时间:2023-06-12 09:09:47
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇电子商务的风险范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
随着电子商务平台建设的日渐完善,电子商务经济逐步成为我国经济发展的重要组成部分,电子商务环境下的审计也越来越受到相关部门的重视。目前,我国对于新兴事物的审计制度建设还不完善,对于由此产生的风险及防范研究更是少之又少。因此,充分了解电子商务环境下的审计制度以及可能产生的风险因素,对于进一步加强电子商务经济规范建设具有重要的指导意义。
一、电子商务环境下的审计与审计风险特征
电子商务是随着现代网络技术不断完善而出现的产物,是结合电子支付方式、网络商贸、数据处理等技术的综合型新兴贸易方式,具有不同于传统贸易的无纸化性、多样性、隐蔽性、动态性等特点。因此,电子商务环境下的审计也因电子商务的特性而具有区别于传统审计的特性。
(一)电子商务环境下的审计特征
传统审计主要包括对被审计单位财务报表以及与此相关的一些会计凭证、交易往来合同等,电子商务环境下的审计除此之外,还包括因电子商务交易而产生的电子发票、回款单、支付凭证等。具体来说,主要包括:被审计单位获取相关会计信息以外的资料,如被审计单位的战略计划、内部控制制度以及同类单位的相关数据;被审计单位内部控制安全性相关的电子商务信息;注册会计师在进行审计时根据被审计单位提供的现有资料得出的其他相关信息。会计信息与其他相关信息共同构成电子商务环境下的审计资料,只有这些信息完整才能保证审计结果的准确性。
1、电子商务环境下的审计信息具有易破坏性。电子商务环境下所有相关的审计信息都转为电子信息,相关的取数、存储以及汇总加工等都通过计算机完成,一旦中间步骤有人工操作不当之处,就会导致整个数据信息有误且很难被发现。因此,注册会计师在提取相关数据信息时要对最终呈现的数据做合理性和完整性分析,减少因操作不当带来的信息错误。同时,因为电子数据缺乏原始纸质凭证做基础,电子数据被篡改比较容易,进一步加大了审计信息的易破坏性。
2、电子商务环境下的审计信息具有动态性。由于电子商务平台24小时在线服务,在这一实时过程中,电子商务信息处于动态传输中,为注册会计师提取审计信息提供了难度。注册会计师不能因为提取审计信息而认为静止电子商务信息的传输,这样很可能破坏原有的电子商务信息。而为了保证注册会计师提取的电子信息准确完整,职能通过电子商务在线实时数据访问实现,进一步加大审计的风险。
3、电子商务环境下的网络安全难以控制。电子商务环境下,作为交易平台的网络环境具有开放性和数据实时变化性,如何保证网络安全是保证审计基础数据准确性的基础。针对目前计算机病毒和黑客技术的日益更新,电子商务的网络安全正受到各方的威胁,因此,建立完善的网络安全控制系统是保证电子商务环境下审计信息准确性的重要基础,也是保证电子商务有序进行的重要保障。
(二)电子商务环境下的审计风险特征
电子商务环境下的审计风险,是指在电子商务环境下的财务报表存在重大错误而使注册会计师发表不恰当审计意见的可能性。审计风险具体来说,主要包括两大部分,即重大报错风险和检查风险。电子商务环境下的审计风险同样包括该两大部分,其中重大报错风险是指在电子商务环境下可能存在的与电子商务有关的财务报表错误,是在审计开始之前就存在的风险;而检查风险是指在发生电子商务有关的审计过程中,发现的与被审计单位有关的经济活动存在不合规问题,该报错可能与前期的重大报错风险有关,也有可能是单独存在的风险。
1、电子商务环境下的审计风险具有客观性。电子商务环境下的审计风险与传统模式下的审计风险,同样是一种不确定性的客观存在,该风险不以注册会计师的意志而转移,是每个被审计企业都存在的固有风险。该风险由企业内部控制的缺陷、电子商务本身具有的特性以及其他外部条件所决定。同时由于审计以抽样调查为主,样本的偏差可能导致整体审计推断结果有误差,进一步导致审计风险的客观存在。
2、电子商务环境下的审计风险具有普遍性。审计风险涉及审计工作的各个方面,发生在整个审计过程之中。在会计师事务所承接审计业务阶段,如果对被审计单位的状况不够了解,可能面临不良资产的风险;在审计业务前期准备过程中,如果没有充分了解被审计单位并制作符合被审计单位自身业务特点的审计方案,则可能导致最终出具的审计结论有失偏颇的风险;在审计业务实施阶段,如果没有准确收集被审计单位的电子信息,并进行甄别和判断,可能发生错误的审计判断,加大被审计单位的审计风险。3、电子商务环境下的审计风险具有部分可控性。虽然审计风险存在客观性和普遍性,但审计风险同样具有部分可控性。注册会计师在接手某个审计业务时,可以在充分了解被审计单位的相关信息基础上,执行全面完善的审计计划,准确甄别收集的审计信息,制定合理的审计程序,将认为可控部分的审计风险降到最低。
二、电子商务环境下审计风险的国内外研究动态
电子商务环境下的审计风险研究在国内外都属于探索阶段,相关理论体系尚未完善。国外的研究重点主要集中在电子商务环境下审计风险产生的原因,国内的研究重点相对来说全面一些,不仅分析了电子商务环境下审计风险产生的原因,而且针对不同的风险点提出了相应的防范措施。
(一)国内研究动态
刘强(2009)在《电子商务对财务报表审计的影响》中提出,电子商务环境下的财务报表审计将面临巨大的冲击,主要包括电子商务环境对于传统财务环境的挑战,因审计对象和范围的无限扩大而产生的界定问题,以及由此产生的一系列审计风险。对此,张倩在《我国电子商务环境下的审计风险防范》中指出,针对电子商务环境下风险的信息化与不确定性,应该及时把握电子商务的政策动态,正确区分传统经济下的审计风险与电子商务环境下的审计风险,有针对性地提出关于审计环境、审计对象、审计主体以及审计客体的风险防范措施。针对于电子商务环境下的审计风险,李俊杰(2010)在《电子商务审计探析》中做了详细的分析,他将电子商务环境下的审计风险分为电子商务固有的风险、传统环境下的审计风险以及电子商务环境下的综合审计风险,并通过对电子商务特有的国际化、信息化及无纸化等特点进行针对性的分析,提出防范风险应从把握网络安全审计以及完善电子数据分析等方面着手。
(二)国外研究动态
国外对于电子商务环境下的审计风险研究,主要集中在产生风险的原因上,包括对被审计单位的内部控制不合理、电子商务本身存在的无纸化、信息化、支付方式多样化等特征,以及传统审计模式无法适应电子商务交易模式的多边性。Harkness通过研究传统审计模式下电子商务的交易风险,总结出电子商务模式下的风险主要集中在审计线索的变化、审计技术的更新速度慢以及审点的多边性。
三、电子商务环境下的风险分析
(一)审计环境产生的风险
1、我国电子商务运营环境不规范。我国电子商务的发展随着互联网的不断推进而得到迅猛发展,各方数据表明,中国的电子商务规模已处于国际前列。但与电子商务相关的一些辅助业务却没能跟上。一方面,作为电子商务基础的物流系统还不能满足现有发展迅猛的电子商务市场,极大制约了电子商务业务的进一步扩张。现有的电子商务模式下,大部分实物都以物流系统为辅助,但目前的物流系统存在配送人员专业化程度低、管理体制不完善以及售后服务维权机制不健全等,导致物流系统建设缺乏竞争力。另一方面,电子商务的信息系统建设还无法满足日渐发展的电子商务市场。电子商务竞争中,各企业的竞争力主要集中在产品信息的收集、顾客需求信息的收集以及产品质量和配送效率上,而这些的基础都在于信息系统的建设。在这方面上,我国与世界发达国家的水平还存在差距。
2、相关法律法规和审计准则不完善。我国对于电子商务的立法最早于2004年出台了《中华人民共和国电子签名法》,首次对新兴贸易进行了法律规范,也对电子商务模式下的审计提供了法律基础。但我国在电子商务相关的法律建设上起步较晚,还存在诸多不足之处。一方面,我国出台了电子签名法,但有关电子商务完整的法律体系建设还未完善,导致电子商务在细节处理上没有一个统一的标准,造成企业在处理问题上的混乱。另一方面,我国现行的审计准则只适用于传统模式下的审计,对于新兴的电子商务审计尚未做明确规定,导致注册会计师在进行电子商务审计时无相关法律法规做参考,审计结论存在一定的偏差。
(二)审计对象产生的风险
1、企业内部控制不健全。传统模式下,企业的内部控制主要以手工为主,包括对工作人员的工作行为、业务处理是否得当以及经济业务规范等进行控制,而电子商务环境下的内部控制在此基础上还要对网络信息系统建设、计算机运行风险等多方面进行控制,这从专业性上提出了更高的要求,且具有一定的不可控性。此外,传统模式下的业务审批需要多层的人工审核,并按职责分工确保对每一层次的审批做到记录规范、准确,审计部门可以随时调取相关审批流程记录,而在电子商务模式下,内部审批的控制都以计算机程序自动设定而完成,缺乏人为的主观可调整性。同时,由于我国缺乏电子商务所需的专业人才,在电子商务管理上存在诸多漏洞,尤其对于电子商务购销业务中的发票开具与保管,导致账面混乱等现象时有发生。
2、从业人员专业素质有待提高。由于我国电子商务处于刚起步阶段,具有电子商务专业的人才较少,电子商务业务的从业人员素质参差不齐,且大部分属于兼职人员。因此,现有的电子商务从业人员无法适应对专业度要求越来越高的网络化电子商务需求。一方面,专业素质不足的电子商务从业人员无法对国际贸易中的产品进行准确认知,无法通过外语与外商进行准确的交流和贸易协商,也无法对日益更新的电子商务交易系统进行熟练操作,导致电子商务企业交易无法顺利进行。另一方面,传统的兼职型电子商务从业人员已经无法满足现有的国际化贸易需求,现有的电子商务要求从业人员必须具备对产品充分认知、营销、计算机等综合素质,目前我国的电子商务从业人员大部分缺乏电子商务以外的综合型知识。与此同时,我国电子电子商务企业在人才管理上存在对待不公的现象。出于企业业绩的考量,大部分企业重销售人员而轻技术维护人员等基础保障人员,导致相关人才流失。此外,因为缺乏对信息系统建设的重视,导致信息泄露事件时有发生,这是企业在信息安全建设上的疏忽,也是人才建设上的不完善。
