在全球网络化的热潮中,国内外的会计(管理)软件公司纷纷推出基于互联网的会计信息系统。原来封闭的局域网会计信息系统被推向开放的互联网世界后,一方面给企业带来了会计与业务一体化处理和实时监控的方便,但同时也向会计信息系统的安全提出了严重挑战。
综合来看,会计信息系统存在以下几个方面的风险。
第一,系统故障风险。任何计算机系统都存在着由于操作失误,以及硬件、软件、网络本身出现故障导致系统数据丢失甚至瘫痪的风险,并且在内联网结构的会计信息系统中,由于其开放性、远程实时处理的特点,系统的一致性、可控性降低,一旦出现故障,影响面更广,数据的一致性保障更难,系统恢复处理的成本更高。
第二,内部人员的道德风险。主要指企业内部人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。网络安全的最大风险仍然来自于组织内部,据统计,大部分的非法闯入者来自于内部雇员。
第三,非法侵扰风险。网络环境里的会计信息系统很有可能遭受不法分子的非法访问甚至黑客或病毒的侵扰。这是目前媒体报道最多的风险类型。这种攻击可能来自于系统外部,也可能来自系统内部,而且一旦发生将造成巨大的损失。
第四,系统关联方道德风险。主要指关联方非法侵入企业内联网,盗窃财务数据和知识产权、破坏系统、搅乱某项特定交易或事业等所产生的风险。在互联网环境下,为适应竞争发展需要,企业与关联方需要建立统一的外联网。在外联网内,企业之间的数据查询、数据交换、服务技术可通过互联网实现,也可通过虚拟专用网实现。特殊的内部联系也使道德风险的发生成为可能,尤其像软件供应商或开发商这样的关联方,由于其对企业内联网的控制结构一清二楚,企业在接受网上技术支持和维护的同时,实际上也向对方敞开了系统控制的大门。
第五,电子商务也给内部控制增加难题。随着电子商务的迅猛发展,网上交易愈加普遍,可以想象,在不久后企业的全部原始凭证都将成为数字格式,这加强了企业对网上公证机构的依赖。但直到目前,相应的技术和法规还远没有完善,这也给系统的内部控制造成困难。
针对这些问题,我们可以从以下几方面来加强对会计信息系统的风险控制。
第一,坚持系统开发的控制,定制“防护套装”。系统开发控制应该贯穿于系统规划、系统分析、系统设计、系统实施和系统运作测试与维护的各个阶段。系统开发控制是一种预防性控制,目的是确保会计信息系统开发过程及其内容符合内部控制的要求。基于互联网会计信息系统的开发,必须把会计控制功能全面融入系统逻辑模型中。在软件开发的前期,内审和风险管理人员要参与系统控制功能的研究与设计,在软件开发及测试阶段加强监督,确保所有既定控制功能在系统中得以有效的实现。
第二,建立网上公证三方牵制,开发“第三只眼睛”。由于网络环境下原始凭证仍然使用数字方式进行存储,所以也不能像手工系统那样对每一张凭证作痕迹检查。可是利用网络所特有的实时传输功能和日益丰富的互联网服务项目,我们可以实现原始凭证的第三方监控,即网上公证。
第三,实行监控与操作分离,增强内部牵制。会计信息系统的内部牵制没有手工系统完善,但是从另一角度看,手工系统下的多方牵制也不是一个成熟的牵制方法,只是通过多人的重复劳动实现牵制。一个比较有效的办法是在会计信息系统中分出操作和监控两个岗位,对每一笔业务同时进行多方备份。当会计人员进行多方处理时,其操作和数据也被同步记录在监控人员的机器上,由监控人员进行即时或定期审查,一旦出现数据不一致便进行深入调查。这样明确了岗位的划分,实现了有效牵制。
第四,拓展在线测试功能,健全漏洞监测系统。对于计算机软件来说,其内部错误或不足是无法避免的。因此其解决方法只有两个:一是在开发过程中加强交流,充分测试。二是在发现问题时及时解决。
网络系统需要软硬件安全控制。硬件安全控制主要涉及计算机机房环境和设备的技术安全要求,应制定网络计算机机房和设备的管理制度、岗位职责和操作规程,严禁无关人员接触系统,专机专用,关键性的硬件设备可采用双系统备份;严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系统被破坏时,要求系统软件具有紧急响应、强制备份、快速重构和快速恢复的功能。
