跳至主要內容

《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》应用指南(2023年4月4日修订)

约 21268 字大约 71 分钟

发文信息

  • 发文机关: 中国注册会计师协会
  • 发布日期: 2023-04-04
  • 生效日期: 2023-07-01
  • 时效性: 现行有效
  • 原文链接:中注协open in new window

第一章 总则

《中国注册会计师审计准则第1633号——电子商务对财务报表审计的影响》(以下简称本准则)第一章(第一条至第五条),主要说明电子商务的概念,注册会计师在财务报表审计中考虑电子商务的目的和总体要求。

本准则与《中国注册会计师审计准则第1201号——计划审计工作》、《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》以及《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的运用密切相关。

一、电子商务的含义

本准则第三条明确了电子商务的定义。本准则所称电子商务,是指被审计单位利用互联网等公共网络从事的商品购买和销售、劳务接受和提供等交易活动。

“电子商务”一词的英文通常有两种写法,即“e-commerce”和“e-business”。对于这些术语尚无已被普遍接受的定义。e-commerce和e-business两个词经常是相通的,但细究起来也有一些区别。e-commerce通常仅指交易活动(譬如货物、劳务的购买和销售),即狭义概念上的电子商务;e-business则指所有的业务活动,包括交易性的和非交易性的,譬如顾客关系与沟通等,即广义概念上的电子商务。本准则所指的电子商务更偏重于其作为“交易活动”的含义,也就是狭义的概念。

二、电子商务的类型

1.按照交易对象分类,电子商务可分为以下五类:

(1)企业对消费者(Business to Customer):利用计算机网络使消费者直接参与经济活动的形式,基本等同于电子化零售。

(2)发生于非特定企业之间:在开放的网络中寻找最佳交易对象,并与交易对象进行从订购到结算的全部交易行为。

(3)发生于特定企业之间:在过去一直有交易关系或者今后确定要继续交易的企业间,为了相同的经济利益,利用信息网络共同进行设计开发或全面进行市场及库存管理的行为。

以上(2)、(3)两项一般统称为Business to Business。

(4)发生于企业与政府之间,如电子化的政府采购以及电子政务等。

(5)发生于企业与其员工之间。

2.按照交易活动的内容分类,电子商务可分为以下两类:

(1)间接电子商务。间接电子商务是对企业的传统业务活动的补充。企业通过网络实现的仅是传统业务活动中的一个或若干个交易环节,其他交易环节仍需在网下以传统方式完成。间接电子商务所交易的一般是具有实物形态的货物和产品。

(2)直接电子商务。直接电子商务代表一种新的业务活动类别。从事这种商务活动的企业借助互联网,通过网站出售和交付数字产品,全部交易环节从订购、交货到付款,均在互联网上完成,并且其所交易的是不具备实物形态的数字产品。

三、注册会计师在财务报表审计中对电子商务考虑的总体要求

使用计算机和网络进行沟通和交易(如商业活动经常涉及与远程计算机的交互作用,使用计算机网络或电子数据交换)并不是商业环境的新特征。但据本准则第四条规定,广泛使用互联网从事电子商务,产生了新的风险因素,需要被审计单位有效应对。注册会计师应当考虑电子商务在被审计单位业务活动中的重要性,以及对重大错报风险评估的影响。

电子商务在很多情况下是通过以互联网为代表的公共网络实现的。互联网是由计算机网络组合而成的世界范围内的共享公共网络,可以实现与世界范围内的其他实体和个人的通信。它具有可共同操作和共同使用的特点,该特点意味着任何一台连入互联网的计算机都可以与其他任何一台连入互联网的计算机通信。互联网作为一个公共网络,与那些只允许经过授权的单位或个人访问的私人网络是不同的。使用这种公共网络从事电子商务可能产生以下新的风险因素:

(1)数据高度集中于电子商务系统,易导致机密数据被他人拷贝,甚至可能被非法改动而且不留下任何痕迹;

(2)电子商务系统设计上存在缺陷,致使其无法判断某些事件是否符合逻辑,因此对不合理的事项也会照样处理;

(3)电子商务系统主要以磁盘、磁带、光盘等存储介质作为信息载体,记录于这些存储介质上的信息是肉眼不可见的,必须借助计算机的“翻译”,才能以人可以理解的形式表现出来,但同一信息可能被“翻译”成不同的形式;

(4)利用磁性介质难以实现诸如签字、盖章等这些使信息证据化的操作,必须使用专用的电子签名、电子印鉴等形式才能实现;

(5)电子商务系统对错误的处理具有重复性和连续性;

(6)电子商务系统中许多不相容职责相对集中,加大了舞弊的风险;

(7)系统设计时可能没有考虑到审计工作的需要,没有留下充分的审计线索;

(8)可能遭受计算机病毒的入侵和“黑客”对电子商务系统的故意破坏。

上述因素都可能使财务报表出现重大错报的风险增大。此外,如果被审计单位广泛使用互联网从事电子商务但对风险缺乏应有的关注,可能会影响注册会计师对风险的评估。为此,如果电子商务对被审计单位的经营活动具有重大影响,则注册会计师在了解被审计单位及其环境并评估重大错报风险,以及确定针对评估的重大错报风险实施的程序的性质、时间和范围时,均应考虑这些因素。

在被审计单位广泛使用互联网从事电子商务的情形下,注册会计师应当考虑信息技术的运用,及其可能导致的被审计单位信息系统与业务流程难以融合等风险;在风险评估以及设计和实施进一步审计程序时,应当考虑内部控制的人工和自动化特征及其影响;应当了解与信息处理有关的控制活动,包括信息技术一般控制和应用控制;应当关注信息技术战略与经营战略不协调、信息技术环境发生变化、安装新的与财务报告有关的重大信息技术系统等事项和情况可能表明的被审计单位重大错报风险。

信息技术的应用情况也是确定控制测试的性质、时间和范围时的重要考虑因素之一。其中,由于信息技术处理过程的内在一贯性,注册会计师可以利用自动化应用控制得以执行的审计证据和信息技术一般控制(特别是对系统变动的控制)运行有效性的审计证据,作为支持该项控制在相关期间运行有效性的重要审计证据。除非系统发生变动,注册会计师通常不需要增加自动化控制的测试范围。信息技术一般控制的有效性也是确定利用以前审计获取的有关控制运行有效性的审计证据是否适当,以及再次测试控制的时间间隔时需要考虑的因素之一。

四、在财务报表审计中考虑电子商务的目的

本准则第五条明确了注册会计师在财务报表审计中考虑电子商务的目的。注册会计师按照本准则的规定对电子商务进行考虑,旨在对财务报表形成审计意见,而非对电子商务系统或活动本身提出鉴证结论或咨询意见。

在财务报表审计中,注册会计师对电子商务的考虑仅限于其与财务报表编制和注册会计师审计有关的部分,服务于财务报表审计的目标。其目的是确定所需实施的财务报表审计程序的性质、时间及范围,而不是对电子商务进行专门的审核。因此,仅根据其在财务报表审计中所获取的关于电子商务的审计证据,注册会计师通常尚不足以对电子商务系统或活动本身提出鉴证结论或咨询意见。

本准则主要针对被审计单位通过互联网等公共网络开展商务活动,但大部分条款也适用于被审计单位使用私人网络的情况。类似地,尽管本准则的大部分内容有助于审计那些主要从事电子商务业务的公司,但并不能解决这类公司审计过程中的所有问题。

