網路會計發展的制約因素及對策研究

摘 要:隨著計算機技術和網路通訊技術的發展,網路化資訊系統日益普及,網路會計也逐步代替了傳統的手工會計。然而網路會計在發展中面臨著安全保密措施不完善、法律及會計制度的滯後性、網路系統內部控制不健全、複合型人才缺乏等問題。本文從巨集觀、微觀等方面提出了建立健全的安全管理體制、完善有關電子資料法律和網路犯罪的法律法規、提高網路系統安全防範能力並加強內部控制、注重綜合型人才的培養等建議。

  關鍵詞:會計 會計電算化 網路會計

  一、網路會計發展的制約因素分析

  (一)安全保密措施不完善

  一是計算機硬體的安全性。網路會計主要應用資料自動處理功能,自然或人為的差錯和干擾都會造成嚴重後果。自然因素如火災、水災、灰塵等都會對計算機硬體造成損壞,嚴重的造成系統故障乃至崩潰。管理因素如安全管理不力,使得計算機被盜,或光碟、磁碟等介質載體檔案的保管不善都會造成資訊的丟失或洩露等。

  二是網路系統的安全性。網路系統安全威脅首先來自網路犯罪,主要是社會上的不法分子對企業網路會計系統的非法入侵和惡意破壞,包括對會計資訊的截收、仿冒、竊聽、病毒破壞等。

  從發生黑客襲擊網站事件及病毒感染的情況看,主要存在以下問題:一是管理問題,管理員、使用人員安全意識淡薄,下載檔案不作安全技術檢測;二是對安全性要求不高的網站,使用防火牆軟體成本比較昂貴,加上自身軟體存在漏洞,為黑客攻擊網站提供了可能;三是由於程式設計缺陷及使用者自身的素質問題,容易產生系統性問題。另外,企業網路會計系統會受到來自商業競爭對手以及其他人員的非法入侵,剽竊財務資料,甚至使會計資訊受到篡改、洩密等。

  (二)網路系統內部控制不健全

  傳統會計系統強調對業務活動的使用授權批准和職責性、正確性、合法性,但在網路會計中,會計資訊的處理和儲存集中於網路系統,大量不同的會計業務交叉在一起,加上資訊資源的共享,財務資訊複雜交叉速度加快,使傳統會計系統中某些職權分工、相互牽制的控制失效。從資料和交易層次看,網路會計採用高度電子化的交易方式,原始憑證在網路業務交易時自動產生並存入計算機,交易的全過程均在電子媒介上建立、運算與維護,而且大量資料錄入和交易驅動發生在企業外部;存貯形式主要以網路頁面資料存貯,原來使用的靠賬簿之間相互核對實現的差錯糾正控制已經不復存在,光、電、磁介質也不同於紙張介質,所擷取資訊不留痕跡地被修改和刪除。

  (三)法律及會計制度的滯後

  網路會計的迅猛發展超出了現有法律體系的規範,包括我國在內的很多國家,目前還缺少有關網路交易責任與可靠性方面的法律規定,因此,在法律上能否接受計算機記錄的電子會計資料(無紙化資料)作為有效的證據是國際性的問題。就目前的會計電子化實務看,有關法規要求企業將計算機記錄的原始資料列印到紙張上,並由責任人簽字作為審計和其他法定需要的證據。但隨著網路的不斷普及,電子資料作為有效的會計證據和法律證據是必然的。面對“無紙”的會計資料,會計人員確保這些資料是以原始形式儲存下來是無紙資訊系統有效性的關鍵。司法部門對如何決定電子文件的合法性,以及怎樣才能構成有效的電子簽名等問題存在爭議。

  (四)複合型人才缺乏

  由於網路會計作為網路與會計相結合的高科技產物,對相應的會計人員、管理人員的素質要求較高,既要求其精通計算機網路知識、基本的故障排除方法以及計算機的基本維護技能,又要求其具有很深的會計理論功底和嫻熟的會計業務技能,但我國目前情況離此尚有很大差距。

  二、網路會計發展的策略

  (一)完善安全保密系統

  網路的特點之一是資源與資訊的共享,企業的商業機密的安全及系統安全的可控性是網路化建設的重點。在黑客狷獗的情況下,僅通過檔案加密是不能有效避免資訊的洩露,企業應根據自身特點,建立全方位的安全保護措施:

  一是硬體裝置安全控制。硬體裝置安全主要涉及計算機機房環境和裝置的技術安全要求。應制定網路計算機機房和裝置的管理制度、崗位職責和操作規程,禁止無關人員接觸系統,專機專用;計算機機房應充分滿足防火、防潮、防塵、防磁和防輻射及恆溫等技術要求,關鍵性的硬體裝置可採用雙系統備份。

