簡介:隨著互聯網技術的迅速發展及其在會計中的應用,使原有的單機系統(或局域網)環境下的會計信息系統走出了自我封閉的局域系統,實現企業內外部信息的開放性,共享性等特點。但是,在網絡環境下,大量會計信息是通過網絡傳輸的,這樣網絡信息就有可能被非法分子或別有用心的人攔截、竊取或篡改;即使內部產生信息也會遭到“病毒”和“黑客”的入侵,這些都會給企業造成重大損失,因而,很難保證會計信息真實性與完整性,給會計信息系統的安全性提出了嚴重的挑戰。我們必須根據互聯網系統的特點,重新考慮和設計會計信息系統控制體系,進行內控制度的創新研究。
一、互聯網對會計信息系統內部控制的影響
由于網絡系統的開放性、分散性、數據的共享性等方面大大超過了以往任何類型的系統,極大地改變了以往計算機會計信息系統的應用模式,大大改變了以往計算機系統內部控制的內容和方法,給計算機會計信息系統內部控制帶來新的問題:
(一)開放性使得計算機會計信息系統很難避免非法侵擾
網絡是一個開放的環境,置于該環境中的各種服務器上的信息在理論上都是可以被訪問到的,除非它們在物理上斷開連接、脫離網絡環境。因此,網絡會計信息系統很難完全避免非法訪問者的侵擾。將會給單位造成巨大的損失。
(二)電子商務的普及,將給內部控制帶來前所未有的挑戰
隨著互聯網的迅猛發展,計算機會計信息系統的內部控制也帶來了新的挑戰。基于電子商務的單據電子化、貨幣電子化、網上銀行和網上結算等,雖然可加快資金周轉速度,但給計算機會計信息系統帶來的風險將是空前的,這將給網絡計算機會計信息系統的內部控制帶來極大的困難和前所未有的挑戰。
(三)內部控制的范圍擴大,計算機會計系統控制的難度加大
在網絡環境下,由于互聯網系統開放性、共享性、分散性的特點,會計數據的處理方式突破原有的封閉的系統環境,以及系統建立與運行的復雜性,要求內部控制的范圍相應擴大,延伸到整個網絡系統。如對網絡系統安全的控制、系統權限的控制、計算機病毒的防治、系統開發過程的控制、數據編碼的控制以及對調用和修改程序的控制等,因而加大了內部控制的難度。
(四)內部控制的程序化,加大了會計信息系統的控制風險
在網絡環境下,計算機會計信息系統在很大程度上取決于這些會計信息系統中運行的應用程序的質量。一旦這些應用程序中存在嚴重的BUG或惡意的“后門”,便會嚴重危害系統安全。
二、網絡環境下會計信息系統的控制風險分析
由于互聯網系統的分布式、開放性等特點,與原有集中封閉的計算機會計信息系統比較,給計算機會計信息系統的內部控制帶來了新的問題和挑戰,系統在安全上的問題更加突出。基于互聯網會計信息系統的風險主要有以下幾方面:
1.物理風險。任何計算機系統都存在著由于操作失誤,硬件、軟件、網絡本身出現故障導致系統數據丟失甚至癱瘓的風險。物理風險主要包括:(1)計算機網絡系統硬件選配不合適,致使網絡功能發揮受阻;(2)網絡工作環境、電源等不合要求直接影響網絡的可靠性;(3)網絡操作系統和會計軟件的安裝、維護不善;(4)網絡管理制度不健全等。
2.會計信息保密性和完整性破壞風險。主要指企業內部人員對會計數據的非法訪問、篡改、泄密和破壞等方面的風險。網絡安全的最大風險仍然來自于組織內部。因此,內部控制仍然是基于互聯網會計信息系統控制的基礎。由于互聯網/內聯網結構本身的特殊性,其內部控制遠遠超出了以往計算機系統的范疇,已從會計機構內部擴展到對整個企業內部人員的控制。
3.系統運行風險。計算機會計信息系統置于網絡環境下運行,系統控制的大門面臨敞開的風險,隨時系統運行可能遭到破壞和干擾,如人為因素導致非法占用網絡資源、切斷或阻塞網絡通信、通過計算機病毒致使網絡癱瘓以及非人為因素導致的災害事故、系統死鎖等,影響計算機會計信息系統正常運行。
三、網絡環境下會計信息系統內控制度的創新
隨著計算機技術和網絡通訊技術在計算機會計信息系統中應用,正在極大地改變著非網絡環境下的會計信息系統的工作方式,給計算機會計信息系統帶來了新的機遇和挑戰,同時也給計算機會計信息系統的內部控制帶來了許多新的問題和新的風險。因此,創新和完善計算機會計信息系統的內部控制制度已刻不容緩。針對這種影響,結合互聯網的優勢和特點,我們就主要方面探討與完善計算機會計信息系統內部控制制度:
(一)建立科學的會計信息系統風險控制機制,強化風險意識
要做到有備無患,就需要建立風險防范的預警機制:(1)應建立風險評估的信號和指標體系,針對可能出現的技術風險和管理風險等。建立起一套風險預警指標,就相當于計算機會計信息系統安裝了風險警報系統,可以及時發現和評價所出現的風險;(2)應健全風險控制的運行體系。收到預警信號后應及時采取措施,以防風險的發生。這是計算機信息系統運行的“防火墻”;(3)建立風險處理的快速反應部門,目的是幫助企業能迅速的對事故及故障做出反應,將事故及故障造成的損害降到最小。
(二)制定和完善計算機會計信息系統相應的組織與管理控制
基于網絡環境下的計算機會計信息系統是一種分布式處理結構,必須對原有會計機構作相應的調整,要增加網絡管理與監控的崗位,會計信息系統崗位要明確職責分工,并對各類人員制定崗位責任制度,各崗位都要得到一定的授權,并用密碼控制。這樣就有效地防止密碼泄露、非法操作和越權操作系統。另外,會計信息系統的設計、開發和維護等工作的崗位設置需要建立隔離機制。
(三)建立網絡安全管理控制制度,保證網絡和信息系統安全
在網絡環境下,為了避免網絡攻擊破壞會計數據,加強網絡風險的防范。這就要求在技術上對整個財務網絡系統建立綜合的多層次的安全控制體系。其技術主要包括:(1)訪問控制。為了防范來自外部的非法訪問,互聯網計算機會計信息系統應建立訪問控制措施。(2)數據傳輸控制。企業應采取數字簽名技術和數據加密技術等,在計算機通信中采用數字簽名控制手段是用電子符號代替了會計數據,磁性介質代替了紙介質,驗證對方身份、保證數據完整性。(3)網路安全協議和數據自動備份技術。自動備份技術是為了應付突發事件的,保障數據完整的有力工具。(4)防病毒控制。在計算機會計信息系統運行與維護過程中應高度重視計算機病毒的防范及相應的技術手段與措施,通過服務器的網絡殺毒軟件進行實時監控、追蹤病毒。
(四)完善網絡環境下會計信息系統一般控制與總體控制制度
1.系統操作控制。要提高操作系統的安全可靠性,除了要盡可能地選用安全等級較高的操作系統產品,并經常進行版本升級外,在管理控制上主要可采取以下措施:(1)計算機資源授權表制度。明確規定每個用戶的安全級別和身份標識,并分別定義具體的訪問對象;(2)日志審計制度。對運行系統的事件類型、用戶身份等進行實時監視和記錄,并對日志文件定期進行安全檢查和評估;(3)存取控制。對系統資源進行分類管理,并根據用戶級別,限制系統資源的共享和流動。
2.系統數據庫控制。對數據庫系統安全的威脅主要來自兩個方面:一是系統內外人員對數據庫的非法訪問;二是由于系統故障、誤操作或人為破壞造成數據庫的物理損壞。針對上述風險,會計數據資源控制主要可采取以下措施:(1)會計數據資源授權表制度。明確定義每一用戶對數據資源訪問的范圍和內容,并分別規定對數據庫的查閱、修改、刪除、插入等操作權限。(2)數據備份和恢復制度。網絡環境下的數據備份和恢復遠比成批集中式處理環境下要復雜,為保證系統恢復的有效性和一致性,建立業務日志文件和檢查點文件是必要的。
3.遠程處理控制。其主要控制措施包括:(1)分支系統安全模式設計。分支系統是企業在異地具有獨立內聯網結構的會計信息系統,由于母系統的監控和訪問直接伸入分支系統內部。另外,分支系統可采取單獨設置母系統訪問區域的做法,以提高其會計信息系統的安全可靠性;(2)遠程處理規程控制。雙方要制定嚴格的遠程處理控制操作規程,包括操作權限控制、內容授權控制、處理程序控制、通道及兩端服務器安全控制等等。
4.會計信息系統檔案控制。磁性介質的可復制性又使會計信息極易泄漏與篡改而不易發現,因此,磁性資料應由會計檔案保管員負責保管;打印資料在系統的操作日志上有所記錄后(包括記錄輸出時間、文件頁數及操作人員姓名)及時送達指定人手中;收件人要簽收并注明收件日期、文件內容,以便日后備查;確保會計數據和會計軟件的安全保密,防止對數據和軟件的非法修改和刪除。