第二章 知识和技能的要求

本准则第二章(第六条至第七条),主要说明在被审计单位开展电子商务的情况下,对注册会计师知识和技能的要求,以及对利用相关专家工作的一般要求。

一、对注册会计师知识和技能的要求

了解电子商务对审计的影响所需要的知识和技能随被审计单位电子商务活动复杂程度的不同而不同,注册会计师应当考虑分派的人员是否具备完成审计工作所需的信息技术和互联网商务知识。本准则第六条规定,当电子商务对被审计单位的业务活动具有重大影响时,注册会计师应当具备适当水平的信息技术和互联网商务知识,以实现下列目的:

(1)了解开展电子商务对财务报表的影响;

(2)确定审计程序的性质、时间和范围,评价审计证据;

(3)考虑被审计单位依赖电子商务的程度对持续经营能力的影响。

注册会计师在了解开展电子商务对财务报表影响的时候,应考虑的内容包括:(1)电子商务战略和电子商务活动;(2)开展电子商务活动所需要的技术以及相关人员的知识和技能;(3)与从事电子商务有关的风险及管理风险的措施,尤其是内部控制系统是否充分,包括对财务报告过程有影响的安全基础架构及相关控制。

专业胜任能力是对注册会计师职业道德的一项基本要求,是指注册会计师能够在实务工作环境中按照设定的标准完成工作任务。专业素质是专业胜任能力的基础,而专业知识又是专业素质的基本组成部分。《中国注册会计师胜任能力指南》将信息技术知识作为注册会计师应当具备的专业知识的三大方面之一。注册会计师考虑电子商务应当基于一定的计算机技能和网络知识。电子商务使传统的审计线索、内部控制、审计内容、审计方法和技术等发生了改变,因而对注册会计师的知识和技能提出了更高的要求。不懂得信息技术和电子商务知识,可能会因为审计线索的改变而无法跟踪审计;不懂得电子商务的特点和风险,可能不能了解和测试其内部控制。因此,在被审计单位广泛使用互联网从事电子商务的情况下,注册会计师不仅要精通会计、审计、税务等知识,而且要掌握一定的计算机、网络、通讯、电子商务等知识与技能。

二、对利用专家工作的一般要求

本准则第七条规定,由于电子商务的特殊性和复杂性,必要时,注册会计师应当考虑利用专家的工作。

电子商务具有特殊性和复杂性的特征,涉及到信息技术、法律、税务、贸易和外汇管理等多个领域,其中不少领域是高度专门化的。如果被审计单位的电子商务系统高度复杂,或者存在其他高度专门化的问题,注册会计师应当考虑利用专家的工作。例如,如果注册会计师认为有必要通过试图穿透被审计单位信息技术系统的安全防护层进行控制测试(称为“弱点攻击测试”或“穿透测试”),此时就可能需要利用专家的工作。又如,在评价与电子商务相关的法律问题对财务报表的可能影响时,注册会计师可能需要咨询熟悉电子商务相关法律事务的律师。

在利用专家的工作时,注册会计师应当遵循《中国注册会计师审计准则第1421号——利用专家的工作》的规定,获取充分、适当的审计证据,以确信专家的工作可以满足审计的需要。注册会计师还应当考虑如何将专家的工作与审计项目组内的其他成员所实施的审计工作结合起来,以及针对专家工作所识别出的风险,需要实施哪些程序。

第三章 对被审计单位电子商务的了解

本准则第三章(第八条至第十五条),主要说明注册会计师对被审计单位电子商务了解的总体要求,以及对被审计单位的业务活动和所处行业、电子商务战略、开展电子商务的程度、外包安排等方面了解的具体要求。

第一节 总体要求

在被审计单位开展电子商务的情况下,电子商务的发展可能对被审计单位的传统经营环境产生重大影响。本准则第八条规定,注册会计师应当考虑电子商务导致的被审计单位经营环境的变化,以及识别出的对财务报表产生影响的电子商务风险。

《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》要求注册会计师充分了解被审计单位以识别和了解对财务报表或审计报告有重大影响的事项、交易和活动,包括总体了解被审计单位所处的经济、行业状况。电子商务的增长可能对被审计单位的传统经营环境产生重大影响。

本准则第九条进一步规定,在了解被审计单位及其环境时,注册会计师应当考虑下列事项对财务报表的影响:

(1)业务活动和所处行业;

(2)电子商务战略;

(3)开展电子商务的程度;

(4)外包安排。

注册会计师了解被审计单位,对于评价电子商务对被审计单位经营活动以及对审计风险的影响至关重要。尽管注册会计师获取的大量信息是通过询问负责被审计单位财务报告事务的人员而得到的,但询问电子商务的直接参与者(例如首席信息官)也可能有用。

第二节 被审计单位的业务活动和所处行业

本准则第十条规定,在了解被审计单位的业务活动和所处行业时,注册会计师应当关注与电子商务相关的下列特点:

1.电子商务可能是对传统业务活动的补充,也可能是新的业务类型。如前所述,电子商务按照交易活动的内容分类,可分为间接电子商务和直接电子商务两大类。对于间接电子商务而言,电子商务是对被审计单位传统业务活动的补充,例如,被审计单位可能使用互联网销售传统的有形产品(如书籍和光盘),在互联网上签署合同,同时使用传统交货方式以履行合同。而直接电子商务则代表着一种新的业务活动类别,从订购、交货到付款的全部交易环节均在互联网上完成,并且所交易的是不具备实物形态的数字产品,例如,互联网上的收费音乐、电影下载服务等。

2.电子商务不具备货物和服务等实体贸易所具有的清晰、固定的运送路线这一传统特征。清晰、固定的运送路线是很多实体货物和服务的贸易的传统特征之一,而这一点是互联网所缺乏的。在很多情况下,尤其是在货物和服务可通过互联网交付的情况下,电子商务可以减少或消除很多因时间、距离方面的原因而产生的限制,从而降低交易成本和方便交易的进行。但另一方面,这一点也可能导致缺乏有形的、清晰可见的审计线索,从而增加获取审计证据的难度。

3.某些行业运用电子商务的程度较高,可能增大对财务报表产生影响的经营风险。某些行业对电子商务的运用已进入了较为成熟的发展阶段。如计算机软件、证券交易、银行业、旅游服务、书籍与杂志出版、影视、广告、新闻媒体、教育等行业。这些行业受到互联网电子商务的重大影响,可能增大对财务报表产生影响的经营风险。在审计处于这些行业的单位的财务报表时,注册会计师应当重点关注被审计单位开展电子商务的情况及其对财务报表的影响。

注册会计师在了解被审计单位所处行业的电子商务运用情况的基础上,还需要进一步对与特定行业相关的电子商务管理法规有一总体了解。目前我国已对网上银行、互联网出版、卷烟网上交易、网络传播视听节目、互联网文化产品、互联网药品信息和药品交易服务、互联网新闻信息服务、互联网电子邮件服务等一系列电子商务活动颁布了相应的管理法规。对这些法律法规的总体了解也是了解被审计单位所处行业的电子商务活动的一个重要组成部分。

