网络会计内控安全评价体系的构建与研究
开篇:润墨网以专业的文秘视角,为您筛选了一篇网络会计内控安全评价体系的构建与研究范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
【摘要】 文章以传统内控体系理论及网络会计内部控制的风险分析为基础,构建新的网络会计内部控制安全评价体系,并对其进行了详细描述。同时采用模糊评价法对该体系进行绩效评价,从定量角度判定其控制效果。
【关键词】 网络会计; 风险分析; 会计内控指标体系; 模糊评价法; 绩效评价
中图分类号:F232;F272.35文献标识码:A文章编号:1004-5937(2014)16-0083-05目前,中国很多企业实施了网络会计信息系统,但对网络环境下产生的安全威胁不够重视,未及时完善自身的内控体系,增加了内部控制的不安全性,从而影响到会计信息的安全。因此,研究网络会计信息系统下内部控制的安全问题,帮助企业建立一个新的、更有效的内部控制指标体系很有意义。
文章基于传统内部控制评价体系网络化下赋予的新含义,重新构建了网络会计内部控制的安全评价体系,以实现对会计内控目标、会计内控环境、财务风险监控与管理控制、信息技术控制、财务监督问责、信息沟通等安全控制方面的评价。
一、网络会计内部控制体系的理论基础
(一)传统内部控制体系
2008年6月28日,财政部会同证监会、审计署、银监会、保监会制定并印发《企业内部控制基本规范》,要求企业建立实施的内部控制包括下列五个要素:内部环境、风险评估、控制活动、信息与沟通以及内部监督。这五个部分也可作为评价内部控制系统有效性的标准。
(二)网络会计内部控制风险分析
内部控制主要是控制好风险,因此,笔者首先对网络会计信息系统进行安全分析,然后运用各种方法和工具找出各个流程的潜在风险,最终建立起风险的详细清单,如表1所示。
二、构建网络会计内部控制安全评价体系
处于经济转型期的我国企业面临经营风险及外部环境的变化,内控体系应及时作出相应的调整,构建适应信息化环境的内部控制框架。其中控制网络会计带来的新变化是重点,所有内控要素都要从信息化会计系统的特征出发加以通盘考虑。内部安全控制框架如图1所示。
在网络会计内部控制体系之下,根据每一类控制因素的活动域,首先将其分解为关键过程域,然后将该过程域细化到具体的关键控制点。本文将对体系中六个控制因素的活动域,按照关键过程域到关键控制点的步骤来分别描述。
(一)会计内控目标
1.建立符合国内外法律、法规,面向会计部门并结合部门内部网络会计实际情况的内部控制体系。
2.梳理网络会计下的内部管理流程。
3.不断完善内部控制体系,与企业战略目标相融合,向全面风险管理体系过渡,建立风险管理和内部控制长效管理机制。
(二)会计内控环境
1.更新信息化观念
为了适应网络发展的新形势,企业领导要树立市场观念、竞争观念,重视会计信息化,同时企业要结合先进的管理理念和现代化方法,更新现有会计信息系统。
2.明确会计部门分工
财务部下应设置信息部门和业务部门。信息部门提供信息技术服务和系统运行监督;业务部门负责批准、执行业务和资产保管等。
3.提高财务人员安全意识
(1)将会计信息安全方针与安全考察方针形成书面文件;(2)与重要的会计人员签署保密协议;(3)对会计人员进行信息安全教育与培训。
(三)财务风险监控与管理
1.财务风险监控
(1)识别关键控制点;(2)更新预警模型。实时监控潜在的风险,将全方位的信息转换成财务指标,加入到预警模型中,实现资源共享和功能集成。
2.财务风险管理
(1)适当利用自动化控制来代替手工控制;(2)可在系统外部执行部分关键的手工操作。
(四)信息技术控制
1.系统构建控制
(1)制定信息系统开发战略;(2)选择合适的系统开发方式。
2.严密的授权审批制度
(1)操作权限与岗位责任制;(2)重点业务环节实行“双口令”。
3.系统操作控制
(1)数据输入控制;(2)数据处理控制;(3)数据输出控制。
