网络环境下会计电算化系统内部控制探讨
摘要:本文通过对比的方式探讨网络环境下会计电算化系统内部控制的新变化、新特点。 近年来,随着计算机技术和网络通讯技术的发展,会计领域里先后发生了两次意义深远的革命。第一次是电算化会计系统的广泛应用,第二次则是正在发展中的网络化会计电算系统的普及。
这两次革命都对会计系统的内部控制产生了重要影响。在传统的电算化系统即单机系统下,一方面诸如计算错误之类的技术性问题得到解决,另一方面又出现了传统手工会计系统所没有的新问题。而第二次革覆盖网络的广泛应用在很大程度上弥补了单机电算化系统的不足,使电算化会计系统的内部控制更加完善,同时也对它提出了新的要求。
一、单机会计电算化系统中内部控制的缺陷
由于计算机具有工作自动化,控制程序化、存储数字化等特点,传统的单机电算化系统在提高会计工作效率的同时也带来了内部控制上的新问题,具体表现在:
(-)原始凭证数字化易于伪造
计算机的存储方式是信息转化为数字形式存储在磁(光)介质上,因此极易被篡改甚至伪造而不留任何痕迹。这给一些不法之徒提供了机会,比如通过伪造或修改客户、银行的凭证,制造虚假交易,进而侵吞公款等。
(二)会计业务缺乏有效牵制
在传统手工会计系统中,一笔业务要经过几道岗位才能被确认,这使得会计活动在进行时就实现了良好的内部牵制,为会计数据的安全提供了保证。而在电算化系统下,由于计算机的自动高效使工作人员减少,各种手续都被合并到一起由计算机统一执行,从而不能像手工方式那样相互牵制,成为内控隐患。
(三)内部控制更加依赖于程序的质量
电算化系统的主体是计算机软件。因此其内部控制也更加依赖于程序的质量。一旦程序中存在严重的BUG或恶意的“后门”,便会严重危害系统安全。而会计人员对计算机专业知识所知甚少,很难及时发现这些漏洞,致使系统会多次重复同一错误,扩大损失。这也是手工会计系统不会遇到的问题。
(四)采用口令授权容易导致泄密
电算化系统下权限分工的主要形式是口令授权。口令存放于计算机系统内而不是像印章那样锁在箱子里或带在主人身上,因此一旦被人偷看到或窃取到便会带来巨大隐患。比如下级人员记住了上级主管人员的密码并以其身份登录进行越权操作等。如果该人员懂得一些电脑知识,绕过系统日志进行操作则更将无影可查。
二、网络技术的发展对电算化会计系统内部控制的影响
随着网络技术的成熟,会计系统也由单纯的电算化走向开放式、网络化。从内部控制角度看,它一方面弥补了单机系统的缺陷,一方面也带来了新的问题。
(-)网络环境下电算化系统内部控制的完善
1、网上公证——一三方牵制的形成。由于网络环境下原始凭证仍然要来用数字方式进行存储,所以也不能像手工系统那样对每一张凭证作痕迹检验。可是利用网络所特有的实时传输功能和日益丰富的互联网服务项目,我们可以实现原始交易凭证的第三方监控,即网上公证。比如每一家企业都在互联网认证机构领取数字签名认证和私有密钥。当业务发生时,一方将单据传到认证机构,由认证机构确认并将经过数字签名的加密凭证与未加密凭证同时转发给另一方。这样就得到了一笔确实经过双方认可的交易。而单独某一方因无法获得另一方的数字签名和私有密钥,不可能伪造交易凭证。同时,该凭证以加密和未加密两种形式存储于企业的数据库中,会计人员只有可能修改其未加密的那一份。这样一旦审计人员或主管人员对某笔业务产生怀疑,只需将加密凭证提交客户和认证机构其解密并加以对照即可。
2、监控与操作的分离实现了系统内部的有效牵制。从前一部分的分析可以看出,电算化系统下内部牵制没有手工系统完善。但是从另一个角度看,手工系统下的“多方牵制”也不是一个成熟的牵制方法,它只不过是手工系统工作效率低下,人员过度冗余的副产品,它没有明确划分操作与监督的关系,只是通过多人的重复劳动实现“牵制”。因此这种传统的牵制手段已不能适应电算化会计系统的要求,必须找到能够充分利用网络实时高效的特点的方法。一个比较有效的办法是在电算化系统内分出操作与监控两个岗位,对每一笔业务同时进行多齐备份。当会计人员进行账务处理时,其操作和数据也被同步记录在监控人员的机器上,由监控人员进行即时或定期审查,一旦出现数据不一致便进行深入调查。这样明确了岗位的划分,真正作到了“精兵简政”。
