1、Internet下管理信息系统内部控制问题探讨Internet下管理信息系统内部控制问题的探讨北京师范大学教育信息与网络技术研究院 马秀麟 申佳丽(100875 maxlbnu.edu 内容本文通过研究当前企事业单位应用Internet下管理信息系统(MIS)时存在的问题,提出了在现代管理中加强企事业内部控制的重要性和方法。同时,作者通过探讨Internet下MIS的内部控制问题,对Internet下MIS的安全问题、管理问题的解决方案进行了论证。,关键词:MIS 企事业 内部控制 B/S C/S 网络安全随着社会开展速度的提高,人们对企事业单位的管理水平和管理效率提出了更高的要求。而计算机和
2、网络技术的开展,特别是Internet技术的开展,使建立全球范围内的MIS成为可能。但是,企事业的传统管理手段及其内部控制机制很难适应Internet下MIS的建设,这就给企事业的内部控制机制提出了新的挑战。事实证明,在现代MIS日益普及应用的今天,企事业必须建立起一套新型的内部控制机制,才能有效地使企事业躲避风险,真正地提高管理水平。因此,建立适应于互联网环境下的内部控制体系是企事业急需解决的问题。一、建立网络环境下MIS内部控制体系的必要性1未来企事业的管理必然基于Internet的当今高科技信息时代的到来,全球网络化以势不可当之势迅速渗透于各个领域。基于网络环境下的MIS的出现为企事业的
3、管理带来了巨大的生命力,极大地提高了企事业的管理水平和管理效率。通过互联网络,管理者可以最大限度地实现信息资源共享,加快信息交换速度,为电子商务的充分开展提供了保障。2Internet环境下的MIS在为人们带来便利的同时,也同时存在着各种严重问题,经济现实迫切要求企事业强化内部控制从Internet环境下MIS对企事业内部控制制度的影响看,基于网络的集成MIS使信息在公共信息平台上成为开放的信息系统。不同职能部门、不同级别的内部使用者可根据授权调阅信息,外部使用者也可能被授权进入系统内部直接调阅信息。原那么上,连入Internet网的任何一台计算机,都可以凭借网络获取网上任何一家企事业的信息资
4、源。网络是一把双刃剑,它使企事业在利用Internet网寻找潜在贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。因此,在基于网络环境的管理模式中,传统手工操作和单机系统下的内部控制制度已失效。其主要表现为:(1).Internet使计算机犯罪和企事业外部的“黑客侵入企事业管理系统成为可能由于现代MIS一般是基于Internet的,也就是说,世界范围内任一角落的任一个人员都有可能成为该系统的用户,都有可能进入企事业单位的、基于Internet的效劳器中。而企事业的管理信息一旦受到外部“黑客的入侵,将使企事业单位的商业秘密或者被窃取,或者被篡改、破坏,甚至使企事业的资金被盗窃,从而给企事业造
5、成重大损失。(2).网络为企事业内部工作人员的威胁和无意破坏提供了条件。由于现代企事业单位的相当一局部业务要通过MIS来进行,企事业经济活动的所有数据都保存在网络的效劳器中。原那么上网络内的任何一台工作站都可以访问效劳器中的数据,企事业内部人员有意无意的误操作,都可能使数据被破坏或企事业的秘密被他人窃取,给企业造成巨大损失。(3).局部工作人员的安全意识很差,口令泄露严重。由于局部工作人员的安全意识很差,为了便于记忆,经常使用自己姓名的简拼、自己的生日、甚至 号码作为登陆系统的口令。这种口令很容易被同事或者其他知情人猜出;还有的人为防止口令遗忘,干脆把自己的口令写在小纸片上然后贴到计算机屏幕上
