企业研究论文-关于网络环境下企业内部控制问题的探讨 .doc

企业研究论文-关于网络环境下企业内部控制问题的探讨摘要随着网络技术在企业的广泛运用，使得企业内部控制的潜在风险不断加大。从内部控制整体框架的五个基本要素入手，阐述了网络环境下企业内部控制遇到的新问题，同时提出了建立网络环境下企业内部控制系统的主要内容。关键词网络技术网络安全控制内部审计随着网络技术的不断发展，企业管理信息系统从相对独立、封闭的状态向网络发展已成为必然趋势。企业管理信息系统在实现网络化之后，使得信息处理效率成倍提高，信息资源得到进一步的共享，这些变革在给企业带来巨大效益的同时，也给企业内部控制带来了新的问题和挑战。网络化对企业内部控制理念和方法的冲击是全方位的，因此认识这种变化、探讨解决方案对企业内部控制的发展和完善具有重大现实意义。1网络环境下企业内部控制遇到的新问题内部控制自产生以来经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架几个阶段。内部控制是由企业董事会、经理阶层和其他员工实施的，为合理保证企业经营活动的效益性、财务报告的可靠性和法律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。其构成要素有：控制环境、风险评估、控制活动、信息与沟通、监督。在网络环境下，企业内部控制的目标和基本框架并未发生实质性的改变，但其出现了许多新特征，从而给企业的内部控制带来了以下新问题：（1）控制环境。控制环境是对企业内控系统的建立和实施有重大影响的各种因素的总称。主要是指企业的核心人员以及这些人员的个别属性和所处的工作环境，它是推动控制工作的发动机，是所有其他内控组成部分的基础。任何企业的控制活动都存在于一定的控制环境之中，控制环境的好坏直接影响到企业内部控制的贯彻和执行，以及企业经营目标及整体战略目标的实现。控制环境是内部控制5个要素中最重要的要素。在网络环境下，企业内部控制的环境发生了变化，电子商务将对企业内部控制产生重大影响。随着电子商务的迅猛发展，企业的各项数据资料都将以数字格式存储在处于联网状态的客户机的磁盘上，极易被篡改或恶意破坏，同时磁盘等软硬件也可能由于质量问题或病毒侵扰和黑客非法入侵而发生故障，破坏企业的数据和各种信息，这就使企业的会计数据的安全性受到威胁，安全系数降低，加剧了管理信息的失真。由于经济业务发生所取得的原始凭证也将以电子凭证的格式在网上传递，因而增加了企业对网上公证机构的依赖。但直到目前为止，相应的技术和法规还远没有达到完善，从而对系统的内部控制造成困难。竞争对手也可以通过互联网登录企业的网站，了解企业的信息，使企业数据信息的保密性难以保证。（2）风险评估。风险评估是识别和分析那些妨碍实现经营管理目标的困难因素的活动。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。风险评估是企业内部控制过程中的关键环节,是企业内部控制的主要特征。在网络环境下，虽然企业的整体目标没有改变，但企业的外部环境与内部因素都发生了变化。由于网络的开放性、信息的分散性、数据的共享性，以及企业业务流程的改变，极大地改变了以往封闭集中状态下的运行环境，同时也改变了传统的风险控制的内容和方法。例如，强大的复杂的计算机网络系统增加了企业潜在的风险，因为人们的主观判断被忽略，数据处理过于集中，存储的数据可以被不留痕迹地篡改和删除，数据的存放形式增加了数据再现的难度，数据处理过程无法观测等，使得风险评估的难度加大。这些新的风险点构成了内部控制的新内容。（3）控制活动。控制活动是为了合理地保证经营管理目标的实现、指导员工实施管理指令、管理和化解风险而采取的政策和程序，包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。对于企业管理而言,授权和控制就像一个硬币的正反两面,授权就必须进行控制。在网络环境下，控制手段更多样性、灵活性和高效性，加强了内部控制的预防、检查与纠正的功能，使企业摆脱人员与资源的限制，经济有效地实现内部控制的目标。但随着计算机使用范围的扩大，利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。