1、2022-3-24信息系統(tǒng)審計(jì)1信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì) 主講：主講： 陳耿陳耿 2022-3-24信息系統(tǒng)審計(jì)29 電子商務(wù)審計(jì)電子商務(wù)審計(jì) 電子商務(wù)審計(jì)是信息系統(tǒng)真實(shí)性審計(jì)。電子商務(wù)審計(jì)是信息系統(tǒng)真實(shí)性審計(jì)。結(jié)合案例討論：結(jié)合案例討論： 1、安然公司是如何利用電子商務(wù)舞弊的？、安然公司是如何利用電子商務(wù)舞弊的？ 2、財(cái)務(wù)審計(jì)為什么不能發(fā)現(xiàn)這些舞弊？、財(cái)務(wù)審計(jì)為什么不能發(fā)現(xiàn)這些舞弊？ 3、電子商務(wù)的安全性體現(xiàn)在哪些方面？、電子商務(wù)的安全性體現(xiàn)在哪些方面？ 4、財(cái)務(wù)報(bào)表的真實(shí)性與電子商務(wù)真實(shí)性的關(guān)系？、財(cái)務(wù)報(bào)表的真實(shí)性與電子商務(wù)真實(shí)性的關(guān)系？ 2022-3-24信息系統(tǒng)審計(jì)39 電子商務(wù)審計(jì)電

2、子商務(wù)審計(jì) 一、信息系統(tǒng)審計(jì)的發(fā)展演化一、信息系統(tǒng)審計(jì)的發(fā)展演化 二、電子商務(wù)安全審計(jì)二、電子商務(wù)安全審計(jì) 三、電子商務(wù)真實(shí)性審計(jì)三、電子商務(wù)真實(shí)性審計(jì) 2022-3-24信息系統(tǒng)審計(jì)49.1電子商務(wù)概述電子商務(wù)概述 1、電子商務(wù)的定義、電子商務(wù)的定義 ： （1）以互聯(lián)網(wǎng)為主要平臺(tái)，各種現(xiàn)代化信息技術(shù)為支撐；）以互聯(lián)網(wǎng)為主要平臺(tái)，各種現(xiàn)代化信息技術(shù)為支撐； （2）以電子信息的傳輸來實(shí)現(xiàn)各種商務(wù)活動(dòng)（包括商品交換，）以電子信息的傳輸來實(shí)現(xiàn)各種商務(wù)活動(dòng)（包括商品交換，提供服務(wù)與信息，資金交割等）。提供服務(wù)與信息，資金交割等）。 2022-3-24信息系統(tǒng)審計(jì)59.1電子商務(wù)概述電子商務(wù)概述 2、電

3、子商務(wù)的形成：、電子商務(wù)的形成： 電子商務(wù)的形成于發(fā)展是技術(shù)發(fā)展和政府推動(dòng)共同作用的電子商務(wù)的形成于發(fā)展是技術(shù)發(fā)展和政府推動(dòng)共同作用的結(jié)果，二者相輔相成，缺一不可。結(jié)果，二者相輔相成，缺一不可。 （1）技術(shù)的發(fā)展）技術(shù)的發(fā)展 （2）政府的推動(dòng)）政府的推動(dòng) 2022-3-24信息系統(tǒng)審計(jì)69.1電子商務(wù)概述電子商務(wù)概述 3、我國(guó)電子商務(wù)的發(fā)展、我國(guó)電子商務(wù)的發(fā)展 ： （1） 從從1990年至年至1993年，開展了基于年，開展了基于EDI的電子商務(wù)應(yīng)的電子商務(wù)應(yīng)用階段。用階段。 （2）從）從1993年至年至1997年，政府領(lǐng)導(dǎo)組織開展年，政府領(lǐng)導(dǎo)組織開展“三金工程三金工程”階段，為電子商務(wù)發(fā)展打基

4、礎(chǔ)。階段，為電子商務(wù)發(fā)展打基礎(chǔ)。 （3）自）自1998年開始進(jìn)入互聯(lián)網(wǎng)電子商務(wù)發(fā)展階段。年開始進(jìn)入互聯(lián)網(wǎng)電子商務(wù)發(fā)展階段。 （ 4）2000年后，我國(guó)的基于互聯(lián)網(wǎng)的電子商務(wù)進(jìn)入了務(wù)年后，我國(guó)的基于互聯(lián)網(wǎng)的電子商務(wù)進(jìn)入了務(wù)實(shí)發(fā)展階段。實(shí)發(fā)展階段。 2022-3-24信息系統(tǒng)審計(jì)79.1電子商務(wù)概述電子商務(wù)概述 4、電子商務(wù)的類型、電子商務(wù)的類型 ： 企業(yè)對(duì)企業(yè)（企業(yè)對(duì)企業(yè)（B2B） 企業(yè)對(duì)消費(fèi)者（企業(yè)對(duì)消費(fèi)者（B2C） 企業(yè)對(duì)政府機(jī)構(gòu)（企業(yè)對(duì)政府機(jī)構(gòu)（B2G） 2022-3-24信息系統(tǒng)審計(jì)89.1電子商務(wù)概述電子商務(wù)概述 5、電子商務(wù)的體系架構(gòu)、電子商務(wù)的體系架構(gòu) ： 三層框架結(jié)構(gòu)三層框架結(jié)構(gòu)