第三节 被审计单位的电子商务战略

本准则第十一条规定,被审计单位的电子商务战略,包括在电子商务中运用信息技术的方式以及对可接受风险水平的评估,可能对财务记录的安全性和相关财务信息的完整性与可靠性产生影响。

在考虑被审计单位的电子商务战略时,注册会计师应当结合对控制环境的了解,关注下列事项:

1.在整合电子商务与总体经营战略的过程中,治理层的参与程度。治理层是指对被审计单位战略方向以及管理层履行经营管理责任负有监督责任的人员或组织。治理层的责任包括对财务报告过程的监督。被审计单位的治理层对完善公司治理、设定被审计单位的总体经营战略并监控其实施起着重要的作用。在整合电子商务与总体经营战略的过程中,治理层的参与程度,在一定程度上反映了治理层对电子商务的了解和重视,这是被审计单位控制环境的重要组成部分。在这一过程中,治理层的参与程度越高,表明其对这一过程的控制越强,通常控制也就越有效。

2.被审计单位开展电子商务的目的,是为新业务提供支持,还是提高现有业务的效率,抑或为现有业务开辟新的市场。被审计单位开展电子商务的目的直接决定其电子商务战略。如果开展电子商务是为了提高现有业务的效率或者为现有业务开辟新的市场,则电子商务仅仅是其拓展传统业务的一种手段,通常不会对企业整体经营战略产生根本性的影响(除非通过电子商务手段获得的销售订单占到全部销售订单的大多数)。如果开展电子商务是为了给新的数字产品销售等业务提供支持,且新业务占被审计单位全部业务量的比重很大,则电子商务的开展将在很大程度上改变被审计单位的业务模式和总体经营战略,并可能直接导致新的经营风险和财务报表重大错报风险。

3.被审计单位的收入来源及其正在发生的变化。例如,当作为所售货物或劳务的交易当事人时,被审计单位需要承担与所售货物或劳务的所有权相关的全部风险和报酬;当作为代理人或者仅提供交易平台时,被审计单位仅就其所提供的中介服务赚取佣金收入或手续费收入。很明显,获取这两类不同来源的收入,被审计单位所承担的风险和报酬是大不相同的,因而其收入确认、成本结转和损益确定也不相同,相应地,也会影响到相关资产、负债的确认和计量。

4.管理层对电子商务如何影响盈利状况和财务需求的评价。被审计单位管理层对电子商务如何影响盈利状况和财务需求的评价,以及对于这些影响是否重大、相关财务需求能否获得满足的考虑,决定了他们对于电子商务的基本态度,因此也会对电子商务战略产生明显的影响。这一影响应当结合被审计单位的总体经营战略予以考虑。如果被审计单位对电子商务的未来获利前景比较看好,希望进一步扩大电子商务活动的规模,则可能通过公开募集股份或者引入战略投资者、风险投资机构等获得所需的资金。在这一过程中,被审计单位管理层可能会出于吸引潜在投资者的考虑而粉饰财务报表,由此可能导致财务报表重大错报风险增加。对于已上市的公司而言,也可能出于维持股价或者获得再融资资格等考虑而导致财务报表重大错报风险的增加。对此,注册会计师应予以关注。

5.管理层对风险的态度及其对风险总体状况可能产生的影响。与传统的业务模式相比,电子商务的广泛应用导致了新的风险因素。与电子商务相关的风险因素在很多情况下与传统业务模式下的风险因素是不相同的。管理层对于与电子商务相关的风险的态度主要取决于其风险偏好、对电子商务业务的熟悉程度和对风险的掌控能力等因素。如果管理层可以接受甚至偏好较高的风险水平,则财务报表重大错报风险的水平可能会相应上升;如果管理层偏好较低的风险水平,则会采取较为严格的经营风险控制措施,相应地,财务报表重大错报风险的水平也可能较低。

6.管理层在多大程度上识别出电子商务战略所描述的机遇和风险,或者管理层仅在机遇和风险出现时才临时制定应对措施。对电子商务的机遇与风险,管理层可能在一定程度上事先识别出来,并将其体现于成文的、有适当控制提供支持的战略中;也可能在机遇和风险出现时,管理层才临时制定应对措施,确定电子商务的发展方向。对电子商务机遇与风险的应对与处理体现了管理层是否具有前瞻性的眼光,有无全局性的战略考虑。一般认为,临时制定的应对策略可能不成熟,与企业的总体经营战略出现矛盾的可能性也相对较大。事先制定电子商务战略也可能表明管理层希望在电子商务发展中采取主动的行动,甚至希望对本行业电子商务的发展起到引领的作用,而不仅仅是被动接受机遇和风险的来临。

7.管理层对执行相关最佳实务规则或者网络签章程序的信守程度。最佳实务规则是对于某一个法律、法规、规章尚无明文规定的领域,由此领域的参与者约定俗成并获得一致公认的最佳做法和惯例。电子商务虽然近几年内在世界范围内发展很快,但是与传统商务模式相比毕竟属于新兴领域,很多方面尚未完全定型和发展成熟,法律法规监管的“空白点”也比较多。在此情况下,开展电子商务的被审计单位对于本领域内约定俗成的最佳实务规则的信守,可以在最大程度上降低因操作流程和业务规则不恰当而引发的经营风险,因而特别重要。

网络签章是电子签名的一种形式。电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。民事活动中的合同或者其他文件、单证等文书,当事人可以约定使用或者不使用电子签名、数据电文。当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。可靠的电子签名与手写签名或者盖章具有同等的法律效力。

为了确保电子签名的可靠性,在使用电子签名(网络签章)的情况下,管理层应当建立适当的内部控制,包括电子签名制作数据的保管规则和电子签名的具体操作流程等,并予以严格执行,以确保电子签名数据的安全性和可靠性。如果电子签名经过有资质的第三方认证,也有助于提高其可信赖程度。

第四节 被审计单位开展电子商务的程度

本准则第十二条、第十三条规范了注册会计师对被审计单位开展电子商务的程度的考虑。本准则第十二条规定,不同的被审计单位可能以不同的方式开展电子商务。电子商务可能用于下列方面:

1.仅提供关于被审计单位及其活动的信息,供投资者、顾客、供应商、资金提供者和员工等访问。例如,仅仅提供企业介绍、产品和服务介绍等信息,或者提供资料下载服务。这些属于完全以提供信息为目的的单向沟通,不提供论坛、网上订购、网上付款等交互功能。

2.通过互联网处理交易,方便已有的顾客。这类业务模式是将全部或部分与现有特定顾客之间的交易通过网络完成,本质上仍然是传统交易模式的延伸。由于交易对象是原先在网下发展的顾客,被审计单位可以对其信用状况较为了解,不涉及身份认证和信用度评价等问题,交易的信用风险一般较低。

3.通过在互联网上提供信息和处理交易,开拓新市场和发展新客户。此类交易模式是借助互联网提供的便利,实现低成本的市场开拓,或者借助互联网开拓那些使用传统手段无法获得的市场。此类业务模式下,所交易的仍然是传统产品,但是市场开拓工作通过网络完成,交易双方可能未在网下进行过沟通和交流,因此,对客户的身份认证和信用风险评估是以此类方式承接客户时的重要考虑因素。

4.访问应用服务提供商。应用服务提供商(Application Service Provider, ASP)是一种以互联网为媒介的、租赁式的企业级管理应用系统服务模式。ASP平台由系统运营商集中建立(数据中心),通过广域网络向企业提供基于软件的服务和解决方案。企业可以通过租赁的方式实现企业内部生产、管理、商务流程等所有需要的应用系统和跨组织的网络协同合作。

