電子商務對財務報表審計的影響指南

版權所有，未經許可，不得用于任何商業(yè)目的《中國注冊會計師審計準則第1633號——電子商務對財務報表審計的影響》指南（征求意見稿）中國注冊會計師協(xié)會二○○六年八月目 錄第一章 總 則...........................................1一、電子商務的含義....................................1二、電子商務的類型....................................1三、注冊會計師在財務報表審計中對電子商務考慮的總體要求2四、在財務報表審計中考慮電子商務的目的................5第二章 知識和技能的要求.................................5一、對注冊會計師知識和技能的要求......................6二、對利用專家工作的一般要求..........................6第三章 對被審計單位電子商務的了解.......................7第一節(jié) 總體要求......................................8第二節(jié) 被審計單位的業(yè)務活動和所處行業(yè)................8第三節(jié) 被審計單位的電子商務戰(zhàn)略.....................10第四節(jié) 被審計單位開展電子商務的程度.................14第五節(jié) 被審計單位的外包安排.........................17第四章 識別風險........................................19第一節(jié) 與電子商務相關的經營風險.....................19一、與電子商務相關的經營風險的主要類型...............19二、識別電子商務中可能導致經營風險的事項、交考慮...........41二、對電子證據充分性和適當性的考慮...................422 第一章 總 則《中國注冊會計師審計準則第1633號——電子商務對財務報表審計的影響（以下簡稱本準則第一（第一條至第五條要說明電子商務的概念注冊會計師在財務報表審計中考慮電子商務的目的和總體要求。一、電子商務的含義本準則第三條明確了電子商務的定義。本準則所稱電子商務，是指被審計單位利用互聯網等公共網絡從事的商品購買和銷售勞務接受和提供等交易活動?！半娮由虅铡币辉~的英文通常有兩種寫法，即“e-commerce”和“e-business。對于這些術語尚無已被普遍接受的定義。e-commerce和e-business兩個詞經常是相通的但細究起來也有一些區(qū)別。e-commerce通常僅指交易活動（譬如貨物、勞務的購買和銷售即狹義概念上的電子商務e-business則指所有的業(yè)務活動包括交易性的和非交易性的譬如顧客關系與溝通等即廣義概念上的電子商務。本準則所指的電子商務更偏重于其作為“交易活動”的含義，也就是狹義的概念。二、電子商務的類型1．按照交易對象分類，電子商務可分為以下五類：（1）企業(yè)對消費者（Businesstocustomer：利用計算機網絡使消費者直接參與經濟活動的形式，基本等同于電子化零售；1 （2）發(fā)生于非特定企業(yè)之間：在開放的網絡中尋找最佳交易對象，并與交易對象進行從訂購到結算的全部交易行為；（3）發(fā)生于特定企業(yè)之間：在過去一直有交易關系或者今后確定要繼續(xù)交易的企業(yè)間為了相同的經濟利益利用信息網絡共同進行設計開發(fā)或全面進行市場及庫存管理的行為。以上（2（3）兩項一般統(tǒng)稱為Businesstobusiness。（4）發(fā)生于企業(yè)與政府之間，如電子化的政府采購以及電子政務等；（5）發(fā)生于企業(yè)與其員工之間。2．按照交易活動的內容分類，電子商務可分為以下兩類：（1）間接電子商務。間接電子商務是對企業(yè)的傳統(tǒng)業(yè)務活動的補充企業(yè)通過網絡實現的僅是傳統(tǒng)業(yè)務活動中的一個或若干個交易環(huán)節(jié)其他交易環(huán)節(jié)仍需在網下以傳統(tǒng)方式完成間接電子商務所交易的一般是具有實物形態(tài)的貨物和產品；（2）直接電子商務。直接電子商務代表一種新的業(yè)務活動類別從事這種商務活動的企業(yè)借助互聯網通過網站出售和交付數字產品，全部交易環(huán)節(jié)從訂購、交貨到付款，均在互聯網上完成，并且其所交易的是不具備實物形態(tài)的數字產品。三注冊會計師在財務報表審計中對電子商務考慮的總體要求本準則第四條規(guī)定廣泛使用互聯網從事電子商務產生了新的風險因素需要被審計單位有效應對注冊會計師應當考慮電子商務在被審計單位業(yè)務活動中的重要性以及對重大錯報風險評估2 的影響。電子商務在很多情況下是通過以互聯網為代表的公共網絡實現的互聯網是由計算機網絡組合而成的世界范圍內的共享公共網絡可以實現與世界范圍內的其他實體和個人的通信它具有可共同操作和共同使用的特點該特點意味著任何一臺連入互聯網的計算機都可以與其他任何一臺連入互聯網的計算機通信互聯網作為一個公共網絡與那些只允許經過授權的單位或個人訪問的私人網絡是不同的使用這種公共網絡從事電子商務可能產生以下新的風險因素：（1）數據高度集中于電子商務系統(tǒng)，易導致機密數據被他人拷貝，甚至可能被非法改動而且不留下任何痕跡；（2）電子商務系統(tǒng)設計上存在缺陷，致使其無法判斷某些事件是否符合邏輯，因此對不合理的事項也會照樣處理；（3）電子商務系統(tǒng)主要以磁盤、磁帶、光盤等存儲介質作為信息載體記錄于這些存儲介質上的信息是肉眼不可見的必須借助計算機的“翻譯，才能以人可以理解的形式表現出來，但同一信息可能被“翻譯”成不同的形式；（4）利用磁性介質難以實現諸如簽字、蓋章等這些使信息證據化的操作必須使用專用的電子簽名電子印鑒等形式才能實現；（5）電子商務系統(tǒng)對錯誤的處理具有重復性和連續(xù)性；（6）電子商務系統(tǒng)中許多不相容職責相對集中，加大了舞弊的風險；3 （7）系統(tǒng)設計時可能沒有考慮到審計工作的需要，沒有留下充分的審計線索；（8）可能遭受計算機病毒的入侵和“黑客”對電子商務系統(tǒng)的故意破壞。上述因素都可能使財務報表出現重大錯報的風險增大。