5、 ，即基礎(chǔ)層，技術(shù)層，應(yīng)用層，即基礎(chǔ)層，技術(shù)層，應(yīng)用層應(yīng)用層： 電子商務(wù)應(yīng)用系統(tǒng)技術(shù)層：認(rèn)證中心支付網(wǎng)關(guān)/客戶服務(wù)中心基礎(chǔ)層： 網(wǎng)絡(luò)2022-3-24信息系統(tǒng)審計(jì)99.1電子商務(wù)概述電子商務(wù)概述 6、電子商務(wù)對(duì)審計(jì)的影響、電子商務(wù)對(duì)審計(jì)的影響 ： 由于電子商務(wù)的虛擬化、數(shù)字化、匿名化、無國(guó)界和由于電子商務(wù)的虛擬化、數(shù)字化、匿名化、無國(guó)界和支付方式電子化等特點(diǎn)，使其交易情況大多數(shù)被轉(zhuǎn)換為支付方式電子化等特點(diǎn)，使其交易情況大多數(shù)被轉(zhuǎn)換為“數(shù)據(jù)流數(shù)據(jù)流”在網(wǎng)絡(luò)中傳送，增加了操作隱蔽性和復(fù)雜度，在網(wǎng)絡(luò)中傳送，增加了操作隱蔽性和復(fù)雜度，提高了企業(yè)舞弊的動(dòng)機(jī)，也降低了審計(jì)師的鑒證能力。提高了企業(yè)舞弊的動(dòng)機(jī)

6、，也降低了審計(jì)師的鑒證能力。 2022-3-24信息系統(tǒng)審計(jì)109.2 電子商務(wù)安全審計(jì)電子商務(wù)安全審計(jì) 1、電子商務(wù)的安全問題、電子商務(wù)的安全問題 ： （1）交易信息保密）交易信息保密 （2）交易者身份確認(rèn)）交易者身份確認(rèn) （3）交易不可否認(rèn)）交易不可否認(rèn) （4）交易記錄不可修改）交易記錄不可修改2022-3-24信息系統(tǒng)審計(jì)119.2 電子商務(wù)安全審計(jì)電子商務(wù)安全審計(jì) 2、SSL協(xié)議協(xié)議 ：該協(xié)議向基于該協(xié)議向基于TCP/IP的客戶的客戶/服務(wù)器應(yīng)用程序提供了客戶服務(wù)器應(yīng)用程序提供了客戶端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全。端與服務(wù)的鑒別、數(shù)據(jù)完整性及信息機(jī)密性等安全。2022-3

7、-24信息系統(tǒng)審計(jì)129.2 電子商務(wù)安全審計(jì)電子商務(wù)安全審計(jì) 3、SET協(xié)議協(xié)議 ：SET協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的協(xié)議保證了電子交易的機(jī)密性、數(shù)據(jù)完整性、身份的合法性和抗否認(rèn)性。合法性和抗否認(rèn)性。2022-3-24信息系統(tǒng)審計(jì)139.2 電子商務(wù)安全審計(jì)電子商務(wù)安全審計(jì) 4、其他電子商務(wù)信息安全協(xié)議、其他電子商務(wù)信息安全協(xié)議 ： 安全超文本傳輸協(xié)議（安全超文本傳輸協(xié)議（S-HTTP） 安全交易技術(shù)協(xié)議（安全交易技術(shù)協(xié)議（STT） UN/EDIFACT標(biāo)準(zhǔn)標(biāo)準(zhǔn) 電子交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守則電子交換貿(mào)易數(shù)據(jù)統(tǒng)一行為守則（UNCID） 2022-3-24信息系統(tǒng)審計(jì)149.2

8、 電子商務(wù)安全審計(jì)電子商務(wù)安全審計(jì) 5、數(shù)字證書、數(shù)字證書 ：數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的數(shù)字證書是用電子手段來證實(shí)一個(gè)用戶的身份和對(duì)網(wǎng)絡(luò)資源的訪問權(quán)限。證書就是一份文檔，記錄了用戶的公開密鑰和其他訪問權(quán)限。證書就是一份文檔，記錄了用戶的公開密鑰和其他身份信息。身份信息。 2022-3-24信息系統(tǒng)審計(jì)159.2 電子商務(wù)安全審計(jì)電子商務(wù)安全審計(jì) 6、PKI體系體系 ：2022-3-24信息系統(tǒng)審計(jì)169.2 電子商務(wù)安全審計(jì)電子商務(wù)安全審計(jì) 審計(jì)內(nèi)容審計(jì)內(nèi)容 ： 1、電子商務(wù)。包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)、電子商務(wù)。包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受

