（会计学专业论文）“网站认证”研究.pdf

论文摘要 。x4 5 3 t 8 6 川+ 实践钳j 拄人人超前f 审汁删论。1 9 9 7 年，炎固f ：册会汁师幼哙和加拿人汴册会 | j | i j f j 、会联合摊l 的“删站认证”l j 经何川年多了，但是相灭的理论倒 究、fj 没仃发展越 、 束，很不利r 该坝审计鉴证服务的完善和推厂。) 本文通过对“例站认证”市计鉴证服务 的分析，结合中国的【删络经济和注册会计师职业的发展现状，对“网站认证”理论进行 了一“! 讨论。作者认为，“网站认证”实质e 属于广义审计概念的范畴。通过分析受托 经济责任与市汁本质目标之间的内在关系，作者提出审计鉴证按审计目标不周，r 叮分为 六类，“网站认证”属于社会责任类审计鉴证。 本文介绍了目前“网站认证”的原则和准则标准以及当前的实务操作后，对“网站 认证”的市场状况，审计目标，审计职能，审计的主体、客体和对象、审计方法、手段 和报告方式，审计风险，与“网站市计”的关系等等问题进行了一定的讨论。最后，作 者就我国注册会计师如何引入“网站认证”概念进行了一些分析，提出了一些建议，希 望能够为我国的“网站认证”实践起到有益的作用。 天键i - d ：网站认征研究 x a b s t r a c t i nm o s to ft i m e ，t h ea u d i t i n gp r a c t i c e sw e r ea l w a y sb e y o n do ft h ea u d i t i n gt h e o r i e s s i n c e 19 9 7 ，t h ea i c p aa n dc i c p a b e g a n t oo f f e rt h ew e b t r u s ts e r v i c ef o rm o r et h a nf o u ry e a r s ，b u t t h et h e o r yo fw e b t r u s tw a sn o td e v e l o p e dw e l l t h i ss i t u a t i o nw a sn o tg o o df o rt h eh e a l t h g r o wo f t h ew e b t r u s ts e r v i c et h i sa r t i c l eh a da n a l y z et h ew e b t r u s ts e r v i c ea n dm a d es o m e t h e o r e t i c a ld i s c u s s i o na b o u tt h ew e b t r u s t t h ea u t h o rb e l i e v e dt h a tw e b t r u s tw a sak i n do f a u d i ts e r v i c ei nb r o a ds e n s e a f t e ra n a l y z et h er e l a t i o n s h i po f t h ea c c o u n t a b i l i t ya n dt h ei n i t i a l a u d i t i n gg o a l t h ea u t h o rc l a s s i f i e dt h ea u d i ts e r v i c e si n t os i xk i n d sa n dt h ew e b t r u s tb e l o n g t ot h es o c i a ll i a b i l i t ya u d i t i n ga s s u r a n c e ，a c c o r d i n gt ot h eg o a l so fa u d i t t h i st h e s i sh a di n t r o d u c e dt h ea 1 c p aw e b t r u s tp r i n c i p l e sa n dc r i t e r i a3 0a n di t s p r a c t i c e t h e nd i s c u s s e dt h eo v e r v i e wo fi t sm a r k e t ，a n da u d i tg o a l ，f u n c t i o n s ，i t ss u b j e c t ，m e t h o d so f a u d i t ，r e p o r t ，a u d i tr i s k sa n dt h er e l a t i o n s h i pa b o u tt h ew e b s i t ea u d i t i nt h ee n d ，t h ea u t h o r d i s c u s s e dt h em a t t e r sa b o u th o wt oi n t r o d u c et h ew e b t r u s tc o n c e p ti n t oc 1 c p aa n dm a d e s o m ea d v i c e s k e yw o r d s ：w e b t r u s t s t u d y “网站认证”研究 前言 注册会计师或公众会计师，亦称独立审计师是依靠自己的专业技能，为客户提供 服务的一种特殊行业。