AIS内部控制网络环境

AIS内部控制网络环境 篇1

进入了21 世纪之后,计算机技术的广泛普及,各个企业已经逐渐实现了各种业务的结合,会计信息也发生了很大的变化。互联网环境下,企业的会计业务运作越来越依赖于信息系统,利用信息系统控制企业的经济活动以及对信息系统的控制成为企业内部控制的重要组成部分。 计算机网络的发展使得企业内、外的各种计算机系统互相连接, 在极大的提高了信息处理速度的同时也将企业的信息系统置于一个开放的、复杂的环境中,这无疑给企业的内部控制带来了严峻的考验。

1互联网环境下AIS内部控制面临的问题

1.1 避免非法侵扰能力薄弱

网络是一个开放的环境,可以实现信息资源的共享。 所以,网络下的会计信息系统易遭到病毒或黑客的侵扰。 这种攻击可能来自外部,也可能来自内部,一旦发生将造成巨大损失。

1.2 内部稽核难度加大

在互联网环境下,需要运用更为复杂的查核技术。 会计人员必须具备复杂电脑资料处理能力, 这大幅度地增加了查核所需的时间与成本。 原始凭证已经实现数字化,以数字形式存储在磁性介质上,这种无纸凭证缺乏交易处理痕迹,很容易被篡改或者伪造,加大了内部审计的难度。

1.3 内部控制程序化带来挑战

互联网环境下的内部控制质量, 取决于会计信息系统运行中的应用程序。 会计人员对计算机专业知识有限,很难及时发现漏洞。 这样在专业人员找到或堵上这些程序漏洞之前,系统便会多次重复同一错误,扩大损失,难以进行有效的控制。

1.4 电子商务导致内部控制难度加大

随着电子商务的迅猛发展,网上交易变得越来越普遍。 可以想象,在不久后,很多企业的全部原始凭证都将成为数字格式,这就加强了企业对网上公证机构的依赖。 但直到目前相应的技术和法规还远没有达到完善,这也给内部控制造成了麻烦。

2AIS内部控制框架的构建思路

网络环境为会计信息系统内部控制带来了深刻的变化,会计信息系统内部控制作为企业内部控制重要的组成部分, 它的架构应与企业内部控制架构的模式相似, 但在需要关注的重点部位却有很大差异。 本文认为可以通过COSO的五要素来建立会计信息系统内部控制架构从而达到完善和优化网络环境下会计信息系统内部控制的目的。

2.1 建立与网络环境相适应的控制环境

COSO报告中明确指出,控制环境应包括以下方面:管理哲学、组织结构、董事会或审计委员会、人力资源与实务、权责分派方式、品行与价值观、胜任能力等。 企业的高层管理人员的重视和作为在会计信息系统内部控制环境的构建方面能够产生重要的影响。

(1)建立健全组织结构与权责分派体系。 为适应网络环境对内部控制机制的要求, 企业应适当设立和调整原有组织会计机构。 企业在设置组织结构时必须考虑企业的实际情况,符合企业的经营规模,同时兼顾企业的经营发展目标。 企业应充分考虑成本效益原则,本着精简、科学的方式设置组织结构。 总之,组织结构的变迁应使之符合网络环境的变化。

(2)注重人力资源管理。

(3)利用网络信息技术营造积极企业文化。 一个企业的文化是嵌入企业内部的软约束力, 它作为一种无形力量连续而又稳定地约束着企业内所有人员的行为以及影响其思维方式。 好的企业文化可以促进企业健康发展,形成较强的凝聚力。 企业应充分利用网络技术, 极力创造并传播民主、 自由和轻松的工作氛围,对企业文化进行动态宣传和交流,使企业文化服务于其战略目标。

2.2 识别网络环境下企业会计信息系统面临的新风险

(1)进行全面风险评估。 企业应以环境因素和企业风险点分析为着眼点, 全面评估和分析网络环境下会计信息系统会存在的各类风险,梳理风险点,制定控制风险方式和控制活动。 如有需要, 企业可单独设置风险评估部门或者指定专门负责人开展有关风险评估、识别及防范控制等工作,依据企业实际情况选择最有效的风险评估控制部门设置。

