浅析网路财务内部控制

　　[摘要]实施网路财务给企业带来利益的同时也给企业内部控制带来新问题。建立适应互联网环境的内部控制，其措施应基於企业的内部网路和外部网路两大方面来进行。

　　随着网路财务的逐步实施，企业会计核算与会计管理的环境发生了很大变化，传统会计系统的内部控制机制和手段已不适应於网路环境，从而建立适合於网路环境下的内部控制体系是目前企业急需解决的问题。爲建立和加强网路财务系统的内部控制，首先必须要弄清网路财务爲企业的内部控制带来的新问题与新要求。

　　一、网路财务时代企业内部控制面临的新问题

　　（一）网路财务的应用扩大了企业会计核算范围企业实施网路财务以後，会计核算环境发生了很大的变化。第一，会计部门的组成人员结构发生变化，由原来的财务、会计人员转变爲由财务、会计人员和电脑操作员、网路系统维护员、网路系统管理员等组成。第二，会计业务处理范围变大，除完成基本的会计业务外，网路财务同时还集成许多管理以及财务的相关功能，诸如网上支付、网上催账、网上报税、网上报关、网上法规及财务资讯查询，以及网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三，网路财务提供在线办公等服务，从而使会计资讯的网上即时处理成爲可能，原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此，要保证企业会计系统对企业经济活动反映的正确可靠，达到企业内部控制目标，企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。

　　（二）网路财务使会计资讯储存方式和媒介发生变化

　　网路财务的应用使各类会计凭证和报表的生成方式、会计资讯的储存方式和储存媒介发生变化。原始凭证在网路业务交易时自动産生并存入电脑不再存在传统的原始凭证。会计电算化的第一阶段促进了介质的改变，从账本到磁片文件。网路财务使会计介质继续发生变化，不仅账表，更多的介质将电子化，出现各种电子单据（如各种发票、结算单据）。存贮形式主要以网路页面资料存贮。发生业务交易时系统不一定列印原始记录；网页数据只能在电脑及相应的程式中阅读；原来在核算过程中进行的各种必要的核对、审核等工作大部分由电脑自动完成。因此，网路环境下会计内部控制的重点由对人的控制爲主转变爲对人、电脑和互联网的控制。

　　（三）网路财务使企业面临的安全风险加大

　　网路财务的应用将原来封闭的局域会计系统面临开放的互联网世界，给财务系统的安全提出了严重的挑战。第一，在网路环境下，过去以电脑机房爲中心的"保险箱"式安全措施已不适用，大量的会计资讯通过开放的internet传递，途经若干国家与地区，置身於开放的网路中，存在被截取、篡改、泄漏机密等安全风险，很难保证其真实性与完整性。第二，由於互联网的开放特性，给一些非善意访问者以可乘之机。目前黑客肆虐，世界上的各类网站每天都受到成千上万次攻击，网路财务系统无疑也面临巨大的安全风险。第三，电脑病毒的猖撅也爲互联网系统带来更大的风险。在互联网中，电脑病毒可以通过E-mail或用户下载文件进行传播，其传播速度是单机的20倍。有效地防治电脑病毒对保障网路财务系统的安全性至关重要。因此，网路财务系统的内部控制不仅难度大、复杂，而且还要有各种控制的先进技术手段。

　　二、网路财务内部控制措施

　　（一）基於企业内部网（intranet）的控制措施

　　1.会计资讯资源控制。会计资讯来源於网路服务器的资料库系统中，所以网路资料库系统是整个网路财务系统控制的重点目标。威胁资料库系统的安全主要有两个方面：一是网路系统内外人员对资料库的非授权访问；二是系统故障、误操作或人爲破坏资料库造成的物理损坏。针对上述威胁，会计资讯资源控制应采取以下措施：（1）采用三层式客户机/伺服器模式组建企业内部网，即利用中间代理伺服器隔离客户与资料库伺服器的联系，实现资料的一致性；（2）采用较爲成熟的大型网路资料库産品并合理定义应用子模式。子模式是全部资料资料中面向某一特定用户或应用专案的一个资料处理集，通过它可以分别定义面向用户操作的用户介面，做到特定资料面向特定用户开放；（3）建立会计资讯资源授权表制度；（4）采取有效的网路资料备份、恢复及灾难补救计划。

　　2.系统开发控制。它是一种预防性控制，目的是确保网路财务系统开发过程及内容符合内部控制的要求。财务软体的开发必须遵循国家有关机关和部门制订的标准和规范。（1）在网路财务系统开发之初，要进行详细的可行性研究；（2）在系统开发过程中，内审和风险管理人员要叁与系统控制功能的研究与设计，制订有效的内部控制方案并在系统中实施；（3）在系统测试运行阶段，要加强管理与监督，严格按照《商品化会计核算软体评审规则》等各种标准进行；（4）系统运行前对有关人员进行培训，不仅培训系统的操作，还要使受训人员了解系统投入运行後新的内部控制制度和网路财务提供的高质量会计资讯的进一步分析与利用等；（5）及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段，做好各项转换的准备工作，如旧系统的结算、汇总，人员的重新配置，新系统初始资料的安全导入等。