6、,别人只要走近他的计算机就能知道他的口令。而得到口令和帐号的人员就可以利用这些口令在系统中为所欲为,给系统造成重大的损失。事实上,MIS系统的大多数威胁来自企事业内部,来自同事、被解雇的职员、受信任的顾客、咨询参谋等所有能进入系统的人。另外一些无意的行为,如丧失口令、疏忽大意、非法操作等都可以对网络造成极大的破坏。据统计,此类问题在网络的安全问题中的比例高达70%。(4).计算机病毒对系统的消灭性破坏由于网络环境下的MIS往往暴露在Internet环境下,而Internet下的病毒传播速度极快。1999年4月的CIH病毒,2023年冲击波和2023年的震荡波,都给企事业单位的MIS系统造成了巨
7、大损失。3如何保证系统中数据的机密性和可信度首先,MIS中的数据在跨地区、跨国传输中,随时可能被网络黑客或竞争对手非法截取并恶意篡改。由于网络系统中的磁介质具有可重写性,网络环境下的数据被篡改后往往难以发现。其次,作为信息接受方,跨地区跨国经营的总公司,随时会收到从不同地域发来的数据,由于缺乏有效确实认标识,有理由疑心数据的真实性;数据发送方也有类似的担忧,即发送的信息是否被接收方正确识别并下载。第三,系统内的机密数据是否被泄露。机密已经失窃而机密的主人尚不自知是信息系统建设中最大的悲哀,也是最容易出现的现象。如何保证网上的各类管理数据传递过程的安全实在是不容无视。研究如何建立严密的内部控制体
8、系,保证MIS的信息安全和完整,是现代MIS面临的重要课题。二、Internet下MIS内部控制的主要内容 要研究Internet环境下MIS的内部控制问题,我们必须首先明确Internet环境下MIS的体系结构和新特点:1Internet环境下MIS的体系结构与传统的工作方式不同,Internet环境下的MIS建构于网络和计算机根底之上,她的潜在用户群可能遍布世界的任何一个角落,是形形色色的人。行政管理人员面对的不再是纯粹基于纸介质的帐本、书面文件,而是基于Internet的计算机操作平台。如以下列图:文件文件文件帐本Internet效劳器客户机客户机图1. 传统管理与MIS下工作模式比拟从
9、管理队伍看,现代企事业单位的管理者已经不单单是负责行政部门的行政管理人员,还必须有负责MIS的计算机、网络技术人员。因此,研究Internet环境下MIS的内部控制必须从计算机网络技术和管理者的约束两个方面着手。2Internet环境下MIS内部控制的主要内容由于Internet环境下的MIS除了行政管理者的参与,而且有计算机网络技术人员的参与,并且计算机技术人员往往控制系统的全局。因此,建立网络环境下MIS的内部控制体系除了对普通行政人员的管理控制,要求行政人员严格遵守管理制度,而且需要制定严格的措施,对参与MIS的计算机技术人员提出严格要求。(1).组织与管理控制建立一套完整有序的组织管理
10、体系,对各级各类人员进行明确的职责划分。由单位主要负责人负责全盘规划,系统资源和人员要合理布局,采取措施确保各工作站、终端和人员之间以及行政管理人员的适当职责别离;发挥内部审计的作用。内部审计的本质是一种特殊的组织控制。通过内部审计部门对系统信息的质量和完整性进行独立和公正地监督与评价,有利于系统内部自我约束、自我鼓励机制的建立与健全; (2).系统开发、设计控制系统开发控制是为保证MIS开发过程中各项活动的合法性和有效性而设计的控制措施。它要求系统使用成熟的技术,严密的数据库和系统程序开发设计,从技术上保证系统的先进性、正确性和安全性。它应贯穿于系统规划、系统分析、系统设计、系统实施和系统运
11、行测试与维护的各个阶段。(3).常规操作管理控制MIS的能够真正发挥作用不是在系统开发建设阶段,而是在系统运转阶段。建立MIS的常规操作管理控制是保证系统正常运作的必要措施。(4).网络系统安全控制在系统开发阶段,采用适当、有效的技术,保证网络系统中的数据不被黑客篡改和监听;在系统运行阶段,那么通过一定的规章、制度,提高本系统内用户的网络安全意识,杜绝系统密码的泄露;对于Internet下的MIS,网络安全性在系统的正常运转中占有绝对重要的地位。 (5).应用控制。应用控制是指在系统的数据输入、通讯、处理和输出环节所采用的控制程序和措施。三、Internet环境下MIS的内部控制措施基于Int