(2)建立计算机风险模拟模型预测新风险。

(3)识别新风险,建立新型风险控制体系。

2.3 利用网络技术改善会计信息系统控制活动

在识别特定网络环境下的会计信息系统风险后, 企业管理层应针对识别出的风险采取各种防范和控制措施以减少风险发生的可能性。 企业应充分利用网络信息技术,施以特定的控制手段,以保证会计信息系统更好地服务于企业战略发展。

(1)设立良好的控制活动。

(2)增强内部控制系统的预防性功能。

(3)利用网络信息技术,实现企业管理一体化。

2.4 重构网络环境下会计信息系统信息流动和沟通

网络环境下,信息与业务可以实现同步运行,使得工作在空间和时间上的衔接不再是至关重要的问题, 内部控制从此由顺序化向并行化发展。 企业应充分利用会计信息系统提供整个管理、运营所需信息,如成本、生产、库存、营运情况等信息,由于会计信息系统在企业整体管理信息系统的重要程度, 企业应着重加强其与其他各方面、各环节管理信息的沟通工作,确保信息在各部门之间的交流和沟通渠道无障碍。

2.5 利用互联网技术加强会计信息系统监控

网络环境会计信息系统内部控制是一个过程, 这个过程要利用互联网技术进行严格监控。 监控是实施内部控制的重要保证,它是企业评价其内部控制实施是否有效的过程,在这一过程中,企业通过监控检查内部控制设计与运行情况,对内部控制的有效性发表评价, 并根据情况的变化而及时釆取应对措施加以改进。 监控的过程与结果要进行及时真实的记录,同时应有畅通的报告渠道,即形成书面报告上报给管理层及其治理层,其内容可以包括内部控制程序、设计是否有效,是否存在重大缺陷。 监控的最终落脚点应是在内部控制缺陷纠正与问题解决上, 有效的内部监控可以帮助企业完善应急与改进机制。

3COBIT模型在AIS内部控制中的应用

该框架在理念与措施方面充分表现出以下特点: 企业定位方向决定企业业务内容, 企业业务内容作用于IT计划,IT程序监控决定了IT计划,对IT程序监控给予一定的控制和相应测评可以不断提高IT的使用范围。 在会计信息系统中推广使用C0BIT框架, 也就是把COBIT理念与措施运用到会计信息系统的整个使用周期中去, 进而保证会计信息系统所计算出的会计数据以及信息具有可信性,主要应用表现在以下几方面。

3.1 确定AIS内部监控方向

作为现代企业一个重要的业务系统, 会计系统的主要业务方向同IT应用方向都要遵循企业的长期战略目标。 会计信息系统主要侧重方向有两点, 首先是计算出满足规定的相关财务会计报表,也就是对外汇报会计:其次是生成满足企业自身管理所必须的监管会计数据,也就是内部汇报会计。 依据COBIT策略,应当把会计信息系统的IT应用细化为IT流程同时注重监控。

3.2 有效细化AIS的IT流程

通过COBIT框架将IT部分进行细化,同时将会计信息系统的整个使用周期细化为构造和组织、实施和获得、使用和支持、监管和测评等部分,同时将各个部分进一步细化为子流程。

3.3 把AIS的监控运用到具体过程监控

通过COBIT框架以及根据企业自身会计信息系统控制工作,明确各个子过程的监控定位,所包含的IT信息、流程熟练度水平、控制以及测评准则,同时制定出易于实施的使用说明。

3.4 控制与测评AIS

针对与会计信息系统相关的各个流程都应构建流程熟练度示范,同时依据其来对流程质量进行测评,并对流程加以提高。

4结语

会计信息系统内部控制在互联网环境下需要更加精细化的管理,体现智能化特色,其会向着一个全新的方向不断发展,内控范围将显著提升。 然而,互联网环境下,会计信息系统内部控制还将面临较多新问题,更多元化的新技术手段持续涌现。 为此企业应在注重基础建设的同时,保证安全可靠性,稳扎稳打,要兼具创新意识,积极把握互联网系统技术的新机遇,方能推动企业会计信息系统内控实现可持续的全面发展。

参考文献

[1]宋云.物联网下会计信息系统内部控制探讨[J].科技创新与应用,2015(13):261.

