叶　蓓

摘要：本文以电子商务环境下的网络审计为论著对象，论述了电子商务与网络审计的关系及其影响，产生了网络审计较传统审计的创新和发展前景；着重探讨了网络审计的核心问题；同时也实事求是地指出其存在的问题并尝试探讨解决方式。

关键词：电子商务；安全技术；网络；审计

引言

步入21世纪，信息化浪潮席卷全球。电子商务在其推动下迅猛发展。网络与社会经济的密切结合，逐步改变了生产和劳动结构。甚至有人预言，在不久的将来，网络经济将在整体社会经济中占主导地位。因此，讨论与经济形态密切相关的网络审计，对审计人员而言也变得更有意义了。

一、电子商务环境与网络审计

电子商务E-ComTnerce是网络经济的基础，其特点是不在依靠面对面交易以及纸质单据传送，而借助于电子网络技术和现代通讯来全面实现自动化交易和结算。电子商务的出现，改变了企业现有的商务操作模式和管理方法：而企业通过建立公司局域网(INIRANIYT)，通过外联网(EXTRANET)或互联网(Intemet)，将自己与关联企业、上游供应商、客户联系起来，形成更广泛的信息系统。它允许企业利用更广泛的外部和市场资源，把产、供、销符环节集成在这个大的电子商务圈中。随着电子商务的兴起，传统的审计模式越来越无法适应：审计环境、审计内容、审计方式等方面也随之产生一系列的重大变化，从而也促成了网络审计的诞生。本文探讨的正是以电子商务为审计对象，以网络为媒介和被审计单位信息载体与传播方式的网络审计。

二、网络审计较传统审计的创新

(一)审计环境的创新

1改变了企业的交易方式

传统的商务活动中，有纸质的原始凭证记录交易。会计人员遵循原始凭证——记账凭证——明细账和总账——会计报表的手工方式进行操作。企业的一切经济活动都有经手人签名，整套账以纸介质有序保存，方便查阅，也不易删改。电子商务大大改变了企业的交易模式。企业在线发布供货信息与广告招揽顾客，顾客在线订购，欠款随时转结；凭证、账簿也可由计算机系统自动生成。这样，交易的纸记录消失了，取而代之的是以电子数据的形式记载和传递的虚拟凭证、账簿以及报表。

2改变了企业的运作方式

电子商务不仅改变了企业传统的交易模式，而且使企业内部的运作方式发生了质的变化。随着网络财务和电子商务的广泛应用，业务数据和财务数据都将在计算机系统中集成，使审计工作的大量原始业务数据和各种证据都可以从被审计单位机器相关业务单位的计算机系统中直接获取，这不仅为真正有效实用的计算机审计创造了条件，同时为全面高效的网络审计提供了广阔的发展空间。

3改变了审计的法律环境

我国目前基本形成了以《中华人民共和国会计法》为中心，国家统一的会计规章制度为辅助的企业审计法规体系，各行各业的会计处理都有相应的准则为指导。可以说，传统审计面对的是相对有序的外部环境。而网络时代，传统企业纷纷开展电子商务，参与竞争，甚至出现无办公场地、无企业实体、无产品实体的“三无”虚拟企业。新的《会计法》增加了关于网络财会的内容。不过，与之对应的“网络审计”在准则和立法方面还存在滞后性。

(二)审计内容的创新

除外部交易的原始凭证无纸化外，企业内部业务的审计线索也发生了质的变化。由于内部原始单据变为电磁化信息，计算机信息系统根据确认的经济业务自动编制记账凭证、登记账簿、编制报表，实行财会核算自动化，会计的确认、记录和报告都由计算机按程序指令执行，各项处理没有直接责任人。而电磁化的会计信息，既可能被不留痕迹地删改，也可能完全无记录或被夸大地记录下来。如果被审计单位的系统存在设计缺陷，审计线索可能无法被追索到。即使系统留有充分的审计线索，其产生与存储方式、特地与风险都与传统的审计线索有重大区别，从而大大增加审计风险性。

(三)审计手段的创新

网络审计改变了会计信息的利用加工方式，作为审计人员，面对网络交易，其审计手段也随之做出相应变动。

1审计人员在获取审计信息时，对内，在取得权限后可以进入被审计单位的内部网，直接查看内部会计信息。在获取进一步的权限后，还可以直接复制、传送重要信息。对外，审计人员可以访问与客户有往来的供货商、购货商，提供相关服务的银行、税务所、工商局等部门的网站，收集相关的经济信息和金融、财税、法律政策。

2审计人员可以利用独立审计软件或企业内部系统会计平台的强大功能，检查、核对凭证。

3计算功能：输入正确的公式，根据政策变动的情况下及时调整公式。

4分析性复合的数据也可在计算机中显示其趋势走向，还可以自动计算相关数据以助于分析。

三、网络审计存在的问题之对策

目前的网络审计环境还不完善：政府、企业未全面上网，更无健全的法律法规来保障电子商务的正常进行。就审计人员而言，网络审计需要的是对会计、审计、计算机技术特别是网络安全技术运用娴熟的专业人士，要求既要博学又要专业。此外，由于电子商务催谷了在线支付交易方式以及数字货币的诞生。如何对它们进行审计，对审计工作者而言，也是一项具有挑战的课题。

