财务网络安全风险防范措施篇1

关键词：网络审计历史财务报表审计信息安全管理风险评估

一、引言

从审计的角度，风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中，现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心，通过对被审计单位及其环境的了解，评估确定被审计单位的高风险领域，从而确定审计的范围和重点，进一步决定如何收集、收集多少和收集何种性质的证据，以便更有效地控制和提高审计效果及审计效率。从企业管理的角度，企业风险管理将风险评估作为其基本的要素之一进行规范，要求企业在识别和评估风险可能对企业产生影响的基础上，采取积极的措施来控制风险，降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分，是企业信息安全管理的基础和关键环节。尽管如此，风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同，本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上，从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开，将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析，以期深化对网络审计风险评估的理解。

二、网络审计与历史财务报表审计的风险评估比较

(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型，审计风险又由固有风险、控制风险和检查风险构成。其中，固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下，其财务报表某项认定产生重大错报的可能性；控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性；检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中，审计风险仍然包括固有风险、控制风险和检查风险要素，但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率，为企业的经营管理带来很大的优越性，但同时也为企业带来了一些新的风险。这些新的风险主要表现为：(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了，这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求，非专业人员难以察觉计算机舞弊的线索，这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统，或者说，企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险，例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口，使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据，从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险，如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障，或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地，网络审计的固有风险主要是指系统环境风险，即财务电算化系统本身所处的环境引起的风险，它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险，其中，系统控制风险是指会计电算化系统的内部控制不严密造成的风险，财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险，审计软件风险是指计算机审计软件本身缺陷原因造成的风险，人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。

(二)风险评估目的无论在网络审计还是历史财务报表审计中，风险评估只是审计的一项重要程序，贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此，两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类，因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险，审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动，无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中，一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同，企业在不同阶段的控制目标和控制行为也会有所不同，因此，审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等，信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面：物理层，即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境；网络层，即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等；系统层，即信息系统本身的漏洞情况、配置的缺陷情况；应用层，即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况；管理层，即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险，审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性，它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审CtT的内涵基本上是一致的，审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险，主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中，审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然，这两类风险并非完全分离的，评估时审计人员应将两者结合起来考虑。

(三)风险评估内容广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同，因此两者在风险评估的内容上也是存在区别的。总的来说，网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风

险》，在历史财务报表审计中，审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险，审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险，审计人员除了从以上方面了解被审计单位及其环境外，还应该关注其他相关的潜在事件及其影响，尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中，威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件，它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素，也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节，它是系统或网络财务信息本身固有的，包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说，脆弱点本身不会带来损失或信息错报，威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此，我们认为网络审计申风险评估的内容应包括以下几方面：(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁，并分析威胁发生的可能性；(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点，并分析脆弱点的严重程度；(3)根据威胁发生的可能性和脆弱点发生的严重程度，判断风险发生的可能性；(4)根据风险发生的可能性，评价风险对财务信息系统和基于网络的财务信息可能带来的影响；(5)若被审计单位存在风险防范或化解措施，审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。

(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求，审计人员应当实施询问、分析程序、观察和检查等程序，以获取被审计单位的信息，进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时，审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类，分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时，除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外，审计人员应格外关注对信息系统及网络的特性情况，被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时，除执行常规程序外，审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外，针对特定系统或网络技术风险的评估，审计人员还需要实施一些特定的程序。技术方面如IOS取样分析、渗透测试、工具扫描、安全策略分析等；管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中，IDS取样分析是指通过在核心网络采样监听通信数据方式，获取网络中存在的攻击和蠕虫行为，并对通信流量进行分析；渗透测试是指在获取用户授权后，通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法；工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息，包括主机扫描、网络扫描、数据库扫描等，用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况，使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析，进而评价企业相关风险发生的概率以及可能带来的损失；文档审核是一种事前评价方法，属于前置软件测试的一部分，主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价，审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。

三、网络审计与信息安全管理的风险评估比较

(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制，信息安全风险评估是企业管理的组成部分，它具有规划、组织、协调和控制等管理的基本特征，其主要目的在于从企业内部风险管理的角度，在系统分析和评估风险发生的可能性及带来的损失的基础上，提出有针对性的防护和整改措施，将企业面临或遭遇的风险控制在可接受水平，最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务，其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度，从而指导进一步审计程序。因此，两者风险评估的目的是不一样。从评估所应关注的风险范围来看，两者具有一致性，即都需要考虑与信息系统和信息相关的风险。但是，具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，它要求评估人员关注与企业整个信息系统和所有的信息相关的风险，包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中，审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见，因此，风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险，而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同，信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动；他评估通常是由组织的上级主管机关或业务主管机关发起的，旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言，受托执行的信息安全风险评估应当归属于管理咨询类，即属于非鉴证业务，与网络审计严格区分开来。

(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中，它将信息安全风险评估的内容分为两部分：基本要素和相关属性，提出信息安全风险评估应围绕其基本要素展开，并充分考虑与这些基本要素相关的其他属性。其中，风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施；相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是：(1)对信息资产进行识别，并对资产赋值；(2)对威胁进行分析，并对威

