《中國註冊會計師審計準則第1633號》應用指南
《中國註冊會計師審計準則第1633號 ——電子商務對財務報表審計的影響》 應用指南 會協〔2007〕89號 制定機關:中國中國註冊會計師協會 2007年11月29日 有效期:2007年12月1日至今 |
第一章 總則
[編輯]《中國註冊會計師審計準則第1633號——電子商務對財務報表審計的影響》(以下簡稱本準則)第一章(第一條至第五條),主要說明電子商務的概念,註冊會計師在財務報表審計中考慮電子商務的目的和總體要求。
本準則與《中國註冊會計師審計準則第1201號——計劃審計工作》、《中國註冊會計師審計準則第1211號——了解被審計單位及其環境並評估重大錯報風險》以及《中國註冊會計師審計準則第1231號——針對評估的重大錯報風險實施的程序》的運用密切相關。
一、電子商務的含義
[編輯]本準則第三條明確了電子商務的定義。本準則所稱電子商務,是指被審計單位利用互聯網等公共網絡從事的商品購買和銷售、勞務接受和提供等交易活動。
「電子商務」一詞的英文通常有兩種寫法,即「e-commerce」和「e-business」。對於這些術語尚無已被普遍接受的定義。e-commerce和e-business兩個詞經常是相通的,但細究起來也有一些區別。e-commerce通常僅指交易活動(譬如貨物、勞務的購買和銷售),即狹義概念上的電子商務;e-business則指所有的業務活動,包括交易性的和非交易性的,譬如顧客關係與溝通等,即廣義概念上的電子商務。本準則所指的電子商務更偏重於其作為「交易活動」的含義,也就是狹義的概念。
二、電子商務的類型
[編輯]1.按照交易對象分類,電子商務可分為以下五類:
(1)企業對消費者(Business to Customer):利用計算機網絡使消費者直接參與經濟活動的形式,基本等同於電子化零售。
(2)發生於非特定企業之間:在開放的網絡中尋找最佳交易對象,並與交易對象進行從訂購到結算的全部交易行為。
(3)發生於特定企業之間:在過去一直有交易關係或者今後確定要繼續交易的企業間,為了相同的經濟利益,利用信息網絡共同進行設計開發或全面進行市場及庫存管理的行為。
以上(2)、(3)兩項一般統稱為Business to Business。
(4)發生於企業與政府之間,如電子化的政府採購以及電子政務等。
(5)發生於企業與其員工之間。
2.按照交易活動的內容分類,電子商務可分為以下兩類:
(1)間接電子商務。間接電子商務是對企業的傳統業務活動的補充。企業通過網絡實現的僅是傳統業務活動中的一個或若干個交易環節,其他交易環節仍需在網下以傳統方式完成。間接電子商務所交易的一般是具有實物形態的貨物和產品。
(2)直接電子商務。直接電子商務代表一種新的業務活動類別。從事這種商務活動的企業藉助互聯網,通過網站出售和交付數字產品,全部交易環節從訂購、交貨到付款,均在互聯網上完成,並且其所交易的是不具備實物形態的數字產品。
三、註冊會計師在財務報表審計中對電子商務考慮的總體要求
[編輯]使用計算機和網絡進行溝通和交易(如商業活動經常涉及與遠程計算機的交互作用,使用計算機網絡或電子數據交換)並不是商業環境的新特徵。但據本準則第四條規定,廣泛使用互聯網從事電子商務,產生了新的風險因素,需要被審計單位有效應對。註冊會計師應當考慮電子商務在被審計單位業務活動中的重要性,以及對重大錯報風險評估的影響。
電子商務在很多情況下是通過以互聯網為代表的公共網絡實現的。互聯網是由計算機網絡組合而成的世界範圍內的共享公共網絡,可以實現與世界範圍內的其他實體和個人的通信。它具有可共同操作和共同使用的特點,該特點意味着任何一台連入互聯網的計算機都可以與其他任何一台連入互聯網的計算機通信。互聯網作為一個公共網絡,與那些只允許經過授權的單位或個人訪問的私人網絡是不同的。使用這種公共網絡從事電子商務可能產生以下新的風險因素:
(1)數據高度集中於電子商務系統,易導致機密數據被他人拷貝,甚至可能被非法改動而且不留下任何痕跡;
(2)電子商務系統設計上存在缺陷,致使其無法判斷某些事件是否符合邏輯,因此對不合理的事項也會照樣處理;
(3)電子商務系統主要以磁盤、磁帶、光盤等存儲介質作為信息載體,記錄於這些存儲介質上的信息是肉眼不可見的,必須藉助計算機的「翻譯」,才能以人可以理解的形式表現出來,但同一信息可能被「翻譯」成不同的形式;
(4)利用磁性介質難以實現諸如簽字、蓋章等這些使信息證據化的操作,必須使用專用的電子簽名、電子印鑑等形式才能實現;
(5)電子商務系統對錯誤的處理具有重複性和連續性;
(6)電子商務系統中許多不相容職責相對集中,加大了舞弊的風險;
(7)系統設計時可能沒有考慮到審計工作的需要,沒有留下充分的審計線索;
(8)可能遭受計算機病毒的入侵和「黑客」對電子商務系統的故意破壞。
上述因素都可能使財務報表出現重大錯報的風險增大。此外,如果被審計單位廣泛使用互聯網從事電子商務但對風險缺乏應有的關注,可能會影響註冊會計師對風險的評估。為此,如果電子商務對被審計單位的經營活動具有重大影響,則註冊會計師在了解被審計單位及其環境並評估重大錯報風險,以及確定針對評估的重大錯報風險實施的程序的性質、時間和範圍時,均應考慮這些因素。
在被審計單位廣泛使用互聯網從事電子商務的情形下,註冊會計師應當考慮信息技術的運用,及其可能導致的被審計單位信息系統與業務流程難以融合等風險;在風險評估以及設計和實施進一步審計程序時,應當考慮內部控制的人工和自動化特徵及其影響;應當了解與信息處理有關的控制活動,包括信息技術一般控制和應用控制;應當關注信息技術戰略與經營戰略不協調、信息技術環境發生變化、安裝新的與財務報告有關的重大信息技術系統等事項和情況可能表明的被審計單位重大錯報風險。
信息技術的應用情況也是確定控制測試的性質、時間和範圍時的重要考慮因素之一。其中,由於信息技術處理過程的內在一貫性,註冊會計師可以利用自動化應用控制得以執行的審計證據和信息技術一般控制(特別是對系統變動的控制)運行有效性的審計證據,作為支持該項控制在相關期間運行有效性的重要審計證據。除非系統發生變動,註冊會計師通常不需要增加自動化控制的測試範圍。信息技術一般控制的有效性也是確定利用以前審計獲取的有關控制運行有效性的審計證據是否適當,以及再次測試控制的時間間隔時需要考慮的因素之一。
四、在財務報表審計中考慮電子商務的目的
[編輯]本準則第五條明確了註冊會計師在財務報表審計中考慮電子商務的目的。註冊會計師按照本準則的規定對電子商務進行考慮,旨在對財務報表形成審計意見,而非對電子商務系統或活動本身提出鑑證結論或諮詢意見。
在財務報表審計中,註冊會計師對電子商務的考慮僅限於其與財務報表編制和註冊會計師審計有關的部分,服務於財務報表審計的目標。其目的是確定所需實施的財務報表審計程序的性質、時間及範圍,而不是對電子商務進行專門的審核。因此,僅根據其在財務報表審計中所獲取的關於電子商務的審計證據,註冊會計師通常尚不足以對電子商務系統或活動本身提出鑑證結論或諮詢意見。
