电子商务审计及其风险研究范文

时间:2023-06-05 17:59:54

导语:如何才能写好一篇电子商务审计及其风险研究,这就需要搜集整理更多的资料和文献,欢迎阅读由公务员之家整理的十篇范文,供你借鉴。

电子商务审计及其风险研究

篇1

【关键词】电子商务审计风险;电子商务审计风险

近几年来,随着越来越多的企业运用电子商务开展经营业务活动,注册会计师在对企业进行审计时不得不考虑这些与电子商务相关的业务,然而这种新兴的电子商务审计和传统的审计有很大的不同,这种电子商务的审计存在更大的风险,注册会计师识别、评估和应对其风险有更大的困难。因此,研究电子商务审计风险的成因及其防范措施,不仅能够更好的识别、评估和应对电子商务审计风险,而且也是对我国审计理论的完善。

一、电子商务审计风险的特征

一般情况下,审计风险=重大错报风险*检查风险,由于电子商务的无纸化、电子化和网络化等特点,无论是电子商务的重大错报风险还是检查风险都比传统审计风险要高。电子商务采用的全球网络化信息系统,企业一方面面临着系统自身的风险,可能导致会计数据被篡改、破坏,另一方面面临着电脑病毒和电脑黑客的入侵,导致会计数据的丢失。这些致使电子商务重大错报风险的加大。电子合同、电子函件、电子订单的存在使注册会计师审计中对其真实性、合法性很难辨别,导致电子商务审计风险中的检查风险要比传统的检查风险要高,审计工作的难度更高。

在电子商务系统高度自动化的条件下,审计证据的充分性和适当性取决于电子商务系统控制的有效性。因此,对电子商务审计主要集中在电子商务系统交易过程和控制测试。审计对象也要从财务报表及其相关资料扩展到被审计单位的资信状况、内部控制等对财务报表产生重要影响的诸多事项上来。

二、电子商务审计风险成因分析

我国的电子商务还处于发展的初级阶段,发展水平较低,相应的电子商务审计也处于探索阶段。随着电子商务迅猛的发展,电子商务审计将成为注册会计师审计发展的重要瓶颈。因此,了解电子商务审计的风险成因对电子商务审计至关重要。

首先,我国电子商务审计环境风险因素分析。迅速发展的电子商务运营不足,致使一些电子商务部能实现,加大了电子商务风险,同时增加了电子商务审计风险。此外,我国电子商务及电子商务审计的法律体系尚不完善,这使企业和注册会计师缺少了执业标准,我国的审计准则虽然涉及了电子商务的内容,但是对电子商务审计的程序和具体的审计标准没有规定,这必然导致注册会计师在执业过程中无章可循,必然导致审计风险。另外,我国的社会信用体系还不健全,这给企业在进行电子商务中可能带来风险。

其次,电子商务审计的客体风险因素分析。一般情况下,审计风险的存在很大程度上是由于被审计单位内部的原因所导致的,电子商务审计风险的出现很大程度上也是由于企业内部出现的问题。企业对电子商务业务的内部控制不健全,导致了电子商务审计风险的大大提高。电子商务的自动化、无纸化、信息化等特点决定了,电子商务审计很大程度上是依靠控制测试而很少用到细节测试,因此企业对电子商务内部控制的设计及实施至关重要。企业内部网络安全也是导致电子商务风险的一个重要原因,网络病毒的入侵、电脑黑客的攻击等都可能篡改会计数据等,从而造成审计风险的产生。此外,参与电子商务人员的专业知识和素质也是影响电子商务风险的一个重要因素。

第三,电子商务审计主体风险因素分析。我国的电子商务起步比较晚,电子商务审计需要的人才必须掌握会计、审计等必要的财务知识外还必须掌握电子商务、计算机等新一代的知识,这需要一种复合型人才,由于我国在电子商务方面的起步比较晚,因此,这方面的人才可能会很或缺。会计师师事务所对这方面的人才进行培养不仅需要财力更需要时间。会计师事务所在遇到电子商务审计业务时可能由于缺少这方面的人才,而根据传统审计的经验来审计,从而带来个较大的审计风险。会计师事务所在对电子商务进行审计中所使用的审计软件实用性不强,通用性较弱。我国电子商务审计是最近几年才发展的,这方面的审计软件的研究开发、研究投入还较少,注册会计师在进行审计当中运用实用性不强的软件很容易带来审计风险。另外,我国近几年会计师事务所的竞争不断加大,造成了低价招揽业务。因审计收费的降低,会计事务所不得不减少审计工作、缩小审计范围,这会增加审计风险。

三、电子商务审计风险的防范

对审计风险的研究的目的就是为了有效的降低审计风险,使审计风险可以降至可以接受的水平。随着电子商务的快速发展,电子商务审计对象的无纸化、网络化、信息化日益提高,要求各方面共同努力,采取有效的措施来降低电子商务审计风险。

电子商务环境因素方面的防范措施。第一,由于我国电子商务处于发展阶段的早期,因此加强对电子商务系统的完善至关重要。给电子商务一个合理的平台,才能把电子商务审计落实的实处,把电子商务审计风险降到可以接受的底水平才不是一句空话。第二,完善电子商务法律法规和有关电子商务审计准则。电子商务的法律法规对规范电子商务起到至关重要的作用,这给了电子商务业务一个合法的标准,有利于审计人员对电子商务的合法性给予判断。完善电子商务审计准则,特别是具体的审计准则,从审计的程序和具体的操作过程都要有明确的规定,这有利于审计人员把握电子商务审计的细节,从而降低风险。最后,建设社会信用体系,社会信用体系的建立能对电子商务这种虚拟的网络交易提供安全保障,另一方面注册会计师可以更好的了解企业的信用状况。另外,加强网络的安全措施也是对电子商务正常运行不可或缺的部分。

电子商务审计对象的防范措施。第一,加强企业关于电子商务的内部控制措施。由于电子商务的自动化、信息化、网络化的程度之高,注册会计师在进行审计时,通常采用控制测试而很少采用实质性测试,这对电子商务业务的内部控制的有效性要求比较高。因此,建设有效的电子商务内部控制系统,对防范电子商务审计风险有很大的帮助。第二,加强企业内部电脑安全和参与电子商务人员的专业知识。电子商务的网络化、信息化要求企业把电脑安全措施管理好,不仅做好企业内部的网络安全,更重要的是做好电子商务网上的授权处理。企业要求做到专门的部门专门的人员来采购、管理电子商务业务。企业应加强电子商务人才的培养,不仅专门的电子商务人员懂得电子商务的内含,而且要让企业公司的各个部门如销售、采购、运输等部门了解电子商务的流程和内含,让电子商务渗透到整个企业当中,这样有利于电子商务的正确开展,减少了在运行过程中的摩擦,大大提高了效率,同时减少了电子商务的风险。

电子商务审计主体的防范措施。第一,会计师事务所培养电子商务审计的人才。电子商务审计是最近几年才发展起来的,它和传统审计有很大的不同,这就导致传统的审计方法和程序不适合电子商务审计。因此,会计师事务所必须加大电子商务审计这方面的人才培养,才能应对所接受的业务中的电子商务审计,从而减低电子商务审计风险,增加会计师事务所的业务量和审计质量。第二,会计师事务所开发实用、有效的电子商务审计软件。不同的电子商务环境造成审计对象的范围和审计方法不一样,因此在软件研究和开发的过程中要充分考虑这方面的问题,开发出不同环境下实用、有效的电子商务审计软件,这样可以在降低审计风险的同时,提高审计的质量。第三,会计师事务所做好电子商务质量控制措施。在项目组审计完毕后,会计师事务所要对所涉及的电子商务审计重点进行复核,要求对电子商务这部分的复核更严格、人才配置更优秀,要把这方面的风险控制在可以接受的范围内。

本文通过对电子商务风险的特点、风险产生的原因以及应对风险的措施的简单研究,希望对企业所涉及的电子商务业务有所帮助,同时希望拓展会计师事务所的电子商务审计业务,提高电子商务审计的效率。

参考文献:

篇2

关键词:电子商务;安全;评估;标准

中图分类号:F239 文献标志码:A 文章编号:1673-291X(2012)13-0136-02

一、电子商务安全评估概述

1.电子商务安全评估重要性电子商务安全评估是运用系统的方法,对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。由于信息技术本身有其固有的敏感性和特殊性,这就使得对企业电子商务产品是否安全,电子商务安全产品及其网络系统是否可靠,企业电子商务系统是否健壮,电子商务管理是否严格,信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息,评估必须可靠、可信、可操作,并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系,具有令人信服的科学性和公正性。

2.电子商务安全评估内容。电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。远程通信安全包括加密、数据签名等。

二、电子商务安全

1.电子商务安全需求与隐患。在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。

电子商务面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来,电子商务中的安全患主要有其应用层、传输层、存储层和系统层等四个方面:(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层的安全性漏洞将直接会造成电子商务中的安全患。(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1)意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2)有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。

2.电子商务安全要求与技术。电子商务安全要求主要有以下六点:(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。

通过使用以下四种电子商务安全密码技术,可以基本满足不同的电子商务安全需求。(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。

三、电子商务安全审计

(一)电子商务安全外部审计

外部审计是指审计师对公司电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。消费者可以通过查询这些第三方组织的网站进行了解。1998年美国注册会计师协会(AICPA)先后成立的Elliott委员会和Cohen委员会,可以对电子商务的这方面内容提供鉴证。AICPA对电子商务提供的保证服务主要分为两个方面:完整性保证系统(Integrity Assurance System):电子交易中的数据要素是各方同意达成的,并且在数据处理与存储的过程中保持其完整性,没有未经授权的修改。安全性保证系统(SecurityAssuranceSystem):交易双方的身份验证以及电子数据没有未经授权的泄漏。

(二)电子商务安全内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。

1.技术审计。对电子商务系统进行技术审计的主要内容有三项:(1)纪录、跟踪系统的运行状况。利用审计工具,监视和纪录系统的活动情况,如纪录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。审计工具还能识别合法用户的误操作等。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。

2.财务审计。对电子商务系统进行财务审计的主要内容有两项:(1)对电子商务风险设定非财务化监测工具,这种工具可以是数量化的,也可以是非数量化的。比如实时监测服务器访问者数量,或者使用嗅探器工具网络监视工具对公司内部网以及国际互联网出口进行监测。(2)对电子商务风险实行与商业风险并行的另外一套防范方法,但是这种防范措施要与其他风险的防范一起进入风险管理的总的成本与人员控制。

参考文献:

[1] 刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.