12、ernet的MIS,由于其在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的系统,极大地改变了以往计算机系统的应用模式,扩展了系统运行的内容和方法。因此,我们需要根据互联网系统的特点及其风险来源,重新确立系统的控制点,并建立相应的控制体系,要求企事业采取相应的控制措施。 1.建立严密的组织机构,明确责任 企事业单位的MIS往往是单位的数据中心,其中的数据对企事业的开展往往具有致命的影响,因此单位MIS的建立必须由单位一把手亲自主持。为保证系统健康、有序的开展,应成立由单位一把手为组长、各部门中层干部为组员的领导小组,负责系统的组织、协调工作,并有权对造成系统重大故障的责任
13、人作出处分;成立由计算机专家、网络专家为核心的专家组,负责系统运行情况评估,及时地发现系统运行中出现的问题并能够提出解决方案;成立由计算机技术人员和行政人员共同组成的信息化工作办公室,为系统的运转提供技术支持和协调。2. 建立严格有效的规章制度,责、权、利有效结合,做到“有错必罚严格有效的规章制度是保证系统顺利运行的前提。因此为保证网络环境下MIS的顺利实施,必须有一套行之有效的规章制度,明确整个信息系统中每个岗位的职责或责任,要求每一个岗位的员工为自己在系统中的行为负责,为自己主管的业务负责。“马路警察,各管一段,在谁负责的范围内出现问题,谁就必须承当负责。规章中应有明确的奖惩制度,使员工责
14、、权、利有机地结合,充分调发开工的积极性。 3. 健全基于计算机网络技术的安全控制措施 (1).当前MIS的主要体系结构考察当前主流的MIS,主要有两种模式,一种是Browse/Server模式的,简称B/S模式,即浏览器/效劳器模式,其优势是客户端不需要安装任何软件,客户端只要有浏览器就可以了。B/S模式下,所有的程序都安装在效劳器上,所有的工作都由效劳器完成;这种模式的缺陷是效劳器的负担比拟重,其安全性主要由用户帐号和密码组成,非法用户一旦取得合法用户的帐号和密码就可以做合法用户可做的所有工作。另一种是Client/Server模式,简称C/S模式,即客户机/效劳器模式,其特色是客户端只有
15、安装了特定的软件才能访问效劳器上的数据库。其优势是系统的安全性除了用户帐号和密码外,还可以在客户端附加其他的技术手段;由于客户机可以完成一定量的计算、处理任务,效劳器的负担也较轻。其缺陷是客户端软件的安装限制了系统的应用范围,不利于匿名用户使用。 (2).推荐构建B/S与C/S混合结构的MIS比拟B/S与C/S模式的优劣,结合MIS的特性,我们认为:对安全性要求不太高的、用户群庞大的系统,可以建立纯粹B/S模式的MIS。对安全性要求高、用户群庞大的系统,那么可以在对用户分级的前提下,选用以Client/Server方式为主,并适当参加Browse/Server方式的混合型系统。即以C/S模式建立企事业内部的MIS,负责企事业内部的日常事务处理,C/S用户可以赋予较高的使用权限;以B/S模式提供一个外部用户访问界面,构建企事业外部网,允许企事业以外的普通用户通过浏览器与企事业内部用户发生业务联系。内部网与外部网之间通过防火墙隔离开来。为什么不推荐纯粹B/S模式的系统呢?考察C/S与B/S的特色,我们认为,在对安全性要求较高的系统中,B/S仍有一定的局限性。由于在B/S模式下,所有的效劳器都暴露在Internet中,所有的Internet用户都可以登陆效劳器。虽然我们可以通过帐号和密码限制访问Web
