电商企业审计风险研究篇1
【关键词】电子商务;审计风险;电子商务审计风险
近几年来,随着越来越多的企业运用电子商务开展经营业务活动,注册会计师在对企业进行审计时不得不考虑这些与电子商务相关的业务,然而这种新兴的电子商务审计和传统的审计有很大的不同,这种电子商务的审计存在更大的风险,注册会计师识别、评估和应对其风险有更大的困难。因此,研究电子商务审计风险的成因及其防范措施,不仅能够更好的识别、评估和应对电子商务审计风险,而且也是对我国审计理论的完善。
一、电子商务审计风险的特征
一般情况下,审计风险=重大错报风险*检查风险,由于电子商务的无纸化、电子化和网络化等特点,无论是电子商务的重大错报风险还是检查风险都比传统审计风险要高。电子商务采用的全球网络化信息系统,企业一方面面临着系统自身的风险,可能导致会计数据被篡改、破坏,另一方面面临着电脑病毒和电脑黑客的入侵,导致会计数据的丢失。这些致使电子商务重大错报风险的加大。电子合同、电子函件、电子订单的存在使注册会计师审计中对其真实性、合法性很难辨别,导致电子商务审计风险中的检查风险要比传统的检查风险要高,审计工作的难度更高。
在电子商务系统高度自动化的条件下,审计证据的充分性和适当性取决于电子商务系统控制的有效性。因此,对电子商务审计主要集中在电子商务系统交易过程和控制测试。审计对象也要从财务报表及其相关资料扩展到被审计单位的资信状况、内部控制等对财务报表产生重要影响的诸多事项上来。
二、电子商务审计风险成因分析
我国的电子商务还处于发展的初级阶段,发展水平较低,相应的电子商务审计也处于探索阶段。随着电子商务迅猛的发展,电子商务审计将成为注册会计师审计发展的重要瓶颈。因此,了解电子商务审计的风险成因对电子商务审计至关重要。
首先,我国电子商务审计环境风险因素分析。迅速发展的电子商务运营不足,致使一些电子商务部能实现,加大了电子商务风险,同时增加了电子商务审计风险。此外,我国电子商务及电子商务审计的法律体系尚不完善,这使企业和注册会计师缺少了执业标准,我国的审计准则虽然涉及了电子商务的内容,但是对电子商务审计的程序和具体的审计标准没有规定,这必然导致注册会计师在执业过程中无章可循,必然导致审计风险。另外,我国的社会信用体系还不健全,这给企业在进行电子商务中可能带来风险。
其次,电子商务审计的客体风险因素分析。一般情况下,审计风险的存在很大程度上是由于被审计单位内部的原因所导致的,电子商务审计风险的出现很大程度上也是由于企业内部出现的问题。企业对电子商务业务的内部控制不健全,导致了电子商务审计风险的大大提高。电子商务的自动化、无纸化、信息化等特点决定了,电子商务审计很大程度上是依靠控制测试而很少用到细节测试,因此企业对电子商务内部控制的设计及实施至关重要。企业内部网络安全也是导致电子商务风险的一个重要原因,网络病毒的入侵、电脑黑客的攻击等都可能篡改会计数据等,从而造成审计风险的产生。此外,参与电子商务人员的专业知识和素质也是影响电子商务风险的一个重要因素。
第三,电子商务审计主体风险因素分析。我国的电子商务起步比较晚,电子商务审计需要的人才必须掌握会计、审计等必要的财务知识外还必须掌握电子商务、计算机等新一代的知识,这需要一种复合型人才,由于我国在电子商务方面的起步比较晚,因此,这方面的人才可能会很或缺。会计师师事务所对这方面的人才进行培养不仅需要财力更需要时间。会计师事务所在遇到电子商务审计业务时可能由于缺少这方面的人才,而根据传统审计的经验来审计,从而带来个较大的审计风险。会计师事务所在对电子商务进行审计中所使用的审计软件实用性不强,通用性较弱。我国电子商务审计是最近几年才发展的,这方面的审计软件的研究开发、研究投入还较少,注册会计师在进行审计当中运用实用性不强的软件很容易带来审计风险。另外,我国近几年会计师事务所的竞争不断加大,造成了低价招揽业务。因审计收费的降低,会计事务所不得不减少审计工作、缩小审计范围,这会增加审计风险。
三、电子商务审计风险的防范
对审计风险的研究的目的就是为了有效的降低审计风险,使审计风险可以降至可以接受的水平。随着电子商务的快速发展,电子商务审计对象的无纸化、网络化、信息化日益提高,要求各方面共同努力,采取有效的措施来降低电子商务审计风险。
电子商务环境因素方面的防范措施。第一,由于我国电子商务处于发展阶段的早期,因此加强对电子商务系统的完善至关重要。给电子商务一个合理的平台,才能把电子商务审计落实的实处,把电子商务审计风险降到可以接受的底水平才不是一句空话。第二,完善电子商务法律法规和有关电子商务审计准则。电子商务的法律法规对规范电子商务起到至关重要的作用,这给了电子商务业务一个合法的标准,有利于审计人员对电子商务的合法性给予判断。完善电子商务审计准则,特别是具体的审计准则,从审计的程序和具体的操作过程都要有明确的规定,这有利于审计人员把握电子商务审计的细节,从而降低风险。最后,建设社会信用体系,社会信用体系的建立能对电子商务这种虚拟的网络交易提供安全保障,另一方面注册会计师可以更好的了解企业的信用状况。另外,加强网络的安全措施也是对电子商务正常运行不可或缺的部分。
电子商务审计对象的防范措施。第一,加强企业关于电子商务的内部控制措施。由于电子商务的自动化、信息化、网络化的程度之高,注册会计师在进行审计时,通常采用控制测试而很少采用实质性测试,这对电子商务业务的内部控制的有效性要求比较高。因此,建设有效的电子商务内部控制系统,对防范电子商务审计风险有很大的帮助。第二,加强企业内部电脑安全和参与电子商务人员的专业知识。电子商务的网络化、信息化要求企业把电脑安全措施管理好,不仅做好企业内部的网络安全,更重要的是做好电子商务网上的授权处理。企业要求做到专门的部门专门的人员来采购、管理电子商务业务。企业应加强电子商务人才的培养,不仅专门的电子商务人员懂得电子商务的内含,而且要让企业公司的各个部门如销售、采购、运输等部门了解电子商务的流程和内含,让电子商务渗透到整个企业当中,这样有利于电子商务的正确开展,减少了在运行过程中的摩擦,大大提高了效率,同时减少了电子商务的风险。
电子商务审计主体的防范措施。第一,会计师事务所培养电子商务审计的人才。电子商务审计是最近几年才发展起来的,它和传统审计有很大的不同,这就导致传统的审计方法和程序不适合电子商务审计。因此,会计师事务所必须加大电子商务审计这方面的人才培养,才能应对所接受的业务中的电子商务审计,从而减低电子商务审计风险,增加会计师事务所的业务量和审计质量。第二,会计师事务所开发实用、有效的电子商务审计软件。不同的电子商务环境造成审计对象的范围和审计方法不一样,因此在软件研究和开发的过程中要充分考虑这方面的问题,开发出不同环境下实用、有效的电子商务审计软件,这样可以在降低审计风险的同时,提高审计的质量。第三,会计师事务所做好电子商务质量控制措施。在项目组审计完毕后,会计师事务所要对所涉及的电子商务审计重点进行复核,要求对电子商务这部分的复核更严格、人才配置更优秀,要把这方面的风险控制在可以接受的范围内。
本文通过对电子商务风险的特点、风险产生的原因以及应对风险的措施的简单研究,希望对企业所涉及的电子商务业务有所帮助,同时希望拓展会计师事务所的电子商务审计业务,提高电子商务审计的效率。
参考文献:
电商企业审计风险研究篇2
【关键词】电子商务企业;财务风险;风险管理
一、前言
随着科学技术的进步,电子商务由工不受时间、空间的限制,服务功能和领域较为全面,因而受到广受关注并发展迅速;但电子商务为企业带来良好的交易服务平台的同时,却也无形之中增加了很多危险因素。不少电商企业由于对财务风险认识不足,管理不到位,致使企业遭受巨大的经济损失,甚至破产倒闭。增强电商企业财务风险管理意识,研究分析电商企业财务风险控制的不足,并采取对应措施,防范和规避各种财务风险成才能让电商企业获得更好的发展机会与空间。
二、电子商务企业财务风险类型
电子商务企业的财务风险一般是由技术风险、信用风险、资金风险和项目风险构成。
1.技术风险
电商企业技术风险主要包括硬件设备、软件操作系统、存储层、传输层、应用层、数据丢失、网络安全等网络技术发展方面存在隐患以及企业自身技术水平的限制可能给企业带来的损失。
2.信用风险
信用风险主要是参与电子商务的主体诚信难以核实,使得电子商务信息的真卖性与安全性难以得到保障,同时电子商务信息易被修改、毁坏与丢失,因此,电子商务与传统的商品交易方式相比面临的信用风险更高。
3.资金风险
电子商务资金运作基本借助相关资金平成,且一般均采用多家资金管理平台,需要有完善安全认证和安全的支付系统作保证。然而,日前我国网上安全技术及其认证机制均不完善,行业竞争不规范,企业管理意识淡薄,导致资金管理不善。
4.项目风险
电子商务行业竞争激烈,电商企业新项目开发、上线远多工传统企业,电子商务的项目规模、复杂度显著膨胀,因此在项目立项论证和项目方案选择时进行充分的风险识别己变得十分重要,对项目财务风险进行科学、准确地判别十分必要。
三、电子商务企业财务风险管理与控制
电子商务企业主要通过建立电商交易和服务平台,并取得网络授权等证件而进行交易的法人或自然人。电子商务环境下,电商企业交易信息速度快、数据量巨大,且电商企业一般都是新兴企业,管理制度、管理于段没有传统企业成熟、严密,同时电子商务企业由于竞争的压力,一般更注重技术创新而非管理。因而,电子商务企业建立先进的管理与控制更为迫切,为加强电子商务企业相关财务风险管理,主要可采用以下管理及控制措施:
1.加强企业基础设施及技术防范
电商企业应加强基础设施建设,选择高性能的网络设备,建设安全、便捷的电子商务应用环境,为电子商务交易的信息提供硬件保障;同时加强对信息技术建设的投入,采用成熟的技术安全措施,保证企业数据安全。
2.建立健全企业电子商务信用风险管理体系
优化企业内部控制体系,制定电子商务风险监控和管控措施,构建一个全方位、全过程的高效、规范的电子商务信用风险管理体系,预防并降低电子商务信用风险。该体系应包括信用风险管理组织体系、决策体系、评价体系等内容,同时建立高效并相互监督的信用风险管理组织体系是提高电子商务信用风险管理效率的关键。
3.强化企业资金管理内部控制体系
电商企业应建立交易授权控制制度、会计控制、内部牵制制度责任控制制度。在资金管理业务流程方面建立严格的业务授权与执行分离的内控制度,对关键业务流程进行定期及不定期的审核,同时检查业务事项的处理是否遵循不相容的职务或者经过两个以上的人员或部门的原则,以防止差错、舞弊的发生,保护财产的安全,并确定内部各部门、各环节,各层次及其人相关责任,明确分工,职责分明。
4.引入项目风险管理机制
电商企业项目开发,存在一定程度的风险,导致项目计划失败或不能完全达到预期目标。因此,引入项目风险管理机制,对项目风险进行科学、准确地分析、识别、应对,为决策层和管理人员提供科学的评估依据十分必要。在项目风险分析中,财务风险分析因重点关注筹资风险、投资风险、现金流量分析、税务风险等方面,通过分析、比较和评估等各种方式,对确定各风险的重要性,并对风险排序,评估其对项目可能后果,以便确定主要风险,从而使项目的整体风险得到有效的控制。
5.开展财务风险审计监督,实行全员风险管理
为加强相关财务风险管理制度的执行,开展审计监督工作是一个较有效的办法。通过建立内部审计部门、引入外部审计机构,开展对内控制度的执行情况的检查工作,并将审计结果与绩效考核等管理于段相结合,确实做到将风险机制引入企业内部,使管理者、职工、企业共同承担风险责任,明确各部门、各岗位责、权、利,真正实行全员财务风险管理,促进电商企业高速、安全发展。
四、结论
电子商务为企业经营带来积极影响的同时,也导致大量风险的出现。加强财务风险控制对电商企业的意义重大,只有有效控制财务风险,才能保证其安全顺利经营,快速发展并获取经济效益。面对如今电商企业财务风险控制存在的问题,可以通过提高风险意识、建立内控制度、采用有效控制方法或工具等,实现电商企业安全运营。
参考文献:
[1]张静.对电子商务企业内部控制体系的思考及实践分析[J].经营管理者,2013,02(08):325-327
电商企业审计风险研究篇3
[关键词]电力物资;非招标采购;风险管理;采购风险
[Doi]1013939/jcnkizgsc201528036
