談會(huì)計(jì)信息應(yīng)用的風(fēng)險(xiǎn)及其控制

黃容

（北京天壇生物制品股份有限公司，北京 100024）

引言

隨著會(huì)計(jì)信息應(yīng)用的不斷擴(kuò)展，帶來的安全風(fēng)險(xiǎn)也日益明顯，網(wǎng)絡(luò)安全事件報(bào)告以及病毒感染數(shù)量也呈上升趨勢。為了使會(huì)計(jì)信息化的安全得到有效保障和促進(jìn)，需要加強(qiáng)對實(shí)施信息系統(tǒng)過程的有效控制；使相關(guān)會(huì)計(jì)人員在內(nèi)部會(huì)計(jì)控制和財(cái)務(wù)風(fēng)險(xiǎn)分析方面要充分發(fā)揮其重要作用，對信息系統(tǒng)以及相關(guān)技術(shù)進(jìn)行深入地了解和掌握，對信息中出現(xiàn)的異?，F(xiàn)象或變化軌跡能夠清楚地進(jìn)行掌握；使會(huì)計(jì)信息化風(fēng)險(xiǎn)得到有效控制，同時(shí)也有效保障企業(yè)信息化的安全實(shí)施。

一、會(huì)計(jì)信息化中存在的風(fēng)險(xiǎn)

（一）信息化決策風(fēng)險(xiǎn)

此風(fēng)險(xiǎn)主要來自于管理軟件供應(yīng)商或財(cái)務(wù)軟件供應(yīng)商所提供的產(chǎn)品質(zhì)量，如因產(chǎn)品中存在缺陷或?qū)ζ髽I(yè)會(huì)計(jì)信息化的實(shí)際需求不能滿足或適用，從而造成的系統(tǒng)運(yùn)行實(shí)施出現(xiàn)問題。對于財(cái)務(wù)信息化解決方案，需要根據(jù)企業(yè)的實(shí)際經(jīng)營情況，客觀地對項(xiàng)目可行性進(jìn)行有效分析，決策層再依據(jù)分析結(jié)果進(jìn)行合理選擇。不少企業(yè)決策層面對市場上眾多的財(cái)務(wù)軟件，缺乏對軟件適應(yīng)性全面評估的經(jīng)驗(yàn)，對企業(yè)信息化目標(biāo)不明確，容易受到供應(yīng)商的誘導(dǎo)，在軟件供應(yīng)商和軟件的選擇上做出錯(cuò)誤的決策，使會(huì)計(jì)信息系統(tǒng)的安全性無法得到有效保障[1]。

（二）信息處理風(fēng)險(xiǎn)

