电子审计范文 世界今热点

来源:文秘帮 发布:2023-06-19 11:18:37
电子审计范文第1篇

一、大数据及电子商务解析

大数据作为信息领域全新的抽象的概念之一,提出的时间较短。实际上大数据及其应用并不是新鲜事物,在国外已经兴起很长时间,在国内也是早有应用,只不过发展得较为缓慢。一方面,国内对数据收集有着严格的管控制度,导致数据基础设施建设迟缓;另一方面,大数据的观念还没有普及,大部分大数据应用的思想只为专业人士所掌握。大数据虽然没有明确的定义,但是其4V特征却得到各方面较为一致的认可。所谓4V特征即:体量(Volume)巨大、种类多(Variety)、速度(Velocity)快、价值(Value)密度低。当今社会已进入信息时代,互联网的繁荣发展,使得在网络上可检索到数以亿计、千亿计的数据信息,这些数据量,即为大数据的一部分。大数据涉及的范围十分广泛,并不仅仅局限于网络上的信息,还包含社会各领域、各行业以及日常生活中方方面面的信息。随着经济的发展,大数据将发展成为一种“资产”,并将贯穿于各个领域行业,同时为其增创价值。电子商务一般是指主要利用Internet从事的商务活动。联合国国际贸易程序简化工作组对电子商务的定义是:采用电子形式开展商务活动,它包括在供应商、客户、政府及其他参与方之间通过任何电子工具,如EDI、Web技术、电子邮件等共享非结构化商务信息,并管理和完成在商务活动、管理活动和消费活动中的各种交易。从该定义中可看出,电子商务是使用各种电子工具从事商务活动,只不过Internet是众多电子工具中的一种。电子商务主要涉及商(Agent)、商家(Business)和消费者(Consumer)三方。电子商务按交易对象可以分为很多种类,常见的如以阿里巴巴为代表的B2B模式、以京东商城为代表的B2C模式以及以淘宝为代表的C2C模式。此外,还有企业对政府的电子商务(B2G),消费者对政府的电子商务(C2G),商、商家、消费者三者相互转化的电子商务(ABC)等。大数据处理为电子商务提供了广阔的平台,一方面大数据处理为市场营销提供便利。企业利用大数据处理,对市场进行分析,尽量达到成本最低化、效率最高化目标,在找到营销中的利润点和市场的潜在价值后,为更多客户提供所需的商品。另一方面,通过大数据处理为客户提供个性化服务。随着生活水平的提高,人们对物质需求的个性化更强,在大数据处理模式下,通过对用户的数据分析来改变过去传统商业模式的处理,从而满足用户的习惯性需求或潜在需求。


【资料图】

二、大数据背景下的电子商务对审计的影响

审计是由国家授权或接受委托的专职机构和人员,依照国家法规、审计准则和会计理论,运用专门的方法,对被审计单位的财政、财务收支、经营管理活动及其相关资料的真实性、正确性、合规性、合法性、效益性进行审查和监督,评价经济责任,鉴证经济业务,用以维护财经法纪、改善经营管理、提高经济效益的一项独立性的经济监督活动。审计按照执行主体分类,可以分为:内部审计、社会审计和政府审计。大数据背景下的电子商务存在着鲜明的特点,对各类审计产生了深远的影响。

(一)对内部审计的影响

科技的发展,特别是大数据处理的发展,使得电子商务的自动化、无纸化、数字化等特征更加明显。这就对企业内部审计过程造成了影响和制约。首先,相关配套法律法规不健全,这些法律法规包括会计、审计方面,也包括与电子商务有关的方方面面;其次,内审人员整体素质不适应电子商务内审工作的要求,知识结构单一的审计人员已经适应不了大数据背景下的电子商务审计;再次,审计风险复杂化程度加大,除了固有风险,审计的控制风险和检查风险更加不易掌控;最后,某些审计程序和方法不适应电子商务环境。比如,大数据的广泛应用,一是审计不仅仅局限于被审计单位证账表等单方面信息,通过大数据分析得到到全覆盖信息已经成为可能;二是应用大数据可以实现审计机关与其他部门的联合审计;三是大数据的应用,在审计范围方面可以实现由抽样审计到全面审计的转变,充分体现审计的事前监督的作用。

(二)对社会审计的影响

在社会审计中,注册会计师要通过搜集证据对被审计单位会计报告的合法性、公允性及会计处理方法的一贯性表示意见。传统会计中的会计报告是对企业财务状况和经营成果的事后反映,主要考虑了会计信息的可靠性,而相关性与及时性不足。电子商务环境下,会计信息使用者可通过获得授权等方式随时查询企业信息,使得及时性大大提高。审计人员完成审计报告的时间距离会计报告的完成时间往往间隔几个月,当信息使用者得到的滞后的审计报告时,有些信息已经过时。对于海量的数据,审计人员如何进行处理是个难题。比如,大数据处理将使电子商务数据资产化,这类资产如何进行确认、计量、记录和报告,就是摆在会计和审计人员面前的一个难题。当然,社会审计和内部审计一样,需建立健全相关的法律法规;在人员素质方面,社会审计对人才的需求更高,社会审计的某些审计程序和方法不适应电子商务环境的表现也更突出。

(三)对政府审计影响

电子商务和政府审计关联紧密的内容就是政府采购方面的审计。当前将电子商务引入政府采购、实现采购人在线直购的地区不断增多,这成为电子商务的一种新形态,同时也符合电子政务的需求。政府采购范围几乎涵盖了公共机构和部门采购活动的全部,货物,工程和服务都是政府采购的对象。政府采购采用电子商务后,可使价格趋向统一、采购过程透明、审批环节简化。政府采购规模大、品种多,产品差异化大等特点使得采用电子商务后能大大提高政府采购的效率。政采电商化在节约了时间成本的同时,还降低了财务成本。政府采购模式的变化,使得政府审计受到了很大的影响。首先,相关法律不够健全。政府采购法律中涉及电子商务的内容不够健全完备。其次,审计过程中尤其是对采购执行结果的审计,在确定审计项目、审计范围和程序方法方面都和传统审计有所区别。在知识结构方面,政府审计对审计人员的要求虽然没有像内部审计和社会审计那么高,但政府审计自身的特点也对人员素质有着独特的要求。

三、完善大数据背景下电子商务审计的对策

(一)建立健全相关法律法规

关于内部审计、社会审计和政府审计,以及电子商务相关的法律法规已经建立了很多,但详细规范电子商务和审计的法律法规少之又少。我国应该加快相关的法律法规建设,一方面,加快中国电子商务立法的步伐,并随着网络交易、信息保护、物流快递、电子支付、跨境电商、食品安全、互联网金融等一系列的电商行业相关法律法规的陆续出台,为电子商务行业的健康发展保驾护航;另一方面,制定和完善审计相关法律法规中和电子商务有关的内容。把审计的内容和电商内容以法律的形式明确下来,使得在操作上更具有可行性。另外,大数据等审计信息化建设也需要在审计领域“大数据”技术应用的相关法规建设。需要注意的问题是,大数据背景下的电子商务从空间范围来看是全球性的。电子商务的业务范围涉及全球的各个角落,这就不可避免地存在国家之间的交易和联系。制定和完善相关法律法规时一定要有国际视野,制定出既有利于电子商务发展的,又能够解决国家之间争端的法规。

(二)建设大数据平台,加快审计信息化建设步伐

大数据平台的建设应充分利用“金审工程”的建设成果,加大大数据背景下的审计研究力度。各类审计要充分利用平台上的数据,达到资源共享。应当建立企业中央数据库,得到有关电子商务方面的信息。光有数据还不够,还要有数据分析平台,通过这些平台得到电子商务方面的信息,为各类审计所用。同时也要注意各平台数据的综合运用,如政府采购中心电子商城平台与审计信息化数据库的共享与运用。