[2]邹修国.基于网络的会计信息系统内部控制的探讨[J].农业网络信息,2007(6):82-84.

[3]胡宁.加强网络环境下会计信息系统内部控制[J].产业与科技论坛,2009(4):235-236.

[4]张娜依.网络环境下会计信息系统内部控制研究[J].改革与开放,2010(6):109-110.

[5]姜博.网络环境下会计信息系统内部控制架构研究[D].大连:东北财经大学,2012.

[6]商菲菲.基于ERP环境下会计信息系统内部控制研究[D].兰州:兰州商学院,2010.

[7]肖茜.基于COBIT模型的会计信息系统内部控制研究[D].武汉:华中科技大学,2013.

AIS内部控制网络环境 篇2

网络技术的飞速发展，使原来封闭的局域网会计信息系统被推上开放的互联网世界，一方面给企业带来了前所未有的会计与业务一体化处理和实时监控的优越性，同时也给会计信息系统的安全提出了严重的挑战。因此，我们必须根据网络环境下会计信息系统的特点，在分析有关系统风险的基础上，考虑和设计会计信息系统的控制体系。

一、传统会计信息系统的内部控制存在的缺陷

与传统的手工方式相比，在会计信息系统中靠账簿之间的互相核对实现的查错、纠错控制基本上不复存在，控制范围不仅仅限于财务部门，而是转到了财务处理与计算机处理等部门，控制方式也从单纯的手工控制转化为组织控制、手工控制和程序控制相结合的全面控制。但即使是这样，还是有一些漏洞。

(一)人员的操作权限

在会计信息系统中，进行内部控制有一条是对人的权限的控制。对人的操作权限的控制主要通过权限分工来实现，而权限分工又集中体现在口令的授权上。口令的安全系数并不高，一旦被人窃取或破译，就可能给会计信息系统带来不安全的因素，甚至于会使会计信息失窃或被他人篡改，给企业带来巨大的损失。

(二)会计信息载体

在会计信息系统中，会计证、账、表信息的存储介质采用看不见、摸不着的光、电、磁介质。这种介质存储的信息量大，查询速度也很快，但是这种无纸数据极易被篡改或伪造而不留任何痕迹，它弱化了纸质数据所具有的较强的控制功能，同时，磁（光）性介质容易损坏，一旦受损则很难修复，这更使数字化的会计信息丢失或毁坏的风险加大。

(三)数据处理方式

在会计信息系统中，数据要求标准化和规范化，这样数据处理才可能集中化与自动化，可是，由于人工干预的减少，过于依赖程序控制，一旦部分处理错误将可能造成全体会计信息的失真。

二、网络化会计信息系统出现的新问题

(一)网络化会计信息系统自身开放性的特点难免遭受非法入侵

网络的开放性特点，在便于数据使用的同时，也难免非法使用者的入侵。这将会给单位造成巨大的损失。同时，内部控制的程序化，在很大程度上取决于会计信息系统中运行的应用程序的质量。如果这些应用程序被入侵，便会严重危害系统安全。

(二)电子商务快速发展，给内部控制带来新的挑战

随着互联网的迅猛发展，网上交易愈加普遍，电子商务发展的速度和广度也越来越大。电子商务一方面极大地提高了商务活动的效率，给企业带来了无限的生机；另一方面给计算机会计信息系统的内部控制也带来了新的挑战。目前财务软件的网络功能主要包括：远程报账、远程报表、远程审计、网上支付、网上报税、网上采购、网上销售、网上银行等，实现这些功能就必须有相应的控制，从而形成电算化会计信息系统内部控制的新问题。基于电子商务的单据电子化、货币电子化、网上银行和网上结算等，虽然可加快资金周转速度，但给计算机会计信息系统带来的风险将是空前的，这将给网络会计信息系统的内部控制带来极大的困难和前所未有的挑战。

(三)核算形式和方法的改变，加大了稽核与审计的难度

网络是一个由计算机硬件、软件、操作人员和各种规程构成的复杂系统，该系统将许多不相容职责相对集中，加大了舞弊的风险；系统信息以电子数据的形式存储，易被修改、删除、隐匿或伪造且不留痕迹；系统对错误的处理具有重复性和连续性；系统设计主要强调会计核算的要求，很少考虑审计工作的需要，这些往往导致系统留下的审计线索很少，稽核与审计必须运用更复杂的查核技术，且要花费更多的时间和更高的 代价。

