王心亮

（中國(guó)鐵路物資哈爾濱有限公司，黑龍江 哈爾濱 150000）

1 網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)管理信息系統(tǒng)的新特點(diǎn)

1.1 網(wǎng)絡(luò)構(gòu)成要素的復(fù)雜性，使得財(cái)務(wù)管理信息系統(tǒng)在財(cái)務(wù)范疇中融入了更多計(jì)算機(jī)專業(yè)內(nèi)容。

網(wǎng)絡(luò)是一個(gè)龐大的系統(tǒng)，交易與服務(wù)活動(dòng)的完成一般以Internet、Extranet和Intranet三種網(wǎng)絡(luò)為基礎(chǔ)。計(jì)算機(jī)硬件、軟件、人員和各種規(guī)程等構(gòu)成上述各種網(wǎng)絡(luò)組織的基本要素。建立完善的財(cái)務(wù)管理信息系統(tǒng)，勢(shì)必尋求來源于計(jì)算機(jī)專業(yè)方面的支持。

1.2 網(wǎng)絡(luò)數(shù)據(jù)的集成化處理，使得傳統(tǒng)的組織控制功能減弱。

網(wǎng)絡(luò)的應(yīng)用大大減少了人工輸入環(huán)節(jié)，數(shù)據(jù)訪問和數(shù)據(jù)交換都通過應(yīng)用服務(wù)器進(jìn)行。網(wǎng)絡(luò)計(jì)算機(jī)集成化處理促使傳統(tǒng)手工會(huì)計(jì)中制單、復(fù)核、記賬等不相容崗位相互牽制的效力逐步削弱，傳統(tǒng)的組織控制功能弱化。

1.3 網(wǎng)絡(luò)環(huán)境的開放性使得會(huì)計(jì)信息失真的風(fēng)險(xiǎn)加劇。

從信息的取得渠道看，其來源的多樣性有可能導(dǎo)致審計(jì)線索紊亂；從信息的傳遞方式看，大量信息通過網(wǎng)絡(luò)通訊線路傳輸，有可能遭受非法的攔截、竊取和纂改；從信息的存儲(chǔ)形式看，信息大都以電子數(shù)據(jù)的形式存儲(chǔ)，易被修改、刪除、隱匿、轉(zhuǎn)移和偽造且不留痕跡。網(wǎng)絡(luò)系統(tǒng)的開放性和動(dòng)態(tài)性加大了審計(jì)取證難度，加劇了會(huì)計(jì)信息失真的風(fēng)險(xiǎn)。

針對(duì)以上特點(diǎn)，本文將從不同角度討論財(cái)務(wù)管理信息系統(tǒng)的內(nèi)部控制要點(diǎn)。

2 、財(cái)務(wù)管理信息系統(tǒng)的內(nèi)部控制要點(diǎn)

2.1 專人維護(hù)與網(wǎng)絡(luò)控制

財(cái)務(wù)管理信息系統(tǒng)，基于internet時(shí)代的烙印，使其更多的融入了計(jì)算機(jī)方面的專業(yè)知識(shí)。硬件配置、軟件功能、系統(tǒng)操作、內(nèi)部管理人員的訪問及來自外部的惡意攻擊等，無一不需要具有計(jì)算機(jī)專業(yè)知識(shí)人員強(qiáng)有力的支持。

（1）硬件設(shè)備安全控制。關(guān)鍵性的硬件設(shè)備可采用雙系統(tǒng)備份。

（2）系統(tǒng)軟件安全控制。嚴(yán)格控制系統(tǒng)軟件的安裝與修改，對(duì)系統(tǒng)軟件進(jìn)行定期的預(yù)防性檢查，系統(tǒng)被破壞時(shí)，要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份、快速重構(gòu)和快速恢復(fù)的功能。

（3）會(huì)計(jì)信息安全控制。如通信線路上的數(shù)據(jù)流加密，指紋識(shí)別、面容識(shí)別等。

（4）系統(tǒng)入侵防范控制。為了防止非法用戶對(duì)網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)的入侵，應(yīng)采取設(shè)置防火墻，身份認(rèn)證和授權(quán)管理等安全技術(shù)，用以限制外界對(duì)主機(jī)操作系統(tǒng)的訪問；用以隔離開應(yīng)用系統(tǒng)與外界訪問區(qū)域之間的聯(lián)系；加強(qiáng)原有的基于帳戶和口令的控制，提供授權(quán)訪問控制和用戶身份識(shí)別。

