2.电子商务对审计对象的影响。常规的审计对象一般是指被审计企业的经营活动和财务收支情况,以及与以上活动有关的文件资料和会计账簿。在电子商务的环境下,这些文件资料和会计账簿不再是承载企业经营和会计信息的唯一方式,上述信息更多的是以电子数据方式体现,审计工作人员要获取真实、充分的审计证据就要保证承载电子数据的计算机等硬件以及网络、系统等软件正常运行,因此电子商务审计的对象也更加复杂,网上交易流程、电子证据以及网络安全性等都被列入审计范围。
(二)电子商务审计风险的特征。
电子商务审计除了具有传统审计固有的风险,由于其经营特性,还具有以下四个新的特征:
2.信息系统无法直接审计。注册会计师在对电商企业进行审计时,需要对信息系统进行可靠性、安全性验证,但在当前的审计技术条件下,注册会计师受个人业务能力、技术手段等限制,无法对电商企业的信息系统进行直接审计,只能依靠推测对电子商务系统进行间接审计,导致审计风险具有隐蔽性。
4.网络安全成为风险突出点。信息系统的风险导致电商企业经营状况和资产安全都不能被企业内部所完全监督和控制。电商企业的网络信息系统具有数据处理分散、平台较为开放、数据共享等特点,这对传统审计环境下相对集中的会计信息具有颠覆性的影响,网络系统的安全性审查也就成为审计过程中不可避免的重点之一。电商企业的网络系统时刻处于病毒、黑客等风险因素的威胁之下,即使随着网络安全技术的发展,电商企业广泛应用的防火墙技术可以在一定程度上防止网络系统受到外部攻击,但依然时常发生电商企业的网络系统被恶意侵入的情况,给企业造成较大损失。电子数据容易被篡改而且修改后不会留下任何痕迹,这就使得电商企业在开展网络安全防范时无计可施、非常被动。所以电商企业就要重新建立与网络系统所处环境相匹配的安全控制系统,注册会计师在开展审计时,也要对电商企业的网络安全控制设计进行查看,对控制系统设计的合理性、实施的有效性进行评价。
二、电商企业审计风险分析——以京东为例
(一)案例企业基本概况。
(二)京东经营风险分析。
1.企业整体的经营风险比较高。
京东的经营风险主要体现在两个方面:
(1)京东开展的战略性扩张给企业带来了一定风险。京东在运营初期是以家电和电子产品的直销为主,但近些年,为改善销售收入单一的情况,京东采取大幅增加销售产品种类的方法,但商品种类的增加不一定会带来销量的增长,反而会带来新的风险。这类风险主要包括:对客户需求和喜好的预测不准确导致库存堆积;大幅产品的增加导致京东在这些产品采购中不具有批量采购的购买力,无法获取采购优惠,也就不能在销售中发挥价格优势;京东主营的电子产品和家电由于面临激烈的市场竞争,可能会引起销量下降,而战略扩张如果没有带来正向影响就会导致经营收益下降。从京东发布的年报中可以看到,京东近年来正在有计划地实施扩张性战略,不断完善基础设施建设、网络技术平台建设,增加销售产品种类和企业员工数量,并且通过采购、合作等方式逐渐向电商C2C模式扩展,对O2O业务也有涉及,同时还渗透到互联网金融等新兴领域,这些新的领域给京东带来了风险和挑战。
(2)近年来的持续亏损给企业带来的风险。京东的主营业务收入近几年来增速较快,从2004年的1000万元增加到2015年的1800亿元,每年增速都在50%以上,但和营业收入对比可知,京东净收入一直处于亏损状态。京东的盈利模式主要是靠扩大产品销量、向供应商压低供货价格以增加毛利率,从而获得更高利润,为实现扩大市场和销售,京东需要不断完善基础设施建设和网络技术平台。因此,公司在短期内仍将持续增加投资,故无法扭亏为盈,而依靠牺牲净利润的巨额投入如果在某个环节出现问题,就会影响企业声誉,从而降低企业的市场份额和营业收入。因此,京东连续多年追加投资,以不盈利的方式进行战略扩张,给企业带来了一定的经营风险。
