【正文】 33（2）有效使用加密技術(shù)，例如，通過對解密密鑰的授權(quán)等措施，確保信息在傳遞過程中的私密性和安全性；通過對私人解密密 鑰的控制和安全防護(hù)等措施，防止加密技術(shù)的不當(dāng)使用；（3）對用于支持電子商務(wù)活動的系統(tǒng)的開發(fā)和運行的控制， 此類控制是信息技術(shù)一般控制的重要組成部分，是包括自動化控制 在內(nèi)的信息技術(shù)應(yīng)用控制有效發(fā)揮作用的基礎(chǔ)；（4）當(dāng)出現(xiàn)的新技術(shù)可能危害互聯(lián)網(wǎng)安全時，現(xiàn)有的安全控 制是否仍然有效；（5）控制環(huán)境能否對所采用的控制程序提供支持?？刂骗h(huán)境包括治理職能和管理職能，以及治理層和管理層對內(nèi)部控制及其重 要性的態(tài)度、認(rèn)識和措施。控制環(huán)境在內(nèi)部控制的各要素中居于基 礎(chǔ)地位，同時內(nèi)部控制的各要素之間也應(yīng)當(dāng)互相適應(yīng)和配合。沒有 恰當(dāng)?shù)目刂骗h(huán)境，單純的技術(shù)措施是難以有效發(fā)揮應(yīng)有作用的。例 如，雖然某些控制程序（如基于數(shù)字證書的加密系統(tǒng)）在技術(shù)上是 先進(jìn)的，但是如果控制環(huán)境薄弱（如證書保管不善，密碼任意泄露， 員工之間任意互相串用計算機(jī)等），這些控制程序可能難以有效地 發(fā)揮作用。上述各事項反映了被審計單位的安全性控制在設(shè)計方面的完備性和在執(zhí)行方面的有效性，對被審計單位財務(wù)報表各項目及其相 關(guān)認(rèn)定均有不同程度的影響。34第三節(jié) 交易完備性控制一、交易完備性控制包含的內(nèi)容本準(zhǔn)則第二十六條規(guī)定，注冊會計師應(yīng)當(dāng)考慮交易完備性控 制，包括被審計單位會計處理所依據(jù)信息的完整性、準(zhǔn)確性、及時 性以及是否經(jīng)過授權(quán)。二、針對信息完備性所實施的審計程序本準(zhǔn)則第二十七條規(guī)定，注冊會計師針對會計系統(tǒng)中與電子商 務(wù)交易相關(guān)的信息完備性所實施的審計程序，主要涉及評估用于采 集和處理此類信息的系統(tǒng)的可靠性。在一個復(fù)雜的系統(tǒng)中，一個起因事件（如通過互聯(lián)網(wǎng)接收到顧客的定單）會自動啟動該項交易處理流程中的其他各項步驟。因此， 針對復(fù)雜的電子商務(wù)實施的審計程序與針對傳統(tǒng)業(yè)務(wù)活動實施的 審計程序不同，后者通常側(cè)重于與交易信息的采集和處理有關(guān)的每 一階段的控制流程；而在針對復(fù)雜電子商務(wù)實施審計程序時，注冊 會計師應(yīng)當(dāng)重點考慮在交易信息的采集和即時自動化處理中與交 易完備性相關(guān)的自動化控制。三、與交易完備性相關(guān)的控制本準(zhǔn)則第二十八條規(guī)定，在電子商務(wù)環(huán)境中，與交易完備性相 關(guān)的控制通常用于下列方面。1．驗證輸入。即通過事先設(shè)定的合理性校驗條件（如數(shù)據(jù)類 型、金額等數(shù)字的取值范圍等），使系統(tǒng)拒絕接受不符合校驗條件35的輸入。