(一)相关对策

1全面提高审计人员素质

实现电子商务后，由于审计信息的收集、审计手段与信息输出方式等的进步，对审计人员的要求也大大提高了。不懂得计算机技术的审计人员，会因为会计信息的改变而无法跟踪追查，会因为不懂得电子商务的特点和风险而不能审查和评价其内部控制，会因为不会使用习惯软件而无法开展工作。因此，审计人员不仅要丰富自己的专业知识，更要掌握一定的科学技术，能满足电子商务环境下审计工作的基本需要。

2制定修改审计标准和准则

建立新的审计标准和准则指导工作时间。例如，对电子商务环境下审计人员的一般要求以及电子商务系统的内部控制准则等，使审计人员做到有法可依。

3对网络审计工作实行专项立法

电子证据的无形性和易篡改性造成了审计证据确定的困难；电子签名因不同于手书签名几导致法律上的难以认定；电子合同的瞬间完成使合同签订和生效时间的确认存在争议，等等。这些都在一定程度上使审计工作尤其是合法性审计工作处于无法可依的局面。而补充性的法律条例并不一定能很好地说明问题。因此，最理想的情况是对网络审计实行专项立法。如，对企业使用自行设计的软件的立法约束。除了指定软件设计条例外，在软件设计好后，相关部门还需选取各种类型的数据，特别是极端数据如销售为零甚至负销售额来测试软件的逻辑正确性。确保其系统的稳定可靠。对于有网络订购业务的企业还必须对其订单号的连续性作出规定等。若测试员或审计人员发现连续两次订单号第一次是200871，第二次忽然变为198865，则可以断定该企业的电子商务系统存在缺陷及隐匿销售的风险。针对以上种种，以有专项立法

予以严格监管为上。

4网络审计的核心问题。操作系统的缺陷、专业应用软件的漏洞以及网络安全本身的问题，都将会给审计工作者带来前所未有的考验。可以说，网络审计的核心问题是如何同时确保审计的效率和安全性。下面将予以单独讨论。

四、网络审计的核心问题：如何构建安全的网络审计

安全的网络审计有赖于安全机制的建立与技术手段的辅助。网络审计的安全机制，主要包括介入管理、安全监视和安全恢复等三方面接入管理主要处理好身份鉴别和接入控制，以控制信息的利用。安全监视包括安全报警设置、报警报告以及检查跟踪。安全恢复是指有专人或专项制度监控网络流量，留意异常情况，并及时备份数据以助系统恢复到安全状态。对于网络安全技术而言，主要可以运用专网、访问控制、数据认证、加密等。当网络审计发展到一定阶段，可以尝试建立一个像军用网、教育网那样独立于INTERNET之外，但又与之有接口相连的审计专用网络。而在当今基本依托于互联网的实务操作中，审计人员必须提高警觉，防范以下各种可能的风险。

1专业应用软件风险

专业应用软件包括电子商务平台和财会、审计软件等。按来源可分两类，一是独立软件，即由企业以外的独立公司开发的，如用友。二是由被审计单位提出申请，在审计人员监督下自行研制或向软件公司定制的。独立审计软件公开发售，其漏洞和不完善之处也是面向公众的。比如，笔者根据对教学版金蝶软件的实际操作发现，一旦取得计算机管理员和会计系统管理员双重权限。理论上是可以抹杀或篡改部分审计痕迹的。这类漏洞若被别有用心之人利用，将会给审计工作带来极大风险。而企业独立设计或定制软件，审计人员很可能从未接触过。既然不熟悉其运用方式，对其违规舞弊的防范更是无可谈起了。所以，在实际工作中，除了要求企业严格限制管理员权限，定期备份数据外，审计人员须多接触财会软件和电子商务系统，增强自身的专业基本功。

2电子商务系统风险

首先，在系统的设计开发阶段，审计人员应该注意检查以下问题：

1)系统可行性；

2)经营业务和财会处理功能的合法性和正确性；

3)系统是否建立了恰当的程序控制，防止无意的差错或有意的舞弊；

4)系统的可审计性，是否留下了充分的审计轨迹；

5)系统测试的全面性和恰当性；

6)系统文档资料的完整性。

其次，在电子商务系统运行后，审计内容必须增加对其处理和控制功能的审查，以证实其对交易事项的处理是否真实、合法及安全可靠。比如对于有在线交易的企业。审计人员可以连续发起两次交易看其订单号是否连续等。

3操作系统风险

当今流行的各电子商务公司的操作平台，不论是WINDOWS系列还是Mac：等，其存在安全漏洞、后门等不完善处屡见不鲜。这些漏洞一旦不及时弥补，很可能造成系统的崩溃或内部资料的泄露。审计人员工作时，可以核对企业是否有定期维护其操作系统，及时下载补丁更新。

4企业内部控制风险

如被审计企业职责分离不当，易引起内控失灵。对此，审计人员要格外注意：被审计单位有无将数据维护、系统管理、输入、核对等岗位分离，是否明确了各人的操作范围，以利相互监督。

5外部风险：计算机及网络安全问题

计算机病毒容易造成系统的崩溃和信息的缺失，而黑客的入侵则会带来被审计资料的外泄甚至篡改。黑客常见的入侵手段包括IP欺骗、利用系统和软件的后门或漏洞、木马侵入等。对此，要在第一时间下载系统和软件的补丁，将已知的漏洞和后门统统堵上。其次，设置软件、硬件防火墙，用于过滤非法地址和阻挡频繁的探测攻击，还可使用网络加密技术，确保机密数据的安全。再次，审计人员要注意遵守网络道德和公司章程，不将运行会计和审计系统的电脑用于不相关网站的访问，不下载不明文件，也不使用任何未经确认的外接设备，如USB闪存，定期更新杀毒软件等。