从本质上说,ASP是企业将其对信息技术的需求全部或部分外包的一种形式。ASP运营商可以是向其顾客提供服务的企业,也可以是向最终用户提供支持的非营利性组织或者政府部门。ASP运营商可分为以下五种类型:

(1)企业级ASP:提供较为高端的商务应用服务;

(2)本地/区域ASP:为本地区的中小企业提供范围广泛的应用服务;

(3)专家ASP:针对特定需求提供应用服务,例如网站服务或者人力资源管理服务等;

(4)垂直市场ASP:为某一特定行业内的上下游企业提供服务;

(5)批量服务ASP:以事先制作的软件包的形式,为一般中小企业提供非定制的应用服务。

ASP平台的特点是:

(1)企业无需构建完善的网络硬件环境和服务器,ASP运营商为企业提供高效、安全的网络应用环境;

(2)企业可能无需配备专门的网络IT管理和复合型的专业技术人才,所有的维护工作全部由ASP运营商承担,这样既整合了社会信息化的物质资源又整合了具有复合型技术的人才资源;

(3)企业只需面对ASP运营商一家单位即可满足多方面的信息化应用需求,既省时又省力;

(4)企业无需承担应用系统被淘汰、网络结构被淘汰、网络硬件和软件系统被淘汰和系统性能降低的风险,事实上所有的风险都由ASP运营商承担并化解。

5.创立一种全新的经营模式。例如,通过网络销售和交付数字产品,整个交易的全过程都通过网络完成。如前所述,此类交易模式可以消除传统交易模式对于时间、空间的依赖和限制。

电子商务的开展程度影响被审计单位需要应对的风险的性质。只要被审计单位建立了网站,就会遇到安全问题。即使不存在第三方交互式访问,仅仅提供信息的网页也可能为访问被审计单位的财务记录提供一个入口。如果网站被用于与商业伙伴进行交易,或系统高度集成,则安全基础架构和相关控制预期将会更加复杂。

因此,本准则第十三条规定,随着被审计单位开展电子商务程度的加深,以及内部系统更加集成化和复杂化,新的交易方式与传统业务活动的差异可能更加明显,并可能导致新的风险。

注册会计师应当了解电子商务的开展程度如何影响被审计单位需要应对的风险的性质。

第五节 被审计单位的外包安排

本准则第十四条、第十五条规范了注册会计师对被审计单位与电子商务相关的外包安排的考虑。

一、被审计单位使用服务机构工作的情形

本准则第十四条规定,被审计单位可能在下列方面使用服务机构的工作:

(1)提供电子商务运作所需的全部或部分信息技术支持;

(2)与电子商务相关的其他工作,包括订单履行、商品交付、呼叫中心运转,以及某些会计工作等。

许多被审计单位并不具备建立和运营电子商务所需的内部系统的技术知识,因此可能需要依赖服务机构,例如互联网服务提供商(ISP)、应用服务提供商(ASP)和数据服务公司,以提供电子商务运作所需的全部或部分信息技术支持。另外,被审计单位也可能使用服务机构从事与电子商务相关的其他工作,例如订单履行、货物交付、呼叫中心运转,以及某些会计工作等。由此可见,被审计单位与电子商务相关的服务外包可能包括两部分,一是以获取信息技术支持为目的的外包,二是与信息技术没有直接联系的普通服务外包。

在满足信息技术需求方面,被审计单位使用的服务机构包括互联网服务提供商、应用服务提供商和数据服务公司等。本章第四节对应用服务提供商(ASP)已作介绍,这里再简单介绍一下互联网服务提供商和数据服务公司。

互联网服务提供商又称为互联网接入服务提供商(Internet Access Provider, IAP),是提供互联网接入服务的机构。这类机构通常向电信运营商租入网络和电信码号资源,然后再以一定的租费将用户名、登陆账号、密码、登录方式等提供给用户,用户即可按此登录到互联网。ISP除了向个人提供服务以外,也为大企业提供服务,即可以通过企业的内部网直接访问互联网。各个不同的ISP之间也可通过网络访问点(Network Access Point)实现互联互通。

数据服务公司又称为数据托管公司,依托电信运营商的网络平台,为企业提供业务、财务等方面数据的托管服务,使企业可以更专注于业务的拓展与开发,同时节省企业运作成本。其主要优势在于:一是节省企业的信息技术基础设施建设费用;企业无须建立自己的中心电脑机房以放置核心路由器及服务器,也不用担心由于搬迁而造成的资源再建设费用;二是节省企业的人力资源,即可以以更精简的技术人员配置完成用户企业的网络需求,从而降低了对用户企业自身信息技术资源和能力的要求。

二、注册会计师对被审计单位使用服务机构的考虑的总体要求

本准则第十五条规定,在被审计单位使用服务机构的情况下,服务机构采用和保持的某些政策、程序和记录可能与被审计单位财务报表审计相关,注册会计师应当按照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定,考虑被审计单位的外包安排及相关风险的应对措施,以确定其对审计的影响。

第四章 识别风险

本准则第四章(第十六条至第二十一条),主要说明注册会计师如何识别与电子商务相关的风险,如何审核被审计单位的风险识别和应对措施,以及对与电子商务相关的法律法规事项的考虑。

第一节 与电子商务相关的经营风险

一、与电子商务相关的经营风险的主要类型

本准则第十六条列举了管理层可能面临的下列各种与电子商务相关的经营风险:

(一)无法保证交易的完备性

所谓交易的完备性,是指被审计单位记录和处理财务记录所依据的信息的完整性、准确性、及时性和是否经过授权。在电子商务环境下,由于信息技术的固有特点,一方面可以提高被审计单位处理交易的效率和效果,另一方面也会产生以下特定风险:

(1)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;

(2)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;

(3)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;

(4)未经授权改变主文档的数据;

(5)未经授权改变系统或程序;

(6)未能对系统或程序作出必要的修改;

(7)不恰当的人为干预;

(8)数据丢失的风险或不能访问所需要的数据。

上述特定风险的存在,使电子商务环境下保证交易完备性的难度比传统业务模式下的难度更大。尤其在缺少充分的审计轨迹(无论是纸质还是电子形式)时,该风险的影响将更大。

(二)电子商务安全风险

电子商务安全风险,包括顾客、员工和其他人士通过未经授权的访问实施舞弊的可能性,以及病毒攻击等,是一类广泛存在的风险。目前用于支持互联网应用的操作系统和应用程序或多或少都存在安全漏洞,绝对安全的系统是不存在的。互联网的广泛应用,使计算机病毒的传播较以往更快,典型的电子邮件病毒可以在几小时内扩散到全世界,造成大面积的网络瘫痪。同时,某些人出于谋取不正当经济利益或者炫耀自己的网络技术等不良动机,可能会对网站实施非法的访问或者攻击,窃取或者篡改网络上存储的机密数据,即所谓黑客行为。

(三)运用不恰当的会计政策

电子商务的运用,可能导致运用不恰当的会计政策,包括收入确认、网站开发成本等支出的处理、与产品质量保证相关的预计负债的确认、外币折算等问题。

1.收入确认问题。

(1)被审计单位在交易中是当事人还是代理人,销售收入应当是总额确认还是仅仅将佣金确认为收入;