顾名思义，他们主要依靠的是自己在财务会计方面的专业审计 技能为委托人服务的，但是如果注册会 = - i i i i ( 1 1 把自己的业务范围仅仅局限于此，那么 注册会计师行业就不会有今天的规模。 一方面，委托人的审计服务需求是多方面的，他们不仅需要注册会计师对财务报 表的合规合法、公允一致向委托人提供合理的保证，还需要凭借注册会计师独特的专 业地位、专业技术在一些特定项目向其他有关方面提供合理的保证，也希望借助注册 会计师的专业能力和经验提高公司的管理和控制水平。例如：验证资本、对内部控制 结构表示意见、对未来财务信息的报告、管理咨询等等。这些需求是注册会计师提供 除财务报表审计外其他审计鉴证服务和非审计鉴证服务的直接动因。 另一方面，注册会计师在对其众多客户的财务报表审计过程中积累了许多宝贵的 经验，在内部控制、企业财务管理等多方面都有很高的专业水平。其独立的社会地位 也为注册会计师的专业鉴证和咨询提供了更加可信的基础。 以上两方面的原因共同促进了今天注册会计师试液的蓬勃发展。同时也鞭策着注 册会计n h f 不断的开展新业务，满足委托人的需要；提高自身的专业和理论水平，保 持高水准的职业技能。这不仅是为满足社会的需求，更是注册会计师行业发展的要 求。正因为如此，当2 0 世纪末网络技术带动的网络经济浪潮席卷而来时，注埘会计师 行业顺应社会的需求，结合自身的条件，开始推出了一种全新的审计鉴证服务 “网站认证”。 本论文研究这种服务，希望回答三个问题：第一，什么是“网站认证”服务：第 二，为什么注册会计师可以实施“网站认证”服务，即为什么说“网站认证”是一种 全新的审计鉴证服务，这实际上是注册会计师实施“网站认证”的基础；第三，我国 如何引进“网站认证”概念。 本论文的沧述思路是：首先，阐述审计鉴i i i i 务的概念和范罔。审计答 下服务实 际上是广义的审计概念，不仅包括财务报表审计，还包括其他鉴证服务，是现代广义 受托经济责任的体现。网站安全和信息保密等承诺是网络时代受托经济责任的新要 求，由此而产生的“网站认证”当然也是审计鉴证业务的一种发展。第二步，介绍现 行的网站认证服务标准、实务操作、市场现状等，并进行简要分析。美国注册会计师 协会发布的“网站认证”30 标准是目前最新的行业标准，与旧版本的标准比较有很大 的更新，满足了中小网站公司的需求，是本文介绍的基准。第三步，研究和讨论“网 站认证”服务的提出，在审计鉴证理论方面的一些新问题和新变化。最后，结合我国 当前的网络经济现状和注册会计师的条件，研究如何引入“网站认证”概念。 虽然“网站认证”服务在1 9 9 7 年就由美国和加拿大注册会计师协会共同提出，但 是目前研究这一课题的学者寥寥，见诸公开文献的文章更少，国内几乎是空白。因此 第1 页共3 0 页 本文花了一定篇幅对“网站认证”进行介绍，对它的研究也只是初步阶段，恳请各位 师长、同学指正批评。 本文在写作过程中得到了我的导师刘大贤教授的关怀鼓励和悉心指导，可以说没 有他老的点拨和帮助，我是f i 可能完成这篇坝士论文的，在此特向他老致以崇高的傲 意与衷心的感谢! 三年的谆淳教导之恩无以为报，谨以此文敬献给我的恩师刘大贤教 授! 本文是在我与龚兴隆教授共同发表的网站认证一种新兴的审计鉴证服务 一文的基础上继续研究的成果，龚兴隆教授为我的这篇硕士论文提供过许多建设性的 意见，并且在资料收集上给予了无私的帮助和关怀，在此也向他老表示真诚的感谤十! 香港大学的p e t e r 陈教授是首次向我介绍w e b t r u s t 概念的人，更提供我许多第一手的 资料，在此也一并向他表达我的感谢之情。 第2 页共3 0 页 第一章审计鉴证服务 没有审计，就没有受托经济责任；而没有受托经济责任，也就没有控制。 麦肯泽 “审计就是审会计”，这也许是对审计最通俗的介绍，但i ! 三是对审计严重的误解。 审计与会计同属于管理学的范畴，都是控制论的重要环节，二者有着千丝万缕的联 系，但是审计的范围远不局限于对会计的审查范围，如果简单地认为审计仅仅是对会 计信息的再确认或审核，那么将严重阻碍审计理论和实务的发展，也是对审计历史的 一种漠视。 壹、受托经济责任和广义的审计概念 代理关系的出现要求代理人履行受托经济责任，审计需求产生了。“审计的本质目 标就是确保受托责任的全面有效履行”1 。因此，当我们讨论审计的定义和范围时，也 就必须先研究受托经济责任的定义和范围，不清楚受托经济责任的具体要求，也就谈 不上实现保证其“全面有效履行”的审计本质目标。 一、受托经济责任的涵义 受托经济责任( a c c o u n t a b i l i t y ) 也译称会计责任，经济责仟或受托责仟等等，目 前尚无统一的定义。 美国审计总署( g a o ) 认为，政府的受托经济责任是指受托管理并有权使用公共 资源的政府和机构向公众说明其全部活动情况的义务2 。加拿大审计长公署( o a g ) 认 为，受托经济责任是指对授予的某项职责履行义务，作出回答，被授予职责的一方对 履行这一职责的方式作出报告3 。 