掃碼下載APP
及時接收最新考試資訊及
備考信息
【摘要】 基于信息技術(shù)建立起來的會計信息系統(tǒng),從其構(gòu)建開始一直到壽命結(jié)束都面臨著各種風險。本文對其運行階段面臨的風險以及應采取的控制目標進行了分析和探討。
【關(guān)鍵詞】 會計信息系統(tǒng);風險;控制
一、基本概念
?。ㄒ唬嬓畔⑾到y(tǒng)風險
風險概念至今并沒有一個統(tǒng)一的、嚴格的定義,不同的理解下,風險概念的內(nèi)涵和外延是不同的。為了分析問題方便,本文將風險看成是導致一個組織或機構(gòu)不利事件發(fā)生、遭受損失的可能性。
會計信息系統(tǒng)風險:是指會計信息系統(tǒng)分析、設(shè)計、實施、運行、維護直到壽命期結(jié)束系統(tǒng)報廢的全過程面臨的風險。其中在運行階段,會計信息系統(tǒng)面臨著由于人為的或非人為的因素導致的系統(tǒng)運行正確性、可靠性、安全性以及運行效率等多方面的風險。由于信息系統(tǒng)的正確性、可靠性和運行效率主要取決于分析、設(shè)計階段而非運行階段,因此本文對會計信息系統(tǒng)風險的分析,主要指會計信息系統(tǒng)的安全風險,會計信息系統(tǒng)控制也主要針對安全風險。
?。ǘ嬓畔⑾到y(tǒng)安全風險
會計信息系統(tǒng)安全風險是指由于人為的或非人為的因素使得會計信息系統(tǒng)保護安全的能力減弱,從而造成損失的可能性。會計信息系統(tǒng)風險具有以下特點:
1.隱蔽性強
會計信息系統(tǒng)風險的隱蔽性主要表現(xiàn)在以下幾方面:
?。?)舞弊的手段更具隱蔽性。通過使用計算機及通訊設(shè)施等高技術(shù)工具,作案人不用親自到現(xiàn)場就可以完成犯罪活動。
?。?)系統(tǒng)受到侵害后,不易被發(fā)現(xiàn)。由于所有的數(shù)據(jù)和程序都是以電子文件存儲,數(shù)據(jù)文件受到篡改后可以不留下任何像手工業(yè)務處理下的筆跡、涂改、偽造之類的痕跡,同時由于數(shù)據(jù)存儲在磁盤、光盤、膠片之類的信息媒體上,人的肉眼無法直接識別,因此,即使數(shù)據(jù)文件的內(nèi)容已經(jīng)有非法更改、程序已經(jīng)有變化,操作者也難以發(fā)現(xiàn);同時,操作者通過計算機讀出的信息與媒體上存儲的信息并不完全等同,即存在著輸出的數(shù)據(jù)是正確的,而數(shù)據(jù)文件中存儲的數(shù)據(jù)有問題的可能,使錯弊難以被發(fā)現(xiàn)。
?。?)錯誤和舞弊人員不易被發(fā)現(xiàn)。無論是系統(tǒng)的合法用戶還是非法破壞者,由于手段的隱蔽、作案后留下的線索和痕跡較少、系統(tǒng)內(nèi)外部人員相互勾結(jié)以及遠程破壞等原因都使系統(tǒng)安全遭到破壞后難以及時發(fā)現(xiàn)錯弊者。
2.風險損失及后果嚴重
?。?)由于難以及時發(fā)現(xiàn),錯弊可以反復多次出現(xiàn)而不被察覺,一旦發(fā)現(xiàn),已經(jīng)損失巨大。
?。?)由于計算機病毒、黑客等不僅威脅數(shù)據(jù)甚至破壞程序、硬件系統(tǒng)等,可以造成單位計算機系統(tǒng)的癱瘓,系統(tǒng)難以恢復,從而導致數(shù)據(jù)丟失或系統(tǒng)無法進行正常業(yè)務處理,造成巨大損失。
