会计信息系统维护技术设置.doc

会计信息系统维护技术设置 IT尤其是网络IT的高速发展与广泛应用，改变了企业的管理环境与管理理念，拓宽了企业管理的范围和内容，而这一切又影响并改变着企业内部控制要素的具体内容，导致企业会计信息系统内部控制内容、方法手段等发生变化。传统会计信息系统的内部控制已不能满足IT环境的要求，因此迫切需要建立健全的IT环境下会计信息系统的内部控制，以满足新环境对企业内部控制的要求。 一、IT环境下会计信息系统内部控制的必要性 在IT环境下企业会计核算和会计管理的环境发生了很大的变化，对企业会计信息系统内部控制造成了极大地冲击，原有的内部控制形式已满足不了新环境需求。内部控制关系到企业财产物资的安全完整，关系到会计信息系统对企业经济活动反映的正确性、安全性、可靠性，企业为实现既定的管理目标，必须建立一整套与IT环境相适应的会计信息系统控制体系，以保证企业健康、有序地发展。首先，IT的应用使企业交易的处理与相关作业程序都必须依赖于会计信息系统。会计信息系统内部控制的好坏将直接影响企业的营运与发展，如会计信息被记录在磁盘等磁性介质中会失去其直观性；同时，系统的透明度较高，而会计数据的安全性、保密性等控制对企业而言变得更为重要。其次，会计信息系统中的数据处理是在一个封闭的系统中进行，数据处理的准确性完全取决于应用程序和硬件的可靠程度，会计人员无法直接参与控制。由于rr环境下会计信息系统的特殊性，如计算机的资源共享性增加管理控制难度、计算机信息系统的自动化改变牵制形式、权限分工、计算机无限延伸性和多攻击点扩大了信息系统的风险和控制的范围。最后，随着IT在会计工作中的普遍应用，管理部门对由计算机产生的各种数据、报表等会计信息的依赖程度越来越大，这些会计信息的产生只有在严格的控制下才能保证其可靠性和准确性，才能预防和减少计算机犯罪的可能性。目前，我国对内部控制的研究大多处于传统的手工会计阶段，因此IT环境下的会计信息系统内部控制的研究具有一定的现实意义。 二、IT治理参考(COBIT)框架选择的原因 目前，我国对信息系统的管理和控制的了解和应用还处于起步阶段，必须有一个好的参考标准予以指导。如美国的COSO、英国的Cadbury、加拿大的CoCo、南非的King等业务控制模型以及英国贸易和工商部(DTI)的SecurityCodeofConduct、加拿大会计师事务所(CICA)的InformationTechnologyControlGuidelines与美国国家标准技术局(NIST)的SecurityHandbook等大量的IT方面的控制模型，但这些都不能为组织的业务处理过程提供一个全面而有用的IT控制模型，确保能够成功、有效地整合信息系统与业务流程。COBIT的目的就是为这种整合提供基础，从而在业务需求和IT控制之间建立联系。COBIT使IT环境的会计信息系统管理工作简易并量化，从而减轻对复杂信息系统管理工作的难度。COBIT提供了一种国际通用的IT环境的会计信息系统管理及问题解决方案，普遍适用于各种不同的商业项目和审计，它既包容了当前的情况，也提供将来可能会使用到的指导方针。COBIT框架能够帮助确定过程责任，提高IT环境的会计信息系统治理水平。通过采用该框架，可以将其作为对一个责任矩阵分析的基础，可以做到基于角色的IT环境的会计信息系统管理，定义过程措施，更好地确保客户利益。 笔者认为，针对我国信息化存在的问题，借鉴COBIT的IT环境的会计信息系统治理思想和框架，科学、系统地对信息及相关技术进行管理，逐步试行建立IT环境的会计信息系统治理机制，对推动我国IT环境的会计信息系统的发展和应用都具有十分重要的现实意义。 三、IT治理参考标准(COBIT)使用应注意的问题 框架鉴于COBIT的通用性，它忽略了各个信息系统的特殊性，因此不能照搬COBIT的一套控制目标体系，而应根据实际情况将其具体化。首先，组织在应用COBIT前必须先了解其指导思想，COBIT是为了有效地整合组织的业务流程与信息系统，必须理解从IT资源的规划、信息的产生到整个业务流程的循环中，需要投入的IT资源，可以达到的IT目标，以及如何使每个rr处理过程有效运转、相互协调。其次，以COBIT的处理过程为模版，结合组织的业务流程和信息系统的具体情况，建立基于组织特殊要求的IT处理过程，然后提出每个IT处理过程的控制目标。