內(nèi)部控制在網(wǎng)絡(luò)中的問題及對策研究

彭小梅

摘要：網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)內(nèi)部控制不僅難度大、復(fù)雜，而且還要有各種控制計算機(jī)及其網(wǎng)絡(luò)技術(shù)的手段，控制的重點(diǎn)是職能部門和數(shù)據(jù)處理部門并重的全面控制，在網(wǎng)絡(luò)環(huán)境下建立起一整套完善的會計信息系統(tǒng)內(nèi)部控制制度，可以保證會計信息系統(tǒng)能正確可靠地反映企事業(yè)單位經(jīng)濟(jì)活動，保證企事業(yè)單位實現(xiàn)既定的管理目標(biāo)和財產(chǎn)的完整。

關(guān)鍵詞：內(nèi)部控制；網(wǎng)絡(luò)；問題；對策

中圖分類號：TP393 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2014）07-1407-03

網(wǎng)絡(luò)時代的到來使企事業(yè)單位的會計業(yè)務(wù)運(yùn)作越來越依賴于信息系統(tǒng)，會計信息系統(tǒng)內(nèi)部控制也發(fā)生革命性的變革，在計算機(jī)網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)內(nèi)部控制也遇到了很多與傳統(tǒng)環(huán)境不一樣的問題。

1 會計信息系統(tǒng)內(nèi)部控制在網(wǎng)絡(luò)環(huán)境下的主要問題

隨著計算機(jī)網(wǎng)絡(luò)迅猛發(fā)展，電子商務(wù)、網(wǎng)上交易、無紙化交易等的推行，所有的交易數(shù)據(jù)都由業(yè)務(wù)人員直接輸入計算機(jī)并上傳到網(wǎng)絡(luò)中，原來的核算、審核工作也基本由計算機(jī)自動完成，同時企業(yè)也將利用信息系統(tǒng)控制企業(yè)的經(jīng)濟(jì)活動，并將信息系統(tǒng)的控制作為企業(yè)內(nèi)部控制的重要組成部分。但是在使用網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)的快捷方便同時也將企業(yè)的信息系統(tǒng)置于一個開放復(fù)雜的環(huán)境中，其安全問題又不得不考慮。該文針對網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)內(nèi)部控制的主要問題分析如下。

1.1 網(wǎng)絡(luò)環(huán)境下數(shù)據(jù)存在易失性和安全性差

網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)的范圍擴(kuò)大，數(shù)據(jù)介質(zhì)發(fā)生變化，各種信息轉(zhuǎn)化為數(shù)字形式存儲在磁介質(zhì)上，如果發(fā)生火災(zāi)、被盜、感染病毒等，數(shù)據(jù)就丟失了，另外計算機(jī)網(wǎng)絡(luò)上硬件的老化及自然損壞也是數(shù)據(jù)容易丟失的原因。在網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)內(nèi)部控制系統(tǒng)程序本身的漏洞較普通單機(jī)版更多，系統(tǒng)的安全性更差，而且會計信息系統(tǒng)下的權(quán)限分工主要依靠口令授權(quán)，每個相關(guān)人員都有與自己權(quán)限相對應(yīng)的口令，操作口令管理不嚴(yán)，容易在網(wǎng)絡(luò)上泄密或被人竊取，修改、擦除和拷貝均不會留下任何痕跡，由此帶來安全隱患。另外，網(wǎng)上銀行的開通，電子商務(wù)的普及，通過網(wǎng)上劃轉(zhuǎn)資金，電子單據(jù)、電子貨幣、網(wǎng)上結(jié)算等電子化的出現(xiàn)，都需要采取新的有效的內(nèi)部控制方法，避免數(shù)據(jù)安全問題。