3、在线测试的实现使软件内部可能存在的漏洞能够得到及时的解决。众所周知,对于计算机软件来说,其内部错误或不足是无法避免的。因此其解决办法只有两个:一是在开发过程中加强交流,充分测试,二是在发现问题后及时解决。而在单机系统下,用户与软件供应商之间由于受空间、时间的影响无法进行充分的交流,降低了系统的可信赖性。但是在网络时代,即使万里之隔也可以在几秒钟内建立连接,进行实时高质的通讯或迅速传输软件。这给解决上述问题带来了方便。比如在开发时期用户可以随时向供应商提出最新的要求或意见,同样,开发商也可以及时把刚修正的软件传送给用户进行测试,大大提高了软件质量和开发速度。同样在使用过程中,开发商可以通过网络对用户的系统进行定期的在线测试,一旦发现问题可以及时通知用户并进行在线升级,把BUG的存在时间控制在最短,提高系统健壮性。 4统一实时管理确保了口令授权的安全。由于网络环境下系统权限控制的主要方式也是通过口令实现的,因此也存在非法使用的问题。但利用网络的实时联系功能,我们可以实现对各级口令的统一实时管理。当某操作人员上机时,其使用的身份和口令及详细信息将同时反映在监督人员的机器上,监督人员可以根据实际情况对当时口令、身份使用情况作以分析,判断是否有非法登录。同时我们还能通过编制监测软件实现自动报警。比如主任会计下机后通知监控方将其身份锁起。此时如有其他人员试图以其身份登录,监控软件会迅速作出反应并通知管理者。
(二)网络环境下电算化系统内控的新问题。
1、网络是一个开放的环境,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断一开连接。因此,网络下的会计信息系统很有可能遭受非法访问甚至黑客或病毒的恶意侵扰。这种攻击可能来自系统外部,也可能来自系统内部;而且一旦发生将造成巨大的损失。
2、随着电子商务的迅猛发展,网上交易愈加普遍,可以想像在不久后企业的全部原始凭证都将成为数字格式,这加强了企业对网上公证机构的依赖。但直到目前相应的技术和法规还远没有达到完善,这也给系统的内部控制造成困难。
三、网络环境下电算化会计系统内部控制的完善
从前面可以看到,网络环境下电算化系统与传统单机化系统相比,在内部控制方面有了进一步的完善。但从本质上说,它们仍然属于电算化系统的一种,因此其内控内容与过去相比并没有太大的变动,只是在具体问题上有些变化。我们可以把网络会计信息系统内部控制归结为以下几个主要方面:
(一)组织与管理控制
网络环境下会计人员的分工与组织应以工作高效、便于监控为主要目标。在具体的岗位设置上分为操作、监督、维护三部分。操作岗位负责数据的录入、分析工作;监督岗位通过网络对操作岗位的行为、结果进行记录和审查;系统维护人员则专门负责系统的健壮性及网络的安全性问题。
(二)开发与维护控制
对于自行开发系统的单位,必须作好开发前的可行性研究、需求分析和开发人员的分工问题。尤其要注意开发人员与使用人员。维护人员必须分开,以防“后门”。在平日的维护中必须建立完善的制度,并与软件供应商保持必要的联系。
(三)操作控制
单位应制定详尽的操作规程,对各级操作人员的权限加以划分。由监督人员通过实用监测随时审查是否有违法操作、越权操作。同时要注意减少操作过程中对系统的不必要的损害。
(四)软件控制
即软件内部对各种错误或非法操作的控制。这一点可以通过加强与供应商的联系实现。
(五)数据和程序控制
这主要是保证数据及程序不会被修改。在网络下可以通过前面的多方备份等技术加以实现。
(六)网络安全控制
这本属于维护控制的一部分,但因其在网络环境下的重要性。应单独作为一项重要内容进行控制。其内容主要包括网络健壮性控制、网络容错控制,检测非法入侵能力等几方面。采用先进的防火墙技术,在不需要对外联系时断开与外部网的连接,并定期请网络专家进行安全评测。
(七)加强内部工作人员的选拔、培训工作
从统计上看,90%以上的网络安全事故是由于“内盗”或“疏忽”造成的。设有经过安全培训的管理员很容易发生泄露重要密码、扩大用户权限等错误。因此作好这一点是保证系统安全,防止非法入侵的关键。
虽然以上措施会增加系统的运行成本,但从内控角度看,它们是必不可少的。总之,随着网络技术的逐渐成熟与完善,会计信息系统的内部控制体系将发生深刻的变化。只有清楚的意识到这些变化,才能适应社会的发展,建立完备的、崭新的会计体系。