网誉认证审计程序的研究

时间：2024-04-24

缪喜玲

【摘要】网誉认证审计是现代审计的新内容，是内部控制审计的一种新分支，是电子商务环境下为解决交易风险问题而产生的一项新的鉴证业务。目前，电子商务的发展还不成熟，交易风险无处不在，再加上没有明确的网誉认证鉴证部门、程序、原则和规范，使得注册会计师不能对电子商务网站进行准确的鉴证。文章首先分析了电子商务交易的风险，指出网誉认证鉴证的必要性；其次研究了注册会计师网誉认证审计中亟待解决的问题；最后根据实际操作需要，构建了网誉认证的审计程序。

【关键词】电子商务；交易风险；网誉认证；审计程序

中图分类号：F239.1 文献标识码：A 文章编号：1004-5937（2014）29-0107-03

2013年11月11日，淘宝天猫一天的网上交易额达到惊人的350多亿元，较之2012年的191亿元增加159亿元，五年时间，从2009年的5 200万元，迅猛增至350亿元。说明电子商务在人们的日常生活中逐渐占据越来越重要的地位。网誉认证是按照一定的原则和标准对电子商务活动的真实性、完整性、安全性及交易信息的保密性等进行的评价和鉴定。网誉认证审计是审计业务发展的新领域，是现代审计受托经济责任向安全性拓展的结果。

一、电子商务交易的风险

随着互联网和电子商务的迅速发展，网络安全、隐私权和浏览者信任等风险问题成为严重阻碍网络经济发展的主要问题。电子商务交易的风险包括信息风险和信用风险

（一）电子商务交易的信息风险

电子商务交易要发展，首要问题就是要解决电子商务的信息风险问题。电子商务活动中涉及大量的私人信息和商业秘密，如果遭到窃取或者破坏，对交易双方产生的损害难以估量。信息风险的表现形式：一是信息被窃取的风险，如数据信息未采用加密措施或采用的加密措施失效，就可能被入侵者截获，造成信息泄密。二是信息被篡改或假冒的风险，入侵者通过各种技术手段和方法，修改网站上传送的信息数据，令交易无法按交易双方的意愿正确完成；攻击者还可以篡改信息、冒充合法用户发送信息、主动截获信息，对交易者产生损害甚至侵入网络，造成严重的后果。这些风险都使人们对电子商务望而却步。

（二）电子商务交易的信用风险问题

电子商务是利用网络进行的新型交易行为，难以像传统交易一样，对双方身份和货物进行当面检验，交易者确定交易行为时，所凭借的只能是网上的介绍和承诺，因此会对电子商务的信用问题产生顾虑，如对方的身份是否真实、对方的经营的货物是否存在、质量是否可靠、对方是否诚实守信、付款能否收到货物或收到货物是否合格、对方是否会遵照网站上所披露的政策执行经营服务等。网站鱼龙混杂，信息的不对称，人们无法判别各个网站的实际优劣。由于存在以上问题，人们对电子商务产生疑虑，影响电子商务的顺利发展。

电子商务风险的普遍存在，要求有关部门和人员对电子商务交易网站的安全性和合法性进行鉴证，并对结果进行披露和发表意见。交易双方迫切需要由一个社会上公认的中介机构，站在独立、超然的立场为其提供一个公正客观的、为全社会公认的认证，以提高交易者的信心，减少交易的盲目性，选择适合的网站，降低不必要的交易费用，网誉认证审计要求应运而生。

二、网誉认证审计的问题及原因分析

目前，电子商务发展不成熟，交易风险高，对网誉认证审计程序中的细节问题没有明确的执行方法，再加上没有明确的认证部门、原则、程序和规范，使得网誉认证审计的工作开展困难，不能对电子商务网站进行准确的鉴证。

（一）我国还没有开展正式的网誉认证审计工作

商务交易网站的信誉/信用评价方式多种多样，大多数的评价流程为，企业/网站自愿填报《申请表》→资格初审→《受理通知函》→企业/网站提交《评价申报书》和有关材料→征信调查→信誉/信用等级评定→专家委员会评审→相应网站公示→终评→向企业颁发证书→复查。这种方式下，由于专家委员会鱼龙混杂，鉴证内容、指标、标准不统一，其公信力有待鉴证，不能为当前快速发展，涉及广泛的互联网交易提供强有力的保证。

（二）现有规范对网誉认证没有明确规定

现行的认证原则和规范更多的有赖于中国互联网协会和互联网管理部门根据行业特点和管理要求制定，其所制定的相关制度，对网誉认证审计的鉴证部门、鉴证指标、鉴证程序都没有明确的规定，不能为现实操作提供指导。

网誉认证审计是电子商务环境下为解决交易风险问题而产生的一项新的审计鉴证业务，是现代审计受托经济责任向安全性拓展的结果。笔者认为，为了提高评审结果的可信度，由注册会计师对其进行鉴证是一种客观选择。也就是企业/网站提交的《评价申报书》和有关材料应由注册会计师进行征信调查，对其进行鉴证，并得出信誉/信用等级评定结果。因为注册会计师具有独立、客观、公正的形象，具有丰富的鉴证业务经验，具有成熟合理的工作规范，其评定得到了政府及其各部门和社会各界的普遍认可。

三、网誉认证的审计程序设计

由于我国还没有开展正式的网誉认证审计工作，没有针对电子商务交易网站的相关鉴证业务，所以中国注册会计师协会也没有制定网誉认证方面的鉴证准则。当前的经济发展方式和形式，对我国注册会计师的知识结构和执业水平提出了新的挑战，迫切需要对开展此项业务所需的业务技术知识的学习和探讨。