為此，如果電子商務對被審計單位的經營活動具有重大影響則注冊會計師在了解被審計單位及其環(huán)境并評估重大錯報風險以及確定針對評估的重大錯報風險實施的程序的性質時間和范圍時均應考慮這些因素。在被審計單位廣泛使用互聯網從事電子商務的情形下注冊會計師應當考慮信息技術的運用及其可能導致的被審計單位信息系統(tǒng)與業(yè)務流程難以融合等風險在風險評估以及設計和實施進一步審計程序時應當考慮內部控制的人工和自動化特征及其影響應當了解與信息處理有關的控制活動包括信息技術一般控制和應用控制應當關注信息技術戰(zhàn)略與經營戰(zhàn)略不協(xié)調信息技術環(huán)境發(fā)生變化安裝新的與財務報告有關的重大信息技術系統(tǒng)等事項和情況可能表明的被審計單位重大錯報風險。信息技術的應用情況也是確定控制測試的性質時間和范圍時的重要考慮因素之一其中由于信息技術處理過程的內在一貫性，注冊會計師可以利用自動化應用控制得以執(zhí)行的審計證據和信息技術一般控（特別是對系統(tǒng)變動的控制運行有效性的審計證據，作為支持該項控制在相關期間運行有效性的重要審計證據除非系4 統(tǒng)發(fā)生變動，注冊會計師通常不需要增加自動化控制的測試范圍。信息技術一般控制的有效性也是確定利用以前審計獲取的有關控制運行有效性的審計證據是否適當以及再次測試控制的時間間隔時需要考慮的因素之一。四、在財務報表審計中考慮電子商務的目的本準則第五條明確了注冊會計師在財務報表審計中考慮電子商務的目的。注冊會計師按照本準則的規(guī)定對電子商務進行考慮，旨在對財務報表形成審計意見而非對電子商務系統(tǒng)或活動本身提出鑒證結論或咨詢意見。在財務報表審計中注冊會計師對電子商務的考慮僅限于其與財務報表編制和注冊會計師審計有關的部分服務于財務報表審計的目標其目的是確定所需實施的財務報表審計程序的性質時間及范圍而不是對電子商務進行專門的審核因此僅根據其在財務報表審計中所獲取的關于電子商務的審計證據注冊會計師通常尚不足以對電子商務系統(tǒng)或活動本身提出鑒證結論或咨詢意見。第二章 知識和技能的要求本準則第二（第六條至第七條主要說明在被審計單位開展電子商務的情況下對注冊會計師知識和技能的要求以及對利用相關專家工作的一般要求。5 一、對注冊會計師知識和技能的要求本準則第六條規(guī)定，當電子商務對被審計單位的業(yè)務活動具有重大影響時注冊會計師應當具備適當水平的信息技術和互聯網商務知識，以實現下列目的：（1）了解開展電子商務對財務報表的影響；（2）確定審計程序的性質、時間和范圍，評價審計證據；（3）考慮被審計單位依賴電子商務的程度對持續(xù)經營能力的影響。專業(yè)勝任能力是對注冊會計師職業(yè)道德的一項基本要求注冊會計師考慮電子商務應當基于一定的計算機技能和網絡知識電子商務使傳統(tǒng)的審計線索內部控制審計內容審計方法和技術等發(fā)生了改變，因而對注冊會計師的知識和技能提出了更高的要求。不懂得信息技術和電子商務知識可能會因為審計線索的改變而無法跟蹤審計不懂得電子商務的特點和風險可能不能了解和測試其內部控制因此在被審計單位廣泛使用互聯網從事電子商務的情況下注冊會計師不僅要精通會計審計稅務等知識而且要掌握一定的計算機、網絡、通訊、電子商務等知識與技能。二、對利用專家工作的一般要求本準則第七條規(guī)定由于電子商務的特殊性和復雜性必要時，注冊會計師應當考慮利用專家的工作。電子商務具有特殊性和復雜性的特征涉及到信息技術法律、稅務貿易和外匯管理等多個領域其中不少領域是高度專門化的。6 如果被審計單位的電子商務系統(tǒng)高度復雜或者存在其他高度專門化的問題注冊會計師應當考慮利用專家的工作例如如果注冊會計師認為有必要通過試圖穿透被審計單位信息技術系統(tǒng)的安全防護層進行控制測（稱“弱點攻擊測試“穿透測試時就可能需要利用專家的工作又如在評價與電子商務相關的法律問題對財務報表的可能影響時注冊會計師可能需要咨詢熟悉電子商務相關法律事務的律師。在利用專家的工作時注冊會計師應當遵《中國注冊會計師審計準則第1421號——利用專家的工作》的規(guī)定，獲取充分、適當的審計證據以確信專家的工作可以滿足審計的需要注冊會計師還應當考慮如何將專家的工作與審計項目組內的其他成員所實施的審計工作結合起來以及針對專家工作所識別出的風險需要實施哪些程序。第三章 對被審計單位電子商務的了解本準則第三章（第八條至第十五條，主要說明注冊會計師對被審計單位電子商務了解的總體要求以及對被審計單位的業(yè)務活動和所處行業(yè)電子商務戰(zhàn)略開展電子商務的程度外包安排等方面了解的具體要求。7 第一節(jié)總體要求在被審計單位開展電子商務的情況下電子商務的發(fā)展可能對被審計單位的傳統(tǒng)經營環(huán)境產生重大影響本準則第八條規(guī)定注冊會計師應當考慮電子商務導致的被審計單位經營環(huán)境的變化以及識別出的對財務報表產生影響的電子商務風險。本準則第九條進一步規(guī)定在了解被審計單位及其環(huán)境時注冊會計師應當考慮下列事項對財務報表的影響：（1）業(yè)務活動和所處行業(yè)；（2）電子商務戰(zhàn)略；（3）開展電子商務的程度；（4）外包安排。第二節(jié)被審計單位的業(yè)務活動和所處行業(yè)本準則第十條規(guī)定在了解被審計單位的業(yè)務活動和所處行業(yè)時，注冊會計師應當關注與電子商務相關的下列特點：1．電子商務可能是對傳統(tǒng)業(yè)務活動的補充，也可能是新的業(yè)務類型如前所述電子商務按照交易活動的內容分類可分為間接電子商務和直接電子商務兩大類對于間接電子商務而言電子商務是對被審計單位傳統(tǒng)業(yè)務活動的補充例如被審計單位可能使用互聯網銷售傳統(tǒng)的有形產（例如書籍和CD在互聯網上簽8 署合同同時使用傳統(tǒng)交貨方式以履行合同而直接電子商務則代表著一種新的業(yè)務活動類別從訂購交貨到付款的全部交易環(huán)節(jié)均在互聯網上完成，并且所交易的是不具備實物形態(tài)的數字產品，例如，互聯網上的收費音樂、電影下載服務等。2．電子商務不具備貨物和服務等實體貿易所具有的清晰、固定的運送路線這一傳統(tǒng)特征清晰固定的運送路線是很多實體貨物和服務的貿易的傳統(tǒng)特征之一而這一點是互聯網所缺乏的在很多情況下尤其是在貨物和服務可通過互聯網交付的情況下電子商務可以減少或消除很多因時間、距離方面的原因而產生的限制從而降低交易成本和方便交易的進行但另一方面這一點也可能導致缺乏有形的清晰可見的審計線索從而增加獲取審計證據的難度。3．