东北财经大学会计学院 教授 硕士生导师 注册会计师 教授级高级会计师 电子商务审计 东北财经大学会计学院 教授 硕士生导师 注册会计师 教授级高级会计师
国内外电子商务应用实例 国内: 海尔集团 仓储面积减少了一半,降低库存资金约7亿元;节约采购成本2亿元; 库存资金的周转速度提高了一倍。 整个集团的销售收入以平均每年80%的幅度持续增长。
目前国际上最大的网络生产商——Cisco公司 国外: 目前国际上最大的网络生产商——Cisco公司 由于采用基于Internet的电子商务,在过去的一年,销售额增长了500%,达到121亿美元,销货周期从过去的3周降为3天,客户满意度提高52%,节约采购成本10%-20%(约2亿美元)。
一、什么是电子商务 电子商务(e—commerce) 80年代初期的电子商务是指以电子信息技术为工具开展商务活动。即: 一、什么是电子商务 电子商务(e—commerce) 80年代初期的电子商务是指以电子信息技术为工具开展商务活动。即: 电子商务=电子信息技术+商务 如今的电子商务是指基于互联网技术的商务。即:
一、什么是电子商务 电子商务=互联网+商务 电子商务最重要的应用模式是两个: 企业与企业(B to B) 企业与消费者(B to C)
二、电子商务的五大优势 1.空间优势 由于互联网的无国界性,所以每一个企业都可以成为真正意义上的跨国企业——面向全球市场销售、与来自全世界的竞争者竞争、与全球范围内的伙伴合作。 这意味着企业通过互联网可以与全球的任何供应商或客户进行贸易,采购空间和市场空间将随着互联网的无限延伸而延伸。
2.时间优势 而且,由于商品的选购、下单及支付都可以由顾客在网上自己完成,企业可以再不增加销售人员的情况下增加业务量。 由于互联网能够365天每天都能全天候不知疲倦地自动工作,所以, 365×24也就成了电子商务时代的作息时间。 任何人都可以在任何时刻到企业的网站查找信息,定购商品。 而且,由于商品的选购、下单及支付都可以由顾客在网上自己完成,企业可以再不增加销售人员的情况下增加业务量。
3.速度优势 美国通用电气公司过去采购的周期至少七天,而现在的在线采购,则是从招标到开标只要2小时。 日本厂商开发一个新车型从概念到规模生产通常需要3年时间,现在,通过互联网协调工作,开发和制造一辆新车型的周期缩短为13个月。
4.成本优势 IBM公司建立电子信息交换,生产厂商可以按时、按需、按地供应商品,使IBM公司1999年在业绩增长30%的情况下,产成品库存只增加20%,节约成本5亿美元。 由于互联网的全球性,基于互联网的采购空间为我们提供了在全球范围内自动寻找原材料或服务供应商的可能,采购质优价廉的原材料和服务将会为企业节省大量的采购成本。
5.个性化优势 在著名的“德尔电脑公司”的主页上,顾客可以选择符合自己需要的配置的电脑。 一旦你在一个网上商场购买了几次婴儿商品,商场就可以大致判断出你有一个男孩还是女孩,他(她)十多大年龄,你的购买习惯如何,甚至判断出你的大致收入水平,从而有针对性的向你推荐商品。
三、电子商务的发展与现状 至20世纪90年代末,美国15%的制造业企业、22.4%的批发和零售企业、32.2%的通信和媒体企业、38.2%的银行业使用了电子商务。 我国外贸部于1996年成立了中国国际电子商务中心,借助于中国电信公用网,实现了与联合国全球贸易网等国际商务网络的连接,并在全国大中城市开通了联网点,目前大多数企业都加入了电子商务这一最新交易活动。
四、电子商务对审计实务的十大影响 1.对审计环境的影响 企业面对一个全新的网上空间,交易信息以光速在网上传递。其运作主要由计算机信息系统按先进的管理模式控制。企业确认客户订购,安排生产计划,控制采购计划,进行账务处理都由系统自动完成,经营管理走向网络化与自动化。
2.对审计重要程度的影响 商务活动将以计算机和通信网络的完美运行为基础,它对计算机系统强烈的依赖性潜伏着巨大的威胁,控制不灵、使用不当就可能造成灾难性的后果。
