网络会计信息系统的内部控制
来源: 杨平波
2002-10-11
普通
电子商务一方面给企业带来了无限的生机,另一方面给网络会计系统的内部控制带来了新的难题,促使网络会计信息系统的内部控制体系的创新。
一、电子商务对会计系统内部控制的影响
(一)网络构成要素的复杂性使得系统安全控制的难度加大。网络是一个庞大的系统,电子商务是一种整合的经济模式,交易与服务活动的完成一般以Internet、Extranet和Intranet三种网络为基础。计算机硬件、软件、人员和各种规程等构成上述各种网络组织的基本要素。由于硬件配置不合理、软件功能欠完善、系统操作失误、内部管理人员的非法访问及来自外部的恶意攻击等原因,网络组织的各个层面将面临着严重的安全威胁。错综复杂的网络结构使得系统安全问题日益突出,安全控制的难度将进一步加大。
(二)网络数据处理的集中性使得传统的组织控制功能减弱网络的应用大大减少了人工输入环节,数据访问和数据交换都通过应用服务器进行。网络计算机集成化处理促使传统手工会计中制单、复核、记帐等不相容岗位相互牵制制度的效力逐步削弱,传统的组织控制功能弱化。
(三)网络环境的开放性使得会计信息失真的风险加剧。从信息的取得渠道看,其来源具有多样性有可能导致审计线索紊乱;从信息传递的方式看,大量信息通过网络通讯线路传输,有可能遭受非法的拦截、窃取和纂改;从信息的存储形式看,信息大都以电子数据的形式存储,肉眼很难辨认,易被修改、删除、隐匿、转移和伪造且不留痕迹。网络系统的开放性和动态性加大了审计取证难度,加剧了会计信息失真的风险。
二、网络会计系统内部控制的主要内容
(一)组织与管理控制。(1)适当的职责分离。这就是设置网络管理中心,由网管中心全盘规划,合理布局,采取措施确保各工作站、终端和人员之间适当的职责分离;(2)优化配置人力资源。良好的人力资源管理政策对于企业内部控制的顺利实施起着关键性的作用。因此要制定措施,确保人力资源的合理利用。(3)发挥内部审计的作用。内部审计的本质是一种特殊的组织控制。通过内部审计部门对网络会计系统信息的质量和完整性进行独立和公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与健全。
(二)系统开发控制。系统开发控制是为保证网络会计系统开发过程中各项活动的合法性和有效性而设计的控制措施,它应贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护的各个阶段。其主要内容包括如下:(1)明确开发目标,制定项目管理计划,进行项目的可行性研究与分析;控制开发进度,监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性,提高系统的可审性。(2)利用网络在线测试的功能,检验整个系统的完整性,并应对非法数据的容错能力、系统抗干扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测试;做好人员和设备等资源的整合配置以及初始数据的安全导入,保证新旧系统的转换有序进行。(3)一旦发现网络系统各类软件可能存在安全漏洞,应立即进行在线修补与升级,并将所有与软件修改有关的记录报告及时存储归档。
(三)日常操作系统管理控制。(1)制定上机操作规程。主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。(2)加强系统人员的操作管理。人作为系统主体是网络发展的基本动力和信息安全的最终防线,人员操作管理的重点是权限控制。系统管理员被赋予超级用户管理权限,主要负责系统硬、软件的管理维护和网络资源分配,操作人员应按照被授予呐权限严格作业,不得越权接触系统,系统程序员不得进行业务操作,以避免人为因素或操作不当给操作系统带来不必要的损失和风险。(3)建立计算机资源访问授权和身份认证制度。即明确每个用户的安全级别和身份标识,并分别定义具体的访问对象;(4)建立安全稽核机制。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。(5)设置安全检测预警系统。即实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络连接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的可持续改进的安全模式。
(四)网络系统安全控制。(1)硬件设备安全控制。硬件设备安全主要涉及计算机机房环境和设备的技术安全要求。应制定网络计算机机房和设备的管理制度、岗位职责和操作规程,严格禁止无关人员接触系统,专机专用;计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双系统备份。(2)系统软件安全控制。严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复的功能。(3)会计信息安全控制。会计信息安全的基础是密码学。按加密和解密算法所用的密码是否相同,将密码分为对称密码体制和非对称密码体制。后者在信息安全管理方面得到了广泛的应用。如通信线路上的数据流加密,数据库中的数据文件加密,访问者的身份认证,数字签名等。除密码学之外,模式识别的方法也在网络信息安全方面得到应用。如指纹识别、面容识别在身份认证中具有很好的作用。(4)系统入侵防范控制。为了防止非法用户对网络会计系统的入侵,应采取设置防火墙,身份认证和授权管理等安全技术,用以限制外界对主机操作系统的访问;用以隔离开局应用系统与外界访问区域之间的联系,限制外界穿过访问区域对网络应用系统服务器尤其是对会计数据库系统的非法访问;加强原有的基于帐户和口令的控制,提供授权访问控制和用户身份识别。(5)交易安全控制。为了保证交易者的交易信息不被他人窃取或破译,主要应采取数字加密、数字认证等核心技术。
(五)应用控制。应用控制是指在网络会计系统的数据输入、通讯、处理和输出环节所采用的控制程序和措施。(1)输入控制。输入控制的重点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验,如总数控制校验、平衡校验、科目代码校验和逻辑关系测试等。(2)通讯控制。通讯控制的重点在于批量控制,业务时序控制、数据编码控制与发放和接收的标识控制等。(3)处理控制。处理控制的重点在于处理过程的现场控制、数据有效性检测、预留审计线索控制和错误纠正控制等。(4)数据输出控制。输出控制的重点在于数据稽核控制,授权输出控制和打印程序控制等。
