中国注册会计师审计准则第X号 ——电子商务对财务报表审计的影响 （征求意见稿）

　　第一章 总 则

　　第一条 为了规范注册会计师在财务报表审计中对被审计单位电子商务的考虑，制定本准则。

　　第二条 本准则适用于注册会计师执行财务报表审计业务中，被审计单位利用公共网络（例如互联网）从事商业活动的情形。

　　第三条 本准则所称电子商务，是指利用与互联网等公共网络相连接的计算机从事的商品的购买和销售、劳务的接受和提供等交易活动。

　　第四条 注册会计师应当考虑电子商务对被审计单位业务活动的重要性，以及对重大错报风险评估的影响，以对财务报表形成审计意见。 注册会计师按照本准则的要求对电子商务进行考虑，并非是为了对被审计单位的电子商务系统或活动本身提出鉴证结论或咨询意见。

　　第五条 互联网在企业对消费者、企业对企业、企业对政府和企业对员工的电子商务中越来越广泛的应用产生了新的风险因素，企业需要应对这些风险，注册会计师在计划和实施审计工作时应当予以考虑。

　　第二章 知识和技能要求

　　第六条 由于被审计单位电子商务活动的复杂程度不同，了解电子商务对审计的影响需要的知识和技能水平也相应不同，注册会计师应当考虑参与该审计项目的人员是否具备适当的信息技术和互联网商务知识。 当电子商务对被审计单位的经营业务具有重大影响时，注册会计师应当具备适当水平的信息技术和互联网商务知识，以实现下列目的：
　　（一）了解开展电子商务活动对财务报表的影响；
　　（二）确定审计程序的性质、时间和范围，评价审计证据；
　　（三）考虑被审计单位依赖电子商务的程度对持续经营能力的影响。

　　第七条 由于电子商务的特殊性和复杂性，注册会计师在考虑电子商务对财务报表及其审计的影响时，可能需要利用专家的工作。

　　第三章 对被审计单位电子商务的了解

　　第一节 基本要求

　　第八条 注册会计师应当考虑电子商务引致的被审计单位经营环境的变化，以及识别的对财务报表产生影响的电子商务风险。

　　第九条 在获取或更新对被审计单位及其环境的了解时，注册会计师应当对下列事项就其可能影响财务报表的方面予以考虑：
　　（一）业务活动和所处行业；
　　（二）电子商务战略；
　　（三）电子商务活动的开展程度；
　　（四）外包安排。

　　第二节 被审计单位的业务活动和所处行业

　　第十条 在了解被审计单位的业务活动和所处行业时，注册会计师应当关注与电子商务相关的下列特点：
　　（一）电子商务可能是对传统业务活动的补充，也可能是新的业务类型；
　　（二）互联网不具备货物和服务的实体贸易所具有的清晰、固定的运送线路的这一传统特征；
　　（三）某些行业运用电子商务的程度较高，可能增大对财务报表可能产生影响的经营风险。

　　第三节 被审计单位的电子商务战略

　　第十一条 被审计单位的电子商务战略，包括在电子商务中运用信息技术的方式以及对可接受风险水平的评估，可能对财务记录的安全性和相关财务信息的完整性与可靠性产生影响。 在考虑被审计单位的电子商务战略时，注册会计师应结合对控制环境的了解，关注下列事项：
　　（一）在整合电子商务活动与总体经营战略的过程中，治理层的参与程度；
　　（二）开展电子商务的目的，是为被审计单位的新业务提供支持，还是提高现有业务的效率，抑或为现有业务开辟新的市场；
　　（三）被审计单位的收入来源及其正在发生的变化；
　　（四）管理层对电子商务如何影响盈利状况和财务需求的评价；
　　（五）管理层对风险的态度及其对风险分布可能产生的影响；
　　（六）在有正式的适当控制的情况下，管理层在多大程度上识别出电子商务的机遇与风险，或者在机遇和风险出现时，管理层才临时制定应对措施；
　　（七）管理层对执行相关最佳实务规则或者网络签章程序的信守程度。