3、电子支付、电子签名审计难度大。电子商务环境下的合同签订以及货款支付等都通过网络平台实现,扩展了传统模式下的结算方式,因此,与之相关的审计范围也相应扩展。在新型业务模式下,注册会计师需要对被审计单位网上签订的合同、网上的支付阶段等进行完整、准确地审查,并结合被审计单位提供的相关财务纸质凭证进行分析,推断其中可能存在的不合理问题。而电子商务环境下的业务活动形式多样、结算方式复杂、支付方式隐蔽、电子签名确定难度大等,这一系列问题不仅增大了注册会计师的审核难度,同时也加大了企业的审计风险。
(三)由审计人员产生的审计风险
1、审计人员专业水平不够。电子商务环境下的审计要求审计人员具备会计、审计、电子商务以及网络等多方面的综合能力,而就目前我国审计人员具备的专业水平来说,还停留在传统模式下的审计水平,与现有的高科技业务环境衔接不上。同时,审计队伍中的人员老龄化也是突出问题。这就导致这些具备扎实财务审计专业知识的人员缺乏对计算机方面知识的了解,存在审计能力不足的问题。此外,现有的审计人员选拔上,单纯以财务、审计等传统模式下的知识考察为主,缺少电子商务、计算机等综合方面的考量,导致审计人员在进行审计时不熟悉电子商务业务的处理过程和会计处理方法,更缺乏对电子商务审计风险的判断能力。
2、缺乏特有的电子商务审计软件。目前,针对电子商务模式下的审计软件还很少,大部分都是与传统贸易模式通用的审计软件,但对于电子商务模式下大规模的数据处理还缺乏运行能力。主要原因在于目前市场上流通的财务软件都以传统通用型财务软件为主,在传统软件下很难导入电子商务模式的审计软件,软件之间的不兼容性导致特有的审计软件无法推广。同时,会计师事务所不可能因为传统审计软件的运行能力不足,而单独开发特有的财务软件和配套审计软件,这巨大的开发成本与审计业务收入不相匹配。另外,在注册会计师进行审计时需要被审计单位提供专门用于审计取数的系统接口,但就目前我国的执行情况来说,只有部门企业完全执行这个规定,致使审计部门调取电子商务数据困难,加大审计风险。
四、电子商务环境下的审计风险防范对策建议
针对目前电子商务环境下存在的审计风险,应有针对性的从几方面进行着手防范。
(一)完善我国电子商务审计环境
1、规范我国电子商务经营环境。针对目前我国电子商务存在的物流体系不完善问题,我国应着手从完善物流基础设施建设、加强物流专业人才的培养以及提供物流相关的财政优惠政策等进行扶持。同时,我国可以参考国外的先进物流建设经验,建立第三方物流专业机构,将物流从电子商务运营中独立出来。通过建立第三方物流专业机构,一方面可以增强物流的综合服务能力,提高货物运送的效率,另一方面,独立的物流第三方建设可以形成完善的物流网络,提供更专业、便捷的服务,降低运送成本等。因此,完善第三方物流系统建设是规范我国电子商务经营环境的重要举措,也是促进电子商务稳步发展、降低电子商务环境下审计风险的基本保障。
2、完善电子商务相关法规。完善电子商务相关法规可以从法律层面规范电子商务的经营市场,从保护消费者权益、保护个人隐私、保障网络交易支付安全等角度进行规范。同时,对于电子商务的经营管理上,政府应以市场自我调节为主,不应过度干预。在电子商务审计方面,我国注册会计师协会虽然已经出台了1633号审计准则,该准则从电子商务对财务报表审计的影响方面进行了大致规定,但在审计具体程序中的相关数据提取细节、判定标准等方面并未作详细的规定。因此,有必要从适应现代电子商务运营要求方面,完善电子商务环境下的审计准则,减少不确定性。
(二)防范电子商务审计对象的风险
1、完善电子商务企业内部控制制度。内部控制作为规范企业经营的重要制度,能让电子商务企业强化风险意识,重视对企业数据完整性、准确性的控制,提高企业所有层面对于电子商务内部控制的重视程度,强化从业人员的风险意识。因此,加强电子商务企业的内部控制教育和培训非常重要。首先,企业要从实际出发,制定适合本企业的内部控制制度;其次,在内部控制的实践中,要加强对政策的执行掌控,可以通过设立专门的内部控制监督部门,制定各部门具体的考核计划等进行电子商务业务的全过程控制;最后,在执行结果的考量上,可以采取适当的惩罚和激励机制,提高全员对于自觉践行内部控制的积极性。此外,对于电子商务企业数据和程序的安全性控制上,相关行政管理部门可以通过制定完善的准则予以规范,从法律法规角度进行强制执行。
2、提高电子商务企业从业人员专业能力。面对竞争日益激烈的电子商务贸易,必须从加强本企业从业人员的专业能力入手,提高整个企业的综合竞争力。首先,企业要重视对具备管理能力和电子商务从业能力人才的重视和培养,利用提升薪资福利、加强企业凝聚力等方面留住人才;其次,在企业的日常运营中,要注重对员工的培训,包括最新的经济政策和市场消费动态,通过不断对员工充电来提升专业能力;最后,在企业中更要实行优胜劣汰的竞争机制,提升员工自我学习和竞争的能力。
3、加强对电子商务环境下新内容的审计。针对目前电子商务审计中存在的电子签名、网络支付审核等问题,从事审计工作的注册会计师在日常应加强对这些方面知识的关注,提高自我对电子商务运行的认知和对电子商务取数的能力。同时,提升电子商务环境下的网络安全控制问题也是一个待解决内容,企业可以通过购买防护能力更强的防火墙技术和加密技术,提高本企业的数据安全,从而降低企业整体的经营风险和审计风险。
(三)防范电子商务审计人员的风险
二、审计环境风险存在的问题
(一)经济环境多变且复杂
经济环境对于每一种行业的生存和发展都有着重要的影响,而其中的电商行业所受到的影响更大。这是因为电子商务不再遵循传统的产购销渠道,而是以高新网络技术为基础,将经营活动的多个环节都网络化,使得电商行业的市场得以扩大,甚至于全球化。市场的扩张,电商行业的企业在进行决策时所必须考虑的因素也就增加,所受到经济环境的影响也就变大,使得电商企业经营失败的可能性加大,这也将会导致企业的经营风险加大,从而导致审计风险。
(二)法律环境不完善
审计是一种社会经济活动,受到法律的约束,同时法律也对审计人员的权益进行保障,这便是法律环境。对比于其他产业,电子商务行业的注册会计师在进行审计工作时还要遵循电子商务法,是以,在电子商务审计中,审计人员要面临更大的诉讼风险。这便是法律环境对于审计风险的诱发因素。这常常会使得注册会计师为避免诉讼风险,而发表不恰当的审计意见,出具虚假的审计报告。审计风险便由此产生。
三、审计对象风险存在的问题
被审计对象是实施审计工作的客体,是注册会计师在审计过程中所收集的有关于被审计单位的资料与信息,可以被概括为被审计单位的经济活动。而承载被审计单位经济活动的资料与信息如果存在误差便会导致重大错报风险,即审计对象风险。
(一)内部控制很难发挥作用
内控风险的定义是指当某一认定存在错报,而被审计单位的内部控制没能及时的防止、发现及纠正的可能性,无论该错报单独考虑或是连同其它错报共同构成重大错报。主要包括内部控制是否设计合理,内部环境的类别,监督机构的相关人员是否确实的履行了其职责,被审计单位的管理层和治理层的命令是否得到了执行等。
电子商务的特点使得企业的经营业务的交易程序愈加简单,为保证交易的顺利完成导致内部控制不得不承??更多的责任,相对的,对于其的依赖也加大了,因此不可避免的加大了内控风险。
电子商务环境下的工作人员串通舞弊,内部控制可能很难发挥作用。因为电子商务审计工作中所能取得的审计证据多为电子单据或电脑记录等,如果被审计单位的工作人员直接在计算机上进行篡改的操作,内部控制就无法起到作用,所以使得内控风险增加。
(二)会计信息获取困难
在电子商务审计中,审计人员需审计的数据不仅包括传统模式下手工录入的原始凭证,账簿,还有现代技术下产生的电子数据。而数据风险便因为审计内容的多元化、复杂化而进一步加大。
电子商务的审计工作导致原有审计线索的改变乃至消失,注册会计师在收集审计证据时,往往无法取得直接的资料,只得在线查询或咨询,较之传统的纸质资料,网上的电子信息的可信度较低,导致了会计数据的获取愈加困难。
四、审计主体风险存在的问题
审计主体是接受审计业务的注册会计师及其所在的注册会计师事务所。审计人员在进行审计工作时,没有完全遵循职业准则便会导致检查风险,即审计主体风险的产生。是以,审计主体风险仅受进行审计工作的人员的控制。审计主体风险主要包括审计技术和方法落后所导致的风险和审计人员操作风险。
(一)审计技术和方法没有得到及时的应用
审计技术和方法是审计人员为达到审计目标,得出审计结论所运用的全部技术和手段。随着电子商务审计的兴起,审计软件也随之更新换代,企业对于审计软件有了更多的选择。但这也使得企业选择不恰当审计软件的可能性加大,如果选择了不恰当的审计软件,便会降低审计质量,增加审计风险。并且现在的审计软件还未能完全达到电子商务审计的要求,当前的审计技术和方法还需要进一步的发展。
(二)审计人员综合素质有待提高
随着电子商务审计的广泛运用,审计软件的不断的更新升级,对于操作人员的对于审计系统的软硬件配置及操作的要求日益提高,要求操作人员有扎实的相关的专业知识和解决现实问题的能力,即要求审计人员有很高的职业综合素质。但由于当前时代对于审计人员的培训还并不完善,没有系统的培养方式和途径,这也就无法从根本上规避操作风险,且在另一方面增加了操作风险。
1.电子商务项目与一般项目的比较
电子商务项目是指在规定的期限内,为实现电子商务而规划的投资、机构以及其它各方面的综合体。它既有一般项目的普遍性,又有更少的预算、更少的人、更短的时间、更复杂的系统等特殊性。
2.风险管理与一般管理的区别