本準則主要針對被審計單位通過互聯網等公共網絡開展商務活動,但大部分條款也適用於被審計單位使用私人網絡的情況。類似地,儘管本準則的大部分內容有助於審計那些主要從事電子商務業務的公司,但並不能解決這類公司審計過程中的所有問題。
第二章 知識和技能的要求
[編輯]本準則第二章(第六條至第七條),主要說明在被審計單位開展電子商務的情況下,對註冊會計師知識和技能的要求,以及對利用相關專家工作的一般要求。
一、對註冊會計師知識和技能的要求
[編輯]了解電子商務對審計的影響所需要的知識和技能隨被審計單位電子商務活動複雜程度的不同而不同,註冊會計師應當考慮分派的人員是否具備完成審計工作所需的信息技術和互聯網商務知識。本準則第六條規定,當電子商務對被審計單位的業務活動具有重大影響時,註冊會計師應當具備適當水平的信息技術和互聯網商務知識,以實現下列目的:
(1)了解開展電子商務對財務報表的影響;
(2)確定審計程序的性質、時間和範圍,評價審計證據;
(3)考慮被審計單位依賴電子商務的程度對持續經營能力的影響。
註冊會計師在了解開展電子商務對財務報表影響的時候,應考慮的內容包括:(1)電子商務戰略和電子商務活動;(2)開展電子商務活動所需要的技術以及相關人員的知識和技能;(3)與從事電子商務有關的風險及管理風險的措施,尤其是內部控制系統是否充分,包括對財務報告過程有影響的安全基礎架構及相關控制。
專業勝任能力是對註冊會計師職業道德的一項基本要求,是指註冊會計師能夠在實務工作環境中按照設定的標準完成工作任務。專業素質是專業勝任能力的基礎,而專業知識又是專業素質的基本組成部分。《中國註冊會計師勝任能力指南》將信息技術知識作為註冊會計師應當具備的專業知識的三大方面之一。註冊會計師考慮電子商務應當基於一定的計算機技能和網絡知識。電子商務使傳統的審計線索、內部控制、審計內容、審計方法和技術等發生了改變,因而對註冊會計師的知識和技能提出了更高的要求。不懂得信息技術和電子商務知識,可能會因為審計線索的改變而無法跟蹤審計;不懂得電子商務的特點和風險,可能不能了解和測試其內部控制。因此,在被審計單位廣泛使用互聯網從事電子商務的情況下,註冊會計師不僅要精通會計、審計、稅務等知識,而且要掌握一定的計算機、網絡、通訊、電子商務等知識與技能。
二、對利用專家工作的一般要求
[編輯]本準則第七條規定,由於電子商務的特殊性和複雜性,必要時,註冊會計師應當考慮利用專家的工作。
電子商務具有特殊性和複雜性的特徵,涉及到信息技術、法律、稅務、貿易和外匯管理等多個領域,其中不少領域是高度專門化的。如果被審計單位的電子商務系統高度複雜,或者存在其他高度專門化的問題,註冊會計師應當考慮利用專家的工作。例如,如果註冊會計師認為有必要通過試圖穿透被審計單位信息技術系統的安全防護層進行控制測試(稱為「弱點攻擊測試」或「穿透測試」),此時就可能需要利用專家的工作。又如,在評價與電子商務相關的法律問題對財務報表的可能影響時,註冊會計師可能需要諮詢熟悉電子商務相關法律事務的律師。
在利用專家的工作時,註冊會計師應當遵循《中國註冊會計師審計準則第1421號——利用專家的工作》的規定,獲取充分、適當的審計證據,以確信專家的工作可以滿足審計的需要。註冊會計師還應當考慮如何將專家的工作與審計項目組內的其他成員所實施的審計工作結合起來,以及針對專家工作所識別出的風險,需要實施哪些程序。
第三章 對被審計單位電子商務的了解
[編輯]本準則第三章(第八條至第十五條),主要說明註冊會計師對被審計單位電子商務了解的總體要求,以及對被審計單位的業務活動和所處行業、電子商務戰略、開展電子商務的程度、外包安排等方面了解的具體要求。
第一節 總體要求
[編輯]在被審計單位開展電子商務的情況下,電子商務的發展可能對被審計單位的傳統經營環境產生重大影響。本準則第八條規定,註冊會計師應當考慮電子商務導致的被審計單位經營環境的變化,以及識別出的對財務報表產生影響的電子商務風險。
《中國註冊會計師審計準則第1211號——了解被審計單位及其環境並評估重大錯報風險》要求註冊會計師充分了解被審計單位以識別和了解對財務報表或審計報告有重大影響的事項、交易和活動,包括總體了解被審計單位所處的經濟、行業狀況。電子商務的增長可能對被審計單位的傳統經營環境產生重大影響。
本準則第九條進一步規定,在了解被審計單位及其環境時,註冊會計師應當考慮下列事項對財務報表的影響:
(1)業務活動和所處行業;
(2)電子商務戰略;
(3)開展電子商務的程度;
(4)外包安排。
註冊會計師了解被審計單位,對於評價電子商務對被審計單位經營活動以及對審計風險的影響至關重要。儘管註冊會計師獲取的大量信息是通過詢問負責被審計單位財務報告事務的人員而得到的,但詢問電子商務的直接參與者(例如首席信息官)也可能有用。
第二節 被審計單位的業務活動和所處行業
[編輯]本準則第十條規定,在了解被審計單位的業務活動和所處行業時,註冊會計師應當關注與電子商務相關的下列特點:
1.電子商務可能是對傳統業務活動的補充,也可能是新的業務類型。如前所述,電子商務按照交易活動的內容分類,可分為間接電子商務和直接電子商務兩大類。對於間接電子商務而言,電子商務是對被審計單位傳統業務活動的補充,例如,被審計單位可能使用互聯網銷售傳統的有形產品(如書籍和光盤),在互聯網上簽署合同,同時使用傳統交貨方式以履行合同。而直接電子商務則代表着一種新的業務活動類別,從訂購、交貨到付款的全部交易環節均在互聯網上完成,並且所交易的是不具備實物形態的數字產品,例如,互聯網上的收費音樂、電影下載服務等。
2.電子商務不具備貨物和服務等實體貿易所具有的清晰、固定的運送路線這一傳統特徵。清晰、固定的運送路線是很多實體貨物和服務的貿易的傳統特徵之一,而這一點是互聯網所缺乏的。在很多情況下,尤其是在貨物和服務可通過互聯網交付的情況下,電子商務可以減少或消除很多因時間、距離方面的原因而產生的限制,從而降低交易成本和方便交易的進行。但另一方面,這一點也可能導致缺乏有形的、清晰可見的審計線索,從而增加獲取審計證據的難度。
3.某些行業運用電子商務的程度較高,可能增大對財務報表產生影響的經營風險。某些行業對電子商務的運用已進入了較為成熟的發展階段。如計算機軟件、證券交易、銀行業、旅遊服務、書籍與雜誌出版、影視、廣告、新聞媒體、教育等行業。這些行業受到互聯網電子商務的重大影響,可能增大對財務報表產生影響的經營風險。在審計處於這些行業的單位的財務報表時,註冊會計師應當重點關注被審計單位開展電子商務的情況及其對財務報表的影響。
註冊會計師在了解被審計單位所處行業的電子商務運用情況的基礎上,還需要進一步對與特定行業相關的電子商務管理法規有一總體了解。目前我國已對網上銀行、互聯網出版、捲菸網上交易、網絡傳播視聽節目、互聯網文化產品、互聯網藥品信息和藥品交易服務、互聯網新聞信息服務、互聯網電子郵件服務等一系列電子商務活動頒布了相應的管理法規。對這些法律法規的總體了解也是了解被審計單位所處行業的電子商務活動的一個重要組成部分。
第三節 被審計單位的電子商務戰略
