會計運行的風險與預防

導語：會計運行的風險與預防一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

一、基本概念

（一）會計信息系統風險

風險概念至今并沒有一個統一的、嚴格的定義，不同的理解下，風險概念的內涵和外延是不同的。為了分析問題方便，本文將風險看成是導致一個組織或機構不利事件發生、遭受損失的可能性。

會計信息系統風險：是指會計信息系統分析、設計、實施、運行、維護直到壽命期結束系統報廢的全過程面臨的風險。其中在運行階段，會計信息系統面臨著由于人為的或非人為的因素導致的系統運行正確性、可靠性、安全性以及運行效率等多方面的風險。由于信息系統的正確性、可靠性和運行效率主要取決于分析、設計階段而非運行階段，因此本文對會計信息系統風險的分析，主要指會計信息系統的安全風險，會計信息系統控制也主要針對安全風險。

（二）會計信息系統安全風險

會計信息系統安全風險是指由于人為的或非人為的因素使得會計信息系統保護安全的能力減弱，從而造成損失的可能性。會計信息系統風險具有以下特點：

1．隱蔽性強

會計信息系統風險的隱蔽性主要表現在以下幾方面：

（1）舞弊的手段更具隱蔽性。通過使用計算機及通訊設施等高技術工具，作案人不用親自到現場就可以完成犯罪活動。

（2）系統受到侵害后，不易被發現。由于所有的數據和程序都是以電子文件存儲，數據文件受到篡改后可以不留下任何像手工業務處理下的筆跡、涂改、偽造之類的痕跡，同時由于數據存儲在磁盤、光盤、膠片之類的信息媒體上，人的肉眼無法直接識別，因此，即使數據文件的內容已經有非法更改、程序已經有變化，操作者也難以發現；同時，操作者通過計算機讀出的信息與媒體上存儲的信息并不完全等同，即存在著輸出的數據是正確的，而數據文件中存儲的數據有問題的可能，使錯弊難以被發現。

（3）錯誤和舞弊人員不易被發現。無論是系統的合法用戶還是非法破壞者，由于手段的隱蔽、作案后留下的線索和痕跡較少、系統內外部人員相互勾結以及遠程破壞等原因都使系統安全遭到破壞后難以及時發現錯弊者。

2．風險損失及后果嚴重

（1）由于難以及時發現,錯弊可以反復多次出現而不被察覺,一旦發現,已經損失巨大。

（2）由于計算機病毒、黑客等不僅威脅數據甚至破壞程序、硬件系統等,可以造成單位計算機系統的癱瘓,系統難以恢復,從而導致數據丟失或系統無法進行正常業務處理，造成巨大損失。

（3）如果企業經營決策信息、技術機密、其他保密數據等重要信息被泄露的話,其損失和影響將難以計量；此外，由于水災、火災、地震等破壞性自然災害造成計算機系統破壞，數據丟失，其后果嚴重。

3．舞弊手段和方法先進。網絡環境下，由于各種信息都存儲在非紙質媒體上，除非直接竊取或破壞有關媒體(如盜竊存放數據、程序、重要資料的軟盤、撕毀原始憑證等)，舞弊基本上都利用計算機、通訊設施等現代化工具通過修改軟件、非法接入硬件、破壞傳輸系統、釋放病毒、黑客襲擊等隱蔽的方法和手段達到非法目的。比如：在網上設置陷阱，在用戶不知不覺中截獲用戶密碼，然后以合法身份進入系統進行非法操作等。

（三）會計信息系統控制

會計信息系統控制是指為了保證會計信息系統的正確性、可靠性和安全性，提高會計信息系統運營效率，確保會計信息的準確可靠，利用各種手段和技術，對會計信息系統實施管理和控制的過程。

