時間:2023-06-12 09:09:47
序論:速發表網結合其深厚的文秘經驗,特別為您篩選了11篇電子商務的風險范文。如果您需要更多原創資料,歡迎隨時與我們的客服老師聯系,希望您能從中汲取靈感和知識!
隨著電子商務平臺建設的日漸完善,電子商務經濟逐步成為我國經濟發展的重要組成部分,電子商務環境下的審計也越來越受到相關部門的重視。目前,我國對于新興事物的審計制度建設還不完善,對于由此產生的風險及防范研究更是少之又少。因此,充分了解電子商務環境下的審計制度以及可能產生的風險因素,對于進一步加強電子商務經濟規范建設具有重要的指導意義。
一、電子商務環境下的審計與審計風險特征
電子商務是隨著現代網絡技術不斷完善而出現的產物,是結合電子支付方式、網絡商貿、數據處理等技術的綜合型新興貿易方式,具有不同于傳統貿易的無紙化性、多樣性、隱蔽性、動態性等特點。因此,電子商務環境下的審計也因電子商務的特性而具有區別于傳統審計的特性。
(一)電子商務環境下的審計特征
傳統審計主要包括對被審計單位財務報表以及與此相關的一些會計憑證、交易往來合同等,電子商務環境下的審計除此之外,還包括因電子商務交易而產生的電子發票、回款單、支付憑證等。具體來說,主要包括:被審計單位獲取相關會計信息以外的資料,如被審計單位的戰略計劃、內部控制制度以及同類單位的相關數據;被審計單位內部控制安全性相關的電子商務信息;注冊會計師在進行審計時根據被審計單位提供的現有資料得出的其他相關信息。會計信息與其他相關信息共同構成電子商務環境下的審計資料,只有這些信息完整才能保證審計結果的準確性。
1、電子商務環境下的審計信息具有易破壞性。電子商務環境下所有相關的審計信息都轉為電子信息,相關的取數、存儲以及匯總加工等都通過計算機完成,一旦中間步驟有人工操作不當之處,就會導致整個數據信息有誤且很難被發現。因此,注冊會計師在提取相關數據信息時要對最終呈現的數據做合理性和完整性分析,減少因操作不當帶來的信息錯誤。同時,因為電子數據缺乏原始紙質憑證做基礎,電子數據被篡改比較容易,進一步加大了審計信息的易破壞性。
2、電子商務環境下的審計信息具有動態性。由于電子商務平臺24小時在線服務,在這一實時過程中,電子商務信息處于動態傳輸中,為注冊會計師提取審計信息提供了難度。注冊會計師不能因為提取審計信息而認為靜止電子商務信息的傳輸,這樣很可能破壞原有的電子商務信息。而為了保證注冊會計師提取的電子信息準確完整,職能通過電子商務在線實時數據訪問實現,進一步加大審計的風險。
3、電子商務環境下的網絡安全難以控制。電子商務環境下,作為交易平臺的網絡環境具有開放性和數據實時變化性,如何保證網絡安全是保證審計基礎數據準確性的基礎。針對目前計算機病毒和黑客技術的日益更新,電子商務的網絡安全正受到各方的威脅,因此,建立完善的網絡安全控制系統是保證電子商務環境下審計信息準確性的重要基礎,也是保證電子商務有序進行的重要保障。
(二)電子商務環境下的審計風險特征
電子商務環境下的審計風險,是指在電子商務環境下的財務報表存在重大錯誤而使注冊會計師發表不恰當審計意見的可能性。審計風險具體來說,主要包括兩大部分,即重大報錯風險和檢查風險。電子商務環境下的審計風險同樣包括該兩大部分,其中重大報錯風險是指在電子商務環境下可能存在的與電子商務有關的財務報表錯誤,是在審計開始之前就存在的風險;而檢查風險是指在發生電子商務有關的審計過程中,發現的與被審計單位有關的經濟活動存在不合規問題,該報錯可能與前期的重大報錯風險有關,也有可能是單獨存在的風險。
1、電子商務環境下的審計風險具有客觀性。電子商務環境下的審計風險與傳統模式下的審計風險,同樣是一種不確定性的客觀存在,該風險不以注冊會計師的意志而轉移,是每個被審計企業都存在的固有風險。該風險由企業內部控制的缺陷、電子商務本身具有的特性以及其他外部條件所決定。同時由于審計以抽樣調查為主,樣本的偏差可能導致整體審計推斷結果有誤差,進一步導致審計風險的客觀存在。
2、電子商務環境下的審計風險具有普遍性。審計風險涉及審計工作的各個方面,發生在整個審計過程之中。在會計師事務所承接審計業務階段,如果對被審計單位的狀況不夠了解,可能面臨不良資產的風險;在審計業務前期準備過程中,如果沒有充分了解被審計單位并制作符合被審計單位自身業務特點的審計方案,則可能導致最終出具的審計結論有失偏頗的風險;在審計業務實施階段,如果沒有準確收集被審計單位的電子信息,并進行甄別和判斷,可能發生錯誤的審計判斷,加大被審計單位的審計風險。3、電子商務環境下的審計風險具有部分可控性。雖然審計風險存在客觀性和普遍性,但審計風險同樣具有部分可控性。注冊會計師在接手某個審計業務時,可以在充分了解被審計單位的相關信息基礎上,執行全面完善的審計計劃,準確甄別收集的審計信息,制定合理的審計程序,將認為可控部分的審計風險降到最低。
二、電子商務環境下審計風險的國內外研究動態
電子商務環境下的審計風險研究在國內外都屬于探索階段,相關理論體系尚未完善。國外的研究重點主要集中在電子商務環境下審計風險產生的原因,國內的研究重點相對來說全面一些,不僅分析了電子商務環境下審計風險產生的原因,而且針對不同的風險點提出了相應的防范措施。
(一)國內研究動態
劉強(2009)在《電子商務對財務報表審計的影響》中提出,電子商務環境下的財務報表審計將面臨巨大的沖擊,主要包括電子商務環境對于傳統財務環境的挑戰,因審計對象和范圍的無限擴大而產生的界定問題,以及由此產生的一系列審計風險。對此,張倩在《我國電子商務環境下的審計風險防范》中指出,針對電子商務環境下風險的信息化與不確定性,應該及時把握電子商務的政策動態,正確區分傳統經濟下的審計風險與電子商務環境下的審計風險,有針對性地提出關于審計環境、審計對象、審計主體以及審計客體的風險防范措施。針對于電子商務環境下的審計風險,李俊杰(2010)在《電子商務審計探析》中做了詳細的分析,他將電子商務環境下的審計風險分為電子商務固有的風險、傳統環境下的審計風險以及電子商務環境下的綜合審計風險,并通過對電子商務特有的國際化、信息化及無紙化等特點進行針對性的分析,提出防范風險應從把握網絡安全審計以及完善電子數據分析等方面著手。
(二)國外研究動態
國外對于電子商務環境下的審計風險研究,主要集中在產生風險的原因上,包括對被審計單位的內部控制不合理、電子商務本身存在的無紙化、信息化、支付方式多樣化等特征,以及傳統審計模式無法適應電子商務交易模式的多邊性。Harkness通過研究傳統審計模式下電子商務的交易風險,總結出電子商務模式下的風險主要集中在審計線索的變化、審計技術的更新速度慢以及審點的多邊性。
三、電子商務環境下的風險分析
(一)審計環境產生的風險
1、我國電子商務運營環境不規范。我國電子商務的發展隨著互聯網的不斷推進而得到迅猛發展,各方數據表明,中國的電子商務規模已處于國際前列。但與電子商務相關的一些輔助業務卻沒能跟上。一方面,作為電子商務基礎的物流系統還不能滿足現有發展迅猛的電子商務市場,極大制約了電子商務業務的進一步擴張。現有的電子商務模式下,大部分實物都以物流系統為輔助,但目前的物流系統存在配送人員專業化程度低、管理體制不完善以及售后服務維權機制不健全等,導致物流系統建設缺乏競爭力。另一方面,電子商務的信息系統建設還無法滿足日漸發展的電子商務市場。電子商務競爭中,各企業的競爭力主要集中在產品信息的收集、顧客需求信息的收集以及產品質量和配送效率上,而這些的基礎都在于信息系統的建設。在這方面上,我國與世界發達國家的水平還存在差距。
2、相關法律法規和審計準則不完善。我國對于電子商務的立法最早于2004年出臺了《中華人民共和國電子簽名法》,首次對新興貿易進行了法律規范,也對電子商務模式下的審計提供了法律基礎。但我國在電子商務相關的法律建設上起步較晚,還存在諸多不足之處。一方面,我國出臺了電子簽名法,但有關電子商務完整的法律體系建設還未完善,導致電子商務在細節處理上沒有一個統一的標準,造成企業在處理問題上的混亂。另一方面,我國現行的審計準則只適用于傳統模式下的審計,對于新興的電子商務審計尚未做明確規定,導致注冊會計師在進行電子商務審計時無相關法律法規做參考,審計結論存在一定的偏差。
(二)審計對象產生的風險
1、企業內部控制不健全。傳統模式下,企業的內部控制主要以手工為主,包括對工作人員的工作行為、業務處理是否得當以及經濟業務規范等進行控制,而電子商務環境下的內部控制在此基礎上還要對網絡信息系統建設、計算機運行風險等多方面進行控制,這從專業性上提出了更高的要求,且具有一定的不可控性。此外,傳統模式下的業務審批需要多層的人工審核,并按職責分工確保對每一層次的審批做到記錄規范、準確,審計部門可以隨時調取相關審批流程記錄,而在電子商務模式下,內部審批的控制都以計算機程序自動設定而完成,缺乏人為的主觀可調整性。同時,由于我國缺乏電子商務所需的專業人才,在電子商務管理上存在諸多漏洞,尤其對于電子商務購銷業務中的發票開具與保管,導致賬面混亂等現象時有發生。
2、從業人員專業素質有待提高。由于我國電子商務處于剛起步階段,具有電子商務專業的人才較少,電子商務業務的從業人員素質參差不齊,且大部分屬于兼職人員。因此,現有的電子商務從業人員無法適應對專業度要求越來越高的網絡化電子商務需求。一方面,專業素質不足的電子商務從業人員無法對國際貿易中的產品進行準確認知,無法通過外語與外商進行準確的交流和貿易協商,也無法對日益更新的電子商務交易系統進行熟練操作,導致電子商務企業交易無法順利進行。另一方面,傳統的兼職型電子商務從業人員已經無法滿足現有的國際化貿易需求,現有的電子商務要求從業人員必須具備對產品充分認知、營銷、計算機等綜合素質,目前我國的電子商務從業人員大部分缺乏電子商務以外的綜合型知識。與此同時,我國電子電子商務企業在人才管理上存在對待不公的現象。出于企業業績的考量,大部分企業重銷售人員而輕技術維護人員等基礎保障人員,導致相關人才流失。此外,因為缺乏對信息系統建設的重視,導致信息泄露事件時有發生,這是企業在信息安全建設上的疏忽,也是人才建設上的不完善。
