互联网下会计电算化内部控制研究
来源: 鲜军
2003-11-27
普通
摘要:实施网络会计给企业带来利益的同时也给企业内部控制带来新问题,建立适应互联网环境的内部控制,其措施应基于企业内部网络和外部网络两大方面来进行。
关键词:互联网;网络会计;内部控制
随着电子商务的发展和网络会计的逐步实施,企业会计核算与会计管理的内部外部环境发生了巨大变化,传统会计电算化系统的内部控制机制和手段很难适应互联网环境。建立适应于互联网环境下的内部控制体系是企业急需解决的问题。
一、互联网环境给内部控制提出了新课题
(一)网络会计的应用扩大了企业会计核算范围
企业实施网络会计以后,会计核算环境发生了很大的变化。第一,会计部门的组成人员结构发生变化,由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二,会计业务处理范围变大,除完成基本的会计业务,网络会计同时还集成许多管理以及财务功能的相关功能,诸如网上支付、网上催帐、网上报税、网上报关、网上法规及财务信息查询、网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三,网络会计提供在线办公等服务,从而使会计信息的网上实时处理成为可能,原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此,要保证企业会计系统对企业经济活动反映的正确可靠、达到企业内部控制目标,企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。
(二)网络会计使会计信息储存方式和媒介发生变化
从数据和交易层次看,网络会计采用高度电子化的交易方式,对数据的正确性、交易及其轨迹均带来新的变化。原始凭证在网络业务交易时自动产生并存入计算机,交易的全过程均在电子媒介上建立、运算与维护,不再存在传统的原始凭证,而且大量的数据录入和交易驱动发生在企业外部;会计电算化的第一阶段促进了介质的改变,从帐本到磁盘文件,网络会计使会计介质继续发生变化,不仅是帐表,更多的介质将电子化,出现各种电子单据(如各种发票、结算单据)。存贮形式主要以网络页面数据存贮,网页数据只能在计算机及相应的程序中阅读;原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机及网络自动完成。因此,网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。
(三)网络会计使企业面临的安全风险加大
网络会计的应用使原来封闭的局域网会计系统面临开放的互联网世界,给财务系统的安全提出了严重的挑战。第一,在网络环境下,过去以计算机机房为中心的“保险箱”式安全措施已不适用,大量的会计信息通过开放的Internet传递,途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机,目前黑客肆虐,世界上和各类网站每天都受到成千上万次攻击,网络会计系统无疑面临巨大的安全风险。第三,计算机病毒的猖獗也为互联网系统带来更大的风险,在互联网中,计算机病毒可以通过E-mail或用户下载文件进行传播,其传播速度是单机的20倍,因而有效地防治计算机病毒对保障网络系统的安全性至关重要。
(四)网络会计与电子商务的法律环境滞后
网络会计、电子商务的迅猛发展远远超出了现有法律体系的规范,互联网是一个缺乏“警察”的信息高速公路,信息的跨地区和跨国界传输又难以公证和仲裁。包括我国在内的很多国家,目前还缺少有关电子商务交易责任与可靠性方面的法律规定,司法部门仍对如何决定电子文档的合法性以及什么构成有效的电子签名等问题存在争议。这样,电子交易可能引发的法律争端,如证据、合同的履行以及可靠性问题等,便成为企业内部控制不得不关注的又一问题。
二、互联网环境下内部控制措施
基于互联网的会计信息系统,由于其在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的系统,极大地改变了以往计算机系统的应用模式,扩展了系统运行的内容和方法。因此,我们需要根据互联系统的特点及其风险来源,重新确立系统的控制点,并建立相应的控制体系。
(一)基于企业内部网的控制措施
1.会计信息资源控制。会计信息来源于网络服务器的数据库系统中,因而网络数据库系统是整个网络会计系统控制的重点目标。对数据库系统的安全威胁主要有两个方面:一是网络系统内外人员对数据库的非授权访问,二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁,会计信息资源控制应采取以下措施:(1)采用三层式客户机/服务器模式组建企业内部网,即利用中间代理服务器隔离客户与数据库服务器的联系,实现数据的一致性;(2)采用较为成熟的大型网络数据库产品并合理定义应用子模式,子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;(3)建立会计信息资源授权表制度;(4)采取有效的网络数据备份、恢复及灾难补救计划。
2.系统开发控制。系统开发控制是一种预防性控制,目的是确保网络会计系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关部门制订的标准和规范。(1)在网络会计系统开发之初,要进行详细的可行性研究;(2)在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制定有效的内部控制方案,并将定制的控制方案在系统中实现;(3)在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各种标准进行。
