时间:2023-04-03 09:47:10
导语:在信息系统审计论文的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
为了更好的开展信息系统审计,审计组在编制审计实施方案前,对支队的信息系统开展了详细的审前调查,摸清了交警部门信息系统的基本情况,掌握了交通违法业务处理流程及业务数据的流向。最终,审计组决定以业务处理流程为切入点,抓住业务数据流向的关键点来开展审计,并确定了全市审计机关上下联动的审计组织模式,明确了审计的方向和重点。
1.开展信息系统审计审前调查审计组在审前调查阶段,专门开展了信息系统审计审前调查,调查的内容包括:信息系统承载的业务应用情况、业务应用软件、系统业务流程图和数据交互图、网络拓扑结构、主机/存储设备/操作系统/数据库系统、信息系统相关文档等。通过信息系统审计审前调查,大致了解了被审计单位的信息系统的基本情况及业务处理流程:市电子警察系统主要包括违法录入、违法修改、违法审批、法律文书管理、黑名单管理、违法统计等功能。其通过“邮政送达平台”和“银政联网平台”分别与广州市邮政局(以下简称邮局)和银行交换数据,以实现违法通知书的邮寄和罚款的缴纳。四区两市监控设备采集到的数据通过专线或3G网络传送到交警大队服务器中,通过前端审核系统对数据的有效性进行审核,审核完的有效数据上传到市交警支队的“电子警察系统”中。电子警察系统中通过审核的有效数据上传到省系统中,再上传到公安部的“六合一”平台。
2.确定审计组织模式审计组采用了市本级审计组与区县审计组上下联动、信息共享的审计组织方式,由市本级审计组负责市公安局交警支队和两个区分局交警大队的审计调查,其余的四个分局交警大队由各区县审计组分别负责。市本级审计组通过分析“电子警察系统”和“省系统”数据库,将问题数据分割后通过审计署OA系统及时发送给四区两市审计组。四区两市审计组审计分析各自的前端系统数据库,发现的审计线索也通过OA系统上传到市本级审计小组,以确定是否全市普遍存在问题。
3.确定审计重点和方法根据信息系统审计审前调查的结果,审计组决定以交通违法业务处理流程作为切入点,跟踪业务数据流向来开展信息系统审计。审计调查的重点包括四个方面:一是电子警察系统的合法性审计。因为电子警察系统的合法性决定了公安部门执法的合法性,其作出的行政处罚是否存在行政诉讼的可能。例如:执法点位有无按规定向社会公布;执法点是否按规定设置标识牌;执法点的设备是否经过验收和定期检测等,执法点的设备能否正常运行等。二是电子警察系统的有效性、完整性审计。如:违法数据是否按规定全部、及时核对录入;违法记录是否全部及时向当事人制发书面通知;超过规定时速的违法行为是否严格按规定进行处罚;有无擅自撤销处罚记录等。三是电子警察信息系统的安全性审计。如,数据上传过程中是否存在上传失败的情况;前后业务处理流程之间的数据量是否存在差异;操作系统、数据库以及应用系统访问是否存在的安全隐患等。四是电子警察系统的效益性审计。对审前调查确定的重点,审计组分别采用了不同的步骤和方法。①针对系统的合法性采取的审计方法:⑴取得目前交通“电子警察”的种类、数量及分布情况,与金盾网上向社会公布的执法点对比,检查执法点位有无全部按规定向社会公布。⑵在征询社会公众的意见的基础上,实地抽查执法点有无按规定设置标识牌;抽查指示灯号、标志线、限速指示牌等行车标志、标识是否合理;抽查交通“电子警察”测速设备,是否存在限速过低。⑶抽查交通“电子警察”设备的技术档案资料,检查所用的设备是否符合国家标准或者行业标准。⑷抽查记录,检查是否存在执罚程序不合法、未及时通知违法行为人等问题。②针对系统的有效性、完整性采取的审计方法:⑴抽查近三年广州市交通“电子警察”定期检测、保养、维护的日志、记录资料,检查设备有无定期检测、保养、维护;通过实地闯红灯和超速检查信息系统设备运行情况的有效性。⑵检查数据校验功能是否缺失。如核查决定书编号是否唯一编号、是否存在重号等。⑶通过不同系统之间数据的对比,核查系统数据完整性。一是横向比对,例如通过交警数据和邮政数据比对,违法记录是否全部及时向当事人制发书面通知,通过交警数据和银行数据比对,检查最终违章记录表中反映的已缴处罚金额总额是否与财政同一期间的非税收入金额一致;二是数据的竖向比对,例如通过四区两市的数据和支队数据比对,支队数据和省交警总队数据比对,检查系统数据在升级和迁移过程中是否发生丢失。⑷处罚撤销情况统计。审核撤销的数量、原因情况。审核撤销是否具有完整的内部控制制度,系统是否有控制手段。③针对系统的安全性采取的审计方法:⑴检查管理制度,查看系统后台记录的有关用户操作权限。⑵实地抽样查看系统操作人员对系统用户权限的管理,并运用数据审计技术和软件,对信息系统自动记录的日志进行筛选分析,检查有无未经授权的进入、非法修改删除数据等异常操作,从而判断信息系统的运行管理是否存在明显错误或者缺陷。④针对信息系统的效益性采取的审计方法:⑴通过直接发放调查问卷等方式,征询公众对广州市公安机关利用交通“电子警察”查处道路交通安全违法行为的意见,分析交通“电子警察”信息系统运行、交警执法的合理性、合法性和效益效果,提出对交通“电子警察”建设和利用的建议。⑵现场抽查交通“电子警察”设置到位情况,通过勘察、试验、拍照等取证手段,对市公安局“电子警察”项目的设置规划、分布、效益进行实地调查,重点检查有无长期在建、虚设不用、闲置浪费等低效益现象,形成绩效评价意见。⑶通过对交警执法效率提升、当地车辆保有量增长、交通事故数量及事故死亡人数变化等相关数据分析,采取量化指标反映“电子警察”取得的社会效益情况。⑷调取业务数据进行分析。如抽查监控点近三年开出罚单情况,动态分析监控点的运作情况汇报;分析近三年的事故多发地点,以及在事故多发地点设置交通“电子警察”情况。
4.项目取得的成果审计组通过开展电子警察信息系统审计,查出了以下主要问题:①部分监控设备长期没有维护,导致无法采集数据或数据失效。②部分违法数据未及时核对、录入。③区(县级市)违法数据与市局存在差异。④未在规定时限内向当事人邮寄交通违法处理通知书。⑤电子警察管理系统反映的违法处理通知书数据与邮局反映的寄出数据存在差异。⑥未及时对区县的异常数据信息进行检查、分析,导致滞纳金数据失真。⑦交警部门记录的入库金额与银行返回的金额存在差异。⑧电子警察管理系统数据上传公安部“六合一”平台时数据丢失。⑨信息系统中交通违法信息内容记载不够完整。公安交警部门对以上查出的问题高度重视,边审计边整改。其中对部分监控设备长期没有维护的问题,市交警支队已加强设备巡检、维护工作的监督力度,对未能正常使用的设备已及时排除故障;通过优化系统和设备配置、延长工作时间、抽调人员支援、将人工拍摄的非现场数据核对录入工作下放至辖区交警大队等措施,有效解决对部分违法数据未及时核对、录入的问题;对未在规定时限内向当事人邮寄交通违法处理通知书的问题,支队按不同的形成原因采取措施予以解决,对确因传送失败而未寄出通知书的,支队与邮政部门重新设计和开发统计违法数据数量功能模块,已正式启用,同时,与邮局采取每日核对数据量、对异常数据加强巡检等监管手段,确保发送数据量与邮局接收数据量一致;对未及时对区县的异常数据信息进行检查、分析,导致部分数据失实的问题,支队已在系统中对滞纳金字段值进行限制,有效解决了缴款时间滞后造成滞纳金不实的问题;对相关业务处理流程之间的数据存在差异的问题,支队正在筹建交通管理数据交换平台,将邮政、银政、电子警察、交委等数据统一通过该平台进行管理,进一步规范数据的共享与交换,同时对数据共享与交换情况进行全面监控,同时,将加强对系统操作人员的培训,提高业务和技能水平;对数据上传公安部“六合一”平台失败后没有作补救处理的问题,支队通过开发数据上传失败查询模块和安排专人跟踪数据上传情况,一旦发现数据上传失败立即进行补传,确保不因技术问题导致上传失败;对信息系统中交通违法信息内容记载不够完整的问题,支队已在新的电子警察管理平台中增加相关字段内容,逐步完善系统的设置。
二、做好信息系统审计的启示
1.做好审前调查是做好信息系统审计的必要前提。审计人员需要根据审前调查了解的行业政策、信息系统的设计、管理和维护情况,从而确定审计的范围和关注点,准备好信息系统审计的软、硬件条件。只有做好信息系统审计审前调查,才能充分评估开展信息系统审计的重要性、可行性和风险性。
2.了解信息系统业务处理流程是做好信息系统审计的主要关键。深入了解被审计单位的业务处理流程,掌握信息系统内部控制环节、数据处理环节和数据传输转移环节,以业务处理流程为切入点,就可以知道容易产生问题的环节,从而确定审计的重点,做到有的放矢。
3.合理配置审计人力资源是做好信息系统审计的有力保证。当前审计机关普遍面临信息系统审计复合型人才馈乏的困境,要在短时间内改变这一状况是不现实的。本案例中审计组配备了专长财会的审计人员和专长计算机技术的审计人员,由专长财会的审计人员负责研究行业政策,收集业务流程各环节的关注点,提出审计需求,由专长计算机技术的审计人员按需求设计计算机语言,对海量数据进行筛选,再交专长财会的审计人员对筛选结果进行分析,共同研究提出审计意见。复用审计思路的审计组织方式能使信息系统审计事半功倍。
4.采取灵活多变的审计方法是开展信息系统审计的有效途径。本案例中采取了审阅、查询、计算、分析性复核、社会调查问卷等多种方法。多种审计方法的灵活运用,可以相互印证审计事项,拓宽审计视野,扩大审计成果,加强审计的影响力。
三、结语
