电子商务的风险管理与审计研究
摘要:电子商务尽管现在处于低潮期,但是作为重要的变革力量,它仍然是21世纪的一个必然趋势。另外,电子商务发展受阻的一个重要原因就是电子商务的安全问题,这一问题影响了消费者的决策,也极大地改变了企业的整个风险结构。本文从外部审计与内部审计两个角度分析了审计可以在应对电子商务风险中发挥的重要作用。从外部审计来看,数据完整性与机密性是网站审计与认证的重要方面,从内部审计来看,审计应该在包括了电子商务风险的全面风险管理框架内发挥重要的作用。
关键词:电子商务,风险管理,审计
20世纪90年代以来,信息技术特别是互联网技术的飞速发展促进了传统商业模式的变革,通过互联网等电子传输手段实现的商务活动降低了交易成本,提高了商务效率和效益,这就是电子商务。尽管由于信息基础设施建设、法律法规和安全等问题的影响使电子商务的发展进人了一个相对低潮期,但是信息技术与网络对我们生产生活方式的改变已经是不可逆转的历史潮流,而且一旦一些基本问题得到解决,电子商务的发展也必将是不可阻挡的。在所有的阻碍电子商务发展的问题中,风险与安全不仅为使用电子支付手段的消费者所关心,也是所有希望采用新技术拓展自己的业务领域、取得竞争优势的企业所关心的问题。审计在电子商务风险的管理中发挥着重要作用,这一点不仅表现在外部审计师对电子商务提供的完整性与安全性保证服务的评估上,也硕士论文代写表现在内部审计师在全面风险管理(ERM)的框架下对电子商务风险进行系统全面的监测与管理。
一、电子商务风险
在所有阻碍电子商务发展的因素中,风险与安全是一个主要方面。只有在消费者的财产、隐私,企业的资产、商业机密以及数据得到有效保护之后,电子商务才有可能得到迅猛发展。我们将由于应用电子商务给消费者与企业带来的风险称为电子商务风险,并将其分为信息技术风险与商务风险两个层面:
1.信息技术风险
电子商务依赖于信息技术与网络,但作为正在迅速发展中的技术,特别是网络,都具有很大的风险。信息技术风险主要发生在企业内部和企业与互联网的数据传输与交换过程中。根据经济学家情报社等的界定,信息技术风险主要包括以下几种:
(l)完整性风险(IntegrityRisk):数据不完整、不准确或者数据未经授权被使用的风险。该风险在经济学家情报社的调查中被认为是对公司业务运行影响最大的风险(占被调查总数的74%)。
(2)准人风险(AccesSRISk):数据是否能够通过国际互联网被其他未被授权的人查看到。
(3)基础设施风险(InfrastructureRISk):某一组织因不具备信息技术基础设施造成的风险,这种基础设施是指能够以低成本、高效率的方式,以最佳控制模式有效地满足目前和未来商业需求的设施。主要包括:硬件、网络、软件、人员、_工作程序。
(4)获得性风险(AvailabilityRisk):数据能够在需要时给予提供,包括公司的光盘存储能力、系统短期中断、系统长期中断的风险。
(5)合适性风险(ApplicabilityRisk):由应用系统建立或总结出来的信息的适用性和及时性。不仅包括决策过程中所需信息的合适性风险,还包括经营运行过程中的合适性风险。上述这些技术风险是从对数据影响结果的角度提出的较为抽象的分类,但他们也已经包含了技术领域的主要风险类型。从影响的来源角度,我们提出更为直观的分类:
(1)来自公司内部和外部对公司重要数据、商业机密以及客户信息的未被授权的读取与删改,这一也就是我们通常所说的黑客行为。相应的措施是公司对外以及内部防火墙的建设。
(2)数据传输中被非法截取的风险。这种截取行为主要发生在信息在互联网上传输的过程中,比如电子商务中客户信用卡信息传送过程中被非法截取就有可能带来信用卡被盗用。
(3)公司信息系统本身开发的风险。如果公司信息系统以及电子商务交易系统开发中设计不合理,会带来运行困难以及频繁的对系统进行修改,这种情形造成公司成本的增加,并会对企业业务的连续性、原有客户的维持带来极大的负面影响。
(4)公司信息基础设施无法满足需要的风险。这指的是公司硬件设备无法满足需要,以及更换设备带来的风险。比如,公司服务器无法满足大量客户同时使用的需要会带来公司客户的流失。
2.商务风险
这里的商务风险指的是并非由于信息技术以及网络的原因,而是新的交易手段带来的商务方面的风险。主要包括以下几种:
(l)电子商务的交易一方否认的风险:交易的一方在正当的权限或义务的前提下拒绝承认,这是电子商务中最主要的商务风险,比如在下达了网上购买股票的指令后又拒绝承认曾经下达该指令,在达成协作合同后拒绝承认合同结果等等。这种风险来自于电子方式的易修改性,而不是信息系统与网络受到攻击或自身的不足。这需要电子商务系统能够提供数字签名等完善的认证服务。