美国经济学家奈特认为,风险即“不可测定的不确定性”,是指经济主体的信息不充分,难以对未来可能出现的各种情况给定一个概率值。而风险管理即以最小的代价降低风险管理的一系列程序。其实企业的一般管理活动在一定意义上也可以看作是风险管理,只不过是范围更大的风险管理。一般的管理涉及的是组织面临的所有风险,包括投机风险和纯粹风险。在企业经营中,涉及产品的生产和销售等一系列决策都在一种不确定的情况下,企业管理的人员主要工作是使企业经营效果尽可能好,消除或降低经营效果的不确定性。而风险管理者的责任领域则被限制在纯粹的风险方面,他将保护企业的财产和收入免受纯粹风险造成的损失。确切地说,风险管理者承担了属于一般管理者管理责任中的纯粹风险管理部分。[1]
3.电子商务项目风险的特征
电子商务项目中出现的风险虽然多为一般项目所固有,但其无论在表现形式、强烈程度或影响范围上都与传统项目中的风险有所不同,它涉及人、过程及技术三种因素,包括保护、检测、反应及恢复四个环节。(1)全球性。电子商务风险既可能来自国内,也可能来自世界任何一个地方,其根源在于电子商务的虚拟性。(2)传染性。电子商务风险可以在全球范围内迅速传播,具有很强的传染性和广泛的影响力,使人们很难进行有效防范。(3)成长性。在一定条件下电子商务风险会迅速成长和壮大。(4)隐蔽性。这种隐蔽性来自信息的非对称性。如果缺少相关的法律进行约束,投机和欺诈就会泛滥,电子商务就会趋向崩溃。(5)复杂性。在电子商务中,风险不是单一的,而是综合的,从而使得风险防范的难度大大增加。电子商务项目的风险管理是一个在信息系统生命周期各主要阶段实施的连续性过程,如表2所示。
4.电子商务项目风险的现状分析
4.1症状分析。从电子商务项目风险带来的危害来看,主要有这几种风险:(1)数据的欺诈或窃取。在电子商务交易中,所有的网络公司和个人都很可能成为欺诈行为的受害者。所以,如何保密交易的合作伙伴和雇主雇员之间信息是至关重要的。(2)对他人的诽谤、歧视或骚扰。在聊天室、BBS或电子邮件中都可能包含诽谤、歧视或骚扰之类的信息,所以,净化这些不良信息方可降低风险发生的概率。(3)营业系统的中断或损坏。这是后果最严重的,短路、电子故障、软件故障、病毒和恶作剧都能损坏电子商务的交易系统。(4)信任危机。交易中某发信者否认曾经发出过信息,例如,买家不承认下了订单,卖家不承认原先的交易等。所以,明确规范一个安全系统、相关信息安全条款和系统备份,才能保证网络交易系统的正常运行。这些都是因为实施电子商务而带来的新风险。
4.2危害分析。我们这里采用风险得失C、风险概率P和风险值RE来量化电子商务项目风险的危害。
风险得失C:1―损失很小,3―有一点损失,6―损失较大,10―巨大损失。
风险概率P:1―可能性较小,3―有可能,6―很有可能,10―肯定发生。
风险值RE=∑(单一风险值×风险概率)/风险个数。
另外风险值为17以上的为高风险,在7-17之间的为中等风险,7以下的为低风险。[2]
通过这种计算方法,我们不难得出,电子商务项目在具体实施阶段风险值最大,收尾阶段风险随之降低。当然也还可以采取风险影响评估矩阵、风险综合评价法、模拟、决策树分析和敏感性分析等方法对风险的危害进行量化。
4.3原因分析。造成电子商务项目风险有主观的原因,也有客观的原因。(1)风险意识淡薄。特别是传统行业实施电子商务项目时,企业的领导和员工在风险意识上尤为缺乏。由此造成开发方和使用方的信息沟通不通畅、项目开发方资金不能及时回收、使用方不满意项目质量等问题经常发生。(2)商业环境的不完善。包括文化环境、科技环境、法律环境等。相关立法滞后、国家和地区之间的管辖权问题,还有消费者的恶意透支、拖欠货款、伪造信用卡诈骗、物流配送系统失误等问题凸显。电子商务是一种全球范围内的经济活动,所以必须有好的商业环境,才能发挥它的潜力。(3)技术因素。项目开发人员由于缺乏经验、计划不周等原因使交易系统在某些功能上有所缺失,如有效的身份认证、信息的机密性保护和完整性约束。(4)网络犯罪。这可能来自企业内部,也可能来自企业外部。内部人员熟悉业务流程,往往给企业造成的危害更大。企业外部的黑客也越来越多,有的是为了展示自己的才能,也有的是非法的经济目的。(5)自然灾害等风险。火灾等人为不可抗拒的自然灾害风险也是造成项目风险的原因之一。
5.电子商务风险管理的几点对策
电子商务风险管理就是跟踪、评估、监测和管理商务整合过程中的新商业风险,尽力避免新商业风险给企业造成的经济损失、商业干扰及商业信誉丧失等,确保电子商务项目的顺利进行。鉴于以上对企业电子商务项目风险的分析,本文提出以下几点规避电子商务风险的对策:
5.1自上而下的风险意识。企业的决策应该高度重视电子商务项目的开展,项目实施的双方及时就出现的问题进行沟通解决,形成一个自上而下的全员参与的风险意识氛围。
5.2优化商业环境。搞好企业网络文化建设,使企业能通过电子商务实现信息共享,使员工具有主动学习的自助服务习惯[3];加强法律监控,政府应及时制定法律法规,严惩那些恶意获取他人机密信息和违反商业道德的犯罪行为。
5.3重视密码技术、身份验证技术、访问控制技术、防火墙技术、安全内核技术、网络反病毒技术、信息泄露防治技术、网络安全漏洞扫描技术和入侵检测技术9大核心技术在项目中的应用,逐步形成“攻、防、测、控、管、评”的一体化。[4]
5.4采取加密措施,防范犯罪。对企业秘密信息分等级管理,定岗定责,确认项目开发商的成功经验。另外交易中的密钥应定期更换,对系统上的员工进行制度化的检查,还要保管好相关文档,及时备份。
5.5制定电子商务安全策略。目的在于保护计算机系统和服务器等各种硬件实体和通信链路免受自然灾害的破坏。
6.结语
风险管理没有铁定的规则,电子商务项目的风险无论如何规避,总还是存在的。本文希望通过以上分析,为我国电子商务行业的健康良性发展提供些许帮助。
参考文献:
[1]顾孟迪,雷鹏.风险管理[M].北京:清华大学出版社,2005:41.
一、引言
外贸电子商务风险是指由于外贸电子商务活动中存在的不确定性而导致外贸电子商务主体遭受损失的可能性。
外贸电子商务是一种风险型商业活动,其风险既有来自外贸企业内部的,也有来自电子商务交易对象间的和外贸电子商务交易平台--Internet的。管理和降低其风险的第一步就是要意识到这些风险的存在;然后,在全面识别外贸企业电子商务风险的基础上,研究降低和规避风险的方法,构建风险防范体系。
二、我国外贸电子商务主要风险
1、网络技术风险
安全是外贸企业应用电子商务时最担心的问题,也是影响外贸企业有效开展电子商务的重要因素之一。多年来,我国网民对安全的担忧一直居高不下。据2006年7月中国互联网络信息中心的第18次中国互联网络发展状况统计报告显示,目前,有70.1%的网民用于上网的电脑在最近半年内受过病毒或黑客的攻击,61.5%的网民不进行网上交易的原因是交易安全得不到保障。外贸电子商务活动中存在的网络与计算机技术问题,即技术风险,正是造成外贸电子商务安全的主要原因之一。其主要包括:网络产品风险、网络基础风险、数据存取风险与加密技术风险。
2、信用风险
从电子商务登陆中国以来,诚信一直都是影响电子商务快速发展的瓶颈之一,信任的缺失已成为当今电子商务发展的主要障碍,我国网民对厂商信用的担忧近几年来呈现不断上升的趋势(如图一)。信用风险亦是外贸企业电子商务交易中的主要风险之一。由于国内外客户与外贸电子商务企业通过计算机网络和相关信息平台进行交流,双方减少或失去了面对面直接沟通的机会,这种虚拟性特征,使电子商务比之传统贸易存在更加严重的信用风险。其主要包括:由电子商务贸易伙伴引起的信用风险、由外贸电子商务企业引起的信用风险、由电子商务的技术特性引起的信用风险等。
3、法律、法规与制度风险
外贸电子商务法律和制度方面的风险主要起因于相关电子商务立法的滞后和全球环境下各国法律和制度的差异。立法的滞后严重制约我国外贸电子商务的发展,在法律不健全的条件下,企业只能做到尽量不违背现行法律,但企业会担心今后遇到法律冲突[4]。而外贸企业即使能够完全做到符合本国法律和制度,也难免会与他国法律发生冲突,各国电子商务法律和制度的差异使外贸企业不可避免地陷于风险之中。我国外贸电子商务当前最主要的政策环境障碍是对电子合约的保护不足,电子商务立法不成熟,相关法律不健全,电子合同执行与监督难,在行政许可法框架下政府对电子商务推进的职能和作为模糊不到位。另外,国际电子商务标准、税收和法律的复杂性方面,不同国家的语言、文化、习惯做法不同,技术差异,概念不统一,本来就有不同的标准、税收和法律,而新的电子贸易方式又给现行制度和规则带来了许多难以克服的问题。
4、企业电子商务管理风险
外贸企业电子商务管理风险主要体现在以下三个方面:首先,流程再造风险。电子商务是一种基于网络的新型商务模式,企业必须重新设计和建立企业内部及组织间的商务流程。然而企业内部流程与外部合作流程的改进并非一蹴而就,对于外贸企业来说,整个贸易过程不但涉及企业内部各部门、各贸易伙伴、银行、运输系统,还涉及海关、保险、商检、税务等几十个部门,在这繁琐而复杂的系统中,不但外贸企业内部电子商务流程再造至关重要,而且各贸易伙伴及相关部门的业务流程再造也直接影响外贸企业电子商务的成功实施。其次,交易流程管理风险。在电子商务过程中,贸易双方通过网络洽谈、传输电子文件、签订电子合同,由于这些环节中的电子商务管理对我国绝大多数外贸企业来说直到现在都是一个新课题,因此使外贸电子商务流程存在大量的新而复杂的管理风险。最后,人员管理风险。人员管理是企业电子商务安全管理的薄弱环节。近年来,我国计算机犯罪呈现内部犯罪的趋势,其主要原因是员工职业道德修养不高、安全教育和管理松懈、制度不健全。
5、信息风险
外贸电子商务中的信息风险主要来自以下两个方面:首先,信息不对称。参与电子商务的企业往往从自身利益出发,将相关信息当作商业机密加以封闭,不愿与其他交易各方共享,面对国际互连网,由于网络信息海量,搜索不利,部分国家进行信息封锁,使电子商务各方难以获得全面的信息。其次,信息被盗用、滥用。因特网是一个开放的空间,当用户进入网络时,由于技术上的不完善,容易造成信息安全问题。