国际最高审计机关组织( i n t o s a i ) 认为，受托经济责任是指授予一个被审计个 人或实体的责任，显示他已经根据资金提供者的条件对委托给他的资金进行了管理或 控制。亚洲最高审计机关组织( a s o s a i ) 认为，公共经济责任意指受托管理公共经济 资源的个人或当局报告资源管理情况和说明其履行所承担的财务、经营和计划责任的 义务。 科勒会计师词典对受托经济责任的解释是：( 1 ) 雇员、代理人或其他人员定 期的、令人满意的报告其是否按照授权行事的义务；( 2 ) 以货币形式、财产单位或其 他预定标准来计量对他人承担的责任或义务；( 3 ) 按照法律、规则、协定或惯例的要 求证实完善的管理、控制或其他职能的义务4 。 由上，我们可以抽象出受托经济责任的基本涵义：受托纾济责仃就足按照特定硬 泣h 蘩春：审计理论结构研究，2 0 0 1 年3 月，东北财经大学出版社，7 8 页 沌2 ：文硕：世界审计史第一版，1 9 9 0 年中国审计出版社，第5 页。 注3 ：文颐：世界审计史第一版，1 9 9 0 年中国审计出版社，第5 页。 注4 ：c o o p a r w wa n d y t l j i l j i r i ：t h e k o h l e r s d i c t i o n a r yo f a c c o u n t a n t s n j ：p r e n t i c h a i i 1 1 1 c e n g l e w o o dc l i l l s ，1 9 8 3 第3 页共3 0 页 求或原则管理经济资源并报告其管理状况的义务。 二、广义与狭义的受托经济责任 受托经济责任由广义和狭义之分。理解这一点，有助于我们认知受托经济责任存 在的普遍性和广泛性。 狭义的受托经济责任也口q 传统受托经济责任观，指受托人对资源的直接利益所有 者( 委托人) 的责任。这种直接利益所有者包括股份公司的股东、国有企业的“国 家”、非盈利组织的基金提供者、政府纳税人等等。按照狭义的受托经济责任观，受托 人应向、也只向其委托人报告资源管王坐状况，这也是具所应当承担并腹订的叟北经圻 责任。因此，狭义的受托经济责任的指向是单一的，因为其委托人是单一的。 广义的受托经济责任是一种社会概念，也叫现代受托经济责任，它是指受托人对 其有关的所有利益关系人的责任。这些利益关系人是一个群体，除了直接利益所有者 外，还包括虽不具有法定所有权，但与受托人所代表的组织有着某种经济或社会联系 的其他关系人，所有这些方面都是受托人应予负责的对象。这是因为，任何受托人及 其所代表的组织都是存在于一定的社会经济环境中，其行为将影响到各种利益关系 人，其生存与发展又必然依赖于各种利益关系人，所以，他的行为必须对所有利益关 系方面负责。就企业而言，除了直接所有者外，其他利益关系人包括：债务人、供应 商、雇员、客户和消费者、政府部门、地方团体、生产经营地区的居民等等，所有这 些关系人都可以称作广义的委托人。就公司而言，这是现实主义而不是法律或道德迫 使我们承认股东不是公司应予负责的唯一关系人。正如西蒙所说，公司的生存与兴旺 发达都与各种各样的关系人作出的贡献密切相关，而他们也都持有为其所作出的贡献 而求取报酬的动机5 。从广义的受托经济责任观来看，每个现代民主国家不仅对其纳税 人负有受托经济责任，而且对所有公民或人民都负有受托经济责任，这一点上与社会 主义民主观是多么一致啊。 从上述可知，受托经济责任的存在是普遍和广泛的，因为从整个社会范围来 看，存在着多种多样的委托和受委托关系，形成各种相互交织的受托经济责任形式， 它们构成一幅色彩斑斓的受托经济责任网络图。实际上，受托经济责任覆盖着社会的 方方面面，社会本身就是一张受托经济责任网。 三、受托经济责任的内容与审计的目标 前面已经定义，受托经济责任就是受托人按照委托人的要求或原则管理受托经济 资源和报告其管理状况的义务，由此，我们将受托经济责任划分为行为责任与报告责 任两大方面。由于广义上委托人群体来自社会的方方面面，因而委托人的期望与要求 也代表了社会方方面面的需求。这些需求从低级向高级由简单到复杂不断发展变 化，受托经济责任的内容也随之发展变化着。从行为责任方面，受托经济责任发展至 今，其主要内容有：资产保全责任、遵纪守法责任、节约责任、效率责任、效果责 任、控制责任和社会责任。 尽管受托经济责任中行为责任的内容已大大的扩展而变得曰益丰富，但与之相应 主5 ：s 1 1 c r c r ，h la n d d a v i dk e n t ，a u d i t i n ga i l d a c c o u n t a b i l i t y p i t l l l a i lb o o k s l i l l l l i e i td ，1 9 8 3 第4 页共3 0 页 的传统报告责任的内容( 主要是指受托人按照公允性或可信性的要求编制财务报表的 责任) 却一直没有大的发展，与行为责任相比显得很不平衡。2 0 实际9 0 年代初，改革 受托经济责任报告体系的呼声纷至沓来，其中最具影响力的是美国注册会计师协会的 一份研究报告，指出新的受托经济责任体系应该包括：年度财务报告、控制结构报 告、法律遵守情况报告、经营活动报告、经营目标报告、舞弊防范报告6 。我国的蔡春 博士提出还应加入“社会责任报告”。 