簡介: 會計信息系統(tǒng)風險包括系統(tǒng)故障風險���、內部人員的道德風險��、非法侵擾風險等五大風險����,加強對會計信息系統(tǒng)的風險控制的辦法是堅持系統(tǒng)開發(fā)的控制,定制″防護套裝″��;建立網上公證三方牽制�,開發(fā)″第三只眼睛″�����;實行監(jiān)控與操作分離�,增強內部牽制;拓展在線測試功能�����,健全漏洞監(jiān)測系統(tǒng)����。
在全球網絡化的熱潮中�,國內外的會計(管理)軟件公司紛紛推出基于互聯網的會計信息系統(tǒng)�。原來封閉的局域網會計信息系統(tǒng)被推向開放的互聯網世界后,一方面給企業(yè)帶來了會計與業(yè)務一體化處理和實時監(jiān)控的方便�����,但同時也向會計信息系統(tǒng)的安全提出了嚴重挑戰(zhàn)���。
綜合來看����,會計信息系統(tǒng)存在以下幾個方面的風險����。
第一,系統(tǒng)故障風險��。任何計算機系統(tǒng)都存在著由于操作失誤���,以及硬件�����、軟件��、網絡本身出現故障導致系統(tǒng)數據丟失甚至癱瘓的風險���,并且在內聯網結構的會計信息系統(tǒng)中���,由于其開放性、遠程實時處理的特點�,系統(tǒng)的一致性、可控性降低���,一旦出現故障��,影響面更廣,數據的一致性保障更難���,系統(tǒng)恢復處理的成本更高����。
第二��,內部人員的道德風險��。主要指企業(yè)內部人員對會計數據的非法訪問����、篡改����、泄密和破壞等方面的風險�。網絡安全的最大風險仍然來自于組織內部,據統(tǒng)計����,大部分的非法闖入者來自于內部雇員。
第三�,非法侵擾風險。網絡環(huán)境里的會計信息系統(tǒng)很有可能遭受不法分子的非法訪問甚至黑客或病毒的侵擾���。這是目前媒體報道最多的風險類型��。這種攻擊可能來自于系統(tǒng)外部�,也可能來自系統(tǒng)內部�,而且一旦發(fā)生將造成巨大的損失。
第四�����,系統(tǒng)關聯方道德風險。主要指關聯方非法侵入企業(yè)內聯網�,盜竊財務數據和知識產權、破壞系統(tǒng)����、攪亂某項特定交易或事業(yè)等所產生的風險。在互聯網環(huán)境下�,為適應競爭發(fā)展需要,企業(yè)與關聯方需要建立統(tǒng)一的外聯網����。在外聯網內,企業(yè)之間的數據查詢�、數據交換、服務技術可通過互聯網實現�����,也可通過虛擬專用網實現���。特殊的內部聯系也使道德風險的發(fā)生成為可能,尤其像軟件供應商或開發(fā)商這樣的關聯方�����,由于其對企業(yè)內聯網的控制結構一清二楚,企業(yè)在接受網上技術支持和維護的同時���,實際上也向對方敞開了系統(tǒng)控制的大門�����。
第五����,電子商務也給內部控制增加難題��。隨著電子商務的迅猛發(fā)展��,網上交易愈加普遍�����,可以想象���,在不久后企業(yè)的全部原始憑證都將成為數字格式��,這加強了企業(yè)對網上公證機構的依賴�����。但直到目前�,相應的技術和法規(guī)還遠沒有完善,這也給系統(tǒng)的內部控制造成困難����。
針對這些問題,我們可以從以下幾方面來加強對會計信息系統(tǒng)的風險控制���。
第一��,堅持系統(tǒng)開發(fā)的控制���,定制“防護套裝”。系統(tǒng)開發(fā)控制應該貫穿于系統(tǒng)規(guī)劃����、系統(tǒng)分析、系統(tǒng)設計��、系統(tǒng)實施和系統(tǒng)運作測試與維護的各個階段�����。系統(tǒng)開發(fā)控制是一種預防性控制����,目的是確保會計信息系統(tǒng)開發(fā)過程及其內容符合內部控制的要求�����;诨ヂ摼W會計信息系統(tǒng)的開發(fā)�,必須把會計控制功能全面融入系統(tǒng)邏輯模型中。在軟件開發(fā)的前期�,內審和風險管理人員要參與系統(tǒng)控制功能的研究與設計,在軟件開發(fā)及測試階段加強監(jiān)督���,確保所有既定控制功能在系統(tǒng)中得以有效的實現���。
第二,建立網上公證三方牽制��,開發(fā)“第三只眼睛”�。由于網絡環(huán)境下原始憑證仍然使用數字方式進行存儲,所以也不能像手工系統(tǒng)那樣對每一張憑證作痕跡檢查����?墒抢镁W絡所特有的實時傳輸功能和日益豐富的互聯網服務項目��,我們可以實現原始憑證的第三方監(jiān)控,即網上公證����。
第三,實行監(jiān)控與操作分離�,增強內部牽制。會計信息系統(tǒng)的內部牽制沒有手工系統(tǒng)完善�����,但是從另一角度看���,手工系統(tǒng)下的多方牽制也不是一個成熟的牽制方法����,只是通過多人的重復勞動實現牽制����。一個比較有效的辦法是在會計信息系統(tǒng)中分出操作和監(jiān)控兩個崗位,對每一筆業(yè)務同時進行多方備份�。當會計人員進行多方處理時,其操作和數據也被同步記錄在監(jiān)控人員的機器上���,由監(jiān)控人員進行即時或定期審查�,一旦出現數據不一致便進行深入調查。這樣明確了崗位的劃分����,實現了有效牽制��。
第四���,拓展在線測試功能����,健全漏洞監(jiān)測系統(tǒng)����。對于計算機軟件來說,其內部錯誤或不足是無法避免的����。因此其解決方法只有兩個:一是在開發(fā)過程中加強交流,充分測試���。二是在發(fā)現問題時及時解決���。
網絡系統(tǒng)需要軟硬件安全控制��。硬件安全控制主要涉及計算機機房環(huán)境和設備的技術安全要求��,應制定網絡計算機機房和設備的管理制度��、崗位職責和操作規(guī)程��,嚴禁無關人員接觸系統(tǒng)�,專機專用��,關鍵性的硬件設備可采用雙系統(tǒng)備份�����;嚴格控制系統(tǒng)軟件的安裝與修改��,對系統(tǒng)軟件進行定期的預防性檢查��,系統(tǒng)被破壞時���,要求系統(tǒng)軟件具有緊急響應�����、強制備份���、快速重構和快速恢復的功能�。
