淺析網絡財務的內部控制

羅鴻偉

中圖分類號：F232文獻標識碼：A文章編號：1673-0992(2009)02-0090-02

隨著互聯網的飛速發展，財務電算化也在向財務網絡信息化的方向發展，企業會計核算與會計管理的環境發生了很大變化，傳統會計系統的內部控制機制和手段已不適應于網絡環境，從而建立適合于網絡環境下的內部控制體系是目前企業急需解決的問題。為建立和加強網絡財務系統的內部控制，首先必須要弄清網絡財務為企業的內部控制帶來的新問題與新要求。

一、網絡財務時代企業內部控制面臨的新問題

(一)網絡財務的應用擴大了企業會計核算范圍企業實施網絡財務以后，會計核算環境發生了很大的變化。第一，會計部門的組成人員結構發生變化，由原來的財務、會計人員轉變為由財務、會計人員和計算機操作員、網絡系統維護員、網絡系統管理員等組成。第二，會計業務處理范圍變大，除完成基本的會計業務外。網絡財務同時還集成許多管理以及財務的相關功能，諸如網上支付、網上催賬、網上報稅、網上報關、網上法規及財務信息查詢，以及網上詢價、網上采購、網上銷售、網上服務、網上銀行、網上理財、網上保險、網上證券投資和網上外匯買賣等等。第三，網絡財務提供在線辦公等服務，從而使會計信息的網上實時處理成為可能，原來由幾個部門按預定步驟完成的業務事項可集中在一個部門甚至一個人完成。因此，要保證企業會計系統對企業經濟活動反映的正確可靠，達到企業內部控制目標，企業內部控制制度的范圍和控制方法較原來系統將更加廣泛和復雜。

(二)網絡財務使會計信息儲存方式和媒介發生變化

網絡財務的應用使各類會計憑證和報表的生成方式、會計信息的儲存方式和儲存媒介發生變化。原始憑證在網絡業務交易時自動產生并存入計算機，不再存在傳統的原始憑證。會計電算化的第一階段促進了介質的改變，從賬本到磁盤文件。網絡財務使會計介質繼續發生變化，不僅賬表，更多的介質將電子化，出現各種電子單據(如各種發票、結算單據)。存貯形式主要以網絡頁面數據存儲。發生業務交易時系統不一定打印原始記錄；網頁數據只能在計算機及相應的程序中閱讀；原來在核算過程中進行的各種必要的核對、審核等工作大部分由計算機自動完成。因此。網絡環境下會計內部控制的重點由對人的控制為主轉變為對人、計算機和互聯網的控制。

(三)網絡財務使企業面臨的安全風險加大

網絡財務的應用將原來封閉的局域會計系統面臨開放的互聯網世界，給財務系統的安全提出了嚴重的挑戰。第一，在網絡環境下，過去以計算機機房為中心的“保險箱”式安全措施已不適用，大量的會計信息通過開放的internet傳遞，途經若干國家與地區，置身于開放的網絡中，存在被截取、篡改、泄漏機密等安全風險，很難保證其真實性與完整性。第二，由于互聯網的開放特性，給一些非善意訪問者以可乘之機。目前黑客肆虐，世界上的各類網站每天都受到成千上萬次攻擊，網絡財務系統無疑也面臨巨大的安全風險。第三，計算機病毒的猖獗也為互聯網系統帶來更大的風險。在互聯網中，計算機病毒可以通過E-mail或用戶下載文件進行傳播，其傳播速度是單機的20倍。有效地防治計算機病毒對保障網絡財務系統的安全性至關重要。因此，網絡財務系統的內部控制不僅難度大、復雜，而且還要有各種控制的先進技術手段。

二、網絡財務內部控制措施

(一)基于企業內部網(Intranet)的控制措施

1會計信息資源控制。會計信息來源于網絡服務器的數據庫系統中，所以網絡數據庫系統是整個網絡財務系統控制的重點目標。威脅數據庫系統的安全主要有兩個方面：一是網絡系統內外人員對數據庫的非授權訪問；二是系統故障、誤操作或人為破壞數據庫造成的物理損壞。針對上述威脅，會計信息資源控制應采取以下措施：(1)采用三層式客戶機/服務器模式組建企業內部網，即利用中間代理服務器隔離客戶與數據庫服務器的聯系，實現數據的一致性；(2)采用較為成熟的大型網絡數據庫產品并合理定義應用子模式。子模式是全部數據資料中面向某一特定用戶或應用項目的一個數據處理集，通過它可以分別定義面向用戶操作的用戶界面，做到特定數據面向特定用戶開放；(3)建立會計信息資源授權表制度；(4)采取有效的網絡數據備份、恢復及災難補救計劃。

2系統開發控制。它是一種預防性控制，目的是確保網絡財務系統開發過程及內容符合內部控制的要求。財務軟件的開發必須遵循國家有關機關和部門制訂的標準和規范。(1)在網絡財務系統開發之初，要進行詳細的可行性研究；(2)在系統開發過程中，內審和風險管理人員要參與系統控制功能的研究與設計，制訂有效的內部控制方案并在系統中實施；(3)在系統測試運行階段，要加強管理與監督，嚴格按照《商品化會計核算軟件評審規則》等各

種標準進行：(4)系統運行前對有關人員進行培訓，不僅培訓系統的操作，還要使受訓人員了解系統投入運行后新的內部控制制度和網絡財務提供的高質量會計信息的進一步分析與利用等：(5)及時做好新舊系統轉換。企業應在系統轉換之際采取有效的控制手段，做好各項轉換的準備工作，如舊系統的結算、匯總，人員的重新配置，新系統初始數據的安全導入等。