2.对审计重要程度的影响 计算机病毒和“黑客”的肆意侵袭、计算机犯罪等等都导致电子商务信息失真的风险。 因此,审计人员不仅要对电子商务活动产生的数据是否真实、正确、合法进行审计,而且还要对电子商务系统的硬件和软件,进而对整个电子商务系统的安全性、可靠性、内部控制的健全性与有效性等方面进行审计。
3.对审计风险的影响 电子商务引起的风险主要包括下列几个方面: ①数据高度集中于电子商务系统,易篡改而不留痕迹。
3.对审计风险的影响 ②由于技术原因,电子商务系统对不合逻辑的事项也会照样处理。
3.对审计风险的影响 ③电子商务系统难以实现签字、盖章等证据化的操作。 ④电子商务系统对错误的处理具有重复性和连续性。 ⑤电子商务系统中许多不相容职责相对集中,加大了舞弊的风险。 ⑥系统设计时没有留下充分的审计线索。 ⑦计算机病毒和“黑客”对电子商务系统的故意破坏。
4.对审计线索的影响 传统的审计轨迹完全消失,代替纸制凭证、账簿和报表的是电磁化的会计信息。这些磁性介质上的信息不再是肉眼所能直接识别的,可能被删改而不留下痕迹,一方面增加了审计调查取证的难度,另一方面也从心理上给审计人员造成了压力。
5.对审计内容的影响 首先,必须对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的; 其次,电子商务系统的设计应有审计人员(一般是内审人员)的参加。
6.对审计方法与技术的影响 首先,审计人员要利用计算机对计算机管理系统的处理和控制功能进行审查。
6.对审计方法与技术的影响 其次,在电子商务环境下,大量的证据都存储在肉眼不可见的磁性介质上。对这些证据,审计人员只能利用计算机技术进行审查。 在对电子商务活动进行审计时,单机系统环境下的审计方法有的已不能适用,所有测试都必须在不改变数据库或记录的条件下设计具体的测试方法。
7.对审计方式的影响 在网络世界里,企业的生产和经营的组织形式将趋于多样化,并随着不同交易事项自由组合成新的经营主体——虚拟企业。虚拟企业是一种临时组成的,没有固定形态和明确空间范围的结合体。也就可能在交易完成后立即解散。
7.对审计方式的影响 要求审计工作必须随时、随地进行,实时、即时提供审计信息,而不能按照传统的审计工作要求,定期提供审计信息。
8.对审计人员素质的影响 实现电子商务以后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。 在这种情况下,审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯、电子商务知识与技能。
9.对审计标准和准则的影响 电子商务使得审计对象、审计线索、审计方法等各方面都发生了变化,人们以往在审计工作中逐步建立起的一系列审计标准和准则已不完全适用于变化了的情况,需要建立新的审计标准和准则指导审计工作实践。 例如,对电子商务审计人员的一般要求、电子商务的事前审计准则、电子商各系统安全可靠评价标准、电子商务系统内部控制准则等。
10.对审计立法的影响 目前的审计法规都是适应传统书面记录形式的,电子商务时代必须建立与之相适应的新的审计法规。
10.对审计立法的影响 例如,电子证据的无形性和易篡改性造成了审计证据确定的困难;电子签名因不同于手书签名而导致法律上难以认定;电子合同的瞬间完成使得合同签订和生效时间的确定存在争议等等。这在一定程度上使得审计工作尤其是进行合法性审计时处于无法可依的局面,亟需立法加以明确。
五、电子商务审计定义 电子商务审计就是对Internet网上所进行的各项经济活动及其信息系统的安全性所进行的监督与评价。
六、电子商务审计的特点 1.应用计算机网络技术 电子商务是在网络化的环境下开展的,其经济交易数据完全电子化和无纸化。审计人员要开展这一审计业务,必须充分应用计算机网络技术,否则对网络的数据库审计和许多实质性测试和符合性测试是无法实施的。
