[關(guān)鍵詞]網(wǎng)絡(luò)財(cái)務(wù)；內(nèi)部控制；內(nèi)部網(wǎng)絡(luò)；外部網(wǎng)絡(luò)

　　[摘要]實(shí)施網(wǎng)絡(luò)財(cái)務(wù)給企業(yè)帶來利益的同時(shí)也給企業(yè)內(nèi)部控制帶來新問題。建立適應(yīng)互聯(lián)網(wǎng)環(huán)境的內(nèi)部控制，其措施應(yīng)基于企業(yè)的內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)兩大方面來進(jìn)行。

　　隨著網(wǎng)絡(luò)財(cái)務(wù)的逐步實(shí)施，企業(yè)會(huì)計(jì)核算與會(huì)計(jì)管理的環(huán)境發(fā)生了很大變化，傳統(tǒng)會(huì)計(jì)系統(tǒng)的內(nèi)部控制機(jī)制和手段已不適應(yīng)于網(wǎng)絡(luò)環(huán)境，從而建立適合于網(wǎng)絡(luò)環(huán)境下的內(nèi)部控制體系是目前企業(yè)急需解決的問題。為建立和加強(qiáng)網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)的內(nèi)部控制，首先必須要弄清網(wǎng)絡(luò)財(cái)務(wù)為企業(yè)的內(nèi)部控制帶來的新問題與新要求。

　　一、網(wǎng)絡(luò)財(cái)務(wù)時(shí)代企業(yè)內(nèi)部控制面臨的新問題

　?。ㄒ唬┚W(wǎng)絡(luò)財(cái)務(wù)的應(yīng)用擴(kuò)大了企業(yè)會(huì)計(jì)核算范圍企業(yè)實(shí)施網(wǎng)絡(luò)財(cái)務(wù)以后，會(huì)計(jì)核算環(huán)境發(fā)生了很大的變化。第一，會(huì)計(jì)部門的組成人員結(jié)構(gòu)發(fā)生變化，由原來的財(cái)務(wù)、會(huì)計(jì)人員轉(zhuǎn)變?yōu)橛韶?cái)務(wù)、會(huì)計(jì)人員和計(jì)算機(jī)操作員、網(wǎng)絡(luò)系統(tǒng)維護(hù)員、網(wǎng)絡(luò)系統(tǒng)管理員等組成。第二，會(huì)計(jì)業(yè)務(wù)處理范圍變大，除完成基本的會(huì)計(jì)業(yè)務(wù)外，網(wǎng)絡(luò)財(cái)務(wù)同時(shí)還集成許多管理以及財(cái)務(wù)的相關(guān)功能，諸如網(wǎng)上支付、網(wǎng)上催賬、網(wǎng)上報(bào)稅、網(wǎng)上報(bào)關(guān)、網(wǎng)上法規(guī)及財(cái)務(wù)信息查詢，以及網(wǎng)上詢價(jià)、網(wǎng)上采購(gòu)、網(wǎng)上銷售、網(wǎng)上服務(wù)、網(wǎng)上銀行、網(wǎng)上理財(cái)、網(wǎng)上保險(xiǎn)、網(wǎng)上證券投資和網(wǎng)上外匯買賣等等。第三，網(wǎng)絡(luò)財(cái)務(wù)提供在線辦公等服務(wù)，從而使會(huì)計(jì)信息的網(wǎng)上實(shí)時(shí)處理成為可能，原來由幾個(gè)部門按預(yù)定步驟完成的業(yè)務(wù)事項(xiàng)可集中在一個(gè)部門甚至一個(gè)人完成。因此，要保證企業(yè)會(huì)計(jì)系統(tǒng)對(duì)企業(yè)經(jīng)濟(jì)活動(dòng)反映的正確可靠，達(dá)到企業(yè)內(nèi)部控制目標(biāo)，企業(yè)內(nèi)部控制制度的范圍和控制方法較原來系統(tǒng)將更加廣泛和復(fù)雜。