[編輯]本準則第十一條規定,被審計單位的電子商務戰略,包括在電子商務中運用信息技術的方式以及對可接受風險水平的評估,可能對財務記錄的安全性和相關財務信息的完整性與可靠性產生影響。
在考慮被審計單位的電子商務戰略時,註冊會計師應當結合對控制環境的了解,關注下列事項:
1.在整合電子商務與總體經營戰略的過程中,治理層的參與程度。治理層是指對被審計單位戰略方向以及管理層履行經營管理責任負有監督責任的人員或組織。治理層的責任包括對財務報告過程的監督。被審計單位的治理層對完善公司治理、設定被審計單位的總體經營戰略並監控其實施起着重要的作用。在整合電子商務與總體經營戰略的過程中,治理層的參與程度,在一定程度上反映了治理層對電子商務的了解和重視,這是被審計單位控制環境的重要組成部分。在這一過程中,治理層的參與程度越高,表明其對這一過程的控制越強,通常控制也就越有效。
2.被審計單位開展電子商務的目的,是為新業務提供支持,還是提高現有業務的效率,抑或為現有業務開闢新的市場。被審計單位開展電子商務的目的直接決定其電子商務戰略。如果開展電子商務是為了提高現有業務的效率或者為現有業務開闢新的市場,則電子商務僅僅是其拓展傳統業務的一種手段,通常不會對企業整體經營戰略產生根本性的影響(除非通過電子商務手段獲得的銷售訂單占到全部銷售訂單的大多數)。如果開展電子商務是為了給新的數字產品銷售等業務提供支持,且新業務占被審計單位全部業務量的比重很大,則電子商務的開展將在很大程度上改變被審計單位的業務模式和總體經營戰略,並可能直接導致新的經營風險和財務報表重大錯報風險。
3.被審計單位的收入來源及其正在發生的變化。例如,當作為所售貨物或勞務的交易當事人時,被審計單位需要承擔與所售貨物或勞務的所有權相關的全部風險和報酬;當作為代理人或者僅提供交易平台時,被審計單位僅就其所提供的中介服務賺取佣金收入或手續費收入。很明顯,獲取這兩類不同來源的收入,被審計單位所承擔的風險和報酬是大不相同的,因而其收入確認、成本結轉和損益確定也不相同,相應地,也會影響到相關資產、負債的確認和計量。
4.管理層對電子商務如何影響盈利狀況和財務需求的評價。被審計單位管理層對電子商務如何影響盈利狀況和財務需求的評價,以及對於這些影響是否重大、相關財務需求能否獲得滿足的考慮,決定了他們對於電子商務的基本態度,因此也會對電子商務戰略產生明顯的影響。這一影響應當結合被審計單位的總體經營戰略予以考慮。如果被審計單位對電子商務的未來獲利前景比較看好,希望進一步擴大電子商務活動的規模,則可能通過公開募集股份或者引入戰略投資者、風險投資機構等獲得所需的資金。在這一過程中,被審計單位管理層可能會出於吸引潛在投資者的考慮而粉飾財務報表,由此可能導致財務報表重大錯報風險增加。對於已上市的公司而言,也可能出於維持股價或者獲得再融資資格等考慮而導致財務報表重大錯報風險的增加。對此,註冊會計師應予以關注。
5.管理層對風險的態度及其對風險總體狀況可能產生的影響。與傳統的業務模式相比,電子商務的廣泛應用導致了新的風險因素。與電子商務相關的風險因素在很多情況下與傳統業務模式下的風險因素是不相同的。管理層對於與電子商務相關的風險的態度主要取決於其風險偏好、對電子商務業務的熟悉程度和對風險的掌控能力等因素。如果管理層可以接受甚至偏好較高的風險水平,則財務報表重大錯報風險的水平可能會相應上升;如果管理層偏好較低的風險水平,則會採取較為嚴格的經營風險控制措施,相應地,財務報表重大錯報風險的水平也可能較低。
6.管理層在多大程度上識別出電子商務戰略所描述的機遇和風險,或者管理層僅在機遇和風險出現時才臨時制定應對措施。對電子商務的機遇與風險,管理層可能在一定程度上事先識別出來,並將其體現於成文的、有適當控制提供支持的戰略中;也可能在機遇和風險出現時,管理層才臨時制定應對措施,確定電子商務的發展方向。對電子商務機遇與風險的應對與處理體現了管理層是否具有前瞻性的眼光,有無全局性的戰略考慮。一般認為,臨時制定的應對策略可能不成熟,與企業的總體經營戰略出現矛盾的可能性也相對較大。事先制定電子商務戰略也可能表明管理層希望在電子商務發展中採取主動的行動,甚至希望對本行業電子商務的發展起到引領的作用,而不僅僅是被動接受機遇和風險的來臨。
7.管理層對執行相關最佳實務規則或者網絡簽章程序的信守程度。最佳實務規則是對於某一個法律、法規、規章尚無明文規定的領域,由此領域的參與者約定俗成並獲得一致公認的最佳做法和慣例。電子商務雖然近幾年內在世界範圍內發展很快,但是與傳統商務模式相比畢竟屬於新興領域,很多方面尚未完全定型和發展成熟,法律法規監管的「空白點」也比較多。在此情況下,開展電子商務的被審計單位對於本領域內約定俗成的最佳實務規則的信守,可以在最大程度上降低因操作流程和業務規則不恰當而引發的經營風險,因而特別重要。
網絡簽章是電子簽名的一種形式。電子簽名是指數據電文中以電子形式所含、所附用於識別簽名人身份並表明簽名人認可其中內容的數據。民事活動中的合同或者其他文件、單證等文書,當事人可以約定使用或者不使用電子簽名、數據電文。當事人約定使用電子簽名、數據電文的文書,不得僅因為其採用電子簽名、數據電文的形式而否定其法律效力。可靠的電子簽名與手寫簽名或者蓋章具有同等的法律效力。
為了確保電子簽名的可靠性,在使用電子簽名(網絡簽章)的情況下,管理層應當建立適當的內部控制,包括電子簽名製作數據的保管規則和電子簽名的具體操作流程等,並予以嚴格執行,以確保電子簽名數據的安全性和可靠性。如果電子簽名經過有資質的第三方認證,也有助於提高其可信賴程度。
第四節 被審計單位開展電子商務的程度
[編輯]本準則第十二條、第十三條規範了註冊會計師對被審計單位開展電子商務的程度的考慮。本準則第十二條規定,不同的被審計單位可能以不同的方式開展電子商務。電子商務可能用於下列方面:
1.僅提供關於被審計單位及其活動的信息,供投資者、顧客、供應商、資金提供者和員工等訪問。例如,僅僅提供企業介紹、產品和服務介紹等信息,或者提供資料下載服務。這些屬於完全以提供信息為目的的單向溝通,不提供論壇、網上訂購、網上付款等交互功能。
2.通過互聯網處理交易,方便已有的顧客。這類業務模式是將全部或部分與現有特定顧客之間的交易通過網絡完成,本質上仍然是傳統交易模式的延伸。由於交易對象是原先在網下發展的顧客,被審計單位可以對其信用狀況較為了解,不涉及身份認證和信用度評價等問題,交易的信用風險一般較低。
3.通過在互聯網上提供信息和處理交易,開拓新市場和發展新客戶。此類交易模式是藉助互聯網提供的便利,實現低成本的市場開拓,或者藉助互聯網開拓那些使用傳統手段無法獲得的市場。此類業務模式下,所交易的仍然是傳統產品,但是市場開拓工作通過網絡完成,交易雙方可能未在網下進行過溝通和交流,因此,對客戶的身份認證和信用風險評估是以此類方式承接客戶時的重要考慮因素。
4.訪問應用服務提供商。應用服務提供商(Application Service Provider,ASP)是一種以互聯網為媒介的、租賃式的企業級管理應用系統服務模式。ASP 平台由系統運營商集中建立(數據中心),通過廣域網絡向企業提供基於軟件的服務和解決方案。企業可以通過租賃的方式實現企業內部生產、管理、商務流程等所有需要的應用系統和跨組織的網絡協同合作。