在信息化时代,我们拥有极大的信息系统审计需求市场,信息系统审计已成为审计发展的新动力和新方向。然而我国信息系统审计的发展现状还不能适应时势的需要,尤其是在推行基于国际性的标准COBIT 上的研究和实践缺乏。为此,我们应在全面把握我国信息系统存在问题的前提下,采取有效的对策,以适应大规模的信息化建设的需要。
一、问题的提出信息及相关技术控制目标标准(Control Ob2jectives for Information and related Technology , CO2BIT) 是美国信息系统审计与控制协会( InformationSystem Audit and Control Association , ISACA) 的信息技术治理学会( Information Technology GovernanceInstitute ,ITGI) 基于其原有的控制目标体系,结合并改进现有的正在发展中的其他国际技术标准和工业标准而制定的控制目标体系,为IT 的治理、安全与控制提供了一个一般适用的公认标准。自1996 年问世以来,目前已经更新至第四版,是国际上最先进、最权威的安全与信息技术管理和控制的标准,已在全世界100 多个国家的重要组织与企业中运用,指导这些组织有效利用信息资源,有效管理与信息相关的风险。最新版本COBIT 4. 0 更注重帮助董事会和员工应对不断增加的职责,包括面向公司董事会和各级管理层适用的指引,由四部分组成,即管理人员概述、框架、核心内容(控制目标、管理方针和成熟模式) 和附录(图表、前后参照和术语表) 。核心内容依据34 项IT 流程来划分,全面介绍了如何控制、管理和测量每个流程。另外,COBIT 4. 0 分析如何将具体的控制目标划入五项IT 管理领域,以识别潜在缺口; 令COBIT 标准与其他标准( ITIL 、CMM、COSO、PMBOK、ISF 和ISO17799) 协调一致;阐述关键目标指标(key Goal Indicator ,KGI)和关键绩效指标(key performance indicator ,KPI) 之间的关系,说明KPI 如何推动实现KGI ;结合业务目标、IT 目标和IT 流程。COBIT 标准不仅为人们提供了信息系统控制目标和IT 标准,而且提供了信息系统的审计指南。它为信息系统审计师提供了较为系统的评估指标,从而规范信息系统审计师的审计思路,而且它提供的控制矩阵、管理明确诊断表和风险评估表等科学的手段,让信息系统审计师合理评估审计风险,从而大大降低审计风险,提高审计质量。COBIT 标准对我国开展信息系统审计有很好的启示和指导作用,我国应大力推行基于COBIT 标准的信息系统审计。
二、我国信息系统审计存在的问题
1. 审计人才缺乏信息系统审计是会计、审计、信息系统、网络技术与计算机应用的交叉学科。开展信息系统审计,要求审计人员具有复合型的知识结构,既要掌握财会、审计知识,又要掌握信息系统、计算机与网络技术。但我国现在大部分审计人员并不熟悉计算机是如何进行经济与会计业务处理的,不知道计算机处理与网络技术的运用有什么风险、怎么样的控制才能有效降低这些风险,也不掌握如何对计算机信息系统进行审计或利用计算机和网络技术进行审计。计算机技术人员虽然对计算机和网络技术比较熟悉,但他们又不熟悉会计、审计知识,不知道要审什么、该怎样审。而开发实用性和通用性较强的审计软件所需要的高层次、高水平的人员也很缺乏。
2. 法律法规不完备在信息化条件下,审计方法、对象、技术都发生了很大的变化,传统的审计准则体系、法律法规体系已不能完全适应、指导和规范信息系统审计的实践,而新的关于信息系统审计的程序标准、准则和法律还没有出台或并不完备,有些甚至还是完全空白。例如,电子凭证、电子合同、数字签名等的法律效力和保存要求;数字认证机构的认定及其法律责任;计算机犯罪适用的法律;在信息系统审计中审计机构的权力、责任和被审计单位的义务等。从近年情况看,我国的信息系统审计制度建设工作才刚起步,尽管国务院办公厅、审计署、注册会计师协会等机关和组织颁布或制定了一些准则和规范,但是,这些准则和规范还不完善,没有形成系统性和结构性。不仅缺乏对信息系统开发和系统功能审计方面的规范,还比较概括、笼统,没有相应的实施细则。对信息系统审计尚处于摸索阶段的我国审计人员来说,显然还缺乏具体的指南。
3. 技术水平落后信息技术的高速发展与广泛应用使企业交易事项的大部分内容由系统自动运作完成,人工轨迹遗留较少,传统审计线索荡然无存。这就要求信息系统审计必须参与和融入信息系统的设计过程,在执行测试时必须穿越信息系统,以确保对连续监督程序和输出结果的控制。在我国信息系统的设计与开发中,尚不具备充分的保留和提供审计线索的功能。审计人员完全处于被动地位,难以获取充足的审计证据支持其审计结论,难以保证信息系统环境下的审计质量。
三、发展我国信息系统审计的对策从上述对我国信息系统审计存在的问题的概要分析中,作者认为,响应国际发展趋势,在信息系统控制和审计领域推行COBIT 标准无疑具有美好的发展前景。具体实施时可针对以下几个方面进行改进。 1. 注重专业人才的培养COBIT 标准具有系统的和完备的框架体系,它的运用首先定位于信息及其相关技术的控制和管理,因此,它在整体上表现出IT 业的大量相关技术。这就意味着运用COBIT 标准实施信息系统审计的审计人员应具有复合型的知识结构,既要掌握现代审计理论与实务,又要掌握信息系统、计算机与网络技术。目前,审计署干部培训中心开展的注册信息系统审计师培养及与之相关的在审计人员中进行计算机知识的培训工作,正是为了适应这一现实需要。在人员培训上,要求对低层次人员培训与高层次人才的培养、在职人员的培训与未来人才的培养进行统筹规划。对较高层次的人才培养,重点可放在信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面;对未来审计人才的培养,应在高校会计专业教学计划中增加IT 和电子商务等内容,不仅要把信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构的管理人员也应意识到,信息系统审计人才的培养不仅仅是对审计人员的培养。我们可以培训审计师成为掌握必要IT 技能的人员,但很难要求他们成为计算机、信息系统和网络技术方面的专家。因此,审计机构要改变以往由会计师独唱主角的情况,计算机与网络专家、信息系统与电子商务专家将在审计组织中担任越来越重要的角色。审计机构应注意吸收这方面的人才,并进行审计知识和技能培训,使他们能与会计师良好合作,更好地执行信息系统审计任务。
2. 完善审计准则从国际同业的实践看,COBIT 标准已经逐步成为通行准则。我国应遵循国际标准或规范,把COBIT 标准作为核心标准, 同时, 借鉴ISOPIEC17799、ITIL 、PRINCE2、COSO、SOX 法案等其他国际标准和原则,进而确立适合自己的信息系统审计目标、对象、范围、方法、流程等。进一步完善与信息系统审计有关的法规和准则,要在法律法规上,确定审计机构和审计人员有权审查被审计算机的信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的信息系统审计给予积极的协助。在建设信息系统审计准则体系时,可以借鉴ISACA 的做法,也采用三个层次体系结构,以基本准则为核心,统领具体准则和执业指南,从而使整个准则体系不断扩展、完善。内容划分方式可分为审计的权利、义务与责任,审计人员和审计工作三大类,并按这些类别来制定准则。信息系统审计准则作为一个完整的准则体系,各项具体准则要相互依存、相互配合。在准则的制定、上,应当遵循务实原则、接轨原则、配套原则和科学原则。ISACA 的做法是,先规划出基本准则的内容,在此基础上,有计划、有步骤、按照现实需要出台各项具体准则、指南和程序。准则采用分项制定,完成一项,一项,实施一项。这有利于信息系统审计准则的全面顺利的实施,也有利于信息系统审计人员循序渐进地正确掌握这一系列准则,从而促进信息系统审计准则在实务中迅速发挥作用。我们在信息系统审计准则的制定、上,可参照ISACA 做法。同时,对国际上已有的成文准则、习惯做法、专业术语,应当尽可能与国际惯例保持一致,尽量做到与国际惯例接轨。
3. 加强审计方面的IT 技术对于审计领域来说,COBIT 只是一套成文的信息技术控制标准,它只是向信息系统审计人员指明了前进的道路,但究竟如何才能成功通向胜利的彼岸,却有待审计人员自身去开发高效快捷的通向目标的方式,尤其是在信息系统审计这样一个高专业化、高技术性的审计业务领域。首先,应注重软件的开发,如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势,如在现有审计软件基础上开发、研制新的适用信息系统审计的分析工具。其次,联网审计的加强,它是方便快捷地运用COBIT 标准的有力举措。这种审计方式成功实现的关键是被审计单位的信息系统提供标准化的审计接口,因此,信息化的管理部门和审计部门应加强宣传,提倡甚至是严令监督企业提供数据接口,以便联网审计的展开。最后,就是专家系统的构建,它能将基于COBIT 标准的成功案例进行积累和专业化,更好地为我们的信息系统审计工作服务。放眼未来之路,如何借鉴COBIT 标准开展适应国际趋势的而又探索有中国特色的信息系统审计道路,需要新时代的审计人员的不懈努力。我们只有充分认识存在的问题的基础上,才能有针对性地改进。中国审计人员将以倍增的热情,迎接新技术革命的挑战,充满豪情地投入到审计技术创新的洪流中。
[参考文献]
[1 ]李 丹. 信息系统审计———传统审计的一场革命[J ] .中国审计,2002 (1) :57 - 58.
