基于互联网的会计信息系统控制_会计研究论文

【摘要】基于互联网的会计信息系统具有系统开放性、结构分散性、数据共享性的特点。因此，其系统风险已不再限于会计信息系统内部。本文首先对基于互联网会计信息系统的控制弱点及其风险进行了评估分析，接着分内部控制和外部控制两方面设计了系统控制点分布示意图，并着重讨论了各控制点控制方案构建的策略。
　　
　　【关键词】互联网　会计信息系统　内部控制　外部控制

　　在全球网络化的热潮中，国内外的会计（管理）软件公司纷纷推出基于互联网（Internet）的会计信息系统。原来封闭的局域网会计信息系统被推上开放的互联网世界后，一方面给企业带来了前所未有的会计与业务一体化处理和实时监控的优越性，同时也给会计信息系统的安全提出了严重的挑战。我们必须根据互联网系统的特点，重新考虑和设计会计信息系统控制体系，而不能把希望仅仅寄托在诸如“防火墙”之类的公用技术上。
　　
　　需要说明的是，基于互联网的会计信息系统已不再是企业中封闭、独立的信息系统，它已完全融合于企业内联网中，并在企业内联网中发挥“神经系统”的功能。因此，本文在讨论中更多的是把它等同于企业内联网看待，这不仅仅是为了叙述的方便，也是对互联网会计信息系统认识上的转变。

　　一、善于互联网的会计信息系统风险分析

　　基于互联网的会计信息系统是一种内联网结构的系统。所谓企业内联网（Intranet），是指企业应用互联网的技术和标准，如TCP／IP通信协议。WWW技术规范等建立的企业内部信息管理和交换平台。企业内联网并通过互联网，为企业内各部门之间，企业与客户、供应商之间，企业与银行、税务、审计等部门之间建立开放、公布、实时的双向多媒体信息交流环境创造了条件，也使企业会计与业务一体化处理和实时监控成为现实。当然，由于互联网／内联网系统的分布式、开放性等特点，与原有集中封闭的会计信息系统比较，系统在安全上的问题更加突出。基于互联网会计信息系统的风险主要来自以下几方面：

　　1、系统故障风险。任何计算机系统都存在着由于操作失误，硬件、软件、网络本身出现故障导致系统数据丢失甚至瘫痪的风险。并且在互联网／内联网结构的会计信息系统中，由于其分布式、开放性、远程实时处理的特点，系统的一致性、可控性降低，一旦出现故障，影响面更广，数据的一致性保障更难，系统恢复处理的成本更高。

　　2、内部人员道德风险。主要指企业内部人员对会计数据的非法访问。篡改、泄密和破坏等方面的风险。网络安全的最大风险仍然来自于组织内部，据统计，大部分的非法闯入者来自于内部雇员。因此，内部控制仍然是基于互联网会计信息系统控制的基础。由于互联网／内联网结构本身的特殊性，其内部控制远远超出了以往计算机系统的范畴，已从会计机构内部扩展到对整个企业内部人员的控制。

　　3、系统关联方道德风险。主要指关联方非法侵入企业内联网，以剽窃财务数据和知识产权、破坏系统、搅乱某项特定交易或事业等所产生的风险。广义地说，企业的关税方包括客户、供应商、合作伙伴、软件供应商或开发商，也包括银行、保险、税务、审计等社会部门。企业与这些关联方存在着特殊的业务和数据交换关系，过去这些企业各自的计算机系统在物理上基本是隔离的，也有部分企业与关联方之间采用专用增值网（VAN）实现电子数据交换（EDI）任务。在互联网条件下，为适应竞争发展需要，企业与关联方需建立统一的外联网（Extranet）。所谓企业外联网是指用企业内联网的技术和标准，把外部特定的交易地点和合作企业连接起来构造的合作网络，它实际上是一个虚拟企业应用平台。在外联网内，企业之间的数据查询、数据交换、服务技术可通过互联网实现（松散型关系），也可通过虚拟专用网（VPN）实现（紧密型关系）。因此，无论是从业务联系还是从网络联系上看，我们都可把外联网范围内的企业看成是一种特殊的内部关系。特殊的内部联系也使相互间道德风险的发生成为可能，尤其是象软件供应商或开发商这样的关联方，由于其对企业内联网的控制结构一清二楚，在接受网上技术支持和维护的同时，实际上也向对方敞开了系统控制的大门。

