您的位置:正保會計網校 301 Moved Permanently

301 Moved Permanently


nginx
 > 正文

互聯(lián)網下會計電算化內部控制研究

2004-02-25 09:09 來源:

    隨著電子商務的發(fā)展和網絡會計的逐步實施,企業(yè)會計核算與會計管理的內部外部環(huán)境發(fā)生了巨大變化,傳統(tǒng)會計電算化系統(tǒng)的內部控制機制和手段很難適應互聯(lián)網環(huán)境。建立適應于互聯(lián)網環(huán)境下的內部控制體系是企業(yè)急需解決的問題。

    一、互聯(lián)網環(huán)境給內部控制提出了新課題

    (一)網絡會計的應用擴大了企業(yè)會計核算范圍

    企業(yè)實施網絡會計以后,會計核算環(huán)境發(fā)生了很大的變化。第一,會計部門的組成人員結構發(fā)生變化,由原來的財務、會計人員轉變?yōu)橛韶攧、會計人員和計算機操作員、網絡系統(tǒng)維護員、網絡系統(tǒng)管理員等組成。第二,會計業(yè)務處理范圍變大,除完成基本的會計業(yè)務,網絡會計同時還集成許多管理以及財務功能的相關功能,諸如網上支付、網上催帳、網上報稅、網上報關、網上法規(guī)及財務信息查詢、網上詢價、網上采購、網上銷售、網上服務、網上銀行、網上理財、網上保險、網上證券投資和網上外匯買賣等等。第三,網絡會計提供在線辦公等服務,從而使會計信息的網上實時處理成為可能,原來由幾個部門按預定步驟完成的業(yè)務事項可集中在一個部門甚至一個人完成。因此,要保證企業(yè)會計系統(tǒng)對企業(yè)經濟活動反映的正確可靠、達到企業(yè)內部控制目標,企業(yè)內部控制制度的范圍和控制方法較原來系統(tǒng)將更加廣泛和復雜。

    (二)網絡會計使會計信息儲存方式和媒介發(fā)生變化

    從數據和交易層次看,網絡會計采用高度電子化的交易方式,對數據的正確性、交易及其軌跡均帶來新的變化。原始憑證在網絡業(yè)務交易時自動產生并存入計算機,交易的全過程均在電子媒介上建立、運算與維護,不再存在傳統(tǒng)的原始憑證,而且大量的數據錄入和交易驅動發(fā)生在企業(yè)外部;會計電算化的第一階段促進了介質的改變,從帳本到磁盤文件,網絡會計使會計介質繼續(xù)發(fā)生變化,不僅是帳表,更多的介質將電子化,出現各種電子單據(如各種發(fā)票、結算單據)。存貯形式主要以網絡頁面數據存貯,網頁數據只能在計算機及相應的程序中閱讀;原來在核算過程中進行的各種必要的核對、審核等工作大部分由計算機及網絡自動完成。因此,網絡環(huán)境下會計內部控制的重點由對人的控制為主轉變?yōu)閷θ、計算機和互聯(lián)網的控制。

    (三)網絡會計使企業(yè)面臨的安全風險加大

    網絡會計的應用使原來封閉的局域網會計系統(tǒng)面臨開放的互聯(lián)網世界,給財務系統(tǒng)的安全提出了嚴重的挑戰(zhàn)。第一,在網絡環(huán)境下,過去以計算機機房為中心的“保險箱”式安全措施已不適用,大量的會計信息通過開放的Internet傳遞,途經若干國家與地區(qū),置身于開放的網絡中,存在被截取、篡改、泄漏機密等安全風險,很難保證其真實性與完整性。第二,由于互聯(lián)網的開放特性,給一些非善意訪問者以可乘之機,目前黑客肆虐,世界上和各類網站每天都受到成千上萬次攻擊,網絡會計系統(tǒng)無疑面臨巨大的安全風險。第三,計算機病毒的猖獗也為互聯(lián)網系統(tǒng)帶來更大的風險,在互聯(lián)網中,計算機病毒可以通過E-mail或用戶下載文件進行傳播,其傳播速度是單機的20倍,因而有效地防治計算機病毒對保障網絡系統(tǒng)的安全性至關重要。

    (四)網絡會計與電子商務的法律環(huán)境滯后

    網絡會計、電子商務的迅猛發(fā)展遠遠超出了現有法律體系的規(guī)范,互聯(lián)網是一個缺乏“警察”的信息高速公路,信息的跨地區(qū)和跨國界傳輸又難以公證和仲裁。包括我國在內的很多國家,目前還缺少有關電子商務交易責任與可靠性方面的法律規(guī)定,司法部門仍對如何決定電子文檔的合法性以及什么構成有效的電子簽名等問題存在爭議。這樣,電子交易可能引發(fā)的法律爭端,如證據、合同的履行以及可靠性問題等,便成為企業(yè)內部控制不得不關注的又一問題。

