随着网络技术的发展,电算化会计信息系统日趋普及。网络的广泛应用在很大程度上弥补了单机电算化系统的不足,使电算化会计信息系统更加完善,同时也对它提出了新的要求。在网络环境下,经济交易的会计处理与相关业务程序都必须依赖良好的计算机信息系统,而计算机系统本身及系统运行的外部环境等都不同程度地存在着各种不安全隐患,这会给会计系统带来一定的风险,直接影响单位的会计核算和财产安全。本文拟对网络环境下会计信息系统的风险进行分析,并就如何防控风险以进一步完善网络会计信息系统提出一些意见。
会计信息系统以现代信息技术为手段,采用数据库、网络通讯等工具,利用计算机硬件、软件及其他设备等资源,对业务活动中产生的会计信息进行采集、存储和处理,完成会计核算任务,并能提供会计管理、分析、决策所需信息的系统。网络会计是对会计主体发生经济事项引起的会计要素的增减变动,以计算机网络为平台进行核算和监督,以求达到管理经济活动,提高经济效益,实现会计目标的现代会计模式。从实质上来说,网络会计是建立在网络环境基础上的会计信息系统。
1.数据网络化,来源广泛,数据量大;
2.数据的结构和数据处理的流程较复杂;
3.数据的真实性、可靠性要求高;
4.数据处理的环节多,很多处理步骤具有周期性;
5.数据的加工处理有严格的制度规定,并要求留有明确的审计线索;
6.信息输出种类多、数量大、格式上有严格的要求;
7.数据处理过程的安全、保密性有严格的要求。
1.财务与业务协同处理。网络会计的大量数据通过网络直接采集,实现业务协同、在线管理、远程处理、实时跟踪、实时传递,直接生成会计信息。企业内部网络使采购、入库、付款、出库、销售等业务与财务协同运作。外部的网络使企业与客户、供应商、政府管理部门乃至整个联盟企业之间协同运作。
2.财务控制与经营活动实时校正。网络环境下,可以在最短的时间内获取经营活动的数据,最短的时间内采用多种方法生成财务信息,最短的时间内反馈到信息使用者,最短的时间内将控制指令发布到业务活动中,实时校正经营活动。
3.远程财务处理控制。在网络环境下,财务处理控制跨越物理空间,延伸到企业内的每一个部门,延伸到企业外部的所有可利用资源,延伸到不同的城市、不同的国家甚至全球。
4.集中管理。企业数据集中、信息集中、管理权集中。财务系统实时、直接采集业务活动源头数据,对数据集中管理,达到信息共享,实现整体集中管理,信息流、物流、资金流统一。
会计信息系统风险:是指会计信息系统分析、设计、实施、运行、维护直到寿命期结束系统报废的全过程面临的风险。在运行阶段,会计信息系统面临着由于人为的或非人为的因素导致的系统运行正确性、可靠性、安全性以及运行效率等多方面的风险。在网络会计环境下,电子符号代替了会计数据,磁介质代替了纸介质,从而使会计信息的准确性与安全性更易受到威胁,更易导致网络会计信息的失真。尽管会计系统本身拥有一套比较完整的授权、审批、用户身份识别、操作权限控制等功能,但许多单位在使用中,严格而科学的管理仅停留在形式上,犯罪分子利用内部防范制度的薄弱环节,进行越权操作,使得会计面临很大风险。正是由于网络会计信息系统的开放性、处理的分散性、数据的共享性,极大地改变了以往会计信息系统的应用环境,形成了新的风险特点。
(一)软件技术和系统故障带来的风险
目前,很多国产的电算化会计软件已得到较大发展,但仍存在一些技术上的问题。如:由于会计信息化下进行数据更改的无痕迹性,不易发现存在的问题。系统故障风险主要可分为:一是系统开发和设计风险,如系统开发过程中技术不成熟或开发人员会计知识了解不足等;二是系统运行风险,即计算机硬件的毁损、丢失以及软件运行过程中的风险等。要提高会计核算软件的通用性和实用性,可对购入的商业化软件进行二次开发,并通过接口和系统集成的办法克服二次开发软件和商品化软件不能共享的缺点。同时,努力使会计软件的运行环境向更高领域发展。
由于内部控制弱化,使得财务数据更易被控制和操纵,主要表现为授权控制下降、不相容职能分离和职责分工的重要性下降以及凭证、账簿的作用弱化。