(三)加大审计人员的素质培养力度

在大数据背景下,部分审计人员知识结构不合理之处凸显,难以应付电子商务环境下的审计风险。在会计信息系统中,凭证、账簿、报表等系统存在于同一个数据库中,再加上电子商务业务所具有的数据特点,这对审计人员的素质提出了更高的要求。在审计人员的素质培养方面,一方面要加强现有审计人员知识结构调整,另一方面,要注重培养一批年轻的后备力量。比如,各大专院校在审计人才培养中,从专业设置、课程体系构建方面要侧重于大数据背景下的培养目标,培养出一批既懂审计知识,又懂现代信息技术的人才。当然,“术业有专攻”,审计人员也不是全能的,如果在审计过程中遇到高难的技术问题,还可能需要与信息技术等领域的专业人士通力合作,这时的团队力量显得尤为重要。“中国注册会计师审计准则第1633号-电子商务对财务报表审计的影响”准则中明确提出了对审计人员知识和技能的要求、对被审计单位电子商务的了解、识别风险以及对内部控制的考虑等方面的内容。企业的审计人员必须了解电子商务各阶段的工作。在确定审计所涉及的电子商务类型,判断电子商务的开展程度,熟悉电子商务运营的各个环节之后,审计人员对各个阶段有了透彻的了解,工作起来就能得心应手。数据只有被应用、分析、处理以后,才能为人类服务。在大数据背景下,审计人员对纷繁复杂的数据会显得无所适从,对可能出现的风险估计不足。这就要求发挥人的聪明才智,改进和创新审计程序和方法,降低审计风险。“互联网+”时代,以数据为核心的电子商务是企业发展的新模式。这也是电子商务的内在需求。随着技术的进步,特别是大数据的处理,电子商务将得到进一步的发展。有了健全的法律法规和各种应用平台,有了知识结构合理的专业团队以后,充分发挥人的主观能动性,结合各类被审计业务的特点大力研究电子商务审计理论,充分利用大数据资源,积极加强国际间的沟通与合作,这些都将对审计,尤其是电子商务审计的理论和实务方面产生深远的影响。

电子审计范文第2篇

我国企业会计电算化和管理信息系统的发展与我国会计软件的发展是基本同步的。从1979年我国在长春一汽开始进行会计电算化系统开发探索始,我国的会计软件应用发展大致经历了非商品化的开发过程、单一模型会计软件阶段、核算型会计软件、管理型会计软件、ERP会计软件(战略型会计软件)这五个阶段。从目前应用的广泛性和前景看,后三种软件较为人们所关注。

电子审计轨迹分析

(一)核算型会计软件

随着电算化的普及,财务软件也从帐务、工资等单项处理,过渡到深入全面的会计核算,如往来、存货、成本等,形成了以核算为体系的会计软件。目前国内主要会计软件,都具有这些功能。但核算型会计软件缺乏管理思想,很难与企业管理信息系统(MIS)融为一体。

(二)管理型会计软件

为适应经济和提高企业自身管理水平,许多企业迫切需要会计软件能具有资金管理、核算、项目管理核算、财务分析、辅助决策的功能,这就形成了管理型会计软件,管理型会计软件突破了会计软件只局限于会计核算的界限,向全面参予管理决策发展。

(三)ERP会计软件(战略型会计软件)

随着我国企业从重视内部管理,以提高生产效率、降低成本为核心的生产管理时代,到面向市场的,以建立全面竞争优势为核心的新管理时代,会计软件从管理型发展到战略型、实现企业内部物流、资金流与信息流的一体化管理,实现管理与决策有机统一,并将适应在Internet/Intranet/Extranet上,实现与外部资源的统一,会计软件从离散的部门级应用走向整体的企业级应用。企业信息化建设的一个重要阶段是建设企业核心的业务管理和应用系统阶段。而在这个阶段最有代表性的是企业内部的资源计划系统ERP。ERP是一种科学管理思想的计算机实现,他对产品研发和设计、作业控制、生产计划、投入品采购、市场营销、销售、库存、财务和人事等方面以及相应的模块组成部分,采取集成优化的方式进行管理。ERP不是机械的适应企业现有的流程,而是对企业流程中不合理的部分提出改进和优化建议,并可能导致组织机构的重新设计和业务流程重组。

从实际应用分析,我国企业电子化的水平不一,有的企业尚未电子化,有的还处于或者单一模型会计软件阶段或者核算型会计软件阶段。另外,同样是在ERP级的企业,其应用水平也有较大差异,有的只是部分甚至单一模块的应用,有的只是将其作为原有信息管理系统的补充,有的网络管理相当薄弱。但是,企业电子化发展的趋势是不可逆转的,现在只要有企业要建设信息化系统,他就会超越会计软件发展的低级阶段,而将瞄准其最新的研究成果上,也就是说,一旦企业进行电子化的再造,其涉及的领域将空前广泛,不仅仅是会计电算化,而是产、供、销、设备、仓储、运输、设计、质量乃至人教劳资等企业管理的各个领域。目前越来越多的企业在加紧企业管理信息系统的建设,这从我国财务及企业管理软件开发供应商的规模上也可反映出来。我国财务及企业管理软件开发供应商已涌现出了包括用友、金蝶、安易等一大批公司,据用友公司介绍,仅用友截止2000年年初,其地区分、子公司50余家,商500余家,客户服务中心100余家,行业覆盖率100%,用户数约20万家,除此之外,还有大量上规模的企业在自行开发应用。由此可见,企业电子审计的环境已逐步形成,且其电子化的色彩将伴随着电子商务的产生和发展而变得越来越浓。

二、现行电子审计轨迹分析

审计轨迹,是指在经济业务和会计制度核算中通过编码、交叉索引和连接帐户余额与原始交易数据的书面资料所提供的一连串的信息企业的会计系统应为每笔业务、每项经济活动提供一个完整的审计轨迹。审计轨迹对企业管理当局和审计人员都很重要,企业管理当局可使用审计轨迹来答复客户对有关资料的询问或质疑,审计人员可使用审计轨迹来验证和追查经济活动。没有审计轨迹,审计工作将难以开展。在电子环境下,那些原来审计人员常见的记帐凭证、明细帐表、科目汇总表、有个性的笔迹等有的已消失,有的发生了变化,变得更加隐藏、更加复杂,从而加大了审计工作的难度。当前,我国会计软件的开发正处于从起步到形成产业的阶段,由于考虑到会计处理系统的效率和研制成本等原因,软件开发在设计开发中,对如何充分保留并提供审计轨迹却未给予足够重视。换句话说,更加详细地描述审计轨迹的会计软件的开发还需进一步努力补缺。因此,国家有关部门应尽快出台有关制度、标准,使设计者有章可循,审计人员有标准可依。

(一)应用软件层

目前由国内企业开发的知名财务软件产品包括金蝶、用友和安易、新中大等,其软件产品也较丰富,一种较为流行的审计轨迹安排就是上机日志。各系统随时对各个产品或模块的每个操作员的上下机时间、操作的具体功能等情况都进行登记,形成上机日志,以便使所有的操作都有所记录、有迹可寻。由于上机日志数量庞大,为了便于审计人员有重点地进行选择,迅速发现问题,通常系统还会提供过滤功能,这样,审计人员就可以选择那些在符合性测试中发现的较薄弱的内部控制环节进行有重点的实质性测试,提高工作效率。另外,系统还提供了从报表到凭证和从凭证到报表的双向查询功能,从而建立了一条应用程序内的审计轨迹。

(二)数据库层

1、MicrosoftSQLServer2000

MicrosoftSqlServer是企业信息管理系统中应用较为广泛的一种数据库管理系统,从版本上看,其产品主要有SYBASESQLSERVER,MicrosoftSQLSERVER4,MicrosoftSQLSERVER6,MicrosoftSQLSERVER6.5,MicrosoftSQLSERVER7.0,MicrosoftSQLSERVER2000。微软公司最新推出的关系型数据库管理系统MicrosoftSQLSERVER2000是一个面向下一代的数据库和数据分析系统,具有很高的可靠性、可伸缩性、可用性、可管理性等特点。MicrosoftSQLSERVER2000是一种典型的具有客户机/服务器体系结构的关系型数据库管理系统,他使用TRANS-ACT-SQL语句在客户机和服务器之间传送请求和回应。MicrosoftSQLSERVER2000带有的常用工具包括SQLSERVERENTERPRISEMANAGER、SQLSERVEROUERYANALYZER、各类向导工具和SQLSERVERPROFILER。其中我们在创建审计轨迹中可以利用的工具是SQLSERVERPROFILER。

设计者开发SQLSERVERPROFILER工具的目的是为了捕捉系统的活动,用于分析、诊断和审计系统的性能。可以利用其跟踪事件的功能,通过适当的设置来安排我们的审计轨迹。为了使用这一工具,必须创建一个跟踪定义,一旦定义了跟踪,我们就可以启动、停止、暂停和继续运行跟踪。当其运行时,SQLSERVERPROFILER监测指定服务器上的SQLSERVER事件,并且为所选的事件捕捉满足过滤条件的指定数据。当这种跟踪数据被捕捉时可以交互显示,并且将跟踪结果存储在指定的表或文件中。例如,我们可以在TRACEPROPERTIES窗口的GENERAL选项卡中指定跟踪服务器的名称(应当将其设置成财务软件运行的数据库服务器名),跟踪文件保存的地点(应当是一个相对安全的地点),跟踪失效的时间点等;在EVENTS选项卡中指定希望使用该跟踪捕捉的事件(如将TSQL事件分类中的STMTCOMPLETED事件选入,则将对已经完成的TRANSACT-SQL语句进行捕捉):在DATACOLUMNS选项卡中设置需要捕捉的数据列(如将DATABASENAME,STARTTIME,ENDTIME,TEXT,LOGINNAME,OBJECTNAME等选入数据列,则将对语句正在其中运行的数据库名、事件开始的时间、事件结束的时间、当前指定的对象名、用户登录系统的名称、捕捉到跟踪中的事件类的文本值等进行捕捉)。