3、電子支付、電子簽名審計難度大。電子商務環境下的合同簽訂以及貨款支付等都通過網絡平臺實現,擴展了傳統模式下的結算方式,因此,與之相關的審計范圍也相應擴展。在新型業務模式下,注冊會計師需要對被審計單位網上簽訂的合同、網上的支付階段等進行完整、準確地審查,并結合被審計單位提供的相關財務紙質憑證進行分析,推斷其中可能存在的不合理問題。而電子商務環境下的業務活動形式多樣、結算方式復雜、支付方式隱蔽、電子簽名確定難度大等,這一系列問題不僅增大了注冊會計師的審核難度,同時也加大了企業的審計風險。
(三)由審計人員產生的審計風險
1、審計人員專業水平不夠。電子商務環境下的審計要求審計人員具備會計、審計、電子商務以及網絡等多方面的綜合能力,而就目前我國審計人員具備的專業水平來說,還停留在傳統模式下的審計水平,與現有的高科技業務環境銜接不上。同時,審計隊伍中的人員老齡化也是突出問題。這就導致這些具備扎實財務審計專業知識的人員缺乏對計算機方面知識的了解,存在審計能力不足的問題。此外,現有的審計人員選拔上,單純以財務、審計等傳統模式下的知識考察為主,缺少電子商務、計算機等綜合方面的考量,導致審計人員在進行審計時不熟悉電子商務業務的處理過程和會計處理方法,更缺乏對電子商務審計風險的判斷能力。
2、缺乏特有的電子商務審計軟件。目前,針對電子商務模式下的審計軟件還很少,大部分都是與傳統貿易模式通用的審計軟件,但對于電子商務模式下大規模的數據處理還缺乏運行能力。主要原因在于目前市場上流通的財務軟件都以傳統通用型財務軟件為主,在傳統軟件下很難導入電子商務模式的審計軟件,軟件之間的不兼容性導致特有的審計軟件無法推廣。同時,會計師事務所不可能因為傳統審計軟件的運行能力不足,而單獨開發特有的財務軟件和配套審計軟件,這巨大的開發成本與審計業務收入不相匹配。另外,在注冊會計師進行審計時需要被審計單位提供專門用于審計取數的系統接口,但就目前我國的執行情況來說,只有部門企業完全執行這個規定,致使審計部門調取電子商務數據困難,加大審計風險。
四、電子商務環境下的審計風險防范對策建議
針對目前電子商務環境下存在的審計風險,應有針對性的從幾方面進行著手防范。
(一)完善我國電子商務審計環境
1、規范我國電子商務經營環境。針對目前我國電子商務存在的物流體系不完善問題,我國應著手從完善物流基礎設施建設、加強物流專業人才的培養以及提供物流相關的財政優惠政策等進行扶持。同時,我國可以參考國外的先進物流建設經驗,建立第三方物流專業機構,將物流從電子商務運營中獨立出來。通過建立第三方物流專業機構,一方面可以增強物流的綜合服務能力,提高貨物運送的效率,另一方面,獨立的物流第三方建設可以形成完善的物流網絡,提供更專業、便捷的服務,降低運送成本等。因此,完善第三方物流系統建設是規范我國電子商務經營環境的重要舉措,也是促進電子商務穩步發展、降低電子商務環境下審計風險的基本保障。
2、完善電子商務相關法規。完善電子商務相關法規可以從法律層面規范電子商務的經營市場,從保護消費者權益、保護個人隱私、保障網絡交易支付安全等角度進行規范。同時,對于電子商務的經營管理上,政府應以市場自我調節為主,不應過度干預。在電子商務審計方面,我國注冊會計師協會雖然已經出臺了1633號審計準則,該準則從電子商務對財務報表審計的影響方面進行了大致規定,但在審計具體程序中的相關數據提取細節、判定標準等方面并未作詳細的規定。因此,有必要從適應現代電子商務運營要求方面,完善電子商務環境下的審計準則,減少不確定性。
(二)防范電子商務審計對象的風險
1、完善電子商務企業內部控制制度。內部控制作為規范企業經營的重要制度,能讓電子商務企業強化風險意識,重視對企業數據完整性、準確性的控制,提高企業所有層面對于電子商務內部控制的重視程度,強化從業人員的風險意識。因此,加強電子商務企業的內部控制教育和培訓非常重要。首先,企業要從實際出發,制定適合本企業的內部控制制度;其次,在內部控制的實踐中,要加強對政策的執行掌控,可以通過設立專門的內部控制監督部門,制定各部門具體的考核計劃等進行電子商務業務的全過程控制;最后,在執行結果的考量上,可以采取適當的懲罰和激勵機制,提高全員對于自覺踐行內部控制的積極性。此外,對于電子商務企業數據和程序的安全性控制上,相關行政管理部門可以通過制定完善的準則予以規范,從法律法規角度進行強制執行。
2、提高電子商務企業從業人員專業能力。面對競爭日益激烈的電子商務貿易,必須從加強本企業從業人員的專業能力入手,提高整個企業的綜合競爭力。首先,企業要重視對具備管理能力和電子商務從業能力人才的重視和培養,利用提升薪資福利、加強企業凝聚力等方面留住人才;其次,在企業的日常運營中,要注重對員工的培訓,包括最新的經濟政策和市場消費動態,通過不斷對員工充電來提升專業能力;最后,在企業中更要實行優勝劣汰的競爭機制,提升員工自我學習和競爭的能力。
3、加強對電子商務環境下新內容的審計。針對目前電子商務審計中存在的電子簽名、網絡支付審核等問題,從事審計工作的注冊會計師在日常應加強對這些方面知識的關注,提高自我對電子商務運行的認知和對電子商務取數的能力。同時,提升電子商務環境下的網絡安全控制問題也是一個待解決內容,企業可以通過購買防護能力更強的防火墻技術和加密技術,提高本企業的數據安全,從而降低企業整體的經營風險和審計風險。
(三)防范電子商務審計人員的風險
二、審計環境風險存在的問題
(一)經濟環境多變且復雜
經濟環境對于每一種行業的生存和發展都有著重要的影響,而其中的電商行業所受到的影響更大。這是因為電子商務不再遵循傳統的產購銷渠道,而是以高新網絡技術為基礎,將經營活動的多個環節都網絡化,使得電商行業的市場得以擴大,甚至于全球化。市場的擴張,電商行業的企業在進行決策時所必須考慮的因素也就增加,所受到經濟環境的影響也就變大,使得電商企業經營失敗的可能性加大,這也將會導致企業的經營風險加大,從而導致審計風險。
(二)法律環境不完善
審計是一種社會經濟活動,受到法律的約束,同時法律也對審計人員的權益進行保障,這便是法律環境。對比于其他產業,電子商務行業的注冊會計師在進行審計工作時還要遵循電子商務法,是以,在電子商務審計中,審計人員要面臨更大的訴訟風險。這便是法律環境對于審計風險的誘發因素。這常常會使得注冊會計師為避免訴訟風險,而發表不恰當的審計意見,出具虛假的審計報告。審計風險便由此產生。
三、審計對象風險存在的問題
被審計對象是實施審計工作的客體,是注冊會計師在審計過程中所收集的有關于被審計單位的資料與信息,可以被概括為被審計單位的經濟活動。而承載被審計單位經濟活動的資料與信息如果存在誤差便會導致重大錯報風險,即審計對象風險。
(一)內部控制很難發揮作用
內控風險的定義是指當某一認定存在錯報,而被審計單位的內部控制沒能及時的防止、發現及糾正的可能性,無論該錯報單獨考慮或是連同其它錯報共同構成重大錯報。主要包括內部控制是否設計合理,內部環境的類別,監督機構的相關人員是否確實的履行了其職責,被審計單位的管理層和治理層的命令是否得到了執行等。
電子商務的特點使得企業的經營業務的交易程序愈加簡單,為保證交易的順利完成導致內部控制不得不承??更多的責任,相對的,對于其的依賴也加大了,因此不可避免的加大了內控風險。
電子商務環境下的工作人員串通舞弊,內部控制可能很難發揮作用。因為電子商務審計工作中所能取得的審計證據多為電子單據或電腦記錄等,如果被審計單位的工作人員直接在計算機上進行篡改的操作,內部控制就無法起到作用,所以使得內控風險增加。
(二)會計信息獲取困難
在電子商務審計中,審計人員需審計的數據不僅包括傳統模式下手工錄入的原始憑證,賬簿,還有現代技術下產生的電子數據。而數據風險便因為審計內容的多元化、復雜化而進一步加大。
電子商務的審計工作導致原有審計線索的改變乃至消失,注冊會計師在收集審計證據時,往往無法取得直接的資料,只得在線查詢或咨詢,較之傳統的紙質資料,網上的電子信息的可信度較低,導致了會計數據的獲取愈加困難。
四、審計主體風險存在的問題
審計主體是接受審計業務的注冊會計師及其所在的注冊會計師事務所。審計人員在進行審計工作時,沒有完全遵循職業準則便會導致檢查風險,即審計主體風險的產生。是以,審計主體風險僅受進行審計工作的人員的控制。審計主體風險主要包括審計技術和方法落后所導致的風險和審計人員操作風險。
(一)審計技術和方法沒有得到及時的應用
審計技術和方法是審計人員為達到審計目標,得出審計結論所運用的全部技術和手段。隨著電子商務審計的興起,審計軟件也隨之更新換代,企業對于審計軟件有了更多的選擇。但這也使得企業選擇不恰當審計軟件的可能性加大,如果選擇了不恰當的審計軟件,便會降低審計質量,增加審計風險。并且現在的審計軟件還未能完全達到電子商務審計的要求,當前的審計技術和方法還需要進一步的發展。
(二)審計人員綜合素質有待提高
隨著電子商務審計的廣泛運用,審計軟件的不斷的更新升級,對于操作人員的對于審計系統的軟硬件配置及操作的要求日益提高,要求操作人員有扎實的相關的專業知識和解決現實問題的能力,即要求審計人員有很高的職業綜合素質。但由于當前時代對于審計人員的培訓還并不完善,沒有系統的培養方式和途徑,這也就無法從根本上規避操作風險,且在另一方面增加了操作風險。
1.電子商務項目與一般項目的比較
電子商務項目是指在規定的期限內,為實現電子商務而規劃的投資、機構以及其它各方面的綜合體。它既有一般項目的普遍性,又有更少的預算、更少的人、更短的時間、更復雜的系統等特殊性。
2.風險管理與一般管理的區別