2.对无纸化的数据库审计 随着电子商务的不断普及,越来越多的企业经济事项 (含会计事项)及其相关数据可由计算机自动化数据处理形成数据库。在这种无纸化的环境下,审计怎样鉴别几天前,甚至几个星期前发生的经济业务及其数据的真实和可靠,是审计师所面临的严峻挑战,显然,审计师必须开发一套电子商务审计专用的软件和改进传统的审计程序,来适应这种审计的需要。
电子商务审计软件一定能使审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索,否则时过境迁,就无案可查。可见审计的计算机网络化和创新也是审计界亟待解决的重大问题。
3.内部控制制度的地位突出 网络化的计算机信息系统不断发展,用纸张纪录经济业务逐渐消失,内部控制将会变得越来越重要。从前面电子商务审计内容也可以进一步说明网络环境下的内部控制制度的重要性。可以断言,在电子商务环境下,审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面,都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息(含会计信息)的可靠性和经济业务处理的适当性,并且对内部控制的状况作出全面评价。
4.审计报告内容的革新 电子商务审计报告的内容,比照美国注册会计师协会的网上审计准则应包括如下几方面内容:
(1)表述审计的业务范围——如某指定时期内电子商务和保护私人信息的披露及其业务数据的完整性和电子信息安全保护的情况。
(2)简述审计师审计所做的主要工作:了解系统的控制措施、有选择地按照有关要求所执行的业务测试、评估控制措施操作的有效性和实施其他必要的程序.这些审查为我们的意见提供了合理的基础。 (3)侧重于对如下四个方面发表审计意见;业务和信息的保密和遵循的披露要求:网络上的订单履行和支付结算保障;私人信息的保护和保障其信息不被用于与电子交易无关的方面。
5.电子商务审计报告的时效性强 就目前的审计报告而言,在报告日后的一个月内可以证明被审计企业的电子商务控制的有效性,超过这一期限可能难以保障原已发表的审计结论的正确性,这是因为电子商务的固有特性,它所用的计算机网络系统的易变性: (1)系统和控制制度的易变;
(2)处理程序的易变; (3)因随时间推移系统也要求改变; (4)应遵循的政策和程序的改变。作为电子商务审计,最好是适时的,其报告应当每一周更新一次。对一些特殊的或大宗业务可以单项审计业务处理,实施实时审计,实时出具审计报告。
七、电子商务审计的主要内容 1.电子商务网络安全管理制度的审计 电子商务的网络数据安全措施,至少包括三方面: (1)网络数据安全技术方面的措施; (2)安全管理措施的制定和实施; (3)社会立法和法律保障措施。
七、电子商务审计的主要内容 审计师关心的是这些措施实施的情况,通常可从如下几点进行评价: (1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况,实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。 (2)审查安全管理制度建立和施行的情况,一般采用面谈法、访问和实地察看法,按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。 (3) 审查有关计算机安全的国塞法律和管理条例的执行情况。
2.网络访问控制审计 网络访问控制包括访问权限控制和用户认证。访问权控制的审查,主要是检查是否有端口访问控制情况一一进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。
如某一销售代理用户通过用户号认证进入被访问的企业计算机系统,他仅能查到所赋予权限范围内的一些数据(该销售点可销售的产品项目、价格、可销售数量),而对更敏感的数据(企业整体的销售情况和定价策略)就无法访问。
用户认证的方法,一般可分三类:口令或密钥、身份鉴别(如指纹)和使用权限控制,其中最安全的认证是身份鉴别(用指纹或其他特性),但制作费用比较昂贵,其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外,主要审查各类型控制执行的情况。