胁发生的可能性赋值；(3)识别信息资产的脆弱性，并对弱点的严重程度赋值；(4)根据威胁和脆弱性计算安全事件发生的可能性；(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失；(6)根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。结合上文网络审计风险评估五个方面的内容可以看出，网络审计和信息安全风险评估在内容上有相近之处，即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是，信息安全管理作为企业的一项内部管理，其风险评估工作需要从两个层次展开：一是评估风险发生的可能性及其影响；二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的，其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出，企业在确定出风险水平后，应对不可接受的风险选择适当的处理方式及控制措施，并形成风险处理计划。其中，风险处理的方式包括回避风险、降低风险、转移风险、接受风险，而控制措施的选择应兼顾管理和技术，考虑企业发展战略、企业文化、人员素质，并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次，即审计人员通过风险评估，为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此，两者的评估内容是存在区别的。

财务网络安全风险防范措施篇2

【关键词】网络会计信息系统安全

我国会计电算化事业自1979年起步以来,已经历了接近30年的发展历程,进过几个阶段的发展,会计电算化事业已经到达了一个崭新的阶段,会计软件日趋成熟,软件的商品化、市场化已经达到了相当的规模。为此,财政部于1994年陆续下发了若干促进会计电算化发展和规范会计工作的相关文件,其中《关于大力发展我国会计电算化的意见》明确了我国会计电算化的总体目标,即到2008达到80%以上,主要贡献于相关单位的应收应付款核算、固定资产核算、材料核算、成本核算、工资核算、会计报表生成与汇总等基本会计核算业务方面实现电算化。与之共同成长的就是计算机网络的快速发展应用,如何保证网络会计的信息安全,是我们从业人员应该注意维护的重要事项。网络会计信息的安全是指系统保持正常稳定运行状态的能力,即在网络环境下对各种交易和事项进行确认、计量和批漏的活动,以及财务数据处理的各个环节,也就是说既要包括操作这个系统的人和做为系统处理对象的那些数据,也包括系统所处的那个环境。所以,网络会计信息系统的安全建设是全方位的系统工程。会计信息系统如同金库中的资金,信息安全是会计信息系统安全的核心,确保信息的生存性、完整性、可用性和保密性是会计信息系统的中心任务。信息系统是为承载、传输、处理、保存、输入、输出、查询信息提供服务的基础,信息系统的安全是信息安全的基本保障。

一、网络会计信息系统的安全风险主要表现

会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指有人为的或非人为的因素是会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面。

1.会计信息的真实性、可靠性。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。

2.企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。

3.会计信息是否被篡改。会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。

4.网络系统的安全性。网络是一把双刃剑,它使企业在利用lnternet网寻找潜在的贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:泄密与恶意攻击。所谓泄密是指未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或卖出商业机密换取钱财。所谓恶意攻击是指网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。

二、网络会计信息系统安全应考虑的一般原则

1.需求、风险、代价平衡分析的原则

任何网络的绝对安全都是难以达到的,也不一定是必要的。对一个网络要进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后确定本系统的安全策略。

2.综合性、整体性原则

应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施包括:行政法律手段、各种管理制度(人员审查、工作流等)以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之,不同的安全措施的代价、效果对不同的网络并不完全相同,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。

3.一致性原则

一致性原则是指网络安全问题应存在于整个网络的工作周期,制定的安全体系结构必须与网络的安全需求相一致,安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的初期就应该考虑网络安全对策,比等网络建设好后再考虑安全措施不但较容易,且成本也大大的降低。

三、网络会计信息系统安全的几项措施

通过加强会计信息系统的安全建设与管理,提高会计信息系统安全的防护和反应综合能力,使系统能够抵御各种威胁,有效保护企业资产,提高会计的完整服务。在会计信息系统建设过程中,必须克服“重建设轻安全、重技术轻管理、重使用轻维护”的思想。应逐步建立以“检查与管理、保密与防护、检测与防治、测评与服务”为基本结构的安全管理和技术系统。通过管理和技术两种手段,使会计信息系统的技术风险防范能力不断提高到一个新的水平。为了更好的利用网络会计带来的优势,保证信息数据质量和安全,应从以下几方面入手,以网络技术为基础,结合会计需要,确保网络安全有效的传递信息。

1.系统加密管理。在会计信息系统中,对一些须严格控制操作的环节,设上“双口令”只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置,不得告知他人。对“双口令”进行“并钥”处理后,方可执行相应的操作。这样不仅加强了控制管理,保证了数据安全,而且也保护了相关的人员,便于分清各自的责任。

2.形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储,应利用网络所特有的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控(即网上公证)。

3.建立严格的数据存储措施。为了提高系统数据的安全性和在意外情况下的“自救能力”,应建立双备份,备份后的两份数据应有不同的人员持有,另一份是非加密的,有具体操作人员使用。对一些重要的数据,可采用分布存储。

所谓分布存储,是指对数据文件采用一定的算法,将数据串分到两个或两个以上的新串中,组成新的两个或多个文件,并存在不同的物理存储设备中,甚至是异地设备中。

4.完善和积极实施法律法规。国家应尽快建立和完善电子商务法规,以规范网上交易的购销、支付及核算行为;借签国外有关研究成果和实践经验,制定符合我国国情的网络会计信息管理、财务报告披露的法规、准则,具体规定企业网上披露的义务与责任、网络会计信息质量标准要求、监管机构及其权责等,为网络会计信息系统提供一个良好的社会环境。

参考文献:

[1]韩杰,金光华.电算化内部控制的研究.

