4.首席审计执行官对实施电子商务业务的关注涉及到内部审计的胜任和能力。可能限制内部审计活动的因素包括：是否有足够的能力开展内部审计活动？如果没有，这些技术能否获得？是否需要培训及其他资源？近期和远期的人员水平是否适当？预期的审计计划能否得到贯彻？

5．内部审计师在风险评估过程中的问题。IIA出版的《电子系统的确认与控制》在审计计划和风险评估方面可以给予内部审计师以帮助。书中列举了内部审计师在开展电子商务审计任务，评价风险时应当关注的领域，内部审计师考虑的问题是：

针对某一电子商务项目是否有相应的业务计划？ 这一计划是否考虑了电子商务系统的计划、设计、执行与组织的整体战略的一致性？ 影响电子商务系统的运行、安全性、可靠性的因素？ 电子商务系统的功能是否能够同时满足终端用户的需要（例如：雇员、客户、业务伙伴）和实现管理层目标的要求？ 政府的有关规定和法律规范的要求是否得到认真考虑？ 硬件和软件的安全性如何？是否能够防止或发现越权进入、不当使用以及其他的有害影响或损失？ 交易处理是否及时、准确、完整？ 实际控制环境是否能够使组织达到开展电子商务活动的目的？ 风险评估过程是事包括了内部和外部因素？ 是否考虑了互联网或互联网提供商有在的内在风险（例如基本交流的可靠性、用户的真伪，何人进入系统等）？ 是否考虑了其他事宜（例如企业机密信息的披露，滥用知识产权，侵犯版权，触犯商标权，网上的诽谤性声明，舞弊，滥用电子签名，侵犯隐私，损害名誉等） 如果采用了外部供应商，是否由具有资格的第三方实施“持续经营”评估？ 如果供应商提供主要服务，他们是否有经测试的企业应变计划？是否提供了最近的SAS70报告（SAS70报告向用户组织提供有关内部控制的重要信息）。此外是否有需要解决的隐私问题？ 合同中是否包括进行审计的权力？

电子商务方面的风险与控制事项

6．电子商务活动的风险和控制环境是复杂而且不断变化的。风险可以定义为可能影响目标实现的事件发生的不确定性。对所有企业或政府部门而言风险都是固有的。管理卷层云　假定的机会风险通常是组织行为的驱动力，除了机会外，其他未能被明确认识并全面评价的危险因素较易被视为企业经营的一部分。为尽量控制风险，了解风险要素和对信息安全性造成危害的技术发展变化是至关重要的。出于管理的目的，以下7个主要问题可用于确认组织的风险并指出控制或降低风险的潜在途径。（风险参加者采用一系列不同的风险管理方法，这些问题列举其中一种方法），与问题相关联的风险要素列于括号内。

(1)风险确认与量化

何种对企业实现目标及执行战略方针有负面影响的事件可能发生？[危险事件] 如果发生，潜在财务影响是什么？[单项损失价值] 隔多长时间发生一次？[频率] 回答前三个问题的可能性如何？[不确定性] 考试资料 考 试 网

(2)风险管理与降低

何种措施可以防止、避免、减少和发现风险并提供报告？[安全措施和控制] 需要多少成本？[安全措施和控制所需的成本] 措施有效性如何？[成本/利润分析或内部报酬率分析]