一、电子商务对会计系统内部控制的影响
(一)网络构成要素的复杂性使得系统安全控制的难度加大。网络是一个庞大的系统,电子商务是一种整合的经济模式,交易与服务活动的完成一般以Internet、Extranet和Intranet三种网络为基础。计算机硬件、软件、人员和各种规程等构成上述各种网络组织的基本要素。由于硬件配置不合理、软件功能欠完善、系统操作失误、内部管理人员的非法访问及来自外部的恶意攻击等原因,网络组织的各个层面将面临着严重的安全威胁。错综复杂的网络结构使得系统安全问题日益突出,安全控制的难度将进一步加大。
(二)网络数据处理的集中性使得传统的组织控制功能减弱网络的应用大大减少了人工输入环节,数据访问和数据交换都通过应用服务器进行。网络计算机集成化处理促使传统手工会计中制单、复核、记帐等不相容岗位相互牵制制度的效力逐步削弱,传统的组织控制功能弱化。
(三)网络环境的开放性使得会计信息失真的风险加剧。从信息的取得渠道看,其来源具有多样性有可能导致审计线索紊乱;从信息传递的方式看,大量信息通过网络通讯线路传输,有可能遭受非法的拦截、窃取和纂改;从信息的存储形式看,信息大都以电子数据的形式存储,肉眼很难辨认,易被修改、删除、隐匿、转移和伪造且不留痕迹。网络系统的开放性和动态性加大了审计取证难度,加剧了会计信息失真的风险。
二、网络会计系统内部控制的主要内容
(一)组织与管理控制。(1)适当的职责分离。这就是设置网络管理中心,由网管中心全盘规划,合理布局,采取措施确保各工作站、终端和人员之间适当的职责分离;(2)优化配置人力资源。良好的人力资源管理政策对于企业内部控制的顺利实施起着关键性的作用。因此要制定措施,确保人力资源的合理利用。(3)发挥内部审计的作用。内部审计的本质是一种特殊的组织控制。通过内部审计部门对网络会计系统信息的质量和完整性进行独立和公正地监督与评价,有利于系统内部自我约束、自我激励机制的建立与健全。
(二)系统开发控制。系统开发控制是为保证网络会计系统开发过程中各项活动的合法性和有效性而设计的控制措施,它应贯穿于系统规划、系统分析、系统设计、系统实施和系统运行测试与维护的各个阶段。其主要内容包括如下:(1)明确开发目标,制定项目管理计划,进行项目的可行性研究与分析;控制开发进度,监督开发质量,检查各功能模块设置的合理性及程序设计的可靠性,提高系统的可审性。(2)利用网络在线测试的功能,检验整个系统的完整性,并应对非法数据的容错能力、系统抗干扰能力和发生突发事件的应变能力以及系统遭遇破坏后的恢复能力进行重点测试;做好人员和设备等资源的整合配置以及初始数据的安全导入,保证新旧系统的转换有序进行。(3)一旦发现网络系统各类软件可能存在安全漏洞,应立即进行在线修补与升级,并将所有与软件修改有关的记录报告及时存储归档。
(三)日常操作系统管理控制。(1)制定上机操作规程。主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。(2)加强系统人员的操作管理。人作为系统主体是网络发展的基本动力和信息安全的最终防线,人员操作管理的重点是权限控制。系统管理员被赋予超级用户管理权限,主要负责系统硬、软件的管理维护和网络资源分配,操作人员应按照被授予呐权限严格作业,不得越权接触系统,系统程序员不得进行业务操作,以避免人为因素或操作不当给操作系统带来不必要的损失和风险。(3)建立计算机资源访问授权和身份认证制度。即明确每个用户的安全级别和身份标识,并分别定义具体的访问对象;(4)建立安全稽核机制。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。(5)设置安全检测预警系统。即实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络连接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的可持续改进的安全模式。
(四)网络系统安全控制。(1)硬件设备安全控制。硬件设备安全主要涉及计算机机房环境和设备的技术安全要求。应制定网络计算机机房和设备的管理制度、岗位职责和操作规程,严格禁止无关人员接触系统,专机专用;计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双系统备份。(2)系统软件安全控制。严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复的功能。(3)会计信息安全控制。会计信息安全的基础是密码学。按加密和解密算法所用的密码是否相同,将密码分为对称密码体制和非对称密码体制。后者在信息安全管理方面得到了广泛的应用。如通信线路上的数据流加密,数据库中的数据文件加密,访问者的身份认证,数字签名等。除密码学之外,模式识别的方法也在网络信息安全方面得到应用。如指纹识别、面容识别在身份认证中具有很好的作用。(4)系统入侵防范控制。为了防止非法用户对网络会计系统的入侵,应采取设置防火墙,身份认证和授权管理等安全技术,用以限制外界对主机操作系统的访问;用以隔离开局应用系统与外界访问区域之间的联系,限制外界穿过访问区域对网络应用系统服务器尤其是对会计数据库系统的非法访问;加强原有的基于帐户和口令的控制,提供授权访问控制和用户身份识别。(5)交易安全控制。为了保证交易者的交易信息不被他人窃取或破译,主要应采取数字加密、数字认证等核心技术。
(五)应用控制。应用控制是指在网络会计系统的数据输入、通讯、处理和输出环节所采用的控制程序和措施。(1)输入控制。输入控制的重点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验,如总数控制校验、平衡校验、科目代码校验和逻辑关系测试等。(2)通讯控制。通讯控制的重点在于批量控制,业务时序控制、数据编码控制与发放和接收的标识控制等。(3)处理控制。处理控制的重点在于处理过程的现场控制、数据有效性检测、预留审计线索控制和错误纠正控制等。(4)数据输出控制。输出控制的重点在于数据稽核控制,授权输出控制和打印程序控制等。