　?。ǘ┚W(wǎng)絡(luò)財(cái)務(wù)使會(huì)計(jì)信息儲(chǔ)存方式和媒介發(fā)生變化

　　網(wǎng)絡(luò)財(cái)務(wù)的應(yīng)用使各類會(huì)計(jì)憑證和報(bào)表的生成方式、會(huì)計(jì)信息的儲(chǔ)存方式和儲(chǔ)存媒介發(fā)生變化。原始憑證在網(wǎng)絡(luò)業(yè)務(wù)交易時(shí)自動(dòng)產(chǎn)生并存入計(jì)算機(jī)，不再存在傳統(tǒng)的原始憑證。會(huì)計(jì)電算化的第一階段促進(jìn)了介質(zhì)的改變，從賬本到磁盤文件。網(wǎng)絡(luò)財(cái)務(wù)使會(huì)計(jì)介質(zhì)繼續(xù)發(fā)生變化，不僅賬表，更多的介質(zhì)將電子化，出現(xiàn)各種電子單據(jù)（如各種發(fā)票、結(jié)算單據(jù)）。存貯形式主要以網(wǎng)絡(luò)頁面數(shù)據(jù)存貯。發(fā)生業(yè)務(wù)交易時(shí)系統(tǒng)不一定打印原始記錄；網(wǎng)頁數(shù)據(jù)只能在計(jì)算機(jī)及相應(yīng)的程序中閱讀；原來在核算過程中進(jìn)行的各種必要的核對(duì)、審核等工作大部分由計(jì)算機(jī)自動(dòng)完成。因此，網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)內(nèi)部控制的重點(diǎn)由對(duì)人的控制為主轉(zhuǎn)變?yōu)閷?duì)人、計(jì)算機(jī)和互聯(lián)網(wǎng)的控制。

　　（三）網(wǎng)絡(luò)財(cái)務(wù)使企業(yè)面臨的安全風(fēng)險(xiǎn)加大

　　網(wǎng)絡(luò)財(cái)務(wù)的應(yīng)用將原來封閉的局域會(huì)計(jì)系統(tǒng)面臨開放的互聯(lián)網(wǎng)世界，給財(cái)務(wù)系統(tǒng)的安全提出了嚴(yán)重的挑戰(zhàn)。第一，在網(wǎng)絡(luò)環(huán)境下，過去以計(jì)算機(jī)機(jī)房為中心的“保險(xiǎn)箱”式安全措施已不適用，大量的會(huì)計(jì)信息通過開放的internet傳遞，途經(jīng)若干國(guó)家與地區(qū)，置身于開放的網(wǎng)絡(luò)中，存在被截取、篡改、泄漏機(jī)密等安全風(fēng)險(xiǎn)，很難保證其真實(shí)性與完整性。第二，由于互聯(lián)網(wǎng)的開放特性，給一些非善意訪問者以可乘之機(jī)。目前黑客肆虐，世界上的各類網(wǎng)站每天都受到成千上萬次攻擊，網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)無疑也面臨巨大的安全風(fēng)險(xiǎn)。第三，計(jì)算機(jī)病毒的猖撅也為互聯(lián)網(wǎng)系統(tǒng)帶來更大的風(fēng)險(xiǎn)。在互聯(lián)網(wǎng)中，計(jì)算機(jī)病毒可以通過E-mail或用戶下載文件進(jìn)行傳播，其傳播速度是單機(jī)的20倍。有效地防治計(jì)算機(jī)病毒對(duì)保障網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)的安全性至關(guān)重要。因此，網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)的內(nèi)部控制不僅難度大、復(fù)雜，而且還要有各種控制的先進(jìn)技術(shù)手段。

　　二、網(wǎng)絡(luò)財(cái)務(wù)內(nèi)部控制措施

　?。ㄒ唬┗谄髽I(yè)內(nèi)部網(wǎng)（intranet）的控制措施

　　1.會(huì)計(jì)信息資源控制。會(huì)計(jì)信息來源于網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)庫系統(tǒng)中，所以網(wǎng)絡(luò)數(shù)據(jù)庫系統(tǒng)是整個(gè)網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)控制的重點(diǎn)目標(biāo)。威脅數(shù)據(jù)庫系統(tǒng)的安全主要有兩個(gè)方面：一是網(wǎng)絡(luò)系統(tǒng)內(nèi)外人員對(duì)數(shù)據(jù)庫的非授權(quán)訪問；二是系統(tǒng)故障、誤操作或人為破壞數(shù)據(jù)庫造成的物理損壞。針對(duì)上述威脅，會(huì)計(jì)信息資源控制應(yīng)采取以下措施：（1）采用三層式客戶機(jī)/服務(wù)器模式組建企業(yè)內(nèi)部網(wǎng)，即利用中間代理服務(wù)器隔離客戶與數(shù)據(jù)庫服務(wù)器的聯(lián)系，實(shí)現(xiàn)數(shù)據(jù)的一致性；（2）采用較為成熟的大型網(wǎng)絡(luò)數(shù)據(jù)庫產(chǎn)品并合理定義應(yīng)用子模式。子模式是全部數(shù)據(jù)資料中面向某一特定用戶或應(yīng)用項(xiàng)目的一個(gè)數(shù)據(jù)處理集，通過它可以分別定義面向用戶操作的用戶界面，做到特定數(shù)據(jù)面向特定用戶開放；（3）建立會(huì)計(jì)信息資源授權(quán)表制度；（4）采取有效的網(wǎng)絡(luò)數(shù)據(jù)備份、恢復(fù)及災(zāi)難補(bǔ)救計(jì)劃。

