电子商务审计思考与方法

科技越先进，经济就越发现，电子商务是新兴且高速发展的活动，主要是通过互联网开展商务活动。它的发展方式为企业对企业、企业对客户、企业对雇员等，各种方式在国内均取得高速发展，在以后将会取得更加快速增长。

电子商作为一个新兴的业务，高风险的业务，如何监督与审计？成为内审人员重要课题。以下是个人的一点建议，希望对大家有用。

一、对电子商务业务流程进行全面风险（所有业务都是这个模式）

具体包括以下内容：

A、哪些风险是重大的？

B、哪些风险可能被保险？

C、现有的哪些控制可以减少风险？

D、哪些额外的补偿控制是必要的？

E、需要哪些类型的监督？

二、内审人员在风险评估过程中要考虑的事项（14项）

①针对某一电子项目是否有相应的业务计划？

②这一计划是否考虑电子系统的计划、设计、执行与整体战略一致？

③对电子商务的运行、安全性、可靠性有什么影响？

④商务系统是否同时满足终极用户与管理层的目的？

⑤是否分析政府与法律的要求？

⑥硬件与软件的安全性如何？能否防止或发现越权进入，不当使用损失？

⑦交易是否及时、准确、完整？

⑧实物控制环境是否达到开展电子商务目的？

⑨风险评价是否包括内部和外部的因素？

⑩是否考虑互联网商的信用、可靠及如何进入系统？

⑾是否考虑其他事项？企业机密信息的披露、滥用知识产权、侵犯版权、触犯商标权、网上的诽谤声明、舞敝、滥用电子签名、侵犯隐私、损害名誉等。

⑿如果采用外部供应商是否采用第三方的持续经菅的评估。

⒀供应商是否采取了应变计划的测试，是否提供SA70报告（内控报告）

⒁合同中是否包括审计权利？（关键）

三、电子商务活动审计目标

根据风险评价结果，我们可以精选电子商务的审计目标包括（但不限于）：

①电子商务交易的证据

②安全系统的存在和可能性

③电子商务与财务制度的有效界面

④货币交易的安全性

⑤客户确认过程的有效性

⑥企业持续经萤的充分性，包括经菅的恢复情况

⑦符合通过安全标准

⑧有效使用和控制数码签名

⑨控制公共钥匙（采用公共钥匙加密技术）的系统、政策和程序的充分

⑩操作数据和信息的充分性和时效性

四、根据行业及商业模式的不同，对审计方案中主要领域概述：

A、电子商务组织——内审师应实施：

1、确定交交易价值

2、确认关联方（内外部）

3、检查管理过程的变化

4、检查批准程序

5、检查有关的电子商务活动的企业计划

6、评价公共钥匙证书方面的政策

7、检查数字签名过程

8、审查购买方、供货方及证明人之间的协议

9、确认质量保证政策

B、针对舞弊——内审师应注意：

1、未经授权的资金流动，如移交司法裁判的资金难返还

2、重复支付

3、拒绝签发或接收订单，接收货物或支付款项

4、特作报告是否有人阅读、

5、数字签名是否用于所有的交易？谁可以授权？谁能获利？

6、是否对通行权定期检查？人员变动时是否及进修订？

7、防止病毒或黑客袭击（文档，工具使用）

8、未经授权人员介入交易的历史记录

C、鉴定真实性——应检查交易及评价控制的政策：

1、定期检查的证明

2、管理层采用的控制自我评价工具

3、定期独立核对

4、职责分离

用于管理的工具：防火墙，口令管理。独立核对。审计过程记录。

D、对于篡改数据——应对数据的完整性的控制

①谁能够修改目录和价格？审批机制如何？

②审计过程记录是否会被破坏？

③谁可以批准对公告板的修改？

④什么是定货和记录的程序？

⑤在线投标过程是否作了充分记录？

应采用的工具：侵入管理（监视软件、自动超时设定、趋势分析），对电子商务服务器的安全保密，改变控制以及核对。

E、对于业务中断—应检查业务延续是否经过测试，当出现中断时的替代方式。

①数量攻击

②拒绝服务攻击

③电子商务系统和财务系统之间的匹配缺陷

④备份管理

⑤应对黑客袭击、侵入、病毒、内部颠覆、秘密途径等的策略

F、对于管理事务——应对管理部门进行评价

①项目管理检查

②系统开发周期检查

③供应商筛选和能力，雇员的机密性及担保

④实施后的经济检查，是否达到预期收益？采用何种方式衡量成功与否？

⑤实施后的过程检查，新程序是否有效运行？

以上内容，根据《内部审计实务标准--梁雄整理》选搞。