1电力物资非招标采购风险的识别分析
在实践的电力物资非招标采购风险控制和管理过程之中加强对风险的识别和研究,是开展工作的核心环节,故应当加以重视和深刻的分析。
电力物资采购是指为电力企业购进企业发展所需的工具、备件、原料、设备、辅助材料等物资的行为,采购方式包括购买、借货、交货、租赁等,是一种有形采购。电力物资采购风险是指电力企业物资采购的实际情况和预期的目标出现偏差的可能性。电力企业物资采购的风险涉及物资采购的每一个环节,这其中包括采购计划的制订、物资运送、物资验收、物资订单核实、供应商选择等环节中可能遇到的各种风险。在当前现代化的电网企业建设过程之中不仅应当对发展的重难点进行深层次的分析,同时还应当加强对工作的认识,需要注意的是,其中原材料、设备、管理的工具以及辅助材料等,都是应当重点关注的项目。故在今后的工作之中还应当加强对风险的控制和管理,实现发展和创新改革。企业在采购的过程之中难免会出现相关问题,如果管控不当则必然会对企业的生产带来影响,故企业还应当对自身的管理政策和风险控制的措施进行集中性的改进。
2电力物资非招标采购风险的类型
在电网企业管理的过程中,一些高层管理人员可能会因为责任心不强或业务水平不高而做出错误决策,这就会引发决策风险。电力企业的物资采购需要事先制订采购计划,然后还要通过相关部门进行上报,计划的制订和计划上报过程中出现的问题会带来计划风险。在制订采购计划时,调查结果与实际结果的偏差决定了所制订的计划是否科学合理。一些电力企业会因为缺乏某些技术指标而对一些计划项目的审批不严格,还有一些电力企业在与签订采购订货合同之前,没有对其中的各项条款作进一步研究,对电力企业的物资采购造成负面影响。
3电力物资非招标采购风险管理政策
根据上文针对我国当前电力物资非招标采购的基本问题和工作的现状等进行系统性的研究,可以明确风险存在的来源和基本类型。下文将针对电力物资非招标采购的管理政策和风险控制的方案等进行集中性的研究,旨在以此为基础真正意义上实现工作的持续整改。
首先应当结合电力物资非招标采购工作的现状有效实现对风险的规避和管理,对于其中的一些不良状况,应当采取主动放弃的形式,逐步的实现对采购方案和管理目标的革新,并且使得企业的损失降至最低。对于风险的控制和管理,应当加强对电力物资非招标采购工作流程之中存在风险的评定,采取积极的措施,降低企业的损失。风险的转移,同样是电力物资非招标采购之中的核心工作环节,采取特殊的技术手段和经济手段,将自身所面临的风险转移至企业,但是需要注意的是其中转移的方式包含有发包、出售以及保险承担等,应当有针对性地进行选择和控制。
物资需求部门项目负责人应组织将编制完成的采购技术标准文件提交本部门(单位)初审,审核通过后报本专业归口管理职能部门进行审核,审核通过后提交公司生产设备管理部技术标准管理人员。物资需求部门项目负责人在上报物资需求计划时,应将采购技术标准文件作为物资需求计划单的附件同时在公司企业级资产管理信息系统的物资管理模块中上报至公司物资部。公司物资部采购与计划管理专责在编制物资招标采购方案时,应将采购技术标准文件作为物资招标采购方案的附件同时在公司招标管理信息系统中审批提交至公司招投标中心。公司招投标中心招标管理人员在编制招标文件时,应将采购技术标准文件纳入招标文件的技术标书向供应商发放。公司物资部采购与计划管理专责在编制非招标文件时,应将采购技术标准文件纳入非招采购文技术标书件向供应商发放。公司物资部采购与计划管理专责每年结合岗位工作总结,对采购(技术)标准管理业务执行过程和管理效果进行回顾总结,对存在的问题提出改进建议并纳入年度工作计划实施。
在实践的电力物资非招标采购风险控制过程之中还应当充分的结合企业的工作现状,制订出健全的物资采购计划,并且通过科学的方式,逐步的确定得出交货的准确日期,实现对生产的有效控制,并且在整个工作开展的过程之中还应当严格的依照工作的相关规定,对于合同管理过程之中所涉及的内容出现重大变动的情况应当及时的向上级部门进行汇报,并且充分的结合工作相关协议,实现对合同的签订和管理。对于合同之中的相关规定应当进行细致的审核,并且保证工作的严谨性和真实性。
4结论
总的来讲,在当前电力物资非招标采购风险控制过程之中应当加强对风险的认识和识别,加强对风险类型的分析,制定出健全的政策实现对工作的改进。正如上文所分析到的,识别其中存在的风险因素,在此基础之上实现对具体对策的管理政策和管理的方式,实现对风险的有效控制。综上所述,根据对当前现代化的电力物资非招标采购风险管理过程之中应当重点关注的问题以及风险存在的主要层面等进行集中性的研究,旨在以此为基础真正意义上促进工作不断地向前稳步发展,实现新的建设局面。从本质上加以分析在当前电力物资非招标采购风险控制和管理的过程之中应当制定出健全的政策和完善的措施,实现对传统建设管理项目的持续改进。
参考文献:
[1]赖业宁,薛禹胜,王海风电力市场稳定性及其风险管理[J].电力系统自动化,2003(12).
[2]刘建强电网企业物资采购供应过程中风险因素与管理措施[J].广东科技,2008(22).
[3]陈峰,冯锐涛,孔伟伟系统运行风险评估在电力行业中的应用[J].现代电子技术,2013(18).
[4]李长生“三集五大”体系建设下电力市场营销的发展之路[J].现代经济信息,2012(23).
电商企业审计风险研究篇4
随着计算机的迅速发展,利用计算机处理的业务越来越广泛。计算机在企业的应用,使企业的经营过程、思想意识和方法等产生了显著的变化。最初是由会计师事务所对利用计算机较早、较为深入的金融领域进行审计,但还没有形成统一的制度。iBm出版的《auditencounterselectronicDataprocessing》《in-lineelectronicprocessingandaudittrail》等文献,给出了在新的电子数据环境下的内部审计规则和组织方法,介绍了许多新的概念、术语和审计技术等。接着在1968年由美国注册会计师协会出版了《会计审计与计算机》一书。20世纪60年代先后发表了若干引人注目的研究成果,金融企业设立了电子数据处理及安全办公室,美国国防部海军审计局引进了通用的审计软件包。
严格意义上讲,最初的信息系统审计就其范围和目的而言,与我们现在的信息系统审计是不同的。在信息系统审计的萌芽阶段,人们称之为电子数据处理审计(electronicdataprocessingauditing)或计算机审计,它是作为传统审计业务的扩展发展起来的。那时侯,人们需要信息系统审计主要是由于:
1、审计师认识到计算机已经影响了他们执行鉴证业务的能力;
2、企业认识到在信息时代,计算机像其它有价值的商业资源一样,是商业竞争的关键资源,因此也迫切需要对其进行审计;
3、职业团体、组织和政府机构认识到需要对信息技术加以控制,并使其可以审核。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、信息系统审计的发展
信息系统审计最早称为计算机审计,是随着计算机在财务会计领域的应用而产生的。早期的计算机应用比较简单,相应地,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。从财务报表审计的角度来看,这一阶段的主要业务内容是对交易金额和账户、报表余额进行检查,属于审计程序中的实质性测试环节。此时,它只是传统财务审计业务的一种辅助工具,对客户的电子化会计数据进行处理和分析,为财务报表审计人员提供服务。
随着计算机技术应用范围的不断扩展,计算机对被审计单位各个业务环节的影响越来越大,计算机审计所关注的内容也从单纯的对电子的处理,延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。风险基础的审计模式的采用以及信息技术在被审计单位的各个领域的广泛应用,信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,并且直接或间接地影响到财务报表的真实、公允。在这种情况下,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。发展到这一阶段,计算机审计的业务范围已经覆盖了一项审计业务的全过程,计算机审计这一概念已经不能反映这一业务的全部内涵,信息系统审计的概念随之出现。目前,计算机审计和信息系统审计,it审计师和iS审计师的概念还在同时使用,但这些概念之间已经有了微妙的差别。
由于社会信息化程度的提高,发达国家大力发展信息产业,加上计算机与通信技术的结合,使计算机的应用更加普及,同时也导致了利用计算机犯罪的比率上升,在社会上引起了强烈的反响,使人们日益关注包括财务信息系统在内的所有信息系统的安全性、可靠性,及其与组织目标的一致性。信息系统审计的必要性逐渐凸显。如今的信息系统审计的业务已经超出了为财务报表审计提供服务的范围,在很多大型会计公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及eRp相关的新型咨询业务也不断涌现。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”,这一观点已经逐渐成为国外会计、审计界的一个共识。
会计公司以及整个社会对信息系统审计师需求量将随之成倍地增长,信息系统审计师的地位也在不断提高。在国际大型会计公司中已经出现了没有Cpa资格的合伙人,他们持有的专业资格就是CiSa.信息系统审计师(简称CiSa)目前已经成为全球范围最抢手的高级人才,这些人才一般都具备全面的计算机软硬件知识,对网络和系统安全有独特的敏感性,并且对财务会计和单位内部控制有深刻的理解。随着计算机技术在管理中的广泛运用,传统的控制、管理、检查和审计技术都受到巨大的挑战,国际会计公司、咨询公司和专业服务提供商都将控制风险,特别是控制计算机环境风险和信息系统运行风险作为管理咨询和服务的重点。几乎所有的大型跨国公司,由于普遍使用大型管理信息系统,都非常重视对信息系统安全性和可靠性的控制,常常高薪聘请信息系统审计师进行内部审计。
我国的信息系统审计工作目前还处于探索阶段,还没有形成一套成形的专业规范,也没有形成一支能够全面开展信息系统审计业务的人才队伍。目前我国会计审计界所进行的一些计算机审计的探索和尝试以及开发的一些计算机审计软件还大都停留在对被审计单位的电子数据进行处理的阶段。无论是国际上大型的跨国公司还是国内一些规模较大的企业都在不断地扩大信息技术在其经营活动和会计领域应用范围,运用传统的会计审计知识已经不能对这样的客户进行风险评估、内控测试与评价,从而无法进行真正意义上的“风险基础模式”的审计业务,进而也影响到我国会计师行业审计业务的质量。这一现状使得我国的注册会计师行业在与国外大型会计公司的竞争中处于不利地位。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYStemaUDit)。1969年在洛杉矶成立了电子数据处理审计师协会(eDpaa),1994年该协会更名为信息系统审计与控制协会(inFoRmationSYStemaUDitanDContRoLaSSoCiation)即iSaCa,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CiSa(CertifiedinformationSystemauditor)也是这一领域的唯一职业资格。
信息系统审计与控制协会通过制定和颁布信息系统审计准则、实务指南等专业标准来规范和指导信息系统审计师的工作;它还设立了信息系统审计与控制基金会,从事相关领域的研究工作,以使该组织的成员能够享用其最新研究成果;通过在世界各地举办各种形式的研讨会、培训班等活动,增进国际间同业人员的交流。iSaCa每年还举办CiSa资格考试,通过考试的人员可以申请CiSa资格,符合iSaCa规定的工作经验及其他相关要求的申请人会被授予CiSa资格。CiSa资格在世界各国都被广泛的认可。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了“系统审计师”一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。我国在1999年颁布了独立审计准则第20号——计算机信息系统环境下的审计。但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待研究。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
