随着现代信息技术的发展和网络时代的到来,网络技术在会计领域的应用和发展日益深入,建立在网络环境基础上的以计算机、网络及通讯等现代信息技术为手段而发展起来的会计信息系统形成了网络化会计信息系统。信息技术的运用使会计信息系统改变了传统模式下会计信息处理、传递和使用的方式,提高了信息资源的共享性、实时性和高效性,但同时也给内部控制带来了新的挑战。 一、网络化会计信息系统内部控制面临的新问题 (一)系统安全控制的难度加大 网络是一个庞大的系统,企业交易与服务活动的完成一般以Internet、Extranet和Intranet三种网络为基础。网络化会计信息系统由计算机硬件、软件、人员和各种规程等基本要素构成。由于硬件配置不合理、软件功能欠完善、系统操作失误、内部管理人员的非法访问及来自外部的恶意攻击等原因,会计信息系统的各个层面将面临严重的安全威胁。网络是一个开放的环境,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断开链接。因此,网络环境下的会计信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。这种攻击可能来自于系统外部,也可能来自系统内部,并且一旦发生将造成巨大的损失。错综复杂的网络结构使得系统安全问题日益突出,安全控制的难度将进一步加大。 (二)传统的组织控制功能削弱 授权、批准控制是一种常见的、基础的内部控制。在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的审核和签章。但网络的应用大大减少了人工输入环节,数据访问和数据交换都通过应用服务器进行,传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。业务人员利用特殊的授权文件或口令,获得某种权利或运行特定程序进行业务处理,由此引起失控而造成损失的案例数不胜数。例如:业务人员被客户收买,非法取得他人口令绕过批准程序开出销售单;非法核销客户应收款及相关资料;掌握公司顾客订单密码,开出假订单,骗走公司产品等。计算机网络的集成化处理使传统手工会计中制单、审核、记账等不相容岗位相互牵制制度的效力逐步削弱,传统的组织控制功能减弱。 (三)会计信息失真的风险加大 在网络环境下,会计数据在传递过程中,非法攻击者采用诸如:地址欺骗、口令冒用、避开端口保护或访问控制、冒充主机用伪造的访问控制程序欺骗合法用户、套取口令和密钥等方法进入系统,通过向系统实施干扰、采用、删除、更改、增添、重放、伪造等方法向系统加入虚假信息,或将计算机病毒注入会计信息系统,破坏会计信息的真实性与完整性;有的非法攻击者窃取系统中的信息,使会计信息保密性遭到破坏,而己方却不能察觉,最终给用户带来巨大损失。此外,在进行处理过程中会计信息系统的信息通常都以源码出现,加密保护对处理中的信息不能起作用,在这期间有意的攻击和意外的操作都极容易使会计信息遭受破坏,造成信息失真和信息损失。 (四)用户的识别和验证问题突出 由于网络用户和终端分布在各处,传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在,使得信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。在网络环境下,如何识别和验证真实的用户身份,成为内部控制要解决的又一突出问题。 二、加强网络化会计信息系统内部控制的策略 针对网络化会计信息系统内部控制的新问题,必须采取有效的内部控制策略,才能“防患于未然”。加强网络化会计信息系统的内部控制策略主要有: (一)善以权限控制为核心的组织控制 企业必须从实际出发,合理地进行岗位分工,明确岗位职责,制定科学规范的工作流程,以最大限度地提高会计工作效率,防范和化解工作风险。针对不同的工作岗位设立不同的操作权限,口令密码要不定期地更换。要建立健全企业会计电算化岗位责任制度、操作管理制度、计算机硬件、软件和数据管理制度以及会计电算化档案管理制度等规章制度。充分运用财务软件自身控制功能,实行权限管理,互相监督,互相牵制;实行集中式事后监督与实时监控相结合的内控机制,保证组织控制的有效性。 (二)加强会计信息失真风险的防范 1.计算机物理上安全与硬件系统(包括网络系统)的保护是防止会计信息损失的重要环节。为此,要加强防护自然灾害对会计信息系统硬件的损害;采取必要的措施防止计算机设备被盗以及网络线路被窃听;采用消除静电、系统接地、键盘安全套防电磁干扰等技术措施,尽量减少电磁对硬件的损害;为防止供电突然中断,专门配备一定容量的不间断电源等。 2.要选用安全的操作系统。在操作系统的安全性考虑方面既要考虑到选用和实现的安全性,又要考虑操作系统要能够为用户提供各种保护措施。选用操作系统时,要考虑隔离性、核心性、层结构性、环结构性等诸多方面的选择,使操作系统的安全性能体现在整个操作系统的选择和结构中。操作系统还应该对存储器的存取和对象(如:文件、目录)等两方面提供有效的保护服务。对存储器的保护包括栅栏保护、再定位保护、基本/界限寄存器保护、标志位保护、分段保护等方面的服务。对文件目录的保护是杜绝仿造存取权,不允许任何用户都可以写文件目录,由操作系统统一保护所有的文件目录。 3.加强数据库的安全管理和存取控制,对数据库采取加密手段防止信息泄漏。数据库加密手段有库内加密、整个数据库加密、硬件加密等。通过这些措施,确保数据库的安全性和保密性。