财务网络安全风险防范措施篇3

随着互联网的飞速发展，财务电算化也在向财务网络信息化的方向发展，企业会计核算与会计管理的环境发生了很大变化，传统会计系统的内部控制机制和手段已不适应于网络环境，从而建立适合于网络环境下的内部控制体系是目前企业急需解决的问题。为建立和加强网络财务系统的内部控制，首先必须要弄清网络财务为企业的内部控制带来的新问题与新要求。

一、网络财务时代企业内部控制面临的新问题

(一)网络财务的应用扩大了企业会计核算范围企业实施网络财务以后，会计核算环境发生了很大的变化。第一，会计部门的组成人员结构发生变化，由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二，会计业务处理范围变大，除完成基本的会计业务外。网络财务同时还集成许多管理以及财务的相关功能，诸如网上支付、网上催账、网上报税、网上报关、网上法规及财务信息查询，以及网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三，网络财务提供在线办公等服务，从而使会计信息的网上实时处理成为可能，原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此，要保证企业会计系统对企业经济活动反映的正确可靠，达到企业内部控制目标，企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。

(二)网络财务使会计信息储存方式和媒介发生变化

网络财务的应用使各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介发生变化。原始凭证在网络业务交易时自动产生并存入计算机，不再存在传统的原始凭证。会计电算化的第一阶段促进了介质的改变，从账本到磁盘文件。网络财务使会计介质继续发生变化，不仅账表，更多的介质将电子化，出现各种电子单据(如各种发票、结算单据)。存贮形式主要以网络页面数据存储。发生业务交易时系统不一定打印原始记录；网页数据只能在计算机及相应的程序中阅读；原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机自动完成。因此。网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。

(三)网络财务使企业面临的安全风险加大

网络财务的应用将原来封闭的局域会计系统面临开放的互联网世界，给财务系统的安全提出了严重的挑战。第一，在网络环境下，过去以计算机机房为中心的“保险箱”式安全措施已不适用，大量的会计信息通过开放的internet传递，途经若干国家与地区，置身于开放的网络中，存在被截取、篡改、泄漏机密等安全风险，很难保证其真实性与完整性。第二，由于互联网的开放特性，给一些非善意访问者以可乘之机。目前黑客肆虐，世界上的各类网站每天都受到成千上万次攻击，网络财务系统无疑也面临巨大的安全风险。第三，计算机病毒的猖獗也为互联网系统带来更大的风险。在互联网中，计算机病毒可以通过E-mail或用户下载文件进行传播，其传播速度是单机的20倍。有效地防治计算机病毒对保障网络财务系统的安全性至关重要。因此，网络财务系统的内部控制不仅难度大、复杂，而且还要有各种控制的先进技术手段。

二、网络财务内部控制措施

(一)基于企业内部网(Intranet)的控制措施

1会计信息资源控制。会计信息来源于网络服务器的数据库系统中，所以网络数据库系统是整个网络财务系统控制的重点目标。威胁数据库系统的安全主要有两个方面：一是网络系统内外人员对数据库的非授权访问；二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁，会计信息资源控制应采取以下措施：(1)采用三层式客户机/服务器模式组建企业内部网，即利用中间服务器隔离客户与数据库服务器的联系，实现数据的一致性；(2)采用较为成熟的大型网络数据库产品并合理定义应用子模式。子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集，通过它可以分别定义面向用户操作的用户界面，做到特定数据面向特定用户开放；(3)建立会计信息资源授权表制度；(4)采取有效的网络数据备份、恢复及灾难补救计划。

2系统开发控制。它是一种预防性控制，目的是确保网络财务系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关机关和部门制订的标准和规范。(1)在网络财务系统开发之初，要进行详细的可行性研究；(2)在系统开发过程中，内审和风险管理人员要参与系统控制功能的研究与设计，制订有效的内部控制方案并在系统中实施；(3)在系统测试运行阶段，要加强管理与监督，严格按照《商品化会计核算软件评审规则》等各

种标准进行：(4)系统运行前对有关人员进行培训，不仅培训系统的操作，还要使受训人员了解系统投入运行后新的内部控制制度和网络财务提供的高质量会计信息的进一步分析与利用等：(5)及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段，做好各项转换的准备工作，如旧系统的结算、汇总，人员的重新配置，新系统初始数据的安全导入等。

3系统应用控制。是指具体的应用系统中用来预防、检测和更正错误，以及防止不法行为的内部控制措施。(1)在输入控制中，要求输入的数据应经过必要的授权，并经有关内部控制部门检查，还要采用各种技术手段对输入数据的准确性进行校验，如总数据控制校验、平衡校验、数据类型校验、二次录入校验等；(2)在处理控制中，对数据进行有效性控制和文件控制。有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、标志和是否染毒等：(3)在输出控制中，一要验证输出结果是否正确和是否处于最新状态，以便用户随时得到最新准确的会计信息；二要确保输出结果能够送发到合法的输出对象，文件传输安全正确。

4系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等，涉及到系统功能的调整、扩充和完善。对网络财务系统进行维护必须经过周密计划和严格记录。维护过程的每一环节都应设置必要的控制，维护的原因和性质必须有书面形式的报告，经批准后才能实施修改。软件修改尤为重要，网络财务系统操作员不能参与软件的修改，所有与系统维护有关的记录都应打印后存档。

