網絡環境會計系統范文
本站小編為你精心準備了網絡環境會計系統參考范文,愿這些范文能點燃您思維的火花,激發您的寫作靈感。歡迎深入閱讀并收藏。
計算機會計信息系統實現網絡處理后,由于系統的入口增多,操作人員和信息使用者干預系統的機會增大,系統面臨的平安隱患也必然增多。尤其隨著Internet/Intranet的應用,外部日益擴大的網絡環境對會計信息系統本身及其平安又將產生更大的影響,不僅影響傳統的會計業務處理及信息的披露方式,而且平安方面會產生更多的不確定因素。除了計算機軟硬件的不平安因素之外,會計信息系統還將面臨人文方面的更大風險,例如來自不法之徒的風險就有摘要:
1利用網絡及平安管理的漏洞窺探用戶口令或電子帳號,冒充合法用戶作案,篡改磁性介質記錄竊取資產。
2利用網絡遠距離竊取企業的商業秘密以換取錢財,或利用網絡傳播計算機病毒以破壞企業的信息系統。
3建立在計算機網絡基礎上的電子商貿使貿易趨向“無紙化”,越來越多的經濟業務的原始記錄以電子憑證的方式
存在和傳遞。不法之徒通過改變電子貨幣帳單、銀行結算單及其它帳單,就有可能將公私財產的所有權進行轉移。
計算機網絡帶來會計系統的開放和數據共享,而開放和共享的基礎則是平安。企業一方面通過網絡開放自己,向全世界推銷自己的形象和產品,實現電子貿易、電子信息交換,但也需要守住自己的商業秘密、管理秘密和財務秘密,而其中已實現了電子化且具有貨幣價值的會計秘密、理財秘密是最重要的。我們有必要為它創造一個平安的環境,反抗來自系統內外的各種干擾和威協,做到該開放的放開共享,該封閉的要讓黑客無奈。
一、網絡平安審計及基本要素
平安審計是一個新概念,它指由專業審計人員根據有關的法律法規、財產所有者的委托和管理當局的授權,對計算機網絡環境下的有關活動或行為進行系統的、獨立的檢查驗證,并作出相應評價。
沒有網絡平安,就沒有網絡世界。任何一個建立網絡環境計算機會計系統的機構,都會對系統的平安提出要求,在運行和維護中也都會從自己的角度對平安作出布置。那么系統是否平安了呢?這是一般人心中無數也最不放心的新問題。應該肯定,一個系統運行的平安和否,不能單從雙方當事人的判定作出結論,而必須由第三方的專業審計人員通過審計作出評價。因為平安審計人員不但具有專門的平安知識,而且具有豐富的平安審計經驗,只有他們才能作出客觀、公正、公平和中立的評價。
平安審計涉及四個基本要素摘要:控制目標、平安漏洞、控制辦法和控制測試。其中,控制目標是指企業根據具體的計算機應用,結合單位實際制定出的平安控制要求。平安漏洞是指系統的平安薄弱環節,輕易被干擾或破壞的地方。控制辦法是指企業為實現其平安控制目標所制定的平安控制技術、配置方法及各種規范制度。控制測試是將企業的各種平安控制辦法和預定的平安標準進行一致性比較,確定各項控制辦法是否存在、是否得到執行、對漏洞的防范是否有效,評價企業平安辦法的可依靠程度。顯然,平安審計作為一個專門的審計項目,要求審計人員必須具有較強的專業技術知識和技能。
平安審計是審計的一個組成部分。由于計算機網絡環境的平安將不僅涉及國家安危,更涉及到企業的經濟利益。因此,我們認為必須迅速建立起國家、社會、企業三位一體的平安審計體系。其中,國家平安審計機關應依據國家法律,非凡是針對計算機網絡本身的各種平安技術要求,對廣域網上企業的信息平安實施年審制。另外,應該發展社會中介機構,對計算機網絡環境的平安提供審計服務,它和會計師事務所、律師事務所一樣,是社會對企業的計算機網絡系統的平安作出評價的機構。當企業管理當局權衡網絡系統所帶來的潛在損失時,他們需要通過中介機構對平安性作出檢查和評價。此外財政、財務審計也離不開網絡平安專家,他們對網絡的平安控制作出評價,幫助注冊會計師對相應的信息處理系統所披露信息的真實性、可靠性作出正確判定。
二、網絡平安審計的程序
平安審計程序是平安監督活動的具體規程,它規定平安審計工作的具體內容、時間布置、具體的審計方法和手段。和其它審計一樣,平安審計主要包括三個階段摘要:審計預備階段、實施階段以及終結階段。
平安審計預備階段需要了解審計對象的具體情況、平安目標、企業的制度、結構、一般控制和應用控制情況,并對平安審計工作制訂出具體的工作計劃。在這一階段,審計人員應重點確定審計對象的平安要求、審計重點、可能的漏洞及減少漏洞的各種控制辦法。
1了解企業網絡的基本情況。例如,應該了解企業內部網的類型、局域網之間是否設置了單向存取限制、企業網和Internet的聯接方式、是否建立了虛擬專用網(VPN)?
