摘要:財務風險評估機制是內(nèi)部控制的關(guān)鍵要素。如何辨識、分析與管理財務風險，成為企業(yè)內(nèi)部管理的關(guān)鍵。隨著信息技術(shù)在企業(yè)中廣泛應用，企業(yè)的內(nèi)外環(huán)境已經(jīng)發(fā)生變化，從而給企業(yè)財務風險管理帶來新挑戰(zhàn)。因此，在新的形勢下對企業(yè)的內(nèi)部控制風險進行剖析是非常有益的探索。本文從網(wǎng)絡(luò)環(huán)境下企業(yè)財務風險評估存在的主要問題入手，尋求健全財務風險評估機制的對策。

關(guān)鍵詞:網(wǎng)絡(luò)環(huán)境;內(nèi)部控制;風險評估

在“COSO內(nèi)部控制整體框架”理論中，財務風險評估機制是內(nèi)部控制的關(guān)鍵要素。風險評估是識別、分析相關(guān)風險以實現(xiàn)既定目標，是風險管理的基礎(chǔ)。因此，如何辨識、分析與管理財務風險，成為企業(yè)內(nèi)部管理的關(guān)鍵。信息技術(shù)的發(fā)展，給企業(yè)帶來了競爭優(yōu)勢，同時也給企業(yè)的內(nèi)部控制，特別是財務風險評估及風險評估機制的建立和管理帶來困難。

一、網(wǎng)絡(luò)環(huán)境下財務風險評估存在的問題

在網(wǎng)絡(luò)環(huán)境下，雖然企業(yè)的整體目標沒有發(fā)生變化，但是企業(yè)經(jīng)營管理的外部環(huán)境與內(nèi)部因素都發(fā)生了變化。伴隨者業(yè)務流程的重組，系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性，使系統(tǒng)從以往封閉的集中狀態(tài)走向開放，網(wǎng)絡(luò)帶給企業(yè)的財務風險主要表現(xiàn)在以下幾個方面:

1.授權(quán)方式的變化帶來的潛在風險。由于財務信息的開放性和保密性，系統(tǒng)程序員、系統(tǒng)操作員、系統(tǒng)分析員、網(wǎng)絡(luò)系統(tǒng)維護員等各類人員對其權(quán)限內(nèi)的工作都設(shè)置一定的口令或密碼，但是他們的工作態(tài)度、責任心、業(yè)務水平參差不齊，一旦系統(tǒng)操作員不懷好意，擅自改變他人的口令或密碼，改變他人的權(quán)限，勢必造成網(wǎng)絡(luò)系統(tǒng)管理混亂，從而給網(wǎng)絡(luò)環(huán)境下會計信息帶來風險。

2.內(nèi)部控制計算機程序化的風險，有可能導致同一種差錯反復發(fā)生。網(wǎng)絡(luò)環(huán)境下的內(nèi)部控制，在很大程度上取決于這些會計信息系統(tǒng)中運行的程序的質(zhì)量。一旦這些應用程序中存在嚴重的漏洞或惡意的“后門”，就會嚴重危害系統(tǒng)安全。

3.原始憑證數(shù)字化，使得會計信息被篡改或偽造。隨著電子商務的發(fā)展，一些單位的原始憑證也如同記賬憑證、會計賬簿或報表一樣，已實現(xiàn)數(shù)據(jù)化、電子化，即以數(shù)據(jù)形式存儲在磁(光)性介質(zhì)上，這種無紙憑證極其容易被竄改或偽造而不留痕跡，它弱化了紙質(zhì)原始憑證所具有的較強的控制功能，給內(nèi)部控制帶來了新的問題。另外，磁性介質(zhì)容易遭到破壞，一旦受損，又很難修復，這更使數(shù)據(jù)化的信息丟失或毀損的風險加大。

4.網(wǎng)絡(luò)環(huán)境的開放性加劇了會計信息失真的風險。由于網(wǎng)絡(luò)環(huán)境具有開放性等特點，在這個環(huán)境中一切信息在理論上都是可以被訪問到的，除非他們在物理上斷開連接。網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)很容易被黑客訪問或遭到病毒的攻擊，這種攻擊，可能來自企業(yè)外部，也可能來自企業(yè)內(nèi)部，而且一旦發(fā)生將造成巨大損失。

綜上所述，網(wǎng)絡(luò)環(huán)境下出現(xiàn)的新問題主要是網(wǎng)絡(luò)信息安全而造成的企業(yè)內(nèi)部控制風險。因此，加強信息環(huán)境下企業(yè)內(nèi)部控制風險管理主要在于加強對網(wǎng)絡(luò)信息安全的管理。