一旦设置完成,就可以运行跟踪了。跟踪可以是持续运行的,为了不影响系统的性能,我们应当及时将相应的跟踪文件备份。当然,审计人员应当根据被审计方的实际情况作出运行跟踪最佳时间的职业判断以便提高系统的运行效率。

SQLSERVERPROFIIER提供了由用户定义跟踪事件数据的功能,但这一功能是有限的。一个更可行更灵活的方案是利用MicrosoftSQLSERVER2000提供的触发器技术。

2、ORACLE8

电子审计范文第3篇

【关键词】电子商务 审计风险 审计范围

一、电子商务审计面临的挑战

(一)电子商务审计法律法规体系尚未完善

传统审计准则已经相当完善,而在电子商务环境下,有关电子商务签证的具体标准尚未出台,给电子商务企业审计带来实质性困难和风险。电子商务审计的法律依据明显不足,尽管电子商务已有一段时间的发展,但在法律方面还是一片空白。

(二)会计记录资料发生了改变

电子商务的出现,改变了财务会计信息的载体,使审计证据的形式发生了变化。在电子商务环境下,经济业务产生的原始凭证以电磁信息的形式在网上传递并储于磁性介质中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行。

(三)审计范围发生变化

电子商务环境下,审计范围已扩展到传统审计内容之外,传统的报表审计内容是指被审单位特定时期内的会计报表及其他相关资料及其所反映的经济活动。电子商务环境下还需对系统硬件环境进行审查,包括各部件的兼容性,信息通道的畅通性等。

(四)审计风险加大

相对于传统商务方式下企业的内部控制而言,电子商务环境下企业的内部控制发生了巨大的变化。在电子商务环境下,由于计算机数据处理的集中性,使大部分控制作用基本失去作用,传统的会计岗位职责被打破,使得在传统交易方式下的账簿控制体系失去作用,网络环境系统建立和运行的复杂性,导致内部控制的范围也相应扩大,电子商务引起的技术性风险可能使审计风险中的固有风险和控制风险增大。

(五)审计人员的素质有待提高

大多数工作在基层的审计人员虽然都接受了一些计算机知识培训,但一般多是初级程度的培训,远不能适应计算机审计的要求。此外开发实用性和通用性较强的审计软件所需的高层次、高水平的人员也很缺乏,人才的缺乏严重制约着我国计算机审计的发展。

二、对于电子商务审计挑战的对策思考

(一)加快电子商务审计法律法规的完善

制定我国计算机审计的各种规范化、标准化文件,包括计算机审计的法律准入规定,计算机审计准则,各类审计数据库或输出数据的标准格式等。应尽快制定有关电子商务的法律法规,把电子凭证、电子合同和数字签名的法律效力和保管要求,数字认证机构的管理,电子信息与网络系统的安全等相关内容以法律法规的形式明确下来,有关电子商务与网络经济的立法要立足我国的国情,同时借鉴国际上有关示范法或其他国家的有关法规进行立法,促进我国的电子商务审计法律法规的建立和完善,保证电子商务审计的有法可依。

(二)充分利用计算机网络审计

实现电子商务以后,电子商务审计的内容包括对电子商务系统处理和控制功能的审查,以证实其对交易事项的处理是否真实、合法及安全可靠,这是传统审计所没有的。首先必须利用计算机网络技术对被审计单位计算机会计信息系统的一般控制和应用控制进行审查,然后根据一般控制和应用控制审查结果决定抽查的重点和范围,通过网络对被审计单位财会数据进行收集审核,审计人员在网上通过被审计单位赋予的审查权限,可以完成大部分审计工作,利用审计软件抽取样本,进行各种数量关系的配比分析与数据查询,对异常项目通过调查和数据分析进行测试、检查、分析与核对,这样可以达到降低审计风险的目的。

(三)加快审计的电子化应用技术

顺应电子商务发展的需要,加快计算机硬件和计算机审计使用环境的建设。从审计事业的长远发展出发,各级审计机关应对计算机硬件建设给予足够的重视,加大对计算机设备和系统的投资,着重审计机关内部局域网和审计资料库的建设,促进审计事业的现代化。要让审计人员尽快参与审计软件的开发研制,使审计软件突出实用性即具有审计特色,以便于今后计算机审计方法的应用和审计信息化建设能顺利实施。

(四)采取措施降低审计风险

审计人员要了解网络会计系统内部控制程序,系统中会计组织机构设置是否合理有效,岗位之间的牵制是否充分有效,根据自己处理传统舞弊案件的经验,运用相应的审计手段,对数据的不安全因素进行审计,审查操作人员是否通过篡改程序和数据文件导致会计数据的不真实、不可靠、不准确或以此达到某种非法目的,利用审计法规管理软件对系统合法性与合规性进行验证,利用审计接口软件获取充分、适当的审计证据,减少固有风险和控制风险,利用审计抽样软件进行符合性测试和实质性测试。审查磁性化的会计信息及其存储材料的完全性,计算机系统是否具有应急恢复功能,系统防火墙是否完备等,减少网络病毒的传播及黑客的攻击,以最大限度地降低审计的外部风险。

(五)不断提高审计人员的素质

要推动电子商务审计的发展,必须加强计算机审计人才的培养。因此审计人员应加强计算机网络知识的学习与培训,不断完善个人知识结构,进一步提高自身职业素质,以满足审计业务范围日益拓展的需要。并把计算机审计列为必修课,培养复合型审计人才,为电子商务审计的开展提供人才保障。

由以上所述可见,电子商务的出现对传统审计提出了严峻的挑战,但开展电子商务是国际大趋势所在,同时又给审计一个创新的机遇。随着我国审计法规的不断完善,审计人员素质的逐步提高,审计技术的逐渐进步,我们有理由相信,审计会对电子商务时代的到来充满信心。因此,我们必须迎接挑战,把握机遇,推动我国电子商务审计的现代化建设。

参考文献

[1]王晓东,蔡昌.电子商务环境下网络审计的初步探讨[J].中国管理信息化,2005(06).

[2]杨锐.浅析电子商务环境下审计风险[J].东北大学学报,2003(02).

[3]孙宝文,李辉.电子商务的风险管理与审计研究[J].中央财经大学学报,2003(05).

[4]郭亚辉.电子商务对传统审计的影响及创新[J].经济师,2003(05).

电子审计范文第4篇

关键词:电子商务;安全审计;安全管理

中图分类号:F239文献标志码:A文章编号:1673-291X(2011)21-0097-02

一、外部审计

外部审计是指审计师对企业电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。

1.制度审计。在电子商务网络系统环境下,网络电子交易数据安全是关系到交易双方切身利益的关键问题,是企业计算机网络应用的最大障碍和审计的最重要问题之一。电子商务的网络数据安全措施,至少包括三个方面:一是网络数据安全技术方面的措施;二是安全管理制度(措施)的制定和实施;三是社会立法和法律保障措施。内部审计师关心的是这些措施实施的情况,通常可从如下几点进行评价:(1)审查防火墙技术、网络系统反病毒功能、数据加密措施、身份认证和授权等软件技术的应用实施情况;实施这一审查可以用模拟数据对系统的各安全关键点进行全面检查。(2)审查安全管理制度建立和施行的情况,采用面谈法、访问和实地察看法按预先给定的内控制度评价清单进行。注意检查岗位责任实施、安全日志制度。(3)审查有关计算机安全的国家法律和管理条例的执行情况。

2.选用内部审计师实施审计。内部审计师是电子商务审计最合适的专业人员。由内部审计师做电子商务内部审计业务,可为电子商务用户提供职业安全保障。

内部审计师进行电子商务审计是国际惯例。内部审计师是从事企业内部审计业务的专家,具有良好的基础背景和良好的声誉。在中国,内部审计师除了参与财务审计,还参与对管理效益和人离任内部审计和对企业计算机信息系统的实施情况审计,大量参与税务、财务和评估等咨询服务工作。

内部审计业务是按照特定的审计规范的程序执行,对内部控制与经营、业务审查和评价,内部审计师有着敏锐的专业洞察能力,这是内部审计师发展计算机网络内部审计的良好职业背景基础。