9、保護(hù)，以防止欺詐活動(dòng)、合同爭(zhēng)議和未授權(quán)的泄露和修改。受保護(hù)，以防止欺詐活動(dòng)、合同爭(zhēng)議和未授權(quán)的泄露和修改。 2、在線交易。包含在在線交易中的信息應(yīng)受保護(hù)，以防止、在線交易。包含在在線交易中的信息應(yīng)受保護(hù)，以防止不完全傳輸、錯(cuò)誤路由、未授權(quán)的消息篡改、未授權(quán)的泄露、不完全傳輸、錯(cuò)誤路由、未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。未授權(quán)的消息復(fù)制或重放。 3、公共可用信息。在公共可用系統(tǒng)中可用信息的完整性應(yīng)、公共可用信息。在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修改受保護(hù)，以防止未授權(quán)的修改2022-3-24信息系統(tǒng)審計(jì)179.3 電子商務(wù)真實(shí)性審計(jì)電子商務(wù)真實(shí)性審計(jì)

10、 1、電子商務(wù)的支付過程、電子商務(wù)的支付過程 ： 電子商務(wù)涉及信息流、物流和資金流，其中核心是資金流。電子商務(wù)涉及信息流、物流和資金流，其中核心是資金流。2022-3-24信息系統(tǒng)審計(jì)189.3 電子商務(wù)真實(shí)性審計(jì)電子商務(wù)真實(shí)性審計(jì) 電子商務(wù)的支付過程電子商務(wù)的支付過程 防火墻網(wǎng)關(guān)機(jī)網(wǎng)關(guān)機(jī)防火墻電子商務(wù)應(yīng)用 認(rèn)證中心企業(yè)A企業(yè)B企業(yè)B開戶銀行企業(yè)A開戶銀行2022-3-24信息系統(tǒng)審計(jì)199.3 電子商務(wù)真實(shí)性審計(jì)電子商務(wù)真實(shí)性審計(jì) 2、認(rèn)證中心：、認(rèn)證中心： 是構(gòu)建在公鑰基礎(chǔ)設(shè)施基礎(chǔ)之上的發(fā)放、管理、廢除數(shù)字證是構(gòu)建在公鑰基礎(chǔ)設(shè)施基礎(chǔ)之上的發(fā)放、管理、廢除數(shù)字證書的第三方可信機(jī)構(gòu)（書的第三方

11、可信機(jī)構(gòu)（trusted third party）2022-3-24信息系統(tǒng)審計(jì)209.3 電子商務(wù)真實(shí)性審計(jì)電子商務(wù)真實(shí)性審計(jì) 認(rèn)證中心認(rèn)證中心 防火墻用戶CA管理員認(rèn)證中心2022-3-24信息系統(tǒng)審計(jì)219.3 電子商務(wù)真實(shí)性審計(jì)電子商務(wù)真實(shí)性審計(jì) 3、電子支付方式、電子支付方式 ： 電子現(xiàn)金電子現(xiàn)金 電子支票電子支票 電子信用卡電子信用卡2022-3-24信息系統(tǒng)審計(jì)229.3 電子商務(wù)真實(shí)性審計(jì)電子商務(wù)真實(shí)性審計(jì) 4、審計(jì)線索、審計(jì)線索 ： 數(shù)字時(shí)間戳（數(shù)字時(shí)間戳（digital times-tamp） 數(shù)字簽名（數(shù)字簽名（digital signature） 2022-3-24信息系統(tǒng)審計(jì)239.3 電子商務(wù)真實(shí)性審計(jì)電子商務(wù)真實(shí)性審計(jì) 審計(jì)內(nèi)容審計(jì)內(nèi)容 ： 1、電子商務(wù)的真實(shí)性。通過被審計(jì)企業(yè)的電子商務(wù)系統(tǒng)的日志、電子商務(wù)的真實(shí)性。通過被審計(jì)企業(yè)的電子商務(wù)系統(tǒng)的日志文件與從認(rèn)證中心獲取數(shù)字時(shí)間戳等信息進(jìn)行核對(duì)。同時(shí)，提取數(shù)文件與從認(rèn)證中心獲取數(shù)字時(shí)間戳等信息進(jìn)行核對(duì)。同時(shí)，提取數(shù)字簽名以驗(yàn)證交易信息的完整性和是否被修改。通過上述兩方面的字簽名以驗(yàn)證交易信息的完整性和是否被修改。通過上述兩方面的審核以確認(rèn)電子交易的真實(shí)性。審核以確認(rèn)電子交易的真實(shí)性。 2、電子支付的真實(shí)性。通過銀行核實(shí)電子支付的真實(shí)性。、電子支付的真實(shí)性。通過銀行核實(shí)電子支付的真實(shí)