美國經濟學家奈特認為,風險即“不可測定的不確定性”,是指經濟主體的信息不充分,難以對未來可能出現的各種情況給定一個概率值。而風險管理即以最小的代價降低風險管理的一系列程序。其實企業的一般管理活動在一定意義上也可以看作是風險管理,只不過是范圍更大的風險管理。一般的管理涉及的是組織面臨的所有風險,包括投機風險和純粹風險。在企業經營中,涉及產品的生產和銷售等一系列決策都在一種不確定的情況下,企業管理的人員主要工作是使企業經營效果盡可能好,消除或降低經營效果的不確定性。而風險管理者的責任領域則被限制在純粹的風險方面,他將保護企業的財產和收入免受純粹風險造成的損失。確切地說,風險管理者承擔了屬于一般管理者管理責任中的純粹風險管理部分。[1]
3.電子商務項目風險的特征
電子商務項目中出現的風險雖然多為一般項目所固有,但其無論在表現形式、強烈程度或影響范圍上都與傳統項目中的風險有所不同,它涉及人、過程及技術三種因素,包括保護、檢測、反應及恢復四個環節。(1)全球性。電子商務風險既可能來自國內,也可能來自世界任何一個地方,其根源在于電子商務的虛擬性。(2)傳染性。電子商務風險可以在全球范圍內迅速傳播,具有很強的傳染性和廣泛的影響力,使人們很難進行有效防范。(3)成長性。在一定條件下電子商務風險會迅速成長和壯大。(4)隱蔽性。這種隱蔽性來自信息的非對稱性。如果缺少相關的法律進行約束,投機和欺詐就會泛濫,電子商務就會趨向崩潰。(5)復雜性。在電子商務中,風險不是單一的,而是綜合的,從而使得風險防范的難度大大增加。電子商務項目的風險管理是一個在信息系統生命周期各主要階段實施的連續性過程,如表2所示。
4.電子商務項目風險的現狀分析
4.1癥狀分析。從電子商務項目風險帶來的危害來看,主要有這幾種風險:(1)數據的欺詐或竊取。在電子商務交易中,所有的網絡公司和個人都很可能成為欺詐行為的受害者。所以,如何保密交易的合作伙伴和雇主雇員之間信息是至關重要的。(2)對他人的誹謗、歧視或騷擾。在聊天室、BBS或電子郵件中都可能包含誹謗、歧視或騷擾之類的信息,所以,凈化這些不良信息方可降低風險發生的概率。(3)營業系統的中斷或損壞。這是后果最嚴重的,短路、電子故障、軟件故障、病毒和惡作劇都能損壞電子商務的交易系統。(4)信任危機。交易中某發信者否認曾經發出過信息,例如,買家不承認下了訂單,賣家不承認原先的交易等。所以,明確規范一個安全系統、相關信息安全條款和系統備份,才能保證網絡交易系統的正常運行。這些都是因為實施電子商務而帶來的新風險。
4.2危害分析。我們這里采用風險得失C、風險概率P和風險值RE來量化電子商務項目風險的危害。
風險得失C:1―損失很小,3―有一點損失,6―損失較大,10―巨大損失。
風險概率P:1―可能性較小,3―有可能,6―很有可能,10―肯定發生。
風險值RE=∑(單一風險值×風險概率)/風險個數。
另外風險值為17以上的為高風險,在7-17之間的為中等風險,7以下的為低風險。[2]
通過這種計算方法,我們不難得出,電子商務項目在具體實施階段風險值最大,收尾階段風險隨之降低。當然也還可以采取風險影響評估矩陣、風險綜合評價法、模擬、決策樹分析和敏感性分析等方法對風險的危害進行量化。
4.3原因分析。造成電子商務項目風險有主觀的原因,也有客觀的原因。(1)風險意識淡薄。特別是傳統行業實施電子商務項目時,企業的領導和員工在風險意識上尤為缺乏。由此造成開發方和使用方的信息溝通不通暢、項目開發方資金不能及時回收、使用方不滿意項目質量等問題經常發生。(2)商業環境的不完善。包括文化環境、科技環境、法律環境等。相關立法滯后、國家和地區之間的管轄權問題,還有消費者的惡意透支、拖欠貨款、偽造信用卡詐騙、物流配送系統失誤等問題凸顯。電子商務是一種全球范圍內的經濟活動,所以必須有好的商業環境,才能發揮它的潛力。(3)技術因素。項目開發人員由于缺乏經驗、計劃不周等原因使交易系統在某些功能上有所缺失,如有效的身份認證、信息的機密性保護和完整性約束。(4)網絡犯罪。這可能來自企業內部,也可能來自企業外部。內部人員熟悉業務流程,往往給企業造成的危害更大。企業外部的黑客也越來越多,有的是為了展示自己的才能,也有的是非法的經濟目的。(5)自然災害等風險。火災等人為不可抗拒的自然災害風險也是造成項目風險的原因之一。
5.電子商務風險管理的幾點對策
電子商務風險管理就是跟蹤、評估、監測和管理商務整合過程中的新商業風險,盡力避免新商業風險給企業造成的經濟損失、商業干擾及商業信譽喪失等,確保電子商務項目的順利進行。鑒于以上對企業電子商務項目風險的分析,本文提出以下幾點規避電子商務風險的對策:
5.1自上而下的風險意識。企業的決策應該高度重視電子商務項目的開展,項目實施的雙方及時就出現的問題進行溝通解決,形成一個自上而下的全員參與的風險意識氛圍。
5.2優化商業環境。搞好企業網絡文化建設,使企業能通過電子商務實現信息共享,使員工具有主動學習的自助服務習慣[3];加強法律監控,政府應及時制定法律法規,嚴懲那些惡意獲取他人機密信息和違反商業道德的犯罪行為。
5.3重視密碼技術、身份驗證技術、訪問控制技術、防火墻技術、安全內核技術、網絡反病毒技術、信息泄露防治技術、網絡安全漏洞掃描技術和入侵檢測技術9大核心技術在項目中的應用,逐步形成“攻、防、測、控、管、評”的一體化。[4]
5.4采取加密措施,防范犯罪。對企業秘密信息分等級管理,定崗定責,確認項目開發商的成功經驗。另外交易中的密鑰應定期更換,對系統上的員工進行制度化的檢查,還要保管好相關文檔,及時備份。
5.5制定電子商務安全策略。目的在于保護計算機系統和服務器等各種硬件實體和通信鏈路免受自然災害的破壞。
6.結語
風險管理沒有鐵定的規則,電子商務項目的風險無論如何規避,總還是存在的。本文希望通過以上分析,為我國電子商務行業的健康良性發展提供些許幫助。
參考文獻:
[1]顧孟迪,雷鵬.風險管理[M].北京:清華大學出版社,2005:41.
一、引言
外貿電子商務風險是指由于外貿電子商務活動中存在的不確定性而導致外貿電子商務主體遭受損失的可能性。
外貿電子商務是一種風險型商業活動,其風險既有來自外貿企業內部的,也有來自電子商務交易對象間的和外貿電子商務交易平臺--Internet的。管理和降低其風險的第一步就是要意識到這些風險的存在;然后,在全面識別外貿企業電子商務風險的基礎上,研究降低和規避風險的方法,構建風險防范體系。
二、我國外貿電子商務主要風險
1、網絡技術風險
安全是外貿企業應用電子商務時最擔心的問題,也是影響外貿企業有效開展電子商務的重要因素之一。多年來,我國網民對安全的擔憂一直居高不下。據2006年7月中國互聯網絡信息中心的第18次中國互聯網絡發展狀況統計報告顯示,目前,有70.1%的網民用于上網的電腦在最近半年內受過病毒或黑客的攻擊,61.5%的網民不進行網上交易的原因是交易安全得不到保障。外貿電子商務活動中存在的網絡與計算機技術問題,即技術風險,正是造成外貿電子商務安全的主要原因之一。其主要包括:網絡產品風險、網絡基礎風險、數據存取風險與加密技術風險。
2、信用風險
從電子商務登陸中國以來,誠信一直都是影響電子商務快速發展的瓶頸之一,信任的缺失已成為當今電子商務發展的主要障礙,我國網民對廠商信用的擔憂近幾年來呈現不斷上升的趨勢(如圖一)。信用風險亦是外貿企業電子商務交易中的主要風險之一。由于國內外客戶與外貿電子商務企業通過計算機網絡和相關信息平臺進行交流,雙方減少或失去了面對面直接溝通的機會,這種虛擬性特征,使電子商務比之傳統貿易存在更加嚴重的信用風險。其主要包括:由電子商務貿易伙伴引起的信用風險、由外貿電子商務企業引起的信用風險、由電子商務的技術特性引起的信用風險等。
3、法律、法規與制度風險
外貿電子商務法律和制度方面的風險主要起因于相關電子商務立法的滯后和全球環境下各國法律和制度的差異。立法的滯后嚴重制約我國外貿電子商務的發展,在法律不健全的條件下,企業只能做到盡量不違背現行法律,但企業會擔心今后遇到法律沖突[4]。而外貿企業即使能夠完全做到符合本國法律和制度,也難免會與他國法律發生沖突,各國電子商務法律和制度的差異使外貿企業不可避免地陷于風險之中。我國外貿電子商務當前最主要的政策環境障礙是對電子合約的保護不足,電子商務立法不成熟,相關法律不健全,電子合同執行與監督難,在行政許可法框架下政府對電子商務推進的職能和作為模糊不到位。另外,國際電子商務標準、稅收和法律的復雜性方面,不同國家的語言、文化、習慣做法不同,技術差異,概念不統一,本來就有不同的標準、稅收和法律,而新的電子貿易方式又給現行制度和規則帶來了許多難以克服的問題。
4、企業電子商務管理風險
外貿企業電子商務管理風險主要體現在以下三個方面:首先,流程再造風險。電子商務是一種基于網絡的新型商務模式,企業必須重新設計和建立企業內部及組織間的商務流程。然而企業內部流程與外部合作流程的改進并非一蹴而就,對于外貿企業來說,整個貿易過程不但涉及企業內部各部門、各貿易伙伴、銀行、運輸系統,還涉及海關、保險、商檢、稅務等幾十個部門,在這繁瑣而復雜的系統中,不但外貿企業內部電子商務流程再造至關重要,而且各貿易伙伴及相關部門的業務流程再造也直接影響外貿企業電子商務的成功實施。其次,交易流程管理風險。在電子商務過程中,貿易雙方通過網絡洽談、傳輸電子文件、簽訂電子合同,由于這些環節中的電子商務管理對我國絕大多數外貿企業來說直到現在都是一個新課題,因此使外貿電子商務流程存在大量的新而復雜的管理風險。最后,人員管理風險。人員管理是企業電子商務安全管理的薄弱環節。近年來,我國計算機犯罪呈現內部犯罪的趨勢,其主要原因是員工職業道德修養不高、安全教育和管理松懈、制度不健全。
5、信息風險
外貿電子商務中的信息風險主要來自以下兩個方面:首先,信息不對稱。參與電子商務的企業往往從自身利益出發,將相關信息當作商業機密加以封閉,不愿與其他交易各方共享,面對國際互連網,由于網絡信息海量,搜索不利,部分國家進行信息封鎖,使電子商務各方難以獲得全面的信息。其次,信息被盜用、濫用。因特網是一個開放的空間,當用戶進入網絡時,由于技術上的不完善,容易造成信息安全問題。