6、网上支付风险
网上支付是外贸电子商务的重要环节,它在给人们带来方便的同时,也带来了一定的“金融风险”,例如网上银行的存款有被盗取的可能,就是一种最主要的金融风险形式。外贸电子支付,不但涉及国内跨行网上支付,更存在跨国网上支付问题,这种特殊性,使外贸电子支付比其它行业更为复杂和困难。由于电子支付、网上银行都是网络时代的新生事物,中国人民银行对于如何监管这类业务缺乏经验,尤其对其所涉及的技术问题缺乏了解,无法制定规则。例如遍布全球的中国外贸企业如何在网上申请外汇、进行外汇核销,多笔外贸业务如何通过网络简化手续等等,都缺乏统一的制度和管理。加之外贸企业电子商务90%以上都是B2B型大额支付,使其网上支付和汇兑风险更为突出,成为制约外贸电子商务发展的一个重要障碍。
三、外贸电子商务风险规避
1、加快技术研发与应用,应对网络威胁
第一,加强与世界各国的合作,努力提高商品代码标准化程度,尤其要做好EDI的标准化工作。目前国际标准化组织(ISO)正在推出系列EDI国际标准。一方面,我国要积极参与EDI标准的研讨和制定,另一方面应积极参照国际标准,在此基础上发展和推行我国自己的国家标准。
第二,推广电子商务安全技术,建立并不断完善安全防范系统。首先,设立防火墙、加强访问控制。防火墙是将专用网络和公共网络隔离开来的网络节点,由硬件和软件组成,其主要功能是通过建立网络通信的过滤机制,控制和鉴别出入站点的各种访问,进而有效地提高交易的安全性。同时防火墙技术的使用可以防范电子商务企业的网络遭到病毒的攻击,使计算机处于良好的工作状态,从而保证网上交易的正常进行。其次,采用数据加密技术,保证网络中数据传输的安全。网上交易涉及外贸企业的市场、生产、财务、供应等多方面的机密,必须实行严格的保密制度。企业可合理划分信息的安全级别,确定安全防范重点,制定有效的保障措施。保密工作的另一个重要的问题是对密钥的管理。大量的交易必然使用大量的密钥,密钥管理贯穿于密钥的产生、传递和销毁的全过程。密钥需定期更换,否则可能使“黑客”通过积累密文增加破译机会。
第三,强化外贸企业信息化安全管理。外贸企业应加强从员工、部门、企业到Internet平台以及国际出口的多级信息安全控制,强化企业信息中心的地位和作用,如图二所示。
2、加快相关法律与政策环境建设,构建良好的外贸电子商务制度环境
我国外贸电子商务相关法律、法规、政策环境建设,应参考国际《电子商务示范法》框架。我国应根据国情,制定一部用以全面规范我国电子商务活动的示范法律,以解决电子商务发展所面临的法律法规问题。我国电子商务立法,应包括电子合同的效力问题、电子支付及金融管理、税收与保险、网络管理与信息安全保护、电子证据与电子签名的法律认定、政府的强制性措施及审查机制、市场准入规则、知识产权保护、消费者合法权益的保护、司法的国际管辖和国际协助等等。同时应制订相应的法律,用法律的手段严惩那些违反商业道德、恶意获取他人机密信息等犯罪行为。
针对目前各国对电子商务认识不一致,而相关法律、法规又不完善的现实,外贸企业应根据自身情况逐步建立和完善一个法律风险防范的控制系统,以回避风险。如及时搜集国内和贸易伙伴所在国新出台的法律、法规,或通过相关的咨询部门及法律部门以获取相关专业信息,为企业正常运作寻找法律依据,避免因法律不清而使企业陷入不必要的纠纷或遭受不必要的损失。
3、建立约束性电子商务信用机制
信用问题是事关电子商务发展的重大问题,涉及厂家、商家、网站、银行、消费者等多方面利益,必须建立一个健全的社会信用体系。我国外贸行业应在社会各界的指导和监督下,搭建一个共谋诚信、共同发展的电子商务平台,开展形式多样的电子商务服务,加强电子商务的可信度、安全性和稳定性,保护交易各方的合法权益。
第一,设立强制性信用认证机构,并建立完善的信用评价体系。贸易各方在网上交易时,可利用第三方数字认证机构鉴别对方是否可信,通过该认证机构颁发数字证书来确认各方的身份,保证网上交易的安全性、高效性和专业性。但目前我国第三方数字认证机构众多,未形成统一有效的信用评价体系,缺乏权威性,难以得到国外客户的信任。因此,建议国家设定一个唯一的、权威的、专门的、强制性的“外贸行业第三方数字认证机构”,使数字证书持有者在国际电子虚拟市场中真正可信。
第二,制定电子商务信用分级管理制度,建立基于数字平台的“国家级电子商务诚信平台”和“城市电子商务诚信平台”,作为政府部门职能的延伸,在全球范围内披露外贸企业诚信问题。目前,由中国电子商务协会主办的中国电子商务诚信联盟(),已起到一定的诚信披露与约束作用,但其基本上属于民间性质,缺乏强制性和约束性,因此我们建议应建立由政府主导的电子商务诚信平台,以提升管理级别。同时,还应注重培养公民的诚信意识,完善社会信用体系,加强公民的道德教育,使全社会建立起一种自己守信同时也相信别人守信的健康心态。
4、慎选第三方外贸电子商务平台,分解电子商务风险
目前第三方电子商务平台已得到较好的发展,外贸企业应重视第三方电子商务平台的应用,慎重选择信用良好、稳定可靠的平台以分解电子商务风险。
在国内,外贸企业可根据自身实际,考虑选择“中国国际贸易企业应用电子商务平台”作为第三方电子商务平台开展外贸业务。2006年4月16日,中国商务部中国国际电子商务中心正式启动该平台。同日,由商务部中国国际电子商务中心和华美泛亚科技联手推出的大型国际贸易电子商务执行平台“贸自通”正式亮相。该平台不但信用级别较高,而且有利于简化外贸业务操作流程、提高中外贸易伙伴的沟通效率、降低外贸企业的运营成本,实现外贸企业内部无纸化操作和对外电子数据的高效交换。这种基于互联网 模式的数字平台,还可对国际贸易流程进行快速分析,为外贸企业提供规范的国际贸易操作流程,并将逐步实现与国内政务平台、其他商务平台、政府监管系统、服务企业系统的对接,对我国外贸电子商务发展起到重要的辅助作用。
5、倡导构建完善与协同的电子商务平台,提高外贸企业信息化水平
完善的电子商务平台应集信息流、资金流、物流为一体,实现企业内部、外部信息高效、安全交换。如图三所示,在企业内部,通过数据库服务器作为数据中心,为电子商务提供信息支撑;通过WWW服务器,建立外贸企业电子商务门户,为网上客户提供信息服务;通过安全服务器,实现相关认证与信息加密、解密;通过Internet与银行等外部系统进行沟通。从协同角度看,一个完善的外贸电子商务平台,应集成CRM、ERP、商务平台等系统,使全球的供应商、采购商、客户、其它合作伙伴以及员工、管理者、决策者在任何地点、任何时间都能够以各种方式,通过接口访问相关数据,实现高速互联、高效决策、管理与营销,为企业提供一个涵盖生产、技术、财务、人力、库存、销售、客户、服务等各种资源的整合的综合性现代化管理系统,如图四所示。
6、强化外贸企业电子商务管理,加强内部控制,建立安全电子商务
第一,建立CSO制度,提高安全管理级别。外贸企业电子商务安全管理,应从企业制度上体现。外贸企业的安全风险比其它行业更大,CSO(首席安全官,Chief Security Officer)应是企业不可或缺的重要职位,他不仅要处理信息技术,而且要承担全部的安全职责,需要与执行团队进行有效的合作,来共同实现企业的商业目标。CSO不但需要具备熟练的交流、谈判以及领导技能,还应掌握信息技术和安全硬件等方面的技术知识。
第二,强化企业相关人员培训,培养风险防范意识;实施工作责任制度,对违反网上交易安全规定的员工进行及时的处理;还要加强合作伙伴的管理。企业在网上对消费者有种种承诺,如:十天内交货等,为实现承诺,企业的供应链必须完善。不但要加强同供应商的及时联系,以保持货源的充足;同时,还应借助信息系统对货运公司加强管理,以便使顾客购买的商品能够在规定的时间内切实送到顾客的手中,提高顾客的满意度,借以维持顾客的忠诚度。
第三,加强外贸企业电子商务内部控制。在电子商务环境下,电子商务的安全关系企业的生死存亡,因此,“保证电子商务的安全性”应位于外贸企业电子商务内部控制目标的首位,具体表现为满足下列要求:第一,对电子商务的质量及安全要求,包括信息的机密性、完整性、可用性等;第二,对电子商务的经营性要求,包括系统运行的效果和效率、信息的可靠性和法令的遵循。为保证外贸电子商务的有效开展,内部控制应贯穿于从规划和组织阶段、建设阶段、交付和运营阶段,到监督阶段等电子商务系统建设的全过程。
最后,还应加快物流配送体系建设,完善国际电子商务支付手段。外贸电子商务物流,不但涉及国内物流,还涉及国外物流。一是要逐步开放市场,欢迎国内外的物流公司参与竞争,通过竞争,使我国的物流配送体系日趋完善;二是要重视物流人才培养,除了学校的人才培养外,还要加快物流师职业资格认证的步伐;三是要在物流管理技术化、信息化、柔性化和一体化等方面加强物流管理的创新。电子商务交易需要信息流、物流和资金流的同时畅通,因此必须完善电子支付系统,加强网上银行运营力度,提高银行电子支付水平,建立一个安全、严密、可靠的社会范围的电子支付系统,尽快成立统一的网上结算中心,并逐步开展与国外客户的网上结算服务。
【参考文献】
[1] David Smith. ”E-business strategy risk management”.Computer Law &Security Report.Vol.16 No.6,pp.394-396,2000
[2] 高功步、焦春风:中国中小企业电子商务国际化发展战略.世界经济与政治论坛,2005,(2)
[3] 焦春风:新形势下我国B2C电子商务发展中的若干问题分析.当代经济,2005,(12)
一、诚信呈现危机
跟着科技的发展,电子商务给人类带来了很大的便利,然而同时也给骗子有了行骗的空隙。在现实糊口中,良多网友被骗子骗过,骗子使出各种各样的伎俩进行行骗,使顾客1不谨慎就上当受骗。
二、难以节制管理