(四)网络环境下，内部控制范围的扩大

由于互联网系统开放性、共享性、分散性的特点，使得会计数据的处理方式突破了原有封闭的系统环境，加大了系统建立与运行的复杂性，内部控制的范围相应扩大，延伸到整个网络系统。如何加强对网络系统安全的控制、系统权限的控制、计算机病毒的防治、系统开发过程的控制、程序的控制，以及对调用和修改程序的控制等，成了必须切实加以解决的实际问题。

三、加强网络会计系统的安全控制

网络技术在会计信息系统中的应用，极大地丰富了会计信息系统的功能，促进了会计工作效率的提高。但网络安全问题若不能有效地得到解决，则网络会计系统的发展与应用将受到巨大影响。网络会计系统安全控制的途径主要包括：

（一）系统软件安全控制

系统软件应设置有关操作人员的姓名、操作权限、相应人员的密码和电子签名。要按操作权限严格控制系统软件的安装和修改，为了防止非法修改软件，必须对软件的修改建立审批制度，按操作规程定期对系统软件进行安全性检查。当系统被毁坏时，要求系统软件具备紧急响应、强制备份、快速重构和快速恢复等功能。

（二）数据资源安全控制

数据库系统是整个网络会计系统安全控制的核心，数据库的安全威胁主要来自两个方面：一是系统外人员对数据库的非法访问；二是系统故障、误操作或人为破坏造成数据库的物理毁损。为此，可采用以下措施：一是合理定义、应用数据库模式，即根据不同类别的用户或应用项目分别定义不同的数据，针对特定类型的用户开放，以限制合法用户或非法访问者轻易获取全部会计数据资源。二是建立数据备份和恢复制度。数据备份是数据恢复与重建的基础，是一种常见的数据控制手段，网络中利用两个服务器进行双机备份是数据备份的先进形式。

（三）系统入侵防范控制

为了防止非法用户对网络会计系统的入侵，可采用以下措施：一是设置外部访问区域。访问区域是系统接待外界网上访问，与外界进行会计数据交换的区域。二是在本部门局域网与互联网之间建立“防火墙”，包括软件、硬件设备，加强网络的安全设施，防止黑客或计算机病毒的袭击，这样可以有效防范非法用户对网络会计系统的入侵，保护好部门网络的所有数据。另外各个职能部门要严防自己职责部门的密码泄露，防止非法用

（四）系统加密管理

在会计信息系统中，对一些需严格控制操作的环节，设上“双口令”，只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置，不得告知他人。对“双口令”进行“并钥”处理后，方可执行相应的操作。这样不仅加强了控制管理，保证了数据安全，而且也保护了相关的人员，便于分清各自的责任。

（五）形成网上公证由第三方牵制的安全机制

网络环境下原始凭证用数字方式进行存储，应利用网络所特有的实时传输功能和日益丰富的互联网服务项目，实现原始交易凭证的第三方监控（即网上公证）。

（六）强化内部控制

完善的内部控制可有效地减轻由于内部人员道德风险、系统资源风险和计算机病毒所造成的危害。但就目前的电算化会计信息系统实施内部控制的情况来看，许多企业对内部控制认识不足，控制措施不力，致使应用系统中安全隐患较多。在网络环境下，由于其开放性，它的系统风险比目前的电算化会计系统更大，因此尤其需要加强内部控制。

（七）完善和积极实施法律法规

国家应尽快建立和完善电子商务法规，以规范网上交易的购销、支付及核算行为；借鉴国外有关研究成果和实践经验，制定符合我国国情的网络会计信息管理、财务报告披露的法规、准则，具体规定企业网上披露的义务与责任、网络会计信息质量标准要求、监管机构及其权责等，为网络会计信息系统提供一个良好的 社会环境。

