企業(yè)研究論文-關(guān)于網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部控制問(wèn)題的探討摘要隨著網(wǎng)絡(luò)技術(shù)在企業(yè)的廣泛運(yùn)用，使得企業(yè)內(nèi)部控制的潛在風(fēng)險(xiǎn)不斷加大。從內(nèi)部控制整體框架的五個(gè)基本要素入手，闡述了網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部控制遇到的新問(wèn)題，同時(shí)提出了建立網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部控制系統(tǒng)的主要內(nèi)容。關(guān)鍵詞網(wǎng)絡(luò)技術(shù)網(wǎng)絡(luò)安全控制內(nèi)部審計(jì)隨著網(wǎng)絡(luò)技術(shù)的不斷發(fā)展，企業(yè)管理信息系統(tǒng)從相對(duì)獨(dú)立、封閉的狀態(tài)向網(wǎng)絡(luò)發(fā)展已成為必然趨勢(shì)。企業(yè)管理信息系統(tǒng)在實(shí)現(xiàn)網(wǎng)絡(luò)化之后，使得信息處理效率成倍提高，信息資源得到進(jìn)一步的共享，這些變革在給企業(yè)帶來(lái)巨大效益的同時(shí)，也給企業(yè)內(nèi)部控制帶來(lái)了新的問(wèn)題和挑戰(zhàn)。網(wǎng)絡(luò)化對(duì)企業(yè)內(nèi)部控制理念和方法的沖擊是全方位的，因此認(rèn)識(shí)這種變化、探討解決方案對(duì)企業(yè)內(nèi)部控制的發(fā)展和完善具有重大現(xiàn)實(shí)意義。1網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部控制遇到的新問(wèn)題內(nèi)部控制自產(chǎn)生以來(lái)經(jīng)歷了內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)和內(nèi)部控制整體框架幾個(gè)階段。內(nèi)部控制是由企業(yè)董事會(huì)、經(jīng)理階層和其他員工實(shí)施的，為合理保證企業(yè)經(jīng)營(yíng)活動(dòng)的效益性、財(cái)務(wù)報(bào)告的可靠性和法律法規(guī)的遵循性，而自行檢查、制約和調(diào)整內(nèi)部業(yè)務(wù)活動(dòng)的自律系統(tǒng)。其構(gòu)成要素有：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)督。在網(wǎng)絡(luò)環(huán)境下，企業(yè)內(nèi)部控制的目標(biāo)和基本框架并未發(fā)生實(shí)質(zhì)性的改變，但其出現(xiàn)了許多新特征，從而給企業(yè)的內(nèi)部控制帶來(lái)了以下新問(wèn)題：（1）控制環(huán)境?？刂骗h(huán)境是對(duì)企業(yè)內(nèi)控系統(tǒng)的建立和實(shí)施有重大影響的各種因素的總稱。主要是指企業(yè)的核心人員以及這些人員的個(gè)別屬性和所處的工作環(huán)境，它是推動(dòng)控制工作的發(fā)動(dòng)機(jī)，是所有其他內(nèi)控組成部分的基礎(chǔ)。任何企業(yè)的控制活動(dòng)都存在于一定的控制環(huán)境之中，控制環(huán)境的好壞直接影響到企業(yè)內(nèi)部控制的貫徹和執(zhí)行，以及企業(yè)經(jīng)營(yíng)目標(biāo)及整體戰(zhàn)略目標(biāo)的實(shí)現(xiàn)?？刂骗h(huán)境是內(nèi)部控制5個(gè)要素中最重要的要素。在網(wǎng)絡(luò)環(huán)境下，企業(yè)內(nèi)部控制的環(huán)境發(fā)生了變化，電子商務(wù)將對(duì)企業(yè)內(nèi)部控制產(chǎn)生重大影響。