探讨网络会计信息系统的内部控制及审计措施

  　【论文关键词】会计电算化　内部控制　审计 
　　【论文摘 要】世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视，当前对内部控制的研究存在三个问题：一是对广域网络环境下会计系统的内部控制缺乏研究；二是对内部控制的分类欠妥；三是不少控制措施以及对内部控制的符合性测试方法脱离实际。本文针对这些问题展开讨论并提出了内部控制及审计措施。 
　　 
　　进入21世纪以来，世界各国审计机关对计算机处理环境的内部控制问题都更加重视，进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响，又研究了加强控制的措施，还探讨了审计内部控制的方法。但是，随着计算机技术的日新月异，尤其是商务和财务的出现，前述的这些研究已经显得苍白。我们认为，当前对内部控制的研究存在三个问题：一是对广域网络环境下会计系统的内部控制缺乏研究，二是对内部控制的分类欠，三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。 
　　 
　　一、网络会计给内部控制提出了新课题 
　　 
　　网络财务战略一经提出就获得的普遍认同，成为业界关注的焦点，引发人们对网络环境下财务与管理的思考。网络财务的最闪光之处是通过Internet实现多种远程处理和支持电子商务，而这恰恰给会计内部控制出了难题。 
　　我们知道，电子商务和远程处理必然要求会计系统的进一步开放与数据共享，而开放与共享将增加安全控制的难度，信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工，也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高，操作人员和信息使用者干预系统的机会增大，再加上使用的是公用通讯线路，系统面临的安全隐患也必然增多，从而增大企业经营的风险。例如，不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号，冒充合法用户作案，篡改数据库内容以窃取资产；利用网络远距离窃取企业的商业秘密以换取钱财，或利用网络传播计算机病毒以破坏会计信息系统，甚至摧毁网络节点；此外，由于电子商务处理业务的原始记录以电子凭证的方式存在和传递，不法之徒通过改变电子货币账单、银行结算单等，就有可能转移财产的所有权。 
　　有鉴于此，网络财务必须实现以下控制目标： 
　　1.对远程操作的控制，即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。 
　　2.对网上支付的控制，即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性，实现安全支付。 
　　3.对电子凭证的控制，即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。 
　　以上控制既涉及技术层面，也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术，加强对网上输入、输出和传输信息的合法性、正确性控制，在企业内部网与外部公共网之间建立防火墙，对外部访问实行多层认证。在上建立电子商务法律法规，规范网上交易、支付、核算行为，并制定网络财务准则和相应的内部控制制度。没有网络安全，就没有网络财务。 
　　 
　　二、关于内部控制的分类 
　　 
　　美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》，都把计算机会计内部控制分为一般控制（General controls）和应用控制（Application controls）两大类，并将前者定义为：（1）电子数据处理的组织和操作的计划；（2）对系统或程序的设计、开发和变动的记录、审核、测试和批准；（3）由制造商在设备内部所设置的控制；（4）对接触设备和数据文件的控制；（5）对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。 
　　我们认为内部控制的分类既要概念清晰，又要区分控制的主体，以便明确责任。为此，建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指机软硬件系统，主要是系统和软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制，以实现系统的自我保护，主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门，用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的，主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制（或基础控制）和操作控制（或控制）两类，组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关，而是会计软件使用单位的责任。这种分类法的优点是分类标准明确，容易 
　　理解，而且实现控制的措施和控制的主体是一致的，责任分明，方面容易清楚自己应该怎么办。