[2 ] 钱 艳. 信息系统审计———网络架构、测试与评价[D] . 重庆大学硕士学位论文,2003.
[3 ]管亚梅. 信息系统审计———一种全新的审计模式的构建思路[J ] . 科技进步与对策,2005 (12) :78 - 80.
[4 ]陈婉玲,杨文杰. ISACA 信息系统管理准则及其启示[J ] . 审计研究,2006 (增刊) .
[5 ]董 霞. 会计信息系统审计研究[D] . 天津财经大学硕士学位论文,2006.
关键词:内部控制;网络;问题;对策
一、引言
网络时代的到来使企业、事业单位的会计业务运作越来越依赖于信息系统,会计信息系统内部控制也发生革命性的变革,在计算机网络环境下的会计信息系统内部控制也遇到了很多与传统环境不一样的问题。
二、会计信息系统内部控制在网络环境下的主要问题
随着计算机网络迅猛发展,电子商务、网上交易、无纸化交易等的推行,所有的交易数据都由业务人员直接输入计算机并上传到网络中,原来的核算、审核工作也基本由计算机自动完成,同时企业也将利用信息系统控制企业的经济活动,并将信息系统的控制作为企业内部控制的重要组成部分。但是在使用网络环境下的会计信息系统的快捷方便同时也将企业的信息系统置于一个开放复杂的环境中,其安全问题又不得不考虑。本文针对网络环境下的会计信息系统内部控制的主要问题分析如下。
(一)网络环境下数据存在易失性和安全性差
网络环境下的会计信息系统的范围扩大,数据介质发生变化,各种信息转化为数字形式存储在磁介质上,如果发生火灾、被盗、感染病毒等,数据就丢失了,另外计算机网络上硬件的老化及自然损坏也是数据容易丢失的原因。在网络环境下会计信息系统内部控制系统程序本身的漏洞较普通单机版更多,系统的安全性更差,而且会计信息系统下的权限分工主要依靠口令授权,每个相关人员都有与自己权限相对应的口令,操作口令管理不严,容易在网络上泄密或被人窃取,修改、擦除和拷贝均不会留下任何痕迹,由此带来安全隐患。另外,网上银行的开通,电子商务的普及,通过网上划、转资金,电子单据、电子货币、网上结算等电子化的出现,都需要采取新的有效的内部控制方法,避免数据安全问题。
(二)数据的集成化和程序化加大了控制风险
计算机网络技术的迅猛发展使会计信息系统中的数据日趋集成化和程序化,数据的访问和交换均通过数据服务器进行,传统的人工输入数据环节功能弱化,而网络高速公路使数据处理迅速,并且联网四通八达,某个环节发生的错误极有可能在短时间内迅速蔓延,造成会计信息系统的瘫痪。会计信息系统使用的系统软件和应用程序的质量决定着整个系统的安全性和使用价值,如果这些系统软件和应用程序中存在着严重的问题,将会加大了会计信息系统的控制风险,会导致整个系统的崩溃。
(三)对系统使用人员综合素质能力要求更高
网络信息时代带来了大量的新技术、新知识,使企、事业单位的会计信息系统的环境发生了很大的变化,会计信息系统的安全保护,会计信息系统的操作人员、网络系统管理员的岗位责任等问题,对会计信息系统使用人员素质要求更高,会计部门不仅利用计算机完成基本的会计业务,还能利用计算机完成各种原先没有的或由其他部门完成的更为复杂的业务活动。
(四)网络犯罪的隐蔽性使得控制难度加大
会计信息系统的数据储存在计算机磁性媒介上,容易被篡改。在计算机网络环境下系统数据高度集中,网络黑客或部分人员可以通过一些黑客软件浏览部分乃至全部数据文件,甚至能做到不留痕迹地复制、伪造、销毁企业重要的数据,而且网络环境下这种犯罪具有很大的隐蔽性。计算机病毒的猖獗也为威胁着网络环境下会计信息系统,病毒制造者的技术日益高超,破坏力越来越大。另外会计信息系统软件自身的BUG 和后门等因素也为系统的安全带来诸多隐患。
三、会计信息系统网络内部控制问题的解决对策
要实现网络环境下的会计信息系统安全可靠地运行,必须针对上面分析的系统内部控制问题提出解决问题的办法,笔者认为可以通过以下四个方面。
(一)建立数据管理制度,加强数据安全保密
建立严格的数据管理制度,如保证会计信息系统硬件的防火、防水、防磁、防尘等安全;建立数据的备份制度,防止信息数据丢失;预防计算机病毒,防止病毒对信息系统数据的安全造成极大的危害;禁止非操作和维护人员使用会计信息系统联网计算机,或者通过网络随意进入会计信息系统。在网络环境下,要时刻防范网络黑客和病毒的攻击、窃取、破坏,需要采用操作授权、口令控制、数据加密、职能权限管理、操作日志管理等新的控制方法,这一切必须严格通过口令的控制来实现,另外还要安装防火墙,禁止安装网络下载程序,严格执行移动存储介质管理制度,确保数据的安全。
(二)加强软硬控制,规范操作流程
数据的集成化和程序化更要加强网络环境下的硬件和软件的控制。可以通过奇偶校验、冗余校验、重复处理校验、回声校验、设备校验和有效性校验等来保证硬件系统正确可靠的控制,可以通过设计的软件内部中的各种处理故障、纠正错误、保证系统安全的控制软件来保证软件系统正常运行。操作上要保证输入数据的准确性,另外计算机软硬件的安装要保证可靠性,操作上的一些具体的措施有:部门内部的职责分离、凭证审核、手续控制、建立科目名称与代码对照文件、设计科目代码自动校验功能、试算平衡校验等。
(三)加强人员管理,提高综合素质
会计信息系统内部控制系统需要加大对现有相关人员的继续教育,确保系统内每一个人员都能知道其所拥有的权力和承担的责任,注重培养人员的综合业务素质,提高会计信息系统使用人员的风险防范意识,使其能适应现代会计信息系统赖以生存的瞬息万变的网络环境。为了实现这一点,企、事业单位需要制定相应的制度来规范加强会计信息系统使用人员的管理,需要制定操作管理制度、网络软硬件管理制度、会计档案管理制度等网络环境下的内部控制制度,将制度落实到决策、执行、监督、反馈等各个环节,树立每一个人员都应对系统的内部控制负有责任的观念。同时相关人员必须掌握一定的网络信息系统方面的知识和技能,全面熟悉网络会计信息系统的特点和风险,参与分析单位的各项业务活动,了解与业务过程相应的信息处理过程,使会计核算工作在健全、有效的内部控制之下进行。
(四)健全相关法律、法规
我国财政部虽然已经颁布了一系列内部控制规范,但有关会计信息系统内部控制方面的法律法规还不多,所以我们要与时俱进,加快防止会计信息系统犯罪的法制化进程,要健全相关法律法规,企、事业单位要制定在网络环境下相应的会计信息系统内部控制法规,要明确会计信息系统中哪些方面受法律保护,对未经许可接触会计信息系统有关数据文件的行为要有明文确定属于犯罪行为,并且明确惩处方法,为网络环境下的会计信息系统提供一个良好的社会环境。
四、实际应用——企业ERP系统信息与网络安全性分析
企业的ERP系统几乎覆盖了企业运作的所有部分,包括生产、营销、管理、客服、售后服务等等。因此,在某种程度上可以将ERP系统作为企业中枢系统,统领一切其他子系统,子系统在总系统的分配调度下协调工作,共同为企业整体的运转提供保证。如果中枢系统出现问题,将导致整个企业运转出现问题,甚至导致整个企业的瘫痪,可以说,REP系统的安全稳定对于企业整体的安全有着重要作用。
(一)网络组建模式
目前来看,我国使用REP系统的企业大多为计算机方面的企业,多数采用的都是构建主干网后通过主干网将各个子系统互相联系,子系统彼此之间相互联系,共同构成整个完善系统的网络。这类系统的网络中心一般都在企业总部,以总部为出发点,将分支与子企业相联系,实现网络的互联。作为整体网络重要的环节,总部不仅仅是作为网络的中心,还是整体系统的管理枢纽。尽管不同行业的网络系统在结构功能上会有所不同,但整体上基本结构相同,大致可以分为商务部、信息部和办公部三部分,这些部分在不同企业会承担着不同的责任和义务。
(二)安全需要
企业ERP系统的安全与稳定关系到整个企业能否正常运行,是企业需要特别注重的方面。为了保证系统的安全,不仅仅要保证主系统不受外部干扰,还应确保各个部门之间的联系和资源共享得到安全保证,做到不越权进行彼此互访,防止内部安全系统出现问题。值得注意的是,目前很多企业在进行内部沟通时都会采用电子邮件或者网络系统等方式,这就给一些外来人员提供了一些可乘之机,因此在进行此类的沟通时,企业应该注意保证内部的安全可靠,必要时可以对所交流信息进行加密处理,保证内部资料不被外泄。
(三)系统的安全目标
(1)保证企业内部信息在传递获取过程中保持完整性和独立性,严格控制内部人员对于信息的处理和使用,防止信息外泄。(2)信息在进行交流和沟通时,对于一些重要文件内容的处理应该在得到相关部门允许后才开始分享。保证企业重要信息安全性。(3)控制外来人士对于企业网络的使用和访问,可以通过监察访问人士IP地址的方法对来访人员进行监督,一旦发现可疑人士,马上报告相关部门,针对来访人员特征,采取相应措施进行处理。
(四)信息安全目标
在经济快速发展的现代,信息资源在某种程度上已经成为一种资本,拥有最新消息,最广泛信息来源的企业往往能未雨绸缪,及时规避一些即将到来的风险,最大限度保全企业。因此,企业的信息安全也就显得格外重要,可以说,谁掌握了最新最可靠的信息,谁就拥有了在市场竞争的主动权。一般来说,按照信息的重要程度可以分为以下四类:公共级信息、内部级信息、机密级信息和限制级信息共四类。
(1)公共信息指那些对于企业来说没有重要意义的信息,这种信息可以透露给观众,由于它本身不具有太大价值,它的泄漏也不会对企业产生影响。(2)内部信息比公共信息机密性要高一些,有一些信息对于企业有着一定的利用价值,不是以直接公布给公众。但有些信息可以通过其他方式传递给取到信息获取资格的公众人士。(3)机密信息一般指对于企业有着重要作用的信息,这部分信息需要严格保密,一旦泄露很可能对合作的客户服务商等造成极为不利的影响,因此在企业内部需要进行加密处理,防止外来人士对机密信息随意利用。(4)限制级信息的安全等级最高,需要进行特殊处理,这部分信息在企业内部也应该做周密的保密处理,只能对企业内部特殊人员开放。信息一旦泄露将可能给企业带来毁灭性打击,因此在使用和处理限制级信息的时候,一定做到多重保密手段综合使用,最大化的保证信息的安全稳定。
(五)企业ERP系统的安全体系结构
首先需要满足安全策略,构建一套整体安全稳定的系统,并进行身份识别设置,对于外来人员的访问资格进行限制,这是目前最流行的保护方式,也是最常用的方式之一。其次应该对系统进行授权管理和对访问进行控制。一方面控制物理方面的访问,如采用警报器、安全钥匙等。另一方面保证逻辑访问控制,包括防火墙系统和交换机系统等。最后应该确保信息的保密性和完整性。对信息进行分级设置,保证不同保密等级的信息得到相应保护。参考文献:
[1] 张铁峰,贾丽娜.中小企业内部审计在企业内部控制制度建设中的作用[A].中国内部审计协会2009年度全国“内部审计与内部控制体系建设”理论研讨暨经验交流会三等奖论文汇编[C].2009.