隨著電子商務(wù)的迅猛發(fā)展，企業(yè)的各項(xiàng)數(shù)據(jù)資料都將以數(shù)字格式存儲(chǔ)在處于聯(lián)網(wǎng)狀態(tài)的客戶機(jī)的磁盤上，極易被篡改或惡意破壞，同時(shí)磁盤等軟硬件也可能由于質(zhì)量問(wèn)題或病毒侵?jǐn)_和黑客非法入侵而發(fā)生故障，破壞企業(yè)的數(shù)據(jù)和各種信息，這就使企業(yè)的會(huì)計(jì)數(shù)據(jù)的安全性受到威脅，安全系數(shù)降低，加劇了管理信息的失真。由于經(jīng)濟(jì)業(yè)務(wù)發(fā)生所取得的原始憑證也將以電子憑證的格式在網(wǎng)上傳遞，因而增加了企業(yè)對(duì)網(wǎng)上公證機(jī)構(gòu)的依賴。但直到目前為止，相應(yīng)的技術(shù)和法規(guī)還遠(yuǎn)沒(méi)有達(dá)到完善，從而對(duì)系統(tǒng)的內(nèi)部控制造成困難。競(jìng)爭(zhēng)對(duì)手也可以通過(guò)互聯(lián)網(wǎng)登錄企業(yè)的網(wǎng)站，了解企業(yè)的信息，使企業(yè)數(shù)據(jù)信息的保密性難以保證。（2）風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估是識(shí)別和分析那些妨礙實(shí)現(xiàn)經(jīng)營(yíng)管理目標(biāo)的困難因素的活動(dòng)。風(fēng)險(xiǎn)評(píng)估中的要素包括關(guān)注對(duì)整體目標(biāo)和業(yè)務(wù)活動(dòng)目標(biāo)的制定和銜接、對(duì)內(nèi)部和外部風(fēng)險(xiǎn)的識(shí)別與分析、對(duì)影響目標(biāo)實(shí)現(xiàn)的變化的認(rèn)識(shí)和各項(xiàng)政策與工作程序的調(diào)整。風(fēng)險(xiǎn)評(píng)估是企業(yè)內(nèi)部控制過(guò)程中的關(guān)鍵環(huán)節(jié),是企業(yè)內(nèi)部控制的主要特征。在網(wǎng)絡(luò)環(huán)境下，雖然企業(yè)的整體目標(biāo)沒(méi)有改變，但企業(yè)的外部環(huán)境與內(nèi)部因素都發(fā)生了變化。由于網(wǎng)絡(luò)的開放性、信息的分散性、數(shù)據(jù)的共享性，以及企業(yè)業(yè)務(wù)流程的改變，極大地改變了以往封閉集中狀態(tài)下的運(yùn)行環(huán)境，同時(shí)也改變了傳統(tǒng)的風(fēng)險(xiǎn)控制的內(nèi)容和方法。例如，強(qiáng)大的復(fù)雜的計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)增加了企業(yè)潛在的風(fēng)險(xiǎn)，因?yàn)槿藗兊闹饔^判斷被忽略，數(shù)據(jù)處理過(guò)于集中，存儲(chǔ)的數(shù)據(jù)可以被不留痕跡地篡改和刪除，數(shù)據(jù)的存放形式增加了數(shù)據(jù)再現(xiàn)的難度，數(shù)據(jù)處理過(guò)程無(wú)法觀測(cè)等，使得風(fēng)險(xiǎn)評(píng)估的難度加大。這些新的風(fēng)險(xiǎn)點(diǎn)構(gòu)成了內(nèi)部控制的新內(nèi)容。（3）控制活動(dòng)?？刂苹顒?dòng)是為了合理地保證經(jīng)營(yíng)管理目標(biāo)的實(shí)現(xiàn)、指導(dǎo)員工實(shí)施管理指令、管理和化解風(fēng)險(xiǎn)而采取的政策和程序，包括高層檢查、直接管理、信息加工、實(shí)物控制、確定指標(biāo)、職責(zé)分離等。對(duì)于企業(yè)管理而言,授權(quán)和控制就像一個(gè)硬幣的正反兩面,授權(quán)就必須進(jìn)行控制。在網(wǎng)絡(luò)環(huán)境下，控制手段更多樣性、靈活性和高效性，加強(qiáng)了內(nèi)部控制的預(yù)防、檢查與糾正的功能，使企業(yè)擺脫人員與資源的限制，經(jīng)濟(jì)有效地實(shí)現(xiàn)內(nèi)部控制的目標(biāo)。但隨著計(jì)算機(jī)使用范圍的擴(kuò)大，利用計(jì)算機(jī)進(jìn)行的貪污、舞弊、詐騙等犯罪活動(dòng)有所增加。