?。?)如果企業(yè)經(jīng)營決策信息、技術(shù)機密、其他保密數(shù)據(jù)等重要信息被泄露的話,其損失和影響將難以計量;此外,由于水災、火災、地震等破壞性自然災害造成計算機系統(tǒng)破壞,數(shù)據(jù)丟失,其后果嚴重。
3.舞弊手段和方法先進。網(wǎng)絡(luò)環(huán)境下,由于各種信息都存儲在非紙質(zhì)媒體上,除非直接竊取或破壞有關(guān)媒體(如盜竊存放數(shù)據(jù)、程序、重要資料的軟盤、撕毀原始憑證等),舞弊基本上都利用計算機、通訊設(shè)施等現(xiàn)代化工具通過修改軟件、非法接入硬件、破壞傳輸系統(tǒng)、釋放病毒、黑客襲擊等隱蔽的方法和手段達到非法目的。比如:在網(wǎng)上設(shè)置陷阱,在用戶不知不覺中截獲用戶密碼,然后以合法身份進入系統(tǒng)進行非法操作等。
?。ㄈ嬓畔⑾到y(tǒng)控制
會計信息系統(tǒng)控制是指為了保證會計信息系統(tǒng)的正確性、可靠性和安全性,提高會計信息系統(tǒng)運營效率,確保會計信息的準確可靠,利用各種手段和技術(shù),對會計信息系統(tǒng)實施管理和控制的過程。
會計信息系統(tǒng)控制的對象是信息系統(tǒng),由計算機硬件和軟件資源、應用系統(tǒng)、數(shù)據(jù)和相關(guān)人員等信息系統(tǒng)的組成要素構(gòu)成。
會計信息系統(tǒng)控制的根本目的就是在信息系統(tǒng)風險分析基礎(chǔ)上消除或降低風險危害。其控制目標主要有以下幾點:
1.及時提供正確的、完整的、可靠的和合理的會計信息。
2.保證會計處理符合會計制度和會計原則的要求。這就要求無論在設(shè)計階段還是運行階段,都必須建立適當?shù)膬?nèi)部控制體系,確保系統(tǒng)及其所處理的經(jīng)濟業(yè)務合規(guī)、合法。
3.保護資產(chǎn)和資源,提高系統(tǒng)的安全性。
4.提高系統(tǒng)效率和效益,提高企業(yè)的競爭能力,輔助管理者提高管理決策的正確性。
二、會計信息系統(tǒng)風險分析
會計信息系統(tǒng)是一個復雜的系統(tǒng),本文將會計信息系統(tǒng)的風險因素歸納為技術(shù)、應用和管理、舞弊幾個方面。
?。ㄒ唬┬畔⑾到y(tǒng)固有的脆弱性和缺陷
信息系統(tǒng)的組件在設(shè)計、制造和組裝中,由于人為和自然的原因,可能留下各種隱患。如網(wǎng)絡(luò)傳輸速度,服務器等硬件設(shè)施的穩(wěn)定性和運行速度,軟件設(shè)計中的缺陷,不同信息子系統(tǒng)的接口等。
1. 硬件的脆弱性
信息系統(tǒng)硬件組件的安全隱患多數(shù)來源于設(shè)計,主要表現(xiàn)為物理安全方面(如物理可存取和電磁兼容方面等)的問題。由于這種問題是設(shè)計時所遺留的固有問題,因此在自制硬件和選購硬件時應盡可能減少或消除這類安全隱患。
2. 軟件系統(tǒng)的脆弱性
軟件系統(tǒng)的安全隱患來源于設(shè)計和軟件工程實施中的遺留問題。軟件設(shè)計中的疏忽可能留下安全漏洞;軟件設(shè)計中不必要的功能冗余以及軟件過長過大,不可避免地存在安全脆弱性;軟件設(shè)計不按信息系統(tǒng)安全等級要求進行模塊化設(shè)計,導致軟件的安全等級不能達到應有的安全級別;軟件尤其是自制應用軟件編程時程序員暗地編進指令,使之執(zhí)行未經(jīng)授權(quán)的功能等。這些問題一般不易被防止和發(fā)現(xiàn)。
