- 相關推薦
網(wǎng)站認證
從20世紀70年代起步的計算機網(wǎng)絡技術,在20世紀末已經進入了高速發(fā)展的階段,給人類的生活帶來了翻天覆地的變化。在美國,1998年互聯(lián)網(wǎng)產業(yè)的收入已達3,014億美元,對經濟的影響力可與汽車制造業(yè)匹敵,對其他行業(yè)的影響更是無法估量的。據(jù)預測,到2004年,全球互聯(lián)網(wǎng)業(yè)的收入將達到24,000億美元。網(wǎng)絡經濟的存在已經毋庸置疑,大有成為世界經濟主導的趨勢。那么,在網(wǎng)絡經濟中,注冊會計師應該如何開展自己的業(yè)務呢?虛擬的網(wǎng)絡公司和網(wǎng)上交易會對會計和審計帶來什么樣的影響呢?美國注冊會計師協(xié)會(AICPA)和加拿大注冊會計師協(xié)會(CICA)在這方面走在了前面,他們正努力在網(wǎng)絡世界中開拓出注冊會計師行業(yè)的新領域。網(wǎng)站認證(Web Trust)就是AICPA和CICA提供給網(wǎng)站的一種新興的鑒證服務。一、網(wǎng)站認證的由來
(一)產生背景
1997年,美國政府正式提出了電子商務框架(E-business framework)的概念。Business to Business(BtoB),Business to Customer(BtoC)的電子商務形式,以及Internet Service Provider(ISP),Application Service Provider(ASP)和Certificated Authorities(CA)等服務隨之豐富和繁榮起來。同一年,AICPA與CICA聯(lián)合提出了一項旨在幫助網(wǎng)站瀏覽者增強對網(wǎng)站的信任,幫助保障隱私,認證網(wǎng)站安全和減低網(wǎng)絡商業(yè)詐騙風險的新的互聯(lián)網(wǎng)網(wǎng)站鑒證服務—Webtrust。這項鑒證服務是由持有特許專業(yè)執(zhí)照的注冊會計師,按照AICPA和CICA公布的“網(wǎng)站認證”準則與規(guī)范(Principles and Criterias)對被審查網(wǎng)站的在線隱私(Online Privacy)、安全性(Security)、有效性(Availability)、商業(yè)模式與交易信譽(Business Practices/Transaction Integrity)、認可(Non-repudiation)、保密性(Confidentiality)、CA服務等七方面進行審查和鑒證,對于符合準則與規(guī)范的網(wǎng)站,允許其將AICPA或CICA委托Verisign公司管理的“網(wǎng)站認證”徽記以超鏈接(Hyperlink)方式放置在該網(wǎng)站的主頁(首頁)上,供瀏覽網(wǎng)站的顧客點擊后,以安全方式查看位于Verisign網(wǎng)站的注冊會計師鑒證報告。
網(wǎng)絡安全、隱私權和瀏覽者信任等問題一直是嚴重阻礙網(wǎng)絡經濟發(fā)展的主要問題。一方面,各網(wǎng)站公司、安全技術機構和微軟等的研發(fā)中心都在不斷的更新完善加密技術,推出一些認證方式,維護網(wǎng)絡安全;但另一方面,在開放型的網(wǎng)絡世界中,人們不斷聽到、看到和受到各種網(wǎng)絡安全的威脅,因此對于網(wǎng)上交易戒心重重。此外,虛擬的網(wǎng)站使顧客只能通過網(wǎng)頁的內容來了解公司而無法知曉公司的規(guī)模、誠信、產品和服務的實際狀況,更無法確認網(wǎng)站承諾的安全保密條款會否得到不折不扣地執(zhí)行,而且越是有名的安全技術性認證,越容易引起黑客的攻擊興趣。AICPA和CICA正是看到了這一新興的市場,利用自身獨立、客觀、公正的良好第三者形象和專業(yè)的技能知識開始介入這一市場,使“網(wǎng)站認證”服務應運而生。
(二)準則內容
也許是受到計算機行業(yè)慣例的影響,AICPA在推出其“網(wǎng)站認證準則與規(guī)范”時使用了X.0版的模式。其最新的3.0版準則與前期的2.0版和1.0版比較,有了很大的進步,將網(wǎng)站認證的范圍擴大到了BtoB、ISP、CA等范圍。3.0版準則提供給網(wǎng)站更多的認證選擇,以滿足其具體的需要。例如提供BtoC服務的網(wǎng)站會對“在線隱私”和“商業(yè)模式與交易完整”認證更感興趣;提供BtoB服務的網(wǎng)站會對“安全”和“認可”認證更感興趣。以下是3.0版準則的簡要介紹:
