網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估存在的問題及對(duì)策

摘要:財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估機(jī)制是內(nèi)部控制的關(guān)鍵要素。如何辨識(shí)、分析與管理財(cái)務(wù)風(fēng)險(xiǎn)，成為企業(yè)內(nèi)部管理的關(guān)鍵。隨著信息技術(shù)在企業(yè)中廣泛應(yīng)用，企業(yè)的內(nèi)外環(huán)境已經(jīng)發(fā)生變化，從而給企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)管理帶來新挑戰(zhàn)。因此，在新的形勢(shì)下對(duì)企業(yè)的內(nèi)部控制風(fēng)險(xiǎn)進(jìn)行剖析是非常有益的探索。本文從網(wǎng)絡(luò)環(huán)境下企業(yè)財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估存在的主要問題入手，尋求健全財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估機(jī)制的對(duì)策。

關(guān)鍵詞:網(wǎng)絡(luò)環(huán)境;內(nèi)部控制;風(fēng)險(xiǎn)評(píng)估

在“COSO內(nèi)部控制整體框架”理論中，財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估機(jī)制是內(nèi)部控制的關(guān)鍵要素。風(fēng)險(xiǎn)評(píng)估是識(shí)別、分析相關(guān)風(fēng)險(xiǎn)以實(shí)現(xiàn)既定目標(biāo)，是風(fēng)險(xiǎn)管理的基礎(chǔ)。因此，如何辨識(shí)、分析與管理財(cái)務(wù)風(fēng)險(xiǎn)，成為企業(yè)內(nèi)部管理的關(guān)鍵。信息技術(shù)的發(fā)展，給企業(yè)帶來了競(jìng)爭(zhēng)優(yōu)勢(shì)，同時(shí)也給企業(yè)的內(nèi)部控制，特別是財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估及風(fēng)險(xiǎn)評(píng)估機(jī)制的建立和管理帶來困難。

一、網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估存在的問題

在網(wǎng)絡(luò)環(huán)境下，雖然企業(yè)的整體目標(biāo)沒有發(fā)生變化，但是企業(yè)經(jīng)營(yíng)管理的外部環(huán)境與內(nèi)部因素都發(fā)生了變化。伴隨者業(yè)務(wù)流程的重組，系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性，使系統(tǒng)從以往封閉的集中狀態(tài)走向開放，網(wǎng)絡(luò)帶給企業(yè)的財(cái)務(wù)風(fēng)險(xiǎn)主要表現(xiàn)在以下幾個(gè)方面:

1.授權(quán)方式的變化帶來的潛在風(fēng)險(xiǎn)。由于財(cái)務(wù)信息的開放性和保密性，系統(tǒng)程序員、系統(tǒng)操作員、系統(tǒng)分析員、網(wǎng)絡(luò)系統(tǒng)維護(hù)員等各類人員對(duì)其權(quán)限內(nèi)的工作都設(shè)置一定的口令或密碼，但是他們的工作態(tài)度、責(zé)任心、業(yè)務(wù)水平參差不齊，一旦系統(tǒng)操作員不懷好意，擅自改變他人的口令或密碼，改變他人的權(quán)限，勢(shì)必造成網(wǎng)絡(luò)系統(tǒng)管理混亂，從而給網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息帶來風(fēng)險(xiǎn)。

2.內(nèi)部控制計(jì)算機(jī)程序化的風(fēng)險(xiǎn)，有可能導(dǎo)致同一種差錯(cuò)反復(fù)發(fā)生。網(wǎng)絡(luò)環(huán)境下的內(nèi)部控制，在很大程度上取決于這些會(huì)計(jì)信息系統(tǒng)中運(yùn)行的程序的質(zhì)量。一旦這些應(yīng)用程序中存在嚴(yán)重的漏洞或惡意的“后門”，就會(huì)嚴(yán)重危害系統(tǒng)安全。

3.原始憑證數(shù)字化，使得會(huì)計(jì)信息被篡改或偽造。隨著電子商務(wù)的發(fā)展，一些單位的原始憑證也如同記賬憑證、會(huì)計(jì)賬簿或報(bào)表一樣，已實(shí)現(xiàn)數(shù)據(jù)化、電子化，即以數(shù)據(jù)形式存儲(chǔ)在磁(光)性介質(zhì)上，這種無紙憑證極其容易被竄改或偽造而不留痕跡，它弱化了紙質(zhì)原始憑證所具有的較強(qiáng)的控制功能，給內(nèi)部控制帶來了新的問題。另外，磁性介質(zhì)容易遭到破壞，一旦受損，又很難修復(fù)，這更使數(shù)據(jù)化的信息丟失或毀損的風(fēng)險(xiǎn)加大。