审计本质目标之结构框架图 贰、审计鉴证概念 由上面的审计目标结构框架，我们可以看出，审计的目标是多种多样的，审计服 务的范围应该包括审计目标所涵盖的全部内容。 一、广义与狭义的审计概念 忽略审计的内涵本质争论，仅就审计的外延范围而言，我们可以将审计的概念分 为狭义和广义两类： 注6 ：p a v l o c k e 2 “a c c o u n t a b i l i l ys t d ad s f o r c o r p o r a t e r e p o s i n g ”j o u r n a lo f a c c o u n t a n c y ，m a y 1 9 9 0 a i c p a p p 第5 页共3 0 页 狭义的审计概念，或一般的审计概念认为，审计主要是指对单位财务活动及其相 关经济活动进行的审计活动，如：财务报表审计、合规性审计、经营审计等。而将注 册会计师进行的对内部控制、财务预测和规划、经营活动、舞弊防范、社会责任等方 面的审鉴活动均视为审计以外其他鉴证活动。这是与传统的受托经济责任报告体系一 致的。国内最典型的观点是1 9 8 9 年中国审计学会的审计定义：“审计是由专职机构和 人员，依法对被审计单位的财政、财务收支及其有关经济活动的真实性、合法性、效 益性进行审查，评价经济责任，用以维护财经法纪，改善经营管理，提高经济效益， 促进加强宏观经济调控的独立性经济监督活动。” 广义的审计概念是指包含了全部现代受托经济责任报告体系下的审计目标范围的 审计概念。广义的审计概念认为，审计不仅包括财务报表审计、合规性审计、经营审 计或管理审计，还包括舞弊审计、内部控制审计、对预测会计报表的审计以及其他特 殊目的审计。这种审计概念是现代受托经济责任报告体系的体现，也是真正全面的审 计概念。例如，早期美国会计学会基本审计概念委员会的审计定义就是广义的审计定 义：“审计是指一种客观地收集与评价对有关经济活动和事项的认定的证据，以确定那 些认定符合既定标准的程度，并传达给利害关系人的一个系统过程”。近期的研究 中，虽然审计概念的狭义与广义区别已经不是学者关注的焦点，但是广义的审计概念 己被越来越多的学者认同，例如刘大贤教授提出的“舞弊是审计永恒的主题”这一观 点就是很好的例证。 由于广义的审计概念不是本文研究的重点，因此本文没有给出具体文字定义，为 了方便起见，我将广义的审计概念称之为“审计鉴证”。后文将在广义的审计概念基础 上研究“审计鉴证”服务在网络经济时代产生出“网站认证”服务后的一些新情况、 新变化，以及讨论我国注册会计师如何开展“网站认证”的问题。 二、审计鉴证的特点、分类和发展 鉴证活动是各式各样的：珠宝行业有对珠宝的专门鉴证服务，公证机关的部分公 证活动是鉴证服务，拍卖行要对拍卖的书画、古董进行专门的鉴证，法庭上对于专业 性很强的证据也要进行鉴证，甚至国家留学生服务中心对洋文凭的审验认证也是一种 鉴证服务。注册会计师所提供的审计鉴证服务实质上是一种经济管理领域内的专业鉴 证服务。除了一般鉴证服务审查、辨别、认证和独立的特点外，审计鉴证还具有以下 特点： 第一，审计鉴证活动在经济管理领域具有广泛性和专业性强的特点。审计鉴证是 受托经济责任存在的必要条件，是经济管理控制环节的重要一环，渗透于经济管理的 方方面向，许多经济活动的大规模开展都离不开审计鉴证活动，因此它具有在这一领 域内的广泛性。注册会计师的审计鉴证活动有很强的技术性和独立性，是他人无法替 代的，具有专业性强的特点。 第二，审计鉴证活动与其他鉴证活动比较具有高风险和不确定性的特点。审计鉴 征的对象是错综复杂的经济管理活动和事项，并且信息处理量巨大，注册会计师的意 见往往只能建立在抽样取证的基础上，所以具有不确定性和高风险性。此外，由于经 济事物本身及对其的认定并不是一成不变的，随着时间和环境的变化，审计鉴证所认 定的经济事项可能发生变化，所以依据历史信息得出的审计鉴证结论很可能与结论使 第6 页共3 0 页 用者的期望产生差距，带来风险。 第三，审计鉴证是理论与实践高度结合的鉴证活动。审计鉴证有完整的理论体系 为其实践提供指导，而不是单纯靠经验或技术积累就能完成的t 作。但足市i i 鉴江又 与其他学科不同，其实践往往大大超前于理论，理论工作者常常使在比较成形的交践 基础上进行归纳、总结和统一，提出改进方法，指出继续发展的方向。例如本文研究 的“网站认汪”就是这样。 以上是各种审计鉴证活动共同的特点，为了进一步区分审计鉴证的种类以便研 究，依据受托经济责任的具体报告体系，本人大胆的将审计鉴证分为以下六种： 1 财务信息类审计鉴证，主要是对组织财务报表的审计和鉴证。如，年度财务报 表审计、中期财务报表审计。 2 遵纪守法类审计鉴证，主要是对组织是否遵纪守法，有无重大舞弊行为的审查 和鉴证。如，舞弊审计、验资审计、税务或工商机关要求的特殊项目审计等。 3 控制结构类审计鉴证，主要是对组织的内部安全、控制结构等管理活动的审查 和鉴证。如，管理审计、内部控制审计、系统认证( s y s t r u s t ) 等。 4 经营目标类审计鉴证，主要是对组织预计的经营目标提供鉴证服务。如，对财 务预测和财务计划的合理性鉴证服务等。 5 经营效果类审计鉴证，主要是对组织完成经营目标的一种第三方审验服务。 