网站认证——-一种新兴的鉴证服务.doc

网站认证—— 一种新兴的鉴证服务----------------------------------------------------------------------------------------------------------------------编辑整顿: 出纳工作内容 编辑:王菲 文章来源：新浪 从20世纪70年代起步的计算机网络技术，在20世纪末已经进入了高速发展的阶段，给人类的生活带来了翻天覆地的变化在美国，1998年互联网产业的收入已达3，014亿美元，对经济的影响力可与汽车制造业匹敌，对其她行业的影响更是无法估计的据预测，到，全球互联网业的收入将达到24，000亿美元网络经济的存在已经毋庸置疑，大有成为世界经济主导的趋势那么，在网络经济中，注册会计师应当如何开展自己的业务呢?虚拟的网络公司和网上交易会对会计和审计带来什么样的影响呢?美国注册会计师协会(AICPA)和加拿大注册会计师协会(CICA)在这方面走在了前面，她们正努力在网络世界中开拓出注册会计师行业的新领域网站认证(WebTrust)就是AICPA和CICA提供应网站的一种新兴的鉴证服务　　一、网站认证的由来　　(一)产生背景　　1997年，美国政府正式提出了电子商务框架(E-businessframework)的概念。

同一年，AICPA与CICA联合提出了一项旨在协助网站浏览者增强对网站的信任，协助保障隐私，认证网站安全和减低网络商业诈骗风险的新的互联网网站鉴证服务—Webtrust这项鉴证服务是由持有特许专业执照的注册会计师，按照AICPA和CICA发布的“网站认证”准则与规范(PrinciplesandCriterias)对被审查网站的隐私(OnlinePrivacy)、安全性(Security)、有效性(Availability)、商业模式与交易信誉(BusinessPractices/TransactionIntegrity)、承认(Non-repudiation)、保密性(Confidentiality)、CA服务等七方面进行审查和鉴证，对于符合准则与规范的网站，容许其将AICPA或CICA委托Verisign公司管理的“网站认证”徽记以超链接(Hyperlink)方式放置在该网站的主页(首页)上，供浏览网站的顾客点击后，以安全方式查看位于Verisign网站的注册会计师鉴证报告　　网络安全、隐私权和浏览者信任等问题始终是严重阻碍网络经济发展的重要问题一方面，各网站公司、安全技术机构和微软等的研发中心都在不断的更新完善加密技术，推出某些认证方式，维护网络安全；但另一方面，在开放型的网络世界中，人们不断听到、看到和受到多种网络安全的威胁，因此对于网上交易戒心重重。

此外，虚拟的网站使顾客只能通过网页的内容来理解公司而无法知晓公司的规模、诚信、产品和服务的实际状况，更无法确认网站承诺的安全保密条款会否得到不折不扣地执行，并且越是有名的安全技术性认证，越容易引起黑客的袭击爱好AICPA和CICA正是看到了这一新兴的市场，运用自身独立、客观、公正的良好第三者形象和专业的技能知识开始介入这一市场，使“网站认证”服务应运而生　　(二)准则内容　　也许是受到计算机行业惯例的影响，AICPA在推出其“网站认证准则与规范”时使用了X.0版的模式其最新的3.0版准则与前期的2.0版和1.0版比较，有了很大的进步，将网站认证的范畴扩大到了BtoB、ISP、CA等范畴3.0版准则提供应网站更多的认证选择，以满足其具体的需要例如提供BtoC服务的网站会对“隐私”和“商业模式与交易完整”认证更感爱好；提供BtoB服务的网站会对“安全”和“承认”认证更感爱好如下是3.0版准则的简要简介：　　1.隐私11月30日AICPA制定了“隐私”准则与规范3.0版：“网站应当充足地揭示其对商务隐私的运作程序，并遵守这些程序，保持对这些程序的有效控制，对在电子商务中产生的私人信息的安全提供合理的保证”。

