1、1、电子商务风险分析(1 )互联网络的开放化带来的数据破坏风险。在电子商务环境下商务交易必须通过互联网络来进行,而互联网体系使用的是开放式的 TCPIP 协议它以广播的形式进行传播。容易受到计算机病毒、黑客的攻击,商业信息和数据易于搭截侦听、口令试探和窃取,给企业的数据信息安全带来极大威胁,如遭破坏或泄密,将会给电子企业、商户造成巨大的损失(2 )系统软件安全漏洞带来的风险。由于现阶段广泛应用的主流操作系统和数据库管理系统是从国外引进直接使用的产品。核心技术还是使用引进的版本。这些系统安全性存在系统漏洞等不少危及信息安全的问题,例如:Windows 操作系统中存在着的漏洞和陷门,就不断引起世界
2、性的“冲击波”和“震荡波” ,存在极大风险。系统软件安全漏洞带来的风险主要来自操作系统软件和数据库管理系统软件的安全漏洞。入侵者可以直接利用操作系统的漏洞窃取数据库文件,或者直接利用操作系统工具来,非法伪造、篡改数据库文件内容,从而危及到电子商务交易的数据安全。(3 )来自社会的外来入侵风险。电子商务容易被来自社会上的不法分子通过互联网络非法入侵,主要表现形式是黑客和病毒等对电子商务系统的文件和数据的篡改和破坏,是一种社会道德风险。黑客通过闯入他人计算机系统进行破坏,这些人利用电子商务系统和管理上的一些漏洞,进入计算机系统后,破坏或篡改重要数据,盗取机密与资源,控制他人的机器,清除记录。设置后
3、门,给电子商务系统带来灾难性的后果。计算机病毒是人为编写的一组程序,可以攻击电子商务系统的数据区、文件和内存,以致使计算机的硬件失灵,软件瘫痪。数据破坏,系统崩溃,给企业和商户造成无法挽回的巨大损失。2、电子商务交易运行的风险(1 )信用风险。基于互联网络为交易平台的电子商务形式下,参与商业交易均在互联网上进行,双方并不存在与传统商业模式的见面、磋商、谈判、监证、签署文件等问题,这就需要通过一定的技术手段相互认证,如数据加密技术、数字签名、数字证书等技术来保证电子商务交易的安全。在电子商务环境下,由于电子报表、电子文件、电子合同等无纸介质的使用,无法使用传统的签字方式,从而在辨别真伪上存在新的
4、风险,电子商务的成功与否取决于消费者对网上交易的信任程度,电子商务的信任风险实质是由网络交易的虚拟化造成的,首先是买方信用风险。在网络中个人可以任意伪造信息,可以伪造假信用卡骗取卖方商品。从而给卖方带来风险。然后是卖方信用风险,由于信息不对称的原因消费者不可能全部掌握商家商品信息。卖方商品信息不完全、不准确或商家过分诱导消费者从而误导消费者购买行为;另外,卖家单方面毁约,不履行交易,也会对买方造成损失。 (2 )法律风险。电子商务在交易过程中存在法律风险,由于电子商务是在网络间进行的,电子商务交易可以看作是无纸贸易,是一个虚拟环境的交易,当前对这些虚拟交易的法律监管却并不完善,这些问题使得电子
5、商务认证、交易会有不受法律保护的风险。另外,电子商务贸易还存在知识产权的风险,网络是个开放的平台,资源在网络中的传播是畅通的。在网络中资源的共享性使得有知识产权的资源受保护的力降低,因此可能带来电子商务交易的知识产权纠纷等法律的风险问题。3、控制风险的对策(1 )加强技术保证,确保电子商务信息的安全。针对电子商务依靠互联网络平台来开展的网络开放性的特点,特别是要针对互联网体系使用的是开放式的 TCPIP 协议,给企业信息和数据安全带来的极大威胁的安全隐患。对如何保障企业的信息数据和重大商业机密,是确保开展电子商务的企业的重要技术保障和前提条件,只有高度重视电子商务的信息安全,才能保证其运行安全
6、,这就需要有强大的技术安全保障措施,不但要制定完善的技术保障措施,更要严格执行制度,才能确保电子商务信息的安全。例如:我们在企业内部网和互联网之间要加一道防火墙,防止黑客或计算机病毒的袭击。保护企业内部网中的机密商业信息数据。另外,利用现有的信息新技术将数字签名技术应用于电子商务的身份认证,可以防止非法用户假冒身份,从而保证电子支付的安全,增强电子商务信息的安全保障措施是电子商务顺利开展的重要技术保障。(2 )健全内部控制制度实行电子商务的商户,在内部管理制度上应健全相应的规章制度,如:制定制度来规范和约束员工的行为,根据其工作的重要程度,确定该系统的安全等级。制订相应的机房出入管理制度对于安
7、全等级要求较高的系统,要实行分区控制,限制工作人员出入与己无关的区域。对操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围;制订完备的系统维护制度,对系统进行维护时。应采取数据保护措施。如数据备份等。另外制定人员激励机制也很重要,应建立人员雇用和解聘制度。及时对工作人员进行评价,制定奖惩制度,调动工作人员的工作责任感和积极性。 (3 )加强复合型人才的培养。所谓电子商务的复合型人才,是指要求电子商务管理人员既要有算机知识,还要有管理理论和商务、金融、法律等知识。对电子商务管理人员进行培训,通过学习现代电子网络技术,将经济、金融、法律、网络有机地结合。对商务交易、金融活动的