三、在中国普及信息系统审计的重要意义
1、信息系统审计有利于维护信息时代的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计师应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。这些报表往往要在事实发生30天或是更长的时间后才能给报表使用者,因此要用这些财务报表来作“实时决策”是不可能的。对投资者、分析者和监管者而言,这些报表不过是企业某个时点的“快照”而非持续性报告。今天的利益相关者要求“即需即取”的、格式化的数据来帮助他们更好的进行投资决策。商业信息的在线和实时披露是不可扭转的必然趋势。信息时代的财务报告模式将会是是以企业的业绩评估为基础,在线的、实时的信息披露。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
只有当产生信息的系统本身具有可靠性时,它的产品——信息才是对决策有用的。为了鉴证系统的可靠性,信息系统审计师可以通过检测公司信息系统的可用性、安全性和过程的完整性来确定其是否可靠。这种保证职能叫做“系统可靠性保证”(Systemreliabilityassurance)。它是保证信息资产安全、完整、真实可靠的基础。
此外,电子商务的风险对交易双方都构成威胁。破坏者可以来自公司外部也可以来自内部。所面临的风险包括数据的失窃、毁坏、截取、改动、延误或传输路径的改变以及伪造信息。这些风险会破坏正常的交易秩序,给交易双方带来巨大的损失。如下图所示。信息系统审计师可以凭借自己的专业知识评估服务器的效率与网站的可靠性,帮助从事电子商务的公司评估其电子商务系统的内部控制与风险。信息系统审计师的存在有利于维护信息时代的市场经济秩序,降低风险。
电商企业审计风险研究篇5
关键词:网络审计问题对策
中图分类号:F239文献标识码:a
文章编号:1004-4914(2011)11-196-03
一、引言
现代科技日新月异,由于信息技术的飞速发展,互联网技术的不断成熟,电子商务模式在企业社会中的广泛运用,以此为基础的网络经济蓬勃发展。这种新的经济模型的发展改变了传统的企业管理模式、经营模式和会计模式,随着信息经济的发展,许多企业的管理经营和会计业务都发生了变革和创新,与其紧密相连的审计在网络时代也必然有了新的主题,审计机构和审计人员面临着新的任务和挑战。
对于网络时代审计方面的变化,有学者做了相关的研究和探讨,并且在对网络审计的认识方面取得了一些成果。但是,纵览这些研究,还是存在不足和有待进一步探讨的地方:网络审计的概念出现得比较晚,对其研究的历史也比较短,有些概念理论还不是很清晰和明确;由于涉及网络经济、计算机、互联网技术等多学科的领域,所以研究的领域范围存在局限性,需要进一步完善。
二、网络审计产生的原因
1.会计制度和会计实务创新的影响。由于会计管理软件不断走向成熟,网络技术不断发展,企业资源计划(eRp,enterpriseResourceplanning)和业务流程重组(BpR,BusinessprocessReengineering)等以信息技术为基础的新管理思想的出现,企业局域网的建立和完善,企业的财务系统从手工系统向电算化系统转变后,又经历了到网络系统的重大转变。企业经济管理环境的网络化,直接改变了传统电算化会计的运行环境,使之逐渐网络化,诞生了“网络会计”。随着会计的无纸化、电子化进程不断加快,特别是诸如网络财务、网上远程会计等新概念的提出,要求建立与之适应的网上监督机制,这在一定程度上推动着网络审计的产生和发展。
2.网络经济和电子商务的发展。随着网络经济和电子商务的出现发展,提供了集信息流、物流和资金流于一体的商务交易模式。在这一模式下的交易,跨越了时间和空间的概念。快速高效的网络经济使企业的业务数据和财务数据在计算机网络中高度集成,使得审计所需要的大量原始的证据资料可以从被审计单位及其相关单位的计算机网络系统中获取,为网络审计提供了广阔的空间。
跨越时间和空间的经济模式的出现发展,需要产生一种新的监督机制来维护和保障市场的正常运作,体现其公平性。这对传统的审计而言既是机遇也是挑战,它给传统审计带来一个变革和飞跃。网络经济使审计能摆脱传统地域观念的束缚,开拓新的审计领域,同时网络经济也使全球审计服务市场的进一步开放,竞争更趋激烈,从而为网络审计的产生和发展提供了驱动力。
3.客户的需求和自身利益的驱动。现代审计的产生和发展,就是与被审计单位有各种利益关系的债权人、股东、管理当局和政府等的需求产生的。在网络时代,面对瞬息万变的市场,及时掌握最新的信息情况是企业能在激烈的竞争中生存发展的关键因素。为客户提供审计信息的审计服务在较为完整的会计信息系统下,已不能满足信息处理和使用的要求。客户要求能为其提供实时化、个性化的服务,这促使审计机构和审计人员向在线实时服务为主的方向发展。这样既能够满足客户的需求,又可以充分利用网络的低成本性、快捷性、跨越时空性等优势,增加服务收入,减少成本费用。因此审计机构需要建立起以网络为依托的审计新模式,从而更有效地服务于社会经济。
三、网络审计面临的主要问题
1.网络审计风险防范与控制。审计风险是指会计报表存在重大错报、漏报而审计人员审计后发表不恰当审计意见的可能性。传统审计中,注册会计师主要通过评审被审单位内控制度来确定实质性测试的性质、时间和范围,以此将审计风险降到最低。网络审计下的内部控制制度发生了变化与转移,审计风险中包含的固有风险、控制风险、检查风险日益复杂化,风险防范与控制已成为一个非常重要的问题。网络审计的风险因素主要来自三个方面:(1)计算机和网络经济自身的局限性。这类的风险是由于计算机和网络经济自身的局限性所引起的。(2)管理不善或控制不严导致内部管理人员的舞弊行为。这类的风险是由于管理不善或控制不严导致内部管理人员的舞弊行为所引起的。(3)“黑客”的袭击、破坏。这类风险是由于“黑客”袭击网络网站,篡改、破坏审计数据乃至整个系统所引起的。
2.网络审计的法律法规不够完善。网络的出现和广泛应用对传统审计产生了强烈的冲击。网络审计是我国审计领域出现的新生事物,网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行,更加完备的新的审计法律法规和准则体系作保证。我国有关网络活动的法律法规还处于不断探索和完善阶段,旧有的审计法律法规体系和准则体系已不能完全指导和规范网络审计的实践以及完全解决网络活动中出现的所有新情况、新问题和新纠纷,有些甚至还是完全空白。
3.审计人员的素质面临新的严峻挑战。《国际审计准则第15号》关于电子数据处理环境下的审计中规定:“在电子数据处理环境下进行审计时,审计人员应对被审计系统的计算机硬件、软件和处理系统有充分的了解,以进一步对委托审计的单位做出计划,并了解电子数据处理对内部控制的影响和需要采用的审计程序,包括计算机辅助审计技术的应用。”这对当前计算机网络知识缺乏或掌握不够全面的审计人员是个巨大的挑战。现在部分审计人员虽然财会审计经验丰富,但对计算机技术、网络知识了解不多,在碰到网络审计中由于计算机和网络经济自身的局限性所引起的固有风险、控制风险时,缺少必要的风险意识和安全控制知识,而不能准确识别和评价企业的风险与内控制度,难以对复杂的网络会计系统进行有效的评审,应付网络环境下的审计风险。
4.审计线索的问题。在审计工作中,审计人员通过跟踪审计线索,审核有关经济业务和收集审计证据。在网络经济条件下,审计线索的储存与处理将发生较大的变化,审计线索的电磁化,使得审计线索减少,传统的审计线索可能完全消失。各种单据、票证和账簿等都以人眼无法直接辩识的电磁信息的形式在网上传递并存储于磁性介质中。而且计算机信息系统根据确认的经济业务自动编制记账凭证、登记账簿、编制报表,整个过程全部按照既定程序自动完成,实现财务核算自动化,审计线索就无法像手工会计那样一步一步清楚明了。传统的审计方法,已不能满足网络审计的要求。另外,这些线索还具有被人恶意的修改删除后不留下痕迹的特点。如果系统设计时考虑不周全,审计时也许只有业务的最后处理结果而没有过程的线索。因此,网络审计要求企业网络财务系统在设计时必须留有充分的审计线索。
5.审计软件不完善。审计软件是审计人员开展具体审计工作的有效工具。但是目前我国审计软件尚处在开发阶段,在涉及审计软件与财会软件的接口问题上,网络操作系统与应用系统的兼容问题上,还没有取得实质性的突破。再加上审计软件开发周期长,市场容量狭窄,需求又有不确定性,造成审计软件的开发难度远远大于财务软件。这就使众多的软件开发公司热衷于利润高、难度小、维护少的财务软件,而轻易不敢涉及审计软件。从事审计软件开发的公司少,审计软件的应用不普及,专业审计软件市场不完善,可以说审计软件的推广速度远远落后于财务软件的普及程度。
目前,电算化会计软件的功能由核算型向管理型转变,其功能越来越强,结构越来越复杂。但是软件对如何满足电算化审计要求的考虑还不够,会计软件设计的结构存在不规范之处,在保留审计痕迹方面还存在不少缺陷,整个软件市场缺乏高质量的通用审计软件来配合通用会计软件的使用,而国外的审计软件在我国由于多种原因也得不到很好的运用,这些都极大地阻碍了我国网络审计的发展。
四、对策建议
1.做好网络审计风险防范与控制,提高安全防范意识。提高网络审计安全防范意识,建立起安全可靠的网络审计系统是网络审计充分发展的关键。在网络中进行审计,信息的安全性、可靠性和保密性,构成了审计的风险防范和控制的重点。应从以下几个方面提高网络审计的安全问题:一是加强管理,不相容职责的分离。从规章管理制度上加强对系统的监控。建立必要的上机操作控制和系统运行日志,对系统的用户身份、操作参数和运行状态、事故类型等进行实时监控和记录。按照网络审计系统需要设置审计岗位,建立健全岗位责任制,系统内部人员按各自的权限范围管理和使用设备,并按操作程序办事。对网络系统职责分离情况进行审查,遵循的原则仍为不相容职责必须分离。强化内部审计制度,要加强内部审计监督,监督和控制各个工作站的日常工作,对内部控制系统薄弱的环节,加强管理与完善。侧重对数据的输入、输出,软件开发和维护及系统程序修改或管理等之间的关系处理进行审查。二是软件系统和硬件系统的测试。对被审计单位网络系统进行分析与评价,包括对软件系统和硬件系统的测试。通过测试防止来自硬件失灵、计算机“黑客”、病毒感染、具有特权职员的各种破坏行为,保障系统正常运行。三是安全管理体制和安全保密技术。审计人员对被审计单位的安全管理体制和安全保密技术等做深入的了解,以评价其系统安全性的等级,从而有效地控制审计风险。
2.加强网络审计立法建设,制定网络审计准则。网络审计立法是保障网络审计正常发展的关键性措施,现有的法律法规并不能够满足网络审计的需要。因此,有必要加快网络审计立法工作的力度和进度,使人们在开展网络审计工作时有章可循。如对电子证据,电子签名,电子合同,电子货币等网络经济工具的合法性及其使用规定,都需要立法来加以明确,使得网络审计工作尤其是进行合法性审计时有法可依。
审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。网络审计的对象、线索、方法、流程等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快建立一套符合网络审计自身发展特性的新的审计准则以指导网络审计工作。如对网络审计人员应具备的资格、网络审计的操作规程,制定网络系统安全可靠性评价标准,网络系统内部控制准则,对网络审计时的业务约定书、管理层说明书、审计报告等各种电子文档制定准则等。