如存储在计算机磁性媒介上的数据容易被篡改；数据库技术的提高使数据高度集中，未经授权的人员有可能通过计算机和网络浏览全部数据文件，复制、伪造、销毁企业重要的数据，使得计算机犯罪有很大的隐蔽性和危害性，从而扩大了内部控制活动的范围，进而增加了内部控制的难度与复杂性。（4）信息与沟通。信息与沟通存在于所有经营管理活动中，使员工得以搜集和交换为开展、从事管理和进行控制等活动所需要的信息，包括管理者对员工的工作业绩的经常性评价。在信息方面主要是对内部信息和外部信息的搜集和整理；在沟通方面主要加强内部信息和外部信息的沟通渠道与方式；在信息技术的发展中加强对信息系统的控制。开放的网络环境无疑提高了信息的传递速度和共享度，但很难避免非法侵扰，企业管理信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。同时，在网络环境下财务信息的传递借助于网络完成，电子符号代替了会计数据，磁性介质代替了纸张，财务数据流动过程中签字盖章等传统交易手段不再存在，从而使网络信息的真实性受到质疑，从而对内部控制提出了新问题。（5）监督。监督是经营管理部门对内控的管理监督和内审监管部门对内控的再监督与再评价活动的总称。企业整个内部控制的过程必须受到监督，并在必要时得以修订，这样，系统及制度才能反应自如，并可视情况而随时调整。监督可以通过持续的监督活动、单独的评价以及两者的配合加以实施。内部控制的程序化使得内部控制具有一定的依赖性并增加了差错发生的可能性。由于网络的应用，使得内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序。如果程序发生差错或不起作用，由于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性，使得失效控制长期不被发现，从而使系统在特定方面发生错误或违规行为的可能性变大。2网络环境下企业内部控制系统的构建网络环境下，企业内部控制的重点是职能部门和计算机数据处理部门并重的全面控制，内部控制范围扩大，控制程序灵活多样，控制方式和操作手段是人工控制和程序控制相结合的多方位控制。在网络环境下构建企业内部控制制度，可从如下几个方面入手：（1）加强组织与管理控制。具体内容包括：建立安全稽核机制。在网络环境下企业内部控制的首要任务是保证网络系统的安全可靠与畅通。为此要对企业整个网络管理信息系统的各个层次（网络平台、通信平台、操作系统平台和应用平台）制定切实可行的安全防范措施。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源等进行实时监控和记录，进行必要的权限设置，以便能够对各种不同的权限进行用户识别和远程请求识别。上机操作规程。操作规程是指操作中应遵守的程序，是保证计算机网络系统能够正确、安全运行，防止各种差错的有力措施。主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。建立计算机资源访问授权和身份认证制度。即明确每个用户的安全级别和身份标识，并分别定义具体的访问对象，以实现系统内部的有效牵制。加强系统人员的操作管理。在网络环境下，人作为系统主体是网络发展的基本动力和信息安全的最终防线，人员操作管理的重点是权限控制。系统管理员被赋予超级用户管理权限，主要负责系统软、硬件的管理维护和网络资源分配；操作人员应按照被授予的权限严格作业，不得越权接触系统；系统程序员不得进行业务操作，以避免人为因素或操作不当给操作系统带来不必要的损失和风险。设置安全检测预警系统。即实时寻找具有网络攻击特征和违反网络安全策略的数据流，实时响应和报警，阻断非法的网络连接，对事件涉及的主机实施进一步跟踪，创造一种漏洞检测与实时监控相结合的，可持续改进的安全模式。（2）加强网络系统安全控制。硬件设备安全控制。硬件设备安全主要涉及计算机机房环境和设备的技术安全要求。应制定网络计算机机房和设备的管理制度、岗位职责和操作规程，严格禁止无关人员接触系统，专机专用；计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求，关键性的硬件设备可采用双系统自动备份技术，以应付突发事件，保证数据的安全完整。系统软件安全控制。严格控制系统软件的安装与修改，对系统软件进行定期的预防性检查，系统被破坏时，要求系统软件具备紧急响应、强制备份、快