1.2 數(shù)據(jù)的集成化和程序化加大了控制風(fēng)險

計算機(jī)網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展使會計信息系統(tǒng)中的數(shù)據(jù)日趨集成化和程序化，數(shù)據(jù)的訪問和交換均通過數(shù)據(jù)服務(wù)器進(jìn)行，傳統(tǒng)的人工輸入數(shù)據(jù)環(huán)節(jié)功能弱化，而網(wǎng)絡(luò)高速公路使數(shù)據(jù)處理迅速，并且聯(lián)網(wǎng)四通八達(dá)，某個環(huán)節(jié)發(fā)生的錯誤極有可能在短時間內(nèi)迅速蔓延，造成會計信息系統(tǒng)的癱瘓。會計信息系統(tǒng)使用的系統(tǒng)軟件和應(yīng)用程序的質(zhì)量決定著整個系統(tǒng)的安全性和使用價值，如果這些系統(tǒng)軟件和應(yīng)用程序中存在著嚴(yán)重的問題，將會加大了會計信息系統(tǒng)的控制風(fēng)險，會導(dǎo)致整個系統(tǒng)的崩潰。

1.3 對系統(tǒng)使用人員綜合素質(zhì)能力要求更高

網(wǎng)絡(luò)信息時代帶來了大量的新技術(shù)、新知識，使企事業(yè)單位的會計信息系統(tǒng)的環(huán)境發(fā)生了很大的變化，會計信息系統(tǒng)的安全保護(hù)，會計信息系統(tǒng)的操作人員、網(wǎng)絡(luò)系統(tǒng)管理員的崗位責(zé)任等問題，對會計信息系統(tǒng)使用人員素質(zhì)要求更高，會計部門不僅利用計算機(jī)完成基本的會計業(yè)務(wù)，還能利用計算機(jī)完成各種原先沒有的或由其他部門完成的更為復(fù)雜的業(yè)務(wù)活動。

1.4 網(wǎng)絡(luò)犯罪的隱蔽性使得控制難度加大

會計信息系統(tǒng)的數(shù)據(jù)儲存在計算機(jī)磁性媒介上，容易被篡改。在計算機(jī)網(wǎng)絡(luò)環(huán)境下系統(tǒng)數(shù)據(jù)高度集中，網(wǎng)絡(luò)黑客或部分人員可以通過一些黑客軟件瀏覽部分乃至全部數(shù)據(jù)文件，甚至能做到不留痕跡地復(fù)制、偽造、銷毀企業(yè)重要的數(shù)據(jù)，而且網(wǎng)絡(luò)環(huán)境下這種犯罪具有很大的隱蔽性。計算機(jī)病毒的猖獗也為威脅著網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)，病毒制造者的技術(shù)日益高超，破壞力越來越大。另外會計信息系統(tǒng)軟件自身的BUG 和后門等因素也為系統(tǒng)的安全帶來諸多隱患。

2 會計信息系統(tǒng)網(wǎng)絡(luò)內(nèi)部控制問題的解決對策

要實現(xiàn)網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)安全可靠地運(yùn)行，必須針對上面分析的系統(tǒng)內(nèi)部控制問題提出解決問題的辦法，筆者認(rèn)為可以通過以下四個方面。

2.1 建立數(shù)據(jù)管理制度，加強(qiáng)數(shù)據(jù)安全保密

要建立嚴(yán)格的數(shù)據(jù)管理制度，如：保證會計信息系統(tǒng)硬件的防火、防水、防磁、防塵等安全；建立數(shù)據(jù)的備份制度，防止信息數(shù)據(jù)丟失；預(yù)防計算機(jī)病毒，防止病毒對信息系統(tǒng)數(shù)據(jù)的安全造成極大的危害；禁止非操作和維護(hù)人員使用會計信息系統(tǒng)聯(lián)網(wǎng)計算機(jī)，或者通過網(wǎng)絡(luò)隨意進(jìn)入會計信息系統(tǒng)。在網(wǎng)絡(luò)環(huán)境下，要時刻防范網(wǎng)絡(luò)黑客和病毒的攻擊、竊取、破壞，需要采用操作授權(quán)、口令控制、數(shù)據(jù)加密、職能權(quán)限管理、操作日志管理等新的控制方法，這一切必須嚴(yán)格通過口令的控制來實現(xiàn)，另外還要安裝防火墻，禁止安裝網(wǎng)絡(luò)下載程序，嚴(yán)格執(zhí)行移動存儲介質(zhì)管理制度，確保數(shù)據(jù)的安全。

