电子商务对财务报表审计的影响

第二节　电子商务对财务报表审计的影响

电子商务是指被审计单位利用互联网等公共网络从事的商品购买和销售、劳务接受和提供等交易活动。例如，亚马逊网上书店(http://www.amazon.com)、淘宝网(http://www.taobao.com)等所从事的都是电子商务。广泛使用互联网从事电子商务，产生了新的风险因素，需要被审计单位有效应对。注册会计师应当考虑电子商务在被审计单位业务活动中的重要性，以及对重大错报风险评估的影响。

一、对被审计单位电子商务的了解

注册会计师应当考虑电子商务导致的被审计单位经营环境的变化，以及识别出的对财务报表产生影响的电子商务风险。

在了解被审计单位及其环境时，注册会计师应当考虑下列事项对财务报表的影响:

(一)业务活动和所处行业

在了解被审计单位的业务活动和所处行业时，注册会计师应当关注与电子商务相关的下列特点:

(1)电子商务可能是对传统业务活动的补充，也可能是新的业务类型。例如，一家书店既设有实体书店，也设有网上书店(如上海书城);另一家书店则只有网上书店(如当当网)。

(2)电子商务不具备货物和服务等实体贸易所具有的清晰、固定的运送路线这一传统特征。

(3)某些行业运用电子商务的程度较高，可能增大对财务报表产生影响的经营风险。例如，很多银行都设有网上银行，如果网站安全性方面存在问题，可能会使客户密码被窃取、资金被挪用，从而招致客户的索赔。

专栏8-2黑客袭击雅虎网站一度关闭

世界著名的国际互联网网站雅虎日前遭到计算机黑客的袭击，致使雅虎的网络服务被迫停顿近3个小时。雅虎是全球第二大互联网网站，每天传送4.65亿页资料，仅次于美国在线网站。

据雅虎的发言人透露，雅虎网页被黑客用一种名为“拒绝服务”的方式入侵，即在不同的计算机上同时用连续不断的服务器电子请求来“轰炸”雅虎网站。这种方式类似于某人通过不停拨打某个公司的电话来阻止其他电话打进，从而导致公司通信瘫痪。

据悉，雅虎网站每隔一段时间便会遭到黑客以这种方式入侵，但以往每次都能疏导网络交通。然而这次袭击太快太集中，网站每秒钟受到多达十亿条信息的冲击，比任何主要电子商业网站一年所处理的信息还要多。技术人员花了几小时才查出电子请求的数据类型，并将之隔离过滤后，才使服务恢复正常。不过，雅虎声称其网站上记录的大量网民的资料并没有出现任何外泄或受到破坏。

有关专家估计，这次袭击使雅虎遭受了数百万美元的损失，其中包括广告客户提出赔偿及电子购物营业额下降等。

虽然雅虎的网页资料没有外泄或受到破坏，但这次事件已使人们更加关注电子商务的安全。雅虎目前正在为其网站加装过滤器和安全装置，以便应付可能遭到的更大规模的黑客攻击。

资料来源:谢桥:“黑客袭击雅虎网站一度关闭”，《福州晚报》，2000年2月10日。

(二)电子商务战略

被审计单位的电子商务战略，包括在电子商务中运用信息技术的方式以及对可接受风险水平的评估，可能对财务记录的安全性和相关财务信息的完整性与可靠性产生影响。

在考虑被审计单位的电子商务战略时，注册会计师应当结合对控制环境的了解，关注下列事项:

(1)在整合电子商务与总体经营战略的过程中，治理层的参与程度;

(2)被审计单位开展电子商务的目的，是为新业务提供支持，还是提高现有业务的效率，抑或为现有业务开辟新的市场;

(3)被审计单位的收入来源及其正在发生的变化;

(4)管理层对电子商务如何影响盈利状况和财务需求的评价;

(5)管理层对风险的态度及其对风险总体状况可能产生的影响;

(6)管理层在多大程度上识别出电子商务战略所描述的机遇和风险，或者管理层仅在机遇和风险出现时才临时制定应对措施;

(7)管理层对执行相关最佳实务规则或者网络签章程序的信守程度。

(三)开展电子商务的程度

不同的被审计单位可能以不同的方式开展电子商务。电子商务可能用于下列方面:

(1)仅提供关于被审计单位及其活动的信息，供投资者、顾客、供应商、资金提供者和员工等访问;

(2)通过互联网处理交易，方便已有的顾客;

(3)通过在互联网上提供信息和处理交易，开拓新市场和发展新客户;

(4)访问应用服务提供商;

(5)创立一种全新的经营模式。

随着被审计单位开展电子商务程度的加深，以及内部系统更加集成化和复杂化，新的交易方式与传统业务活动的差异可能更加明显，并可能导致新的风险。

注册会计师应当了解电子商务的开展程度如何影响被审计单位需要应对的风险的性质。

(四)外包安排

被审计单位可能在下列方面使用服务机构的工作:

(1)提供电子商务运作所需的全部或部分信息技术支持;

(2)与电子商务相关的其他工作，包括订单履行、商品交付、呼叫中心运转，以及某些会计工作等。被审计单位使用的服务机构包括互联网服务提供商、应用服务提供商和数据服务公司等。

在被审计单位使用服务机构的情况下，服务机构采用和保持的某些政策、程序和记录可能与被审计单位财务报表审计相关，注册会计师应当考虑被审计单位的外包安排及相关风险的应对措施，以确定其对审计的影响。