某些行業(yè)運用電子商務的程度較高，可能增大對財務報表產生影響的經營風險某些行業(yè)對電子商務的運用已進入了較為成熟的發(fā)展階段如計算機軟件證券交易銀行業(yè)旅游服務書籍與雜志出版影視廣告新聞媒體教育等行業(yè)這些行業(yè)受到互聯網電子商務的重大影響可能增大對財務報表產生影響的經營風險在審計處于這些行業(yè)的單位的財務報表時注冊會計師應當重點關注被審計單位開展電子商務的情況及其對財務報表的影響。注冊會計師在了解被審計單位所處行業(yè)的電子商務運用情況的基礎上還需要進一步對與特定行業(yè)相關的電子商務管理法規(guī)有9 一總體了解目前我國已對網上銀行互聯網出版卷煙網上交易、網絡傳播視聽節(jié)目互聯網文化產品互聯網藥品信息和藥品交易服務互聯網新聞信息服務互聯網電子郵件服務等一系列電子商務活動頒布了相應的管理法規(guī)對這些法律法規(guī)的總體了解也是了解被審計單位所處行業(yè)的電子商務活動的一個重要組成部分。第三節(jié)被審計單位的電子商務戰(zhàn)略本準則第十一條規(guī)定被審計單位的電子商務戰(zhàn)略包括在電子商務中運用信息技術的方式以及對可接受風險水平的評估可能對財務記錄的安全性和相關財務信息的完整性與可靠性產生影響。在考慮被審計單位的電子商務戰(zhàn)略時注冊會計師應當結合對控制環(huán)境的了解，關注下列事項：1．在整合電子商務與總體經營戰(zhàn)略的過程中，治理層的參與程度治理層是指對被審計單位戰(zhàn)略方向以及管理層履行經營管理責任負有監(jiān)督責任的人員或組織治理層的責任包括對財務報告過程的監(jiān)督被審計單位的治理層對完善公司治理設定被審計單位的總體經營戰(zhàn)略并監(jiān)控其實施起著重要的作用在整合電子商務與總體經營戰(zhàn)略的過程中治理層的參與程度在一定程度上反映了治理層對電子商務的了解和重視這是被審計單位控制環(huán)境的重要組成部分在這一過程中治理層的參與程度越高表明其對這一過程的控制越強，通?？刂埔簿驮接行?。102．被審計單位開展電子商務的目的，是為新業(yè)務提供支持，還是提高現有業(yè)務的效率抑或為現有業(yè)務開辟新的市場被審計單位開展電子商務的目的直接決定其電子商務戰(zhàn)略如果開展電子商務是為了提高現有業(yè)務的效率或者為現有業(yè)務開辟新的市場則電子商務僅僅是其拓展傳統(tǒng)業(yè)務的一種手段通常不會對企業(yè)整體經營戰(zhàn)略產生根本性的影（除非通過電子商務手段獲得的銷售訂單占到全部銷售訂單的大多數。如果開展電子商務是為了給新的數字產品銷售等業(yè)務提供支持且新業(yè)務占被審計單位全部業(yè)務量的比重很大則電子商務的開展將在很大程度上改變被審計單位的業(yè)務模式和總體經營戰(zhàn)略并可能直接導致新的經營風險和財務報表重大錯報風險。3．被審計單位的收入來源及其正在發(fā)生的變化。例如，當作為所售貨物或勞務的交易當事人時被審計單位需要承擔與所售貨物或勞務的所有權相關的全部風險和報酬當作為代理人或者僅提供交易平臺時被審計單位僅就其所提供的中介服務賺取傭金收入或手續(xù)費收入很明顯獲取這兩類不同來源的收入被審計單位所承擔的風險和報酬是大不相同的因而其收入確認成本結轉和損益確定也不相同相應地也會影響到相關資產負債的確認和計量。4．管理層對電子商務如何影響盈利狀況和財務需求的評價。被審計單位管理層對電子商務如何影響盈利狀況和財務需求的評價以及對于這些影響是否重大相關財務需求能否獲得滿足的考慮決定了他們對于電子商務的基本態(tài)度因此也會對電子商務戰(zhàn)略產生明顯的影響這一影響應當結合被審計單位的總體經營戰(zhàn)略予以考慮。如果被審計單位對電子商務的未來獲利前景比較看好，希望進一步擴大電子商務活動的規(guī)模則可能通過公開募集股份或者引入戰(zhàn)略投資者風險投資機構等獲得所需的資金在這一過程中被審計單位管理層可能會出于吸引潛在投資者的考慮而粉飾財務報表由此可能導致財務報表重大錯報風險增加對于已上市的公司而言也可能出于維持股價或者獲得再融資資格等考慮而導致財務報表重大錯報風險的增加。對此，注冊會計師應予以關注。5管理層對風險的態(tài)度及其對風險總體狀況可能產生的影響。與傳統(tǒng)的業(yè)務模式相比，電子商務的廣泛應用導致了新的風險因素與電子商務相關的風險因素在很多情況下與傳統(tǒng)業(yè)務模式下的風險因素是不相同的管理層對于與電子商務相關的風險的態(tài)度主要取決于其風險偏好對電子商務業(yè)務的熟悉程度和對風險的掌控能力等因素如果管理層可以接受甚至偏好較高的風險水平則財務報表重大錯報風險的水平可能會相應上升如果管理層偏好較低的風險水平則會采取較為嚴格的經營風險控制措施相應地財務報表重大錯報風險的水平也可能較低。6．管理層在多大程度上識別出電子商務戰(zhàn)略所描述的機遇和風險或者管理層僅在機遇和風險出現時才臨時制定應對措施對電子商務的機遇與風險，管理層可能在一定程度上事先識別出來，并將其體現于成文的有適當控制提供支持的戰(zhàn)略中也可能在機12遇和風險出現時管理層才臨時制定應對措施確定電子商務的發(fā)展方向對電子商務機遇與風險的應對與處理體現了管理層是否具有前瞻性的眼光有無全局性的戰(zhàn)略考慮一般認為臨時制定的應對策略可能不成熟與企業(yè)的總體經營戰(zhàn)略出現矛盾的可能性也相對較大事先制定電子商務戰(zhàn)略也可能表明管理層希望在電子商務發(fā)展中采取主動的行動甚至希望對本行業(yè)電子商務的發(fā)展起到引領的作用，而不僅僅是被動接受機遇和風險的來臨。7．管理層對執(zhí)行相關最佳實務規(guī)則或者網絡簽章程序的信守程度最佳實務規(guī)則是對于某一個法律法規(guī)規(guī)章尚無明文規(guī)定的領域由此領域的參與者約定俗成并獲得一致公認的最佳做法和慣例電子商務雖然近幾年內在世界范圍內發(fā)展很快但是與傳統(tǒng)商務模式相比畢竟屬于新興領域很多方面尚未完全定型和發(fā)展成熟法律法規(guī)監(jiān)管“空白點也比較多在此情況下開展電子商務的被審計單位對于本領域內約定俗成的最佳實務規(guī)則的信守，可以在最大程度上降低因操作流程和業(yè)務規(guī)則不恰當而引發(fā)的經營風險，因而特別重要。網絡簽章是電子簽名的一種形式電子簽名是指數據電文中以電子形式所含所附用于識別簽名人身份并表明簽名人認可其中內容的數據民事活動中的合同或者其他文件單證等文書當事人可以約定使用或者不使用電子簽名數據電文當事人約定使用電子簽名數據電文的文書不得僅因為其采用電子簽名數據電文的形式而否定其法律效力可靠的電子簽名與手寫簽名或者蓋章具13有同等的法律效力。