【摘要】本文在分析網絡條件下會計信息系統的風險后,提出了從組織與管理控制、運行記錄控制、安全控制、操作控制、維護控制等五個方面加強網絡環境下會計信息系統內部控制的措施。
【關鍵詞】網絡環境 會計信息系統 風險 內部控制
一、網絡環境下會計信息系統的風險分析
在網絡環境下,會計信息系統的開放性、處理的分散性、數據的共享性,極大地改變了以往會計信息系統的應用環境,形成了新的風險特點。
1、會計信息系統自身存在的隱患。網絡環境下的會計信息系統是由硬件設備、軟件、數據、規程和人員等組成的,是建立在計算機技術基礎之上的,而計算機系統存在固有的脆弱性,使會計信息系統內部存在隱患。
(1)信息可存取性。在知道存取碼和有效的口令后,非法者可進入系統,存取系統中的信息,并可按其需要將信息復制、刪改或破壞。
(2)軟件脆弱性。軟件前期基本上是迎合硬件發展起來的,操作系統的設計著重于提高信息處理的能力和效率,對于安全只作為一項附帶的條件加以考慮。因此,在操作系統中不安全的隱患相當多。
(3)存儲介質的不安全性。存儲介質易受意外損壞,也易被帶走。另外,在大多數計算機操作系統中,刪除文件時只刪除了文件名,釋放了相應的存儲空間而文件內容仍保留在介質上,這樣就會造成大量信息的丟失或被盜取。
(4)通信與網絡的弱點。通信線路易受物理破壞,易被搭線竊聽,串音易引起傳導泄漏。網絡規模越大,通信線路越長,這種弱點也隨之增加。
(5)電磁泄漏。計算機內的信息可以通過電磁波形式泄漏出去,任何人都可借助不復雜的設備在一定區域范圍內收到它而造成信息失密。
(6)滲透問題。在通用性設計思想指導下,計算機系統尤其是計算機網絡可以提供公用服務和資源共享,這樣雖然擴大了用戶群,方便了用戶,但同時也為入侵者提供了滲透的途徑。以上計算機系統固有的脆弱性,極易導致網絡環境下會計信息系統數據丟失,甚至發生癱瘓現象,構成了網絡環境下會計信息系統的風險。
2、系統外部環境因素帶來的風險
(1)操作人員帶來的風險。操作風險主要包括操作程序不規范和操作人員防范意識不強造成的風險。如操作人員缺乏安全意識和網絡安全防范措施,對于網上下載的電子郵件或會計信息資源不做安全性技術檢查、測試;操作人員不按規范操作,隨意開關機;操作人員對會計數據的非法訪問、篡改、泄密和破壞等方面的風險。
(2)系統關聯方道德風險。主要指關聯方非法入侵單位網絡財務軟件系統,以剽竊財務數據和知識產權、破壞系統、干擾單位正常交易等產生的風險。單位關聯方主要包括客戶、供應商、軟件開發商,也包括銀行、稅務、審計、保險、財政等部門。單位與關聯方之間通過互聯網進行業務和數據交換,這種特殊的交換關系使關聯方之間道德風險的發生成為可能,尤其是軟件開發商,他們非法入侵單位財務系統不易被發現,其危害是不容忽視的。
(3)黑客入侵、病毒危害的風險。在網絡化系統中,計算機病毒不再靠磁盤和光盤傳播,開始通過電子郵件傳播計算機病毒。黑客的入侵也相當猖獗,主要來自社會上一些不法分子對企事業單位和政府機關互聯網的入侵。這種風險范圍廣,危害大。它包括截收、仿冒、竊聽的迅速普及和廣泛應用,計算機病毒的傳播呈現渠道多樣化、速度快捷的特點,危害也在不斷加劇,這對網絡環境下會計信息系統構成很大威脅。另外還有利用計算機進行經濟犯罪等。
3、企業內部控制在網絡環境中失效帶來的風險。傳統會計系統強調對業務活動的使用授權批準和職責性、正確性、合法性,但是在網絡財務系統中,會計信息的處理和存儲集中于網絡系統,大量不同的會計業務交叉在一起,加上信息資源的共享,財務信息復雜程度提高,交叉速度加快,使傳統會計系統中某些職權分工、相互牽制的控制失效,原來使用的靠帳簿之間互相核對實現的差錯糾正控制己經不復存在。因而,傳統會計系統的內部控制機制與手段己不適應網絡環境。