5管理控制。是指企业为加强和完善对网络财务系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络财务系统是一种分布式处理结构，计算机网络分布于企业各业务部门，实现财务与业务协同处理，因此原来集中处理模式下的行政控制转变为间接业务控制。主要应做好如下几方面的工作；(1)设置适应于网络下作业的组织机构并设置相应的工作站点；(2)合理建立上机管理制度，包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等；(3)建立完备的设备管理制度，对硬件设备所处的环境进行温度、湿度、防静电控制，做好网络的绝缘、接地和屏蔽工作，同时对人文环境进行控制，防止无关人员上机操作：(4)建立完备的内审制度。

(二)基于企业外部网(extranet)的控制措施

1周界控制。是指通过安全区域的周界实施控制来达到保护区域内部系统安全的目的。它是预防外来攻击措施的基础，主要内容包括：(1)设置外部访问区域，明确企业内部网络的边界，防止“黑客”通过电话网络进入系统：(2)建立防火墙(firewall)，在内部网和外部网之间的界面上构造保护屏障，防止非法入侵、非法使用系统资源，执行安全管理措施，记录所有可疑事件。

2大众访问控制。大众访问包括文件传递、电子邮件、网上会计信息查询等。由于互联网络系统是一个全方位开放的系统，对社会大众的网上行为实际上是不可控的，因此，企业应在网络财务系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有：(1)在网络财务系统中设置多重口令，对用户的登录名和口令的合法性进行检查；(2)合理设置网络资源的属主、属性和访问权限。资源的属主体现不同用户对资源的从属关系，如建立者、修改者等；资源的属性表示资源本身的存取特性，如读写或执行等；访问权限体现用户对网络资源的可用程度；(3)对网络进行实时监视，找出并解决网络上的安全问题，如定位网络故障点、捉住非法入侵者、控制网络访问范围等；(4)审计与跟踪，包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。

3电子商务控制。网络财务是电子商务的基石，是电子商务的重要组成部分，因此，对电子商务活动也必须进行管理与控制。主要措施有：(1)建立与关联方的电子商务联系模式；(2)建立网上交易活动的授权、确认制度，以及相应的电子会计文件的接收、签发验证制度；(3)建立交易日志的记录与审计制度。

4远程处理控制。网络财务系统的应用为跨国企业、集团企业实现远程报表、远程报账、远程查账、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用必须采取相应的控制措施，主要有：(1)合理设计网络财务系统各分支系统的安全模式并实施；(2)进行远程处理规程控制。

财务网络安全风险防范措施篇4

一、财务管理网络化模式分析

（一）含义

网络财务管理是一种全新的财务管理形式，主要是通过计算机网络和数字通信系统进行财务管理操作，并且有效实现企业财务网络管理目标的实现[2]。在全新的网络经济环境影响下，通过财务核算和管理规划等操作能够有效促进企业功效业务、核算业务等财务工作方面的完善。

（二）对传统财务管理模式的冲击

随着全球化经济的不断融合，市场竞争越来越激烈，通过网络技术的不断革新，有效通过更便捷的管理操作过程替代了传统财务管理模式的运行，并且网络财务管理的全新方式能够有效解决异地区域报表传递、河滨、财务动态信息核算等多方面的财务管理工作，加快了财务管理动态化进程，并且通过远程队长、保障、审计等监管工作有效提升了企业的核心竞争力，并且通过新型网络交易方式的广泛使用取代了传统财务交易模式，能够通过更加快捷、方便的财务形式完成财务管理工作，并且能够有效提高企业管理效率，有效提高了企业运行速度，增强了企业的发展进程，使企业财务管理从传统静态管理模式有效转变为动态管理模式，管理理念更加积极，并且能够有效增强财务管理主动性，有效促进财务管理模式的全面改善，增强了企业核心竞争力[3]。

二、网络财务管理风险防范意识

网络经济环境中存在很多跨界融合信息板块，并且能够有效突破传统财务管理方式的束缚[4]。但是也给企业财务管理带来的全新的数据信息安全问题，为确保企业财务管理顺利进行必须采取严格的系统防御措施，才能有效促进企业现代化管理发展的全新台阶。

（一）内部网络环境风险

企业本身的内网环境也存在着一定的安全隐患，许多企业对于财务管理体系的授权、责任更加注重，但是对于通过网络财务数据系统获得的庞大数据信息却并没有进行有效管理和重视，通常情况下企业管理者没有很好的进行数据信息来源的审查，并且非常容易造成同数据混乱的现象发生，并且由于企业内部财务管理职责划分不明确，造成办公网络查询无记录等现象发生，直接造成企业财务管理网络化内网风险，并且给企业带来严重的经济损失。

（二）网络环境风险

网络经济的主要特点在于开放性和资源共享性，所以财务管理中的信息?稻莨芾硎狈浅V匾?的，部分企业通过不法手段进行恶意竞争，严重威胁道路网络经济的正常健康发展。通过非法手段进行网络攻击，窃取企业的财务信息，会给予企业重要的经济损失，并且网络病毒对于企业的信息存储功能的破坏性也是非常严重的[5]。企业采用网络安全技术手段，并且进行电算化网络系统操作，有效将财物凭证、数据均进行电子备份储存，不管遇到什么样的情况都能够有效应对。如果不能采取有效管控风险系统会造成数据错误、财务决策失联，直接影响企业各方面运行。