為了確保電子簽名的可靠性在使用電子簽（網絡簽章的情況下管理層應當建立適當的內部控制包括電子簽名制作數據的保管規(guī)則和電子簽名的具體操作流程等并予以嚴格執(zhí)行以確保電子簽名數據的安全性和可靠性如果電子簽名經過有資質的第三方認證，也有助于提高其可信賴程度。第四節(jié)被審計單位開展電子商務的程度本準則第十二條第十三條規(guī)范了注冊會計師對被審計單位開展電子商務的程度的考慮本準則第十二條規(guī)定不同的被審計單位可能以不同的方式開展電子商務。電子商務可能用于下列方面：1僅提供關于被審計單位及其活動的信息供投資者顧客、供應商資金提供者和員工等訪問例如僅僅提供企業(yè)介紹產品和服務介紹等信息或者提供資料下載服務這些屬于完全以提供信息為目的的單向溝通不提供論壇網上訂購網上付款等交互功能。2．通過互聯網處理交易，方便已有的顧客。這類業(yè)務模式是將全部或部分與現有特定顧客之間的交易通過網絡完成本質上仍然是傳統(tǒng)交易模式的延伸。由于交易對象是原先在網下發(fā)展的顧客被審計單位可以對其信用狀況較為了解不涉及身份認證和信用度評價等問題，交易的信用風險一般較低。143．通過在互聯網上提供信息和處理交易，開拓新市場和發(fā)展新客戶此類交易模式是借助互聯網提供的便利實現低成本的市場開拓，或者借助互聯網開拓那些使用傳統(tǒng)手段無法獲得的市場。此類業(yè)務模式下所交易的仍然是傳統(tǒng)產品但是市場開拓工作通過網絡完成交易雙方可能未在網下進行過溝通和交流因此對客戶的身份認證和信用風險評估是以此類方式承接客戶時的重要考慮因素。4．訪問應用服務提供商。應用服務提供商（ApplicationServiceProvider，縮寫為ASP）是一種以互聯網為媒介的、租賃式的企業(yè)級管理應用系統(tǒng)服務模式ASP平臺由系統(tǒng)運營商集中建立（數據中心，通過廣域網絡向企業(yè)提供基于軟件的服務和解決方案企業(yè)可以通過租賃的方式實現企業(yè)內部生產管理商務流程等所有需要的應用系統(tǒng)和跨組織的網絡協(xié)同合作。從本質上說ASP是企業(yè)將其對信息技術的需求全部或部分外包的一種形式ASP運營商可以是向其顧客提供服務的企業(yè)也可以是向最終用戶提供支持的非營利性組織或者政府部門ASP運營商可分為以下五種類型。（1）企業(yè)級ASP：提供較為高端的商務應用服務；（2）本地／區(qū)域ASP：為本地區(qū)的中小企業(yè)提供范圍廣泛的應用服務；（3）專家ASP：針對特定需求提供應用服務，例如網站服務或者人力資源管理服務等；15（4）垂直市場ASP：為某一特定行業(yè)內的上下游企業(yè)提供服務；（5）批量服務ASP：以事先制作的軟件包的形式，為一般中小企業(yè)提供非定制的應用服務。ASP平臺的特點是：（1）企業(yè)無需構建完善的網絡硬件環(huán)境和服務器，ASP運營商為企業(yè)提供高效、安全的網絡應用環(huán)境；（2企業(yè)可能無需配備專門的網絡IT管理和復合型的專業(yè)技術人才所有的維護工作全部由ASP運營商承擔這樣既整合了社會信息化的物質資源又整合了具有復合型技術的人才資源；（3企業(yè)只需面對ASP運營商一家單位即可滿足多方面的信息化應用需求，既省時又省力；（4）企業(yè)無需承擔應用系統(tǒng)被淘汰、網絡結構被淘汰、網絡硬件和軟件系統(tǒng)被淘汰和系統(tǒng)性能降低的風險事實上所有的風險都由ASP運營商承擔并化解。5．創(chuàng)立一種全新的經營模式。例如，通過網絡銷售和交付數字產品整個交易的全過程都通過網絡完成如前所述此類交易模式可以消除傳統(tǒng)交易模式對于時間、空間的依賴和限制。電子商務的開展程度影響被審計單位需要應對的風險的性質。只要被審計單位建立了網站就會遇到安全問題即使不存在第三方交互式訪問僅僅提供信息的網頁也可能為訪問被審計單位的財務記錄提供一個入口如果網站被用于與商業(yè)伙伴進行交易或系16統(tǒng)高度集成，則基本安全架構和相關控制預期將會更加復雜。有鑒于此本準則第十三條規(guī)定隨著被審計單位開展電子商務程度的加深以及內部系統(tǒng)更加集成化和復雜化新的交易方式與傳統(tǒng)業(yè)務活動的差異可能更加明顯，并可能導致新的風險。注冊會計師應當了解電子商務的開展程度如何影響被審計單位需要應對的風險的性質。第五節(jié)被審計單位的外包安排本準則第十四條規(guī)范了注冊會計師對被審計單位與電子商務相關的外包安排的考慮。一、被審計單位使用服務機構工作的情形被審計單位可能在下列方面使用服務機構的工作：（1）提供電子商務運作所需的全部或部分信息技術支持；（2與電子商務相關的其他工作包括訂單履行商品交付、呼叫中心運轉，以及某些會計工作等。許多被審計單位并不具備建立和運營電子商務所需的內部系統(tǒng)的技術知識因此可能需要依賴服務機構例如互聯網服務提供商（ISP、應用服務提供商（ASP）和數據服務公司，以提供電子商務運作所需的全部或部分信息技術支持另外被審計單位也可能使用服務機構從事與電子商務相關的其他工作，例如訂單履行、貨物交付呼叫中心運轉以及某些會計工作等由此可見被審17計單位與電子商務相關的服務外包可能包括兩部分一是以獲取信息技術支持為目的的外包二是與信息技術沒有直接聯系的普通服務外包。在滿足信息技術需求方面被審計單位使用的服務機構包括互聯網服務提供商應用服務提供商和數據服務公司等本章第四節(jié)對應用服務提供商（ASP）已作介紹，這里再簡單介紹一下互聯網服務提供商和數據服務公司?；ヂ摼W服務提供商又稱為互聯網接入服務提供商（InternetAccessProvider，縮寫為IAP，是提供互聯網接入服務的機構。這類機構通常向電信運營商租入網絡和電信碼號資源然后再以一定的租費將用戶名登陸賬號密碼登錄方式等提供給用戶用戶即可按此登錄到互聯網ISP除了向個人提供服務以外也為大企業(yè)提供服務即可以通過企業(yè)的內部網直接訪問互聯網各個不同的ISP之間也可通過網絡訪問點（NetworkAccessPoint）實現互聯互通。數據服務公司又稱為數據托管公司依托電信運營商的網絡平臺為企業(yè)提供業(yè)務財務等方面數據的托管服務使企業(yè)可以更專注于業(yè)務的拓展與開發(fā)同時節(jié)省企業(yè)運作成本其主要優(yōu)勢在于一是節(jié)省企業(yè)的信息技術基礎設施建設費用企業(yè)無須建立自己的中心電腦機房以放置核心路由器及服務器也不用擔心由于搬遷而造成的資源再建設費用二是節(jié)省企業(yè)的人力資源即可以以更精簡的技術人員配置完成用戶企業(yè)的網絡需求從而降低了對用18戶企業(yè)自身信息技術資源和能力的要求。