例如，系統(tǒng)規(guī)定金額字段必須為數(shù)值型數(shù)據(jù)，如果用戶在金額字段中輸入文字，系統(tǒng)應(yīng)拒絕接受并予以提示；又如，規(guī)定某 一金額的取值范圍在 ～10000 之間，如果用戶輸入了負(fù)數(shù)或 零，或者大于 10000 的數(shù)字，系統(tǒng)也應(yīng)拒絕接受。對于較為復(fù)雜的輸入內(nèi)容，為了盡最大可能防范輸入差錯，常 使用冗余位數(shù)校驗的方法對輸入的正確性自動進(jìn)行合理性檢查。例 如，我國現(xiàn)行的公民身份號碼為 18 位，其中最右邊一位就是校驗 碼。在具有公民身份號碼合理性校驗功能的系統(tǒng)中，用戶輸入 18 位的公民身份號碼后，系統(tǒng)可以對其前面的 17 位按照一定的規(guī)則 進(jìn)行運算，將運算結(jié)果與校驗碼相比較，如果不符，則表明可能存 在輸入錯誤，此時系統(tǒng)將顯示提示信息，要求用戶再次檢查輸入的 正確性。當(dāng)然，自動化系統(tǒng)中的此類校驗功能只是一種邏輯合理性 的檢查，并不能完全預(yù)防和發(fā)現(xiàn)所有可能的輸入差錯。例如，通過設(shè)置關(guān)鍵字的唯一性控制，如果用戶在兩條記錄的同一字段（如訂單號碼）中輸入了 相同的關(guān)鍵字，系統(tǒng)就應(yīng)當(dāng)及時發(fā)現(xiàn)并給出諸如“關(guān)鍵字重復(fù)”的 提示信息。對于防止交易記錄的遺漏，可采用控制總數(shù)等控制程序 實現(xiàn)。，交易雙方已就交貨條件和信用條件等 交易條款達(dá)成一致。有些企業(yè)的交易條款還可能要求在簽訂單時即 支付款項。（例如一般性的詢價）和正式訂單，確保交36易的一方事后不能否認(rèn)已達(dá)成一致的特定條款，必要時還應(yīng)確保交易是與經(jīng)核準(zhǔn)的交易方進(jìn)行的。例如，檢查交易對方是否已被列入“可信任的顧客清單”；或者檢查本次交易金額是否在規(guī)定的交易 限額以內(nèi)，或者該顧客的應(yīng)收賬款余額是否未超過信用管理部門設(shè) 定的限額等。，或拒絕未完成所有步驟的訂單，以防止出現(xiàn)處理不完整的情況。例如，在一項企業(yè)對顧客 的交易中，訂單已接受、款項已收到、貨物已交付或勞務(wù)已提供、 會計系統(tǒng)中的數(shù)據(jù)已相應(yīng)更新，這時的處理是完整的。 配。例如，某企業(yè)的局域網(wǎng)中設(shè)有多個功能相仿的數(shù)據(jù)處理系統(tǒng)， 數(shù)據(jù)采集通過統(tǒng)一的入口集中進(jìn)行，再將采集到的信息自動傳遞給 不同的資源管理者以執(zhí)行交易。這時，數(shù)據(jù)采集與分配系統(tǒng)的智能 化程度就會對所采集的數(shù)據(jù)在這些系統(tǒng)之間的分配和處理情況產(chǎn) 生較大的影響，從而最大限度地促進(jìn)合理利用網(wǎng)絡(luò)和計算機(jī)軟、硬 件資源。、備份和保護(hù)。用于實現(xiàn)這一目標(biāo)的控制既有信息技術(shù)一般控制，也有應(yīng)用控制。一般控制包括建立定 期備份制度，以及對備份信息的保存方式、保存地點、保存期限和 相關(guān)安全防護(hù)措施作出的規(guī)定等。應(yīng)用控制包括在應(yīng)用系統(tǒng)中設(shè)置 強(qiáng)制備份或者即時備份模塊等。