3系統應用控制。是指具體的應用系統中用來預防、檢測和更正錯誤，以及防止不法行為的內部控制措施。(1)在輸入控制中，要求輸入的數據應經過必要的授權，并經有關內部控制部門檢查，還要采用各種技術手段對輸入數據的準確性進行校驗，如總數據控制校驗、平衡校驗、數據類型校驗、二次錄入校驗等；(2)在處理控制中，對數據進行有效性控制和文件控制。有效性控制包括數字的核對、字段和記錄長度檢查、代碼和數值有效范圍的檢查、記錄總數的檢查等。文件控制包括檢查文件長度、標志和是否染毒等：(3)在輸出控制中，一要驗證輸出結果是否正確和是否處于最新狀態，以便用戶隨時得到最新準確的會計信息；二要確保輸出結果能夠送發到合法的輸出對象，文件傳輸安全正確。

4系統維護控制。系統維護包括軟件修改、代碼結構修改和計算機硬件與通訊設備的維修等，涉及到系統功能的調整、擴充和完善。對網絡財務系統進行維護必須經過周密計劃和嚴格記錄。維護過程的每一環節都應設置必要的控制，維護的原因和性質必須有書面形式的報告，經批準后才能實施修改。軟件修改尤為重要，網絡財務系統操作員不能參與軟件的修改，所有與系統維護有關的記錄都應打印后存檔。

5管理控制。是指企業為加強和完善對網絡財務系統涉及的各個部門和人員的管理和控制所建立的內部控制制度。由于網絡財務系統是一種分布式處理結構，計算機網絡分布于企業各業務部門，實現財務與業務協同處理，因此原來集中處理模式下的行政控制轉變為間接業務控制。主要應做好如下幾方面的工作；(1)設置適應于網絡下作

業的組織機構并設置相應的工作站點；(2)合理建立上機管理制度，包括輪流值班制度、上機記錄制度、完善的操作手冊和上機時間安排并保存完備的操作日志文件等；(3)建立完備的設備管理制度，對硬件設備所處的環境進行溫度、濕度、防靜電控制，做好網絡的絕緣、接地和屏蔽工作，同時對人文環境進行控制，防止無關人員上機操作：(4)建立完備的內審制度。

(二)基于企業外部網(extranet)的控制措施

1周界控制。是指通過安全區域的周界實施控制來達到保護區域內部系統安全的目的。它是預防外來攻擊措施的基礎，主要內容包括：(1)設置外部訪問區域，明確企業內部網絡的邊界，防止“黑客”通過電話網絡進入系統：(2)建立防火墻(firewall)，在內部網和外部網之間的界面上構造保護屏障，防止非法入侵、非法使用系統資源，執行安全管理措施，記錄所有可疑事件。

2大眾訪問控制。大眾訪問包括文件傳遞、電子郵件、網上會計信息查詢等。由于互聯網絡系統是一個全方位開放的系統，對社會大眾的網上行為實際上是不可控的，因此，企業應在網絡財務系統外部訪問區域內采取相應防護措施。外部網絡的訪問控制主要有：(1)在網絡財務系統中設置多重口令，對用戶的登錄名和口令的合法性進行檢查；(2)合理設置網絡資源的屬主、屬性和訪問權限。資源的屬主體現不同用戶對資源的從屬關系，如建立者、修改者等；資源的屬性表示資源本身的存取特性，如讀寫或執行等；訪問權限體現用戶對網絡資源的可用程度；(3)對網絡進行實時監視，找出并解決網絡上的安全問題，如定位網絡故障點、捉住非法入侵者、控制網絡訪問范圍等；(4)審計與跟蹤，包括對網絡資源的使用、網絡故障、系統記賬等方面的記錄和分析。

3電子商務控制。網絡財務是電子商務的基石，是電子商務的重要組成部分，因此，對電子商務活動也必須進行管理與控制。主要措施有：(1)建立與關聯方的電子商務聯系模式；(2)建立網上交易活動的授權、確認制度，以及相應的電子會計文件的接收、簽發驗證制度；(3)建立交易日志的記錄與審計制度。

4遠程處理控制。網絡財務系統的應用為跨國企業、集團企業實現遠程報表、遠程報賬、遠程查賬、遠程審計以及財務遠程監控等遠程處理功能創造了條件。這些功能的啟用必須采取相應的控制措施，主要有：(1)合理設計網絡財務系統各分支系統的安全模式并實施；(2)進行遠程處理規程控制。

5數據通訊控制。數據通訊控制是企業為了防止數據在傳輸過程中發生錯誤、丟失、泄密等事故而采取的內部控制措施。企業應采取各種有效手段來保護數據在傳輸過程中準確、安全、可靠。主要措施有：(1)保證良好的物理安全，在埋設地下電纜的位置設立標牌加以防范，盡量采用結構化布線來安裝網絡；(2)采用虛擬專用網(VPN)線路傳輸數據；(3)對傳輸的數據進行加密與數字簽名。在系統的客戶端和服務器之間傳輸的所有數據都進行兩層加密保證數據的安全性，使用數字簽名確保傳輸數據的保密性和完整性。

6防病毒控制。在系統的運行與維護過程中應高度重視計算機病毒的防范及相應的技術手段與措施?？梢圆捎萌缦驴刂拼胧?1)對不需要本地硬盤和軟盤的工作站，盡量采用無盤工作站；(2)采用基于服務器的網絡殺毒軟件進行實時監控、追蹤病毒；(3)在網絡服務上采用防病毒卡或芯片等硬件，能有效防治病毒；(4)財務軟件可掛接或捆綁第三方反病毒軟件，加強軟件自身的防病毒能力；(5)對外來軟件和傳輸的數據必須經過病毒檢查，在業務系統嚴禁使用游戲軟件：(6)及時升級本系統的防病毒產品。