2.2 加強(qiáng)軟硬控制，規(guī)范操作流程

數(shù)據(jù)的集成化和程序化更要加強(qiáng)網(wǎng)絡(luò)環(huán)境下的硬件和軟件的控制?？梢酝ㄟ^奇偶校驗、冗余校驗、重復(fù)處理校驗、回聲校驗、設(shè)備校驗和有效性校驗等來保證硬件系統(tǒng)正確可靠的控制，可以通過設(shè)計的軟件內(nèi)部中的各種處理故障、糾正錯誤、保證系統(tǒng)安全的控制軟件來保證軟件系統(tǒng)正常運(yùn)行。操作上要保證輸入數(shù)據(jù)的準(zhǔn)確性，另外計算機(jī)軟硬件的安裝要保證可靠性，操作上的一些具體的措施有：部門內(nèi)部的職責(zé)分離、憑證審核、手續(xù)控制、建立科目名稱與代碼對照文件、設(shè)計科目代碼自動校驗功能、試算平衡校驗等。

2.3 加強(qiáng)人員管理，提高綜合素質(zhì)

會計信息系統(tǒng)內(nèi)部控制系統(tǒng)需要加大對現(xiàn)有相關(guān)人員的繼續(xù)教育，確保系統(tǒng)內(nèi)每一個人員都能知道其所擁有的權(quán)力和承擔(dān)的責(zé)任，注重培養(yǎng)人員的綜合業(yè)務(wù)素質(zhì)，提高會計信息系統(tǒng)使用人員的風(fēng)險防范意識，使其能適應(yīng)現(xiàn)代會計信息系統(tǒng)賴以生存的瞬息萬變的網(wǎng)絡(luò)環(huán)境。為了實現(xiàn)這一點(diǎn)，企事業(yè)單位需要制定相應(yīng)的制度來規(guī)范加強(qiáng)會計信息系統(tǒng)使用人員的管理，需要制定操作管理制度、網(wǎng)絡(luò)軟硬件管理制度、會計檔案管理制度等網(wǎng)絡(luò)環(huán)境下的內(nèi)部控制制度，將制度落實到?jīng)Q策、執(zhí)行、監(jiān)督、反饋等各個環(huán)節(jié)，樹立每一個人員都應(yīng)對系統(tǒng)的內(nèi)部控制負(fù)有責(zé)任的觀念。同時相關(guān)人員必須掌握一定的網(wǎng)絡(luò)信息系統(tǒng)方面的知識和技能，全面熟悉網(wǎng)絡(luò)會計信息系統(tǒng)的特點(diǎn)和風(fēng)險，參與分析單位的各項業(yè)務(wù)活動，了解與業(yè)務(wù)過程相應(yīng)的信息處理過程，使會計核算工作在健全、有效的內(nèi)部控制之下進(jìn)行。

2.4 健全相關(guān)法律法規(guī)

我國財政部雖然已經(jīng)頒布了一系列內(nèi)部控制規(guī)范，但有關(guān)會計信息系統(tǒng)內(nèi)部控制方面的法律法規(guī)還不多，所以我們要與時俱進(jìn)，加快防止會計信息系統(tǒng)犯罪的法制化進(jìn)程，要健全相關(guān)法律法規(guī)，企事業(yè)單位要制定在網(wǎng)絡(luò)環(huán)境下相應(yīng)的會計信息系統(tǒng)內(nèi)部控制法規(guī)，要明確會計信息系統(tǒng)中哪些方面受法律保護(hù)，對未經(jīng)許可接觸會計信息系統(tǒng)有關(guān)數(shù)據(jù)文件的行為要有明文確定屬于犯罪行為，并且明確懲處方法，為網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)提供一個良好的社會環(huán)境。

3 實際應(yīng)用——企業(yè)ERP系統(tǒng)信息與網(wǎng)絡(luò)安全性分析

企業(yè)的ERP系統(tǒng)幾乎覆蓋了企業(yè)運(yùn)作的所有部分，包括生產(chǎn)、營銷、管理、客服、售后服務(wù)等等。因此，在某種程度上可以將ERP系統(tǒng)作為企業(yè)中樞系統(tǒng)，統(tǒng)領(lǐng)著一切其他子系統(tǒng)，子系統(tǒng)在總系統(tǒng)的分配調(diào)度下協(xié)調(diào)工作，共同為企業(yè)整體的運(yùn)轉(zhuǎn)提供保證。如果中樞系統(tǒng)出現(xiàn)問題，將導(dǎo)致整個企業(yè)運(yùn)轉(zhuǎn)出現(xiàn)問題，甚至導(dǎo)致整個企業(yè)的癱瘓，可以說，REP系統(tǒng)的安全穩(wěn)定對于企業(yè)整體的安全有著重要作用。