内部审计师的审计具有客观性和公正性。电子商务审计人员必须对交易的双方所提供的电子信息进行必要的审计,其审计本身应当客观、独立、公正和具有可靠的专业技术作为支撑,才能赢得网络交易的多方的信赖,同时他们必须是社会公认的权威审计业务专业人员。在计算机网络化的商务活动中,根据对交易合法性和交易信息的可靠性和安全性,是企业信息系统的内部控制制度及其对顾客提供必要的法律保障的一个重要内容,内部审计师对企业信息系统的内部控制制度设置和施行情况的审查评价,已具有特别的专长和丰富的经验。

3.安全审计系统分析。防火墙、入侵检测、防病毒网关等安全产品越来越多地应用在网络中,它们在运行过程中都会产生大量的日志信息,其中隐藏了非常重要的信息是分析网络安全运行情况的依据。安全审计系统中结合各种信息算法对这些日志数据进行分析,挖掘出其中隐藏的异常动态信息,并利用各个审计源之间的联动及时阻断各种入侵活动。同时,对进出网络内部的电子邮件和传输信息实时跟踪,进行数据截取和还原,更好的维护系统安全。

分析和审计公司电子商务网站的安全审计系统是否具有以下功能:(1)网络状态实时监控。监视网络中的各种安全设备、主机系统、数据库、进出网络内部的电子邮件和传输信息等情况,全面掌握网络活动和行为。(2)事件自动响应机制。当发生的网络行为可能威胁到系统安全并且达到预先设定的域值时,系统自动断开该用户的连接并及时向管理员发出报警信号。(3)自动生成安全信息报告。在固定时间内把系统的运行情况以报表的形式发送给管理员。通过设置合理的审计报表,管理员可以迅速、直观地浏览报表内容,了解系统的当前运行情况和资源使用情况,在减少管理员单纯人为判断和经验参与的情况下,能更好地帮助系统管理员及时采取相应措施,从而使威胁整个网络的潜在破坏最小化,提高系统的安全性能。(4)系统综合管理。虽然安全审计系统是一个独立运行的软件系统,但是它和其他安全产品如防火墙、VPN,漏洞扫描等并不会产生冲突,相反它们能够相互协调和促进、更好地起到系统安全防护的作用。

二、内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。

(一)技术审计

1.访问控制审计。网络访问控制包括访问权限控制和用户认证。访问权控制的审查,主要是检查是否有端口访问控制情况――进入访问端口前的用户号鉴别回应控制和特别安全保护的访问点控制。用户认证的方法一般可分三类:口令或密钥、身份鉴别(如指纹)和使用权限控制,其中最安全的认证是身份鉴别(用指纹或其他特性),但制作费用比较昂贵,其他两种方法都是最常用的用户认证法。初步审查除了解各种认证方法外,主要查各类型控制执行的情况。

2.数据加密审计。现在流行的电子商务网络系统是由至少一个计算机服务器和多台客户机联网形成的,并与外部交易有关的国内网络和国际网络系统相连结。客户机一般处理业务数据,网络数据库和软件程序库一般由服务器统一控制管理。由于网络中的数据库具有共享性,很容易受到舞弊人或黑客的修改和破坏,要确保合法的客户对网络数据库访问的便利性和网络数据的完整性,应比非网络系统增加对数据库的加密管理,相应地形成数据库的加密管理审计,其内容:一是审查服务器的数据库加密装置,服务器密码装置的密钥分配,这种审查主要了解系统管理员和相应密钥分配情况。二是审查网络端对端的加密,测试关键的网络数据在传输中的全程加密,此种加密是通过专用的软件实现的,因此,对这类的加密软件要进行特别的安全保护管理。

3.运行审计。(1)记录、跟踪系统的运行状况。利用审计工具,监视和记录系统的活动情况,如记录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须要有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。

(二)财务审计

1.数据库审计。在无纸化环境下,内部审计能鉴别出已发生的经济业务及其数据的真实和可靠,这是内部审计师所面临的严峻挑战。显然,内部审计师必须开发一套电子商务内部审计专用的软件和改进传统的审计程序,来适应这种审计的需要。电子商务审计软件一定能使内部审计师在经济业务发生的时候就对它们进行测试和保留必要的审计线索,否则时过境迁,就无案可查。

2.内控制度审计。网络化的计算机信息系统不断发展,内部控制将会变得越来越重要。从前述内容可以进一步说明网络环境下的内部控制制度的重要性。可以断言,在电子商务环境下,内部审计师在监测公司内部控制制度的运转、评价这些控制以及为改进这些制度提供建议等方面,都将起到重要作用。这是因为他们必须测试这些制度以判断电子商务经济信息(含会计信息)的可靠性和经济业务处理的恰当性,并且对内部控制的状况作出全面评价。

3.披露事项审计。保证电子交易的可靠性和真实性,是任何交易的基本前提。为了增强网络上的客户或消费者的信心,电子商务网络系统必须具有如下的披露基本要求:(1)对电子商务销售的商品和服务进行披露,若含有证明商品性能和服务效果的信息,必须注明其信息来源;(2)对交易条件进行披露,如发货距离、发货时间、完成交易所需的时间、另外订单的时间、支付条件、电子结算惯例和顾客必须承担的费用、退货的程序和政策;(3)售后服务和产品技术支持;(4)客户的权利、包括投诉的程序,并应告知客户企业的经营地址、电话号码和办公时间;(5)对争议的处理,争议处理的程序,包括管理当局和请第三方中立机构处理争议问题的程序。

4.客户信息隐私保护审计。为合理保证在电子商务中保证客户私人信息的隐私权,电子商务网站必须遵循:保证客户信息不会被传送到其他网站;客户有权禁止其信息在与交易无关的场合使用和为第三方所使用;客户私人信息未经授权不准访问,客户私人信息不能随意被透露给其他的单位或个人;网站工作人员只有处理业务时方能使用客户私人信息;在存储、变更或从客户计算机上复制信息前应得到客户的许可;严禁向客户输送恶意的程序;企业信息保护的控制得到有效执行;企业若不能执行上述控制手段,应及时公告,并说明正在采取的补救措施。

参考文献:

[1]傅元略,等.企业信息化下的财务监控[M].北京:中国财政经济出版社,2003.

[2]刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.

[3]王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3).

[4]戴卫明.中国电子商务风险及其控制研究[J].生产力研究,2010,(9).

电子审计范文第5篇

一、电子商务系统审计的必然性和必要性

在商业活动实现网络化之前,采购是面对面或通过纸质文件进行的,有迹可查,即使是电子交易,其设备结构是专用的,一般只限于已知用户使用,任何外部用户必须是已知的、身份明确的、可追踪的;系统通常是主机结构方式,相对易于监督、控制和审计。与传统商业相比,万维网客户/服务器系统的特点是高度分散,资源共享、服务分散、顾客透明度高等,而电子商务的运作速度更快、业务循环周期更短、风险更大、更高程度地依赖于技术。电子商务系统的技术基础和市场的快速变化意味着传统的衡量方法已不再适用于企业的某些资产,财务报告不能充分提供企业的状况和价值方面的信息,特别是网络企业的无形资产,如商誉、客户忠诚度和满意程度等这些产生长期价值的关键资产。核实确认这类资产价值的困难在于缺乏足够的历史数据、合适的参照标准、先进的实践经验以及对网络的各种威胁和概率的准确估算。企业管理层以及公众都需要寻找能够用以表述网络企业的可信度、安全性及其他资产价值的方法,需要一些新的核查和审计方法,更有效地评价无形资产,如知识、品牌等。因此,电子商务系统审计就成为历史的必然。由于,电子商务的可靠性、适用性、安全性和性能等方面受到的威胁或存在的风险,都可能会影响其生存和发展。风险因素包括:商业信息的泄露、智能财产的不当使用、对版权的侵犯、对商标的侵犯、网络谣言和对信誉的损害等。因此,进行必要和客观的审计,才会使董事会、审计委员会、高级管理层对电子商务系统的安全运作和效益满意和放心。

二、网络风险和风险管理

网络风险如同自然灾害一样不可预见。风险管理的关键在于风险评估,风险评估就是要分析和衡量风险事件发生的概率及后果,引起风险的因素及其关联因素,出现风险的关键点采取什么方法能够减缓风险,风险出现造成后果如何,以及评价管理层是否履行了应有的职业审慎进行防范和控制。同时在评估中还要为各项因素设计评价比率,计算各种风险的影响后果,根据影响和后果排序,对高风险因素作进一步的分析。

通过风险评估,可以认识到潜在风险(威胁)及其影响,以便对高风险领域作一些防范、检测、控制、减缓和恢复的工作计划和安排。这些计划和安排应涵盖对各项控制成本,主要是指接受、避免、转移、监测成本的分析以及各项工作的先后次序。