　　3.系统应用控制。是指具体的应用系统中用来预防、检测和更正错误，以及防止不法行爲的内部控制措施。（1）在输入控制中，要求输入的资料应经过必要的授权，并经有关内部控制部门检查，还要采用各种技术手段对输入资料的准确性进行校验，如总资料控制校验、平衡校验、资料类型校验、二次录入校验等；（2）在处理控制中，对资料进行有效性控制和文件控制。有效性控制包括数位元的核对、栏位和记录长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、标识和是否染毒等；（3）在输出控制中，一要验证输出结果是否正确和是否处於最新状态，以便用户随时得到最新准确的会计资讯；二要确保输出结果能够送发到合法的输出物件，文件传输安全正确。

　　4.系统维护控制。系统维护包括软体修改、代码结构修改和电脑硬体与通讯设备的维修等，涉及到系统功能的调整、扩充和完善。对网路财务系统进行维护必须经过周密计划和严格记录，维护过程的每一环节都应设置必要的控制，维护的原因和性质必须有书面形式的报告，经批准後才能实施修改。软体修改尤爲重要，网路财务系统操作员不能叁与软体的修改，所有与系统维护有关的记录都应列印後存档。

　　5.管理控制。是指企业爲加强和完善对网路财务系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由於网路财务系统是一种分散式处理结构，电脑网路分布於企业各业务部门，实现财务与业务协同处理，因此原来集中处理模式下的行政控制转变爲间接业务控制。主要应做好如下几方面的工作：（1）设置适应於网路下作业的组织机构并设置相应的工作站点；（2）合理建立上机管理制度，包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等；（3）建立完备的设备管理制度，对硬体设备所处的环境进行温度、湿度、防静电控制，做好网路的绝缘、接地和遮罩工作，同时对人文环境进行控制，防止无关人员上机操作；（4）建立完备的内审制度。

　　（二）基於企业外部网（extranet）的控制措施

　　1.周界控制。是指通过安全区域的周界实施控制来达到保护区域内部系统安全的目的。它是预防外来攻击措施的基础，主要内容包括：（1）设置外部访问区域，明确企业内部网路的边界，防止"黑客"通过电话网络进入系统；（2）建立防火墙（firewall），在内部网和外部网之间的介面上构造保护屏障，防止非法入侵、非法使用系统资源，执行安全管理措施，记录所有可疑事件。

　　2.大衆访问控制。大衆访问包括文件传递、电子邮件、网上会计资讯查询等。由於互联网路系统是一个全方位开放的系统，对社会大衆的网上行爲实际上是不可控的，因此，企业应在网路财务系统外部访问区域内采取相应防护措施。外部网路的访问控制主要有：（1）在网路财务系统中设置多重口令，对用户的登录名和口令的合法性进行检查；（2）合理设置网路资源的属主、属性和访问许可权。资源的属主体现不同用户对资源的从属关系，如建立者、修改者等；资源的属性表示资源本身的存取特性，如读、写或执行等；访问许可权体现用户对网路资源的可用程度；（3）对网路进行即时监视，找出并解决网路上的安全问题，如定位网路故障点、捉住非法入侵者、控制网路访问范围等；（4）审计与跟踪，包括对网路资源的使用、网路故障、系统记账等方面的记录和分析。

　　3.电子商务控制。网路财务是电子商务的基石，是电子商务的重要组成部分，因此，对电子商务活动也必须进行管理与控制。主要措施有：（1）建立与关联方的电子商务联系模式；（2）建立网上交易活动的授权、确认制度，以及相应的电子会计文件的接收、签发验证制度；（3）建立交易日志的记录与审计制度。

　　4.远端处理控制。网路财务系统的应用爲跨国企业、集团企业实现远端报表、远端报账、远端查账、远端审计以及财务远端监控等远端处理功能创造了条件。这些功能的啓用必须采取相应的控制措施，主要有：（1）合理设计网路财务系统各分支系统的安全模式并实施；（2）进行远端处理规程式控制制。

　　5.资料通讯控制。资料通讯控制是企业爲了防止资料在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施。企业应采取各种有效手段来保护资料在传输过程中准确、安全、可靠。主要措施有：（1）保证良好的物理安全，在埋设地下电缆的位置设立标牌加以防范，尽量采用结构化布线来安装网路；（2）采用虚拟专用网（VPN）线路传输资料；（3）对传输的资料进行加密与数位签名。在系统的用户端和伺服器之间传输的所有资料都进行两层加密保证资料的安全性，使用数位签名确保传输资料的保密性和完整性。

　　6.防病毒控制。在系统的运行与维护过程中应高度重视电脑病毒的防范及相应的技术手段与措施。可以采用如下控制措施：（1）对不需要本地硬碟和软碟的工作站，尽量采用无盘工作站；（2）采用基於伺服器的网路杀毒软体进行即时监控、追踪病毒；（3）在网路服务上采用防病毒卡或晶片等硬体，能有效防治病毒；（4）财务软体可挂接或捆绑第三方反病毒软体，加强软体自身的防病毒能力；（5）对外来软体和传输的资料必须经过病毒检查，在业务系统严禁使用游戏软体；（6）及时升级本系统的防病毒産品。

[1]