一、網絡會計信息系統存在的問題
隨著網絡技術的發(fā)展和應用,傳統的手工會計系統已向網絡會計系統發(fā)展,這是企業(yè)管理手段的巨大進步,但同時也給企業(yè)內部安全控制帶來了新的問題和挑戰(zhàn),具體表現在:
(一)授權方式的改變和系統程序質量的依賴性不利于安全風險的控制在網絡會計系統中,權限分工采用的主要形式是口令授權,而口令存放于計算機系統內,一旦口令被人竊取,便會帶來巨大的安全隱患。如會計人員被客戶收買后,竊取口令并登錄系統,非法核銷客戶的應收款及相關資料;銷售人員竊得顧客訂單口令,開出假訂單,騙走企業(yè)產品等。網絡會計的安全控制在一定程度上取決于系統中運行的應用程序的質量。一旦程序中存在嚴重的錯誤,便會危害系統安全。而會計人員的計算機專業(yè)知識有限,很難及時發(fā)現這些漏洞,致使系統會多次重復同一錯誤而擴大損失。
(二)電子商務的普及和會計信息的偽造導致網絡會計系統安全控制的新難題IT技術迅猛發(fā)展,網上交易愈加普遍,電子商務逐步普及。企業(yè)在利用Intemet網尋找潛在貿易伙伴、完成網上交易的同時,也將自己暴露于風險之中。一旦企業(yè)的全部原始憑證采用數字格式,實現電子化,極易被修改甚至偽造而不留任何痕跡,勢必將加強企業(yè)對網上公證機構的依賴,電子單據的信息保真將顯得特別重要。但目前相關技術還不完全成熟、相應法規(guī)并不完善,這將給系統安全控制造成極大的困難。
(三)會計信息儲存方式和媒介的變化缺乏會計業(yè)務的有效牽制網絡會計采用高度電子化的交易方式,對數據的正確性、交易及其軌跡均帶來新的變化。原始憑證在網絡業(yè)務交易時自動產生并存入計算機,交易的全過程均在電子媒介上建立、運算與維護,而且大量的數據錄入和交易發(fā)生在企業(yè)外部;網絡會計使會計介質繼續(xù)發(fā)生變化,更多的介質將電子化,出現各種發(fā)票、結算單等電子單據。存貯形式主要以網絡頁面數據存貯,網頁數據只能在計算機及相應的程序中閱讀。由于計算機的自動高效使工作人員減少,各種手續(xù)被合并到一起由計算機統一執(zhí)行,從而不能像手工方式下一筆業(yè)務要經過幾道審查后才能被確認而相互牽制,成為內部控制的安全隱患。
(四)網絡環(huán)境的開放性和動態(tài)性加劇會計信息失真的風險網絡技術是IT發(fā)展的方向,特別是Inlemet在財務軟件中的應用使得會計信息系統向網絡化方向發(fā)展。但在開放的網絡環(huán)境中,大量的會計信息通過Internet傳遞,各種服務器上的信息在理論上都可以被訪問,除非物理上斷開連接,否則就存在被截取、篡改、泄漏甚至黑客或病毒的惡意侵擾等安全風險。盡管信息傳遞的無紙化可有效避免人為原因導致的信息失真現象,但仍不能排除電子憑證、電子賬簿可能被隨意修改而不留痕跡的行為。南于缺乏有效的確認標識,信息接受方懷疑所獲取財務信息的真實性;信息發(fā)送方也擔心所傳遞的信息能否被接受方正確識別并下載,加大了網絡會計安全控制的難度。
(五)網絡會計系統的復雜性加大稽核與審計的難度網絡是一個由計算機硬件、軟件、操作人員和各種規(guī)程構成的復雜系統,該系統將許多不相容職責相對集中,加大了舞弊的風險;信息來源的多樣性,有可能導致審計線索紊亂;系統設計主要強調會計核算的要求,很少考慮審計工作的需要,往往導致系統留下的審計線索很少,稽核與審計必須運用更復雜的查核技術,且要花費更多的時間和更高的代價,這無疑將加大稽核與審計的難度和成本。
二、網絡會計信息系統的安全控制對策
網絡技術在會計信息系統中的應用,豐富了會計信息系統的功能,促進了會計工作效率的提高。但安全問題若不能及時有效地得到解決,必將限制網絡會計系統的發(fā)展與應用。網絡會計信息系統安全控制的對策主要有:
(一)做好法律、政策上的相關保障為了對付計算機犯罪,保護會計信息使用者的權益,國家應制定并實施計算機安全及數據保護法律,從宏觀上加強對信息系統的控制,為網絡會計系統提供一個良好的社會環(huán)境;盡快建立和完善電子商務法律法規(guī),制定網絡會計環(huán)境下的有關會計準則,規(guī)范網上交易的購銷、支付及核算行為。