37第四節(jié) 流程整合一、關(guān)于流程整合本準(zhǔn)則第二十九條指出，流程整合是指將多個信息技術(shù)系統(tǒng)集 成，使之實質(zhì)上如同一個系統(tǒng)運轉(zhuǎn)的過程。在電子商務(wù)環(huán)境中，由被審計單位的網(wǎng)站生成的交易應(yīng)當(dāng)由被審計單位的內(nèi)部系統(tǒng)（如會計系統(tǒng)、客戶關(guān)系管理系統(tǒng)、存貨管理 系統(tǒng)等，通常稱為“后臺辦公室”系統(tǒng)）予以適當(dāng)處理。網(wǎng)站與被 審計單位內(nèi)部系統(tǒng)的自動集成程度越高，數(shù)據(jù)處理的效率也就越 高。但與此同時，前后臺系統(tǒng)之間聯(lián)系的緊密，也可能導(dǎo)致以下風(fēng) 險的增加，需要被審計單位建立適當(dāng)?shù)目刂萍右詰?yīng)對：（1）因系統(tǒng)過于復(fù)雜而導(dǎo)致出錯可能性提高的風(fēng)險，對系統(tǒng)的可靠性提出了更高的要求；（2）因前后臺系統(tǒng)直接集成，而導(dǎo)致未經(jīng)授權(quán)的人士通過前 臺系統(tǒng)進(jìn)入后臺系統(tǒng)竊取商業(yè)秘密數(shù)據(jù)，或者進(jìn)行未經(jīng)授權(quán)的增 加、修改、刪除操作的可能性增大；（3）因過濾無效數(shù)據(jù)的控制存在欠缺，導(dǎo)致前臺系統(tǒng)接受的 錯誤輸入直接進(jìn)入后臺的業(yè)務(wù)處理系統(tǒng)和會計系統(tǒng)，其造成的后果 遠(yuǎn)較集成程度較低時嚴(yán)重。二、關(guān)注采集和傳遞電子商務(wù)交易數(shù)據(jù)可能產(chǎn)生的影響本準(zhǔn)則第三十條規(guī)定，注冊會計師應(yīng)當(dāng)關(guān)注被審計單位采集電 子商務(wù)交易數(shù)據(jù)并將其傳遞至?xí)嬒到y(tǒng)的方式可能對下列事項產(chǎn)38生影響：1．交易處理和信息存儲的完整性和準(zhǔn)確性。如前所述，流程 整合對交易處理和信息存儲的完整性和準(zhǔn)確性的影響是兩面的。在 自動化控制健全的情況下，可以通過減少人工干預(yù)提高交易處理和 信息存儲的完整性和準(zhǔn)確性；而另一方面，也可能增大安全性方面 的風(fēng)險。2．銷售收入、采購和其他交易的確認(rèn)時點。例如，系統(tǒng)可能 將該交易最初在系統(tǒng)內(nèi)部發(fā)起的時間作為確認(rèn)時點，也可能將交易 的完成時間作為確認(rèn)時點。注冊會計師應(yīng)當(dāng)關(guān)注系統(tǒng)內(nèi)的相關(guān)業(yè)務(wù) 處理規(guī)則是否符合適用的會計準(zhǔn)則和相關(guān)會計制度的規(guī)定。3．有爭議交易的識別和記錄。例如，可以對有爭議的交易加 上特殊的標(biāo)識，并通過系統(tǒng)之間的數(shù)據(jù)傳遞，將該交易存在爭議的 信息傳遞到其他相關(guān)系統(tǒng)中，實現(xiàn)不同系統(tǒng)中數(shù)據(jù)的同步更新。同 時，借助不同系統(tǒng)之間的數(shù)據(jù)和信息共享，也可以更方便地發(fā)現(xiàn)有 爭議的交易。