【摘要】本文在分析网络条件下会计信息系统的风险后，提出了从组织与管理控制、运行记录控制、安全控制、操作控制、维护控制等五个方面加强网络环境下会计信息系统内部控制的措施。
　　【关键词】网络环境 会计信息系统 风险 内部控制
　　
　　一、网络环境下会计信息系统的风险分析
　　
　　在网络环境下，会计信息系统的开放性、处理的分散性、数据的共享性，极大地改变了以往会计信息系统的应用环境，形成了新的风险特点。
　　1、会计信息系统自身存在的隐患。网络环境下的会计信息系统是由硬件设备、软件、数据、规程和人员等组成的，是建立在计算机技术基础之上的，而计算机系统存在固有的脆弱性，使会计信息系统内部存在隐患。
　　（1）信息可存取性。在知道存取码和有效的口令后，非法者可进入系统，存取系统中的信息，并可按其需要将信息复制、删改或破坏。
　　（2）软件脆弱性。软件前期基本上是迎合硬件发展起来的，操作系统的设计着重于提高信息处理的能力和效率，对于安全只作为一项附带的条件加以考虑。因此，在操作系统中不安全的隐患相当多。
　　（3）存储介质的不安全性。存储介质易受意外损坏，也易被带走。另外，在大多数计算机操作系统中，删除文件时只删除了文件名，释放了相应的存储空间而文件内容仍保留在介质上，这样就会造成大量信息的丢失或被盗取。
　　（4）通信与网络的弱点。通信线路易受物理破坏，易被搭线窃听，串音易引起传导泄漏。网络规模越大，通信线路越长，这种弱点也随之增加。
　　（5）电磁泄漏。计算机内的信息可以通过电磁波形式泄漏出去，任何人都可借助不复杂的设备在一定区域范围内收到它而造成信息失密。
　　（6）渗透问题。在通用性设计思想指导下，计算机系统尤其是计算机网络可以提供公用服务和资源共享，这样虽然扩大了用户群，方便了用户，但同时也为入侵者提供了渗透的途径。以上计算机系统固有的脆弱性，极易导致网络环境下会计信息系统数据丢失，甚至发生瘫痪现象，构成了网络环境下会计信息系统的风险。
　　2、系统外部环境因素带来的风险
　　（1）操作人员带来的风险。操作风险主要包括操作程序不规范和操作人员防范意识不强造成的风险。如操作人员缺乏安全意识和网络安全防范措施，对于网上下载的电子邮件或会计信息资源不做安全性技术检查、测试；操作人员不按规范操作，随意开关机；操作人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。
　　（2）系统关联方道德风险。主要指关联方非法入侵单位网络财务软件系统，以剽窃财务数据和知识产权、破坏系统、干扰单位正常交易等产生的风险。单位关联方主要包括客户、供应商、软件开发商，也包括银行、税务、审计、保险、财政等部门。单位与关联方之间通过互联网进行业务和数据交换，这种特殊的交换关系使关联方之间道德风险的发生成为可能，尤其是软件开发商，他们非法入侵单位财务系统不易被发现，其危害是不容忽视的。
　　（3）黑客入侵、病毒危害的风险。在网络化系统中，计算机病毒不再靠磁盘和光盘传播，开始通过电子邮件传播计算机病毒。黑客的入侵也相当猖獗，主要来自社会上一些不法分子对企事业单位和政府机关互联网的入侵。这种风险范围广，危害大。它包括截收、仿冒、窃听的迅速普及和广泛应用，计算机病毒的传播呈现渠道多样化、速度快捷的特点，危害也在不断加剧，这对网络环境下会计信息系统构成很大威胁。另外还有利用计算机进行经济犯罪等。
　　3、企业内部控制在网络环境中失效带来的风险。传统会计系统强调对业务活动的使用授权批准和职责性、正确性、合法性，但是在网络财务系统中，会计信息的处理和存储集中于网络系统，大量不同的会计业务交叉在一起，加上信息资源的共享，财务信息复杂程度提高，交叉速度加快，使传统会计系统中某些职权分工、相互牵制的控制失效，原来使用的靠帐簿之间互相核对实现的差错纠正控制己经不复存在。因而，传统会计系统的内部控制机制与手段己不适应网络环境。
