時間:2023-04-03 09:47:10
導語:在信息系統審計論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
為了更好的開展信息系統審計,審計組在編制審計實施方案前,對支隊的信息系統開展了詳細的審前調查,摸清了交警部門信息系統的基本情況,掌握了交通違法業務處理流程及業務數據的流向。最終,審計組決定以業務處理流程為切入點,抓住業務數據流向的關鍵點來開展審計,并確定了全市審計機關上下聯動的審計組織模式,明確了審計的方向和重點。
1.開展信息系統審計審前調查審計組在審前調查階段,專門開展了信息系統審計審前調查,調查的內容包括:信息系統承載的業務應用情況、業務應用軟件、系統業務流程圖和數據交互圖、網絡拓撲結構、主機/存儲設備/操作系統/數據庫系統、信息系統相關文檔等。通過信息系統審計審前調查,大致了解了被審計單位的信息系統的基本情況及業務處理流程:市電子警察系統主要包括違法錄入、違法修改、違法審批、法律文書管理、黑名單管理、違法統計等功能。其通過“郵政送達平臺”和“銀政聯網平臺”分別與廣州市郵政局(以下簡稱郵局)和銀行交換數據,以實現違法通知書的郵寄和罰款的繳納。四區兩市監控設備采集到的數據通過專線或3G網絡傳送到交警大隊服務器中,通過前端審核系統對數據的有效性進行審核,審核完的有效數據上傳到市交警支隊的“電子警察系統”中。電子警察系統中通過審核的有效數據上傳到省系統中,再上傳到公安部的“六合一”平臺。
2.確定審計組織模式審計組采用了市本級審計組與區縣審計組上下聯動、信息共享的審計組織方式,由市本級審計組負責市公安局交警支隊和兩個區分局交警大隊的審計調查,其余的四個分局交警大隊由各區縣審計組分別負責。市本級審計組通過分析“電子警察系統”和“省系統”數據庫,將問題數據分割后通過審計署OA系統及時發送給四區兩市審計組。四區兩市審計組審計分析各自的前端系統數據庫,發現的審計線索也通過OA系統上傳到市本級審計小組,以確定是否全市普遍存在問題。
3.確定審計重點和方法根據信息系統審計審前調查的結果,審計組決定以交通違法業務處理流程作為切入點,跟蹤業務數據流向來開展信息系統審計。審計調查的重點包括四個方面:一是電子警察系統的合法性審計。因為電子警察系統的合法性決定了公安部門執法的合法性,其作出的行政處罰是否存在行政訴訟的可能。例如:執法點位有無按規定向社會公布;執法點是否按規定設置標識牌;執法點的設備是否經過驗收和定期檢測等,執法點的設備能否正常運行等。二是電子警察系統的有效性、完整性審計。如:違法數據是否按規定全部、及時核對錄入;違法記錄是否全部及時向當事人制發書面通知;超過規定時速的違法行為是否嚴格按規定進行處罰;有無擅自撤銷處罰記錄等。三是電子警察信息系統的安全性審計。如,數據上傳過程中是否存在上傳失敗的情況;前后業務處理流程之間的數據量是否存在差異;操作系統、數據庫以及應用系統訪問是否存在的安全隱患等。四是電子警察系統的效益性審計。對審前調查確定的重點,審計組分別采用了不同的步驟和方法。①針對系統的合法性采取的審計方法:⑴取得目前交通“電子警察”的種類、數量及分布情況,與金盾網上向社會公布的執法點對比,檢查執法點位有無全部按規定向社會公布。⑵在征詢社會公眾的意見的基礎上,實地抽查執法點有無按規定設置標識牌;抽查指示燈號、標志線、限速指示牌等行車標志、標識是否合理;抽查交通“電子警察”測速設備,是否存在限速過低。⑶抽查交通“電子警察”設備的技術檔案資料,檢查所用的設備是否符合國家標準或者行業標準。⑷抽查記錄,檢查是否存在執罰程序不合法、未及時通知違法行為人等問題。②針對系統的有效性、完整性采取的審計方法:⑴抽查近三年廣州市交通“電子警察”定期檢測、保養、維護的日志、記錄資料,檢查設備有無定期檢測、保養、維護;通過實地闖紅燈和超速檢查信息系統設備運行情況的有效性。⑵檢查數據校驗功能是否缺失。如核查決定書編號是否唯一編號、是否存在重號等。⑶通過不同系統之間數據的對比,核查系統數據完整性。一是橫向比對,例如通過交警數據和郵政數據比對,違法記錄是否全部及時向當事人制發書面通知,通過交警數據和銀行數據比對,檢查最終違章記錄表中反映的已繳處罰金額總額是否與財政同一期間的非稅收入金額一致;二是數據的豎向比對,例如通過四區兩市的數據和支隊數據比對,支隊數據和省交警總隊數據比對,檢查系統數據在升級和遷移過程中是否發生丟失。⑷處罰撤銷情況統計。審核撤銷的數量、原因情況。審核撤銷是否具有完整的內部控制制度,系統是否有控制手段。③針對系統的安全性采取的審計方法:⑴檢查管理制度,查看系統后臺記錄的有關用戶操作權限。⑵實地抽樣查看系統操作人員對系統用戶權限的管理,并運用數據審計技術和軟件,對信息系統自動記錄的日志進行篩選分析,檢查有無未經授權的進入、非法修改刪除數據等異常操作,從而判斷信息系統的運行管理是否存在明顯錯誤或者缺陷。④針對信息系統的效益性采取的審計方法:⑴通過直接發放調查問卷等方式,征詢公眾對廣州市公安機關利用交通“電子警察”查處道路交通安全違法行為的意見,分析交通“電子警察”信息系統運行、交警執法的合理性、合法性和效益效果,提出對交通“電子警察”建設和利用的建議。⑵現場抽查交通“電子警察”設置到位情況,通過勘察、試驗、拍照等取證手段,對市公安局“電子警察”項目的設置規劃、分布、效益進行實地調查,重點檢查有無長期在建、虛設不用、閑置浪費等低效益現象,形成績效評價意見。⑶通過對交警執法效率提升、當地車輛保有量增長、交通事故數量及事故死亡人數變化等相關數據分析,采取量化指標反映“電子警察”取得的社會效益情況。⑷調取業務數據進行分析。如抽查監控點近三年開出罰單情況,動態分析監控點的運作情況匯報;分析近三年的事故多發地點,以及在事故多發地點設置交通“電子警察”情況。
4.項目取得的成果審計組通過開展電子警察信息系統審計,查出了以下主要問題:①部分監控設備長期沒有維護,導致無法采集數據或數據失效。②部分違法數據未及時核對、錄入。③區(縣級市)違法數據與市局存在差異。④未在規定時限內向當事人郵寄交通違法處理通知書。⑤電子警察管理系統反映的違法處理通知書數據與郵局反映的寄出數據存在差異。⑥未及時對區縣的異常數據信息進行檢查、分析,導致滯納金數據失真。⑦交警部門記錄的入庫金額與銀行返回的金額存在差異。⑧電子警察管理系統數據上傳公安部“六合一”平臺時數據丟失。⑨信息系統中交通違法信息內容記載不夠完整。公安交警部門對以上查出的問題高度重視,邊審計邊整改。其中對部分監控設備長期沒有維護的問題,市交警支隊已加強設備巡檢、維護工作的監督力度,對未能正常使用的設備已及時排除故障;通過優化系統和設備配置、延長工作時間、抽調人員支援、將人工拍攝的非現場數據核對錄入工作下放至轄區交警大隊等措施,有效解決對部分違法數據未及時核對、錄入的問題;對未在規定時限內向當事人郵寄交通違法處理通知書的問題,支隊按不同的形成原因采取措施予以解決,對確因傳送失敗而未寄出通知書的,支隊與郵政部門重新設計和開發統計違法數據數量功能模塊,已正式啟用,同時,與郵局采取每日核對數據量、對異常數據加強巡檢等監管手段,確保發送數據量與郵局接收數據量一致;對未及時對區縣的異常數據信息進行檢查、分析,導致部分數據失實的問題,支隊已在系統中對滯納金字段值進行限制,有效解決了繳款時間滯后造成滯納金不實的問題;對相關業務處理流程之間的數據存在差異的問題,支隊正在籌建交通管理數據交換平臺,將郵政、銀政、電子警察、交委等數據統一通過該平臺進行管理,進一步規范數據的共享與交換,同時對數據共享與交換情況進行全面監控,同時,將加強對系統操作人員的培訓,提高業務和技能水平;對數據上傳公安部“六合一”平臺失敗后沒有作補救處理的問題,支隊通過開發數據上傳失敗查詢模塊和安排專人跟蹤數據上傳情況,一旦發現數據上傳失敗立即進行補傳,確保不因技術問題導致上傳失敗;對信息系統中交通違法信息內容記載不夠完整的問題,支隊已在新的電子警察管理平臺中增加相關字段內容,逐步完善系統的設置。
二、做好信息系統審計的啟示
1.做好審前調查是做好信息系統審計的必要前提。審計人員需要根據審前調查了解的行業政策、信息系統的設計、管理和維護情況,從而確定審計的范圍和關注點,準備好信息系統審計的軟、硬件條件。只有做好信息系統審計審前調查,才能充分評估開展信息系統審計的重要性、可行性和風險性。
2.了解信息系統業務處理流程是做好信息系統審計的主要關鍵。深入了解被審計單位的業務處理流程,掌握信息系統內部控制環節、數據處理環節和數據傳輸轉移環節,以業務處理流程為切入點,就可以知道容易產生問題的環節,從而確定審計的重點,做到有的放矢。
3.合理配置審計人力資源是做好信息系統審計的有力保證。當前審計機關普遍面臨信息系統審計復合型人才饋乏的困境,要在短時間內改變這一狀況是不現實的。本案例中審計組配備了專長財會的審計人員和專長計算機技術的審計人員,由專長財會的審計人員負責研究行業政策,收集業務流程各環節的關注點,提出審計需求,由專長計算機技術的審計人員按需求設計計算機語言,對海量數據進行篩選,再交專長財會的審計人員對篩選結果進行分析,共同研究提出審計意見。復用審計思路的審計組織方式能使信息系統審計事半功倍。
4.采取靈活多變的審計方法是開展信息系統審計的有效途徑。本案例中采取了審閱、查詢、計算、分析性復核、社會調查問卷等多種方法。多種審計方法的靈活運用,可以相互印證審計事項,拓寬審計視野,擴大審計成果,加強審計的影響力。
三、結語