(2)如果允许其他单位或个人使用本单位网站上的广告空间,那么如何确定和结算广告收入,如使用非货币性资产交换方式等;

(3)数量折扣和促销优惠的处理,如免费提供一定价值的货物;

(4)截止的恰当性,如是否只有当货物和劳务已提供后才确认收入。

2.网站开发成本等支出的资本化或费用化处理。根据《企业会计准则第6号——无形资产》第八条、第九条的规定,企业内部研究开发项目研究阶段的支出,应当于发生时计入当期损益;企业内部研究开发项目开发阶段的支出,同时满足5项条件的,才能确认为无形资产。因此对于网站开发成本支出的资本化或费用化问题,在很大程度上取决于被审计单位和注册会计师的职业判断。

3.与产品质量保证相关的预计负债的确认问题。是否需要确认与产品质量保证相关的预计负债,首先取决于根据所签署的交易合同,被审计单位是否承担与产品质量保证相关的责任和风险。在电子商务环境下,由于交易平台和交易方式的复杂性,对这一问题的判断可能较为复杂。其次,某些产品和劳务只能通过直接电子商务的方式提供(例如网上收费的软件使用许可、网上收费的音乐下载等),这些产品的特性不同于传统产品,从而在产品质量保证责任的估计方面也可能导致新的问题出现。

4.外币折算问题。由于互联网“无国界”的特点,通过互联网完成的电子商务交易中跨国或跨地区交易所占比重较大。相应地,外币折算问题也就比较多见。

(四)未能遵守税法和其他法律法规

目前,世界上尚无一部比较完整、系统、得到各国公认的电子商务交易基本法律或者国际公约。各国对于电子商务的规范,主要还是依据本国的国内法。传统的商事法律是以传统交易模式为基础制定的,由于电子商务交易形式的特殊性,传统商事法律在某些方面可能不适用,因而可能存在一些法律法规监管的“空白地带”,相应地,交易各方之间出现纠纷的可能性也相对较大。另外,对于电子商务交易的征税问题,各国的规定也很不相同。因此,被审计单位应当注意防范与电子商务相关的税务风险,尤其在通过互联网开展跨国或跨地区电子商务交易时更容易出现此类情况。

(五)无法保证仅以电子形式存在的合同具有约束力

根据《中华人民共和国电子签名法》第三条的规定,当事人约定使用电子签名、数据电文的文书,不得仅因为其采用电子签名、数据电文的形式而否定其法律效力。第七条规定,数据电文不得仅因为其是以电子、光学、磁或者类似手段生成、发送、接收或者储存的而被拒绝作为证据使用。这些规定为仅以电子形式存在的合同具有约束力提供了法律依据,但是该法同时为数据电文如何才能具备法律效力规定了一定的条件。被审计单位在电子商务活动中,只有确保仅以电子形式存在的合同完全符合《中华人民共和国电子签名法》的有关规定,才能保证该合同具有约束力(如果涉及跨国、跨地区的电子商务交易,则还需要符合对方所在国家或地区的相关法律法规)。如果由于内部控制不完善、制度设计不合理等原因,导致仅以电子形式存在的合同因不符合《中华人民共和国电子签名法》的有关规定而不具有法律效力,则被审计单位可能面临较大的经营风险。

为此,注册会计师在审计中应当关注仅以电子形式存在的重要合同的法律效力问题,必要时应当咨询信息技术专家和熟悉电子商务相关法律事务的律师。

(六)过度依赖电子商务

被审计单位过度依赖电子商务的重要表现之一是将重要的经营系统置于互联网上,或将重要商业交易通过互联网完成。电子商务的开展固然可以提升交易的效率和效益,增强企业的获利能力。但是过度依赖电子商务(例如全部交易均通过电子商务形式实现),可能导致经营风险总体水平增大。

(七)系统和基础架构失效或崩溃

电子商务是建立在现代信息技术基础上的。目前,计算机信息技术已经比较成熟并获得广泛应用,但是仍然不能排除系统或者基础架构失效或崩溃的可能性。例如,网站可能由于硬件故障、网络连接中断、瞬间的高流量等原因而在一段时间内无法访问,或者可能发生服务器操作系统的“死机”和数据丢失等软件故障。这些情况将会对电子商务活动的正常进行产生不利影响。因此,被审计单位需要建立数据即时备份、服务器备份等制度,以使此类问题对企业可能造成的损失降至最低限度。

二、识别电子商务中可能导致经营风险的事项、交易和惯例

由于存在上述导致经营风险的事项,本准则第十七条规定,注册会计师应当利用对被审计单位及其环境的了解,识别电子商务中可能导致经营风险的事项、交易和惯例。

注册会计师应当考虑哪些经营风险可能导致财务报表出现重大错报,或对注册会计师应实施的审计程序或所出具的审计报告有重大影响。

三、考虑被审计单位的风险应对措施

本准则第十八条规定,注册会计师应当关注被审计单位是否运用适当的安全基础架构和相关控制,应对电子商务中出现的某些经营风险。

这些安全基础架构和相关控制一般包括旨在实现下列目的的措施:

(1)验证顾客和供应商的身份;

(2)确保交易的完备性;

(3)就交易条款(包括交货、信用条款、争议解决程序等)达成一致,其中可能涉及对交易和程序的执行情况留下线索,以确保交易的一方事后不能否认曾经就特定条款达成协议;

(4)获得顾客的付款,或确保对顾客授信的安全性;

(5)建立信息保密机制,订立信息保护协议。

第二节 与电子商务相关的法律法规事项

一、与电子商务环境密切相关的法律法规

任何商务活动都是在一定的法律法规框架下进行的,电子商务也不例外。但是,由于电子商务的特殊性,它面临着一些不同于传统商务模式下的特有法律法规事项。本准则第十九条规定,注册会计师应当考虑被审计单位是否已恰当处理与电子商务环境密切相关的下列法律法规问题:

1.隐私权保护。隐私权保护的核心是确保用户网上注册信息和其他个人信息的私密性,未经用户同意或者法律法规特别要求,不得泄露给第三方。

2.对特定行业的管制。我国已经针对一些特定行业(如网上银行、互联网出版等)的网上交易制定了专门的法律法规。对于从事这些特定行业的电子商务活动的被审计单位,注册会计师应当关注其对相关法律法规的遵守情况。

3.合同的强制执行效力。如前所述,仅以电子形式存在的合同,必须符合《中华人民共和国电子签名法》对数据电文和电子签名有效性条件的各项规定,才能具有法律效力。

4.特殊交易或事项的合法性。例如,在某些国家或地区,通过互联网进行博彩活动可能是合法的,但在大部分国家和地区则被认为是非法的。因此,对于交易各方均处于同一国家或地区的电子商务活动,必须符合所在国家或地区的法律法规规定;对于跨国或者跨地区的电子商务活动,应当确保同时符合所有交易各方所在国家或地区的相关法律法规,只有这样才能最大限度地降低违反法律法规的风险。