四、会计信息系统安全风险的防范策略

（一）在软件功能上施加必要的控制措施来保护会计数据的安全

1、增加必要的提示功能如软件执行备份时，存储介质上无存储空间、备份介质未正确插人和安装；执行打印时未连接打印机或未打开打印机电源；用户输入数据时输入了与系统当前数据项不符的数据或未按要求输人等等，此时系统应给予必要的提示，并自动中断程序的执行。

2、增加必要的保护功能在突然断电、程序运行中用户的突然干扰等偶发事故，如软件执行结帐时用户干预等发生时，能自动保护好原有的数据文件，防止数据破坏或丢失、同时对重要数据系统可增加退出系统时的强行备份功能，用户再次进人系统时自动把备份数据与机内数据比较对照，及时发现数据文件的改变。

（二）建立必要的管理制度

l、实行用户权限分级授权管理，建立起网络化环境下会计信息系统的岗位责任制按照网络化会计系统业务的需求设定各会计上机操作岗位，明确岗位职责和权限，并通过为每个用户进行系统功能的授权落实其责任和权限。结合密码管理措施，使各个用户进人系统时必须输人自己的用户号和口令，进人系统之后也只能执行自己权限范围内的功能，防止非法操作。同时做到不相容职务的分离；比如：系统的维护人员和系统管理员不得上机处理日常会计业务；会计业务处理人员不能进行系统维护，会计软件保管人员不能由上述人员兼任等等。

2、建立严格的内部牵制制度对系统的所有岗位要职责范围清楚、同时做到不相容职务的分离，各岗位之间要有一定的内部牵，制作保障。如：软件维护后，必须经过维护人员、内审人员和用户的共同测试和签章才能正式投人使用系统数据输人人员不能兼做审核；系统的维护人员和系统管理员不得上机处理日常会计业务，系统进行备份数据恢复时必须由具体操作员和主管共同批准等。

3、建立对黑客的防护措施

（1）设置防火墙，使用入侵检测软件。入侵检测软件可以检测非法入侵的黑客，并将它拒之内部网络之外。

（2）抓好网内主机的管理。用户名和密码管理永远是系统安全管理中最重要的环节之一，对网络的任何攻击，都不可能没有合法的用户名和密码（后台网络应用程序开后门例外）。但目前绝大部分系统管理员只注重对特权用户的管理，而忽视对普通用户的管理。主要表现在设置用户时图省事方便，胡乱设置用户的权限、组别和文件权限，为非法用户窃取信息和破坏系统留下了空隙。

（3）设置好的网络环境。网上访问的常用工具有网络操作命令，对它们的使用必须加以限制。但这样做会使网外的一切访问都被拒绝，即使是合法访问也不例外。这种闭关自守的做法不值得提倡，因为这样会使本网和网外隔绝开，也会给自己带来不便。应该尽量做到有条件的限制允许网上访问。

（4）加强对重要资料的保密。重要资料主要包括路由器、连接调制解调器的电脑号码及所用的通信软件的种类、网内的用户名等，这些资料都应采取一些保密措施，防止随意扩散。如可向电信部门申请通信专用的电话号码不刊登、不供查询等。由于公共的或普通邮电交换设备的介入，信息通过它们后可能被篡改或泄露。

（5）加强对重要网络设备的管理。路由器在网络安全计划中是很重要的一环、现在大多数路由器已具备防火墙的一些功能，如禁止telnet的访问、禁止非法的网段访问等。通过网络路由器进行正确的存取过滤是限制外部访问简单而有效的手段。有条件的地方还可设置网关机，将本网和其他网隔离，网关机上不存放任何业务数据，删除除系统正常运行所必须的用户外所有的用户，也能增强网络的安全性。

五、结束语

网络会计信息系统的安全是指系统保持正常稳定运行状态的能力。即在网络环境下对各种交易和事项进行确认、计量和批漏的活动，以及财务数据处理的各个环节，也就是说既包括操作这个系统的人和作为系统处理对象的那些数据，也包括系统所处的那个环境。所以，网络会计信息系统的安全建设是全方位的系统工程。会计信息系统如同金库中的资金，信息安全是会计信息系统安全的核心，确保信息的生存性、完整性、可用性和保密性是会计信息系统的中心任务。信息系统是为承载、传输、处理、保存、输入、输出、查询信 息提供服务的基础，信息系统的安全是信息安全的基本保障。

参考文献：