【作者】林瓊
【作者簡(jiǎn)介】中央財(cái)經(jīng)大學(xué)　北京　100081
【內(nèi)容提要】會(huì)計(jì)職業(yè)人員對(duì)評(píng)估內(nèi)部控制并實(shí)施風(fēng)險(xiǎn)管理的技能已熟知多年。這種經(jīng)過時(shí)間檢驗(yàn)并證 明行之有效的經(jīng)驗(yàn)和專業(yè)技能是會(huì)計(jì)職業(yè)產(chǎn)生獨(dú)特影響的知識(shí)基礎(chǔ)。隨著電子商務(wù)的發(fā)展， 盡管目前尚沒有統(tǒng)一且標(biāo)準(zhǔn)的定義，但其發(fā)展對(duì)會(huì)計(jì)職業(yè)卻提出了挑戰(zhàn)。從某種意義上講， 企業(yè)的風(fēng)險(xiǎn)評(píng)估增加了很多新的內(nèi)容，而與之相對(duì)應(yīng)的內(nèi)部控制也需要進(jìn)行必要的調(diào)整，從 而實(shí)行風(fēng)險(xiǎn)管理。本文擬就電子商務(wù)環(huán)境下的內(nèi)部控制和風(fēng)險(xiǎn)管理及其手段進(jìn)行分析。
【英文摘要】Assessing internal controls and performing risk management are skills th at acc ounting professionals have been performing for many years.This time -proven exper ience and technical expertise is a knowledge base against wh ich the accounting p rofession is uniquely in a position to leverage.The d evelopment of electronic co mmerce,although there has no unique and standa rd definition for electronic comme rce at present,made the accounting prof ession face a challenge.To some extent,mo re new contents have been added to the risk assessment of the enterprise.Interna l control should be adjus ted accordance with the new change to make the risk man agement.This artic le is to analyze the internal control and risk management and　the relevan t means under electronic commerce.
【關(guān)鍵詞】電子商務(wù)/風(fēng)險(xiǎn)評(píng)估/內(nèi)部控制/會(huì)計(jì)職業(yè)/風(fēng)險(xiǎn)管理/Electronic commerce/Risk evaluati on/Internal Control/Accounting profession/Risk management
【正文】
因特網(wǎng)和電子商務(wù)的出現(xiàn)不僅為企業(yè)和消費(fèi)者帶來了良好的發(fā)展前景和便利條件，也伴隨 著一定的風(fēng)險(xiǎn)，本文擬就電子商務(wù)環(huán)境下的風(fēng)險(xiǎn)評(píng)估和內(nèi)部控制及其手段進(jìn)行分析。
　　　　一、電子商務(wù)環(huán)境下的風(fēng)險(xiǎn)評(píng)估