3.1 網(wǎng)絡(luò)組建模式

目前來看，我國使用REP系統(tǒng)的企業(yè)大多為計算機(jī)方面的企業(yè)，多數(shù)采用的都是構(gòu)建主干網(wǎng)后通過主干網(wǎng)將各個子系統(tǒng)互相聯(lián)系，子系統(tǒng)彼此之間相互聯(lián)系，共同構(gòu)成整個完善系統(tǒng)的網(wǎng)絡(luò)。

這類系統(tǒng)的網(wǎng)絡(luò)中心一般都在企業(yè)總部，以總部為出發(fā)點(diǎn)，將分支與子企業(yè)相聯(lián)系，實現(xiàn)網(wǎng)絡(luò)的互聯(lián)。作為整體網(wǎng)絡(luò)重要的環(huán)節(jié)，總部不僅僅是作為網(wǎng)絡(luò)的中心，還是整體系統(tǒng)的管理樞紐。盡管不同行業(yè)的網(wǎng)絡(luò)系統(tǒng)在結(jié)構(gòu)功能上會有所不同，但整體上基本結(jié)構(gòu)相同，大致可以分為商務(wù)部、信息部和辦公部三部分，這些部分在不同企業(yè)會承擔(dān)著不同的責(zé)任和義務(wù)。

3.2 安全需要

企業(yè)ERP系統(tǒng)的安全與穩(wěn)定關(guān)系到整個企業(yè)能否正常運(yùn)行，是企業(yè)需要特別注重的方面。為了保證系統(tǒng)的安全，不僅僅要保證主系統(tǒng)不受外部干擾，還應(yīng)確保各個部門之間的聯(lián)系和資源共享得到安全保證，做到不越權(quán)進(jìn)行彼此互訪，防止內(nèi)部安全系統(tǒng)出現(xiàn)問題。值得注意的是，目前很多企業(yè)在進(jìn)行內(nèi)部溝通時都會采用電子郵件或者網(wǎng)絡(luò)系統(tǒng)等方式，這就給一些外來人員提供了一些可乘之機(jī)，因此在進(jìn)行此類的溝通時，企業(yè)應(yīng)該注意保證內(nèi)部的安全可靠，必要時可以對所交流信息進(jìn)行加密處理，保證內(nèi)部資料不被外泄。

3.3 系統(tǒng)的安全目標(biāo)

1）保證企業(yè)內(nèi)部信息在傳遞獲取過程中保持完整性和獨(dú)立性，嚴(yán)格控制內(nèi)部人員對于信息的處理和使用，防止信息外泄。

2）信息在進(jìn)行交流和溝通時，對于一些重要文件內(nèi)容的處理應(yīng)該在得到相關(guān)部門允許后才開始分享。保證企業(yè)重要信息安全性。

3）控制外來人士對于企業(yè)網(wǎng)絡(luò)的使用和訪問，可以通過監(jiān)察訪問人士ip地址的方法對來訪人員進(jìn)行監(jiān)督，一旦發(fā)現(xiàn)可疑人士，馬上報告相關(guān)部門，針對來訪人員特征，采取相應(yīng)措施進(jìn)行處理。

3.4 信息安全目標(biāo)

在經(jīng)濟(jì)快速發(fā)展的現(xiàn)代，信息資源在某種程度上已經(jīng)成為一種資本，擁有最新消息，最廣泛信息來源的企業(yè)往往能未雨綢繆，及時規(guī)避一些即將到來的風(fēng)險，最大限度保全企業(yè)。因此，企業(yè)的信息安全也就顯得格外重要，可以說，誰掌握了最新最可靠的信息，誰就擁有了在市場競爭的主動權(quán)。一般來說，按照信息的重要程度可以分為以下四類：公共級信息、內(nèi)部級信息、機(jī)密級信息和限制級信息共四類。