三、注冊會計師應(yīng)當(dāng)考慮的其他事項本準(zhǔn)則第三十一條規(guī)定，當(dāng)下列控制與財務(wù)報表認(rèn)定相關(guān)時， 注冊會計師應(yīng)當(dāng)予以考慮。1．針對電子商務(wù)交易與內(nèi)部系統(tǒng)的集成實施的控制。此類控 制主要是針對集成后系統(tǒng)的特點，為了保證數(shù)據(jù)處理的正確性和數(shù) 據(jù)的安全性、完備性而設(shè)置的控制，基本上屬于對常規(guī)事項的控制。 例如，加強(qiáng)對前臺系統(tǒng)中輸入數(shù)據(jù)的合理性檢查，有效使用防火墻39和病毒防護(hù)軟件等安全技術(shù)措施等。2．針對系統(tǒng)改變和數(shù)據(jù)轉(zhuǎn)換實施的控制。此類控制主要是針 對系統(tǒng)的開發(fā)和實施過程設(shè)置的控制，具有非常規(guī)性的特點。在系 統(tǒng)升級或者轉(zhuǎn)換到新的系統(tǒng)時，需要注意新舊系統(tǒng)的銜接問題。為 此，被審計單位可能需要成立專門的工作小組，并制定詳細(xì)的方案， 進(jìn)行周密的準(zhǔn)備，包括數(shù)據(jù)的整理、新系統(tǒng)的測試、相關(guān)人員的培 訓(xùn)、新舊系統(tǒng)處理的恰當(dāng)截止等，以確保新舊系統(tǒng)平穩(wěn)過渡，而不 至于導(dǎo)致業(yè)務(wù)、財務(wù)處理的中斷。其中，舊系統(tǒng)中存儲的數(shù)據(jù)如何平穩(wěn)地轉(zhuǎn)入新系統(tǒng)是一個需要重點關(guān)注的問題。為了提高轉(zhuǎn)換的效率，避免重復(fù)輸入，此類工作 一般由新系統(tǒng)的實施人員在比較新舊系統(tǒng)數(shù)據(jù)結(jié)構(gòu)差異的基礎(chǔ)上， 通過編寫一次性使用的專用轉(zhuǎn)換程序?qū)崿F(xiàn)批量轉(zhuǎn)換。針對此類轉(zhuǎn)換 程序的編制所實施的控制可能不會像針對新系統(tǒng)的設(shè)計所實施的 控制那樣嚴(yán)密，因此出錯的可能性相對較高。為此，一方面，在數(shù) 據(jù)轉(zhuǎn)換前，需要對轉(zhuǎn)換程序進(jìn)行盡可能嚴(yán)密的測試；另一方面，在 轉(zhuǎn)換完成后，需要對轉(zhuǎn)換結(jié)果的正確性進(jìn)行選擇性測試或全面的檢 查和復(fù)核，并檢查新系統(tǒng)能否在轉(zhuǎn)換后的數(shù)據(jù)基礎(chǔ)上正常運行。第六章 電子記錄對審計證據(jù)的影響本準(zhǔn)則第六章（第三十二條至第三十三條），主要說明注冊會 計師對于電子記錄對審計證據(jù)的影響的考慮。40一、對證據(jù)收集程序的性質(zhì)、時間和范圍的考慮在證據(jù)收集程序的性質(zhì)、時間和范圍方面，注冊會計師可能需 要注意運用計算機(jī)輔助審計技術(shù)（如通用或?qū)Ｓ玫膶徲嬡浖龋┇@ 取和分析審計證據(jù)。計算機(jī)輔助審計技術(shù)可用于對電子化的交易和 賬戶文檔進(jìn)行更廣泛的測試，包括從主要電子文檔中選取交易樣 本，或按照某一特征對交易進(jìn)行分類，或?qū)傮w而非樣本進(jìn)行測試。 計算機(jī)輔助審計技術(shù)可以用于執(zhí)行各種審計程序，包括：（1）執(zhí)行交易和余額的細(xì)節(jié)測試。