會計信息系統控制的對象是信息系統，由計算機硬件和軟件資源、應用系統、數據和相關人員等信息系統的組成要素構成。

會計信息系統控制的根本目的就是在信息系統風險分析基礎上消除或降低風險危害。其控制目標主要有以下幾點：

1．及時提供正確的、完整的、可靠的和合理的會計信息。

2．保證會計處理符合會計制度和會計原則的要求。這就要求無論在設計階段還是運行階段，都必須建立適當的內部控制體系，確保系統及其所處理的經濟業務合規、合法。

3．保護資產和資源，提高系統的安全性。

4．提高系統效率和效益，提高企業的競爭能力，輔助管理者提高管理決策的正確性。

二、會計信息系統風險分析

會計信息系統是一個復雜的系統，本文將會計信息系統的風險因素歸納為技術、應用和管理、舞弊幾個方面。

（一）信息系統固有的脆弱性和缺陷

信息系統的組件在設計、制造和組裝中，由于人為和自然的原因，可能留下各種隱患。如網絡傳輸速度，服務器等硬件設施的穩定性和運行速度，軟件設計中的缺陷，不同信息子系統的接口等。

1.硬件的脆弱性

信息系統硬件組件的安全隱患多數來源于設計，主要表現為物理安全方面(如物理可存取和電磁兼容方面等)的問題。由于這種問題是設計時所遺留的固有問題，因此在自制硬件和選購硬件時應盡可能減少或消除這類安全隱患。

2.軟件系統的脆弱性

軟件系統的安全隱患來源于設計和軟件工程實施中的遺留問題。軟件設計中的疏忽可能留下安全漏洞；軟件設計中不必要的功能冗余以及軟件過長過大，不可避免地存在安全脆弱性；軟件設計不按信息系統安全等級要求進行模塊化設計，導致軟件的安全等級不能達到應有的安全級別；軟件尤其是自制應用軟件編程時程序員暗地編進指令，使之執行未經授權的功能等。這些問題一般不易被防止和發現。

3.網絡和通信協議

由于互聯網本身是一個沒有明確物理界限的網際，而支持互聯網運行的TCP/IP協議棧在設計的當初主要考慮了互聯互通和資源共享的問題，無法兼容解決來自網際的大量安全問題。比如，缺乏對通信雙方真實身份的鑒別，TCP/IP在IP層上缺乏對路由協議的安全認證，應用層處于最頂部，下層的安全缺陷必然導致應用層的安全出現漏洞甚至崩潰，同時各種應用層協議本身也存在一些安全隱患等等。

（二）信息系統的舞弊

1.針對硬件系統的舞弊

有意破壞系統硬件設備，致使系統運行中斷或毀滅；計算機系統的操作人員不按規定的程序使用硬件設備可以引起系統的損壞，從而危害系統的安全直至系統完全毀滅。例如，不按正確的順序開啟設備致使硬件系統被燒，系統無法正常運行等，其后果是非常嚴重的；通過盜竊等手段破壞計算機系統，例如竊走競爭對手存有數據的磁帶或磁盤，從而非法獲得對方企業的重要信息；在原有的計算機系統中，非法加入硬件設備以達到竊取口令和重要信息的目的。

2.針對軟件系統的舞弊

軟件系統是威脅、攻擊、舞弊的主要對象，其方法和手段多種多樣。常用的方法：截尾術、越級法、程序天窗、邏輯炸彈、冒名頂替等。

3.針對數據的舞弊

計算機舞弊中最簡單、最常用的方法是篡改輸入，即數據在輸入計算機之前或輸入過程中篡改數據，使舞弊數據進入系統，達到非法目的的作弊方法。此外還有指操作員或其他人員不按操作規程或非法操作系統，改變計算機系統的執行路徑從而破壞數據、通過篡改輸出，以輸出正確數據以蒙蔽檢查、存儲在軟磁盤、硬盤、光盤等介質上的信息泄露、通信的某一方對發出或接收信息的行為進行抵賴。比如事后否認已經發送過的訂貨申請信息等。

4.計算機病毒

計算機病毒實際上是一段小程序，它具有自我復制功能，常駐留于內存、磁盤的引導扇區或磁盤文件中，在計算機系統之間傳播，常常在某個特定的時刻破壞計算機內的程序、數據甚至硬件。雖然絕大多數病毒并不是針對某個系統設計，但是由于其隱蔽性強、傳播范圍廣、破壞力大，對網絡信息傳輸的安全構成了極大的威脅，逐漸成為威脅系統安全的重要因素。