（5）交易安全控制。為了保證交易者的交易信息不被他人竊取或破譯，主要應(yīng)采取數(shù)字加密、數(shù)字認(rèn)證等核心技術(shù)。

2.2 日常操作系統(tǒng)管理控制

（1）授權(quán)控制

首先，根據(jù)不相容崗位要求以及安全控制需要，按樹形結(jié)構(gòu)或平行結(jié)構(gòu)制定相應(yīng)人員在信息系統(tǒng)同中的授權(quán)范圍，明確相應(yīng)職責(zé)范疇。

然后，建立計(jì)算機(jī)資源訪問授權(quán)和身份認(rèn)證制度。即明確每個(gè)用戶的安全級(jí)別和身份標(biāo)識(shí)，并分別定義具體的訪問對(duì)象。操作人員應(yīng)按被授予權(quán)限嚴(yán)格作業(yè)，不得越權(quán)接觸系統(tǒng)，以避免人為因素或操作不當(dāng)給操作系統(tǒng)帶來不必要的損失和風(fēng)險(xiǎn)。

同時(shí)，針對(duì)特殊情況下，如人員出差或輪崗制度，明確授權(quán)轉(zhuǎn)移相關(guān)規(guī)定，并配合密碼變更控制等內(nèi)容，加強(qiáng)系統(tǒng)的有序、安全進(jìn)行。

（2）密碼控制

針對(duì)網(wǎng)絡(luò)的開放性，密碼控制不應(yīng)流于形式。密碼設(shè)置應(yīng)注重其特殊性和定期修改，以提高其安全級(jí)別。

（3）建立安全稽核機(jī)制。

主要是針對(duì)會(huì)計(jì)平臺(tái)中的日志管理，對(duì)系統(tǒng)操作的事件類型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進(jìn)行實(shí)時(shí)監(jiān)控和記錄，進(jìn)行必要的權(quán)限設(shè)置，以便對(duì)各種不同的權(quán)限進(jìn)行用戶識(shí)別和遠(yuǎn)程請(qǐng)求識(shí)別

（4）輸入輸出控制

輸入控制，重點(diǎn)在于建立適當(dāng)?shù)氖跈?quán)和審批機(jī)制，并對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)，如總數(shù)控制校驗(yàn)、平衡校驗(yàn)、科目代碼校驗(yàn)和邏輯關(guān)系測(cè)試等。

輸出控制，主要從針對(duì)會(huì)計(jì)信息的安全保密角度考慮，嚴(yán)格按照規(guī)章制度從統(tǒng)一口徑輸出，并對(duì)輸出紙質(zhì)會(huì)計(jì)信息的銷毀做到規(guī)范安全。

財(cái)務(wù)管理信息系統(tǒng)的內(nèi)部控制，涉及很多方面的內(nèi)容，本文僅僅是從網(wǎng)絡(luò)安全與內(nèi)部控制的角度來討論，而審計(jì)線索方面的問題在現(xiàn)行財(cái)務(wù)軟件中并沒有得到很好的解決，是值得我們進(jìn)一步研究的問題。作為健康并逐步完善的系統(tǒng)而言，需要財(cái)務(wù)人員切實(shí)履行財(cái)務(wù)管理信息系統(tǒng)內(nèi)部控制規(guī)范的同時(shí)，把在實(shí)際工作中遇到的相關(guān)系統(tǒng)問題傳遞給軟件供應(yīng)商，共同拓展、升級(jí)系統(tǒng)，使之更有效的服務(wù)于企業(yè)財(cái)務(wù)管理工作。

[1]王敏.對(duì)構(gòu)建企業(yè)財(cái)務(wù)管理信息系統(tǒng)的幾點(diǎn)思考[J].財(cái)經(jīng)界， 2010(01).

[2]魯業(yè)光.商貿(mào)企業(yè)財(cái)務(wù)管理信息系統(tǒng)簡(jiǎn)介[J].鐵路采購(gòu)與物流，2006(07).