如存儲(chǔ)在計(jì)算機(jī)磁性媒介上的數(shù)據(jù)容易被篡改；數(shù)據(jù)庫(kù)技術(shù)的提高使數(shù)據(jù)高度集中，未經(jīng)授權(quán)的人員有可能通過(guò)計(jì)算機(jī)和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件，復(fù)制、偽造、銷毀企業(yè)重要的數(shù)據(jù)，使得計(jì)算機(jī)犯罪有很大的隱蔽性和危害性，從而擴(kuò)大了內(nèi)部控制活動(dòng)的范圍，進(jìn)而增加了內(nèi)部控制的難度與復(fù)雜性。（4）信息與溝通。信息與溝通存在于所有經(jīng)營(yíng)管理活動(dòng)中，使員工得以搜集和交換為開展、從事管理和進(jìn)行控制等活動(dòng)所需要的信息，包括管理者對(duì)員工的工作業(yè)績(jī)的經(jīng)常性評(píng)價(jià)。在信息方面主要是對(duì)內(nèi)部信息和外部信息的搜集和整理；在溝通方面主要加強(qiáng)內(nèi)部信息和外部信息的溝通渠道與方式；在信息技術(shù)的發(fā)展中加強(qiáng)對(duì)信息系統(tǒng)的控制。開放的網(wǎng)絡(luò)環(huán)境無(wú)疑提高了信息的傳遞速度和共享度，但很難避免非法侵?jǐn)_，企業(yè)管理信息系統(tǒng)很有可能遭受非法訪問(wèn)甚至黑客或病毒的侵?jǐn)_。同時(shí)，在網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)信息的傳遞借助于網(wǎng)絡(luò)完成，電子符號(hào)代替了會(huì)計(jì)數(shù)據(jù)，磁性介質(zhì)代替了紙張，財(cái)務(wù)數(shù)據(jù)流動(dòng)過(guò)程中簽字蓋章等傳統(tǒng)交易手段不再存在，從而使網(wǎng)絡(luò)信息的真實(shí)性受到質(zhì)疑，從而對(duì)內(nèi)部控制提出了新問(wèn)題。（5）監(jiān)督。監(jiān)督是經(jīng)營(yíng)管理部門對(duì)內(nèi)控的管理監(jiān)督和內(nèi)審監(jiān)管部門對(duì)內(nèi)控的再監(jiān)督與再評(píng)價(jià)活動(dòng)的總稱。企業(yè)整個(gè)內(nèi)部控制的過(guò)程必須受到監(jiān)督，并在必要時(shí)得以修訂，這樣，系統(tǒng)及制度才能反應(yīng)自如，并可視情況而隨時(shí)調(diào)整。監(jiān)督可以通過(guò)持續(xù)的監(jiān)督活動(dòng)、單獨(dú)的評(píng)價(jià)以及兩者的配合加以實(shí)施。內(nèi)部控制的程序化使得內(nèi)部控制具有一定的依賴性并增加了差錯(cuò)發(fā)生的可能性。由于網(wǎng)絡(luò)的應(yīng)用，使得內(nèi)部控制具有人工控制與程序控制相結(jié)合的特點(diǎn)。這些程序化的內(nèi)部控制的有效性取決于應(yīng)用程序。如果程序發(fā)生差錯(cuò)或不起作用，由于人們對(duì)計(jì)算機(jī)系統(tǒng)的依賴性、麻痹大意以及程序運(yùn)行的重復(fù)性，使得失效控制長(zhǎng)期不被發(fā)現(xiàn)，從而使系統(tǒng)在特定方面發(fā)生錯(cuò)誤或違規(guī)行為的可能性變大。2網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部控制系統(tǒng)的構(gòu)建網(wǎng)絡(luò)環(huán)境下，企業(yè)內(nèi)部控制的重點(diǎn)是職能部門和計(jì)算機(jī)數(shù)據(jù)處理部門并重的全面控制，內(nèi)部控制范圍擴(kuò)大，控制程序靈活多樣，控制方式和操作手段是人工控制和程序控制相結(jié)合的多方位控制。在網(wǎng)絡(luò)環(huán)境下構(gòu)建企業(yè)內(nèi)部控制制度，可從如下幾個(gè)方面入手：（1）加強(qiáng)組織與管理控制。具體內(nèi)容包括：建立安全稽核機(jī)制。