三、电子商务系统审计中网站的合法性证明

网络终端用户都会关注网站是否来自一个真实的、可靠的机构,提供的信息是否准确真实,机构背景是否正当合法,个人信息的隐私权是否得到保护等。所谓隐私权是指对个人的数据/信息的搜集必须合法、公平,必须用于某一特定、公开的目的,必须取得该个人的同意并受到保护,本人必须有权进入系统进行修改或删除,信息的越域流动和将来的使用、披露必须予以安全保证和限制等。

解决这些网站合法性问题的途径之一就是由一公证机构提供可靠的证明,以使网络终端用户能对网站提供的电子商务放心。如Verisign,TRUSTe,BBBOnline,WebTrust,SysTurst等都是具有良好的信誉并且提供证明-查证服务的专业组织机构。网络终端用户可以通过查询这些公证机构的记录,获得确认被访问网站的名称、有效状态、服务器标识等信息。

四、内部审计和电子商务系统审计

美国注册会计师协会对“核实查证”的定义是“提高决策者所需要信息的质量或内容的独立性专业服务。”其审计原则是保证系统的可用性、安全性、真实完整性和持续性,建议对系统安全性和真实完整性方面存在的控制点进行检查、评价和测试。并尽量在今后采用合适的审计标准对信息技术进行审计。不同于以年度为基础的传统外部审计,电子商务的实时性要求审计人员应对其进行连续不断的评估,按特定的审核标准对已发生的交易进行追踪,而系统内设置的自动登录记录可作为相应的审计轨迹,在系统内部实施对事件监督和控制。

尽管当前许多人认为核实查证通常与外部审计人员相关,内部审计人员则在公司内部出具审计报告。然而,国际内部审计师协会对电子商务系统审计的要求则是:审计控制目标主要是审计财务报告制度、经营的效益和效率、合规性和保护财产安全等方面。审计模式应该建立在系统的可用性、容量、功能、保护和可靠性的基础上。例如,内部审计对网络企业控制水平的独立评价,使得客户了解到企业提供的数据将不会被有意或无意地滥用。再如,企业目标是建立电子商务以降低成本、提高市场占有率,那么电子商务风险是随着网络交易的增加而增加,以至于不能确保交易的安全性或分辨用户的可靠性,因此,所需要的控制就是对用户的真实性进行确认以及对通讯信息进行加密。

电子商务系统审计的成功与否在于审计人员是否掌握相关的技术知识,了解商业风险及风险管理策略,是否有现成的策略随时应付出现的风险。因此,作为一个成功内部审计人员应了解企业的业务,以服务为宗旨并努力增值,积极提高专业技能,关注系统的效率和效益,建立对电脑领域发展的职业敏感性。

五、关注电子商务系统的审计风险

电子审计范文第6篇

关键词:电子商务;安全;评估;标准

中图分类号:F239 文献标志码:A 文章编号:1673-291X(2012)13-0136-02

一、电子商务安全评估概述

1.电子商务安全评估重要性电子商务安全评估是运用系统的方法,对电子商务系统、各种电子商务安全保护措施、管理机制以及结合所产生的客观效果作出是否安全的结论。由于信息技术本身有其固有的敏感性和特殊性,这就使得对企业电子商务产品是否安全,电子商务安全产品及其网络系统是否可靠,企业电子商务系统是否健壮,电子商务管理是否严格,信息风险防范的准备是否充足等方面都成为需要科学评价和证实的问题。电子商务安全系统所保护的是敏感信息,评估必须可靠、可信、可操作,并且能依赖于成熟的信息安全理论、科学的评估方法和完善的标准体系,具有令人信服的科学性和公正性。

2.电子商务安全评估内容。电子商务安全评估的主要内容有环境控制、应用安全、管理机制、远程通信安全、审计机制等五个方面的内容。环境控制分为实体的、操作系统的及管理的三个部分。应用安全包括输出输入控制、系统内部控制、责任划分、输出的用途、程序的敏感性和脆弱性、用户满意度等。管理机制包括规章制度、紧急恢复措施、人事制度(如防止工作人员调入、调离对安全的影响)等。远程通信安全包括加密、数据签名等。

二、电子商务安全

1.电子商务安全需求与隐患。在电子商务中,任何与交易有关的信息都通过网络交换,都有可能会被篡改、窃听、冒名使用或交易后否认。保证电子商务的安全需提供以下安全保护:(1)完整性保护。确保消息内容在传输和处理过程中没有被添加、删除或修改。(2)真实性保护。能对交易者身份进行鉴别,为身份的真实性提供保证。(3)机密性保护。能防止电子商务参与者的信息在存储、处理、传输过程中泄漏给未经授权的人或实体。(4)抗抵赖。抗抵赖就是为交易的双方提供证据,以解决因否认而产生的纠纷。它实际上建立了交易双方的责任机制。

电子商务面临着其系统自身的安全性问题,计算机及通信网络的安全性问题同样会蔓延到电子商务中。归结起来,电子商务中的安全患主要有其应用层、传输层、存储层和系统层等四个方面:(1)系统层安全性漏洞。电子商务系统的运作须以系统层的软硬件为基础,因此系统层的安全性漏洞将直接会造成电子商务中的安全患。(2)存储层的安全漏洞。存储层的安全漏洞包括两个方面的问题:1)意外情况造成的数据破坏。无论多么稳定的系统,意外情况总是不可避免的,电子商务系统也不例外。如果对意外情况造成的损失没有充分的估计和完备的补救措施,那么意外情祝造成的数据破坏是不可避免的。而数据破坏将对整个电子商务系统的稳定性和安全性造成威胁。2)有意人为侵害造成的破坏。电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。黑客往往利用电子商务系统中的种种安全性漏洞,窃取和破坏系统数据,甚至修改系统,对整个系统的正常运作造成严重危害。因此,一个成功的电子商务系统必须能有效的防止人为侵害。(3)传输层的安全漏洞。传输层的安全漏洞包括传输过程中的数据截获电子商务系统中的数据在传输过程中可能受到截获,传输过程中的数据完整性破坏以及跨平台数据交换引起的数据丢失等三个方面的问题。(4)应用层的安全漏洞。应用层的安全漏洞包括冒充他人身份和抵赖已经做过的交易两个方面的问题。

2.电子商务安全要求与技术。电子商务安全要求主要有以下六点:(1)信息的有效性要求。电子形式贸易信息的有效性则是电子商务活动的前提。电子商务信息的有效性将直接关系到个人、企业或国家的经济利益和声誉。一旦签订交易后,这项交易就应受到保护以防止被篡改或伪造。(2)信息的保密性要求。电子商务作为贸易的一种手段,其信息直接代表着个人、企业或国家的商业机密。电子商务是建立在开放的网络环境上,维护商业机密是电子商务全面推广应用的重要保障。因此,要预防非法的信息存取和信息在传输过程中被非法窃取。(3)信息的完整性要求。电子商务简化了贸易过程,减少了人为的干预,同时也带来维护贸易各方商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各方信息的差异。此外,数据传输过程中信息的丢失、信息重复或信息传送的次序差异也会导致贸易各方信息的不同。贸易各方信息的完整性将影响到贸易各方的交易和经营策略,保持贸易各方信息的完整性是电子商务应用的基础。因此,要预防对信息的随意生成、修改和删除,同时要防止数据传送过程中信息的丢失和重复并保证信息传送次序的统一。(4)信息的不可抵赖性要求。电子商务可能直接关系到贸易双方的商业交易,如何确定要进行交易的贸易方正是进行交易所期望的贸易方,这一问题则是保证电子商务顺利进行的关键。(5)交易身份的真实性要求。交易者身份的真实性是指交易双方确实是存在的。网上交易的双方要使交易成功,必须互相信任,确认对方真实,对商家要考虑客户是否有信誉。(6)系统的可靠性要求。电子商务系统的可靠性是指防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、数据库出错、计算机病毒和自然灾害所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。保证计算机系统的安全是保证电子商务系统数据传输及电子商务完整性检查的正确和可靠的根基。