    二、互聯(lián)網環(huán)境下內部控制措施

    基于互聯(lián)網的會計信息系統(tǒng),由于其在系統(tǒng)的開放性、處理的分散性、數據的共享性等方面大大超過了以往任何類型的系統(tǒng),極大地改變了以往計算機系統(tǒng)的應用模式,擴展了系統(tǒng)運行的內容和方法。因此,我們需要根據互聯(lián)系統(tǒng)的特點及其風險來源,重新確立系統(tǒng)的控制點,并建立相應的控制體系。

    (一)基于企業(yè)內部網的控制措施

    1.會計信息資源控制。會計信息來源于網絡服務器的數據庫系統(tǒng)中,因而網絡數據庫系統(tǒng)是整個網絡會計系統(tǒng)控制的重點目標。對數據庫系統(tǒng)的安全威脅主要有兩個方面:一是網絡系統(tǒng)內外人員對數據庫的非授權訪問,二是系統(tǒng)故障、誤操作或人為破壞數據庫造成的物理損壞。針對上述威脅,會計信息資源控制應采取以下措施:(1)采用三層式客戶機/服務器模式組建企業(yè)內部網,即利用中間代理服務器隔離客戶與數據庫服務器的聯(lián)系,實現數據的一致性;(2)采用較為成熟的大型網絡數據庫產品并合理定義應用子模式,子模式是全部數據資料中面向某一特定用戶或應用項目的一個數據處理集,通過它可以分別定義面向用戶操作的用戶界面,做到特定數據面向特定用戶開放;(3)建立會計信息資源授權表制度;(4)采取有效的網絡數據備份、恢復及災難補救計劃。

    2.系統(tǒng)開發(fā)控制。系統(tǒng)開發(fā)控制是一種預防性控制,目的是確保網絡會計系統(tǒng)開發(fā)過程及內容符合內部控制的要求。財務軟件的開發(fā)必須遵循國家有關部門制訂的標準和規(guī)范。(1)在網絡會計系統(tǒng)開發(fā)之初,要進行詳細的可行性研究;(2)在系統(tǒng)開發(fā)過程中,內審和風險管理人員要參與系統(tǒng)控制功能的研究與設計,制定有效的內部控制方案,并將定制的控制方案在系統(tǒng)中實現;(3)在系統(tǒng)測試運行階段,要加強管理與監(jiān)督,嚴格按照《商品化會計核算軟件評審規(guī)則》等各種標準進行。

    3.系統(tǒng)應用控制。應用控制是指具體的應用系統(tǒng)中用來預防、檢測和更正錯誤,以及防止不法行為的內部控制措施。(1)在輸入控制中,要求輸入的數據應經過必要的授權,并經有關內部控制部門檢查,還要采用各種技術手段對輸入數據的準確性進行校驗;(2)在處理控制中,對數據進行有效性控制和文件控制,有效性控制包括數字的核對、字段和記錄長度檢查、代碼和數值有效范圍的檢查、記錄總數的檢查等,文件控制包括檢查文件長度、標識和是否染毒等;(3)在輸出控制中,一要驗證輸出結果是否正確和是否處于最新狀態(tài),以便用戶隨時得到最新準確的會計信息,二要確保輸出結果能夠送發(fā)到合法的輸出對象,文件傳輸安全正確。

    4.系統(tǒng)維護控制。系統(tǒng)維護包括軟件修改、代碼結構修改和計算機硬件與通訊設備的維修等,涉及到系統(tǒng)功能的調整、擴充和完善。對網絡會計系統(tǒng)進行維護必須經過周密計劃和嚴格記錄,維護過程的每一環(huán)節(jié)都必須設置必要的控制,維護的原因和性質要有書面形式的報告,經批準后才能實施修改。軟件修改尤為重要,網絡會計系統(tǒng)操作員不能參與軟件的修改,所有與系統(tǒng)維護有關的記錄都應該打印后存檔。

    5.管理控制。管理控制是指企業(yè)為加強和完善對網絡會計系統(tǒng)涉及的各個部門和人員的管理和控制所建立的內部控制制度。由于網絡會計系統(tǒng)是一種分布式處理結構,計算機網絡分布于企業(yè)各業(yè)務部門,實現財務與業(yè)務協(xié)同處理,因此原來集中處理模式下的行政控制轉變?yōu)殚g接業(yè)務控制。主要應采取如下幾方面的措施:(1)設置適應于網絡下作業(yè)的組織機構并設置相應的工作站點;(2)合理建立上機管理制度,包括輪流值班制度、上機記錄制度、完善的操作手冊和上機時間安排并保存完備的操作日志文件等;(3)建立完備的設備管理制度。