[2] 王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3).

篇3

关键词:商业银行;电子商务;风险管理

商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。

一、信息安全管理的历史演进与现阶段的特点

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。

(一)以事件驱动的初级阶段时期

19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。

(二)标准化时期

企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。

(三)安全风险管理策略时期

随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:

1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统

一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。

4.在许多国家信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。

二、我国商业银行电子商务安全风险管理策略的薄弱点

(一)系统管理思想缺乏

目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。

实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。

(二)风险分析的模型与方法不成熟,定量分析不足

电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合

本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。

(四)风险管理策略无法

依赖外部的信息安全管理行业

在发达国家,信息系统审计(IsAudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。

(五)风险管理策略中商业银行的内部风险控制能力薄弱

我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。

三、商业银行的电子商务安全风险管理策略的改进建议

(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架

利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。

在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。

(二)电子商务安全风险管理中定量分析中的改进思路

商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。新晨

(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴

将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。

篇4

 

关键词:商业银行;电子商务;风险管理

    商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。 

 

一、信息安全管理的历史演进与现阶段的特点 

信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。 

 

(一)以事件驱动的初级阶段时期 

19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。 

 

(二)标准化时期 

企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。 

 

    (三)安全风险管理策略时期 

随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下: 

1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—One),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。 

2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(OCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。

3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。 

4.在许多国家信息系统审计(Is Audit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的IT风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。 

 

二、我国商业银行电子商务安全风险管理策略的薄弱点 

(一)系统管理思想缺乏 

目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。 

实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(IS017799)、《信息技术安全性评估准则》(GB/T18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。 

 

(二)风险分析的模型与方法不成熟,定量分析不足 

电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。

(三)忽视与原有的传统风险管理策略的结合 

本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。 

篇5

【关键词】 电子商务; CPA; 网络鉴证

一、注册会计师是网络鉴证的不二人选

(一)CPA是鉴证业务的行家里手

网络鉴证主要是进行电子商务网站的内部控制制度测试,而内部控制制度测试一直是CPA的专长,由他们来执行该项测试其身份是非常让人信服的,且CPA对风险有着敏锐的嗅觉,不管风险是现实的还是潜在的,都难逃CPA的眼晴。

(二)CPA具有独立、公正、客观的良好形象

在传统的财务报告审计和其他鉴证服务等业务中,注册会计师始终保持着超然独立的第三方身份,不论是精神上还是经济上。据调查:有67.31%的企业认为可以接受CPA提供网络鉴证服务,这是对CPA独立、公正、客观形象的广泛认可。CPA经过长期实践的积累,其独立、公正、客观的良好形象已深入人心,不论是商家,还是消费者及管理部门,都易于接受他们出具的鉴证结果。

(三)国外网络鉴证经验和本土CPA人力资源为其提供保障

AICPA和CICA早在1997年就联合推出了网络鉴证准则,并经过不断实践探索,在2004年修改定稿的TPSC1.0已经是相当程度的成熟与合理了,它们的成熟为我国的经验借鉴提供了素材与标准。根据中注协的统计分析,在全国百强会计师事务所中,硕士及以上学历的CPA所占比重越来越大,CPA学历呈上升趋势,这为开展网络鉴证业务提供了充足的人力资源。

二、注册会计师开展网络鉴证的困难与不足

(一)宣传力度不大且各方的认识不够

当今,网络鉴证在部分发达国家受到了追捧,我国相关管理部门虽对其给予了一定的重视,但并没有进行大力宣传,这使得社会公众无法通过正常途径对网络鉴证有一个较全面和深入的了解。另外部分注册会计师对网络鉴证的知识不熟练,没有强烈的探求新知识的欲望。在此种情况下,会计师事务所不会积极地开展网络鉴证业务,电子商务网站也不会主动要求实施网络鉴证,社会公众也不会有过多的关注与议论。

(二)注册会计师的网络鉴证胜任能力受到质疑

网络鉴证是一项专业性和综合性很强的工作,它要求CPA是既懂电子商务又熟悉计算机业务和会计审计知识的复合型人才。要做好网络鉴证业务,CPA除了具备传统的会计、审计知识外,还必须懂得相关的电子商务、法律、计算机等方面的知识,否则将遭遇巨大的网络鉴证风险,鉴证结果也无说服力。据调查显示,我国在会计师事务所执业的CPA年龄与知识结构不太合理,这就导致了其对网络、电子商务等高科技产物的认识存在短视,这也会使得其对网络鉴证业务的开展缺乏兴趣,甚至避而不理,直接导致其网络鉴证的专业胜任能力不够而受到质疑。

(三)网络鉴证难度大且风险呈几何级数增加

电子商务环境下,由于交易的无纸化,导致审计证据由传统的纸质载体变成了磁性载体,审计证据在传输和保存等过程中的安全性引起了审计人员的担忧。由于网络鉴证是通过计算机来进行,在鉴证过程中不能妨碍和暂停被鉴证网站的一切活动,整个网络鉴证过程就是在一个动态的环境中取得证据的,且电子数据的极易消失性和极易破坏性,将引起CPA取证难度加大。网络信息瞬间变化多端,当浏览者看到鉴证报告时,可能其中的鉴证信息已滞后了,这就加大了CPA网络鉴证的责任。由于遭受病毒和黑客随时入侵、计算机操作人员主观意愿的影响,会使CPA从事网络鉴证的风险呈几何级数的增加。

(四)网络鉴证成本高昂

网络鉴证不同于传统审计,它要求的人力、物力和时间都多。网络鉴证除了拥有执业注册会计师外,还需要精通网络的IT精英和熟悉电子商务相关内容的专业人士,加之先进的设备和大量的人员培训等方面的大力投入,必然会使网络鉴证的成本比传统审计要高得多。网络鉴证中涉及的内容非常宽,这就要求CPA搜集更多的鉴证资料,并且在制定鉴证计划和编写工作底稿上花费更多的精力。网络鉴证要求CPA不断跟踪和及时更新原有的鉴证结果,这势必花费CPA更多的时间和精力。网络鉴证的工作时间不确定,它是根据业务的复杂程度和业务后方人员的准备程度来确定的。网络鉴证的收费很高,因而阻碍了网站主动申请开展网络鉴证的积极性。

(五)多米诺骨牌效应明显

在电子商务闭合系统里,每个交易主体都是紧密相关联的,许多交易客户联合起来结成高度集成的系统和广泛的数据联盟,在这种决策和快速交易模式条件下,各交易客户之间的相互依赖和影响逐渐增强。而计算机在数据处理上具有重复性和连续性,对于错误信息的识别能力不能百分之百,若由于系统故障、错误或遗漏而导致某个交易客户内部系统的一条信息发生错误,并被计算机重复且连续反复执行,将会对其他交易客户产生连锁反应,进而影响其他网络系统,其网络交易的多米诺骨牌效应就出现了,且无法事先预防,其交易风险大大增加。

三、大力开展注册会计师网络鉴证业务的相关对策

(一)强化各种形式的宣传和各方的认识与知晓度

中注协和政府其他管理部门应该联合起来,利用新闻和各方媒体加大对CPA开展网络鉴证的宣传力度,如在新闻中插播网络鉴证的相关知识;在某电视台开设CPA网络鉴证教育性的专题节目或以竞赛的形式来加深社会公众对其的了解与认识;由中注协组织专人在各高校开展网络鉴证的巡回讲座,提升在校学生对网络鉴证的认识;充分利用网络,在百度、谷歌等搜索引擎中增添网络鉴证的相关专业知识、问题及答案;会计师事务所应定期对其员工进行网络鉴证方面的专业知识培训,并加强与国际会计师事务所的交流与合作,营造网络鉴证之势,扩大其社会影响和提升社会知晓度。

(二)提升注册会计师开展网络鉴证业务的竞争能力

会计师事务所应加强CPA网络鉴证方面的长、短期培训,增强与各大知名国际会计师事务所的交流与合作,积极招聘知识结构符合网络鉴证业务要求的年轻注册会计师,增强注册会计师队伍开展网络鉴证的竞争能力;通过设立相适应的鉴证策略,慎重选择被鉴证网站,对网络风险保持敏锐的嗅觉,以提高风险的识别与应对能力;高校可以将计算机类专业与财经类专业进行交叉融合,专门培养一些既懂会计和审计,又懂计算机的综合性人才,提升注册会计师开展网络鉴证业务的竞争能力。

(三)探索开发网络鉴证的审计软件以降低网络鉴证风险

加强网络鉴证的软件开发,会计师事务所可以选择与财务软件公司合作,开发出实用性和通用性强的网络审计软件,该网络审计软件应与电子商务相适应,增添“有痕迹”的更改功能、及时检查和紧急备份功能,尽可能为CPA网络鉴证留下更多有用的审计线索。建立安全、可靠的网络审计系统,在该系统中可以采取多重密码登录、操作权限的设置以及安装防火墙和反病毒等软件,有效地防止审计信息外泄。将审计测试软件事先嵌入被审网站的服务器中,实现在线随机多方位的审计,实时记录审计发现的问题,防止审计线索的突然消失,降低网络鉴证的风险。

(四)积极引导以尽快出台网络鉴证法律与法规

中注协及其他管理机构应参照和借鉴AICPA和CICA、IAASB的有关网络鉴证的准则和规范,尽快制定出一套适合我国情况的网络鉴证准则和指南、实务公告,以规范和约束CPA网络鉴证业务的开展。相关管理机构应借鉴国际惯例,在考虑前瞻性的条件下制定出《电子商务法》,为电子商务的快速、健康发展提供良好环境,也为CPA开展网络鉴证业务提供重要的执业规范。各大型会计师事务所可强强联合,攻破网络鉴证中的一些难关及瓶颈,为网络鉴证扫除一些技术障碍。中注协应定期或不定期地对有资格从事网络鉴证工作的事务所进行抽查和复核,严把网络鉴证风险关。

(五)制定应急预案以防突发多米诺骨牌效应

在高度集成的电子商务系统中,其系统的脆弱性和风险性都很大,为了防止多米诺骨牌效应的发生,会计师事务所应在网络系统中建立完备的应急预案和弥补控制措施。当多米诺骨牌效应还没产生大的影响时,就要及时制止,将高风险扼杀于萌芽状态。这要求CPA积极参与到电子商务系统的设计和开发之中去,创造一个高频率控制系统的运行环境。还应特别注意被审网站与交易伙伴之间的独立性,把被审网站电子商务系统的内部控制制度作为审查和评价的重中之重。具备网络鉴证资格的CPA应联合起来建立审计委托中心,某一电子商务系统由某一审计委托中心的会计师事务所来审计,避免其他系统对该网络系统产生影响和灾难性的多米诺骨牌效应风险。

【参考文献】

[1] 冯敏红.E时代审计业务新亮点[J].商业研究,2005(11):150-152.