從本質上說,ASP 是企業將其對信息技術的需求全部或部分外包的一種形式。ASP 運營商可以是向其顧客提供服務的企業,也可以是向最終用戶提供支持的非營利性組織或者政府部門。ASP 運營商可分為以下五種類型:
(1)企業級 ASP :提供較為高端的商務應用服務;
(2)本地/區域 ASP :為本地區的中小企業提供範圍廣泛的應用服務;
(3)專家 ASP :針對特定需求提供應用服務,例如網站服務或者人力資源管理服務等;
(4)垂直市場 ASP :為某一特定行業內的上下游企業提供服務;
(5)批量服務 ASP :以事先製作的軟件包的形式,為一般中小企業提供非定製的應用服務。
ASP 平台的特點是:
(1)企業無需構建完善的網絡硬件環境和服務器,ASP 運營商為企業提供高效、安全的網絡應用環境;
(2)企業可能無需配備專門的網絡 IT 管理和複合型的專業技術人才,所有的維護工作全部由 ASP 運營商承擔,這樣既整合了社會信息化的物質資源又整合了具有複合型技術的人才資源;
(3)企業只需面對 ASP 運營商一家單位即可滿足多方面的信息化應用需求,既省時又省力;
(4)企業無需承擔應用系統被淘汰、網絡結構被淘汰、網絡硬件和軟件系統被淘汰和系統性能降低的風險,事實上所有的風險都由 ASP 運營商承擔並化解。
5.創立一種全新的經營模式。例如,通過網絡銷售和交付數字產品,整個交易的全過程都通過網絡完成。如前所述,此類交易模式可以消除傳統交易模式對於時間、空間的依賴和限制。
電子商務的開展程度影響被審計單位需要應對的風險的性質。只要被審計單位建立了網站,就會遇到安全問題。即使不存在第三方交互式訪問,僅僅提供信息的網頁也可能為訪問被審計單位的財務記錄提供一個入口。如果網站被用於與商業夥伴進行交易,或系統高度集成,則安全基礎架構和相關控制預期將會更加複雜。
因此,本準則第十三條規定,隨着被審計單位開展電子商務程度的加深,以及內部系統更加集成化和複雜化,新的交易方式與傳統業務活動的差異可能更加明顯,並可能導致新的風險。
註冊會計師應當了解電子商務的開展程度如何影響被審計單位需要應對的風險的性質。
第五節 被審計單位的外包安排
[編輯]本準則第十四條、第十五條規範了註冊會計師對被審計單位與電子商務相關的外包安排的考慮。
一、被審計單位使用服務機構工作的情形
[編輯]本準則第十四條規定,被審計單位可能在下列方面使用服務機構的工作:
(1)提供電子商務運作所需的全部或部分信息技術支持;
(2)與電子商務相關的其他工作,包括訂單履行、商品交付、呼叫中心運轉,以及某些會計工作等。
許多被審計單位並不具備建立和運營電子商務所需的內部系統的技術知識,因此可能需要依賴服務機構,例如互聯網服務提供商(ISP)、應用服務提供商(ASP)和數據服務公司,以提供電子商務運作所需的全部或部分信息技術支持。另外,被審計單位也可能使用服務機構從事與電子商務相關的其他工作,例如訂單履行、貨物交付、呼叫中心運轉,以及某些會計工作等。由此可見,被審計單位與電子商務相關的服務外包可能包括兩部分,一是以獲取信息技術支持為目的的外包,二是與信息技術沒有直接聯繫的普通服務外包。
在滿足信息技術需求方面,被審計單位使用的服務機構包括互聯網服務提供商、應用服務提供商和數據服務公司等。本章第四節對應用服務提供商(ASP)已作介紹,這裡再簡單介紹一下互聯網服務提供商和數據服務公司。
互聯網服務提供商又稱為互聯網接入服務提供商(Internet Access Provider,IAP),是提供互聯網接入服務的機構。這類機構通常向電信運營商租入網絡和電信碼號資源,然後再以一定的租費將用戶名、登陸賬號、密碼、登錄方式等提供給用戶,用戶即可按此登錄到互聯網。ISP 除了向個人提供服務以外,也為大企業提供服務,即可以通過企業的內部網直接訪問互聯網。各個不同的 ISP 之間也可通過網絡訪問點(Network Access Point)實現互聯互通。數據服務公司又稱為數據託管公司,依託電信運營商的網絡平台,為企業提供業務、財務等方面數據的託管服務,使企業可以更專注於業務的拓展與開發,同時節省企業運作成本。其主要優勢在於:一是節省企業的信息技術基礎設施建設費用;企業無須建立自己的中心電腦機房以放置核心路由器及服務器,也不用擔心由於搬遷而造成的資源再建設費用;二是節省企業的人力資源,即可以以更精簡的技術人員配置完成用戶企業的網絡需求,從而降低了對用戶企業自身信息技術資源和能力的要求。
二、註冊會計師對被審計單位使用服務機構的考慮的總體要求
[編輯]本準則第十五條規定,在被審計單位使用服務機構的情況下,服務機構採用和保持的某些政策、程序和記錄可能與被審計單位財務報表審計相關,註冊會計師應當按照《中國註冊會計師審計準則第1212號——對被審計單位使用服務機構的考慮》的規定,考慮被審計單位的外包安排及相關風險的應對措施,以確定其對審計的影響。
第四章 識別風險
[編輯]本準則第四章(第十六條至第二十一條),主要說明註冊會計師如何識別與電子商務相關的風險,如何審核被審計單位的風險識別和應對措施,以及對與電子商務相關的法律法規事項的考慮。
第一節 與電子商務相關的經營風險一、與電子商務相關的經營風險的主要類型
[編輯]本準則第十六條列舉了管理層可能面臨的下列各種與電子商務相關的經營風險:
(一)無法保證交易的完備性
[編輯]所謂交易的完備性,是指被審計單位記錄和處理財務記錄所依據的信息的完整性、準確性、及時性和是否經過授權。在電子商務環境下,由於信息技術的固有特點,一方面可以提高被審計單位處理交易的效率和效果,另一方面也會產生以下特定風險:
(1)系統或程序未能正確處理數據,或處理了不正確的數據,或兩種情況同時並存;
(2)在未得到授權情況下訪問數據,可能導致數據的毀損或對數據不恰當的修改,包括記錄未經授權或不存在的交易,或不正確地記錄了交易;
(3)信息技術人員可能獲得超越其履行職責以外的數據訪問權限,破壞了系統應有的職責分工;
(4)未經授權改變主文檔的數據;
(5)未經授權改變系統或程序;
(6)未能對系統或程序作出必要的修改;
(7)不恰當的人為干預;
(8)數據丟失的風險或不能訪問所需要的數據。
上述特定風險的存在,使電子商務環境下保證交易完備性的難度比傳統業務模式下的難度更大。尤其在缺少充分的審計軌跡(無論是紙質還是電子形式)時,該風險的影響將更大。
(二)電子商務安全風險
[編輯]電子商務安全風險,包括顧客、員工和其他人士通過未經授權的訪問實施舞弊的可能性,以及病毒攻擊等,是一類廣泛存在的風險。目前用於支持互聯網應用的操作系統和應用程序或多或少都存在安全漏洞,絕對安全的系統是不存在的。互聯網的廣泛應用,使計算機病毒的傳播較以往更快,典型的電子郵件病毒可以在幾小時內擴散到全世界,造成大面積的網絡癱瘓。同時,某些人出於謀取不正當經濟利益或者炫耀自己的網絡技術等不良動機,可能會對網站實施非法的訪問或者攻擊,竊取或者篡改網絡上存儲的機密數據,即所謂黑客行為。