电子商务在运作的进程中,与传统的商业运作模式仍是有所区分的,相比传统模式,电子商务更有效力,也更具先进性。电子商务因为不是沿着传统的商业运作模式进行运作,而有些企业对于其规则又不了解,因而,对于电子商务没法进行很好的掌控。对于于有些企业的经营管理者来讲,对于电子商务的定单交易乃至不够了解,电子商务需要进行保密的相干问题也不了解,因而,使患上企业管理节制风险愈来愈大。
三、资金安全问题
电子商务要进行顺利运作,完备的安全认证措施起到了很大的作用,缺少安全认证措施,可能使电子商务的运行呈现风险。遗憾的是,对于于咱们来讲,网上安全认证的系统还处于后进的局面,也缺少完美的轨制以及相干措施,使患上企业的电子商务没法跟上企业的发展步伐,乃至阻碍企业的向前发展。
2、企业电子商务风险管理
一、对于风险进行评估、辨认
对于于企业来讲,大部份企业都有自己的网站,有的网站范围宏大,而有的网站范围较小。不管是大的范围仍是小的范围,当网站在进行网络营销时,它的功能实际上是差不多的,比如对于本身品牌形象的介绍、对于产品或者者企业服务的展现,相干信息,对于顾客进行相干服务,和进行资源合作、网上销售等等。
二、对于目标进行设定
所谓的风险管理,实际上也是对于风险本钱进行相应降低,使风险以及收益之间能够呈现平衡等。除了此以外,风险管理的目标要以及组织的1般的目标能够互相调和。
三、先施行方案,然后对于系统进行监督
施行方案,属于整个程序的最后1个步骤,而方案的施行,并不是代表风险任务已经经完成。因而,在对于方案进行施行的进程中,首先要对于项目进行延续的监督,以进1步对于正确方案的施行,同时,在施行的进程中,因为会呈现新的问题,因而,要对于方案进行相应的调剂。
3、企业电子商务风险节制相应的措施
一、采取技术防范
企业要进行电子商务的运作,首先触及到信息、资金、货物、商业秘密等方方面面的安全问题,哪怕某1方面呈现问题,均可以使企业遭遇损失。而要防止这些安全问题的产生,首先技术上要过硬,因而,作为企业首先要站在用户的立场进行思考问题,采取专业的网站结构进行设计相干的电子商务,采取高质量的内容来取得用户的市场,并且,可以通过搜寻引擎,使高质量的网站能够患上到适量的回报。
二、加快硬件设施的建设
网络通讯装备、计算机系统、服务器、通讯路线等1些相干装备,当在电磁泄漏或者者静电的情况下,会使数据造成损失,使秘要的信息遭遇泄漏。
三、进行安全审计监督
关于电子商务系统的风险与防范问题,已经有了很多话题,但绝大多数是从网络和交易两方面,且总是从技术角度进行讨论,然而,电子商务产生风险的原因是多方面的,不仅仅只有网络和交易两方面,其防范也不仅只是技术手段,下面就此展开讨论。
一、物理环境的风险及防范
电子商务系统的物理环境风险是指系统的外部环境所造成的风险,包括意外事故和自然灾害两方面:
意外事故如设备被盗,突然的断电、温度、湿度、电磁场的变化等、操作人员因玩笑、打闹的误动作而导致的设备损毁的风险;自然灾害如水灾、火灾、地震等不可抗拒力造成的风险。
物理环境所造成的风险对电子商务系统而言轻则直接造成业务交易的中断,给企业带来不可估量的损失,重则给电子商务系统带来毁灭性的打击。
对意外事故产生的风险应是可避免的,如安装机房环境的报警系统、采用自动切换的备份电源,以避免外界突然断电造成的交易中断,使用空调保证机房的温度和湿度,对机房进行电磁屏蔽,从制度上规范系统操作人员的行为,坚决制止其在操作空间的玩笑和打闹行为。
对自然灾害造成的风险虽无法避免,但利用远程(异地)备份数据和恢复机制,则可将损失降至最低。因此,为抵御电子商务系统的灭顶之灾,投入一些成本,建立远程(异地)备份数据和恢复机制,则是非常必要的。
二、系统硬件的风险及防范
系统硬件处于电子商务系统的底层,其风险主要来自构成系统设备存在的安全缺陷和硬件的质量。一般质量问题容易引起人们的重视,质量不好的设备谁也不会买,但硬件自身存在的安全缺陷往往容易被忽视,这类风险的隐蔽较大,但产生的风险却是最大的。上世纪末,我国就曾对某型号的CPU因存在安全隐患,而不得进入政府办公系统,做出过明确的规定。然而人们在购买系统硬件设备时,往往会花很多精力做诸如经济、技术上的论证,反复地考虑设备的性能价格比,却较少甚至不做有关安全论证。根本意识不到系统硬件缺陷带来的风险,这是很不可取的。
到目前为止,对我们而言,系统硬件最大的缺陷是其制造的核心技术,众所周知,构成我国信息基础设施的网络、硬件等产品几乎都是建立在以美国为首的少数几个发达国家的核心信息技术之上。由此而产生的风险是不言而喻的。
系统硬件风险的防范应从宏观和微观两方面进行:在宏观上,国家组织力量在关键的硬件制造技术上攻关,利用好国内外两个资源,需要以我为主,以创新的思想,超越固有的约束,研制具有中国特色的关键芯片,从根本上杜绝系统硬件产生的风险;在微观上,要建立系统硬件的风险意识,尽管到目前为止,系统硬件的安全不尽人意,但至少要知道风险的存在,同时应该清楚系统中哪些是存在风险的关键设备,一旦风险产生,应有规避风险的措施和办法,如监控系统的出入口上的数据流量,一旦出现数据流量异常,即刻切断系统的出入口或关闭设备,这总是做得到的。
三、系统软件的风险及防范
系统软件主要是指计算机操作系统软件和数据库管理系统软件,其风险主要来自这两个软件的安全漏洞。
操作系统软件处于硬件和上层应用的中间环节,可以提供对网络系统、数据库、应用软件、用户的认证管理等,提供全方位的保护。没有操作系统的保护,就不可能有网络系统的安全,也不可能有应用软件信息处理的安全性。由于操作系统是唯一紧靠硬件的基本软件,其安全职能是其他软件安全职能的根基, 缺乏这个安全的根基,构筑在其上的应用系统以及安全系统,如PKI、加密解密技术的安全性是得不到根本保障,因此,操作系统也与系统硬件一样是电子商务系统的安全基础之一。
数据库作为信息的聚集体,是电子商务系统的核心部件,从中可以寻找出一个企业的组织架构、管理理念、客户资源、人力资源组成、企业产能、销售渠道、合作伙伴、竞争对手等方方面面的信息,风险防范至关重要。
由于数据库的安全在很大程度上依赖于数据库管理系统,而数据库管理系统在操作系统下都是以文件形式进行管理的,因此入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用操作系统工具来非法伪造、篡改数据库文件内容。这种隐患一般数据库用户是难以察觉的。
长期以来,我们在构建电子商务系统时,尽管在规划阶段也会考虑安全问题,但基本上不考虑操作系统和数据库管理系统的安全,对其只进行性能上的选择,这使得电子商务的信息安全体系在基础上就先天不足,请注意,我国广泛应用的主流操作系统和数据库管理系统都是从国外引进直接使用的产品。这些系统安全性是很差的。众所周知Windows中存在着的漏洞和陷门,就不断引起世界性的“冲击波”和“震荡波”,存在极大风险。
对系统软件产生的风险,可从以下方面进行防范:
第一仍需国家组织力量攻关,从操作系统的内核编程技术入手,以密码技术为核心,构建具有中国特色的,拥有完全自主知识产权的安全操作系统,从操作系统的根本上解决安全问题。
第二在安全操作系统的研制尚未完成时,可对现有的操作系统进行安全加固,只要在它的外部加入一些加固模块,就能够起到很好的安全防范作用,例如采用设计安全隔离层?――中间件的方式,增强其安全性,基于应用对象,实施安全封装、主动服务。
第三对数据库文件进行加密处理,是数据风险防范的有效方法,可以从操作系统层面、数据库管理系统内核层面和数据库管理系统外层这三个层面分别对数据库的数据加密,这使得即使数据不幸泄露或者丢失,也难以被人破译和阅读。
四、电子商务软件的风险与防范
电子商务软件的风险来自系统自身程序的缺陷。这种缺陷主要来自两方面:一是在设计程序的时候,考虑的都是程序的功能和性能,基本没有考虑安全问题;二是不影响程序功能和性能的编程错误,这种错误有以下几种形式:程序员忘记检查传送到程序的入口参数;程序员忘记检查边界条件,特别是处理字符串的内存缓冲时;程序员忘记最小特权的基本原则。整个程序都是在特权模式下运行,而不是只有有限的指令子集在特权模式下运行,其他的部分只有缩小的许可;程序员从这个特权程序使用范围内建立一个资源,如一个文件和目录。不是显式地设置访问控制(最少许可),程序员认为这个缺省的许可是正确的。
这些错误被使用到攻击系统的行为中。不正确地输入参数被用来骗特权程序做一些它本来不应该做的事情。缓冲溢出攻击就是通过给特权程序输入一个过长的字符串来实现的。程序不检查输入字符串长度。假的输入字符串常常是可执行的命令,特权程序可以执行指令。程序碎块是特别用来增加黑客的特权的或是作为攻击的原因写的。例如,缓冲溢出攻击可以向系统中增加一个用户并赋予这个用户特权。由于设计时就没考虑这些风险,程序测试就自然无此项目,而访问控制系统中没有什么可以检测到这些问题。只有通过监视系统并寻找违反安全策略的行为,才能发现这些问题的错误。
电子商务系统软件风险的防范,应在电子商务系统规划阶段就予以充分考虑,对软件如何防止信息被故意的或偶然的非法授权泄漏、更改、破坏或使信息被非法系统辨识、控制的措施、过程、运行的风险管理、审计跟踪、备份与恢复、应急等方面都应有具体的措施和内容。只有这样,才能产生相关的程序测试用例,以验证程序的安全性。
由于大多数软件测试假定用户将以某种“随机”或“有用”的方式工作,检查程序在“一般”情况下或者在某些最大值下如何工作。与此相反,安全性缺陷通常只出现在使用极其古怪的值的情况时,传统的测试完全不会检查这样的值。因此,进行安全测试时,必须突破传统测试的框架,尽可能的找出足够多的安全测试数据,进行测试,以保电子商务软件自身的安全。
五、外来入侵的风险及防范
外来入侵是指计算机遭到攻击,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏。
黑客在本文是指未经许可,闯入他人计算机系统进行破坏的人,黑客们的攻击行动是无时无刻不在进行的,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录,设置后门,给ERP系统带来灾难性的后果。
