《关于网络环境下企业内部控制问题的探讨 》由会员分享,可在线阅读,更多相关《关于网络环境下企业内部控制问题的探讨 (4页珍藏版)》请在金锄头文库上搜索。
1、1关于网络环境下企业内部控制问题的探 讨 摘 要 随着网络技术在企业的广泛运用,使得企业内部控制的潜在风险不断加大。从内部控制整体框架的五个基本要素入手,阐述了网络环境下企业内部控制遇到的新问题,同时提出了建立网络环境下企业内部控制系统的主要内容。关键词 网络技术 网络安全控制 内部审计随着网络技术的不断发展,企业管理信息系统从相对独立、封闭的状态向网络发展已成为必然趋势。企业管理信息系统在实现网络化之后,使得信息处理效率成倍提高,信息资源得到进一步的共享,这些变革在给企业带来巨大效益的同时,也给企业内部控制带来了新的问题和挑战。网络化对企业内部控制理念和方法的冲击是全方位的,因此认识这种变化
2、、探讨解决方案对企业内部控制的发展和完善具有重大现实意义。1 网络环境下企业内部控制遇到的新问题内部控制自产生以来经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架几个阶段。内部控制是由企业董事会、经理阶层和其他员工实施的,为合理保证企业经营活动的效益性、财务报告的可靠性和法律法规的遵循性,而自行检查、制约和调整内部业务活动的自律系统。其构成要素有:控制环境、风险评估、控制活动、信息与沟通、监督。在网络环境下,企业内部控制的目标和基本框架并未发生实质性的改变,但其出现了许多新特征,从而给企业的内部控制带来了以下新问题:(1)控制环境。控制环境是对企业内控系统的建立和实施有重大影响的各
3、种因素的总称。主要是指企业的核心人员以及这些人员的个别属性和所处的工作环境,2它是推动控制工作的发动机,是所有其他内控组成部分的基础。任何企业的控制活动都存在于一定的控制环境之中,控制环境的好坏直接影响到企业内部控制的贯彻和执行,以及企业经营目标及整体战略目标的实现。控制环境是内部控制 5个要素中最重要的要素。在网络环境下,企业内部控制的环境发生了变化,电子商务将对企业内部控制产生重大影响。随着电子商务的迅猛发展,企业的各项数据资料都将以数字格式存储在处于联网状态的客户机的磁盘上,极易被篡改或恶意破坏,同时磁盘等软硬件也可能由于质量问题或病毒侵扰和黑客非法入侵而发生故障,破坏企业的数据和各种信
4、息,这就使企业的会计数据的安全性受到威胁,安全系数降低,加剧了管理信息的失真。由于经济业务发生所取得的原始凭证也将以电子凭证的格式在网上传递,因而增加了企业对网上公证机构的依赖。但直到目前为止,相应的技术和法规还远没有达到完善,从而对系统的内部控制造成困难。竞争对手也可以通过互联网登录企业的网站,了解企业的信息,使企业数据信息的保密性难以保证。(2)风险评估。风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。风险评估是企业内部控制过程中的
5、关键环节,是企业内部控制的主要特征。在网络环境下,虽然企业的整体目标没有改变,但企业的外部环境与内部因素都发生了变化。由于网络的开放性、信息的分散性、数据的共享性,以及企业业务流程的改变,极大地改变了以往封闭集中状态下的运行环境,同时也改变了传统的风险控制的内容和方法。例如,强大的复杂的计算机网络系统增加了企业潜在的风险,因为人们的主观判断被忽略,数据处理过于集中,存储的数据可以被不3留痕迹地篡改和删除,数据的存放形式增加了数据再现的难度,数据处理过程无法观测等,使得风险评估的难度加大。这些新的风险点构成了内部控制的新内容。(3)控制活动。控制活动是为了合理地保证经营管理目标的实现、指导员工实
6、施管理指令、管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。对于企业管理而言,授权和控制就像一个硬币的正反两面,授权就必须进行控制。在网络环境下,控制手段更多样性、灵活性和高效性,加强了内部控制的预防、检查与纠正的功能,使企业摆脱人员与资源的限制,经济有效地实现内部控制的目标。但随着计算机使用范围的扩大,利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。如存储在计算机磁性媒介上的数据容易被篡改;数据库技术的提高使数据高度集中,未经授权的人员有可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据,使得计算机犯罪有很大的隐蔽性和
7、危害性,从而扩大了内部控制活动的范围,进而增加了内部控制的难度与复杂性。(4)信息与沟通。信息与沟通存在于所有经营管理活动中,使员工得以搜集和交换为开展、从事管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价。在信息方面主要是对内部信息和外部信息的搜集和整理;在沟通方面主要加强内部信息和外部信息的沟通渠道与方式;在信息技术的发展中加强对信息系统的控制。开放的网络环境无疑提高了信息的传递速度和共享度,但很难避免非法侵扰,企业管理信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。同时,在网络环境下财务信息的传递借助于网络完成,电子符号代替了会计数据,磁性介质代替了纸张,财务数
