1 當前網絡會計信息系統的安全問題
具體來說,網絡會計信息系統的安全問題主要表現在以下幾個方面。
1.1會計信息的真實性問題
由于網絡會計信息系統的開放性以及電子介質的脆弱性,使得網絡會計信息系統存在信息失真的風險。盡管信息傳遞的無紙化在某種程度上可以有效避免一些由于人為原因所導致的會計失真現象,但如果對系統的作業不加嚴密地控制就有可能發生類似電子憑證、電子賬簿被隨意修改而不留痕跡的事件。另外,由于傳統的依靠簽章確保憑證有效性和明確經濟責任的手段不復存在,因此,假如沒有新的有效的確認標識,信息接受方就有理由懷疑所獲取的財務數據的真實性;同樣,作為信息發送方,也有類似的擔心,擔心傳遞的信息能否被接受方正確識別并下載。
1.2原始憑證數據采集流程的問題
原始憑證是會計核算的起點,也是記錄大量經濟業務發生的唯一憑據。在網絡會計信息系統中,企業通過網絡將采集業務數據的范圍擴展到業務發生的現場甚至到企業外部,其采集數據通過財務與業務協同、網上交易、電子銀行、網絡結算中心等多種形式來實現。這些新型的數據采集方式都有一個顯著特點,那就是原始憑證只不過是一條電子記錄,通過網絡系統從一臺計算機傳到另一臺計算機,如果對這個記載原始交易數據的電子記錄沒有加以特別保護,則很有可能會引發記錯賬和記假賬的問題。
1.3信息處理程序被破壞的問題
在網絡會計信息系統中,信息處理程序是整個系統的核心部分,輸入的原始數據只有經過正確的處理程序按照信息處理規則執行才能轉變形成會計信息,因此,如果這個程序遭受網絡黑客的攻擊或者病毒程序的破壞,就會使會計信息處理程序無法正常執行或者按照改變了的程序來執行,導致信息系統喪失了對數據和信息的控制力,從而導致數據和信息被轉移、被篡改或被刪除等風險。這是從破壞角度來講的。從使用角度來看,信息處理程序雖然沒被改變,但卻被用于不當之處。比如,在網絡會計環境下,財務報告的編制不再是單一的,而是多元的,不僅可以是按期的,還可以是實時的,網絡會計的這一優勢卻可能成為企業編制虛假財務報告的手段,當企業針對不同信息使用者提供不同財務報告時,其目的不是為了體現會計信息的相關性,而是為了企業的某種特殊目的。
1.4企業重要數據泄密的問題
在信息技術高速發展的今天,信息在企業的經營管理中變得尤為重要,它已經成為企業的一項重要資源,甚至決定了企業在激烈的市場競爭中的成敗。企業的財務數據屬重大商業機密,在網絡會計環境下造成財務數據泄密的原因主要有以下4種可能:第一,財務數據在網絡傳遞過程中,有可能被競爭對手非法截取;第二,網絡會計系統的合法用戶被非法入侵者仿冒;第三,網絡會計數據庫服務器被攻擊者攻擊得手;第四,網絡會計信息系統的處理程序被黑客或病毒非法修改。
2 基于內部控制的網絡會計信息系統安全問題的控制
會計信息系統控制方法與技術會隨著具體控制目標的不同而有所不同,因此會計信息系統控制目標的設定對于選擇何種控制方法與技術至關重要。從總體上說,會計信息系統控制目標就是要盡可能確保會計信息系統的安全性、可靠性和有效性。
2.1一般控制方法
一般控制泛指各個應用系統均適用的控制,也叫基礎控制或環境控制,它的種類很多,比較重要的有:組織控制、系統開發與維護控制、整體安全或存取控制、硬件和系統軟件控制等。其中組織控制適合規劃信息中心和信息作業,將不兼容的功能加以區分,或將職責予以劃分,其基本目標是通過合理的職責分離和控制盡量減少發生錯誤和舞弊的可能性;系統開發及維護控制是用以確保信息系統軟件的開發、取得及其變更均經過適當的授權、測試和許可的控制程序,其基本目標是提供安全可靠、處理正確的應用程序;整體安全或存取控制是用以確保只有經過授權的使用者和程序才能存取應用程序及其數據文件的控制程序,其基本目標是實現分層控制目標;硬件和系統軟件控制是用以確保計算機設備處理數據完整的硬件控制及系統軟件控制。
2.2應用控制方法
應用控制專指那些專門為某個應用系統設計且執行的控制。其具體方法如下:
(1)組織控制。在信息化環境下,組織控制著重可就以下兩個方面來設計:第一,信息部門和用戶部門功能的劃分;第二,信息部門內部不相兼容職能的劃分。具體職責分離如下:信息部門不能負責業務的批準和執行,所有業務均應由用戶部門發起或授權。信息部門負責控制該部門內進行的數據處理,檢查處理中發生的錯誤并糾正本部門產生的錯誤,控制在更正錯誤后重新輸入并處理數據;用戶部門負責更正產生于信息部門以外的錯誤,并將更正后的數據重新傳遞到信息部門進行處理。信息部門不能保管除計算機系統以外的任何資產。所有業務記錄與主文件記錄的改變均需用戶部門授權,信息部門無權私自改動業務記錄和有關文件。所有業務過程中產生的錯誤數據均應由用戶部門負責或授權改正,信息部門只允許改正數據在輸入、處理、輸出過程中由于操作疏忽而引起的錯誤。所有現有系統的改進、新系統的應用都由用戶部門授權,信息部門無權私自修改系統程序。
(2) 輸入控制。輸入控制用來防止或發現在數據的采集和輸入階段的數據錯誤,并保證輸入數據的完整性和經過授權。典型的輸入控制有以下幾種:輸入授權控制,通過該控制可確保輸入員是經過系統授權的;業務審批控制,一切業務在進入系統處理之前,必須經過主管領導的審批。操作員無權審批業務,也不能擅自修改業務記錄;輸入校驗控制,輸入校驗控制主要包括試算平衡控制、憑證連續編號控制、時序控制、科目合法或非法對應關系控制、邏輯關系控制、總量控制、校驗碼控制、二次輸入控制等。
(3)處理控制。數據輸入計算機后,按照預定的程序進行加工處理,在數據處理過程中極少人工干預,一般控制和輸入控制對保證數據處理的正確和可靠起著非常重要的作用。但是針對計算錯誤、用錯文件、用錯記錄、用錯程序、輸入數據錯誤在輸入過程中沒檢查出來等情況,還必須在處理過程中設置處理控制。這些處理控制措施大都為糾正性和檢查性控制,而且多是程序控制。處理控制主要包括以下幾種控制措施:業務時序控制,業務數據處理一般具有時序性,某一處理過程的運行結果取決于若干相關條件過程處理的完成,所以可以在程序中增加業務時序控制,例如憑證輸入計算機后不經審核直接記賬,系統程序不予處理。數據有效性檢驗,要保證所處理的數據來自正確文件和記錄,可采用的控制措施主要有:①文件標簽校驗。在處理數據文件之前,要認真檢查文件的外部標簽,確認所要處理的文件;計算機在對數據文件處理前,檢查文件的內部標簽。外部標簽的設置是手工控制,內部標簽屬于程序化控制。②業務編碼校驗。業務數據文件包含各種類型的業務數據,業務類型可由業務編碼識別。在應用程序中,先讀出業務編碼,以決定由相應的程序處理,業務編碼校驗控制可提高程序處理不同業務的準確性。
(4)輸出控制。輸出控制的基本控制目標是保證信息系統所處理的資料完整、正確,所處理的結果正確,并且保證只有經過授權的部門和人員才能獲得這些輸出資料。為此,可采取以下一些控制手段:①輸出授權控制。信息系統的輸出方式主要有:打印輸出、屏幕查詢輸出、磁盤輸出以及網絡傳送等。每一種輸出方式都應有相應的權限控制,只有經過授權的人方可執行權限內的輸出操作。在會計軟件中的查賬權便是這種輸出控制手段的體現。②總數核對控制。采用這種控制手段能夠對某一經濟業務的輸入總數、處理總數以及輸出總數相核對,以避免漏記、重記或誤記等錯誤發生。一定程度上可以驗證輸出數據的完整性。③靜態目測檢查控制。也可稱為輸出數據驗證控制,它是以人工方式審校輸出結果,檢查其正確性、完整性。④輸出信息的分發控制。信息系統的輸出信息只能分發給有權利用的人使用,為此可采用系統發送留跡和設置輸出報告發送登記簿,詳細記錄報告發送份數、時間、接受人等事項。
主要參考文獻
[1] 蔡立新.電子商務環境下內部控制理念創新研究[M].上海:立信會計出版社,2006:292-298.
[2] 傅元略.企業信息化下的財務監控[M].北京:中國財政經濟出版社,2003.
[3] 許永斌.基于互聯網的會計信息系統控制[J].會計研究,2000(8):35-39.
[4] 田志剛,劉秋生.現代管理型會計信息系統的內部控制研究[J].會計研究,2003(4):15-18.
[5] 劉志遠,劉潔.信息技術條件下的企業內部控制[J].會計研究,2001(12):32-36.
