24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開(kāi)發(fā)者:北京正保會(huì)計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制

來(lái)源: 楊平波 編輯: 2002/10/11 11:14:23  字體:
  電子商務(wù)一方面給企業(yè)帶來(lái)了無(wú)限的生機(jī),另一方面給網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的內(nèi)部控制帶來(lái)了新的難題,促使網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制體系的創(chuàng)新。 
  
  一、電子商務(wù)對(duì)會(huì)計(jì)系統(tǒng)內(nèi)部控制的影響 

  (一)網(wǎng)絡(luò)構(gòu)成要素的復(fù)雜性使得系統(tǒng)安全控制的難度加大。網(wǎng)絡(luò)是一個(gè)龐大的系統(tǒng),電子商務(wù)是一種整合的經(jīng)濟(jì)模式,交易與服務(wù)活動(dòng)的完成一般以Internet、Extranet和Intranet三種網(wǎng)絡(luò)為基礎(chǔ)。計(jì)算機(jī)硬件、軟件、人員和各種規(guī)程等構(gòu)成上述各種網(wǎng)絡(luò)組織的基本要素。由于硬件配置不合理、軟件功能欠完善、系統(tǒng)操作失誤、內(nèi)部管理人員的非法訪問(wèn)及來(lái)自外部的惡意攻擊等原因,網(wǎng)絡(luò)組織的各個(gè)層面將面臨著嚴(yán)重的安全威脅。錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)使得系統(tǒng)安全問(wèn)題日益突出,安全控制的難度將進(jìn)一步加大。 
  
  (二)網(wǎng)絡(luò)數(shù)據(jù)處理的集中性使得傳統(tǒng)的組織控制功能減弱網(wǎng)絡(luò)的應(yīng)用大大減少了人工輸入環(huán)節(jié),數(shù)據(jù)訪問(wèn)和數(shù)據(jù)交換都通過(guò)應(yīng)用服務(wù)器進(jìn)行。網(wǎng)絡(luò)計(jì)算機(jī)集成化處理促使傳統(tǒng)手工會(huì)計(jì)中制單、復(fù)核、記帳等不相容崗位相互牽制制度的效力逐步削弱,傳統(tǒng)的組織控制功能弱化。 
  
  (三)網(wǎng)絡(luò)環(huán)境的開(kāi)放性使得會(huì)計(jì)信息失真的風(fēng)險(xiǎn)加劇。從信息的取得渠道看,其來(lái)源具有多樣性有可能導(dǎo)致審計(jì)線索紊亂;從信息傳遞的方式看,大量信息通過(guò)網(wǎng)絡(luò)通訊線路傳輸,有可能遭受非法的攔截、竊取和纂改;從信息的存儲(chǔ)形式看,信息大都以電子數(shù)據(jù)的形式存儲(chǔ),肉眼很難辨認(rèn),易被修改、刪除、隱匿、轉(zhuǎn)移和偽造且不留痕跡。網(wǎng)絡(luò)系統(tǒng)的開(kāi)放性和動(dòng)態(tài)性加大了審計(jì)取證難度,加劇了會(huì)計(jì)信息失真的風(fēng)險(xiǎn)。 
  
  二、網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)內(nèi)部控制的主要內(nèi)容 
  
  (一)組織與管理控制。(1)適當(dāng)?shù)穆氊?zé)分離。這就是設(shè)置網(wǎng)絡(luò)管理中心,由網(wǎng)管中心全盤規(guī)劃,合理布局,采取措施確保各工作站、終端和人員之間適當(dāng)?shù)穆氊?zé)分離;(2)優(yōu)化配置人力資源。良好的人力資源管理政策對(duì)于企業(yè)內(nèi)部控制的順利實(shí)施起著關(guān)鍵性的作用。因此要制定措施,確保人力資源的合理利用。(3)發(fā)揮內(nèi)部審計(jì)的作用。內(nèi)部審計(jì)的本質(zhì)是一種特殊的組織控制。通過(guò)內(nèi)部審計(jì)部門對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)信息的質(zhì)量和完整性進(jìn)行獨(dú)立和公正地監(jiān)督與評(píng)價(jià),有利于系統(tǒng)內(nèi)部自我約束、自我激勵(lì)機(jī)制的建立與健全。 
  