8、据流动过程中签字盖章等传统交易手段不再存在,从而使网络信息的真实性受到质疑,从而对内部控制提出了新问题。4(5)监督。监督是经营管理部门对内控的管理监督和内审监管部门对内控的再监督与再评价活动的总称。企业整个内部控制的过程必须受到监督,并在必要时得以修订,这样,系统及制度才能反应自如,并可视情况而随时调整。监督可以通过持续的监督活动、单独的评价以及两者的配合加以实施。内部控制的程序化使得内部控制具有一定的依赖性并增加了差错发生的可能性。由于网络的应用,使得内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序。如果程序发生差错或不起作用,由于人们对计算机系统的依
9、赖性、麻痹大意以及程序运行的重复性,使得失效控制长期不被发现,从而使系统在特定方面发生错误或违规行为的可能性变大。 2 网络环境下企业内部控制系统的构建网络环境下,企业内部控制的重点是职能部门和计算机数据处理部门并重的全面控制,内部控制范围扩大,控制程序灵活多样,控制方式和操作手段是人工控制和程序控制相结合的多方位控制。在网络环境下构建企业内部控制制度,可从如下几个方面入手:(1)加强组织与管理控制。具体内容包括:建立安全稽核机制。在网络环境下企业内部控制的首要任务是保证网络系统的安全可靠与畅通。为此要对企业整个网络管理信息系统的各个层次(网络平台、通信平台、操作系统平台和应用平台)制定切实可
10、行的安全防范措施。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源等进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。上机操作规程。操作规程是指操作中应遵守的程序,是保证计算机网络系统能够正确、安全运行,防止各种差错的有力措施。主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。建立计算机资源访问授权和身份认证制度。即明确每个用户的安全级5别和身份标识,并分别定义具体的访问对象,以实现系统内部的有效牵制。加强系统人员的操作管理。在网络环境下,人作为系统主体是网络发展的基本动力和信息安全的最终防线,人员操作管理的重点是权限控
11、制。系统管理员被赋予超级用户管理权限,主要负责系统软、硬件的管理维护和网络资源分配;操作人员应按照被授予的权限严格作业,不得越权接触系统;系统程序员不得进行业务操作,以避免人为因素或操作不当给操作系统带来不必要的损失和风险。设置安全检测预警系统。即实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络连接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的,可持续改进的安全模式。 (2)加强网络系统安全控制。硬件设备安全控制。硬件设备安全主要涉及计算机机房环境和设备的技术安全要求。应制定网络计算机机房和设备的管理制度、岗位职责和操作规程,严格禁止无关
12、人员接触系统,专机专用;计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双系统自动备份技术,以应付突发事件,保证数据的安全完整。系统软件安全控制。严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复的功能。会计信息安全控制。会计信息安全的基础是密码学。按加密和解密算法所用的密码是否相同,将密码分为对称密码体制和非对称密码体制。后者在信息安全管理方面得到了广泛的应用。如通信线路上的数据流加密,数据库中的数据文件加密,访问者的身份认证,数字签名等。除密码学之外,模式识别的方法也在
13、网络信息安全方面得到应用。如指纹识别、面容识别在身份认证中具有很好的作用。系统入侵防范控制。为了防止非法用户对网络会计系统的入侵,应采取设置防火6墙,身份认证和授权管理等安全技术,用以限制外界对主机操作系统的访问;用以隔离开内部应用系统与外界访问区域之间的联系,限制外界穿过访问区域对网络应用系统服务器尤其是对会计数据库系统的非法访问;加强原有的基于账户和口令的控制,提供授权访问控制和用户身份识别。交易安全。对于无纸化交易,除了要加强网络安全外,还要从技术上解决第三方公正问题,政府从法律的角度规范公正第三方的行为,为双方的公正交易提供保障;提高企业内部稽核人员的计算机操作水平,开发内部稽核的软件
14、,稽核软件要兼具灵活性和兼容性。(3)加强和完善网络环境下的内部审计制度。企业内部审计机构是强化内部控制制度的一项基本措施,在计算机网络系统中,由于数据处理是“人机”对话的特殊形态,因而对内部审计提出了更高、更严格的要求。内部审计是在单位最高负责人的直接领导下,对集网络、计算机及信息处理为一体的管理信息系统进行职能管理,依照有关法律、法规及内部管理制度,对其合法性、真实性、可靠性和效益性进行相对独立的监督、检查与评价的活动。其主要目的是保护企业计算机管理信息系统所产生的管理数据的真实与可靠,保证网络上数据传输的安全,并对系统安全情况做出评价。参考文献1 鲍德纳,霍普伍德. 卢俊译会计信息系统M.北京:清华大学出版社,20032 张瑞君网络环境下会计实时控制M.北京:中国人民大学出版社,20043 王学余利用 SAP 系统实时内部控制简析J.财会通讯,2004(7)4 罗风兰ERP 系统下信息系统内部控制的风险分析与防范J.中国管理信息化,2005(5)