通过使用以下四种电子商务安全密码技术,可以基本满足不同的电子商务安全需求。(1)完整性保护技术。完整性保护技术是用于提供消息认证的安全机制。典型的完整性保护技术是消息认证码是将利用一个带密钥的杂凑函数对消息进行计算,产生消息认证码,并将它附着在消息之后一起传给接收方,接收方在收到消息后可以重新计算消息认证码,并将其与接收到的消息认证码进行比较:如果它们相等,接收方就认为消息没有被篡改;如果它们不相等,接收方就知道消息在传输过程中被篡改了。(2)真实性保护技术。真实性保护技术用来确认某一实体所声称的身份,以对抗假冒攻击。在电子商务中,交易信息通过网络转发,可能在传输过程有一定的延迟,需要通过数据源鉴别来确认交易信息的真正来源。(3)机密性保护技术。机密性保护技术是为了防止敏感数据泄漏给那些未经授权的实体。(4)抗抵赖技术。抗抵赖技术是为了防止恶意主体事后否认所发生的事实或行为。要解决上述问题,必须在每一事件发生时,留下关于该事件的不可否认证据。当出现纠纷时,可由可信第三方验证这些留下的证据.这些证据必须具有不可伪造或防篡改的特点。

三、电子商务安全审计

(一)电子商务安全外部审计

外部审计是指审计师对公司电子商务网站的安全工作进行审计,对消费者提供数据安全、商业政策、交易完整、数据隐私等方面的审计。消费者可以通过查询这些第三方组织的网站进行了解。1998年美国注册会计师协会(AICPA)先后成立的Elliott委员会和Cohen委员会,可以对电子商务的这方面内容提供鉴证。AICPA对电子商务提供的保证服务主要分为两个方面:完整性保证系统(Integrity Assurance System):电子交易中的数据要素是各方同意达成的,并且在数据处理与存储的过程中保持其完整性,没有未经授权的修改。安全性保证系统(SecurityAssuranceSystem):交易双方的身份验证以及电子数据没有未经授权的泄漏。

(二)电子商务安全内部审计

内部审计的作用主要体现在对于电子商务公司内部系统安全和财务风险的管理上,主要包括两个方面的内容:对电子商务系统的技术审计;对电子商务公司的财务进行审计。

1.技术审计。对电子商务系统进行技术审计的主要内容有三项:(1)纪录、跟踪系统的运行状况。利用审计工具,监视和纪录系统的活动情况,如纪录用户登录账号、登录时间、登录的终端以及所访问的文件、存取操作,并放人系统日志中保存在磁盘上,使影响系统安全性的存取以及其他非法操作留下线索,以便审查。(2)检测各种安全事故。审计工具能检测和判定对系统的攻击,如多次使用非法口令登录系统的尝试,及时提供报警甚至自动处理,使系统安全管理人员能够了解系统的运行情况,及时堵住非法入侵者。审计工具还能识别合法用户的误操作等。(3)保存、维护和管理审计日志。由于审计日志记录了审计、跟踪、检测各种安全事件的结果,是查找、分析网络系统安全事件的客观依据,是重要的系统文档,必须有可靠的存储和管理机制。在现代的经济环境下对电子商务公司的财务进行审计,其审计的职能已经发生了根本性的变化。审计已经从传统的财务审计过渡到了风险审计与内部控制。因此,运用内部审计可以很好地控制风险的发生。

2.财务审计。对电子商务系统进行财务审计的主要内容有两项:(1)对电子商务风险设定非财务化监测工具,这种工具可以是数量化的,也可以是非数量化的。比如实时监测服务器访问者数量,或者使用嗅探器工具网络监视工具对公司内部网以及国际互联网出口进行监测。(2)对电子商务风险实行与商业风险并行的另外一套防范方法,但是这种防范措施要与其他风险的防范一起进入风险管理的总的成本与人员控制。

参考文献:

[1] 刘艳慧.电子商务及其安全性研究与应用[D].天津:天津大学,2008.

[2] 王铁柱,等.中国电子商务安全性分析与研究[J].河北公安警察职业学院学报,2010,(3).

[3] 戴卫明.中国电子商务风险及其控制研究[J].生产力研究,2010,(9).

电子审计范文第7篇

取得了《支付业务许可证》转型成为了受政府严格监管互联网支付业务和未取得《支付业务许可证》的电子支付业务都是电子支付。电子支付作为一个新兴行业与传统行业具有许多不同的行业特点,如:产品交易流转速度快、交易风险控制严格、产品存在虚拟性、存货数字化,资金密集、财务核算内容有特殊性等。因此,电子支付企业的电子存货、资金安全的审计也会有所侧重,审计方法需要跟着改变和创新。

一、存货的审计重点与方法

电子支付企业除了为买卖双方提供担保支付服务外,更多电子支付企业直接提供本公司有形产品和电子数据产品的销售。电子数据产品主要以系统接口方式即时交付产品(如:数据型充值卡、Q币、网络游戏点卡),这类电子形态的数字产品从上游运营商采购回来未加载到产品销售平台的,以及加载到销售平台但未销售出去的,均属于电子支付企业的电子形态存货。

1、电子形态存货的审计

电子形态存货其可见到的表现形式有:系统平台账号中的数据余额、系统平台中一个序列组的账号和密码、加密了的文本文档(如TXT,XLS)包含一个序列组的账号和密码。收货验货方式主要有登陆供货平台账号查收、通过邮件下载文档、手机短信发送解压读取密码验收。电子存货审计的重点和方法主要是:查看采购汇款记录;登陆系统平台账号查看收货记录和数据余额;观察以文本文档发货的采购收货过程其文档与解压密码是否分开传送;收到文本文档的存货验收与收货人是否分开;验收后是否及时导入加载到销售系统平台;计算导入到销售系统平台的数量金额与购入存货的差异;检查销售系统平台导入数、上架销售数、已销售数、结存数;验收卡密产品如果已失效的退货处理;对未导入的产品和导入后销售结余数进行盘点确认实际库存。

2、电子形态存货审计的难点在于监盘和账实核对

电子形态存货具有三大特性:非实物形式,实时动态变化、真实有效性须到生产商才能验证。另外财务的入账时点一般是月底最后一天,盘点通常是在财务结账后,因此给审计监盘和账实核对带来实际操作的困难。对于实时动态变的销售系统平台账号中余额的盘点,解决方法通常采用在某一时点对销售系统平台的后台数据库提取数据,对提取数据验证进、销、存的平衡以确认这一时间点技术提取的交易额和余额是正确的,扣减取数时点与入账时点之间的交易额,求得入账时点的存货余额,再进行账实对比,找出差异,进而审查差异原因。对于文本文档保存的卡密存货,其盘点的方法是要求将未导入的文本文档解压解密,计算数量金额后加总;将卡密文档中的账号和密码导入销售系统平台,导入成功后随机抽样销售、使用、到运营商验证,确认该批存货真实和确准。

二、资金安全的审计重点与方法

电子支付企业作为资金密集型企业,其支付系统是一个庞大的交易网络,有众多的网络交易接口、交易账户和交易客户端。如果交易网络的某一节点出现控制疏漏,就会导致资金渗漏产生损失。例如:不能处理的接易差异(单边帐)是电子支付企业最主要的交易损失。

1、电子数据产品供货账户的审计

电子数据产品供货账户是电子支付产品供应商(如移动、电信、联通、网络游戏公司)为电子支付企业开设的可用于双方系统对接、实现电子数据产品实时供货的账户。其审计重点与方法:交易接口的技术设计规范;交易接口连接的账号与密码是否得到严格控制,通常只能是关键的技术人员和资金结算人员保管;交易接口的账号只能由系统发起交易,检查是否限制了人工发起其他交易的功能;接口产交易的差错处理机制是以对方还是我方数据以基准,是否每天监控差错额和及时处理;不能处理的交易差异(单边帐)是否按规定报损;电子数据产品供货账户安全要结合业务资产、已付预付金、已付备付金会计科目的核算内容来审计。

2、客户支付账号的资金安全审计

通过审查下列内容以验证客户支付账号中的资金安全,确认人工干预客户支付账号引起的资金变动是合法的、保障客户权益的、不存在内部员工舞弊。其审计方法:索取支付系统管理端和客户端的操作工号及其权限清单,审查操作工号对客户账户的操作是否有不相容职务或超越工作职责的授权发生,如客服人员或业务人员拥有充值权限。审查人工处理客户账号形成的交易,包括但不限于提现、退款、发放奖励、补扣,代扣、赔付等。确认每笔人工操作有授权和审批。必要时查询数据库的人工交易记录和系统日志中有关这些操作的记录。对客户账户的审计,其中不可忽视的内部客户账户。这类账户混合在众多的支付账号之中,通常管理松懈、疏忽防范,未单独记账核算容易成为舞弊的目标。审计通过了解开户的目的和用途,支付账号与密码是否得到严格控制,交易功能是否适当控制,是否在会计账上独立核算,是否有盘点机制。检查人工操作有无授权和审批,盘点账户余额并且与会计账、备查账核对。这样,审计会有所发现。