3.培养网络审计人才。目前在我国,既懂得网络信息技术,又具备会计、审计知识的复合型人才还非常缺乏。要适应网络会计、网络审计发展的需要,国家必须注重这类人才的培养和开发,这是信息时代保证企业乃至国家在激烈的市场竞争的制胜的关键所在。针对我国网络审计人才匮乏,不能满足未来网络审计需要的情况,可以从国家、学校、审计组织三个方面来应采取措施,培养网络审计人才,改变这种局面。
4.完善网络系统,探索网络审计取证方法。网络审计取证方法针对网络审计线索困扰问题可以从以下几个方面来解决:(1)完善网络系统,建立审计服务信息库。(2)注意保留审计线索。对于企业做出一些规定措施,要求各单位在会计数据文件打印输出的同时,还应以可审计的形式进行存储保留,从而为审计工作留下审计线索,以便审计人员从被审计单位准确获取各种数据,实现有效的远程审计。
5.积极开发网络审计软件。网络审计是借助网络审计软件进行的,网络审计软件是进行网络审计的基本条件,只有加大对审计软件的开发,使网络审计软件系统更安全、更可靠、运行更准确、处理更及时方便,才会被广大审计机构和审计人员接受和运用。
在软件系统开发中,开发出的审计软件应具有以下功能:首先,财会软件与审计软件要能够顺利接口,进行审计整理、审计分析、审计查证,对被审计单位的网络系统进行评价,降低审计风险。其次,设计审计软件要考虑到防病毒破坏功能,防止黑客袭击、侵入、篡改数据。最后,通过审计软件的处理最终要可以完成审计工作底稿的制作。在网络审计的开发方式上,可以采取审计组织机构和财务软件公司合作开发的方式,既能满足审计的要求,又可以兼顾和财务软件的衔接,有利于网络审计软件的开发。
通过开发网络审计软件可大大减少审计人员的工作时间,提高工作效率,同时也相应地降低了审计的风险,最终实现财会软件与审计软件一体化的目标。
参考文献:
1.黄同成.网络经济时代审计面临的新挑战及其对策研究.邵阳学院学报(社会科学版),2002(1)
2.郎菁.对网络审计的探讨.湖南商学院学报(双月刊),2002(3)
3.李金花.论电子商务时代的网络审计.河南商业高等专科学校学报,2002(2)
4.林辛,郑晓龙.浅议信息技术时代的网络审计.经济师,2004(4)
5.文英.网络经济环境下网络审计的研究.经济师,2004(3)
6.刘丽琴.网络经济下审计新探.商场现代化,2006(10)
7.孙丽红.网络审计的十四大变化.财会月刊(综合),2006(10)
8.舒海霞.网络审计论.企业研究,2006(9)
9.喻小明.关于网络审计的思考.计算机与现代化,2000(6)
电商企业审计风险研究篇6
一、电力行业所面临的金融风险的理论分析
(一)电力行业所面临的金融风险的主要含义
金融风险从广义上理解为金融变量的变动所引起的资产组合未来收益的不确定性,金融风险的利弊是共存的,主要是因为金融风险既可以产生正收益也可以产生负收益。在金融类企业和非金融企业该风险给企业造成的影响是不同的,本文则主要研究金融风险的发生对非金融企业(本文以电力行业为例)的影响。
(二)电力行业多面临的金融风险的主要类型和形成原因
电力行业所面临的金融风险按照不同的驱动因素可以分为市场风险、信用风险、操作风险和财务风险。其中汇率、利率等金融市场变量的变化或波动而引起的指的是市场风险,在日常生活中由于电力企业涉及到的原材料和机电等产品是受到进出口业务比较多的,其要更多的关注汇率波动的变化,对此带来的影响。由于市场利率水平的变动而引起企业未来收益的变化的不确定性是利率风险,很多电力企业都是通过银行借贷来进行融资,由于很多用户付款不及时造成了电力企业无法及时让款项到账,这就会影响电气日常现金流的流动,如果这些呆账、坏账一旦形成就十分不李云上游电力企业的经营,进而就会使得整个行业产业链爆发行业信用危机,影响和危害巨大。由于内控机制不健全所产生的违规操作行为的可能性指的是电力行业的操作风险,操作风险大部分是和内部控制制度的建设联系起来的,虚假的财务报告、不真实的会计信息、电力项目投标的商业贿赂等各种违规行为是操作风险导致的结果。这又主要是由于相关的监管机制不到位,没有严格、完善的审计监督体制就不能有效形成相关的制度约束,自然在执行上也会存在很多的问题。
二、我国电力行业金融风险管理的现状及问题
(一)没有在电力行业形成长期的金融风险管理观念
由于金融类企业的其经营的产品多和金融投资息息相关,但是电力企业作为非金融企业其主要经营的产品与之有十分巨大的区别。在现实工作中,很对电力企业的相关上级和领导没有足够的意识到金融风险管理的好坏对企业的重要性,在日常的工作中对这一块就存在一些盲区和不足。这主要表现在两个方面:首先,是没有足够的金融风险防范观念,对于金融风险对企业实现经营目标的重要影响很多电力企业管理者没有足够的认识。在企业风险管理的过程中没有充分的重视金融风险管理。然后表现在对金融风险的认识能力上,在金融知识的积累方面很多的电力企业管理人员缺乏,从而不能让相关的专业人士对企业实现有效的金融风险管理。
(二)在金融风险避险工具方面很多电力企业没有足够的了解
金融类企业在进行日常管理中主要追求收益,而非金融企业则并非如此,尤其在中国作为垄断的电力行业,电力企业在金融管理过程中的主要目标是实现保值。目前在电力行业没有充分的应用用于防范金融市场风险的套期保值工具。一方面电力企业的相关领导对金融风险管理的重要性认识不深刻全面,导致自己的认识盲区,从而带动下面员工也是这种状态;另外一个方面则是,商业银行所提供的金融衍生产品过分单一,这又主要是因为我国当前金融市场整体发展不协调造成的。
(三)信用风险控制工具的可靠性太差
在国内电力企业中目前还没有进行有效的商账管理,在国内刚刚形成企业资信评估的观念,高销售额是很多电力企业主要追求的目标,在订单签署之前并没有对客户进行信用状况的调查,这就会造成收款时的各种问题。另外,只有有限的渠道帮助企业获取客户和供应商信用状况,这主要是因为我国还没有成熟的信用评级体制,没有完善的评级机制,这样就会使电力企业在对自己的客户划分信贷等级存在一定的困难。
(四)没有将电力行业金融风险管理的内控体系的作用充分发挥出来
传统的国有工业企业构成了我国主要的电力支柱企业,改革开放以来的股份制对于我国的制度建设有很强的促进作用,但是目前我国的电力企业在金融风险的评估、审计方面还没有较强的能力。总的来说,电力企业的内控功能弱化以及内部审计功能弱化造成了风险管理责任的弱化,这样就无法有效的提升风险管理能力。其中内部审计部门存在审计人员工作素质不高,能力不强,工作状态懒散等问题,造就当前国有企业内部审计功能弱化的主要表现。
三、建设我国电力行业金融风险管理的主要措施
(一)通过电力企业经营管理理念的转变增强金融风险管理意识
要加强我国电力企业金融风险管理就必须要转变原有的传统观念,应当像重视生产经营风险一样重视金融风险管理,应当从全局的角度长期的进行金融风险管理工作。因此企业的管理人员应做好风险管理文化的带头作用,通过险管理方面的培训和沟通来逐步的增强风险意识,这样能够使员工不断的从经验中吸取教训。同时在金融风险管理文化宣传方面电力企业也要加强,企业文化对于员工的影响是潜移默化的,任何一个员工都会受到自身企业文化的熏陶。
(二)对电力行业金融风险管理组织机构的建设进行完善
应当对金融风险管理组织机构建设进行完善,主要包括规范相关部门的管理责任,引进和培养合格的风险管理专业人才等,这样能够使电力企业管理及时的作出风险控制决策,对企业金融风险管理的具体职责进行明确。
(三)完善电力企业金融风险管理工具
通过电力企业金融风险管理工具的完善来提高企业的风险管理人力是很重要的,电力企业应当在与金融企业合作的过程中通过对金融衍生工具的充分应用来规避相应的风险。另外,也需要电力企业相关的领导足够重视这一块的建设,坚持对形式的把握,不断的改进相关的制度完善,加强电力行业金融风险管理的控制制度建设,是金融风险管理部门有效的对电力企业的金融风险进行管理。
电商企业审计风险研究篇7
[关键词]信息系统审计;it审计;真实性审计;安全性审计;绩效审计;电子商务;电子数据处理;计算机审计
[中图分类号]F239.1[文献标识码]a[文章编号]16728750(2012)01004506
一、引言
信息系统审计最早可以追溯到20世纪60年代,当时称为电子数据处理(electronicDataprocessing,eDp)审计,主要针对财务软件中的数据进行审计。美国执业会计师协会于1968年出版了《电子数据处理系统与审计》,次年在洛杉矶成立了电子数据处理审计师协会(electronicDataprocessingauditorassociation,eDpaa),1994年,电子数据处理审计师协会更名为信息系统审计与控制协会(informationSystemauditandControlassociation,iSaCa),电子数据处理审计也改为信息系统审计(informationSystemaudit,iSa),审计的内容从电子财务数据审核拓展到整个信息系统本身。当时企业的信息系统都是一个个的“信息孤岛”,没有来自外部的威胁,因此信息系统审计在企业管理中职能和作用仍然是相当有限的。
石勇等分析了网络环境下政府信息系统审计,认为网络环境不仅对政府信息系统审计,而且对社会信息系统审计、企业内部信息系统审计都产生了巨大影响[1]。互联网导致现代意义上的信息系统审计的产生,信息系统审计的外延大大拓展,其内涵也越来越丰富,从而极大地提升了信息系统审计在企业管理中的作用,改变了其与财务审计之间的关系[2]。许多研究者常常分不清计算机审计与信息系统审计的区别,这不利于信息系统审计研究的开展。庄明来认为,无论是产生与发展,还是基本概念、审计目标、审计内容,抑或是适用准则与采用的审计技术,二者都有着很大的区别,它们在我国审计发展过程中都有自己特定的地位与作用[3]。本文从分析网络对信息系统审计的影响入手,阐述信息系统审计的内涵,以期真正将二者区分开。
二、信息系统审计的职能和地位
(一)企业的生存与发展越来越依赖信息系统
与“信息孤岛”时期的信息系统在企业经营管理活动中的作用完全不同,在互联网时代,企业的经营管理活动越来越依靠信息系统,信息系统的安全与可靠也越来越重要,企业信息系统的安全问题已经不仅仅关系到企业的生存与发展,而且更关系到国家经济的安全。
由财政部会同证监会、审计署、银监会、保监会联合的《企业内部控制基本规范》之《企业内部控制应用指引第18号――信息系统》中明确指出,现代企业的运营越来越依赖信息系统[4]。比如航空公司的网上订票系统、银行的资金实时结算系统等,如果没有信息系统的支撑,业务开展就将举步维艰、难以为继;还有一些新兴产业,其商业模式完全依赖于信息系统,如新浪、网易、百度等各种网络公司,阿里巴巴和卓越等各种电子商务公司,假如没有信息系统,这些企业将失去生存的空间。
据GartnerGroup公司的调查,在经历大型灾难而导致信息系统停运的企业中,至少有40%的公司再也没有恢复运营,而剩下的企业中,也有三分之一在两年内破产。英国特许管理协会关于企业危机事件的调查显示,企业最普遍面对的危机事件中失去信息系统位居第一。由此可见,企业的业务已经越来越多地依赖于信息系统,信息系统审计的重要性也越来越突出。
(二)保护网络环境下企业的信息资产和信息系统安全
20世纪末,互联网技术迅速普及,电子商务彻底改变了企业信息系统的“孤岛”状况,企业在享受电子商务的便捷、高效、低成本的同时,负面影响也不断显现,比如一个病毒可以使远隔千里的企业遭殃[5]。这时候,我们才发现企业的经营风险不仅仅来自传统市场风险、金融风险、技术风险、自然灾害等,互联网也成为企业经营风险的重要来源之一。
《2009年中国计算机病毒疫情调查技术分析报告》显示,2009年计算机病毒感染率为70.51%,较2008年有所下降,但仍然维持在比较高的水平,其中多次感染病毒的比率为42.71%[6]。这种情况与我国计算机病毒主要以木马病毒为主有关。潜伏性、隐蔽性是木马病毒的特征,病毒制造者和传播者在巨大利益的驱使下,或利用木马病毒技术进行网络盗窃、网络诈骗,或通过互联网贩卖病毒和木马。这些形式的网络犯罪活动明显增多,严重威胁企业信息系统安全,制约了企业业务的健康发展。