　　2.系統(tǒng)開發(fā)控制。它是一種預(yù)防性控制，目的是確保網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)開發(fā)過程及內(nèi)容符合內(nèi)部控制的要求。財(cái)務(wù)軟件的開發(fā)必須遵循國(guó)家有關(guān)機(jī)關(guān)和部門制訂的標(biāo)準(zhǔn)和規(guī)范。（1）在網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)開發(fā)之初，要進(jìn)行詳細(xì)的可行性研究；（2）在系統(tǒng)開發(fā)過程中，內(nèi)審和風(fēng)險(xiǎn)管理人員要參與系統(tǒng)控制功能的研究與設(shè)計(jì)，制訂有效的內(nèi)部控制方案并在系統(tǒng)中實(shí)施；（3）在系統(tǒng)測(cè)試運(yùn)行階段，要加強(qiáng)管理與監(jiān)督，嚴(yán)格按照《商品化會(huì)計(jì)核算軟件評(píng)審規(guī)則》等各種標(biāo)準(zhǔn)進(jìn)行；（4）系統(tǒng)運(yùn)行前對(duì)有關(guān)人員進(jìn)行培訓(xùn)，不僅培訓(xùn)系統(tǒng)的操作，還要使受訓(xùn)人員了解系統(tǒng)投入運(yùn)行后新的內(nèi)部控制制度和網(wǎng)絡(luò)財(cái)務(wù)提供的高質(zhì)量會(huì)計(jì)信息的進(jìn)一步分析與利用等；（5）及時(shí)做好新舊系統(tǒng)轉(zhuǎn)換。企業(yè)應(yīng)在系統(tǒng)轉(zhuǎn)換之際采取有效的控制手段，做好各項(xiàng)轉(zhuǎn)換的準(zhǔn)備工作，如舊系統(tǒng)的結(jié)算、匯總，人員的重新配置，新系統(tǒng)初始數(shù)據(jù)的安全導(dǎo)入等。

　　3.系統(tǒng)應(yīng)用控制。是指具體的應(yīng)用系統(tǒng)中用來預(yù)防、檢測(cè)和更正錯(cuò)誤，以及防止不法行為的內(nèi)部控制措施。（1）在輸入控制中，要求輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán)，并經(jīng)有關(guān)內(nèi)部控制部門檢查，還要采用各種技術(shù)手段對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)，如總數(shù)據(jù)控制校驗(yàn)、平衡校驗(yàn)、數(shù)據(jù)類型校驗(yàn)、二次錄入校驗(yàn)等；（2）在處理控制中，對(duì)數(shù)據(jù)進(jìn)行有效性控制和文件控制。有效性控制包括數(shù)字的核對(duì)、字段和記錄長(zhǎng)度檢查、代碼和數(shù)值有效范圍的檢查、記錄總數(shù)的檢查等。文件控制包括檢查文件長(zhǎng)度、標(biāo)識(shí)和是否染毒等；（3）在輸出控制中，一要驗(yàn)證輸出結(jié)果是否正確和是否處于最新狀態(tài)，以便用戶隨時(shí)得到最新準(zhǔn)確的會(huì)計(jì)信息；二要確保輸出結(jié)果能夠送發(fā)到合法的輸出對(duì)象，文件傳輸安全正確。