企業(yè)財(cái)務(wù)軟件在開發(fā)過程中需要進(jìn)行嚴(yán)格的可靠性測試，主要針對其程序結(jié)構(gòu)和數(shù)據(jù)結(jié)構(gòu)，否則在會(huì)計(jì)信息化過程中，系統(tǒng)中所隱藏的問題被觸發(fā)，造成損失的可能性升高。信息處理風(fēng)險(xiǎn)從環(huán)節(jié)可以分為數(shù)據(jù)記錄風(fēng)險(xiǎn)、數(shù)據(jù)維護(hù)風(fēng)險(xiǎn)和數(shù)據(jù)報(bào)告風(fēng)險(xiǎn)。在企業(yè)經(jīng)營活動(dòng)中，無法確保記錄的準(zhǔn)確性、完整性、真實(shí)性，并因此而造成損失的可能性便成為了數(shù)據(jù)記錄風(fēng)險(xiǎn)。在不少銷售活動(dòng)中，因漏記、錯(cuò)記客戶訂貨信息，導(dǎo)致企業(yè)利益的損失；在進(jìn)行信息和數(shù)據(jù)維護(hù)過程中，也有可能造成損失，帶來數(shù)據(jù)維護(hù)風(fēng)險(xiǎn)，在經(jīng)營過程中，沒有及時(shí)客戶信用情況、地址變化等進(jìn)行準(zhǔn)確反映，或是對缺貨情況、存貨的變化示沒有及時(shí)反映等，都有可能造成損失；信息報(bào)告風(fēng)險(xiǎn)是指在損失可能發(fā)生于信息報(bào)告過程中，如將信息報(bào)告給未經(jīng)允許和授權(quán)的人，或未經(jīng)允許和授權(quán)的人進(jìn)行相關(guān)信息的報(bào)告，或者未能及時(shí)提供相應(yīng)的報(bào)告等情況。企業(yè)所有的數(shù)據(jù)信息在管理信息化的環(huán)境下，采用電子數(shù)據(jù)的方式存儲(chǔ)在相應(yīng)的計(jì)算機(jī)數(shù)據(jù)庫系統(tǒng)中，企業(yè)經(jīng)營活動(dòng)在信息化得到廣泛應(yīng)用。管理信息化風(fēng)險(xiǎn)主要來自于管理因素和技術(shù)因素兩個(gè)方面，技術(shù)因素主要針對軟件系統(tǒng)內(nèi)部的缺陷，如果無法有效測試，將影響網(wǎng)絡(luò)系統(tǒng)的安全性，管理因素主要指信息安全管理制度未健全，相關(guān)控制操作規(guī)范、安全防范標(biāo)準(zhǔn)等缺乏[2]。

（三）資產(chǎn)保護(hù)風(fēng)險(xiǎn)

企業(yè)資產(chǎn)中的設(shè)備、存貨、現(xiàn)金，以及各種數(shù)據(jù)、信息資源、信息系統(tǒng)以及相關(guān)記錄和檔案等企業(yè)資產(chǎn)，在會(huì)計(jì)信息化的應(yīng)用中，也面臨著被盜和損毀的可能性，而且在信息化環(huán)境下，資產(chǎn)保護(hù)風(fēng)險(xiǎn)更高，造成的損失更大，比如重要敏感信息沒有采取相應(yīng)的保密機(jī)制，記錄或信息系統(tǒng)交由未經(jīng)授權(quán)的人進(jìn)行操控，以及信息系統(tǒng)未建立有效的災(zāi)難恢復(fù)措施等。

（四）效益風(fēng)險(xiǎn)

會(huì)計(jì)信息應(yīng)用中的效益風(fēng)險(xiǎn)，與傳統(tǒng)的效益風(fēng)險(xiǎn)相類似，主要是指因業(yè)務(wù)目標(biāo)未實(shí)現(xiàn)而產(chǎn)生損失的可能性。通常業(yè)務(wù)利益和風(fēng)險(xiǎn)同時(shí)存在，也密切相關(guān)。比如在銷售活動(dòng)中，客戶訂單執(zhí)行流程中各個(gè)銷售環(huán)節(jié)均按照相關(guān)規(guī)范和要求執(zhí)行，卻最終并未完成企業(yè)制定的相關(guān)銷售目標(biāo)，或者所提供的服務(wù)和產(chǎn)品未經(jīng)授權(quán)，從而形成了效益風(fēng)險(xiǎn)，因此對于業(yè)務(wù)執(zhí)行情況是否存在問題進(jìn)行考慮的同時(shí)，還應(yīng)關(guān)注執(zhí)行過程，對其中存在效益風(fēng)險(xiǎn)進(jìn)行有效預(yù)防和規(guī)避[3]。