计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,可以攻击计算机的磁盘、COMS,扰乱屏幕显示,干扰计算机键盘和打印机的正常工作,以致使计算机的硬件失灵,软件瘫痪,数据破坏,系统崩溃,造成无法挽回的损失。
值得高度关注的是:随着各种应用工具在计算机网络上的传播,黑客己经大众化了,不像过去那样非电脑高手不能成为黑客。而计算机病毒问世十几年来,各种新型病毒及其变种迅速增加,并利用计算机网络这一通道迅速传播;这就使防范外来入侵的难度大大增加。但是,既然是外来入侵,就必须要有外来的通道,这个通道就是开放的计算机网络,在此设防,抵御外来入侵事半功倍。目前常用的技术有:
1.防火墙。防火墙是应用最广的一种防范技术。作为系统的第一道防线,其主要作用是监控可信任网络和不可信任网络之间的访问通道,可在内部与外部网络之间形成一道防护屏障,拦截来自外部的非法访问并阻止内部信息的外泄,但它无法阻拦来自网络内部的非法操作。它根据事先设定的规则来确定是否拦截信息流的进出,但无法动态识别或自适应地调整规则,因而其智能化程度很有限。防火墙技术主要有三种:数据包过滤器(packet filter)、(proxy)和状态分析(stateful inspection)。现代防火墙产品通常混合使用这几种技术。
2.入侵检测。入侵检测(IDS―Instrusion Detection System)是近年来发展起来的一种防范技术,综合采用了统计技术、规则方法、网络通信技术、人工智能、密码学、推理等技术和方法,其作用是监控网络和计算机系统是否出现被入侵或滥用的征兆。1987年,Derothy Denning首次提出了一种检测入侵的思想,经过不断发展和完善,作为监控和识别攻击的标准解决方案,IDS系统已经成为安全防御系统的重要组成部分。入侵检测采用的分析技术可分为三大类:签名、统计和数据完整性分析法。
3.使用防病毒软件构造全网统一的防病毒体系。支持对网络、服务器、和工作站的实时病毒监控;能够在中心控制台向多个目标分发新版杀毒软件,并监视多个目标的病毒防治情况;支持多种平台的病毒防范;能够识别广泛的已知和未知病毒,包括宏病毒;支持对Internet/ Intranet服务器的病毒防治,能够阻止恶意的Java或ActiveX小程序的破坏;支持对电子邮件附件的病毒防治,包括WORD、EXCEL中的宏病毒;支持对压缩文件的病毒检测;支持广泛的病毒处理选项,如对染毒文件进行实时杀毒,移出,重新命名等;支持病毒隔离,当客户机试图上载一个染毒文件时,服务器可自动关闭对该工作站的连接;提供对病毒特征信息和检测引擎的定期在线更新服务;支持日志记录功能;支持多种方式的告警功能(声音、图像、电子 邮件等)等。
需提请注意的是:在购置实现以上安全技术的产品时,一定要检验其合法性,必须是经过国家有关管理部门的认可或认证的安全产品;同时要掌握产品的正确使用方法;还要有一套严格的管理制度,规范对安全产品的操作。这三点如不能同时做到,轻则使这些产品起不到应有的作用,重则会使电子商务系统无法正常运行,而给企业带来损失。
六、内部管理的风险及防范
内部管理的风险主要表现为:一些员工或管理员随便让一些非本地员工甚至外来人员进入机房重地,或者员工有意无意泄漏他们所知道的一些重要信息,错误地进入数据库、删除数据等等;对于已经离职的员工,没有及时地改变系统地口令并删除他们的记录,使他们无法再进入系统;当系统出现攻击行为或受到其它一些安全威胁时(如内部人员的违规操作等),无法进行实时的检测、监控、报告与预警。同时,当事故发生后,也无法提供黑客攻击行为的追踪线索及破案依据,即缺乏对系统的可控性与可审查性。
缺乏约束机制,责权不明,管理混乱、安全管理制度不健全及缺乏可操作性等是引起电子商务系统安全风险的根源。这就要求必须从管理上健全相应的规章制度来规范和约束员工的行为;根据工作的重要程度,确定该系统的安全等级;根据确定的安全等级,确定安全管理的范围;制订相应的机房出入管理制度对于安全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对人员进行识别、登记管理。制订严格的操作规程,操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,对系统进行维护时,应采取数据保护措施,如数据备份等。维护时要首先经主管部门批准,并有安全管理人员在场,故障的原因、维护内容和维护前后的情况要详细记录;制订应急措施,要制定系统在紧急情况下,如何尽快恢复的应急措施,使损失减至最小;建立人员雇用和解聘制度,对工作调动和离职人员要及时调整响应的授权;对系统的访问活动进行多层次的记录,及时发现非法入侵行为。
七、结语
以上从六个层面讨论了电子商务系统存在的风险及防范的办法,需要强调的是,每个层面都只是风险防范其中的一个环节,还需要各个环节的配合,才能达到电子商务系统安全的最佳状态。更重要的是,在我们的头脑中,要“预装”好风险防范的意识,只有这样,才能有严格的规章制度,使各种安全技术和产品得到有效的应用,保证电子商务系统的安全。
参考文献:
[1]程中东:广域环境下的企业信息系统安全管理分析[J].网络安全技术与应用,2007.4
(2)法律法规问题
由于电子商务是一种全新的商务形式,因而它也引发了一场新的冲突,电子商务与传统商务的冲突。传统的商务形式是一种非常成熟的商务活动形式,它拥有一毫引申完整妃并经过各国政府认可的法律体系,它为世界各国保护地区贸易提供了有效的法律依据。而对于Internet电子商务目前除了美国制定了一些相应的法律法规外,其它国家在这方面进展尚不快。特别是在国际贸易方面问题就更多,因此尽快制定较完善的法律法规是Internet上电子商务健康快速发展的有力保证。从目前的研究情况来看,国际上电子商务的法律框架大致包括以下几部分内容:金融领域的法律法规问题:主要是防止通过网络使资金流失以及政府如何有效地控制资金的流动;
(3)电子商务给经讲发展滞来的可能风险
随着电子商务活动的日益普及,越来越多的人们开始谈论电子商务会给他们带来的机遇和利润,但是专家认为电子商务在给人们提供机会的同时可能会带来新的风险。1999年初。
美国的两项最新研究认为,周期性的经济动荡有可能因为电子商务活动而发作得更为频繁,程度将进一步加重。据英国《新科学家》周刊报道,美国的IBM公司的研究人员指出,随着消费者越来越多地通过计算机网络购买商品,他们将日益被称为“软件”的程序来选择最优惠的价格。
但通过“软件”进行的交易大多是瞬时的、不受地理距离限制的,所以控制常规经济行为的一些约束因素对这些“软件”往往不起作用。这些“软件”会加剧市场的动荡,同时还可能引发灾难性的价格战。同时,实行电子商务后便可以在短时间内完成大规模的资金调运,政府可能对此完全失去监控,传统的经济理论也可能不再适用。目前国际上一些国家正在加紧研究这方面的问题,研究新的经济理论以适应电子商务的发展。、政(4)府在电子商务中的作用
政府承担着大量的社会、经济、文化的管理和服务功能,尤其在调节市场经济运行方面有着很大的作用。在电子商务时代,当企业应用电子商务遍于经营虚拟化、银行实现金融电子化以及消费者实现消费网络化的同时,将同样对政府服务和管理行为提出新的要求。因为没有一定程度上的管理复制电子商务不可能发展的这么快,没有规则的贸易活动将是十分危险的。但是未来政府的职能应当从管理型向服务型逐步转变,政府在电子商务中的作用主要体现在以下几个方面:
制定法律、法规、政策,从宏观角度规范电子商务的发展;
管理、协调全国电子商务的发展;
服务、推动电子商务的发展;
消费、促进电子商务的发展。
四、我国电于商务发展前景
电子商务的概念引入我国的时间不长,但发展势头喜人,全国已掀起了一股电子商务的热潮。在我国,由于网络建设和应用都处在起步阶段,金融电子化程度从总体上说还不理想,因此电子商务的推行仍需要一定的时间。同时,由于国内异地。异行之间各种卡的消费服务还未全面连通,加之企业上网意识淡薄、网上信息资源匾乏、信息安全难以有效保证等因素,严重制约了电子商务在国内的前进脚步。通过研究我们认为;电子商务基础还比较薄弱的我国,要迎接电子商务时代的来临,必须解决以下几个关键问题;
加速企业信息化,促使企业自觉上网。目前我国大部分Internet用户来自学校和科研单位,企业用户并未大量上网。尤其不少国有大中型企业更是无暇顾及企业的信息化、到网上冲浪去感知外面的精彩世界。企业上网积极性不高体现在某些专用网络用户寥寥无几。
解决信息的安全问题,让用户心中有数。众所周知,商业机密的保密问题十分复杂,国外许多国家在信息的安全和机密保密方面,都有特殊的要求。我国在信息安全保密体制上,究竟由谁管理?如何管理?有无一套有序的管理办法,许多人都感到茫然,不知所从。
要营造一个良好的商业标准化环境。要确保网上贸易畅通无阻,需要银行、商家和用户三者的密切配合。同时要改造企业的内部环境,使其内部的作业流程程序化、规范化。这里,金融机构的推动作用是必不可少的。
第一,安全是一个系统的概念。安全问题不仅仅是个技术性的问题,更重要的还在于管理。它与法律、道德和人的因素紧密地联系在一起,只有全面协调地发展,才能建立一个安全的电子商务系统。第二,安全是相对的。必须认识到,没有也不可能有一项永远攻不破的安全技术。那种妄想系统以后永远不受攻击,不出安全问题是很难的、是不现实的。第三,安全是有成本和代价的。在电子商务系统中,安全和速度是一对利益矛盾共同体。如果只注重速度就必定要以牺牲安全来作为代价。第四,安全是发展的、动态的。“道高一尺、魔高一丈”。今天安全明天就不一定很安全。安全技术具有很强的敏感性、竞争性和对抗性,需要不断地检查、评估和调整相应的安全策略。第五,出现问题很难找到负责人。电子商务机遇与挑战并存,潜在风险极大。值得高兴的事,我国政府已把电子商务的管理提到议事日程上来,开始了有关的立法和政策制定,相关的支持技术也不断发展完善。
