关键词 网络技术 网络安全控制 内部审计
随着网络技术的不断,企业管理信息系统从相对独立、封闭的状态向网络发展已成为必然趋势。企业管理信息系统在实现网络化之后,使得信息处理效率成倍提高,信息资源得到进一步的共享,这些变革在给企业带来巨大效益的同时,也给企业内部控制带来了新的问题和挑战。网络化对企业内部控制理念和的冲击是全方位的,因此认识这种变化、探讨解决方案对企业内部控制的发展和完善具有重大现实意义。
1 网络环境下企业内部控制遇到的新问题
内部控制自产生以来经历了内部牵制、内部控制制度、内部控制结构和内部控制整体框架几个阶段。内部控制是由企业董事会、经理阶层和其他员工实施的,为合理保证企业经营活动的效益性、财务报告的可靠性和法规的遵循性,而自行检查、制约和调整内部业务活动的自律系统。其构成要素有:控制环境、风险评估、控制活动、信息与沟通、监督。在网络环境下,企业内部控制的目标和基本框架并未发生实质性的改变,但其出现了许多新特征,从而给企业的内部控制带来了以下新问题:
(1)控制环境。控制环境是对企业内控系统的建立和实施有重大的各种因素的总称。主要是指企业的核心人员以及这些人员的个别属性和所处的工作环境,它是推动控制工作的发动机,是所有其他内控组成部分的基础。任何企业的控制活动都存在于一定的控制环境之中,控制环境的好坏直接影响到企业内部控制的贯彻和执行,以及企业经营目标及整体战略目标的实现。控制环境是内部控制5个要素中最重要的要素。在网络环境下,企业内部控制的环境发生了变化,商务将对企业内部控制产生重大影响。随着电子商务的迅猛发展,企业的各项数据资料都将以数字格式存储在处于联网状态的客户机的磁盘上,极易被篡改或恶意破坏,同时磁盘等软硬件也可能由于质量问题或病毒侵扰和黑客非法入侵而发生故障,破坏企业的数据和各种信息,这就使企业的数据的安全性受到威胁,安全系数降低,加剧了管理信息的失真。由于业务发生所取得的原始凭证也将以电子凭证的格式在网上传递,因而增加了企业对网上公证机构的依赖。但直到为止,相应的技术和法规还远没有达到完善,从而对系统的内部控制造成困难。竞争对手也可以通过互联网登录企业的网站,了解企业的信息,使企业数据信息的保密性难以保证。
(2)风险评估。风险评估是识别和那些妨碍实现经营管理目标的困难因素的活动。风险评估中的要素包括关注对整体目标和业务活动目标的制定和衔接、对内部和外部风险的识别与分析、对影响目标实现的变化的认识和各项政策与工作程序的调整。风险评估是企业内部控制过程中的关键环节,是企业内部控制的主要特征。在网络环境下,虽然企业的整体目标没有改变,但企业的外部环境与内部因素都发生了变化。由于网络的开放性、信息的分散性、数据的共享性,以及企业业务流程的改变,极大地改变了以往封闭集中状态下的运行环境,同时也改变了传统的风险控制的内容和方法。例如,强大的复杂的机网络系统增加了企业潜在的风险,因为人们的主观判断被忽略,数据处理过于集中,存储的数据可以被不留痕迹地篡改和删除,数据的存放形式增加了数据再现的难度,数据处理过程无法观测等,使得风险评估的难度加大。这些新的风险点构成了内部控制的新内容。
(3)控制活动。控制活动是为了合理地保证经营管理目标的实现、指导员工实施管理指令、管理和化解风险而采取的政策和程序,包括高层检查、直接管理、信息加工、实物控制、确定指标、职责分离等。对于企业管理而言,授权和控制就像一个硬币的正反两面,授权就必须进行控制。在网络环境下,控制手段更多样性、灵活性和高效性,加强了内部控制的预防、检查与纠正的功能,使企业摆脱人员与资源的限制,经济有效地实现内部控制的目标。但随着计算机使用范围的扩大,利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。如存储在计算机磁性媒介上的数据容易被篡改;数据库技术的提高使数据高度集中,未经授权的人员有可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据,使得计算机犯罪有很大的隐蔽性和危害性,从而扩大了内部控制活动的范围,进而增加了内部控制的难度与复杂性。