随着会计信息化的发展,传统的内部控制方式已不能适应时代发展的要求,取而代之的应该是信息化的控制技术,即采用计算机技术、网络通讯技术等将内部控制的流程、关键控制点等固化在信息系统中,使企业内部控制规范制度的设计与运行更加有效。

计算机和网络通讯技术的引入使企业内部控制系统变得相对复杂,不但增加了会计工作的内容,同时也相应地增加了内部控制的内容。如信息化集成、流程控制、网络系统安全的控制、软硬件的维护与管理、系统管理人员与维护人员的岗位责任制度及其相互的牵制制度等都成为信息化条件下内部控制的内容。

目前学术界对内部控制信息化的研究主要还停留在理论的层面上,尚未对信息化的物理层面和具体技术实施方案作进一步的研究。本文将在分析和总结内部控制信息化所需解决的主要问题的基础上,结合计算机和网络安全技术对内部控制信息化存在的问题提出相应的解决方案,为企业的内部控制信息化提供一个可行的实施方案,促进内部控制信息化的发展。

一、内部控制信息化需要解决的主要问题

信息化环境下,企业实施了各自的信息化系统,信息流、物资流和资金流高度集成,业务处理程序被简化,大部分处理由计算机完成,但却带来一些内部牵制措施无法执行的问题,包括会计人员无法直接参与和控制,控制效率低,其审查、稽核机制被削弱等。此外,计算机技术和网络通讯技术本身存在的可靠性、安全性等问题,也给企业内部控制风险防范带来了相应的难题。

1. 将内部控制流程和关键控制点固化在信息系统中

会计信息是对企业经济活动情况的真实反映,其数据主要源自业务部门。信息化环境下,数据通过网络由企业各个管理子系统直接采集,并通过公共接口与供销商、税务等外部系统相连接。相应的,内部控制设计,要按照一定的方法,合理归集、构建适应企业经营管理状况和内部控制要求的相关子系统,并通过控制流程图发现可能发生错误或舞弊而需要控制的业务环节,即控制点。控制流程,主要由控制点组成,是指依次贯穿于某项业务活动始终的基本控制步骤及其相应环节。此外,目前会计信息系统很难在不同生产商的会计系统和其他管理系统上实现完全的数据共享,但随着虚拟企业的出现,企业可以通过不同的协议获取其他企业的资源,在与其他企业进行信息共享的同时,必须通过网络在不同主题之间进行传递和复核,以实现内部的实时控制和网络控制。

因此,内部控制信息化首先面临的问题就是信息化集成的问题,即如何在已有的业务信息化系统之上有效地加入控制流程,同时加强信息系统之间的信息共享。

2.保证数据的可靠性和安全性

在信息化环境中,财务数据通过互联网传输,凭证的填写、审核通过人操作计算机完成,传统的笔迹识别等辨别技术不复存在;会计记录被存储在磁介质上,不便于实施签字或盖章等措施,而且容易被改动。另外,网络环境的开放性使得数据存在被截取、篡改、泄露机密等安全风险,很难保证其真实性与完整性。于是,数据的安全性和可靠性,如何防止数据被非法修改及如何尽可能避免利用计算机进行犯罪是内部控制信息化必须解决的问题。

3.合理控制会计信息系统的操作员权限,防止内部失控

在会计信息化工作中,有两类角色。一类是会计电算化工作的参与人员,包括基本的会计岗位人员和电算化会计岗位人员,这两种岗位人员下面又可再细分,各自负责不同的工作,拥有不同的操作权限和数据访问域,形成一个庞大的权限关系网。

另外一类是系统管理员,这个角色不参与会计工作,但起到维护和管理系统的重要作用。多数企业对于系统管理员与数据管理员、网络管理员职权不分,往往赋予系统管理员过大的权力,诸如能够调用系统的所有功能等,有时甚至完全超过了会计主管的权限,成为“超级管理员”。

因此必须对会计信息系统操作员的权限进行明确、合理的分配,对操作进行记录和实时监控,不能越权操作,更要控制不同权限操作员对不同安全级别的数据的可访问性,防止内部控制的失控。

4.保证会计系统的安全性和健壮性,加强风险防范

会计信息化使会计系统处于开放的互联网世界中,给财务系统的安全提出了严重的挑战。互联网的开放特性使一些恶意访问者有机可乘,网络的远程接入性也给犯罪分子提供了方便,黑客有可能通过网络侵入系统,窃取企业重要的信息资产,甚至使信息系统崩溃。目前黑客肆虐,世界上的各类网站每天都受到成千上万次攻击,网络财务系统无疑也面临巨大的安全风险。另外,计算机病毒的猖獗也为会计信息化系统带来更大的风险,有效地防治计算机病毒对保障网络财务系统的安全性至关重要。
二、 内部控制信息化的实施方案