4.網(wǎng)絡(luò)環(huán)境的開放性加劇了會(huì)計(jì)信息失真的風(fēng)險(xiǎn)。由于網(wǎng)絡(luò)環(huán)境具有開放性等特點(diǎn)，在這個(gè)環(huán)境中一切信息在理論上都是可以被訪問到的，除非他們?cè)谖锢砩蠑嚅_連接。網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)很容易被黑客訪問或遭到病毒的攻擊，這種攻擊，可能來自企業(yè)外部，也可能來自企業(yè)內(nèi)部，而且一旦發(fā)生將造成巨大損失。

綜上所述，網(wǎng)絡(luò)環(huán)境下出現(xiàn)的新問題主要是網(wǎng)絡(luò)信息安全而造成的企業(yè)內(nèi)部控制風(fēng)險(xiǎn)。因此，加強(qiáng)信息環(huán)境下企業(yè)內(nèi)部控制風(fēng)險(xiǎn)管理主要在于加強(qiáng)對(duì)網(wǎng)絡(luò)信息安全的管理。

二.網(wǎng)絡(luò)環(huán)境下健全財(cái)務(wù)風(fēng)險(xiǎn)評(píng)估機(jī)制的主要對(duì)策

1.加強(qiáng)程序開發(fā)管理

首先，加強(qiáng)信息系統(tǒng)開發(fā)或采購(gòu)的項(xiàng)目審批管理。公司要建立信息系統(tǒng)開發(fā)技術(shù)規(guī)范與流程，保證信息技術(shù)系統(tǒng)的開發(fā)或采購(gòu)都通過適當(dāng)?shù)挠脩舨块T管理層和企業(yè)信息化部門管理層的審批，以確保新系統(tǒng)開發(fā)的可行性、與現(xiàn)有系統(tǒng)的整合性以及符合報(bào)告披露的目標(biāo)。重要的信息技術(shù)基礎(chǔ)設(shè)施和信息系統(tǒng)的采購(gòu)、開發(fā)須在相關(guān)用戶部門、企業(yè)信息化部門、本公司管理層或上級(jí)公司審批同意后，才可以開始正式執(zhí)行。

其次，加強(qiáng)信息系統(tǒng)開發(fā)管理。對(duì)于涉及財(cái)務(wù)、運(yùn)營(yíng)等關(guān)鍵數(shù)據(jù)的系統(tǒng)開發(fā)項(xiàng)目，公司需對(duì)自行開發(fā)和外包合作開發(fā)等方式采用公司統(tǒng)一的信息系統(tǒng)開發(fā)方法和項(xiàng)目管理方法，并制定相應(yīng)實(shí)施標(biāo)準(zhǔn)以確保執(zhí)行。信息技術(shù)系統(tǒng)項(xiàng)目開發(fā)過程中，公司應(yīng)當(dāng)明確項(xiàng)目管理部門(組)，由項(xiàng)目管理部門(組)監(jiān)控項(xiàng)目的進(jìn)展情況。預(yù)算要求、需求說明、項(xiàng)目關(guān)鍵報(bào)告等文檔須經(jīng)項(xiàng)目工作組審閱，并進(jìn)行歸檔保存。

再次，加強(qiáng)信息系統(tǒng)開發(fā)測(cè)試管理。在開發(fā)信息技術(shù)系統(tǒng)的過程中，項(xiàng)目管理部門(組)對(duì)測(cè)試結(jié)果必須集中歸檔保管，對(duì)系統(tǒng)層面和用戶層面的測(cè)試要求進(jìn)行書面記錄并最終達(dá)到測(cè)試要求。測(cè)試后信息技術(shù)人員及用戶部門對(duì)測(cè)試結(jié)果進(jìn)行書面確認(rèn)，并進(jìn)行項(xiàng)目歸檔保存。項(xiàng)目管理組對(duì)新上線的信息技術(shù)系統(tǒng)在實(shí)施后進(jìn)行終驗(yàn)，以確保新流程及相關(guān)控制的正確運(yùn)行和操作。相關(guān)部門審閱終驗(yàn)報(bào)告，跟進(jìn)和解決遺留的問題，并書面確認(rèn)該系統(tǒng)已達(dá)到功能和控制上的預(yù)定要求。