[2] 张继勋,陶能虹,王蕾.网络鉴证需求及注册会计师的胜任能力――基于问卷调查分析[J].审计研究,2004(3):23-26.

篇6

关键词:网络会计;审计;影响

1审计重要程度的加强及风险的增大

网络会计信息系统以计算机和通信网络为基础,它对计算机系统强烈的依赖性潜伏着巨大的威胁,控制不灵、使用不当就可能造成灾难性的后果,并且存在计算机病毒和“黑客”的肆意侵袭、计算机犯罪等等都导致会计信息失真的风险。因此,审计人员不仅要对经济业务活动产生的数据是否真实、正确、合法进行审计,而且还要对网络会计系统的硬件和软件,进而对整个会计信息系统的安全性、可靠性、内部控制的健全性与有效性等方面进行审计,从而指出被审单位会计信息系统内部管理和控制上的薄弱环节,提高会计信息的可靠性和真实性,有效地利用计算机随意篡改会计数据或破坏磁性介质上的数据等舞弊行为的发生。因此,这网络会计信息系统中,审计工作的重要性远远超过以望。同时,电子商务和经贸活动的网络化使企业与外部的信息交换更为频繁、快捷,经营周期大大缩短,交易活动呈现很强的实时性。审计风险是指会计报表存在重大错报、漏报而审计后发表不恰当审计意见的可能性。理论上讲,审计风险由固有风险、控制风险、检查风险组成。电子商务环境下,审计风险日益复杂:

(1)过渡依赖网络系统。电子商务环境下,主要审计证据来自于网络,其可靠性高度依赖网络系统的可靠性和安全性,而网络系统的开放性导致审计控制风险更加难以确定。

(2)病毒与黑客风险。计算机病毒和黑客可以从地球任何一个角落攻击会计信息系统的数据,给系统造成破坏,导致固有风险增大。

(3)审计线索模糊。电子商务环境下,网络财务会计系统的设计可能使一个完整的交易轨迹只保留一段时间或设计成计算机可读性,可以人为修改数据而不留任何痕迹。因此,私人违规接触会计数据或修改数据以及接触资产而又不留下显见证据的可能性增大。审计线索的不可见性,使检查风险增大。

2审计线索和审计方式的改变

审计线索对审计来说是极为重要的。审计工作中,审计人员正是通过跟踪审计线索,审核有关经济业务和收集审计证据的。而审计的过程,实质上就是不断收集、鉴定和综合运用审计证据的过程。在传统商务活动过程中,每笔交易都有一个完整的审计线索,交易的每一环节都有文字记录,都有经受人签字,审计线索十分清楚。审计人员可以从原始单据开始,对交易事项进行追踪,一直到报表为止,也可以从报表开始,追根寻源,一直追溯到原始单据,从而形成了顺查、逆查等审计方法。但是,在网络会计系统中,传统的单据没有了,纸质记录消失了,代之的是粗有数据处理资料的磁盘、磁带、光盘等,这些存储在磁性介质上的信息是机器可读的,它们不再是肉眼所能直接识别的了。审计所需的线索和证据完全可能由审计人员通过网络从其他有关方面获得。从而实现了审计线索、审计证据来源的多样化。

在网络世界里,企业的生产和经营的组织形式将处于多样化,并随着不同交易事项自由合成新的经营主体-虚拟企业(VirtualFirms)。虚拟企业存在于计算机网络之中,它是一种临时组成的,没有固定形态和明确空间范围的结合体。它可以随业务活动的需要,由若干相互独立的公司经过整合、重组而成,也可以随交易业务的完成而随时中指。电子商务使得虚拟企业的交易可以在瞬间完成,虚拟企业也就可能在交易完成后立即解散。网络社会的虚拟企业,其存续的时间可以很厂,长达几年或几十年,也可以很短,只存在几秒钟。故虚拟企业的快速结合与解散,要求审计工作必须随时、随地进行,实时、即时提供审计信息,而不能按照传统的审计工作要求,定期提供审计信息。

3审计内容的拓宽

在网络会计系统中,审计的监督职能并没有改变,使审计的内容发生了相应的变化。首先,网络会计系统的特点及其固有的风险决定了审计内容必须包括对网络会计系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的;其次,由于网络会计系统已经开发完成并投入使用后再对它进行修改优化,要比在系统设计阶段对它改过困难得多,代价也昂贵得多。因此网络会计系统的设计应有审计人员(一般是内审人员)的参加。在系统设计开发阶段,审计人员要提醒开发人员注意并监督审查下列问题:

(1)系统的功能是否恰当、完备,能否满足用户商务活动的需要;

(2)系统的数据流程、处理方法是否符合有关贸易法规;

(3)系统是否建立了恰当的程序控制,以防止或发现无意的差错或有意的舞弊。4审计方法与技术的改进

在网络会计系统中,审计的对象发生了变化,大量的证据都存储在肉眼不可见的磁性介质上,对这些证据,审计人员只能利用计算机技术进行审查、核对、分析、比较等各项审计工作,从而提高审计的效率与质量。在对会计活动进行审计时,单机系统环境下的审计方法有的已不使用。而网络技术的发展为网络审计软件的开发提供了技术支持,为审计提供了更为便捷的审计方法与技术。具体来讲,审计方法应具有以下特点:

(1)从审计数据获取来看,审计人员可以利用审计接口软件直接获取数据,同时可以通过文件传输、远程登录、网络浏览、电子公告或新闻组等网络工具远程获取信息;

(2)从审计信息的加工处理来看,可以借助各种审计软件对获取的信息进行快速、准确地加工和处理;

(3)从审计报告阶段来讲,可以利用网络发表审计报告,提高报告的时效性,同时扩大审计报告的适用范围。

5对审计主体的相关要求

审计主体即实施审计监督的执行者,也就是审计机构和审计人员。网络系统的发展应用,使得审计人员必须渗透到网络系统的设计、实施、计算机的应用程序,甚至到每一个数据文件中去。为适应网络会计的发展,审计人员应该树立起全新的思维观念:

(1)树立创新意识。网络会计本身是创新的产物,而且远未成型,正处于不断创新和变革之中,同时也源源不断给审计人员带来了挑战。审计人员必须树立创新意识,针对网络会计带来的新情况、新问题,建立全新的审计理论和审计模式,积极探索在新的网络环境下审计目标、审计对象、审计测试、审计准则等方面的理论和方法,这既有利于解决审计面临的难题,同时也有助于推动电子商务的发展。

(2)树立竞争意识。网络会计的兴起,打破了传统的行业壁垒,同样的业务可能为多种行业共享,审计在开展此类业务时将无法享有专有权,尤其计算机网络系统鉴证等业务,其他非审计职业人员同样可以提供此类服务。同时,随着经济全球化,国外会计师事务所机构已经开始进入国内,对国内审计人员和审计机构也形成挑战。国内审计人员必须洞悉市场竞争的变化,调整竞争策略,及时掌握前沿技术,取得竞争优势。

参考文献

[1]刘峰.试论电子商务对审计的影响[J].软科学,2002,(3).

[2]梁心杨.浅论电子商务对审计的影响[J].河北审计,2000,(10).

