浅论网络环境下电算化会计信息系统内部控制

浅论网络环境下电算化会计信息系统内部控制摘 要：作为内部会计控制的特殊形式 电算化会计信息系统环境下的内部控制随着IT技术特别是以nterent为代表的网络技术的发展和应用，出现了一些新的问题和挑战。本文针对这些问题进行了分析，并针对这些问题提出了具体的解决办法。关键词：网络；电算化会计信息系统；内部控制网络技术无疑是目前IT发展的方向，电算化会计信息系统也不可避免受到其深远的影响。在目前的网络环境下，财务软件的网络功能为财务控制带来了许多新名词，如远程报账、远程报表、远程审计、电子支付、网上采购、网上销售、网上催账、网上报税、网上银行等。其中利用电子支付手段，通过网络完成的成千上万笔交易将成为资金流的主流。它们是一种以数据形式流通的货币、票据、信用卡，支付过程简单，流通速度快。依赖这种电子数据交换，资金流动和账务往来可以在几十秒之内结束，使得财务内部控制所依赖的重要信息基础之一一内部单据(特别是原始凭证)减少甚至是消失，真正是“来去了无痕”，进而失去了追溯责任的依据，何来有效地控制?从而为电算化会计信息系统内部控制带来了新的问题。一、网络环境下电算化会计信息系统内部控制存在的问题(一)现行网络会计理论匮乏，加大了会计控制的模糊性在网络环境下，会计时空观的界面日显模糊，难以认定。诸如：(1)“虚拟公司”、“媒体空间”的凸现对会计主体的冲击，网络化进程促使会计主体突破传统的空问限制，扩展到全球，网络使跨国集团公司、战略联盟等组织形式的联系更加紧密，使集中式的财务核算管理得以实施。由于网上银行使资金流动更加顺畅，电子单据的使用，物流配售的专业化管理，使资金、产品网络调配变得越来越方便，虚拟的会计主体也就应运而生，它的产生对持续经营、会计分期的两个会计假设根基提出了严峻挑战。特别是资金流与物资流的不对称性流动，对财政、税务、海关等监管部门提出了新的挑战。(2)“交易主体”生命周期的频繁变换对持续经营的挑战；(3)“人力资源”、“知识资本”等无形资产的增加对会计报表内涵的重构；(4)“公允价值”的介入对计量属性的扩充等等。所有这些变化，因为网络会计理论、政策的缺失，对会计实践的支持力度相对不足，将会导致实施中的漏洞和盲区，甚至陷人无法可依、无章可循的尴尬境况。(二)网络会计信息载体的变化，加大了会计控制的复杂性随着电子商务的迅猛发展，网上交易愈加普遍。电子商务提高了商务活动的效率，给企业带来了无限的生机，但同时对会计信息系统的内部控制带来了新的挑战。电子商务的单据电子化、货币电子化、网上银行和网上结算等，可加快资金周转速度，但给会计信息系统带来的风险将是空前的。在网络环境下，商贸交易和会计信息的无纸化，很容易对保存在存储介质上的电子数据进行篡改和伪造，而且不会留下任何痕迹。如何鉴定电子数据是否为原件、如何对电子证、账、表等财务档案进行保管，这些问题都具有复杂性，可以想象在不久后企业的全部原始凭证都将成为数字格式，这势必要加强企业对网上公证机构的依赖。但直到目前相应的技术和法规还远没有达到完善，这也给系统的内部控制造成了极大的困难。(三)网络会计信息系统的高度开放，加剧了会计控制的风险性由于网络具有开放性、互联性和联接形式多样性等特征，致使网络易受黑客、病毒、恶意软件的攻击，增加了会计信息被滥用的风险，尤其是属于重大商业机密的财务数据，如遭到破坏或窃取，将给企业带来不可估量的损失。(四)网络会计信息处理的集成化。增加了会计控制的不确定性网络数据处理的集中性，使得传统的控制功能减弱，不确定性因素有所加大。网络会计的数据访问和数据交换都通过服务器进行，会计信息的集成化处理，改变了授权控制方式，由人工审核转变为网上口令授权，大大降低了管理的层级，使得系统中不相容的职务相对集中，加大了舞弊的风险，使内部牵制的效力逐步削弱。二、对网络环境下电算化会计信息系统内部控制存在的问题应采取的措施(一)基于企业内部网的控制措施会计信息来源于网络服务器的数据库系统中，因而网络数据库系统是整个网络会计系统控制的重点目标。对数据库系统的安全威胁主要有两个方面：一是网络系统内外人员对数据库的非授权访问；二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁，要提高操作系统的安全可靠性，除了要尽可能地选用安全等级较高的操作系统产品，并经常进行版本升级外，会计信息资源控制还应采取以下措施：一是采用三层式结构技术。三层式结构技术的基本思想是建立在分布式技术的基础上，运用组件技术把企业会计系统的功能划分为客户层(用户服务层)、会计处理层(中间层)和数据服务层(数据库服务器层)，分置于硬件平台上。把复杂的会计业务数据处理提出，使系统的逻辑结构和物理结构分离，形成3层结构的客户服务器结构。采用这种技术，可以利用中间代理服务器隔离客户与数据库服务器的联系，实现数据的一致性；二是采用较为成熟的大型网络数据库产品并合理定义应用子模式。