(二)建立和完善網絡會計系統的管理制度管理制度是保證企業(yè)實現網絡會計信息系統安全、準確、可靠的先決條件。它主要包括:確定各種人員的職責范圍及其考核辦法的崗位責任制;制定密碼的使用和管理辦法及機房、保衛(wèi)、數據資料安全等方面應遵循的安全保密制度;操作計算機應遵守的操作規(guī)程及注意事項的操作管理制度;規(guī)定數據輸入、輸出、存儲、查詢與使用應遵守的數據管理制度;規(guī)定系統維護的申請、審批和應完成任務的系統維護制度;修訂《會計檔案管理辦法》,重新規(guī)定會計檔案的范圍、保管辦法及領用手續(xù)的會計檔案管理制度。
(三)加強網絡會計系統的安全控制網絡會計的安全控制是指在網絡環(huán)境下采用各種方法保護數據和計算機程序,以防止數據泄密、更改或破壞。主要包括硬件安全控制、軟件安全控制、網絡安全控制和病毒防范安全控制等。
一是硬件安全控制。網絡會計系統的可靠運行主要依賴于硬件設備,因此硬件設備的質量必須有充分保證。加強對硬件的維護,防止計算機出現故障導致會計信息丟失;為以防萬一,關鍵的硬件設備可采用雙系統備份。另外,計算機房應充分滿足防火、防水、防盜、防鼠、恒溫等技術條件,必要情況下可采用電子門鎖、指紋核對、用計算機控制人員進出等防范控制手段;機房內用于動力、照明的供電線路應與計算機系統的供電線路分開,配置UPS不間斷電源、防輻射和防電磁波干擾等設備,盡量采用結構化布線來安裝網絡,在埋設地下電纜的位置設立標牌加以防范;對用于數據備份的存貯介質應注意防潮、防塵和防磁,長期保存的磁介質存貯媒體應定期轉貯等。
二是軟件安全控制。軟件的安全控制主要是保證程序不被修改、不損毀、不被病毒感染,程序的安全與否直接影響著系統的正常運行。及時下載和安裝系統補丁,堵住操作系統、數據庫管理系統和網絡服務軟件的漏洞;按操作權限嚴格控制系統軟件的安裝與修改,按操作規(guī)程定期對系統軟件進行安全性檢查。當系統被破壞時,要求系統軟件具備緊急響應、強制備份、快速重構和快速恢復等功能;系統軟件應盡量減少人機對話窗口,必要的窗口應力求界面友好,防錯糾錯能力強,不接受錯誤輸入;增強系統軟件的現場保護和自動跟蹤能力,對一切非正常操作可以記錄。當非法用戶企圖登錄或錯誤口令超限額使用時,系統會鎖定終端,凍結此用戶標識,記錄有關情況,并立即報警;分析研究各應用軟件的兼容性、
統一性,使各業(yè)務系統成為基于同一種操作系統平臺的大系統,各種業(yè)務之間能相互銜接,相關數據能夠自動核對、校驗;非系統維護人員不得接觸程序的技術資料、源程序和加密文件,減少程序被修改的可能性。
三是數據資源安全控制。數據資源的安全與否關系到財務信息的完整性和保密性。數據庫系統是整個網絡會計系統安全控制的核心,數據庫的安全威脅主要來自系統內外人員對數據庫的非法訪問和系統故障。誤操作或人為破壞均會造成數據庫的物理損毀。為防止非法用戶入侵,確保數據資源安全,主要采取以下措施:合理定義、應用數據子模式。即根據不同類別的用戶或應用項目分別定義不同的數據子集,對特定類型的用戶開放,以限制用戶輕易獲取全部會計數據資源;合理設置網絡資源的屬主、屬性和訪問權限。資源屬主體現不同用戶對資源的從屬關系,如建立者、修改者等,資源屬性表示資源本身的存取特性,如讀、寫或執(zhí)行等,訪問權限體現用戶對資源的可用程度;建立數據備份和恢復制度。數據備份是數據恢復與重建的基礎。對每天的業(yè)務數據雙備份,建立目錄清單異地存放。同時對存儲在網絡上的重要數據在傳輸前進行有效加密,接收到數據后再進行相應的解密,并定期更新加密密碼;在操作系統中建立數據保護機構。調用計算機機密文件時應登錄用戶名、日期、使用方式和使用結果,修改文件和數據必須登錄備查;設置外部訪問區(qū)域,明確企業(yè)內部網絡的邊界。企業(yè)建立內聯網時,要詳細分析網絡的服務功能和結構布局,通過專用軟件、硬件和管理措施,實現會計系統與外部訪問區(qū)域之間的嚴密的數據隔離;在內部網和外部網之間的界面上構造保護屏障,防止非法入侵和使用系統資源,記錄所有可疑事件;在開發(fā)應用軟件的技術選擇上也要考慮數據安全性問題。如在網絡財務軟件中應充分利用客戶服務器結構和Web應用的優(yōu)點,對于決策支持、遠程查詢、報表遠程上報則采用Web的應用,可以提高財務數據安全性。