　　第四节 被审计单位开展电子商务的程度

　　第十二条 不同的被审计单位可能不同程度地开展电子商务，电子商务可能用于下列方面：
　　（一）仅提供关于被审计单位及其活动的信息，供投资者、顾客、供应商、资金提供者和员工等第三方访问；
　　（二）为通过互联网与已有的顾客进行交易提供便利；
　　（三）通过在互联网上提供信息和处理交易，开拓新市场和发展新客户；
　　（四）访问应用服务提供商；
　　（五）创立一种全新的经营模式。

　　第十三条 随着被审计单位开展电子商务程度的加深，以及内部系统更加集成化和复杂化，新的交易方式与传统业务活动的差异可能更加明显，并可能引致新的风险类型。 注册会计师应当了解被审计单位开展电子商务活动的程度如何影响其需要应对的风险的性质。

　　第五节 被审计单位的外包安排

　　第十四条 被审计单位可能在下列方面使用服务机构的工作：
　　（一）提供与电子商务运作所需的全部或部分信息技术支持；
　　（二）与电子商务相关的其他工作，包括订单履行、商品交付、呼叫中心运转，以及某些会计工作等。 被审计单位使用的服务机构包括互联网服务提供商、应用服务提供商和数据服务公司等。

　　第十五条 在被审计单位使用服务机构的情况下，服务机构采用和保持的某些政策、程序和记录可能与被审计单位财务报表审计相关，注册会计师应当按照《中国注册会计师审计准则第×号——对被审计单位使用服务机构的考虑》的要求，考虑被审计单位的外包安排及相关风险的应对措施，以确定其对审计的影响。

　　第六节 风险识别

　　第十六条 管理层面临着各种与电子商务相关的经营风险，这些风险包括：
　　（一）无法保证交易的完整性，尤其在缺少充分的稽核轨迹
　　（无论是纸质还是电子形式）时，该风险的影响将更大；
　　（二）广泛存在的电子商务安全风险，包括顾客、员工和其他方通过未经授权的访问实施舞弊的可能性，以及病毒攻击；
　　（三）运用不适当的会计政策，包括网站开发成本等支出的资本化、对复杂合同的误解、权属转移风险、外币折算、与产品质量保证相关的预计负债和收入确认等问题；
　　（四）未能遵守税法和其他法律法规，尤其在通过互联网开展跨国或跨地区电子商务时；
　　（五）无法保证仅以电子形式存在的合同具有法律效力；
　　（六）将重要的经营系统置于互联网或将其他重要交易通过互联网完成时，过度依赖电子商务；
　　（七）系统和基础架构失效或崩溃。

　　第十七条 注册会计师应当关注被审计单位是否已通过运用适当的安全基础架构和相关控制应对电子商务中出现的某些经营风险。

　　第十八条 注册会计师应当利用对被审计单位及其环境的了解，识别电子商务中可能导致经营风险的事项、交易和实务。

　　第十九条 注册会计师应当考虑管理层是否遵守与被审计单位电子商务相关的法律法规事项，包括有无适当的程序确认其在不同司法管辖区内的纳税义务
　　（尤其是营业税、增值税等流转税）。 可能导致电子商务交易产生相应纳税义务的因素包括：
　　（一）被审计单位的法定注册地；
　　（二）被审计单位的实际经营所在地；
　　（三）被审计单位网络服务器的所在地；
　　（四）商品和服务的来源地；
　　（五）顾客所在地，或商品交付地和劳务提供地。

　　第二十条 注册会计师应当考虑管理层是否遵守下列与电子商务环境密切相关的法律法规包括：
　　（一）有关隐私权保护的规定及其遵守情况；
　　（二）受管制行业的特定规定及其遵守情况；
　　（三）合同的强制执行效力；
　　（四）特殊交易事项的合法性；
　　（五）洗钱风险；
　　（六）侵犯知识产权。

　　第二十一条 注册会计师应当按照《中国注册会计师审计准则第X号——违反法规行为》的要求，实施相关程序，充分考虑被审计单位可能存在的违反与电子商务有关的法律法规的行为及其可能对财务报表产生的重大影响。必要时向熟悉电子商务法律事务的律师征询意见。