在信息化時代,我們擁有極大的信息系統審計需求市場,信息系統審計已成為審計發展的新動力和新方向。然而我國信息系統審計的發展現狀還不能適應時勢的需要,尤其是在推行基于國際性的標準COBIT 上的研究和實踐缺乏。為此,我們應在全面把握我國信息系統存在問題的前提下,采取有效的對策,以適應大規模的信息化建設的需要。
一、問題的提出信息及相關技術控制目標標準(Control Ob2jectives for Information and related Technology , CO2BIT) 是美國信息系統審計與控制協會( InformationSystem Audit and Control Association , ISACA) 的信息技術治理學會( Information Technology GovernanceInstitute ,ITGI) 基于其原有的控制目標體系,結合并改進現有的正在發展中的其他國際技術標準和工業標準而制定的控制目標體系,為IT 的治理、安全與控制提供了一個一般適用的公認標準。自1996 年問世以來,目前已經更新至第四版,是國際上最先進、最權威的安全與信息技術管理和控制的標準,已在全世界100 多個國家的重要組織與企業中運用,指導這些組織有效利用信息資源,有效管理與信息相關的風險。最新版本COBIT 4. 0 更注重幫助董事會和員工應對不斷增加的職責,包括面向公司董事會和各級管理層適用的指引,由四部分組成,即管理人員概述、框架、核心內容(控制目標、管理方針和成熟模式) 和附錄(圖表、前后參照和術語表) 。核心內容依據34 項IT 流程來劃分,全面介紹了如何控制、管理和測量每個流程。另外,COBIT 4. 0 分析如何將具體的控制目標劃入五項IT 管理領域,以識別潛在缺口; 令COBIT 標準與其他標準( ITIL 、CMM、COSO、PMBOK、ISF 和ISO17799) 協調一致;闡述關鍵目標指標(key Goal Indicator ,KGI)和關鍵績效指標(key performance indicator ,KPI) 之間的關系,說明KPI 如何推動實現KGI ;結合業務目標、IT 目標和IT 流程。COBIT 標準不僅為人們提供了信息系統控制目標和IT 標準,而且提供了信息系統的審計指南。它為信息系統審計師提供了較為系統的評估指標,從而規范信息系統審計師的審計思路,而且它提供的控制矩陣、管理明確診斷表和風險評估表等科學的手段,讓信息系統審計師合理評估審計風險,從而大大降低審計風險,提高審計質量。COBIT 標準對我國開展信息系統審計有很好的啟示和指導作用,我國應大力推行基于COBIT 標準的信息系統審計。
二、我國信息系統審計存在的問題
1. 審計人才缺乏信息系統審計是會計、審計、信息系統、網絡技術與計算機應用的交叉學科。開展信息系統審計,要求審計人員具有復合型的知識結構,既要掌握財會、審計知識,又要掌握信息系統、計算機與網絡技術。但我國現在大部分審計人員并不熟悉計算機是如何進行經濟與會計業務處理的,不知道計算機處理與網絡技術的運用有什么風險、怎么樣的控制才能有效降低這些風險,也不掌握如何對計算機信息系統進行審計或利用計算機和網絡技術進行審計。計算機技術人員雖然對計算機和網絡技術比較熟悉,但他們又不熟悉會計、審計知識,不知道要審什么、該怎樣審。而開發實用性和通用性較強的審計軟件所需要的高層次、高水平的人員也很缺乏。
2. 法律法規不完備在信息化條件下,審計方法、對象、技術都發生了很大的變化,傳統的審計準則體系、法律法規體系已不能完全適應、指導和規范信息系統審計的實踐,而新的關于信息系統審計的程序標準、準則和法律還沒有出臺或并不完備,有些甚至還是完全空白。例如,電子憑證、電子合同、數字簽名等的法律效力和保存要求;數字認證機構的認定及其法律責任;計算機犯罪適用的法律;在信息系統審計中審計機構的權力、責任和被審計單位的義務等。從近年情況看,我國的信息系統審計制度建設工作才剛起步,盡管國務院辦公廳、審計署、注冊會計師協會等機關和組織頒布或制定了一些準則和規范,但是,這些準則和規范還不完善,沒有形成系統性和結構性。不僅缺乏對信息系統開發和系統功能審計方面的規范,還比較概括、籠統,沒有相應的實施細則。對信息系統審計尚處于摸索階段的我國審計人員來說,顯然還缺乏具體的指南。
3. 技術水平落后信息技術的高速發展與廣泛應用使企業交易事項的大部分內容由系統自動運作完成,人工軌跡遺留較少,傳統審計線索蕩然無存。這就要求信息系統審計必須參與和融入信息系統的設計過程,在執行測試時必須穿越信息系統,以確保對連續監督程序和輸出結果的控制。在我國信息系統的設計與開發中,尚不具備充分的保留和提供審計線索的功能。審計人員完全處于被動地位,難以獲取充足的審計證據支持其審計結論,難以保證信息系統環境下的審計質量。
三、發展我國信息系統審計的對策從上述對我國信息系統審計存在的問題的概要分析中,作者認為,響應國際發展趨勢,在信息系統控制和審計領域推行COBIT 標準無疑具有美好的發展前景。具體實施時可針對以下幾個方面進行改進。 1. 注重專業人才的培養COBIT 標準具有系統的和完備的框架體系,它的運用首先定位于信息及其相關技術的控制和管理,因此,它在整體上表現出IT 業的大量相關技術。這就意味著運用COBIT 標準實施信息系統審計的審計人員應具有復合型的知識結構,既要掌握現代審計理論與實務,又要掌握信息系統、計算機與網絡技術。目前,審計署干部培訓中心開展的注冊信息系統審計師培養及與之相關的在審計人員中進行計算機知識的培訓工作,正是為了適應這一現實需要。在人員培訓上,要求對低層次人員培訓與高層次人才的培養、在職人員的培訓與未來人才的培養進行統籌規劃。對較高層次的人才培養,重點可放在信息系統的開發審計、系統的功能或應用程序審計、網絡安全審計和審計軟件的開發等方面;對未來審計人才的培養,應在高校會計專業教學計劃中增加IT 和電子商務等內容,不僅要把信息系統審計列為必修課,而且應對這門課的要求或大綱達成共識。審計機構的管理人員也應意識到,信息系統審計人才的培養不僅僅是對審計人員的培養。我們可以培訓審計師成為掌握必要IT 技能的人員,但很難要求他們成為計算機、信息系統和網絡技術方面的專家。因此,審計機構要改變以往由會計師獨唱主角的情況,計算機與網絡專家、信息系統與電子商務專家將在審計組織中擔任越來越重要的角色。審計機構應注意吸收這方面的人才,并進行審計知識和技能培訓,使他們能與會計師良好合作,更好地執行信息系統審計任務。
2. 完善審計準則從國際同業的實踐看,COBIT 標準已經逐步成為通行準則。我國應遵循國際標準或規范,把COBIT 標準作為核心標準, 同時, 借鑒ISOPIEC17799、ITIL 、PRINCE2、COSO、SOX 法案等其他國際標準和原則,進而確立適合自己的信息系統審計目標、對象、范圍、方法、流程等。進一步完善與信息系統審計有關的法規和準則,要在法律法規上,確定審計機構和審計人員有權審查被審計算機的信息系統的功能與安全措施,有權利用網絡和審計軟件進行審計,被審單位應對審計人員的信息系統審計給予積極的協助。在建設信息系統審計準則體系時,可以借鑒ISACA 的做法,也采用三個層次體系結構,以基本準則為核心,統領具體準則和執業指南,從而使整個準則體系不斷擴展、完善。內容劃分方式可分為審計的權利、義務與責任,審計人員和審計工作三大類,并按這些類別來制定準則。信息系統審計準則作為一個完整的準則體系,各項具體準則要相互依存、相互配合。在準則的制定、上,應當遵循務實原則、接軌原則、配套原則和科學原則。ISACA 的做法是,先規劃出基本準則的內容,在此基礎上,有計劃、有步驟、按照現實需要出臺各項具體準則、指南和程序。準則采用分項制定,完成一項,一項,實施一項。這有利于信息系統審計準則的全面順利的實施,也有利于信息系統審計人員循序漸進地正確掌握這一系列準則,從而促進信息系統審計準則在實務中迅速發揮作用。我們在信息系統審計準則的制定、上,可參照ISACA 做法。同時,對國際上已有的成文準則、習慣做法、專業術語,應當盡可能與國際慣例保持一致,盡量做到與國際慣例接軌。
3. 加強審計方面的IT 技術對于審計領域來說,COBIT 只是一套成文的信息技術控制標準,它只是向信息系統審計人員指明了前進的道路,但究竟如何才能成功通向勝利的彼岸,卻有待審計人員自身去開發高效快捷的通向目標的方式,尤其是在信息系統審計這樣一個高專業化、高技術性的審計業務領域。首先,應注重軟件的開發,如開發數據采集軟件,建立一種能夠容易訪問被審計單位不同介質、不同編碼、不同類型的數據庫,以便打通采集信息系統所需原始數據的瓶頸;在軟件的研制方面,還要考慮審計作業發展趨勢,如在現有審計軟件基礎上開發、研制新的適用信息系統審計的分析工具。其次,聯網審計的加強,它是方便快捷地運用COBIT 標準的有力舉措。這種審計方式成功實現的關鍵是被審計單位的信息系統提供標準化的審計接口,因此,信息化的管理部門和審計部門應加強宣傳,提倡甚至是嚴令監督企業提供數據接口,以便聯網審計的展開。最后,就是專家系統的構建,它能將基于COBIT 標準的成功案例進行積累和專業化,更好地為我們的信息系統審計工作服務。放眼未來之路,如何借鑒COBIT 標準開展適應國際趨勢的而又探索有中國特色的信息系統審計道路,需要新時代的審計人員的不懈努力。我們只有充分認識存在的問題的基礎上,才能有針對性地改進。中國審計人員將以倍增的熱情,迎接新技術革命的挑戰,充滿豪情地投入到審計技術創新的洪流中。
[參考文獻]
[1 ]李 丹. 信息系統審計———傳統審計的一場革命[J ] .中國審計,2002 (1) :57 - 58.