篇7

[关键词]电子商务会计;会计信息系统;信息安全

1引言

电子商务的实施和推广,极大地冲击了企业的传统经营和发展模式,也使企业的传统会计有逐步向电子商务会计过渡的趋势

电子商务是一个以Internet为主要平台以交易双方为主体以银行支付和结算为主要手段以客户数据库为依托的全新商业模式因此,如何应对这种全新的商务模式适应信息化条件下的市场竞争,是企业会计必须面对的崭新课题由于电子商务发展所依托的主要平台——互联网具有很大的安全风险,电子商务环境下的会计信息同样也面临着不可忽视的安全问题随着电子商务应用的进一步推广,电子商务环境下的企业会计信息安全问题的日益凸现,已经成为企业向电子商务时代跨越的一大障碍因此,解决电子商务环境下的会计信息安全问题已经成为发展电子商务会计中最重要最基本的工作

2电子商务环境下的会计信息安全问题

由于电子商务环境下网络的复杂性以及会计问题的特殊性,会计信息遇到的安全问题是多方面的电子商务环境下存在着大量的会计信息安全问题:

(1)网络安全风险

互联网是一个开放的环境,置于该环境中的各种服务器数据库上的信息在理论上都是可以被访问到的因此,网络会计信息系统很难完全抵制非法访问者的侵扰和攻击尤其是当系统程序本身存在问题系统安全漏洞较大并且系统管理人员尚不自知时,就难以保证服务器上的会计信息系统的信息资源不会被窃取或篡改当然这种攻击可能来自于系统外部,也可能来自系统内部,而且一旦发生企业将损失巨大

(2)无纸化的申报和扣税带来税务稽查问题

在网上交易电子化,电子货币电子发票和网上银行日渐普及的情况下,纳税人手工上门申报方式已经无法适应电子商务发展的需要同时,也引出了所谓的电子税收问题,即如何保证纳税单位忠实无误地进行网上申报,而税务稽查的基础是掌握大量确切的有关纳税人应税会计信息的证据

(3)追踪审计困难

从审计工作的角度看,由于数据高度集中于电子商务系统,电子商务系统对错误的处理具有重复性和连续性,电子商务系统中许多不相容职责相对集中,加大了舞弊的风险此外,会计信息系统设计时可能没有充分考虑到审计工作的需要,没有留下充分的审计线索因此,无纸化的商务环境导致电子商务活动难以追踪审计,各种会计凭证又可被轻易修改而不留痕迹,传统的税务稽查工作失去物质基础

(4)相关的法律法规配套不完善

加强电子商务立法措施,为电子商务会计发展提供一个健全的法律环境为此,要大胆借鉴和移植发达国家电子商务保护交易安全的成功经验和制度,并结合中国的实际情况,构造一套强化交易安全保护的法律制度;在计算机及其网络安全管理的立法上,应针对电子商务交易在虚拟环境中运行的特点,明确提出电子商务交易安全保护的法律措施;随着电子商务进一步发展,虚拟公司越来越小,而人力资源与知识产权等是其创造价值的动力所在未来的会计报告必然要求披露知识产权商誉等的真实情况确认的公允价值我国有关电子商务活动的法律法规还难以预想到电子商务会计活动中出现的新问题,这就增加了会计信息安全的不确定性,加大了风险

(5)现行财务会计软件的不成熟带来的会计信息安全风险

由于开发的滞后性,当前市场上流行的各种财务软件,都与电子商务会计发展的客观需求存在着一定的差距开发出的财务软件适应性差应变能力不强相互兼容性不好抗病毒能力差等弱点已很难适应电子商务会计的需要电子商务会计软件的不成熟严重阻碍了电子商务会计的充分发展

会计信息是企业管理的基本依据之一,从事电子商务活动的企业需要利用电子商务网络进行会计信息的收集输入处理存储输出传递等活动,如何利用电子商务安全技术对网络中的会计信息进行保密处理,确保会计信息的安全,是企业面临的一项重要任务

3电子商务环境下的会计信息系统安全策略研究

一般的会计信息系统都包括信息源输入处理存储输出反馈和信息汇等几个构成要素各构成要素的关系如图1所示:

在电子商务环境下,会计核算网络化以后,会计岗位将重新划分,包括系统设计员系统管理员系统操作员数据录入员数据审核员系统维护员数据分析员档案管理员等,各岗位之间相互联系相互监督相互牵制会计信息的安全与会计信息系统的构成元素有着密切的关系,因此,我们可以从会计信息系统的各个构成元素来对会计信息安全进行研究,具体分析如下:

3.1会计信息源的安全

原始会计信息准确性是企业会计问题的基础,因此,会计信息源安全的意义不言而喻,如果会计信息源遭到攻击,导致其发出的信息是虚假的或是不准确的,在会计信息系统本身没有识别能力的情况下,会计信息系统中处理存储和输出的信息肯定是有误的,传送到信息汇中的信息也是错误的,这必然引发企业一系列的会计问题因此,如何保证在信息源头获取正确的可靠的原始会计数据,是保证会计信息安全的基础,否则,一切挽救措施都无从谈起为此,需要在信息源处加上电子审计的功能,以确保其发出的数据是准确的客观的同时,在进入输入节点时需要加上识别功能,以防错误或虚假信息进入会计信息系统在电子商务的环境下,会计信息源可能在企业外部,非企业本身所能控制,因此,保证会计源发出的信息准确无误不仅需要各种先进的电子商务安全技术和安全措施作支撑,还需要相关的电子商务法规来保障,同时还需要建立起全社会的诚信系统来维护,以最大限度地减少虚假错误的信息的发生具体到企业个体来说,信息源责任单位应建立有效的信息安全保密管理制度和技术保障措施,并接受相关业务主管部门的管理监督和检查公司财务主管应有权对信息源责任单位对外公开的信息内容通过浏览进行检查,并要求信息源责任单位就不适宜的信息内容进行修改和删除等

3.2信息输入节点的安全

数据输入的正确与否直接影响到账务处理和账务输出的结果因此会计数据输入控制显得尤为重要在会计信息系统中,每一步的信息输入要来自上一步的结果,每一步的信息输出又构成下一步的信息输入在电子商务环境下,从会计信息源获取的数据一般是通过客户端直接输入系统的或从另一个系统传送到系统服务器数据库的如果是人工键盘输入,则需要在保证输入正确的同时防止信息的泄露,还需要采取措施对录入人员进行培训和监督,特别是需要进行及时的内部监控,以防有人故意破坏或输入虚假错误的数据另外,在输入技术方面,需要考虑输入的方式接口输入数据的格式及其转换问题,这关系到原始会计数据是否能正确地进入系统病毒的破坏黑客的攻击以及人为的失误等状况都可能威胁会计数据的正常安全转换此外,实际经验表明,内部人员的干扰和破坏是系会计信息系统安全的最大隐患,因此很有必要为此制定一个严格的完善的会计信息安全管理制度,使企业财务系统从设计投入使用业务操作设备管理都有相应的制度监督,对违反规定的员工必须依制度处理,建立相应的监督机制,保证相关制度得到落实在许多先进的会计信息系统中一般均含有监控模块或子系统,其作用是对外部信息的输入进行必要的控制和管理,以及时发现和纠正各种可能的错误3.3信息处理部分的安全

数据处理是会计信息系统的核心功能,财务系统处理的业务均与“钱”有关,具有高度的敏感性和机密性,处理结果要求及时准确完整,不能有一丝差错故一般在数据处理期间,其网络必须封闭运行,不能连接与业务无关的终端,不能与其他无关的部门共同使用计算机设备,更不能与互联网相连当然封闭是相对而言的,对业务相关部门是应开放的,以实现资源共享,提高企业管理水平需要说明的是,即使对相关部门开放,也需层层加密,授权作业,禁止处理未授权的业务

信息处理部分的安全隐患也主要来自黑客的攻击程序的破坏以及系统开发时留下的bug,这些都会干扰信息系统对会计数据处理的正常处理,甚至会危害整个系统的运行这些问题与前述的问题有关,但内部人员作案外部人员或组织的破坏均是可能的特别是内部人员或前内部人员作案,隐蔽性强,往往难以追踪,而且破坏性很大,这同样需要制度化的措施和及时的监控来加以解决另外,黑客程序的入侵和病毒程序的破坏已经是经常性的问题,因此,实时监控是电子商务网络和系统必备的措施应建立操作日志,对日常业务进行全程跟踪,加强控制,对大额业务单独列示,详细反映认真核对每笔业务,建立严格的确认复核制度,保证数据完整准确重点监控大额业务定期评估财务系统的安全性,发现问题及时解决

3.4信息输出部分的安全

由于会计信息系统输出的财务数据或信息往往涉及企业的商业机密,所以需要采取严密的措施进行安全防范除了前面叙述的问题外,如何防止企业敏感财务信息的泄露是重中之重对优秀的会计信息系统来说,所有数据输出活动都应该有记录,这种记录主要是针对用户的信息审计系统能实时对进出内部网络数据库系统的信息进行内容审计,以防止或追查可能的泄密行为凡属,按照国家有关法律法规要求,建议安装使用信息审计系统信息输出的形式往往与采用的保密措施有关,特别是当会计数据或信息以电子化的形式输出时,需要采用严格的制度和纪律加以规范,以防在电子商务网上迅速传播和泄露另外,对获得输出数据或信息的人和组织必须进行严格的审查和监督,并加以控制和施以法律责任,以防止泄密或向外部被篡改后的数据或信息,引起争议或麻烦

3.5数据存储部分的安全

这是会计信息系统最敏感的部分这部分的安全威胁主要来自黑客对未经授权的数据的浏览修改和删除此外,计算机病毒对于存储的电子数据也是一个极为严重的威胁对企业财务数据信息的安全保护,其重要性已经上升到企业安全的高度因此,建立一个安全高效的数据存储管理制度刻不容缓首先,电子商务系统本身的技术水平技术措施系统管理员和数据库管理员的技术水准和责任心严格的纪律和手段等,是保证数据存储器安全的先决条件同时,凡是有权访问数据的人和组织均有法律责任,对敏感的会计数据进行严格的保密另外,数据存储安全管理尤其需要隔绝不安全的人包括:

(1)数据破坏者毁灭存储信息

(2)窃密者超越权限获取信息的人都可以称为窃密者

(3)不当使用者不熟悉数据安全和处理的人都可能造成不当使用

这其中前两类人有很多是内部人员,也可能以黑客/间谍面目出现

因此,企业需要加强内部控制,实行严格的数据资源授权管理制度在会计电算化比较完备的企业应建立起网络系统计算机系统和数据库3层访问权限控制管理制度,安全策略在确定对每个资源管理授权者的同时,还要确定他们可以对用户授予什么级别的权限如果没有数据管理授权者的信息,就无法掌握究竟哪些人在使用数据库对于数据中的关键财务信息资源,对其可授权范围应尽可能小,范围越小就越容易管理,相对也就越安全在对数据访问授权者管理的同时,要制定对用户授权的过程设计,以防止对授权职责的滥用,以防止财务机密外泄和蓄意计算机作案,保证会计信息的安全

3.6信息汇的安全

信息汇指的是会计数据流向的目的地,它既可能是企业内外部的组织或者是具体的相关职责个人,也可能是会计信息系统的数据库对企业财务部门来说,必须具有强有力的监控措施,对于谁在什么时候什么地方以何种方式对什么对象做了什么操作发生什么结果等都应该进行详尽的记录对这些信息使用者的监控,必须有法律效力这涉及了信息共享的安全性问题商务机密的泄漏通常是在信息共享中发生的因此,除了严格的制度和强硬的纪律法律手段外,还需要有效的安全技术和安全措施作保障

4结束语

在电子商务网络中,会计信息的安全保密问题实际上与一般网络安全问题有直接的关系,在安全措施和手段上也基本一致但是会计信息比一般信息敏感,在企业的日常管理方面财务审计与课税等方面起重要作用由于会计信息不同使用者的信息需求有差异,会计信息的可靠性和相关性在某些情况下也不容易同时兼顾由于在电子商务环境下产生的会计信息一般是以电子化的方式而非书面的形式存在,故其法律效力和原始会计数据的追踪变得复杂,其安全保密具有特别的意义对会计数据和信息的安全进行妥善处理,不仅需要技术方面的措施,还需要社会法律制度等来保障

主要参考文献

[1]GeorgeHBodnar,WilliamSHopwood.会计信息系统[M].第8版.北京:清华大学出版社,2001.