二.網(wǎng)絡(luò)環(huán)境下健全財務風險評估機制的主要對策

1.加強程序開發(fā)管理

首先，加強信息系統(tǒng)開發(fā)或采購的項目審批管理。公司要建立信息系統(tǒng)開發(fā)技術(shù)規(guī)范與流程，保證信息技術(shù)系統(tǒng)的開發(fā)或采購都通過適當?shù)挠脩舨块T管理層和企業(yè)信息化部門管理層的審批，以確保新系統(tǒng)開發(fā)的可行性、與現(xiàn)有系統(tǒng)的整合性以及符合報告披露的目標。重要的信息技術(shù)基礎(chǔ)設(shè)施和信息系統(tǒng)的采購、開發(fā)須在相關(guān)用戶部門、企業(yè)信息化部門、本公司管理層或上級公司審批同意后，才可以開始正式執(zhí)行。

其次，加強信息系統(tǒng)開發(fā)管理。對于涉及財務、運營等關(guān)鍵數(shù)據(jù)的系統(tǒng)開發(fā)項目，公司需對自行開發(fā)和外包合作開發(fā)等方式采用公司統(tǒng)一的信息系統(tǒng)開發(fā)方法和項目管理方法，并制定相應實施標準以確保執(zhí)行。信息技術(shù)系統(tǒng)項目開發(fā)過程中，公司應當明確項目管理部門(組)，由項目管理部門(組)監(jiān)控項目的進展情況。預算要求、需求說明、項目關(guān)鍵報告等文檔須經(jīng)項目工作組審閱，并進行歸檔保存。

再次，加強信息系統(tǒng)開發(fā)測試管理。在開發(fā)信息技術(shù)系統(tǒng)的過程中，項目管理部門(組)對測試結(jié)果必須集中歸檔保管，對系統(tǒng)層面和用戶層面的測試要求進行書面記錄并最終達到測試要求。測試后信息技術(shù)人員及用戶部門對測試結(jié)果進行書面確認，并進行項目歸檔保存。項目管理組對新上線的信息技術(shù)系統(tǒng)在實施后進行終驗，以確保新流程及相關(guān)控制的正確運行和操作。相關(guān)部門審閱終驗報告，跟進和解決遺留的問題，并書面確認該系統(tǒng)已達到功能和控制上的預定要求。

2.加強信息安全管理

首先，要加強信息系統(tǒng)安全管理。公司應建立相關(guān)信息安全職能，并制定相應的組織結(jié)構(gòu)圖及部門、人員職責描述文檔。公司應制定正式并經(jīng)過管理層批準的信息系統(tǒng)安全政策，范圍包括所有涉及財務、運營等關(guān)鍵數(shù)據(jù)和程序的信息技術(shù)環(huán)境(例如網(wǎng)絡(luò)安全、物理安全、操作系統(tǒng)安全、應用程序安全等方面)。用戶和信息技術(shù)人員都應知曉本公司的信息系統(tǒng)安全政策。

其次，應加強用戶賬號的管理。用戶賬號的權(quán)限管理，公司應建立用戶及其權(quán)限設(shè)置的管理流程，用戶創(chuàng)建和授權(quán)必須通過相關(guān)領(lǐng)導審批后，方可由系統(tǒng)管理員在系統(tǒng)中創(chuàng)建用戶賬號。網(wǎng)絡(luò)管理員用戶賬號的使用僅限于已授權(quán)人員，這類用戶賬號的授權(quán)須經(jīng)用戶部門管理層和企業(yè)信息化部門管理層的書面授權(quán)審批。業(yè)務信息系統(tǒng)用戶賬號訪問權(quán)限，應根據(jù)相應管理流程經(jīng)相應用戶部門管理層審批后由系統(tǒng)管理員分配。對于超級用戶等特權(quán)用戶，企業(yè)應對其在系統(tǒng)中的操作全程進行監(jiān)控。企業(yè)信息化部門分管人員必須對網(wǎng)絡(luò)管理員賬號和訪問權(quán)限以及業(yè)務系統(tǒng)用戶賬號和訪問權(quán)限進行定期審閱，以發(fā)現(xiàn)任何不合適的訪問權(quán)限。發(fā)現(xiàn)的問題要及時與用戶部門確認，跟進解決。公司在內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)或其他外部網(wǎng)絡(luò)的網(wǎng)絡(luò)連接處安裝防火墻，以防止對公司內(nèi)網(wǎng)絡(luò)的非法訪問。