[2 ] 錢 艷. 信息系統審計———網絡架構、測試與評價[D] . 重慶大學碩士學位論文,2003.
[3 ]管亞梅. 信息系統審計———一種全新的審計模式的構建思路[J ] . 科技進步與對策,2005 (12) :78 - 80.
[4 ]陳婉玲,楊文杰. ISACA 信息系統管理準則及其啟示[J ] . 審計研究,2006 (增刊) .
[5 ]董 霞. 會計信息系統審計研究[D] . 天津財經大學碩士學位論文,2006.
關鍵詞:內部控制;網絡;問題;對策
一、引言
網絡時代的到來使企業、事業單位的會計業務運作越來越依賴于信息系統,會計信息系統內部控制也發生革命性的變革,在計算機網絡環境下的會計信息系統內部控制也遇到了很多與傳統環境不一樣的問題。
二、會計信息系統內部控制在網絡環境下的主要問題
隨著計算機網絡迅猛發展,電子商務、網上交易、無紙化交易等的推行,所有的交易數據都由業務人員直接輸入計算機并上傳到網絡中,原來的核算、審核工作也基本由計算機自動完成,同時企業也將利用信息系統控制企業的經濟活動,并將信息系統的控制作為企業內部控制的重要組成部分。但是在使用網絡環境下的會計信息系統的快捷方便同時也將企業的信息系統置于一個開放復雜的環境中,其安全問題又不得不考慮。本文針對網絡環境下的會計信息系統內部控制的主要問題分析如下。
(一)網絡環境下數據存在易失性和安全性差
網絡環境下的會計信息系統的范圍擴大,數據介質發生變化,各種信息轉化為數字形式存儲在磁介質上,如果發生火災、被盜、感染病毒等,數據就丟失了,另外計算機網絡上硬件的老化及自然損壞也是數據容易丟失的原因。在網絡環境下會計信息系統內部控制系統程序本身的漏洞較普通單機版更多,系統的安全性更差,而且會計信息系統下的權限分工主要依靠口令授權,每個相關人員都有與自己權限相對應的口令,操作口令管理不嚴,容易在網絡上泄密或被人竊取,修改、擦除和拷貝均不會留下任何痕跡,由此帶來安全隱患。另外,網上銀行的開通,電子商務的普及,通過網上劃、轉資金,電子單據、電子貨幣、網上結算等電子化的出現,都需要采取新的有效的內部控制方法,避免數據安全問題。
(二)數據的集成化和程序化加大了控制風險
計算機網絡技術的迅猛發展使會計信息系統中的數據日趨集成化和程序化,數據的訪問和交換均通過數據服務器進行,傳統的人工輸入數據環節功能弱化,而網絡高速公路使數據處理迅速,并且聯網四通八達,某個環節發生的錯誤極有可能在短時間內迅速蔓延,造成會計信息系統的癱瘓。會計信息系統使用的系統軟件和應用程序的質量決定著整個系統的安全性和使用價值,如果這些系統軟件和應用程序中存在著嚴重的問題,將會加大了會計信息系統的控制風險,會導致整個系統的崩潰。
(三)對系統使用人員綜合素質能力要求更高
網絡信息時代帶來了大量的新技術、新知識,使企、事業單位的會計信息系統的環境發生了很大的變化,會計信息系統的安全保護,會計信息系統的操作人員、網絡系統管理員的崗位責任等問題,對會計信息系統使用人員素質要求更高,會計部門不僅利用計算機完成基本的會計業務,還能利用計算機完成各種原先沒有的或由其他部門完成的更為復雜的業務活動。
(四)網絡犯罪的隱蔽性使得控制難度加大
會計信息系統的數據儲存在計算機磁性媒介上,容易被篡改。在計算機網絡環境下系統數據高度集中,網絡黑客或部分人員可以通過一些黑客軟件瀏覽部分乃至全部數據文件,甚至能做到不留痕跡地復制、偽造、銷毀企業重要的數據,而且網絡環境下這種犯罪具有很大的隱蔽性。計算機病毒的猖獗也為威脅著網絡環境下會計信息系統,病毒制造者的技術日益高超,破壞力越來越大。另外會計信息系統軟件自身的BUG 和后門等因素也為系統的安全帶來諸多隱患。
三、會計信息系統網絡內部控制問題的解決對策
要實現網絡環境下的會計信息系統安全可靠地運行,必須針對上面分析的系統內部控制問題提出解決問題的辦法,筆者認為可以通過以下四個方面。
(一)建立數據管理制度,加強數據安全保密
建立嚴格的數據管理制度,如保證會計信息系統硬件的防火、防水、防磁、防塵等安全;建立數據的備份制度,防止信息數據丟失;預防計算機病毒,防止病毒對信息系統數據的安全造成極大的危害;禁止非操作和維護人員使用會計信息系統聯網計算機,或者通過網絡隨意進入會計信息系統。在網絡環境下,要時刻防范網絡黑客和病毒的攻擊、竊取、破壞,需要采用操作授權、口令控制、數據加密、職能權限管理、操作日志管理等新的控制方法,這一切必須嚴格通過口令的控制來實現,另外還要安裝防火墻,禁止安裝網絡下載程序,嚴格執行移動存儲介質管理制度,確保數據的安全。
(二)加強軟硬控制,規范操作流程
數據的集成化和程序化更要加強網絡環境下的硬件和軟件的控制。可以通過奇偶校驗、冗余校驗、重復處理校驗、回聲校驗、設備校驗和有效性校驗等來保證硬件系統正確可靠的控制,可以通過設計的軟件內部中的各種處理故障、糾正錯誤、保證系統安全的控制軟件來保證軟件系統正常運行。操作上要保證輸入數據的準確性,另外計算機軟硬件的安裝要保證可靠性,操作上的一些具體的措施有:部門內部的職責分離、憑證審核、手續控制、建立科目名稱與代碼對照文件、設計科目代碼自動校驗功能、試算平衡校驗等。
(三)加強人員管理,提高綜合素質
會計信息系統內部控制系統需要加大對現有相關人員的繼續教育,確保系統內每一個人員都能知道其所擁有的權力和承擔的責任,注重培養人員的綜合業務素質,提高會計信息系統使用人員的風險防范意識,使其能適應現代會計信息系統賴以生存的瞬息萬變的網絡環境。為了實現這一點,企、事業單位需要制定相應的制度來規范加強會計信息系統使用人員的管理,需要制定操作管理制度、網絡軟硬件管理制度、會計檔案管理制度等網絡環境下的內部控制制度,將制度落實到決策、執行、監督、反饋等各個環節,樹立每一個人員都應對系統的內部控制負有責任的觀念。同時相關人員必須掌握一定的網絡信息系統方面的知識和技能,全面熟悉網絡會計信息系統的特點和風險,參與分析單位的各項業務活動,了解與業務過程相應的信息處理過程,使會計核算工作在健全、有效的內部控制之下進行。
(四)健全相關法律、法規
我國財政部雖然已經頒布了一系列內部控制規范,但有關會計信息系統內部控制方面的法律法規還不多,所以我們要與時俱進,加快防止會計信息系統犯罪的法制化進程,要健全相關法律法規,企、事業單位要制定在網絡環境下相應的會計信息系統內部控制法規,要明確會計信息系統中哪些方面受法律保護,對未經許可接觸會計信息系統有關數據文件的行為要有明文確定屬于犯罪行為,并且明確懲處方法,為網絡環境下的會計信息系統提供一個良好的社會環境。
四、實際應用——企業ERP系統信息與網絡安全性分析
企業的ERP系統幾乎覆蓋了企業運作的所有部分,包括生產、營銷、管理、客服、售后服務等等。因此,在某種程度上可以將ERP系統作為企業中樞系統,統領一切其他子系統,子系統在總系統的分配調度下協調工作,共同為企業整體的運轉提供保證。如果中樞系統出現問題,將導致整個企業運轉出現問題,甚至導致整個企業的癱瘓,可以說,REP系統的安全穩定對于企業整體的安全有著重要作用。
(一)網絡組建模式
目前來看,我國使用REP系統的企業大多為計算機方面的企業,多數采用的都是構建主干網后通過主干網將各個子系統互相聯系,子系統彼此之間相互聯系,共同構成整個完善系統的網絡。這類系統的網絡中心一般都在企業總部,以總部為出發點,將分支與子企業相聯系,實現網絡的互聯。作為整體網絡重要的環節,總部不僅僅是作為網絡的中心,還是整體系統的管理樞紐。盡管不同行業的網絡系統在結構功能上會有所不同,但整體上基本結構相同,大致可以分為商務部、信息部和辦公部三部分,這些部分在不同企業會承擔著不同的責任和義務。
(二)安全需要
企業ERP系統的安全與穩定關系到整個企業能否正常運行,是企業需要特別注重的方面。為了保證系統的安全,不僅僅要保證主系統不受外部干擾,還應確保各個部門之間的聯系和資源共享得到安全保證,做到不越權進行彼此互訪,防止內部安全系統出現問題。值得注意的是,目前很多企業在進行內部溝通時都會采用電子郵件或者網絡系統等方式,這就給一些外來人員提供了一些可乘之機,因此在進行此類的溝通時,企業應該注意保證內部的安全可靠,必要時可以對所交流信息進行加密處理,保證內部資料不被外泄。
(三)系統的安全目標
(1)保證企業內部信息在傳遞獲取過程中保持完整性和獨立性,嚴格控制內部人員對于信息的處理和使用,防止信息外泄。(2)信息在進行交流和溝通時,對于一些重要文件內容的處理應該在得到相關部門允許后才開始分享。保證企業重要信息安全性。(3)控制外來人士對于企業網絡的使用和訪問,可以通過監察訪問人士IP地址的方法對來訪人員進行監督,一旦發現可疑人士,馬上報告相關部門,針對來訪人員特征,采取相應措施進行處理。
(四)信息安全目標
在經濟快速發展的現代,信息資源在某種程度上已經成為一種資本,擁有最新消息,最廣泛信息來源的企業往往能未雨綢繆,及時規避一些即將到來的風險,最大限度保全企業。因此,企業的信息安全也就顯得格外重要,可以說,誰掌握了最新最可靠的信息,誰就擁有了在市場競爭的主動權。一般來說,按照信息的重要程度可以分為以下四類:公共級信息、內部級信息、機密級信息和限制級信息共四類。
