隨著會計信息化的發展,傳統的內部控制方式已不能適應時代發展的要求,取而代之的應該是信息化的控制技術,即采用計算機技術、網絡通訊技術等將內部控制的流程、關鍵控制點等固化在信息系統中,使企業內部控制規范制度的設計與運行更加有效。
計算機和網絡通訊技術的引入使企業內部控制系統變得相對復雜,不但增加了會計工作的內容,同時也相應地增加了內部控制的內容。如信息化集成、流程控制、網絡系統安全的控制、軟硬件的維護與管理、系統管理人員與維護人員的崗位責任制度及其相互的牽制制度等都成為信息化條件下內部控制的內容。
目前學術界對內部控制信息化的研究主要還停留在理論的層面上,尚未對信息化的物理層面和具體技術實施方案作進一步的研究。本文將在分析和總結內部控制信息化所需解決的主要問題的基礎上,結合計算機和網絡安全技術對內部控制信息化存在的問題提出相應的解決方案,為企業的內部控制信息化提供一個可行的實施方案,促進內部控制信息化的發展。
一、內部控制信息化需要解決的主要問題
信息化環境下,企業實施了各自的信息化系統,信息流、物資流和資金流高度集成,業務處理程序被簡化,大部分處理由計算機完成,但卻帶來一些內部牽制措施無法執行的問題,包括會計人員無法直接參與和控制,控制效率低,其審查、稽核機制被削弱等。此外,計算機技術和網絡通訊技術本身存在的可靠性、安全性等問題,也給企業內部控制風險防范帶來了相應的難題。
1. 將內部控制流程和關鍵控制點固化在信息系統中
會計信息是對企業經濟活動情況的真實反映,其數據主要源自業務部門。信息化環境下,數據通過網絡由企業各個管理子系統直接采集,并通過公共接口與供銷商、稅務等外部系統相連接。相應的,內部控制設計,要按照一定的方法,合理歸集、構建適應企業經營管理狀況和內部控制要求的相關子系統,并通過控制流程圖發現可能發生錯誤或舞弊而需要控制的業務環節,即控制點。控制流程,主要由控制點組成,是指依次貫穿于某項業務活動始終的基本控制步驟及其相應環節。此外,目前會計信息系統很難在不同生產商的會計系統和其他管理系統上實現完全的數據共享,但隨著虛擬企業的出現,企業可以通過不同的協議獲取其他企業的資源,在與其他企業進行信息共享的同時,必須通過網絡在不同主題之間進行傳遞和復核,以實現內部的實時控制和網絡控制。
因此,內部控制信息化首先面臨的問題就是信息化集成的問題,即如何在已有的業務信息化系統之上有效地加入控制流程,同時加強信息系統之間的信息共享。
2.保證數據的可靠性和安全性
在信息化環境中,財務數據通過互聯網傳輸,憑證的填寫、審核通過人操作計算機完成,傳統的筆跡識別等辨別技術不復存在;會計記錄被存儲在磁介質上,不便于實施簽字或蓋章等措施,而且容易被改動。另外,網絡環境的開放性使得數據存在被截取、篡改、泄露機密等安全風險,很難保證其真實性與完整性。于是,數據的安全性和可靠性,如何防止數據被非法修改及如何盡可能避免利用計算機進行犯罪是內部控制信息化必須解決的問題。
3.合理控制會計信息系統的操作員權限,防止內部失控
在會計信息化工作中,有兩類角色。一類是會計電算化工作的參與人員,包括基本的會計崗位人員和電算化會計崗位人員,這兩種崗位人員下面又可再細分,各自負責不同的工作,擁有不同的操作權限和數據訪問域,形成一個龐大的權限關系網。
另外一類是系統管理員,這個角色不參與會計工作,但起到維護和管理系統的重要作用。多數企業對于系統管理員與數據管理員、網絡管理員職權不分,往往賦予系統管理員過大的權力,諸如能夠調用系統的所有功能等,有時甚至完全超過了會計主管的權限,成為“超級管理員”。
因此必須對會計信息系統操作員的權限進行明確、合理的分配,對操作進行記錄和實時監控,不能越權操作,更要控制不同權限操作員對不同安全級別的數據的可訪問性,防止內部控制的失控。
4.保證會計系統的安全性和健壯性,加強風險防范
會計信息化使會計系統處于開放的互聯網世界中,給財務系統的安全提出了嚴重的挑戰。互聯網的開放特性使一些惡意訪問者有機可乘,網絡的遠程接入性也給犯罪分子提供了方便,黑客有可能通過網絡侵入系統,竊取企業重要的信息資產,甚至使信息系統崩潰。目前黑客肆虐,世界上的各類網站每天都受到成千上萬次攻擊,網絡財務系統無疑也面臨巨大的安全風險。另外,計算機病毒的猖獗也為會計信息化系統帶來更大的風險,有效地防治計算機病毒對保障網絡財務系統的安全性至關重要。
二、 內部控制信息化的實施方案
針對以上問題,本部分分別提出相應的解決方案,從技術的角度為內部控制信息化提供一個整體的實施方案。
1 . 基于企業服務總線實現信息化集成