3.网络中的数据加密审计 现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的,并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据,网络数据库和软件程序库一般由服务器统一控制管理。
网络数据库和程序库包括范围很广,有企业的基本业务数据库(包括电子商务交易合同、销售发票和发货单等)、编制各种会计凭证的数据库等。由于网络中的数据库具有共享性,很容易受到舞弊人或黑客的修改和破坏.要确保合法客户对网络数据库访问的便利性和网络数据的完整性,比非网络系统增加对数据库的加密管理,相应地形成数据库的加密管理审计。其内容:
(1)审查服务器的数据库加密装置,服务器密码装置的密钥分配,这种审查主要是了解系统管理员和相应密钥分配情况。 (2)审查网络端对端的加密,测试关键的网络数据在传输中的全程加密,此种加密是通过专用的软件实现的,因此,对这类加密软件要进行特别的安全保护管理。
4.披露事项的审计 保证电子交易的可靠性和真实性,是任何交易的基本前提。为了增强网络客户或消费者的信心,电子商务网络系统必须具有如下披露的基本要求: (1)对电子商务销售的商品和服务进行披露,若含有证明商品性能和服务效果的信息,必须注明其信息来源;
(2)对交易条件进行披露,如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策; (3)售后服务和产品技术支持; (4)客户的权利,包括投诉的程序和应告知客户企业的经营地址、电话号码和办公时间; (5)对争议的处理,包括管理当局和请第三方中立机构处理争议问题的程序。
为确保上述披露基本要求的实现,审计需要考虑的测试内容为: (1)测试客户对产品或服务要求的电子签约情况: 对每一笔交易或客户要求的正确性和完整性进行检查;交易达成前需要得到客户的肯定答复。
(2)送货处理情况的测试:按要求的数量和质量在约定的时间内送达客户;或应客户要求提供产品和信息;非常情况必须及时通知客户。 (3)电子商务交易账单和支付的测试:交易达成前,告知客户销售价格及其它所有费用;按双方认定的交易开具账单进行电子清算;账单或清算错误应及时告知客户。 (4)交易记录保存情况的测试。 (5)监督情况的测试:交易真实性控制是否得到有效执行:企业若不能执行控制手段,应及时公告,并说明正在采取的补救措施。
5.客户信息隐私保护的审计 为在电子商务中保证客户私人信息的隐私权,电子商务网站必须遵循如下保护措施: (1)保证客户信息不会被传送到其他网站;
(2)客户有权禁止其信息在与交易无关的场合使用和为第三方所使用; (3)客户私人信息未经授权不准访问,客户私人信息不能随意被透露给其他的单位或个人,除非在客户提供信息前被告知其信息可以为第三方共享; (4)网站工作人员只有在处理业务时方能使用客户私人信息; (5)在存储、变更或从客户计算机上复制信息前应得到客户的许可,或事先告知客户,但客户有权拒绝这样做;
(6)严禁向客户输送恶意的程序; (7)企业信息保护的控制得到有效执行; (8)企业若不能执行上述控制手段,应及时公告,并说明正在采取的补救措施。
因此,审计对信息隐私权保护的测试主要考虑如下几项:
(1)审查电子商务网站是否建立了有关的隐私保护制度和网站有关人员的职业道德规范,并检测保护制度和道德规范是否在实际工作中得到贯彻.在电子商务网站建立保护信息隐私的制度和网络工作人员的职业道德规范标准,这如同审计师的客户商业秘密保密制度和审计师职业道德标准一样重要。
(2)应用计算机审计技术测试信息隐私保护实施的情况。实时审计程序嵌入技术可用于记载隐私关键数据使用的情况,可为计算机审计提供有力的审计取证手段,以保护信息隐私制度的实施。信息隐私权和保密与电子商务系统的内部控制制度具有密切的关系,因此应用计算机技术的同时也不能忽视对电子商务系统的应用控制和一般控制的全面审查。