针对以上问题,本部分分别提出相应的解决方案,从技术的角度为内部控制信息化提供一个整体的实施方案。

1 . 基于企业服务总线实现信息化集成

在会计信息化环境下,需要将内部控制的控制流程、关键控制点等固化在现存信息系统中。首先,要先对关键控制点进行识别,对容易发生偏差的业务环节进行控制。关键控制点一般指在业务处理过程中发挥作用大,影响范围最广,甚至决定全局成效的控制点。另外,需要对各相关子系统进行认真研究和梳理,确定各子系统运行过程中的主要风险、关键环节和关键控制点,针对每一个关键环节和关键控制点制定有效的控制措施,形成控制流程并反映在信息系统当中。

关键控制点可能运行于各部门的信息系统中,也有可能是由与之相关联的企业所提供的外部接口,要实施控制,必须解决接口之间的消息传递协议、消息格式不一致等问题。企业服务总线(ESB)可以有效解决这些问题。

企业服务总线架构如图1所示,不同协议的接口注册到ESB中,即插即用,服务请求者不需要知道接口的具体位置和具体的实现技术便可调用接口,实现传输协议的解耦。

ESB的4个基本功能——消息路由、传输协议的转换、消息格式的转换、处理不同来源的业务事件可适应内部控制信息化系统需要通过接口获取外部数据、在不同系统提供的不同协议的接口之间传输数据的集成需求。通过结合以上技术和框架,内部控制系统的信息化集成实施方案的流程如图2所示。

数据中心为企业服务总线提供数据服务,而企业服务总线为BPEL流程引擎提供运行时环境。此外,BPEL流程引擎提供流程执行状况的监控功能,在企业实施内部控制的过程中,执行者可以审核各关键控制点上的控制措施的执行状况,根据执行的效果作适当的调整或纠正。

2.实施网络信息控制,保证数据可靠性和安全性

为了防止会计信息数据被攻击者截取,必须对发送的信息进行加密,而为了保证数据的完整性,不被篡改,则可以采用数字签名的方法对消息进行散列和校验。将加密和数字签名结合起来,可达到保证财务数据完整性和安全性的目的。

现代密码学体系引入了混沌序列加密的理论,利用混沌系统在迭代过程中造成信息损失的特点加强加密的效果。密钥空间的大小直接关系到加密的效果,在传统的对称加密和公钥加密体系中,密钥容易受到穷举密码的攻击。而在混沌密码体系中,由于混沌具有随机性、敏感性、多维性等特点,密钥空间非常大,例如可以使用非线性方程、混沌系统的初态、超混沌系统的多个指数级别参数作为密钥,加上计算机系统的多种编码方式,可以形成更为广阔的密钥空间。因此利用混沌理论进行数据加密可以达到很好的加密效果。

文献[10]提出了基于Logistic动力系统的混沌加密和解密模型,该模型使用Logistic混沌映射xn 1 = μ×xn×(1 - xn), xn是从0到1之间的实数,当μ取3.569 945 6…到4之间的实数时呈现混沌状态。该算法随机取序列{xn｝中的实数小数点后n位有效数字组成的整数作为加密密钥,并且舍弃前面的2 000个数,从而加强密钥的随机性并且能有效抵御选择明文攻击,其加密和解密的流程如图3所示。

与现有的56位标准数据加密(DES,Data Encryption Standard)加密算法作比较,在一台浮点数有效位数为16位的计算机上,该算法的密钥空间大概是DES算法的1013倍,可有效地防御密钥穷举攻击。另外,将非线性方程F(xn)通过变换F(F(xn))得到新的一元二次方程可以使xn和μ的解更难得到,可以有效抵御明文攻击。实验证明,该算法的加密和解密的效率是RSA(Rivest Shamir Adleman)算法的近50倍。

使用基于混沌序列的加密算法可以更加有效地保证数据的保密性和安全性,其效率也比公钥加密体系高,非常适用于会计信息化环境下的内部控制。

在混沌序列加密体系的基础上,也有人提出了一种基于离散超混沌同步的数字签名技术。该技术使用混沌掩盖和混沌调制技术,由于混沌掩盖引入了掩盖信号,在信息摘要中间携带了掩盖信号自身的信息,因此对比传统的数字签名方法,其信息摘要更加难以破解和恢复,签名者在签名后无法抵赖其签名,即保证了数据的不可抵赖性。

基于混沌理论的数据加密和数字签名方法可运用于文字信息、多媒体信息等,是内部控制信息化的有效手段。例如,可以在电子文档中添加数字水印或数字印章,在传输过程中采用混沌加密和数字签名技术,则仍然可以保证这些电子文档数据的可靠性和安全性,达到良好的内部控制效果。

3.基于角色的权限控制方案

在会计信息化系统环境下,信息化系统中应该实施相应的措施适应会计岗位的变化,严格控制各岗位、各人员在信息系统当中的权限,以达到控制的目的。

基于角色访问控制模型是国际上流行的先进安全访问控制方法。它通过分配和取消角色来完成用户权限的授予和取消,并且提供角色分配规则。管理人员根据需要定义各种角色,设置合适的访问权限,而用户根据其权、责、利再被指派为不同的角色,整个访问控制过程分成两个部分,即访问权限与角色相关联,角色再与用户关联,从而实现了用户与访问权限的逻辑分离。