在會計信息化環境下,需要將內部控制的控制流程、關鍵控制點等固化在現存信息系統中。首先,要先對關鍵控制點進行識別,對容易發生偏差的業務環節進行控制。關鍵控制點一般指在業務處理過程中發揮作用大,影響范圍最廣,甚至決定全局成效的控制點。另外,需要對各相關子系統進行認真研究和梳理,確定各子系統運行過程中的主要風險、關鍵環節和關鍵控制點,針對每一個關鍵環節和關鍵控制點制定有效的控制措施,形成控制流程并反映在信息系統當中。
關鍵控制點可能運行于各部門的信息系統中,也有可能是由與之相關聯的企業所提供的外部接口,要實施控制,必須解決接口之間的消息傳遞協議、消息格式不一致等問題。企業服務總線(ESB)可以有效解決這些問題。
企業服務總線架構如圖1所示,不同協議的接口注冊到ESB中,即插即用,服務請求者不需要知道接口的具體位置和具體的實現技術便可調用接口,實現傳輸協議的解耦。
ESB的4個基本功能——消息路由、傳輸協議的轉換、消息格式的轉換、處理不同來源的業務事件可適應內部控制信息化系統需要通過接口獲取外部數據、在不同系統提供的不同協議的接口之間傳輸數據的集成需求。通過結合以上技術和框架,內部控制系統的信息化集成實施方案的流程如圖2所示。
數據中心為企業服務總線提供數據服務,而企業服務總線為BPEL流程引擎提供運行時環境。此外,BPEL流程引擎提供流程執行狀況的監控功能,在企業實施內部控制的過程中,執行者可以審核各關鍵控制點上的控制措施的執行狀況,根據執行的效果作適當的調整或糾正。
2.實施網絡信息控制,保證數據可靠性和安全性
為了防止會計信息數據被攻擊者截取,必須對發送的信息進行加密,而為了保證數據的完整性,不被篡改,則可以采用數字簽名的方法對消息進行散列和校驗。將加密和數字簽名結合起來,可達到保證財務數據完整性和安全性的目的。
現代密碼學體系引入了混沌序列加密的理論,利用混沌系統在迭代過程中造成信息損失的特點加強加密的效果。密鑰空間的大小直接關系到加密的效果,在傳統的對稱加密和公鑰加密體系中,密鑰容易受到窮舉密碼的攻擊。而在混沌密碼體系中,由于混沌具有隨機性、敏感性、多維性等特點,密鑰空間非常大,例如可以使用非線性方程、混沌系統的初態、超混沌系統的多個指數級別參數作為密鑰,加上計算機系統的多種編碼方式,可以形成更為廣闊的密鑰空間。因此利用混沌理論進行數據加密可以達到很好的加密效果。
文獻[10]提出了基于Logistic動力系統的混沌加密和解密模型,該模型使用Logistic混沌映射xn 1 = μ×xn×(1 - xn), xn是從0到1之間的實數,當μ取3.569 945 6…到4之間的實數時呈現混沌狀態。該算法隨機取序列{xn}中的實數小數點后n位有效數字組成的整數作為加密密鑰,并且舍棄前面的2 000個數,從而加強密鑰的隨機性并且能有效抵御選擇明文攻擊,其加密和解密的流程如圖3所示。
與現有的56位標準數據加密(DES,Data Encryption Standard)加密算法作比較,在一臺浮點數有效位數為16位的計算機上,該算法的密鑰空間大概是DES算法的1013倍,可有效地防御密鑰窮舉攻擊。另外,將非線性方程F(xn)通過變換F(F(xn))得到新的一元二次方程可以使xn和μ的解更難得到,可以有效抵御明文攻擊。實驗證明,該算法的加密和解密的效率是RSA(Rivest Shamir Adleman)算法的近50倍。
使用基于混沌序列的加密算法可以更加有效地保證數據的保密性和安全性,其效率也比公鑰加密體系高,非常適用于會計信息化環境下的內部控制。
在混沌序列加密體系的基礎上,也有人提出了一種基于離散超混沌同步的數字簽名技術。該技術使用混沌掩蓋和混沌調制技術,由于混沌掩蓋引入了掩蓋信號,在信息摘要中間攜帶了掩蓋信號自身的信息,因此對比傳統的數字簽名方法,其信息摘要更加難以破解和恢復,簽名者在簽名后無法抵賴其簽名,即保證了數據的不可抵賴性。
基于混沌理論的數據加密和數字簽名方法可運用于文字信息、多媒體信息等,是內部控制信息化的有效手段。例如,可以在電子文檔中添加數字水印或數字印章,在傳輸過程中采用混沌加密和數字簽名技術,則仍然可以保證這些電子文檔數據的可靠性和安全性,達到良好的內部控制效果。
3.基于角色的權限控制方案
在會計信息化系統環境下,信息化系統中應該實施相應的措施適應會計崗位的變化,嚴格控制各崗位、各人員在信息系統當中的權限,以達到控制的目的。
基于角色訪問控制模型是國際上流行的先進安全訪問控制方法。它通過分配和取消角色來完成用戶權限的授予和取消,并且提供角色分配規則。管理人員根據需要定義各種角色,設置合適的訪問權限,而用戶根據其權、責、利再被指派為不同的角色,整個訪問控制過程分成兩個部分,即訪問權限與角色相關聯,角色再與用戶關聯,從而實現了用戶與訪問權限的邏輯分離。