电子商务对安全隐患的应对方式
电子商务安全的基本要求有以下几点:第一,确定贸易伙伴身份的真实性。第二,确保信息的保密性,如怎样保证用户的信用号不被窃取,如何保证货源定单等信息不被竞争对手获悉等。第三,保证电子定单等信息的真实性(未被冒充)以及在传输过程中未被篡改。第四,保证电子定单等信息的不可否认性,即交易的任何一方在未经对方同意的情况下都不能出尔反尔。第五,在交易双方发生纠纷时能得到合理的仲裁和解决。做到以上五点还不够,还需注意一些方面,比如:(1)网络隔离。根据功能、保密和安全要求的不同将网络进行分段隔离,细化安全控制体系,将攻击和入侵造成的威胁分别限制在较小的子网内,从而提高网络整体的安全水平;(2)数据加密技术与数字签名;(3)身份认证技术。利用RSA算法在密钥自动管理、数字签名、身份识别等方面的特性,建立的一个为用户的公开密钥提供担保的可信的第三方认证系统CA。CA为用户发放电子证书,用户之间利用证书来保证安全性和双方身份的合法性。4.SSL协议和SET协议。SSL协议是Netscape公司在网络传输层之上提供的一种基于RSA和加密密钥的用于浏览器和Web服务器之间的安全连接技术。SET协议是目前唯一保证信用卡信息能安全可靠地通过因特网传输的新协议。它为在Internet上进行安全的电子商务活动提供了一个开放的标准,为Internet上支付交易提供高层的安全和反欺诈保证。SET协议为基于信用卡进行电子交易的应用提供了安全措施,保证了电子交易的机密性、数据完整性、身份的合法性和抗否认性。SET是专门为电子商务而设计的协议,它在很多方面优于SSL协议,但也存在不能解决电子商务所遇到的全部问题。
[关键词]
电子商务;审计;审计风险
现如今,电子商务已成为人们生活中不可或缺的一部分,随着互联网信息化的高度发展,原有的传统商业模式已发生了翻天覆地的改变,在这种环境下,相关电子商务的审计工作面临着巨大的挑战。
1电子商务环境下审计的概念
今天所说的电子商务一般是指在互联网上进行的商业活动。电子商务环境下的审计,就是注册会计师对被审计单位的电子商务活动以及反映这些电子商务活动的会计记录和网络记录进行的必要的审计。它包括两个方面:①注册会计师对被审计单位的电子商务活动以及所反映的会计记录的真实性、完整性、合法性进行审计;②注册会计师对被审计单位的网络系统的可靠性、安全性、合规性进行审计。在这样的环境下,审计的一些主要要素也发生了改变。首先,审计环境由审计人员亲自到被审计单位进行审计证据的收集变为借助因特网、计算机、现代通信技术来进行;其次,审计对象由企业的会计信息和企业经营管理活动有关的其他信息变为计算机系统生成的会计信息或者储存信息;另外,审计方法也由人工变为了系统自动运算生成。这样,就在一定程度上增加了我们的审计风险。
2我国电子商务环境下的审计风险研究
2.1相关法律法规和审计准则不完善
虽然我国在电子商务的法律法规的制定和有关电子商务审计准则的制度方面取得了不少成绩,但是,仍存在着很大的不足。一方面,我国电子商务还缺少基础性的法律。虽然《中华人民共和国电子签名法》已出台多年,但整个电子商务的法律体系还没建立,很多电子商务细节缺乏统一的标准。另一方面,虽然我国现行的审计准则对电子商务审计有所涉及,但对注册会计师审计时的标准和具体程序没有明确规定,导致注册会计师在电子商务环境下审计时和传统审计的方法一样,这很可能会带来审计风险。
2.2社会信用体系缺失,网络安全问题严重
人与人之间的高度的信任是电子商务运行的基础,但是在我国,社会信用体系还没有建立,人们的信用观念相对淡薄,企业的信用水平低下,这难以保证企业与企业、企业和个人之间交易的正常稳定的进行,很可能导致信息造假、欺骗、欺诈等风险行为,导致电子商务风险的出现。另外,网络安全问题是互联网发展过程中一个不可忽视的关键问题。电子商务面临的安全问题主要包括信息的造假、信息的篡改以及对信息进行窃取等。如果不能保证电子商务的安全性,注册会计师在审计中无法获得真实可靠的审计证据,审计的风险自然就会增大。
2.3电子商务环境下企业的内部控制薄弱
我国的电子商务兴起比较晚,很多企业刚开始运用电子商务平台经营自己的业务,对电子商务的一些细节和特点还不太熟悉,电子商务的管理及其控制对于很多企业都存在很多漏洞,诸如运用电子商务的购销业务,电子发票的开具和保管等,这些都加大了我们对电子商务的审计风险。
2.4审计人员的专业胜任能力不够
电子商务环境下审计涉及审计、会计、电子商务、网络技术等多方面的审计,注册会计师在电子商务环境下进行审计时不仅要掌握财务、审计方面的专业知识,而且也要对电子商务,网络技术等方面的知识有一定的了解。然而,由于我国电子商务刚刚兴起,这方面的审计人才无论在数量上还是专业胜任能力上都存在严重的不足。此外,审计老龄化也是个突出的问题,年龄较大的审计人员虽然在传统的财务审计方面经验丰富,但对电子商务、计算机方面的知识了解很少。
3我国电子商务审计风险的防范
3.1完善我国电子商务的法律法规和审计准则
电子商务法律法规能够对电子商务活动起到规范的作用。虽然我国在电子商务立法方面取得了一定成就,但这些法律法规还不能满足现实的需要,因此必须加快电子商务审计法律法规的建设进程。在电子商务法律法规的制定上我们可以借鉴一些国家的经验,制定出以保护消费者权益、保护个人隐私、保护平等竞争、保护公平交易为原则的电子商务法律法规。
3.2完善社会信用体系和维护网络安全
能否有效的解决电子商务信用风险问题,依赖于整个社会信用体系的建立和健全,政府相关部门可以通过与企业和个人相关的税务、工商、质检等系统,来建立企业和个人的信用数据库,并且可以向社会开放,为社会提供信用查询,这样可以对企业和个人的信用状况做出评判,以此来完善社会信用体系。
3.3鼓励企业建立完善的电子商务内部控制制度
企业应提高管理层对电子商务内部控制系统的认识、强化电子商务人员的风险意识。因此,对企业管理层的现代化管理教育和培训十分重要。企业的管理层要重视企业内部控制部门的作用,加强内部控制部门对企业管理的参与。企业的内部控制部门要定期对内部控制系统进行评估,包括针对电子商务的内部控制系统的评估
引言:
21世纪,随着计算机的普及和网络技术的迅速发展,以电子商务为核心的经营和消费理念使社会的经济结构以及经营和消费方式都发生了巨大的改变。电子商务的发展迅速推动了网络金融的发展,随之也带来了网络金融风险。
网络金融是金融与网络技术全面结合的产物,其内容包括网上银行、网上证券、网上保险、网络期货、网上支付、网上结算等金融业务。随着网络金融的不断发展,一种不同于传统金融的金融风险暴露出来,而网络犯罪的兴起进一步引起人们警觉,使网络金融风险管理越来越引起人们的关注。
一、网络金融风险的特殊形式及其原因
网络金融风险主要表现为两种特殊形式:基于网络信息技术导致的技术风险和基于网络金融业务特征导致的业务风险。
网络金融技术风险主要包括安全风险和技术选择风险。由于网络金融的业务及大量风险控制工作均由电脑程序和软件系统完成,因此电子信息系统的技术性和管理性安全就成为网络金融运行最为重要的技术风险。安全风险产生的原因既包括计算机发生故障等不确定因素,也包括来自网络外部黑客攻击,病毒感染等。据统计数据显示,在发达国家,由于计算机故障造成的对金融业的损失相当大;另一方面,我们也深受黑客行为侵害,通过电脑病毒的传播,黑客们在网络中进行大规模钓鱼,盗取个人资料,银行密码,给网民带来了巨大的经济损失,据普华永道公司27日一份调查报告称,网络犯罪已经成为对金融服务业不断增长的威胁,在该行业全球范围内的经济犯罪中排名第二。
网络金融技术选择风险则是指在开展网络金融业务时,由于存在技术选择失误的问题而产生的风险。网络金融依赖于成熟的网络技术,然而现有的技术并非完美的,往往存在其特有的缺陷,因此,在技术选择上的失误将对整个网络金融业务的开展产生较大风险。技术选择风险的产生有两个原因,其一是由于选择的技术系统与客户终端软件的兼容性较差而导致信息传输中断或速度降低的可能,其二是由于选择了较为落后的技术方案,使得由于技术过时而导致巨大的技术和商业机会的损失。
网络金融业务风险与传统金融业务风险在本质上相似,最主要就是信用风险和流动性风险。
首先,网络信用风险指网络金融交易者在合约到期日不能或不愿完全履行其义务而产生的风险。由于网络本身是具有虚拟性的,因此网络金融业务和服务机构也都具有显著的虚拟性。虚拟化的金融机构可以利用虚拟现实信息技术增设虚拟分支机构或营业网点,从事虚拟化的金融服务,其中一切业务的活动(包括交易信息的传递、支付结算等)都在由电子信息构成的虚拟世界中进行。虚拟性大大增加了在网络金融业务中对交易对手所给信息的认证与识别的难度,可以说是一个信息相当不对称的环境,从而对对方的信用评价,以及对风险的评估都收到了很大限制。正因如此,网络金融业务中所面临的信用风险往往比传统金融业务中更大。而对我国而言,由于社会信用体系的不完善,又进一步加深了网络金融中的信用风险。因此,我国目前的社会信用状况正是大多数个体、企业客户对网络银行、电子商务采取观望态度的一个重要原因。
第二,网络流动性风险是指网络金融机构由于缺乏足够的资金满足客户兑现电子货币需求所产生的风险。由于目前的电子货币是电子化、信息化了的交易媒介,尚不是一种独立的货币,交易者收取电子货币后实际上并未最终完成支付,还需从发行电子货币的机构收取实际货币,因此电子货币发行者就必须满足这种流动性的要求。如果发行者实际货币储备不足那么其流动性风险也就暴露出来。事实上,流动性风险还可能由于网络系统发生故障,黑客入侵,病毒感染等原因引发,而这又与网络技术安全风险息息相关,因此可以看到,网络金融风险是一个更加复杂,联系性更加紧密的系统,其范围更广,危害也更大。