　　
　　二、网络环境下会计信息系统内部控制
　　
　　1、会计信息系统的组织与管理控制。电算化部门与业务部门的职责分离。在网络系统下，各核算子系统分散在各职能部门，远离财务中心，会计系统的内部控制能力减弱，各职能部门有时为了某种原因，将数据处理业务和授权、执行业务混在一起，内部职责不分明，所以必须在组织结构中设置电算化部门，专门对数据进行处理和控制。最佳的职责分离是电算化部门与其他使用数据和完成各类业务活动的部门职能分割，使业务的执行和数据的记录、处理相分离，形成有效的内部牵制制度。
　　2、会计信息系统的运行记录控制。运行记录控制是指网络系统必须对服务器所有运行过程予以记录，以便服务器根据各工作站所申请的操作指令，进行各种处理，同时运行控制的记录也是进行各种审计的重要线索。这在网络系统中是一项基本的环境控制措施。控制台运行记录应配备控制工作站。控制工作站是一种自用工作站，专门用来监测和记录系统运行状态，找出传输线路和工作站的问题，并检查通信排队状况以及路径改变等信息。
　　3、会计信息系统的安全控制。首先是网络中数据加密。加密变换是网络中最基本的控制措施，它可以在多个层次上实现，包括网络层下的链路加密和网络层上的端间加密等。
　　其次是网络端口保护。这属于系统访问控制的一种，由各种端口保护设备和访问控制软件实施。是否设置端口保护，由系统中数据保护的需要而定，因为端口保护会增加管理工作量并增加费用。
　　再次是网络主体验证。主体验证有两处关键，一是该主体应具有独自的难以伪造的信息，二是具有可靠的信息交换方式。主体可使用口令、密码、磁卡、指纹或签字一类的标识。由于一些非法用户可能利用假冒主机的方法来套取用户标识，因此，在主机和用户之间还必须安排一个可靠的方法相互验证。
　　第四是数据完整性保护。网络中数据传送的完整性控制包括：数据来自正确的发送方，并非假冒；数据送到了正确的接收方，无丢失或误传；接收的数据与发送的数据一致；数据接收的次序与发送时一致；数据无重复接收。数据完整性保护的关键是增加一些非法分子所不能掌握或控制的冗余信息，如数据加密的附加信息和报文验证码等。
　4、会计信息系统的操作控制。操作控制包括数据输入、数据处理、数据输出控制。操作控制的目的是通过标准的计算机操作来保证信息处理的高质量，减少发生差错和未经批准使用文件、程序、报表的机会。在网络系统中，操作控制的重点是数据输入控制。由于网络环境下大多数数据是分散进行的，在多个工作站上输入，大量不同业务交互在一起，再加上用户共享数据库的出现，如果内部控制制度不严密，一旦有缺乏严格检验的凭证进入网络系统，将很难查明原因这会直接影响会计信息的准确性、可靠性和合法性。因此应设置操作员和操作密码控制，进入网络的作息必须经专门审核人员审核以后才允许进入。
　　5、会计信息系统的维护控制。维护是系统运行过程中最重要的环节，包括硬件维护、软件维护。系统硬件的重大维护工作由软件公司进行。硬件的一般维护指定期进行计算机、打印机等设备的检查，以保证系统安全、有效、正常运行。系统软件的维护主要是利用软件各种定义功能来修改软件，以适应工作的变化。程序维护包括正确性维护、完善性维护和适应性维护。为防止非法修改软件，必须对软件的修改建立审批制度加以控制。
　　
　　【参考文献】
　　[1] 杨鉴松：网络环境会计电算化信息系统的内部控制，焦作：焦作工学院学报（社会科学版），2002，1，36～38。
　　[2] 朱丽华：网络环境下会计信息系统的风险及防范，广州：中山大学学报论丛, 2002，5，66～68。