3.加強系統(tǒng)運行安全管理

首先，應加強系統(tǒng)運行及作業(yè)計劃控制。公司應對重要的信息技術(shù)領(lǐng)域中的崗位和職責進行定義。崗位和職責的定義必須能夠滿足職責分工的要求。信息技術(shù)人員必須制定合適的系統(tǒng)維護作業(yè)安排計劃和管理作業(yè)計劃，包括作業(yè)優(yōu)先級、授權(quán)流程及突發(fā)作業(yè)處理。對于作業(yè)執(zhí)行，存在一定機制確保每個作業(yè)能夠按時正確完成，在發(fā)生異常時能及時得到處理。只有授權(quán)的人員可以安排作業(yè)計劃，作業(yè)安排計劃由相關(guān)主管人員審批后，由系統(tǒng)管理員或值班人員按計劃執(zhí)行作業(yè)。系統(tǒng)的自動作業(yè)在系統(tǒng)中留有運行日志記錄，手工作業(yè)的執(zhí)行結(jié)果在值班日志上進行記錄，日志記錄應由信息技術(shù)人員定期檢查并書面確認，以保證作業(yè)的正常執(zhí)行。這些記錄必須包含作業(yè)運行中的非正常和失敗事件。

其次，應加強系統(tǒng)備份控制。企業(yè)信息化部門應考慮系統(tǒng)設(shè)備的重要性及恢復成本，制定備份策略。在備份策略中說明備份范圍、備份頻率以及備份數(shù)據(jù)保存時間等內(nèi)容，用戶部門對備查策略參與意見。備份策略由企業(yè)信息化部門負責人審核后報公司管理層審批。對系統(tǒng)設(shè)備的數(shù)據(jù)備份保留備份日志(自動或手工記錄)，備份運行人員定期復核備份日志，以發(fā)現(xiàn)備份錯誤或其它異?，F(xiàn)象并及時跟進解決。

再次，應加強問題管理。應使用自動監(jiān)控軟件或分配專人對生產(chǎn)環(huán)境進行監(jiān)控，及時發(fā)現(xiàn)系統(tǒng)故障。監(jiān)控結(jié)果必須有日志記錄，并有相應的故障上報及跟進制度，保證問題的及時解決。用戶報告的系統(tǒng)故障和問題，必須集中記錄，由信息技術(shù)人員對這些故障或問題進行監(jiān)控并及時跟進解決。企業(yè)信息化部門在用戶電腦上安裝反病毒軟件，實現(xiàn)自動掃描和實時更新病毒庫。

4.應加強程序變更管理

首先，應加強變更需求管理。變更需求的發(fā)起部門需要填寫正式的變更申請文件，描述變更申請的原因、變更影響的系統(tǒng)、變更影響范圍、變更說明等進行評估，以保證其能夠滿足業(yè)務及應用系統(tǒng)的控制要求，提交企業(yè)信息化部門主管人員與變更影響部門主管人員審批。對信息系統(tǒng)的重要變更必須形成正式文檔，并在變更實施前得到企業(yè)信息化部門主管人員的書面批準。變更文檔和主管人員的書面批準必須存檔保管。

其次，應加強配置變更管理。所有對系統(tǒng)的配置變更必須形成正式文檔，并在變更于生產(chǎn)環(huán)境中實施前得到用戶部門及企業(yè)化部門主管人員的批準。變更文檔和主管批準必須存檔保管。企業(yè)信息化部門或用戶部門提出配置變更的計劃及方案，向企業(yè)信息化部門或用戶部門主管通過書面方式提出申請，并依據(jù)配置變更的性質(zhì)、影響范圍等情況在。

再次，應加強緊急變更管理。公司必須建立應急變更管理流程，對應急變更的流程及范圍進行定義，并傳達至相關(guān)的企業(yè)信息化部門及用戶部門。緊急變更必須在變更實施前得到企業(yè)信息化部門主管人員的同意，并在實施前得到企業(yè)信息化部門主管人員的正式確認。緊急變更需在變更實施前進行變更的測試(如為配置變更，可根據(jù)需要決定是否測試)，其結(jié)果需包含在變更報告中，得到企業(yè)信息化部門主管人員的書面確認。

參考文獻:

[1]胡為民，內(nèi)部控制與企業(yè)風險管理-實務操作指南[M]，電子工業(yè)出版社，2007(4)

[2]張蕾，IT環(huán)境下基于風險管理的企業(yè)內(nèi)部控制研究[D]上海財經(jīng)大學，2007，185-202

[3]陳志斌，信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J]，會計研究，2007(1):16-25

[4]劉志遠，網(wǎng)絡(luò)技術(shù)條件下的企業(yè)內(nèi)部控制[J]，會計研究，2001，(12):18-23

[5]吳水澎、陳漢文、邵賢弟:《企業(yè)內(nèi)部控制理論的發(fā)展與啟示》[J]，會計研究，2000，(5):12-18

[6]許永斌，《基于互聯(lián)網(wǎng)的會計信息系統(tǒng)控制》[J]，會計研究，2000，(8):34-55

(作者單位:湖南省婦幼保健院)