最后，在应用COBIT的过程中，组织的业务流程、业务需求以及IT技术在不断的变化发展中，COBIT本身也在不断地更新，因此组织的IT处理过程及其控制目标必须及时更新。 四、COBIT框架会计信息系统获得与维护技术设施控制点的设置 会计信息系统获得和实施控制包含了获得和维护技术设施、开发和维护技术系统等。COBIT在进行控制的过程中，强调“获得和维护技术设施”过程必须为满足业务需求的业务应用软件系统提供合适的运行平台。COBIT在对“获得和维护技术设施”过程的控制中，重点要考虑的因素有：硬件设施的标准和未来的应用方向是否符合实际需要；硬件的评估；安装、维护和变更的控制；升级、切换和移植的计划管理；内部和外部技术设施和资源的使用；确认与硬件供应商的关系以及它们的相应责任；变更管理；硬件设施拥有总成本；系统软件的安全性。COBIT所提出各个方面的考虑覆盖了硬件设施从采购、安装调试到日常维护的整个过程。目前，国内的企业在硬件的采购和安装调试方面往往控制得比较好，但在系统应用过程中，维护和系统变更等方面没有规范可控的程序与其相适应，主要控制程序包括： (1)计算机中心控制。计算中心控制主要是对系统的物理环境及设备可靠性的控制，目标是确保系统设备能实时地、连续地运转。常见措施有：一是系统资源使用的限制。系统资源包括程序库、数据库、全部硬件设备以及所有相关文字和打印记录。这些资源只能由规定人员使用。为达到这些目的可以将各种资源分派给专人保管，并做好使用记录报告，系统主管要经常检查使用报告。二是工作环境保护。对系统的自然环境进行控制，包括机房温度、湿度以及防火、防磁、防尘控制；作业环境控制，包括机房的工作人员的定员控制和机房出入控制；备用设备(备用电源、水源)控制。 (2)操作系统安全性控制。操作系统安全包含政策、程序及控制等，这些规定、程序和控制决定能够随意访问操作系统的人员，且可以访问诸多资源(文件、程序、打印机)，以及进行各种操作。主要的控制措施有：登陆程序、访问标识、访问控制列表以及自主访问控制。其一，访问权限控制。用户访问的权限分配给可以使用系统的个人及整个工作组，权限规定了个人或小组可以访问哪些目录、文件、应用程序及其他资源，以及执行哪些操作，系统管理员或资源所有者可以分配权限，管理层要确保个人所享有的权限与其承担的职责不冲突。其二，口令控制。口令是由用户输入密码，从而得以访问系统、应用程序、数据文件或网络服务器等。口令控制方法主要有可重用口令和一次性口令。可重用口令指口令一经用户设定，就可在今后访问系统时重复使用，可重用口令提供的安全质量取决于口令自身的质量，一次性口令则指用户的口令不停地被更换。其三，抵御病毒及其他破坏性程序的控制。病毒之类的破坏性程序导致损失是巨大的，这些损失是依据数据错误或毁损、计算机性能降低、硬件损害、侵犯隐私及修复损害所耗费的人员时间表衡量，技术控制和管理程序相结合可以大大减少破坏性程序的威胁。其四，控制审计轨迹。审计轨迹的设计是用来登记系统、应用程序及用户层活动的记录，审计轨迹在恰当实施的情况下可以提供重要的检查控制。典型的审计轨迹由两类审计日志构成：每次键盘敲击的详细日志，包括记录用户的键盘敲击和系统地反应；由事件引发的日志，主要登记访问系统的所有用户的ID，访问和持续的时间，访问中执行的程序，以及访问过的文件、数据库、打印机和其他资源。其五，容错控制。容错是系统某个部分在出现硬件故障、应用程序错误或操作员错误而导致部分系统故障时，继续运行的能力。主要包括使用不间断电源与进行多重处理。其六，管理控制。主要有制定磁盘拷贝权限和制定保护制度等，防止未经检测的磁盘接入系统。新经济、新技术使企业的运行环境发生了根本性的变化，它给企业带来风险的同时也带来了控制风险的机会与工具。加强IT环境下的会计信息系统内部控制工作不是短期行为，它随着企业经营管理环境的变化而变化，并不断趋于完善。内部控制是动态的，是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程，它需要会计理论界不断深入研究，需要企业界强化认识予以重视，在传统的控制观念基础上，充分利用和完善COBIT内部控制的基本框架，建立与时代相适应的内部控制制度，以满足企业管理的需要并为企业带来更大的价值。 在COBIT内部控制的基本框架等有关理论、方针政策指引和各方人员的共同努力下，IT环境下会计信息系统的内部控制也会得到不断丰富和逐步趋于完善。