一、重视系统开发是保证会计信息系统安全控制的基础 我国网络环境下会计信息系统安全问题的研究应本着立足国情、解决急需的原则,一方面学习外国的先进经验和技术,另一方面加速我国网络环境下会计信息系统安全问题理论的研究和人才的培养。在网络环境下会计信息系统安全问题研究上,政府应发挥管理和引导的作用,以推进这项宏伟事业的发展。从系统设计源头开始,确保开发有一个良好的开端并使最终的软件产品满足企业信息化管理的需要。系统开发控制是一种预防性控制,目的是使系统开发过程及其开发的内容符合系统的要求。网络环境下会计信息系统开发的过程同时也是企业再造的过程,必须把新的会计控制功能全面融入会计信息系统中。一般而言,使用者只将会计信息系统作为一个“黑盒”,并期望系统本身包含了必要的控制要素。因此,在会计信息系统开发设计中必须将系统控制损失目标融进来,除了遵循开发规范如分析员及程序员生产控制、结构化程序设计等原则外,还应考虑会计信息系统的可审计性及可控性。系统本身应提供审计线索,提供达到审计人员详细程度要求的文件,并在适当的时间、范围内保存这些文件,以帮助用户和审计人员在系统内部和系统之间正向或反向追踪经济业务。为加强系统可控性,系统应能保证输入和输出数据能被合理编辑与验证,能识别用户存取级别的合法代码,能对主系统及子系统之间的接口加以控制等。随着管理者越来越需要决策的信息,以便有效地组织和控制资源,会计信息系统的决策支持子系统逐渐出现,这种系统与作业型系统迥然不同,很多是由管理者委托开发或自行设计的。这些应用程序在控制方面的问题更多。首当其冲的问题就是缺乏质量保证,包括没有对需求做详细说明,软硬件的搭配不当,缺乏文档数据有效性的检验、控制、备份和恢复,以及缺乏数据安全性检测等。针对含糊不清的需求问题,应采用原型法开发策略,原型法下系统的需求定义过程是一个不断交流的过程,原型法是一个迭代过程,即先定义少量功能,然后反馈、评价,再扩充功能,直至满意为止,所以成为解决需求定义的一种有效方法。此外,对自行开发者,用户顾问应制定规章制度和步骤,引导用户进行开发,建立选取软硬件的准则以防止系统不兼容问题。在进行系统开发过程中,始终要围绕用户的需求这一根本的出发点,确定系统开发的目标、总体结构、开发方式及每一个工作阶段和开发进度。同时,还必须及时完成资金的筹措、认真做好费用的预算。除此之外,还必须对系统所需要的不同类型、不同层次的专业人员进行配置与培训。在这个开发过程中,不仅要对系统数据处理的各个方面进行全面的调查及经济上、技术上的可行性分析,还要求确定新系统的功能界面,并建立恰当的计算机数据处理模型。 二、重视系统实施是保证会计信息系统安全控制的条件 规模较大的系统要运用起来,都需要经过规划实施环节。系统供应商一般都配有自己的软件实施人员。目前,管理技术咨询公司也正在兴起。我国企业界现已渐渐接受这样的观点:有偿借助第三方的知识服务,作为企业“外脑”。加之第三方在软件选择方面往往具有客观公正性,而且作为专业化服务者在系统实施、帮助企业提高管理水平方面往往具有更丰富的经验。实施活动的质量直接影响系统运用,咨询公司参与软件实施可以更好地提高应用质量,系统销售与服务分离将成为一种趋势。另外,管理当局及来自外部的协作实施人员应做好有效控制的前期工作:设定组织系统体系,明确划分不同层次的各部分,规定各部门权责及相互协调关系。按各部门职责,研讨其权责内的各种作业方式、性质和特征,并说明正常情况与特殊情况下的各种问题。拟定各种作业细则或手册,分别按各种主要业务拟定各种作业处理办法或手册。拟定内部控制作业程序,根据作业调查研究结果和组织体系结构,制订作业程序草案,并与有关部门或人员讨论,征求意见,进行修改,直到完善。同时,在进行物理装备时,应保证计算机房具有防火、防水、防风的能力,需要有灭火器、排烟检测器、排水装置和挡风设备。在事故发生时能及时断电,正常断电时又能提供后援电源。有及时提供备用的机器设备。应提供对磁性介质进行严格保护的存贮设备。预先设置灾难及故障恢复系统。程序测试时要考虑到内部控制方面的内容,包括职责分工、人员管理、运行过程、最大负载情况、存贮分配、运行时间、系统恢复、安全保护、数据录入、处理和输出。在测试过程中应仔细考虑可能发生的各类错误和不正当行为,以确定防止这些错误和不正当行为的内部控制规程,对系统潜在的缺陷做出评价,并分析估计这些缺陷所产生的影响及能够采取的避免措施。 三、重视系统维护是保证会计信息系统安全控制的保障 系统维护阶段的不安全因素常常来源于会计人员的故意错弊行为,串通舞弊及人为错误。在提出对发生故意错弊行为进行安全控制的策略时,可以考虑增加施行这种行为的难度,增加被逮住或结果失败的可能性,并加大对此类行为的惩罚力度。实施这一策略的两种有代表性的方法就是实行职责轮流制和内部审计制度。除部分组织程序有特别规定以及不能实行职责轮流制的岗位外,员工应该轮换工作。内部审计是控制损失的独立系统,加强内部审计能检查出发生的错误,打消试图作弊或意欲犯罪的意图,内审人员应定期规则地检查与计算机有关的控制目标、过程以及遵照情况,核实数据和程序的完整性。针对串通舞弊及人为错误的策略,不相容职责的恰当分离可以为避免单独一人从事和隐瞒不合规行为提供合理的保证。但是,合伙即可避开这类控制,况且控制措施发挥作用的有效程序关键还要取决于执行人员的实际运作,员工的粗心大意、精力分散、理解错误、判断失误、曲解指令等都会造成控制失效。这就需要强调人力资源管理,应选择具备适当的能力和责任感的员工,并将赋予他们的责任清晰化。