3、客户备付金和客户预付金的审计

客户预付金是支付企业通过与金融机构合作以系统对接方式从客户银行账户中预扣后,金融机构清算给电子支付企业的资金。在企业资产上体现的是银行专项存款和未清算到账的在途资金,有的受到银行监管。在支付系统平台上的体现就是所有客户支付账户的余额。主要通过审查下列内容:企业与金融机构的合作协议;企业与金融机构对账机制、企业与金融机构的差错与退款的处理;清算时间与收款账号;备付金的存款方式;备付金的划转和使用、有无挪用;风险准备金的提取和使用;收到客户款项后在支付系统平台上充值是否等额、查询充值的渠道有哪几种;测试扣减充值是否正确,审查扣收手续费保证金、给客户赔付或奖励、系统测试、代特定顾客批量代购业务的资料,检查“业务负债”、“预收备付金”等核算预收款的会计科目核算内容;对账户资金余额进行盘点并且核对账实差异(参照电子形态存货的审计)。

4、预付金(已付备付金)的审计

预付金是指已预付给上游供货运营商用于购买电子数据的款项。上游供货运营商在收到预付款项后会给付款企业在运营商供货平台(例如:中国移动的计费系统)的数据账户充值等额的数据资金。其审计程序和方法是:核对收款方是否已给付款企业加上数据;检查数据资金的扣减是否按协议约定方的交易数据为准(通常是以收款方为准);查询运营商供货平台系统是否发生故障影响扣减数据资金。验证供货平台系统账户的进、销、存的数据是否平衡。索取账户调整数据资金的依据;对账户资金余额进行监盘和账实核对(参照电子形态存货的审计)。必要时,书面函证。

5、内部员工对数据资金的舞弊审计

资金舞弊的目的在于套取现金,掩盖损失。在企业管理疏漏,控制不当,员工道德缺失的情况下,内部员工由于职务的便利,接触到资金链上的空档,实施舞弊。数据资金舞弊最终要从支付系统中找一个出口来套现、所以不可避免地的支付系统留下可追踪的痕迹。审计要根据造成舞弊便利的可能原因,有针对性开展调查:工作之中接触客户时,客户提供了支付账号和密码;员工的操作工号授权不当;系统数据库的访问控制和数据的防纂改机制不健全;业务人员开立虚假账户发展虚假客户;员工干预支付账户的操作缺少审核和审批。

三、结束语:

电子审计范文第8篇

据电子政务的有关安全调查统计:11%的安全问题导致网络数据破坏,14%的安全问题导致数据失密。从恶意攻击的特点来看,美国FBI统计的结果是65%的攻击来自网络系统内部。

安全设计本身的不完备性也往往构成网络新的安全风险。新的风险点、新的漏洞被发现、新的攻击技术手段被利用等管理安全问题会随时出现。所以,安全管理要求考虑网络系统的安全配置、正常运行、安全操作、应急响应等一系列问题,而解决这些问题的一个关键技术就是对电子政务系统的安全审计。

电子政务的安全管理可以通过安全评估、安全政策、安全标准、安全审计等四个环节来加以规范并进而实现有效的管理。目前,安全审计已经成为电子政务系统中的重要环节。早在2002年,安全审计已被正式定为电子政务建设十大标准之一。

虽然很多的国际规范以及国内对重要网络的安全规定中都将安全审计放在重要的位置,然而大部分的用户和专家对安全审计这个概念的理解不统一,都认为是“日志记录”的功能。如果仅仅是日志功能就满足安全审计的需求,那么目前绝大部分的操作系统、网络设备、网管系统都有不同程度的日志功能,大多数的网络系统都满足了安全审计的需求。但是实际上这些日志根本不能保障系统的安全,而且也无法满足事后的侦察和取证应用。安全审计并非日志功能的简单改进也并非等同入侵检测。

那么,电子政务的安全审计如何实施呢,现在的安全工程可要求从四个方面来把握。

首先,要把握和控制好数据的来源,比如来自网络数据截获;来自系统、网络、防火墙、中间件等系统的日志;嵌入模块,主动收集系统内部事件;通过网络主动访问,获取信息;来自应用系统、安全系统等。有数据源的要积极获取,无数据源的要设法生成数据。对收集数据的性质也要分已经经过分析和判断的数据和未分析的原始数据不同处理。另外,内部数据要通过转换形成统一的表示规范。

其次,分析机制需要具备评判异常、违规的依据,与安全策略相关。分为实时分析和事后分析。实时分析:提供或获取数据的设备/软件具备预分析能力,并能够进行第一道筛选。事后分析:维护审计数据的机构对审计记录的事后分析,包括统计分析和数据挖掘。

第三,审计的深度应达到通用网络协议的数据还原、通用网络应用操作审计、系统内部事件的审计和专用应用的审计。如何在实现审计的同时确保原有系统的正常运转同样也是审计系统构建的关键,尽可能使系统做最小修改,并对系统性能产生最小影响。

电子审计范文第9篇

【 关键词 】 文档;安全管理

1 引言

随着电子政务等相关应用不断推进,越来越多的信息资料以信息化、数字化的形式存在,资源共享、办公自动化、方便的信息传递,电子政务极大地提高了工作效率,但随着文档类数据的爆炸式增长,或敏感文档管理方面所面临的问题已呈多样化:无序化、存储零散个人化、调用困难、泄密频发等,如何有效地管理这些重要的信息资源,对它们的使用进行合理的监管,日益成为信息网络应用中的一个重要问题。

我国政府在信息保密方面做了大量工作,政府各单位部门均配备了信息安全防护设备和检查工具,同时加大了对计算机网络的保密检查力度。然而,仍然有用户为图方便直接在连接互联网的计算机上处理或敏感文档,造成无意泄露,同时,极个别人员为应付保密检查,在处理完相关信息后删除该文档,导致泄密事件发生后无法追查。

目前来看,建立一套完善的文档安全防护机制,在终端直接对文档操作行为进行监控和审计,对处理的文档内容进行实时的分析,在发现文件后及时采取应对措施杜绝事件发生,是防止文档泄露的最佳解决方案之一。同时,由用户自行定义安全检查策略只对那些可能的文件进行监控,对终端用户的正常操作不作处理,最大程度的降低用户对客服端程序可能窥探隐私的担忧。

2 电子文档的安全隐患

分析电子文档安全风险,首先要了解电子文档的生命周期,以便对电子文档的整个生成至销毁的过程进行综合分析。电子文档生命周期主要包括生成、存储、复制、传输、使用和销毁六个过程,从信息的形态上看,信息分为静态和动态两种,任一过程存在漏洞或疏忽都可能埋下安全隐患。

针对电子文档各环节安全隐患,有许多解决方案,但针对文档操作行为并结合文档内容进行监控和审计的不多。现有防止信息泄露的解决方案更多是在互联网出口进行监听,这种方式主要优点就是不用在终端安装客户端软件,回避各种复杂的兼容性问题和用户担忧隐私泄露,缺点就是无法对已加密或走加密通道传输的电子文档监控,及时性、溯源性均不够,加上现在出口很多难于全面监察,无法从根本上阻止信息泄露事件的发生。

3 电子文档安全管理的关键技术

在实际应用过程中,终端操作系统版本多,应用程序复杂,因此终端程序主要需面对兼容性问题。一般而言,应用层兼容性要强一点,越底层,比如驱动层,越能有效监控,用户也越难以自行卸载干预,但兼容性相对弱一点。但在实际程序开发过程中,针对需求来做出平衡,终端程序也可以做出很好的用户体验。

另外,对各种图片、语音等数据文件的智能分析,包括红头文件的辨识,以及行业主管部门对文件等级标识库的掌握,行业关键词库的建设维护,都是提高系统有效性的关键技术。

4 电子文档的安全管理系统的应用与实现

一个完善的文档安全防护机制,应该包含实时监控、智能分析、事后统计、安全防护等功能,具体地说,该机制在保密管理中可以做到几点。

(1)监控:监测客户端对文档的所有操作行为,监控与文档相关的进程状况,监控文档所处的系统环境和网络环境,并将监控信息形成日志,加密发往监控服务器(监控机),定期备份,统一管理。

(2)分析:实时分析文档操作行为,根据策略进行匹配和关联分析,判断文档操作是否合法,若存在非法操作的可能,则将该文档副本加密传输给监控机,供日后查证。

(3)统计:监控机将对事件进行统计,形成直观的统计报表,供管理人员分析安全状况。

(4)防护:通过监控机统一设置和管理客户端的外设,当发现非法操作时及时阻断客户端网络,以此来保护文档的基本安全,避免信息泄露。

通过监控、分析、统计及防护等多种综合手段,电子文档的安全管理系统就能很好地保护内网文档安全,从源头堵住了文档泄露的途径。以下是一个实现实例,系统可以由三部分组成:监控机、客户端、报警服务器。

监控机的策略控制中心与阻断中心,可进行客户端的功能参数设定,网络设备信息发现、系统应用策略制订、报警信息显示、系统网络恢复等配置操作。

电子文档的安全管理系统对被监控终端所有文档的编辑工作进行监控,根据预先定义的策略,审计文档的操作行为和内容行为,自动分析文档的性,并将编辑文档的标题记录成日志发往保密主管部门;在发现文档操作行为存在可能的情况下,可以立即屏蔽该机网络功能,也可以报警提示用户,防止泄密行为的发生,同时还可以向主管部门或相关领导报警,供日后查证。除了对用户编辑的文档进行监控外,系统在用户对文档进行复制、剪切等操作时也会对该文档进行性分析,凡是涉嫌有泄密行为的立即进行报警并保存该文档的副本以供日后查证。

5 结束语

在终端直接对文档操作行为并结合文档内容进行监控和审计具备实时性、准确性、溯源取证方便性,解决终端软件兼容性等技术难点后,不失为一种解决敏感信息泄露的有效方案。

参考文献

[1] 企业信息集成中电子文档安全管理技术的研究.华西电力大学硕士论文摘要.