四是網絡安全控制。為了提高網絡會計系統的安全防范能力,必須從技術上對整個系統的各個層次都要采取安全防范與控制措施,建立綜合的多層次的安全體系。數據加密技術是保護會計信息通過公共網絡傳輸和防止電子竊聽的首選方法。現代加密技術分為對稱加密和非對稱加密兩大類。對稱加密是關聯雙方共享一把專用密鑰進行加密和解密運算。它所面臨的最大難題是密鑰網上分發(fā)的安全性問題。非對稱加密是將密鑰分為一把公鑰和一把私鑰,加密鑰不同于解密鑰、并且不能由加密鑰推出解密鑰,有效解決了密鑰分發(fā)的管理問題,更適合網絡應用環(huán)境。訪問控制技術的代表是防火墻技術,特別是已融和虛擬專用網及隧道技術的防火墻技術。可設置內外兩層防火墻,外層防火墻主要用來限制外界對主機操作系統的訪問,內層防火墻主要用來邏輯隔離會計系統與外部訪問區(qū)域之間的聯系,限制外界穿過訪問區(qū)域對內聯網的非法訪問。數字簽名是指網絡環(huán)境下為驗證對方身份、保證數據真實性和完整性而在計算機通信中采用的一種安全控制手段。在國家相應財務制度許可的條件下,財務系統遠程處理可用數字簽名技術代替簽字蓋章的傳統確認手段。在網絡會計系統中使用數據加密與數字簽名技術,可以確保客戶端和服務器之間傳輸的所有數據的安全性。另外,采用虛擬專用網傳輸數據,使用光纖作為傳輸介質,確保接入口的安全保密,更好地解決了財務信息在Internet傳輸的安全問題。
五是病毒防范安全控制。防范病毒最有效的措施是加強安全教育,健全并嚴格執(zhí)行防范病毒管理制度,在系統的運行與維護過程中高度重視病毒防范及相應技術手段與措施。具體措施有:系統采購更新要經病毒檢測后才可使用;對不需要本地磁盤的工作站,盡量采用無盤工作站;采用基于服務器的網絡殺毒軟件進行實時監(jiān)控、追蹤病毒;在網絡服務器上安裝防病毒卡或芯片等硬件;財務軟件可掛接或捆綁第三方反病毒軟件,加強軟件自身防病毒能力;對所有外來軟件、介質和傳輸數據必須經過病毒檢查,嚴禁使用游戲軟件;及時升級本系統的防病毒產品,定期檢測并清除系統病毒。
六是電子商務控制。網絡會計系統的應用為跨國企業(yè)、集團企業(yè)實現遠程報表、報賬、查賬、審計及財務監(jiān)控等處理功能創(chuàng)造了條件。網絡會計是電子商務的基石和重要組成部分,對電子商務活動也必須進行相應的管理與控制。主要措施有:合理建立與關聯方的電子商務聯系模式;建立網上交易活動的授權、確認制度,以及相應的電子文件的接收、簽發(fā)驗證制度;建立交易日志的記錄與審計制度,進行遠程處理規(guī)程控制。
(四)加強內部審計為了監(jiān)督并提高系統運行質量,企業(yè)應設獨立的內部審計部門,在審計委員會或高層決策機構領導下工作。內部審計應包括:對會計資料定期進行審計,系統處理是否正確,是否遵照《會計法》及有關法律、法規(guī)的規(guī)定;審查電子數據與書面資料的一致性,做到賬表相符,對不妥或錯誤的賬表處理應及時調整;監(jiān)督數據保存方式的安全合法性,防止發(fā)生非法修改歷史數據的現象;對系統運行各環(huán)節(jié)進行審查,防止存在漏洞;對網絡資源的使用、網絡故障、系統記賬等方面進行記錄和分析。
(五)培養(yǎng)高素質的財會人員
網絡會計要求財會人員不僅能進行計算機操作,還要求能解決實際工作中出現的各種問題,所以應積極培養(yǎng)能掌握現代信息技術和會計知識及管理理論與實務的復合型人才。既要通過教育來提高他們的思想認識、安全防范意識和職業(yè)道德水準,嚴格執(zhí)行各項規(guī)章制度,又要加強專業(yè)知識的學習和培訓,不斷提高計算機網絡的安全防范手段和應用水平,在對網上會計信息進行有效過濾的同時,防止非法訪問和惡意攻擊本企業(yè)的會計信息。要適應網絡會計的發(fā)展,企業(yè)必須注重人才的培養(yǎng)和開發(fā),這也是信息時代保證企業(yè)在激烈的市場競爭中制勝的關鍵所在。
