会计信息系统的一般控制

二、会计信息系统的一般控制

一般控制是面向整个会计信息系统而进行的控制，是会计信息系统可靠运行和进行数据处理的前提。如果没有强有力的制度保证和优良的控制环境，不管系统设计得如何好，未经授权的人员以及未经批准的一些非法业务都有可能非法进入系统，使得数据和程序很容易被篡改，造成会计信息失真，使整个系统的安全无法保证。因此拥有相对完善的一般控制体系，是保证整个系统安全的必要条件。一般控制主要包括系统规划控制、系统开发与维护控制、系统运行控制和系统外包控制等。其中会计信息系统的运行控制又可以分为组织控制、操作控制、系统硬件和软件资源控制、数据资源和文档控制几个方面。

1．组织控制

组织控制是将组织作为主要的控制对象和手段，通过建立具有控制能力的组织结构，采用满足控制要求的组织流程，构筑认同和重视控制的组织文化达到控制的目标。组织控制是其他控制实施和发挥作用的基础。

会计信息系统的组织控制应包括以下两方面的工作：

（1）合理的职责分工。一是要合理地划分人、机之间的职责。哪些是需要机器做的，哪些是需要人工来干预或完成的；二是要合理地划分岗位之间的职责。划分岗位并确定岗位职责时，要考虑不相容职务的分离和岗位之间的相互牵制。岗位的划分还应该是分层次的，如系统维护员还要进一步分为软件维护员和硬件维护员。业务处理人员要根据具体业务分为凭证处理、审核、成本核算、固定资产核算、工资核算及往来核算等岗位；三是要确定岗位的标准。会计信息系统是人机系统，内部控制的成败离不开人员的素质，因此要对各岗位人员的知识、技能及职业道德提出具体的岗位标准要求。

（2）设置满足控制要求的组织流程。组织流程是由组织建立并实施、为实现组织目标而采取行动的过程。组织流程本身就是一种控制手段，按照组织控制的需要，组织中每一项核心工作都应规定明确的流程。而且在流程设计时要考虑到业务记录、岗位之间的牵制及上下级之间的签核方式等主要内容，以实现对组织流程控制的目的。

2．操作控制

操作控制是一项重要的制度控制内容，如果控制不严，很容易造成对系统资源的破坏，或给不法分子以可乘之机。操作控制主要表现在上机守则和操作规程上。上机守则是针对机房内工作的一般性规定，如对进出机房的人员和物品进行限制，对文件的存放和处置、操作人员进出机房需要的手续及进出时间、操作人员的日常工作性质和范围、交接班制度、出现紧急状况时的应急措施以及保持机房的整洁等方面进行的规定，其目的是使机房保持一个良好的工作秩序，以减少数据和程序被破坏的风险；操作规程则是对系统操作程序等方面进行的规定，其目的是通过标准的操作规程来保证信息处理的高质量，以减少差错的发生和未经批准而使用数据和程序的机会。如规定系统开关的步骤，规定交接班的手续和运行日志的登记手续，规定数据备份的时间、内容和存放地点，规定如停电等意外事故发生时的处理步骤，规定机器及网络的使用范围以堵截病毒感染的途径，等等。

3．对硬件和软件系统进行的控制

（1）对硬件系统的控制。硬件控制是由硬件生产厂家在计算机设备中实施的控制技术和方法，主要是将一些必要的自我监测功能固化在硬件中，能自动查出某些类型的错误，而无须人工送入任何特殊指令。如利用设备自检功能来自动监测内存储器、磁介质存储器、打印机等设备的良好性；利用冗余校验、回声校验、奇偶校验等功能来控制数据传送和计算机处理的正确性。通过硬件控制可以大大地提高计算机设备本身的可靠性和系统运行的稳定性。会计信息系统的硬件主要包括网络设施、通信设施、计算机及其辅助设备等。硬件控制的失效会减弱其他控制措施的作用，影响系统的可靠性。

①对计算机硬件本身进行的控制。它主要包括以下几个方面：重复处理控制，即通过重复执行同样的处理操作，比较结果以发现错误；冗余校验，即在数据编码中设置冗余位，依据冗余位编码与数据编码中位数的逻辑关系检测是否存在数据传送或处理错误；回波检验，即输出设备将接收到的数据再传回到来源单位，以便和原始数据对照比较，从而检查数据传送（特别是远程传送）过程中是否发生错误；设备检验，即将控制手段构造在计算机集成电路板中，检查并更正错误；有效性校验，即利用计算机实际操作与有效操作进行对比，检测错误；二模冗余，即采用两个相同的副本，当出现故障时两个副本不再一样，只要经过简单比较即可检测出来；双电路，在硬件的要害部位和外部关键设备上设置双重电路，有些系统的硬件要害部位甚至还设置了三重保险系统。

②对硬件环境进行控制。硬件设备易受环境的影响，对周围环境的要求比较严格。为硬件设备的运行提供安全环境，包括电源、温度、湿度、静电、尘土、电磁干扰和辐射等，以充分发挥计算机的性能，延长计算机系统的使用寿命。