[2]陈少华.防范企业会计信息舞弊的综合对策研究[M].北京:中国财政经济出版社,2003.

篇8

【关键词】内部控制;B2C;价值链

一、引言

从19世纪30年代产生内部控制思想以来,理论界和企业界都不断进行了研究和实践,经历了内部牵制、内部会计控制、内部控制三要素、内部控制五要素和企业风险管理五个过程。这些理论关于内部控制的研究基本上是基于审计的角度,并将其作为一种审计方法对待,更多关注的是它在保障会计信息可靠性和准确性及防错防弊方面的功能,而忽视了企业的存在在于创造价值的本质。

迈克尔・波特教授在1985年提出的价值链的概念。他认为企业的价值创造是由一系列活动构成的,这些活动可分为基本活动(包括内部后勤、生产作业、外部后勤、市场和销售、服务等)和辅助活动(包括采购、技术开发、人力资源管理和企业基础设施等)两类,这些互不相同但又相互关联的生产经营活动,构成了一个创造价值的动态过程,即价值链。近年来基于价值链的内部控制受到了重视,如李心合(2007)认为与财务报告导向的内部控制所不同的是,作为管理方法的内部控制在功能上是服从价值创造的;赵保卿(2005)认为价值链管理理论应作为一种确定企业竞争优势及寻找竞争方法以增强企业实力的基本工具,可以为内部控制目标定位提供全新的研究思路,并提出了包括控制目标、控制环境、控制机制、控制系统的基本要素、控制内容和控制方法的内部控制模型;田中禾,周云(2009)在《价值创造型内部控制系统框架及运作研究》中以COSO报告的内部控制框架为基础,从企业价值创造的角度提出了价值创造型内部控制系统的设计思路及基本框架,并对该系统的运作方法进行了探讨,以期从内部控制操作层面实现企业价值最大化战略目标。这些从企业价值链的角度对内部控制的研究对我们研究B2C企业的内部控制提供了一定的理论借鉴,本文将从价值链的角度分析B2C企业的内部控制的模型及其关键点。

二、B2C企业的价值链

电子商务从广义上说,是指以电子设备为媒介进行的商务活动;从狭义上说,是指以计算机网络为基础所进行的各种商务活动,包括商品和服务的提供者、广告商、消费者、中介商等有关各方行为的总和。电子商务根据的不同的标准有不同的分类,根据交易对象的不同,电子商务可划分为三种典型的模式:B2B(企业对企业)模式、B2C(企业对消费者)模式和C2C(消费者对消费者)模式。B2C的典型应用是网上购物,它随着WWW网的出现迅速发展起来,依靠因特网提供从书籍、电子产品、服装等各种产品的消费信息和购买服务,使得企业可以突破地域的限制向全国甚至全世界的消费者销售商品,这和传统具有地域限制的零售企业有很大的不同。

电子商务特别是B2C模式在经历了2007年的金融危机后迅速发展,据易观国际的电子商务报告:2010年中国B2C网上零售市场规模已经突破1000亿元,达到1040亿元,环比增长373%,而到2013年,市场规模将达到6500亿元。像易趣、当当、京东商城等B2C的电子商务企业或平台也快速发展。这些B2C企业的价值链模型如图2-1所示:企业的基础活动主要包括:商品的采购,信息的(一般是通过企业的电子商务网站),物流的配送(电子商务企业可以通过自己的物流系统以及和物流企业合作的方式进行货物的配送),客户服务(主要包括在线解决客户对商品的疑问、货物的调换、商品的售后服务);支持活动主要包括人力资源活动(根据公司的需要进行招聘、员工培训等),基础设施(主要包括企业的网络设备、信息系统),财务管理(对企业的现金,应付货款以及应收账款的管理),合作企业管理(主要对公司的供货商、物流合作企业以及金融合作企业的管理),仓储管理。

三、B2C企业内部控制分析

1.内部控制的目标

(1)采购有正确的授权:根据产品的销售状况、库存状况等制定合理的采购计划,采购企业应该经过公司严格的筛选,采购活动必须得到管理者的授权;(2)确保资产没有未授权的使用:主要是企业的现金、企业的通信设备以及企业商品的使用应该符合公司的规定;(3)交易被准确、完整、合理的记录和披露:主要是保证企业信息系统的安全,不被企业内部和外部人员破坏篡改,同时及时的向企业各个部门公布;(4)保证客户良好的购物体验:主要包括企业网站的建设符合客户需求,配送人员对客户良好的服务态度等。

2.内控制的要素

根据COSO框架,内部控制划分为五个重要的关联要素,它们是:控制环境、风险评估、控制活动、信息与沟通和监督。每个要素均承载了内部控制的目标。(1)控制环境:是其他一切要素的核心,为内部控制提供了前提和结构。电子商务企业可以采取以下措施建立良好的内部控制环境:建立公司合规部,主要确保公司严格执行各项法律法规,为公司提供合规方面的法律建议等;建立了内部审计委员会,其成员包括监事会主席、股东代表和非管理层员工代表;制定了企业员工行为指导,指导应该涵盖对上至管理层下至员工的基本行为要求,主要包括如何避免利益冲突、如何处理公司财产、信息处理的方法、如何对不公平的待遇进行投诉、怎样对公司的发展提出建议意见等等。(2)风险评估:企业经营存在风险,风险评估就是识别、分析企业的相关风险以实现其既定目标,是风险管理的基础。B2C企业可以根据风险出现的概率和风险对企业造成的影响程度分为低风险、中等风险和高风险,然后根据风险的大小采取不同的应对措施。(3)控制活动:是针对企业既定目标采取的政策和流程的控制。电子商务企业应该制定严格的采购和财务制度,要对接触消费者的一线快递人员实行严格的考核评估淘汰制度,同时控制活动是合理控制风险的手段,对企业面临的风险特别是高风险要采取合理的控制手段。(4)信息与沟通:建立以订单为中心的从客户下单到订单的接受处理、出货、配送、收款和库存的信息系统,同时该系统要和采购部门、售后服务部门以及客户调换货物部门等建立畅通的衔接系统,使得各个部门能够共享这些基础的信息。(5)监督:要定期对订单和客户签收进行核对,对记录资料和实物资产进行核对;根据客户对企业网站、配货人员等的评价对企业的技术人员和配货人员进行监督,同时还可以利用外部资讯来验证内部产生资讯的正确性或识别问题所在。

3.基于价值链的内部控制关键点

根据电子商务的价值链模型分析B2C企业内部控制的键控制点有:(1)采购和应付账款的控制:B2C企业是新型的零售企业,其采购活动特点是采购量大、种类多,是企业的基本活动之一。采购与应付账款内部控制的目标主要有以下五点:1)保证购采购货物与销售的要求相一致,防止盲目采购和超储积压的发生。2)保证资金支付后获得相应的货物,并对采购货物做好相应的记录,防止发生采购付款过程欺诈行为。3)合理揭示采购业务中所享有的折扣,防止有人将企业享有的各种折扣据为己有。4)保证应计负债的合理计算。为了达到上述目标,企业应该采取以下流程对采购活动进行控制:决定应购入产品的种类及数量、最适宜的采购时间与采购方式,办理订购手续,签订购买合同,验收到货并填制验收单,处理购货退回及折扣事项;根据购买合同规定如期结算货款,采购凭证送交会计部门入账,同时要将采购工作与验收记录及付款结算分开进行,通过设置不同岗位和人员负责。(2)配送、客户签单和库存的控制:该过程的主要目标是保证。1)客户订单和客户签单相一致,保证货物能够按照订单的要求准确完整的送达客户。2)货物的记录库存和实际库存相一致,保证企业资产的完全。为了达到这两个目标,其控制过程如下图所示:客户下单仓储部要按客户的订单的要求打包给配送部门,配送人员要准确的把货物送给消费者并要求消费者签单,配货人员再把客户签收单反馈给仓储部门,仓储部门再根据反馈的签收单据修改存货的记录。

(3)货币资金和应收账款的控制:B2C企业和传统的零售企业应收账款的方式有所不同,B2C企业主要有两种收款途径:客户利用网络银行等电子方式付款给第三方然后由客户收货确认后第三方付款和由配送人员收款两种。控制要达到以下目标。1)保证应收账款的及时回收及货币资金的安全与完整,包括第三方代收的货款和配送人员代收的货款,防止收到现金不入账的现象发生;2)确保现金和银行存款记录的真实可靠;3)确保销售与收款业务的真实与合法,对收款等有关的会计记录要真实完整;4)保证销售退回和折扣手续齐备,记录真实完整。

为了实现以上目标,企业应该采取以下手段:(1)IT信息控制:根据仓储部门的存货、配送部门的客户签单等建立企业完整资金流量信息系统,做到企业的每一笔资金都有清晰完整的记录;(2)不相容职责岗位、人员分离控制:如由不负责应付账款与现金支付职能的员工调节银行对账单与现金账户,及调查长期未兑现的支票等。(3)定期对资金流量中的现存资金和实际的企业留存现金以及银行存款进行比较,看是否存在差异,如果存在差异应该找出差异产生的原因,并及时进行校队。

参考文献:

[1]李心合.内部控制:从财务报告导向到价值创造导向[J].会计研究,2007(4).