6、網上支付風險
網上支付是外貿電子商務的重要環節,它在給人們帶來方便的同時,也帶來了一定的“金融風險”,例如網上銀行的存款有被盜取的可能,就是一種最主要的金融風險形式。外貿電子支付,不但涉及國內跨行網上支付,更存在跨國網上支付問題,這種特殊性,使外貿電子支付比其它行業更為復雜和困難。由于電子支付、網上銀行都是網絡時代的新生事物,中國人民銀行對于如何監管這類業務缺乏經驗,尤其對其所涉及的技術問題缺乏了解,無法制定規則。例如遍布全球的中國外貿企業如何在網上申請外匯、進行外匯核銷,多筆外貿業務如何通過網絡簡化手續等等,都缺乏統一的制度和管理。加之外貿企業電子商務90%以上都是B2B型大額支付,使其網上支付和匯兌風險更為突出,成為制約外貿電子商務發展的一個重要障礙。
三、外貿電子商務風險規避
1、加快技術研發與應用,應對網絡威脅
第一,加強與世界各國的合作,努力提高商品代碼標準化程度,尤其要做好EDI的標準化工作。目前國際標準化組織(ISO)正在推出系列EDI國際標準。一方面,我國要積極參與EDI標準的研討和制定,另一方面應積極參照國際標準,在此基礎上發展和推行我國自己的國家標準。
第二,推廣電子商務安全技術,建立并不斷完善安全防范系統。首先,設立防火墻、加強訪問控制。防火墻是將專用網絡和公共網絡隔離開來的網絡節點,由硬件和軟件組成,其主要功能是通過建立網絡通信的過濾機制,控制和鑒別出入站點的各種訪問,進而有效地提高交易的安全性。同時防火墻技術的使用可以防范電子商務企業的網絡遭到病毒的攻擊,使計算機處于良好的工作狀態,從而保證網上交易的正常進行。其次,采用數據加密技術,保證網絡中數據傳輸的安全。網上交易涉及外貿企業的市場、生產、財務、供應等多方面的機密,必須實行嚴格的保密制度。企業可合理劃分信息的安全級別,確定安全防范重點,制定有效的保障措施。保密工作的另一個重要的問題是對密鑰的管理。大量的交易必然使用大量的密鑰,密鑰管理貫穿于密鑰的產生、傳遞和銷毀的全過程。密鑰需定期更換,否則可能使“黑客”通過積累密文增加破譯機會。
第三,強化外貿企業信息化安全管理。外貿企業應加強從員工、部門、企業到Internet平臺以及國際出口的多級信息安全控制,強化企業信息中心的地位和作用,如圖二所示。
2、加快相關法律與政策環境建設,構建良好的外貿電子商務制度環境
我國外貿電子商務相關法律、法規、政策環境建設,應參考國際《電子商務示范法》框架。我國應根據國情,制定一部用以全面規范我國電子商務活動的示范法律,以解決電子商務發展所面臨的法律法規問題。我國電子商務立法,應包括電子合同的效力問題、電子支付及金融管理、稅收與保險、網絡管理與信息安全保護、電子證據與電子簽名的法律認定、政府的強制性措施及審查機制、市場準入規則、知識產權保護、消費者合法權益的保護、司法的國際管轄和國際協助等等。同時應制訂相應的法律,用法律的手段嚴懲那些違反商業道德、惡意獲取他人機密信息等犯罪行為。
針對目前各國對電子商務認識不一致,而相關法律、法規又不完善的現實,外貿企業應根據自身情況逐步建立和完善一個法律風險防范的控制系統,以回避風險。如及時搜集國內和貿易伙伴所在國新出臺的法律、法規,或通過相關的咨詢部門及法律部門以獲取相關專業信息,為企業正常運作尋找法律依據,避免因法律不清而使企業陷入不必要的糾紛或遭受不必要的損失。
3、建立約束性電子商務信用機制
信用問題是事關電子商務發展的重大問題,涉及廠家、商家、網站、銀行、消費者等多方面利益,必須建立一個健全的社會信用體系。我國外貿行業應在社會各界的指導和監督下,搭建一個共謀誠信、共同發展的電子商務平臺,開展形式多樣的電子商務服務,加強電子商務的可信度、安全性和穩定性,保護交易各方的合法權益。
第一,設立強制性信用認證機構,并建立完善的信用評價體系。貿易各方在網上交易時,可利用第三方數字認證機構鑒別對方是否可信,通過該認證機構頒發數字證書來確認各方的身份,保證網上交易的安全性、高效性和專業性。但目前我國第三方數字認證機構眾多,未形成統一有效的信用評價體系,缺乏權威性,難以得到國外客戶的信任。因此,建議國家設定一個唯一的、權威的、專門的、強制性的“外貿行業第三方數字認證機構”,使數字證書持有者在國際電子虛擬市場中真正可信。
第二,制定電子商務信用分級管理制度,建立基于數字平臺的“國家級電子商務誠信平臺”和“城市電子商務誠信平臺”,作為政府部門職能的延伸,在全球范圍內披露外貿企業誠信問題。目前,由中國電子商務協會主辦的中國電子商務誠信聯盟(),已起到一定的誠信披露與約束作用,但其基本上屬于民間性質,缺乏強制性和約束性,因此我們建議應建立由政府主導的電子商務誠信平臺,以提升管理級別。同時,還應注重培養公民的誠信意識,完善社會信用體系,加強公民的道德教育,使全社會建立起一種自己守信同時也相信別人守信的健康心態。
4、慎選第三方外貿電子商務平臺,分解電子商務風險
目前第三方電子商務平臺已得到較好的發展,外貿企業應重視第三方電子商務平臺的應用,慎重選擇信用良好、穩定可靠的平臺以分解電子商務風險。
在國內,外貿企業可根據自身實際,考慮選擇“中國國際貿易企業應用電子商務平臺”作為第三方電子商務平臺開展外貿業務。2006年4月16日,中國商務部中國國際電子商務中心正式啟動該平臺。同日,由商務部中國國際電子商務中心和華美泛亞科技聯手推出的大型國際貿易電子商務執行平臺“貿自通”正式亮相。該平臺不但信用級別較高,而且有利于簡化外貿業務操作流程、提高中外貿易伙伴的溝通效率、降低外貿企業的運營成本,實現外貿企業內部無紙化操作和對外電子數據的高效交換。這種基于互聯網 模式的數字平臺,還可對國際貿易流程進行快速分析,為外貿企業提供規范的國際貿易操作流程,并將逐步實現與國內政務平臺、其他商務平臺、政府監管系統、服務企業系統的對接,對我國外貿電子商務發展起到重要的輔助作用。
5、倡導構建完善與協同的電子商務平臺,提高外貿企業信息化水平
完善的電子商務平臺應集信息流、資金流、物流為一體,實現企業內部、外部信息高效、安全交換。如圖三所示,在企業內部,通過數據庫服務器作為數據中心,為電子商務提供信息支撐;通過WWW服務器,建立外貿企業電子商務門戶,為網上客戶提供信息服務;通過安全服務器,實現相關認證與信息加密、解密;通過Internet與銀行等外部系統進行溝通。從協同角度看,一個完善的外貿電子商務平臺,應集成CRM、ERP、商務平臺等系統,使全球的供應商、采購商、客戶、其它合作伙伴以及員工、管理者、決策者在任何地點、任何時間都能夠以各種方式,通過接口訪問相關數據,實現高速互聯、高效決策、管理與營銷,為企業提供一個涵蓋生產、技術、財務、人力、庫存、銷售、客戶、服務等各種資源的整合的綜合性現代化管理系統,如圖四所示。
6、強化外貿企業電子商務管理,加強內部控制,建立安全電子商務
第一,建立CSO制度,提高安全管理級別。外貿企業電子商務安全管理,應從企業制度上體現。外貿企業的安全風險比其它行業更大,CSO(首席安全官,Chief Security Officer)應是企業不可或缺的重要職位,他不僅要處理信息技術,而且要承擔全部的安全職責,需要與執行團隊進行有效的合作,來共同實現企業的商業目標。CSO不但需要具備熟練的交流、談判以及領導技能,還應掌握信息技術和安全硬件等方面的技術知識。
第二,強化企業相關人員培訓,培養風險防范意識;實施工作責任制度,對違反網上交易安全規定的員工進行及時的處理;還要加強合作伙伴的管理。企業在網上對消費者有種種承諾,如:十天內交貨等,為實現承諾,企業的供應鏈必須完善。不但要加強同供應商的及時聯系,以保持貨源的充足;同時,還應借助信息系統對貨運公司加強管理,以便使顧客購買的商品能夠在規定的時間內切實送到顧客的手中,提高顧客的滿意度,借以維持顧客的忠誠度。
第三,加強外貿企業電子商務內部控制。在電子商務環境下,電子商務的安全關系企業的生死存亡,因此,“保證電子商務的安全性”應位于外貿企業電子商務內部控制目標的首位,具體表現為滿足下列要求:第一,對電子商務的質量及安全要求,包括信息的機密性、完整性、可用性等;第二,對電子商務的經營性要求,包括系統運行的效果和效率、信息的可靠性和法令的遵循。為保證外貿電子商務的有效開展,內部控制應貫穿于從規劃和組織階段、建設階段、交付和運營階段,到監督階段等電子商務系統建設的全過程。
最后,還應加快物流配送體系建設,完善國際電子商務支付手段。外貿電子商務物流,不但涉及國內物流,還涉及國外物流。一是要逐步開放市場,歡迎國內外的物流公司參與競爭,通過競爭,使我國的物流配送體系日趨完善;二是要重視物流人才培養,除了學校的人才培養外,還要加快物流師職業資格認證的步伐;三是要在物流管理技術化、信息化、柔性化和一體化等方面加強物流管理的創新。電子商務交易需要信息流、物流和資金流的同時暢通,因此必須完善電子支付系統,加強網上銀行運營力度,提高銀行電子支付水平,建立一個安全、嚴密、可靠的社會范圍的電子支付系統,盡快成立統一的網上結算中心,并逐步開展與國外客戶的網上結算服務。
【參考文獻】
[1] David Smith. ”E-business strategy risk management”.Computer Law &Security Report.Vol.16 No.6,pp.394-396,2000
[2] 高功步、焦春風:中國中小企業電子商務國際化發展戰略.世界經濟與政治論壇,2005,(2)
[3] 焦春風:新形勢下我國B2C電子商務發展中的若干問題分析.當代經濟,2005,(12)
一、誠信呈現危機
跟著科技的發展,電子商務給人類帶來了很大的便利,然而同時也給騙子有了行騙的空隙。在現實糊口中,良多網友被騙子騙過,騙子使出各種各樣的伎倆進行行騙,使顧客1不謹慎就上當受騙。
二、難以節制管理