(1)公共信息指那些對于企業來說沒有重要意義的信息,這種信息可以透露給觀眾,由于它本身不具有太大價值,它的泄漏也不會對企業產生影響。(2)內部信息比公共信息機密性要高一些,有一些信息對于企業有著一定的利用價值,不是以直接公布給公眾。但有些信息可以通過其他方式傳遞給取到信息獲取資格的公眾人士。(3)機密信息一般指對于企業有著重要作用的信息,這部分信息需要嚴格保密,一旦泄露很可能對合作的客戶服務商等造成極為不利的影響,因此在企業內部需要進行加密處理,防止外來人士對機密信息隨意利用。(4)限制級信息的安全等級最高,需要進行特殊處理,這部分信息在企業內部也應該做周密的保密處理,只能對企業內部特殊人員開放。信息一旦泄露將可能給企業帶來毀滅性打擊,因此在使用和處理限制級信息的時候,一定做到多重保密手段綜合使用,最大化的保證信息的安全穩定。
(五)企業ERP系統的安全體系結構
首先需要滿足安全策略,構建一套整體安全穩定的系統,并進行身份識別設置,對于外來人員的訪問資格進行限制,這是目前最流行的保護方式,也是最常用的方式之一。其次應該對系統進行授權管理和對訪問進行控制。一方面控制物理方面的訪問,如采用警報器、安全鑰匙等。另一方面保證邏輯訪問控制,包括防火墻系統和交換機系統等。最后應該確保信息的保密性和完整性。對信息進行分級設置,保證不同保密等級的信息得到相應保護。參考文獻:
[1] 張鐵峰,賈麗娜.中小企業內部審計在企業內部控制制度建設中的作用[A].中國內部審計協會2009年度全國“內部審計與內部控制體系建設”理論研討暨經驗交流會三等獎論文匯編[C].2009.
[2] 中國移動浙江公司課題組.內部審計與內部控制體系建設——內部審計在企業開展內部控制評價的實踐[A].中國內部審計協會2009年度全國“內部審計與內部控制體系建設”理論研討暨經驗交流會三等獎論文匯編[C].2009.
[3] 陳瑩,劉新俠,方鴻.以風險為導向的內部審計在健全內部控制構建全面風險管理體系中的作用[A].全國內部審計理論研討優秀論文集三等獎論文匯編[C].2011.
[4] 宋偉,曲首晟.商業銀行內部審計在內部控制中的作用[A].中國內部審計協會2009年度全國“內部審計與內部控制體系建設”理論研討暨經驗交流會三等獎論文匯編[C].2009.
論文摘要:信息技術在為人類帶來益處的同時,也會帶來一定的風險。實施會計信息化審計,加強對會計信息化信息系統運作的有效監督,對防范信息系統的風險將起到一定的作用。目前,多數企業,沒有充分認識到會計信息化審計的積極意義和效益,對會計信息化審計的必要性認識不足,從而使會計信息化審計工作沒有引起足夠的重視。本文從會計信息化審計的“目標、特點、策略、前景”四個方面進行分析探討。
一、會計信息化審計的目標
1.會計信息系統的安全性
會計信息系統的安全性是指組成會計信息系統的硬件、軟件、數據資源是否受到妥善保護,不因自然和人為的因素而遭到破壞、更改或者泄漏系統中的信息。會計信息系統的資源通常包括硬件、軟件、數據文件、系統文檔、消耗性材料和其他設施。這些資源經常放在一處或幾處,硬件可能被惡意破壞,軟件和數據文件的內容可能丟失或毀損,消耗性材料和數據資源可能未經批準而被使用。會計信息系統的安全是通過建立相應的安全控制措施而加以保護的,評價會計信息系統的安全性,主要是審查會計信息系統的安全控制措施是否健全有效,對于不足之處應提出需要進行改進與完善的建議。
2.會計信息系統的可靠性
會計信息系統的可靠性是由其中的硬件系統的可靠性、軟件系統的可靠性及數據的可靠性等因素共同決定的。軟件系統的可靠性是指在運行環境中,在規定的運行時間內或規定的運行次數下,程序和所有數據元素運行不同測試用例的無差錯概率。硬件系統的可靠性是指在一個指定的時間周期內,在給定的控制條件下,硬件系統執行所需功能的成功概率。數據可靠性是指數據的真實、準確和及時,它取決于系統絕對數據的處理過程是否準確無誤,以及確保數據可靠的控制措施是否有效。系統的可靠性還體現在它的容錯能力上。對會計信息系統可靠性的評價要檢查系統的運行是否穩定可靠、是否容易出現偏差和錯誤,是否能抵御外界干擾而正常工作。評價會計信息系統的可靠性時,審計人員應對決定會計信息系統可靠性的各項因素進行綜合審查和評價。
3.會訓信息系統的有效性
會計信息系統的有效性是指該系統能否實現既定的目標、系統的各項處理過程是否符合國家法律和有關規章制度的要求。評價會計信息系統的有效性,必須了解用戶的需求。會計信息系統有效性的審計一般在系統運行一段時間之后進行,通過事后審計可確定會計信息系統是否能實現既定的目標,根據審計的結果,管理者可做出相應的決策。
二、會計信息化審計的特點
1.審計的所有領域全面運用現代信息技術
目前,審計在每一領域都還做得不夠,如:尚未構筑起適應現代技術發展的一種或多種可能的、可用于解釋和預測多種審計現象的多維審計理論—,這種理論將使對審計環境、目標、本質、假設、概念、標準、技術、方法、過程等的論述更新穎、更豐富、更具邏輯性和環境適應力;急需加速我國的審計工作從落后的“繞過計算機審計”向先進的“通過計算機審計”和“使用計算機審計”轉化。如何利用現代信息技術管理責任與風險巨大的審計(尤其是獨立審計)行業是一個值得探討的問題,新時期,所有的審計人員都應成為完全意義上的電腦審計人員,而這是審計(后續)教育的重要任務。
2.會計信息化審計系統具有極強的適應性
信息化會計信息系統的多元、實時、開放性使會計信息化審計也具有多元、實時、開放性特征,實時審計、會計責任審計、環境審計、境外審計等都將因此而變得更加容易。
3.會計信息化審計將對傳統審計進行重整
盡管“兩權分離的程度決定了審計主體的種類和被審計單位的形式”,“審計效率和審計風險的矛盾決定了審計程序和方法的歷史變遷”,但如果所有的計算機只囿于會計電算化信息系統的水平,提供的信息單一、過時、封閉,國外的會計師事務所的非審計業務(其必須依賴于多元、實時、開放的信息)收入又怎能達到其總收入的70%(我國僅30%左右)?事實上,正是信息量極大豐富的信息化會計信息系統和全新的會計信息化審計理論,支持了卓有成效的“四大”國際會計公司及其或集權或分權的管理模式,支持了審計效率和審計風險矛盾的最有效的解決,從而支持了現在和將有的多種繁雜的具體業務。
三、會計信息化審計的策略
1.建立會計信息化審計組織機構
會計信息化審計組織機構不健全將會阻礙我國會計信息化審計的發展。為適應未來我國會計信息化審計發展的客觀要求,我國應盡快建立自己的會計信息化審計組織機構,按照會計信息化審計的要求組織、協調會計信息化審計工作,規劃會計信息化審計的發展策略和職業培訓計劃,研究會計信息化審計理論、方法、技術和規范,指導會計信息化審計工作。在這項工作的起步階段,政府應加強領導力度,從宏觀上搞好規劃安排,從資金和技術上扶持會計信息化審計,有效規劃、部署和指導我國的會計信息化審計工作。2.加強會計信息化審計理論研究
審計理論來源于審計實踐,又反過來指導、促進審計實踐,二者不可偏廢。沒有審計實踐,審計理論無法產生,沒有審計理論指導的實踐會走彎路。因此,要在審計實踐中善于及時發現、總結規律性的問題,將其上升到理論的高度。國內學術界、政府研究機構應當加強會計信息化審計的理論研究,積極開展學術交流,密切關注國際會計信息化審計的最新發展動態,不斷發展與完善會計信息化審計理論,從而更好地為會計信息化審計實踐活動提供指導,促進我國會計信息化審計事業的發展與繁榮。
3.制定會計信息化審計準則
會計信息化審計同傳統財務審計相比,在審計對象、審計目標、審計內容等方面均有所不同。為了規范會計信息化審計業務,明確工作要求,保證執業質量,應研究和制定我國的會計信息化審計準則和實務指南。會計信息化審計發展到一定階段,必須由行業組織出面將實踐經驗加以總結,并把有關概念、工作流程和技術方法固定和統一起來,形成行業標準和規范。
4.強化企業領導加強管理與控制的觀念
樹立企業領導的信息化會計信息系統管理意識是開展會計信息化審計工作的關鍵。因此,企業主管部門在充分領會國務院有關“國民經濟信息化”指示精神,認真抓好企業信息化建設的同時,還必須注重對企業領導進行會計信息化系統管理與控制的思想教育,促使企業領導從企業生存與發展的高度來認識會計信息化審計的重要意義,重視會計信息化審計工作,將會計信息化審計作為一項重要工作來抓。
5.大力培養會計信息化審計人才
從內部講,一是強化培訓。各級審計機關要擁有完備的培訓基地,從自己的需要加強不同崗位的適應性培訓;二是重點選拔。即有重點地選派一些“尖子”人才進高校深造,進行知識更新,或參與國際技術交流和技術合作,在實踐中不斷增長才干;三是完善機制。要逐步形成能有效鼓勵各類人才脫穎而出,能最大限度地挖掘,激發各類人才智力潛能的運行機制,使知識最終能作為最重要的生產要求參與分配。
6.加大會計信息化審計的宣傳力度
開展會計信息化審計的主要障礙之一是對會計信息化審計的必要性認識不足,必須加大會計信息化審計的宣傳力度,如實宣傳網絡環境下重構后的會計信息系統所帶來的風險,大力宣傳會計信息系統控制的重要性,讓更多的經營管理者,真正認識到開展會計信息化審計的必要性,增強會計信息化審計的迫切性,促進社會輿論對會計信息化審計的理解與支持,進而推動會計信息化審計工作的開展。
作者單位:河南工程學院
參考文獻:
[1]謝詩芬.高級財務會計問題研究[M].四川:西南財經大學出版社,2004.45-52.