篇9

寇耀丹(1990,5-)籍贯:四川渠县,西华大学管理学院研究生,研究方向项目管理及项目评价。

摘要:随着现代信息技术的发展,尤其是网络技术的发展已经渗透到了社会经济和日常生活的各个方面,作为人类最基本和最广泛的活动方式之一的商业活动,也面临着由传统模式向网络模式的转型趋势,于是,电子商务便由此而产生。由于电子商务企业与传统企业相比,其控制要素都发生了变化,因此针对电子商务企业的固有特点,建立和完善电子商务企业的内部控制制度是非常必要的。

关键词:电子商务;内部控制;控制要素一、内部控制的概念

目前,由美国COSO委员会提出的《内部控制――整合框架》对内部控制做出了最权威的定义。该定义明确提出了内部控制的三大目标,即运营的效益和效率、财务报告的可靠信和相关法律的遵循性。其内容主要包括五要素:控制环境、风险评估、控制活动、信息和沟通、监督。

在企业的内外部各项经营管理活动中,电子商务企业与传统企业相比,既有相同点,又有其自身特点,因此,电子商务企业应该在以《框架》中所要求的为最低标准的基础上,结合自身特点,赋予电子商务企业内部控制新的含义。

在电子商务企业的运营过程中,保证企业能够正常运行的首要条件就是安全性,安全性也是企业能够顺利实现内部控制三大目标的基本保障,因此企业在进行电子商务时首先要考虑的问题就是电子商务的安全问题。

二、电子商务企业内部控制要素的改变

1.控制环境的改变

在企业内部控制的各要素中,控制环境是其他各控制要素的基础,因为控制环境不仅能够影响企业中所有员工对内部控制的认识,而且还能够支配全体员工在履行内部控制活动中的行为和态度,控制环境的构成因素主要包括企业的经营文化和管理哲学、企业的治理机制、企业内权责分离制度、信息系统的组织结构、企业经营管理者的职业道德素质、人力资源政策和实物等等。

首先,随着网络和信息系统的广泛应用,在电子商务企业中,企业的组织结构逐渐趋向于扁平化,员工工作岗位及其职责也需要重新合并与划分,工作岗位重心也会出现迁移,同时也提高了对员工的中和素质的要求,不仅要求每位员工学习计算机和网络知识,还要熟练的运用信息系统,从而使得企业的业务可以顺畅的进行。其次,是交易授权方面,在传统企业中,交易授权的方式大多数都是采取签字或者盖章的形式,但是在电子商务企业中,由于新信息系统的使用,交易授权的方式变为了采用计算机口令或者是电子签名,采用这样的方式不仅快捷方便,还有利于减少由于人为因素而发生的错误。最后,由于电子商务的安全性是企业顺利开展电子商务活动的前提条件和重要保证,因此要求企业管理者在制定公司治理机制是要重视电子商务的安全管理,同时,由于电子商务的特殊性,它打破了时间和空间的限制,让消费者可以在任何时间的地点实现自主购物,因此提高了企业对物流的要求。

2.风险评估的改变

风险评估是指在识别企业所面临的风险之后,评价所面临的风险等级,以及企业所能够承受的风险范围,并针对这些风险制定出相应的应对策略。风险包括企业内部风险和企业外部风险,企业在开展风险评估时,应该做到准确识别与企业经营管理相关的内外部风险,并分析确定企业的整体风险承受能力以及业务层面的风险可接受水平。

与传统企业相比,电子商务企业的内外部风险因素都发生了巨大的变化,首先,在电子商务企业中,其经营管理基本上都是依靠电子商务系统,如果电子商务系统崩溃或者是遭受病毒袭击,将会给企业带来无法弥补的损失,而这是传统企业所不具有的风险。其次,电子商务企业所开展的各种商业活动都是在开放性的互联网上进行的,其经营活动产生的各种数据和信息都要在网络上进行传递和保存,这样就很容易受到病毒和黑客的非法攻击,存在重大的安全隐患,然而在传统企业中,企业的各种会计信息的存储都是以纸张为载体,只要保证这些纸质载体的物理安全,就可以在很大程度上降低会计信息的安全隐患,由于电子信息系统的安全稳定程度将直接影响到电子信息的安全性,而确保电子信息系统的安全性又要比确保传统企业中会计信息的安全性要难得多,因此,在这样的情况下,将会大大加大电子商务企业内部控制的难度。最后,电子商务企业与传统企业相比,还要受到国家对于电子商务政策的影响,这将加大电子商务企业的外部风险。

3.控制活动的改变

控制活动是指企业在进行分析评估之后,根据评估的结果,制定相应的内部控制措施,并将各种内部控制措施付诸行动的过程。常见的控制活动有:不相容职务相互分离,经营预算控制,授权审批程序控制,会计信息系统控制,运营分析控制,财产保护控制,绩效考评控制。

首先,在传统企业当中,不相容职责分离,员工的相互检查和监督是重要的内部控制活动,但是在电子商务企业中,不相容职责可以由计算机来代替执行,甚至可以避免一些人类通常会犯的错误,对于企业中自动化的业务流程所进行的监管与独立稽核就显得没有必要了。然而,并非所有的监督与稽核都没有必要,在企业信息管理系统的开发,实施,以及维护等活动中,不相容的职责相互分离,监督和独立稽核等仍然是重要的控制活动。其次,在交易授权方面,电子商务企业也不再使用手工签章、编码等传统形式,而是可以由计算机程序自动完成,大多数交易数据全部实现数字化和无纸化,授权的过程并不明显,经常是在损失发生之后才发现控制活动的失效,因此,对于计算机程序的稳定性、安全性和完整性应该作为电子商务企业的管理者对交易授权的关注重点。最后,随着互联网技术和电子商务的迅速发展,企业为了确保信息管理系统的安全性和完整性,不仅应加强企业信息系统的构建,还应该加强对计算机软硬件的保护,提高相关人员的素质,将网络技术和电子商务的发展都纳入考虑范围之内。

三、针对电子商务模式下企业内部控制构建的探讨

1.完善电子商务企业内部控制环境

企业内部控制环境能够对企业员工的管理意识产生深远影响,是企业内部控制其他要素发挥作用的基础。因此,电子商务企业要想完善企业内部控制就必须首先加强企业内部控制环境的建设,主要包括以下内容:一,构建稳定有效的企业组织结构。随着网络技术和信息系统的应用,电子商务企业的管理幅度不断增加,管理层次就随之减少,企业得组织结构越来越趋向于扁平化。二,注重复合型人才的培养。电子商务企业对人才的要求很高,不仅要懂得业务知识,还要懂得网络知识,能熟练操作网络信息系统,能从系统数据中分析和预测企业的未来发展趋势。三,应加强企业外部环境的建设,主要包括信用环境、物流环境、法律环境等。

2.建立高效的风险评估系统

电子商务企业在对风险控制系统的建立上主要可以分为两个方面:一是对网络环境下风险的识别,二是加强信息处理的风险控制。风险识别主要是指对企业业务活动风险的识别。对于电子商务企业业务活动风险而言,其风险主要来源于信息系统的问题或操作问题,例如信息处理操作过程的中断、风险管理责任的变动以及企业内部的审计部门工作懈怠等。电子商务企业识别网络环境下的风险主要有,非法网站的假冒销售、企业信息被截取或盗用、非法消费者、合法销售的内部破坏等。电子商务企业管理者应加强对企业经营活动的参与者、使用数量和活动资源等的控制,确保企业经营活动的正常开展。

风险控制包括对记录风险、维护风险和报告风险的控制。记录风险包括了记录的不准确和不完整;维护风险是指企业没有察觉或者没有记录组织的资源、参与者和地点的变化;报告风险又包括两方面内容,一是将数据提供给不符合要求的人,二是数据提供错误、未及时提交数据等。通过对以上三类信息处理风险的控制,使得电子商务企业能够及时、准确的记录与企业经济活动相关的信息数据,并进行分类汇总,形成完整可靠的信息数据报告,为企业的管理层做出决策提供准确、真实的信息。

3.将现代信息技术融入企业内部控制活动中

电子商务企业可以利用现代信息技术构建会计信息系统,将企业的财务活动、生产活动和供应链技术、全面风险管理结合在一起,使企业管理者能随时了解产、供、销各环节的具体情况,同时该系统还要涉及到企业的各个部门与环节,实现全员控制,全过程控制,为企业内部控制活动的有效性提供保障。电子商务企业在构建会计信息系统时应注意:首先,该会计信息系统应该具有会计核算的基本功能,使得会计的管理作用能够充分发挥出来;其次,该系统应覆盖企业中的各个部门和业务经营环节,使企业能够实现全员控制和全方位的管理;最后,在该系统中应该融合企业全面预算管理思想,建立起全面的预算管理子系统,保证全面预算管理思想在电子商务企业内部的全面有效实施。

4.加强人力资源管理

所有企业的核心都是企业中的人以及人所进行的活动,人力资源管理就是对企业中的人员进行开发和配置,并实现企业经营目标的管理活动,在电子商务环境下,人力资源管理是企业加强内部控制活动的一个重要方面,在电子商务企业中对员工提出了更高的要求,员工不仅要熟悉企业经营业务流程,而且还要能够熟练操作电子信息系统,另一方面,由于电子信息系统的程序设计员和管理员能够偷偷修改电子信息系统,并且不会产生任何痕迹,严重威胁信息系统的安全性,因此,基于以上客观因素就要求企业员工、程序设计员以及系统管理员具有更高的职业道德品质,而就人力资源管理而言,保证和提高员工的素质和品行正是人力资源管理的主要目标,所以企业应加强人力资源管理,提高员工素质,并把优秀的员工留在企业内部,防止人才流失,加强企业的整体竞争能力。

5.构建畅通的信息与沟通渠道

电子商务企业应利用其自身信息化的优势,构建畅通的信息与沟通渠道,不仅要保证在企业内部信息能快速及时地反馈到相关部门,相关人员并能迅速做出反应,还要保证企业与外部的供应商、客户之间能适时进行沟通,了解顾客的需求与供应商所传递的重要信息,使得企业管理者能随时了解企业内外部信息,及时做出应对措施,避免出现“信息孤岛”现象。

总之,企业在开展电子商务的过程当中,应结合自身的业务特点和发展需要,完善和改进企业内部控制制度,确保其贯彻实施,提高企业整体管理水平,充分发挥电子商务企业的优势。

参考文献:

[1]张静.对电子商务企业内部控制体系的思考及实践分析[J].经营管理者 ,2013(02):325.