  二是系統軟體安全控制。嚴格控制系統軟體的安裝與修改,對系統軟體進行定期的預防性檢查,系統被破壞時,要求系統軟體具備緊急響應、強制備份、快速重構和快速恢復的功能。

  三是會計資訊保安控制。會計資訊保安的基礎是密碼學。按加密和解密演算法所用的密碼是否相同,將密碼分為對稱密碼體制和非對稱密碼體制。

  後者在資訊保安管理方面得到了廣泛的應用。四是系統入侵防範控制。為了防止非法使用者對網路會計系統的入侵,應採取設定防火牆,身份認證和授權管理等安全技術,用以限制外界對主機作業系統的訪問;用以隔離應用系統與外界訪問區域之間的聯絡,限制外界穿過訪問區域對網路應用系統伺服器,尤其是對會計資料庫系統的非法訪問;加強原有的基本賬戶和口令的控制,提供授權訪問控制和使用者身份識別。五是網路系統安全防範控制。病毒的預防可採取防火牆(fire-wall)技術,將病毒及非法訪問者擋在內部網之外,從而起到對內部資訊的保護作用。對於資訊系統則普遍採用資料加密技術,以防止資訊在傳輸過程中洩密。此外還有口令控制、訪問使用者的身份認證、回叫等(郭梅等,2004)。六是交易安全控制。為了保證交易者的交易資訊不被他人竊取或破譯,主要應採取數字加密、數字認證等核心技術。

  (二)強化系統內部控制

  一是組織與管理控制。首先,適當的職責分離。既設定網路管理中心,由網管中心全盤規劃,合理佈局,採取措施確保各工作站、終端和人員之間適當的職責分離;其次,優化配置人力資源。良好的人力資源管理政策對於企業內部控制的順利實施起著關鍵性的作用。因此要制定措施,確保人力資源的合理利用。最後,發揮內部審計的作用。內部審計的本質是一種特殊的組織控制,包括對會計資料定期進行審計,會計電算化系統賬務處理是否正確,是否遵照《會計法》及有關法律、法規的規定(李漢興等,2001);監督資料儲存方式的安全、合法性,防止發生非法修改歷史資料的現象;對系統執行各環節進行審查,防止存在漏洞。通過內部審計部門對網路會計系統資訊的質量和完整性進行獨立和公正地監督與評價,有利於系統內部自我約束、自我激勵機制的建立與健全。

  二是系統開發控制。系統開發控制是為保證網路會計系統開發過程中,各項活動的合法性和有效性而設計的控制措施,貫穿於系統規劃、系統分析、系統設計、系統實施和系統執行測試與維護的各階段。主要包括:明確開發目標,制定專案管理計劃,進行專案的可行性研究與分析;控制開發進度,監督開發質量,檢查各功能模組設定的合理性及程式設計的可靠性。利用網路線上測試功能,檢驗整個系統的完整性,並對非法資料的容錯能力、系統抗干擾能力和發生突發事件的應變能力,以及系統遭遇破壞後的恢復能力進行重點測試;做好人員和裝置等資源的整合配置以及初始資料的安全匯入,保證新舊系統的轉換有序進行。一旦發現網路系統各類軟體可能存在安全漏洞,應立即進行線上修補與升級,並將所有與軟體修改有關的記錄報告及時儲存歸檔。

  三是日常作業系統管理控制。制定上機操作規程。主要包括軟硬體操作規程、作業執行規程和用機時間記錄規程等。加強系統人員的操作管理。人員操作管理的重點是許可權控制,系統管理員被賦予超級使用者管理許可權,主要負責系統硬、軟體的管理維護和網路資源分配,操作人員應按照被授於的許可權嚴格作業,不得越權接觸系統,系統程式設計師不得對越權現象進行業務操作,以避免人為因素或操作不當給作業系統帶來不必要的損失和風險。建立計算機資源訪問授權和身份認證制度,即明確每個使用者的安全級別和身份標識,並分別定義具體的訪問物件;建立安全稽核機制。對系統操作的事件型別、使用者身份、操作時間、系統引數和狀態以及系統敏感資源進行實時監控和記錄,進行必要的許可權設定,以便能夠對各種不同的許可權進行使用者識別和遠端請求識別。設定安全檢測預警系統。即實時尋找,具有網路攻擊特徵和違反網路安全策略的資料流,實時響應和報警,阻斷非法的網路連線,對事件涉及的主機實施進一步跟蹤,創造一種漏洞檢測與實時監控相結合的可持續改進的安全模式。