2.加強(qiáng)信息安全管理

首先，要加強(qiáng)信息系統(tǒng)安全管理。公司應(yīng)建立相關(guān)信息安全職能，并制定相應(yīng)的組織結(jié)構(gòu)圖及部門、人員職責(zé)描述文檔。公司應(yīng)制定正式并經(jīng)過管理層批準(zhǔn)的信息系統(tǒng)安全政策，范圍包括所有涉及財(cái)務(wù)、運(yùn)營(yíng)等關(guān)鍵數(shù)據(jù)和程序的信息技術(shù)環(huán)境(例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應(yīng)用程序安全等方面)。用戶和信息技術(shù)人員都應(yīng)知曉本公司的信息系統(tǒng)安全政策。

其次，應(yīng)加強(qiáng)用戶賬號(hào)的管理。用戶賬號(hào)的權(quán)限管理，公司應(yīng)建立用戶及其權(quán)限設(shè)置的管理流程，用戶創(chuàng)建和授權(quán)必須通過相關(guān)領(lǐng)導(dǎo)審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶賬號(hào)。網(wǎng)絡(luò)管理員用戶賬號(hào)的使用僅限于已授權(quán)人員，這類用戶賬號(hào)的授權(quán)須經(jīng)用戶部門管理層和企業(yè)信息化部門管理層的書面授權(quán)審批。業(yè)務(wù)信息系統(tǒng)用戶賬號(hào)訪問權(quán)限，應(yīng)根據(jù)相應(yīng)管理流程經(jīng)相應(yīng)用戶部門管理層審批后由系統(tǒng)管理員分配。對(duì)于超級(jí)用戶等特權(quán)用戶，企業(yè)應(yīng)對(duì)其在系統(tǒng)中的操作全程進(jìn)行監(jiān)控。企業(yè)信息化部門分管人員必須對(duì)網(wǎng)絡(luò)管理員賬號(hào)和訪問權(quán)限以及業(yè)務(wù)系統(tǒng)用戶賬號(hào)和訪問權(quán)限進(jìn)行定期審閱，以發(fā)現(xiàn)任何不合適的訪問權(quán)限。發(fā)現(xiàn)的問題要及時(shí)與用戶部門確認(rèn)，跟進(jìn)解決。公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對(duì)公司內(nèi)網(wǎng)絡(luò)的非法訪問。

3.加強(qiáng)系統(tǒng)運(yùn)行安全管理

首先，應(yīng)加強(qiáng)系統(tǒng)運(yùn)行及作業(yè)計(jì)劃控制。公司應(yīng)對(duì)重要的信息技術(shù)領(lǐng)域中的崗位和職責(zé)進(jìn)行定義。崗位和職責(zé)的定義必須能夠滿足職責(zé)分工的要求。信息技術(shù)人員必須制定合適的系統(tǒng)維護(hù)作業(yè)安排計(jì)劃和管理作業(yè)計(jì)劃，包括作業(yè)優(yōu)先級(jí)、授權(quán)流程及突發(fā)作業(yè)處理。對(duì)于作業(yè)執(zhí)行，存在一定機(jī)制確保每個(gè)作業(yè)能夠按時(shí)正確完成，在發(fā)生異常時(shí)能及時(shí)得到處理。只有授權(quán)的人員可以安排作業(yè)計(jì)劃，作業(yè)安排計(jì)劃由相關(guān)主管人員審批后，由系統(tǒng)管理員或值班人員按計(jì)劃執(zhí)行作業(yè)。系統(tǒng)的自動(dòng)作業(yè)在系統(tǒng)中留有運(yùn)行日志記錄，手工作業(yè)的執(zhí)行結(jié)果在值班日志上進(jìn)行記錄，日志記錄應(yīng)由信息技術(shù)人員定期檢查并書面確認(rèn)，以保證作業(yè)的正常執(zhí)行。這些記錄必須包含作業(yè)運(yùn)行中的非正常和失敗事件。

其次，應(yīng)加強(qiáng)系統(tǒng)備份控制。企業(yè)信息化部門應(yīng)考慮系統(tǒng)設(shè)備的重要性及恢復(fù)成本，制定備份策略。在備份策略中說明備份范圍、備份頻率以及備份數(shù)據(jù)保存時(shí)間等內(nèi)容，用戶部門對(duì)備查策略參與意見。備份策略由企業(yè)信息化部門負(fù)責(zé)人審核后報(bào)公司管理層審批。對(duì)系統(tǒng)設(shè)備的數(shù)據(jù)備份保留備份日志(自動(dòng)或手工記錄)，備份運(yùn)行人員定期復(fù)核備份日志，以發(fā)現(xiàn)備份錯(cuò)誤或其它異常現(xiàn)象并及時(shí)跟進(jìn)解決。