密码和账号被盗、受到远程控制、系统(网络)无法使用、浏览器配置被修改是计算机病毒造成的主要破坏后果。其中,“密码、账号被盗”选项是自2006年以后病毒破坏性调查新增加的项目,以更准确地反映病毒破坏性的变化情况。调查结果显示,用户密码、账号被盗的比例呈上升趋势,2009年密码被盗占调查总数的27.14%,比2008年增长了8.44%,位居当年计算机病毒造成的主要危害的首位。如图1和图2所示[6]。
图12009年计算机病毒造成破坏的后果图22009年计算机病毒造成的主要危害由此可见,网络世界潜伏着各种危险因素,威胁着企业信息系统的安全,随时可能导致系统中断、个人信息泄密或者数据被破坏等后果,危及企业生存,损害消费者利益,进而对整个国家的经济安全和信息安全造成严重影响。因此,保护企业的信息资产和信息系统安全已经成为信息系统审计师最主要的职能之一。
(三)信息系统审计成为外部审计不可或缺的一环
自2001年以来,美国的安然、世界通信、默克制药和法国的威旺迪等国际大公司相继曝出假账丑闻,而且愈演愈烈。这些丑闻严重打击了投资者的信心,欧美股市不断创历史新低。
从1990年到2000年,安然公司的销售收入从59亿美元上升到1008亿美元,净利润从2.02亿美元上升到9.79亿美元。1999年,安然公司创建了基于互联网的全球商品交易平台“安然在线”,提供从电和天然气现货到复杂衍生品的1500多种商品。在不到一年时间内,“安然在线”发展成为年交易规模近2000亿美元的全球最大的电子商务交易平台。安然公司从一家名不见经传的普通天然气经销商,逐步发展成为世界上最大的天然气采购商和出售商、世界最大的电力交易商、世界领先的能源批发商,在全球拥有3000多家子公司和世界最大的电子商务交易平台,被评为最具创新精神的公司,然而,安然公司利用复杂的关联企业网,通过电子商务交易平台进行虚假的关联交易,形成虚假利润,误导公众,抬高股价,最终导致了泡沫破灭,公司破产、股民巨亏,而公司的高管却通过抛售股票获得巨额收益。电子交易的特点是虚拟化、无纸化、匿名、支付手段电子化,信息流、物资流和资金流是完全分离的,操作过程隐蔽性强,复杂度高,增加了审计取证的难度,交易的真实性无法按照传统方法审核,安达信公司没有针对电子交易这一新生事物采取相应对策,造成对电子数据真实性审计的缺失,导致对财务报告真实性的审计失去了意义,这又进一步助长了安然公司的舞弊行为,以致泡沫越来越大。
安然事件不仅造成了公司破产,更导致了公众对审计产生信任危机。为了挽回公众对资本市场的信心,美国国会和政府通过了萨班斯法案(SoX法案),规范企业电子数据的保存、审计和责任等问题,赋予了信息系统审计前所未有的功能定位。正如国际会计联合会会长梅尔所指出的:“会计师将不得不对实际上通过计算机报告的财务信息承担责任。”目前,一些大的会计师事务所都成立了独立的风险管理部门,专门从事信息系统审计工作。
(四)信息系统审计师成为内部控制的主要参与者
2008年,法国第二大银行兴业银行的交易员杰罗姆•凯维埃尔(JeromeKerviel)进行的未经授权的交易导致该行损失49亿欧元,这几乎等于该银行一年的总收入。这是历史上单个交易员造成的最大一笔损失。凯维埃尔闯过了银行信息系统设置的五道关卡,动用的资金超过500亿欧元,这一数字超过了兴业银行当时的市值,远远超过了他的权限。他还利用信息系统隐瞒他所进行的违规交易,规避内部审计,因而在2007年末之前这些行为一直没有被发现。
在风险较高的金融衍生品市场中,兴业银行凭借严格的风险控制管理能力长时间位居头把交椅,即使在2007年夏天的金融市场动荡期,行业杂志仍然给予它最高评级。可是,兴业银行的一整套严格成熟的风险控制机制并没有与银行的信息系统很好地衔接,从而让凯维埃尔钻了空子。
兴业银行事件提醒了人们,当企业的许多内部控制机制已经程序化、数字化、虚拟化以后,内部控制与信息系统已经成为相互融合的一个整体,这是内部控制面临的新问题。我国的《企业内部控制应用指引第18号――信息系统》做了这样的阐述:“信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。”[4]该定义非常准确地描述了信息系统与内部控制的关系。内部控制建设问题更多地变成了信息系统建设问题,对内部控制的审计更多地变成了对信息系统的审计,因此,信息系统审计师应该参与企业内部控制的修订,向决策层提供咨询,从信息系统入手加强业务风险控制体系的建设和管理,以帮助企业协调信息系统控制与业务风险控制。
三、信息系统审计的三种基本类型
根据前面的分析,我们发现网络环境下的信息系统所面临的问题与“信息孤岛”时期不可同日而语,其外延不断拓展,内涵也越来越丰富,信息系统审计成为现代企业不可或缺的管理职能。信息系统审计的内容以信息系统为中心,企业的持续能力和容灾能力是企业信息系统安全性的综合体现;企业的信息基础设施是企业信息系统安全的物质基础;网络架构、通讯设备与技术等是信息系统安全的结构基础;操作系统是信息系统安全的软件基础;数据库系统的安全可靠直接影响信息系统中数据的安全与真实;财务软件影响财务审计的真实性,电子商务软件影响交易的真实性,其他的应用软件影响企业业务数据的真实性。图3反映了信息系统审计的内容及其相互之间的关系。信息系统审计内容丰富,相互之间关系复杂,因此,信息系统审计的类型和目标也一定是丰富多样的。审计目标将在下一节分析,这里笔者提出了现代信息系统审计应当包括真实性审计、安全性审计和绩效审计等三种不同的基本类型[7]。
图3信息系统审计的内容及相互关系
(一)真实性审计
真实性审计的主要目标是审核企业信息系统和电子数据的真实性、完整性、合法性,为财务审计提供依据。
安然公司虚构交易量是通过电子商务平台实现的,可是这些电子数据是否真实地反映了实际情况,财务审计的方法和手段已经无能为力了。因此,信息系统审计的作用就是审核企业计算机系统所提供的数据,只有保证计算机系统中的数据是真实、完整、合法的,基于这些数据之上的财务审计才能是真实而有效的,也才能防止“假账真审”现象的出现,为财务审计保驾护航。因此,真实性审计属于财务审计的必要组成部分,二者相互印证,共同承担审计职能。
(二)安全性审计
安全性审计的主要目标是审查企业信息系统和电子数据的安全性、可靠性、可用性、保密性,既要预防来自互联网对信息系统的威胁,也要预防来自企业内部对信息系统的危害。现代企业的风险不仅来自市场、财务,也来自互联网和信息系统自身。来自互联网的病毒、木马、黑客等可以中断企业的正常业务,甚至导致企业破产。与此同时,来自企业信息系统自身的漏洞也可能给企业造成伤害,甚至造成毁灭性打击,例如凯维埃尔利用信息系统的缺陷等越权进入系统,进行违规操作导致百年银行几乎破产。可见,信息资产已经成为企业最重要的资产之一,审计师仅为投资者、债权人、经营者提供财务风险鉴证是不够的,他们还需要为企业的信息系统和信息系统安全提供审计服务。
安全性审计是真实性审计的基础与前提,很难想象一个在安全方面存在严重问题和缺陷的信息系统,它提供的数据会真实可靠。安全性审计也是一种专门审计事项,它向投资人、债权人、经营者提供信息资产安全方面的审计和咨询服务。
(三)绩效审计
信息系统的绩效审计是对企业在信息系统方面的投入产出比的审核。信息系统为企业创造的经济效益不是直接的,难以简单地用货币进行核算,因而如何衡量信息系统的贡献是十分复杂而困难的事情,而且,信息化应用项目实施也非常复杂,耗费的时间长、投入大,但是成功率又比较低,因此常常被称为“投资黑洞”。但是虽然面临种种困难,企业仍然必须不断地推广应用信息技术,以提升自身的核心竞争力,正因如此,企业在投资信息系统、管理信息系统的开发和应用、评价信息系统的使用效果等方面需要加强风险控制、监督和评价工作,这些都是信息系统绩效审计面临的挑战。正确、合理地评价企业信息系统投资的绩效,给企业的投资者、债权人、经营者、管理者等提供决策参考,这是信息系统绩效审计的主要作用。
信息系统绩效审计属于绩效审计的范畴,只是信息系统绩效审计的对象是信息系统本身,其中对信息系统使用效果的评价是关键,也是难点。
四、信息系统审计的目标
由图3可知,信息系统审计的目标也应当是多元的。笔者认为信息系统审计的目标应该包括真实性、完整性、合法性、安全性、可用性、可靠性、保密性、效果、效率和效益等。三种基本的信息系统审计类型既相互区别,又具有一定的关联,它们都有着各自不同的审计目标。图4反映了信息系统审计的基本类型与审计目标之间的对应关系。
图4信息系统审计的基本类型与审计目标的对应关系
真实性完整性合法性安全性可用性可靠性保密性效果效率效益信息系
统审计真实性审计√√√安全性审计√√√√绩效审计√√√真实性是指信息系统中的数据要如实地反映企业的实际生产经营活动,可以通过一系列技术手段来确保数据的真实性,如数字签名、时间戳、不可否认协议、不可修改存储装置等。对真实性的破坏,可能来自企业高层的舞弊行为,例如通过财务软件故意做假账或通过电子商务系统虚构交易等达到虚增或虚减利润的目的;还可能来自企业的中层或基层员工的舞弊行为,例如通过非法访问或修改信息等手段,达到非法牟利目的;还可能来自企业外部,如黑客入侵、病毒破坏等,达到商业秘密外泄、删改企业信息等目的。
完整性是指信息系统中的数据不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。在信息系统中,数据与元数据是存放在不同地方的,数据的逻辑地址与物理地址也不一样,因此设备故障、误码、人为攻击、计算机病毒等都会破坏数据完整性。在信息系统中,数据完整性是数据真实性的基础。
合法性是指购买、使用、开发、维护信息系统的过程以及信息系统里的数据在生产、加工、修改、转移、删除等处理过程中,必须符合相关法律、法规、准则、行规以及企业内部的规定。
安全性是指信息系统在遭受各种人为因素破坏的情况下仍然能正常运行的概率。威胁信息系统安全性的因素可能来自信息系统和企业的外部,如黑客入侵、病毒攻击、线路侦听、木马、非法用户访问等;也可能来自企业和信息系统的内部,如授权用户的越权访问、修改、删除等操作。
可靠性是指信息系统在遭受非人为因素破坏或误操作情况下仍然能正常运行的概率。威胁信息系统可靠性的因素包括自然灾害对硬件和环境的破坏,误操作对软件和硬件的破坏,以及设备故障、软件故障等。与安全性不同,可靠性所指的破坏因素是非人为的,安全性所指的破坏因素是人为的。
保密性是指防止信息系统中的数据泄漏给非授权用户的特性。常用的保密技术包括防侦收、信息加密、物理隔离等。与安全性不同,保密性是防止信息系统中信息的外泄,安全性是防止外界对信息系统的入侵。
可用性也是信息系统安全性的一个重要指标,它是指信息可被授权实体访问并按需求使用的特性,即信息系统在提供服务时允许被使用的属性,或者是信息系统在部分受损或需要降级使用时,仍能为用户提供有效服务的属性。信息系统最基本的功能是提供服务,而用户的需求是信息系统的可用性。可用性还体现在身份识别与确认、远程控制、数据跟踪等方面。由于数据的访问与数据存储介质、显示介质、软件版本等有关,无法访问的数据也无真实安全可言,因此可用性还体现在数据访问方面。
效果是指信息系统在企业生产管理应用中产生的效果,即信息系统的应用使企业在生产、管理、产品、服务、财务、人力管理等方面得到改善和提升,如减少了产生时间,提高了资金周转速度,降低了库存,增加了服务质量,扩大了产品种类等。
效率是指信息系统在应用后对提高企业劳动生产率所作的贡献,如人均生产率的提升。
效益是指信息系统的投入产出比,通过同行业类别等方法,核算信息系统的投入与产出的比率,得到信息系统的效益值。
由此可见,“三效”是绩效审计的目标。效益是可以用货币核算的,而效果和效率需要采用其他方法进行评价。对于安全性审计而言,安全与保密是从人为角度看,可靠性是从技术层面看,可用性是信息系统的特有性质。而真实性审计的目标是真实、合法和完整,完整性也是信息系统的特性。
五、结语
信息技术的发展、安然舞弊事件的发生以及萨班斯法出台等一系列因素促成了现代信息系统审计的产生,分析这些变化对信息系统审计的影响之后,我们提出了三种基本的信息系统审计类型,从这三种类型入手分析审计目标,而不是反过来,这种研究视角可以帮助我们更好地认识与把握信息系统审计的发展规律。
参考文献:
[1]石勇,崔超,赵晓光.网络环境下政府信息系统审计研究[J].财会通讯,2010(8):117118.