[2] 基于企业信息检测的数据安全解决方案.计算机工程与设计.

作者简介:

电子审计范文第10篇

统计工作流程电子化是统计系统内部实现的,它是指统计信息产品生产的全过程的电子化,即统计基础数据的采集统计数据的加工处理统计数据质量控制统计初级产品的开发统计信息产品的统计信息资源管理等统计工作的全过程。实现从“九五”时期的人工作业或部分电子化向“十五”的全过程电子化跨越。

统计数据采集实现由以统计报表、软磁盘为主转变为以网络传输为主。加强各级政府统计部门和基层企业的计算机网络化水平,加强统计信息网络安全建设,在“十五”时期,国家、省(直辖市)和地(市)级政府统计局之间、限额以上统计调查企业(单位)与各级政府统计局之间应具备网络快速传递的硬件和设施水平;实现政府统计局对企业、上级政府统计部门与下一级政府统计部门之间统计制度、统计培训、电子程序的网络传递;实现基层企业(单位)统计数据信息的网上直报。最大限度地减少统计报送环节,解决基层统计人员力量不足的矛盾。

统计数据处理应用程序由专业各自开发转变为集中统一研制。统一数据处理操作平台、应用软件、文件格式;统一实行统计“一套表”制度,统一单位属性标识代码、统计指标代码;统一数据处理和审核程序;实现准确、高效、方便的数据处理模式。

统计信息资料的开发利用由传统单一模式转变为现代多元模式。笔者认为,统计信息可以形成8个系统15个数据库:一是统计法律法规系统(统计法律、法规、规章、规范性文件数据库);二是统计调查单位管理系统(统计法人单位数据库、统计产业活动单位数据库)三是地理信息系统(统计调查单位地理分布数据库、人口地理分布数据库);四是统计调查项目管理系统(政府统计调查项目库、部门统计调查项目数据库、基础统计指标及指标解释数据库、派生指标数据来源及计算方法数据库、统计标准数据库、统计调查方法数据库)、五是专项统计调查信息系统(国民经济各行业统计调查数据库);六是统计质量评估系统(统计指标数据逻辑关系库、统计数据质量评估库);七是统计分析系统(统计分析模型应用软件);八是统计新闻系统。

二、统计政务电子化

随着我国市场经济体制的建立和加入WTO的临近,政府管理体制的创新迫在眉睫,要求政府职能尽快地转移到搞好宏观调控、维护市场秩序、创造良好环境、提供公共服务上来。小平同志讲过:管理就是服务。“服务式”的管理是市场经济体制国家通用的政府管理模式。电子政务将推动政府职能的转变,也正是“服务式”管理模式的具体体现。

统计政务是政府行政管理的一个组成内容,它包括统计工作人员的资格认定、统计调查单位登记备案、部门统计调查项目和涉外统计调查项目的审批备案等,统计政务电子化是电子政务的一个组成部分。根据这些统计政务项目的性质,“十五”期间,应把统计调查单位登记备案、部门统计调查项目和涉外统计调查项目的审批备案等政府统计机构审批备案事项纳入电子政务的范围。在实现形式上,统计调查单位登记备案可以纳入一个地区电子政务总流程,而部门统计调查项目和涉外统计调查项目的审批备案可以通过网络报批。统计调查单位登记纳入一个地区电子政务总流程将是统计政务迈出的重要一步。

电子政务就是在现代网络环境下,运用计算机通信技术,构建一个政府办公平台,使用户只要持有一台电脑,即可在任何方便的时间和方便的地点获得政府的信息和服务。这种减少环节、提高实效、方便用户的政府对社会办公系统是对传统办公模式的根本变革。本文将以电子政务中的一项重要内容棗政府各部门对企、事业单位和个体生产经营者办理各类行政审批事项实现网络化为切入点,对电子政务谈谈己见。

企业办理一项政府审批事项曾经历了多点多次式(即企业要多次光顾多个衙门,才可获取多种批准证书)到多次一点式(即企业要多次光顾一个大厅可以获取多种批准证书)。而未来网络登记和审批模式则达到一次一点式(即政府各部门的登记审批以及备案手续均在网上进行,只需一次光顾一个大厅即可获取所有审批证件)。网络登记和审批模式至少可以实现四个方面的目标:一是规范政府行为,促使政府各部门依法行政。网上审批和登记内容必须是具有法律依据或政府批准的行政审批事项,除此之外企业将不予办理报批;二是有利于增加政府行政透明度,做到政务公开,利于社会公众对政府的有效监督,促进政府部门的勤政廉政建设;三是减少企业申报程序中的重复工作量,避免技术性差错;四是可以实现政府各部门之间的信息资源共享。总之,这种政务办公模式将促进政府由单一管理型向服务管理型转变,促进政府真正成为廉洁高效的政府;同时也促使企业和生产经营者通过依法办理登记报批,对政府依法履行义务,依法经营纳税。

实现登记审批网络化要具备五个前提条件:一是政府要确定一个部门,赋予其网络办公总策划、总协调的职能,促使政府各职能部门消除部门利益,形成政府办公“一盘棋”的格局;二是要有电子政务的统一标准,例如:统一的企业(单位)编码(即企业(单位)身份号)、统一的登记注册类型、统一的国民经济行业分类标准等等,避免用户在使用公共信息中由于标准不统一而造成的混乱;三是要有一个科学的、可以实现政府各部门服务管理职能程序的、方便企业操作的电子政务办公流程,例如北京西城区政府“一站式”服务大厅的新办企业审批项目流程是这样的:企业名称预先登记领取工商注册登记表办理前置审批开据房产证、入资、验资企业审批、发法人执照或营业执照刻章审批开设银行帐户办理机构代码登记办理国税登记办理地税登记办理统计登记办理社会保险登记办理户外广告审批办理旅店业审定价办理商委粮食审批办理科技企业认证当地工商所备案。(随着政府职能的转变,以上部分政府审批登记项目可以逐步移交给行业协会,发挥中介组织规范企业市场行为的作用。)科学的运行流程一环扣一环相互联系相互制约,相同信息只取一次,避免重复和差错。四是建立完善的网络安全系统。网络安全一直是困扰电子政务的难点问题之一,包括建立网络防毒、安全认证、信息资源分级分层使用的安全体系,这些在技术上都应得到解决。五是要统一电子操作系统,要编制一个科学统一的流程软件。而以上五个方面都是建立在政府是一个有机的工作整体的基础上,其工作出发点统一在服务基层,依法行政上。统计登记是政府统计部门依法行政的一项主要内容,是政府统计掌握调查对象,建立统计渠道的重要途径,随着政府登记审批电子系统的建立,统计登记网络化将得以实现。目前,中关村海淀园区管委会正在作“一网式”办公的尝试,但受其职能限制,服务对象仅限于入区企业。政府网络登记和审批模式应尽快在地、市级政府推开。目前的难点不是业务、技术问题,而是统一认识,组织协调问题,因此政府决策者应在此点上有所创新和突破。

统计数据管理由无制无序转变为有制有序。改变过去统计数据管理纸介质、磁介质并存方式,改变在资料管理和使用上缺乏规章制度,强调部门利益,甚至造成历史数据断挡、遗失及个别泄露商业秘密的状况,建立并执行基层及统计数据统一归档,分级分类使用制度。既要实现制度允许权限内的资源共享,又要依法保守商业秘密。资料归挡形式推行光盘形式,实现资料管理的安全化、制度化。

关键词:
相关新闻