5.反洗钱。洗钱是指将毒品犯罪、黑社会性质的组织犯罪、恐怖活动犯罪、走私犯罪、贪污贿赂犯罪、破坏金融管理秩序犯罪、金融诈骗犯罪的违法所得及其产生的收益,通过各种手段掩饰、隐瞒其来源和性质,使其在形式上合法化的行为。由于互联网的便捷和“无国界”的特点,在互联网上通过各种貌似合法的手段进行洗钱活动(甚至是跨国或跨地区的洗钱活动)也远较传统交易模式快速、方便。因此,对于网上银行等通过互联网从事金融业务的企业,需要关注和及时报告大额和可疑的交易,反洗钱的任务将比以往传统交易模式下更为繁重。同时,从事其他电子商务交易的企业,也要防范他人利用与本企业的交易或者本企业所提供的交易平台进行洗钱的可能性,依法履行法律法规规定的报告义务。

6.知识产权保护。近年来,互联网上的侵犯知识产权案件时有发生。例如,提供盗版软件或者盗版音像制品的下载等,严重侵犯了知识产权所有人的权益。为此,各国普遍加大了对互联网上的侵犯知识产权行为的打击力度。我国已经出台《信息网络传播权保护条例》,对信息网络上的著作权和其他知识产权的保护专门作出规范。被审计单位在从事电子商务时,应注意避免侵犯(包括非故意地损害)他人所拥有的知识产权。

由于与电子商务相关的法律法规事项的重要性和复杂性,在某些情况下,当考虑由被审计单位的电子商务活动所产生的法律法规事项时,注册会计师可能需要征询在电子商务方面具有特殊专长的律师的意见。

二、对与电子商务相关的税务事项的考虑

在第十九条对与电子商务相关的法律法规事项作了总体规范的基础上,本准则第二十条规定注册会计师应当对跨国或跨地区电子商务涉及的不同司法管辖区内的税务事项予以考虑。

目前尚不存在一个综合性、国际性的电子商务法律框架,也不存在可以对这样的框架提供支持的高效率的基础架构,如电子签章、文档注册、争议解决和消费者保护机制等。不同司法管辖区的法律框架在电子商务的确认方面是存在差异的。与跨国或跨地区电子商务活动相关的法律法规事项的一个重要特征就是不同国家和地区在电子商务立法方面存在一定差异。所以,在跨国或跨地区的电子商务中,注册会计师应当考虑被审计单位是否对电子商务涉及的不同司法管辖区内的法律法规差异有足够的了解,并遵守所有适用的法律法规。

由于电子商务具有一系列不同于传统商务活动的特点,因此原先主要以传统商务活动为依据的税务法规可能不完全适用于电子商务。目前,有些国家和地区已经制定了专门针对电子商务的税收法律法规,而有些国家尚未制定。不同国家针对电子商务的税收法律法规的规定也不尽一致。因此,从事电子商务的企业不仅要熟悉本国或本地区关于电子商务的税收法律法规的规定,而且,如果从事跨国或者跨地区的电子商务,还要熟悉交易对方所在国家或地区的相关税收法律法规。

注册会计师尤其要考虑被审计单位有无适当的程序确认其在不同司法管辖区内的纳税义务(特别是营业税、增值税等流转税)。

可能导致电子商务交易产生相应纳税义务的因素包括:

(1)被审计单位的法定注册地;

(2)被审计单位的实际经营所在地;

(3)被审计单位网络服务器所在地;

(4)商品和服务的来源地;

(5)顾客所在地,或商品交付地和劳务提供地。

不同司法管辖区可能根据上述各项因素中的一项或者多项作为判断在本司法管辖区内是否承担纳税义务的标准。注册会计师应当根据适用的税收法律法规的规定,结合电子商务交易的实际情况,确定被审计单位是否已经充分、恰当地确认了在不同司法管辖区内的纳税义务,是否存在低估应交税金和相关成本费用的情形。

三、对与电子商务有关的违反法律法规行为的考虑

本准则第二十一条规定,注册会计师应当按照《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,实施相关程序,充分考虑被审计单位可能存在的违反与电子商务有关的法律法规的行为及其可能对财务报表产生的重大影响。必要时,应当考虑征询法律意见。

按照《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》的规定,注册会计师应当:

(1)在设计和实施审计程序以及评价和报告审计结果时,充分关注被审计单位违反法规行为可能对财务报表产生重大影响;

(2)在计划审计工作时,总体了解适用于被审计单位及其所处行业的法律法规,以及被审计单位如何遵守这些法律法规;

(3)在获得总体了解时,特别关注某些法律法规可能导致对被审计单位经营活动产生重要影响的经营风险,即违反法律法规可能导致被审计单位停业或对其持续经营产生重大影响。

注册会计师在前述总体了解的基础上实施进一步审计程序,有助于识别被审计单位在编制财务报表时应当考虑的违反法规行为。如果根据职业判断,某一法律法规事项可能导致财务报表产生重大错报,或对注册会计师所实施的程序或所出具的审计报告产生重大影响,注册会计师应当考虑管理层对此问题所作的反应。

第五章 对内部控制的考虑

本准则第五章(第二十二条至第三十一条),主要说明在电子商务环境下注册会计师考虑被审计单位内部控制的总体要求,以及注册会计师对安全性控制、交易完备性控制和流程整合的考虑。

第一节 总体要求

一、考虑与电子商务相关的内部控制的设计

本准则第二十二条要求注册会计师应当按照《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》和《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定,考虑被审计单位在电子商务中运用的与财务报表编制相关的内部控制体系。

在电子商务环境下,内部控制的一个重要特点是基于信息技术的自动化控制所占比重较大,很多关键的控制功能是通过内置于被审计单位用于支持电子商务的信息技术系统中的应用控制实现的。同时,网络环境也对内部控制的完备性和可靠性提出了更高的要求,尤其需要通过内部控制保证数据和系统的安全性和交易的完备性。电子商务环境下内部控制的复杂程度与信息技术系统的复杂程度直接相关,电子商务系统与其他信息技术系统的一体化程度越高,控制也就越复杂。

信息技术通常可以在某些方面提高被审计单位内部控制的效率和效果,但是也会使内部控制产生特定风险。因此,注册会计师应当充分考虑电子商务环境下内部控制的特点,关注被审计单位内部控制的设计是否完善(尤其是其中人工成分和自动化成分的划分是否恰当),是否得到一贯执行,以及运行是否稳定、可靠。

二、考虑实施控制测试

在要求考虑与电子商务相关的内部控制的设计的基础上,本准则第二十二条进一步规定,在某些情况下,仅依靠实施实质性程序不足以将审计风险降至可接受的低水平,注册会计师应当实施控制测试,并考虑使用计算机辅助审计技术。这些情况主要包括:

(1)电子商务系统高度自动化;

(2)交易量过大;

(3)未保留包含审计轨迹的电子证据。

在电子商务系统高度自动化的情况下,审计证据可能仅以电子形式存在,其充分性和适当性通常取决于自动化信息系统相关控制的有效性,注册会计师应当考虑仅通过实施实质性程序不能获取充分、适当审计证据的可能性。

三、电 子商务环境下注册会计师需重点考虑的控制

本准则第二十三条规定,当被审计单位从事电子商务时,注册会计师应当考虑与电子商务相关的安全性控制、交易完备性控制和流程整合。注册会计师还应当考虑下列内部控制中与审计特别相关的方面。