在網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部控制的首要任務(wù)是保證網(wǎng)絡(luò)系統(tǒng)的安全可靠與暢通。為此要對(duì)企業(yè)整個(gè)網(wǎng)絡(luò)管理信息系統(tǒng)的各個(gè)層次（網(wǎng)絡(luò)平臺(tái)、通信平臺(tái)、操作系統(tǒng)平臺(tái)和應(yīng)用平臺(tái)）制定切實(shí)可行的安全防范措施。對(duì)系統(tǒng)操作的事件類型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源等進(jìn)行實(shí)時(shí)監(jiān)控和記錄，進(jìn)行必要的權(quán)限設(shè)置，以便能夠?qū)Ω鞣N不同的權(quán)限進(jìn)行用戶識(shí)別和遠(yuǎn)程請(qǐng)求識(shí)別。上機(jī)操作規(guī)程。操作規(guī)程是指操作中應(yīng)遵守的程序，是保證計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)能夠正確、安全運(yùn)行，防止各種差錯(cuò)的有力措施。主要包括軟硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程和用機(jī)時(shí)間記錄規(guī)程等。建立計(jì)算機(jī)資源訪問(wèn)授權(quán)和身份認(rèn)證制度。即明確每個(gè)用戶的安全級(jí)別和身份標(biāo)識(shí)，并分別定義具體的訪問(wèn)對(duì)象，以實(shí)現(xiàn)系統(tǒng)內(nèi)部的有效牽制。加強(qiáng)系統(tǒng)人員的操作管理。在網(wǎng)絡(luò)環(huán)境下，人作為系統(tǒng)主體是網(wǎng)絡(luò)發(fā)展的基本動(dòng)力和信息安全的最終防線，人員操作管理的重點(diǎn)是權(quán)限控制。系統(tǒng)管理員被賦予超級(jí)用戶管理權(quán)限，主要負(fù)責(zé)系統(tǒng)軟、硬件的管理維護(hù)和網(wǎng)絡(luò)資源分配；操作人員應(yīng)按照被授予的權(quán)限嚴(yán)格作業(yè)，不得越權(quán)接觸系統(tǒng)；系統(tǒng)程序員不得進(jìn)行業(yè)務(wù)操作，以避免人為因素或操作不當(dāng)給操作系統(tǒng)帶來(lái)不必要的損失和風(fēng)險(xiǎn)。設(shè)置安全檢測(cè)預(yù)警系統(tǒng)。即實(shí)時(shí)尋找具有網(wǎng)絡(luò)攻擊特征和違反網(wǎng)絡(luò)安全策略的數(shù)據(jù)流，實(shí)時(shí)響應(yīng)和報(bào)警，阻斷非法的網(wǎng)絡(luò)連接，對(duì)事件涉及的主機(jī)實(shí)施進(jìn)一步跟蹤，創(chuàng)造一種漏洞檢測(cè)與實(shí)時(shí)監(jiān)控相結(jié)合的，可持續(xù)改進(jìn)的安全模式。（2）加強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全控制。硬件設(shè)備安全控制。硬件設(shè)備安全主要涉及計(jì)算機(jī)機(jī)房環(huán)境和設(shè)備的技術(shù)安全要求。應(yīng)制定網(wǎng)絡(luò)計(jì)算機(jī)機(jī)房和設(shè)備的管理制度、崗位職責(zé)和操作規(guī)程，嚴(yán)格禁止無(wú)關(guān)人員接觸系統(tǒng)，專機(jī)專用；計(jì)算機(jī)機(jī)房應(yīng)充分滿足防火、防潮、防塵、防磁和防輻射及恒溫等技術(shù)要求，關(guān)鍵性的硬件設(shè)備可采用雙系統(tǒng)自動(dòng)備份技術(shù)，以應(yīng)付突發(fā)事件，保證數(shù)據(jù)的安全完整。系統(tǒng)軟件安全控制。嚴(yán)格控制系統(tǒng)軟件的安裝與修改，對(duì)系統(tǒng)軟件進(jìn)行定期的預(yù)防性檢查，系統(tǒng)被破壞時(shí)，要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份、快