電子商務在運作的進程中,與傳統的商業運作模式仍是有所區分的,相比傳統模式,電子商務更有效力,也更具先進性。電子商務因為不是沿著傳統的商業運作模式進行運作,而有些企業對于其規則又不了解,因而,對于電子商務沒法進行很好的掌控。對于于有些企業的經營管理者來講,對于電子商務的定單交易乃至不夠了解,電子商務需要進行保密的相干問題也不了解,因而,使患上企業管理節制風險愈來愈大。
三、資金安全問題
電子商務要進行順利運作,完備的安全認證措施起到了很大的作用,缺少安全認證措施,可能使電子商務的運行呈現風險。遺憾的是,對于于咱們來講,網上安全認證的系統還處于后進的局面,也缺少完美的軌制以及相干措施,使患上企業的電子商務沒法跟上企業的發展步伐,乃至阻礙企業的向前發展。
2、企業電子商務風險管理
一、對于風險進行評估、辨認
對于于企業來講,大部份企業都有自己的網站,有的網站范圍宏大,而有的網站范圍較小。不管是大的范圍仍是小的范圍,當網站在進行網絡營銷時,它的功能實際上是差不多的,比如對于本身品牌形象的介紹、對于產品或者者企業服務的展現,相干信息,對于顧客進行相干服務,和進行資源合作、網上銷售等等。
二、對于目標進行設定
所謂的風險管理,實際上也是對于風險本錢進行相應降低,使風險以及收益之間能夠呈現平衡等。除了此以外,風險管理的目標要以及組織的1般的目標能夠互相調和。
三、先施行方案,然后對于系統進行監督
施行方案,屬于整個程序的最后1個步驟,而方案的施行,并不是代表風險任務已經經完成。因而,在對于方案進行施行的進程中,首先要對于項目進行延續的監督,以進1步對于正確方案的施行,同時,在施行的進程中,因為會呈現新的問題,因而,要對于方案進行相應的調劑。
3、企業電子商務風險節制相應的措施
一、采取技術防范
企業要進行電子商務的運作,首先觸及到信息、資金、貨物、商業秘密等方方面面的安全問題,哪怕某1方面呈現問題,均可以使企業遭遇損失。而要防止這些安全問題的產生,首先技術上要過硬,因而,作為企業首先要站在用戶的立場進行思考問題,采取專業的網站結構進行設計相干的電子商務,采取高質量的內容來取得用戶的市場,并且,可以通過搜尋引擎,使高質量的網站能夠患上到適量的回報。
二、加快硬件設施的建設
網絡通訊裝備、計算機系統、服務器、通訊路線等1些相干裝備,當在電磁泄漏或者者靜電的情況下,會使數據造成損失,使秘要的信息遭遇泄漏。
三、進行安全審計監督
關于電子商務系統的風險與防范問題,已經有了很多話題,但絕大多數是從網絡和交易兩方面,且總是從技術角度進行討論,然而,電子商務產生風險的原因是多方面的,不僅僅只有網絡和交易兩方面,其防范也不僅只是技術手段,下面就此展開討論。
一、物理環境的風險及防范
電子商務系統的物理環境風險是指系統的外部環境所造成的風險,包括意外事故和自然災害兩方面:
意外事故如設備被盜,突然的斷電、溫度、濕度、電磁場的變化等、操作人員因玩笑、打鬧的誤動作而導致的設備損毀的風險;自然災害如水災、火災、地震等不可抗拒力造成的風險。
物理環境所造成的風險對電子商務系統而言輕則直接造成業務交易的中斷,給企業帶來不可估量的損失,重則給電子商務系統帶來毀滅性的打擊。
對意外事故產生的風險應是可避免的,如安裝機房環境的報警系統、采用自動切換的備份電源,以避免外界突然斷電造成的交易中斷,使用空調保證機房的溫度和濕度,對機房進行電磁屏蔽,從制度上規范系統操作人員的行為,堅決制止其在操作空間的玩笑和打鬧行為。
對自然災害造成的風險雖無法避免,但利用遠程(異地)備份數據和恢復機制,則可將損失降至最低。因此,為抵御電子商務系統的滅頂之災,投入一些成本,建立遠程(異地)備份數據和恢復機制,則是非常必要的。
二、系統硬件的風險及防范
系統硬件處于電子商務系統的底層,其風險主要來自構成系統設備存在的安全缺陷和硬件的質量。一般質量問題容易引起人們的重視,質量不好的設備誰也不會買,但硬件自身存在的安全缺陷往往容易被忽視,這類風險的隱蔽較大,但產生的風險卻是最大的。上世紀末,我國就曾對某型號的CPU因存在安全隱患,而不得進入政府辦公系統,做出過明確的規定。然而人們在購買系統硬件設備時,往往會花很多精力做諸如經濟、技術上的論證,反復地考慮設備的性能價格比,卻較少甚至不做有關安全論證。根本意識不到系統硬件缺陷帶來的風險,這是很不可取的。
到目前為止,對我們而言,系統硬件最大的缺陷是其制造的核心技術,眾所周知,構成我國信息基礎設施的網絡、硬件等產品幾乎都是建立在以美國為首的少數幾個發達國家的核心信息技術之上。由此而產生的風險是不言而喻的。
系統硬件風險的防范應從宏觀和微觀兩方面進行:在宏觀上,國家組織力量在關鍵的硬件制造技術上攻關,利用好國內外兩個資源,需要以我為主,以創新的思想,超越固有的約束,研制具有中國特色的關鍵芯片,從根本上杜絕系統硬件產生的風險;在微觀上,要建立系統硬件的風險意識,盡管到目前為止,系統硬件的安全不盡人意,但至少要知道風險的存在,同時應該清楚系統中哪些是存在風險的關鍵設備,一旦風險產生,應有規避風險的措施和辦法,如監控系統的出入口上的數據流量,一旦出現數據流量異常,即刻切斷系統的出入口或關閉設備,這總是做得到的。
三、系統軟件的風險及防范
系統軟件主要是指計算機操作系統軟件和數據庫管理系統軟件,其風險主要來自這兩個軟件的安全漏洞。
操作系統軟件處于硬件和上層應用的中間環節,可以提供對網絡系統、數據庫、應用軟件、用戶的認證管理等,提供全方位的保護。沒有操作系統的保護,就不可能有網絡系統的安全,也不可能有應用軟件信息處理的安全性。由于操作系統是唯一緊靠硬件的基本軟件,其安全職能是其他軟件安全職能的根基, 缺乏這個安全的根基,構筑在其上的應用系統以及安全系統,如PKI、加密解密技術的安全性是得不到根本保障,因此,操作系統也與系統硬件一樣是電子商務系統的安全基礎之一。
數據庫作為信息的聚集體,是電子商務系統的核心部件,從中可以尋找出一個企業的組織架構、管理理念、客戶資源、人力資源組成、企業產能、銷售渠道、合作伙伴、競爭對手等方方面面的信息,風險防范至關重要。
由于數據庫的安全在很大程度上依賴于數據庫管理系統,而數據庫管理系統在操作系統下都是以文件形式進行管理的,因此入侵者可以直接利用操作系統的漏洞竊取數據庫文件,或者直接利用操作系統工具來非法偽造、篡改數據庫文件內容。這種隱患一般數據庫用戶是難以察覺的。
長期以來,我們在構建電子商務系統時,盡管在規劃階段也會考慮安全問題,但基本上不考慮操作系統和數據庫管理系統的安全,對其只進行性能上的選擇,這使得電子商務的信息安全體系在基礎上就先天不足,請注意,我國廣泛應用的主流操作系統和數據庫管理系統都是從國外引進直接使用的產品。這些系統安全性是很差的。眾所周知Windows中存在著的漏洞和陷門,就不斷引起世界性的“沖擊波”和“震蕩波”,存在極大風險。
對系統軟件產生的風險,可從以下方面進行防范:
第一仍需國家組織力量攻關,從操作系統的內核編程技術入手,以密碼技術為核心,構建具有中國特色的,擁有完全自主知識產權的安全操作系統,從操作系統的根本上解決安全問題。
第二在安全操作系統的研制尚未完成時,可對現有的操作系統進行安全加固,只要在它的外部加入一些加固模塊,就能夠起到很好的安全防范作用,例如采用設計安全隔離層?――中間件的方式,增強其安全性,基于應用對象,實施安全封裝、主動服務。
第三對數據庫文件進行加密處理,是數據風險防范的有效方法,可以從操作系統層面、數據庫管理系統內核層面和數據庫管理系統外層這三個層面分別對數據庫的數據加密,這使得即使數據不幸泄露或者丟失,也難以被人破譯和閱讀。
四、電子商務軟件的風險與防范
電子商務軟件的風險來自系統自身程序的缺陷。這種缺陷主要來自兩方面:一是在設計程序的時候,考慮的都是程序的功能和性能,基本沒有考慮安全問題;二是不影響程序功能和性能的編程錯誤,這種錯誤有以下幾種形式:程序員忘記檢查傳送到程序的入口參數;程序員忘記檢查邊界條件,特別是處理字符串的內存緩沖時;程序員忘記最小特權的基本原則。整個程序都是在特權模式下運行,而不是只有有限的指令子集在特權模式下運行,其他的部分只有縮小的許可;程序員從這個特權程序使用范圍內建立一個資源,如一個文件和目錄。不是顯式地設置訪問控制(最少許可),程序員認為這個缺省的許可是正確的。
這些錯誤被使用到攻擊系統的行為中。不正確地輸入參數被用來騙特權程序做一些它本來不應該做的事情。緩沖溢出攻擊就是通過給特權程序輸入一個過長的字符串來實現的。程序不檢查輸入字符串長度。假的輸入字符串常常是可執行的命令,特權程序可以執行指令。程序碎塊是特別用來增加黑客的特權的或是作為攻擊的原因寫的。例如,緩沖溢出攻擊可以向系統中增加一個用戶并賦予這個用戶特權。由于設計時就沒考慮這些風險,程序測試就自然無此項目,而訪問控制系統中沒有什么可以檢測到這些問題。只有通過監視系統并尋找違反安全策略的行為,才能發現這些問題的錯誤。
電子商務系統軟件風險的防范,應在電子商務系統規劃階段就予以充分考慮,對軟件如何防止信息被故意的或偶然的非法授權泄漏、更改、破壞或使信息被非法系統辨識、控制的措施、過程、運行的風險管理、審計跟蹤、備份與恢復、應急等方面都應有具體的措施和內容。只有這樣,才能產生相關的程序測試用例,以驗證程序的安全性。
由于大多數軟件測試假定用戶將以某種“隨機”或“有用”的方式工作,檢查程序在“一般”情況下或者在某些最大值下如何工作。與此相反,安全性缺陷通常只出現在使用極其古怪的值的情況時,傳統的測試完全不會檢查這樣的值。因此,進行安全測試時,必須突破傳統測試的框架,盡可能的找出足夠多的安全測試數據,進行測試,以保電子商務軟件自身的安全。
五、外來入侵的風險及防范
外來入侵是指計算機遭到攻擊,主要表現形式是黑客和病毒等對電子商務系統的文件和數據的篡改和破壞。
黑客在本文是指未經許可,闖入他人計算機系統進行破壞的人,黑客們的攻擊行動是無時無刻不在進行的,這些人利用電子商務系統和管理上的一些漏洞,進入計算機系統后,破壞或篡改重要數據,盜取機密與資源,控制他人的機器,清除記錄,設置后門,給ERP系統帶來災難性的后果。