如，绩效审计。 6 社会责任类审计鉴证，主要是对组织法定、承诺或推定的社会责任的履行情况 的一种第三方审验服务。由于履行社会责任并向公众报告目前还只是少数组织在进 行，也少有法定的报告义务，因此对这类活动和报告的审计鉴证服务还很少。但是正 如前文所述，现实主义将迫使越来越多的企业注意到自己处于广泛存在的广义受托经 济责任网中，履行社会责任奖是企业生存和发展的重要决定因素，社会责任报告必将 成为广泛要求的一种报告义务。 可以预见，社会责任类审计鉴证将丰富和发展起来，网站认证就是一个很好的例 子。它既是一种控制结构类审计鉴证，更是一种社会责任类审计鉴证。因为网站认证 服务的最大特点就是向广大的网站使用者和浏览者提供一种安全责任已经履行的审计 鉴i 正。信任问题是虚拟网站产生后最突出的瓶颈问题，制约着网络经济的飞速发展， 因此“现实主义”要求网站公司履行其相关的社会责任，并且需要第三方的鉴证。这 就是“网站认证”这个社会责任类审计鉴证诞生的原因。 第7 页共3 0 页 第二章“网站认证”服务的概况和实务 科学技术的每一次飞跃都会带动世界经济全面深入的发展。从2 0 世纪7 0 年代起 步的计算机网络技术，在2 0 世纪末已经进入了高速发展的阶段，给人类的生活带来了 翻天覆地的变化。在美国，1 9 9 8 年互联网产业的收入己达3 , 0 1 4 亿美元，对经济的影 响力可与汽车制造业匹敌，对其他行业的影响则是无法估量的。据i d c 2 0 0 0 年的预 测，到2 0 0 4 年，全球互联网业的收入将达到2 4 ，0 0 0 亿美元，网络经济的存在已经毋庸 置疑，大有成为世界经济主导的趋势。在虚拟的世界里，注册会计师应该如何开展自 己的业务呢? 虚拟的网络公司和网上交易会对会计和审计带来什么样的影响呢? 美国 注册会计师协会( a i c p a ) 和加拿大注册会计师协会( c i c a ) 在这方面走在了前面， 他们提出的“网站认证”就是一种新兴的审计鉴证服务。 壹、网站认证的产生背景 1 9 9 7 年美国政府正式提出了电子商务框架( e b u s i n e s sf r a m e w o r k ) 的概念。 b u s i n e s s t ob u s i n e s s ( b t o b ) ，b u s i n e s s t oc u s t o m e r ( b t o c ) 的电子商务形式，以及 i n t e r n e ts e r v i c ep r o v i d e r ( i s p ) ，a p p l i c a t i o ns e r v i c ep r o v i d e r ( a s p ) 和c e r t i f i c a t e d a u t h o r i t i e s ( c a ) 等服务随之丰富和繁荣起来。同一年，a j c p a 与c i c a 联合提出了 一项旨在建立网站浏览者对网站的信任，帮助保障私隐，认证网站安全和减低网络商 业诈骗风险的新的互联网网站审计鉴证服务一w e b t r u s t 。这项鉴证服务是由持有特许 职业执照的注册会计师，按照a i c p a 或c i c a 公布的“网站认证”准则与规范 ( p r i n c i p l e sa n dc r i t e r i a s ) 对被审查网站的1 在线私隐( o n l i n ep r i v a c y ) 、2 安全性 ( s e c u r i t y ) 、3 有效性( a v a i l a b i l i t y ) 、4 商业模式与交易信誉( b u s i n e s sp r a c t i c e s t r a n s a c t i o ni n t e g r i t y ) 、5 认可( n o n r e p u d i a t i o n ) 、6 保密性( c o n f i d e n t i a l i t y ) 、7 c a 服务 等七方面进行审查和鉴证，对于符合准则与规范的网站，允许其将a i c p a 或c i c a 委 托v e r i s i g n 公司管理的“网站认证”徽记以超链接( h y p e r l i n k ) 方式放置在该网站的 主页( 首页) 上，供浏览网站的顾客点击后，以安全方式查看位于v e r i s i g n 网站的注 册会计师审计鉴证报告。 一直以来，网络安全问题、私隐权问题和浏览者信任问题严重地阻碍了网络经济 的发展。一方面，各网站公司、安全技术机构和像微软等的研发中心都在不断的更新 完善加密技术，推出一些认证方式，维护网络安全：但另一方面，在开放型的网络世 界中，人们不断听到、看到、受到各种网络安全威胁，对于网上交易戒心重重。此 外，虚拟的网站使顾客无法只通过网页的内容来了解公司的规模、诚信、产品和服务 的实际状况，更无法确认网站承诺的安全保密条款会否得到不折不扣地执行，而且越 是有名的安全技术性认证，越容易引起黑客( h a c k e r ) 的攻击兴趣。所以网上第三方 鉴证服务市场一直没有兴旺起来，而网络经济发展也由于缺乏这一市场润滑剂的作用 倍受阻碍。 