內(nèi)部控制

　　網(wǎng)絡(luò)財務(wù)的內(nèi)部控制

　　隨著網(wǎng)絡(luò)財務(wù)的逐步實施,企業(yè)會計核算與會計管理的環(huán)境發(fā)生了很大變化,傳統(tǒng)會計系統(tǒng)的內(nèi)部控制機制和手段已不適應(yīng)于網(wǎng)絡(luò)環(huán)境,從而建立適合于網(wǎng)絡(luò)環(huán)境下的內(nèi)部控制體系是目前企業(yè)急需解決的問題。為建立和加強網(wǎng)絡(luò)財務(wù)系統(tǒng)的內(nèi)部控制,首先必須要弄清網(wǎng)絡(luò)財務(wù)為企業(yè)的內(nèi)部控制帶來的新問題與新要求。

　　一、網(wǎng)絡(luò)財務(wù)時代企業(yè)內(nèi)部控制面臨的新問題

　　(一)網(wǎng)絡(luò)財務(wù)的應(yīng)用擴大了企業(yè)會計核算范圍企業(yè)實施網(wǎng)絡(luò)財務(wù)以后,會計核算環(huán)境發(fā)生了很大的變化。

　　第一,會計部門的組成人員結(jié)構(gòu)發(fā)生變化,由原來的財務(wù)、會計人員轉(zhuǎn)變?yōu)橛韶攧?wù)、會計人員和計算機操作員、網(wǎng)絡(luò)系統(tǒng)維護員、網(wǎng)絡(luò)系統(tǒng)管理員等組成。第二,會計業(yè)務(wù)處理范圍變大,除完成基本的會計業(yè)務(wù)外,網(wǎng)絡(luò)財務(wù)同時還集成許多管理以及財務(wù)的相關(guān)功能,諸如網(wǎng)上支付、網(wǎng)上催賬、網(wǎng)上報稅、網(wǎng)上報關(guān)、網(wǎng)上法規(guī)及財務(wù)信息查詢,以及網(wǎng)上詢價、網(wǎng)上采購、網(wǎng)上銷售、網(wǎng)上服務(wù)、網(wǎng)上銀行、網(wǎng)上理財、網(wǎng)上保險、網(wǎng)上證券投資和網(wǎng)上外匯買賣等等。第三,網(wǎng)絡(luò)財務(wù)提供在線辦公等服務(wù),從而使會計信息的網(wǎng)上實時處理成為可能,原來由幾個部門按預(yù)定步驟完成的業(yè)務(wù)事項可集中在一個部門甚至一個人完成。因此,要保證企業(yè)會計系統(tǒng)對企業(yè)經(jīng)濟活動反映的正確可靠,達到企業(yè)內(nèi)部控制目標,企業(yè)內(nèi)部控制制度的范圍和控制方法較原來系統(tǒng)將更加廣泛和復(fù)雜。

　　(二)網(wǎng)絡(luò)財務(wù)使會計信息儲存方式和媒介發(fā)生變化

　　網(wǎng)絡(luò)財務(wù)的應(yīng)用使各類會計憑證和報表的生成方式、會計信息的儲存方式和儲存媒介發(fā)生變化。原始憑證在網(wǎng)絡(luò)業(yè)務(wù)交易時自動產(chǎn)生并存入計算機,不再存在傳統(tǒng)的原始憑證。會計電算化的第一階段促進了介質(zhì)的改變,從賬本到磁盤文件。網(wǎng)絡(luò)財務(wù)使會計介質(zhì)繼續(xù)發(fā)生變化,不僅賬表,更多的介質(zhì)將電子化,出現(xiàn)各種電子單據(jù)(如各種發(fā)票、結(jié)算單據(jù))。存貯形式主要以網(wǎng)絡(luò)頁面數(shù)據(jù)存貯。發(fā)生業(yè)務(wù)交易時系統(tǒng)不一定打印原始記錄;網(wǎng)頁數(shù)據(jù)只能在計算機及相應(yīng)的程序中閱讀;原來在核算過程中進行的各種必要的核對、審核等工作大部分由計算機自動完成。因此,網(wǎng)絡(luò)環(huán)境下會計內(nèi)部控制的重點由對人的控制為主轉(zhuǎn)變?yōu)閷θ?、計算機和互聯(lián)網(wǎng)的控制。