当然,网络金融业务风险也还包括支付和结算风险,法律风险和其他风险等,这里不作细谈。
二、网络金融风险管理的一些建议
正因为网络金融风险的特殊性以及其可能产生的严重后果,我们对于网络金融风险的管理就显得尤为重要。针对网络金融风险的特殊性质,本文提出以下几点建议:
首先,要对网络系统进行定期安全检查并及时进行技术更新,以将系统发生故障以及受到黑客袭击的可能性降到最低。同时,要培养网络在职人员应对突发事故的能力,可以通过演习训练,技术讲座等方式进行,并且要加大对网络犯罪的打击力度,降低犯罪率。
第二,要健全个人和企业信用体系。在建立和完善个人和企业信贷登记制度的基础上,尽快将网络与现实的信用信息相互结合,使个人和企业信用能够充分暴露于整个网络系统之中,从而实现信用信息共享,还可以以居民存款实名制为基础,开发个人信用数据库,逐步建立个人信用体系。通过这样一个完善的信用信息系统,可以一定程度上解决网络金融业务中所存在的信息不对称的问题,从而减少网络信用风险。
第三,要积极完善与落实监管法规。我国应尽快制定有关法规,健全网络金融业务发展和管理的法规框架。一是要加快电子商务立法进程,明确数字签名、电子凭证的有效性,明确电子商务中银行和客户双方的权利和义务;二是要完善网络金融业的监管规章。由于网络金融业和传统金融业在本质上是一致的,因此对传统金融业的审慎监管规章基本上适用于网络金融业。当然,我们应针对网络金融业的特点,补充完善现有的监管规章体系。
综上所述,网络金融业务由于其存在于网络这个虚拟环境的特殊性质,拥有其特殊的网络金融风险,这些风险比传统金融风险在范围上影响更大,并且更具有突发性、传染性,因此其危害也更大。因此,重视对网络金融风险的管理,并采取具有针对性的管理方法对于电子商务下网络金融业的发展尤为重要。
参考文献:
1引言
随着互联网技术的飞速发展及电子商务的日益繁荣,基于网络支付的第三方支付平台逐步出现并得到迅速的发展。目前,对于第三方支付的概念还没有非常准确的定义, 但普遍认为, 第三方支付就是和国内外各大银行签约、并具备一定实力和信誉的第三方独立机构在电子商务企业与银行之间建立一个中立的支付平台, 为网上购物提供资金划拨渠道和服务。在交易中, 买方选购商品后, 使用第三方平台提供的账户进行货款支付, 由第三方通知卖家货款到达、进行发货;买方检验物品后, 就可以通知付款给卖家, 第三方再将款项转至卖家账户。
面对第三方支付提供的服务所获得的优厚利润,国内和国外的第三方支付公司纷纷出现,如目前易趣的“安付通”、阿里巴巴的“支付宝”、一拍网的“e拍通”、慧聪网的“买卖通”等等。然而,第三方支付作为目前主要的网络交易手段和信用中介, 在网上商家和银行的连接、监管和技术保障的方面还存在着一定的风险,这些问题将阻碍第三方支付的进一步发展,如何防范、降低并控制这些风险,是目前研究的热点之一。
2电子商务第三方支付的风险分析
2.1网络安全风险
第三方网上支付的业务及风险控制工作均是由电脑程序和软件系统完成, 故网上支付系统的安全是第三方网上支付面临的重要风险。虽然目前网上银行和第三方网上支付平台都设计有多层安全系统, 并不断开发和应用具有更高安全性的技术及方案, 以保护支付平台的平稳运行, 但是从总体来说,其安全系统仍然是第三方网上支付业务中最为薄弱的环节。这种风险可来自计算机内部,比如系统停机、磁盘损坏等不确定因素, 也会来自网络外部的黑客攻击, 以及计算机病毒破坏等因素。安全风险主要体现在三个方面: 一是数据传输过程中遭到攻击,威胁用户资金安全;二是网上支付应用系统本身存在的安全设计上的缺陷可能被黑客利用,危害整个系统的安全,造成重大损失; 三是计算机病毒可能突破网络防范,入侵网上支付的主机系统,造成数据丢失等严重后果。
2.2金融风险
资金滥用。在第三方网上支付平台中,除支付宝等少数几个并不直接经手和管理来往资金,而是将其存在专用账户外,其它公司大多代行银行职能,可直接支配交易款项,这就可能出现不受有关部门的监管,而越权调用交易资金的风险。
诈骗犯罪。由于网上交易的匿名性和隐蔽性,使第三方支付可能成为通过制造虚假交易来实现诈骗的手段,有些不法分子利用购买者对第三方支付流程以及后果的不熟悉,利用安全漏洞来骗取钱财,比如说,支付平台的网上操作中有取消支付的选项,在取消支付后,如果直接撤销刚才的取消操作来再次确认支付,顾客的钱就在未收到购买物品之前就打到了销售者的账户中,造成诈骗。
盗卡恶意支付。虽然越来越多的银行已经不再默认银行卡可直接上网,而是用户通过申请并认证的方式,才可开通网上银行,但多数情况下,用户只需要使用自己的银行卡卡号和密码,在网上提交一个申请,即可开通网上银行。如何防范盗卡者在网上恶意支付,对于第三方支付厂商来说,在缺少必要信息支持的环境下,建立这样的风险控制系统就更为艰难。
资金沉淀。 第三方网上支付平台通过对交易资金的暂时保管,在交易过程中监督和约束买卖双方。在交易过程中,当买方把资金转到第三方的账户,此时第三方起到了一个对资金的保管作用,买方仍然是资金的所有权人。当买方收到商品,确认付款时,所有权转到卖家。所以,第三方作为资金的保管人,始终不具备对资金的所有权,只是保管的义务。根据目前的交易规则,支付金额可以在第三方网上支付平台上停留3至7天,这样,支付平台中随时都有数以千万计的资金沉淀。随着将来用户数量的增长,这个资金沉淀量将非常巨大。而对于这笔资金,第三方将可取得一笔定期存款或短期存款的利息,且利息的分配会引发新的问题。如缺乏有效资金管理,就有可能引发支付风险和道德风险。
2.3法律风险
对于第三方的法律地位问题,及各方权利义务关系,目前在法律上还未做出明确的规定。虽然从业务上来看,这些电子商务第三方支付平台只是提供支付服务,但是它同时又聚集了大量的资金,从某种程度来说已经具备了银行的性质,但是却不受银行相关法律的控制,尽管第三方网上支付企业,都以中介人的名义对外宣传,但实际上,其业务明显存在“吸纳储蓄”的嫌疑,用户资金的时间价值(利息)可能成为其主要的利润来源,这显然涉及到金融的范畴。所以,第三方网上支付平台的法律地位需要进一步以明确的立法加以规范。
在法律责任方面,国家并无专门法律调整网上支付法律关系,实践中往往依据合同法和侵权法。但如果将第三方网上支付各当事人的法律关系完全交由合同法和侵权法调整,消费者因其弱势地位合法权益往往得不到充分保障,因为在网上支付的合同中,消费者根本没有决定合同内容的权利,只能选择接受与否。第三方网上支付较之于传统支付方式其技术性更强,同时存在一些安全漏洞,如果客户在交易后财产被盗取或系统故障,使得客户遭受损失,应如何界定各方责任,也缺乏规范,这些最终将制约着第三方网上支付的发展。
3电子商务第三方支付的风险控制
3.1第三方支付平台的法律约束
尽快出台相关的法律法规,明确第三方支付公司的法律地位,进一步规范其业务范围。通过尽快出台一些办法进一步明确第三方网上支付清算属于支付清算组织的非银行类金融业务。制定相关法律保护客户的利益和隐私权,明确客户和第三方支付平台间的权利和义务。通过制定对洗钱、信用卡套现、欺诈等网络犯罪法律对交易进行法律约束。
3.2改进网上交易税收监控手段
网上交易所具备的交易隐蔽性、快速性以及交易主体的跨地域、全球性等特点, 使网上交易税收问题对传统方式税收提出了挑战。在我国现有的税收体制中, 税收都是按照属地化管理的原则来进行的, 而网络交易的跨地域性将加大确定税收主体的难度。因此对新技术条件下发展起来的网上交易, 要研究用新的监控手段进行征税。第三方支付平台作为网上交易现金流的出入口, 是买家和卖家进行交易的一个凭证, 因此可考虑将第三方支付作为网上交易征税的突破口。另外还需制定第三方支付中的税收监管法律, 严惩逃税行为。
3.3加强对第三方支付平台的监管
加强第三方支付平台的监管,首先明确市场准入门槛。由于行业的准入门槛较低, 从事第三方支付平台的服务商注册资金规模、资质参差不齐,容易引发风险。其次加强对第三方支付平台沉淀资金的监管。应规定第三方支付服务商的自有账户与用户沉淀资金的账户相分离。禁止将用户沉淀资金进行放贷、投资或挪作他用, 由银行对用户资金账户进行托管。目前工商银行便为“支付宝”托管账户, 并且每月出具账户资金的使用报告。最后建立第三方支付保证金制度。要求第三方支付服务商在其开户银行存有一定金额或交易比例的保证金, 一旦第三方出现问题, 银行可以立即冻结这部分资金用以抵御风险, 以在一定程度上保障广大用户的资金安全, 不致因第三方机构的风险而蒙受过大的损失。
3.4 加强内部监督和管理,规范信息披露制度
当前,一些第三方支付公司缺乏健全的内控机制,组织内部没有建立相关的管理规章。一些不成规模的第三方支付公司急于赢利或“抢地盘”,放松了对公司内部的制约与管理,容易造成员工道德风险,如延迟信息传递或泄密等类似现象的出现,使清算组织的信誉受损。而且,除了内部少数人之外,外界很难知道公司的经营状况,信息披露非常不充分。因此,要按照产权明晰、责任明确、管理科学和政企业分开的要求建立现代公司制度,并规范内部信息披露制度。通过建立内部责任分工制度、权利制约制度、激励和惩罚制度,独立的财务制度等来提高第三方支付公司的管理水平和绩效。
4结束语
第三方支付作为一种新型的支付方式, 尽管在法律、资金等方面存在一定的风险隐患, 但第三方交易的便利性、低成本性、高效性,已成为我国乃至全球电子商务发展的趋势。因此, 第三方支付存在的风险问题应受到政府部分的高度关注,并采取相应措施为这种新型支付模式的发展提供良好的经济、法律和政策环境, 促进整个电子商务支付平台健康、快速地发展。
参考文献:
[1]陈小满,陶牡丹,吴波.电子商务参与下的交易信用[J].重庆邮电大学学报(社会科学版),2007,(01):33-35.
[2]陈力行.关于第三方支付模式的探讨[J].商场现代化,2006,(08):94-95.
[3]吴剑东.基于第三方的网上支付风险性分析[J].商场现代化,2007,(36).