一、電子商務系統審計的必然性和必要性
在貿易活動實現網路化之前,採購是面對面或通過紙質檔案進行的,有跡可查,即使是電子交易,其裝置結構是專用的,一般只限於已知使用者使用,任何外部使用者必須是已知的、身份明確的、可追蹤的;系統通常是主機結構方式,相對易於監視、控制和審計。與傳統貿易相比,全球資訊網客戶/伺服器系統的特點是高度分散,資源共享、服務分散、顧客透明度高等,而電子商務的運作速度更快、業務迴圈週期更短、風險更大、更高程度地依靠於技術。電子商務系統的技術基礎和市場的快速變化意味著傳統的衡量已不再適用於企業的某些資產,財務報告不能充分提供企業的狀況和價值方面的資訊,特別是網路企業的無形資產,如商譽、客戶忠誠度和滿足程度等這些產生長期價值的關鍵資產。核實確認這類資產價值的困難在於缺乏足夠的資料、合適的參照標準、先進的`實踐經驗以及對網路的各種威脅和概率的正確估算。企業治理層以及公眾都需要尋找能夠用以表述網路企業的可信度、安全性及其他資產價值的方法,需要一些新的核查和審計方法,更有效地評價無形資產,如知識、品牌等。因此,電子商務系統審計就成為歷史的必然。由於,電子商務的可靠性、適用性、安全性和效能等方面受到的威脅或存在的風險,都可能會其生存和發展。風險因素包括:貿易資訊的洩露、智慧財產的不當使用、對版權的侵犯、對商標的侵犯、網路謠言和對信譽的損害等。因此,進行必要和客觀的審計,才會使董事會、審計委員會、高階治理層對電子商務系統的安全運作和效益滿足和放心。
二、網路風險和風險治理
網路風險如同災難一樣不可預見。風險治理的關鍵在於風險評估,風險評估就是要分析和衡量風險事件發生的概率及後果,引起風險的因素及其關聯因素,出現風險的關鍵點採取什麼方法能夠減緩風險,風險出現造成後果如何,以及評價治理層是否履行了應有的職業審慎進行防範和控制。同時在評估中還要為各項因素設計評價比率,各種風險的影響後果,根據影響和後果排序,對高風險因素作進一步的分析。
通過風險評估,可以熟悉到潛伏風險(威脅)及其影響,以便對高風險領域作一些防範、檢測、控制、減緩和恢復的工作計劃和安排。這些計劃和安排應涵蓋對各項控制本錢,主要是指接受、避免、轉移、監測本錢的分析以及各項工作的先後次序。
三、電子商務系統審計中網站的正當性證實
網路終端使用者都會關注網站是否來自一個真實的、可靠的機構,提供的資訊是否正確真實,機構背景是否正當正當,個人資訊的隱私權是否得到保護等。所謂隱私權是指對個人的資料/資訊的蒐集必須正當、公平,必須用於某一特定、公然的目的,必須取得該個人的同意並受到保護,本人必須有權進進系統進行修改或刪除,資訊的越域活動和將來的使用、表露必須予以安全保證和限制等。
解決這些網站正當性的途徑之一就是由一公證機構提供可靠的證實,以使終端使用者能對網站提供的商務放心。如Verisign, TRUSTe,BBB Online ,Web Trust ,SysTurst等都是具有良好的信譽並且提供證實-查證服務的專業組織機構。網路終端使用者可以通過查詢這些公證機構的記錄,獲得確認被訪問網站的名稱、有效狀態、伺服器標識等資訊。