到目前為止，雖然對(duì)電子商務(wù)尚無統(tǒng)一且標(biāo)準(zhǔn)的定義，但是大家一致公認(rèn)的是，電子商務(wù) 是指利用電子網(wǎng)絡(luò)從事的商務(wù)活動(dòng)。而作為電子商務(wù)運(yùn)作基礎(chǔ)的網(wǎng)絡(luò)互聯(lián)技術(shù)主要包括因特 網(wǎng)(Internet)、企業(yè)內(nèi)部網(wǎng)(Intranet)和企業(yè)外聯(lián)網(wǎng)(Extranet)三大類。
因特網(wǎng)是一個(gè)國(guó)際性的通信網(wǎng)絡(luò)集合體，它把現(xiàn)代通信技術(shù)和現(xiàn)代計(jì)算機(jī)技術(shù)融為一體， 是計(jì)算機(jī)之間進(jìn)行國(guó)際信息交流和實(shí)現(xiàn)資源共享的有效手段。因特網(wǎng)將各種各樣的不同類型 、不同規(guī)模、不同地理位置的物理網(wǎng)絡(luò)聯(lián)接起來，構(gòu)成整體，成為一個(gè)網(wǎng)絡(luò)的網(wǎng)絡(luò)。所以其 風(fēng)險(xiǎn)可能來自網(wǎng)絡(luò)的各個(gè)方面。
企業(yè)內(nèi)部網(wǎng)是一種旨在實(shí)現(xiàn)公司內(nèi)部通信的專用網(wǎng)絡(luò)技術(shù)，因此風(fēng)險(xiǎn)主要存在于企業(yè)內(nèi)部 層面。一旦因特網(wǎng)與企業(yè)內(nèi)部網(wǎng)同時(shí)啟用，風(fēng)險(xiǎn)就可能擴(kuò)大至企業(yè)外界的攻擊者。
企業(yè)外聯(lián)網(wǎng)是從事合作業(yè)務(wù)的貿(mào)易伙伴之間，包括供應(yīng)商、客戶、分銷商及任何其他商家 ，利用因特網(wǎng)技術(shù)聯(lián)接在一起的集團(tuán)網(wǎng)絡(luò)。從某種意義上講，企業(yè)外聯(lián)網(wǎng)是一種廣義的企業(yè) 內(nèi)部網(wǎng)。所以它的風(fēng)險(xiǎn)介于因特網(wǎng)和企業(yè)內(nèi)部網(wǎng)之間。
所謂風(fēng)險(xiǎn)，通常被解釋為發(fā)生損失的可能性。這種損失在電子領(lǐng)域里以不同的方式產(chǎn)生， 如：數(shù)據(jù)可能被竊取、破壞、篡改或偽造。還可能出現(xiàn)對(duì)硬件設(shè)備的襲擊，從而使系統(tǒng)無法 正常運(yùn)行。如果硬件設(shè)備或者軟件系統(tǒng)由未經(jīng)授權(quán)的人使用，則可能導(dǎo)致收益損失或授權(quán)用 戶的網(wǎng)絡(luò)反應(yīng)遲緩。一旦程序被更改，系統(tǒng)最終會(huì)出現(xiàn)無法正確運(yùn)行乃至崩潰的局面。因此 ，單就電子商務(wù)而言，風(fēng)險(xiǎn)可以被定義為：機(jī)密數(shù)據(jù)丟失的可能性，或者在物理上、運(yùn)行機(jī) 理上以及財(cái)務(wù)上受到他人危害的可能性。
風(fēng)險(xiǎn)評(píng)估是設(shè)計(jì)與評(píng)價(jià)企業(yè)內(nèi)部控制制度的一個(gè)重要組成部分。我們可以從企業(yè)本身和業(yè) 務(wù)活動(dòng)兩個(gè)層面去認(rèn)識(shí)風(fēng)險(xiǎn)。
在企業(yè)這個(gè)層次上需要考慮的外部風(fēng)險(xiǎn)有：新技術(shù)的發(fā)展、競(jìng)爭(zhēng)對(duì)手出臺(tái)新的營(yíng)銷策略、 法律法規(guī)的變動(dòng)、自然災(zāi)害、不利的經(jīng)濟(jì)環(huán)境和國(guó)外市場(chǎng)等。而企業(yè)風(fēng)險(xiǎn)的內(nèi)部因素主要有 ：信息處理操作的中斷、無效的人員聘用和培訓(xùn)計(jì)劃、管理責(zé)任的變動(dòng)、防止員工獲取公司 資產(chǎn)的控制措施不嚴(yán)、高級(jí)管理或?qū)徲?jì)部門的工作不力等。
