您的位置:正保会计网校 301 Moved Permanently

301 Moved Permanently


nginx
 > 正文

IT环境下会计信息系统内部控制的研究

2005-07-24 17:09 来源:

  自20世纪80年代以来,高科技浪潮席卷全球,以网络、通讯、信息处理、人工智能和多媒体等为核心的信息技术-IT,已成为世界经济和科技发展的制高点。IT技术一日千里的发展状况,剧烈地改变着企业的经营环境,冲击着传统的企业管理模式。本文拟对IT环境下传统会计信息系统内部控制存在的缺陷作出总结,并就弥补缺陷、完善IT环境下企业内部会计控制制度提出对策。

  一、IT环境下传统企业内部会计控制的缺陷

  随着IT技术,特别是以Internet为代表的网络技术的发展和应用,以提供财务信息为主的会计,正由传统的手工会计系统向电算化会计系统、网络会计系统方向发展,这无疑是企业管理手段的巨大进步,极大地促进了会计工作效率的提高,但同时也给企业内部会计控制带来了新的问题和挑战,具体表现在:

  (一)授权方式的改变,潜伏着巨大的控制风险

  授权、批准,乃是一种常见的内部控制手段。在手工会计系统中,一项经济业务由发生到形成相应的会计信息,其经历的每一个环节都应由具有相应管理权限的有关人员签章,方可办理。这种传统管理方式的效率虽不高,但可有效地防止作弊。然而,在电算化会计信息系统中,权限分工的主要形式是口令授权。口令存放于计算机系统内而不像印章那样由专人保管,一旦口令被人偷看或窃取,便会带来巨大隐患,此种案例已发生多起。如:会计人员被客户收买,窃取口令,非法核销客户的应收款及相关资料;销货人员窃得顾客订单密码,开出假订单,骗走公司产品等等。

  (二)内部控制的程序化,有可能使同一种差错反复发生

  电算化会计、网络会计的内部控制,在很大程度上取决于这些会计信息系统中运行的应用程序的质量。一旦这些应用程序中存在严重的BUG或恶意的“后门”,便会严重危害系统安全。毕竟,会计人员对计算机专业知识知之有限,很难及时发现这些漏洞。这样在专业人员找到或堵上这些程序漏洞之前,系统便会多次重复同一错误,扩大损失,这也是手工会计系统不会遇到的问题。

  (三)原始凭证数字化,使得会计信息易于被篡改或伪造

  在手工会计系统中,原始凭证是以纸张为载体,很难不露痕迹地加以修改或伪造。但随着电子商务的发展,一些单位的原始凭证也如同记账凭证、会计账簿或报表一样,已实现数字化、电子化,即以数字形式存储在磁(光)性介质上,这种无纸凭证极易被篡改或伪造而不留任何痕迹,它弱化了纸质原始凭证所具有的较强的控制功能,给内部会计控制带来了新的难题。另外,磁(光)性介质容易损坏,一旦受损则很难修复,这更使数字化的会计信息丢失或毁坏的风险加大。

  (四)网络环境的开放性加剧了会计信息失真的风险

  网络技术无疑是目前IT发展的方向,特别是Internet在财务软件中的应用对电算化会计信息系统的影响将是革命性的。但网络环境具有开放性的特点,这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下,信息来源的多样性,有可能导致审计线索紊乱;大量会计信息通过网络通讯线路传输,有可能被非法拦截、窃取甚至篡改;网络会计信息系统遭受“病毒”入侵或“黑客”攻击的可能性更大,等等。总之,网络环境的开放性和动态性,加剧了网络会计信息失真的风险,加大了网络会计内部控制的难度。