8、网络化、数字化有比较深刻的认识,加深对电子商务环境下的风险认识和防范。案例:阿里巴巴 2011 年 2 月 21 日,阿里巴巴(中国)网络技术公司有限公司宣布,公司CEO 卫哲和 COO(首席运营官)李旭辉因 2010 年有 1107 名客户存在欺诈行为而引咎辞职。阿里系高层引咎辞职的直接原因是 2009 年、2010 年两年时间,分别有 1219 家(占比1.1)和 1107 家(占比 0.8%)的“中国供应商”涉嫌欺诈。 “中国供应商”是阿里巴巴国际平台的一项服务,供应商可借助“中国供应商”身份在阿里巴巴的电子商务平台上向海外买家展示产品,将产品打入全球市场。一些涉嫌欺诈的“中国供应商”在
9、阿里巴巴平台上被授予“金牌供应商” ,这些供应商诱惑海外买家购买笔记本电脑和电视机等家用电器,金额一般在 1200 美元以下,等钱到账后公司随之消失。受骗人向阿里巴巴投诉。阿里巴巴董事会于三个月前启动了“客户资质独立调查活动” ,在揭示涉嫌诈骗的供应商的同时,发现阿里巴巴内部有近百名直销员工,为了追求高业绩高收入,明知是骗子客户而签约。阿里巴巴可能因此被动涉嫌民事欺诈,3.15 临近,如果投诉事件在 CCTV 曝光,阿里巴巴的诚信形象将严重受损,这对于阿里巴巴高度依赖信誉的电子商务平台来说,不啻为致命一击。阿里巴巴意识到问题的严重性,自揭家丑,开展公关秀,暗示其诚信价值观,淡化负面消息带来的灾
10、难性后果。从风险管理的角度,这个事件带给我们很多思考。1、基于核心业务的关键风险事件 这个事件起因于客户投诉。阿里巴巴的主要业务是为供货商提供交易平台,从供货商获取会员费收入。购销业务中,购销双方产生争议是非常普遍的问题。从阿里巴巴角度来看,虽然供货方是其收入主要来源,但供货方愿意付款的原因在于阿里拥有大量的潜在购买者。购买者才是阿里的价值源泉。购销双方的争议是阿里巴巴核心业务上的关键风险事件。关键风险事件的整理和存档会形成关键风险时间的数据库,当关键风险事件经常性出现偏差时,就会发出风险预警信息。从而引起管理层的注意。2、风险预警信息的独立传导机制客户投诉会导致阿里平台对供应商进行限制,甚至
11、将供应商逐出平台。对供应商的限制或者驱逐,会直接影响到阿里销售人员的业绩。风险预警信息应独立于业务部门,能够直接向上传导,避免业务部门对风险预警信息的过滤。阿里巴巴关于客户争议的接收、传导、处理、审批和反馈,应独立于销售部门,从而使董事会能够获取到真实的信息,并安排处理。3、独立的风险调查机制 这起事件中,值得风险管理部门关注的是阿里巴巴进行的“客户资质独立调查活动” 。调查活动是基于风险预警信号开展的专项调查,涉及所有客户,由董事会直接指挥,历三个月。公司最高层的直接指挥,独立的调查部门和预算支持,使调查得以深入进行。4、剖析问题产生的内部控制原因。这起调查,从表面上看是针对供应商资质的调查
12、。但是,在对涉嫌欺诈的供应商移送司法机关之外,阿里巴巴对产生这些问题的内部控制原因进行了追查。进而发现,近百名销售人员基于销售业绩默许甚至鼓励供应商进行欺诈。从内部控制角度来分析,在“中国供应商”资质审查、 “金牌供应商”资质审查这两个环节,要么标准缺失,要么资质审查人员把关不严,要么供应商提供了虚假资料,要么销售人员对供应商“通关”进行了协助。而导致近百名销售人员协助欺诈,已经超越了内部控制,需要阿里巴巴对其核心业务所依托的价值观进行思考了。5、基于发展战略的风险评估这起事件,根据阿里巴巴的公开声明,对财务及现金流的影响很小,只有 170 万美元。因此,如果仅从短期财务报表来看,这个风险是可
13、以忽略不计的。但是,其影响到了阿里巴巴的核心价值创造能力,即阿里巴巴未来的现金流,究竟是依靠那些诚实守法的经营者,还是依靠那些欺诈者。无论过去怎样,已经成长为一家世界知名企业的阿里巴巴现在必须重新考量。阿里巴巴对外披露这个事件次日,其股价下降了 8.87%。相信这就是阿里巴巴董事局对这个风险事件的估值,而这个估值一定是基于阿里巴巴的发展战略。6、主动的风险应对。在对风险进行评估之后,阿里巴巴选择了主动的风险应对。卫哲的辞职以及阿里巴巴主动进行的媒体公关,都应该看成是阿里巴巴主动选择的风险应对。3.15将至,针对互联网购物的投诉必定是今年 CCTV 曝光的重头戏,作为网上交易的龙头老大,必然会受当其冲。自报家丑能够赢得主动,短期会造成股票价格下降,但提供给公众的却是其坚守诚信理念的价值观。所以,风险管理没有铁定的规则,对于电子商务安全风险管理来说,首先是扫描和检测电子商务系统的内部环境,检查系统的脆弱性和薄弱环节,及时打上补丁和追加设备,以便当风险产生时尽可能的减少损失;其次是对电子商务安全风险进行充分的分析,然后制定相应的规划和措施,并在其实施的每个阶段进行监控和跟踪;最后是根据环境的变化随时调整风险管理措施,制定完备的灾难恢复计划。