(2)虚假的或者恶意的网站:该类网站通过消费者在虚假的电子商务网页提交信息,获取客户的信用卡号码以及其他私人信息,并将其用于非法目的。
(3)网站对消费者隐私的侵犯:电子商务网站将利用Cookie以及其他方式搜集到的客户信自、用于未告知或未准确告知的商业目的。很多网站向访问者发送COOkie,用于存储该访问者的唯一的身份号码,但由于cookie是未加密的tXt文件,很容易被盗取,另一方面,有些网站也使用COokie搜集访问者硬盘上的其他未被授权的信息,并将其用于商业目的,比如网络广告或出售给第三方。
(4)电子商务厂商公布信息的准确性:厂商未充分介绍自己的产品或者对自己的产品存在误告,从而影响购买方的决策。这种风险来自于我们是在一个虚拟的世界进行交易,无法看到实际的商品,从而给商业欺诈留有了可能。综上所述,电子商务在改造传统企业商务模式的同时,也给企业和消费者带来了新的风险,尽管不能完全消除风险,但每一种风险也都有它相应的解决方案,我们在这里不想详细介绍这些技术上的方法,而是考虑如何将对电子商务风险的管理融人企业全面的一体化的风险管理体系中。
二、外部审计师在电子商务中的作用
尽管外部审计师的传统业务是财务报表的鉴证,而且在这方面具有垄断地位,但是来自这方面的业务收人增长在20世纪90年代以后一直处于停滞状态。这种形势导致了1998年美国注册会计师协会(AIC-PA)先后成立了Eniott委员会和Cohen委员会,为审计行业确定了新的业务领域。对电子商务的鉴证就是一个主要方面。AICPA将能够对电子商务提供的保证服务主要分为两个方面:
1.完整性保证系统(integrityass盯anceSystem):电子交易中的数据要素是各方同意达成的,并且在数据处理与存储的过程中保持其完整性,没有未经授权的修改。
2.安全性保证系统(Securityass盯ancesystern):交易双方的身份验证以及电子数据没有未经授权的泄漏。外部审计师的工作一般以给通过考察的电子商务网站提供网络标识的方法加以确认,消费者可以根据这些标识了解该网站通过了哪些认证,并且可以通过查询这些第三方组织网站明确该标识的获得要求网站满足哪些条件。被考察的方面主要有:
1.数据安全(datasecurity):企业自身以及对消费者数据的保护。
2.商业政策(bu就nesopolicy):公司的发货、退货、收费等实务政策。
3.交易完整性(transaetionproee、、ingintegrity):处理交易事项的准确性。
4.数据隐私(dataPrivacy):公司对消费者个人隐私的保护。目前,这些标识包括有AICPA与加拿大特许会计师协会ClcA的WebTrust、TRuSTe、国际计算机安全协会(ICSA)的标识等等。值得注意的是,外部审计师对电子商务开展的新业务与其传统的财务报表审计业务具有完全一样的性质。这种业务的开展不会出现类似于安然事件所揭示的会计师同时进行审计与管理咨询业务可能带来的隐患。电子商务开展的一个主要障碍就是我们对电子商务诚信的怀疑,我国目前还没有类似的外部审计组织或者审计准则。如果我们引人外部审计师的审计,无疑将会极大地促进我国电子商务的标准化与可信性,从而促进电子商务的发展。
三、电子商务的风险管理与内部审计
现代企业面临着各种不同类别、不同性质的风险,对这些风险的管理也已经从原来一对一的管理经历数量化管理之后,进入了一个全面管理的新阶段。电子商务风险只是企业面临的诸多风险中的一种,过分强调或者完全忽视这种风险都是错误的,因此我们引人了全面风险管理的概念。
(一)全面风险管理ERM即公司整体风险管理,是近十年在西方开始产生并流行起来的一种有关企业风险管理工作的理论,尤其受到跨国公司和金融机构的大力推崇。风险管理长期以来也是保险公司的主要业务,因此财产保险精算协会(CAS,CasualtyActuarial50-ciety)对ERM作出了如下的定义:“公司整体风险管理是公司用以评估、控制、利用、应对、监控所有那些可能影响公司相关方的长短期价值的风险的流程。”要在公司内部实行全面风险管理,首先需要具备一些基础条件:#p#分页标题#e#
1.建立专门的公司全面风险管理组织。这包括有指定一个首席风险主管(ChiefRiskOfficer,CRO),成立归其管辖的风险管理委员会。该委员会负责全部风险管理活动,与CRO一起对CEO、CFO或者直接对董事会负责。
2.制定公司一体化风险管理框架,明确风险管理语言,还包括了对风险管理基础设施的购置。风险管理委员会应该设定一些风险管理的基本概念,比如不同类型风险的明确的自己独有的定义,从而能够统一公司员工对风险的认识。公司的基本风险结构也应该得到确认,从而明确哪些风险对公司的影响最大,应该给予最大的关注。