[2]胡仁顯.自助式會計信息系統[M].上海:立信會計出版社,2003.78-82.
關鍵詞:信息系統開發;安全策略;網絡技術
中圖分類號:TP399文獻標識碼:A文章編號:1007-9599 (2012) 02-0000-02
Analysis of Security Policy of Information Systems Development
Ling Bin1,Wang Donghong1,Chi Yan2
(1.Northeast Forestry University,Harbin150040,China;2. Heilongjiang University of Chinese Medicine,Harbin150040,China)
Abstract:Along with our country to the application of computer network technology and the deepening of information system.has gradually become the planning construction and management process is the most important one of systems.And the system to have strict security requirements. security goal is very clear.Based on the information system to conduct a comprehensive safety management and construction safety plan.can satisfy the management and technology of double security needs.Therefore.how the information system development process of application security strategy.in order to improve the information system for the overall safety performance also gradually become information system developers and builders focus.In this paper,the information system development process of the safety planning and building construction safety management are analyzed.Presents practical information system security strategy.
Keywords:Information system development;Security strategy;Network technology
現階段,計算機網絡技術已經在設計、科研、生產和辦公能方面得到了較為廣泛的應用,且發揮出了越來越重要的作用。計算機網絡技術中,信息系統的廣泛應用給人們的工作和生活帶來了極大的便利,但與此同時,也對其保密性和安全性提出了較大的挑戰,如何提高信息系統的安全性也成為了信息系統開發者工作的重點。在信息系統的規劃建設過程中,建設前的安全規劃與實施后持續、完善的安全管理都是提高信息系統安全性較為有效的措施。
一、信息系統的建設安全規劃
信息系統中的建設安全規劃應主要體現在數據安全、運行安全、系統安全和物理安全這四個方面。
第一,數據安全,即在信息系統使用過程中,尤其是傳輸數據時,要通過適當的密碼措施來對數據的安全性進行保護,防止數據泄露問題發生。在數據加密后,即使數據在傳輸過程中被截獲或是入侵,由于截獲的是密文,所獲信息也是無效的。
第二,運行安全。要恰當處理信息系統應用所面對的安全問題,在系統開發時應采取病毒防護、身份鑒別、安全審計、漏洞掃描、入侵檢測、防火墻等保護措施。防火墻能夠在網絡的出口部位對網絡通訊的安全性進行檢查,按照安全規則的要求,信息系統不僅要確保內部的安全性,還要保證系統外部的安全性,將網絡的外部與內部相隔離,從而提高整個系統的安全性。通過設置與防火墻相關聯的病毒入侵檢測系統,能夠對信息數據進行實時保護,對進出系統的數據都要進行實時分析,及時發現并阻斷外界的攻擊,從而降低網絡隱患。漏洞掃描系統能夠對口令/賬號、服務器主機、網絡系統等存在的威脅、漏洞和安全隱患進行掃描和報告,并及時地采取主動的安全措施和補救行動,從而提高系統安全性。安全審計系統能夠對使用信息系統的所有用戶的活動進行監控和數據收集,供系統管理者審查用,從而提高系統的管理效率。身份鑒別系統是安全系統的關鍵部分,能夠對用戶是否合法進行主動的判斷,且口令與智能卡相結合的鑒別方法能夠大大提高系統安全性,也便于應用。為應對計算機病毒問題,信息系統還應設計病毒防護措施,實時監控病毒的攻擊和入侵情況,對整個系統進行全面的監控,但要注意在使用時要及時更新病毒信息,定時對計算機運行環境進行檢測。
第三,系統安全,主要包括應用系統與操作系統的安全性。在選擇應用系統時,要對定制軟件和通用軟件都進行風險檢測,及時發現和處理系統中存在的問題和安全隱患。而對于操作系統,則要選用具有較高安全性的系統,同時進行必要的安全設置。
第四,物理安全,這一部分是保證整個系統安全性的基礎,因而要符合國家的相關規定。首先該系統要滿足防靜電、防雷、溫濕度、配電、布線、電力、防震、防水、防火、場地等的要求。其次,要保證整個系統能夠安全使用,且符合國家相關標準。最后,還要保證該系統所使用的安全設施,必須是符合國家標準的設備,并具有國家保密部門的審批合格證明。
二、系統的安全管理
安全的系統管理能夠為信息系統的安全有效運行提供保障,也是系統安全運行的基礎,要提高信息系統的安全性,保障其順利穩健的運行,在管理和設計方面應做到以下幾點:
(一)人員管理
人員管理主要涉及外部人員的管理和內部人員的管理兩個部分,系統內部的操作使用者和管理者是造成信息系統安全隱患的關鍵因素,因此,在選擇內部管理人員時,必須要對其職業道德、政治思想狀況、社會關系、個人經歷等進行核查,保證系統人員的可靠性和安全性。同時,還要使其明確工作職責,在進行系統操作時按照職責要求進行。除此之外,還要對系統操作者和使用者的安全知識和安全意識進行培訓,如退出和登錄等基本操作的規范化和保密意識的培養等。對于系統管理者來說,其所掌握的安全知識和相應的安全管理水平要更加完善,包括對于違法入侵的防范和鑒別能力、系統的管理和維護能力等。外部人員指能夠進入該系統進行服務和維修的人員,對于這部分人員的管理包括旁站陪同控制、攜帶物品限制、安全控制區域隔離、保密要求知會等幾方面。
(二)安全管理制度的制定
系統安全策略和安全管理制度的制定能夠提高系統運行的可靠性和安全性。安全管理制度主要包括:人員安全管理、應急響應措施、安全審計管理、開發與運行管理、恢復與備份管理、惡意代碼防護措施、病毒防護措施、移動設備管理措施和運行環境管理措施等。系統安全策略主要包括:應急響應策略、保護信息完整性策略、系統安全管理策略、系統安全檢測策略、運行管理策略、身份鑒別策略、惡意代碼防護策略、病毒防護策略、恢復與備份策略和安全審計策略等。
(三)設置安全管理機構
安全管理機構的設置目的主要在于:第一,對信息系統的保密性和安全性進行定期的檢測和提升。第二,安全保密措施的制定和實施管理。第三,制定和實施信息系統的安全策略和保密管理制度,主要包括管理策略和技術策略兩部分。
三、總結
綜上所述,信息系統通常主要由網絡通信、共享服務和應用操作三個基本部分組成,全過程的網絡通信保護系統、資源共享的邊界保護和可靠的操作應用平臺,三方面共同組成了具有固定工作和使用流程的生產和信息管理系統,能為信息的安全性提供充分的保障。在今后的信息系統開發中,還可在檢測引擎中適當加入檢測隱通道,從而避免信息生產系統存在隱蔽通道的問題,這也是今后信息系統開發工作的重點內容。
參考文獻:
[1]閆樹.信息系統的安全策略及若干技術研究[D].武漢理工大學碩士學位論文,2009
[2]薛麗.綜合信息管理系統中的安全策略及其應用研究[D].大連理工大學碩士學位論文,2008
【關鍵詞】 信息系統審計;審計規范;案例分析
信息技術正在擴展審計的內涵與外延。與早期的審計相比,現代審計的“對象”、“目標”以及“目的”已經發生了很大的變化,以行為、過程和系統等為審計主體的“非信息審計”變得越來越重要。我國在相關審計法規的指引下,信息系統審計實踐也正在如火如荼的開展,但通過對相關案例的分析可以發現,信息系統審計實踐存在不少的問題。本文就某航空公司的收入結算系統審計項目進行案例分析,透視信息系統審計實踐存在的問題,并對政策制定提供相關的建議。
一、某航空公司的信息系統審計項目
