电子商务系统审计.doc

电子商务系统审计 当前商务的越来越广泛电子商务系统审计的就是对电子商务系统的安全性和可靠性的核实确认国际内部审计师协会最新电子商务系统审计和控制报告中指出：电子商务的定义是方式或PDF交货方式审计的定义是指核查（核实查处）确认电子商务系统审计是基于系统本身的可审计性和控制程序审计模块设计是审计成功与否的关键根据审计模块和风险向治理层提供审计报告由于高的治理层需要对一些不可丈量的、无形的资产范畴如信誉、客户服务满足度等进行评估用户需要查询网站的商标或其他经第三方确认过的性因此电子商务系统审计是对网站或电子商务提供这类核查确认的服务一、电子商务系统审计的必然性和必要性在贸易活动实现网络化之前采购是面对面或通过纸质文件进行的有迹可查即使是电子交易其设备结构是专用的一般只限于已知用户使用任何外部用户必须是已知的、身份明确的、可追踪的；系统通常是主机结构方式相对易于监视、控制和审计与传统贸易相比万维网客户/服务器系统的特点是高度分散资源共享、服务分散、顾客透明度高等而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依靠于技术电子商务系统的技术基础和市场的快速变化意味着传统的衡量已不再适用于企业的某些资产财务报告不能充分提供企业的状况和价值方面的信息特别是网络企业的无形资产如商誉、客户忠诚度和满足程度等这些产生长期价值的关键资产核实确认这类资产价值的困难在于缺乏足够的数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的正确估算企业治理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法需要一些新的核查和审计方法更有效地评价无形资产如知识、品牌等因此电子商务系统审计就成为历史的必然由于电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险都可能会其生存和发展风险因素包括：贸易信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等因此进行必要和客观的审计才会使董事会、审计委员会、高级治理层对电子商务系统的安全运作和效益满足和放心二、网络风险和风险治理网络风险如同灾难一样不可预见风险治理的关键在于风险评估风险评估就是要分析和衡量风险事件发生的概率及后果引起风险的因素及其关联因素出现风险的关键点采取什么方法能够减缓风险风险出现造成后果如何以及评价治理层是否履行了应有的职业审慎进行防范和控制同时在评估中还要为各项因素设计评价比率各种风险的影响后果根据影响和后果排序对高风险因素作进一步的分析通过风险评估可以熟悉到潜伏风险（威胁）及其影响以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排这些计划和安排应涵盖对各项控制本钱主要是指接受、避免、转移、监测本钱的分析以及各项工作的先后次序三、电子商务系统审计中网站的正当性证实网络终端用户都会关注网站是否来自一个的、可靠的机构提供的信息是否正确机构背景是否正当正当个人信息的隐私权是否得到保护等所谓隐私权是指对个人的数据/信息的搜集必须正当、公平必须用于某一特定、公然的目的必须取得该个人的同意并受到保护本人必须有权进进系统进行修改或删除信息的越域活动和将来的使用、表露必须予以安全保证和限制等解决这些网站正当性的途径之一就是由一公证机构提供可靠的证实以使终端用户能对网站提供的商务放心如VerisignTRUSTeBBBOnlineWebTrustSysTurst等都是具有良好的信誉并且提供证实查证服务的专业组织机构网络终端用户可以通过查询这些公证机构的记录获得确认被访问网站的名称、有效状态、服务器标识等信息 当前商务的越来越广泛电子商务系统审计的就是对电子商务系统的安全性和可靠性的核实确认国际内部审计师协会最新电子商务系统审计和控制报告中指出：电子商务的定义是方式或PDF交货方式审计的定义是指核查（核实查处）确认电子商务系统审计是基于系统本身的可审计性和控制程序审计模块设计是审计成功与否的关键根据审计模块和风险向治理层提供审计报告由于高的治理层需要对一些不可丈量的、无形的资产范畴如信誉、客户服务满足度等进行评估用户需要查询网站的商标或其他经第三方确认过的性因此电子商务系统审计是对网站或电子商务提供这类核查确认的服务一、电子商务系统审计的必然性和必要性在贸易活动实现网络化之前采购是面对面或通过纸质文件进行的有迹可查即使是电子交易其设备结构是专用的一般只限于已知用户使用任何外部用户必须是已知的、身份明确的、可追踪的；系统通常是主机结构方式相对易于监视、控制和审计与传统贸易相比万维网客户/服务器系统的特点是高度分散资源共享、服务分散、顾客透明度高等而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依靠于技术电子商务系统的技术基础和市场的快速变化意味着传统的衡量已不再适用于企业的某些资产财务报告不能充分提供企业的状况和价值方面的信息特别是网络企业的无形资产如商誉、客户忠诚度和满足程度等这些产生长期价值的关键资产核实确认这类资产价值的困难在于缺乏足够的数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的正确估算企业治理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法需要一些新的核查和审计方法更有效地评价无形资产如知识、品牌等因此电子商务系统审计就成为历史的必然由于电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险都可能会其生存和发展风险因素包括：贸易信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等因此进行必要和客观的审计才会使董事会、审计委员会、高级治理层对电子商务系统的安全运作和效益满足和放心二、网络风险和风险治理网络风险如同灾难一样不可预见风险治理的关键在于风险评估风险评估就是要分析和衡量风险事件发生的概率及后果引起风险的因素及其关联因素出现风险的关键点采取什么方法能够减缓风险风险出现造成后果如何以及评价治理层是否履行了应有的职业审慎进行防范和控制同时在评估中还要为各项因素设计评价比率各种风险的影响后果根据影响和后果排序对高风险因素作进一步的分析通过风险评估可以熟悉到潜伏风险（威胁）及其影响以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排这些计划和安排应涵盖对各项控制本钱主要是指接受、避免、转移、监测本钱的分析以及各项工作的先后次序三、电子商务系统审计中网站的正当性证实网络终端用户都会关注网站是否来自一个的、可靠的机构提供的信息是否正确机构背景是否正当正当个人信息的隐私权是否得到保护等所谓隐私权是指对个人的数据/信息的搜集必须正当、公平必须用于某一特定、公然的目的必须取得该个人的同意并受到保护本人必须有权进进系统进行修改或删除信息的越域活动和将来的使用、表露必须予以安全保证和限制等解决这些网站正当性的途径之