该准则合用于BtoC、ISP和ASP服务　　2.安全性1月1日，AICPA制定了“安全性”准则与规范3.0版：“网站应揭示、执行和保持其安全保护政策，并对所有接近电子商务系统和数据的人都是通过了安全政策下的授权提供合理的保证”该项准则合用于BtoB、BtoC、ISP和ASP服务　　3.商业模式与交易信誉1月1日，AICPA制定了“商业模式与交易完整”准则与规范3.0版：“网站应揭示、执行和保持其既定的商业运作政策，并为商务运作完整、精确和一致的遵循其政策提供合理的保证”该项准则合用于BtoB、BtoC、ISP和ASP服务　　4.有效性1月1日，AICPA制定了“有效性”准则与规范3.0版：“网站应揭示、执行和保持其既定的有效性政策，并为电子商务交易的有效性提供合理的保证”该项准则合用于BtoB、BtoC、ISP和ASP服务　　除上述准则外，“网站认证”的其她准则与规范与此前旧版模式内容没有太大变化　　(三)发呈现状　　根据AICPA网站5月的消息，目前共有17个国家和地区的注册会计师协会获准其会员提供网站认证鉴证服务，其中涉及香港会计师公会(HKSA)但是，获得网站认证徽记的网站局限性40家。

台湾学者的有关研究觉得，网站认证发展受阻的重要因素是：1.公众对注册会计师的网站认证鉴证服务还很不熟悉2.网站认证的收费较高，对于诸多网站来说不具成本效益3.消费者是由于对网站感爱好才进入该网站4.注册会计师不善于进行网站认证营销可见，网站认证还处在起步阶段，需要注册会计师们的大力推广，不断更新　　二、网站认证的特点　　由于网络的虚拟特性，信息、证据的痕迹不能直接观测，网络技术环境更新迅速以及网站信誉鉴证有特殊目的等因素，使得这一鉴证服务有别于老式审计业务，具有许多新的特点　　(一)目的和审查重点　　网站认证不是以网站的财务状况、经营业绩为审查的中心目的，而是以网站的安全性、信息的管理保护等为审核对象，以评价这些内容与否符合有关准则与规范为目的进行的鉴证服务这一目的的变化，直接导致了鉴证的各要素和鉴证措施的变化因此，可以说网站认证是一种全新的审计概念　　我们觉得，网站认证仍然是一种审计活动，而不是其她的管理征询等非审计业务美国会计学会(AAA)对审计的定义是“为拟定有关经济行为及经济现象的结论和所制定的原则之间的一致限度，而对这种结论有关的证据进行收集、评估，并将成果传达给利害关系人的有组织的过程。

可见，现代审计的概念早已经拓宽到管理审计、经济效益审计等多方面网站认证”作为现代审计的新分支，是网络经济的产物，是在注册会计师对网站进行审计时，结合客观现实的需要应运而生的从审计的本质上讲，网站认证是对虚拟网站向客户提供BtoB、BtoC商务模式以及ISP、ASP、CA等经济活动与否符合有关规范所进行的评价与鉴证　　(二)审计职能　　一般觉得，审计具有监督、评价、鉴证职能网站认证的评价职能是显而易见的，注册会计师对网站的营运方式分析、系统的安全测试、数据资料的管理维护抽样调查等都是为了要评价网站的安全性、有效性、合规性虽然说评价的内容有所变化，但评价职能自身是没有变化的网站认证的鉴证职能是其自身目的的直接体现，正是由于有了鉴证职能，网站浏览者和客户才会加强对网站的信任感，才干实现电子商务润滑剂的功能网站认证”由于是注册会计师接受网站自身的委托对其进行的审查活动，除对网站内部人员有一定监督作用外，监督职能因此并不突出　　(三)审计的主体、客体和对象　　虽然网站认证仍然是由注册会计师进行的，但是它对注册会计师提出了更高的规定一方面，注册会计师必须有特殊的专业执照才干进行这项业务，这不同于管理审计、管理征询等业务。

