【作者】林琼
【作者简介】中央财经大学　北京　100081
【内容提要】会计职业人员对评估内部控制并实施风险管理的技能已熟知多年。这种经过时间检验并证 明行之有效的经验和专业技能是会计职业产生独特影响的知识基础。随着电子商务的发展， 尽管目前尚没有统一且标准的定义，但其发展对会计职业却提出了挑战。从某种意义上讲， 企业的风险评估增加了很多新的内容，而与之相对应的内部控制也需要进行必要的调整，从 而实行风险管理。本文拟就电子商务环境下的内部控制和风险管理及其手段进行分析。
【英文摘要】Assessing internal controls and performing risk management are skills th at acc ounting professionals have been performing for many years.This time -proven exper ience and technical expertise is a knowledge base against wh ich the accounting p rofession is uniquely in a position to leverage.The d evelopment of electronic co mmerce,although there has no unique and standa rd definition for electronic comme rce at present,made the accounting prof ession face a challenge.To some extent,mo re new contents have been added to the risk assessment of the enterprise.Interna l control should be adjus ted accordance with the new change to make the risk man agement.This artic le is to analyze the internal control and risk management and　the relevan t means under electronic commerce.
【关键词】电子商务/风险评估/内部控制/会计职业/风险管理/Electronic commerce/Risk evaluati on/Internal Control/Accounting profession/Risk management
【正文】
因特网和电子商务的出现不仅为企业和消费者带来了良好的发展前景和便利条件，也伴随 着一定的风险，本文拟就电子商务环境下的风险评估和内部控制及其手段进行分析。
　　　　一、电子商务环境下的风险评估
到目前为止，虽然对电子商务尚无统一且标准的定义，但是大家一致公认的是，电子商务 是指利用电子网络从事的商务活动。而作为电子商务运作基础的网络互联技术主要包括因特 网(Internet)、企业内部网(Intranet)和企业外联网(Extranet)三大类。
因特网是一个国际性的通信网络集合体，它把现代通信技术和现代计算机技术融为一体， 是计算机之间进行国际信息交流和实现资源共享的有效手段。因特网将各种各样的不同类型 、不同规模、不同地理位置的物理网络联接起来，构成整体，成为一个网络的网络。所以其 风险可能来自网络的各个方面。
企业内部网是一种旨在实现公司内部通信的专用网络技术，因此风险主要存在于企业内部 层面。一旦因特网与企业内部网同时启用，风险就可能扩大至企业外界的攻击者。
企业外联网是从事合作业务的贸易伙伴之间，包括供应商、客户、分销商及任何其他商家 ，利用因特网技术联接在一起的集团网络。从某种意义上讲，企业外联网是一种广义的企业 内部网。所以它的风险介于因特网和企业内部网之间。
所谓风险，通常被解释为发生损失的可能性。这种损失在电子领域里以不同的方式产生， 如：数据可能被窃取、破坏、篡改或伪造。还可能出现对硬件设备的袭击，从而使系统无法 正常运行。如果硬件设备或者软件系统由未经授权的人使用，则可能导致收益损失或授权用 户的网络反应迟缓。一旦程序被更改，系统最终会出现无法正确运行乃至崩溃的局面。因此 ，单就电子商务而言，风险可以被定义为：机密数据丢失的可能性，或者在物理上、运行机 理上以及财务上受到他人危害的可能性。
风险评估是设计与评价企业内部控制制度的一个重要组成部分。我们可以从企业本身和业 务活动两个层面去认识风险。
在企业这个层次上需要考虑的外部风险有：新技术的发展、竞争对手出台新的营销策略、 法律法规的变动、自然灾害、不利的经济环境和国外市场等。而企业风险的内部因素主要有 ：信息处理操作的中断、无效的人员聘用和培训计划、管理责任的变动、防止员工获取公司 资产的控制措施不严、高级管理或审计部门的工作不力等。
对于每项具体的业务活动来说，风险主要来自系统停机和违反安全操作规定。例如，处理 外来订单的服务器因意外事故不能工作时，势必对销售造成不良影响，因此有关人员必须在 风 险评估时考虑类似的具体风险。
根据普华永道会计师事务所调查机构的报告，1998年，在大多数从事因特网业务的公司中 ，有59%以上的公司曾受到网络入侵，这表明网络已成为电子商务企业的主要威胁。为了更 进一步地说明这一问题，普华永道会计师事务所的调查员总结出11种风险因素（见图1），并 对其进行了程度的划分。

　1　　排名在行业前10%的位置　　　　　　　　　　　　　　　　　
　 2　　近期试图在行业内窃取商业机密　　　　　　　　　一般风险　
　 3　　广泛依赖电脑技术/因特网连接　　　　　　　　　　　　　　　
