彭小梅
摘要:网络环境下的会计信息系统内部控制不仅难度大、复杂,而且还要有各种控制计算机及其网络技术的手段,控制的重点是职能部门和数据处理部门并重的全面控制,在网络环境下建立起一整套完善的会计信息系统内部控制制度,可以保证会计信息系统能正确可靠地反映企事业单位经济活动,保证企事业单位实现既定的管理目标和财产的完整。
关键词:内部控制;网络;问题;对策
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2014)07-1407-03
网络时代的到来使企事业单位的会计业务运作越来越依赖于信息系统,会计信息系统内部控制也发生革命性的变革,在计算机网络环境下的会计信息系统内部控制也遇到了很多与传统环境不一样的问题。
1 会计信息系统内部控制在网络环境下的主要问题
随着计算机网络迅猛发展,电子商务、网上交易、无纸化交易等的推行,所有的交易数据都由业务人员直接输入计算机并上传到网络中,原来的核算、审核工作也基本由计算机自动完成,同时企业也将利用信息系统控制企业的经济活动,并将信息系统的控制作为企业内部控制的重要组成部分。但是在使用网络环境下的会计信息系统的快捷方便同时也将企业的信息系统置于一个开放复杂的环境中,其安全问题又不得不考虑。该文针对网络环境下的会计信息系统内部控制的主要问题分析如下。
1.1 网络环境下数据存在易失性和安全性差
网络环境下的会计信息系统的范围扩大,数据介质发生变化,各种信息转化为数字形式存储在磁介质上,如果发生火灾、被盗、感染病毒等,数据就丢失了,另外计算机网络上硬件的老化及自然损坏也是数据容易丢失的原因。在网络环境下会计信息系统内部控制系统程序本身的漏洞较普通单机版更多,系统的安全性更差,而且会计信息系统下的权限分工主要依靠口令授权,每个相关人员都有与自己权限相对应的口令,操作口令管理不严,容易在网络上泄密或被人窃取,修改、擦除和拷贝均不会留下任何痕迹,由此带来安全隐患。另外,网上银行的开通,电子商务的普及,通过网上划转资金,电子单据、电子货币、网上结算等电子化的出现,都需要采取新的有效的内部控制方法,避免数据安全问题。
1.2 数据的集成化和程序化加大了控制风险
计算机网络技术的迅猛发展使会计信息系统中的数据日趋集成化和程序化,数据的访问和交换均通过数据服务器进行,传统的人工输入数据环节功能弱化,而网络高速公路使数据处理迅速,并且联网四通八达,某个环节发生的错误极有可能在短时间内迅速蔓延,造成会计信息系统的瘫痪。会计信息系统使用的系统软件和应用程序的质量决定着整个系统的安全性和使用价值,如果这些系统软件和应用程序中存在着严重的问题,将会加大了会计信息系统的控制风险,会导致整个系统的崩溃。
1.3 对系统使用人员综合素质能力要求更高
网络信息时代带来了大量的新技术、新知识,使企事业单位的会计信息系统的环境发生了很大的变化,会计信息系统的安全保护,会计信息系统的操作人员、网络系统管理员的岗位责任等问题,对会计信息系统使用人员素质要求更高,会计部门不仅利用计算机完成基本的会计业务,还能利用计算机完成各种原先没有的或由其他部门完成的更为复杂的业务活动。
1.4 网络犯罪的隐蔽性使得控制难度加大
会计信息系统的数据储存在计算机磁性媒介上,容易被篡改。在计算机网络环境下系统数据高度集中,网络黑客或部分人员可以通过一些黑客软件浏览部分乃至全部数据文件,甚至能做到不留痕迹地复制、伪造、销毁企业重要的数据,而且网络环境下这种犯罪具有很大的隐蔽性。计算机病毒的猖獗也为威胁着网络环境下会计信息系统,病毒制造者的技术日益高超,破坏力越来越大。另外会计信息系统软件自身的BUG 和后门等因素也为系统的安全带来诸多隐患。
2 会计信息系统网络内部控制问题的解决对策
要实现网络环境下的会计信息系统安全可靠地运行,必须针对上面分析的系统内部控制问题提出解决问题的办法,笔者认为可以通过以下四个方面。
2.1 建立数据管理制度,加强数据安全保密
