会计信息系统的内部控制策略探析,本文主要内容关键词为:探析论文,信息系统论文,内部控制论文,策略论文,会计论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
随着现代信息技术的发展和网络时代的到来,网络技术在会计领域的应用和发展日益深入,建立在网络环境基础上的以计算机、网络及通讯等现代信息技术为手段而发展起来的会计信息系统形成了网络化会计信息系统。信息技术的运用使会计信息系统改变了传统模式下会计信息处理、传递和使用的方式,提高了信息资源的共享性、实时性和高效性,但同时也给内部控制带来了新的挑战。
一、网络化会计信息系统内部控制面临的新问题
(一)系统安全控制的难度加大
网络是一个庞大的系统,企业交易与服务活动的完成一般以Internet、Extranet和Intranet三种网络为基础。网络化会计信息系统由计算机硬件、软件、人员和各种规程等基本要素构成。由于硬件配置不合理、软件功能欠完善、系统操作失误、内部管理人员的非法访问及来自外部的恶意攻击等原因,会计信息系统的各个层面将面临严重的安全威胁。网络是一个开放的环境,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断开链接。因此,网络环境下的会计信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。这种攻击可能来自于系统外部,也可能来自系统内部,并且一旦发生将造成巨大的损失。错综复杂的网络结构使得系统安全问题日益突出,安全控制的难度将进一步加大。
(二)传统的组织控制功能削弱
授权、批准控制是一种常见的、基础的内部控制。在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的审核和签章。但网络的应用大大减少了人工输入环节,数据访问和数据交换都通过应用服务器进行,传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。业务人员利用特殊的授权文件或口令,获得某种权利或运行特定程序进行业务处理,由此引起失控而造成损失的案例数不胜数。例如:业务人员被客户收买,非法取得他人口令绕过批准程序开出销售单;非法核销客户应收款及相关资料;掌握公司顾客订单密码,开出假订单,骗走公司产品等。计算机网络的集成化处理使传统手工会计中制单、审核、记账等不相容岗位相互牵制制度的效力逐步削弱,传统的组织控制功能减弱。
(三)会计信息失真的风险加大
在网络环境下,会计数据在传递过程中,非法攻击者采用诸如:地址欺骗、口令冒用、避开端口保护或访问控制、冒充主机用伪造的访问控制程序欺骗合法用户、套取口令和密钥等方法进入系统,通过向系统实施干扰、采用、删除、更改、增添、重放、伪造等方法向系统加入虚假信息,或将计算机病毒注入会计信息系统,破坏会计信息的真实性与完整性;有的非法攻击者窃取系统中的信息,使会计信息保密性遭到破坏,而己方却不能察觉,最终给用户带来巨大损失。此外,在进行处理过程中会计信息系统的信息通常都以源码出现,加密保护对处理中的信息不能起作用,在这期间有意的攻击和意外的操作都极容易使会计信息遭受破坏,造成信息失真和信息损失。
(四)用户的识别和验证问题突出
由于网络用户和终端分布在各处,传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在,使得信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。在网络环境下,如何识别和验证真实的用户身份,成为内部控制要解决的又一突出问题。
二、加强网络化会计信息系统内部控制的策略
针对网络化会计信息系统内部控制的新问题,必须采取有效的内部控制策略,才能“防患于未然”。加强网络化会计信息系统的内部控制策略主要有:
(一)善以权限控制为核心的组织控制
企业必须从实际出发,合理地进行岗位分工,明确岗位职责,制定科学规范的工作流程,以最大限度地提高会计工作效率,防范和化解工作风险。针对不同的工作岗位设立不同的操作权限,口令密码要不定期地更换。要建立健全企业会计电算化岗位责任制度、操作管理制度、计算机硬件、软件和数据管理制度以及会计电算化档案管理制度等规章制度。充分运用财务软件自身控制功能,实行权限管理,互相监督,互相牵制;实行集中式事后监督与实时监控相结合的内控机制,保证组织控制的有效性。
(二)加强会计信息失真风险的防范
1.计算机物理上安全与硬件系统(包括网络系统)的保护是防止会计信息损失的重要环节。为此,要加强防护自然灾害对会计信息系统硬件的损害;采取必要的措施防止计算机设备被盗以及网络线路被窃听;采用消除静电、系统接地、键盘安全套防电磁干扰等技术措施,尽量减少电磁对硬件的损害;为防止供电突然中断,专门配备一定容量的不间断电源等。
2.要选用安全的操作系统。在操作系统的安全性考虑方面既要考虑到选用和实现的安全性,又要考虑操作系统要能够为用户提供各种保护措施。选用操作系统时,要考虑隔离性、核心性、层结构性、环结构性等诸多方面的选择,使操作系统的安全性能体现在整个操作系统的选择和结构中。操作系统还应该对存储器的存取和对象(如:文件、目录)等两方面提供有效的保护服务。对存储器的保护包括栅栏保护、再定位保护、基本/界限寄存器保护、标志位保护、分段保护等方面的服务。对文件目录的保护是杜绝仿造存取权,不允许任何用户都可以写文件目录,由操作系统统一保护所有的文件目录。
3.加强数据库的安全管理和存取控制,对数据库采取加密手段防止信息泄漏。数据库加密手段有库内加密、整个数据库加密、硬件加密等。通过这些措施,确保数据库的安全性和保密性。
4.对网络中的数据加密。加密变换是网络中最基本的控制措施,数据加密主要有三种方式:链路加密、节点对节点加密和端对端加密,此外还有硬件加密和软件加密等加密方法。
5.加强网络端口保护。网络的端口保护属于系统访问控制的一种,由各种端口保护设备和访问控制软件来实施。
(三)采用有效的主体识别和验证方法
主体识别和验证有两处关键,一是该主体应具有独自的难以伪造的信息;二是具有可靠的信息交换方式。主体可以使用口令、密码、磁卡、指纹或电子签字一类的标识。由于一些非法用户有可能利用假冒主机的方法来套取用户标识。因此,在主机和用户之间还必须安排一个可靠的方法相互验证,主要方法是增加一些非法分子所不能掌握或控制的冗余信息,如数据加密的附加信息、报文验证码、回叫(call-back devices)等。这样才能保证会计数据来自正确的发送方,会计数据送到了正确的接受方,接受的会计数据在次序、内容上与发送的一致,且无重复接受。
(四)要加强会计信息系统的网络安全控制
网络环境对会计信息系统的安全性提出了更高的要求。要从业务范围出发,将整个网络分成不同的岗位、层层负责,设置密码。在操作系统中建立数据保护机构,调用计算机机密文件时应登录户名、日期、使用方式和使用结果,修改文件和数据必须登录备查。同时系统可自动识别和记录有效的终端入口,当有非法用户企图登录或错误口令超限额使用时,系统会锁定终端,冻结此用户标识,记录有关情况,并立即报警。要加强病毒的防范,设立防火墙、电子墙、电子密钥等系统,在企业与外界的界面上构造一个保护屏障,将病毒及非法访问者挡在内部网之外,达到对内部信息的保护作用,从而最大限度地降低安全事故发生的概率。
(五)加强会计人员的能力和道德的培养
内部控制由人来进行并受人的因素影响,保证组织内所有成员具有一定水平的诚信、道德观和能力。人力资源方针与实践是内部控制有效的关键因素之一。仅根据环境现状构建内部控制机制只是一种被动的做法,要加强内部控制中的“软控制”,企业管理者应当重视对人员的选择、使用和培养,重视培养企业人员的道德规范、行为准则、能力素质,尤其在信息技术环境下,企业更应该注重培养组织中人员的信念观念,使他们理解企业信息化建设和管理改革、内部控制创新之间的关系,并自愿为之努力工作。
综上所述,网络化会计信息系统是一个比传统会计信息系统更为高级、复杂的数据处理系统,尤其是随着网络技术为代表的IT技术的发展和使用,使得会计信息系统需要更为严密的管理和控制。会计信息的产生只有在严格的内部控制下,才能保证其可靠性和准确性。同时,也只有在严格的内部控制下,才能保证会计信息高效地传递和便捷地运用。