  二、IT环境下企业会计信息系统内部控制的完善

  IT技术在会计信息系统中的运用加大了企业内部会计控制潜在的风险,但同时,IT技术与业务流程的结合,也给企业带来了控制风险的机会与工具。

  (一)网上公证的形成可有效地预防数字化的原始凭证被修改或伪造

  所谓网上公证,就是利用网络的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控。比如,每一家企业都在互联网认证机构申领数字签名和私有密钥,当交易发生时,交易双方将单据或有关证明均传到认证机构,由认证机构核对确认、进行数字签名并予以加密,然后将已加密凭证和未加密凭证同时转发给双方,这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这种交易中,交易一方因无法获得另一方的数字签名和私有密钥,很难伪造或篡改交易凭证。主管人员或审计人员一旦对某笔业务产生怀疑,只需将加密凭证提交客户和认证机构解密,将其结果与未加密凭证相对照,问题便迎刃而解。

  (二)在线测试的实现可及时地解决应用软件自身存在的问题

  IT环境下,会计信息系统使用的应用软件存在这样或那样的问题有时是难免的,解决问题的办法无非这样两个:一是在软件开发过程中加强交流、充分测试;二是在软件运用过程中注意监控、及时发现问题并予以解决。但在单机系统下,用户与软件供应商之间因空间的阻隔往往很难充分交流,发现并解决问题费时费力。到了网络时代,情况就大不一样了,互联网提供的实时高质的通讯传输手段,可使用户和软件商之间在几秒钟内建立连接,这就给解决上述问题带来了方便。比如,在软件开发过程中,用户可通过网络随时向开发商提出要求或建议,开发商也可以把已开发完成的软件及时传送给用户进行测试;在软件使用过程中,开发商可通过网络对用户的系统进行定期的在线测试,一旦发现问题可及时通知用户并进行在线升级,把BUG的存在时间控制在最短,提高系统的安全性。

  (三)监控与操作的职责分离可进一步强化系统内部的相互牵制

  职责分离是内部控制的一个重要组成部分。在手工会计系统中,企业通过把不相容的工作分派给不同的人员担当以达到相互牵制。但在电算化会计系统中,由于计算机的自动高效的特点,许多不相容的工作(如制单与审核)都已合并到一起由计算机统一执行,这就形成内控隐患。为了强化系统的内部控制,一个比较有效的办法是在电算化系统内分设操作与监控两个岗位,对每一笔业务同时进行多方备份。当会计人员利用电算化系统进行账务处理时,其操作和数据也被同步记录在监控人员的机器上,并由监控人员进行及时备份、定期审查。一旦主管部门或审计人员对某些数据产生怀疑时,可利用监控人员备份的原始记录进行分析调查、辨明真伪,这样就强化了电算化系统内部的相互牵制,有效地预防作弊。

  (四)采用加密码的电子签名,可增强电子化原始数据的防伪功能

  在无纸化的会计信息系统环境中,如果应用软件正确无误,系统传输安全可靠,则会计信息系统中派生数据(包括电子化的记账凭证、账簿数据和会计报表)的正确性、真实性和完整性完全取决于电子原始数据。反之,如果不精确、不完整、不合法的原始数据被记录和维护,将会影响以后所有的会计处理,导致一系列派生数据的失真。因此,电子化的原始数据的审核和确认显得尤为重要。在手工会计系统中,原始凭证的审核是通过对纸质原始凭证上有关责任人签名的辨别和相关凭证内容的相互核对来完成的。电子化原始数据的审核可采取类似的方法:一要注意相关业务不同数据记录之间的相互核对;二要关注经办人、批准人等相关人员的电子签名。电子签名不同于手工签章,会计如何确认这种电子签名的有效性是一个不容忽视的问题。目前的多数会计核算软件中,电子签名广泛采用普通汉字或字母代码填写,很容易被摹仿或伪造。为了克服这一缺点,增强电子原始数据的防伪功能,宜采用加密码进行电子签名,使其不容易被篡改或伪造。

  (五)充分利用现代IT技术,增强网络会计系统的安全控制

  网络技术在会计信息系统中的应用,极大地丰富了会计信息系统的功能,促进了会计工作效率的提高。但网络安全问题若不能有效地得到解决,必将限制网络会计系统的发展与应用。网络会计系统安全控制的途径主要包括:

  1.系统软件安全控制。要按操作权限严格控制系统软件的安装与修改,按操作规程定期对系统软件进行安全性检查。当系统被破坏时,要求系统软件具备紧急响应、强制备份、快速重构和快速恢复等功能。