[2]张慧旖.电子商务企业内部控制与风险变化[J].电子测试,2013(14):187-188.

篇10

建立在网络技术上的电子商务EC(ElectronicCom-merce),广义而言是指利用计算机网络和各类电子工具进行的一切商业贸易活动。电子商务是计算机和网络技术发展的产物/它与传统的商务活动相比较,具有跨越时空和经济快捷等特点。它是集供应链管理系统SCM、客户关系管理系统CRM和企业资源规划管理系统ERP于一体的商务协作系统,是综合信息化和社会网络经济电子化、信息化程度很高的现代商务模式。电子商务不仅针对商业领域,也涵盖单位电算化会计信息系统的内部各环节及其子系统间的电子商务。当今电子商务促进了全球范围内生产要素的高效流动与优化配置/已成为网络时代的商业方式和21世纪商贸活动的主要表现形式。

网络财务是以财务管理为核心/业务管理与财务管理一体化,基于网络技术,支持电子商务/能够实现财务在线管理与业务协同,进行各种远程管理操作与处理的一种全新的财务管理模式。网络会计则是基于网络环境会计信息系统,实现企业财务有关会计业务的远程处理,支持电子单据与电子货币,进行事中动态会计核算,改变财务信息的获取与利用方式,成为电子商务的重要组成部分。网络会计是对各种交易和事项进行确认、计量和披露的会计活动,可为电子商务财会发展研究的高度提升提供支持。因此,本文也涵盖着网络会计相关内容。

电子商务是指将计算机技术与网络技术相结合,让用户建构自身的网络系统,而网络会计则是建立在互联网环境下的会计信息系统,这样通过网络把电子商务与会计融于一体来拓展本文的研究内涵,在这里简洁而言就是电子商务会计或网络会计。不少论文对此类问题集中在对会计的影响分析,很少涉及会计本身的发展与建设问题。相比之下,突出财会发展的研究,则是本文特点之所在。

二、电子商务网络财会发展理念

为了适应互联网经济发展的要求,在网络管理的全新模式下,电子商务财务管理目标呈现出多元化趋势。在网络条件下,应以全新的思维方式,构建符合当今电子商务时代的财会理念:

(一)把握多元化发展理念

在网络管理的全新模式下,财务管理目标呈现多元化趋势。财务管理应考虑多种影响因素,担负起社会责任,注重企业的预期效益和发展后劲,协调企业或经营各方的利益关系,实现互利共赢。会计理念体现责任意识,实现会计在多元化发展中提高。

(二)面对风险的动态时点理念

网络经济是一种风险较高的经济运行模式。面对易变的复杂网络经济环境,建立风险意识,规避和控制风险。电子商务会计采用的是实时报告系统。随着会计主体虚拟化,公司只是一个临时主体,随时都会消失。这时会计在动态运作中的风险会比较大。所以,要尽快建立与动态会计环境相适应的会计理论体系、方法体系、评价体系和应对风险的预控体系。会计理念应把握动态时点的脉搏,实现会计在风云变幻中前行。

(三)体现人性化内部控制理念

电子商务财务与会计管理以网络电子化方式传递。网络是一个庞大的系统,其构成要素的复杂性使得系统安全控制的难度加大。内部控制已开始由单一控制向多层次、全方位的控制转变,由事后防治向事前预防的方向发展,由强制的硬性控制向人性化导向与柔性控制相结合方向提高。控制思路已开始表现出人性化和导向性的特征,向提倡员工自我控制和激发个性化高尚美德转变。会计理念强调人性化管理,实现会计在人性化中熏陶。

三、电子商务财会发展的问题

(一)会计国际化的发展问题

电子商务能够拉近世界各国间的距离,把世界经济融于一体。在极短的时间内,提升资本流转的程度和力度,实现巨额的资金在世界各地周转,加速了资本在国际上的投入与流动。企业屹立在国际舞台上,要在国际竞争风浪中谋求生存和发展,需要拥有雄厚的资本才有立足之地,还需要投入巨额资金,淘汰落后的产能和工艺,不断地加强新产品研制与科技开发。巨额资金何处有?只有少数企业能够依靠本身的收益积累或靠本国的金融机构借贷来支撑,而大多数企业需要筹集国际资金才能发展,这就使得一种国际化的资金借贷法必然形成。这也要求一个资金贷出国家要更好地制定信贷决策,还必须对外国借款单位的信用状况和财务状况做好调查。电子商务进入国际贸易,有必要了解外国企业的会计报表和会计制度,要求提供符合国际惯例的标准化的会计报表,并建立一个统一的会计程序和方法。这些立足于会计国际化中的发展问题值得我们思考。

(二)会计主体虚拟化问题

会计主体是指会计所瞄准服务的对象。传统描述的会计主体是一个实在的单位实体。而在电子化商务进程中,促使会计主体突破传统空间扩展到世界,改变了实体主体的空间特征。网络化使跨国集团公司的战略联盟联系得更加紧密,使远距离、多对象商务服务实现集中式的财务核算管理成为可能。网络环境中的信息流、商务流,减少了诸多中间环节,从最佳的运作渠道在最大范围内满足客户需求,并以最快的速度、最低的成本进入网络国际市场。启动网上银行使资金流动,电子单据结算,物流配售变得快捷方便,呈现出交易对象国际化、交易程序电子化、交易过程无形化。这样,一个电子商务网络环境的形成,也将使虚拟的会计主体应运而生。这种网络会计主体完全借助于电脑无形化、无纸化运作,无疑是一些没有场地、没有明确办公地点,甚至是看不见、摸不着的虚拟化了的网络公司、网际公司。虚拟化的会计主体视信息使用者的需要,结合市场变化,迅速快捷地分分合合,甚至发生消失。在电子商务时代,网络会计主体的虚拟化处于一种模糊状态,这些虚拟的网上企业、网际企业以新的经济形态形成网络经济主体,其虚拟性如何辨认,值得深思。

(三)会计专业技术人才问题

在电子商务活动中,电子商务会计是电子商务、网络与会计相结合的高科技产物,它对会计人员、管理人员的相应素质要求较高,既要求他们精通计算机网络知识、基本的故障排除能力以及计算机的基本维护技能,又要求他们具有很深的会计理论功底和娴熟的会计业务技能。由于网络环境使得会计核算简单化,整个财务成为企业业务链中的中心环节之一,会计人员必须拥有相关的管理知识和网络知识。同时,由于会计人员要提供准确的成本信息等会计信息,就必须了解产品具体的生产过程及其工艺,掌握相应产业的基本知识。会计还面临人力资源会计的构造、信息、知识等无形资产的计价等新课题,这也要求会计人员不仅要有广博的知识,而且还应具有创新知识的能力,以适应网络经济财会发展的需要。目前,一些企业的财会人员专业技术水平低下,实践操作能力不强,不能适应电子商务财会发展的要求,有待培训教育与提高。

(四)电子商务网络会计的安全问题

随着网络技术的迅猛发展,电子商务以数据化的形式运作,电子单据的操作使用,给财会网络化带来不少新问题。由于Internet的开放性特征,使会计信息的安全容易受到威胁。电子符号代替了会计数据,会计信息通过网络传递,无形资产转移,使安全隐患识别、内部控制、内部稽核的难度加大,原始凭证数字化易于伪造,会计业务缺乏有效牵制、内存数据不留痕迹、系统文件不可读。数据输入由指定程序加工处理,带来电子数据处理的潜在性问题。职能环节分工界线模糊,总账与明细账间的制约关系消失。如果系统运行程序稍有错误,就会导致差错的连锁性与重复性。人为非法取得授权、口令、越权管理与操作等问题值得深思。

四、电子商务网络财会发展思路

商务活动主要以电子商务的形式在互联网上进行。由于活动的数字化、网络化,出现了许多新的交易空间和商业模式。基于互联网的电子商务运作,为适应这种特殊的商务模式,对财务管理有必要提出全新的思路。

(一)培养电子商务网络会计专业人才

电子商务专业的核心能力应包括电子商务流程模拟能力、网络营销能力、商务网站建设能力、商务模式理解能力。演示网上银行交易,参观电子商务网上营销、网上订货和网上交易等。通过模拟实训,熟悉电子商务活动操作流程,参与虚拟的商业活动,增加对虚拟的直接感受。以范例为模板,对网页制作、网站建设,制作出达到某种教学目标的样机。参考有关范例,对网页和后台设计,提出自己的设计见解和方案。同时,还应学习有关人力资源会计的构造、信息、知识及无形资产的计价等新课题。

(二)提高适应电子商务技术的快捷性

网络会计所有信息都被实时存储于企业中心数据库中,会计人员可利用置于信息系统中的网络会计软件,随时形成各种财务报告,以满足决策者对会计信息的快捷性要求。会计信息网络化可以大大减轻原来合并报表的复杂性,提高会计报表的及时性。同时,依托网络平台对所有原始财务数据的加工、提炼、分析,可大大提高会计信息的处理速度。电子商务交易过程的网络化,将使交易的双方仅仅通过鼠标的点击,就能根据国际通用的商业标准和互联网数据传输协议来提醒对方交易的结果。交易程序的电子化使交易双方都是通过互联网了解对方的情况,并轻易完成对数据的发送。电子商务可以在交易发生后最短的时间里,快捷、准确、方便地使资金到账完成结算。凭借计算机的强大处理能力和网络的传输能力,高科技通讯技术以及计算机运作方式的采用,信息使用者只要轻点鼠标即可及时生成所需的会计信息。