    6.內部審計。為監(jiān)督并促進系統(tǒng)運行質量的提高,企業(yè)應設立獨立的內部審計部門,在審計委員會或高層決策機構領導下工作。內部審計應包括:(1)對會計資料定期進行審計,會計電算化系統(tǒng)帳務處理是否正確,是否遵照《會計法》及有關法律、法規(guī)的規(guī)定;(2)監(jiān)督數據保存方式的安全、合法性,防止發(fā)生非法修改歷史數據的現象;(3)對系統(tǒng)運行各環(huán)節(jié)進行審查,防止存在漏洞。

    (二)基于企業(yè)外部網的控制措施

    1.周界控制。周界控制是通過對安全區(qū)域的周界實施控制來達到保護區(qū)域內部系統(tǒng)的安全性目的,它是預防一切實行外來攻擊措施的基礎,主要內容包括:(1)設置外部訪問區(qū)域,明確企業(yè)內部網絡的邊界,防止“黑客”通過電話網絡進入系統(tǒng);(2)建立防火墻,在內部網和外部網之間的界面上構造保護屏障,防止非法入侵、非法使用系統(tǒng)資源,執(zhí)行安全管理措施,記錄所有可疑事件。

    2.大眾訪問控制。大眾訪問包括文件傳遞、電子郵件、網上會計信息查詢等,由于互聯(lián)網絡系統(tǒng)是一個全方位開放的系統(tǒng),對社會大眾的網上行為實際上是不可控的。因此,企業(yè)應在網絡會計系統(tǒng)外部訪問區(qū)域內采取相應防護措施。外部網絡的訪問控制主要有:(1)在網絡會計系統(tǒng)中設置多重口令,對用戶的登錄名和口令的合法性進行檢查;(2)合理設置網絡資源的屬主、屬性和訪問權限,資源的屬主體現不同用戶對資源的從屬關系,如建立者、修改者等,資源的屬性表示資源本身的存取特性,如讀、寫或執(zhí)行等,訪問權限體現用戶對網絡資源的可用程度;(3)對網絡進行實時監(jiān)視,找出并解決網絡上的安全問題,如定位網絡故障點、捉住非法入侵者、控制網絡訪問范圍等;(4)審計與跟蹤,包括對網絡資源的使用、網絡故障、系統(tǒng)記帳等方面的記錄和分析。

    3.電子商務控制。網絡會計是電子商務的基石,是電子商務的重要組成部分,對電子商務活動也必須進行管理與控制。主要措施有:(1)建立與關聯(lián)方的電子商務聯(lián)系模式;(2)建立網上交易活動的授權、確認制度,以及相應的電子會計文件的接收、簽發(fā)驗證制度;(3)建立交易日志的記錄與審計制度。

    4.遠程處理控制。網絡會計系統(tǒng)的應用為跨國企業(yè)、集團企業(yè)實現遠程報表、遠程報帳、遠程查帳、遠程審計以及財務遠程監(jiān)控等遠程處理功能創(chuàng)造了條件。這些功能的啟用也必須采取進行相應的控制措施,主要有:(1)合理設計網絡會計系統(tǒng)各分支系統(tǒng)的安全模式并實施;(2)進行遠程處理規(guī)程控制。

    5.數據通訊控制。數據通訊控制是企業(yè)為了防止數據在傳輸過程中發(fā)生錯誤、丟失、泄密等事故而采取的內部控制措施,企業(yè)應采取各種有效手段來保護數據在傳輸過程中準確、安全、可靠。主要措施有:(1)保證良好的物理安全,在埋設地下電纜的位置設立標牌加以防范,盡量采用結構化布線來安裝網絡;(2)采用虛擬專用網(VPN)線路傳輸數據,開辟安全數據通道;(3)對傳輸的數據進行加密與數字簽名,在系統(tǒng)的客戶端和服務器之間傳輸的所有數據都進行兩層加密保證數據的安全性,使用數字簽名確保傳輸數據的保密性和完整性。

    6.防病毒控制。在系統(tǒng)的運行與維護過程中應高度重視計算機病毒的防范及相應的技術手段與措施?梢圆捎萌缦驴刂拼胧海1)對不需要本地硬盤和軟盤的工作站,盡量采用無盤工作站;(2)采用基于服務器的網絡殺毒軟件進行實時監(jiān)控、追蹤病毒;(3)在網絡服務上采用防病毒卡或芯片等硬件,能有效防治病毒;(4)財務軟件可掛接或捆綁第三方反病毒軟件,加強軟件自身的防病毒能力;(5)對外來軟件和傳輸的數據必須經過病毒檢查,在業(yè)務系統(tǒng)嚴禁使用游戲軟件;(6)及時升級本系統(tǒng)的防病毒產品。