二注冊會計師對被審計單位使用服務機構的考慮的總體要求在被審計單位使用服務機構的情況下服務機構采用和保持的某些政策程序和記錄可能與被審計單位財務報表審計相關注冊會計師應當按照《中國注冊會計師審計準則第1212號——對被審計單位使用服務機構的考慮的規(guī)定考慮被審計單位的外包安排及相關風險的應對措施，以確定其對審計的影響。第四章 識別風險本準則第四章（第十六條至第二十一條，主要說明注冊會計師如何識別與電子商務相關的風險如何審核被審計單位的風險識別和應對措施，以及對與電子商務相關的法律法規(guī)事項的考慮。第一節(jié) 與電子商務相關的經營風險一、與電子商務相關的經營風險的主要類型本準則第十六條列舉了管理層可能面臨的下列各種與電子商務相關的經營風險：（一）無法保證交易的完備性所謂交易的完備性是指被審計單位記錄和處理財務記錄所依據的信息的完整性準確性及時性和是否經過授權在電子商務19環(huán)境下由于信息技術的固有特點一方面可以提高被審計單位處理交易的效率和效果，另一方面也會產生以下特定風險：（1系統(tǒng)或程序未能正確處理數據或處理了不正確的數據，或兩種情況同時并存；（2）在未得到授權情況下訪問數據，可能導致數據的毀損或對數據不恰當的修改包括記錄未經授權或不存在的交易或不正確地記錄了交易；（3）信息技術人員可能獲得超越其履行職責以外的數據訪問權限，破壞了系統(tǒng)應有的職責分工；（4）未經授權改變主文檔的數據；（5）未經授權改變系統(tǒng)或程序；（6）未能對系統(tǒng)或程序作出必要的修改；（7）不恰當的人為干預；（8）數據丟失的風險或不能訪問所需要的數據。上述特定風險的存在使電子商務環(huán)境下保證交易完備性的難度比傳統(tǒng)業(yè)務模式下的難度更大尤其在缺少充分的審計軌（無論是紙質還是電子形式）時，該風險的影響將更大。（二）電子商務安全風險電子商務安全風險包括顧客員工和其他人士通過未經授權的訪問實施舞弊的可能性以及病毒攻擊等是一類廣泛存在的風險目前用于支持互聯網應用的操作系統(tǒng)和應用程序或多或少都存在安全漏洞絕對安全的系統(tǒng)是不存在的互聯網的廣泛應用使20計算機病毒的傳播較以往更快典型的電子郵件病毒可以在幾小時內擴散到全世界造成大面積的網絡癱瘓同時某些人出于謀取不正當經濟利益或者炫耀自己的網絡技術等不良動機可能會對網站實施非法的訪問或者攻擊，竊取或者篡改網絡上存儲的機密數據，即所謂黑客行為。（三）運用不恰當的會計政策電子商務的運用可能導致運用不恰當的會計政策包括收入確認網站開發(fā)成本等支出的處理與產品質量保證相關的預計負債的確認、外幣折算等問題。1．收入確認問題。（1）被審計單位在交易中是當事人還是代理人，銷售收入應當是總額確認還是僅僅將傭金確認為收入；（2如果允許其他單位或個人使用本單位網站上的廣告空間，那么如何確定和結算廣告收入，如使用非貨幣性交易方式等；（3）數量折扣和促銷優(yōu)惠的處理，如免費提供一定價值的貨物。（4）截止的恰當性，如是否只有當貨物和勞務已提供后才確認收入。2．網站開發(fā)成本等支出的資本化或費用化處理。根據《企業(yè)會計準則第6號——無形資產第八條第九條的規(guī)定企業(yè)內部研究開發(fā)項目研究階段的支出應當于發(fā)生時計入當期損益企業(yè)內部研究開發(fā)項目開發(fā)階段的支出同時滿足5項條件的才能確21認為無形資產。因此對于網站開發(fā)成本支出的資本化或費用化問題，在很大程度上取決于被審計單位和注冊會計師的職業(yè)判斷。3．與產品質量保證相關的預計負債的確認問題。是否需要確認與產品質量保證相關的預計負債首先取決于根據所簽署的交易合同被審計單位是否承擔與產品質量保證相關的責任和風險在電子商務環(huán)境下由于交易平臺和交易方式的復雜性對這一問題的判斷可能較為復雜其次某些產品和勞務只能通過直接電子商務的方式提（例如網上收費的軟件使用許可網上收費的音樂下載等，這些產品的特性不同于傳統(tǒng)產品，從而在產品質量保證責任的估計方面也可能導致新的問題出現。4．外幣折算問題。由于互聯網“無國界”的特點，通過互聯網完成的電子商務交易中跨國或跨地區(qū)交易所占比重較大。相應地，外幣折算問題也就比較多見。（四）未能遵守稅法和其他法律法規(guī)目前世界上尚無一部比較完整系統(tǒng)得到各國公認的電子商務交易基本法律或者國際公約各國對于電子商務的規(guī)范主要還是依據本國的國內法傳統(tǒng)的商事法律是以傳統(tǒng)交易模式為基礎制定的由于電子商務交易形式的特殊性傳統(tǒng)商事法律在某些方面可能不適用，因而可能存在一些法律法規(guī)監(jiān)管的“空白地帶，相應地交易各方之間出現糾紛的可能性也相對較大另外對于電子商務交易的征稅問題各國的規(guī)定也很不相同因此被審計單位應當注意防范與電子商務相關的稅務風險尤其在通過互聯網22開展跨國或跨地區(qū)電子商務交易時更容易出現此類情況。（五）無法保證僅以電子形式存在的合同具有約束力根《中華人民共和國電子簽名法第三條的規(guī)定當事人約定使用電子簽名、數據電文的文書，不得僅因為其采用電子簽名、數據電文的形式而否定其法律效力第七條規(guī)定數據電文不得僅因為其是以電子光學磁或者類似手段生成發(fā)送接收或者儲存的而被拒絕作為證據使用這些規(guī)定為僅以電子形式存在的合同具有約束力提供了法律依據但是該法同時為數據電文如何才能具備法律效力規(guī)定了一定的條件被審計單位在電子商務活動中只有確保僅以電子形式存在的合同完全符《中華人民共和國電子簽名法》的有關規(guī)定，才能保證該合同具有約束力（如果涉及跨國、跨地區(qū)的電子商務交易則還需要符合對方所在國家或地區(qū)的相關法律法規(guī)。如果由于內部控制不完善、制度設計不合理等原因，導致僅以電子形式存在的合同因不符《中華人民共和國電子簽名法的有關規(guī)定而不具有法律效力則被審計單位可能面臨較大的經營風險。為此注冊會計師在審計中應當關注僅以電子形式存在的重要合同的法律效力問題必要時應當咨詢信息技術專家和熟悉電子商務相關法律事務的律師。（六）過度依賴電子商務被審計單位過度依賴電子商務的重要表現之一是將重要的經營系統(tǒng)置于互聯網上或將重要商業(yè)交易通過互聯網完成電子商23務的開展固然可以提升交易的效率和效益，增強企業(yè)的獲利能力。但是過度依賴電子商（例如全部交易均通過電子商務形式實現，可能導致經營風險總體水平增大。