1.在快速变化的电子商务环境中保持控制程序的完备性。电子商务作为一个新兴的领域,很多方面尚未完全定型,而作为其基础的信息技术的发展更是一日千里。从事电子商务的被审计单位不仅与传统企业一样面临着市场环境的变化,需要相应调整其经营方式和经营策略,还要根据信息技术的发展情况及时进行系统升级和相应的流程调整。前已述及,电子商务环境下内部控制的重要特点之一是自动化成分所占比重大,而自动化控制主要是固化于相关信息技术系统中的。在信息技术系统升级和流程调整过程中,必然需要对控制程序进行相应的更新和优化,使之与新的系统、流程相适应和相衔接。此时如何保持控制程序的完备性,避免出现控制漏洞,是被审计单位和注册会计师都需要关注的重要问题。

2.确保能够访问相关记录,以满足被审计单位和注册会计师审计的需要。能随时访问电子商务系统的相关数据库记录,既是被审计单位有效开展经营活动的需要,也是注册会计师在审计中及时获取所需数据的需要。注册会计师应当关注在被审计单位的信息技术系统中检索相关数据的便捷性、响应速度,以及访问结果的正确性和完整性。

第二节 安全性控制

一、考虑安全基础架构和相关控制

当外部有关方面可使用公共网络(如互联网)访问被审计单位的信息系统时,被审计单位的安全基础架构和相关控制就构成了其内部控制系统的一个极其重要的组成部分。根据本准则第二十四条的规定,在这种情况下,注册会计师应当考虑被审计单位的安全基础架构和相关控制是否足以应对与电子商务交易的记录和处理相关的安全性风险。

衡量信息安全与否,主要看其是否满足有关合法授权、真实性、保密性、完整性、不可否认性及可获得性等方面的要求。被审计单位通常通过建立安全基础架构和相关控制来应对与电子商务交易的记录和处理相关的安全性风险。安全基础架构和相关控制通常包括信息安全政策、信息安全风险评估,以及在引入和维护各系统的过程中均应遵循的标准、措施、实务惯例和程序,包括针对实物的安全防护措施,以及逻辑与其他技术方面的安全保护措施,例如用户身份识别、密码和防火墙等。

二、考虑相关事项对财务报表认定的潜在影响

本准则第二十五条规定,注册会计师应当考虑下列事项对财务报表认定的潜在影响:

(1)有效使用防火墙和病毒防护软件,以保护其系统免受未经授权或有害的软件、数据或其他电子形式的材料的入侵;

(2)有效使用加密技术,例如,通过对解密密钥的授权等措施,确保信息在传递过程中的私密性和安全性;通过对私人解密密钥的控制和安全防护等措施,防止加密技术的不当使用;

(3)对用于支持电子商务活动的系统的开发和运行的控制,此类控制是信息技术一般控制的重要组成部分,是包括自动化控制在内的信息技术应用控制有效发挥作用的基础;

(4)当出现的新技术可能危害互联网安全时,现有的安全控制是否仍然有效;

(5)控制环境能否对所采用的控制程序提供支持。控制环境包括治理职能和管理职能,以及治理层和管理层对内部控制及其重要性的态度、认识和措施。控制环境在内部控制的各要素中居于基础地位,同时内部控制的各要素之间也应当互相适应和配合。没有恰当的控制环境,单纯的技术措施是难以有效发挥应有作用的。例如,虽然某些控制程序(如基于数字证书的加密系统)在技术上是先进的,但是如果控制环境薄弱(如证书保管不善,密码任意泄露,员工之间任意互相串用计算机等),这些控制程序可能难以有效地发挥作用。

上述各事项反映了被审计单位的安全性控制在设计方面的完备性和在执行方面的有效性,对被审计单位财务报表各项目及其有关认定均有不同程度的影响。

第三节 交易完备性控制

一、交易完备性控制包含的内容

本准则第二十六条规定,注册会计师应当考虑交易完备性控制,包括被审计单位会计处理所依据信息的完整性、准确性、及时性以及是否经过授权。

被审计单位电子商务活动的性质与复杂程度,会影响与电子商务交易的记录、处理相关的风险的性质和大小。

二、针对信息完备性所实施的审计程序

本准则第二十七条规定,注册会计师针对会计系统中与电子商务交易相关的信息完备性所实施的审计程序,主要涉及评估用于采集和处理此类信息的系统的可靠性。

在一个复杂的系统中,一个起因事件(如通过互联网接收到顾客的定单)会自动启动该项交易处理流程中的其他各项步骤。因此,针对复杂的电子商务实施的审计程序与针对传统业务活动实施的审计程序不同,后者通常侧重于与交易信息的采集和处理有关的每一阶段的控制流程;而在针对复杂电子商务实施审计程序时,注册会计师应当重点考虑在交易信息的采集和即时自动化处理中与交易完备性相关的自动化控制。

三、与交易完备性相关的控制

本准则第二十八条规定,在电子商务环境中,与交易完备性相关的控制通常用于下列方面。

1.验证输入。即通过事先设定的合理性校验条件(如数据类型、金额等数字的取值范围等),使系统拒绝接受不符合校验条件的输入。例如,系统规定金额字段必须为数值型数据,如果用户在金额字段中输入文字,系统应拒绝接受并予以提示;又如,规定某一金额的取值范围在0.01~10000之间,如果用户输入了负数或零,或者大于10000的数字,系统也应拒绝接受。

对于较为复杂的输入内容,为了尽最大可能防范输入差错,常使用冗余位数校验的方法对输入的正确性自动进行合理性检查。例如,我国现行的公民身份号码为18位,其中最右边一位就是校验码。在具有公民身份号码合理性校验功能的系统中,用户输入18位的公民身份号码后,系统可以对其前面的17位按照一定的规则进行运算,将运算结果与校验码相比较,如果不符,则表明可能存在输入错误,此时系统将显示提示信息,要求用户再次检查输入的正确性。当然,自动化系统中的此类校验功能只是一种逻辑合理性的检查,并不能完全预防和发现所有可能的输入差错。

2.防止交易的重复记录或遗漏。例如,通过设置关键字的唯一性控制,如果用户在两条记录的同一字段(如订单号码)中输入了相同的关键字,系统就应当及时发现并给出诸如“关键字重复”的提示信息。对于防止交易记录的遗漏,可采用控制总数等控制程序实现。

3.确保在处理订单之前,交易双方已就交货条件和信用条件等交易条款达成一致。有些企业的交易条款还可能要求在签订单时即支付款项。

4.区分顾客的浏览(如一般性的询价)和正式订单,确保交易的一方事后不能否认已达成一致的特定条款,必要时还应确保交易是与经核准的交易方进行的。例如,检查交易对方是否已被列入“可信任的顾客清单”,或者检查本次交易金额是否在规定的交易限额以内,或者该顾客的应收账款余额是否未超过信用管理部门设定的限额等。

5.确保所有步骤均已完成并得以记录,或拒绝未完成所有步骤的订单,以防止出现处理不完整的情况。例如,在一项企业对顾客的交易中,订单已接受、款项已收到、货物已交付或劳务已提供、会计系统中的数据已相应更新,这时的处理是完整的。

6.确保交易的详细信息在同一网络内的多个系统之间适当分配。例如,某企业的局域网中设有多个功能相仿的数据处理系统,数据采集通过统一的入口集中进行,再将采集到的信息自动传递给不同的资源管理者以执行交易。这时,数据采集与分配系统的智能化程度就会对所采集的数据在这些系统之间的分配和处理情况产生较大的影响,从而最大限度地促进合理利用网络和计算机软、硬件资源。