用戶與訪問權限的邏輯分離使得權限分配和管理更加方便和有效。例如,如果一個用戶的職位發生變化,只要將用戶當前的角色去掉,加入代表新職務的角色即可。為用戶分派角色技術難度不高,可以由行政管理人員來執行,而配置權限到角色的工作較復雜,需要一定技術基礎,可以由專門的技術人員來承擔,但不給他們分配具體的業務操作權限。因此該方法可避免類似于“超級管理員”這樣權限集中的情況,做到職權分離,系統管理員不具備會計相關的工作權限。
4. 加強安全保護措施,提供安全的網絡環境
網絡安全是內部控制信息化要重點解決的問題,必須加強軟硬件的安全保護措施,為企業提供一個安全的網絡環境。
首先,可建立虛擬專用網(VPN,Virtual Private Network)將企業內部網絡和外部訪問區域嚴格區分,內部數據通過VPN傳輸,通過防火墻技術將外部網和內部網分隔開,防止黑客進入企業內部網絡進行破壞活動,記錄和跟蹤可疑事件。
其次,必須加強對計算機病毒的防護工作,對企業內部的每一臺計算機進行有針對性的病毒防御和查殺工作,對出現問題的計算機進行實時監控,防止病毒的產生和擴散。基于服務器的病毒防御體系,可針對每個區域設置特定的防毒中心,例如針對局域網中各部門的個人計算機,企業內部服務器、對外服務器等分別配置防毒中心,為郵件服務器群配置郵件監控系統,為敏感部門設置專用的內部防火墻,跟蹤病毒狀況,及時上報可疑情況。另外,在數據包進入內部路由器前,探測是否存在外網攻擊,財務軟件本身也可掛接殺毒軟件,以減少軟件自身受到病毒干擾的可能性。
三、結束語
本文首先分析會計信息化環境下的內部控制需要解決的4個主要問題——信息化集成、數據可靠性和安全性、權限分配、網絡安全,然后從技術的角度分別對這4個問題提出了相應的實施和解決方案,其中基于企業服務總線的架構可以解決信息化集成的問題,基于混沌理論的加密和數字簽名技術可有效保證數據的可靠性和安全性,基于角色的權限控制方案可以解決權限分配、職權分離的問題,而最后提出的基于網絡服務器的企業防病毒安全架構則可為企業提供一個安全的網絡環境,減少由網絡產生的風險。結合這4個解決方案,在信息化環境下的內部控制可以有效地進行實施,有效控制和防范信息化環境下企業所面臨的風險。
除了本文主要討論的4個問題以外,會計信息化環境下的內部控制實施還存在一些其他的問題,例如企業內部治理制度管理需要根據會計信息化進行相應的改變,從制度上進行有效控制;合理分配人力資源,提高企業內部人員的自身素質,進行自我控制等。另外,在實施過程中可能會產生其他問題,例如在選取具體的實現技術的時候要考慮技術的穩定性和成熟性,系統可維護性和靈活性等;在規劃信息化項目的時候應嚴格控制實施成本,把控項目進度,控制IT項目本身存在的風險等,而這些問題都需要在實施過程當中不斷摸索,不斷改進,從而在會計信息化環境下進行有效的內部控制。
主要參考文獻
[1]財政部.財政部關于全面推進我國會計信息化工作指導意見(財會[2009]6號)[Z].2009.
[2]王棣華,杜晉賢.淺析會計信息化與企業內部控制[J].會計之友,2008(34):51-52.
[3]苗壯.會計信息化對內部控制的要求[J].華北電力大學學報:社會科學版,2006(3):40-42.
[4]郭冰.全面信息化下內部控制構建研究[D].長沙:長沙理工大學,2008.
[5]蔡志婉. 會計電算化環境下企業內控的分析與研究[J].財會經濟,2005(3):72-73.
[6]劉潔.網絡環境下的企業內部會計控制研究[D].武漢:武漢大學,2005.
[7]林懷恭,聶瑞華,羅輝瓊,等.基于SOA架構的服務集成技術的研究[J].計算機技術與發展,2009,19(7):141-144.
[8]李瑞軒.異構信息集成中的查詢處理與優化研究[D].武漢:華中科技大學,2004.
[9]齊德昱,胡鏡林,張鵬.多數據庫中間件的模型研究[J].計算機工程與設計,2005,26(10):2602-2605.
[10]孫克輝,張泰山.基于混沌序列的數據加密算法設計與實現[J].小型微型計算機系統,2004,25(7):1368-1371.
[11]盧輝斌,劉龍,張瑞芳.基于離散超混沌同步的數字簽名技術[J].電子測量技術,2007,30(1):10-13.
[12]李孟珂,余祥宣.基于角色的訪問控制技術及應用[J].計算機應用研究,2000,17(7):44-47.