在注册会计师网誉认证审计需要学习和解决的问题中，本文侧重解决网誉认证审计工作程序的设计。因为，设计完善的鉴证程序是注册会计师能否对电子商务交易网站做出正确鉴证的关键。

笔者将网誉认证的审计程序分为三个阶段：准备阶段、实施阶段和终结阶段，如图1所示。

（一）网誉认证审计的准备阶段

准备阶段的主要目的是明确网誉认证审计业务的目的和范围，评价委托风险，并签订认证业务约定书。注册会计师与委托单位签约前，应与委托单位就认证的目的、范围达成一致意见。初步了解网站的基本情况，如业务性质、经营规模、组织结构、经营情况和风险状况；调阅被认证网站的各种基本资料，如操作授权、交易的保密性措施、客户个人信息管理、实物资料的保存情况等。通过初步审核，注册会计师对网站主要应用项目业务流程、内部控制制度的基本结构有一个概括地了解，以判定鉴证业务风险，决定是否接受委托，进而确定审查的重点和范围。网誉认证审计约定书的作用和审计业务约定书的作用、内容、格式基本相似，包括网誉认证审计的实施时间、范围等内容。认证实施方案应包括如下基本内容：（1）被认证单位的名称和概括；（2）网誉认证审计的范围和重点；（3）网誉认证审计的时间和安排；（4）网誉认证审计应注意的事项。endprint

（二）网誉认证审计的实施阶段

1.获得管理当局的声明书。网站的企业管理部门应在特定时期内，按照“网誉认证审计准则”所要求的内容即在线隐私、安全性、可应用性、经营实务与交易诚信、履行交易的可靠性、保密性、个性化披露等方面，向注册会计师提交管理当局对这几个方面进行披露的声明书。

2.对内部控制制度进行调查测试。对内部控制制度进行测试，是网誉认证审计的重要基础工作。调查的内容一般有：职责分工、应用系统的业务处理程序（各项业务处理程序、进入和修改系统模块授权制度）、关键控制点（网站信息系统业务流程的数据处理步骤）、内部网站维护（维护机构的组织、人员配备等）。

3.收集各种和认证内容相关的证据。注册会计师决定接受委托，并开始鉴证业务后，（1）要确定认证的对象是什么？并对操作过程的各个环节进行系统分析。（2）了解面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？（3）确定哪里有弱点，并可能会被威胁所利用？利用的容易程度又如何？（4）一旦威胁事件发生，相关组织和人员会遭受怎样的损失或者面临怎样的负面影响？（5）组织采取了怎样的安全措施将风险带来的损失降低到最低程度，措施是否合理有效。通过对以上内容的了解以对认证对象进行风险评估，并制定下一步认证程序。

注册会计师可以独立验证信息披露和监控措施，采取检查、观察、询问、计算、重新执行、分析、函证等方法对交易数据、客户信息、交易实效进行认证；也可以向该独立的数据信息管理部门发电子函证，以获取适当、充分的认证证据。认证证据的内容通常应包括以下内容：

（1）履行交易可靠的证据。注册会计师应获取相关证据，以合理保证网站所采取的安全措施可以成功防止未经授权人员循不同途径侵入系统；设计和实施程序以准确辨认和验证授权用户的身分；对对方同意进行网上交易的过程和有关记录全面完整；对各方在交易过程中所承担的损失风险界定清楚；经营各环节措施完善，可以杜绝和减少交易索偿事件的发生。

（2）保密措施严密的证据。注册会计师应获取相关证据，以合理保证已经制定的机密外泄应变程序严密有效；客户有退出及其他选择的权力和自由；确保未经授权不可读取有关机密资料；传送、收集和发放机密资料的措施完善有效；采取措施防止错发机密资料并将资料备份并存于安全地点。

（3）应用保证的证据。注册会计师应获取相关证据，以合理保证有制定完善的意外应变计划和措施、服务中断的应变措施，尽量避免和减少事故对服务的影响；进入有关机构数据中心必须满足相关要求和达到必要的条件；服务目标及有关政策符合法律、法规、合约和行业服务水平协议的要求；软硬件的服务达标并获得批准。

（4）信息披露充分合理的证据。注册会计师应获取相关证据，以合理保证披露的资料符合客观实际，真实、准确。

4.整理网誉认证审计的工作底稿。该工作底稿是编制网站认证报告的必要依据，对取得的认证证据和得出的认证结论进行有效复核和评价，提高认证工作的质量。

（三）网誉认证审计的终结阶段

1.写出网站的认证报告。报告除了要对被认证单位的经营实务与交易诚信、交易的可靠性、交易的保密性、必要的信息披露、网站在线隐私保护等情况发表意见和做出评价外，还应对被认证单位网络系统的内部控制、网站系统的可应用性、处理功能等方面进行评鉴，并提出改进建议。

2.通知认证管理机构进行专家评审并签发证书。注册会计师依据其测试和收集证据的结果发布认证报告，但却没有权利在网站上公布证书，所以，注册会计师必须依据其认证结果，决定是否通知认证管理机构对被认证网站进行专家评审并签发证书。●

【参考文献】

[1] 韩申.中国发展B to C电子商务审计业务探析[J].现代商业，2013（7）：77-78.

[2] 陈耿，王万军，信息系统审计[M].北京：清华大学出版社，2009.

[3] 许琪.信息技术时代的网络审计[J].现代经济信息，2008（6）：227.

[4] 郭承龙，重塑网络消费者初始信任——网誉认证理论探讨[J].图书情报工作，2012（5）：124-130.