[2] 中国移动浙江公司课题组.内部审计与内部控制体系建设——内部审计在企业开展内部控制评价的实践[A].中国内部审计协会2009年度全国“内部审计与内部控制体系建设”理论研讨暨经验交流会三等奖论文汇编[C].2009.
[3] 陈莹,刘新侠,方鸿.以风险为导向的内部审计在健全内部控制构建全面风险管理体系中的作用[A].全国内部审计理论研讨优秀论文集三等奖论文汇编[C].2011.
[4] 宋伟,曲首晟.商业银行内部审计在内部控制中的作用[A].中国内部审计协会2009年度全国“内部审计与内部控制体系建设”理论研讨暨经验交流会三等奖论文汇编[C].2009.
论文摘要:信息技术在为人类带来益处的同时,也会带来一定的风险。实施会计信息化审计,加强对会计信息化信息系统运作的有效监督,对防范信息系统的风险将起到一定的作用。目前,多数企业,没有充分认识到会计信息化审计的积极意义和效益,对会计信息化审计的必要性认识不足,从而使会计信息化审计工作没有引起足够的重视。本文从会计信息化审计的“目标、特点、策略、前景”四个方面进行分析探讨。
一、会计信息化审计的目标
1.会计信息系统的安全性
会计信息系统的安全性是指组成会计信息系统的硬件、软件、数据资源是否受到妥善保护,不因自然和人为的因素而遭到破坏、更改或者泄漏系统中的信息。会计信息系统的资源通常包括硬件、软件、数据文件、系统文档、消耗性材料和其他设施。这些资源经常放在一处或几处,硬件可能被恶意破坏,软件和数据文件的内容可能丢失或毁损,消耗性材料和数据资源可能未经批准而被使用。会计信息系统的安全是通过建立相应的安全控制措施而加以保护的,评价会计信息系统的安全性,主要是审查会计信息系统的安全控制措施是否健全有效,对于不足之处应提出需要进行改进与完善的建议。
2.会计信息系统的可靠性
会计信息系统的可靠性是由其中的硬件系统的可靠性、软件系统的可靠性及数据的可靠性等因素共同决定的。软件系统的可靠性是指在运行环境中,在规定的运行时间内或规定的运行次数下,程序和所有数据元素运行不同测试用例的无差错概率。硬件系统的可靠性是指在一个指定的时间周期内,在给定的控制条件下,硬件系统执行所需功能的成功概率。数据可靠性是指数据的真实、准确和及时,它取决于系统绝对数据的处理过程是否准确无误,以及确保数据可靠的控制措施是否有效。系统的可靠性还体现在它的容错能力上。对会计信息系统可靠性的评价要检查系统的运行是否稳定可靠、是否容易出现偏差和错误,是否能抵御外界干扰而正常工作。评价会计信息系统的可靠性时,审计人员应对决定会计信息系统可靠性的各项因素进行综合审查和评价。
3.会训信息系统的有效性
会计信息系统的有效性是指该系统能否实现既定的目标、系统的各项处理过程是否符合国家法律和有关规章制度的要求。评价会计信息系统的有效性,必须了解用户的需求。会计信息系统有效性的审计一般在系统运行一段时间之后进行,通过事后审计可确定会计信息系统是否能实现既定的目标,根据审计的结果,管理者可做出相应的决策。
二、会计信息化审计的特点
1.审计的所有领域全面运用现代信息技术
目前,审计在每一领域都还做得不够,如:尚未构筑起适应现代技术发展的一种或多种可能的、可用于解释和预测多种审计现象的多维审计理论—,这种理论将使对审计环境、目标、本质、假设、概念、标准、技术、方法、过程等的论述更新颖、更丰富、更具逻辑性和环境适应力;急需加速我国的审计工作从落后的“绕过计算机审计”向先进的“通过计算机审计”和“使用计算机审计”转化。如何利用现代信息技术管理责任与风险巨大的审计(尤其是独立审计)行业是一个值得探讨的问题,新时期,所有的审计人员都应成为完全意义上的电脑审计人员,而这是审计(后续)教育的重要任务。
2.会计信息化审计系统具有极强的适应性
信息化会计信息系统的多元、实时、开放性使会计信息化审计也具有多元、实时、开放性特征,实时审计、会计责任审计、环境审计、境外审计等都将因此而变得更加容易。
3.会计信息化审计将对传统审计进行重整
尽管“两权分离的程度决定了审计主体的种类和被审计单位的形式”,“审计效率和审计风险的矛盾决定了审计程序和方法的历史变迁”,但如果所有的计算机只囿于会计电算化信息系统的水平,提供的信息单一、过时、封闭,国外的会计师事务所的非审计业务(其必须依赖于多元、实时、开放的信息)收入又怎能达到其总收入的70%(我国仅30%左右)?事实上,正是信息量极大丰富的信息化会计信息系统和全新的会计信息化审计理论,支持了卓有成效的“四大”国际会计公司及其或集权或分权的管理模式,支持了审计效率和审计风险矛盾的最有效的解决,从而支持了现在和将有的多种繁杂的具体业务。
三、会计信息化审计的策略
1.建立会计信息化审计组织机构
会计信息化审计组织机构不健全将会阻碍我国会计信息化审计的发展。为适应未来我国会计信息化审计发展的客观要求,我国应尽快建立自己的会计信息化审计组织机构,按照会计信息化审计的要求组织、协调会计信息化审计工作,规划会计信息化审计的发展策略和职业培训计划,研究会计信息化审计理论、方法、技术和规范,指导会计信息化审计工作。在这项工作的起步阶段,政府应加强领导力度,从宏观上搞好规划安排,从资金和技术上扶持会计信息化审计,有效规划、部署和指导我国的会计信息化审计工作。2.加强会计信息化审计理论研究
审计理论来源于审计实践,又反过来指导、促进审计实践,二者不可偏废。没有审计实践,审计理论无法产生,没有审计理论指导的实践会走弯路。因此,要在审计实践中善于及时发现、总结规律性的问题,将其上升到理论的高度。国内学术界、政府研究机构应当加强会计信息化审计的理论研究,积极开展学术交流,密切关注国际会计信息化审计的最新发展动态,不断发展与完善会计信息化审计理论,从而更好地为会计信息化审计实践活动提供指导,促进我国会计信息化审计事业的发展与繁荣。
3.制定会计信息化审计准则
会计信息化审计同传统财务审计相比,在审计对象、审计目标、审计内容等方面均有所不同。为了规范会计信息化审计业务,明确工作要求,保证执业质量,应研究和制定我国的会计信息化审计准则和实务指南。会计信息化审计发展到一定阶段,必须由行业组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定和统一起来,形成行业标准和规范。
4.强化企业领导加强管理与控制的观念
树立企业领导的信息化会计信息系统管理意识是开展会计信息化审计工作的关键。因此,企业主管部门在充分领会国务院有关“国民经济信息化”指示精神,认真抓好企业信息化建设的同时,还必须注重对企业领导进行会计信息化系统管理与控制的思想教育,促使企业领导从企业生存与发展的高度来认识会计信息化审计的重要意义,重视会计信息化审计工作,将会计信息化审计作为一项重要工作来抓。
5.大力培养会计信息化审计人才
从内部讲,一是强化培训。各级审计机关要拥有完备的培训基地,从自己的需要加强不同岗位的适应性培训;二是重点选拔。即有重点地选派一些“尖子”人才进高校深造,进行知识更新,或参与国际技术交流和技术合作,在实践中不断增长才干;三是完善机制。要逐步形成能有效鼓励各类人才脱颖而出,能最大限度地挖掘,激发各类人才智力潜能的运行机制,使知识最终能作为最重要的生产要求参与分配。
6.加大会计信息化审计的宣传力度
开展会计信息化审计的主要障碍之一是对会计信息化审计的必要性认识不足,必须加大会计信息化审计的宣传力度,如实宣传网络环境下重构后的会计信息系统所带来的风险,大力宣传会计信息系统控制的重要性,让更多的经营管理者,真正认识到开展会计信息化审计的必要性,增强会计信息化审计的迫切性,促进社会舆论对会计信息化审计的理解与支持,进而推动会计信息化审计工作的开展。
作者单位:河南工程学院
参考文献:
[1]谢诗芬.高级财务会计问题研究[M].四川:西南财经大学出版社,2004.45-52.