③对协议和网络的安全策略。网络系统中的协议和网络安全也十分重要，它是网络上信息传输安全的基础。这些安全策略有：一是采用加密机制。信息加密的目的是保护网内的数据、文件、口令和控制信息，保护网上传输的数据，以防止对消息流的浏览和篡改，以及通信业务流分析、抵赖、伪造、非授权连接和篡改消息。网络加密常用的方法有链路加密和端点加密等；二是采用访问控制策略。访问控制是网络安全防范和保护的主要策略，它的主要任务是防止对信息系统资源的非授权访问和非授权使用。它也是维护网络系统安全和保护网络资源的重要手段。访问控制的策略有很多。如采用防火墙控制。防火墙是一种保护计算机网络安全的技术性措施，它是一个用以阻止网络黑客访问企业网络的屏障，也称之为“控制进/出两个方向通信的门槛”。在网络边界上通过建立相应网络通信监控系统来隔离内、外部网络，以阻挡外部网络的侵入。又如对网络端口和节点进行安全控制，即在网络服务器的端口使用自动回呼设备及静默调制解调器加以保护，并以加密的形式来识别节点的身份。自动回呼设备用于防止假冒合法用户，静默调制解调器用于防范黑客的自动拨号程序对计算机进行攻击。网络还常对服务器端和用户端采取控制，用户必须携带证实身份的验证器（如智能卡、磁卡和安全密码发生器），在验证用户身份后，才允许其进入用户端，然后用户端和服务器端进行相互验证；三是采用安全认证机制。即通过认证的方式确定双方身份，网络安全认证机制主要有鉴别机制、数字签名、数字信封、数字证书和数字时间戳等方式。

（2）对软件系统的控制。软件系统控制是指为保证软件系统运行正常，而预先在软件内部设计的各种处理故障、纠正错误、保证系统安全的控制。信息系统的软件一般包括操作系统（包括网络操作系统和单用户操作系统）、工具软件（包括数据库管理系统、编译器和程序设计语言、电子表格处理软件、Web服务、发布和浏览软件、信息采集、FTP，以及Telnet等软件）及应用系统软件3大部分。操作系统处于信息系统软件平台的最底层，它的安全是整个软件平台安全的基础；应用系统处于最上层，是完成具体业务处理的软件。由于各种业务处理对安全的需求程度不同，因此应用软件自身提供的控制措施也有很大区别；工具软件介于操作系统和应用软件之间，是应用系统开发所用的软件。

对操作系统进行的控制主要包括：一是错误处理。即如果计算机在工作中发生读写困难，或者读写的字符溢出，操作系统会指出发生的错误并做相应处理，如重新读写或停止计算机的操作等；二是文件保护。如对断电、死机等突发事件，系统能对有关文件进行一定程度的保护和恢复，以防止文件完全丢失或损坏；三是安全保护。即对系统的操作进行控制，以防止未经授权的人使用系统。如通过使用密码功能控制没有经授权的用户进入系统。

对应用软件的开发应实施以下控制：一是为防止在应用软件中留下不该有的漏洞和安全隐患，应对应用系统的开发过程进行控制；二是对系统开发过程制定正式的开发规划，并对软件检测与调试的结果进行记录等；三是在软件测试时，除测试软件功能和其应有的控制外，还要重点检查和测试软件的漏洞和是否具有不该有的程序块；四是在系统开发过程中，要对完整的开发文档资料（如系统目标、系统流程图、程序流程图、关键控制点、编码表和源程序清单等）进行保存。

4．对数据资源的控制

数据是企业的重要资源，它们都以记录的形式存储在系统数据库中。因此对数据资源控制的重点实际上是对系统数据库的控制。其主要目的是防止对数据库的非法访问，以及系统故障、误操作或人为破坏对数据库造成的毁损。其控制的措施有：

（1）对数据库的访问控制。即控制对数据库的接触和访问，主要措施有：一是密码或身份鉴别。即通过密码和身份鉴别来限制对数据库的访问人员。可以采用如口令等软件手段，也可以采用如指纹及声音等识别设备的硬件手段；二是存取权限控制。即根据岗位、工作性质和涉及的内容等，对数据库的访问范围设置权限。包括为不同用户确定其数据存取的范围、哪些用户可更新修改数据、哪些用户只能读取数据等；三是对数据存储介质进行管理。如规定磁盘不得随意摆放，磁盘使用后要加锁，以及对重要的数据甚至采用硬加密防复制和防跟踪技术等措施。

（2）对数据的备份和恢复控制。它包括两个方面：一是规定对数据库的数据应定期或不定期地按需要进行转储；二是规定和实施适当的备份和恢复策略，周期性地转储备份数据，维护日志文件。一旦系统发生故障，能够在最短时间内把数据库恢复到某一正确状态，并且尽可能不影响计算机系统其他部分的正常运行。

5．对档案资料的控制

档案资料，不仅包括一切与会计核算有关的原始凭证、手工填制或计算机打印输出的各种记账凭证、会计账簿、会计报表等会计核算资料，以及各时期的分析对比资料、各种相关的经济合同、财务文书文件以及记载会计数据的其他书面文件等，而且还包括会计信息系统所有与硬件和软件有关的全套文档资料、存储在计算机硬盘内或存储在磁盘、磁带、光盘等介质上的源程序、目标程序、会计数据备份等文件资料。对档案资料的管理，要注意做好防磁、防火、防潮和防尘工作，重要的会计档案应准备双份，并分别存放在两个不同的地点。采用磁性介质保存的会计档案，要定期进行检查、定期进行复制，以防止由于磁性介质的损坏而致使会计档案丢失。