[2]陈耿.信息系统审计专业建设与人才培养研究[J].中国科教创新导刊,2010(35):194196.
[3]庄明来.计算机审计与信息系统审计之比较[J].会计之友,2010(2):8285.
[4]财政部,证监会,审计署,等.企业内部控制基本规范[S].2008.
[5]徐瑾.基于信息化环境下数据式审计的特征与实施路径[J].审计与经济研究,2009(1):5055.
[6]国家计算机病毒应急处理中心.2009年中国计算机病毒疫情调查技术分析报告[R].2009.
[7]陈耿,王万军.信息系统审计[m].北京:清华大学出版社,2010.
theFunctionandtheKindsofinformationSystemauditininternet
CHenGeng
电商企业审计风险研究篇8
关键词:商业银行;电子商务;风险管理
商业银行从事金融业务面临着市场风险、信用风险、以及操作风险等,而电子商务的出现则加剧了上述各类风险发生的可能性以及风险发生之后的破坏程度。2004年以来,我国面临的网络仿冒威胁正在逐渐加大,仿冒对象主要是金融网站和电子商务网站。2005年上半年共收到网络安全事件报告65679件,超过2004年全年案件数,商业银行电子商务安全风险管理策略已成为理论与实践中必须重视的课题。
一、信息安全管理的历史演进与现阶段的特点
信息安全管理的策略大体遵循事件驱动(技术和管理脱节)-逐渐标准化(技术和管理逐渐结合)——安全风险管理(引入了风险分析)的发展路径。
(一)以事件驱动的初级阶段时期
19世纪70年代安全主要是指物理设备和环境的安全,人与计算机之间的交互主要局限在大型计算机上的哑终端,安全问题只涉及能访问终端的少数人。安全管理策略处于初级阶段,由事件驱动,没有形成规范的管理流程。在此阶段的前期,只重视技术手段。后期开始重视管理手段,但是技术和管理之间脱节。许多组织对信息安全制定了相应的规章和制度,但组织的信息安全管理基本上还处在一种静态、局部、少数人负责、突击式、事后纠正式的管理方式。
(二)标准化时期
企业开始将安全问题作为整体考虑,形成一套较为完整的安全管理策略,其中包括了安全管理的技术手段和管理制度(或称运作管理)。几乎所有从事电子商务的企业都拥有自己的安全策略,内容也包括了技术手段、安全管理制度、人员安全教育等等,基本上形成体系,技术和管理手段综合统一,但是安全风险分析还存在不足之处。
(三)安全风险管理策略时期
随着电子商务安全管理发展到一个比较高的层次,安全管理策略也演进到安全风险管理阶段。主要特点如下:
1.安全风险管理成为主流趋势;在安全管理策略的演进过程中,技术和管理手段综合统一、又融入了风险管理的分析、防范策略,从而安全管理进入了安全风险管理时期。西方商业银行已对安全风险管理形成共识。如安氏公司(is—one),认为信息安全问题最终将归结为风险管理问题,风险管理方法是建立良性的安全技术和管理体系的依据和基础。
2.安全风险管理的国际标准和各国的规范逐渐形成并趋于完善。国际上关于安全风险管理的标准有巴塞尔银行监管委员会的《电子银行业务风险管理原则》、英国标准协会制订的BS7799等。各国也日益重视安全风险管理,制定了许多规范。例如美国货币监理署(oCC)的《电子银行最终规则》、香港金融管理局的《电子银行服务的安全风险管理》等。中国银行业监督管理委员也于2006年颁布了《电子银行业务管理办法》,对国内企业的电子商务安全风险管理给出了指导意见。
3.利用外部专业化机构对金融机构的安全性评估已成为大部分国家的选择。电子银行面临的安全和技术风险,在相当程度上取决于采用的信息技术的先进程度,系统的设计开发水平,以及相关设施设备及其供应商的选择等;银行依靠传统的风险管理机制已很难识别、监测、控制和管理相关风险。同样,监管机构也难以完全依靠自身的力量对电子银行的安全性进行准确评价和监控。因此,大部分国家都采用了依靠外部专业化机构定期对电子银行安全性进行评估的办法,加强对电子银行安全性和技术风险的管理和监管。
4.在许多国家信息系统审计(isaudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。业界的it风险分析师也成为一种职业,专门从事电子商务的安全风险工作,从经济学的角度出发分析风险,充分衡量保持安全的代价和收益之间的关系,寻求用最小的代价实现最大的效用,在风险分析中也形成一套较为成熟的模式。
二、我国商业银行电子商务安全风险管理策略的薄弱点
(一)系统管理思想缺乏
目前的电子商务安全风险管理策略,在全局上缺乏系统论理论的指导,在实际操作中受到多种多样的安全攻击时会不可避免地出现安全漏洞,无法形成一张全面有序的安全网络。
实践中被采用的安全风险管理策略,以及作为指导意见的规则规范,如《信息安全管理实务准则》(iS017799)、《信息技术安全性评估准则》(GB/t18336.1)、巴塞尔银行监管委员会的《电子银行业务风险管理原则》,尽管提出了比较全面的安全风险管理方案,层次上也比较清晰,但是还不足以作为一个风险防范系统。实践中,电子商务组织是一个复杂的系统组织,电子商务的安全风险管理体系和过程也是个复杂的系统。系统论、控制论的思想在电子商务安全风险管理中是不可或缺的。
(二)风险分析的模型与方法不成熟,定量分析不足
电子商务模式自身的发展历史也不过20几年,在风险分析的定量技术上并不成熟;如BS7799中推荐的电子商务安全风险管理中实施风险评估时,往往将威胁发生的可能性定性划分为几个级别,将威胁所造成的影响也定性划分为1~5级,实质上是将一些按照概率发生的事件定义为不连续的几个级别,在操作上易行,但造成了度量的不精确。在进行监控和审计之后,也存在无法量化、对比的问题。
(三)忽视与原有的传统风险管理策略的结合
本质上,电子商务的安全风险无非是新兴的商业模式对传统的风险的改变,以及产生的在传统风险控制领域暂时无法明晰的新风险;现有管理策略只从信息技术的角度、或者从偏重技术的角度看待问题,站在金融领域本身来分析研究较少。这种状况导致了对电子商务安全风险管理的研究无法立足于一个比较高的层次;忽略了风险的整体性,只进行偏信息和技术的研究,导致了现有的电子商务安全风险管理策略与金融机构原有的传统业务风险管理策略存在差距。对于商业银行而言,传统金融业务的风险控制与电子商务的技术风险控制,两个方面存在脱节,同样属于商业银行的风险,存在着不同的管理策略,导致多头管理、资源浪费、机构之间的扯皮,乃至缺位管理。
(四)风险管理策略无法
依赖外部的信息安全管理行业
在发达国家,信息系统审计(isaudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。it风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
将商业银行所面临的全部风险放在一个框架中考虑。传统风险管理以及电子商务安全风险管理都是风险管理系统中子系统,二者相互联系、相互影响,不可分割。尝试借鉴信用风险与操作风险度量的方法与思想,短期内将其与信用风险控制衔接,最终形成一个全面的商业银行安全风险管理框架。
(四)商业银行要积极促进电子商务安全风险管理策略的改进(1)充分利用国内或国外能够获得的信息系统审计、外部信息安全评估等服务,采取定期评估审计、不断采取措施改善风险状态的策略;(2)在目前商业银行的组织与管理体制下,风险控制部门与传统金融业务部门的流程需不断改善,商业银行必须创造条件,加强风险管理部门与电子商务部门的交叉配合,包括各部门人员的配置、培训等各方面;使风险管理部门能够履行安全风险管理的监控与审计职能;(3)商业银行必须重视对传统金融风险与电子商务安全风险的统一度量问题的研究,不断提高风险管理部门综合控制风险的能力,充分考虑电子商务安全风险与信用风险、操作风险的交叉问题,为实现全面风险管理奠定基础。依赖外部的信息安全管理行业在发达国家,信息系统审计(isaudit)作为一种信息技术服务被广泛提供,许多知名的咨询公司都提供类似的信息审计服务。it风险分析师也成为一种职业,专门从事电子商务的安全风险工作。商业银行采用依靠外部专业化机构定期对电子银行的安全性进行评估的办法,提高对电子银行安全性和技术风险的管理和监管。而国内初步建立了国家信息安全组织保障体系,制定和引进了一批重要的信息安全管理标准、法律法规,风险评估工作得到了一定重视,但与发达国家成熟完善的外部信息安全管理行业仍有很大差距。
(五)风险管理策略中商业银行的内部风险控制能力薄弱
我国商业银行目前均建立起统一的风险管理部门;但风险控制部门的职能、权限与花旗银行等体制较为先进的银行相比仍然存在较大差距,风险控制实质上仍然分散在各个子部门;风险的评估、防范与控制实质上完全依靠商业银行的电子交易部门;风险管理部门、内审稽核部门实质上无法控制电子商务安全风险。例如,风险管理部门接受了电子交易部的风险控制报告,表面上履行的内控审核的流程,但审核作用有限,无法完成电子商务安全风险管理中的监控与审计环节。
三、商业银行的电子商务安全风险管理策略的改进建议
(一)基于系统的思想构建商业银行电子商务安全风险管理策略框架
利用系统理论作为总体的指导思想,将电子商务安全风险管理策略本身当作一个开放的自适应系统。将商业银行电子商务安全风险管理中的各个环节组成循环上升的系统。
在商业银行电子商务安全风险控制的流程中,经过信息安全的风险评估、资产识别和选择、实施控制降低风险的措施、将风险控制在可接受的范围内,然后进行监控和审计;尤其重要的是把监控和审计所得到的内容作为新一轮风险分析输入,从而开始新一轮的风险管理过程。商业银行电子商务安全风险管理的各个步骤为动态的循环系统。每完成一个循环,安全风险管理的有效性就上一个台阶,商业银行的安全管理水平变得到了提高。
(二)电子商务安全风险管理中定量分析中的改进思路
商业银行可以借鉴成熟的传统金融风险度量中的一些方法来改变电子商务安全风险管理中对资产进行粗略的优先级别排序的方法。实践中,商业银行对操作风险的管理与对电子商务安全风险管理有其相似之处。巴塞尔委员会对商业银行的操作风险的内部计量法中规定,商业银行内部估计风险敞口指标、损失事件发生的概率、风险损失,巴塞尔委员会制定资本要求的转换系数;在度量损失的分布时,主要利用统计和精算技术。商业银行应通过数据库将威胁发生的频率、威胁所造成的影响等精确记录下来,利用现有的度量方法进行精确的风险定量分析的尝试。
(三)将商业银行电子商务安全风险纳入商业银行总体风险管理范畴