1）公共信息指那些對于企業(yè)來說沒有重要意義的信息，這種信息可以透露給觀眾，由于它本身不含有太大價值，它的泄漏也不會對企業(yè)產(chǎn)生影響。

2）內(nèi)部信息比公共信息機(jī)密性要高一些，有一些信息對于企業(yè)有著一定的利用價值，不是以直接公布給公眾。但有些信息可以通過其他方式傳遞給取到信息獲取資格的公眾人士。

3）機(jī)密信息一般指對于企業(yè)有著重要作用的信息，這部分信息需要嚴(yán)格保密，一旦泄露很可能對合作的客戶服務(wù)商等造成極為不利的影響，因此在企業(yè)內(nèi)部需要進(jìn)行加密處理，防止外來人士對機(jī)密信息隨意利用。

4）限制級信息的安全等級最高，需要進(jìn)行特殊處理，這部分信息在企業(yè)內(nèi)部也應(yīng)該做周密的保密處理，只能對企業(yè)內(nèi)部特殊人員開放。信息一旦泄露將可能給企業(yè)帶來毀滅性打擊，因此在使用和處理限制級信息的時候，一定做到多重保密手段綜合使用，最大化的保證信息的安全穩(wěn)定。

5）企業(yè)ERP系統(tǒng)的安全體系結(jié)構(gòu)

首先需要滿足安全策略，構(gòu)建一套整體安全穩(wěn)定的系統(tǒng)，并進(jìn)行身份識別設(shè)置，對于外來人員的訪問資格進(jìn)行限制，這是目前最流行的保護(hù)方式，也是最常用的方式之一。

其次應(yīng)該對系統(tǒng)進(jìn)行授權(quán)管理和對訪問進(jìn)行控制。一方面控制物理方面的訪問，比如采用警報器、安全鑰匙等，另一方面保證邏輯訪問控制，包括防火墻系統(tǒng)和交換機(jī)系統(tǒng)等。

最后應(yīng)該確保信息的保密性和完整性。對信息進(jìn)行分級設(shè)置，保證不同保密等級的信息得到相應(yīng)保護(hù)。

參考文獻(xiàn)：

[1] 張鐵峰，賈麗娜.中小企業(yè)內(nèi)部審計在企業(yè)內(nèi)部控制制度建設(shè)中的作用[A].中國內(nèi)部審計協(xié)會2009年度全國“內(nèi)部審計與內(nèi)部控制體系建設(shè)”理論研討暨經(jīng)驗交流會三等獎?wù)撐膮R編[C]. 2009.

[2] 中國移動浙江公司課題組.內(nèi)部審計與內(nèi)部控制體系建設(shè)——內(nèi)部審計在企業(yè)開展內(nèi)部控制評價的實踐[A]. 中國內(nèi)部審計協(xié)會2009年度全國“內(nèi)部審計與內(nèi)部控制體系建設(shè)”理論研討暨經(jīng)驗交流會三等獎?wù)撐膮R編[C]. 2009 .

[3] 陳瑩，劉新俠，方鴻.以風(fēng)險為導(dǎo)向的內(nèi)部審計在健全內(nèi)部控制構(gòu)建全面風(fēng)險管理體系中的作用[A]. 全國內(nèi)部審計理論研討優(yōu)秀論文集三等獎?wù)撐膮R編[C]. 2011.

[4] 宋偉，曲首晟. 商業(yè)銀行內(nèi)部審計在內(nèi)部控制中的作用[A]. 中國內(nèi)部審計協(xié)會2009年度全國“內(nèi)部審計與內(nèi)部控制體系建設(shè)”理論研討暨經(jīng)驗交流會三等獎?wù)撐膮R編[C]. 2009.

[5] 運(yùn)用內(nèi)部審計評價推進(jìn)內(nèi)部控制建設(shè)的實踐[A]. 中國內(nèi)部審計協(xié)會2009年度全國“內(nèi)部審計與內(nèi)部控制體系建設(shè)”理論研討暨經(jīng)驗交流會三等獎?wù)撐膮R編[C]. 2009.

[6] 陳小琴. 新的起點(diǎn)，新的挑戰(zhàn)與機(jī)遇——淺析現(xiàn)代公司制度下的內(nèi)部審計[A]. 石油杯全國上市公司內(nèi)部審計理論研討會暨經(jīng)驗交流論文匯編[C]. 2003.