某航空公司的審計項目是2005年的重點審計項目之一,其目的是要為實現“真實、合法、效益”的審計目標奠定基礎。開展信息系統審計是抓住該集團特點,培育項目亮點,把這個項目做成精品的重要舉措之一。信息系統到底怎么審,怎么評價,審計人員想到找一條別人走過的路子,照貓畫虎。但查閱信息系統審計的相關資料,看到的基本上是國外對信息系統審計的理解與做法,與我們的審計有較大的差別,如果直接硬套過來,只能是東施效顰;詢問相關的專業人員,大家都沒有類似的經驗。經過幾次討論,審計組決定首先找對某航空公司信息系統實施管理的規則發展部、信息技術中心兩個部門的領導進行一次深談,聽聽他們對A航空公司信息系統的評價,希望從中理出一些思路,再進一步確定具體工作方案。與被審計單位部門領導談話進行得比較順利,審計人員也漸漸理出了自己的工作思路:企業的信息系統體現的是企業的管理理念。這次信息系統審計應該主要抓住以下方面:首先是該航空集團信息系統的規劃、建設、管理與整個公司的發展是否相適應,信息系統資源的整合是否能夠跟上公司其他資源高速整合的步伐;其次是公司信息系統的功能是否能夠滿足業務特點的要求;再次是結合在數據審計中發現的大量數據問題,特別是數據整理中再現的問題,來考察信息系統中存在的問題。但在實際問題的處理過程中也存在著諸多困難,無現成的案例和信息系統審計規范可借鑒。為了確保審計目標的實現,審計組開展了信息系統審計。在系統審計的探索中,審計人員根據調查了解的情況,在數據分析的基礎上,通過跟蹤被審計單位的業務過程和數據處理流程,發現了被審計單位收入結算系統中存在的非法銷售暗扣處理模塊,具體信息系統審計過程包括:一是數據分析,發現問題線索;二是通過數據對比,求證問題線索;三是跟蹤業務過程,發現暗扣代碼文件;四是跟蹤數據處理流程,發現暗扣模塊。最終通過對某航空公司收入結算系統的審計發現,進入系統的原始數據由面額逐步轉變為毛額和凈額,系統以最后的凈額與人結算,并生成運輸報告傳遞到財務系統確認收入,從而實現了航空公司暗扣銷售和凈額結算。至此,該信息系統審計項目也宣告結束。
二、案例分析
由上述案例過程可知,我國對企業信息系統審計還處于探索階段,在審計實務中到底如何開展信息系統審計還缺乏有說服力的案例和行之有效的辦法,更不要說具有可操作性的完整的信息系統審計規范體系。總體來講,筆者認為從上述案例可以反映出當前我國信息系統審計規范體系還存在著如下幾個方面的缺陷。
(一)沒有完整可借鑒的由權威機構制定的信息系統審計規范
信息系統審計規范是信息系統審計經驗的總結,是對審計活動內在規范的反映,審計人員按照信息系統審計規范所確定的程序、步驟、技術和方法開展工作,能夠少走彎路,提高信息系統審計效率,保障信息系統審計工作科學、有序、高效地運行,全面實現信息系統審計目標,降低信息系統風險,同時也可降低財務審計、績效審計以及環境審計等風險。而上述案例也說明我國信息系統審計尚處于探索階段,在信息系統審計實踐中缺乏有說服力的案例,根本談不上完善的信息系統審計規范體系,而在國外卻存在如ISACA這樣的機構去提供完整的信息系統審計準則、指南和審計程序,至2010年4月其已經了16項基本準則,41項審計指南和11項作業程序。因此,國家相關部門應整合信息系統審計規范制定的實踐與理論資源,在借鑒國外信息系統審計規范的基礎上,推進我國信息系統審計規范體系制定的進程。
(二)信息系統審計的開展缺乏計劃,不存在后續審計階段
對信息系統的審計是一個過程,包括信息系統審計計劃、實施、審計報告以及后續審計階段,而在上述案例中,對信息系統的審計是一個摸索的過程,根本談不上信息系統審計計劃。凡事預則立,不預則廢。無論是國家審計,還是注冊會計師審計,同樣需要制定信息系統審計計劃。《內部審計具體準則第28號――信息系統審計》中指出,內部審計人員在執行信息系統審計之前,需要確定審計目標并初步評估審計風險,估算完成信息系統審計或專項審計所需的資源,確定重點審計領域及審計活動的優先次序,明確審計組成員的職責,并以此制定信息系統審計計劃,除此之外第28號具體準則沒有作詳細深入的闡述。在ISACA的審計準則體系中,關于審計計劃的基本準則有審計計劃(S5)、審計計劃中風險評估的運用(S11)和審計重要性(S12);審計指南有信息系統審計中的重要性概念(G6)、審計計劃中風險評估的運用(G13)以及信息系統審計的計劃(G15);審計程序中有信息系統風險評估(P1)等可供借鑒與參考,并且ISACA對審計計劃的相關準則、指南和程序進行了詳細深入的闡述,以利于引導和約束審計人員的審計行為。
審計報告的簽署并不意味著信息系統審計的終結。上述案例不存在后續審計階段,這與缺乏信息系統審計規范的指導是分不開的。在ISACA的審計準則體系中,后續審計方面的準則包括基本準則后續工作(S8)以及審計指南后續工作(G35)等。根據ISACA審計標準,審計人員對于在信息系統審計中發現信息系統的重大問題和漏洞,并提出改進意見后,可對被審單位所采取的糾正措施及效果進行后續審計。如果審計建議如期落實,則實現了信息系統審計的目標,也意味著信息系統審計意見得到了被審計單位的認可;如果審計建議沒有落實,應耐心聽取被審計人員的反饋意見,對于落實的難點問題,審計部門應反映給高級管理層,請其協助落實。此外,對于不切實際的審計建議,審計組成員應該分析原因,以利于下一次審計項目的改進。因此,后續審計階段對于信息系統審計同樣重要,而在上述審計案例中,對A航空公司收入結算系統的審計根據不存在后續審計階段。
(三)信息系統審計出于“真實、合法、效益”的審計目標
我國開展的信息系統審計與西方的信息系統審計在目標上存在著差異,我國審計部門開展信息系統審計主要是為“真實、合法、效益”的審計目標服務的,主要關注信息系統影響被審計單位的合法經營、財務核算、經營效益等方面的問題,還沒有達到審查信息系統安全、可靠、有效和效率以及能否有效地使用組織資源、實現組織目標的層次。因此,對于信息系統審計,在很大程度上主要是根據數據審計的需要開展。隨著企業信息化、政務信息化等的發展,信息系統的安全審計、生命周期審計以及軟硬件審計等變得越來越重要,其重要程度在很多時候已經超過了出于“真實、合法、效益”審計目標的信息系統審計。我國信息系統審計及規范的發展不能只是停留在“真實、合法、效益”審計目標的基礎上,這樣只能限制信息系統審計的范圍,我國的信息系統審計實踐也沒有辦法拓展到對信息安全保護、軟件系統開發以及商業流程評估及風險管理等的審計實踐上來。
(四)缺乏信息系統審計項目的質量控制準則
我國在信息系統審計項目方面的質量控制準則尚處于空白狀態。雖然國家審計署、中注協和內部審計協會都頒布了一些關于審計質量控制的準則或規范,但這些規范不是針對財務審計的,就是針對會計師事務所質量控制的,而專門針對信息系統審計項目的質量控制基本上還處于空白狀態。因此,上述案例在信息系統審計過程中,基本上不存在任何質量控制措施,這也對我國提出了盡早制定與頒布信息系統審計質量控制方面相關的規范。否則,在信息系統審計市場上將出現一個一般化的“格雷欣法則”,即劣等品驅逐優等品,其結果是出現賣方與買方勾結,按照買方的要求設計信息系統內部控制規范(劉杰,2010)。一般化的“格雷欣法則”也不利于我國信息系統產品市場和信息系統審計市場的規范。
三、啟示及政策建議
通過上述對某航空公司收入結算系統審計案例的分析可知,我國信息系統審計實踐尚處于起步階段,還存在著諸多問題。為規范信息系統審計行為,加強對信息系統審計實踐的指導,信息系統審計規范的制定與是關鍵。信息系統審計規范是一種公共品,政府機構或相關職業團體在信息系統審計規范制定過程中扮演著重要的角色。因此,筆者認為我國政府應從如下幾個方面作出努力。
一是以《2004至2007年審計信息化發展規劃》與《審計署2008至2012年信息化發展規劃》中提出的整合審計資源思想為契機,抽調中國注冊會計師協會、國家審計署以及中國內部審計協會相關信息系統審計制定的人力、物力和財力,成立專門的信息系統審計規范制定機構。
二是在借鑒國外諸如ISACA以及IIA等信息系統審計資源的基礎上,吸引我國信息系統審計實踐中已經并實踐的信息系統審計操作規則,結合我國信息系統審計實踐,出整、系統的信息系統審計規范體系。完善、系統的信息系統審計規范有利于指導信息系統審計人員在審計計劃、審計實施、審計報告以及后續審計階段的審計行為。同時,信息系統審計目前屬于非強制性審計的范疇,審計質量控制準則往往容易被忽視,而忽視審計質量控制準則的制定與在某種程度上會導致信息系統審計市場上“格雷欣法則”的出現。因此,在信息系統審計規范體系中,不應忽視信息系統審計質量控制準則的制定與。
三是在信息系統審計規范體系制定的過程中,應將信息系統審計規范應用的范圍擴展,不能僅僅服務于財務審計。如果僅僅服務于財務審計,則制定與的信息系統審計規范不能很好地服務于信息系統生命周期審計、軟硬件審計、信息系統安全審計等其他信息系統審計活動。
四是加強信息系統審計實踐案例的調查研究,從信息系統審計實踐中總結出一些典型信息系統審計案例,用以指導和規范信息系統審計人員的審計行為,防止信息系統審計實踐人員在從事信息系統審計活動時,陷入不知所措的境地。
【參考文獻】
[1] 劉汝焯,任有泉.計算機審計情景案例選[M].清華大學出版社,2006.
