网络环境下会计信息系统安全探讨——兼议软件的开发、实施与维护控制,本文主要内容关键词为:系统安全论文,会计信息论文,环境论文,网络论文,软件论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、重视系统开发是保证会计信息系统安全控制的基础
我国网络环境下会计信息系统安全问题的研究应本着立足国情、解决急需的原则,一方面学习外国的先进经验和技术,另一方面加速我国网络环境下会计信息系统安全问题理论的研究和人才的培养。在网络环境下会计信息系统安全问题研究上,政府应发挥管理和引导的作用,以推进这项宏伟事业的发展。从系统设计源头开始,确保开发有一个良好的开端并使最终的软件产品满足企业信息化管理的需要。系统开发控制是一种预防性控制,目的是使系统开发过程及其开发的内容符合系统的要求。网络环境下会计信息系统开发的过程同时也是企业再造的过程,必须把新的会计控制功能全面融入会计信息系统中。一般而言,使用者只将会计信息系统作为一个“黑盒”,并期望系统本身包含了必要的控制要素。因此,在会计信息系统开发设计中必须将系统控制损失目标融进来,除了遵循开发规范如分析员及程序员生产控制、结构化程序设计等原则外,还应考虑会计信息系统的可审计性及可控性。系统本身应提供审计线索,提供达到审计人员详细程度要求的文件,并在适当的时间、范围内保存这些文件,以帮助用户和审计人员在系统内部和系统之间正向或反向追踪经济业务。为加强系统可控性,系统应能保证输入和输出数据能被合理编辑与验证,能识别用户存取级别的合法代码,能对主系统及子系统之间的接口加以控制等。随着管理者越来越需要决策的信息,以便有效地组织和控制资源,会计信息系统的决策支持子系统逐渐出现,这种系统与作业型系统迥然不同,很多是由管理者委托开发或自行设计的。这些应用程序在控制方面的问题更多。首当其冲的问题就是缺乏质量保证,包括没有对需求做详细说明,软硬件的搭配不当,缺乏文档数据有效性的检验、控制、备份和恢复,以及缺乏数据安全性检测等。针对含糊不清的需求问题,应采用原型法开发策略,原型法下系统的需求定义过程是一个不断交流的过程,原型法是一个迭代过程,即先定义少量功能,然后反馈、评价,再扩充功能,直至满意为止,所以成为解决需求定义的一种有效方法。此外,对自行开发者,用户顾问应制定规章制度和步骤,引导用户进行开发,建立选取软硬件的准则以防止系统不兼容问题。在进行系统开发过程中,始终要围绕用户的需求这一根本的出发点,确定系统开发的目标、总体结构、开发方式及每一个工作阶段和开发进度。同时,还必须及时完成资金的筹措、认真做好费用的预算。除此之外,还必须对系统所需要的不同类型、不同层次的专业人员进行配置与培训。在这个开发过程中,不仅要对系统数据处理的各个方面进行全面的调查及经济上、技术上的可行性分析,还要求确定新系统的功能界面,并建立恰当的计算机数据处理模型。
二、重视系统实施是保证会计信息系统安全控制的条件
规模较大的系统要运用起来,都需要经过规划实施环节。系统供应商一般都配有自己的软件实施人员。目前,管理技术咨询公司也正在兴起。我国企业界现已渐渐接受这样的观点:有偿借助第三方的知识服务,作为企业“外脑”。加之第三方在软件选择方面往往具有客观公正性,而且作为专业化服务者在系统实施、帮助企业提高管理水平方面往往具有更丰富的经验。实施活动的质量直接影响系统运用,咨询公司参与软件实施可以更好地提高应用质量,系统销售与服务分离将成为一种趋势。另外,管理当局及来自外部的协作实施人员应做好有效控制的前期工作:设定组织系统体系,明确划分不同层次的各部分,规定各部门权责及相互协调关系。按各部门职责,研讨其权责内的各种作业方式、性质和特征,并说明正常情况与特殊情况下的各种问题。拟定各种作业细则或手册,分别按各种主要业务拟定各种作业处理办法或手册。拟定内部控制作业程序,根据作业调查研究结果和组织体系结构,制订作业程序草案,并与有关部门或人员讨论,征求意见,进行修改,直到完善。同时,在进行物理装备时,应保证计算机房具有防火、防水、防风的能力,需要有灭火器、排烟检测器、排水装置和挡风设备。在事故发生时能及时断电,正常断电时又能提供后援电源。有及时提供备用的机器设备。应提供对磁性介质进行严格保护的存贮设备。预先设置灾难及故障恢复系统。程序测试时要考虑到内部控制方面的内容,包括职责分工、人员管理、运行过程、最大负载情况、存贮分配、运行时间、系统恢复、安全保护、数据录入、处理和输出。在测试过程中应仔细考虑可能发生的各类错误和不正当行为,以确定防止这些错误和不正当行为的内部控制规程,对系统潜在的缺陷做出评价,并分析估计这些缺陷所产生的影响及能够采取的避免措施。
三、重视系统维护是保证会计信息系统安全控制的保障
系统维护阶段的不安全因素常常来源于会计人员的故意错弊行为,串通舞弊及人为错误。在提出对发生故意错弊行为进行安全控制的策略时,可以考虑增加施行这种行为的难度,增加被逮住或结果失败的可能性,并加大对此类行为的惩罚力度。实施这一策略的两种有代表性的方法就是实行职责轮流制和内部审计制度。除部分组织程序有特别规定以及不能实行职责轮流制的岗位外,员工应该轮换工作。内部审计是控制损失的独立系统,加强内部审计能检查出发生的错误,打消试图作弊或意欲犯罪的意图,内审人员应定期规则地检查与计算机有关的控制目标、过程以及遵照情况,核实数据和程序的完整性。针对串通舞弊及人为错误的策略,不相容职责的恰当分离可以为避免单独一人从事和隐瞒不合规行为提供合理的保证。但是,合伙即可避开这类控制,况且控制措施发挥作用的有效程序关键还要取决于执行人员的实际运作,员工的粗心大意、精力分散、理解错误、判断失误、曲解指令等都会造成控制失效。这就需要强调人力资源管理,应选择具备适当的能力和责任感的员工,并将赋予他们的责任清晰化。
系统软件维护控制是控制的重点,因为会计信息系统具有个性化的特征,除“量身定做”软件外,还要求各企业在遵守行业协议的前提下,其应用软件可随时加以更新,进行维护。系统软件维护包括纠错性维护、适应性维护和完善性维护。这三种维护工作都需要对系统的功能进行改进和扩充。由于系统修改维护直接影响系统内部的功能结构,任何随意的修改都会造成系统功能间的不一致和混乱,也会影响到系统内部的有效性,更有甚者,那些怀有叵测之心者有可能利用维护的机会,乘机加入一些非法程序,达到破坏系统的目的。因此,要对系统维护实行严格的审批制度,禁止未经批准的维护行为。还要注意维护用机与营业用机、测试数据与实际数据的分离,保证系统运行的可靠性。此外,当系统修改完成后,为了确保修改的内容是按计划执行的,没有恶意加入非法程序,必须通过专家小组的评审,并在系统管理员的监督下,完成新系统的安装、调试和初始运行。但是现阶段我国系统维护控制如同虚设。因为,目前大多数企业采用商品化软件,系统的开发是由开发商来研制的。对企业而言,整个应用系统是一个“黑洞”,根本无法进行开发控制,自然维护也只能借助于或依赖于开发商。