由于电算化会计制度的不完善,大部分会计核算软件可审性极为软弱,因而给审计工作带来许多困难。现有的会计核算软件缺乏设立明晰的审计线索的设计思想,不能保证审计部门利用计算机技术进行审计监督。
(四)安全风险
安全风险是指会计信息系统数据被破坏、丢失所带来的风险。其主要可表现为:软件系统的安全缺陷、篡改或非法调用程序的风险以及网络隐患。
会计信息系统控制是指为了保证会计信息系统的正确性、可靠性和安全性,提高会计信息系统运营效率,确保会计信息的准确可靠,利用各种手段和技术,对会计信息系统实施管理和控制的过程。会计信息系统控制的对象是信息系统,由计算机硬件和软件资源、应用系统、数据和相关人员等信息系统的组成要素构成。网络化环境下由于会计处理高度集中在计算机内部,其处理高度自动化,会计信息的利用遍布在网络各处,信息传输高度分散化。会计信息系统的风险控制一般主要从组织控制、操作控制、资源控制、档案控制、环境控制和审计控制等几方面着手。
(一)组织控制
组织控制是将组织作为控制的对象和手段,通过建立起具有控制能力的组织结构、采用满足控制要求的组织流程、构筑认同和重视控制的组织文化,达到控制的目标。组织控制是其他控制实施和发挥作用的基础。会计信息系统的组织控制应该包括进行合理的职责分工、设置满足控制要求的组织流程等方面的工作。
(二)操作控制
实践证明,权力必须受到制约,否则,失去制约的权力极易导致舞弊。操作控制主要是建立和实施操作管理制度,对系统使用、操作规程和会计业务处理几方面作出规定。操作控制中首先应该强调系统使用和管理的计划性;其次,要重视操作日志。操作日志是操作管理的重要手段,是对日常系统操作情况的最基本、最全面和最详尽的反映,应充分利用操作日志,定期监察和检验日志,及时了解非法用户和有权用户越权使用系统的情况及设备状况。第三,操作控制中除了要求各类操作人员按照制度规定操作系统外,还应该强调员工的责任、能力和可信赖程度。
(三)资源控制
会计信息系统的资源控制包括硬件资源控制、软件资源控制和数据资源控制。
硬件设备本身的控制措施一般由设备生产厂家固化在设备中,它能自动查出某些类型的错误,而无须程序或操作人员送入任何特殊指令。硬件控制的失效会削弱其他控制措施的作用,影响系统的可靠性。
会计信息系统软件一般包括操作系统、工具软件、应用系统软件三大部分。操作系统的控制措施因不同软件资源的控制措施不同。要提高会计核算软件的通用性和实用性,努力使会计软件的运行环境向更高领域发展。
数据资源控制的重点是数据库的管理控制,其主要目的是防止系统内外人员对数据库的非法访问,以及系统故障、误操作或人为破坏造成数据库毁损。在操作系统中建立数据保护机构,调用计算机机密文件时应登录户名、日期、使用方式和使用结果,修改文件和数据必须登录备查。
(四)档案控制
档案资料控制主要是确定档案、建立档案管理制度(包括档案保管制度、档案存取制度、档案作废制度)两方面。为确保档案的真实性和可靠性,除了加强磁介质档案保管的防护措施外,如防磁、防潮、防火、防尘等,还应实行双重保管,即纸质档案和磁介质档案分别保管或磁介质档案备双份保管。
(五)环境控制
加强设备环境控制,其控制措施主要包括:采取防火、防水、防磁、防震、防掉电、防高低温等措施,定期对硬件进行测试,安装防病毒软件等;另一方面建立多级存储机制——设置财务软件系统自动备份系统,并实行管理员定期集中备份和账套主管的日常备份制度。
(六)审计控制
网络会计的发展必然要求计算机审计要跟上它的步伐。计算机审计工作的发展除了要有必要的法制保障外,还有赖于计算机审计软件的开发和审计技术的不断创新。计算机审计根据计算机审计准则,通过各种有效的方法和程序,对会计电算化环境中的计算机硬件和财务软件的安全、可靠、稳定、合法、管理等方面进行审计。
总之,网络会计环境下,会计信息系统的风险是客观存在的,而且更加隐秘。因此风险的防范及规避的难度更大。针对网络会计信息系统的风险及成因,加强内部管理与控制,积极采取正确有效的防范措施,进行严密监督与控制,最大限度地降低会计系统的风险,把风险控制在最小程度,这是一个任重道远、时刻不能松懈的过程。