（七）系統(tǒng)和基礎架構失效或崩潰電子商務是建立在現代信息技術基礎上的目前計算機信息技術已經比較成熟并獲得廣泛應用但是仍然不能排除系統(tǒng)或者基礎架構失效或崩潰的可能性例如網站可能由于硬件故障網絡連接中斷瞬間的高流量等原因而在一段時間內無法訪問或者可能發(fā)生服務器操作系統(tǒng)“死機和數據丟失等軟件故障這些情況將會對電子商務活動的正常進行產生不利影響因此被審計單位需要建立數據即時備份服務器備份等制度以使此類問題對企業(yè)可能造成的損失降至最低限度。二、識別電子商務中可能導致經營風險的事項、交易和慣例由于存在上述導致經營風險的事項本準則第十七條規(guī)定注冊會計師應當利用對被審計單位及其環(huán)境的了解識別電子商務中可能導致經營風險的事項、交易和慣例。注冊會計師應當考慮哪些經營風險可能導致財務報表出現重大錯報或對注冊會計師應實施的審計程序或所出具的審計報告有重大影響。三、考慮被審計單位的風險應對措施本準則第十八條規(guī)定注冊會計師應當關注被審計單位是否運用適當的安全基礎架構和相關控制應對電子商務中出現的某些經24營風險。這些安全基礎架構和相關控制一般包括旨在實現下列目的的措施：（1）驗證顧客和供應商的身份；（2）確保交易的完備性；（3）就交易條款（包括交貨、信用條款、爭議解決程序等）達成一致其中可能涉及對交易和程序的執(zhí)行情況留下線索以確保交易的一方事后不能否認曾經就特定條款達成協(xié)議；（4）獲得顧客的付款，或確保對顧客授信的安全性；（5）建立信息保密機制，訂立信息保護協(xié)議。第二節(jié)與電子商務相關的法律法規(guī)事項一、與電子商務環(huán)境密切相關的法律法規(guī)任何商務活動都是在一定的法律法規(guī)框架下進行的電子商務也不例外但是由于電子商務的特殊性它面臨著一些不同于傳統(tǒng)商務模式下的特有法律法規(guī)事項本準則第十九條規(guī)定注冊會計師應當考慮被審計單位是否已恰當處理與電子商務環(huán)境密切相關的下列法律法規(guī)問題：1．隱私權保護。隱私權保護的核心是確保用戶網上注冊信息和其他個人信息的私密性，未經用戶同意或者法律法規(guī)特別要求，不得泄露給第三方。252．對特定行業(yè)的管制。我國已經針對一些特定行業(yè)（如網上銀行互聯網出版等的網上交易制定了專門的法律法規(guī)對于從事這些特定行業(yè)的電子商務活動的被審計單位注冊會計師應當關注其對相關法律法規(guī)的遵守情況。3．合同的強制執(zhí)行效力。如前所述，僅以電子形式存在的合同必須符《中華人民共和國電子簽名法對數據電文和電子簽名有效性條件的各項規(guī)定，才能具有法律效力。4．特殊交易或事項的合法性。例如，在某些國家或地區(qū)，通過互聯網進行博彩活動可能是合法的但在大部分國家和地區(qū)則被認為是非法的因此對于交易各方均處于同一國家或地區(qū)的電子商務活動必須符合所在國家或地區(qū)的法律法規(guī)規(guī)定對于跨國或者跨地區(qū)的電子商務活動應當確保同時符合所有交易各方所在國家或地區(qū)的相關法律法規(guī)只有這樣才能最大限度地降低違反法律法規(guī)的風險。5．反洗錢。洗錢是指將毒品犯罪、黑社會性質的組織犯罪、恐怖活動犯罪走私犯罪貪污賄賂犯罪破壞金融管理秩序犯罪、金融詐騙犯罪的違法所得及其產生的收益通過各種手段掩飾隱瞞其來源和性質使其在形式上合法化的行為由于互聯網的便捷“無國界的特點在互聯網上通過各種貌似合法的手段進行洗錢活（甚至是跨國或跨地區(qū)的洗錢活動也遠較傳統(tǒng)交易模式快速方便因此對于網上銀行等通過互聯網從事金融業(yè)務的企業(yè)，需要關注和及時報告大額和可疑的交易反洗錢的任務將比以往傳26統(tǒng)交易模式下更為繁重同時從事其他電子商務交易的企業(yè)也要防范他人利用與本企業(yè)的交易或者本企業(yè)所提供的交易平臺進行洗錢的可能性，依法履行法律法規(guī)規(guī)定的報告義務。6．知識產權保護。近年來，互聯網上的侵犯知識產權案件時有發(fā)生例如提供盜版軟件或者盜版音像制品的下載等嚴重侵犯了知識產權所有人的權益為此各國普遍加大了對互聯網上的侵犯知識產權行為的打擊力度我國已經出《信息網絡傳播權保護條例，對信息網絡上的著作權和其他知識產權的保護專門作出規(guī)范被審計單位在從事電子商務時應注意避免侵（包括非故意地損害）他人所擁有的知識產權。由于與電子商務相關的法律法規(guī)事項的重要性和復雜性在某些情況下當考慮由被審計單位的電子商務活動所產生的法律法規(guī)事項時注冊會計師可能需要征詢在電子商務方面具有特殊專長的律師的意見。二、對與電子商務相關的稅務事項的考慮在第十九條對與電子商務相關的法律法規(guī)事項作了總體規(guī)范的基礎上本準則第二十條規(guī)定注冊會計師應當對跨國或跨地區(qū)電子商務涉及的不同司法管轄區(qū)內的稅務事項予以考慮。目前尚不存在一個綜合性國際性的電子商務法律框架也不存在可以對這樣的框架提供支持的高效率的基礎架構，如電子簽章文檔注冊爭議解決和消費者保護機制等不同司法管轄區(qū)的法律框架在電子商務的承認方面是存在差異的與跨國或跨地區(qū)電27子商務活動相關的法律法規(guī)事項的一個重要特征就是不同國家和地區(qū)在電子商務立法方面存在一定差異所以在跨國或跨地區(qū)的電子商務中注冊會計師應當考慮被審計單位是否對電子商務涉及的不同司法管轄區(qū)內的法律法規(guī)差異有足夠的了解并遵守所有適用的法律法規(guī)。由于電子商務具有一系列不同于傳統(tǒng)商務活動的特點因此原先主要以傳統(tǒng)商務活動為依據的稅務法規(guī)可能不完全適用于電子商務目前有些國家和地區(qū)已經制定了專門針對電子商務的稅收法律法規(guī)而有些國家尚未制定不同國家針對電子商務的稅收法律法規(guī)的規(guī)定也不盡一致因此從事電子商務的企業(yè)不僅要熟悉本國或本地區(qū)關于電子商務的稅收法律法規(guī)的規(guī)定而且如果從事跨國或者跨地區(qū)的電子商務還要熟悉交易對方所在國家或地區(qū)的相關稅收法律法規(guī)。注冊會計師尤其要考慮被審計單位有無適當的程序確認其在不同司法管轄區(qū)內的納稅義務（特別是營業(yè)稅、增值稅等流轉稅。可能導致電子商務交易產生相應納稅義務的因素包括：（1）被審計單位的法定注冊地；（2）被審計單位的實際經營所在地；（3）被審計單位網絡服務器所在地；（4）商品和服務的來源地；（5）顧客所在地，或商品交付地和勞務提供地。