7．内部审计师需要解决的更重要的风险和控制事项包括：

总体项目管理风险； 专项安全风险，例如拒绝提供服务，物理攻击，电脑病毒，信用卡安全性，身份窃取及客户鉴别； 在联结遗留系统和数据仓库的复杂网络中保持交易的完整性； 当出现频繁变化及复杂的客户情况时对网址内容和提供24小时服务能力的检查和批准；快速的技术变化； 法律事项，例如全球范围内不断增多的保护个人隐私的法规，组织所在地以外合同的履行，税收和会计事项； 周边商业程序和组织结构的变化。

电子商务活动审计

8．审计总体目标应当是保证所有电子商务尘埃过程具备有效的内部控制。对创建电子商务活动的管理应当在有效制订并批准的战略性计划中加以记录。如果作出不参与电子商务的决策，该决策应当认真分析、记录，并经董事会同意。

9．电子商务活动的审计目标包括：

电子商务交易的证据； 安全系统的存在和可靠性； 电子商务和财务制度之间有效兼容； 货币交易的安全性； 客户确认过程的有效性； 业务持续经营的充分性，包括经营活动的恢复情况； 符合通用安全标准； 有效使用和控制数码签名； 控制公共钥匙证书（采用公共钥匙加密技术）的系统、政策和程序的适当性； 操作数据和信息的适当性和时效性； 有效内部控制系统的文件证明。

10．根据行业、地域、法律及商业模式的不同，用于审计特定组织的电子商务活动的审计方案细节有所不同。以下是对电子商务审计草案中主要领域的概述。

(1)电子商务组织――内部审计师应当完成以下工作： 考试资料网

确定交易价值； 确认关联方（外部及内部）； 检查管理过程的变化； 检查批准程序； 检查有关电子商务活动的企业计划； 评价公共钥匙证书方面的政策； 检查数码签名过程； 审查购买方、供货方及证明人之间的服务协议； 确认质量评价政策； 评价电子商务活动中的隐私政策和合规性； 评价事件反应能力。

(2)舞弊――内部审计师应当注意以下情况：

未经授权的资金流动，如移交司法裁判的资金很难返还； 重复支付； 拒绝签发或接收订单，接收货物或支付款项； 特殊报告和程序，以及有效的后续程序； 数字签名是否用于所有的交易？谁可以授权？谁取得授权？ 防止病毒和黑客袭击；（历史文档、工具使用） 是否对通行权定期检查？当人员变动时是否及时修订？ 未经授权的人员介入交易的历史记录。

(3)真实性――内部审计师应当检查有关确认交易和评价控制的政策定期检查的证据：

管理层采用的控制自我评估工具； 独立的定期核对； 职责分离； 管理应使用的工具：防火墙（多层设置以区分电子商务活动和其他活动），口令管理，独立核对，审计过程记录。

(4)数据篡改――内部审计师应当评价对数据完整性的控制

谁能够修改目录和价格？审批机制如何？ 审计过程记录是否会被破坏？ 谁可以批准对公告板的修改？ 订货和记录的程序？ 在线投票过程是否得到适当记录？ 应当采用的工具包括：侵入管理（监视软件、自动超时设定、趋势分析），对电子商务服务器的安全保密，改变控制以及核对。

(5)业务中断――内部审计师应检查业务延续计划以确定其是否经过测试。当中断发生时，管理人员应安排好处理交易的替代方式。管理人员应注意以下可能出现的情况：

数量攻击； 拒绝服务攻击； 电子商务系统和财务管理系统之间的匹配缺陷； 备份设施； 应对黑客袭击、侵入、病毒、内部颠覆、秘密途径等的策略。

(6)管理事项――内部审计师应就业务部门对电子商务过程的管理作出评价。以下是部分相关议题： 项目管理检查；

系统开发周期检查； 供应商的筛选和能力，雇员可靠性及担保； 事后的经济性检查，是否取得预期收益？采用何种方式衡量成功与否？ 实施后的过程检查，是否有新程序并能有效工作？