（三）企业通过不断完善财务管理风险防范措施进行系统防控，并且能够有效促进企业财务科学管理模式的创建。

1、管控内部环境风险

（1）明确责任

企业需要通过会计电算化系统和财务管理网络信息化技术有效结合在一起，并且将责任、义务、权利等有效结合在一起，通过建设全面、科学的的岗位培训制度，能够有效增强企业的责任明确化。

（2）制定登录口令

在登陆企业财务管理系统时，必须通过授权登陆口令的输入，有效防治其他企业的恶意攻击，保证企业财务系统的安全性，并且在系统电脑的开机、网络操作等方面做好严格口令管控。

（3）多级权限管理机制

在通常情况下企业应该根据用户职责不同而设置不同的用户权限，特别是数据库、网络系统等当面进行有效管控。

（4）提高财务管理人员素质

通过企业财务管理规范进行有效才做，并且不断提高企业财务工作人员的工作责任心，有效提高规范财务管理系统操作流程，并且促进财务管理人员形成廉洁奉公、严于律己的工作思想。

2、有效管控外部风险

（1）安全防火墙

企业通过安装全新的网络防火墙进行软件系统的管控，并且确保在黑客如今非法截取信息资源时能够有效启动防火墙安全手段，促进企业信息数据安全，并且有效阻止非法入侵对企业造成的危害，并且通过防火墙软件增强企业财务系统的数据管控，有效保障企业财务管理的发展安全。

（2）反病毒技术

在财务软件运行过程中要通过安装反病毒技术系统进行系统病毒攻击的预防和管控，企业财务系统必须有效针对病毒攻击进行系统预防功能，并且积极排查病毒，确保企业杀毒软件芯片和防毒病卡等硬件措施，有效将财务管理软件和反病毒软件进行有机结合，有效增强企业财务管理效率。

（3）定期排查病毒

企业财务数据系统要通过定期监察进行病毒赛选，有效控制外来软件和数据传输过程中可能产生的病毒，并且严谨利用公司系统电脑玩游戏、看电影等休闲活动。

（4）数据资料备份保存

财务管理人员应该定期将财务档案信息进行详细备份，并且通过系统甄别方式进行有效归档，降低因为财务系统故障造成的数据丢失等损失。

财务网络安全风险防范措施篇5

【关键词】会计电算化风险监控

一、电算化会计中存在的风险

1、数据共享的风险

市场经济的发展推动着越来越多企事业单位纷纷借助计算机网络来展示和推介自己,网络财务带来了会计系统的开放和数据共享。电算化会计信息资料也以其具有的辅助分析、预测等功能越来越多地为多方共享。有些单位不注意电算化会计信息共享中应注意的问题,没有合理界定共享信息范围,或根本就缺乏信息安全意识,共享信息不设数据加密等保护性限制措施(包括数据的加解密、认证信息的加解密、数据鉴定完整性)、访问控制技术、认证技术、网络防毒等,造成会计信息被盗用、信息被篡改、丢失,单位经济活动或商业秘密、理财秘密被公开、网络病毒入侵等后果,加大了会计资料共享的风险。

2、硬件维护的风险

硬件维护主要指在系统运行过程中,出现硬件故障时及时进行故障分析、检查、修复,并由系统维护人员及时进行安装调试的活动。很多单位没有指定专门的系统维护人员,或系统维护人员缺乏最基本的电脑硬件维护常识;有些单位的财会人员用系统计算机从事与会计业务无关的工作,在财务专用机上使用、安装外来软盘、光盘甚至游戏软件,系统计算机没有安装高效实时监控的防毒、杀毒软件,增加了系统计算机感染病毒的机会。更有甚者,系统维护员缺乏必要的防范意识和措施,对利用计算机进行经济犯罪知之不多,控制措施不得力,将会计系统服务器或工作站连接Internet,更进一步增大了病毒通过互联网和电子邮件入侵的可能性。

3、系统软件维护中存在风险

软件维护主要包括正确性维护、适应性维护、完善性维护等。正确性维护是指诊断和改正错误的过程,适应性维护是指单位的会计工作发展变化时,为适应而进行的修改活动;完善性维护是为了改善软件已有功能的需求而进行的软件修改活动。目前市场上出现的各种会计软件,其功能均处于不断地完善、开发、改造和升级之中。有些单位购买软件时不注重软件售后服务,软件性能缺乏稳定性,难以适应日新月异、新业务不断出现的会计工作需要。系统升级改造前缺乏必要的论证、考察,盲目改造或对软件做二次开发,造成新问题不断出现,给实际会计工作造成麻烦和风险。

4、电子信息档案管理存放中存在的风险

会计档案在收集过程中,由于操作人员时间观念不强,没有及时或定期按规定把计算机系统中的所有会计资料备份到磁性介质或光盘上;没有脱离原计算机系统进行保存。一旦因意外或人为错误造成数据丢失或系统被破坏,就不能在最短时间、最小损失下恢复原有的会计资料,电算化系统不能正常工作。实际工作中许多单位的电子档案在保管过程中,操作员往往是单备份保存,且保存在电算化系统附近,一旦发生意外,后果不堪设想。有的档案保管人员缺乏必要的物理知识,不懂磁性介质的物理特性,将电子档案存放在磁场附近,造成备份资料瞬间消失。此外,档案保管人员由于缺乏安全意识,不注意档案存放环境,使电子档案遭遇火灾、水浸、霉变的情况时有发生。