計算機病毒是人為編寫的一組程序,可以攻擊電子商務系統的數據區、文件和內存,可以攻擊計算機的磁盤、COMS,擾亂屏幕顯示,干擾計算機鍵盤和打印機的正常工作,以致使計算機的硬件失靈,軟件癱瘓,數據破壞,系統崩潰,造成無法挽回的損失。
值得高度關注的是:隨著各種應用工具在計算機網絡上的傳播,黑客己經大眾化了,不像過去那樣非電腦高手不能成為黑客。而計算機病毒問世十幾年來,各種新型病毒及其變種迅速增加,并利用計算機網絡這一通道迅速傳播;這就使防范外來入侵的難度大大增加。但是,既然是外來入侵,就必須要有外來的通道,這個通道就是開放的計算機網絡,在此設防,抵御外來入侵事半功倍。目前常用的技術有:
1.防火墻。防火墻是應用最廣的一種防范技術。作為系統的第一道防線,其主要作用是監控可信任網絡和不可信任網絡之間的訪問通道,可在內部與外部網絡之間形成一道防護屏障,攔截來自外部的非法訪問并阻止內部信息的外泄,但它無法阻攔來自網絡內部的非法操作。它根據事先設定的規則來確定是否攔截信息流的進出,但無法動態識別或自適應地調整規則,因而其智能化程度很有限。防火墻技術主要有三種:數據包過濾器(packet filter)、(proxy)和狀態分析(stateful inspection)?,F代防火墻產品通常混合使用這幾種技術。
2.入侵檢測。入侵檢測(IDS―Instrusion Detection System)是近年來發展起來的一種防范技術,綜合采用了統計技術、規則方法、網絡通信技術、人工智能、密碼學、推理等技術和方法,其作用是監控網絡和計算機系統是否出現被入侵或濫用的征兆。1987年,Derothy Denning首次提出了一種檢測入侵的思想,經過不斷發展和完善,作為監控和識別攻擊的標準解決方案,IDS系統已經成為安全防御系統的重要組成部分。入侵檢測采用的分析技術可分為三大類:簽名、統計和數據完整性分析法。
3.使用防病毒軟件構造全網統一的防病毒體系。支持對網絡、服務器、和工作站的實時病毒監控;能夠在中心控制臺向多個目標分發新版殺毒軟件,并監視多個目標的病毒防治情況;支持多種平臺的病毒防范;能夠識別廣泛的已知和未知病毒,包括宏病毒;支持對Internet/ Intranet服務器的病毒防治,能夠阻止惡意的Java或ActiveX小程序的破壞;支持對電子郵件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持對壓縮文件的病毒檢測;支持廣泛的病毒處理選項,如對染毒文件進行實時殺毒,移出,重新命名等;支持病毒隔離,當客戶機試圖上載一個染毒文件時,服務器可自動關閉對該工作站的連接;提供對病毒特征信息和檢測引擎的定期在線更新服務;支持日志記錄功能;支持多種方式的告警功能(聲音、圖像、電子 郵件等)等。
需提請注意的是:在購置實現以上安全技術的產品時,一定要檢驗其合法性,必須是經過國家有關管理部門的認可或認證的安全產品;同時要掌握產品的正確使用方法;還要有一套嚴格的管理制度,規范對安全產品的操作。這三點如不能同時做到,輕則使這些產品起不到應有的作用,重則會使電子商務系統無法正常運行,而給企業帶來損失。
六、內部管理的風險及防范
內部管理的風險主要表現為:一些員工或管理員隨便讓一些非本地員工甚至外來人員進入機房重地,或者員工有意無意泄漏他們所知道的一些重要信息,錯誤地進入數據庫、刪除數據等等;對于已經離職的員工,沒有及時地改變系統地口令并刪除他們的記錄,使他們無法再進入系統;當系統出現攻擊行為或受到其它一些安全威脅時(如內部人員的違規操作等),無法進行實時的檢測、監控、報告與預警。同時,當事故發生后,也無法提供黑客攻擊行為的追蹤線索及破案依據,即缺乏對系統的可控性與可審查性。
缺乏約束機制,責權不明,管理混亂、安全管理制度不健全及缺乏可操作性等是引起電子商務系統安全風險的根源。這就要求必須從管理上健全相應的規章制度來規范和約束員工的行為;根據工作的重要程度,確定該系統的安全等級;根據確定的安全等級,確定安全管理的范圍;制訂相應的機房出入管理制度對于安全等級要求較高的系統,要實行分區控制,限制工作人員出入與己無關的區域。對人員進行識別、登記管理。制訂嚴格的操作規程,操作規程要根據職責分離和多人負責的原則,各負其責,不能超越自己的管轄范圍;制訂完備的系統維護制度,對系統進行維護時,應采取數據保護措施,如數據備份等。維護時要首先經主管部門批準,并有安全管理人員在場,故障的原因、維護內容和維護前后的情況要詳細記錄;制訂應急措施,要制定系統在緊急情況下,如何盡快恢復的應急措施,使損失減至最小;建立人員雇用和解聘制度,對工作調動和離職人員要及時調整響應的授權;對系統的訪問活動進行多層次的記錄,及時發現非法入侵行為。
七、結語
以上從六個層面討論了電子商務系統存在的風險及防范的辦法,需要強調的是,每個層面都只是風險防范其中的一個環節,還需要各個環節的配合,才能達到電子商務系統安全的最佳狀態。更重要的是,在我們的頭腦中,要“預裝”好風險防范的意識,只有這樣,才能有嚴格的規章制度,使各種安全技術和產品得到有效的應用,保證電子商務系統的安全。
參考文獻:
[1]程中東:廣域環境下的企業信息系統安全管理分析[J].網絡安全技術與應用,2007.4
(2)法律法規問題
由于電子商務是一種全新的商務形式,因而它也引發了一場新的沖突,電子商務與傳統商務的沖突。傳統的商務形式是一種非常成熟的商務活動形式,它擁有一毫引申完整妃并經過各國政府認可的法律體系,它為世界各國保護地區貿易提供了有效的法律依據。而對于Internet電子商務目前除了美國制定了一些相應的法律法規外,其它國家在這方面進展尚不快。特別是在國際貿易方面問題就更多,因此盡快制定較完善的法律法規是Internet上電子商務健康快速發展的有力保證。從目前的研究情況來看,國際上電子商務的法律框架大致包括以下幾部分內容:金融領域的法律法規問題:主要是防止通過網絡使資金流失以及政府如何有效地控制資金的流動;
(3)電子商務給經講發展滯來的可能風險
隨著電子商務活動的日益普及,越來越多的人們開始談論電子商務會給他們帶來的機遇和利潤,但是專家認為電子商務在給人們提供機會的同時可能會帶來新的風險。1999年初。
美國的兩項最新研究認為,周期性的經濟動蕩有可能因為電子商務活動而發作得更為頻繁,程度將進一步加重。據英國《新科學家》周刊報道,美國的IBM公司的研究人員指出,隨著消費者越來越多地通過計算機網絡購買商品,他們將日益被稱為“軟件”的程序來選擇最優惠的價格。
但通過“軟件”進行的交易大多是瞬時的、不受地理距離限制的,所以控制常規經濟行為的一些約束因素對這些“軟件”往往不起作用。這些“軟件”會加劇市場的動蕩,同時還可能引發災難性的價格戰。同時,實行電子商務后便可以在短時間內完成大規模的資金調運,政府可能對此完全失去監控,傳統的經濟理論也可能不再適用。目前國際上一些國家正在加緊研究這方面的問題,研究新的經濟理論以適應電子商務的發展。、政(4)府在電子商務中的作用
政府承擔著大量的社會、經濟、文化的管理和服務功能,尤其在調節市場經濟運行方面有著很大的作用。在電子商務時代,當企業應用電子商務遍于經營虛擬化、銀行實現金融電子化以及消費者實現消費網絡化的同時,將同樣對政府服務和管理行為提出新的要求。因為沒有一定程度上的管理復制電子商務不可能發展的這么快,沒有規則的貿易活動將是十分危險的。但是未來政府的職能應當從管理型向服務型逐步轉變,政府在電子商務中的作用主要體現在以下幾個方面:
制定法律、法規、政策,從宏觀角度規范電子商務的發展;
管理、協調全國電子商務的發展;
服務、推動電子商務的發展;
消費、促進電子商務的發展。
四、我國電于商務發展前景
電子商務的概念引入我國的時間不長,但發展勢頭喜人,全國已掀起了一股電子商務的熱潮。在我國,由于網絡建設和應用都處在起步階段,金融電子化程度從總體上說還不理想,因此電子商務的推行仍需要一定的時間。同時,由于國內異地。異行之間各種卡的消費服務還未全面連通,加之企業上網意識淡薄、網上信息資源匾乏、信息安全難以有效保證等因素,嚴重制約了電子商務在國內的前進腳步。通過研究我們認為;電子商務基礎還比較薄弱的我國,要迎接電子商務時代的來臨,必須解決以下幾個關鍵問題;
加速企業信息化,促使企業自覺上網。目前我國大部分Internet用戶來自學校和科研單位,企業用戶并未大量上網。尤其不少國有大中型企業更是無暇顧及企業的信息化、到網上沖浪去感知外面的精彩世界。企業上網積極性不高體現在某些專用網絡用戶寥寥無幾。
解決信息的安全問題,讓用戶心中有數。眾所周知,商業機密的保密問題十分復雜,國外許多國家在信息的安全和機密保密方面,都有特殊的要求。我國在信息安全保密體制上,究竟由誰管理?如何管理?有無一套有序的管理辦法,許多人都感到茫然,不知所從。
要營造一個良好的商業標準化環境。要確保網上貿易暢通無阻,需要銀行、商家和用戶三者的密切配合。同時要改造企業的內部環境,使其內部的作業流程程序化、規范化。這里,金融機構的推動作用是必不可少的。
第一,安全是一個系統的概念。安全問題不僅僅是個技術性的問題,更重要的還在于管理。它與法律、道德和人的因素緊密地聯系在一起,只有全面協調地發展,才能建立一個安全的電子商務系統。第二,安全是相對的。必須認識到,沒有也不可能有一項永遠攻不破的安全技術。那種妄想系統以后永遠不受攻擊,不出安全問題是很難的、是不現實的。第三,安全是有成本和代價的。在電子商務系統中,安全和速度是一對利益矛盾共同體。如果只注重速度就必定要以犧牲安全來作為代價。第四,安全是發展的、動態的。“道高一尺、魔高一丈”。今天安全明天就不一定很安全。安全技術具有很強的敏感性、競爭性和對抗性,需要不斷地檢查、評估和調整相應的安全策略。第五,出現問題很難找到負責人。電子商務機遇與挑戰并存,潛在風險極大。值得高興的事,我國政府已把電子商務的管理提到議事日程上來,開始了有關的立法和政策制定,相關的支持技術也不斷發展完善。