a i c p a 和c i c a 看到了这一新兴的市场，利用自身独立、客观、公正的良好第三 者形象和专业的技能知识开始介入这一市场，“网站认证”服务应运而生。 第8 页共3 0 页 贰、美国的网站认证3 0 版标准 也许是受到汁算机行业惯例的影响，a i c p a 在推出其“网站认证准则与规范”时 使用了x0 版的模式，不同于会计审计行业的习惯。其最新的30 版准则与前期的2 0 版和10 版比较，有了很大的进步，将“网站认证”的范围扩大到了b t o b ，i s p ，c a 等范围。30 版准则提供给网站更多的认证选择，以满足其具体的需要。例如提供 b t o c 服务的网站会对“在线私隐”和“商业模式与交易完整”认证更感兴趣；提供 b t o b 服务的网站会对“安全”和“认可”认证更感兴趣。以下是3 0 版准则的简要介 绍： 一、在线私隐。 2 0 0 0 年1 1 月3 0 目a i c p a 制定了“在线私隐”准则与规范3 0 版：“网站应该充 分地揭示其对在线商务私隐的运作程序，并遵守这些程序，保持对这些程序的有效控 制，对在电子商务中产生的私人信息的安全提供合理的保证”，适用于b t o c 、i s p 和 a s p 服务。 具体的准则包括 准则细目( 选列)说明( 选列) a 揭示a 1 网站必须在其网页上揭示“我们需要您的姓名、地址、电邮 ( 共8其私隐保护条款，但其责任并等信息以保持与您的联系，您的信 条)不仅限于这些条款。用卡号将使我们更方便的划款入 a 2 如果网站使用“c o o k i e s ”帐，所有这些信息都不会提供给除 等连接工具，必须揭示其相关法律要求的任何第三方。” 政策，并且当用户拒绝使用“c o o k i e s 将为您提供方便的连接服 时，这些功能将不可用。务，我们将利用c o o k i e s 追溯到您 a 8 当浏览者离开网站私隐保的电脑，如果您不使用这些功能， 护状况时，网站应提供相应说您每次登入都将要求输入相关信 明。 息。” b 政策、b l 网站保护私隐信息的条款“网站的雇员在聘用时都要签署一 目的与应该包括：提醒客户注意的政份声明文件，表示其已经了解并接 目标策；增加减少和修改私隐信息受相关私隐信息条例。在每年，还 ( 共5的政策将要求雇员重新确认这一声明。” 条)b 2 网站雇员明白和遵守私隐 信息条款。 b 4 网站有相应的训练等程序 来保障条款的执行。 c 程序c l 网站有相应的安全程序接“新客户将在安全情况下登记其有 和技术受新客户。关资料。” 手段c 2 网站有相应程序确认用户“每一个用户的i d 和密码是不同 ( 共1 4授权级别。的。” 条)c 3 有供客户修正自己信息的“在要求修改、更新和删除信息 程序。时，需要输入客户的i d 和密码” c 5 有禁止浏览者访问、修改“在交易时，用户的信息处于1 2 8 非自我信息的安全程序。位的保密技术下( s s l ) 。” 第9 页共3 0 页 c 6 雇员接近、查看、修改客 “网站只接受来自客户或其他可信 户信息有适当授权程序。 任地址的数据。” l c 1 0 网站有相应程序确保其雇 员使用客户信息仅限于工作范 围。 d 监察d 1 网站有相应的保护监视程“网站应使用下列工具进行保护监 及执行序。视：c o p s 、s a t a n 、t r i p w i r e 。” 评价d 3 当网站的技术、系统等更 ( 共4新时，网站有相应的测试程 条)序，保障政策有效。 二、安全性。 2 0 0 1 年1 月1 日，a i c p a 制定了“安全性”准则与规范3 0 版：“网站应揭示、 执行和保持其安全保护政策，并对所有接近电子商务系统和数据的人都是通过了安全 政策下的授权提供合理的保护”，适用于b t o b 、b t o c 、1 s p 和a s p 服务。 具体的准则包括： 准则细目( 选列)说明( 选列) a 揭示a 2 网站应对其客户揭示相关“如果您感到我们的安全有任何可 ( 共4的电子商务安全保护政策。 能的漏洞请致电：( 8 0 0 ) 1 2 3 1 2 3 4 。 条) b 政策b 2 雇员熟悉和遵守相关的安“新雇员在聘用时必须接受安全训 ( 共5全条例。练，并签署有关安全性声明。” 条)b 3 安全责任已经得到细分、 落实。 c 程序c 4 网站对远程进入内部网络“逻辑进入控制( 防火墙、密码控 ( 共1 0有严格的授权程序。制等) 由i t 部门保管，并定期执行 条)c 6 雇员根据其职务和责任，渗透测试。” 限制接近系统和数据。“根据职员责任状况，制定系统和 c 8 网站有相应程序保障系统数据的接近权限。” 处于最小安全暴露范围。“当工作站空闲时，半小时后锁定 系统。” d 监察d 4 网站有报告违反安全条例“发生的安全问题都应及时记录于 ( 共4的程序，并随时检查该程序的程式，并由相关主管定期检查。” 条) 正常运行。 三、商业模式与交易信誉。 2 0 0 1 年1 月1 日，a i c p a 制定了“商业模式与交易完整”准则与规范3 0 版： “网站应揭示、执行和保持其既定的商业运作政策，并为商务运作完整、准确和一致 的遵循其政策提供合理的保证”，适用于b t o b 、b t o c 、i s p 和a s p 服务。 