二、会计电算化中对于风险的监控

在会计电算化过程中进行风险控制是十分必要的,并将被提到一个越来越重要的位置。各级领导都要提高对会计电算化工作的认识,积极创造条件开展此项工作。单位负责人或总会计师应当亲自领导会计电算化工作,财务部门组织具体实施,对在什么时候开展、开展哪些项目都应仔细规划,广泛听取专家的意见,认真做好可行性研究;建立民主、科学的决策机制,对会计电算化事项进行集体讨论,杜绝一人说了算的现象。只有这样,才能提高决策的正确性,减少决策的盲目性,降低决策风险。

1、硬件软件控制

财政部《会计电算化工作规范》中明确规定:具备一定硬件基础和技术力量的单位,都要充分利用现有的计算机设备建立计算机网络,做到信息资源共享和会计数据实时处理。因此,优良的计算机硬件配置是实现会计软件高效运作、信息共享、数据交换、良性循环的必备物质条件。此外,各单位在购买财务软件推行会计电算化时,应该重点注意:所购软件必须通过财政部的评审,软件的技术指标应满足本单位需求,符合特殊核算的要求和行业特性以及发展的需要,软件功能具有前瞻性,且能保证会计数据安全可靠,不易被破坏和泄密,操作方便,通俗易懂,简单好学,售后服务好,能及时提供日常维护、版本升级和软件再开发。

2、操作系统控制

保持计算机在符合温度、电压、卫生等要求的环境下正常工作,网络系统电算化的单位要使用防火墙软件。为防止社会不法分子对单位内联网的非法攻击,可以根据网络系统区域划分的不同,设置多级防火墙。一类是外层防火墙,用来限制外界对主机操作系统的访问;另一类是应用级防火墙,用来逻辑隔离会计应用系统与外部访问区域间的联系,限制外界穿透防火墙对会计数据库的非法访问。同时也要安装具有高效实时监控功能的防毒软件。

总之,对于软硬件的升级改造,要充分考虑会计工作的延续性和升级软件的稳定性与会计信息资料的安全性,既要有工作的热情,又要本着谨慎的原则,避免盲目和冲动给会计工作带来的被动和风险。

3、组织与管理控制

实行会计电算化的单位要建立健全内部控制制度,明确会计人员职责,采取相应措施保护计算机设备,确保会计信息资料的准确性。防止各种非指定人员操作计算机及财务软件,保证机内的程序和数据的安全。明确规定上机操作人员对会计软件的操作工作内容和权限。密码是限制操作权限、检查操作人员身份的一道防线,管理好每个人的密码,对整个系统的安全至关重要,因此,对操作密码要严格管理、实行定期更换。杜绝未经授权人员操作会计软件,防止会计人员越权使用软件。操作人员离开机器时,应执行相应的命令退出会计软件。各单位应根据本单位的实际情况,设专人保存上机操作记录,记录操作人、操作时间、操作内容等并与软件中的“日志管理”相比较,开展日志审计。

4、系统日常操作管理控制

系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统。系统应制定适当的权限标准体系,使系统不被越权操作,从而保证系统的安全。操作权限控制常采用设置口令来实行。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。操作规程应明确职责、操作程序和注意事项,并形成一套电算化系统文件,如对进入机房内的人员进行严格审查;规定交接班手续和登记运行日志;规定数据备份及机器的使用规范;规定软盘专用以防病毒感染;规定不准在计算机上玩电脑游戏等等。标准操作规程包括:软硬件操作规程,作业运行规程,上机时间记录规程等。

5、实体安全控制

实体安全涉及到计算机机房的环境、光和磁介质等数据存储体的存放和保护。机房应符合技术和安全的要求,充分满足防火、防水、防潮、防盗、恒温等技术要求,并配有空调和消防设施。对用于数据备份的磁介质存储媒体注意防潮、防尘和防磁,对所有业务数据实行双备份、异地存放,建立目录清单,对长期保存的磁介质存储媒体还应定期转储。

6、数据和程序控制

数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行,而数据的安全与否关系到财务信息的完整性和保密性。

数据控制的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一种常见的数据控制手段,采用磁性介质保存会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。网络中利用两人服务器进行双机镜像映射备份是备份的先进形式。

程序的安全控制是要保证程序不被修改、不损毁、不被病毒感染。常用的控制包括接触控制、程序备份等。接触控制是指非系统维护人员不得接触到程序的技术资料、源程序和加密文件,从而减少程序被修改的可能性;程序备份则是指有关人员要注明程序功能后备份存档,以备系统损坏后重建安装之需。程序的安全控制还要求系统使用单位制定具体的防病毒措施,包括对所有来历不明的介质和在使用前进行病毒检测,定期对系统进行病毒检测,使用网络病毒防火墙以防止日益猖獗的网络病毒侵入等。