八、电子商务环境下审计理论体系构建 1.电子商务环境下审计的目标 在电子商务环境下,审计将由揭露会计资料的错弊转向包括揭露并指出其根源与后果,增加相关利益审计的多元化目标。
2.网络审计的假设 ①被审主体假设
2.网络审计的假设 电子商务环境下有两大类企业: 一类是传统企业实现信息化,通过构建网站等方式参与电子商务。 另一类是虚拟企业,这些企业只是在Internet上租用空间,寻找资源、发布广告,或是整合信息并出售或是与网下的生产企业、运输企业等联合;或是“1+1”型网网联合。针对这类虚拟企业,被审单位主体应假设为“经济利益相关的独立体”。
②审计环境假设 一是被审单位网络财务体系的建立和完善,企业内部实现数据一体化管理,建立网上交易活动的授权、确认制度以及相应的电子文件接受、签定、验证制度。并建立网上信息发布功能,实现网上在线信息披露机制。
②审计环境假设 二是企业网络财务系统中建立了审计子程序和审计接口。审计子程序中提供审计管理程序、审计执行工具、审计档案库;审计接口是指从被审单位的财务系统向审计应用软件中传送审计数据的规范和程序,包括传送数据的格式、规范和完成传送作业的程序。
③货币结算假设 电子货币是实施电子商务的重要条件,它采用电子技术和通讯手段,在信用卡市场上流通,以法定货币单位去反映和实现商品的价值。
③货币结算假设 自从1996年美国纽约的安全第一网络银行(SFNB)成为全球首家Internet电子银行至今,已有1500多家网络银行在开展业务。网络企业的交易范围涉及全球,各种货币汇率不同。因此,网络审计要正常开展必须有一个完善的网络银行体系支持。
3.网络审计的对象 电子商务环境下,网络审计的对象应从传统审计的会计报表及其他资料转为原始资料和系统功能。包括: 经济业务本身的合法性和真实性; 原始凭证的录入工作准确性;
3.网络审计的对象 网络会计信息系统的可靠性; 系统研制开发的合理性; 应用程序与数据文件的安全性等。 从事后审计转为实时审计。
4.网络审计组织 审计组织内可分设: 工程技术部——负责被审单位网络财务系统硬件环境的审查; 程序检测部——负责对被审单位网络财务系统的运行情况审查;
4.网络审计组织 财务审计部——在前面部门工作的基础上,完成对具体业务的审查。 接到审计任务时,由各审计部门派员组成审计小组协作完成工作。
5.审计方法程序 ①接受委托 ②对被审单位网络财务系统功能进行评测③对被审单位网络财务系统进行数据通讯的控制测试 ④对原始资料进行实质性测试 ⑤结合整理,编制审计报告与管理建议书
九、电子商务审计的典型技术 审计人员在对在线实时系统进行业务测试时,为避免引起客户技术上的混淆,通常采用平行电子数据处理审计技术。这些技术在电子数据处理系统处理其实际营运业务时,可以持续的应用,其最大的优点在于审计人员可以进行持续的监测,并在系统进行处理时搜索证据,这与一些静止的审计技术形成鲜明的对比。其最大的缺点是成本较大,且对审计人员技术能力要求较高。
九、电子商务审计的典型技术 典型的平行审计技术有嵌入式测试设备、快速拍照和扩展性纪录。
1.嵌入式测试设备 嵌入式测试设备是将审计人员提供的程序代码按审计人员决定的嵌入点与客户的处理程序合成一体,来执行特定的审计程序(追踪),以测试控制情况。这种审计结果的信息被称为系统控制审计复杂文件,可以汇总成一份复杂文件报告,以备审计人员在随后的人工复查中使用。在这种方式下,审计人员可以了解应用系统中所有处理步骤的轨迹。通过复查这条轨迹,审计人员能够确定在处理过程中程序是否正常运行。
2.快速拍照 有时审计人员需要确定计算机决策系统在进行决策是参照的系统数据指标。“快速拍照”技术可以列示特定决策有关的数据指标。通过特殊代码,打印出文件用以分析。这是一种帮助审计人员发现为什么会出现各种可疑处理结果的最常用的工具。
3.扩展性纪录 它是将审计元素添加到应用系统的业务记录中。这样,业务数据的内容得到扩充,同时提供了一个完整的审计线索,审计人员可以抽取这些包括扩展性数据的业务进行审查。
谢谢大家!