不同司法管轄區(qū)可能根據上述各項因素中的一項或者多項作28為判斷在本司法管轄區(qū)內是否承擔納稅義務的標準注冊會計師應當根據適用的稅收法律法規(guī)的規(guī)定，結合電子商務交易的實際情況確定被審計單位是否已經充分恰當地確認了在不同司法管轄區(qū)內的納稅義務，是否存在低估應交稅金和相關成本費用的情形。三、對與電子商務有關的違反法律法規(guī)行為的考慮本準則第二十一條規(guī)定注冊會計師應當按《中國注冊會計師審計準則第1142號——財務報表審計中對法律法規(guī)的考慮》的規(guī)定實施相關程序充分考慮被審計單位可能存在的違反與電子商務有關的法律法規(guī)的行為及其可能對財務報表產生的重大影響。必要時，應當考慮征詢法律意見。按照《中國注冊會計師審計準則第1142號——財務報表審計中對法律法規(guī)的考慮》的規(guī)定，注冊會計師應當：（1）在設計和實施審計程序以及評價和報告審計結果時，充分關注被審計單位違反法規(guī)行為可能對財務報表產生重大影響；（2）在計劃審計工作時，總體了解適用于被審計單位及其所處行業(yè)的法律法規(guī)，以及被審計單位如何遵守這些法律法規(guī)；（3）在獲得總體了解時，特別關注某些法律法規(guī)可能導致對被審計單位經營活動產生重要影響的經營風險即違反法律法規(guī)可能導致被審計單位停業(yè)或對其持續(xù)經營產生重大影響。注冊會計師在前述總體了解的基礎上實施進一步審計程序以有助于識別被審計單位在編制財務報表時應當考慮的違反法規(guī)行為如果根據職業(yè)判斷某一法律法規(guī)事項可能導致財務報表產生29重大錯報或對注冊會計師所實施的程序或所出具的審計報告產生重大影響，注冊會計師應當考慮管理層對此問題所作的反應。第五章 對內部控制的考慮本準則第五章（第二十二條至第三十一條，主要說明在電子商務環(huán)境下注冊會計師考慮被審計單位內部控制的總體要求以及注冊會計師對安全性控制、交易完備性控制和流程整合的考慮。第一節(jié)總體要求一、考慮與電子商務相關的內部控制的設計本準則第二十二條要求注冊會計師應當按《中國注冊會計師審計準則第1211號——了解被審計單位及其環(huán)境并評估重大錯報風險》和《中國注冊會計師審計準則第1231號——針對評估的重大錯報風險實施的程序的規(guī)定考慮被審計單位在電子商務中運用的與審計相關的內部控制。在電子商務環(huán)境下內部控制的一個重要特點是基于信息技術的自動化控制所占比重較大很多關鍵的控制功能是通過內置于被審計單位用于支持電子商務的信息技術系統(tǒng)中的應用控制實現的。同時，網絡環(huán)境也對內部控制的完備性和可靠性提出了更高的要求尤其需要通過內部控制保證數據和系統(tǒng)的安全性和交易的完備30性電子商務環(huán)境下內部控制的復雜程度與信息技術系統(tǒng)的復雜程度直接相關，電子商務系統(tǒng)與其他信息技術系統(tǒng)的一體化程度越高，控制也就越復雜。信息技術通?？梢栽谀承┓矫嫣岣弑粚徲媶挝粌炔靠刂频男屎托Ч且矔箖炔靠刂飘a生特定風險因此注冊會計師應當充分考慮電子商務環(huán)境下內部控制的特點關注被審計單位內部控制的設計是否完（尤其是其中人工成分和自動化成分的劃分是否恰當，是否得到一貫執(zhí)行，以及運行是否穩(wěn)定、可靠。二、考慮實施控制測試在要求考慮與電子商務相關的內部控制的設計的基礎上本準則第二十二條進一步規(guī)定在某些情況下僅依靠實施實質性程序不足以將審計風險降至可接受的低水平注冊會計師應當實施控制測試，并考慮使用計算機輔助審計技術。這些情況主要包括：（1）電子商務系統(tǒng)高度自動化;（2）交易量過大；（3）未保留包含審計軌跡的電子證據。在電子商務系統(tǒng)高度自動化的情況下審計證據可能僅以電子形式存在其充分性和適當性通常取決于自動化信息系統(tǒng)相關控制的有效性注冊會計師應當考慮僅通過實施實質性程序不能獲取充分、適當審計證據的可能性。三、電子商務環(huán)境下注冊會計師需重點考慮的控制本準則第二十三條規(guī)定當被審計單位從事電子商務時注冊31會計師應當考慮與電子商務相關的安全性控制交易完備性控制和流程整合注冊會計師還應當考慮下列內部控制中與審計特別相關的方面。1．在快速變化的電子商務環(huán)境中保持控制程序的完備性。電子商務作為一個新興的領域很多方面尚未完全定型而作為其基礎的信息技術的發(fā)展更是一日千里從事電子商務的被審計單位不僅與傳統(tǒng)企業(yè)一樣面臨著市場環(huán)境的變化需要相應調整其經營方式和經營策略還要根據信息技術的發(fā)展情況及時進行系統(tǒng)升級和相應的流程調整前已述及電子商務環(huán)境下內部控制的重要特點之一是自動化成分所占比重大而自動化控制主要是固化于相關信息技術系統(tǒng)中的在信息技術系統(tǒng)升級和流程調整過程中必然需要對控制程序進行相應的更新和優(yōu)化使之與新的系統(tǒng)流程相適應和相銜接此時如何保持控制程序的完備性避免出現控制漏洞，是被審計單位和注冊會計師都需要關注的重要問題。2．確保能夠訪問相關記錄，以滿足被審計單位和注冊會計師審計的需要能隨時訪問電子商務系統(tǒng)的相關數據庫記錄既是被審計單位有效開展經營活動的需要也是注冊會計師在審計中及時獲取所需數據的需要注冊會計師應當關注在被審計單位的信息技術系統(tǒng)中檢索相關數據的便捷性響應速度以及訪問結果的正確性和完整性。32第二節(jié) 安全性控制一、考慮安全基礎架構和相關控制當外部有關方面可使用公共網絡（如互聯網）訪問被審計單位的信息系統(tǒng)時被審計單位的安全基礎架構和相關控制就構成了其內部控制系統(tǒng)的一個極其重要的組成部分根據本準則第二十四條的規(guī)定在這種情況下注冊會計師應當考慮被審計單位的安全基礎架構和相關控制是否足以應對與電子商務交易的記錄和處理相關的安全性風險。衡量信息安全與否主要看其是否滿足有關合法授權真實性、保密性完整性不可否認性及可獲得性等方面的要求被審計單位通常通過建立安全基礎架構和相關控制來應對與電子商務交易的記錄和處理相關的安全性風險安全基礎架構和相關控制通常包括信息安全政策信息安全風險評估以及在引入和維護各系統(tǒng)的過程中均應遵循的標準措施實務慣例和程序包括針對實物的安全防護措施以及邏輯與其他技術方面的安全保護措施例如用戶身份識別、密碼和防火墻等。