7、网络安全控制

随着网络技术快速地发展,公司应加强网络安全的控制,在技术上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次的安全体系。网络安全性指标包括数据保密、访问控制、身份识别等。针对这些方面,可采用一些安全技术,主要包括数据加密技术、访问控制技术、数字签名技术等。

数据加密技术是保护信息通过公共网络传输和防止电子窃听的首选方法。访问控制技术的代表是防火墙技术,特别是已融和了VPN(虚拟专用网及隧道技术)的防火墙技术。防火墙是建立在企业内部网(Intranet)和外部网络接口处的访问控制系统,它对跨越网络边界的信息进行过滤,目的在于防范来自外部的非法访问、又不影响正常工作,从而为企业设立了一道电子屏障。

数字签名是指在Internet环境下,电子符号代替了会计数据,磁介质代替了纸介质,财务数据流动过程中的签字盖章等传统手段将完全改变,为验证对方身份、保证数据真实性和完整性,在计算机通信中采用数字签名这一安全控制手段。

【参考文献】

[1]郭利平:企业如何实行会计电算化[J].科技情报开发与经济,2005(12).

[2]周银花:谈企业会计电算化应用中的内部控制[J].山西建筑,2004(4).

[3]陆义保:电脑会计[M].南京大学出版社,2000.

[4]王景新、郭新平:计算机在会计中的应用[M].经济管理出版社,1998.

[5]张英明:IT环境下会计信息系统内部控制研究[J].中国会计电算化,2002(5).

[6]李少彤:论电算化会计信息资料共享[J].中国会计电算化,2000(3).

财务网络安全风险防范措施篇6

[摘要]实施网络财务给企业带来利益的同时也给企业内部控制带来新问题。建立适应互联网环境的内部控制，其措施应基于企业的内部网络和外部网络两大方面来进行。

随着网络财务的逐步实施，企业会计核算与会计管理的环境发生了很大变化，传统会计系统的内部控制机制和手段已不适应于网络环境，从而建立适合于网络环境下的内部控制体系是目前企业急需解决的问题。为建立和加强网络财务系统的内部控制，首先必须要弄清网络财务为企业的内部控制带来的新问题与新要求。

一、网络财务时代企业内部控制面临的新问题

（一）网络财务的应用扩大了企业会计核算范围企业实施网络财务以后，会计核算环境发生了很大的变化。第一，会计部门的组成人员结构发生变化，由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二，会计业务处理范围变大，除完成基本的会计业务外，网络财务同时还集成许多管理以及财务的相关功能，诸如网上支付、网上催账、网上报税、网上报关、网上法规及财务信息查询，以及网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三，网络财务提供在线办公等服务，从而使会计信息的网上实时处理成为可能，原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此，要保证企业会计系统对企业经济活动反映的正确可靠，达到企业内部控制目标，企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。

（二）网络财务使会计信息储存方式和媒介发生变化

网络财务的应用使各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介发生变化。原始凭证在网络业务交易时自动产生并存入计算机，不再存在传统的原始凭证。会计电算化的第一阶段促进了介质的改变，从账本到磁盘文件。网络财务使会计介质继续发生变化，不仅账表，更多的介质将电子化，出现各种电子单据（如各种发票、结算单据）。存贮形式主要以网络页面数据存贮。发生业务交易时系统不一定打印原始记录；网页数据只能在计算机及相应的程序中阅读；原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机自动完成。因此，网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。

（三）网络财务使企业面临的安全风险加大

网络财务的应用将原来封闭的局域会计系统面临开放的互联网世界，给财务系统的安全提出了严重的挑战。第一，在网络环境下，过去以计算机机房为中心的“保险箱”式安全措施已不适用，大量的会计信息通过开放的internet传递，途经若干国家与地区，置身于开放的网络中，存在被截取、篡改、泄漏机密等安全风险，很难保证其真实性与完整性。第二，由于互联网的开放特性，给一些非善意访问者以可乘之机。目前黑客肆虐，世界上的各类网站每天都受到成千上万次攻击，网络财务系统无疑也面临巨大的安全风险。第三，计算机病毒的猖撅也为互联网系统带来更大的风险。在互联网中，计算机病毒可以通过e-mail或用户下载文件进行传播，其传播速度是单机的20倍。有效地防治计算机病毒对保障网络财务系统的安全性至关重要。因此，网络财务系统的内部控制不仅难度大、复杂，而且还要有各种控制的先进技术手段。

二、网络财务内部控制措施

（一）基于企业内部网（intranet）的控制措施

1.会计信息资源控制。会计信息来源于网络服务器的数据库系统中，所以网络数据库系统是整个网络财务系统控制的重点目标。威胁数据库系统的安全主要有两个方面：一是网络系统内外人员对数据库的非授权访问；二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁，会计信息资源控制应采取以下措施：（1）采用三层式客户机/服务器模式组建企业内部网，即利用中间服务器隔离客户与数据库服务器的联系，实现数据的一致性；（2）采用较为成熟的大型网络数据库产品并合理定义应用子模式。子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集，通过它可以分别定义面向用户操作的用户界面，做到特定数据面向特定用户开放；（3）建立会计信息资源授权表制度；（4）采取有效的网络数据备份、恢复及灾难补救计划。