1.在線隱私。2000年11月30日AICPA制定了“在線隱私”準則與規(guī)范3.0版:“網(wǎng)站應該充分地揭示其對在線商務隱私的運作程序,并遵守這些程序,保持對這些程序的有效控制,對在電子商務中產生的私人信息的安全提供合理的保證”。該準則適用于BtoC、ISP和ASP服務。
2.安全性。2001年1月1日,AICPA制定了“安全性”準則與規(guī)范3.0版:“網(wǎng)站應揭示、執(zhí)行和保持其安全保護政策,并對所有接近電子商務系統(tǒng)和數(shù)據(jù)的人都是通過了安全政策下的授權提供合理的保證”。該項準則適用于BtoB、BtoC、ISP和ASP服務。
3.商業(yè)模式與交易信譽。2001年1月1日,AICPA制定了“商業(yè)模式與交易完整”準則與規(guī)范3.0版:“網(wǎng)站應揭示、執(zhí)行和保持其既定的商業(yè)運作政策,并為商務運作完整、準確和一致的遵循其政策提供合理的保證”。該項準則適用于BtoB、BtoC、ISP和ASP服務。
4.有效性。2001年1月1日,AICPA制定了“有效性”準則與規(guī)范3.0版:“網(wǎng)站應揭示、執(zhí)行和保持其既定的有效性政策,并為電子商務交易的有效性提供合理的保證”。該項準則適用于BtoB、BtoC、ISP和ASP服務。
除上述準則外,“網(wǎng)站認證”的其他準則與規(guī)范與以前舊版模式內容沒有太大變化。
(三)發(fā)展現(xiàn)狀
根據(jù)AICPA網(wǎng)站2001年5月的消息,目前共有17個國家和地區(qū)的注冊會計師協(xié)會獲準其會員提供網(wǎng)站認證鑒證服務,其中包括香港會計師公會(HKSA)。但是,獲得網(wǎng)站認證徽記的網(wǎng)站不足40家。臺灣學者的相關研究認為,網(wǎng)站認證發(fā)展受阻的主要原因是:1.公眾對注冊會計師的網(wǎng)站認證鑒證服務還很不熟悉。2.網(wǎng)站認證的收費較高,對于很多網(wǎng)站來說不具成本效益。3.消費者是因為對網(wǎng)站感興趣才進入該網(wǎng)站。4.注冊會計師不善于進行網(wǎng)站認證營銷?梢姡W(wǎng)站認證還處于起步階段,需要注冊會計師們的大力推廣,不斷更新。
二、網(wǎng)站認證的特點
由于網(wǎng)絡的虛擬特性,信息、證據(jù)的痕跡不能直接觀察,網(wǎng)絡技術環(huán)境更新迅速以及網(wǎng)站信譽鑒證有特殊目的等原因,使得這一鑒證服務有別于傳統(tǒng)審計業(yè)務,具有許多新的特點。
(一)目標和審查重點。
網(wǎng)站認證不是以網(wǎng)站的財務狀況、經營業(yè)績?yōu)閷彶榈闹行哪繕,而是以網(wǎng)站的安全性、信息的管理保護等為審查對象,以評價這些內容是否符合有關準則與規(guī)范為目標進行的鑒證服務。這一目標的變化,直接導致了鑒證的各要素和鑒證方法的變化。因此,可以說網(wǎng)站認證是一種全新的審計概念。
我們認為,網(wǎng)站認證仍然是一種審計活動,而不是其他的管理咨詢等非審計業(yè)務。美國會計學會(AAA)對審計的定義是“為確定關于經濟行為及經濟現(xiàn)象的結論和所制定的標準之間的一致程度,而對這種結論有關的證據(jù)進行收集、評定,并將結果傳達給利害關系人的有組織的過程!笨梢,現(xiàn)代審計的概念早已經拓寬到管理審計、經濟效益審計等多方面!熬W(wǎng)站認證”作為現(xiàn)代審計的新分支,是網(wǎng)絡經濟的產物,是在注冊會計師對網(wǎng)站進行審計時,結合客觀現(xiàn)實的需要應運而生的。從審計的本質上講,網(wǎng)站認證
是對虛擬網(wǎng)站向客戶提供BtoB、BtoC商務模式以及ISP、ASP、CA等經濟活動是否符合有關規(guī)范所進行的評價與鑒證。
(二)審計職能