二、風(fēng)險(xiǎn)控制措施

（一）管理制度梳理完善

首先需要對管理制度進(jìn)行健全和完善，其中主要包括對崗位責(zé)任制進(jìn)行建立，對會(huì)計(jì)及相關(guān)工作崗位責(zé)任進(jìn)行明確進(jìn)行相應(yīng)設(shè)置，使各職責(zé)之間相互制約，形成有效的分級權(quán)限授權(quán)管理、職責(zé)分離機(jī)制；嚴(yán)格控制相關(guān)的操作規(guī)程，操作過程中對重要事項(xiàng)進(jìn)行嚴(yán)格控制，確保計(jì)算機(jī)會(huì)計(jì)系統(tǒng)無誤碼、安全，正常運(yùn)行；針對黑客和病毒等的安全措施和防護(hù)措施進(jìn)行建立，來歷不明的軟件以及盜版軟件應(yīng)嚴(yán)禁使用，定期對軟件、磁盤數(shù)據(jù)進(jìn)行備份，嚴(yán)禁閱讀和打開來歷不明的郵件，對磁盤要進(jìn)行定期病毒檢測。

會(huì)計(jì)信息的技術(shù)安全制度主要包括動(dòng)態(tài)安全和靜態(tài)數(shù)據(jù)安全兩個(gè)方面。充分運(yùn)用，安全性強(qiáng)的數(shù)據(jù)加密算法，安全鎖定，以及安全的數(shù)據(jù)通訊協(xié)議，和一次一密，以及有效的計(jì)算機(jī)病毒防范體系、安全財(cái)務(wù)軟件平臺、計(jì)算機(jī)安全應(yīng)急機(jī)制和網(wǎng)絡(luò)漏洞監(jiān)測和攻擊防范系統(tǒng)等先進(jìn)技術(shù)手段，使會(huì)計(jì)信息的安全性得到有效保證。建立財(cái)務(wù)檔案管理制度，會(huì)計(jì)軟件信息化軟件升級的問題得到有效解決，使檔案數(shù)據(jù)形式保持一致性和連續(xù)性[4]。

（二）會(huì)計(jì)信息資源控制

網(wǎng)絡(luò)服務(wù)器的數(shù)據(jù)庫系統(tǒng)作為提供會(huì)計(jì)信息的關(guān)鍵，也是網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)控制的重點(diǎn)。因此需采取必要的控制措施，確保提供準(zhǔn)確、可靠的會(huì)計(jì)信息，為實(shí)現(xiàn)信息資源的有效控制，主要措施有：利用服務(wù)器模式，根據(jù)企業(yè)實(shí)際情況，組建內(nèi)部網(wǎng)絡(luò)；采用成熟的產(chǎn)品和軟件對大型網(wǎng)絡(luò)數(shù)據(jù)庫進(jìn)行建設(shè)，并對應(yīng)用子模式的產(chǎn)品進(jìn)行合理選擇；健全和完善相應(yīng)的信息資源授權(quán)制度；建立有效的數(shù)據(jù)備份、補(bǔ)救和恢復(fù)措施。

對內(nèi)部控制系統(tǒng)制度應(yīng)不斷進(jìn)行完善，主要針對于相關(guān)部門和人員在網(wǎng)絡(luò)財(cái)務(wù)系統(tǒng)中的管理和控制，確保職責(zé)分離；會(huì)計(jì)信息化系統(tǒng)開發(fā)控制是指為確保系統(tǒng)開發(fā)過程中各項(xiàng)活動(dòng)具有合法性、有效性；加強(qiáng)對系統(tǒng)開發(fā)可行性的分析和研究；風(fēng)險(xiǎn)管理人員和內(nèi)審人員參與開發(fā)中控制功能的研究和設(shè)計(jì)，根據(jù)研究結(jié)果制定有效的內(nèi)部控制方案，并嚴(yán)格執(zhí)行和實(shí)施；在系統(tǒng)運(yùn)行測試階段，應(yīng)加強(qiáng)相應(yīng)的管理和監(jiān)督。

會(huì)計(jì)信息化維護(hù)系統(tǒng)針對通訊設(shè)備、計(jì)算機(jī)軟硬件的維護(hù)，以及系統(tǒng)功能的完善、擴(kuò)充和調(diào)整等內(nèi)容。在進(jìn)行維護(hù)前需要經(jīng)過詳細(xì)的記錄和周密的計(jì)劃安排，以書面形式將維護(hù)的原因和性質(zhì)進(jìn)行報(bào)告，同時(shí)對每一個(gè)維護(hù)環(huán)節(jié)進(jìn)行必要控制措施的設(shè)置，審批通過后再執(zhí)行。