　 4　　占企业收入较大比例进行研究与开发　　　　　　　　　　　　
　 5　　国内/国际的媒体形象　　　　　　　　　　　　　 较大风险　
　 6　　实质性的跨国经营业务　　　　　　　　　　　　　　　　　　
　 7　　高利润产品　　　　　　　　　　　　　　　　　　　　　　　
　 8　　高技术产品　　　　　　　　　　　　　　　　　　　　　　　
　 9　　突破性产品、程序或服务　　　　　　　　　　　　严重风险　
　 10　 兼并、预计兼并或减小规模的公司　　　　　　　　　　　　　
　 11　 广泛且快速采用Y2K补救措施　　　　　　　　　　　　　　　

图1　风险因素
单就图1而言，除了第11项风险因素随着21世纪的来临可以忽略不计以外，其他10项因素仍 然可以在我国从事电子商务的企业，以及为这类企业提供相关服务的会计师事务所的考虑范 围之内。
附图{F51M261.JPG}
在因特网电子商务环境中，涉及到几方面的参与者，如销售代理、消费者，同时还包括破 坏者。图2表示的便是网上交易参与各方及其相互间的关系。遗憾的是，合法的销售代理和 合法的消费者并非参与电子商务交易的双方，潜伏在网上的还有其他各种各样的破坏者，他 们既可能是采购和销售代理商内部的人，也可能是外部的独立个体。他们在因特网上进行欺 诈和破坏的动机不同，手段各异，但他们这些行为的共同点却是损害了销售代理商和消费者 的利益。同时，为企业的内部控制带来了新的研究课题。
二、网络环境下的内部控制
1.Intranet与内部控制
多年来，注册会计师早已了解公司内部员工所形成的风险。对于内部人员贪污与破坏的预 防和查处，一直是传统审计职能所履行的主要任务。如职能分工这样的内部控制，其目的旨 在预防不良事件的发生，对于内部控制的效率评估在每次履行保证职能时都要进行。如果企 业内部网包括许多重要的数据及其处理系统，而它们将直接或间接地影响财务报表编制的话 ，那么评估就必须把对企业内部网的控制包括在内。如果会计师事务所想要实施其内部控制 分 析职能，它必须做到以下几点：知道企业内部网及服务器的确切数量、了解企业内部网上的 数据与处理方法、确定企业内部网上哪些数据和处理方法包括在审计保证职能的范围之内、 了解各项参数设置与网络内部基础设施、以及测评企业内部网在其数据读取方面所采取的安 全措施，包括保护措施和防范恶意编码的策略等。
2.Internet与内部控制
以因特网为基础的电子商务公司，与单纯使用内部交易处理系统而没有启用企业外联网或 内部网的公司相比，其所处环境的风险要大得多。象企业内部网一样，如果基于因特网的系 统直接或间接地影响到企业财务报表或利害关系重大的数据，那么对相关控制措施的效率评 估就要包括在传统保证职能的范畴之内。具体来说，会计师事务所必须做到：知道因特网的 网关服务器的确切数量、了解防火墙的确切位置及其参数设置、知晓其他安全设施的确切位 置 及其参数设置或运作程序、彻底搞清楚每一条以任何方式与网关服务器相联的内部系统的网 络配置、弄懂以任何方式与网关服务器相联的数据的读取方法、评估以任何方式与网关服务 器相联的数据和处理方法的安全性，包括保护措施及防范恶意编码的策略、了解公司用于通 过因特网实现资源共享的数据处理方法，以及这类系统的完整性与可靠性等。
3.网站保证服务
图2中列出的六类风险，每一类都将影响到电子商务的合法参与者。就合法的销售代理而言 ， 它所面临的主要问题就是与假冒的销售代理或者消费者进行交易，或者是公司信息的被窃取 及其滥用。目前，注册会计师已开始实施一种网站保证职能，如网站标记的选择等，其目的 在于评估电子商务活动各方的效率与合法性。其中，作为注册会计师的一个主要任务就是 评估所有提供网上服务功能的服务器是否有效，同时评价网站的可靠性。
与传统企业相比，从事电子商务的公司必须将其内部控制扩展到整个交易处理系统的各个 方面，因为该系统与包括网络浏览器和贸易伙伴在内的其他系统有着密切的联系。此外，这 些公司还需要对公司互相传递商业数据的贸易伙伴的内部控制制度有充分的了解。因此，在 如何对电子商务系统的内部控制实施评估和风险管理方面，注册会计师需要具备很强的业务 能力。会计从业人员应当通过掌握因特网技术方面的知识，进一步提高他们在这一领域的技 能。
三、内部控制在风险管理中的作用
多年来，内部控制指导原则一直是注册会计师在财务会计保证方面的工作依据。当各会计 师事务所重新设计它们的工作流程与信息技术，并为某个企业提供服务的时候，内部控制保 证作用的范围也在日益扩展，直至整个企业的信息系统。现在，“五大”会计师事务所逐渐 将名称改为职业服务事务所(Professional services firm)，也是事务所业务范围扩大的一 个佐证。与这些事务所提供的其他服务相比，如商务和管理咨询服务，传统的财务会计审计 功能的业务量正变得越来越少。
除传统的独立审计职能之外，象普华永道这样的会计师事务所还提供许多其他的可以归类 为风险管理的服务。如普华永道成立的一个全球风险管理服务(GRMS,Global Risk Manageme nt Services)部门，主要提供下列服务：
战略风险管理——帮助企业的高级管理人员确认、评价、管理和监控其公司在达到公司目 标的过程中所面临的风险。
财务风险管理——开发和评估企业的内部风险管理能力。主要包括风险意识、管理决策的 程序、系统方法与控制、组织、政策和管理报告等。
运作与系统风险管理——帮助客户卓有成效地进行技术性很强的各项交易。
上述三项服务并非全球风险管理服务的全部，只是作为大的会计师事务所提供的一些主要 服务内容，其目的在于说明风险管理服务项目的广泛性。公司的内部控制结构对上述各项服 务都很重要。不管这些服务是由公司内部职员实施的，还是由咨询公司提供的，内部控制制 度始终应当是电子商务信息系统计划构建的核心。