(三)運用不恰當的會計政策
[編輯]電子商務的運用,可能導致運用不恰當的會計政策,包括收入確認、網站開發成本等支出的處理、與產品質量保證相關的預計負債的確認、外幣折算等問題。
1.收入確認問題。
(1)被審計單位在交易中是當事人還是代理人,銷售收入應當是總額確認還是僅僅將佣金確認為收入;
(2)如果允許其他單位或個人使用本單位網站上的廣告空間,那麼如何確定和結算廣告收入,如使用非貨幣性資產交換方式等;
(3)數量折扣和促銷優惠的處理,如免費提供一定價值的貨物;
(4)截止的恰當性,如是否只有當貨物和勞務已提供後才確認收入。
2.網站開發成本等支出的資本化或費用化處理。根據《企業會計準則第6號——無形資產》第八條、第九條的規定,企業內部研究開發項目研究階段的支出,應當於發生時計入當期損益;企業內部研究開發項目開發階段的支出,同時滿足5項條件的,才能確認為無形資產。因此對於網站開發成本支出的資本化或費用化問題,在很大程度上取決於被審計單位和註冊會計師的職業判斷。
3.與產品質量保證相關的預計負債的確認問題。是否需要確認與產品質量保證相關的預計負債,首先取決於根據所簽署的交易合同,被審計單位是否承擔與產品質量保證相關的責任和風險。在電子商務環境下,由於交易平台和交易方式的複雜性,對這一問題的判斷可能較為複雜。其次,某些產品和勞務只能通過直接電子商務的方式提供(例如網上收費的軟件使用許可、網上收費的音樂下載等),這些產品的特性不同於傳統產品,從而在產品質量保證責任的估計方面也可能導致新的問題出現。
4.外幣折算問題。由於互聯網「無國界」的特點,通過互聯網完成的電子商務交易中跨國或跨地區交易所占比重較大。相應地,外幣折算問題也就比較多見。
(四)未能遵守稅法和其他法律法規
[編輯]目前,世界上尚無一部比較完整、系統、得到各國公認的電子商務交易基本法律或者國際公約。各國對於電子商務的規範,主要還是依據本國的國內法。傳統的商事法律是以傳統交易模式為基礎制定的,由於電子商務交易形式的特殊性,傳統商事法律在某些方面可能不適用,因而可能存在一些法律法規監管的「空白地帶」,相應地,交易各方之間出現糾紛的可能性也相對較大。另外,對於電子商務交易的徵稅問題,各國的規定也很不相同。因此,被審計單位應當注意防範與電子商務相關的稅務風險,尤其在通過互聯網開展跨國或跨地區電子商務交易時更容易出現此類情況。
(五)無法保證僅以電子形式存在的合同具有約束力
[編輯]根據《中華人民共和國電子簽名法》第三條的規定,當事人約定使用電子簽名、數據電文的文書,不得僅因為其採用電子簽名、數據電文的形式而否定其法律效力。第七條規定,數據電文不得僅因為其是以電子、光學、磁或者類似手段生成、發送、接收或者儲存的而被拒絕作為證據使用。這些規定為僅以電子形式存在的合同具有約束力提供了法律依據,但是該法同時為數據電文如何才能具備法律效力規定了一定的條件。被審計單位在電子商務活動中,只有確保僅以電子形式存在的合同完全符合《中華人民共和國電子簽名法》的有關規定,才能保證該合同具有約束力(如果涉及跨國、跨地區的電子商務交易,則還需要符合對方所在國家或地區的相關法律法規)。如果由於內部控制不完善、制度設計不合理等原因,導致僅以電子形式存在的合同因不符合《中華人民共和國電子簽名法》的有關規定而不具有法律效力,則被審計單位可能面臨較大的經營風險。
為此,註冊會計師在審計中應當關注僅以電子形式存在的重要合同的法律效力問題,必要時應當諮詢信息技術專家和熟悉電子商務相關法律事務的律師。
(六)過度依賴電子商務
[編輯]被審計單位過度依賴電子商務的重要表現之一是將重要的經營系統置於互聯網上,或將重要商業交易通過互聯網完成。電子商務的開展固然可以提升交易的效率和效益,增強企業的獲利能力。但是過度依賴電子商務(例如全部交易均通過電子商務形式實現),可能導致經營風險總體水平增大。
(七)系統和基礎架構失效或崩潰
[編輯]電子商務是建立在現代信息技術基礎上的。目前,計算機信息技術已經比較成熟並獲得廣泛應用,但是仍然不能排除系統或者基礎架構失效或崩潰的可能性。例如,網站可能由於硬件故障、網絡連接中斷、瞬間的高流量等原因而在一段時間內無法訪問,或者可能發生服務器操作系統的「死機」和數據丟失等軟件故障。這些情況將會對電子商務活動的正常進行產生不利影響。因此,被審計單位需要建立數據即時備份、服務器備份等制度,以使此類問題對企業可能造成的損失降至最低限度。
二、識別電子商務中可能導致經營風險的事項、交易和慣例
[編輯]由於存在上述導致經營風險的事項,本準則第十七條規定,註冊會計師應當利用對被審計單位及其環境的了解,識別電子商務中可能導致經營風險的事項、交易和慣例。
註冊會計師應當考慮哪些經營風險可能導致財務報表出現重大錯報,或對註冊會計師應實施的審計程序或所出具的審計報告有重大影響。
三、考慮被審計單位的風險應對措施
[編輯]本準則第十八條規定,註冊會計師應當關注被審計單位是否運用適當的安全基礎架構和相關控制,應對電子商務中出現的某些經營風險。
這些安全基礎架構和相關控制一般包括旨在實現下列目的的措施:
(1)驗證顧客和供應商的身份;
(2)確保交易的完備性;
(3)就交易條款(包括交貨、信用條款、爭議解決程序等)達成一致,其中可能涉及對交易和程序的執行情況留下線索,以確保交易的一方事後不能否認曾經就特定條款達成協議;
(4)獲得顧客的付款,或確保對顧客授信的安全性;
(5)建立信息保密機制,訂立信息保護協議。
第二節 與電子商務相關的法律法規事項
[編輯]一、與電子商務環境密切相關的法律法規
[編輯]任何商務活動都是在一定的法律法規框架下進行的,電子商務也不例外。但是,由於電子商務的特殊性,它面臨着一些不同於傳統商務模式下的特有法律法規事項。本準則第十九條規定,註冊會計師應當考慮被審計單位是否已恰當處理與電子商務環境密切相關的下列法律法規問題:
1.隱私權保護。隱私權保護的核心是確保用戶網上註冊信息和其他個人信息的私密性,未經用戶同意或者法律法規特別要求,不得泄露給第三方。
2.對特定行業的管制。我國已經針對一些特定行業(如網上銀行、互聯網出版等)的網上交易制定了專門的法律法規。對於從事這些特定行業的電子商務活動的被審計單位,註冊會計師應當關注其對相關法律法規的遵守情況。
3.合同的強制執行效力。如前所述,僅以電子形式存在的合同,必須符合《中華人民共和國電子簽名法》對數據電文和電子簽名有效性條件的各項規定,才能具有法律效力。4.特殊交易或事項的合法性。例如,在某些國家或地區,通過互聯網進行博彩活動可能是合法的,但在大部分國家和地區則被認為是非法的。因此,對於交易各方均處於同一國家或地區的電子商務活動,必須符合所在國家或地區的法律法規規定;對於跨國或者跨地區的電子商務活動,應當確保同時符合所有交易各方所在國家或地區的相關法律法規,只有這樣才能最大限度地降低違反法律法規的風險。