用户与访问权限的逻辑分离使得权限分配和管理更加方便和有效。例如,如果一个用户的职位发生变化,只要将用户当前的角色去掉,加入代表新职务的角色即可。为用户分派角色技术难度不高,可以由行政管理人员来执行,而配置权限到角色的工作较复杂,需要一定技术基础,可以由专门的技术人员来承担,但不给他们分配具体的业务操作权限。因此该方法可避免类似于“超级管理员”这样权限集中的情况,做到职权分离,系统管理员不具备会计相关的工作权限。
4. 加强安全保护措施,提供安全的网络环境

网络安全是内部控制信息化要重点解决的问题,必须加强软硬件的安全保护措施,为企业提供一个安全的网络环境。

首先,可建立虚拟专用网(VPN,Virtual Private Network)将企业内部网络和外部访问区域严格区分,内部数据通过VPN传输,通过防火墙技术将外部网和内部网分隔开,防止黑客进入企业内部网络进行破坏活动,记录和跟踪可疑事件。

其次,必须加强对计算机病毒的防护工作,对企业内部的每一台计算机进行有针对性的病毒防御和查杀工作,对出现问题的计算机进行实时监控,防止病毒的产生和扩散。基于服务器的病毒防御体系,可针对每个区域设置特定的防毒中心,例如针对局域网中各部门的个人计算机,企业内部服务器、对外服务器等分别配置防毒中心,为邮件服务器群配置邮件监控系统,为敏感部门设置专用的内部防火墙,跟踪病毒状况,及时上报可疑情况。另外,在数据包进入内部路由器前,探测是否存在外网攻击,财务软件本身也可挂接杀毒软件,以减少软件自身受到病毒干扰的可能性。

三、结束语

本文首先分析会计信息化环境下的内部控制需要解决的4个主要问题——信息化集成、数据可靠性和安全性、权限分配、网络安全,然后从技术的角度分别对这4个问题提出了相应的实施和解决方案,其中基于企业服务总线的架构可以解决信息化集成的问题,基于混沌理论的加密和数字签名技术可有效保证数据的可靠性和安全性,基于角色的权限控制方案可以解决权限分配、职权分离的问题,而最后提出的基于网络服务器的企业防病毒安全架构则可为企业提供一个安全的网络环境,减少由网络产生的风险。结合这4个解决方案,在信息化环境下的内部控制可以有效地进行实施,有效控制和防范信息化环境下企业所面临的风险。

除了本文主要讨论的4个问题以外,会计信息化环境下的内部控制实施还存在一些其他的问题,例如企业内部治理制度管理需要根据会计信息化进行相应的改变,从制度上进行有效控制;合理分配人力资源,提高企业内部人员的自身素质,进行自我控制等。另外,在实施过程中可能会产生其他问题,例如在选取具体的实现技术的时候要考虑技术的稳定性和成熟性,系统可维护性和灵活性等;在规划信息化项目的时候应严格控制实施成本,把控项目进度,控制IT项目本身存在的风险等,而这些问题都需要在实施过程当中不断摸索,不断改进,从而在会计信息化环境下进行有效的内部控制。

主要参考文献

[1]财政部.财政部关于全面推进我国会计信息化工作指导意见(财会[2009]6号)[Z].2009.

[2]王棣华,杜晋贤.浅析会计信息化与企业内部控制[J].会计之友,2008(34):51-52.

[3]苗壮.会计信息化对内部控制的要求[J].华北电力大学学报:社会科学版,2006(3):40-42.

[4]郭冰.全面信息化下内部控制构建研究[D].长沙:长沙理工大学,2008.

[5]蔡志婉. 会计电算化环境下企业内控的分析与研究[J].财会经济,2005(3):72-73.

[6]刘洁.网络环境下的企业内部会计控制研究[D].武汉:武汉大学,2005.

[7]林怀恭,聂瑞华,罗辉琼,等.基于SOA架构的服务集成技术的研究[J].计算机技术与发展,2009,19(7):141-144.

[8]李瑞轩.异构信息集成中的查询处理与优化研究[D].武汉:华中科技大学,2004.

[9]齐德昱,胡镜林,张鹏.多数据库中间件的模型研究[J].计算机工程与设计,2005,26(10):2602-2605.

[10]孙克辉,张泰山.基于混沌序列的数据加密算法设计与实现[J].小型微型计算机系统,2004,25(7):1368-1371.

[11]卢辉斌,刘龙,张瑞芳.基于离散超混沌同步的数字签名技术[J].电子测量技术,2007,30(1):10-13.

[12]李孟珂,余祥宣.基于角色的访问控制技术及应用[J].计算机应用研究,2000,17(7):44-47.