(三)创建电子商务综合运作网络体系

实现电子商务网络财务会计的核心管理,就要采用现代化管理技术、核算内容、核算方法及核算手段,按多用户操作创建起人机综合运作网络体系。实现会计核算、管理与决策的网络电子化,搞好体系的资金、成本和质量管理,实现数据库、语言,数据系统化共享,实施数据借贷双轨输入、交叉校对防错。体系的组成有:(1)供应模块:转换提供会计核算基本数据,资金储备及应付款核算;自动转账、资金和成本管理和商品价格监控。(2)成本模块:定义成本核算对象,选择核算及各种费用的分配方法,按工艺路线逐步结转、计算商品成本。(3)内部核算体系:划分核算单位,掌握成本费用的发生和资金的周转,考评经济责任制。(4)资金管理体系:以内部核算单据为依据,外币业务提供与管理。记录资金管理业务,如:收款、付款、贷款、对账。完成单据的动态查询、现金日记账、资金状况报表、各账户存款余额动态表等。(5)账务处理体系:通过网络有机连接各体系并与报表数据互联。提供报表数据,实现财务数据的远程查账、监控功能。

五、电子商务网络财会发展对策

针对上述提出的问题和思路,实施如下对策:

(―)加强电子商务财会网络建设

目前,大多数企业限于在局域网上开展业务,严重制约了电子商务网络化会计效能的发挥。为此,应针对不同的披露对象,不断充实网络建设内涵,加速推进向广域网的方向发展。应不断增大信息传输范围,开辟财务信息传递通道。按照网络会计特征建设网络平台。主要有:因特网、内联网、外联网以及其他一些通讯网。将网络分为企业内部网和外部网以及互联网。采用因特网的(TCP/IP)协议标准和WWW技术与设备,将内联网(Intranet)构建或者改建成企业内部网。会计信息系统通过这三网直接采集有关的数据信息,对会计和业务进行一体化处理,按基础的多元化会计信息,实现商业化操作。随着网络技术的发展,电子商务的网络会计不仅可以提供标准规范的会计信息,还可以提供所有可能的会计方法。电子商务会计信息就是以新的视野,构架新一代会计管理信息系统,从而全面推进会计电算网络化建设。

(二)构建电子商务财务信息市场

随着经济全球化,大量的海外公司迫切要求我国财务信息网络化,在全球实现财务信息共享。只有提升电子商务财会网络化技术水平,跨越时空的限制,增大信息传输范围,拓宽财务信息传递通道,才能适应这一要求。当今网络财务采用了世界上先进的Intranet技术,为企业提供丰富的信息资源,从而构建起管理决策型信息资源管理平台,并为企业信息系统的集成化提供技术保障。它既能处理各种结构化的数据,如各类关系数据库,也能为企业涉足电子商务,实现网上财务会计核算业务提供技术支持。同时,发挥电子商务效能,以更多的网点,支持财务管理网络会计的新模式,按照电子商务信息化要求,实现财务远程信息的处理与输出。海外公司倡导我国每个企业应在因特网上设有网址,主动地在网上与披露财务信息,供全球投资者上网浏览与交流,招商引资,吸引大批的投资者筹集大量资金,构建电子商务网络化财务信息大市场。

(三)加强电子商务财会软件应用

电子商务不仅需要电子商务网络作为物质基础,而且网络会计运行还要有功能强大的网络财务软件来支持。网络财务软件不同于传统的网络版财务软件,它除了能够满足单一会计主体的工作需要外,必须能提供全新的功能:具备移动办公、电子商务和集团应用等方面的功能。网络财务软件的核心是处理好财务业务在网上的协同,包括财会部门的预算控制、资金准备、网上支付和网上结算等工作能够与业务部门协同;企业的网上询价、网上催款、网上保险和网上报税等工作能与其他部门协同;网络财务软件能够支持电子货币流通,在网上支付结算;对报表、报账、查账、审计等远程处理,提供远程报表、远程查账、网上支付、网上财务信息;能够处理电子单据、电子货币、网页数据等新的介质,通过信息流支配企业物流和资金流;必须支持在线办公、移动办公等方式,支持网上询价、网上采购、网上服务、网上银行等。

(四)加强电子商务财会网络监管

电子商务财会网络在运作时对网络的监管问题不可忽视,应用现代监控技术提升监管功能、加强审计监督职能都是必不可少的。计算机在会计网络中的应用,给高层次的财务管理创造了条件。高层次的财务管理要采用高等数学、数理统计、运筹学、经济计量学等方面的理论,利用计算机可运行高层次数学模型,对经济活动进行分析,深入地认识和掌握经济活动发展变化的内在规律,为寻求良性经济管理方案提供科学依据。计算机作为20世纪最富有创意的发明,与互联网络联手,同时铸就了最富有成效的财务分析能力。计算机对于结构化财务决策、财务管理中的最优库存模型进行确定。电子商务条件下的财务管理充分应用互联网技术,对企业财务进行实时管理,从静态核算走向动态核算,在本质上丰富了会计信息内容,提高了信息的时间价值,更有效地反映企业经营状况和财务状况。审计职能对财务的监督,可在财务计算机局部网中为审计部门设置计算机终端,以便审计人员对财务的监督和指导,促进对财务监督水平的提高。

(五)提升电子商务财会网络技术

首先,采用大型数据库技术,诸如SYBASE,IN-FORMIX,ORA-CLE,SQLSERVER等数据库,以高达1000GB级的数据处理能力扩展电子商务网络业务量,整合采购、库存、销售等多种数据资源并提供决策支持,加强海量数据的网络控制,保障数据读取的安全性和可靠性,实现数据库系统的高速安全运行。其次,应用三层结构组合技术。它以先进的组合技术为支撑,涉足于电子商务网络财会的新技术需要,为网络财务创建一个全面信息系统。它包括三层结构技术和组件开发技术:其一是三层结构技术,按照服务地址的命名将客户机服务器(CS)系统中的各系统部件分成三层结构,即客户服务端、中间层服务器和数据库服务器,每层承担各自的服务内容,为构建信息系统提供结构支持。其二是三层结构组件技术,为企业构建信息系统提供技术支持,技术提供包括:完成系统一次性成功开发,保证系统的使用可靠性和安全性;减少硬件数量并节省设施投资;提供较好的网络服务功能。该项技术为网络财务发展开拓了空间,提供网络财务的远程服务。

(六)加强电子商务网络安全防范

对于会计信息远程传递,要对网上的会计信息提供足够的安全保障,应做到:(1)建立科学的内部控制制度。做好系统操作的管理和控制、硬件的管理和维护控制、组织机构和人员的管理和控制、计算机病毒的预防和消除等。(2)建立多层次的安全综合体系。设计授权和身份认证系统,建立虚拟专网,安装信息网和安全路由器,施行信息加密、加强安全监测预警系统的实时监测,实现原始交易凭证的第三方监控。(3)企业要在互联网认证机构申领数字签名和私有密钥,交易时由认证机构核对确认,有效预防数字化的原始凭证被修改或伪造。账务处理时的操作和数据可被监控人员的机器同步记录,受到监控和检查。(4)采用网上公证,实施监控与操作的职责分离,完善企业内部网的口令系统。在电算化系统内分设操作与监控两个岗位,进行业务的多方备份,用来强化系统内部的相互牵制。(5)限制操作越权。提高认证技术,进行身份密码、身份识别控制等。

六、电子商务网络财会发展趋势

企业必须改进自身系统功能和提高网络技术,来迎接电子商务时代的发展,并在其中乘势前进。

(一)提高数据的标准接口技术

互联网上的数据形式虽然都服从WWW协议,但其类型还是多种多样。电子商务要求数据能够双向自主、自由地交换,实现商家与客户互相获取交易电子化数据的目的。首先,在网络会计信息系统中,要避免由于数据标准接口技术的不完善,不能将某些数据自主地发往目的地和从目的地获得数据。其次,当对外发送数据时,如果由于数据类型的不匹配或数据的精确度、单位不符合等原因而被拒收或报错,这会使企业电子商务形式的运用失败。为了使企业的电算化会计信息系统能够适应和利用电子商务这一工具,就必须提高数据的标准接口技术。为此,需要通过接口端软件采集数据进行模拟测试、认证,接受来自对方的数据并测出对方数据的类型,经调整数据类型相互匹配后才能进行发送。这样就能实现企业网络数据的双向顺利成功交换。它既增强系统数据资源的共享性,也保证数据资源传送的安全性,这是电子商务所能够顺利实施的一个必不可少的因素和条件。

(二)内部传输实现数字化标准管理

电子商务的实现,不仅表现在企业对外界的贸易电子化,也表现于事业单位内部各生产环节或事业部门间的产品物资等的数字化传送。内部数字化标准的实施,不仅有利于系统内部进行全面、科学的数字化管理模式,而且其产生的各项数据也有利于对外交易的数据参考和标准核算,提高单位系统对外交往的效率,避免产生不必要的损失。

(三)实现网络会计的多元化和智能化

网络会计系统的建立,适应了会计数据处理的特点,使企业的生产经营活动的每个信息采集点都纳入到企业的信息网之中,大量的数据通过网络从企业各个管理子系统直接采集,并通过公共接口与有关外部系统相联结,提供了兼容性和适应性,直接生成会计信息,从而使会计数据处理呈集成化之势。经济社会一体化、数字化、网络化,将会促使网络会计朝着搜集与提供信息多元化、处理信息空间多元化的方向发展。据此,网络会计系统必须朝着具有人机交互功能的“智能型”系统方向发展。

七、结束语