　　(三)網(wǎng)絡(luò)財務(wù)使企業(yè)面臨的安全風險加大

　　網(wǎng)絡(luò)財務(wù)的應(yīng)用將原來封閉的局域會計系統(tǒng)面臨開放的互聯(lián)網(wǎng)世界,給財務(wù)系統(tǒng)的安全提出了嚴重的挑戰(zhàn)。第一,在網(wǎng)絡(luò)環(huán)境下,過去以計算機機房為中心的“保險箱”式安全措施已不適用,大量的會計信息通過開放的internet傳遞,途經(jīng)若干國家與地區(qū),置身于開放的網(wǎng)絡(luò)中,存在被截取、篡改、泄漏機密等安全風險,很難保證其真實性與完整性。第二,由于互聯(lián)網(wǎng)的開放特性,給一些非善意訪問者以可乘之機。目前黑客肆虐,世界上的各類網(wǎng)站每天都受到成千上萬次攻擊,網(wǎng)絡(luò)財務(wù)系統(tǒng)無疑也面臨巨大的安全風險。第三,計算機病毒的猖撅也為互聯(lián)網(wǎng)系統(tǒng)帶來更大的風險。在互聯(lián)網(wǎng)中,計算機病毒可以通過E-mail或用戶下載文件進行傳播,其傳播速度是單機的20倍。有效地防治計算機病毒對保障網(wǎng)絡(luò)財務(wù)系統(tǒng)的安全性至關(guān)重要。因此,網(wǎng)絡(luò)財務(wù)系統(tǒng)的內(nèi)部控制不僅難度大、復(fù)雜,而且還要有各種控制的先進技術(shù)手段。

　　二、網(wǎng)絡(luò)財務(wù)內(nèi)部控制措施

　　(一)基于企業(yè)內(nèi)部網(wǎng)(intranet)的控制措施

　　1.會計信息資源控制。會計信息來源于網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)庫系統(tǒng)中,所以網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)是整個網(wǎng)絡(luò)財務(wù)系統(tǒng)控制的重點目標。威脅數(shù)據(jù)庫系統(tǒng)的安全主要有兩個方面:一是網(wǎng)絡(luò)系統(tǒng)內(nèi)外人員對數(shù)據(jù)庫的非授權(quán)訪問;二是系統(tǒng)故障、誤操作或人為破壞數(shù)據(jù)庫造成的物理損壞。針對上述威脅,會計信息資源控制應(yīng)采取以下措施:(1)采用三層式客戶機/服務(wù)器模式組建企業(yè)內(nèi)部網(wǎng),即利用中間代理服務(wù)器隔離客戶與數(shù)據(jù)庫服務(wù)器的聯(lián)系,實現(xiàn)數(shù)據(jù)的一致性;(2)采用較為成熟的大型網(wǎng)絡(luò)數(shù)據(jù)庫產(chǎn)品并合理定義應(yīng)用子模式。子模式是全部數(shù)據(jù)資料中面向某一特定用戶或應(yīng)用項目的一個數(shù)據(jù)處理集,通過它可以分別定義面向用戶操作的用戶界面,做到特定數(shù)據(jù)面向特定用戶開放;(3)建立會計信息資源授權(quán)表制度;(4)采取有效的網(wǎng)絡(luò)數(shù)據(jù)備份、恢復(fù)及災(zāi)難補救計劃。

　　2.系統(tǒng)開發(fā)控制。它是一種預(yù)防性控制,目的是確保網(wǎng)絡(luò)財務(wù)系統(tǒng)開發(fā)過程及內(nèi)容符合內(nèi)部控制的要求。財務(wù)軟件的開發(fā)必須遵循國家有關(guān)機關(guān)和部門制訂的標準和規(guī)范。(1)在網(wǎng)絡(luò)財務(wù)系統(tǒng)開發(fā)之初,要進行詳細的可行性研究;(2)在系統(tǒng)開發(fā)過程中,內(nèi)審和風險管理人員要參與系統(tǒng)控制功能的研究與設(shè)計,制訂有效的內(nèi)部控制方案并在系統(tǒng)中實施;(3)在系統(tǒng)測試運行階段,要加強管理與監(jiān)督,嚴格按照《商品化會計核算軟件評審規(guī)則》等各種標準進行;(4)系統(tǒng)運行前對有關(guān)人員進行培訓,不僅培訓系統(tǒng)的操作,還要使受訓人員了解系統(tǒng)投入運行后新的內(nèi)部控制制度和網(wǎng)絡(luò)財務(wù)提供的高質(zhì)量會計信息的進一步分析與利用等;(5)及時做好新舊系統(tǒng)轉(zhuǎn)換。企業(yè)應(yīng)在系統(tǒng)轉(zhuǎn)換之際采取有效的控制手段,做好各項轉(zhuǎn)換的準備工作,如舊系統(tǒng)的結(jié)算、匯總,人員的重新配置,新系統(tǒng)初始數(shù)據(jù)的安全導入等。