5.反洗錢。洗錢是指將毒品犯罪、黑社會性質的組織犯罪、恐怖活動犯罪、走私犯罪、貪污賄賂犯罪、破壞金融管理秩序犯罪、金融詐騙犯罪的違法所得及其產生的收益,通過各種手段掩飾、隱瞞其來源和性質,使其在形式上合法化的行為。由於互聯網的便捷和「無國界」的特點,在互聯網上通過各種貌似合法的手段進行洗錢活動(甚至是跨國或跨地區的洗錢活動)也遠較傳統交易模式快速、方便。因此,對於網上銀行等通過互聯網從事金融業務的企業,需要關注和及時報告大額和可疑的交易,反洗錢的任務將比以往傳統交易模式下更為繁重。同時,從事其他電子商務交易的企業,也要防範他人利用與本企業的交易或者本企業所提供的交易平台進行洗錢的可能性,依法履行法律法規規定的報告義務。
6.知識產權保護。近年來,互聯網上的侵犯知識產權案件時有發生。例如,提供盜版軟件或者盜版音像製品的下載等,嚴重侵犯了知識產權所有人的權益。為此,各國普遍加大了對互聯網上的侵犯知識產權行為的打擊力度。我國已經出台《信息網絡傳播權保護條例》,對信息網絡上的著作權和其他知識產權的保護專門作出規範。被審計單位在從事電子商務時,應注意避免侵犯(包括非故意地損害)他人所擁有的知識產權。
由於與電子商務相關的法律法規事項的重要性和複雜性,在某些情況下,當考慮由被審計單位的電子商務活動所產生的法律法規事項時,註冊會計師可能需要徵詢在電子商務方面具有特殊專長的律師的意見。
二、對與電子商務相關的稅務事項的考慮
[編輯]在第十九條對與電子商務相關的法律法規事項作了總體規範的基礎上,本準則第二十條規定註冊會計師應當對跨國或跨地區電子商務涉及的不同司法管轄區內的稅務事項予以考慮。
目前尚不存在一個綜合性、國際性的電子商務法律框架,也不存在可以對這樣的框架提供支持的高效率的基礎架構,如電子簽章、文檔註冊、爭議解決和消費者保護機制等。不同司法管轄區的法律框架在電子商務的確認方面是存在差異的。與跨國或跨地區電子商務活動相關的法律法規事項的一個重要特徵就是不同國家和地區在電子商務立法方面存在一定差異。所以,在跨國或跨地區的電子商務中,註冊會計師應當考慮被審計單位是否對電子商務涉及的不同司法管轄區內的法律法規差異有足夠的了解,並遵守所有適用的法律法規。
由於電子商務具有一系列不同於傳統商務活動的特點,因此原先主要以傳統商務活動為依據的稅務法規可能不完全適用於電子商務。目前,有些國家和地區已經制定了專門針對電子商務的稅收法律法規,而有些國家尚未制定。不同國家針對電子商務的稅收法律法規的規定也不盡一致。因此,從事電子商務的企業不僅要熟悉本國或本地區關於電子商務的稅收法律法規的規定,而且,如果從事跨國或者跨地區的電子商務,還要熟悉交易對方所在國家或地區的相關稅收法律法規。
註冊會計師尤其要考慮被審計單位有無適當的程序確認其在不同司法管轄區內的納稅義務(特別是營業稅、增值稅等流轉稅)。
可能導致電子商務交易產生相應納稅義務的因素包括:
(1)被審計單位的法定註冊地;
(2)被審計單位的實際經營所在地;
(3)被審計單位網絡服務器所在地;
(4)商品和服務的來源地;
(5)顧客所在地,或商品交付地和勞務提供地。
不同司法管轄區可能根據上述各項因素中的一項或者多項作為判斷在本司法管轄區內是否承擔納稅義務的標準。註冊會計師應當根據適用的稅收法律法規的規定,結合電子商務交易的實際情況,確定被審計單位是否已經充分、恰當地確認了在不同司法管轄區內的納稅義務,是否存在低估應交稅金和相關成本費用的情形。
三、對與電子商務有關的違反法律法規行為的考慮
[編輯]本準則第二十一條規定,註冊會計師應當按照《中國註冊會計師審計準則第1142號——財務報表審計中對法律法規的考慮》的規定,實施相關程序,充分考慮被審計單位可能存在的違反與電子商務有關的法律法規的行為及其可能對財務報表產生的重大影響。必要時,應當考慮徵詢法律意見。
按照《中國註冊會計師審計準則第1142號——財務報表審計中對法律法規的考慮》的規定,註冊會計師應當:
(1)在設計和實施審計程序以及評價和報告審計結果時,充分關注被審計單位違反法規行為可能對財務報表產生重大影響;
(2)在計劃審計工作時,總體了解適用於被審計單位及其所處行業的法律法規,以及被審計單位如何遵守這些法律法規;
(3)在獲得總體了解時,特別關注某些法律法規可能導致對被審計單位經營活動產生重要影響的經營風險,即違反法律法規可能導致被審計單位停業或對其持續經營產生重大影響。註冊會計師在前述總體了解的基礎上實施進一步審計程序,有助於識別被審計單位在編制財務報表時應當考慮的違反法規行為。如果根據職業判斷,某一法律法規事項可能導致財務報表產生重大錯報,或對註冊會計師所實施的程序或所出具的審計報告產生重大影響,註冊會計師應當考慮管理層對此問題所作的反應。
第五章 對內部控制的考慮
[編輯]本準則第五章(第二十二條至第三十一條),主要說明在電子商務環境下註冊會計師考慮被審計單位內部控制的總體要求,以及註冊會計師對安全性控制、交易完備性控制和流程整合的考慮。
第一節 總體要求一、考慮與電子商務相關的內部控制的設計
[編輯]本準則第二十二條要求註冊會計師應當按照《中國註冊會計師審計準則第1211號——了解被審計單位及其環境並評估重大錯報風險》和《中國註冊會計師審計準則第1231號——針對評估的重大錯報風險實施的程序》的規定,考慮被審計單位在電子商務中運用的與審計相關的內部控制。
在電子商務環境下,內部控制的一個重要特點是基於信息技術的自動化控制所占比重較大,很多關鍵的控制功能是通過內置於被審計單位用於支持電子商務的信息技術系統中的應用控制實現的。同時,網絡環境也對內部控制的完備性和可靠性提出了更高的要求,尤其需要通過內部控制保證數據和系統的安全性和交易的完備性。電子商務環境下內部控制的複雜程度與信息技術系統的複雜程度直接相關,電子商務系統與其他信息技術系統的一體化程度越高,控制也就越複雜。
信息技術通常可以在某些方面提高被審計單位內部控制的效率和效果,但是也會使內部控制產生特定風險。因此,註冊會計師應當充分考慮電子商務環境下內部控制的特點,關注被審計單位內部控制的設計是否完善(尤其是其中人工成分和自動化成分的劃分是否恰當),是否得到一貫執行,以及運行是否穩定、可靠。
二、考慮實施控制測試
[編輯]在要求考慮與電子商務相關的內部控制的設計的基礎上,本準則第二十二條進一步規定,在某些情況下,僅依靠實施實質性程序不足以將審計風險降至可接受的低水平,註冊會計師應當實施控制測試,並考慮使用計算機輔助審計技術。這些情況主要包括:
(1)電子商務系統高度自動化;
(2)交易量過大;
(3)未保留包含審計軌跡的電子證據。
在電子商務系統高度自動化的情況下,審計證據可能僅以電子形式存在,其充分性和適當性通常取決於自動化信息系統相關控制的有效性,註冊會計師應當考慮僅通過實施實質性程序不能獲取充分、適當審計證據的可能性。
三、電子商務環境下註冊會計師需重點考慮的控制
[編輯]本準則第二十三條規定,當被審計單位從事電子商務時,註冊會計師應當考慮與電子商務相關的安全性控制、交易完備性控制和流程整合。註冊會計師還應當考慮下列內部控制中與審計特別相關的方面。