3. 網(wǎng)絡(luò)和通信協(xié)議
由于互聯(lián)網(wǎng)本身是一個沒有明確物理界限的網(wǎng)際,而支持互聯(lián)網(wǎng)運行的TCP/IP協(xié)議棧在設(shè)計的當初主要考慮了互聯(lián)互通和資源共享的問題,無法兼容解決來自網(wǎng)際的大量安全問題。比如,缺乏對通信雙方真實身份的鑒別,TCP/IP在IP層上缺乏對路由協(xié)議的安全認證,應用層處于最頂部,下層的安全缺陷必然導致應用層的安全出現(xiàn)漏洞甚至崩潰,同時各種應用層協(xié)議本身也存在一些安全隱患等等。
?。ǘ┬畔⑾到y(tǒng)的舞弊
1. 針對硬件系統(tǒng)的舞弊
有意破壞系統(tǒng)硬件設(shè)備,致使系統(tǒng)運行中斷或毀滅;計算機系統(tǒng)的操作人員不按規(guī)定的程序使用硬件設(shè)備可以引起系統(tǒng)的損壞,從而危害系統(tǒng)的安全直至系統(tǒng)完全毀滅。例如,不按正確的順序開啟設(shè)備致使硬件系統(tǒng)被燒,系統(tǒng)無法正常運行等,其后果是非常嚴重的;通過盜竊等手段破壞計算機系統(tǒng),例如竊走競爭對手存有數(shù)據(jù)的磁帶或磁盤,從而非法獲得對方企業(yè)的重要信息;在原有的計算機系統(tǒng)中,非法加入硬件設(shè)備以達到竊取口令和重要信息的目的。
2. 針對軟件系統(tǒng)的舞弊
軟件系統(tǒng)是威脅、攻擊、舞弊的主要對象,其方法和手段多種多樣。常用的方法:截尾術(shù)、越級法、程序天窗、邏輯炸彈、冒名頂替等。
3. 針對數(shù)據(jù)的舞弊
計算機舞弊中最簡單、最常用的方法是篡改輸入,即數(shù)據(jù)在輸入計算機之前或輸入過程中篡改數(shù)據(jù),使舞弊數(shù)據(jù)進入系統(tǒng),達到非法目的的作弊方法。此外還有指操作員或其他人員不按操作規(guī)程或非法操作系統(tǒng),改變計算機系統(tǒng)的執(zhí)行路徑從而破壞數(shù)據(jù)、通過篡改輸出,以輸出正確數(shù)據(jù)以蒙蔽檢查、存儲在軟磁盤、硬盤、光盤等介質(zhì)上的信息泄露、通信的某一方對發(fā)出或接收信息的行為進行抵賴。比如事后否認已經(jīng)發(fā)送過的訂貨申請信息等。
4. 計算機病毒
計算機病毒實際上是一段小程序,它具有自我復制功能,常駐留于內(nèi)存、磁盤的引導扇區(qū)或磁盤文件中,在計算機系統(tǒng)之間傳播,常常在某個特定的時刻破壞計算機內(nèi)的程序、數(shù)據(jù)甚至硬件。雖然絕大多數(shù)病毒并不是針對某個系統(tǒng)設(shè)計,但是由于其隱蔽性強、傳播范圍廣、破壞力大,對網(wǎng)絡(luò)信息傳輸?shù)陌踩珮?gòu)成了極大的威脅,逐漸成為威脅系統(tǒng)安全的重要因素。
5. 網(wǎng)絡(luò)黑客
黑客是指非授權(quán)侵入網(wǎng)絡(luò)的用戶或程序。黑客可能通過盜竊系統(tǒng)合法用戶的口令,然后以此口令合法登陸系統(tǒng)實現(xiàn)非法目的等。
?。ㄈ┬畔⑾到y(tǒng)應用和管理的問題
1. 如果企業(yè)規(guī)模很大,信息系統(tǒng)的結(jié)構(gòu)就會很復雜,發(fā)生信息錯誤的機會也隨之增多,即數(shù)據(jù)完整性就較難保證。
2. 授權(quán)管理的問題