3.风险管理的过程没有终点。全面风险管理必须始终进行,对公司的经营、环境、技术等诸多因素进行全面的监测,并对风险水平的绝对变化与相对变化进行实时跟踪,及时调整自己的风险防范措施。
(二)将电子商务风险融人全面风险管理公司全面风险管理主要针对的是财务风险,目前还没有包含电子商务风险,如何将这种风险的识别、防范融人全面的风险管理框架,是我们不得不面对的课题。与企业的商业运营风险相比,电子商务风险的以下特点使得它难以融人一般风险管理过程:
1.难以量化。无论是哪种电子商务风险,他们都无法象利率风险、汇率风险那样通过统一的模型加以量化。比如网络黑客侵人带来的风险损失,我们甚至难以度量出这种侵人带来的平均的损失数额,因为我们难以得到类似情况下的历史资料,它们是其他企业的机密;而且即便我们得到这种估计,它也不具有很重要的意义,因为可以预计到,这种统讨一分布的方差太大了。
2.电子商务风险的预防与补救都与技术存在密不可分的关系。技术的进步不断地给现有安全措施带来新的挑战。安全技术的提升是电子商务风险管理的主要方式,但是更快的计算速度、更先进的算法的产生也给网络黑客带来了新的技术,同时,新技术与原有技术联接中的漏洞也是可乘之机。
目前的电子商务风险管理包括有以下几个主要方面:
1.公司信息系统安全漏洞的识别与评估。这里的安全漏洞既包括信息系统中硬件与软件设备的安全漏洞,也包括公司组织制度上的漏洞,比如,没有及时注销离职员工的用户名与密码等。这种漏洞的识别一般需要聘请专门的安全专家对公司的系统作出全面的调查,并作出对目前系统的改进建议。
2.文化管理。即对于人的因素的控制,需要建立经过周密研究,表达明确,并且得到最高管理层支持的政策与程序。员工应该被告知哪些行为是正确的,哪些行为是不安全的,并保证全公司员工都对本公司的风险管理战略有充分的了解。
3.灾害恢复计划(disasterrecoveryplan)。这里的灾害指的是自然灾害(比如地震、水灾等)以及其他对公司鲍整个信息系统造成全面破坏的事件。这种影响会造成公司商业运营的全面中断,比如一场大火造成保险公司的主机彻底无法运行,如果公司没有事先准备好备用主机,业务的中断可能在几个月内也无法恢复。这种计划包括备用主机、服务器的设置以及数据库的每日备份等。将电子商务风险融人全面风险管理框架的难点在于很难将这种风险量化,从而与市场风险等商业风险统一起来,进行实时监测并给出公司整体风险的一个单指标度量;但另一方面,由于电子商务风险往往与市场的运作,比如利率、汇率等价格因素没有太多的相关性,我们也就可以独立地考虑它对于公司整体VaR水平的影响。这种影响在某些信息设备与程序出现不安全的警示时,可以直接加总到公司整体VaR上面,这样就可以保证VaR的完整性。
因此,一体化的风险管理可以考虑按照如下的思路整合电子商务风险:
1.对电子商务风险设定非财务化监测工具。这种工具可以是数量化的,也可以是非数量化的。比如实时监测服务器访问者数量、使用嗅探器软件以及其他网络监视工具对公司内部网以及对国际互联网出口监测指标等。
2.根据上述指标估算对企业财务的影响,并据此计算增量VaR,将其作为参考计人公司整体VaR的度量。由于信息技术风险一般与市场风险没有相关性,因此,这一增量可以直接相加,可以作为一个并不很精确的部分用于对整体风险的补充与参考。
3.对电子商务风险实行与商业风险并行的另外一套防范方法。但是这种防范措施要与其他风险的防范一起进人风险管理的总的成本与人员控制。
(三)内部审计的组织架构
内部审计的作用主要体现在公司全面风险管理上。在现代的经济环境下,审计的职能已经发生了根本性的变化。审计从传统的财务审计已经过渡到了风险审计与内部控制,因此,西方的大公司一般都将风险控制职能放在审计部门,组成审计与内部控制委员会。电子商务的发展必然会进一步扩大内部审计的职能范围,将对电子商务的风险管理纳人其职责范围。我们在前面介绍全面风险管理程序时,曾提出首席风险主管向内部审计委员会提交风险报告,这种组织结构是假设审计与内部控制合为一体,因此首席风险主管应向他们报告。另一种组织结构可以是由审计与内部控制委员会的主管兼任首席风险主管,将这两个职能合而为一,这种结构将更适合于我们前面提出的将电子商务风险纳人全面风险管理的要求,更便于进行包含了电子商务风险的VaR的计算与风险监控。
电子商务的风险管理给外部审计与内部审计业务拓展带来了新的契机,同时也对审计人员的素质、知识结构提出了新的要求。审计如果想要得到新的业务,就必须对信息技术、网络技术及其相应的安全控制技术有充分的认识,这可能意味着审计师知识构成以及人员构成的根本性变化。能够接受这一新的理念很可能成为审计事务所以及内部审计部门能够长久持续发展的重要因素。