三、基于互联网会计信息系统的外部控制
在互联网环境下,企业内联网已不再是独立、封闭的系统,已成为互联网世界的组成部分。因此,内部控制也已是一个相对的概念。要有效地实现企业内部控制的四个目标,保证企业网上商务活动的正常进行,必须把内部控制从企业网的小内部扩展到互联网的大内部,也就是说,同时还要对企业内联网以外的系统空间进行控制。下面要讨论的外部控制,指的就是面向企业内联网外部环境的控制。企业内联网与外联网、互联网的关系如图2所示,其外部控制包括周界控制、大众访问控制、电子商务控制、远程处理控制等。
1、周界控制。周界控制是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的,它是一切防外措施的基础。周界控制的主要内容包括:(1)设置外部访问区域。访问区域是系统内接待外界(关联方、社会分众)网上会计数据访问、与外界进行会计数据交换的逻辑区域。企业在建立内联网时,要对网络的服务功能和拓扑结构的布局进行详细分析,通过专用软件、硬件、管理措施,实现会计应用系统与外部访问区域之间的严密的数据隔离、访问限制。(2)建立防火墙。防火墙是指建立在被保护网络周边的分隔被保护网络与外部网络的一种技术系统。根据网络系统区域划分的不同,可设置多级防火墙系统。一般分为两类:一类是外层防火墙,用来限制外界对主机操作系统的访问;第二类是应用级防火墙,用来逻辑隔离会计应用系统与外部访问区域之间的联系,限制外界穿过访问区域对网络应用系统服务器,尤其是对会计数据库系统的非法访问。(3)建立周边监控系统。通过对系统日志和网络数据包的实时监控和审计分析,实时检测来自外部的入侵行为和内部用户的未授权活动,同时为追究入侵者法律责任提供线索和证据。
2、大众访问控制。网上大众访问包括电子邮件传递、网上会计信息查询等内容。由于网络系统是一个开放的系统,对社会大众的网上行为实际上是不可控的。因此,除了加强社会法律威慑作用外,企业主要是在系统的外部访问区域内采取防护控制措施。包括:(1)邮件系统控制。一般宜将邮件系统限定在外部访问区域的服务器和工作站上比较安全;(2)网上会计信息查询控制。社会大众可在网上查询企业的产品信息、财务报告等内容,这类业务一般也应限制在系统的外部访问区域内。系统要对提供信息的时间、内容作严格规定,并通过安全通道及时更新访问区域上的信息资料。
3、电子商务控制。就企业来说,可采取下列措施对电子商务活动进行管理与控制:(1)分别情况,建立与关联方的电子商务联系模式。一般可分为两类:一类是数据测览型模式,企业通过WWW向外部企业提供数据和条件检查功能,外部企业不能更改数据;另一类是事务处理型模式,交易双方可在网上直接进行电子凭证的交换,并更新双方的事务处理文件。为保证交易信息的安全可靠性,防止被窃取、被仿冒、被篡改,交易双方可对传输信息进行加密处理,对稳定、密切的合作伙伴还可进一步建立虚拟专用网,实现双方(或多方)之间具有相互操作性的数据联系;(2)建立网上交易活动的授权、确认制度,以及相应的电子会计文件的接收、签发、验证制度;(3)交易日志的记录、审计制度。交易日志用来自动记录电子商务每个步骤的交易时间和内容,对企业内外部来说都是重要的审计线索,企业需要同时也有义务保证它的完整性、可靠性。
4、远程处理控制。基于互联网的会计信息系统的建立为集团型企业实现远程查帐、远程报表、远程审计,以及对交易事项的远程财务监控创造了条件。建立相应的远程处理控制系统,是开展远程处理业务的前提。主要控制措施包括:(1)分支系统安全模式设计。分支系统是企业在异地具有独立内联网结构的会计信息系统,由于母系统的监控和访问直接伸入分支系统内部,而不是在通常的外部访问区域。因此,需要特别考虑由于远程处理给双方增加的风险问题。除了通信技术应采取互联网上的虚拟专用网外,在保证实时会计处理和财务监控有效的前提下,分支系统可采取单独设置母系统访问区域的做法,以提高其会计信息系统的安全可靠性;(2)远程处理规程控制。由于远程实时处理双方一般不是通过系统的外部访问区域连接的,任何一方的安全问题很可能给另一方带来危害。因此,双方要制定严格的远程处理控制操作规程,包括操作权限控制、内容授权控制、处理程序控制、通道及两端服务器安全控制等等。对于需在线实时处理的内容,如在线财务审批、电子转帐等内容,应在严格的操作规程下进行,确保处理结果的有效性和可验证性。
以上从系统风险评估、弱点分析、控制方案构建与实施等方面比较系统地讨论了基于互联网会计信息系统控制的设计与实现。由于信息安全技术总是落后于信息技术的发展,安全的实现不可能是一成不变的。因此,企业要把系统风险评估与管理制度化,以保证系统的控制方案及安全政策不断随系统本身的发展而不断完善。许永斌
[责任编辑:编辑部]