2.电商企业的收入本身具有一定风险性。
电商企业因其行业领域和经营方式的特殊性,收入本身具有一定风险,主要体现在两个方面:一是收入的确认比较复杂。京东商城的客户主要是个人,因此营业收入具有数量大金额小的特点,因此注册会计师在开展收入审计时,唯一途径就是对电子销售合同开展审计,而这部分数据信息量十分大,审查本身就有难度,如果企业在其中虚增部分销售收入,注册会计师较难发现。二是电子支付的风险较大。京东的经营收入绝大部分是通过电子支付途径,而这一支付方式容易受系统安全的影响,系统一旦被侵入或者瘫痪,内部的信息数据、货币资产都会面临巨大的风险,因此企业的货币资产错报的风险系数提高,这就导致注册会计师对货币资金的审查容易出现问题。
4.系统安全和信贷安全存在显著风险。京东的业务开展基本是依靠网络,电子商务的系统安全问题会直接影响企业经营情况。因此,应该将系统安全的风险评估作为企业内部控制的重要内容。同时,由于京东近年来开始涉足互联网金融,其会因为对金融业务不熟、第三方违约等原因增加公司坏账,产生信贷风险。因此,注册会计师在开展审计工作时,应该对京东的信贷安全风险控制开展评估。
(三)审计的风险分析。
1.对注册会计师的专业技能要求较高。京东属于比较典型的电商企业,其电子商务特性使得审计人员惯用的审计内容、方法、技术等发生了较大改变,这对注册会计师的业务素养和专业技能提出了新的要求。如果审计人员不具备相应的职业能力,就很难发现企业存在的重大错报问题。
三、电商企业审计风险存在的原因分析
(一)审计的外部环境风险。
2.电商网络的安全无法保障。电子商务赖以运行的网络系统处于完全开放的平台,要时刻面对网络信息的泄漏、篡改,以及系统入侵等安全问题。如果电商企业对其交易信息进行加密的措施存在漏洞就容易造成交易信息被篡改或窃取,支付信息如果保护不到位就会导致账户资金被盗取,给企业带来巨大损失,同时也会给审计证据采集带来不利影响,从而影响审计结果。
(二)审计对象的风险。
1.电商企业的审计证据获取难度较大。
(1)电子数据具有易消失性。电商企业中大部分信息包括经营管理、交易、财务等内容都会以电子数据的形式存储,而电子数据的易消失性决定了数据随时存在被篡改、抹灭的可能。不同于纸质数据的痕迹化修改,电子数据的修改在网络系统中可以实现完全无痕,这对注册会计师在审计中获取审计线索更加不利,审计风险增加,所以注册会计师在开展电商审计时要确保系统中电子数据真实、完整。
(2)电子取证具有动态性。电商企业的特殊性决定了其网络系统必须时刻处于运作状态,不能因审计人员的取证而停止,这就要求审计人员要在不妨碍、不终止系统运作的情况下完成取证工作。因此,审计人员只能采用在线的方式对审计证据进行查询、访问,难度系数大大增加,同时也大大提高了对审计人员的业务能力要求,无形中增加了审计风险。
2.系统内数据流转风险较高。
电子商务系统是由多个模块组成的统一体,其模块之间的数据流转也存在一定风险,尤其是将交易数据向会计系统传递时存在以下风险:电商企业的交易信息传输未做到准确、实时;电商交易中的采购、收入等时点确认不准确;交易的记录和确认不准确;交易信息遗漏或重复等。电子商务系统的运行完全按照预先设定的程序进行,没有人为的审查和干预,错误信息的操作容易重复,引起连锁反应,增加企业风险。另外,如果电商企业在系统建设时没有统一要求,就会导致业务处理系统和会计系统不匹配,在数据对接时容易出现差错,造成电商系统中的数据和会计系统中的数据出现不一致的情况,增加了注册会计师的审计风险。