一.注冊會計師審計風險日趨增加的必然性
1.審計報告的公開化,使關注注冊會計師審計的群體增加;而公眾對審計的期望過大,依賴程度過高,無形中增加了注冊會計師審計的審計風險。
到目前為此,我國的上市公司達1000多家,按照證監會的有關規定,上市公司每年均應由注冊會計師進行年審,并將審計報告在報刊上公布。審計報告的公開化,使越來越多的利益群體開始關注注冊會計師行業,監督他們的工作。同時,由于公眾對注冊會計師審計行為的性質、審計報告的意義存在著誤解,混淆了被審單位的會計責任和注冊會計師的審計責任;或者公眾對審計的期望值與審計實際所起的作用之間存在著差距。因此,在現實生活中人們自然而然地、不或避免地將所有的過錯者推到注冊會計師身上,進而又使更多的群體不能滿意注冊會計師的審計工作或對他們的審計工作更為挑剔,這些無形中增加了注冊會計師審計的風險。
2.法律界和會計界對審計責任的界定標準未能達成共識、法庭多次出于保護弱小群體的目的而運用深口袋理論造成對注冊會計師的不利判決,進一步加大了注冊會計師的審計風險。
會計界認為,在一般情況下,只要審計人員嚴格遵守專業標準的要求,保持職業上應有的認真和謹慎,通過實施適當的審計程序和審計方法,是能夠將會計重大的錯報事項揭示出來的。但是,由于審計的固有限制,并不能保證將所有的錯報事項都提示出來,所以并不能苛求審計人員發現和揭示會計報表中的所有錯報事項,因而也不能要求他們對于所有未查出的錯報事項都負責任,關鍵在于未能查出的原因是否源于審計人員本身的過失。如果由于審計人員的過失未能發現和揭示會計報表中的重大錯報,從而給委托單位和第三者造成了經濟損失,注冊會計師則要承擔相應的法律責任。而法律界與公眾則認為只要審計報告意見與被審單位的實際情況不符,則應承擔法律責任。而且,實際上法庭在受理對注冊會計師的訴訟時,較傾向于保護所謂的弱小群體,強調均衡損失,運用了深口袋理論(注:認為受傷害的一方可向有能力提供補償的另一方提出訴訟而不問過錯為誰)。認為會計師事務所和注冊會計師盈利豐厚,完全有理由從其豐厚的收入中拿出一小部分來穩定受損方的情緒,以安定團結,穩定經濟。法庭的這種判決,使會計師事務所和注冊會計師無法擺脫不合理的風險困擾。
3.知識經濟時代將對注冊會計師的審計工作提出不同于工業經濟時代的要求,這也必然會加大其審計風險。
當前,高新技術企業不斷地涌現出來,高新技術企業一方面由于知識技術的創新而增加了企業的收益,但與此同時也加大了企業的經營風險。另外,知識經濟時代的審計目標將不再象工業經濟時代那樣僅僅局限于對企業會計報表發表審計意見,而是在很大程度上借助于各種信息來預測企業盈利能力、償債能力、持續經營能力等,對審計人員提出了更高的要求。因此,對高風險企業的審計必然為注冊會計師帶來更大風險。
4.會計電算化的應用和網絡技術的發展,與電算化審計的研究開發的相對滯后之間的矛盾,為審計人員在計算機信息系統環境下的審計工作帶來了不同于傳統手工環境下的審計風險。
利用計算機信息系統處理企業的經濟業務具有數據處理過程自動化、數據存儲磁性化、內部控制程序化等特點,會計信息的生成方式發生了改變。因此,利用傳統的審計程序和方法對在計算機系統環境下生成的會計報表進行審計已經遠遠不夠。審計人員除了對傳統的諸如會計報表、賬冊憑證等審計對象進行審計外,還應對計算機會計信息系統本身進行審計,即審查計算機內的程序和文件。只有開展計算機輔助審計,才能對被審計的會計電算化系統作出客觀的、公正的評價。但是,目前審計電算化的研究才剛剛起步,相對滯后于會計電算化。另外,由于審計工作本身的不規范,或者規范性的要求因未能得到重視而沒有很好地執行,這也為開發研究計算機輔助審計軟件和應用計算機進行輔助審計帶來了難處。會計師事務所的審計人員對利用計算機信息系統處理經濟業務的企業進行審計時缺少計算機輔助審計環節,將為他們的審計結論意見帶來難以預測的風險。二.降低注冊會計師審計風險的對策
1.分清被審單位的會計責任和注冊會計師的審計責任。
對于注冊會計師審計日趨增大的風險,筆者認為注冊會計師除了嚴格遵守專業標準和職業道德守則的要求,保持職業上應有的認真和謹慎之外,還應注意通過分清企業會計責任和注冊會計師的審計責任來轉移本不屬于注冊會計師應承擔的會計責任。一方面,注冊會計師在與客戶簽訂約定書時,須寫明委托方對提供資料的完整性和真實性負責等內容,并對全部審計業務均要求管理當局提交一份聲明書,以防止委托方提供虛假證據;或者在委托方提供虛假證據,而由于其舞弊技術的高明并加以精心的掩飾,審計人員即便采取了標準的審計程序和也沒能查出的情況下,作為委托方應承擔會計責任的依據。現在,已經有越來越多的會計師事務所及注冊師對此給予了足夠的重視,關鍵在于怎樣才能使其內容嚴密,不致于形同虛設。另一方面,會計師事務所、注冊會計師協會應從保護注冊會計師利益出發,不斷地完善有關權利義務的法規,不斷地與法律界溝通,使法律界能夠認同審計責任的界定標準,幫助注冊會計師反擊那些毫無根據地擴大注冊會計師責任的訴訟,進而影響公眾對區分會計責任和審計責任的理解和認同。
2.建立保障制度,增強會計師事務所和注冊會計師的風險承受能力。
論文摘要:企業內部會計控制是企業為了保護資產的完整、安全,提高會計信息質量,確保有關規章制度和法律法規及提高管理效率,降低或避免風險。本文通過對信息化背景下企業內部會計的現狀進行分析,針對存在的問題提出相應的解決措施,對規范財務管理,規避經營風險,提高企業市場競爭力具有重要的意義。
隨著網絡通訊技術和計算機技術的快速發展,企業的信息化對傳統財務監控理論產生越來越大的影響,對企業的經濟活動產生的影響也越來越大,信息技術在企業財務會計工作中的廣泛應用,對企業信息化背景下的企業內部會計控制提出了新的要求。
一、 企業內部會計控制的現狀及概念
(一) 企業內部會計控制的含義
企業內部會計控制是指為了保護資產的完整、安全,提高會計信息質量,確保有關規章制度和法律法規,提高經營管理效率,降低或避免風險,實現企業經營管理目標而制定和實施的一系列控制的措施、程序和方法。企業內部會計控制內容主要包括實物資產、貨幣資金、工程項目、對外投資、籌資、成本費用、付款與采購、銷售與收款、擔保等經濟業務的會計控制。
(二) 企業內部會計控制的現狀
1.企業內部會計控制意識薄弱,使得企業內部會計控制制度沒有得到很好地執行
目前,我國多數企業對健全企業內部會計控制沒有引起足夠的重視,認為企業內部會計控制是內部資產安全性控制制度、內部成本控制制度,認為企業內部會計控制制度制約了企業的快速發展等,認為企業內部會計控制制度就是制度、文件和手冊;有的企業建立有企業內部會計控制制度,內容很不全面,往往流于形式;有些企業在進行經濟業務處理的過程中,往往以強調靈活性為由執法不嚴、有章不循,不按規定程序辦理使企業內部會計控制制度失去了嚴肅性和應有的剛性;建立企業內部會計控制制度就要耗費物力、人力,但是這種物力、人力的耗費能否給企業帶來經濟效益很難確定,因此對建立企業內部會計控制制度缺乏主動性、積極性,在一定的程度上影響著企業內部會計控制制度。
2.企業會計信息系統影響著企業內部會計控制制度
隨著計算機信息技術的發展,會計信息系統在企業在的發展和運用也越來越廣泛。會計信息系統是財務信息和企業經營業務在計算機系統下的有機結合。要使會計信息系統很好地運作,要求對信息系統的流程進行嚴格的控制,也要保證數據完整精確,真實可靠,它對現代企業內部會計控制制度具有重要的作用。
信息系統在現代企業中的地位是不容忽視的,企業所有的經營與財務數據都會集中在信息系統中,有部分企業信息系統比較落后,有的沒有及時更新或升級。企業的信息系統不夠全面、安全、先進,這樣就會給想進行財務舞弊的人員篡改或盜取數據提供了機會。
3.企業信息化對企業內部會計控制提出了新的要求
信息系統的實施能準確及時地反映出企業的經營成果和財務狀況,也能反映出市場的變化等因素對企業的影響。財務決策時所需要的信息要求是內容豐富、及時高效,這樣依靠傳統的財務信息提供方式是很難滿足要求的。
財務人員是企業內部控制的主要執行者,企業內部控制的核心是人。企業信息化對財務人員提出了新的要求,對企業會計控制提出了新的挑戰。實施信息化的企業要突破傳統觀念,及時取得各種控制信息,實現從事后監控向實時連續監控轉變,對發生的變化及時做出反應,并快速進行處理和糾正。
二、企業信息化背景下做好企業內部會計控制的應對措施
(一)增強企業管理層對企業內部會計控制重要性的認識
要加強對企業管理層和員工的宣傳和培訓工作,使企業的所有人員了解企業內部會計控制的積極作用和基本原理,為實施企業內部會計控制營造好的社會環境和輿論氛圍。需要培訓的人員不僅包括財會人員,還應該包括單位負責人,要使企業的負責人真正認識到建立內部會計控制制度是實現科學管理,建立現代企業制度的需要,也是會計法的要求,它對保護企業資產的完整、安全,確保有關法規的執行,提高會計信息質量有著非常重要的意義。
(二) 完善內部審計措施,加強內部審計力度
隨著信息系統在企業中的應用,內部審計已經顯得非常重要,內部審計在為改進內部控制制度提供建議、對內部控制的狀況做出全面評價、監測公司內部控制制度的運轉、對這些內部控制的評價等方面有著非常重要的作用。