[2]胡仁显.自助式会计信息系统[M].上海:立信会计出版社,2003.78-82.
关键词:信息系统开发;安全策略;网络技术
中图分类号:TP399文献标识码:A文章编号:1007-9599 (2012) 02-0000-02
Analysis of Security Policy of Information Systems Development
Ling Bin1,Wang Donghong1,Chi Yan2
(1.Northeast Forestry University,Harbin150040,China;2. Heilongjiang University of Chinese Medicine,Harbin150040,China)
Abstract:Along with our country to the application of computer network technology and the deepening of information system.has gradually become the planning construction and management process is the most important one of systems.And the system to have strict security requirements. security goal is very clear.Based on the information system to conduct a comprehensive safety management and construction safety plan.can satisfy the management and technology of double security needs.Therefore.how the information system development process of application security strategy.in order to improve the information system for the overall safety performance also gradually become information system developers and builders focus.In this paper,the information system development process of the safety planning and building construction safety management are analyzed.Presents practical information system security strategy.
Keywords:Information system development;Security strategy;Network technology
现阶段,计算机网络技术已经在设计、科研、生产和办公能方面得到了较为广泛的应用,且发挥出了越来越重要的作用。计算机网络技术中,信息系统的广泛应用给人们的工作和生活带来了极大的便利,但与此同时,也对其保密性和安全性提出了较大的挑战,如何提高信息系统的安全性也成为了信息系统开发者工作的重点。在信息系统的规划建设过程中,建设前的安全规划与实施后持续、完善的安全管理都是提高信息系统安全性较为有效的措施。
一、信息系统的建设安全规划
信息系统中的建设安全规划应主要体现在数据安全、运行安全、系统安全和物理安全这四个方面。
第一,数据安全,即在信息系统使用过程中,尤其是传输数据时,要通过适当的密码措施来对数据的安全性进行保护,防止数据泄露问题发生。在数据加密后,即使数据在传输过程中被截获或是入侵,由于截获的是密文,所获信息也是无效的。
第二,运行安全。要恰当处理信息系统应用所面对的安全问题,在系统开发时应采取病毒防护、身份鉴别、安全审计、漏洞扫描、入侵检测、防火墙等保护措施。防火墙能够在网络的出口部位对网络通讯的安全性进行检查,按照安全规则的要求,信息系统不仅要确保内部的安全性,还要保证系统外部的安全性,将网络的外部与内部相隔离,从而提高整个系统的安全性。通过设置与防火墙相关联的病毒入侵检测系统,能够对信息数据进行实时保护,对进出系统的数据都要进行实时分析,及时发现并阻断外界的攻击,从而降低网络隐患。漏洞扫描系统能够对口令/账号、服务器主机、网络系统等存在的威胁、漏洞和安全隐患进行扫描和报告,并及时地采取主动的安全措施和补救行动,从而提高系统安全性。安全审计系统能够对使用信息系统的所有用户的活动进行监控和数据收集,供系统管理者审查用,从而提高系统的管理效率。身份鉴别系统是安全系统的关键部分,能够对用户是否合法进行主动的判断,且口令与智能卡相结合的鉴别方法能够大大提高系统安全性,也便于应用。为应对计算机病毒问题,信息系统还应设计病毒防护措施,实时监控病毒的攻击和入侵情况,对整个系统进行全面的监控,但要注意在使用时要及时更新病毒信息,定时对计算机运行环境进行检测。
第三,系统安全,主要包括应用系统与操作系统的安全性。在选择应用系统时,要对定制软件和通用软件都进行风险检测,及时发现和处理系统中存在的问题和安全隐患。而对于操作系统,则要选用具有较高安全性的系统,同时进行必要的安全设置。
第四,物理安全,这一部分是保证整个系统安全性的基础,因而要符合国家的相关规定。首先该系统要满足防静电、防雷、温湿度、配电、布线、电力、防震、防水、防火、场地等的要求。其次,要保证整个系统能够安全使用,且符合国家相关标准。最后,还要保证该系统所使用的安全设施,必须是符合国家标准的设备,并具有国家保密部门的审批合格证明。
二、系统的安全管理
安全的系统管理能够为信息系统的安全有效运行提供保障,也是系统安全运行的基础,要提高信息系统的安全性,保障其顺利稳健的运行,在管理和设计方面应做到以下几点:
(一)人员管理
人员管理主要涉及外部人员的管理和内部人员的管理两个部分,系统内部的操作使用者和管理者是造成信息系统安全隐患的关键因素,因此,在选择内部管理人员时,必须要对其职业道德、政治思想状况、社会关系、个人经历等进行核查,保证系统人员的可靠性和安全性。同时,还要使其明确工作职责,在进行系统操作时按照职责要求进行。除此之外,还要对系统操作者和使用者的安全知识和安全意识进行培训,如退出和登录等基本操作的规范化和保密意识的培养等。对于系统管理者来说,其所掌握的安全知识和相应的安全管理水平要更加完善,包括对于违法入侵的防范和鉴别能力、系统的管理和维护能力等。外部人员指能够进入该系统进行服务和维修的人员,对于这部分人员的管理包括旁站陪同控制、携带物品限制、安全控制区域隔离、保密要求知会等几方面。
(二)安全管理制度的制定
系统安全策略和安全管理制度的制定能够提高系统运行的可靠性和安全性。安全管理制度主要包括:人员安全管理、应急响应措施、安全审计管理、开发与运行管理、恢复与备份管理、恶意代码防护措施、病毒防护措施、移动设备管理措施和运行环境管理措施等。系统安全策略主要包括:应急响应策略、保护信息完整性策略、系统安全管理策略、系统安全检测策略、运行管理策略、身份鉴别策略、恶意代码防护策略、病毒防护策略、恢复与备份策略和安全审计策略等。
(三)设置安全管理机构
安全管理机构的设置目的主要在于:第一,对信息系统的保密性和安全性进行定期的检测和提升。第二,安全保密措施的制定和实施管理。第三,制定和实施信息系统的安全策略和保密管理制度,主要包括管理策略和技术策略两部分。
三、总结
综上所述,信息系统通常主要由网络通信、共享服务和应用操作三个基本部分组成,全过程的网络通信保护系统、资源共享的边界保护和可靠的操作应用平台,三方面共同组成了具有固定工作和使用流程的生产和信息管理系统,能为信息的安全性提供充分的保障。在今后的信息系统开发中,还可在检测引擎中适当加入检测隐通道,从而避免信息生产系统存在隐蔽通道的问题,这也是今后信息系统开发工作的重点内容。
参考文献:
[1]闫树.信息系统的安全策略及若干技术研究[D].武汉理工大学硕士学位论文,2009
[2]薛丽.综合信息管理系统中的安全策略及其应用研究[D].大连理工大学硕士学位论文,2008
【关键词】 信息系统审计;审计规范;案例分析
信息技术正在扩展审计的内涵与外延。与早期的审计相比,现代审计的“对象”、“目标”以及“目的”已经发生了很大的变化,以行为、过程和系统等为审计主体的“非信息审计”变得越来越重要。我国在相关审计法规的指引下,信息系统审计实践也正在如火如荼的开展,但通过对相关案例的分析可以发现,信息系统审计实践存在不少的问题。本文就某航空公司的收入结算系统审计项目进行案例分析,透视信息系统审计实践存在的问题,并对政策制定提供相关的建议。
一、某航空公司的信息系统审计项目