5.網絡黑客

黑客是指非授權侵入網絡的用戶或程序。黑客可能通過盜竊系統合法用戶的口令，然后以此口令合法登陸系統實現非法目的等。

（三）信息系統應用和管理的問題

1.如果企業規模很大，信息系統的結構就會很復雜，發生信息錯誤的機會也隨之增多，即數據完整性就較難保證。

2.授權管理的問題

信息系統中，很多原來手工系統下由不同的人完成的業務處理環節集中由計算機統一處理，這樣就不能像手工方式那樣相互牽制、相互制約，操作人員只要獲得授權文件或注冊系統的密碼就可獲得某種權利或運行特定程序進行業務處理，密碼一旦被他人掌握或一人掌握多個級別操作員的密碼,權限就會失控，從而造成損失。

3.職責分離失效

信息系統中，業務人員可能一人身兼多個職能。例如，在零售業，當顧客購買商品時，銷售人員掃描商品的條形碼，由計算機系統自動讀取商品價格，計算已銷售商品數量，并自動更新銷售收入余額和存貨余額。如果發現存貨余額低于最低數量，計算機系統還可以自動向供應商發出定單。這樣，一個銷售人員就可以完成授權、記錄和保管工作，極易出現錯弊。

三、會計信息系統的控制

（一）信息技術應用對內部控制的影響

網絡化環境下由于會計處理高度集中在計算機內部，其處理高度自動化，會計信息的利用遍布在網絡各處，信息傳輸高度分散化，而且會計信息主要載體變為磁介質，人眼無法直接識別，這為組織的內部控制帶來了挑戰。

1．內部控制形式發生變化

首先，傳統手工處理中，一般將授權、記錄、保管職責進行分離來防止在正常工作過程中發生的人為錯誤或舞弊。但是在應用信息系統之后，許多原來由人做的工作改由計算機進行處理，一個業務員可能身兼多個職能，這就使手工環境下的一些職責分離失去作用；其次，傳統會計實務中的一些控制措施將不再有效，如制作科目匯總表、憑證匯總表等試算平衡的檢查，進行平行登記、賬賬核對、賬證核對等，隨著核算程序的變化，這些控制已失去了其真正的意義。第三，傳統會計實務中的一些平衡檢查將移入計算機系統內部通過計算機程序體現出來。如，賬戶的期末余額、期初余額、本期發生額的檢查，各核算業務模塊間數據的核對，報表數據的勾稽關系檢查，會計平衡等式的檢查等。信息系統內部控制的形式，包括以組織控制措施為主的一般控制和以計算機程序控制為主的應用控制兩個方面。

2．內部控制內容發生改變

會計信息系統是一個人機交互系統，其控制的內容更加復雜。大致可以概括為以下幾方面：①計算機會計人員的重新崗位分工和內部牽制。崗位職責分離的重點在于信息系統和業務職能的相互獨立、信息系統本身業務職能的劃分和相互牽制；②系統安全控制以及系統開發、系統資料文書化控制；③系統的組織和操作管理控制；④系統的自動控制，包括輸入控制、處理控制和輸出控制；⑤網絡化硬件系統控制。

3．內部控制重點發生改變

信息環境下，業務處理過程包括了手工處理、信息系統處理和人與計算機進行交互處理幾個環節，這一處理過程可以用下圖簡單表示。

由上圖可以看出，內部控制的重點發生了變化：人及其處理的業務、人機交互處理過程、計算機系統業務處理過程和不同系統之間信息傳遞過程。其中人機交互處理過程包括原始數據進入計算機系統和業務信息從計算機系統輸出兩個環節。

（二）會計信息系統控制

會計信息系統運行階段的控制包括一般控制和應用控制兩個方面。一般控制主要從組織控制、操作控制、資源控制幾方面著手；應用控制的內容與業務處理有關，取決于業務處理的需要。

1．組織控制

組織控制是將組織作為控制的對象和手段，通過建立起具有控制能力的組織結構、采用滿足控制要求的組織流程、構筑認同和重視控制的組織文化，達到控制的目標。組織控制是其他控制實施和發揮作用的基礎。會計信息系統的組織控制應該包括進行合理的職責分工（合理劃分人機職責、合理劃分崗位職責、確定崗位標準）、設置滿足控制要求的組織流程等方面的工作。