一般認為,審計具有監(jiān)督、評價、鑒證職能。網(wǎng)站認證的評價職能是顯而易見的,注冊會計師對網(wǎng)站的營運方式分析、系統(tǒng)的安全測試、數(shù)據(jù)資料的管理維護抽樣調查等都是為了要評價網(wǎng)站的安全性、有效性、合規(guī)性。雖然說評價的內容有所變化,但評價職能本身是沒有改變的。網(wǎng)站認證的鑒證職能是其本身目標的直接體現(xiàn),正是因為有了鑒證職能,網(wǎng)站瀏覽者和客戶才會加強對網(wǎng)站的信任感,才能實現(xiàn)電子商務潤滑劑的功能。“網(wǎng)站認證”由于是注冊會計師接受網(wǎng)站本身的委托對其進行的審查活動,除對網(wǎng)站內部人員有一定監(jiān)督作用外,監(jiān)督職能因此并不突出。
(三)審計的主體、客體和對象
雖然網(wǎng)站認證依然是由注冊會計師進行的,但是它對注冊會計師提出了更高的要求。首先,注冊會計師必須有特殊的專業(yè)執(zhí)照才能進行這項業(yè)務,這不同于管理審計、管理咨詢等業(yè)務。其次,注冊會計師必須充分考慮是否需要其他專家的協(xié)助,而這往往是必不可少的,就猶如人壽保險審計,需要有精算師的配合與協(xié)助一樣。最后,網(wǎng)站認證徽記是由Verisign網(wǎng)站提供和管理。所以網(wǎng)站認證審計的主體已經不再像傳統(tǒng)審計那樣單純了。
網(wǎng)站認證的客體是網(wǎng)站。由于這一客體與傳統(tǒng)的公司、組織有顯著不同,因此“網(wǎng)站認證”審計也顯得與眾不同。網(wǎng)站公司往往實體業(yè)務很簡單,更多更主要的經濟活動是發(fā)生在虛擬的網(wǎng)絡世界中,對這樣的客體進行審計必須選擇與之相適應的手段和方法。
網(wǎng)站認證的對象是網(wǎng)站的系統(tǒng)安全模式、網(wǎng)站的經濟活動程序等等,這與傳統(tǒng)的審計大不一樣。
(四)審計風險
一方面,網(wǎng)站認證報告的對象是不確定的所有網(wǎng)站服務使用者,不局限于審計委托人;另一方面,網(wǎng)絡的變化迅速,使用“網(wǎng)站認證”鑒證報告的瀏覽者得到的是根據(jù)以前信息做出的安全認證,這對于網(wǎng)絡世界來說是明顯滯后的。所以,注冊會計師的風險很大,必須在認證報告中加入適當?shù)恼f明,以明確責任。
(五)審計方法、手段和報告方式
綜上所述,我們知道網(wǎng)站認證的目標、客體和對象與傳統(tǒng)審計相比較有了很大變化,因此在審計手段和方法上也有相應的變化。
首先,網(wǎng)站認證的審計程序是:評價委托風險?接受委托并獲得管理當局聲明書?系統(tǒng)管理控制評價?符合測試、實質測試?完成審計工作,提出管理建議書,要求進行改進以達到標準?出具報告,申請給與網(wǎng)站認證徽記每3個月進行復核測試。其中的最后一個步驟就是傳統(tǒng)審計所沒有的,是適應網(wǎng)絡經濟飛速發(fā)展的客觀需要而采取的一項重要內容。而且,網(wǎng)站認證中管理當局聲明書的內容較傳統(tǒng)審計有很大不同,管理當局被要求對其管理網(wǎng)站的各項安全保密政策以及其他要求注冊會計師審計的方面的政策和執(zhí)行情況進行揭示與責任說明。網(wǎng)站認證中的管理當局聲明書相當于傳統(tǒng)審計中的會計報表加管理當局聲明書,這與傳統(tǒng)審計有所區(qū)別。
其次,許多審計測試都必須通過計算機進行,不存在繞過計算機審計的方法。例如,在進行客戶登錄是否有安全保護,是否只能進入授權級別的內容,交易是否是在安全模式下進行等測試只能在網(wǎng)絡上進行,相關的審計證據(jù)也是以電子方式存在,這是網(wǎng)站認證審計的一大特點。
第三,網(wǎng)站認證的委托人(審計報告的對象)與傳統(tǒng)的報表審計不同。一般來說,“網(wǎng)站認證”是由網(wǎng)站管理當局委托注冊會計師進行的,審計報告的對象是網(wǎng)站的管理當局,這是與目前的網(wǎng)站認證報告的使用目的相關的。網(wǎng)站所有者并不需要網(wǎng)站認證來證明網(wǎng)站的安全,因為這只是經營者提高業(yè)績而進行的努力,所以網(wǎng)站認證的委托人大都是網(wǎng)站的管理當局。
最后,網(wǎng)站認證的報告方式別具一格。網(wǎng)站認證報告是通過被審計網(wǎng)站主頁上的一個超鏈接圖標與Verisign網(wǎng)站的相關報告鏈接,瀏覽者點擊該圖標就可以看到注冊會計師的審計報告。這種審計報告是網(wǎng)站通過了何種認證標準的報告,不存在傳統(tǒng)概念下的保留意見、否定意見或拒絕表示意見報告。以下是一份根據(jù)網(wǎng)站認證3.0版“安全性”準則與規(guī)范書寫的報告范例:
獨立審計師報告
興隆公司管理當局:
我們已經審查了貴公司2000年1月1日到2000年12月31日的管理聲明書(鏈接到管理聲明書),聲明包括揭示了所有重要的電子商務安全政策,并遵循了這些政策,且對只有獲得授權的人才能在上述安全政策下接近電子商務系統(tǒng)和數(shù)據(jù)保持了有效的控制。我們的審查是根據(jù)美國注冊會計師協(xié)會“網(wǎng)站認證”安全性準則進行的(可鏈接到安全性準則)。執(zhí)行程序、揭示政策、遵循和控制是興隆公司管理當局的責任。我們的責任是根據(jù)我們的審查發(fā)表審計意見。
我們的審計程序是按照美國注冊會計師協(xié)會的標準執(zhí)行的,這些審計程序包括:(1)獲得和了解興隆公司揭示的安全政策和相關安全控制程序,(2)測試這些安全政策的執(zhí)行遵守情況,(3)測試和評價安全控制執(zhí)行的有效性,(4)其它我們認為必要的審計程序。我們認為我們的審查為我們的審計意見提供了合理的基礎。
我們認為,興隆公司的上述管理聲明書,依據(jù)美國注冊會計師協(xié)會“網(wǎng)站認證”安全標準,在所有重要方面都進行了公允地表達。
由于控制內在的限制,一些錯誤和舞弊可能存在而沒有被檢查出來。并且,基于我們的發(fā)現(xiàn)而得出的結論,在未來的期間,存在這些結論不適用的風險,因為:(1)安全系統(tǒng)和控制可能改變,(2)執(zhí)行環(huán)境的變化,(3)時間流逝帶來的變化,(4)對安全政策和程序的遵循可能懈怠。
在興隆公司網(wǎng)站上的網(wǎng)站認證徽記是本報告內容的一種符號表示,它不是對本報告的更新,也不代表任何更進一步的保證。
埃得華會計師事務所
弗內斯特·埃得華 注冊會計師
&nbs
p; 華盛頓特區(qū)
2001年2月1日
三、中國注冊會計師應如何面對網(wǎng)站認證
網(wǎng)站認證審計在我國還是個新鮮的事物。如何發(fā)展我國注冊會計師的網(wǎng)站認證業(yè)務呢?筆者認為,我國注冊會計師行業(yè)的建設隨著時間與經驗的積累,水平在逐漸提高。但由于種種原因,社會大眾對我們注冊會計師這個行業(yè)的信任度還不是很高。這是我國注冊會計師拓展網(wǎng)絡鑒證服務市場的主要阻礙。要克服這些障礙,我們仍有許多方面的工作必須加以努力。具體來講:
1.有必要建立一部管理電子商務的基本法。沒有法律的保護,任何行業(yè)的自律,任何第三方的證明,都不能使消費者和客戶真正的放心。如果消費者權益沒有明確的法律保護,那么電子商務將是一件風險很高的商業(yè)行為,更何況是網(wǎng)站認證。
2.中國注冊會計師協(xié)會應該為網(wǎng)站認證或網(wǎng)站審計制定標準,提供資格認證。每一個行業(yè)都有自身的特點,雖然我們沒必要為每一個行業(yè)制定特殊的審計準則,但是對于個別重要或特殊的行業(yè)還是應該根據(jù)實際情況,進行相應的處理。我們完全可以參考金融保險企業(yè)審計那樣,為網(wǎng)站認證或網(wǎng)站審計規(guī)定新的游戲規(guī)則。
3.隨著經濟環(huán)境的變化,注冊會計師必須無時無刻地加強自身的專業(yè)技能與知識創(chuàng)新,提高職業(yè)道德水平。事務所應該努力延伸在網(wǎng)絡經濟方面的觸角,學習新事物,拓展新市場。反觀我國注冊會計師工作壓力重,再學習時間少,全面更新專業(yè)技能知識難度大。
4.網(wǎng)站認證的發(fā)展壯大依賴于網(wǎng)絡經濟、電子商務的發(fā)展壯大。我國社會主義市場經濟的建設事業(yè)還沒有完全完成,市場經濟的規(guī)則還不完善,舊的習慣和方法還桎梏著一小部分人的思維,網(wǎng)絡經濟道途坎坷的情況有待逐步改善。
【網(wǎng)站認證】相關文章:
校園用戶認證標準08-24
認證工作總結08-17
pmp認證考試備考心得08-21
認證工作總結08-13
工作總結(認證辦)08-13
認證自查報告11-02
體系認證合同02-21
假文憑竟能通過網(wǎng)上認證?08-05
藥店GSP認證申請書09-09