4.会计数据安全管理
(1)会计数据备份加密;(2)会计数据传输加密;(3)用户访问控制;(4)服务器加密。
(五)财务监督与问责
主要是内部审计管理:
(1)定期审计会计资料,检查会计信息系统账务处理的正确性;(2)审查机内数据与书面资料的一致性;(3)监督数据保存方式的安全性和合法性,防止非法修改历史数据;(4)审查系统运行各环节,发现并及时堵塞漏洞等。
(六)信息沟通
会计信息的沟通与交流应贯穿整个内控体系中。
1.管理层重视
管理层应高度重视及支持信息系统的开发工作,确保各职能部门信息系统在信息交流上高度耦合。
2.严密的组织保障
各部门通过控制系统识别使用者需要的信息;收集、加工和处理信息,并及时、准确和经济地传递给相关人员。
3.体系化的制度保障
建立健全会计及相关信息的报告负责制度,使会计人员能清楚地知道其所承担的责任,并及时取得和交换他们在执行、管理和控制经营过程中所需的信息。
三、基于模糊评价法的内控评价体系应用 研究
网络会计信息系统内控体系绩效评价的应用研究主要利用成熟度模型来划分内部会计控制因素的等级,基于模糊评价法来进行安全绩效评价,最后得出相应的结论。
(一)模糊综合评价法的应用
模糊综合评价法是以模糊数学为基础,将一些不易定量的因素定量化,从多个因素对被评价事物隶属等级状况进行综合性评价。
一是对网络会计内控体系进行成熟度划分。
二是依据成熟度模型来确定评价因素和评价等级。设:U={?滋1,?滋2,?滋3,…,?滋m}为被评价对象的m个评价指标V={v1,v2,v3,…,vn};为每一个因素所处的状态的n种等级。
三是确定权重分配。
四是进行全面的调查访问,并建立评价表。
五是建立模糊评价矩阵,得出多级模糊的综合等级。
六是得出关键控制点的评级表。
七是得出评价结果。
(二)模糊综合评价法的应用
本节针对上述内控体系中的信息技术控制因素,对其应用模糊评价法来进行分析,其他控制因素的评价方法与此例相同。
1.成熟度评价标准
借鉴能力成熟度模型(CMM),同时考虑网络会计信息系统的特点,将内控流程评价标准划分为六级:不存在级、初始级、已认识级、已定义级、已管理级、优化级。完善后的内部会计控制成熟度评价标准如表2所示。
表2中等级的划分是针对会计信息系统内部控制体系总体情况而言。具体到网络会计内部控制的每一级指标建立成熟度模型时,各个流程也分为以上六个等级。
2.成熟度模型
建立了成熟度评价标准之后,便可根据网络会计内部控制体系列出控制内容、关键过程域及关键控制点。本文以信息技术控制为例建立具体模型,该控制因素的成熟度模型如表3所示。
3.权重分配
我国学者辛金国、范炜采用德尔菲法,通过问卷调查的方式得到传统内部控制五要素中控制环境权重为30%、风险评估为12.9%、控制活动为25.2%、信息与沟通为28%、监督为3.9%。
本文赋权采用德尔菲法,并结合网络会计的特点,控制内容的权重分配如表4、表5所示。
4.评价表
建立起三级的指标体系结构之后,分别对审计机构、信息安全机构、公司管理层及普通员工四个方面进行调查。每一类对象都挑选10人(总共40人)进行调查访问,每位专家、管理者及员工分别运用实地观察法、流程图法、专业判断法或工作经验法,按照指标执行情况,对每一项关键控制点依照成熟度模型赋予安全等级分值,表格的内容代表选择该等级的人数,整理后得出评价表,如表6所示。
5.模糊评价矩阵
首先,用表6中每个级别的分值除以总人数40,得出的评价结果构成关键过程域的模糊评价矩阵R4j:
R41=0.7 0.2 0.1 000000.1 0.3 0.50.1
R42=00 00.20.7 0.100.10.6 0.20.1 0
R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8
R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200