二、识别风险

(一)管理层面临的与电子商务相关的经营风险

管理层可能面临下列各种与电子商务相关的经营风险:

(1)无法保证交易的完备性，尤其在缺少充分的审计轨迹(无论是纸质还是电子形式)时，该风险的影响将更大;

(2)电子商务安全风险，包括顾客、员工和其他人士通过未经授权的访问实施舞弊的可能性，以及病毒攻击;

(3)运用不恰当的会计政策，包括收入确认、网站开发成本等支出的处理、与产品质量保证相关的预计负债的确认、外币折算等问题;

(4)未能遵守税法和其他法律法规，尤其在通过互联网开展跨国或跨地区电子商务时更易出现此类情况;

(5)无法保证仅以电子形式存在的合同具有约束力;

(6)过度依赖电子商务;

(7)系统和基础架构失效或崩溃。

(二)审计过程中识别与电子商务有关的风险

注册会计师应当利用对被审计单位及其环境的了解，识别电子商务中可能导致经营风险的事项、交易和惯例。注册会计师应当关注被审计单位是否运用适当的安全基础架构和相关控制，应对电子商务中出现的某些经营风险。

注册会计师应当考虑被审计单位是否已恰当处理与电子商务环境密切相关的下列法律法规问题:

(1)隐私权保护;

(2)对特定行业的管制;

(3)合同的强制执行效力;

(4)特殊交易或事项的合法性;

(5)反洗钱;

(6)知识产权保护。

在跨国或跨地区的电子商务中，注册会计师应当考虑被审计单位是否对电子商务涉及的不同司法管辖区内的法律法规差异有足够的了解，并遵守所有适用的法律法规;注册会计师尤其要考虑被审计单位有无适当的程序确认其在不同司法管辖区内的纳税义务(特别是营业税、增值税等流转税)。

三、对内部控制的考虑

注册会计师在了解被审计单位及其环境并评估重大错报风险以及实施进一步审计程序的过程中，需要考虑被审计单位在电子商务中运用的、与审计相关的内部控制。

在某些情况下(例如，电子商务系统高度自动化;交易量过大;未保留包含审计轨迹的电子证据)，仅依靠实施实质性程序不足以将审计风险降至可接受的低水平，注册会计师应当实施控制测试，并考虑使用计算机辅助审计技术。

注册会计师还应当考虑内部控制中与审计特别相关的下列方面:

(1)在快速变化的电子商务环境中保持控制程序的完备性;

(2)确保能够访问相关记录，以满足被审计单位和注册会计师审计的需要。

当被审计单位从事电子商务时，注册会计师应当考虑与电子商务相关的安全性控制、交易完备性控制和流程整合。

(一)安全性控制

注册会计师应当考虑被审计单位安全基础架构和相关控制是否足以应对与电子商务交易的记录和处理相关的安全性风险。

注册会计师应当考虑下列事项对财务报表认定的潜在影响:

(1)有效使用防火墙和病毒防护软件;

(2)有效使用加密技术;

(3)对用于支持电子商务活动的系统的开发和运行的控制;

(4)当出现的新技术可能危害互联网安全时，现有的安全控制是否仍然有效;

(5)控制环境能否对所采用的控制程序提供支持。

(二)交易完备性控制

注册会计师应当考虑交易完备性控制，包括被审计单位会计处理所依据信息的完整性、准确性、及时性以及是否经过授权。

注册会计师针对会计系统中与电子商务交易相关的信息完备性所实施的审计程序，主要涉及评估用于采集和处理此类信息的系统的可靠性。

在针对复杂电子商务实施审计程序时，注册会计师应当重点考虑在交易信息的采集和即时自动化处理中与交易完备性相关的自动化控制。

在电子商务环境中，与交易完备性相关的控制通常用于:

(1)验证输入;

(2)防止交易的重复记录或遗漏;

(3)确保在处理订单之前，交易双方已就交货条件和信用条件等交易条款达成一致;

(4)区分顾客的浏览和正式订单，确保交易的一方事后不能否认已达成一致的特定条款，必要时还应确保交易是与经核准的交易方进行的;

(5)确保所有步骤均已完成并得以记录，或拒绝未完成所有步骤的订单，以防止出现处理不完整的情况;

(6)确保交易的详细信息在同一网络内的多个系统之间适当分配;

(7)确保记录得到适当保管、备份和保护。

(三)流程整合

流程整合是指将多个信息技术系统集成，使之实质上如同一个系统运转的过程。

注册会计师应当关注被审计单位采集电子商务交易数据并将其传递至会计系统的方式可能对下列事项产生影响:

(1)交易处理和信息存储的完整性和准确性;

(2)销售收入、采购和其他交易的确认时点;

(3)有争议交易的识别和记录。

当下列控制与财务报表认定相关时，注册会计师应当予以考虑:

(1)针对电子商务交易与内部系统的集成实施的控制;

(2)针对系统改变和数据转换实施的控制。

四、电子记录对审计证据的影响

注册会计师应当考虑被审计单位实施的信息安全政策和安全控制措施，是否足以防止未经授权修改会计系统或会计记录，或修改向会计系统提供数据的系统。

在考虑电子证据的充分性和适当性时，注册会计师可能需要测试自动化控制(如记录完备性检查、电子日戳、数字签章和版本控制)，并根据对这些控制的评价结论，考虑是否需要实施追加的审计程序，比如向第三方函证交易细节或账户余额。