品。例如防火墙、加密狗、密钥等,一个很自然的问题会被提出:安全产品本身的安全性是如何保证的?这个问题可以递归地问下去,这便是安全的悖论。安全产品放置点往往是系统结构的关键点,如果安全产品自身的安全性差,将会后患无穷。当然在实际中不可能无限层次地进行产品的安全保证,但一般至少需要两层保证,即产品开发的安全保证和产品认证的安全保证。
(五)电子数据安全的适度性
由以上可以看出,电子数据不存在l00%的安全。首先由于安全的多元性和动态性,难以找到一个方法对安全问题实现百分之百的覆盖;其次由于安全的复杂性,不可能在所有方面应付来自各个方面的威胁;再次,即使找到这样的方法,一般从资源和成本考虑也不可能接受。目前,业界普遍遵循的概念是所谓的“适度安全准则”,即根据具体情况提出适度的安全目标并加以实现。
三、电子数据安全审计
电子数据安全审计是对每个用户在计算机系统上的操作做一个完整的记录,以备用户违反安全规则的事件发生后,有效地追查责任。电子数据安全审计过程的实现可分成三步:第一步,收集审计事件,产生审记记录;第二步,根据记录进行安全违反分析;第三步,采取处理措施。
电子数据安全审计工作是保障计算机信息安全的重要手段。凡是用户在计算机系统上的活动、上机下机时间,与计算机信息系统内敏感的数据、资源、文本等安全有关的事件,可随时记录在日志文件中,便于发现、调查、分析及事后追查责任,还可以为加强管理措施提供依据。
(一)审计技术
电子数据安全审计技术可分三种:了解系统,验证处理和处理结果的验证。
1.了解系统技术
审计人员通过查阅各种文件如程序表、控制流程等来审计。
2.验证处理技术
这是保证事务能正确执行,控制能在该系统中起作用。该技术一般分为实际测试和性能测试,实现方法主要有:
(1)事务选择
审计人员根据制订的审计标准,可以选择事务的样板来仔细分析。样板可以是随机的,选择软件可以扫描一批输入事务,也可以由操作系统的事务管理部件引用。
(2)测试数据
这种技术是程序测试的扩展,审计人员通过系统动作准备处理的事务。通过某些独立的方法,可以预见正确的结果,并与实际结果相比较。用此方法,审计人员必须通过程序检验被处理的测试数据。另外,还有综合测试、事务标志、跟踪和映射等方法。
(3)并行仿真。审计人员要通过一应用程序来仿真操作系统的主要功能。当给出实际的和仿真的系统相同数据后,来比较它们的结果。仿真代价较高,借助特定的高级语音可使仿真类似于实际的应用。
(4)验证处理结果技术
这种技术,审计人员把重点放在数据上,而不是对数据的处理上。这里主要考虑两个问题:
一是如何选择和选取数据。将审计数据收集技术插入应用程序审计模块(此模块根据指定的标准收集数据,监视意外事件);扩展记录技术为事务(包括面向应用的工具)建立全部的审计跟踪;借用于日志恢复的备份库(如当审计跟踪时,用两个可比较的备份去检验账目是否相同);通过审计库的记录抽取设施(它允许结合属性值随机选择文件记录并放在工作文件中,以备以后分析),利用数据库管理系统的查询设施抽取用户数据。
二是从数据中寻找什么?一旦抽取数据后,审计人员可以检查控制信息(含检验控制总数、故障总数和其他控制信息);检查语义完整性约束;检查与无关源点的数据。
(二)审计范围
在系统中,审计通常作为一个相对独立的子系统来实现。审计范围包括操作系统和各种应用程序。
操作系统审计子系统的主要目标是检测和判定对系统的渗透及识别误操作。其基本功能为:审计对象(如用户、文件操作、操作命令等)的选择;审计文件的定义与自动转换;文件系统完整性的定时检测;审计信息的格式和输出媒体;逐出系统、报警阀值的设置与选择;审计日态记录及其数据的安全保护等。
应用程序审计子系统的重点是针对应用程序的某些操作作为审计对象进行监视和实时记录并据记录结果判断此应用程序是否被修改和安全控制,是否在发挥正确作用;判断程序和数据是否完整;依靠使用者身份、口令验证终端保护等办法控制应用程序的运行。
(三)审计跟踪
通常审计跟踪与日志恢复可结合起来使用,但在概念上它们之间是有区别的。主要区别是日志恢复通常不记录读操作;但根据需要,日记恢复处理可以很容易地为审计跟踪提供审计信息。如果将审计功能与告警功能结合起来,就可以在违反安全规则的事件发生时,或在威胁安全的重要操作进行时,及时向安检员发出告警信息,以便迅速采取相应对策,避免损失扩大。审计记录应包括以下信息:事件发生的时间和地点;引发事件的用户;事件的类型;事件成功与否。
审计跟踪的特点是:对被审计的系统是透明的;支持所有的应用;允许构造事件实际顺序;可以有选择地、动态地开始或停止记录;记录的事件一般应包括以下内容:被审讯的进程、时间、日期、数据库的操作、事务类型、用户名、终端号等;可以对单个事件的记录进行指定。
按照访问控制类型,审计跟踪描述一个特定的执行请求,然而,数据库不限制审计跟踪的请求。独立的审计跟踪更保密,因为审计人员可以限制时间,但代价比较昂贵。
(四)审计的流程
电子数据安全审计工作的流程是:收集来自内核和核外的事件,根据相应的审计条件,判断是否是审计事件。对审计事件的内容按日志的模式记录到审计日志中。当审计事件满足报警阀的报警值时,则向审计人员发送报警信息并记录其内容。当事件在一定时间内连续发生,满足逐出系统阀值,则将引起该事件的用户逐出系统并记录其内容。
常用的报警类型有:用于实时报告用户试探进入系统的登录失败报警以及用于实时报告系统中病毒活动情况的病毒报警等。
审计人员可以查询、检查审计日志以形成审计报告。检查的内容包括:审计事件类型;事件安全级;引用事件的用户;报警;指定时间内的事件以及恶意用户表等,上述内容可结合使用。