基于网络环境下计算机会计信息系统内部控制创新研究.docx
《基于网络环境下计算机会计信息系统内部控制创新研究.docx》由会员分享,可在线阅读,更多相关《基于网络环境下计算机会计信息系统内部控制创新研究.docx(4页珍藏版)》请在冰豆网上搜索。
基于网络环境下计算机会计信息系统内部控制创新研究
基于网络环境下计算机会计信息系统内部控制创新研究
【摘要】随着互联网的迅猛发展和普及应用,基于互联网的计算机会计信息系统已成为必然的发展趋势,面对互联网系统开放性、共享性、分散性的特点,给计算机会计信息系统的内部控制带来了新的问题和挑战。
因此,如何建立有效的计算机会计信息系统内部控制制度来避免网络环境下计算机会计信息系统新的风险显得十分必要。
本文拟对网络环境下计算机会计信息系统的内控制度存在的问题及风险进行深入分析,探讨网络环境下防范风险与创新计算机会计信息系统的内控制度的对策。
【关键词】互联网 计算机会计信息系统 内部控制
随着互联网技术的迅速发展及其在会计中的应用,使原有的单机系统环境下的会计信息系统走出了自我封闭的局域系统,实现企业内外部信息的开放性,共享性等特点。
但是,在网络环境下,大量会计信息是通过网络传输的,这样网络信息就有可能被非法分子或别有用心的人拦截、窃取或篡改;即使内部产生信息也会遭到“病毒”和“黑客”的入侵,这些都会给企业造成重大损失,因而,很难保证会计信息真实性与完整性,给会计信息系统的安全性提出了严重的挑战。
我们必须根据互联网系统的特点,重新考虑和设计会计信息系统控制体系,进行内控制度的创新研究。
一、互联网对计算机会计信息系统内部控制的影响
基于互联网的计算机会计信息系统,由于网络系统的开放性、分散性、数据的共享性等方面大大超过了以往任何类型的系统,极大地改变了以往计算机会计信息系统的应用模式,扩展了系统运行的环境,从而大大改变了以往计算机系统内部控制的内容和方法。
同时给计算机会计信息系统内部控制带来新的问题,应当引起我们足够的重视。
在此我们根据互联网系统的特点来分析网络环境下计算机会计信息系统内部控制的新问题:
1.网络系统的开放性使得计算机会计信息系统很难避免非法侵扰
网络是一个开放的环境,置于该环境中的各种服务器上的信息在理论上都是可以被访问到的,除非它们在物理上断开连接、脱离网络环境。
因此,网络会计信息系统很难完全避免非法访问者的侵扰。
将会给单位造成巨大的损失。
为此,企业需根据网络技术的最新发展,定期评估系统的安全性和内部控制能力,努力把新技术给系统带来的风险降到最低。
2.电子商务的普及,将给内部控制带来前所未有的挑战
随着互联网的迅猛发展,网上交易愈加普遍,电子商务将逐步普及。
电子商务一方面极大地提高了商务活动的效率,给企业带来了无限的生机,另一方面给计算机会计信息系统的内部控制也带来了新的挑战。
基于电子商务的单据电子化、货币电子化、网上银行和网上结算等,虽然可加快资金周转速度,但给计算机会计信息系统带来的风险将是空前的,这将给网络计算机会计信息系统的内部控制带来极大的困难和前所未有的挑战。
计算机会计信息系统的内部控制体系将因此要发生深刻的变化。
3.内部控制的范围扩大,计算机会计系统控制的难度加大
在网络环境下,由于互联网系统开放性、共享性、分散性的特点,会计数据的处理方式突破原有的封闭的系统环境,以及系统建立与运行的复杂性,要求内部控制的范围相应扩大,延伸到整个网络系统。
如对网络系统安全的控制、系统权限的控制、计算机病毒的防治、系统开发过程的控制、数据编码的控制以及对调用和修改程序的控制等,因而加大了内部控制的难度。
4.内部控制的程序化,加大了计算机会计信息系统的控制风险
在网络环境下,计算机会计信息系统在很大程度上取决于这些会计信息系统中运行的应用程序的质量。
一旦这些应用程序中存在严重的BUG或恶意的“后门”,便会严重危害系统安全。
毕竟,会计人员对计算机专业知识所知有限,很难及时发现这些漏洞。
加大了计算机会计信息系统的控制风险。
二、网络环境下计算机会计信息系统的控制风险分析
由于互联网系统的分布式、开放性等特点,与原有集中封闭的计算机会计信息系统比较,给计算机会计信息系统的内部控制带来了新的问题和挑战,系统在安全上的问题更加突出。
基于互联网会计信息系统的风险主要有以下几方面:
1.物理风险。
任何计算机系统都存在着由于操作失误,硬件、软件、网络本身出现故障导致系统数据丢失甚至瘫痪的风险。
物理风险主要包括:
计算机网络系统硬件选配不合适,致使网络功能发挥受阻;网络工作环境、电源等不合要求直接影响网络的可靠性;网络操作系统和会计软件的安装、维护不善;网络管理制度不健全等。
2.会计信息保密性和完整性破坏风险。
主要指企业内部人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。
网络安全的最大风险仍然来自于组织内部。
因此,内部控制仍然是基于互联网会计信息系统控制的基础。
由于互联网/内联网结构本身的特殊性,其内部控制远远超出了以往计算机系统的范畴,已从会计机构内部扩展到对整个企业内部人员的控制。
3.系统运行风险。
计算机会计信息系统置于网络环境下运行,系统控制的大门面临敞开的风险,随时系统运行可能遭到破坏和干扰,如人为因素导致非法占用网络资源、切断或阻塞网络通信、通过计算机病毒致使网络瘫痪以及非人为因素导致的灾害事故、系统死锁等,影响计算机会计信息系统正常运行。
4.网络环境的开放性加剧了会计信息失真的风险。
网络技术在财务软件中的应用对计算机会计信息系统的影响将是革命性的。
但网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。
如在网络环境下,信息来源的多样性,有可能导致审计线索紊乱;大量会计信息通过网络通讯线路传输,有可能被非法拦截、窃取甚至篡改;网络计算机会计信息系统遭受“病毒”人侵或“黑客”攻击的可能性更大,等等。
总之,网络环境的开放性和动态性,加剧了会计信息失真的风险,加大了计算机会计内部控制的难度。
三、网络环境下计算机会计信息系统内控制度的创新
随着计算机技术和网络通讯技术在计算机会计信息系统中应用,正在极大地改变着非网络环境下的会计信息系统的工作方式,给计算机会计信息系统带来了新的机遇和挑战,同时也给计算机会计信息系统的内部控制带来了许多新的问题和新的风险,使得计算机会计信息系统的组织管理控制、系统开发与维护制度、计算机操作制度、硬软件控制、系统安全控制、系统文档控制、计算机处理与数据文件的控制发生变化。
面对新的环境原有的会计信息系统的内控制度已经不能适应新的要求,因此,创新和完善计算机会计信息系统的内部控制制度已刻不容缓。
针对这种影响,结合互联网的优势和特点,我们就主要方面探讨与完善计算机会计信息系统内部控制制度:
建立科学长效的会计信息系统风险控制机制,强化风险意识
我们前面已经分析互联网给计算机会计信息系统带来的各种可能的风险,我们就应该建立相应的风险控制机制,做到有备无患。
在这里主要指风险防范的预警机制:
1.应建立风险评估的信号和指标体系,针对可能出现的技术风险和管理风险等。
建立起一套风险预警指标,就相当于计算机会计信息系统安装了风险警报系统,可以及时发现和评价所出现的风险;2.应健全风险控制的运行体系。
收到预警信号后应及时采取措施,以防风险的发生。
这是计算机信息系统运行的“防火墙”;3.建立风险处理的快速反应部门,目的是帮助企业能迅速的对事故及故障做出反应,将事故及故障造成的损害降到最小,并通过对已发事件进行分析来监督此类事件,达到进一步防范风险的作用。
制定和完善计算机会计信息系统相应的组织与管理控制
基于网络环境下的计算机会计信息系统是一种分布式处理结构,必须对原有会计机构作相应的调整,要增加网络管理与监控的岗位,会计信息系统岗位要明确职责分工,并对各类人员制定岗位责任制度,各岗位都要得到一定的授权,并用密码控制。
这样就有效地防止密码泄露、非法操作和越权操作系统。
会计信息系统的设计、开发和维护等工作的岗位设置要隔离。
即信息系统的设计、开发、测试、运行和维护工作需要分别由不同的人员承担,目的是防止信息系统本身不被恶意地留下可操作的技术漏洞,保证信息系统设计合理,运行正常;另外,还需配置专门的独立与对信息系统进行设计、开发和维护等工作的监督人员。
在网络环境下,信息在网络传送过程中的安全事关重大,因此还需设置专门的网络管理和监控人员。
但是网络管理和监控人员的工作也要独立于信息系统的设计、开发、测试、运行和维护工作及财会、内部审计等工作。
建立网络安全管理控制制度,保证网络和信息系统的安全
在网络环境下,为了防止计算机会计信息系统遭到非法、恶意的软件程序的入侵,避免网络攻击破坏会计数据,应该实施一系列控制措施来保证网络安全。
如运行专用的网管软件进行网络监控、采用专用内容过滤技术阻止各种恶意内容的入侵等,并通过对防火墙、扫描器、入侵检测等系统安全的支撑产品信息的采集,与信息系统的事故报告进行关联分析,以便于更准确地了解信息系统受到非授权访问或攻击的信息以及控制措施的控制效果,加强网络风险的防范。
这就要求在技术上对整个财务网络系统的各个层次都要采取安全防范措施,建立综合的多层次的安全控制体系。
其技术主要包括:
访问控制。
由于互联网是一个全方位开放的系统,为了防范来自外部的非法访问,互联网计算机会计信息系统应建立访问控制措施,如防火墙技术、邮件系统控制、网上信息查询控制、漏洞扫描技术、入侵检测技术等,在企业内部网络和外部网络接口处,防火墙可以是软件、硬件或软硬结合的产品,大体上可分过滤和代理服务理服务器建立连接,它可以有更强的身份验证和日志功能。
数据传输控制。
为了防止会计数据在传输通过公共网络传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施。
企业应采取数字签名技术和数据加密技术等,在计算机通信中采用数字签名控制手段是用电子符号代替了会计数据,磁性介质代替了纸介质,验证对方身份、保证数据完整性。
同时,在系统地客户端和服务器之间传输的所有会计数据进行两层加密保证数据的安全性。
网路安全协议和数据自动备份技术。
网路安全协议是一组规则,目前国际上通行的安全协议主要有:
安全超文本传输协议、安全电子交易规范等。
自动备份技术是为了应付突发事件的,保障数据完整的有力工具。
防病毒控制。
在计算机会计信息系统运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施,通过服务器的网络杀毒软件进行实时监控、追踪病毒;财务软件可以挂接或捆绑防病毒软件,加强自身的防毒能力;对外来的软件和传输的数据必须经过病毒检查,在业务处理系统中严禁使用网络游戏软件,及时升级防病毒软件。
完善网络环境下计算机会计信息系统一般控制与总体控制制度
1.系统操作控制。
网络环境下,由于操作系统面向所有的用户,再加上自身的缺陷。
因此它时刻面临着来自各方面的潜在威胁,包括系统内人员的滥用职权、越权操作和系统外人员的非法访问甚至破坏。
要提高操作系统的安全可靠性,除了要尽可能地选用安全等级较高的操作系统产品,并经常进行版本升级外,在管理控制上主要可采取以下措施:
(1)计算机资源授权表制度。
明确规定每个用户的安全级别和身份标识,并分别定义具体的访问对象;
(2)日志审计制度。
对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录,并对日志文件定期进行安全检查和评估;(3)存取控制。
对系统资源进行分类管理,并根据用户级别,限制系统资源的共享和流动。
2.系统数据库控制。
网络环境下,大量不相同的会计业务交叉在一起,再加上多用户共事数据库的出现,如果内部控制制度不严密,会直接影响到会计信息的准确。
数据库系统是整个系统控制的主要安全目标。
对数据库系统安全的威胁主要来自两个方面:
一是系统内外人员对数据库的非法访问;二是由于系统故障、误操作或人为破坏造成数据库的物理损坏。
针对上述风险,会计数据资源控制主要可采取以下措施:
会计数据资源授权表制度。
明确定义每一用户对数据资源访问的范围和内容,并分别规定对数据库的查阅、修改、删除、插入等操作权限。
(2)数据备份和恢复制度。
网络环境下的数据备份和恢复远比成批集中式处理环境下要复杂,为保证系统恢复的有效性和一致性,建立业务日志文件和检查点文件是必要的。
3.远程处理控制。
基于互联网的会计信息系统的建立为集团型企业实现远程查账、远程报表、远程审计,以及对交易事项的远程财务监控创造了条件。
建立相应的远程处理控制系统,是开展远程处理业务的前提。
主要控制措施包括:
(1)分支系统安全模式设计。
分支系统是企业在异地具有独立内联网结构的会计信息系统,由于母系统的监控和访问直接伸入分支系统内部。
除了通信技术应采取互联网上的虚拟专用网外,在保证实时会计处理和财务监控有效的前提下,分支系统可采取单独设置母系统访问区域的做法,以提高其会计信息系统的安全可靠性;
(2)远程处理规程控制。
双方要制定严格的远程处理控制操作规程,包括操作权限控制、内容授权控制、处理程序控制、通道及两端服务器安全控制等等。
对于需在线实时处理的内容,如在线财务审批、电子转账等内容,应在严格的操作规程下进行,确保处理结果的有效性和可验证性。
4.会计信息系统档案控制。
会计信息系统档案包括存储在计算机中的会计数据和计算机打印出来的书面等形式的会计数据。
会计信息是单位的绝对机密,一旦泄漏将给单位带来不应有的损失,而磁性介质的可复制性又使会计信息极易泄漏与篡改而不易发现,因此,磁性资料应由会计档案保管员负责保管;打印资料在系统的操作日志上有所记录后及时送达指定人手中;收件人要签收并注明收件日期、文件内容,以便日后备查;确保会计数据和会计软件的安全保密,防止对数据和软件的非法修改和删除。
同时,计算机在运行过程中可能发生的故障会使会计信息遭到破坏,因此对磁介质存放的数据要留有备份,以便必要时予以恢复。
建立健全计算机会计信息系统内部控制制度是保证网络环境下会计信息系统的安全、稳定的运行,将风险最小化的关键。
因此,提高对内部控制的认识,加强网络会计信息系统的安全管理控制内涵和技术的研究,有效地结合与利用现代通信和处理的安全技术精华,才能真正确保计算机会计信息系统的安全和可靠。
参考文献:
[1]阎达五等,内部控制框架的构建[J].会计研究,2001,2
张瑞君,会计信息系统[M],中国人民大学出版社,2003
许永斌,基于互联网的会计信息系统控制[J].会计研究,2000,8
黄正瑞,论计算机的内部控制及其审计[J].财务与会计,2001,2
田志刚刘秋生,现代管理型会计信息系统的内部控制研究[J],会计研究,2003,4
升级会员 