电商企业审计风险研究篇9
本文立足于电子商务环境下审计理论的发展趋势,尝试从一些审计理论的基本要素来阐明电子商务环境下审计理论的基本框架,主要内容包括:电子商务环境下的审计目标和范围、审计证据和线索、审计程序与方法,以及电子商务环境下的审计报告、审计风险、审计独立性。
一、电子商务环境下的审计目标和审计范围
电子商务环境是企业的经营活动与现代网络信息技术整合而成的企业内外部条件。在这种商业环境下,传统的审计模式与企业的信息技术、网络技术融合,使得审计目标也具有针对企业资源计划和电子商务的独特性,这种独特性体现为:审计要确保企业战略信息的安全性、可靠性和完整性;审计是从实物形态上的资本保全转变为对投资者利益及各种资产价值的保全,包括企业系统及网络的价值;信息资产是现代企业生存与成功的重要因素,审计的主要社会功能是监督企业对这些信息资产进行合理、有效的使用与管理。
传统审计建立在查错防弊的基础上,审计目的主要在于揭露会计资料中的错误与舞弊现象。但是在电子商务环境下,审计目的不仅包括揭露会计错误与报告中的舞弊行为,而且还需要从根源上防范、杜绝会计错弊现象发生,同时向被审计企业提供管理咨询、技术支持等多元化服务。
从审计范围上看,审计师所面对的不单是企业的财务报表数据,而是内容极其丰富、宽泛的信息系统。在网络化的会计信息系统中,审计师通过被审计企业的信息接口转换,经被审计企业的授权,直接在企业内部互联网上调阅相关的经济业务信息。这些经济业务信息包括财务与非财务信息、货币和非货币形态的信息、数字化信息和图形化信息、历史信息和未来预测性信息等。通过对这些信息的获取与审查,在时间和空间纬度上,审计师将传统的财务报表审计范围拓展到多元化、实时、存续的经济鉴证范畴,即所谓“实时审计”的范围。
二、电子商务环境下的审计证据和审计线索
在传统的企业交易中,经济信息的记录是以纸张为载体的,企业的交易处理系统和簿记方式为传统审计方式提供了以纸张为载体的审计证据。但是,以纸张载体为主的会计信息系统存在着一些缺陷,如簿记人工成本较大、文件处理错误较多,簿记和报告时间滞后,缺少必要的备份,文档储存有局限等。这些缺陷催生了企业对无纸化商务环境的需求。无纸化办公不仅为企业节省了大量的人力、物力和财力,而且最大的优势是信息可以及时或适时地进行共享。随着企业的电子商务交易形式和无纸化办公方式的日益普及,审计师要取得适当的审计证据,就需要根据商业和技术环境的变化来调整相应的审计程序。
审计证据的收集往往决定了审计工作的成败,而审计线索是审计师选择审计突破点并实施审计追踪的事实依据。在传统审计模式下,审计证据从企业财会人员根据企业交易和事项编制的簿记文档或相关记录文件中获取,审计师可以通过常规的征询、检查来核实企业交易的真实性和完整性,从而侦察审计线索。传统审计证据主要以原始凭证、记账凭证、账簿和财务报表等纸张形式为主。在电子商务环境下,企业的内部经营管理资源通过网络系统实现电子数据化或无纸化,企业与外部的交易行为也是通过无纸化的信息系统来完成,从经济业务的发生到会计信息的生成,都是由企业的信息系统自动完成。传统会计意义上的会计凭证和会计文件的生成方式及会计信息的传播载体发生了根本变化。电子商务环境对传统企业经营环境的取代,使企业的经济业务及其信息更加精确、便利和快捷。在企业信息系统中,这些经济业务数据都作为输入或保存信息储存在系统或磁盘中。由此可见,电子商务环境并没有改变企业交易的经济实质,而是改变了审计证据的形式以及取得审计线索的审计程序。
三、电子商务环境下的审计程序与方法
(一)电子数据的采集
在电子商务环境下采集企业经济业务的相关数据,要注意电子数据的无纸化、不受空间限制、瞬时性等特征。审计人员可以通过被审计企业所应用的网络系统中预留的接口,进行终端联机,通过网络传递取得更可靠的经济业务数据,对被审计企业信息系统的完整性、存在性进行认证,对企业的电子商务交易的确认、计量、报告的真实性、合法性进行评价。审计师也可以通过专业审计软件或审计模块,独立地从被审计企业的信息系统中下载审计任务所要求的企业经济业务数据。
对于企业交易的电子数据采集有很多方法,从企业信息系统的技术系统分层分析,审计师一般可以在被审计企业的操作系统、数据库管理系统、应用程序接口或企业的会计软件系统等不同的层次进行经济数据的采集操作。如果在被审计企业的信息系统中植入了独立的审计模块,审计师对电子数据的采集就可以交由嵌入式审计模块来完成。
(二)审计程序创新
随着网络技术在会计领域的应用与发展,会计信息系统逐渐转变成由人、计算机系统、网络系统、数据与程序等有机结合的人机交互作用的“智能型”系统,使会计工作的重心从会计核算转向信息化管理。会计的信息化推动了网络技术下适时、有效的信息化审计手段的发展。通过审计与现代信息技术的有机结合,审计的监督、管理、支持等服务得到不断的创新。目前应用较广的审计程序创新主要有以下三种。
第一种创新是系统克隆技术的应用,即在被审计企业的管理信息系统之外,对其相关的经济业务数据进行“克隆”,形成一个与企业会计系统并行的克隆体,来执行审计师对被审计企业经济业务的分析、测试以及核查。审计师通过信息系统克隆手段,判断企业会计信息系统在原始数据、初始化数据以及会计软件上有无非授权的改动,证明企业会计信息的公允性。
第二种创新是嵌入式审计模块,也常被人们称为“审计黑匣子”,指审计师在被审计企业的会计信息系统中安装具有记录功能的程序模块,对被审计企业的会计信息系统进行监控,并直接获取相关的审计证据。这种审计模块不仅监控被审计企业会计信息系统的操作情况,而且本身具有隐蔽性、安全性和稳定性。
第三种审计创新是并行审计技术的应用。并行审计是一种在相关企业经济业务或事项发生的同时或稍微滞后的时间内出具审计结果的审计技术。随着企业的会计信息系统网络化形成,企业财务信息实现实时在线的披露,传统的年度或季度审计程序不能满足商业环境发展的要求,基于在线控制测试和实时实质性测试模式的并行审计模式将成为电子商务环境下的主要审计创新模式。但是,无论在哪种形式上进行审计程序的创新,都离不开审计目的与审计环境的制约,审计程序创新的最终目的没有改变,审计程序的执行永远是为了提高决策的信息质量,保证信息环境的精确与诚信。
(三)适时的分析性复核程序
分析性复核程序在审计过程中始终是一个关键的步骤。无论是审计业务的承接,还是在审计工作行将完成阶段,分析性复核程序对保证审计质量至关重要。传统的审计分析性复核程序主要侧重于财务比率,用截面数据或序时数据来分析判断被审计企业的真实财务状况。这种分析复核方式由于传统审计技术原因,受到数据类型和数量的限制。
在电子商务环境下,企业资源及其相关数据通过网络化进行整合和共享,使审计师可以直接接触被审计企业的数据库等信息资源,利用详尽及时的立体数据来提高分析性复核的质量。如果在被审计企业的系统中安装嵌入式审计模块,审计师就可以根据审计需要,适时地执行分析性复核程序,而不是传统审计中的一年一次的分析性复核。同时,基于网络信息和实时数据的分析性复核技术也得到了不断更新和完善,提高了审计业务完成的质量。
四、电子商务环境下的审计报告
会计研究表明,提高企业的信息披露的宽泛程度和报告频率,会给企业带来经济效益,这些信息披露同样需要审计鉴证其公允和诚信。现行审计的对象是年度财务报表,而且仅限于财务信息的审计。可以预见,未来的审计对象不仅包括被审计企业的财务信息,也将包括非财务信息。甚至有学者认为,在电子商务环境下的实时审计报告模式应该披露或报告被审计企业的财务状况和经营业绩、网络财务系统的合理性及安全性、专门的财务分析系统对被审计企业未来形势进行的分析、被审计企业的重大变化及其对相关利益者产生的影响。
在电子商务环境下,企业的会计信息系统已成为网络化数据系统的一部分,企业的财务信息通过网络信息技术实现实时的披露。这样,正如20世纪公司财务报表的公开披露形成了报表审计市场,实时在线的财务披露也将催生实时在线审计报告的市场。在每一项经济交易中,买卖双方都不愿意在信息不充分的情况下进行,这种经济需求是审计产生的根本条件。随着网络信息技术在财务信息披露中的广泛应用,广大的信息使用群体对企业所披露的信息的公允和诚信逐渐产生鉴证的需求。
我们从审计发生的频率、审计结果的表达形式、审计对象的信息内容和信息含量、审计报告的作用方式,以及审计报告的使用者群体等方面,将电子商务环境下的实时审计报告与传统的财务报表审计报告进行比较(见表1)。
表1传统审计报告与电子商务环境下的实时审计报告比较
传统报表审计报告电子商务环境下的实时审计报告
审计频率年度实时
审计结果审计意见经济鉴证
信息内容针对财务报表信息针对使用者选定的信息
信息含量以历史信息为主导既包括历史数据,也包括大量现时和未来预测信息
使用范围向投资者、债权人提供向决策者提供
审计方式纠错、侦察舞弊除传统方式之外,还兼有监控与咨询功能
通过比较我们可以知道,在审计报告的形式和内容上,以及在审计报告的编制和使用方式上,实时审计报告体现了电子商务环境对会计审计领域的重大影响,也体现出会计审计的发展是基于经济环境发展的基本前提。报表审计报告是现代企业制度和工业经济环境作用于会计信息需求的产物,电子商务环境下的实时审计报告也正是现代网络信息经济作用于现行会计信息诚信需求的产物。
五、电子商务环境下的审计风险
在任何审计环境下,审计师在制定审计计划时都要根据个人判断对审计风险进行评估。在比较简单的情形下,审计师可以根据个人判断将审计风险划分为高、中、低等档次。在复杂的情况下,审计师需要建立有效的风险模型来量化审计风险的等级。在电子商务环境下,由于信息经济环境更加复杂,需要建立有效的审计风险模型来评估审计任务中的风险程度。所有的风险评估都离不开审计师对审计程序中的某些指标进行主观性的判断。通过主观判断,审计师选择一定的风险评估方法,使自己的审计决策达到预定的有效程度。在电子商务环境下,审计师对审计风险的控制仍然离不开传统审计理论对审计风险的评估模型,即从固有风险、控制风险和检查风险三个基本要素来分析审计业务中的风险程度和法律责任。通过对这三类风险要素的理解,可以降低从事审计业务而招致损失的可能性。在电子商务环境下,会计信息受到最大的挑战就是会计记录的有效性、完整性和公正性,与之相关的审计和内部控制概念则是职责划分、信息安全和纠错技术。电子证据与传统证据的不同之处在于它们由电子商务企业的内部控制来保证有效性,它们的可用性和可靠性通常依赖于对经济交易有效性和完整性的内部控制效果。