某航空公司的审计项目是2005年的重点审计项目之一,其目的是要为实现“真实、合法、效益”的审计目标奠定基础。开展信息系统审计是抓住该集团特点,培育项目亮点,把这个项目做成精品的重要举措之一。信息系统到底怎么审,怎么评价,审计人员想到找一条别人走过的路子,照猫画虎。但查阅信息系统审计的相关资料,看到的基本上是国外对信息系统审计的理解与做法,与我们的审计有较大的差别,如果直接硬套过来,只能是东施效颦;询问相关的专业人员,大家都没有类似的经验。经过几次讨论,审计组决定首先找对某航空公司信息系统实施管理的规则发展部、信息技术中心两个部门的领导进行一次深谈,听听他们对A航空公司信息系统的评价,希望从中理出一些思路,再进一步确定具体工作方案。与被审计单位部门领导谈话进行得比较顺利,审计人员也渐渐理出了自己的工作思路:企业的信息系统体现的是企业的管理理念。这次信息系统审计应该主要抓住以下方面:首先是该航空集团信息系统的规划、建设、管理与整个公司的发展是否相适应,信息系统资源的整合是否能够跟上公司其他资源高速整合的步伐;其次是公司信息系统的功能是否能够满足业务特点的要求;再次是结合在数据审计中发现的大量数据问题,特别是数据整理中再现的问题,来考察信息系统中存在的问题。但在实际问题的处理过程中也存在着诸多困难,无现成的案例和信息系统审计规范可借鉴。为了确保审计目标的实现,审计组开展了信息系统审计。在系统审计的探索中,审计人员根据调查了解的情况,在数据分析的基础上,通过跟踪被审计单位的业务过程和数据处理流程,发现了被审计单位收入结算系统中存在的非法销售暗扣处理模块,具体信息系统审计过程包括:一是数据分析,发现问题线索;二是通过数据对比,求证问题线索;三是跟踪业务过程,发现暗扣代码文件;四是跟踪数据处理流程,发现暗扣模块。最终通过对某航空公司收入结算系统的审计发现,进入系统的原始数据由面额逐步转变为毛额和净额,系统以最后的净额与人结算,并生成运输报告传递到财务系统确认收入,从而实现了航空公司暗扣销售和净额结算。至此,该信息系统审计项目也宣告结束。
二、案例分析
由上述案例过程可知,我国对企业信息系统审计还处于探索阶段,在审计实务中到底如何开展信息系统审计还缺乏有说服力的案例和行之有效的办法,更不要说具有可操作性的完整的信息系统审计规范体系。总体来讲,笔者认为从上述案例可以反映出当前我国信息系统审计规范体系还存在着如下几个方面的缺陷。
(一)没有完整可借鉴的由权威机构制定的信息系统审计规范
信息系统审计规范是信息系统审计经验的总结,是对审计活动内在规范的反映,审计人员按照信息系统审计规范所确定的程序、步骤、技术和方法开展工作,能够少走弯路,提高信息系统审计效率,保障信息系统审计工作科学、有序、高效地运行,全面实现信息系统审计目标,降低信息系统风险,同时也可降低财务审计、绩效审计以及环境审计等风险。而上述案例也说明我国信息系统审计尚处于探索阶段,在信息系统审计实践中缺乏有说服力的案例,根本谈不上完善的信息系统审计规范体系,而在国外却存在如ISACA这样的机构去提供完整的信息系统审计准则、指南和审计程序,至2010年4月其已经了16项基本准则,41项审计指南和11项作业程序。因此,国家相关部门应整合信息系统审计规范制定的实践与理论资源,在借鉴国外信息系统审计规范的基础上,推进我国信息系统审计规范体系制定的进程。
(二)信息系统审计的开展缺乏计划,不存在后续审计阶段
对信息系统的审计是一个过程,包括信息系统审计计划、实施、审计报告以及后续审计阶段,而在上述案例中,对信息系统的审计是一个摸索的过程,根本谈不上信息系统审计计划。凡事预则立,不预则废。无论是国家审计,还是注册会计师审计,同样需要制定信息系统审计计划。《内部审计具体准则第28号――信息系统审计》中指出,内部审计人员在执行信息系统审计之前,需要确定审计目标并初步评估审计风险,估算完成信息系统审计或专项审计所需的资源,确定重点审计领域及审计活动的优先次序,明确审计组成员的职责,并以此制定信息系统审计计划,除此之外第28号具体准则没有作详细深入的阐述。在ISACA的审计准则体系中,关于审计计划的基本准则有审计计划(S5)、审计计划中风险评估的运用(S11)和审计重要性(S12);审计指南有信息系统审计中的重要性概念(G6)、审计计划中风险评估的运用(G13)以及信息系统审计的计划(G15);审计程序中有信息系统风险评估(P1)等可供借鉴与参考,并且ISACA对审计计划的相关准则、指南和程序进行了详细深入的阐述,以利于引导和约束审计人员的审计行为。
审计报告的签署并不意味着信息系统审计的终结。上述案例不存在后续审计阶段,这与缺乏信息系统审计规范的指导是分不开的。在ISACA的审计准则体系中,后续审计方面的准则包括基本准则后续工作(S8)以及审计指南后续工作(G35)等。根据ISACA审计标准,审计人员对于在信息系统审计中发现信息系统的重大问题和漏洞,并提出改进意见后,可对被审单位所采取的纠正措施及效果进行后续审计。如果审计建议如期落实,则实现了信息系统审计的目标,也意味着信息系统审计意见得到了被审计单位的认可;如果审计建议没有落实,应耐心听取被审计人员的反馈意见,对于落实的难点问题,审计部门应反映给高级管理层,请其协助落实。此外,对于不切实际的审计建议,审计组成员应该分析原因,以利于下一次审计项目的改进。因此,后续审计阶段对于信息系统审计同样重要,而在上述审计案例中,对A航空公司收入结算系统的审计根据不存在后续审计阶段。
(三)信息系统审计出于“真实、合法、效益”的审计目标
我国开展的信息系统审计与西方的信息系统审计在目标上存在着差异,我国审计部门开展信息系统审计主要是为“真实、合法、效益”的审计目标服务的,主要关注信息系统影响被审计单位的合法经营、财务核算、经营效益等方面的问题,还没有达到审查信息系统安全、可靠、有效和效率以及能否有效地使用组织资源、实现组织目标的层次。因此,对于信息系统审计,在很大程度上主要是根据数据审计的需要开展。随着企业信息化、政务信息化等的发展,信息系统的安全审计、生命周期审计以及软硬件审计等变得越来越重要,其重要程度在很多时候已经超过了出于“真实、合法、效益”审计目标的信息系统审计。我国信息系统审计及规范的发展不能只是停留在“真实、合法、效益”审计目标的基础上,这样只能限制信息系统审计的范围,我国的信息系统审计实践也没有办法拓展到对信息安全保护、软件系统开发以及商业流程评估及风险管理等的审计实践上来。
(四)缺乏信息系统审计项目的质量控制准则
我国在信息系统审计项目方面的质量控制准则尚处于空白状态。虽然国家审计署、中注协和内部审计协会都颁布了一些关于审计质量控制的准则或规范,但这些规范不是针对财务审计的,就是针对会计师事务所质量控制的,而专门针对信息系统审计项目的质量控制基本上还处于空白状态。因此,上述案例在信息系统审计过程中,基本上不存在任何质量控制措施,这也对我国提出了尽早制定与颁布信息系统审计质量控制方面相关的规范。否则,在信息系统审计市场上将出现一个一般化的“格雷欣法则”,即劣等品驱逐优等品,其结果是出现卖方与买方勾结,按照买方的要求设计信息系统内部控制规范(刘杰,2010)。一般化的“格雷欣法则”也不利于我国信息系统产品市场和信息系统审计市场的规范。
三、启示及政策建议
通过上述对某航空公司收入结算系统审计案例的分析可知,我国信息系统审计实践尚处于起步阶段,还存在着诸多问题。为规范信息系统审计行为,加强对信息系统审计实践的指导,信息系统审计规范的制定与是关键。信息系统审计规范是一种公共品,政府机构或相关职业团体在信息系统审计规范制定过程中扮演着重要的角色。因此,笔者认为我国政府应从如下几个方面作出努力。
一是以《2004至2007年审计信息化发展规划》与《审计署2008至2012年信息化发展规划》中提出的整合审计资源思想为契机,抽调中国注册会计师协会、国家审计署以及中国内部审计协会相关信息系统审计制定的人力、物力和财力,成立专门的信息系统审计规范制定机构。
二是在借鉴国外诸如ISACA以及IIA等信息系统审计资源的基础上,吸引我国信息系统审计实践中已经并实践的信息系统审计操作规则,结合我国信息系统审计实践,出整、系统的信息系统审计规范体系。完善、系统的信息系统审计规范有利于指导信息系统审计人员在审计计划、审计实施、审计报告以及后续审计阶段的审计行为。同时,信息系统审计目前属于非强制性审计的范畴,审计质量控制准则往往容易被忽视,而忽视审计质量控制准则的制定与在某种程度上会导致信息系统审计市场上“格雷欣法则”的出现。因此,在信息系统审计规范体系中,不应忽视信息系统审计质量控制准则的制定与。
三是在信息系统审计规范体系制定的过程中,应将信息系统审计规范应用的范围扩展,不能仅仅服务于财务审计。如果仅仅服务于财务审计,则制定与的信息系统审计规范不能很好地服务于信息系统生命周期审计、软硬件审计、信息系统安全审计等其他信息系统审计活动。
四是加强信息系统审计实践案例的调查研究,从信息系统审计实践中总结出一些典型信息系统审计案例,用以指导和规范信息系统审计人员的审计行为,防止信息系统审计实践人员在从事信息系统审计活动时,陷入不知所措的境地。
【参考文献】
[1] 刘汝焯,任有泉.计算机审计情景案例选[M].清华大学出版社,2006.