  2.数据资源安全控制。数据库系统是整个网络会计系统安全控制的核心,数据库的安全威胁主要来自两个方面:一是系统内外人员对数据库的非法访问;二是系统故障、误操作或人为破坏造成数据库的物理损毁。为此,可采取以下措施:(1)合理定义、应用数据子模式。即根据不同类别的用户或应用项目分别定义不同的数据子集,针对特定类型的用户开放,以限制合法用户或非法访问者轻易获取全部会计数据资源;(2)建立数据备份和恢复制度。数据备份是数据恢复与重建的基础,是一种常见的数据控制手段,网络中利用两个服务器进行双机镜像映射备份是数据备份的先进形式。

  3.系统入侵防范控制。为了防止非法用户对网络会计系统的入侵,可采取以下措施:(1)设置外部访问区域。访问区域是系统接待外界(关联方、社会公众)网上访问、与外界进行会计数据交换的逻辑区域。企业在建立内联网时,要对网络的服务功能和结构布局进行详细分析,通过专用软件、硬件和管理措施,实现会计应用系统与外部访问区域之间的严密的数据隔离。(2)建立防火墙。防火墙是建立在被保护网络周边的、分隔被保护网络与外部网络的一种技术系统。为了有效地防范非法用户对网络会计系统的入侵,可设置内外两层防火墙,外层防火墙主要用来限制外界对主机操作系统的访问,内层防火墙主要用来逻辑隔离会计应用系统与外部访问区域之间的联系,限制外界穿过访问区域对内联网,尤其是对会计数据库系统的非法访问。

  三、IT环境下会计信息系统内部控制面临的新问题

  高速发展的IT技术,在给企业会计信息系统增强内部控制提供手段的同时,也给其安全带来了许多新问题,应当引起重视。

  (一)网络会计系统的开放性,使之很难避免非法侵扰

  网络是一个开放的环境,置于该环境中的各种服务器上的信息在理论上都是可以被访问到的,除非它们在物理上断开连接、脱离网络环境。因此,网络会计信息系统很难完全避免非法访问者的侵扰。尤其是当系统程序存在严重的BUG、系统安全控制能力较差而系统管理人员尚不自知时,很难保证系统的信息资源不会被窃取或篡改。这种情况一旦发生,将会给单位造成巨大的损失。为此,企业需根据IT技术的最新发展,定期评估系统的安全性和内部控制能力,努力把新技术给老系统带来的风险降到最低。

  (二)网络会计系统的复杂性,使得稽核与审计的难度加大

  网络是一个由计算机硬件、软件、操作人员和各种规程构成的复杂的系统,该系统将许多不相容职责相对集中,加大了舞弊的风险;系统信息以电子数据的形式存储,易被修改、删除、隐匿或伪造且不留痕迹;系统对错误的处理具有重复性和连续性;系统设计主要强调会计核算的要求,很少考虑审计工作的需要,这些往往导致系统留下的审计线索很少,稽核与审计必须运用更复杂的查核技术,且要花费更多的时间和更高的代价。会计师必须经过专业培训、具备复杂电脑资料的处理能力,方能胜任此项工作,这无疑将加大稽核与审计的难度和成本。

  (三)电子商务的普及,将给内部会计控制带来前所未有的挑战

  随着IT技术的迅猛发展,网上交易愈加普遍,电子商务将逐步普及。电子商务一方面极大地提高了商务活动的效率,给企业带来了无限的生机、另一方面给网络会计系统的内部控制也带来了新的挑战。基于电子商务的单据电子化、货币电子化、网上银行和网上结算等,虽然可加快资金周转速度,但给会计信息系统带来的风险将是空前的。可以想象,在不久的将来,一旦企业全部原始凭证都采用数字格式,实现了电子化,势必要加强企业对网上公证机构的依赖,电子单据的信息保真将显得特别重要。但直到目前为止,相关的技术并不成熟、相应的法规也不完善,这将给网络会计系统的内部控制带来极大的困难和前所未有的挑战。