1.在快速變化的電子商務環境中保持控制程序的完備性。電子商務作為一個新興的領域,很多方面尚未完全定型,而作為其基礎的信息技術的發展更是一日千里。從事電子商務的被審計單位不僅與傳統企業一樣面臨着市場環境的變化,需要相應調整其經營方式和經營策略,還要根據信息技術的發展情況及時進行系統升級和相應的流程調整。前已述及,電子商務環境下內部控制的重要特點之一是自動化成分所占比重大,而自動化控制主要是固化於相關信息技術系統中的。在信息技術系統升級和流程調整過程中,必然需要對控制程序進行相應的更新和優化,使之與新的系統、流程相適應和相銜接。此時如何保持控制程序的完備性,避免出現控制漏洞,是被審計單位和註冊會計師都需要關注的重要問題。
2.確保能夠訪問相關記錄,以滿足被審計單位和註冊會計師審計的需要。能隨時訪問電子商務系統的相關數據庫記錄,既是被審計單位有效開展經營活動的需要,也是註冊會計師在審計中及時獲取所需數據的需要。註冊會計師應當關注在被審計單位的信息技術系統中檢索相關數據的便捷性、響應速度,以及訪問結果的正確性和完整性。
第二節 安全性控制一、考慮安全基礎架構和相關控制
[編輯]當外部有關方面可使用公共網絡(如互聯網)訪問被審計單位的信息系統時,被審計單位的安全基礎架構和相關控制就構成了其內部控制系統的一個極其重要的組成部分。根據本準則第二十四條的規定,在這種情況下,註冊會計師應當考慮被審計單位的安全基礎架構和相關控制是否足以應對與電子商務交易的記錄和處理相關的安全性風險。
衡量信息安全與否,主要看其是否滿足有關合法授權、真實性、保密性、完整性、不可否認性及可獲得性等方面的要求。被審計單位通常通過建立安全基礎架構和相關控制來應對與電子商務交易的記錄和處理相關的安全性風險。安全基礎架構和相關控制通常包括信息安全政策、信息安全風險評估,以及在引入和維護各系統的過程中均應遵循的標準、措施、實務慣例和程序,包括針對實物的安全防護措施,以及邏輯與其他技術方面的安全保護措施,例如用戶身份識別、密碼和防火牆等。
二、考慮相關事項對財務報表認定的潛在影響
[編輯]本準則第二十五條規定,註冊會計師應當考慮下列事項對財務報表認定的潛在影響:
(1)有效使用防火牆和病毒防護軟件,以保護其系統免受未經授權或有害的軟件、數據或其他電子形式的材料的入侵;
(2)有效使用加密技術,例如,通過對解密密鑰的授權等措施,確保信息在傳遞過程中的私密性和安全性;通過對私人解密密鑰的控制和安全防護等措施,防止加密技術的不當使用;
(3)對用於支持電子商務活動的系統的開發和運行的控制,此類控制是信息技術一般控制的重要組成部分,是包括自動化控制在內的信息技術應用控制有效發揮作用的基礎;
(4)當出現的新技術可能危害互聯網安全時,現有的安全控制是否仍然有效;
(5)控制環境能否對所採用的控制程序提供支持。控制環境包括治理職能和管理職能,以及治理層和管理層對內部控制及其重要性的態度、認識和措施。控制環境在內部控制的各要素中居於基礎地位,同時內部控制的各要素之間也應當互相適應和配合。沒有恰當的控制環境,單純的技術措施是難以有效發揮應有作用的。例如,雖然某些控制程序(如基於數字證書的加密系統)在技術上是先進的,但是如果控制環境薄弱(如證書保管不善,密碼任意泄露,員工之間任意互相串用計算機等),這些控制程序可能難以有效地發揮作用。
上述各事項反映了被審計單位的安全性控制在設計方面的完備性和在執行方面的有效性,對被審計單位財務報表各項目及其相關認定均有不同程度的影響。
第三節 交易完備性控制一、交易完備性控制包含的內容
[編輯]本準則第二十六條規定,註冊會計師應當考慮交易完備性控制,包括被審計單位會計處理所依據信息的完整性、準確性、及時性以及是否經過授權。
被審計單位電子商務活動的性質與複雜程度,會影響與電子商務交易的記錄、處理相關的風險的性質和大小。
二、針對信息完備性所實施的審計程序
[編輯]本準則第二十七條規定,註冊會計師針對會計系統中與電子商務交易相關的信息完備性所實施的審計程序,主要涉及評估用於採集和處理此類信息的系統的可靠性。
在一個複雜的系統中,一個起因事件(如通過互聯網接收到顧客的定單)會自動啟動該項交易處理流程中的其他各項步驟。因此,針對複雜的電子商務實施的審計程序與針對傳統業務活動實施的審計程序不同,後者通常側重於與交易信息的採集和處理有關的每一階段的控制流程;而在針對複雜電子商務實施審計程序時,註冊會計師應當重點考慮在交易信息的採集和即時自動化處理中與交易完備性相關的自動化控制。
三、與交易完備性相關的控制
[編輯]本準則第二十八條規定,在電子商務環境中,與交易完備性相關的控制通常用於下列方面。
1.驗證輸入。即通過事先設定的合理性校驗條件(如數據類型、金額等數字的取值範圍等),使系統拒絕接受不符合校驗條件的輸入。例如,系統規定金額字段必須為數值型數據,如果用戶在金額字段中輸入文字,系統應拒絕接受並予以提示;又如,規定某一金額的取值範圍在0.01~10000之間,如果用戶輸入了負數或零,或者大於10000的數字,系統也應拒絕接受。
對於較為複雜的輸入內容,為了盡最大可能防範輸入差錯,常使用冗餘位數校驗的方法對輸入的正確性自動進行合理性檢查。例如,我國現行的公民身份號碼為18位,其中最右邊一位就是校驗碼。在具有公民身份號碼合理性校驗功能的系統中,用戶輸入18位的公民身份號碼後,系統可以對其前面的17位按照一定的規則進行運算,將運算結果與校驗碼相比較,如果不符,則表明可能存在輸入錯誤,此時系統將顯示提示信息,要求用戶再次檢查輸入的正確性。當然,自動化系統中的此類校驗功能只是一種邏輯合理性的檢查,並不能完全預防和發現所有可能的輸入差錯。
2.防止交易的重複記錄或遺漏。例如,通過設置關鍵字的唯一性控制,如果用戶在兩條記錄的同一字段(如訂單號碼)中輸入了相同的關鍵字,系統就應當及時發現並給出諸如「關鍵字重複」的提示信息。對於防止交易記錄的遺漏,可採用控制總數等控制程序實現。
3.確保在處理訂單之前,交易雙方已就交貨條件和信用條件等交易條款達成一致。有些企業的交易條款還可能要求在簽訂單時即支付款項。
4.區分顧客的瀏覽(如一般性的詢價)和正式訂單,確保交易的一方事後不能否認已達成一致的特定條款,必要時還應確保交易是與經核准的交易方進行的。例如,檢查交易對方是否已被列入「可信任的顧客清單」,或者檢查本次交易金額是否在規定的交易限額以內,或者該顧客的應收賬款餘額是否未超過信用管理部門設定的限額等。
5.確保所有步驟均已完成並得以記錄,或拒絕未完成所有步驟的訂單,以防止出現處理不完整的情況。例如,在一項企業對顧客的交易中,訂單已接受、款項已收到、貨物已交付或勞務已提供、會計系統中的數據已相應更新,這時的處理是完整的。
6.確保交易的詳細信息在同一網絡內的多個系統之間適當分配。例如,某企業的局域網中設有多個功能相仿的數據處理系統,數據採集通過統一的入口集中進行,再將採集到的信息自動傳遞給不同的資源管理者以執行交易。這時,數據採集與分配系統的智能化程度就會對所採集的數據在這些系統之間的分配和處理情況產生較大的影響,從而最大限度地促進合理利用網絡和計算機軟、硬件資源。