對(duì)于每項(xiàng)具體的業(yè)務(wù)活動(dòng)來說，風(fēng)險(xiǎn)主要來自系統(tǒng)停機(jī)和違反安全操作規(guī)定。例如，處理 外來訂單的服務(wù)器因意外事故不能工作時(shí)，勢(shì)必對(duì)銷售造成不良影響，因此有關(guān)人員必須在 風(fēng) 險(xiǎn)評(píng)估時(shí)考慮類似的具體風(fēng)險(xiǎn)。
根據(jù)普華永道會(huì)計(jì)師事務(wù)所調(diào)查機(jī)構(gòu)的報(bào)告，1998年，在大多數(shù)從事因特網(wǎng)業(yè)務(wù)的公司中 ，有59%以上的公司曾受到網(wǎng)絡(luò)入侵，這表明網(wǎng)絡(luò)已成為電子商務(wù)企業(yè)的主要威脅。為了更 進(jìn)一步地說明這一問題，普華永道會(huì)計(jì)師事務(wù)所的調(diào)查員總結(jié)出11種風(fēng)險(xiǎn)因素（見圖1），并 對(duì)其進(jìn)行了程度的劃分。

　1　　排名在行業(yè)前10%的位置　　　　　　　　　　　　　　　　　
　 2　　近期試圖在行業(yè)內(nèi)竊取商業(yè)機(jī)密　　　　　　　　　一般風(fēng)險(xiǎn)　
　 3　　廣泛依賴電腦技術(shù)/因特網(wǎng)連接　　　　　　　　　　　　　　　
　 4　　占企業(yè)收入較大比例進(jìn)行研究與開發(fā)　　　　　　　　　　　　
　 5　　國(guó)內(nèi)/國(guó)際的媒體形象　　　　　　　　　　　　　 較大風(fēng)險(xiǎn)　
　 6　　實(shí)質(zhì)性的跨國(guó)經(jīng)營(yíng)業(yè)務(wù)　　　　　　　　　　　　　　　　　　
　 7　　高利潤(rùn)產(chǎn)品　　　　　　　　　　　　　　　　　　　　　　　
　 8　　高技術(shù)產(chǎn)品　　　　　　　　　　　　　　　　　　　　　　　
　 9　　突破性產(chǎn)品、程序或服務(wù)　　　　　　　　　　　　嚴(yán)重風(fēng)險(xiǎn)　
　 10　 兼并、預(yù)計(jì)兼并或減小規(guī)模的公司　　　　　　　　　　　　　
　 11　 廣泛且快速采用Y2K補(bǔ)救措施　　　　　　　　　　　　　　　

圖1　風(fēng)險(xiǎn)因素
單就圖1而言，除了第11項(xiàng)風(fēng)險(xiǎn)因素隨著21世紀(jì)的來臨可以忽略不計(jì)以外，其他10項(xiàng)因素仍 然可以在我國(guó)從事電子商務(wù)的企業(yè)，以及為這類企業(yè)提供相關(guān)服務(wù)的會(huì)計(jì)師事務(wù)所的考慮范 圍之內(nèi)。
附圖{F51M261.JPG}
在因特網(wǎng)電子商務(wù)環(huán)境中，涉及到幾方面的參與者，如銷售代理、消費(fèi)者，同時(shí)還包括破 壞者。圖2表示的便是網(wǎng)上交易參與各方及其相互間的關(guān)系。遺憾的是，合法的銷售代理和 合法的消費(fèi)者并非參與電子商務(wù)交易的雙方，潛伏在網(wǎng)上的還有其他各種各樣的破壞者，他 們既可能是采購(gòu)和銷售代理商內(nèi)部的人，也可能是外部的獨(dú)立個(gè)體。他們?cè)谝蛱鼐W(wǎng)上進(jìn)行欺 詐和破壞的動(dòng)機(jī)不同，手段各異，但他們這些行為的共同點(diǎn)卻是損害了銷售代理商和消費(fèi)者 的利益。同時(shí)，為企業(yè)的內(nèi)部控制帶來了新的研究課題。
二、網(wǎng)絡(luò)環(huán)境下的內(nèi)部控制
1.Intranet與內(nèi)部控制