系統(tǒng)中通訊、輸入、處理、輸出等環(huán)節(jié)采用的控制及程序?qū)崿F(xiàn)會(huì)計(jì)信息化系統(tǒng)應(yīng)用控制。輸入控制環(huán)要的主要控制重心為建立審批機(jī)制和適當(dāng)?shù)氖跈?quán)機(jī)制，同時(shí)對輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)；控制權(quán)限、數(shù)據(jù)有效性檢測、現(xiàn)場控制、錯(cuò)誤糾正控制、預(yù)留審計(jì)線索控制等處理措施是處理控制的重點(diǎn)；控制輸出權(quán)限、審視檢查輸出、分發(fā)和保管輸出會(huì)計(jì)資料，集合檢驗(yàn)數(shù)據(jù)，檢驗(yàn)合理性等屬于數(shù)據(jù)輸出控制的重點(diǎn)[5]。

（三）管理負(fù)責(zé)制建立

高層管理者負(fù)責(zé)制的建立和實(shí)施，首先要使高層管理者對信息化有充分的認(rèn)識和理解，建立長遠(yuǎn)的眼光，使人力、資金等關(guān)鍵資源在實(shí)現(xiàn)會(huì)計(jì)信息化過程中，能夠?qū)ζ渥龀銮‘?dāng)?shù)臎Q策，并確保其有效使用，使會(huì)計(jì)信息化應(yīng)用的阻礙減少，使其順利開展得到有效保證。另外，會(huì)計(jì)信息化應(yīng)用還具有復(fù)雜性和長期性，需要在過程中對監(jiān)控工作進(jìn)行規(guī)劃，使信息化過程中財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)得到有效降低和消除。會(huì)計(jì)人員在以往的會(huì)計(jì)工作中，能夠在內(nèi)部會(huì)計(jì)控制和財(cái)務(wù)風(fēng)險(xiǎn)分析方面發(fā)揮作用，在實(shí)際應(yīng)用過程中，會(huì)計(jì)部門首先實(shí)現(xiàn)信息化應(yīng)用，同時(shí)相關(guān)會(huì)計(jì)人員也需面臨著知識結(jié)構(gòu)的進(jìn)一步完善，需要對信息系統(tǒng)和技術(shù)進(jìn)行熟悉和了解，對其變化中存在的異常現(xiàn)象和軌跡予以掌握，能在會(huì)計(jì)管理職能中充分發(fā)揮作用。所以會(huì)計(jì)人員在會(huì)計(jì)信息化應(yīng)用中，主要承擔(dān)著企業(yè)風(fēng)險(xiǎn)分析和控制咨詢的重要職責(zé)。

三、結(jié)束語

對企業(yè)來說，進(jìn)行會(huì)計(jì)信息化財(cái)務(wù)數(shù)據(jù)的風(fēng)險(xiǎn)控制和管理，需要建立起持續(xù)改進(jìn)、長期執(zhí)行的思想觀念，并在長期應(yīng)用過程中，逐步積累風(fēng)險(xiǎn)管理和會(huì)計(jì)信息化的經(jīng)驗(yàn)，所以對會(huì)計(jì)信息化中的各種風(fēng)險(xiǎn)應(yīng)予以高度重視，對管理制度進(jìn)行健全和完善，對內(nèi)部控制措施進(jìn)行加強(qiáng)，對相關(guān)會(huì)計(jì)人員的綜合素質(zhì)應(yīng)予以提高，使會(huì)計(jì)信息化數(shù)據(jù)的安全性、可靠性得到有效保障，同時(shí)使企業(yè)的可持續(xù)良性發(fā)展得到有效促進(jìn)。