2了解企業的平安控制目標。平安控制目標一般包括三個方面摘要:第一,保證系統的運轉正常,數據的可靠完整;第二,保障數據的有效備份和系統的恢復能力;第三,對系統資源使用的授權和限制。當然平安控制目標因企業的經營性質、規模的大小以及管理當局的要求而有所差異。
3了解企業現行的平安控制情況及潛在的漏洞。審計人員應充分取得目前企業對網絡環境的平安保密計劃,了解所有有關的控制對上述的控制目標的實現情況,系統還有哪些潛在的漏洞。
平安審計實施階段的主要任務是對企業現有的平安控制辦法進行測試,以明確企業是否為平安采取了適當的控制辦法,這些辦法是否發揮著功能。審計人員在實施環節應充分利用各種技術工具產品,如網絡平安測試產品、網絡監視產品、平安審計分析器。
平安審計終結階段應對企業現存的平安控制系統作出評價,并提出改進和完善的方法和其他意見。平安審計終結的評價,按系統的完善程度、漏洞的大小和存在新問題的性質可以分為三個等級摘要:危險、不平安和基本平安。危險是指系統存在毀滅性數據丟失隱患(如缺乏合理的數據備份機制和有效的病毒防范辦法)和系統的盲目開放性(如有意和無意用戶經常能闖入系統,對系統數據進行查閱或刪改)。不平安是指系統尚存在一些較常見的新問題和漏洞,如系統缺乏監控機制和數據檢測手段等。基本平安是指各個企業網絡應達到的目標,其大漏洞僅限于不可預見或罕預見性、技術極限性以及窮舉性等,其他小新問題發生時不影響系統運行,也不會造成大的損失,且具有隨時發現新問題并糾正的能力。
三、網絡平安審計的主要測試
測試是平安審計實施階段的主要任務,一般應包括對數據通訊、硬件系統、軟件系統、數據資源以及平安產品的測試。
下面是對網絡環境會計信息系統的主要測試。
1數據通訊的控制測試
數據通訊控制的總目標是數據通道的平安和完整。具體說,能發現和糾正設備的失靈,避免數據丟失或失真,能防止和發現來自Internet及內部的非法存取操作。為了達到上述控制目標,審計人員應執行以下控制測試摘要:(1)抽取一組會計數據進行傳輸,檢查由于線路噪聲所導致數據失真的可能性。(2)檢查有關的數據通訊記錄,證實所有的數據接收是有序及正確的。(3)通過假設系統外一個非授權的進入請求,測試通訊回叫技術的運行情況。(4)檢查密鑰管理和口令控制程序,確認口令文件是否加密、密鑰存放地點是否平安。(5)發送一測試信息測試加密過程,檢查信息通道上在各不同點上信息的內容。(6)檢查防火墻是否控制有效。防火墻的功能是在Internet和企業內部網之間建立一道屏障,其有效性主要包括靈活性以及過濾、分離、報警等方面的能力。例如,防火墻應具有拒絕任何不準確的申請者的過濾能力,只有授權用戶才能通過防火墻訪問會計數據。
2硬件系統的控制測試
硬件控制測試的總目標是評價硬件的各項控制的適當性和有效性。測試的重點包括摘要:實體平安、火災報警防護系統、使用記錄、后備電源、操作規程、災難恢復計劃等。審計人員應確定實物平安控制辦法是否適當、在處理日常運作及部件失靈中操作員是否作出了適當的記錄和定期分析、硬件的災難恢復計劃是否適當、是否制定了相關的操作規程、各硬件的資料歸檔是否完整。
3軟件系統的控制測試
軟件系統包括系統軟件和應用軟件,其中最主要的是操作系統、數據庫系統和會計軟件系統。總體控制目標應達到防止來自硬件失靈、計算機黑客、病毒感染、具有特權職員的各種破壞行為,保障系統正常運行。對軟件系統的測試主要包括摘要:(1)檢查軟件產品是否從正當途徑購買,審計人員應對購買訂單進行抽樣審查。(2)檢查防治病毒辦法,是否安裝有防治病毒軟件、使用外來軟盤之前是否檢查病毒。(3)證實只有授權的軟件才安裝到系統里。
4數據資源的控制測試
數據控制目標包括兩方面摘要:一是數據備份,為恢復被丟失、損壞或被干擾的數據,系統應有足夠備份;二是個人應當經授權限制性地存取所需的數據,未經授權的個人不能存取數據庫。審計測試應檢查是否提供了雙硬盤備份、動態備份、業務日志備份等功能,以及在日常工作中是否真正實施了這些功能。根據系統的授權表,檢查存取控制的有效性。
5系統平安產品的測試
隨著網絡系統平安的日益重要,各種用于保障網絡平安的軟、硬件產品應運而生,如VPN、防火墻、身份認證產品、CA產品等等。企業將在不斷發展的平安產品市場上購買各種產品以保障系統的平安,平安審計機構應對這些產品是否有效地使用并發揮其應有的功能進行測試和作出評價。例如,檢查平安產品是否經過認證機構或公安部部門的認征,產品的銷售商是否具有銷售許可證產品的平安保護功能是否發揮功能。
四、應該建立內部平安審計制度
為提高會計信息處理的準確性、真實性和合法性,強化企業的內部控制制度的落實,防止會計信息系統出現各種平安隱患,應建立起計算機網絡環境下對會計信息系統實施監督的內部審計制度。內部審計是在單位最高負責人的直接領導下,對集網絡、計算機及信息處理為一體的會計信息系統進行職能管理,依照有關法律、法規及內部管理制度,對其合法性、真實性、可靠性和效益性進行相對獨立的監督、檢查和評價的活動。其主要目的是保護企業計算機會計信息系統所產生的會計記錄的真實和可靠,保證網絡上數據的傳輸的數據的平安,并對系統平安情況作出評價。
網絡系統內部平安審計是一種實時地發現漏洞的機制,平安審計人員的日常審計工作將為會計信息系統的平安提供有效的保障。