子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集，通过它可以分别定义面向用户操作的用户界面，做到特定数据面向特定用户开放；三是建立会计信息资源授权表制度。明确规定每个用户的安全级别和身份标识，并分别定义具体的访问对象；明确定义每一用户对数据资源访问的范围和内容，并分别规定对数据库的查阅、修改、删除、插入等操作权限；四是建立日志审计制度。对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录，并对日志文件定期进行安全检查和评估；五是存取控制。对系统资源进行分类管理，并根据用户级别，限制系统资源的共享和流动；六是采取有效的网络数据备份、恢复及灾难补救计划。(二)基于企业外部网的控制措施在网络环境下，为了防止计算机会计信息系统遭到非法、恶意的软件程序的人侵，避免网络攻击破坏会计数据，应该实施一系列控制措施来保证网络安全。如运行专用的网管软件进行网络监控、采用专用内容过滤技术阻止各种恶意内容的入侵等，并通过对防火墙、扫描器、入侵检测等系统安全的支撑产品信息的采集，与信息系统的事故报告进行关联分析，以便于更准确地了解信息系统受到非授权访问或攻击的信息以及控制措施的控制效果，加强网络风险的防范。这就要求在技术上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都要采取安全防范措施，建立综合的多层次的安全控制体系。(三)网上公证由于网络环境下原始凭证仍然用数字方式进行存储，所以也不能像手工系统那样对每一张凭证作痕迹检验。可是利用网络所特有的实时传输功能和日益丰富的互联网服务项目，我们可以实现原始交易凭证的第三方监控，即网上公证。比如每一家企业都在互联网认证机构领取数字签名认证和私有密钥。当业务发生时，一方将单据传到认证机构，由认证机构确认并将经过数字签名的加密凭证与未加密凭证同时转发给另一方。这样就得到了一笔确实经过双方认可的交易。而单独某一方因无法获得另一方的数字签名和私有密钥，不可能伪造交易凭证。同时，该凭证以加密和未加密两种形式存储于企业的数据库中，会计人员只有可能修改其未加密的那一份。这样一旦审计人员或主管人员对某笔业务产生怀疑，只需将加密凭证提交客户和认证机构解密并加以对照即可。(四)监控与操作的分离实现对系统内部的有效牵制在电算化系统内分出操作与监控两个岗位，对每一笔业务同时进行多方备份。当会计人员进行账务处理时，其操作和数据也被同步记录在监控人员的机器上，由监控人员进行即时或定期审查，一旦出现数据不一致便进行深入调查。这样明确了岗位的划分，实现了有效牵制。(五)对软件实行在线测试对于计算机软件来说，其内部错误或不足是无法避免的。因此其解决办法只有两个：一是在开发过程中加强交流，充分测试；二是在发现问题后及时解决。而在单机系统下，用户与软件供应商之间由于受空间、时间的影响无法进行充分的交流，降低了系统的可信赖性。但是在网络时代，即使万里之隔也可以在几秒钟内建立连接，进行实时高质的通讯或软件传输。这给解决上述问题带来了方便。比如在开发时期用户可以随时向供应商提出最新的要求或意见，同样，开发商也可以及时把刚修正的软件传送给用户进行测试，大大提高了软件质量和开发速度。同样在使用过程中，开发商可以通过网络对用户的系统进行定期的在线测试，一旦发现问题可以及时通知用户并进行在线升级，把BUG的存在时问控制在最短，提高系统健壮性。(六)电子商务控制网络会计是电子商务的基石，是电子商务的重要组成部分，对电子商务活动也必须进行管理与控制。主要措施有：一是建立与关联方的电子商务联系模式；二是建立网上交易活动的授权、确认制度，以及相应的电子会计文件的接收、签发验证制度；三是建立交易日志的记录与审计制度。(七)数据通讯控制网络环境下的会计信息系统，其安全i生问题显得尤为突出，要解决这个问题，就一定要加强数据通迅的控制，具体来说，应包括：保证良好的物理安全，在埋设地下电缆的位置设立标牌加以防范，尽量采用结构化布线来安装网络；采用虚拟专用网(VPN)线路传输数据，开辟安全数据通道；对传输的数据进行加密与数字签名，确保传输数据的保密性和完整性。(八)防病毒控制计算机病毒对计算机系统的安全造成极大的危害，会计电算化系统中的数据一旦遭到破坏，将造成极大的损失，所以应当加强防病毒的控制。防范病毒较为有效的措施是严禁会计电算化局域网接入广域网中，加强安全教育，健全并严格执行防范病毒管理制度，包括：软件、软盘及计算机系统的采购和更新要通过计算机病毒检测后才可使用；建立软盘管理制度，同时防止乱拷贝软盘，不使用未经检测的软盘。有些会计人员认为安装了杀毒软件就万事大吉，其实病毒的变形和更新是非常快的，即使安装了杀毒软件，也绝非就高枕无忧了。安装防病毒卡和反病毒软件后，应定期检测并清除计算机病毒。具体来说，包括：其一，对不需要本地硬盘和软盘的工作站，尽量采用无盘工作站；其二，采用基于服务器的网络杀毒软件进行实时监控、追踪病毒；其三，在网络服务器上采用防病毒卡或芯片硬件，能有效防治病毒；其四，财务软件可挂