具体的准则包括： 准则细目( 选列)说明( 选列) a 揭示a 1 对提供的货物或服务应有 ( 共7相应的说明，如货物状况、服“您可以在我们全球4 2 0 个维修网 条)务内容、信息来源等。点得到统一的售后服务。有关维修 第l o 页共3 0 页 a 3 网站在其网页上揭示有关点的详细情况会随我们的货物送 售后服务的条例、服务地点、达。” 方式、条件等。 b 政策b 2 与交易有关的雇员完全明 ( 共4白并遵守网站的交易政策和程 条)序。 c 程序c 7 、网站在交易进行时应提供“在交易的全程提供1 2 8 位加密保 ( 共2 2足够的加密保护。护，并要求客户提供i d 和密码。鼓 条)c 1 0 网站应检查每一宗交易和 励客户更新交易端的软件版本，以 请求的准确性和完整性。减少安全漏洞。” c 11 达成交易前，应获得客户 “交易系统提供自动检查和提醒错 正面确认。误的程序。” c 1 2 送货渠道保证把正确的货“达成交易前，将再次询问客户是 物及时送达指定地点，给正确否确认交易。” 的客户。 “货物包装部门在包装前将再次检 c 1 8 交易的电子划款应获得同查货物的送货单与订购单是否 意。致。” “所有的价款、运费、税款等都在 客户确认订单前给予明确提示。” d 监察d 1 网站有监察交易完整性的 “服务部门监控客户的投诉，并按 ( 共2程序，并随时在需要时进行调 月提请i t 部门进行调整。” 条)整。 d 2 网站能够提供交易的历史 数据，并定期对数据进行检查 和更正。 四、有效性。 2 0 0 1 年1 月1 日，a i c p a 制定了“有效性”准则与规范3 0 版：“网站应揭示、 执行和保持其既定的有效性政策，并为电子商务交易的有效性提供合理的保证”，适 用于b t o b 、b t o c 、i s p 和a s p 服务。 具体的准则包括： 准则细目( 选列) 说明( 选列) a 揭示a 1 网站向其数据中心、网 “网站提供2 4 小时天的不问断服 ( 共4 络、互联网中枢揭示有效性的务。当发生意外或其他异常中断 条)术语、条件和政策。 时，我们将在使用备用系统，并于 2 4 小时内修复。” b 政策b 5 网站的有效性政策和相关 “当更改或执行新的有效性政策 ( 共5 安全措施与法规要求一致。时，需检查其是否遵循了现行法 条) 规。” c 程序c 9 网站有相应的监控程序防 “对系统登录的检查每天进行，对 ( 共1 5止危害有效性的安全漏洞。 软件的检查应在任何故障发生后进 条) c 1 0 网站应考虑危害有效性的行，并报i t 部门。” 环境问题，减少和削弱相关威 “管理者保持良好的防火、防潮、 胁。 防尘、供电等措施。” c 1 2 任何系统的维护、修改、 “在对数据进行测试前，必须进行 第1 l 页共3 0 页 f 测试等都必须符合有效性政备份。” 策。 ld 监察d 2 网站有相应的程序监控意“每周i t 职员的例会将进行相关安 i( 共4外情况的有效性和安全程序，全和其他发现问题的讨论。” l 条)并根据技术更新、电子商务系 统的结构调整以及其他环境变 化相应更新。 除上述准则外，“网站认证”的其他准则与规范与以前旧版模式内容没有太大变 化。 叁、当前“网站认证”服务的实务操作 “网站认证”审计鉴证的程序般为“评价委托风险”一一“接受委托并获得管 理当局声明书”一“系统管理控制评价”一一“符合测试、实质测试”一“完成 审计工作，提出管理建议书，要求进行改进以达到标准”一一“出具报告，申请给与 网站认证徽记”一“每3 个月进行复核测试”。 “网站认证”审计鉴证作为审计鉴证活动的一种与其他的审计活动的事务程序活 动是有许多共同之处。但是由于其鉴证的目的和对象具有特殊性，所以在实务中也就 产生出一些新的问题需要统一和规范。 一、接受委托阶段 “网站认证”服务提供了七个方面的标准允许客户选择其中一个或多个方面进行 认证，因此注册会计师进行审计前首先应该明确委托的范围。委托的范围必须在“客 户委托书”和“管理当局声明书”中明确指出。 在委托阶段，“管理当局声明书”是注册会计师必须获得的重要审计证据之一。声 明书中应该指明，管理当局在其委托的范围之内知悉自己的责任，已经履行了充分披 露有关政策、程序和控制，并且认真执行的义务。注册会计师的审计鉴证就是以这份 声明书为基础按照“网站认证”标准进行审核的。声明书中的内容应该与实际一 致；网站披露的信息应该与其操作一致；所有重大的事项都已经披露；操作与披露符 合“网站认证”标准。这就是注册会计师审计鉴证的核心内容和主要工作。 委托阶段注册会计师需要特别注意的是，要让客户真正了解他们确实需要的哪种 i 碉站认证。由于“网站认证”的鉴证标准具有可选择性，允许客户选择不同的标准进 行审计鉴证，满足其特定的需要。但是，当进行多个标准的混合式委托时，会出现客 户符合部分标准，不符合另一些标准的情况。这时，由于委托阶段的情况不同，可能 出现两种情况。注册会计师可以就其符合标准部分出具无保留意见审计报告，给予相 关的认证徽记，也可以出具混合型的有保留意见报告，不给予认证徽记。因此有必要 在委托阶段让客户了解这一情况，选择多次单任务委托或一次混合任务委托。不同的 委托情况，将会得到不同的审计报告。 二、评价和计划阶段 不论是首次审计还是后续审计，注册会计师都应该在接受委托后进行对网站的评 价和审计计划工作。