7.确保记录得到适当保管、备份和保护。用于实现这一目标的控制既有信息技术一般控制,也有应用控制。一般控制包括建立定期备份制度,以及对备份信息的保存方式、保存地点、保存期限和相关安全防护措施作出的规定等。应用控制包括在应用系统中设置强制备份或者即时备份模块等。

第四节 流程整合

一、关于流程整合

本准则第二十九条指出,流程整合是指将多个信息技术系统集成,使之实质上如同一个系统运转的过程。

在电子商务环境中,由被审计单位的网站生成的交易应当由被审计单位的内部系统(如会计系统、客户关系管理系统、存货管理系统等,通常称为“后台办公室”系统)予以适当处理。许多网站并非自动地与这些内部系统集成在一起。网站与被审计单位内部系统的自动集成程度越高,数据处理的效率也就越高。但与此同时,前后台系统之间联系的紧密,也可能导致以下风险的增加,需要被审计单位建立适当的控制加以应对:

(1)因系统过于复杂而导致出错可能性提高的风险,对系统的可靠性提出了更高的要求;

(2)因前后台系统直接集成,而导致未经授权的人士通过前台系统进入后台系统窃取商业秘密数据,或者进行未经授权的增加、修改、删除操作的可能性增大;

(3)因过滤无效数据的控制存在欠缺,导致前台系统接受的错误输入直接进入后台的业务处理系统和会计系统,其造成的后果远较集成程度较低时严重。

二、关注采集和传递电子商务交易数据可能产生的影响

本准则第三十条规定,注册会计师应当关注被审计单位采集电子商务交易数据并将其传递至会计系统的方式可能对下列事项产生影响:

1.交易处理和信息存储的完整性和准确性。如前所述,流程整合对交易处理和信息存储的完整性和准确性的影响是两面的。在自动化控制健全的情况下,可以通过减少人工干预提高交易处理和信息存储的完整性和准确性;而另一方面,也可能增大安全性方面的风险。

2.销售收入、采购和其他交易的确认时点。例如,系统可能将该交易最初在系统内部发起的时间作为确认时点,也可能将交易的完成时间作为确认时点。注册会计师应当关注系统内的相关业务处理规则是否符合适用的会计准则和相关会计制度的规定。

3.有争议交易的识别和记录。例如,可以对有争议的交易加上特殊的标识,并通过系统之间的数据传递,将该交易存在争议的信息传递到其他相关系统中,实现不同系统中数据的同步更新。同时,借助不同系统之间的数据和信息共享,也可以更方便地发现有争议的交易。

三、注册会计师应当考虑的其他事项

本准则第三十一条规定,当下列控制与财务报表认定相关时,注册会计师应当予以考虑:

1.针对电子商务交易与内部系统的集成实施的控制。此类控制主要是针对集成后系统的特点,为了保证数据处理的正确性和数据的安全性、完备性而设置的控制,基本上属于对常规事项的控制。例如,加强对前台系统中输入数据的合理性检查,有效使用防火墙和病毒防护软件等安全技术措施等。

2.针对系统改变和数据转换实施的控制。此类控制主要是针对系统的开发和实施过程设置的控制,具有非常规性的特点。在系统升级或者转换到新的系统时,需要注意新旧系统的衔接问题。为此,被审计单位可能需要成立专门的工作小组,并制定详细的方案,进行周密的准备,包括数据的整理、新系统的测试、相关人员的培训、新旧系统处理的恰当截止等,以确保新旧系统平稳过渡,而不至于导致业务、财务处理的中断。

其中,旧系统中存储的数据如何平稳地转入新系统是一个需要重点关注的问题。为了提高转换的效率,避免重复输入,此类工作一般由新系统的实施人员在比较新旧系统数据结构差异的基础上,通过编写一次性使用的专用转换程序实现批量转换。针对此类转换程序的编制所实施的控制可能不会像针对新系统的设计所实施的控制那样严密,因此出错的可能性相对较高。为此,一方面,在数据转换前,需要对转换程序进行尽可能严密的测试;另一方面,在转换完成后,需要对转换结果的正确性进行选择性测试或全面的检查和复核,并检查新系统能否在转换后的数据基础上正常运行。

第六章 电子记录对审计证据的影响

本准则第六章(第三十二条至第三十三条),主要说明注册会计师对于电子记录对审计证据的影响的考虑。

一、对证据收集程序的性质、时间和范围的考虑

在证据收集程序的性质、时间和范围方面,注册会计师可能需要注意运用计算机辅助审计技术(如通用或专用的审计软件等)获取和分析审计证据。计算机辅助审计技术可用于对电子化的交易和账户文档进行更广泛的测试,包括从主要电子文档中选取交易样本,或按照某一特征对交易进行分类,或对总体而非样本进行测试。

计算机辅助审计技术可以用于执行各种审计程序,包括:

1.执行交易和余额的细节测试。例如,利用审计软件测试计算机文件中的全部(或抽样的)交易。

2.执行分析程序。例如,利用审计软件鉴定非正常的波动或项目。

3.信息系统一般控制执行情况的测试。例如,利用测试数据对程序库的存取程序进行测试。

4.信息系统应用控制执行情况的测试。例如,利用测试数据测试程序过程的功能。

一些计算机文件,例如详细的业务文件,往往只留置较短时间,当注册会计师需要时,可能得不到机器可读形式的数据。因此,注册会计师必须对其所要求的数据保存作出安排,或者为了获取这些数据而需要改变其对工作的时间安排。

在应用计算机辅助审计技术时,如何取得被审计单位计算机信息系统中的交易和财务数据是首先需要解决的问题。目前较为可行的方法是借助国家或者地方颁布的会计核算软件数据接口标准。基本操作模式是先将被审计单位的信息系统中的数据导出并转换到审计软件可识别的格式(该格式通常即是由数据接口标准所规定的),然后由审计软件接收,读入审计软件自身的数据库中。这种方法的突出优点是使审计软件接收被审计单位会计信息系统中的数据将不再受到被审计单位信息系统的不同数据结构的制约,大大降低应用难度和审计成本。

二、对电子证据充分性和适当性的考虑

在电子证据的充分性和适当性方面,由于电子商务交易记录可能不以纸质形式存在,与纸质记录相比,电子形式的记录更容易在未留下线索的情况下被销毁或改动,从而影响注册会计师获取的审计证据的充分性和适当性。

因此,本准则第三十二条规定,注册会计师应当考虑被审计单位实施的信息安全政策和安全控制措施,是否足以防止未经授权修改会计系统或会计记录,或修改向会计系统提供数据的系统。对此,注册会计师需要考虑本准则第五章所述的安全性控制和交易完备性控制是否可以实现这一目标。

本准则第三十三条进一步明确,在考虑电子证据的充分性和适当性时,注册会计师可能需要测试自动化控制(如记录完备性检查、电子日戳、数字签章和版本控制),并根据对这些控制的评价结论,考虑是否需要实施追加的审计程序,比如向第三方函证交易细节或账户余额。

注册会计师应当按照《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定计划和实施适当的控制测试程序,以测试自动化控制。如需要向第三方函证的,应当按照《中国注册会计师审计准则第1312号——函证》的有关规定处理。

上次编辑于: