本站原创中图分类号:F230 文献标识:A 文章编号:1009-4202(2013)03-000-02
近年来随着互联网技术的飞速发展及在各个领域的广泛应用,会计信息系统也实现了跨越式发展.会计工作已从最初的手工会计到会计电算化再到网络会计的过渡,会计流程的变革使得会计信息系统失真风险也随之发生了变化.会计信息系统伴随着网络技术在向更深层次发展的同时,也给企业的内部控制带来了新的问题和挑战.因此,加强会计信息系统控制,对于保证会计电算化信息的真实性,促进我国会计信息系统事业的健康发展,具有重要的意义.
一、会计信息系统的重要性
会计信息系统是以现代计算机技术为手段,取代传统的手工操作,实现了会计工作方式的变革,极大地提高了会计数据处理的及时性和准确性.会计工作所面临的方式及环境的变化,给会计信息系统的控制带来了许多新的课题.网络环境的开放性加剧了会计信息失真的风险,如何对使用者进行身份识别和权限控制,如何保证数据信息及整个系统的安全性、可靠性,如何确保软件开发的质量等问题,都应引起会计信息系统设计者和使用者的足够重视.
二、会计信息系统控制——应用控制
会计信息系统控制其重点是应用控制,为保证整个会计信息系统安全、可靠地运行而建立的控制制度和措施.按其特性可划分为输入控制、处理控制和输出控制三种类型.
1.输入控制.目的是防止未经审核的会计数据输入计算机系统内,并能保证经审核的数据能完整、准确地输入并转换为机器可读的形式.常见的输入控制措施主要有:(1)业务的审批与准备;(2)输入操作及核对控制;(3)计算机校验.
2.处理控制.既要求系统硬件设备能够安全可靠地运行,也要求在系统软件的设计时,能够较好的反映出系统对数据处理所作的控制.主要有以下几方面:(1)只有批准的人才能执行处理操作,并要作好记录;(2)系统要有防止或及时发现在处理过得中数据丢失、重复或出错的措施.(3)对已入账的凭证和财簿,系统只提供留有痕迹的更改功能,对由机内账簿生成的报表数据,系统无更改功能.
3.输出控制.其目的是要保证系统能准确、完整地输出经处理的会计信息,并禁止未经批准的人接触系统的输出资料.常用的措施有:(1)控制只有经批准的人才能执行输出操作,并登记操作记录.(2)在会计报表输出前由计算机检查报表间应有的勾稽关系是否满足,若不满足,给出错误信息.(3)对输出资料要登记、签章才能送出,未经批准不得接触系统的输出资料.
三、基于互联网的会计信息系统控制
在全球网络化热潮的带动下,原来封闭的局域网会计信息系统被推上了开放的互联网世界,一方面它给企业带来前所未有的会计与业务一体化处理和实时监控的优越性,同时又给会计信息系统的安全再次提出了严重的挑战.因此,加强网络环境下内外部控制,健全相应的系统控制体系,已经成为我们设计会计信息系统控制体系的重点.
(一)基于互联网的会计信息系统风险分析
基于互联网会计信息系统的风险与原有集中封闭的会计信息系统比较,在安全上的问题更加突出,这种风险主要来自以下几方面:
1.系统故障风险.在互联网/内联网结构的会计信息系统中,由于其分布式、开放性、远程实时处理的特点,系统的一致性可控性降低,一旦出现故障,数据的一致性保障难,系统恢复处理的成本更高.
2.内部人员道德风险.网络安全的最大风险仍然来自于组织内部,因此,内部控制仍然是基于互联网会计信息系统控制的基础.由于互联网/内联网结构本身的特殊性,其内部控制远远超出了以往计算机系统的范畴,已从会计机构内部扩展到对整个企业内部人员的控制.
3.系统关联方道德风险.企业关联方之间基于互联网的特殊业务和数据交换、查询以及技术怎么写作,实际上是向对方敞开了系统控制的大门,这种特殊的内部联系也使相互间道德风险的发生成为可能.
4.社会道德风险.由于互联网是一个开放的世界,来自社会上的道德风险几乎不可避免.主要包括网上的信息截收、入侵、病毒破坏等.
如何直面这些问题,对社会来说,需要不断加强和完善法律的威慑作用,不断创新安全技术产品;而对企业来说,则需要不断提高管理和控制的有效性.
(二)基于互联网会计信息系统的内部控制
基于互联网的会计信息系统,由于其系统的开放性、处理的分散性、数据的共享性等方面大大超过以往任何类型的系统,因此,我们需要根据互联网系统的特点及其风险来源,重新确立系统的内部控制点,并建立相应的内部控制体系.
1.会计信息系统的开发、操作及维护控制
内审和风险管理人员要参与到软件开发前期,加强系统控制功能的研究与设计,确保所有既定控制功能在系统中得以有效地实现.实际应用中,经常进行版本升级及系统功能结构的调整、扩充和完善.此外还应建立维护审批制度,源程序保管控制制度等等.
2.会计数据资源传输与备份控制
在网络环境下,为防止会计数据在公共网络传输中被非法获取,应根据不同的应用项目(功能)分别定义面向用户操作的数据界面,制定会计数据资源授权表制度,以明确每一用户所访问的范围、内容及权限,并采取数字签名及加密技术等,以保证会计数据传输的安全性.同时,建立数据备份和恢复制度,以保证系统恢复的有效性和一致性.
3.会计信息系统的应用控制
大部分的应用控制措施在系统开发时可直接嵌入软件功能中,其主要功能有三大类:(1)输入控制.确保网络环境下数据采集的合法性、准确性和完整性;(2)处理控制.确保会计数据处理过程的正确可靠性;(3)输出控制.确保会计系统信息输出或传输中没有被遗失、错发、截留、泄漏等.
4.组织与管理控制
网络环境下的会计信息系统实现了会计与业务的协同处理,因此必须对原有会计机构作相应的调整,要增加网络管理与监控的岗位,建立组织与管理控制体系.主要包括内审制度、风险管理制度、人事管理控制等.
(三)基于互联网会计信息系统的外部控制
基于互联网会计信息系统的外部控制也是我们控制的重中之重,只有内外部控制有机结合,双管齐下,才能为企业的会计信息系统控制上双保险.
1.安全区域的周界控制.
通过设置外部访问区域,实现会计信息应用系统与外部访问区域之间的数据隔离与访问限制.设置多级防火墙系统,限制外界对应用系统的访问,尤其是对会计数据库系统的非法访问.同时建立周边监控系统,实时检测来自外部的入侵行为及未授权活动,同时为追究入侵者法律责任提供线索和证据.
2.大众访问控制.
主要针对电子邮件传递、网上会计信息查询两方面的控制.除了加强社会法律威慑作用外,企业还应加强系统外部访问区域的防护控制措施.对所提供信息的时间、内容作严格规定,并通过安全通道及时更新访问区域上的信息资料.
3.远程处理控制.
集团型企业在实现远程查账,远程报表、远程审计等业务时,应采取单独设置母系统访问区域的做法,来降低由于远程处理给双方增加的风险问题,从而提高会计信息系统的安全性.还要制定严格的操作规程,如操作权限控制、内容授限控制等,确保处理结果的有效性和可验证性.
4.网上公证引入第三方监管控制.
对网上交易双方,应引入双方认可并经互联网认证的第三方机构进行监控,通过申领认证机构的数字签名和私有密匙,传送单据及证明,由认证机构核对确认,来完成双方交易.这种方式有效地预防了数字化的原始凭证被修改或伪造,保证交易信息的安全可靠性,降低了交易风险.
信息安全技术总是落后于信息技术的发展,安全的实现不可能是一成不变的,尤其是当网络时代的到来,最完整的控制系统也有其固有的限制,所以我们必须把加强对会计信息系统的控制放在十分重要的地位,不断更新和健全控制体系,以保证会计信息系统能安全可靠地运行,并伴随着企业自身的发展而不断完善.