第四章 识别风险
第十六条 管理层可能面临着下列各种与电子商务相关的经营风险:
(一)无法保证交易的完备性,尤其在缺少充分的审计轨迹(无论是纸质还是电子形式)时,该风险的影响将更大;
(二)电子商务安全风险,包括顾客、员工和其他方通过未经授权的访问实施舞弊的可能性,以及病毒攻击;
(三)运用不适当的会计政策,包括收入确认、网站开发成本等支出的处理、与产品质量保证相关的预计负债的确认、外币折算等问题;
(四)未能遵守税法和其他法律法规,尤其在通过互联网开展跨国或跨地区电子商务时;
(五)无法保证仅以电子形式存在的合同具有法律效力;
(六)过度依赖电子商务,将重要的经营系统置于互联网或将其他重要交易通过互联网完成时;
(七)系统和基础架构失效或崩溃。
第十七条 注册会计师应当利用对被审计单位及其环境的了解,识别电子商务中可能导致经营风险的事项、交易和实务。
第十八条 注册会计师应当关注被审计单位是否运用适当的安全基础架构和相关控制,应对电子商务中出现的某些经营风险。
第十九条 注册会计师应当考虑被审计单位是否已恰当处理与电子商务环境密切相关的下列法律法规问题:
(一) 隐私权保护;
(二) 对特定行业的管制;
(三)合同的强制执行效力;
(四)特殊交易事项的合法性;
(五)反洗钱;
(六)知识产权保护。
第二十条 在跨国或跨地区的电子商务中,注册会计师应当考虑被审计单位是否对电子商务涉及的不同司法管辖区内的法律法规差异有足够的了解,并遵守所有适用的法律法规,尤其是有无适当的程序确认其在不同司法管辖区内的纳税义务(特别是营业税、增值税等流转税)。可能导致电子商务交易产生相应纳税义务的因素包括:
(一)被审计单位的法定注册地;
(二)被审计单位的实际经营所在地;
(三)被审计单位网络服务器的所在地;
(四)商品和服务的来源地;
(五)顾客所在地,或商品交付地和劳务提供地。
第二十一条 注册会计师应当按照《中国注册会计师审计准则第X号——违反法规行为》的要求,实施相关程序,充分考虑被审计单位可能存在的违反与电子商务有关的法律法规的行为及其可能对财务报表产生的重大影响,必要时征询法律意见。第五章 对内部控制的考虑
第一节 总体要求
第二十二条 注册会计师应当按照《中国注册会计师审计准则第X号——了解被审计单位及其环境并评估重大错报风险》和《中国注册会计师审计准则第X号——针对评估的重大错报风险实施的程序》的要求,考虑被审计单位在电子商务中运用的与审计相关的内部控
制。在某些情况下,仅依靠实施实质性程序不足以将审计风险降至可接受的低水平,注册会计师应当实施控制测试,并考虑使用计算机辅助审计技术。这些情况包括但不限于:
(一)电子商务系统高度自动化;
(二)交易量过大;
(三)未保留包含审计轨迹的电子证据。
第二十三 当被审计单位从事电子商务时,除了在本章第二节至第四节所述的与电子商务相关的安全性控制、交易完备性控制和流程整合之外,注册会计师还应当考虑内部控制中与审计特别相关的下列方面:
(一)在快速变化的电子商务环境中保持控制程序的完备性;
(二)为了被审计单位和审计的需要,确保能够访问相关记录。
第二节 安全性控制
第二十四条 注册会计师应当考虑被审计单位安全基础架构和相关控制是否足以应对与电子商务交易的记录和处理相关的安全性风险。第二十五条 注册会计师应当考虑下列事项对财务报表认定的潜在影响:
(一)有效使用防火墙和病毒防护软件;
(二)有效使用加密技术;
(三)对用于支持电子商务活动的系统的开发和运行的控制;
(四)当出现的新技术可能用于危害互联网安全时,现有的安全控制是否仍然有效;
(五)控制环境能否对所采用的控制程序提供支持。第三节 交易完备性控制
第二十六条 注册会计师应当考虑交易的完备性控制,包括被审计单位处理会计记录所依据信息的完整性、准确性、及时性以及是否经过授权。
第二十七条 注册会计师针对会计系统中与电子商务交易相关的信息完备性所实施的审计程序,主要涉及评估用于采集和处理此类信息的系统的可靠性。在针对复杂电子商务实施审计程序时,注册会计师应当考虑侧重于在交易信息的采集和即时自动化处理中与交易完备性相关的自动化控制。
第二十八条 在电子商务环境中,与交易完备性相关的控制通常用于:
(一)验证输入;
(三) 防止交易的重复记录或遗漏;
(三)确保在处理订单之前,交易双方已就交货条件和信用条件等交易条款达成一致;
(四)区分顾客的浏览和正式订单,确保交易的一方事后不能否认已达成一致的特定条款,必要时还应确保交易是与经核准的交易方进行的;
(五)确保所有步骤均已完成并得以记录,或拒绝未完成所有步骤的订单,以防止出现处理不完整的情况;
(六)确保交易的详细信息在同一网络内的多个系统之间适当分配;
(七)确保记录得到适当保管、备份和保护。
第四节 流程整合
第二十九条 流程整合是指将多个信息技术系统集成,使之实质上如同一个系统运转的过程。
第三十条 注册会计师应当关注被审计单位采集电子商务交易数据并将其传递至会计系统的方式可能对下列事项产生影响:
(一)交易处理和信息存储的完整性和准确性;
(二)销售收入、采购和其他交易的确认时点;
(三)有争议交易的识别和记录。
第三十一条 当下列控制与财务报表认定相关时,注册会计师应当予以考虑:
(一)针对电子商务交易与内部系统的集成实施的控制;
(二)为了能使流程整合自动化,针对系统改变和数据转换实施的控制。
第六章 电子记录对审计证据的影响
第三十二条 注册会计师应当考虑被审计单位实施的信息安全政策和安全控制措施是否足以防止未经授权修改会计系统、记录或向会计系统提供数据的系统。
第三十三条 在考虑电子证据的充分性和适当性时,注册会计师可能需要测试自动化控制(如记录完备性检查、电子日戳、数字签章和版本控制),并根据对这些控制的评价结论,考虑是否需要实施追加的审计程序,比如向第三方函证交易细节或账户余额。
第七章 附 则
第三十四条 注册会计师执行财务报表审计以外的其他审计业务,除有特定要求者外,应当参照本准则办理。
第三十五条 本准则自200X年X月X日起施行。
2