由于在电子商务环境下信息披露错误会跨越不同的企业信息系统,因此其影响十分严重。一般情况下,固有风险与被审计企业经营系统的安全性相关,对其评估的主要范畴包括:(1)企业信息系统管理及经验的完整性;(2)企业信息系统变更情况;(3)可能导致企业信息系统掩饰或错报信息的异常压力;(4)企业经营和信息系统的性质(电子商务计划和系统的复杂和整合程度);(5)影响企业的行业因素(包括信息技术的适用性等);(6)企业供应链、技术引进、经营合作等第三方对企业信息系统控制的影响水平;(7)前任审计时间及其审计发现。
传统审计中的控制风险通常不容易被企业内部控制系统及时地防范、侦察和纠正。但在电子商务环境下,由于企业经济业务数据通过企业的信息系统自动地进行加工和处理,而且数据由计算机系统进行实时的反馈,因此出现控制风险的概率比较低。审计师在考虑审计任务的控制风险时,应注意企业内部控制系统的独立性和有效性,并通过系统检测证明其正常运行。
在审计风险三个基本要素中,只有检查风险是审计师能够真正控制的。电子商务环境下,审计师需要综合地考察对固有风险的评估结果以及符合性测试对控制风险的测定结论,决定对被审计企业的信息系统及其生成数据的实质性测试范围。固有风险和控制风险的程度越高,审计师就越有必要执行详细的实质性测试,来获取足够的证据和把握,将审计业务的误差控制在可容忍的范围内。
六、电子商务环境下的审计独立性
审计独立性是一切审计业务的核心。所有的审计准则都要求审计师对被审计企业保持不偏不倚的公正性,以免使审计结果的可靠性由于非技术性因素受到损害,这是对审计独立性的一个操作性界定。具体地讲,审计独立性表现为:(1)审计师与被审计企业保持经济意义上的独立;(2)审计师不能与被审计企业存在任何有损于财务报告客观性的利益关联;(3)审计师与被审计企业的关系或行为不得影响或参与被审计企业的管理决策。因此,无论审计环境如何变化,审计独立性原则都要求审计师在执行审计程序时保持公正的职业判断,回避令其独立性受到置疑的情况。
在传统的审计任务结构中,这种审计独立性一般不容易受到技术因素的影响。但是在电子商务环境下,审计师要有效地完成审计任务,尤其是对被审计企业的实时在线审计任务,就必须在信息系统的技术配置上与被审计企业的会计及其他管理信息系统形成一定的关联关系。实时数据的采集、在线审计程序的执行、网络为载体的财务披霹审计及其鉴证报告,这些审计内容都离不开被审计企业信息系统的技术支持。
非鉴证业务也是与审计独立性相关的另一个重要因素。有些关于电子商务的非鉴证,如协助客户设计、实施电子商务软件,帮助客户在传统会计系统中置入电子商务信息系统等,都会对审计师的执业独立性产生影响。审计师在向企业提供这些与电子商务相关的非鉴证时,不得偏离独立性这个关键的前提。传统审计禁止审计师参与审计客户的日常簿记、直接参与或干预审计客户的管理控制过程等有损于执业独立性的行为。将这个原则应用到现代电子商务审计中,就要求审计师在服务于审计客户过程中,不得代行企业员工职能,不得进行客户企业的网站服务器控制、网络管理、电子商务软件和数据库维护等经营性活动。如果审计师向审计客户提供监管客户企业日常经营的信息系统和维护管理审计客户网站的服务,就很有可能影响其审计的独立性。
[参考文献]
[1]李若山,刘大贤。审计学:案例与教学[m].北京:经济科学出版杜,2000年。
[2]赵玮。企业电子商务活动审计初探[J].审计与经济研究,2002,(2)。
[3]陆斌。电子商务环境下审计理论的构建[J].中国会计电算化,2001,(2)。
[4]张金城。电子商务对审计实务的影响[J].财务与会计,2000,(10)。
[5]elliot,R……twenty-firstcenturyassurance[J].auditing:aJournalofpractice&theory,2002,(2)。
[6]elliot,R……assuranceserviceopportunities:implicationsforacademia[J].accountingHorizons1997,(4)。
电商企业审计风险研究篇10
关键词:电力行业;金融风险;措施
在本文中谈及的金融风险均指低于预见的可能性,金融风险的不利影响主要包括了改风险的发生给企业带来的直接或者间接的经济损失,它们会影响到企业的预期收益,也会增加企业的交易和管理成本。对于相关部门的生产效率以及资金的使用率亦会带来一定的坏影响。本文则主要研究企业在从事金融活动的过程中发生的偏离预期值的损失是本文研究的主要内容。
一、电力行业所面临的金融风险的理论分析
(一)电力行业所面临的金融风险的主要含义
金融风险从广义上理解为金融变量的变动所引起的资产组合未来收益的不确定性,金融风险的利弊是共存的,主要是因为金融风险既可以产生正收益也可以产生负收益。在金融类企业和非金融企业该风险给企业造成的影响是不同的,本文则主要研究金融风险的发生对非金融企业(本文以电力行业为例)的影响。
(二)电力行业多面临的金融风险的主要类型和形成原因
电力行业所面临的金融风险按照不同的驱动因素可以分为市场风险、信用风险、操作风险和财务风险。其中汇率、利率等金融市场变量的变化或波动而引起的指的是市场风险,在日常生活中由于电力企业涉及到的原材料和机电等产品是受到进出口业务比较多的,其要更多的关注汇率波动的变化,对此带来的影响。由于市场利率水平的变动而引起企业未来收益的变化的不确定性是利率风险,很多电力企业都是通过银行借贷来进行融资,由于很多用户付款不及时造成了电力企业无法及时让款项到账,这就会影响电气日常现金流的流动,如果这些呆账、坏账一旦形成就十分不李云上游电力企业的经营,进而就会使得整个行业产业链爆发行业信用危机,影响和危害巨大。由于内控机制不健全所产生的违规操作行为的可能性指的是电力行业的操作风险,操作风险大部分是和内部控制制度的建设联系起来的,虚假的财务报告、不真实的会计信息、电力项目投标的商业贿赂等各种违规行为是操作风险导致的结果。这又主要是由于相关的监管机制不到位,没有严格、完善的审计监督体制就不能有效形成相关的制度约束,自然在执行上也会存在很多的问题。
二、我国电力行业金融风险管理的现状及问题
(一)没有在电力行业形成长期的金融风险管理观念
由于金融类企业的其经营的产品多和金融投资息息相关,但是电力企业作为非金融企业其主要经营的产品与之有十分巨大的区别。在现实工作中,很对电力企业的相关上级和领导没有足够的意识到金融风险管理的好坏对企业的重要性,在日常的工作中对这一块就存在一些盲区和不足。这主要表现在两个方面:首先,是没有足够的金融风险防范观念,对于金融风险对企业实现经营目标的重要影响很多电力企业管理者没有足够的认识。在企业风险管理的过程中没有充分的重视金融风险管理。然后表现在对金融风险的认识能力上,在金融知识的积累方面很多的电力企业管理人员缺乏,从而不能让相关的专业人士对企业实现有效的金融风险管理。
(二)在金融风险避险工具方面很多电力企业没有足够的了解
金融类企业在进行日常管理中主要追求收益,而非金融企业则并非如此,尤其在中国作为垄断的电力行业,电力企业在金融管理过程中的主要目标是实现保值。目前在电力行业没有充分的应用用于防范金融市场风险的套期保值工具。一方面电力企业的相关领导对金融风险管理的重要性认识不深刻全面,导致自己的认识盲区,从而带动下面员工也是这种状态;另外一个方面则是,商业银行所提供的金融衍生产品过分单一,这又主要是因为我国当前金融市场整体发展不协调造成的。
(三)信用风险控制工具的可靠性太差
在国内电力企业中目前还没有进行有效的商账管理,在国内刚刚形成企业资信评估的观念,高销售额是很多电力企业主要追求的目标,在订单签署之前并没有对客户进行信用状况的调查,这就会造成收款时的各种问题。另外,只有有限的渠道帮助企业获取客户和供应商信用状况,这主要是因为我国还没有成熟的信用评级体制,没有完善的评级机制,这样就会使电力企业在对自己的客户划分信贷等级存在一定的困难。
(四)没有将电力行业金融风险管理的内控体系的作用充分发挥出来
传统的国有工业企业构成了我国主要的电力支柱企业,改革开放以来的股份制对于我国的制度建设有很强的促进作用,但是目前我国的电力企业在金融风险的评估、审计方面还没有较强的能力。总的来说,电力企业的内控功能弱化以及内部审计功能弱化造成了风险管理责任的弱化,这样就无法有效的提升风险管理能力。其中内部审计部门存在审计人员工作素质不高,能力不强,工作状态懒散等问题,造就当前国有企业内部审计功能弱化的主要表现。
三、建设我国电力行业金融风险管理的主要措施
(一)通过电力企业经营管理理念的转变增强金融风险管理意识
要加强我国电力企业金融风险管理就必须要转变原有的传统观念,应当像重视生产经营风险一样重视金融风险管理,应当从全局的角度长期的进行金融风险管理工作。因此企业的管理人员应做好风险管理文化的带头作用,通过险管理方面的培训和沟通来逐步的增强风险意识,这样能够使员工不断的从经验中吸取教训。同时在金融风险管理文化宣传方面电力企业也要加强,企业文化对于员工的影响是潜移默化的,任何一个员工都会受到自身企业文化的熏陶。
(二)对电力行业金融风险管理组织机构的建设进行完善
应当对金融风险管理组织机构建设进行完善,主要包括规范相关部门的管理责任,引进和培养合格的风险管理专业人才等,这样能够使电力企业管理及时的作出风险控制决策,对企业金融风险管理的具体职责进行明确。
(三)完善电力企业金融风险管理工具
通过电力企业金融风险管理工具的完善来提高企业的风险管理人力是很重要的,电力企业应当在与金融企业合作的过程中通过对金融衍生工具的充分应用来规避相应的风险。另外,也需要电力企业相关的领导足够重视这一块的建设,坚持对形式的把握,不断的改进相关的制度完善,加强电力行业金融风险管理的控制制度建设,是金融风险管理部门有效的对电力企业的金融风险进行管理。
四、总结
综上所述,针对当前我国电力企业金融风险管理中所出现的各种问题应当及时的采取有效的措施进行解决,在增强金融风险管理意识的基础上完善相应的金融风险组织机构建设,同时还要完善电力企业金融风险管理工具的运用,同时也要加强对电力企业金融风险的管理和相关的制度完善落实都对电力企业的健康稳定发展具有重要作用。(作者单位:内蒙古清水河电力有限责任公司)
参考文献:
[1]张颖.以风险管理为核心的电力企业内部控制体系研究[J].城市建设理论研究,2014,32(17):56-58.
[2]陈燕玲.金融风险管理的演进:动因、影响及启示[J];中央财经大学学报;2006年07期
[3]郭祥梅.浅谈我国电力行业的金融风险管理[J].低碳世界,2013,30(13):32-36.