2．操作控制

操作控制主要是建立和實施操作管理制度，對系統使用、操作規程和會計業務處理幾方面做出規定。

操作控制中首先應該強調系統使用和管理的計劃性，比如什么時間按照何種程序對整個系統進行全面（或局部）檢測、什么時間對系統進行優化升級、什么時間對系統的中間文件進行清理等等；其次要重視操作日志。操作日志是操作管理的重要手段，是對日常系統操作情況的最基本、最全面和最詳盡的反映，應充分利用操作日志，定期監察和檢驗日志，及時了解非法用戶和有權用戶越權使用系統的情況及設備狀況。第三，操作控制中除了要求各類操作人員按照制度規定操作系統外，還應該強調員工的責任、能力和可信賴程度。

3．資源控制

（1）硬件資源控制

會計信息系統的硬件包括網絡設施、通訊設施、計算機及其輔助設備等。硬件設備本身的控制措施一般由設備生產廠家固化在設備中，設備使用者是難以改變的，它能自動查出某些類型的錯誤，而無需程序或操作人員送入任何特殊指令。硬件控制的失效會消弱其他控制措施的作用，影響系統的可靠性。

（2）軟件資源控制

信息系統軟件一般包括操作系統（包括網絡操作系統和單用戶操作系統）、工具軟件（包括數據庫管理系統，編譯器和程序設計語言，Excel等電子表格處理軟件，Web服務、和瀏覽軟件，信息采集、FTP、Telnet等軟件）、應用系統軟件三大部分。操作系統處于信息系統軟件平臺的最底層，其安全是整個軟件平臺安全的基礎；應用系統處于最上層，是完成具體業務處理的軟件，由于各種業務處理對安全的需求程度不同，應用軟件自身提供的控制措施也有很大區別；工具軟件介于操作系統和應用軟件之間。

不同軟件資源的控制措施不同。

（3）數據資源控制

會計信息系統的數據都以記錄的形式存儲在系統的數據庫中，數據資源控制的重點是數據庫的管理控制，其主要目的是防止系統內外人員對數據庫的非法訪問，以及系統故障、誤操作或人為破壞造成數據庫毀損。一般可以實施的控制包括訪問控制、建立數據備份和恢復制度。

（4）檔案資料控制

采用會計信息系統之后，由于檔案本身種類、內容、形式等的改變，檔案的保存具有了與傳統手工會計不同的要求。檔案資料控制主要是確定檔案、建立檔案管理制度（包括檔案保管制度、檔案存取制度、檔案作廢制度）兩方面。

4．應用控制

應用控制是對具體業務處理過程實施的控制。圖2所示是計算機系統的業務處理環節，從中可以看到任何業務處理系統都可以劃分成輸入過程、處理和存儲過程、輸出過程幾個環節，因此不同環節的應用控制又可以分別稱為輸入控制、處理和存儲控制、輸出控制。

其中，輸入控制是為了防止和發現進入信息系統的數據錯誤而施加的控制。輸入控制應該從數據采集、數據輸入和輸入數據的存儲三方面著手。處理控制是為了保證在合法的權限內，數據處理能夠按照預先設定的程序正確、完整地進行而實施的控制，處理控制一般是通過預先編好的計算機程序實現的。常用的控制措施有設置處理權限、控制業務時序、檢查鉤稽關系、檢驗數據合理性、錯誤更正控制、設置審計線索、備份及恢復等；存儲控制是對信息系統處理結果保存的控制，以便為審計提供線索；輸出控制就是要保證信息系統能夠輸出正確的信息，并將其提供給經過授權的使用者。

（三）會計信息系統控制的局限

會計信息系統控制的作用不是無限的，具有一定的局限性，主要表現在：

1.會計信息系統控制也要講究成本效益原則。如果建立或實施某項控制的成本過大，取得的效益相對較小，這樣的控制就會被放棄。

2.會計信息系統控制一般都是針對經常發生的事項而設置的，而不適用于那些偶然發生的事項。

3.即使很有效的控制措施，也可能因執行人員的錯誤理解、粗心大意、疲勞或其他人為因素而失效。

4.一旦不相容職務的用戶相互勾結，串通舞弊，或用戶判斷錯誤，再好的控制也會失效。

5.系統的管理者如果逾越控制權限，濫用職權，會使其管理系統的控制形同虛設。

6.會計信息系統控制有效依賴于其運行環境。會計信息系統運行環境發生變化，將可能使原有的控制措施失效。