企業要組織人員對信息化下的內部審計進行研究,圍繞稅法,結合實際,不斷改進內部會計控制工作,進一步完善會計工作流程,不斷完善和規范信息化下的內部會計控制制度。
(三)減少工作環節,簡化工作流程,提高工作效率
信息化背景下,公司應對數據處理的過程和方法,信息系統的安全性的控制都必須加強規范,保持一定的相對穩定性和準確性。為了保證信息系統的安全性和及時性,應當減少工作環節,簡化業務工作流程,有利于內部會計控制。通過減少業務工作流程,能夠有效保證會計信息質量的及時性,還可以使公司合理避稅。
(四)努力提高會計人員的技能
會計人員是計算機專業人員不可替代的,是企業信息化系統的主人,這就需要會計人員努力提高各種基本技能。企業為了能更好地適應外部環境要不斷地進行流程升級,相應地企業內部會計控制也要進行相應地完善。這就要求財務人員要積極地應用信息化系統知識,為企業提供有遠見的、可靠的信息參考。在信息化背景下,財務人員要對業務流程進行實時財務監控,為企業領導層提供實時財務信息。
參考文獻
[1]樊榮.企業內部控制存在的問題及對策[J].經濟導刊,2009(7)
由于會計電算化是一項系統工程,在發展過程中有許多工作要做,有許多問題要及時解決,否則將嚴重阻礙我國會計電算化向更深層次的發展。下面就當前我國會計電算化進程中必須重視和需要解決的幾個問題進行探討。
1目前我國會計電算化工作中存在的問題
1.1會計信息的完整性和可用性還不夠完善
1.1.1會計電算化未能站在企業管理信息化的高度進行研究。因過分注意軟件的會計核算功能,而輕視了財務管理和控制、決策功能。會計軟件相對于傳統的思維方式,模擬手工核算方法,缺少管理功能。財務系統大多以記賬憑證輸入開始,經過計算機處理,完成記賬、算賬、報賬等工作,并局限在財務部門內部。目前流通的會計核算軟件大多功能在提高財務信息系統的范疇,只能完成事后記賬、算賬、報賬以及提供初級管理功能,不具有事前預測、事中控制、事后分析決策等管理會計功能。近年來雖然倡導發展管理型會計軟件,但由于各種原因,一般只從財務管理的要求出發,未能達到較為理想的效果。
1.1.2會計信息系統與企業管理信息系統未能有機結合。會計信息系統不僅與生產、設備、采購、銷售、庫存、運輸、人事等子系統脫節,而且會計軟件內部各子系統也只以轉賬憑證的方式聯系。從而造成數據在內外子系統之間不能共享,信息不能通暢,既影響財務管理功能的發揮,又不能滿足企業對現代化管理的需要。在綜合的企業管理信息系統中會計子系統應該從其他業務子系統獲取諸如成本、折舊、銷售、工資等原始數據,提高數據采集效率和管理能力各業務子系統也應從財務子系統取得支持,但由于各自獨立發展,互相之間不能實現數據共享,往往一個子系統的打本論文由整理提供印輸出成了另一個子系統的鍵盤輸入。許多商品化會計軟件在開發時,沒有統一規劃,而是采用單項開發,再通過“轉賬憑證”的方式傳遞各種數據,未能形成一個有機的整體,各個核算模塊是彼此孤立的“孤島”。
1.1.3會計信息系統仍然是個封閉式的系統。會計系統的開放性除了體現在企業內部各子系統之間的信息共享之外,更體現在會計向外界披露信息的內容和方式上。但目前會計信息系統既不能通過Internet網絡向股東財務報表等綜合信息和明細信息,也不能通過網絡直接向稅務、財政、審計、銀行等綜合管理部門提供信息,更不能有選擇地披露相關的人事、技術、設備以及股東所關心的其他信息。此外,普遍存在支持跨網集團的多方業務,使財務信息資源的價值得不到充分利用。
1.2會計信息的保密性和安全性較差
會計電算化是建立在計算機網絡技術和安全技術等信息技術基礎之上的,會計信息是以足夠的安全技術為保障,以一定的計算機硬件支撐。在相應的軟件管理下在網絡中流通、存儲和處理,并最終以人們需要的形式變現出來。隨著計算機應用的擴大,利用計算機進行貪污、舞弊、詐騙等犯罪現象屢見不鮮。在會計電算化環境下,會計信息以各種數據文件的形式記錄在磁性存儲介質上,這些存儲介質上的信息機器可讀形式存在的,因此很容易被復制、刪除、篡改,而不留下任何痕跡。數據庫技術的高度集中,未經授權的人員可以通過計算機和網絡瀏覽全部數據文件,復制、偽造、銷毀企業重要的財務數據。可見會計電算化犯罪是一種高科技、新技術下的新型犯罪,具有很大的隱蔽性和危害性,使會計信息安全風險大大增加。
1.3會計人員計算機操作業務素質較低
目前,不少單位的電算化人員是由過去的會計、出納等經過短期培訓而來,他們在使用微機處理業務的過程中往往很多是除了開機使用財務軟件之外,對微機的軟硬件知識了解甚少,一旦微機出現故障或與平常見到的界面不同時,就束手無策,即使廠家在安裝會計軟件時都作了系統的培訓,但一些從未接觸過計算機的會計人員入門還是很慢,而且在上機時經常出現誤操作,一旦出錯,可能就會使自己很長時間的工作成果付諸東流,使系統數據丟失,嚴重的導致系統崩潰,這種低素質的會計人員是不能勝任會計電算化工作的。
2改進會計電算化工作的對策
2.1要解決人們對會計電算化的思想認識問題
我國電算化事業起步較晚,人們的思維觀念還未充分認識到電算化的意義及重要性。多數單位電算化都是應用于代替手工核算,僅僅是從減輕會計人員負擔、提高核算效率方面入手,根本未認識到建立完整的會計信息系統對企業的重要性,使現有會計提供的信息不能及時、有效地為企業決策及管理服務。
2.2要做好管理基礎工作,尤其是會計基礎工作
管理基礎主要指有一套比較全面、規范的管理制度和方法,以及較完整的規范化的數據;會計基礎工作主要指會計制度是否健全,核算規程是否規范,基礎數據是否準確、完整等,這是搞好電算化工作的重要保證。因為計算機處理會計業務,必須是事先設置好的處理方法,因而要求會計數據輸入、業務處理及有關制度都必須規范化、標準化,才能使電算化會計信息系統本論文由整理提供順利進行。沒有很好的基礎工作,電算化會計信息系統無法處理無規律、不規范的會計數據,電算化工作的開展將遇到重重困難。管理人員的現代化管理意識,在整個企業管理現代化總體規劃的指導下做好會計電算化的長期、近期發展規劃和計劃并認真組織實施,重新調整會計及整個企業的機構設置、崗位分工,建立一系列現代企業管理制度,提高企業管理要求。還要修改擴建機房,選購、安裝、調試設備,自行開發或購買會計軟件,培訓會計電算化人員,進行系統的試運行等等工作。以上所列的各項工作必須做好,否則電算化會計系統將不能正常工作,有損于會計電算化的整體效益并使其不能深入持久地開展下去,會計和企業管理現代化將無法實現。新晨
2.3要加強會計信息系統的安全性、保密性
財務上的數據往往是企業的絕對秘密,在很大程度上關系著企業的生存與發展。但當前幾乎所有的軟件系統都在為完善會計功能和適應財務制度大傷腦筋,卻沒有幾家軟件公司認真研究過數據的保密問題。數據保密性、安全性差。為了對付日益猖獗的計算機犯罪,國家應制定并實施計算機安全法律,在全社會加強對計算機安全的宏觀控制,政府主管部門還應進一步完善會計制度,對危害計算機安全的行為進行制裁,為計算機信息系統提供一個良好的社會環境。對于重要的計算機系統應加電磁屏蔽,以防止電磁輻射和干擾。制定計算機機房管理規定,制定機房防火、防水、防盜、防鼠的措施,以及突發事件的應急對策等。
必要的內部控制:在電腦網絡環境下,某些內部人員的惡意行為及工作人員的無意行為都可能造成會計信息的不安全性,因此建立內部控制制度是必要的。第一,實行用戶權限分級授權管理,建立網絡環境下的會計信息崗位責任。第二,建立健全對病毒、電腦黑客的安全防范措施。第三,從電算化網絡軟件的設計入手,增加軟件本身的限制功能。第四,建立會計信息資料的備份制度,對重要的會計信息資料要實行多級備份。第五,強化審計線索制。第六,建立進入網絡環境的權限制。
增強網絡安全防范能力:網絡會計實現了會計信息資源的共享,但同時也將自身暴露于風險之中,這些風險主要來自泄密和網上黑客的攻擊等。為了提高網絡會計信息系統的安全防范能力應采用一些措施,例如采用防火墻技術、網絡防毒、信息加密存儲通訊、身份認證、授權等。
加強數據的保密與保護:在進入系統時加一些諸如用戶口令、聲音監測、指紋辨認等檢測手段和用戶權限設置等限制手段,另外還可以考慮硬件加密、軟件加密或把系統作在芯片上加密等機器保密措施和專門的管理制度,如專機專用、專室專用等。加強磁介質載體本論文由整理提供檔案的管理:為確保檔案的真實性和可靠性,實行紙質檔案和新型載體檔案雙套保管,并逐漸向完全保管新型磁介質載體過渡。
總之,我國會計改革已邁出了穩健、有序的步伐,并取得了輝煌成就。但是,由于會計屬于上層建筑范疇,其在觀念、理論、方法等方面均應隨著客觀經濟環境的變化而不斷改革、發展和完善。在網絡時代,要使我國的會計電算化工作能夠健康的發展,我們必須從理論上和實踐上進行認真的探討。21世紀的會計應該是一個以信息技術為中心的嶄新會計,而不是一個修修補補的會計。
參考文獻
[1]常劍峰.電算化會計信息系統的數據庫控制方本論文由整理提供法[J].中國會計電算化,2003(11).
[2]張衛.網絡會計的信息安全與防范[J].市場周刊.商務,2004(12).