　　第四章 对内部控制的考虑

　　第一节 基本要求

　　第二十二条 注册会计师应当按照《中国注册会计师审计准则第X号——了解被审计单位及其环境并评估重大错报风险》的要求，考虑被审计单位在电子商务中运用的与审计相关的内部控制。 在某些情况下，仅依靠实施实质性程序不足以将审计风险降至可接受的低水平，注册会计师应当实施控制测试，并考虑使用计算机辅助审计技术。 这些情况包括但不限于：
　　（一）电子商务系统高度自动化；
　　（二）交易量过大；
　　（三）未保留包含审计轨迹的电子证据。

　　第二十三条 当被审计单位从事电子商务时，除了在本章第二节至第四节所述的与电子商务相关的安全性控制、交易完整性控制和流程整合控制之外，内部控制的下列方面与审计特别相关：
　　（一）在快速变化的电子商务环境中保持控制程序的完整性；
　　（二）为了被审计单位和审计的需要，确保能够访问相关记录。

　　第二节 安全性控制

　　第二十四条 注册会计师应当了解被审计单位是否通过安全基础架构和相关控制足以应对与电子商务交易的记录和处理相关的安全性风险。

　　第二十五条 注册会计师应当就与财务报表认定相关的方面考虑下列事项：
　　（一）有效使用防火墙和病毒防护软件；
　　（二）有效使用加密技术；
　　（三）对用于支持电子商务活动的系统的开发和运行的控制；
　　（四）当出现的新技术可能用于危害互联网安全时，现有的安全控制能否仍然有效；
　　（五） 控制环境是否可对所采用的控制程序提供支持。

　　第三节 交易完备性控制

　　第二十六条 注册会计师应当考虑交易的完备性，即被审计单位记录和处理财务记录所依据信息的完整性、准确性、及时性及是否经过授权。

　　第二十七条 注册会计师针对会计系统中与电子商务交易相关的信息的完备性所实施的审计程序，主要与评估用于采集和处理此类信息的系统的可靠性有关。 针对复杂的电子商务活动的审计程序，注册会计师应当考虑侧重于在交易信息的采集和即时自动化处理中与交易完备性相关的自动化控制。

　　第二十八条 在电子商务环境中，与交易完备性相关的控制通常用于：
　　（一）验证输入；
　　（二）防止交易的重复记录或遗漏；
　　（三）确保在处理定单之前，交易双方已就交货条件和信用条件等交易条款达成一致；
　　（四）区分顾客的浏览和正式订单，确保交易的一方事后不能否认已达成一致的特定条款，在有相关要求时，还应确保交易是与经核准的交易方进行的；
　　（五）确保所有步骤均已完成并具备相应记录，或拒绝未完成所有步骤的订单，以防止出现处理不完整的情况；
　　（六）确保交易的详细信息在同一网络内的多个系统之间适当传递；
　　（七）确保记录得到适当保管、备份和保护。

　　第四节 流程整合控制

　　第二十九条 流程整合是指将多个信息技术系统集成，使之实质上如同一个系统运转的过程。

　　第三十条 注册会计师应当关注被审计单位采集和传递电子商务交易数据的方式可能对下列事项产生的影响：
　　（一）交易处理和信息存储的完整性和准确性；
　　（二）销售收入、采购和其他交易的确认时点；
　　（三）有争议交易的识别和记录。

　　第三十一条 当下列控制与财务报表认定相关时，注册会计师应当予以考虑：
　　（一）针对电子商务交易与内部系统的集成实施的控制；
　　（二）为了能使流程整合自动化，针对系统改变和数据转换实施的控制。

　　第五章 电子记录对审计证据的影响

　　第三十二条 注册会计师应当考虑被审计单位目前实施的信息安全政策和安全控制措施是否足以防止未经授权修改会计系统、记录或向会计系统提供数据的系统。

　　第三十三条 在考虑电子证据的完备性时，注册会计师可能需要测试自动化控制（如记录完备性检查、电子日戳、数字签章和版本控制），并根据对这些控制的评价结论，考虑是否需要实施追加的审计程序，比如向第三方函证交易细节或账户余额。

　　第六章 附 则

　　第三十四条 注册会计师执行财务报表审计以外的其他审计业务，除有特定要求者外，应当参照本准则办理。

　　第三十五条 本准则自200×年×月×日起施行。

　　(中注协 2005-12-16)

(ck)