　　3.系統(tǒng)應(yīng)用控制。是指具體的應(yīng)用系統(tǒng)中用來預(yù)防、檢測和更正錯誤,以及防止不法行為的內(nèi)部控制措施。(1)在輸入控制中,要求輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán),并經(jīng)有關(guān)內(nèi)部控制部門檢查,還要采用各種技術(shù)手段對輸入數(shù)據(jù)的準確性進行校驗,如總數(shù)據(jù)控制校驗、平衡校驗、數(shù)據(jù)類型校驗、二次錄入校驗等;(2)在處理控制中,對數(shù)據(jù)進行有效性控制和文件控制。有效性控制包括數(shù)字的核對、字段和記錄長度檢查、代碼和數(shù)值有效范圍的檢查、記錄總數(shù)的檢查等。文件控制包括檢查文件長度、標識和是否染毒等;(3)在輸出控制中,一要驗證輸出結(jié)果是否正確和是否處于狀態(tài),以便用戶隨時得到準確的會計信息;二要確保輸出結(jié)果能夠送發(fā)到合法的輸出對象,文件傳輸安全正確。

　　4.系統(tǒng)維護控制。系統(tǒng)維護包括軟件修改、代碼結(jié)構(gòu)修改和計算機硬件與通訊設(shè)備的維修等,涉及到系統(tǒng)功能的調(diào)整、擴充和完善。對網(wǎng)絡(luò)財務(wù)系統(tǒng)進行維護必須經(jīng)過周密計劃和嚴格記錄,維護過程的每一環(huán)節(jié)都應(yīng)設(shè)置必要的控制,維護的原因和性質(zhì)必須有書面形式的報告,經(jīng)批準后才能實施修改。軟件修改尤為重要,網(wǎng)絡(luò)財務(wù)系統(tǒng)操作員不能參與軟件的修改,所有與系統(tǒng)維護有關(guān)的記錄都應(yīng)打印后存檔。

　　5.管理控制。是指企業(yè)為加強和完善對網(wǎng)絡(luò)財務(wù)系統(tǒng)涉及的各個部門和人員的管理和控制所建立的內(nèi)部控制制度。由于網(wǎng)絡(luò)財務(wù)系統(tǒng)是一種分布式處理結(jié)構(gòu),計算機網(wǎng)絡(luò)分布于企業(yè)各業(yè)務(wù)部門,實現(xiàn)財務(wù)與業(yè)務(wù)協(xié)同處理,因此原來集中處理模式下的行政控制轉(zhuǎn)變?yōu)殚g接業(yè)務(wù)控制。主要應(yīng)做好如下幾方面的工作:(1)設(shè)置適應(yīng)于網(wǎng)絡(luò)下作業(yè)的組織機構(gòu)并設(shè)置相應(yīng)的工作站點;(2)合理建立上機管理制度,包括輪流值班制度、上機記錄制度、完善的操作手冊和上機時間安排并保存完備的操作日志文件等;(3)建立完備的設(shè)備管理制度,對硬件設(shè)備所處的環(huán)境進行溫度、濕度、防靜電控制,做好網(wǎng)絡(luò)的絕緣、接地和屏蔽工作,同時對人文環(huán)境進行控制,防止無關(guān)人員上機操作;(4)建立完備的內(nèi)審制度。

　　(二)基于企業(yè)外部網(wǎng)(extranet)的控制措施

　　1.周界控制。是指通過安全區(qū)域的周界實施控制來達到保護區(qū)域內(nèi)部系統(tǒng)安全的目的。它是預(yù)防外來攻擊措施的基礎(chǔ),主要內(nèi)容包括:(1)設(shè)置外部訪問區(qū)域,明確企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界,防止“黑客”通過電話網(wǎng)絡(luò)進入系統(tǒng);(2)建立防火墻(firewall),在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造保護屏障,防止非法入侵、非法使用系統(tǒng)資源,執(zhí)行安全管理措施,記錄所有可疑事件。

