三、基于互聯網會計信息系統的外部控制
在互聯網環境下,企業內聯網已不再是獨立、封閉的系統,已成為互聯網世界的組成部分。因此,
內部控制也已是一個相對的概念。要有效地實現企業內部控制的四個目標,保證企業網上商務活動的正常進行,必須把內部控制從企業網的小內部擴展到互聯網的大內部,也就是說,同時還要對企業內聯網以外的系統空間進行控制。下面要討論的外部控制,指的就是面向企業內聯網外部環境的控制。企業內聯網與外聯網、互聯網的關系如圖2所示,其外部控制包括周界控制、大眾訪問控制、電子商務控制、遠程處理控制等。
圖2 外部控制點示意圖
1、周界控制。周界控制是通過對安全區域的周界實施控制來達到保護區域內部系統的安全性目的,它是一切防外措施的基礎。周界控制的主要內容包括:(1)設置外部訪問區域。訪問區域是系統內接待外界(關聯方、社會分眾)網上會計數據訪問、與外界進行會計數據交換的邏輯區域。企業在建立內聯網時,要對網絡的服務功能和拓撲結構的布局進行詳細分析,通過專用軟件、硬件、管理措施,實現會計應用系統與外部訪問區域之間的嚴密的數據隔離、訪問限制。(2)建立防火墻。防火墻是指建立在被保護網絡周邊的分隔被保護網絡與外部網絡的一種技術系統。根據網絡系統區域劃分的不同,可設置多級防火墻系統。一般分為兩類:一類是外層防火墻,用來限制外界對主機操作系統的訪問;第二類是應用級防火墻,用來邏輯隔離會計應用系統與外部訪問區域之間的聯系,限制外界穿過訪問區域對網絡應用系統服務器,尤其是對會計數據庫系統的非法訪問。(3)建立周邊監控系統。通過對系統日志和網絡數據包的實時監控和
審計分析,實時檢測來自外部的入侵行為和內部用戶的未授權活動,同時為追究入侵者法律責任提供線索和證據。
2、大眾訪問控制。網上大眾訪問包括電子郵件傳遞、網上會計信息查詢等內容。由于網絡系統是一個開放的系統,對社會大眾的網上行為實際上是不可控的。因此,除了加強社會法律威懾作用外,企業主要是在系統的外部訪問區域內采取防護控制措施。包括:
(1)郵件系統控制。一般宜將郵件系統限定在外部訪問區域的服務器和工作站上比較安全;
(2)網上會計信息查詢控制。社會大眾可在網上查詢企業的產品信息、財務報告等內容,這類業務一般也應限制在系統的外部訪問區域內。系統要對提供信息的時間、內容作嚴格規定,并通過安全通道及時更新訪問區域上的信息資料。
3、電子商務控制。就企業來說,可采取下列措施對電子商務活動進行管理與控制:
(1)分別情況,建立與關聯方的電子商務聯系模式。一般可分為兩類:一類是數據測覽型模式,企業通過WWW向外部企業提供數據和條件檢查功能,外部企業不能更改數據;另一類是事務處理型模式,交易雙方可在網上直接進行電子
憑證的交換,并更新雙方的事務處理文件。為保證交易信息的安全可靠性,防止被竊取、被仿冒、被篡改,交易雙方可對傳輸信息進行加密處理,對穩定、密切的合作伙伴還可進一步建立虛擬專用網,實現雙方(或多方)之間具有相互操作性的數據聯系;
(2)建立網上交易活動的授權、確認制度,以及相應的電子會計文件的接收、簽發、驗證制度;
(3)交易日志的記錄、審計制度。交易日志用來自動記錄電子商務每個步驟的交易時間和內容,對企業內外部來說都是重要的審計線索,企業需要同時也有義務保證它的完整性、可靠性。
4、遠程處理控制。基于互聯網的會計信息系統的建立為集團型企業實現遠程查帳、遠程報表、遠程審計,以及對交易事項的遠程財務監控創造了條件。建立相應的遠程處理控制系統,是開展遠程處理業務的前提。主要控制措施包括:
(1)分支系統安全模式設計。分支系統是企業在異地具有獨立內聯網結構的會計信息系統,由于母系統的監控和訪問直接伸入分支系統內部,而不是在通常的外部訪問區域。因此,需要特別考慮由于遠程處理給雙方增加的風險問題。除了通信技術應采取互聯網上的虛擬專用網外,在保證實時會計處理和財務監控有效的前提下,分支系統可采取單獨設置母系統訪問區域的做法,以提高其會計信息系統的安全可靠性;
(2)遠程處理規程控制。由于遠程實時處理雙方一般不是通過系統的外部訪問區域連接的,任何一方的安全問題很可能給另一方帶來危害。因此,雙方要制定嚴格的遠程處理控制操作規程,包括操作權限控制、內容授權控制、處理程序控制、通道及兩端服務器安全控制等等。對于需在線實時處理的內容,如在線財務審批、電子轉帳等內容,應在嚴格的操作規程下進行,確保處理結果的有效性和可驗證性。
以上從系統風險評估、弱點分析、控制方案構建與實施等方面比較系統地討論了基于互聯網會計信息系統控制的設計與實現。由于信息安全技術總是落后于信息技術的發展,安全的實現不可能是一成不變的。因此,企業要把系統風險評估與管理制度化,以保證系統的控制方案及安全政策不斷隨系統本身的發展而不斷完善。
