1 当前网络会计信息系统的安全问题

具体来说,网络会计信息系统的安全问题主要表现在以下几个方面。

1.1会计信息的真实性问题

由于网络会计信息系统的开放性以及电子介质的脆弱性,使得网络会计信息系统存在信息失真的风险。尽管信息传递的无纸化在某种程度上可以有效避免一些由于人为原因所导致的会计失真现象,但如果对系统的作业不加严密地控制就有可能发生类似电子凭证、电子账簿被随意修改而不留痕迹的事件。另外,由于传统的依靠签章确保凭证有效性和明确经济责任的手段不复存在,因此,假如没有新的有效的确认标识,信息接受方就有理由怀疑所获取的财务数据的真实性;同样,作为信息发送方,也有类似的担心,担心传递的信息能否被接受方正确识别并下载。

1.2原始凭证数据采集流程的问题

原始凭证是会计核算的起点,也是记录大量经济业务发生的唯一凭据。在网络会计信息系统中,企业通过网络将采集业务数据的范围扩展到业务发生的现场甚至到企业外部,其采集数据通过财务与业务协同、网上交易、电子银行、网络结算中心等多种形式来实现。这些新型的数据采集方式都有一个显著特点,那就是原始凭证只不过是一条电子记录,通过网络系统从一台计算机传到另一台计算机,如果对这个记载原始交易数据的电子记录没有加以特别保护,则很有可能会引发记错账和记假账的问题。

1.3信息处理程序被破坏的问题

在网络会计信息系统中,信息处理程序是整个系统的核心部分,输入的原始数据只有经过正确的处理程序按照信息处理规则执行才能转变形成会计信息,因此,如果这个程序遭受网络黑客的攻击或者病毒程序的破坏,就会使会计信息处理程序无法正常执行或者按照改变了的程序来执行,导致信息系统丧失了对数据和信息的控制力,从而导致数据和信息被转移、被篡改或被删除等风险。这是从破坏角度来讲的。从使用角度来看,信息处理程序虽然没被改变,但却被用于不当之处。比如,在网络会计环境下,财务报告的编制不再是单一的,而是多元的,不仅可以是按期的,还可以是实时的,网络会计的这一优势却可能成为企业编制虚假财务报告的手段,当企业针对不同信息使用者提供不同财务报告时,其目的不是为了体现会计信息的相关性,而是为了企业的某种特殊目的。

1.4企业重要数据泄密的问题

在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资源,甚至决定了企业在激烈的市场竞争中的成败。企业的财务数据属重大商业机密,在网络会计环境下造成财务数据泄密的原因主要有以下4种可能:第一,财务数据在网络传递过程中,有可能被竞争对手非法截取;第二,网络会计系统的合法用户被非法入侵者仿冒;第三,网络会计数据库服务器被攻击者攻击得手;第四,网络会计信息系统的处理程序被黑客或病毒非法修改。

2 基于内部控制的网络会计信息系统安全问题的控制

会计信息系统控制方法与技术会随着具体控制目标的不同而有所不同,因此会计信息系统控制目标的设定对于选择何种控制方法与技术至关重要。从总体上说,会计信息系统控制目标就是要尽可能确保会计信息系统的安全性、可靠性和有效性。

2.1一般控制方法

一般控制泛指各个应用系统均适用的控制,也叫基础控制或环境控制,它的种类很多,比较重要的有:组织控制、系统开发与维护控制、整体安全或存取控制、硬件和系统软件控制等。其中组织控制适合规划信息中心和信息作业,将不兼容的功能加以区分,或将职责予以划分,其基本目标是通过合理的职责分离和控制尽量减少发生错误和舞弊的可能性;系统开发及维护控制是用以确保信息系统软件的开发、取得及其变更均经过适当的授权、测试和许可的控制程序,其基本目标是提供安全可靠、处理正确的应用程序;整体安全或存取控制是用以确保只有经过授权的使用者和程序才能存取应用程序及其数据文件的控制程序,其基本目标是实现分层控制目标;硬件和系统软件控制是用以确保计算机设备处理数据完整的硬件控制及系统软件控制。

2.2应用控制方法

应用控制专指那些专门为某个应用系统设计且执行的控制。其具体方法如下:

(1)组织控制。在信息化环境下,组织控制着重可就以下两个方面来设计:第一,信息部门和用户部门功能的划分;第二,信息部门内部不相兼容职能的划分。具体职责分离如下:信息部门不能负责业务的批准和执行,所有业务均应由用户部门发起或授权。信息部门负责控制该部门内进行的数据处理,检查处理中发生的错误并纠正本部门产生的错误,控制在更正错误后重新输入并处理数据;用户部门负责更正产生于信息部门以外的错误,并将更正后的数据重新传递到信息部门进行处理。信息部门不能保管除计算机系统以外的任何资产。所有业务记录与主文件记录的改变均需用户部门授权,信息部门无权私自改动业务记录和有关文件。所有业务过程中产生的错误数据均应由用户部门负责或授权改正,信息部门只允许改正数据在输入、处理、输出过程中由于操作疏忽而引起的错误。所有现有系统的改进、新系统的应用都由用户部门授权,信息部门无权私自修改系统程序。
(2) 输入控制。输入控制用来防止或发现在数据的采集和输入阶段的数据错误,并保证输入数据的完整性和经过授权。典型的输入控制有以下几种:输入授权控制,通过该控制可确保输入员是经过系统授权的;业务审批控制,一切业务在进入系统处理之前,必须经过主管领导的审批。操作员无权审批业务,也不能擅自修改业务记录;输入校验控制,输入校验控制主要包括试算平衡控制、凭证连续编号控制、时序控制、科目合法或非法对应关系控制、逻辑关系控制、总量控制、校验码控制、二次输入控制等。

(3)处理控制。数据输入计算机后,按照预定的程序进行加工处理,在数据处理过程中极少人工干预,一般控制和输入控制对保证数据处理的正确和可靠起着非常重要的作用。但是针对计算错误、用错文件、用错记录、用错程序、输入数据错误在输入过程中没检查出来等情况,还必须在处理过程中设置处理控制。这些处理控制措施大都为纠正性和检查性控制,而且多是程序控制。处理控制主要包括以下几种控制措施:业务时序控制,业务数据处理一般具有时序性,某一处理过程的运行结果取决于若干相关条件过程处理的完成,所以可以在程序中增加业务时序控制,例如凭证输入计算机后不经审核直接记账,系统程序不予处理。数据有效性检验,要保证所处理的数据来自正确文件和记录,可采用的控制措施主要有:①文件标签校验。在处理数据文件之前,要认真检查文件的外部标签,确认所要处理的文件;计算机在对数据文件处理前,检查文件的内部标签。外部标签的设置是手工控制,内部标签属于程序化控制。②业务编码校验。业务数据文件包含各种类型的业务数据,业务类型可由业务编码识别。在应用程序中,先读出业务编码,以决定由相应的程序处理,业务编码校验控制可提高程序处理不同业务的准确性。

(4)输出控制。输出控制的基本控制目标是保证信息系统所处理的资料完整、正确,所处理的结果正确,并且保证只有经过授权的部门和人员才能获得这些输出资料。为此,可采取以下一些控制手段:①输出授权控制。信息系统的输出方式主要有:打印输出、屏幕查询输出、磁盘输出以及网络传送等。每一种输出方式都应有相应的权限控制,只有经过授权的人方可执行权限内的输出操作。在会计软件中的查账权便是这种输出控制手段的体现。②总数核对控制。采用这种控制手段能够对某一经济业务的输入总数、处理总数以及输出总数相核对,以避免漏记、重记或误记等错误发生。一定程度上可以验证输出数据的完整性。③静态目测检查控制。也可称为输出数据验证控制,它是以人工方式审校输出结果,检查其正确性、完整性。④输出信息的分发控制。信息系统的输出信息只能分发给有权利用的人使用,为此可采用系统发送留迹和设置输出报告发送登记簿,详细记录报告发送份数、时间、接受人等事项。

主要参考文献

[1] 蔡立新.电子商务环境下内部控制理念创新研究[M].上海:立信会计出版社,2006:292-298.

[2] 傅元略.企业信息化下的财务监控[M].北京:中国财政经济出版社,2003.

[3] 许永斌.基于互联网的会计信息系统控制[J].会计研究,2000(8):35-39.

[4] 田志刚,刘秋生.现代管理型会计信息系统的内部控制研究[J].会计研究,2003(4):15-18.

[5] 刘志远,刘洁.信息技术条件下的企业内部控制[J].会计研究,2001(12):32-36.