电子商务的风险管理与控制

　　随着计算机技术的日趋成熟和Ｉｎｔｅｒｎｅｔ的飞速发展,电子商务正以其高效率、低成本的优势和市场全球化等特点,对世界经济的发展产生前所未有的影响。它不但在微观上影响企业的经营行为和消费者的消费行为,而且在宏观上影响到国际贸易关系和国家未来竞争力。然而,在电子商务发展的过程中,商机与风险共存,研究电子商务风险,控制电子商务风险,对电子商务的健康发展至关重要。

　　一、电子商务环境下的风险

　　电子商务是以通信网络作为交易平台,计算机及通信网络的安全性问题自然会蔓延到电子商务中。公安部公布的《2004年全国信息网络安全状况》调查结果显示,在被调查的7072家使用网络和信息系统的单位中,有58%的受调查单位发生网络安全事件。内部管理存在的漏洞以及诚信危机等问题也同样给电子商务带来风险。

　　1. 电子商务的技术安全隐患

　　电子商务的技术安全隐患主要表现在:

　　(1)系统层安全性漏洞———电子商务系统所使用的硬件设备、软件操作系统及网络整体结构中的安全性漏洞将直接构成电子商务中的安全性隐患。

　　(2)存储层的安全漏洞———无论多么稳定的系统,意外情况总是不可避免的,意外情况造成的数据破坏给电子商务系统带来安全隐患。

　　(3)传输层的安全漏洞———传输过程中的数据遭到截获。

　　(4)人为侵害造成的破坏———电子商务起步不久,安全性措施尚不完善,是网络黑客攻击的焦点。2000年2月7日至9日,美国多家著名网站先后遭受黑客攻击,黑客三天来的袭击造成直接和间接损失高达10亿美元。

　　(5)跨平台数据交换引起的数据丢失———如果平台之间的兼容性存在问题,有可能导致电子商务系统中数据的丢失。

　　(6)应用层的安全漏洞———假冒合法用户欺骗系统、假冒领导调阅密件等,直接转移、盗取资金,或假冒他人栽赃消费者。

　　2. 管理控制难度增大

　　电子商务本身改变了传统的商业运作模式,不走传统的产购销渠道,企业管理层不熟悉行业的游戏规则,在电子商务中,如何确认没有白纸黑字和签字盖章的电子订单交易,网上信息传递如何保密等问题,管理者深感力不从心,使得管理控制风险增大。

　　(1)在电子商务环境中,数据的电子化高度集中,并以磁介质为主要存储载体,电子商务数据易导致机密的数据被不法分子拷贝,甚至对原始数据进行非法修改和删除而不留下任何痕迹。

　　(2)电子商务改变了传统的商务运作模式,企业的财务信息存储于信息系统中,会计的确认、计量、记录和报告都集中由计算机按程序指令执行,使得内部控制更加复杂。

　　(3)人员的安全意识淡薄,管理、控制的任何环节的忽视,都会给舞弊或攻击者留下可乘之机,内部离职人员的蓄意破坏,将会造成整个系统的瘫痪,这对营运以及资产的安全性将会带来严重的威胁。

　　(4)网络管理人员专业素质差,难以及时有效地防御外界的恶意攻击。

　　3. 诚信危机是内伤

　　电子商务给人们带来方便的同时,也把人们引进了安全陷阱。根据中消协发布的数据显示,2005年,涉及互联网的投诉达7189起,网购投诉一年增一倍,增幅居各类投诉的首位。电子商务的信用危机,使得人们在网上购物时心存戒备之心。所以,相对网络安全外部威胁而言,诚信不足是制约电子商务发展的毒瘤。

　　4. 资金安全有风险

　　电子商务的运作需要有完善安全认证和安全的支付系统作保证。然而,目前我国网上安全技术及其认证机制均不完善,行业竞争不规范。据北京娱乐信报记者2006年4月30日报道,我国目前的140余家电子签名认证服务机构中,仅17家拥有国家电子认证服务许可证,其余的120余家竟未经认证。在无资质的电子签名认证机构竟然占八成的环境下,无疑给电子商务的资金支付带来风险。

　　二、电子商务的风险管理与控制

　　电子商务的安全威胁主要来自:网络物理设备的安全威胁、对网络信息的安全威胁和“信用危机”等。那么,加快电子商务的基础设施是当务之急,完善管理和技术防范是根本,强化监督是保障。

　　1. 加快基础设施建设

　计算机系统、网络通信设备、网络通信线路、网络服务器等设备,在静电、电磁泄漏和意外事故等情况下会造成数据的丢失,机密信息泄漏。所以,加快电子商务的基础设施建设,选择高性能的网络设备, 建设安全、便捷的电子商务应用环境,才能为电子商务交易的信息提供硬件保障。

　　2. 实施技术防范措施

　　电子商务的运作涉及资金安全、信息安全、货物安全、商业秘密等多方面的安全问题,任何一点漏洞都可能导致大量资金流失。而这些安全首先是对信息技术的依赖。目前,防火墙技术、电子签名和安全认证,成为电子商务比较成熟的技术安全措施。