  (二)系統(tǒng)開(kāi)發(fā)控制。系統(tǒng)開(kāi)發(fā)控制是為保證網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)開(kāi)發(fā)過(guò)程中各項(xiàng)活動(dòng)的合法性和有效性而設(shè)計(jì)的控制措施,它應(yīng)貫穿于系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施和系統(tǒng)運(yùn)行測(cè)試與維護(hù)的各個(gè)階段。其主要內(nèi)容包括如下:(1)明確開(kāi)發(fā)目標(biāo),制定項(xiàng)目管理計(jì)劃,進(jìn)行項(xiàng)目的可行性研究與分析;控制開(kāi)發(fā)進(jìn)度,監(jiān)督開(kāi)發(fā)質(zhì)量,檢查各功能模塊設(shè)置的合理性及程序設(shè)計(jì)的可靠性,提高系統(tǒng)的可審性。(2)利用網(wǎng)絡(luò)在線測(cè)試的功能,檢驗(yàn)整個(gè)系統(tǒng)的完整性,并應(yīng)對(duì)非法數(shù)據(jù)的容錯(cuò)能力、系統(tǒng)抗干擾能力和發(fā)生突發(fā)事件的應(yīng)變能力以及系統(tǒng)遭遇破壞后的恢復(fù)能力進(jìn)行重點(diǎn)測(cè)試;做好人員和設(shè)備等資源的整合配置以及初始數(shù)據(jù)的安全導(dǎo)入,保證新舊系統(tǒng)的轉(zhuǎn)換有序進(jìn)行。(3)一旦發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)各類軟件可能存在安全漏洞,應(yīng)立即進(jìn)行在線修補(bǔ)與升級(jí),并將所有與軟件修改有關(guān)的記錄報(bào)告及時(shí)存儲(chǔ)歸檔。 
  
  (三)日常操作系統(tǒng)管理控制。(1)制定上機(jī)操作規(guī)程。主要包括軟硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程和用機(jī)時(shí)間記錄規(guī)程等。(2)加強(qiáng)系統(tǒng)人員的操作管理。人作為系統(tǒng)主體是網(wǎng)絡(luò)發(fā)展的基本動(dòng)力和信息安全的最終防線,人員操作管理的重點(diǎn)是權(quán)限控制。系統(tǒng)管理員被賦予超級(jí)用戶管理權(quán)限,主要負(fù)責(zé)系統(tǒng)硬、軟件的管理維護(hù)和網(wǎng)絡(luò)資源分配,操作人員應(yīng)按照被授予吶權(quán)限嚴(yán)格作業(yè),不得越權(quán)接觸系統(tǒng),系統(tǒng)程序員不得進(jìn)行業(yè)務(wù)操作,以避免人為因素或操作不當(dāng)給操作系統(tǒng)帶來(lái)不必要的損失和風(fēng)險(xiǎn)。(3)建立計(jì)算機(jī)資源訪問(wèn)授權(quán)和身份認(rèn)證制度。即明確每個(gè)用戶的安全級(jí)別和身份標(biāo)識(shí),并分別定義具體的訪問(wèn)對(duì)象;(4)建立安全稽核機(jī)制。對(duì)系統(tǒng)操作的事件類型、用戶身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進(jìn)行實(shí)時(shí)監(jiān)控和記錄,進(jìn)行必要的權(quán)限設(shè)置,以便能夠?qū)Ω鞣N不同的權(quán)限進(jìn)行用戶識(shí)別和遠(yuǎn)程請(qǐng)求識(shí)別。(5)設(shè)置安全檢測(cè)預(yù)警系統(tǒng)。即實(shí)時(shí)尋找具有網(wǎng)絡(luò)攻擊特征和違反網(wǎng)絡(luò)安全策略的數(shù)據(jù)流,實(shí)時(shí)響應(yīng)和報(bào)警,阻斷非法的網(wǎng)絡(luò)連接,對(duì)事件涉及的主機(jī)實(shí)施進(jìn)一步跟蹤,創(chuàng)造一種漏洞檢測(cè)與實(shí)時(shí)監(jiān)控相結(jié)合的可持續(xù)改進(jìn)的安全模式。 
  