信息系統(tǒng)中,很多原來手工系統(tǒng)下由不同的人完成的業(yè)務處理環(huán)節(jié)集中由計算機統(tǒng)一處理,這樣就不能像手工方式那樣相互牽制、相互制約,操作人員只要獲得授權(quán)文件或注冊系統(tǒng)的密碼就可獲得某種權(quán)利或運行特定程序進行業(yè)務處理,密碼一旦被他人掌握或一人掌握多個級別操作員的密碼,權(quán)限就會失控,從而造成損失。
3. 職責分離失效
信息系統(tǒng)中,業(yè)務人員可能一人身兼多個職能。例如,在零售業(yè),當顧客購買商品時,銷售人員掃描商品的條形碼,由計算機系統(tǒng)自動讀取商品價格,計算已銷售商品數(shù)量,并自動更新銷售收入余額和存貨余額。如果發(fā)現(xiàn)存貨余額低于最低數(shù)量,計算機系統(tǒng)還可以自動向供應商發(fā)出定單。這樣,一個銷售人員就可以完成授權(quán)、記錄和保管工作,極易出現(xiàn)錯弊。
三、會計信息系統(tǒng)的控制
?。ㄒ唬┬畔⒓夹g(shù)應用對內(nèi)部控制的影響
網(wǎng)絡(luò)化環(huán)境下由于會計處理高度集中在計算機內(nèi)部,其處理高度自動化,會計信息的利用遍布在網(wǎng)絡(luò)各處,信息傳輸高度分散化,而且會計信息主要載體變?yōu)榇沤橘|(zhì),人眼無法直接識別,這為組織的內(nèi)部控制帶來了挑戰(zhàn)。
1.內(nèi)部控制形式發(fā)生變化
首先,傳統(tǒng)手工處理中,一般將授權(quán)、記錄、保管職責進行分離來防止在正常工作過程中發(fā)生的人為錯誤或舞弊。但是在應用信息系統(tǒng)之后,許多原來由人做的工作改由計算機進行處理,一個業(yè)務員可能身兼多個職能,這就使手工環(huán)境下的一些職責分離失去作用;其次,傳統(tǒng)會計實務中的一些控制措施將不再有效,如制作科目匯總表、憑證匯總表等試算平衡的檢查,進行平行登記、賬賬核對、賬證核對等,隨著核算程序的變化,這些控制已失去了其真正的意義。第三,傳統(tǒng)會計實務中的一些平衡檢查將移入計算機系統(tǒng)內(nèi)部通過計算機程序體現(xiàn)出來。如,賬戶的期末余額、期初余額、本期發(fā)生額的檢查,各核算業(yè)務模塊間數(shù)據(jù)的核對,報表數(shù)據(jù)的勾稽關(guān)系檢查,會計平衡等式的檢查等。信息系統(tǒng)內(nèi)部控制的形式,包括以組織控制措施為主的一般控制和以計算機程序控制為主的應用控制兩個方面。
2.內(nèi)部控制內(nèi)容發(fā)生改變
會計信息系統(tǒng)是一個人機交互系統(tǒng),其控制的內(nèi)容更加復雜。大致可以概括為以下幾方面:①計算機會計人員的重新崗位分工和內(nèi)部牽制。崗位職責分離的重點在于信息系統(tǒng)和業(yè)務職能的相互獨立、信息系統(tǒng)本身業(yè)務職能的劃分和相互牽制;②系統(tǒng)安全控制以及系統(tǒng)開發(fā)、系統(tǒng)資料文書化控制;③系統(tǒng)的組織和操作管理控制;④系統(tǒng)的自動控制,包括輸入控制、處理控制和輸出控制;⑤網(wǎng)絡(luò)化硬件系統(tǒng)控制。
3.內(nèi)部控制重點發(fā)生改變
信息環(huán)境下,業(yè)務處理過程包括了手工處理、信息系統(tǒng)處理和人與計算機進行交互處理幾個環(huán)節(jié),這一處理過程可以用下圖簡單表示。