多年來，注冊(cè)會(huì)計(jì)師早已了解公司內(nèi)部員工所形成的風(fēng)險(xiǎn)。對(duì)于內(nèi)部人員貪污與破壞的預(yù) 防和查處，一直是傳統(tǒng)審計(jì)職能所履行的主要任務(wù)。如職能分工這樣的內(nèi)部控制，其目的旨 在預(yù)防不良事件的發(fā)生，對(duì)于內(nèi)部控制的效率評(píng)估在每次履行保證職能時(shí)都要進(jìn)行。如果企 業(yè)內(nèi)部網(wǎng)包括許多重要的數(shù)據(jù)及其處理系統(tǒng)，而它們將直接或間接地影響財(cái)務(wù)報(bào)表編制的話 ，那么評(píng)估就必須把對(duì)企業(yè)內(nèi)部網(wǎng)的控制包括在內(nèi)。如果會(huì)計(jì)師事務(wù)所想要實(shí)施其內(nèi)部控制 分 析職能，它必須做到以下幾點(diǎn)：知道企業(yè)內(nèi)部網(wǎng)及服務(wù)器的確切數(shù)量、了解企業(yè)內(nèi)部網(wǎng)上的 數(shù)據(jù)與處理方法、確定企業(yè)內(nèi)部網(wǎng)上哪些數(shù)據(jù)和處理方法包括在審計(jì)保證職能的范圍之內(nèi)、 了解各項(xiàng)參數(shù)設(shè)置與網(wǎng)絡(luò)內(nèi)部基礎(chǔ)設(shè)施、以及測(cè)評(píng)企業(yè)內(nèi)部網(wǎng)在其數(shù)據(jù)讀取方面所采取的安 全措施，包括保護(hù)措施和防范惡意編碼的策略等。
2.Internet與內(nèi)部控制
以因特網(wǎng)為基礎(chǔ)的電子商務(wù)公司，與單純使用內(nèi)部交易處理系統(tǒng)而沒有啟用企業(yè)外聯(lián)網(wǎng)或 內(nèi)部網(wǎng)的公司相比，其所處環(huán)境的風(fēng)險(xiǎn)要大得多。象企業(yè)內(nèi)部網(wǎng)一樣，如果基于因特網(wǎng)的系 統(tǒng)直接或間接地影響到企業(yè)財(cái)務(wù)報(bào)表或利害關(guān)系重大的數(shù)據(jù)，那么對(duì)相關(guān)控制措施的效率評(píng) 估就要包括在傳統(tǒng)保證職能的范疇之內(nèi)。具體來說，會(huì)計(jì)師事務(wù)所必須做到：知道因特網(wǎng)的 網(wǎng)關(guān)服務(wù)器的確切數(shù)量、了解防火墻的確切位置及其參數(shù)設(shè)置、知曉其他安全設(shè)施的確切位 置 及其參數(shù)設(shè)置或運(yùn)作程序、徹底搞清楚每一條以任何方式與網(wǎng)關(guān)服務(wù)器相聯(lián)的內(nèi)部系統(tǒng)的網(wǎng) 絡(luò)配置、弄懂以任何方式與網(wǎng)關(guān)服務(wù)器相聯(lián)的數(shù)據(jù)的讀取方法、評(píng)估以任何方式與網(wǎng)關(guān)服務(wù) 器相聯(lián)的數(shù)據(jù)和處理方法的安全性，包括保護(hù)措施及防范惡意編碼的策略、了解公司用于通 過因特網(wǎng)實(shí)現(xiàn)資源共享的數(shù)據(jù)處理方法，以及這類系統(tǒng)的完整性與可靠性等。
3.網(wǎng)站保證服務(wù)
圖2中列出的六類風(fēng)險(xiǎn)，每一類都將影響到電子商務(wù)的合法參與者。就合法的銷售代理而言 ， 它所面臨的主要問題就是與假冒的銷售代理或者消費(fèi)者進(jìn)行交易，或者是公司信息的被竊取 及其濫用。目前，注冊(cè)會(huì)計(jì)師已開始實(shí)施一種網(wǎng)站保證職能，如網(wǎng)站標(biāo)記的選擇等，其目的 在于評(píng)估電子商務(wù)活動(dòng)各方的效率與合法性。其中，作為注冊(cè)會(huì)計(jì)師的一個(gè)主要任務(wù)就是 評(píng)估所有提供網(wǎng)上服務(wù)功能的服務(wù)器是否有效，同時(shí)評(píng)價(jià)網(wǎng)站的可靠性。