二、考慮相關事項對財務報表認定的潛在影響本準則第二十五條規(guī)定注冊會計師應當考慮下列事項對財務報表認定的潛在影響：（1）有效使用防火墻和病毒防護軟件，以保護其系統(tǒng)免受未經授權或有害的軟件、數據或其他電子形式的材料的入侵；33（2）有效使用加密技術，例如，通過對解密密鑰的授權等措施確保信息在傳遞過程中的私密性和安全性通過對私人解密密鑰的控制和安全防護等措施，防止加密技術的不當使用；（3）對用于支持電子商務活動的系統(tǒng)的開發(fā)和運行的控制，此類控制是信息技術一般控制的重要組成部分是包括自動化控制在內的信息技術應用控制有效發(fā)揮作用的基礎；（4）當出現的新技術可能危害互聯網安全時，現有的安全控制是否仍然有效；（5）控制環(huán)境能否對所采用的控制程序提供支持?？刂骗h(huán)境包括治理職能和管理職能以及治理層和管理層對內部控制及其重要性的態(tài)度認識和措施控制環(huán)境在內部控制的各要素中居于基礎地位同時內部控制的各要素之間也應當互相適應和配合沒有恰當的控制環(huán)境單純的技術措施是難以有效發(fā)揮應有作用的例如雖然某些控制程（如基于數字證書的加密系統(tǒng)在技術上是先進的但是如果控制環(huán)境薄（如證書保管不善密碼任意泄露，員工之間任意互相串用計算機等，這些控制程序可能難以有效地發(fā)揮作用。上述各事項反映了被審計單位的安全性控制在設計方面的完備性和在執(zhí)行方面的有效性對被審計單位財務報表各項目及其相關認定均有不同程度的影響。34第三節(jié) 交易完備性控制一、交易完備性控制包含的內容本準則第二十六條規(guī)定，注冊會計師應當考慮交易完備性控制包括被審計單位會計處理所依據信息的完整性準確性及時性以及是否經過授權。二、針對信息完備性所實施的審計程序本準則第二十七條規(guī)定注冊會計師針對會計系統(tǒng)中與電子商務交易相關的信息完備性所實施的審計程序主要涉及評估用于采集和處理此類信息的系統(tǒng)的可靠性。在一個復雜的系統(tǒng)中一個起因事（如通過互聯網接收到顧客的定單會自動啟動該項交易處理流程中的其他各項步驟因此，針對復雜的電子商務實施的審計程序與針對傳統(tǒng)業(yè)務活動實施的審計程序不同后者通常側重于與交易信息的采集和處理有關的每一階段的控制流程而在針對復雜電子商務實施審計程序時注冊會計師應當重點考慮在交易信息的采集和即時自動化處理中與交易完備性相關的自動化控制。三、與交易完備性相關的控制本準則第二十八條規(guī)定在電子商務環(huán)境中與交易完備性相關的控制通常用于下列方面。1．驗證輸入。即通過事先設定的合理性校驗條件（如數據類型、金額等數字的取值范圍等，使系統(tǒng)拒絕接受不符合校驗條件35的輸入例如系統(tǒng)規(guī)定金額字段必須為數值型數據如果用戶在金額字段中輸入文字系統(tǒng)應拒絕接受并予以提示又如規(guī)定某一金額的取值范圍在0.01～10000之間，如果用戶輸入了負數或零，或者大于10000的數字，系統(tǒng)也應拒絕接受。對于較為復雜的輸入內容為了盡最大可能防范輸入差錯常使用冗余位數校驗的方法對輸入的正確性自動進行合理性檢查例如，我國現行的公民身份號碼為18位，其中最右邊一位就是校驗碼。在具有公民身份號碼合理性校驗功能的系統(tǒng)中，用戶輸入18位的公民身份號碼后，系統(tǒng)可以對其前面的17位按照一定的規(guī)則進行運算將運算結果與校驗碼相比較如果不符則表明可能存在輸入錯誤此時系統(tǒng)將顯示提示信息要求用戶再次檢查輸入的正確性當然自動化系統(tǒng)中的此類校驗功能只是一種邏輯合理性的檢查，并不能完全預防和發(fā)現所有可能的輸入差錯。2.防止交易的重復記錄或遺漏例如通過設置關鍵字的唯一性控制如果用戶在兩條記錄的同一字（如訂單號碼中輸入了相同的關鍵字系統(tǒng)就應當及時發(fā)現并給出諸“關鍵字重復的提示信息對于防止交易記錄的遺漏可采用控制總數等控制程序實現。3.確保在處理訂單之前交易雙方已就交貨條件和信用條件等交易條款達成一致有些企業(yè)的交易條款還可能要求在簽訂單時即支付款項。4.區(qū)分顧客的瀏（例如一般性的詢價和正式訂單確保交36易的一方事后不能否認已達成一致的特定條款必要時還應確保交易是與經核準的交易方進行的例如檢查交易對方是否已被列入“可信任的顧客清單；或者檢查本次交易金額是否在規(guī)定的交易限額以內或者該顧客的應收賬款余額是否未超過信用管理部門設定的限額等。5.確保所有步驟均已完成并得以記錄或拒絕未完成所有步驟的訂單以防止出現處理不完整的情況例如在一項企業(yè)對顧客的交易中，訂單已接受、款項已收到、貨物已交付或勞務已提供、會計系統(tǒng)中的數據已相應更新，這時的處理是完整的。6.確保交易的詳細信息在同一網絡內的多個系統(tǒng)之間適當分配。例如，某企業(yè)的局域網中設有多個功能相仿的數據處理系統(tǒng)，數據采集通過統(tǒng)一的入口集中進行再將采集到的信息自動傳遞給不同的資源管理者以執(zhí)行交易這時數據采集與分配系統(tǒng)的智能化程度就會對所采集的數據在這些系統(tǒng)之間的分配和處理情況產生較大的影響從而最大限度地促進合理利用網絡和計算機軟硬件資源。7.確保記錄得到適當保管備份和保護用于實現這一目標的控制既有信息技術一般控制也有應用控制一般控制包括建立定期備份制度以及對備份信息的保存方式保存地點保存期限和相關安全防護措施作出的規(guī)定等應用控制包括在應用系統(tǒng)中設置強制備份或者即時備份模塊等。37第四節(jié) 流程整合一、關于流程整合本準則第二十九條指出流程整合是指將多個信息技術系統(tǒng)集成，使之實質上如同一個系統(tǒng)運轉的過程。在電子商務環(huán)境中由被審計單位的網站生成的交易應當由被審計單位的內部系（如會計系統(tǒng)客戶關系管理系統(tǒng)存貨管理系統(tǒng)等通常稱“后臺辦公室系統(tǒng)予以適當處理網站與被審計單位內部系統(tǒng)的自動集成程度越高，數據處理的效率也就越高但與此同時前后臺系統(tǒng)之間聯系的緊密也可能導致以下風險的增加，需要被審計單位建立適當的控制加以應對：（1）因系統(tǒng)過于復雜而導致出錯可能性提高的風險，對系統(tǒng)的可靠性提出了更高的要求；（2）因前后臺系統(tǒng)直接集成，而導致未經授權的人士通過前臺系統(tǒng)進入后臺系統(tǒng)竊取商業(yè)秘密數據，或者進行未經授權的增加、修改、刪除操作的可能性增大；（3）因過濾無效數據的控制存在欠缺，導致前臺系統(tǒng)接受的錯誤輸入直接進入后臺的業(yè)務處理系統(tǒng)和會計系統(tǒng)其造成的后果遠較集成程度較低時嚴重。