3.系统应用控制。应用控制是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。(1)在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验;(2)在处理控制中,对数据进行有效性控制和文件控制,有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等,文件控制包括检查文件长度、标识和是否染毒等;(3)在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息,二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
4.系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都必须设置必要的控制,维护的原因和性质要有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络会计系统操作员不能参与软件的修改,所有与系统维护有关的记录都应该打印后存档。
5.管理控制。管理控制是指企业为加强和完善对网络会计系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络会计系统是一种分布式处理结构,计算机网络分布于企业各业务部门,实现财务与业务协同处理,因此原来集中处理模式下的行政控制转变为间接业务控制。主要应采取如下几方面的措施:(1)设置适应于网络下作业的组织机构并设置相应的工作站点;(2)合理建立上机管理制度,包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等;(3)建立完备的设备管理制度。
6.内部审计。为监督并促进系统运行质量的提高,企业应设立独立的内部审计部门,在审计委员会或高层决策机构领导下工作。内部审计应包括:(1)对会计资料定期进行审计,会计电算化系统帐务处理是否正确,是否遵照《会计法》及有关法律、法规的规定;(2)监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;(3)对系统运行各环节进行审查,防止存在漏洞。
(二)基于企业外部网的控制措施
1.周界控制。周界控制是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的,它是预防一切实行外来攻击措施的基础,主要内容包括:(1)设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过电话网络进入系统;(2)建立防火墙,在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。
2.大众访问控制。大众访问包括文件传递、电子邮件、网上会计信息查询等,由于互联网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的。因此,企业应在网络会计系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:(1)在网络会计系统中设置多重口令,对用户的登录名和口令的合法性进行检查;(2)合理设置网络资源的属主、属性和访问权限,资源的属主体现不同用户对资源的从属关系,如建立者、修改者等,资源的属性表示资源本身的存取特性,如读、写或执行等,访问权限体现用户对网络资源的可用程度;(3)对网络进行实时监视,找出并解决网络上的安全问题,如定位网络故障点、捉住非法入侵者、控制网络访问范围等;(4)审计与跟踪,包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。
3.电子商务控制。网络会计是电子商务的基石,是电子商务的重要组成部分,对电子商务活动也必须进行管理与控制。主要措施有:(1)建立与关联方的电子商务联系模式;(2)建立网上交易活动的授权、确认制度,以及相应的电子会计文件的接收、签发验证制度;(3)建立交易日志的记录与审计制度。
4.远程处理控制。网络会计系统的应用为跨国企业、集团企业实现远程报表、远程报帐、远程查帐、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用也必须采取进行相应的控制措施,主要有:(1)合理设计网络会计系统各分支系统的安全模式并实施;(2)进行远程处理规程控制。
5.数据通讯控制。数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施,企业应采取各种有效手段来保护数据在传输过程中准确、安全、可靠。主要措施有:(1)保证良好的物理安全,在埋设地下电缆的位置设立标牌加以防范,尽量采用结构化布线来安装网络;(2)采用虚拟专用网(VPN)线路传输数据,开辟安全数据通道;(3)对传输的数据进行加密与数字签名,在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性。
6.防病毒控制。在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施:(1)对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;(2)采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;(3)在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒;(4)财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;(5)对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;(6)及时升级本系统的防病毒产品。
参考文献:
[1]严绍业。互联网——改变财务软件的十个方面[J].中国会计电算化,2000,(1)。
[2]许永斌。基于互联网的会计信息系统控制[J].会计研究,2000,(8)。
[3]黄正瑞。论计算机会计的内部控制及其审计[J].财务与会计,2001,(2)。