3.电商企业的内部控制较为薄弱。电商企业的内部控制和传统企业的内部控制的不同之处在于,前者需要在手工的基础上引入计算机系统,甚至有些电商企业的内部控制需要完全交给计算机处理。这就要求企业在对员工和工作程序开展内部控制的同时还要对计算机的硬件和软件设备进行控制,而这一部分由于技术要求较高,缺乏规范的内控制度,使得电商企业开展内控时面临较大风险。有部分电商企业在自身开展内控较为吃力时,转而寻求外包技术公司的支持,但在将业务外包以后,又对技术公司过分依赖,受外包公司工作人员的技术能力、款项结算等因素的影响,技术服务质量难以得到有效保障。如果外包的技术公司职业素养不高、业务能力不强,电商企业的电子数据就容易被转移、窃取。企业信息系统的安全性受到威胁,从而影响内控质量。
(三)审计主体的风险。
1.电商审计缺乏专业人才。电子商务审计不仅要求审计人员具有财务报表审计能力,还要具备信息系统审计能力,要求审计人员具备财会知识的同时还要掌握计算机应用能力。而如果注册会计师对电子商务涉及的信息系统、计算机等缺乏认识,对信息系统的真实、可靠性盲目信任,对信息系统的审计技术掌握不全面,就会导致对电子商务企业的内部控制有效性审计不到位,对审计风险的识别不到位,容易导致审计风险。
四、电商企业审计风险防范策略
(一)优化电商审计的环境。
(二)强化电商企业管控水平。
1.确保电子数据完整、可靠。电商企业要不断提高系统的稳定性和安全性,通过完善计算机软硬件建设保证企业的电子数据完整、可靠,尤其要加强会计系统的安全建设,防止系统被侵入、干扰,信息被篡改或泄漏。因此,可以利用分割权限、设置身份识别、升级密码保护、提高防火墙等级、升级防病毒软件等手段提高系统安全性。
2.提高交易的完备性和系统的整合性。电商企业要推动系统内部各运行模块的整合统一,建立集成系统确保所有业务数据和最终的会计数据一致。会计师事务所要研究开发相应的审计软件,确保审计系统和电商企业的会计系统完整对接,进行审计数据的真实、有效传输,确保审计证据的真实性。审计工作人员要有针对性地对电商系统的集成情况和电商交易的完备性进行适当的审计。
3.加强电商企业的内控管理。一是完善电商企业的内控环境。要建立、健全企业的组织结构,对企业的管理加强监督控制,保持企业管理层的稳定,优化企业管理人员和普通员工结构,努力培养高素质的复合型人才,加强对员工财务会计和网络安全知识的培训,提高员工素质。二是评估电商的风险。针对电商企业面临的网络安全风险和软硬件设施对电商企业安全的影响,电商企业应对所有可能存在的风险进行评估,有效控制审计风险。三是确保电商企业信息的有效沟通。信息沟通是否及时、有效对企业内部控制的实施有着重要影响,企业应建立信息沟通系统,完善规章制度,明确岗位职责和角色分工,避免出现“信息孤岛”的情况。
(三)提高会计师事务所审计能力。
1.培养复合型电子商务审计人才。电子商务审计既包括对财务的审计,又包括针对电商企业系统的审计,为适应电商审计的需要,避免电商审计面临的各项风险,会计师事务所必须加强对审计人才的培训和培养,提高审计人员的素质,从源头上降低电商审计的风险。
3.改善电子商务审计的方法技术。审计工作人员要顺应电商行业发展潮流,主动适应电商企业的经营模式,在针对电商企业开展审计工作时,创新工作方法、改善审计技术,积极利用物联网技术对电商企业的存货、固定资产等内容进行审计。充分利用网络环境下大数据技术提高分析数据、发现问题、固定数据的能力,提高电子商务审计效率,规避审计中数据抽样导致的审计风险。审计人员还要积极利用其他新兴的审计技术,依托新技术获取真实、完整的审计证据,降低电子商务审计的风险,确保审计质量。