二、網絡環境下會計信息系統內部控制
1、會計信息系統的組織與管理控制。電算化部門與業務部門的職責分離。在網絡系統下,各核算子系統分散在各職能部門,遠離財務中心,會計系統的內部控制能力減弱,各職能部門有時為了某種原因,將數據處理業務和授權、執行業務混在一起,內部職責不分明,所以必須在組織結構中設置電算化部門,專門對數據進行處理和控制。最佳的職責分離是電算化部門與其他使用數據和完成各類業務活動的部門職能分割,使業務的執行和數據的記錄、處理相分離,形成有效的內部牽制制度。
2、會計信息系統的運行記錄控制。運行記錄控制是指網絡系統必須對服務器所有運行過程予以記錄,以便服務器根據各工作站所申請的操作指令,進行各種處理,同時運行控制的記錄也是進行各種審計的重要線索。這在網絡系統中是一項基本的環境控制措施。控制臺運行記錄應配備控制工作站。控制工作站是一種自用工作站,專門用來監測和記錄系統運行狀態,找出傳輸線路和工作站的問題,并檢查通信排隊狀況以及路徑改變等信息。
3、會計信息系統的安全控制。首先是網絡中數據加密。加密變換是網絡中最基本的控制措施,它可以在多個層次上實現,包括網絡層下的鏈路加密和網絡層上的端間加密等。
其次是網絡端口保護。這屬于系統訪問控制的一種,由各種端口保護設備和訪問控制軟件實施。是否設置端口保護,由系統中數據保護的需要而定,因為端口保護會增加管理工作量并增加費用。
再次是網絡主體驗證。主體驗證有兩處關鍵,一是該主體應具有獨自的難以偽造的信息,二是具有可靠的信息交換方式。主體可使用口令、密碼、磁卡、指紋或簽字一類的標識。由于一些非法用戶可能利用假冒主機的方法來套取用戶標識,因此,在主機和用戶之間還必須安排一個可靠的方法相互驗證。
第四是數據完整性保護。網絡中數據傳送的完整性控制包括:數據來自正確的發送方,并非假冒;數據送到了正確的接收方,無丟失或誤傳;接收的數據與發送的數據一致;數據接收的次序與發送時一致;數據無重復接收。數據完整性保護的關鍵是增加一些非法分子所不能掌握或控制的冗余信息,如數據加密的附加信息和報文驗證碼等。
4、會計信息系統的操作控制。操作控制包括數據輸入、數據處理、數據輸出控制。操作控制的目的是通過標準的計算機操作來保證信息處理的高質量,減少發生差錯和未經批準使用文件、程序、報表的機會。在網絡系統中,操作控制的重點是數據輸入控制。由于網絡環境下大多數數據是分散進行的,在多個工作站上輸入,大量不同業務交互在一起,再加上用戶共享數據庫的出現,如果內部控制制度不嚴密,一旦有缺乏嚴格檢驗的憑證進入網絡系統,將很難查明原因這會直接影響會計信息的準確性、可靠性和合法性。因此應設置操作員和操作密碼控制,進入網絡的作息必須經專門審核人員審核以后才允許進入。
5、會計信息系統的維護控制。維護是系統運行過程中最重要的環節,包括硬件維護、軟件維護。系統硬件的重大維護工作由軟件公司進行。硬件的一般維護指定期進行計算機、打印機等設備的檢查,以保證系統安全、有效、正常運行。系統軟件的維護主要是利用軟件各種定義功能來修改軟件,以適應工作的變化。程序維護包括正確性維護、完善性維護和適應性維護。為防止非法修改軟件,必須對軟件的修改建立審批制度加以控制。
【參考文獻】
[1] 楊鑒松:網絡環境會計電算化信息系統的內部控制,焦作:焦作工學院學報(社會科學版),2002,1,36~38。
[2] 朱麗華:網絡環境下會計信息系統的風險及防范,廣州:中山大學學報論叢, 2002,5,66~68。