　　2.大眾訪問控制。大眾訪問包括文件傳遞、電子郵件、網(wǎng)上會計信息查詢等。由于互聯(lián)網(wǎng)絡(luò)系統(tǒng)是一個全方位開放的系統(tǒng),對社會大眾的網(wǎng)上行為實際上是不可控的,因此,企業(yè)應(yīng)在網(wǎng)絡(luò)財務(wù)系統(tǒng)外部訪問區(qū)域內(nèi)采取相應(yīng)防護措施。外部網(wǎng)絡(luò)的訪問控制主要有:(1)在網(wǎng)絡(luò)財務(wù)系統(tǒng)中設(shè)置多重口令,對用戶的登錄名和口令的合法性進行檢查;(2)合理設(shè)置網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限。資源的屬主體現(xiàn)不同用戶對資源的從屬關(guān)系,如建立者、修改者等;資源的屬性表示資源本身的存取特性,如讀、寫或執(zhí)行等;訪問權(quán)限體現(xiàn)用戶對網(wǎng)絡(luò)資源的可用程度;(3)對網(wǎng)絡(luò)進行實時監(jiān)視,找出并解決網(wǎng)絡(luò)上的安全問題,如定位網(wǎng)絡(luò)故障點、捉住非法入侵者、控制網(wǎng)絡(luò)訪問范圍等;(4)審計與跟蹤,包括對網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記賬等方面的記錄和分析。

　　3.電子商務(wù)控制。網(wǎng)絡(luò)財務(wù)是電子商務(wù)的基石,是電子商務(wù)的重要組成部分,因此,對電子商務(wù)活動也必須進行管理與控制。主要措施有:(1)建立與關(guān)聯(lián)方的電子商務(wù)聯(lián)系模式;(2)建立網(wǎng)上交易活動的授權(quán)、確認制度,以及相應(yīng)的電子會計文件的接收、簽發(fā)驗證制度;(3)建立交易日志的記錄與審計制度。

　　4.遠程處理控制。網(wǎng)絡(luò)財務(wù)系統(tǒng)的應(yīng)用為跨國企業(yè)、集團企業(yè)實現(xiàn)遠程報表、遠程報賬、遠程查賬、遠程審計以及財務(wù)遠程監(jiān)控等遠程處理功能創(chuàng)造了條件。這些功能的啟用必須采取相應(yīng)的控制措施,主要有:(1)合理設(shè)計網(wǎng)絡(luò)財務(wù)系統(tǒng)各分支系統(tǒng)的安全模式并實施;(2)進行遠程處理規(guī)程控制。

　　5.數(shù)據(jù)通訊控制。數(shù)據(jù)通訊控制是企業(yè)為了防止數(shù)據(jù)在傳輸過程中發(fā)生錯誤、丟失、泄密等事故而采取的內(nèi)部控制措施。企業(yè)應(yīng)采取各種有效手段來保護數(shù)據(jù)在傳輸過程中準確、安全、可靠。主要措施有:(1)保證良好的物理安全,在埋設(shè)地下電纜的位置設(shè)立標牌加以防范,盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò);(2)采用虛擬專用網(wǎng)(VPN)線路傳輸數(shù)據(jù);(3)對傳輸?shù)臄?shù)據(jù)進行加密與數(shù)字簽名。在系統(tǒng)的客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都進行兩層加密保證數(shù)據(jù)的安全性,使用數(shù)字簽名確保傳輸數(shù)據(jù)的保密性和完整性。

　　6.防病毒控制。在系統(tǒng)的運行與維護過程中應(yīng)高度重視計算機病毒的防范及相應(yīng)的技術(shù)手段與措施。可以采用如下控制措施:(1)對不需要本地硬盤和軟盤的工作站,盡量采用無盤工作站;(2)采用基于服務(wù)器的網(wǎng)絡(luò)殺毒軟件進行實時監(jiān)控、追蹤病毒;(3)在網(wǎng)絡(luò)服務(wù)上采用防病毒卡或芯片等硬件,能有效防治病毒;(4)財務(wù)軟件可掛接或捆綁第三方反病毒軟件,加強軟件自身的防病毒能力;(5)對外來軟件和傳輸?shù)臄?shù)據(jù)必須經(jīng)過病毒檢查,在業(yè)務(wù)系統(tǒng)嚴禁使用游戲軟件;(6)及時升級本系統(tǒng)的防病毒產(chǎn)品。