與傳統(tǒng)企業(yè)相比，從事電子商務(wù)的公司必須將其內(nèi)部控制擴(kuò)展到整個(gè)交易處理系統(tǒng)的各個(gè) 方面，因?yàn)樵撓到y(tǒng)與包括網(wǎng)絡(luò)瀏覽器和貿(mào)易伙伴在內(nèi)的其他系統(tǒng)有著密切的聯(lián)系。此外，這 些公司還需要對(duì)公司互相傳遞商業(yè)數(shù)據(jù)的貿(mào)易伙伴的內(nèi)部控制制度有充分的了解。因此，在 如何對(duì)電子商務(wù)系統(tǒng)的內(nèi)部控制實(shí)施評(píng)估和風(fēng)險(xiǎn)管理方面，注冊(cè)會(huì)計(jì)師需要具備很強(qiáng)的業(yè)務(wù) 能力。會(huì)計(jì)從業(yè)人員應(yīng)當(dāng)通過掌握因特網(wǎng)技術(shù)方面的知識(shí)，進(jìn)一步提高他們?cè)谶@一領(lǐng)域的技 能。
三、內(nèi)部控制在風(fēng)險(xiǎn)管理中的作用
多年來，內(nèi)部控制指導(dǎo)原則一直是注冊(cè)會(huì)計(jì)師在財(cái)務(wù)會(huì)計(jì)保證方面的工作依據(jù)。當(dāng)各會(huì)計(jì) 師事務(wù)所重新設(shè)計(jì)它們的工作流程與信息技術(shù)，并為某個(gè)企業(yè)提供服務(wù)的時(shí)候，內(nèi)部控制保 證作用的范圍也在日益擴(kuò)展，直至整個(gè)企業(yè)的信息系統(tǒng)?，F(xiàn)在，“五大”會(huì)計(jì)師事務(wù)所逐漸 將名稱改為職業(yè)服務(wù)事務(wù)所(Professional services firm)，也是事務(wù)所業(yè)務(wù)范圍擴(kuò)大的一 個(gè)佐證。與這些事務(wù)所提供的其他服務(wù)相比，如商務(wù)和管理咨詢服務(wù)，傳統(tǒng)的財(cái)務(wù)會(huì)計(jì)審計(jì) 功能的業(yè)務(wù)量正變得越來越少。
除傳統(tǒng)的獨(dú)立審計(jì)職能之外，象普華永道這樣的會(huì)計(jì)師事務(wù)所還提供許多其他的可以歸類 為風(fēng)險(xiǎn)管理的服務(wù)。如普華永道成立的一個(gè)全球風(fēng)險(xiǎn)管理服務(wù)(GRMS,Global Risk Manageme nt Services)部門，主要提供下列服務(wù)：
戰(zhàn)略風(fēng)險(xiǎn)管理——幫助企業(yè)的高級(jí)管理人員確認(rèn)、評(píng)價(jià)、管理和監(jiān)控其公司在達(dá)到公司目 標(biāo)的過程中所面臨的風(fēng)險(xiǎn)。
財(cái)務(wù)風(fēng)險(xiǎn)管理——開發(fā)和評(píng)估企業(yè)的內(nèi)部風(fēng)險(xiǎn)管理能力。主要包括風(fēng)險(xiǎn)意識(shí)、管理決策的 程序、系統(tǒng)方法與控制、組織、政策和管理報(bào)告等。
運(yùn)作與系統(tǒng)風(fēng)險(xiǎn)管理——幫助客戶卓有成效地進(jìn)行技術(shù)性很強(qiáng)的各項(xiàng)交易。
上述三項(xiàng)服務(wù)并非全球風(fēng)險(xiǎn)管理服務(wù)的全部，只是作為大的會(huì)計(jì)師事務(wù)所提供的一些主要 服務(wù)內(nèi)容，其目的在于說明風(fēng)險(xiǎn)管理服務(wù)項(xiàng)目的廣泛性。公司的內(nèi)部控制結(jié)構(gòu)對(duì)上述各項(xiàng)服 務(wù)都很重要。不管這些服務(wù)是由公司內(nèi)部職員實(shí)施的，還是由咨詢公司提供的，內(nèi)部控制制 度始終應(yīng)當(dāng)是電子商務(wù)信息系統(tǒng)計(jì)劃構(gòu)建的核心。