電子商務對安全隱患的應對方式
電子商務安全的基本要求有以下幾點:第一,確定貿易伙伴身份的真實性。第二,確保信息的保密性,如怎樣保證用戶的信用號不被竊取,如何保證貨源定單等信息不被競爭對手獲悉等。第三,保證電子定單等信息的真實性(未被冒充)以及在傳輸過程中未被篡改。第四,保證電子定單等信息的不可否認性,即交易的任何一方在未經對方同意的情況下都不能出爾反爾。第五,在交易雙方發生糾紛時能得到合理的仲裁和解決。做到以上五點還不夠,還需注意一些方面,比如:(1)網絡隔離。根據功能、保密和安全要求的不同將網絡進行分段隔離,細化安全控制體系,將攻擊和入侵造成的威脅分別限制在較小的子網內,從而提高網絡整體的安全水平;(2)數據加密技術與數字簽名;(3)身份認證技術。利用RSA算法在密鑰自動管理、數字簽名、身份識別等方面的特性,建立的一個為用戶的公開密鑰提供擔保的可信的第三方認證系統CA。CA為用戶發放電子證書,用戶之間利用證書來保證安全性和雙方身份的合法性。4.SSL協議和SET協議。SSL協議是Netscape公司在網絡傳輸層之上提供的一種基于RSA和加密密鑰的用于瀏覽器和Web服務器之間的安全連接技術。SET協議是目前唯一保證信用卡信息能安全可靠地通過因特網傳輸的新協議。它為在Internet上進行安全的電子商務活動提供了一個開放的標準,為Internet上支付交易提供高層的安全和反欺詐保證。SET協議為基于信用卡進行電子交易的應用提供了安全措施,保證了電子交易的機密性、數據完整性、身份的合法性和抗否認性。SET是專門為電子商務而設計的協議,它在很多方面優于SSL協議,但也存在不能解決電子商務所遇到的全部問題。
[關鍵詞]
電子商務;審計;審計風險
現如今,電子商務已成為人們生活中不可或缺的一部分,隨著互聯網信息化的高度發展,原有的傳統商業模式已發生了翻天覆地的改變,在這種環境下,相關電子商務的審計工作面臨著巨大的挑戰。
1電子商務環境下審計的概念
今天所說的電子商務一般是指在互聯網上進行的商業活動。電子商務環境下的審計,就是注冊會計師對被審計單位的電子商務活動以及反映這些電子商務活動的會計記錄和網絡記錄進行的必要的審計。它包括兩個方面:①注冊會計師對被審計單位的電子商務活動以及所反映的會計記錄的真實性、完整性、合法性進行審計;②注冊會計師對被審計單位的網絡系統的可靠性、安全性、合規性進行審計。在這樣的環境下,審計的一些主要要素也發生了改變。首先,審計環境由審計人員親自到被審計單位進行審計證據的收集變為借助因特網、計算機、現代通信技術來進行;其次,審計對象由企業的會計信息和企業經營管理活動有關的其他信息變為計算機系統生成的會計信息或者儲存信息;另外,審計方法也由人工變為了系統自動運算生成。這樣,就在一定程度上增加了我們的審計風險。
2我國電子商務環境下的審計風險研究
2.1相關法律法規和審計準則不完善
雖然我國在電子商務的法律法規的制定和有關電子商務審計準則的制度方面取得了不少成績,但是,仍存在著很大的不足。一方面,我國電子商務還缺少基礎性的法律。雖然《中華人民共和國電子簽名法》已出臺多年,但整個電子商務的法律體系還沒建立,很多電子商務細節缺乏統一的標準。另一方面,雖然我國現行的審計準則對電子商務審計有所涉及,但對注冊會計師審計時的標準和具體程序沒有明確規定,導致注冊會計師在電子商務環境下審計時和傳統審計的方法一樣,這很可能會帶來審計風險。
2.2社會信用體系缺失,網絡安全問題嚴重
人與人之間的高度的信任是電子商務運行的基礎,但是在我國,社會信用體系還沒有建立,人們的信用觀念相對淡薄,企業的信用水平低下,這難以保證企業與企業、企業和個人之間交易的正常穩定的進行,很可能導致信息造假、欺騙、欺詐等風險行為,導致電子商務風險的出現。另外,網絡安全問題是互聯網發展過程中一個不可忽視的關鍵問題。電子商務面臨的安全問題主要包括信息的造假、信息的篡改以及對信息進行竊取等。如果不能保證電子商務的安全性,注冊會計師在審計中無法獲得真實可靠的審計證據,審計的風險自然就會增大。
2.3電子商務環境下企業的內部控制薄弱
我國的電子商務興起比較晚,很多企業剛開始運用電子商務平臺經營自己的業務,對電子商務的一些細節和特點還不太熟悉,電子商務的管理及其控制對于很多企業都存在很多漏洞,諸如運用電子商務的購銷業務,電子發票的開具和保管等,這些都加大了我們對電子商務的審計風險。
2.4審計人員的專業勝任能力不夠
電子商務環境下審計涉及審計、會計、電子商務、網絡技術等多方面的審計,注冊會計師在電子商務環境下進行審計時不僅要掌握財務、審計方面的專業知識,而且也要對電子商務,網絡技術等方面的知識有一定的了解。然而,由于我國電子商務剛剛興起,這方面的審計人才無論在數量上還是專業勝任能力上都存在嚴重的不足。此外,審計老齡化也是個突出的問題,年齡較大的審計人員雖然在傳統的財務審計方面經驗豐富,但對電子商務、計算機方面的知識了解很少。
3我國電子商務審計風險的防范
3.1完善我國電子商務的法律法規和審計準則
電子商務法律法規能夠對電子商務活動起到規范的作用。雖然我國在電子商務立法方面取得了一定成就,但這些法律法規還不能滿足現實的需要,因此必須加快電子商務審計法律法規的建設進程。在電子商務法律法規的制定上我們可以借鑒一些國家的經驗,制定出以保護消費者權益、保護個人隱私、保護平等競爭、保護公平交易為原則的電子商務法律法規。
3.2完善社會信用體系和維護網絡安全
能否有效的解決電子商務信用風險問題,依賴于整個社會信用體系的建立和健全,政府相關部門可以通過與企業和個人相關的稅務、工商、質檢等系統,來建立企業和個人的信用數據庫,并且可以向社會開放,為社會提供信用查詢,這樣可以對企業和個人的信用狀況做出評判,以此來完善社會信用體系。
3.3鼓勵企業建立完善的電子商務內部控制制度
企業應提高管理層對電子商務內部控制系統的認識、強化電子商務人員的風險意識。因此,對企業管理層的現代化管理教育和培訓十分重要。企業的管理層要重視企業內部控制部門的作用,加強內部控制部門對企業管理的參與。企業的內部控制部門要定期對內部控制系統進行評估,包括針對電子商務的內部控制系統的評估
引言:
21世紀,隨著計算機的普及和網絡技術的迅速發展,以電子商務為核心的經營和消費理念使社會的經濟結構以及經營和消費方式都發生了巨大的改變。電子商務的發展迅速推動了網絡金融的發展,隨之也帶來了網絡金融風險。
網絡金融是金融與網絡技術全面結合的產物,其內容包括網上銀行、網上證券、網上保險、網絡期貨、網上支付、網上結算等金融業務。隨著網絡金融的不斷發展,一種不同于傳統金融的金融風險暴露出來,而網絡犯罪的興起進一步引起人們警覺,使網絡金融風險管理越來越引起人們的關注。
一、網絡金融風險的特殊形式及其原因
網絡金融風險主要表現為兩種特殊形式:基于網絡信息技術導致的技術風險和基于網絡金融業務特征導致的業務風險。
網絡金融技術風險主要包括安全風險和技術選擇風險。由于網絡金融的業務及大量風險控制工作均由電腦程序和軟件系統完成,因此電子信息系統的技術性和管理性安全就成為網絡金融運行最為重要的技術風險。安全風險產生的原因既包括計算機發生故障等不確定因素,也包括來自網絡外部黑客攻擊,病毒感染等。據統計數據顯示,在發達國家,由于計算機故障造成的對金融業的損失相當大;另一方面,我們也深受黑客行為侵害,通過電腦病毒的傳播,黑客們在網絡中進行大規模釣魚,盜取個人資料,銀行密碼,給網民帶來了巨大的經濟損失,據普華永道公司27日一份調查報告稱,網絡犯罪已經成為對金融服務業不斷增長的威脅,在該行業全球范圍內的經濟犯罪中排名第二。
網絡金融技術選擇風險則是指在開展網絡金融業務時,由于存在技術選擇失誤的問題而產生的風險。網絡金融依賴于成熟的網絡技術,然而現有的技術并非完美的,往往存在其特有的缺陷,因此,在技術選擇上的失誤將對整個網絡金融業務的開展產生較大風險。技術選擇風險的產生有兩個原因,其一是由于選擇的技術系統與客戶終端軟件的兼容性較差而導致信息傳輸中斷或速度降低的可能,其二是由于選擇了較為落后的技術方案,使得由于技術過時而導致巨大的技術和商業機會的損失。
網絡金融業務風險與傳統金融業務風險在本質上相似,最主要就是信用風險和流動性風險。
首先,網絡信用風險指網絡金融交易者在合約到期日不能或不愿完全履行其義務而產生的風險。由于網絡本身是具有虛擬性的,因此網絡金融業務和服務機構也都具有顯著的虛擬性。虛擬化的金融機構可以利用虛擬現實信息技術增設虛擬分支機構或營業網點,從事虛擬化的金融服務,其中一切業務的活動(包括交易信息的傳遞、支付結算等)都在由電子信息構成的虛擬世界中進行。虛擬性大大增加了在網絡金融業務中對交易對手所給信息的認證與識別的難度,可以說是一個信息相當不對稱的環境,從而對對方的信用評價,以及對風險的評估都收到了很大限制。正因如此,網絡金融業務中所面臨的信用風險往往比傳統金融業務中更大。而對我國而言,由于社會信用體系的不完善,又進一步加深了網絡金融中的信用風險。因此,我國目前的社會信用狀況正是大多數個體、企業客戶對網絡銀行、電子商務采取觀望態度的一個重要原因。
第二,網絡流動性風險是指網絡金融機構由于缺乏足夠的資金滿足客戶兌現電子貨幣需求所產生的風險。由于目前的電子貨幣是電子化、信息化了的交易媒介,尚不是一種獨立的貨幣,交易者收取電子貨幣后實際上并未最終完成支付,還需從發行電子貨幣的機構收取實際貨幣,因此電子貨幣發行者就必須滿足這種流動性的要求。如果發行者實際貨幣儲備不足那么其流動性風險也就暴露出來。事實上,流動性風險還可能由于網絡系統發生故障,黑客入侵,病毒感染等原因引發,而這又與網絡技術安全風險息息相關,因此可以看到,網絡金融風險是一個更加復雜,聯系性更加緊密的系統,其范圍更廣,危害也更大。
當然,網絡金融業務風險也還包括支付和結算風險,法律風險和其他風險等,這里不作細談。