要建立严格的数据管理制度,如:保证会计信息系统硬件的防火、防水、防磁、防尘等安全;建立数据的备份制度,防止信息数据丢失;预防计算机病毒,防止病毒对信息系统数据的安全造成极大的危害;禁止非操作和維护人员使用会计信息系统联网计算机,或者通过网络随意进入会计信息系统。在网络环境下,要时刻防范网络黑客和病毒的攻击、窃取、破坏,需要采用操作授权、口令控制、数据加密、职能权限管理、操作日志管理等新的控制方法,这一切必须严格通过口令的控制来实现,另外还要安装防火墙,禁止安装网络下载程序,严格执行移动存储介质管理制度,确保数据的安全。
2.2 加强软硬控制,规范操作流程
数据的集成化和程序化更要加强网络环境下的硬件和软件的控制。可以通过奇偶校验、冗余校验、重复处理校验、回声校验、设备校验和有效性校验等来保证硬件系统正确可靠的控制,可以通过设计的软件内部中的各种处理故障、纠正错误、保证系统安全的控制软件来保证软件系统正常运行。操作上要保证输入数据的准确性,另外计算机软硬件的安装要保证可靠性,操作上的一些具体的措施有:部门内部的职责分离、凭证审核、手续控制、建立科目名称与代码对照文件、设计科目代码自动校验功能、试算平衡校验等。
2.3 加强人员管理,提高综合素质
会计信息系统内部控制系统需要加大对现有相关人员的继续教育,确保系统内每一个人员都能知道其所拥有的权力和承担的责任,注重培养人员的综合业务素质,提高会计信息系统使用人员的风险防范意识,使其能适应现代会计信息系统赖以生存的瞬息万变的网络环境。为了实现这一点,企事业单位需要制定相应的制度来规范加强会计信息系统使用人员的管理,需要制定操作管理制度、网络软硬件管理制度、会计档案管理制度等网络环境下的内部控制制度,将制度落实到决策、执行、监督、反馈等各个环节,树立每一个人员都应对系统的内部控制负有责任的观念。同时相关人员必须掌握一定的网络信息系统方面的知识和技能,全面熟悉网络会计信息系统的特点和风险,参与分析单位的各项业务活动,了解与业务过程相应的信息处理过程,使会计核算工作在健全、有效的内部控制之下进行。
2.4 健全相关法律法规
我国财政部虽然已经颁布了一系列内部控制规范,但有关会计信息系统内部控制方面的法律法规还不多,所以我们要与时俱进,加快防止会计信息系统犯罪的法制化进程,要健全相关法律法规,企事业单位要制定在网络环境下相应的会计信息系统内部控制法规,要明确会计信息系统中哪些方面受法律保护,对未经许可接触会计信息系统有关数据文件的行为要有明文确定属于犯罪行为,并且明确惩处方法,为网络环境下的会计信息系统提供一个良好的社会环境。
3 实际应用——企业ERP系统信息与网络安全性分析
企业的ERP系统几乎覆盖了企业运作的所有部分,包括生产、营销、管理、客服、售后服务等等。因此,在某种程度上可以将ERP系统作为企业中枢系统,统领着一切其他子系统,子系统在总系统的分配调度下协调工作,共同为企业整体的运转提供保证。如果中枢系统出现问题,将导致整个企业运转出现问题,甚至导致整个企业的瘫痪,可以说,REP系统的安全稳定对于企业整体的安全有着重要作用。
3.1 网络组建模式
目前来看,我国使用REP系统的企业大多为计算机方面的企业,多数采用的都是构建主干网后通过主干网将各个子系统互相联系,子系统彼此之间相互联系,共同构成整个完善系统的网络。
这类系统的网络中心一般都在企业总部,以总部为出发点,将分支与子企业相联系,实现网络的互联。作为整体网络重要的环节,总部不仅仅是作为网络的中心,还是整体系统的管理枢纽。尽管不同行业的网络系统在结构功能上会有所不同,但整体上基本结构相同,大致可以分为商务部、信息部和办公部三部分,这些部分在不同企业会承担着不同的责任和义务。
3.2 安全需要
