基于互联网的会计信息系统控制(2)
2017-09-18 01:58
导读:4、社会道德风险。主要是指来自社会上的不法分子对企业内联网的非法入侵和破坏,包括来自网上的信息截收、仿冒、窃听,黑客入侵,病毒破坏等。这
4、社会道德风险。主要是指来自社会上的不法分子对企业内联网的非法入侵和破坏,包括来自网上的信息截收、仿冒、窃听,黑客入侵,病毒破坏等。这是媒体报道最多的风险类型。由于互联网是一个开放的世界,没有国界和时空的限制,来自社会上的道德风险几乎不可避免。
随着社会信息化程度的不断提高,会计信息系统的应用风险问题将会日益突出。如何直面这些问题,对社会来说,需要不断加强和完善的威慑作用,不断创新安全技术产品;而对企业来说,则需要不断提高管理和控制的有效性。
二、基于互联网会计信息系统的内部控制
内部控制是指企业为保护资产安全、保证会计记录的正确性和可靠性、提高经营管理效率、保障经营管理政策的执行而采取的全部和措施。内部控制可分为一般控制和应用控制两类。一般控制是对会计信息系统环境的控制,应用控制则是对系统运行过程的控制。显然,不同的环境和应用系统模式,其内部控制的方法和措施是不同的。基于互联网的会计信息系统,由于其在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的系统,极大地改变了以往计算机系统的应用模式,扩展了系统运行的环境,从而大大改变了以往计算机系统内部控制的和方法。因此,我们需要根据互联网系统的特点及其风险来源,重新确立系统的内部控制点,并建立相应的内部控制体系。
由于企业规模的不同,基于互联网会计信息系统的应用模式也不同。一般可分为三类:第一类是独立内联网结构的应用系统;第二类是异地内联网结构的应用系统(适合于有异地分支机构的集团型企业);第三类是外联网结构的应用系统(适合于联盟型虚拟企业)。不管是哪一类型的系统结构,其系统组成的基础都是企业的内联网(包括分支机构的内联网)。因此,基于互联网会计信息系统的内部控制,主要是内联网内的控制。
(科教论文网 lw.nSeAc.com编辑发布)
1、操作系统控制。由于操作系统面向所有用户,再加上自身的缺陷。因此它时刻面临着来自各方面的潜在威胁,包括系统内人员的滥用职权、越权操作和系统外人员的非法访问甚至破坏。如使用浏览法搜寻主内存中的口令信息、使用伪装法复制合法注册程序、设计“后门”程序建立非法访问系统的通道、用“特洛伊木马”法探测系统的弱点,以及各种各样通过操作系统破坏整个系统的计算机病毒等等。要提高操作系统的安全可靠性,除了要尽可能地选用安全等级较高的操作系统产品,并经常进行版本升级外,在管理控制上主要可采取以下措施:(1)计算机资源授权表制度。明确规定每个用户的安全级别和身份标识,并分别定义具体的访问对象;(2)日志审计制度。对运行系统的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监视和记录,并对日志文件定期进行安全检查和评估;(3)存取控制。对系统资源进行分类管理,并根据用户级别,限制系统资源的共享和流动;(4)特权管理。由于超级用户具有操作和管理系统全部资源的特权,因此,其特权一旦被盗用,将给系统造成重大危害。特权管理是使系统由若干个系统管理员和操作员共同管理系统,使其具有完成其任务的最少特权,并相互制约,以提高系统安全可靠性。
2、会计数据资源控制。数据库系统是整个系统控制的主要安全目标。对数据库系统安全的威胁主要来自两个方面:一是系统内外人员对数据库的非法访问;二是由于系统故障、误操作或人为破坏造成数据库的物理损坏。针对上述风险,会计数据资源控制主要可采取以下措施:(1)合理定义应用子模式。子模式是指全部数据资源中面向某一特定用户或应用项目的一个数据子集。在网络环境下,为了限制合法用户或非法访问者轻易获取全部会计数据资源,应根据不同的应用项目(功能)分别定义面向用户操作的数据界面,做到需要什么数据,用到什么数据,就开放什么数据。(2)会计数据资源授权表制度。明确定义每一用户对数据资源访问的范围和内容,并分别规定对数据库的查阅、修改、删除、插入等操作权限。(3)数据备份和恢复制度。网络环境下的数据备份和恢复远比成批集中式处理环境下要复杂,为保证系统恢复的有效性和一致性,建立业务日志文件(记录系统处理过程的文件)和检查点文件(作业内容信息能被记录下来,并可重新启动该作业的一个点)是必要的。