　　4、社会道德风险。主要是指来自社会上的不法分子对企业内联网的非法入侵和破坏，包括来自网上的信息截收、仿冒、窃听，黑客入侵，病毒破坏等。这是目前媒体报道最多的风险类型。由于互联网是一个开放的世界，没有国界和时空的限制，来自社会上的道德风险几乎不可避免。
　　
　　随着社会信息化程度的不断提高，会计信息系统的应用风险问题将会日益突出。如何直面这些问题，对社会来说，需要不断加强和完善法律的威慑作用，不断创新安全技术产品；而对企业来说，则需要不断提高管理和控制的有效性。

　　二、基于互联网会计信息系统的内部控制

　　内部控制是指企业为保护资产安全、保证会计记录的正确性和可靠性、提高经营管理效率、保障经营管理政策的执行而采取的全部方法和措施。内部控制可分为一般控制和应用控制两类。一般控制是对会计信息系统环境的控制，应用控制则是对系统运行过程的控制。显然，不同的环境和应用系统模式，其内部控制的方法和措施是不同的。基于互联网的会计信息系统，由于其在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的系统，极大地改变了以往计算机系统的应用模式，扩展了系统运行的环境，从而大大改变了以往计算机系统内部控制的内容和方法。因此，我们需要根据互联网系统的特点及其风险来源，重新确立系统的内部控制点，并建立相应的内部控制体系。
　　
　　由于企业规模的不同，基于互联网会计信息系统的应用模式也不同。一般可分为三类：第一类是独立内联网结构的应用系统；第二类是异地内联网结构的应用系统（适合于有异地分支机构的集团型企业）；第三类是外联网结构的应用系统（适合于联盟型虚拟企业）。不管是哪一类型的系统结构，其系统组成的基础都是企业的内联网（包括分支机构的内联网）。因此，基于互联网会计信息系统的内部控制，主要是内联网内的控制。
　　
　　1、操作系统控制。由于操作系统面向所有用户，再加上自身的缺陷。因此它时刻面临着来自各方面的潜在威胁，包括系统内人员的滥用职权、越权操作和系统外人员的非法访问甚至破坏。如使用浏览法搜寻主内存中的口令信息、使用伪装法复制合法注册程序、设计“后门”程序建立非法访问系统的通道、用“特洛伊木马”法探测系统的弱点，以及各种各样通过操作系统破坏整个系统的计算机病毒等等。要提高操作系统的安全可靠性，除了要尽可能地选用安全等级较高的操作系统产品，并经常进行版本升级外，在管理控制上主要可采取以下措施：（1）计算机资源授权表制度。明确规定每个用户的安全级别和身份标识，并分别定义具体的访问对象；（2）日志审计制度。对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录，并对日志文件定期进行安全检查和评估；（3）存取控制。对系统资源进行分类管理，并根据用户级别，限制系统资源的共享和流动；（4）特权管理。由于超级用户具有操作和管理系统全部资源的特权，因此，其特权一旦被盗用，将给系统造成重大危害。特权管理是使系统由若干个系统管理员和操作员共同管理系统，使其具有完成其任务的最少特权，并相互制约，以提高系统安全可靠性。

　　2、会计数据资源控制。数据库系统是整个系统控制的主要安全目标。对数据库系统安全的威胁主要来自两个方面：一是系统内外人员对数据库的非法访问；二是由于系统故障、误操作或人为破坏造成数据库的物理损坏。针对上述风险，会计数据资源控制主要可采取以下措施：（1）合理定义应用子模式。子模式是指全部数据资源中面向某一特定用户或应用项目的一个数据子集。在网络环境下，为了限制合法用户或非法访问者轻易获取全部会计数据资源，应根据不同的应用项目（功能）分别定义面向用户操作的数据界面，做到需要什么数据，用到什么数据，就开放什么数据。（2）会计数据资源授权表制度。明确定义每一用户对数据资源访问的范围和内容，并分别规定对数据库的查阅、修改、删除、插入等操作权限。（3）数据备份和恢复制度。网络环境下的数据备份和恢复远比成批集中式处理环境下要复杂，为保证系统恢复的有效性和一致性，建立业务日志文件（记录系统处理过程的文件）和检查点文件（作业内容信息能被记录下来，并可重新启动该作业的一个点）是必要的。

[1] [2]  下一页