[4]张红英。计算机信息系统环境下内部控制的审计[J].湖北审计,2001,(1)。
[5]陈怀凯,朱文。计算机环境下审计风险的特征与防范[J].会计之友,2000,(6)。
关键词:互联网;网络会计;内部控制
随着电子商务的发展和网络会计的逐步实施,企业会计核算与会计管理的内部外部环境发生了巨大变化,传统会计电算化系统的内部控制机制和手段很难适应互联网环境。建立适应于互联网环境下的内部控制体系是企业急需解决的问题。
一、互联网环境给内部控制提出了新课题
(一)网络会计的应用扩大了企业会计核算范围
企业实施网络会计以后,会计核算环境发生了很大的变化。第一,会计部门的组成人员结构发生变化,由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二,会计业务处理范围变大,除完成基本的会计业务,网络会计同时还集成许多管理以及财务功能的相关功能,诸如网上支付、网上催帐、网上报税、网上报关、网上法规及财务信息查询、网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三,网络会计提供在线办公等服务,从而使会计信息的网上实时处理成为可能,原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此,要保证企业会计系统对企业经济活动反映的正确可靠、达到企业内部控制目标,企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。
(二)网络会计使会计信息储存方式和媒介发生变化
从数据和交易层次看,网络会计采用高度电子化的交易方式,对数据的正确性、交易及其轨迹均带来新的变化。原始凭证在网络业务交易时自动产生并存入计算机,交易的全过程均在电子媒介上建立、运算与维护,不再存在传统的原始凭证,而且大量的数据录入和交易驱动发生在企业外部;会计电算化的第一阶段促进了介质的改变,从帐本到磁盘文件,网络会计使会计介质继续发生变化,不仅是帐表,更多的介质将电子化,出现各种电子单据(如各种发票、结算单据)。存贮形式主要以网络页面数据存贮,网页数据只能在计算机及相应的程序中阅读;原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机及网络自动完成。因此,网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。
(三)网络会计使企业面临的安全风险加大
网络会计的应用使原来封闭的局域网会计系统面临开放的互联网世界,给财务系统的安全提出了严重的挑战。第一,在网络环境下,过去以计算机机房为中心的“保险箱”式安全措施已不适用,大量的会计信息通过开放的Internet传递,途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机,目前黑客肆虐,世界上和各类网站每天都受到成千上万次攻击,网络会计系统无疑面临巨大的安全风险。第三,计算机病毒的猖獗也为互联网系统带来更大的风险,在互联网中,计算机病毒可以通过E-mail或用户下载文件进行传播,其传播速度是单机的20倍,因而有效地防治计算机病毒对保障网络系统的安全性至关重要。
(四)网络会计与电子商务的法律环境滞后
网络会计、电子商务的迅猛发展远远超出了现有法律体系的规范,互联网是一个缺乏“警察”的信息高速公路,信息的跨地区和跨国界传输又难以公证和仲裁。包括我国在内的很多国家,目前还缺少有关电子商务交易责任与可靠性方面的法律规定,司法部门仍对如何决定电子文档的合法性以及什么构成有效的电子签名等问题存在争议。这样,电子交易可能引发的法律争端,如证据、合同的履行以及可靠性问题等,便成为企业内部控制不得不关注的又一问题。
二、互联网环境下内部控制措施
基于互联网的会计信息系统,由于其在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的系统,极大地改变了以往计算机系统的应用模式,扩展了系统运行的内容和方法。因此,我们需要根据互联系统的特点及其风险来源,重新确立系统的控制点,并建立相应的控制体系。
(一)基于企业内部网的控制措施
1.会计信息资源控制。会计信息来源于网络服务器的数据库系统中,因而网络数据库系统是整个网络会计系统控制的重点目标。对数据库系统的安全威胁主要有两个方面:一是网络系统内外人员对数据库的非授权访问,二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁,会计信息资源控制应采取以下措施:(1)采用三层式客户机/服务器模式组建企业内部网,即利用中间代理服务器隔离客户与数据库服务器的联系,实现数据的一致性;(2)采用较为成熟的大型网络数据库产品并合理定义应用子模式,子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;(3)建立会计信息资源授权表制度;(4)采取有效的网络数据备份、恢复及灾难补救计划。
2.系统开发控制。系统开发控制是一种预防性控制,目的是确保网络会计系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关部门制订的标准和规范。(1)在网络会计系统开发之初,要进行详细的可行性研究;(2)在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制定有效的内部控制方案,并将定制的控制方案在系统中实现;(3)在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各种标准进行。
3.系统应用控制。应用控制是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。(1)在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验;(2)在处理控制中,对数据进行有效性控制和文件控制,有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等,文件控制包括检查文件长度、标识和是否染毒等;(3)在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息,二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