另一方面，注册会计师必须充足考虑与否需要其她专家的协助，而这往往是必不可少的，就犹如人寿保险审计，需要有精算师的配合与协助同样最后，网站认证徽记是由Verisign网站提供和管理因此网站认证审计的主体已经不再像老式审计那样单纯了　　网站认证的客体是网站由于这一客体与老式的公司、组织有明显不同，因此“网站认证”审计也显得与众不同网站公司往往实体业务很简朴，更多更重要的经济活动是发生在虚拟的网络世界中，对这样的客体进行审计必须选择与之相适应的手段和措施　　网站认证的对象是网站的系统安全模式、网站的经济活动程序等等，这与老式的审计大不同样　　(四)审计风险　　一方面，网站认证报告的对象是不拟定的所有网站服务使用者，不局限于审计委托人；另一方面，网络的变化迅速，使用“网站认证”鉴证报告的浏览者得到的是根据此前信息做出的安全认证，这对于网络世界来说是明显滞后的因此，注册会计师的风险很大，必须在认证报告中加入合适的阐明，以明确责任　　(五)审计措施、手段和报告方式　　综上所述，我们懂得网站认证的目的、客体和对象与老式审计相比较有了很大变化，因此在审计手段和措施上也有相应的变化　　一方面，网站认证的审计程序是：评价委托风险接受委托并获得管理当局声明书系统管理控制评价符合测试、实质测试完毕审计工作，提出管理建议书，规定进行改善以达到原则出具报告，申请给与网站认证徽记每3个月进行复核测试。

其中的最后一种环节就是老式审计所没有的，是适应网络经济飞速发展的客观需要而采用的一项重要内容并且，网站认证中管理当局声明书的内容较老式审计有很大不同，管理当局被规定对其管理网站的各项安全保密政策以及其她规定注册会计师审计的方面的政策和执行状况进行揭示与责任阐明网站认证中的管理当局声明书相称于老式审计中的会计报表加管理当局声明书，这与老式审计有所区别　　另一方面，许多审计测试都必须通过计算机进行，不存在绕过计算机审计的措施例如，在进行客户登录与否有安全保护，与否只能进入授权级别的内容，交易与否是在安全模式下进行等测试只能在网络上进行，有关的审计证据也是以电子方式存在，这是网站认证审计的一大特点　　第三，网站认证的委托人(审计报告的对象)与老式的报表审计不同一般来说，“网站认证”是由网站管理当局委托注册会计师进行的，审计报告的对象是网站的管理当局，这是与目前的网站认证报告的使用目的有关的网站所有者并不需要网站认证来证明网站的安全，由于这只是经营者提高业绩而进行的努力，因此网站认证的委托人大都是网站的管理当局　　最后，网站认证的报告方式别具一格网站认证报告是通过被审计网站主页上的一种超链接图标与Verisign网站的有关报告链接，浏览者点击该图标就可以看到注册会计师的审计报告。

这种审计报告是网站通过了何种认证原则的报告，不存在老式概念下的保存意见、否认意见或回绝表达意见报告如下是一份根据网站认证3.0版“安全性”准则与规范书写的报告范例：独立审计师报告兴隆公司管理当局：　　我们已经审查了贵公司1月1日到12月31日的管理声明书(链接到管理声明书)，声明涉及揭示了所有重要的电子商务安全政策，并遵循了这些政策，且对只有获得授权的人才干在上述安全政策下接近电子商务系统和数据保持了有效的控制我们的审查是根据美国注册会计师协会“网站认证”安全性准则进行的(可链接到安全性准则)执行程序、揭示政策、遵循和控制是兴隆公司管理当局的责任我们的责任是根据我们的审查刊登审计意见　　我们的审计程序是按照美国注册会计师协会的原则执行的，这些审计程序涉及：(1)获得和理解兴隆公司揭示的安全政策和有关安全控制程序，(2)测试这些安全政策的执行遵守状况，(3)测试和评价安全控制执行的有效性，(4)其他我们觉得必要的审计程序我们觉得我们的审查为我们的审计意见提供了合理。