2.系统开发控制。它是一种预防性控制，目的是确保网络财务系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关机关和部门制订的标准和规范。（1）在网络财务系统开发之初，要进行详细的可行性研究；（2）在系统开发过程中，内审和风险管理人员要参与系统控制功能的研究与设计，制订有效的内部控制方案并在系统中实施；（3）在系统测试运行阶段，要加强管理与监督，严格按照《商品化会计核算软件评审规则》等各种标准进行；（4）系统运行前对有关人员进行培训，不仅培训系统的操作，还要使受训人员了解系统投入运行后新的内部控制制度和网络财务提供的高质量会计信息的进一步分析与利用等；（5）及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段，做好各项转换的准备工作，如旧系统的结算、汇总，人员的重新配置，新系统初始数据的安全导入等。

3.系统应用控制。是指具体的应用系统中用来预防、检测和更正错误，以及防止不法行为的内部控制措施。（1）在输入控制中，要求输入的数据应经过必要的授权，并经有关内部控制部门检查，还要采用各种技术手段对输入数据的准确性进行校验，如总数据控制校验、平衡校验、数据类型校验、二次录入校验等；（2）在处理控制中，对数据进行有效性控制和文件控制。有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、标识和是否染毒等；（3）在输出控制中，一要验证输出结果是否正确和是否处于最新状态，以便用户随时得到最新准确的会计信息；二要确保输出结果能够送发到合法的输出对象，文件传输安全正确。

4.系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等，涉及到系统功能的调整、扩充和完善。对网络财务系统进行维护必须经过周密计划和严格记录，维护过程的每一环节都应设置必要的控制，维护的原因和性质必须有书面形式的报告，经批准后才能实施修改。软件修改尤为重要，网络财务系统操作员不能参与软件的修改，所有与系统维护有关的记录都应打印后存档。

5.管理控制。是指企业为加强和完善对网络财务系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络财务系统是一种分布式处理结构，计算机网络分布于企业各业务部门，实现财务与业务协同处理，因此原来集中处理模式下的行政控制转变为间接业务控制。主要应做好如下几方面的工作：（1）设置适应于网络下作业的组织机构并设置相应的工作站点；（2）合理建立上机管理制度，包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等；（3）建立完备的设备管理制度，对硬件设备所处的环境进行温度、湿度、防静电控制，做好网络的绝缘、接地和屏蔽工作，同时对人文环境进行控制，防止无关人员上机操作；（4）建立完备的内审制度。

（二）基于企业外部网（extranet）的控制措施

1.周界控制。是指通过安全区域的周界实施控制来达到保护区域内部系统安全的目的。它是预防外来攻击措施的基础，主要内容包括：（1）设置外部访问区域，明确企业内部网络的边界，防止“黑客”通过电话网络进入系统；（2）建立防火墙（firewall），在内部网和外部网之间的界面上构造保护屏障，防止非法入侵、非法使用系统资源，执行安全管理措施，记录所有可疑事件。

2.大众访问控制。大众访问包括文件传递、电子邮件、网上会计信息查询等。由于互联网络系统是一个全方位开放的系统，对社会大众的网上行为实际上是不可控的，因此，企业应在网络财务系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有：（1）在网络财务系统中设置多重口令，对用户的登录名和口令的合法性进行检查；（2）合理设置网络资源的属主、属性和访问权限。资源的属主体现不同用户对资源的从属关系，如建立者、修改者等；资源的属性表示资源本身的存取特性，如读、写或执行等；访问权限体现用户对网络资源的可用程度；（3）对网络进行实时监视，找出并解决网络上的安全问题，如定位网络故障点、捉住非法入侵者、控制网络访问范围等；（4）审计与跟踪，包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。

3.电子商务控制。网络财务是电子商务的基石，是电子商务的重要组成部分，因此，对电子商务活动也必须进行管理与控制。主要措施有：（1）建立与关联方的电子商务联系模式；（2）建立网上交易活动的授权、确认制度，以及相应的电子会计文件的接收、签发验证制度；（3）建立交易日志的记录与审计制度。

4.远程处理控制。网络财务系统的应用为跨国企业、集团企业实现远程报表、远程报账、远程查账、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用必须采取相应的控制措施，主要有：（1）合理设计网络财务系统各分支系统的安全模式并实施；（2）进行远程处理规程控制。

5.数据通讯控制。数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施。企业应采取各种有效手段来保护数据在传输过程中准确、安全、可靠。主要措施有：（1）保证良好的物理安全，在埋设地下电缆的位置设立标牌加以防范，尽量采用结构化布线来安装网络；（2）采用虚拟专用网（vpn）线路传输数据；（3）对传输的数据进行加密与数字签名。在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性，使用数字签名确保传输数据的保密性和完整性。

6.防病毒控制。在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施：（1）对不需要本地硬盘和软盘的工作站，尽量采用无盘工作站；（2）采用基于服务器的网络杀毒软件进行实时监控、追踪病毒；（3）在网络服务上采用防病毒卡或芯片等硬件，能有效防治病毒；（4）财务软件可挂接或捆绑第三方反病毒软件，加强软件自身的防病毒能力；（5）对外来软件和传输的数据必须经过病毒检查，在业务系统严禁使用游戏软件；（6）及时升级本系统的防病毒产品。

[参考文献]

[1]严绍业。互联网-改变财务软件的十个方面[j].中国会计电算化，2000，（1）：10-12.