  (四)網(wǎng)絡(luò)系統(tǒng)安全控制。(1)硬件設(shè)備安全控制。硬件設(shè)備安全主要涉及計(jì)算機(jī)機(jī)房環(huán)境和設(shè)備的技術(shù)安全要求。應(yīng)制定網(wǎng)絡(luò)計(jì)算機(jī)機(jī)房和設(shè)備的管理制度、崗位職責(zé)和操作規(guī)程,嚴(yán)格禁止無(wú)關(guān)人員接觸系統(tǒng),專機(jī)專用;計(jì)算機(jī)機(jī)房應(yīng)充分滿足防火、防潮、防塵、防磁和防輻射及恒溫等技術(shù)要求,關(guān)鍵性的硬件設(shè)備可采用雙系統(tǒng)備份。(2)系統(tǒng)軟件安全控制。嚴(yán)格控制系統(tǒng)軟件的安裝與修改,對(duì)系統(tǒng)軟件進(jìn)行定期的預(yù)防性檢查,系統(tǒng)被破壞時(shí),要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份、快速重構(gòu)和快速恢復(fù)的功能。(3)會(huì)計(jì)信息安全控制。會(huì)計(jì)信息安全的基礎(chǔ)是密碼學(xué)。按加密和解密算法所用的密碼是否相同,將密碼分為對(duì)稱密碼體制和非對(duì)稱密碼體制。后者在信息安全管理方面得到了廣泛的應(yīng)用。如通信線路上的數(shù)據(jù)流加密,數(shù)據(jù)庫(kù)中的數(shù)據(jù)文件加密,訪問(wèn)者的身份認(rèn)證,數(shù)字簽名等。除密碼學(xué)之外,模式識(shí)別的方法也在網(wǎng)絡(luò)信息安全方面得到應(yīng)用。如指紋識(shí)別、面容識(shí)別在身份認(rèn)證中具有很好的作用。(4)系統(tǒng)入侵防范控制。為了防止非法用戶對(duì)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的入侵,應(yīng)采取設(shè)置防火墻,身份認(rèn)證和授權(quán)管理等安全技術(shù),用以限制外界對(duì)主機(jī)操作系統(tǒng)的訪問(wèn);用以隔離開(kāi)局應(yīng)用系統(tǒng)與外界訪問(wèn)區(qū)域之間的聯(lián)系,限制外界穿過(guò)訪問(wèn)區(qū)域?qū)W(wǎng)絡(luò)應(yīng)用系統(tǒng)服務(wù)器尤其是對(duì)會(huì)計(jì)數(shù)據(jù)庫(kù)系統(tǒng)的非法訪問(wèn);加強(qiáng)原有的基于帳戶和口令的控制,提供授權(quán)訪問(wèn)控制和用戶身份識(shí)別。(5)交易安全控制。為了保證交易者的交易信息不被他人竊取或破譯,主要應(yīng)采取數(shù)字加密、數(shù)字認(rèn)證等核心技術(shù)。 
  
  (五)應(yīng)用控制。應(yīng)用控制是指在網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的數(shù)據(jù)輸入、通訊、處理和輸出環(huán)節(jié)所采用的控制程序和措施。(1)輸入控制。輸入控制的重點(diǎn)在于建立適當(dāng)?shù)氖跈?quán)和審批機(jī)制,并對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn),如總數(shù)控制校驗(yàn)、平衡校驗(yàn)、科目代碼校驗(yàn)和邏輯關(guān)系測(cè)試等。(2)通訊控制。通訊控制的重點(diǎn)在于批量控制,業(yè)務(wù)時(shí)序控制、數(shù)據(jù)編碼控制與發(fā)放和接收的標(biāo)識(shí)控制等。(3)處理控制。處理控制的重點(diǎn)在于處理過(guò)程的現(xiàn)場(chǎng)控制、數(shù)據(jù)有效性檢測(cè)、預(yù)留審計(jì)線索控制和錯(cuò)誤糾正控制等。(4)數(shù)據(jù)輸出控制。輸出控制的重點(diǎn)在于數(shù)據(jù)稽核控制,授權(quán)輸出控制和打印程序控制等。
回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營(yíng)許可證 京公網(wǎng)安備 11010802044457號(hào)