例如，利用審計軟件測試 計算機(jī)文件中的全部（或抽樣的）交易；（2）執(zhí)行分析程序。例如，利用審計軟件鑒定非正常的波動 或項目；（3）信息系統(tǒng)一般控制執(zhí)行情況的測試。例如，利用測試數(shù)據(jù)對程序庫的存取程序進(jìn)行測試；（4）信息系統(tǒng)應(yīng)用控制執(zhí)行情況的測試。例如，利用測試數(shù) 據(jù)測試程序過程的功能。一些計算機(jī)文件，例如詳細(xì)的業(yè)務(wù)文件，往往只留置較短時間， 當(dāng)注冊會計師需要時，可能得不到機(jī)器可讀形式的數(shù)據(jù)。因此，注 冊會計師必須對其所要求的數(shù)據(jù)保存作出安排，或者為了獲取這些 數(shù)據(jù)而需要改變其對工作的時間安排。在應(yīng)用計算機(jī)輔助審計技術(shù)時，如何取得被審計單位計算機(jī)信 息系統(tǒng)中的交易和財務(wù)數(shù)據(jù)是首先需要解決的問題。目前較為可行 的方法是借助國家或者地方頒布的會計核算軟件數(shù)據(jù)接口標(biāo)準(zhǔn)?；?1本操作模式是先將被審計單位的信息系統(tǒng)中的數(shù)據(jù)導(dǎo)出并轉(zhuǎn)換到審計軟件可識別的格式（該格式通常即是由數(shù)據(jù)接口標(biāo)準(zhǔn)所規(guī)定 的），然后由審計軟件接收，讀入審計軟件自身的數(shù)據(jù)庫中。這種 方法的突出優(yōu)點是使審計軟件接收被審計單位會計信息系統(tǒng)中的 數(shù)據(jù)將不再受到被審計單位信息系統(tǒng)的不同數(shù)據(jù)結(jié)構(gòu)的制約，大大 降低應(yīng)用難度和審計成本。二、對電子證據(jù)充分性和適當(dāng)性的考慮在電子證據(jù)的充分性和適當(dāng)性方面，由于電子商務(wù)交易記錄可 能不以紙質(zhì)形式存在，與紙質(zhì)記錄相比，電子形式的記錄更容易在 未留下線索的情況下被銷毀或改動，從而影響注冊會計師獲取的審 計證據(jù)的充分性和適當(dāng)性。因此，本準(zhǔn)則第三十二條規(guī)定，注冊會計師應(yīng)當(dāng)考慮被審計單位實施的信息安全政策和安全控制措施，是否足以防止未經(jīng)授權(quán)修 改會計系統(tǒng)或會計記錄，或修改向會計系統(tǒng)提供數(shù)據(jù)的系統(tǒng)。對此， 注冊會計師需要考慮本準(zhǔn)則第五章所述的安全性控制和交易完備 性控制是否可以實現(xiàn)這一目標(biāo)。本準(zhǔn)則第三十三條進(jìn)一步明確，在考慮電子證據(jù)的充分性和適 當(dāng)性時，注冊會計師可能需要測試自動化控制（如記錄完備性檢查、 電子日戳、數(shù)字簽章和版本控制），并根據(jù)對這些控制的評價結(jié)論， 考慮是否需要實施追加的審計程序，比如向第三方函證交易細(xì)節(jié)或 賬戶余額。注冊會計師應(yīng)當(dāng)按照《中國注冊會計師審計準(zhǔn)則第 1231 號—42—針對評估的重大錯報風(fēng)險實施的程序》的規(guī)定計劃和實施適當(dāng)?shù)目刂茰y試程序，以測試自動化控制；如需要向第三方函證的，應(yīng)當(dāng) 按照《中國注冊會計師審計準(zhǔn)則第 1312 號——函證》的有關(guān)規(guī)定 處理。