　　(1)防火墙技术

　　防火墙是在本地系统或网络与Ｉｎｔｅｒｎｅｔ之间构筑的一道屏障,用以保护本地系统或网络中的信息、资源等不受来自Ｉｎｔｅｒｎｅｔ中非法用户的侵犯;用以控制和防止本地系统或网络中的敏感数据流入Ｉｎｔｅｒ ｎｅｔ,也控制和防止来自Ｉｎｔｅｒｎｅｔ的无用数据流入本地系统或网络。所以,防火墙能起到保护本地系统或网络中信息安全保密的重要作用,成为电子商务系统的安全屏障。

　　(2)数字签名技术

　　数字签名是通过某种密码运算生成一系列符号及代码组成电子密码进行签名,代替书写签名或印章。对于这种电子式的签名还可进行技术验证,其验证的准确度是一般手工签名和图章的验证而无法比拟的。数字签名是目前电子商务中应用最普遍、技术最成熟的、可操作性最强的一种电子签名方法。

　　(3)安全证书认证中心

　　(ＣＡ中心)网上交易需要由一个权威的第三方来担任信用认证机构,确认买卖双方的身份,这就是电子商务的安全证书认证中心(ＣＡ中心)。ＣＡ中心是承担网上认证服务、能签发数字证书、并能确认用户身份的受大家信任的第三方机构,它的作用在于确保网上交易合同的有效性,确保交易内容、交易双方账号、密码不被他人识别和盗取,防止单方面对交易信息的生成和修改,保证电子商务的交易安全。

　　3. 健全管理与控制

　　在电子商务环境下,企业面对一个全新的网上空间,交易信息以光速在网上传递,使得对内部控制制度的依赖性增大。由于电子商务企业一般都是新兴企业,管理制度、管理手段没有传统企业成熟、严密,加上一些电子商务企业一般更注重技术创新而非管理。因而,电子商务建立先进的管理与控制更为迫切。

　　(1)建立交易授权控制制度。电子商务交易程序的简单化,必须在业务流程方面建立严格的业务授权与执行内部控制制度,并对关键业务流程的内部控制进行定期的审核。

　　(2)建立责任控制制度。它是以经济组织内部各部门、各环节、各层次及其人员的经济责任为中心的内部控制制度,使得各职能部门和经办人员分工明确,职责分明。

　　(3)建立会计控制和内部牵制制度。主要检查会计事项的处理是否遵循不相容的职务或者经过两个以上的人员或部门的原则,以防止差错、舞弊的发生,保护财产的安全。

　　(4)建立经营方面各个循环系统的控制制度。它是经济组织内部为实现经营目标而实现生产经营和管理所必须经过的环节和业务操作的控制制度。如成本控制、购销控制、物资控制、生产经营过程的控制以及计划、预算、合同管理等控制制度。

　　(5)建立一定的应急措施。在信息流程方面,加强对信息的记录、维护和报告相关环节的控制。例如数据文件的定期备份、备份数据的存放地点、存放条件要求、系统数据文件损坏后的再生规则等。

　　4. 开展安全审计监督

　　由于电子商务的安全问题日益突出,使得社会公众不仅关注被审计单位的财务报表,更关注交易的安全性、企业的诚信、企业未来的发展状况等,对审计工作寄予的期望和依赖程度更高。安全审计应之而生,它不仅要对网络经济进行审计、对网络系统进行审计,还可以借助网络进行多单位、跨时空的审计作业。

　　安全审计是指根据一定的安全策略,通过记录和分析历史操作事件及数据,发现能够改进系统性能和系统安全的地方。通过对安全事件的不断收集与积累,并加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,以保证系统的安全。

　　安全审计利用整合测试技术、内嵌式审计模块加入技术、同步式审计技术、电子商务询证等技术进行审计,通过在线监测和远程联网进行审计,对交易过程中敏感和重要环节进行监测,从而达到对电子商务进行鉴证和监督的目的。

　　5. 健全法制,倡导诚信

　　1996年联合国贸易法委员会制订了《联合国国际贸易法委员会电子商务示范法》,2005年初,国务院颁发了《加强电子商务的若干意见》,2005年4月1日开始正式实施的《电子签名法》,对我国正在兴起的电子商务给予了强有力的法律支持,为我国电子商务安全认证体系和网络信任体系的建立奠定了基础。

　　但是,网络环境中的诚信问题不是仅仅靠《电子签名法》所能够解决的,要想根本铲除互联网交易中的种种弊端,归根到底要靠安全认证和行业的自律。所以,倡导诚信,维护消费者合法权益,是推动我国电子商务健康发展的内在因素。

　　6. 大力培养电子商务专业人才

　　电子商务是信息现代化与商务的有机结合,虽然强调计算机网络技术对交易活动的促进作用,但电子商务实现的关键仍然是人。要发展电子商务,需要大量的掌握现代信息技术和现代商贸理论与实务的复合型人才。政府应充分利用各种途径和手段,培养、引进并合理使用好一批素质较高、层次合理、专业配套的网络、计算机及经营管理等方面的专业人才,以加快我国电子商务的发展。