其中，首次审计分为初次“网站认证”审计和重新获得r 网站认 第1 2 页共3 0 页 证”的审计两种。下面我就将这三种情况进行说明。 ( 一)初次进行“网站认证”审计 当网站第一次要求进行“网站认证”审计时，注册会计师除了要对网站的经营运 作类型、管理文化和方式、内部控制结构进行评价以确定审计策略外，还有一个“网 站认证”审计的特殊问题必须加以考虑：“网站所能提供的测试期或称为回顾期( 1 0 0 k b a c kp e r i o d ) 是否足够长，以便审计人员能够获得充分的证据已作出相应的报告。” 回顾期的长短需要注册会计师的职业判断，但是一般不能少于两个月。同时，回 顾期长短，还与注册会计师将要进行的测试种类有关。 当注册会汁师希望通过测试来评价控制是否有效时，测试时间的长短会由于需要 测试的控制的性质和这种控制发生的频率的不同而不同。一些控制执行是经常性的， 而一些则是偶尔性的。 当注册会计师希望通过测试来评价单位是否遵循了它披露的实务时，测试期的长 短会根据实务的性质和相关证据发生的频率来确定。例如：某个单位披露它会在每个 月末都执行某个操作，那么相关证据只有在每个月末才会存在。相应的，注册会计师 需要确定测试期要长才可以获得足够的证据。如果注册会计师认为回顾其能够提供足 够的证据事项，那么他可以接受报告期于短于两个月的关于网站是否遵循了操作政 策，保持了有效控制的委托。当发布时点性报告时，报告要明确指明管理当局的声明 是于某一时点被测试的，而不是某一个时期。在一些情况下，注册会计师也许会认为 有效的回顾期只能提供有效的证据来证明控制是否有效，但不能提供有效的证据表明 单位遵循了它披露的操作政策。在这种情况下( 也只有在这种情况下) ，注册会计师可 以接受一个提供不包含遵循披露政策的报告的委托。这时，注册会计师应该在报告的 介绍段和范围段进行适当的调整，指出报告不包括政策有效遵循测试。 相关初始期问的长短决定于注册会计师的职业判断，但同时也要考虑下列因素： 表一 考虑短的初始期间考虑长的初始期间 1 已经执行过控制测试的客户；1 在注册会计师实旋测试前，起始操作 2 很少交易量的已建成网站；没有积累足够的交易量和正常操作条 3 经验上在披露、政策和相关控制上很件： 少变化操作；2 交易量经常变化的操作； 4 有大量交易和充足典型日常操作条件3 复杂操作； 的起始操作，在注册会计师实施测试4 在披露、政策和控制上经常变化的操 之前，或过渡到自动运行网站。这种作。或存在明显的指示将缺乏对披 网站的操作从开始运行后很少在政策露、政策和控制的遵循。 和控制上发生变化。 ( 二)初次审计后的后续审计 按照“网站认证”标准，网站获得认证徽记后在注册会计师认可的期间( 不超过 六个月) 结束后，还希望继续保持认证徽记，必须得到该注册会计师的进一步后续审 计。这种后续审计的主要目的是确保网站在经过一段时期后，在其“网站认证”规范 的政策、披露、控制等方面没有大的变化。如果有重大变化，注册会计师必须判断这 些变化是否符合“网站认证”的标准。因此，当注册会计师进行后续审计时，在评价 第1 3 页共3 0 页 和计划阶段，主要应该考虑网站业务的类型。例如：与财务金融交易相关的网站，其 安全与隐私方面的变化将比较频繁，而提供在线信息服务的网站往往较少改变相关政 策、控制和程序。这两种类型的网站的后续审计计划策略是不同的。 关于后续审计将在“后续审计阶段”详细讨论。 ( 三) 重新获得认证的首次审计 当网站发生显著事件引起它不再符合“网站认证”标准而被取消徽记后，如果希 望重新获得认证，管理当局必须向网站使用者披露这一显著事件的性质，以及为什么 会引起不符合“网站认证”标准，还有采取的修正步骤和方案。网站可以在网页上披 露，也可以在管理当局声明书中披露。同样，注册会计师作出一个新报告时，也必须 考虑这一事件在管理当局声明书中披露或作为报告的一个特别说明段披露或同时披 露。 三、外勤工作即测试阶段 注册会计师对“网站认证”的测试也是采用抽样的方法。其测试的类型有符合测 试和控制测试两种。符合测试是测试网站披露的内容是否与其政策、程序和控制相一 致，这些政策、程序和控制是否与“网站认证”的标准相一致。控制测试是测试网站 是否在操作和管理中确实执行了其相关的规定和程序。 “网站认证”测试的内容主要是按照“网站认证”3 0 标准的框架进行的。根据网 站的性质和采取的审计策略，对于框架内的内容的测试有所不同。在测试阶段，值得 注意的问题是，“网站认证”3 0 标准是一套系统的标准，各推测之间有机联系、相互 影响的。所以，当进行非全部准则的认证测试时，对于非委托范围内的“网站认证” 准则，也应当保持应有的职业谨慎，关注重大事项，并取得证据。 四、完成审计工作及报告阶段 注册会计师完成外勤工作后，应该对收集的证据进行评价、分类和汇总，并得出 结论，撰写审计报告。但是，由于“网站认证”的特殊性，其报告与一般的审计鉴证 报告有所不同，在下列问题中，有特殊的处理方式： ( 一) 报告中对“网站认证”准则的引示 像许多情况样，注册会计师被要求在报告中注明遵循的相关“网站认证”准则 和相关原则，而不是全套认证准则。当审查程序涉及一个或多个准则，有两种可供选 择的方式来指示相关的准则。不同的指示方法，注册会计师在报