　　4.系統(tǒng)維護(hù)控制。系統(tǒng)維護(hù)包括軟件修改、代碼結(jié)構(gòu)修改和計(jì)算機(jī)硬件與通訊設(shè)備的維修等，涉及到系統(tǒng)功能的調(diào)整、擴(kuò)充和完善。對(duì)網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)進(jìn)行維護(hù)必須經(jīng)過周密計(jì)劃和嚴(yán)格記錄，維護(hù)過程的每一環(huán)節(jié)都應(yīng)設(shè)置必要的控制，維護(hù)的原因和性質(zhì)必須有書面形式的報(bào)告，經(jīng)批準(zhǔn)后才能實(shí)施修改。軟件修改尤為重要，網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)操作員不能參與軟件的修改，所有與系統(tǒng)維護(hù)有關(guān)的記錄都應(yīng)打印后存檔。

　　5.管理控制。是指企業(yè)為加強(qiáng)和完善對(duì)網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)涉及的各個(gè)部門和人員的管理和控制所建立的內(nèi)部控制制度。由于網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)是一種分布式處理結(jié)構(gòu)，計(jì)算機(jī)網(wǎng)絡(luò)分布于企業(yè)各業(yè)務(wù)部門，實(shí)現(xiàn)財(cái)務(wù)與業(yè)務(wù)協(xié)同處理，因此原來集中處理模式下的行政控制轉(zhuǎn)變?yōu)殚g接業(yè)務(wù)控制。主要應(yīng)做好如下幾方面的工作：（1）設(shè)置適應(yīng)于網(wǎng)絡(luò)下作業(yè)的組織機(jī)構(gòu)并設(shè)置相應(yīng)的工作站點(diǎn)；（2）合理建立上機(jī)管理制度，包括輪流值班制度、上機(jī)記錄制度、完善的操作手冊(cè)和上機(jī)時(shí)間安排并保存完備的操作日志文件等；（3）建立完備的設(shè)備管理制度，對(duì)硬件設(shè)備所處的環(huán)境進(jìn)行溫度、濕度、防靜電控制，做好網(wǎng)絡(luò)的絕緣、接地和屏蔽工作，同時(shí)對(duì)人文環(huán)境進(jìn)行控制，防止無關(guān)人員上機(jī)操作；（4）建立完備的內(nèi)審制度。

　　（二）基于企業(yè)外部網(wǎng)（extranet）的控制措施

　　1.周界控制。是指通過安全區(qū)域的周界實(shí)施控制來達(dá)到保護(hù)區(qū)域內(nèi)部系統(tǒng)安全的目的。它是預(yù)防外來攻擊措施的基礎(chǔ)，主要內(nèi)容包括：（1）設(shè)置外部訪問區(qū)域，明確企業(yè)內(nèi)部網(wǎng)絡(luò)的邊界，防止“黑客”通過電話網(wǎng)絡(luò)進(jìn)入系統(tǒng)；（2）建立防火墻（firewall），在內(nèi)部網(wǎng)和外部網(wǎng)之間的界面上構(gòu)造保護(hù)屏障，防止非法入侵、非法使用系統(tǒng)資源，執(zhí)行安全管理措施，記錄所有可疑事件。

　　2.大眾訪問控制。大眾訪問包括文件傳遞、電子郵件、網(wǎng)上會(huì)計(jì)信息查詢等。由于互聯(lián)網(wǎng)絡(luò)系統(tǒng)是一個(gè)全方位開放的系統(tǒng)，對(duì)社會(huì)大眾的網(wǎng)上行為實(shí)際上是不可控的，因此，企業(yè)應(yīng)在網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)外部訪問區(qū)域內(nèi)采取相應(yīng)防護(hù)措施。外部網(wǎng)絡(luò)的訪問控制主要有：（1）在網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)中設(shè)置多重口令，對(duì)用戶的登錄名和口令的合法性進(jìn)行檢查；（2）合理設(shè)置網(wǎng)絡(luò)資源的屬主、屬性和訪問權(quán)限。資源的屬主體現(xiàn)不同用戶對(duì)資源的從屬關(guān)系，如建立者、修改者等；資源的屬性表示資源本身的存取特性，如讀、寫或執(zhí)行等；訪問權(quán)限體現(xiàn)用戶對(duì)網(wǎng)絡(luò)資源的可用程度；（3）對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)視，找出并解決網(wǎng)絡(luò)上的安全問題，如定位網(wǎng)絡(luò)故障點(diǎn)、捉住非法入侵者、控制網(wǎng)絡(luò)訪問范圍等；（4）審計(jì)與跟蹤，包括對(duì)網(wǎng)絡(luò)資源的使用、網(wǎng)絡(luò)故障、系統(tǒng)記賬等方面的記錄和分析。