由上圖可以看出,內(nèi)部控制的重點發(fā)生了變化:人及其處理的業(yè)務、人機交互處理過程、計算機系統(tǒng)業(yè)務處理過程和不同系統(tǒng)之間信息傳遞過程。其中人機交互處理過程包括原始數(shù)據(jù)進入計算機系統(tǒng)和業(yè)務信息從計算機系統(tǒng)輸出兩個環(huán)節(jié)。
(二)會計信息系統(tǒng)控制
會計信息系統(tǒng)運行階段的控制包括一般控制和應用控制兩個方面。一般控制主要從組織控制、操作控制、資源控制幾方面著手;應用控制的內(nèi)容與業(yè)務處理有關(guān),取決于業(yè)務處理的需要。
1.組織控制
組織控制是將組織作為控制的對象和手段,通過建立起具有控制能力的組織結(jié)構(gòu)、采用滿足控制要求的組織流程、構(gòu)筑認同和重視控制的組織文化,達到控制的目標。組織控制是其他控制實施和發(fā)揮作用的基礎(chǔ)。會計信息系統(tǒng)的組織控制應該包括進行合理的職責分工(合理劃分人機職責、合理劃分崗位職責、確定崗位標準)、設(shè)置滿足控制要求的組織流程等方面的工作。
2.操作控制
操作控制主要是建立和實施操作管理制度,對系統(tǒng)使用、操作規(guī)程和會計業(yè)務處理幾方面做出規(guī)定。
操作控制中首先應該強調(diào)系統(tǒng)使用和管理的計劃性,比如什么時間按照何種程序?qū)φ麄€系統(tǒng)進行全面(或局部)檢測、什么時間對系統(tǒng)進行優(yōu)化升級、什么時間對系統(tǒng)的中間文件進行清理等等;其次要重視操作日志。操作日志是操作管理的重要手段,是對日常系統(tǒng)操作情況的最基本、最全面和最詳盡的反映,應充分利用操作日志,定期監(jiān)察和檢驗日志,及時了解非法用戶和有權(quán)用戶越權(quán)使用系統(tǒng)的情況及設(shè)備狀況。第三,操作控制中除了要求各類操作人員按照制度規(guī)定操作系統(tǒng)外,還應該強調(diào)員工的責任、能力和可信賴程度。
3.資源控制
?。?)硬件資源控制
會計信息系統(tǒng)的硬件包括網(wǎng)絡(luò)設(shè)施、通訊設(shè)施、計算機及其輔助設(shè)備等。硬件設(shè)備本身的控制措施一般由設(shè)備生產(chǎn)廠家固化在設(shè)備中,設(shè)備使用者是難以改變的,它能自動查出某些類型的錯誤,而無需程序或操作人員送入任何特殊指令。硬件控制的失效會消弱其他控制措施的作用,影響系統(tǒng)的可靠性。
(2)軟件資源控制
信息系統(tǒng)軟件一般包括操作系統(tǒng)(包括網(wǎng)絡(luò)操作系統(tǒng)和單用戶操作系統(tǒng))、工具軟件(包括數(shù)據(jù)庫管理系統(tǒng),編譯器和程序設(shè)計語言,Excel等電子表格處理軟件,Web 服務、發(fā)布和瀏覽軟件,信息采集、FTP、Telnet等軟件)、應用系統(tǒng)軟件三大部分。操作系統(tǒng)處于信息系統(tǒng)軟件平臺的最底層,其安全是整個軟件平臺安全的基礎(chǔ);應用系統(tǒng)處于最上層,是完成具體業(yè)務處理的軟件,由于各種業(yè)務處理對安全的需求程度不同,應用軟件自身提供的控制措施也有很大區(qū)別;工具軟件介于操作系統(tǒng)和應用軟件之間。
不同軟件資源的控制措施不同。
?。?)數(shù)據(jù)資源控制