企业ERP系统的安全与稳定关系到整个企业能否正常运行,是企业需要特别注重的方面。为了保证系统的安全,不仅仅要保证主系统不受外部干扰,还应确保各个部门之间的联系和资源共享得到安全保证,做到不越权进行彼此互访,防止内部安全系统出现问题。值得注意的是,目前很多企业在进行内部沟通时都会采用电子邮件或者网络系统等方式,这就给一些外来人员提供了一些可乘之机,因此在进行此类的沟通时,企业应该注意保证内部的安全可靠,必要时可以对所交流信息进行加密处理,保证内部资料不被外泄。
3.3 系统的安全目标
1)保证企业内部信息在传递获取过程中保持完整性和独立性,严格控制内部人员对于信息的处理和使用,防止信息外泄。
2)信息在进行交流和沟通时,对于一些重要文件内容的处理应该在得到相关部门允许后才开始分享。保证企业重要信息安全性。
3)控制外来人士对于企业网络的使用和访问,可以通过监察访问人士ip地址的方法对来访人员进行监督,一旦发现可疑人士,马上报告相关部门,针对来访人员特征,采取相应措施进行处理。
3.4 信息安全目标
在经济快速发展的现代,信息资源在某种程度上已经成为一种资本,拥有最新消息,最广泛信息来源的企业往往能未雨绸缪,及时规避一些即将到来的风险,最大限度保全企业。因此,企业的信息安全也就显得格外重要,可以说,谁掌握了最新最可靠的信息,谁就拥有了在市场竞争的主动权。一般来说,按照信息的重要程度可以分为以下四类:公共级信息、内部级信息、机密级信息和限制级信息共四类。
1)公共信息指那些对于企业来说没有重要意义的信息,这种信息可以透露给观众,由于它本身不含有太大价值,它的泄漏也不会对企业产生影响。
2)内部信息比公共信息机密性要高一些,有一些信息对于企业有着一定的利用价值,不是以直接公布给公众。但有些信息可以通过其他方式传递给取到信息获取资格的公众人士。
3)机密信息一般指对于企业有着重要作用的信息,这部分信息需要严格保密,一旦泄露很可能对合作的客户服务商等造成极为不利的影响,因此在企业内部需要进行加密处理,防止外来人士对机密信息随意利用。
4)限制级信息的安全等级最高,需要进行特殊处理,这部分信息在企业内部也应该做周密的保密处理,只能对企业内部特殊人员开放。信息一旦泄露将可能给企业带来毁灭性打击,因此在使用和处理限制级信息的时候,一定做到多重保密手段综合使用,最大化的保证信息的安全稳定。
5)企业ERP系统的安全体系结构
首先需要满足安全策略,构建一套整体安全稳定的系统,并进行身份识别设置,对于外来人员的访问资格进行限制,这是目前最流行的保护方式,也是最常用的方式之一。
其次应该对系统进行授权管理和对访问进行控制。一方面控制物理方面的访问,比如采用警报器、安全钥匙等,另一方面保证逻辑访问控制,包括防火墙系统和交换机系统等。
最后应该确保信息的保密性和完整性。对信息进行分级设置,保证不同保密等级的信息得到相应保护。
参考文献:
[1] 张铁峰,贾丽娜.中小企业内部审计在企业内部控制制度建设中的作用[A].中国内部审计协会2009年度全国“内部审计与内部控制体系建设”理论研讨暨经验交流会三等奖论文汇编[C]. 2009.
[2] 中国移动浙江公司课题组.内部审计与内部控制体系建设——内部审计在企业开展内部控制评价的实践[A]. 中国内部审计协会2009年度全国“内部审计与内部控制体系建设”理论研讨暨经验交流会三等奖论文汇编[C]. 2009 .
[3] 陳莹,刘新侠,方鸿.以风险为导向的内部审计在健全内部控制构建全面风险管理体系中的作用[A]. 全国内部审计理论研讨优秀论文集三等奖论文汇编[C]. 2011.
[4] 宋伟,曲首晟. 商业银行内部审计在内部控制中的作用[A]. 中国内部审计协会2009年度全国“内部审计与内部控制体系建设”理论研讨暨经验交流会三等奖论文汇编[C]. 2009.
[5] 运用内部审计评价推进内部控制建设的实践[A]. 中国内部审计协会2009年度全国“内部审计与内部控制体系建设”理论研讨暨经验交流会三等奖论文汇编[C]. 2009.
[6] 陈小琴. 新的起点,新的挑战与机遇——浅析现代公司制度下的内部审计[A]. 石油杯全国上市公司内部审计理论研讨会暨经验交流论文汇编[C]. 2003.