一.注册会计师审计风险日趋增加的必然性
1.审计报告的公开化,使关注注册会计师审计的群体增加;而公众对审计的期望过大,依赖程度过高,无形中增加了注册会计师审计的审计风险。
到目前为此,我国的上市公司达1000多家,按照证监会的有关规定,上市公司每年均应由注册会计师进行年审,并将审计报告在报刊上公布。审计报告的公开化,使越来越多的利益群体开始关注注册会计师行业,监督他们的工作。同时,由于公众对注册会计师审计行为的性质、审计报告的意义存在着误解,混淆了被审单位的会计责任和注册会计师的审计责任;或者公众对审计的期望值与审计实际所起的作用之间存在着差距。因此,在现实生活中人们自然而然地、不或避免地将所有的过错者推到注册会计师身上,进而又使更多的群体不能满意注册会计师的审计工作或对他们的审计工作更为挑剔,这些无形中增加了注册会计师审计的风险。
2.法律界和会计界对审计责任的界定标准未能达成共识、法庭多次出于保护弱小群体的目的而运用深口袋理论造成对注册会计师的不利判决,进一步加大了注册会计师的审计风险。
会计界认为,在一般情况下,只要审计人员严格遵守专业标准的要求,保持职业上应有的认真和谨慎,通过实施适当的审计程序和审计方法,是能够将会计重大的错报事项揭示出来的。但是,由于审计的固有限制,并不能保证将所有的错报事项都提示出来,所以并不能苛求审计人员发现和揭示会计报表中的所有错报事项,因而也不能要求他们对于所有未查出的错报事项都负责任,关键在于未能查出的原因是否源于审计人员本身的过失。如果由于审计人员的过失未能发现和揭示会计报表中的重大错报,从而给委托单位和第三者造成了经济损失,注册会计师则要承担相应的法律责任。而法律界与公众则认为只要审计报告意见与被审单位的实际情况不符,则应承担法律责任。而且,实际上法庭在受理对注册会计师的诉讼时,较倾向于保护所谓的弱小群体,强调均衡损失,运用了深口袋理论(注:认为受伤害的一方可向有能力提供补偿的另一方提出诉讼而不问过错为谁)。认为会计师事务所和注册会计师盈利丰厚,完全有理由从其丰厚的收入中拿出一小部分来稳定受损方的情绪,以安定团结,稳定经济。法庭的这种判决,使会计师事务所和注册会计师无法摆脱不合理的风险困扰。
3.知识经济时代将对注册会计师的审计工作提出不同于工业经济时代的要求,这也必然会加大其审计风险。
当前,高新技术企业不断地涌现出来,高新技术企业一方面由于知识技术的创新而增加了企业的收益,但与此同时也加大了企业的经营风险。另外,知识经济时代的审计目标将不再象工业经济时代那样仅仅局限于对企业会计报表发表审计意见,而是在很大程度上借助于各种信息来预测企业盈利能力、偿债能力、持续经营能力等,对审计人员提出了更高的要求。因此,对高风险企业的审计必然为注册会计师带来更大风险。
4.会计电算化的应用和网络技术的发展,与电算化审计的研究开发的相对滞后之间的矛盾,为审计人员在计算机信息系统环境下的审计工作带来了不同于传统手工环境下的审计风险。
利用计算机信息系统处理企业的经济业务具有数据处理过程自动化、数据存储磁性化、内部控制程序化等特点,会计信息的生成方式发生了改变。因此,利用传统的审计程序和方法对在计算机系统环境下生成的会计报表进行审计已经远远不够。审计人员除了对传统的诸如会计报表、账册凭证等审计对象进行审计外,还应对计算机会计信息系统本身进行审计,即审查计算机内的程序和文件。只有开展计算机辅助审计,才能对被审计的会计电算化系统作出客观的、公正的评价。但是,目前审计电算化的研究才刚刚起步,相对滞后于会计电算化。另外,由于审计工作本身的不规范,或者规范性的要求因未能得到重视而没有很好地执行,这也为开发研究计算机辅助审计软件和应用计算机进行辅助审计带来了难处。会计师事务所的审计人员对利用计算机信息系统处理经济业务的企业进行审计时缺少计算机辅助审计环节,将为他们的审计结论意见带来难以预测的风险。二.降低注册会计师审计风险的对策
1.分清被审单位的会计责任和注册会计师的审计责任。
对于注册会计师审计日趋增大的风险,笔者认为注册会计师除了严格遵守专业标准和职业道德守则的要求,保持职业上应有的认真和谨慎之外,还应注意通过分清企业会计责任和注册会计师的审计责任来转移本不属于注册会计师应承担的会计责任。一方面,注册会计师在与客户签订约定书时,须写明委托方对提供资料的完整性和真实性负责等内容,并对全部审计业务均要求管理当局提交一份声明书,以防止委托方提供虚假证据;或者在委托方提供虚假证据,而由于其舞弊技术的高明并加以精心的掩饰,审计人员即便采取了标准的审计程序和也没能查出的情况下,作为委托方应承担会计责任的依据。现在,已经有越来越多的会计师事务所及注册师对此给予了足够的重视,关键在于怎样才能使其内容严密,不致于形同虚设。另一方面,会计师事务所、注册会计师协会应从保护注册会计师利益出发,不断地完善有关权利义务的法规,不断地与法律界沟通,使法律界能够认同审计责任的界定标准,帮助注册会计师反击那些毫无根据地扩大注册会计师责任的诉讼,进而影响公众对区分会计责任和审计责任的理解和认同。
2.建立保障制度,增强会计师事务所和注册会计师的风险承受能力。
论文摘要:企业内部会计控制是企业为了保护资产的完整、安全,提高会计信息质量,确保有关规章制度和法律法规及提高管理效率,降低或避免风险。本文通过对信息化背景下企业内部会计的现状进行分析,针对存在的问题提出相应的解决措施,对规范财务管理,规避经营风险,提高企业市场竞争力具有重要的意义。
随着网络通讯技术和计算机技术的快速发展,企业的信息化对传统财务监控理论产生越来越大的影响,对企业的经济活动产生的影响也越来越大,信息技术在企业财务会计工作中的广泛应用,对企业信息化背景下的企业内部会计控制提出了新的要求。
一、 企业内部会计控制的现状及概念
(一) 企业内部会计控制的含义
企业内部会计控制是指为了保护资产的完整、安全,提高会计信息质量,确保有关规章制度和法律法规,提高经营管理效率,降低或避免风险,实现企业经营管理目标而制定和实施的一系列控制的措施、程序和方法。企业内部会计控制内容主要包括实物资产、货币资金、工程项目、对外投资、筹资、成本费用、付款与采购、销售与收款、担保等经济业务的会计控制。
(二) 企业内部会计控制的现状
1.企业内部会计控制意识薄弱,使得企业内部会计控制制度没有得到很好地执行
目前,我国多数企业对健全企业内部会计控制没有引起足够的重视,认为企业内部会计控制是内部资产安全性控制制度、内部成本控制制度,认为企业内部会计控制制度制约了企业的快速发展等,认为企业内部会计控制制度就是制度、文件和手册;有的企业建立有企业内部会计控制制度,内容很不全面,往往流于形式;有些企业在进行经济业务处理的过程中,往往以强调灵活性为由执法不严、有章不循,不按规定程序办理使企业内部会计控制制度失去了严肃性和应有的刚性;建立企业内部会计控制制度就要耗费物力、人力,但是这种物力、人力的耗费能否给企业带来经济效益很难确定,因此对建立企业内部会计控制制度缺乏主动性、积极性,在一定的程度上影响着企业内部会计控制制度。
2.企业会计信息系统影响着企业内部会计控制制度
随着计算机信息技术的发展,会计信息系统在企业在的发展和运用也越来越广泛。会计信息系统是财务信息和企业经营业务在计算机系统下的有机结合。要使会计信息系统很好地运作,要求对信息系统的流程进行严格的控制,也要保证数据完整精确,真实可靠,它对现代企业内部会计控制制度具有重要的作用。
信息系统在现代企业中的地位是不容忽视的,企业所有的经营与财务数据都会集中在信息系统中,有部分企业信息系统比较落后,有的没有及时更新或升级。企业的信息系统不够全面、安全、先进,这样就会给想进行财务舞弊的人员篡改或盗取数据提供了机会。
3.企业信息化对企业内部会计控制提出了新的要求
信息系统的实施能准确及时地反映出企业的经营成果和财务状况,也能反映出市场的变化等因素对企业的影响。财务决策时所需要的信息要求是内容丰富、及时高效,这样依靠传统的财务信息提供方式是很难满足要求的。
财务人员是企业内部控制的主要执行者,企业内部控制的核心是人。企业信息化对财务人员提出了新的要求,对企业会计控制提出了新的挑战。实施信息化的企业要突破传统观念,及时取得各种控制信息,实现从事后监控向实时连续监控转变,对发生的变化及时做出反应,并快速进行处理和纠正。
二、企业信息化背景下做好企业内部会计控制的应对措施
(一)增强企业管理层对企业内部会计控制重要性的认识
要加强对企业管理层和员工的宣传和培训工作,使企业的所有人员了解企业内部会计控制的积极作用和基本原理,为实施企业内部会计控制营造好的社会环境和舆论氛围。需要培训的人员不仅包括财会人员,还应该包括单位负责人,要使企业的负责人真正认识到建立内部会计控制制度是实现科学管理,建立现代企业制度的需要,也是会计法的要求,它对保护企业资产的完整、安全,确保有关法规的执行,提高会计信息质量有着非常重要的意义。
(二) 完善内部审计措施,加强内部审计力度
随着信息系统在企业中的应用,内部审计已经显得非常重要,内部审计在为改进内部控制制度提供建议、对内部控制的状况做出全面评价、监测公司内部控制制度的运转、对这些内部控制的评价等方面有着非常重要的作用。