　　3.電子商務(wù)控制。網(wǎng)絡(luò)財(cái)務(wù)是電子商務(wù)的基石，是電子商務(wù)的重要組成部分，因此，對(duì)電子商務(wù)活動(dòng)也必須進(jìn)行管理與控制。主要措施有：（1）建立與關(guān)聯(lián)方的電子商務(wù)聯(lián)系模式；（2）建立網(wǎng)上交易活動(dòng)的授權(quán)、確認(rèn)制度，以及相應(yīng)的電子會(huì)計(jì)文件的接收、簽發(fā)驗(yàn)證制度；（3）建立交易日志的記錄與審計(jì)制度。

　　4.遠(yuǎn)程處理控制。網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)的應(yīng)用為跨國(guó)企業(yè)、集團(tuán)企業(yè)實(shí)現(xiàn)遠(yuǎn)程報(bào)表、遠(yuǎn)程報(bào)賬、遠(yuǎn)程查賬、遠(yuǎn)程審計(jì)以及財(cái)務(wù)遠(yuǎn)程監(jiān)控等遠(yuǎn)程處理功能創(chuàng)造了條件。這些功能的啟用必須采取相應(yīng)的控制措施，主要有：（1）合理設(shè)計(jì)網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)各分支系統(tǒng)的安全模式并實(shí)施；（2）進(jìn)行遠(yuǎn)程處理規(guī)程控制。

　　5.數(shù)據(jù)通訊控制。數(shù)據(jù)通訊控制是企業(yè)為了防止數(shù)據(jù)在傳輸過程中發(fā)生錯(cuò)誤、丟失、泄密等事故而采取的內(nèi)部控制措施。企業(yè)應(yīng)采取各種有效手段來保護(hù)數(shù)據(jù)在傳輸過程中準(zhǔn)確、安全、可靠。主要措施有：（1）保證良好的物理安全，在埋設(shè)地下電纜的位置設(shè)立標(biāo)牌加以防范，盡量采用結(jié)構(gòu)化布線來安裝網(wǎng)絡(luò)；（2）采用虛擬專用網(wǎng)（VPN）線路傳輸數(shù)據(jù)；（3）對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密與數(shù)字簽名。在系統(tǒng)的客戶端和服務(wù)器之間傳輸?shù)乃袛?shù)據(jù)都進(jìn)行兩層加密保證數(shù)據(jù)的安全性，使用數(shù)字簽名確保傳輸數(shù)據(jù)的保密性和完整性。

　　6.防病毒控制。在系統(tǒng)的運(yùn)行與維護(hù)過程中應(yīng)高度重視計(jì)算機(jī)病毒的防范及相應(yīng)的技術(shù)手段與措施?？梢圆捎萌缦驴刂拼胧海?）對(duì)不需要本地硬盤和軟盤的工作站，盡量采用無盤工作站；（2）采用基于服務(wù)器的網(wǎng)絡(luò)殺毒軟件進(jìn)行實(shí)時(shí)監(jiān)控、追蹤病毒；（3）在網(wǎng)絡(luò)服務(wù)上采用防病毒卡或芯片等硬件，能有效防治病毒；（4）財(cái)務(wù)軟件可掛接或捆綁第三方反病毒軟件，加強(qiáng)軟件自身的防病毒能力；（5）對(duì)外來軟件和傳輸?shù)臄?shù)據(jù)必須經(jīng)過病毒檢查，在業(yè)務(wù)系統(tǒng)嚴(yán)禁使用游戲軟件；（6）及時(shí)升級(jí)本系統(tǒng)的防病毒產(chǎn)品。

　　[參考文獻(xiàn)]

　　[1]嚴(yán)紹業(yè)?；ヂ?lián)網(wǎng)-改變財(cái)務(wù)軟件的十個(gè)方面[J].中國(guó)會(huì)計(jì)電算化，2000，（1）：10-12.

　　[2]許永斌。基于互聯(lián)網(wǎng)的會(huì)計(jì)信息系統(tǒng)控制[J].會(huì)計(jì)研究，2000，（8）：35-39.

　　[3]王文京，胡進(jìn)平。迎接網(wǎng)絡(luò)財(cái)務(wù)時(shí)代[N].上海計(jì)算機(jī)報(bào)，1999-09-06.