會計信息系統(tǒng)的數(shù)據(jù)都以記錄的形式存儲在系統(tǒng)的數(shù)據(jù)庫中,數(shù)據(jù)資源控制的重點是數(shù)據(jù)庫的管理控制,其主要目的是防止系統(tǒng)內(nèi)外人員對數(shù)據(jù)庫的非法訪問,以及系統(tǒng)故障、誤操作或人為破壞造成數(shù)據(jù)庫毀損。一般可以實施的控制包括訪問控制、建立數(shù)據(jù)備份和恢復制度。
(4)檔案資料控制
采用會計信息系統(tǒng)之后,由于檔案本身種類、內(nèi)容、形式等的改變,檔案的保存具有了與傳統(tǒng)手工會計不同的要求。檔案資料控制主要是確定檔案、建立檔案管理制度(包括檔案保管制度、檔案存取制度、檔案作廢制度)兩方面。
4.應用控制
應用控制是對具體業(yè)務處理過程實施的控制。圖2所示是計算機系統(tǒng)的業(yè)務處理環(huán)節(jié),從中可以看到任何業(yè)務處理系統(tǒng)都可以劃分成輸入過程、處理和存儲過程、輸出過程幾個環(huán)節(jié),因此不同環(huán)節(jié)的應用控制又可以分別稱為輸入控制、處理和存儲控制、輸出控制。
其中,輸入控制是為了防止和發(fā)現(xiàn)進入信息系統(tǒng)的數(shù)據(jù)錯誤而施加的控制。輸入控制應該從數(shù)據(jù)采集、數(shù)據(jù)輸入和輸入數(shù)據(jù)的存儲三方面著手。處理控制是為了保證在合法的權(quán)限內(nèi),數(shù)據(jù)處理能夠按照預先設(shè)定的程序正確、完整地進行而實施的控制,處理控制一般是通過預先編好的計算機程序?qū)崿F(xiàn)的。常用的控制措施有設(shè)置處理權(quán)限、控制業(yè)務時序、檢查鉤稽關(guān)系、檢驗數(shù)據(jù)合理性、錯誤更正控制、設(shè)置審計線索、備份及恢復等;存儲控制是對信息系統(tǒng)處理結(jié)果保存的控制,以便為審計提供線索;輸出控制就是要保證信息系統(tǒng)能夠輸出正確的信息,并將其提供給經(jīng)過授權(quán)的使用者。
(三)會計信息系統(tǒng)控制的局限
會計信息系統(tǒng)控制的作用不是無限的,具有一定的局限性,主要表現(xiàn)在:
1. 會計信息系統(tǒng)控制也要講究成本效益原則。如果建立或?qū)嵤┠稠椏刂频某杀具^大,取得的效益相對較小,這樣的控制就會被放棄。
2. 會計信息系統(tǒng)控制一般都是針對經(jīng)常發(fā)生的事項而設(shè)置的,而不適用于那些偶然發(fā)生的事項。
3. 即使很有效的控制措施,也可能因執(zhí)行人員的錯誤理解、粗心大意、疲勞或其他人為因素而失效。
4. 一旦不相容職務的用戶相互勾結(jié),串通舞弊,或用戶判斷錯誤,再好的控制也會失效。
5. 系統(tǒng)的管理者如果逾越控制權(quán)限,濫用職權(quán),會使其管理系統(tǒng)的控制形同虛設(shè)。
6. 會計信息系統(tǒng)控制有效依賴于其運行環(huán)境。會計信息系統(tǒng)運行環(huán)境發(fā)生變化,將可能使原有的控制措施失效。
【主要參考文獻】
[1] 中國財政部. 企業(yè)內(nèi)部控制規(guī)范(征求意見稿),2007.3
[2] [美]斯科特.格林著,張翼,林小馳譯.薩班斯法案內(nèi)控指南.經(jīng)濟科學出版社,2007.1.
Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號