  四是系統維護控制。系統維護包括軟體修改、程式碼結構修改和計算機硬體與通訊裝置的維修等,涉及到系統功能的調整、擴充和完善。對網路會計系統進行維護必須經過周密計劃和嚴格記錄,維護過程的每一環節都必須設定必要的控制,維護的原因和性質要有書面形式的報告,經批准後才能實施修改。軟體修改尤為重要,網路會計系統操作員不能參與軟體的修改,所有與系統維護有關的記錄都應該列印後存檔。

  五是應用控制。應用控制是指在網路會計系統的資料輸入、通訊、處理和輸出環節所採用的控制程式和措施:輸入控制。保證資料錄入的真實性、合法性、完整性。在輸入系統前,資料要經過檢驗,輸入工作應由多人多組分擔,對輸入的資料、程式碼等進行必要的校驗,以保證合法性、真實性。具體可採用集中管理模式,企業總部應隨時查詢每個成員單位的財務賬,直至每張單據、所有的原始憑證,記賬憑證、賬簿賬表的生成都集中處理,資訊需求者不僅可以瞭解企業某些方面的經濟事項,還可以瞭解企業會計總體的經營狀況。在處理控制中,對資料進行有效性控制和檔案控制,有效性控制包括數字的核對、欄位和記錄長度檢查、程式碼和數值有效範圍的檢查、記錄總數的檢查等,檔案控制包括檢查檔案長度、標識和是否感染病毒等。在資料輸出控制中,一要驗證輸出結果是否正確和是否處於最新狀態,以便使用者隨時得到最新準確的會計資訊,二要確保輸出結果能夠送發到合法的輸出物件,檔案傳輸安全正確。

  (三)制定網路會計安全相關法律

  Internet網路除了安全問題以外,還涉及經濟糾紛與國際仲裁,而安全問題、經濟糾紛與國際仲裁又具有其獨特性,是各國政府不得不面對而又不能套用傳統法律來解決的問題,這就需要制定一套完整的包括各國相關法律在內的國際法律體系。我國在計算機資訊保安管理方面立法較早,從1986年開始,我國相繼制定並頒佈了《中華人民共和國資訊保安保護條例》、《計算機系統安全規範》、《計算機病毒控制規定》等系列法律,並在《刑法》、《刑事訴訟法》、《民法通則》、《民事訴訟法》、《合同法》等相關法律中制定了有關計算機資訊保安方面的條文。但我國目前還沒有專門的網路會計安全法律,因此,我國網路會計安全立法應在立足我國國情的前提下參照國際有關示範法的原則,以規範網上交易的購銷、支付及核算行為,具體規定企業網上披露的義務與責任、網路會計資訊質量標準要求、監管機構及其權責等,從巨集觀上加強對資訊系統的控制,對危害電腦保安的行為進行制裁,為計算機資訊提供良好的法制環境。

  (四)培養全方位的複合型人才

  首先,更新專業知識。在網路時代,從網上支付、網上銷售到網上理財等等都與傳統商品交易方式存在差異。新技術、新觀念將貫穿於新的商品交易和商品結算過程。這些新的交易方式將不可避免使現代財會人員的知識庫面,臨嚴重衝擊,同時也使財會人員新增了大量諸如計算機知識等必修“邊緣知識”課程。能否熟練地掌握這些財會專業所必修的“邊緣知識”,將成為衡量財會人員是否稱職的重要標誌。

  其次,學好計算機知識,努力適應社會發展。網路時代的財會人員除了必須懂得常規的計算機操作知識如錄入、查詢、列印外,應該至少學會一門程式語言並掌握其設計方法。能結合財會崗位工作特點,進行有關財務軟體的簡單維護,並能熟練地掌握常用軟體的使用方法。財會人員還應該對所蒐集的各類專業資訊進行分析、整理、歸納:為單位有關人員進行決策提供及時的重要的資訊支援。

  再次,學好外語,努力提高自己的外語水平。網路時代傳統的商品交易將發展成以電子媒介為基礎的電子商務,企業的財會人員很可能因此被賦予了除傳統職能之外的“邊緣職能”,如參與商品交易前期的商業談判,重要合同條款的審定,網上支付款項(包括電子貨幣)的監控與確認。根據通常的商業習慣,作為溝通和交流的語言並不是母語,而是外語。如果外語方面欠缺太多,將很難完成算賬、管賬等工作。

  最後,拓展自己的專業視野,熟悉相關學科知識。財會人員應關注與會計專業密切相關的專業知識的學習和積累,努力擴充套件專業視野。尤其應當加快調整現行的會計教育體系,重組會計人員知識結構,更新教育手段和方法,加大對現有財會人員的後續教育。