7.確保記錄得到適當保管、備份和保護。用於實現這一目標的控制既有信息技術一般控制,也有應用控制。一般控制包括建立定期備份制度,以及對備份信息的保存方式、保存地點、保存期限和相關安全防護措施作出的規定等。應用控制包括在應用系統中設置強制備份或者即時備份模塊等。
第四節 流程整合
[編輯]一、關於流程整合
[編輯]本準則第二十九條指出,流程整合是指將多個信息技術系統集成,使之實質上如同一個系統運轉的過程。
在電子商務環境中,由被審計單位的網站生成的交易應當由被審計單位的內部系統(如會計系統、客戶關係管理系統、存貨管理系統等,通常稱為「後台辦公室」系統)予以適當處理。許多網站並非自動地與這些內部系統集成在一起。網站與被審計單位內部系統的自動集成程度越高,數據處理的效率也就越高。但與此同時,前後台系統之間聯繫的緊密,也可能導致以下風險的增加,需要被審計單位建立適當的控制加以應對:
(1)因系統過於複雜而導致出錯可能性提高的風險,對系統的可靠性提出了更高的要求;
(2)因前後台系統直接集成,而導致未經授權的人士通過前台系統進入後台系統竊取商業秘密數據,或者進行未經授權的增加、修改、刪除操作的可能性增大;
(3)因過濾無效數據的控制存在欠缺,導致前台系統接受的錯誤輸入直接進入後台的業務處理系統和會計系統,其造成的後果遠較集成程度較低時嚴重。
二、關注採集和傳遞電子商務交易數據可能產生的影響
[編輯]本準則第三十條規定,註冊會計師應當關注被審計單位採集電子商務交易數據並將其傳遞至會計系統的方式可能對下列事項產生影響:
1.交易處理和信息存儲的完整性和準確性。如前所述,流程整合對交易處理和信息存儲的完整性和準確性的影響是兩面的。在自動化控制健全的情況下,可以通過減少人工干預提高交易處理和信息存儲的完整性和準確性;而另一方面,也可能增大安全性方面的風險。2.銷售收入、採購和其他交易的確認時點。例如,系統可能將該交易最初在系統內部發起的時間作為確認時點,也可能將交易的完成時間作為確認時點。註冊會計師應當關注系統內的相關業務處理規則是否符合適用的會計準則和相關會計制度的規定。
3.有爭議交易的識別和記錄。例如,可以對有爭議的交易加上特殊的標識,並通過系統之間的數據傳遞,將該交易存在爭議的信息傳遞到其他相關系統中,實現不同系統中數據的同步更新。同時,藉助不同系統之間的數據和信息共享,也可以更方便地發現有爭議的交易。
三、註冊會計師應當考慮的其他事項
[編輯]本準則第三十一條規定,當下列控制與財務報表認定相關時,註冊會計師應當予以考慮:
1.針對電子商務交易與內部系統的集成實施的控制。此類控制主要是針對集成後系統的特點,為了保證數據處理的正確性和數據的安全性、完備性而設置的控制,基本上屬於對常規事項的控制。例如,加強對前台系統中輸入數據的合理性檢查,有效使用防火牆和病毒防護軟件等安全技術措施等。
2.針對系統改變和數據轉換實施的控制。此類控制主要是針對系統的開發和實施過程設置的控制,具有非常規性的特點。在系統升級或者轉換到新的系統時,需要注意新舊系統的銜接問題。為此,被審計單位可能需要成立專門的工作小組,並制定詳細的方案,進行周密的準備,包括數據的整理、新系統的測試、相關人員的培訓、新舊系統處理的恰當截止等,以確保新舊系統平穩過渡,而不至於導致業務、財務處理的中斷。
其中,舊系統中存儲的數據如何平穩地轉入新系統是一個需要重點關注的問題。為了提高轉換的效率,避免重複輸入,此類工作一般由新系統的實施人員在比較新舊系統數據結構差異的基礎上,通過編寫一次性使用的專用轉換程序實現批量轉換。針對此類轉換程序的編制所實施的控制可能不會像針對新系統的設計所實施的控制那樣嚴密,因此出錯的可能性相對較高。為此,一方面,在數據轉換前,需要對轉換程序進行儘可能嚴密的測試;另一方面,在轉換完成後,需要對轉換結果的正確性進行選擇性測試或全面的檢查和覆核,並檢查新系統能否在轉換後的數據基礎上正常運行。
第六章 電子記錄對審計證據的影響
[編輯]本準則第六章(第三十二條至第三十三條),主要說明註冊會計師對於電子記錄對審計證據的影響的考慮。
一、對證據收集程序的性質、時間和範圍的考慮
[編輯]在證據收集程序的性質、時間和範圍方面,註冊會計師可能需要注意運用計算機輔助審計技術(如通用或專用的審計軟件等)獲取和分析審計證據。計算機輔助審計技術可用於對電子化的交易和賬戶文檔進行更廣泛的測試,包括從主要電子文檔中選取交易樣本,或按照某一特徵對交易進行分類,或對總體而非樣本進行測試。
計算機輔助審計技術可以用於執行各種審計程序,包括:
1.執行交易和餘額的細節測試。例如,利用審計軟件測試計算機文件中的全部(或抽樣的)交易。
2.執行分析程序。例如,利用審計軟件鑑定非正常的波動或項目。
3.信息系統一般控制執行情況的測試。例如,利用測試數據對程序庫的存取程序進行測試。
4.信息系統應用控制執行情況的測試。例如,利用測試數據測試程序過程的功能。
一些計算機文件,例如詳細的業務文件,往往只留置較短時間,當註冊會計師需要時,可能得不到機器可讀形式的數據。因此,註冊會計師必須對其所要求的數據保存作出安排,或者為了獲取這些數據而需要改變其對工作的時間安排。
在應用計算機輔助審計技術時,如何取得被審計單位計算機信息系統中的交易和財務數據是首先需要解決的問題。目前較為可行的方法是藉助國家或者地方頒布的會計核算軟件數據接口標準。基本操作模式是先將被審計單位的信息系統中的數據導出並轉換到審計軟件可識別的格式(該格式通常即是由數據接口標準所規定的),然後由審計軟件接收,讀入審計軟件自身的數據庫中。這種方法的突出優點是使審計軟件接收被審計單位會計信息系統中的數據將不再受到被審計單位信息系統的不同數據結構的制約,大大降低應用難度和審計成本。
二、對電子證據充分性和適當性的考慮
[編輯]在電子證據的充分性和適當性方面,由於電子商務交易記錄可能不以紙質形式存在,與紙質記錄相比,電子形式的記錄更容易在未留下線索的情況下被銷毀或改動,從而影響註冊會計師獲取的審計證據的充分性和適當性。
因此,本準則第三十二條規定,註冊會計師應當考慮被審計單位實施的信息安全政策和安全控制措施,是否足以防止未經授權修改會計系統或會計記錄,或修改向會計系統提供數據的系統。對此,註冊會計師需要考慮本準則第五章所述的安全性控制和交易完備性控制是否可以實現這一目標。
本準則第三十三條進一步明確,在考慮電子證據的充分性和適當性時,註冊會計師可能需要測試自動化控制(如記錄完備性檢查、電子日戳、數字簽章和版本控制),並根據對這些控制的評價結論,考慮是否需要實施追加的審計程序,比如向第三方函證交易細節或賬戶餘額。
註冊會計師應當按照《中國註冊會計師審計準則第1231號——針對評估的重大錯報風險實施的程序》的規定計劃和實施適當的控制測試程序,以測試自動化控制。如需要向第三方函證的,應當按照《中國註冊會計師審計準則第1312號——函證》的有關規定處理。
參見
[編輯]Public domainPublic domainfalsefalse