二、網絡金融風險管理的一些建議
正因為網絡金融風險的特殊性以及其可能產生的嚴重后果,我們對于網絡金融風險的管理就顯得尤為重要。針對網絡金融風險的特殊性質,本文提出以下幾點建議:
首先,要對網絡系統進行定期安全檢查并及時進行技術更新,以將系統發生故障以及受到黑客襲擊的可能性降到最低。同時,要培養網絡在職人員應對突發事故的能力,可以通過演習訓練,技術講座等方式進行,并且要加大對網絡犯罪的打擊力度,降低犯罪率。
第二,要健全個人和企業信用體系。在建立和完善個人和企業信貸登記制度的基礎上,盡快將網絡與現實的信用信息相互結合,使個人和企業信用能夠充分暴露于整個網絡系統之中,從而實現信用信息共享,還可以以居民存款實名制為基礎,開發個人信用數據庫,逐步建立個人信用體系。通過這樣一個完善的信用信息系統,可以一定程度上解決網絡金融業務中所存在的信息不對稱的問題,從而減少網絡信用風險。
第三,要積極完善與落實監管法規。我國應盡快制定有關法規,健全網絡金融業務發展和管理的法規框架。一是要加快電子商務立法進程,明確數字簽名、電子憑證的有效性,明確電子商務中銀行和客戶雙方的權利和義務;二是要完善網絡金融業的監管規章。由于網絡金融業和傳統金融業在本質上是一致的,因此對傳統金融業的審慎監管規章基本上適用于網絡金融業。當然,我們應針對網絡金融業的特點,補充完善現有的監管規章體系。
綜上所述,網絡金融業務由于其存在于網絡這個虛擬環境的特殊性質,擁有其特殊的網絡金融風險,這些風險比傳統金融風險在范圍上影響更大,并且更具有突發性、傳染性,因此其危害也更大。因此,重視對網絡金融風險的管理,并采取具有針對性的管理方法對于電子商務下網絡金融業的發展尤為重要。
參考文獻:
1引言
隨著互聯網技術的飛速發展及電子商務的日益繁榮,基于網絡支付的第三方支付平臺逐步出現并得到迅速的發展。目前,對于第三方支付的概念還沒有非常準確的定義, 但普遍認為, 第三方支付就是和國內外各大銀行簽約、并具備一定實力和信譽的第三方獨立機構在電子商務企業與銀行之間建立一個中立的支付平臺, 為網上購物提供資金劃撥渠道和服務。在交易中, 買方選購商品后, 使用第三方平臺提供的賬戶進行貨款支付, 由第三方通知賣家貨款到達、進行發貨;買方檢驗物品后, 就可以通知付款給賣家, 第三方再將款項轉至賣家賬戶。
面對第三方支付提供的服務所獲得的優厚利潤,國內和國外的第三方支付公司紛紛出現,如目前易趣的“安付通”、阿里巴巴的“支付寶”、一拍網的“e拍通”、慧聰網的“買賣通”等等。然而,第三方支付作為目前主要的網絡交易手段和信用中介, 在網上商家和銀行的連接、監管和技術保障的方面還存在著一定的風險,這些問題將阻礙第三方支付的進一步發展,如何防范、降低并控制這些風險,是目前研究的熱點之一。
2電子商務第三方支付的風險分析
2.1網絡安全風險
第三方網上支付的業務及風險控制工作均是由電腦程序和軟件系統完成, 故網上支付系統的安全是第三方網上支付面臨的重要風險。雖然目前網上銀行和第三方網上支付平臺都設計有多層安全系統, 并不斷開發和應用具有更高安全性的技術及方案, 以保護支付平臺的平穩運行, 但是從總體來說,其安全系統仍然是第三方網上支付業務中最為薄弱的環節。這種風險可來自計算機內部,比如系統停機、磁盤損壞等不確定因素, 也會來自網絡外部的黑客攻擊, 以及計算機病毒破壞等因素。安全風險主要體現在三個方面: 一是數據傳輸過程中遭到攻擊,威脅用戶資金安全;二是網上支付應用系統本身存在的安全設計上的缺陷可能被黑客利用,危害整個系統的安全,造成重大損失; 三是計算機病毒可能突破網絡防范,入侵網上支付的主機系統,造成數據丟失等嚴重后果。
2.2金融風險
資金濫用。在第三方網上支付平臺中,除支付寶等少數幾個并不直接經手和管理來往資金,而是將其存在專用賬戶外,其它公司大多代行銀行職能,可直接支配交易款項,這就可能出現不受有關部門的監管,而越權調用交易資金的風險。
詐騙犯罪。由于網上交易的匿名性和隱蔽性,使第三方支付可能成為通過制造虛假交易來實現詐騙的手段,有些不法分子利用購買者對第三方支付流程以及后果的不熟悉,利用安全漏洞來騙取錢財,比如說,支付平臺的網上操作中有取消支付的選項,在取消支付后,如果直接撤銷剛才的取消操作來再次確認支付,顧客的錢就在未收到購買物品之前就打到了銷售者的賬戶中,造成詐騙。
盜卡惡意支付。雖然越來越多的銀行已經不再默認銀行卡可直接上網,而是用戶通過申請并認證的方式,才可開通網上銀行,但多數情況下,用戶只需要使用自己的銀行卡卡號和密碼,在網上提交一個申請,即可開通網上銀行。如何防范盜卡者在網上惡意支付,對于第三方支付廠商來說,在缺少必要信息支持的環境下,建立這樣的風險控制系統就更為艱難。
資金沉淀。 第三方網上支付平臺通過對交易資金的暫時保管,在交易過程中監督和約束買賣雙方。在交易過程中,當買方把資金轉到第三方的賬戶,此時第三方起到了一個對資金的保管作用,買方仍然是資金的所有權人。當買方收到商品,確認付款時,所有權轉到賣家。所以,第三方作為資金的保管人,始終不具備對資金的所有權,只是保管的義務。根據目前的交易規則,支付金額可以在第三方網上支付平臺上停留3至7天,這樣,支付平臺中隨時都有數以千萬計的資金沉淀。隨著將來用戶數量的增長,這個資金沉淀量將非常巨大。而對于這筆資金,第三方將可取得一筆定期存款或短期存款的利息,且利息的分配會引發新的問題。如缺乏有效資金管理,就有可能引發支付風險和道德風險。
2.3法律風險
對于第三方的法律地位問題,及各方權利義務關系,目前在法律上還未做出明確的規定。雖然從業務上來看,這些電子商務第三方支付平臺只是提供支付服務,但是它同時又聚集了大量的資金,從某種程度來說已經具備了銀行的性質,但是卻不受銀行相關法律的控制,盡管第三方網上支付企業,都以中介人的名義對外宣傳,但實際上,其業務明顯存在“吸納儲蓄”的嫌疑,用戶資金的時間價值(利息)可能成為其主要的利潤來源,這顯然涉及到金融的范疇。所以,第三方網上支付平臺的法律地位需要進一步以明確的立法加以規范。
在法律責任方面,國家并無專門法律調整網上支付法律關系,實踐中往往依據合同法和侵權法。但如果將第三方網上支付各當事人的法律關系完全交由合同法和侵權法調整,消費者因其弱勢地位合法權益往往得不到充分保障,因為在網上支付的合同中,消費者根本沒有決定合同內容的權利,只能選擇接受與否。第三方網上支付較之于傳統支付方式其技術性更強,同時存在一些安全漏洞,如果客戶在交易后財產被盜取或系統故障,使得客戶遭受損失,應如何界定各方責任,也缺乏規范,這些最終將制約著第三方網上支付的發展。
3電子商務第三方支付的風險控制
3.1第三方支付平臺的法律約束
盡快出臺相關的法律法規,明確第三方支付公司的法律地位,進一步規范其業務范圍。通過盡快出臺一些辦法進一步明確第三方網上支付清算屬于支付清算組織的非銀行類金融業務。制定相關法律保護客戶的利益和隱私權,明確客戶和第三方支付平臺間的權利和義務。通過制定對洗錢、信用卡套現、欺詐等網絡犯罪法律對交易進行法律約束。
3.2改進網上交易稅收監控手段
網上交易所具備的交易隱蔽性、快速性以及交易主體的跨地域、全球性等特點, 使網上交易稅收問題對傳統方式稅收提出了挑戰。在我國現有的稅收體制中, 稅收都是按照屬地化管理的原則來進行的, 而網絡交易的跨地域性將加大確定稅收主體的難度。因此對新技術條件下發展起來的網上交易, 要研究用新的監控手段進行征稅。第三方支付平臺作為網上交易現金流的出入口, 是買家和賣家進行交易的一個憑證, 因此可考慮將第三方支付作為網上交易征稅的突破口。另外還需制定第三方支付中的稅收監管法律, 嚴懲逃稅行為。
3.3加強對第三方支付平臺的監管
加強第三方支付平臺的監管,首先明確市場準入門檻。由于行業的準入門檻較低, 從事第三方支付平臺的服務商注冊資金規模、資質參差不齊,容易引發風險。其次加強對第三方支付平臺沉淀資金的監管。應規定第三方支付服務商的自有賬戶與用戶沉淀資金的賬戶相分離。禁止將用戶沉淀資金進行放貸、投資或挪作他用, 由銀行對用戶資金賬戶進行托管。目前工商銀行便為“支付寶”托管賬戶, 并且每月出具賬戶資金的使用報告。最后建立第三方支付保證金制度。要求第三方支付服務商在其開戶銀行存有一定金額或交易比例的保證金, 一旦第三方出現問題, 銀行可以立即凍結這部分資金用以抵御風險, 以在一定程度上保障廣大用戶的資金安全, 不致因第三方機構的風險而蒙受過大的損失。
3.4 加強內部監督和管理,規范信息披露制度
當前,一些第三方支付公司缺乏健全的內控機制,組織內部沒有建立相關的管理規章。一些不成規模的第三方支付公司急于贏利或“搶地盤”,放松了對公司內部的制約與管理,容易造成員工道德風險,如延遲信息傳遞或泄密等類似現象的出現,使清算組織的信譽受損。而且,除了內部少數人之外,外界很難知道公司的經營狀況,信息披露非常不充分。因此,要按照產權明晰、責任明確、管理科學和政企業分開的要求建立現代公司制度,并規范內部信息披露制度。通過建立內部責任分工制度、權利制約制度、激勵和懲罰制度,獨立的財務制度等來提高第三方支付公司的管理水平和績效。
4結束語
第三方支付作為一種新型的支付方式, 盡管在法律、資金等方面存在一定的風險隱患, 但第三方交易的便利性、低成本性、高效性,已成為我國乃至全球電子商務發展的趨勢。因此, 第三方支付存在的風險問題應受到政府部分的高度關注,并采取相應措施為這種新型支付模式的發展提供良好的經濟、法律和政策環境, 促進整個電子商務支付平臺健康、快速地發展。
參考文獻:
[1]陳小滿,陶牡丹,吳波.電子商務參與下的交易信用[J].重慶郵電大學學報(社會科學版),2007,(01):33-35.
[2]陳力行.關于第三方支付模式的探討[J].商場現代化,2006,(08):94-95.
[3]吳劍東.基于第三方的網上支付風險性分析[J].商場現代化,2007,(36).