再次，應(yīng)加強(qiáng)問題管理。應(yīng)使用自動(dòng)監(jiān)控軟件或分配專人對(duì)生產(chǎn)環(huán)境進(jìn)行監(jiān)控，及時(shí)發(fā)現(xiàn)系統(tǒng)故障。監(jiān)控結(jié)果必須有日志記錄，并有相應(yīng)的故障上報(bào)及跟進(jìn)制度，保證問題的及時(shí)解決。用戶報(bào)告的系統(tǒng)故障和問題，必須集中記錄，由信息技術(shù)人員對(duì)這些故障或問題進(jìn)行監(jiān)控并及時(shí)跟進(jìn)解決。企業(yè)信息化部門在用戶電腦上安裝反病毒軟件，實(shí)現(xiàn)自動(dòng)掃描和實(shí)時(shí)更新病毒庫。

4.應(yīng)加強(qiáng)程序變更管理

首先，應(yīng)加強(qiáng)變更需求管理。變更需求的發(fā)起部門需要填寫正式的變更申請(qǐng)文件，描述變更申請(qǐng)的原因、變更影響的系統(tǒng)、變更影響范圍、變更說明等進(jìn)行評(píng)估，以保證其能夠滿足業(yè)務(wù)及應(yīng)用系統(tǒng)的控制要求，提交企業(yè)信息化部門主管人員與變更影響部門主管人員審批。對(duì)信息系統(tǒng)的重要變更必須形成正式文檔，并在變更實(shí)施前得到企業(yè)信息化部門主管人員的書面批準(zhǔn)。變更文檔和主管人員的書面批準(zhǔn)必須存檔保管。

其次，應(yīng)加強(qiáng)配置變更管理。所有對(duì)系統(tǒng)的配置變更必須形成正式文檔，并在變更于生產(chǎn)環(huán)境中實(shí)施前得到用戶部門及企業(yè)化部門主管人員的批準(zhǔn)。變更文檔和主管批準(zhǔn)必須存檔保管。企業(yè)信息化部門或用戶部門提出配置變更的計(jì)劃及方案，向企業(yè)信息化部門或用戶部門主管通過書面方式提出申請(qǐng)，并依據(jù)配置變更的性質(zhì)、影響范圍等情況在。

再次，應(yīng)加強(qiáng)緊急變更管理。公司必須建立應(yīng)急變更管理流程，對(duì)應(yīng)急變更的流程及范圍進(jìn)行定義，并傳達(dá)至相關(guān)的企業(yè)信息化部門及用戶部門。緊急變更必須在變更實(shí)施前得到企業(yè)信息化部門主管人員的同意，并在實(shí)施前得到企業(yè)信息化部門主管人員的正式確認(rèn)。緊急變更需在變更實(shí)施前進(jìn)行變更的測(cè)試(如為配置變更，可根據(jù)需要決定是否測(cè)試)，其結(jié)果需包含在變更報(bào)告中，得到企業(yè)信息化部門主管人員的書面確認(rèn)。

參考文獻(xiàn):

[1]胡為民，內(nèi)部控制與企業(yè)風(fēng)險(xiǎn)管理-實(shí)務(wù)操作指南[M]，電子工業(yè)出版社，2007(4)

[2]張蕾，IT環(huán)境下基于風(fēng)險(xiǎn)管理的企業(yè)內(nèi)部控制研究[D]上海財(cái)經(jīng)大學(xué)，2007，185-202

[3]陳志斌，信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J]，會(huì)計(jì)研究，2007(1):16-25

[4]劉志遠(yuǎn)，網(wǎng)絡(luò)技術(shù)條件下的企業(yè)內(nèi)部控制[J]，會(huì)計(jì)研究，2001，(12):18-23

[5]吳水澎、陳漢文、邵賢弟:《企業(yè)內(nèi)部控制理論的發(fā)展與啟示》[J]，會(huì)計(jì)研究，2000，(5):12-18

[6]許永斌，《基于互聯(lián)網(wǎng)的會(huì)計(jì)信息系統(tǒng)控制》[J]，會(huì)計(jì)研究，2000，(8):34-55

(作者單位:湖南省婦幼保健院)