4.系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都必须设置必要的控制,维护的原因和性质要有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络会计系统操作员不能参与软件的修改,所有与系统维护有关的记录都应该打印后存档。
5.管理控制。管理控制是指企业为加强和完善对网络会计系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络会计系统是一种分布式处理结构,计算机网络分布于企业各业务部门,实现财务与业务协同处理,因此原来集中处理模式下的行政控制转变为间接业务控制。主要应采取如下几方面的措施:(1)设置适应于网络下作业的组织机构并设置相应的工作站点;(2)合理建立上机管理制度,包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等;(3)建立完备的设备管理制度。
6.内部审计。为监督并促进系统运行质量的提高,企业应设立独立的内部审计部门,在审计委员会或高层决策机构领导下工作。内部审计应包括:(1)对会计资料定期进行审计,会计电算化系统帐务处理是否正确,是否遵照《会计法》及有关法律、法规的规定;(2)监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;(3)对系统运行各环节进行审查,防止存在漏洞。
(二)基于企业外部网的控制措施
1.周界控制。周界控制是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的,它是预防一切实行外来攻击措施的基础,主要内容包括:(1)设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过电话网络进入系统;(2)建立防火墙,在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。
2.大众访问控制。大众访问包括文件传递、电子邮件、网上会计信息查询等,由于互联网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的。因此,企业应在网络会计系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:(1)在网络会计系统中设置多重口令,对用户的登录名和口令的合法性进行检查;(2)合理设置网络资源的属主、属性和访问权限,资源的属主体现不同用户对资源的从属关系,如建立者、修改者等,资源的属性表示资源本身的存取特性,如读、写或执行等,访问权限体现用户对网络资源的可用程度;(3)对网络进行实时监视,找出并解决网络上的安全问题,如定位网络故障点、捉住非法入侵者、控制网络访问范围等;(4)审计与跟踪,包括对网络资源的使用、网络故障、系统记帐等方面的记录和分析。
3.电子商务控制。网络会计是电子商务的基石,是电子商务的重要组成部分,对电子商务活动也必须进行管理与控制。主要措施有:(1)建立与关联方的电子商务联系模式;(2)建立网上交易活动的授权、确认制度,以及相应的电子会计文件的接收、签发验证制度;(3)建立交易日志的记录与审计制度。
4.远程处理控制。网络会计系统的应用为跨国企业、集团企业实现远程报表、远程报帐、远程查帐、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用也必须采取进行相应的控制措施,主要有:(1)合理设计网络会计系统各分支系统的安全模式并实施;(2)进行远程处理规程控制。
5.数据通讯控制。数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施,企业应采取各种有效手段来保护数据在传输过程中准确、安全、可靠。主要措施有:(1)保证良好的物理安全,在埋设地下电缆的位置设立标牌加以防范,尽量采用结构化布线来安装网络;(2)采用虚拟专用网(VPN)线路传输数据,开辟安全数据通道;(3)对传输的数据进行加密与数字签名,在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性。
6.防病毒控制。在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施:(1)对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;(2)采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;(3)在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒;(4)财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;(5)对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;(6)及时升级本系统的防病毒产品。
参考文献:
[1]严绍业。互联网——改变财务软件的十个方面[J].中国会计电算化,2000,(1)。
[2]许永斌。基于互联网的会计信息系统控制[J].会计研究,2000,(8)。
[3]黄正瑞。论计算机会计的内部控制及其审计[J].财务与会计,2001,(2)。
[4]张红英。计算机信息系统环境下内部控制的审计[J].湖北审计,2001,(1)。
[5]陈怀凯,朱文。计算机环境下审计风险的特征与防范[J].会计之友,2000,(6)。