企业要组织人员对信息化下的内部审计进行研究,围绕税法,结合实际,不断改进内部会计控制工作,进一步完善会计工作流程,不断完善和规范信息化下的内部会计控制制度。
(三)减少工作环节,简化工作流程,提高工作效率
信息化背景下,公司应对数据处理的过程和方法,信息系统的安全性的控制都必须加强规范,保持一定的相对稳定性和准确性。为了保证信息系统的安全性和及时性,应当减少工作环节,简化业务工作流程,有利于内部会计控制。通过减少业务工作流程,能够有效保证会计信息质量的及时性,还可以使公司合理避税。
(四)努力提高会计人员的技能
会计人员是计算机专业人员不可替代的,是企业信息化系统的主人,这就需要会计人员努力提高各种基本技能。企业为了能更好地适应外部环境要不断地进行流程升级,相应地企业内部会计控制也要进行相应地完善。这就要求财务人员要积极地应用信息化系统知识,为企业提供有远见的、可靠的信息参考。在信息化背景下,财务人员要对业务流程进行实时财务监控,为企业领导层提供实时财务信息。
参考文献
[1]樊荣.企业内部控制存在的问题及对策[J].经济导刊,2009(7)
由于会计电算化是一项系统工程,在发展过程中有许多工作要做,有许多问题要及时解决,否则将严重阻碍我国会计电算化向更深层次的发展。下面就当前我国会计电算化进程中必须重视和需要解决的几个问题进行探讨。
1目前我国会计电算化工作中存在的问题
1.1会计信息的完整性和可用性还不够完善
1.1.1会计电算化未能站在企业管理信息化的高度进行研究。因过分注意软件的会计核算功能,而轻视了财务管理和控制、决策功能。会计软件相对于传统的思维方式,模拟手工核算方法,缺少管理功能。财务系统大多以记账凭证输入开始,经过计算机处理,完成记账、算账、报账等工作,并局限在财务部门内部。目前流通的会计核算软件大多功能在提高财务信息系统的范畴,只能完成事后记账、算账、报账以及提供初级管理功能,不具有事前预测、事中控制、事后分析决策等管理会计功能。近年来虽然倡导发展管理型会计软件,但由于各种原因,一般只从财务管理的要求出发,未能达到较为理想的效果。
1.1.2会计信息系统与企业管理信息系统未能有机结合。会计信息系统不仅与生产、设备、采购、销售、库存、运输、人事等子系统脱节,而且会计软件内部各子系统也只以转账凭证的方式联系。从而造成数据在内外子系统之间不能共享,信息不能通畅,既影响财务管理功能的发挥,又不能满足企业对现代化管理的需要。在综合的企业管理信息系统中会计子系统应该从其他业务子系统获取诸如成本、折旧、销售、工资等原始数据,提高数据采集效率和管理能力各业务子系统也应从财务子系统取得支持,但由于各自独立发展,互相之间不能实现数据共享,往往一个子系统的打本论文由整理提供印输出成了另一个子系统的键盘输入。许多商品化会计软件在开发时,没有统一规划,而是采用单项开发,再通过“转账凭证”的方式传递各种数据,未能形成一个有机的整体,各个核算模块是彼此孤立的“孤岛”。
1.1.3会计信息系统仍然是个封闭式的系统。会计系统的开放性除了体现在企业内部各子系统之间的信息共享之外,更体现在会计向外界披露信息的内容和方式上。但目前会计信息系统既不能通过Internet网络向股东财务报表等综合信息和明细信息,也不能通过网络直接向税务、财政、审计、银行等综合管理部门提供信息,更不能有选择地披露相关的人事、技术、设备以及股东所关心的其他信息。此外,普遍存在支持跨网集团的多方业务,使财务信息资源的价值得不到充分利用。
1.2会计信息的保密性和安全性较差
会计电算化是建立在计算机网络技术和安全技术等信息技术基础之上的,会计信息是以足够的安全技术为保障,以一定的计算机硬件支撑。在相应的软件管理下在网络中流通、存储和处理,并最终以人们需要的形式变现出来。随着计算机应用的扩大,利用计算机进行贪污、舞弊、诈骗等犯罪现象屡见不鲜。在会计电算化环境下,会计信息以各种数据文件的形式记录在磁性存储介质上,这些存储介质上的信息机器可读形式存在的,因此很容易被复制、删除、篡改,而不留下任何痕迹。数据库技术的高度集中,未经授权的人员可以通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的财务数据。可见会计电算化犯罪是一种高科技、新技术下的新型犯罪,具有很大的隐蔽性和危害性,使会计信息安全风险大大增加。
1.3会计人员计算机操作业务素质较低
目前,不少单位的电算化人员是由过去的会计、出纳等经过短期培训而来,他们在使用微机处理业务的过程中往往很多是除了开机使用财务软件之外,对微机的软硬件知识了解甚少,一旦微机出现故障或与平常见到的界面不同时,就束手无策,即使厂家在安装会计软件时都作了系统的培训,但一些从未接触过计算机的会计人员入门还是很慢,而且在上机时经常出现误操作,一旦出错,可能就会使自己很长时间的工作成果付诸东流,使系统数据丢失,严重的导致系统崩溃,这种低素质的会计人员是不能胜任会计电算化工作的。
2改进会计电算化工作的对策
2.1要解决人们对会计电算化的思想认识问题
我国电算化事业起步较晚,人们的思维观念还未充分认识到电算化的意义及重要性。多数单位电算化都是应用于代替手工核算,仅仅是从减轻会计人员负担、提高核算效率方面入手,根本未认识到建立完整的会计信息系统对企业的重要性,使现有会计提供的信息不能及时、有效地为企业决策及管理服务。
2.2要做好管理基础工作,尤其是会计基础工作
管理基础主要指有一套比较全面、规范的管理制度和方法,以及较完整的规范化的数据;会计基础工作主要指会计制度是否健全,核算规程是否规范,基础数据是否准确、完整等,这是搞好电算化工作的重要保证。因为计算机处理会计业务,必须是事先设置好的处理方法,因而要求会计数据输入、业务处理及有关制度都必须规范化、标准化,才能使电算化会计信息系统本论文由整理提供顺利进行。没有很好的基础工作,电算化会计信息系统无法处理无规律、不规范的会计数据,电算化工作的开展将遇到重重困难。管理人员的现代化管理意识,在整个企业管理现代化总体规划的指导下做好会计电算化的长期、近期发展规划和计划并认真组织实施,重新调整会计及整个企业的机构设置、岗位分工,建立一系列现代企业管理制度,提高企业管理要求。还要修改扩建机房,选购、安装、调试设备,自行开发或购买会计软件,培训会计电算化人员,进行系统的试运行等等工作。以上所列的各项工作必须做好,否则电算化会计系统将不能正常工作,有损于会计电算化的整体效益并使其不能深入持久地开展下去,会计和企业管理现代化将无法实现。新晨
2.3要加强会计信息系统的安全性、保密性
财务上的数据往往是企业的绝对秘密,在很大程度上关系着企业的生存与发展。但当前几乎所有的软件系统都在为完善会计功能和适应财务制度大伤脑筋,却没有几家软件公司认真研究过数据的保密问题。数据保密性、安全性差。为了对付日益猖獗的计算机犯罪,国家应制定并实施计算机安全法律,在全社会加强对计算机安全的宏观控制,政府主管部门还应进一步完善会计制度,对危害计算机安全的行为进行制裁,为计算机信息系统提供一个良好的社会环境。对于重要的计算机系统应加电磁屏蔽,以防止电磁辐射和干扰。制定计算机机房管理规定,制定机房防火、防水、防盗、防鼠的措施,以及突发事件的应急对策等。
必要的内部控制:在电脑网络环境下,某些内部人员的恶意行为及工作人员的无意行为都可能造成会计信息的不安全性,因此建立内部控制制度是必要的。第一,实行用户权限分级授权管理,建立网络环境下的会计信息岗位责任。第二,建立健全对病毒、电脑黑客的安全防范措施。第三,从电算化网络软件的设计入手,增加软件本身的限制功能。第四,建立会计信息资料的备份制度,对重要的会计信息资料要实行多级备份。第五,强化审计线索制。第六,建立进入网络环境的权限制。
增强网络安全防范能力:网络会计实现了会计信息资源的共享,但同时也将自身暴露于风险之中,这些风险主要来自泄密和网上黑客的攻击等。为了提高网络会计信息系统的安全防范能力应采用一些措施,例如采用防火墙技术、网络防毒、信息加密存储通讯、身份认证、授权等。
加强数据的保密与保护:在进入系统时加一些诸如用户口令、声音监测、指纹辨认等检测手段和用户权限设置等限制手段,另外还可以考虑硬件加密、软件加密或把系统作在芯片上加密等机器保密措施和专门的管理制度,如专机专用、专室专用等。加强磁介质载体本论文由整理提供档案的管理:为确保档案的真实性和可靠性,实行纸质档案和新型载体档案双套保管,并逐渐向完全保管新型磁介质载体过渡。
总之,我国会计改革已迈出了稳健、有序的步伐,并取得了辉煌成就。但是,由于会计属于上层建筑范畴,其在观念、理论、方法等方面均应随着客观经济环境的变化而不断改革、发展和完善。在网络时代,要使我国的会计电算化工作能够健康的发展,我们必须从理论上和实践上进行认真的探讨。21世纪的会计应该是一个以信息技术为中心的崭新会计,而不是一个修修补补的会计。
参考文献
[1]常剑峰.电算化会计信息系统的数据库控制方本论文由整理提供法[J].中国会计电算化,2003(11).
[2]张卫.网络会计的信息安全与防范[J].市场周刊.商务,2004(12).
购物车(0)