其次,进行关键控制域模糊矩阵运算,B4j=A4j・R4j
B41=[0.5 0.5]・R41=[0.35 0.1 0.1 0.15 0.25 0.05]
B42=[0 0.05 0.3 0.2 0.4 0.05]
B43=[0 0 0.033 0.1 0.366 0.501]
B44=[0.25 0.275 0.225 0.225 0.025 0]
然后,计算控制内容的模糊矩阵运算,Vi=Ai・Bi
V4=[0.2 0.3 0.25 0.25]・B4=[0.1325 0.10375 0.1745 0.17125 0.26775 0.15025]
最后,计算信息技术控制的综合得分G4=V4・ [0 1 2 3 4 5]T=2.78875。
6.评级表
对各关键控制点的分值进行加权平均计算,根据得出的数所靠近的级别,从而判断其成熟度级别,公式是:
单项关键控制点评价得分=Σ(该关键控制点的分值×对应的等级数)÷40
每一项关键控制点通过上述公式计算得出的评级表如表7所示。
依据内控流程的成熟度,对照单项关键控制点的评级,赋予其合适的等级区间。
7.评价结果
根据模糊矩阵法运算出的信息技术控制的综合评分为2.78875,在2―已认识级与3―已定义级之间,接近3―已定义级。
根据表7,可以针对公司的信息技术控制关键控制点的绩效作出如下评价:
公司在适当的信息系统开发方式、操作权限与岗位责任制、操作控制以及会计数据存储加密中做得较好,评级基本在3―已定义级以上。
公司在内部会计控制中的信息系统开发的战略规划、重点业务环节的安全控制、会计数据安全管理、对外来人员的访问控制、对内部服务器的安全管理均需要进一步加强。
四、结语
网络会计具有开放性、及时性、分散性与共享性的特点,根据其特点,本文建立了信息化内部会计控制体系,主要包含会计内控目标、会计内控环境、财务风险监控与管理、信息技术控制、财务监督问责、信息沟通六个方面。在安全分析过程中,列出了风险清单,让财务部门负责人更全面地了解到面临的各级风险。发现风险是第一步,第二步便是管理风险,公司应分别从内部会计控制的六个方面进行体系化的控制,其中最重要的便是利用信息技术控制来保障网络会计信息系统的内部安全和计算机网络安全。最后,本文运用模糊评价法,对网络会计信息系统内部控制评价体系进行应用研究,以信息技术控制为例,对其安全内控体系进行了评价及实证分析。
【参考文献】
[1] 王晓玲.基于风险管理的内部控制建设[M].北京:电子工业出版社,2010:100-102.
[2] 陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007(1):30-37.
[3] 杜洪涛.网络环境下会计电算化信息系统安全探讨[J].计算机光盘软件与应用,2010(9):37-38.
[4] 宫雪冰.基于内部控制的网络会计信息系统安全问题的控制[J].中国管理信息化,2010,13(15):2-3.
[5] 李河君.会计信息系统风险控制体系研究[D].首都经济贸易大学硕士学位论文,2010.
[6] 财政部会计司.《企业内部控制应用指引第18号―信息系统》解读[J].财务与会计,2011(6):57-62.
[7] 艾文国,王亚鸣.企业会计信息化内部控制问题研究[J].中国管理信息化,2008,11(15):14-16.
[8] 张继德,刘盼盼. 会计信息系统安全性现状及应对策略探讨[J]. 中国管理信息化,2010,13(6):3-5.
[9] 陈秀伟.网络环境下会计信息系统的内部控制探析[J].中国管理信息化,2011,14(5):7-8.
[10] 梁丽瑾,房卉.基于COBIT的企业信息化内部控制绩效评价[J].经济问题,2012(2):114-119.
[11] 王伟.基于COSO框架下建设项目内部控制评价指标体系的构建与应用研究[D].湘潭大学硕士学位论文,2011.