【摘要】 基于信息技术建立起来的会计信息系统,从其构建开始一直到寿命结束都面临着各种风险。本文对其运行阶段面临的风险以及应采取的控制目标进行了分析和探讨。
【关键词】 会计信息系统;风险;控制
一、基本概念
(一)会计信息系统风险
风险概念至今并没有一个统一的、严格的定义,不同的理解下,风险概念的内涵和外延是不同的。为了分析问题方便,本文将风险看成是导致一个组织或机构不利事件发生、遭受损失的可能性。
会计信息系统风险:是指会计信息系统分析、设计、实施、运行、维护直到寿命期结束系统报废的全过程面临的风险。其中在运行阶段,会计信息系统面临着由于人为的或非人为的因素导致的系统运行正确性、可靠性、安全性以及运行效率等多方面的风险。由于信息系统的正确性、可靠性和运行效率主要取决于分析、设计阶段而非运行阶段,因此本文对会计信息系统风险的分析,主要指会计信息系统的安全风险,会计信息系统控制也主要针对安全风险。
(二)会计信息系统安全风险
会计信息系统安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱,从而造成损失的可能性。会计信息系统风险具有以下特点:
1.隐蔽性强
会计信息系统风险的隐蔽性主要表现在以下几方面:
(1)舞弊的手段更具隐蔽性。通过使用计算机及通讯设施等高技术工具,作案人不用亲自到现场就可以完成犯罪活动。
(2)系统受到侵害后,不易被发现。由于所有的数据和程序都是以电子文件存储,数据文件受到篡改后可以不留下任何像手工业务处理下的笔迹、涂改、伪造之类的痕迹,同时由于数据存储在磁盘、光盘、胶片之类的信息媒体上,人的肉眼无法直接识别,因此,即使数据文件的内容已经有非法更改、程序已经有变化,操作者也难以发现;同时,操作者通过计算机读出的信息与媒体上存储的信息并不完全等同,即存在着输出的数据是正确的,而数据文件中存储的数据有问题的可能,使错弊难以被发现。
(3)错误和舞弊人员不易被发现。无论是系统的合法用户还是非法破坏者,由于手段的隐蔽、作案后留下的线索和痕迹较少、系统内外部人员相互勾结以及远程破坏等原因都使系统安全遭到破坏后难以及时发现错弊者。
2.风险损失及后果严重
(1)由于难以及时发现,错弊可以反复多次出现而不被察觉,一旦发现,已经损失巨大。
(2)由于计算机病毒、黑客等不仅威胁数据甚至破坏程序、硬件系统等,可以造成单位计算机系统的瘫痪,系统难以恢复,从而导致数据丢失或系统无法进行正常业务处理,造成巨大损失。
(3)如果企业经营决策信息、技术机密、其他保密数据等重要信息被泄露的话,其损失和影响将难以计量;此外,由于水灾、火灾、地震等破坏性自然灾害造成计算机系统破坏,数据丢失,其后果严重。
3.舞弊手段和方法先进。网络环境下,由于各种信息都存储在非纸质媒体上,除非直接窃取或破坏有关媒体(如盗窃存放数据、程序、重要资料的软盘、撕毁原始凭证等),舞弊基本上都利用计算机、通讯设施等现代化工具通过修改软件、非法接入硬件、破坏传输系统、释放病毒、黑客袭击等隐蔽的方法和手段达到非法目的。比如:在网上设置陷阱,在用户不知不觉中截获用户密码,然后以合法身份进入系统进行非法操作等。
(三)会计信息系统控制
会计信息系统控制是指为了保证会计信息系统的正确性、可靠性和安全性,提高会计信息系统运营效率,确保会计信息的准确可靠,利用各种手段和技术,对会计信息系统实施管理和控制的过程。
会计信息系统控制的对象是信息系统,由计算机硬件和软件资源、应用系统、数据和相关人员等信息系统的组成要素构成。
会计信息系统控制的根本目的就是在信息系统风险分析基础上消除或降低风险危害。其控制目标主要有以下几点:
1.及时提供正确的、完整的、可靠的和合理的会计信息。
2.保证会计处理符合会计制度和会计原则的要求。这就要求无论在设计阶段还是运行阶段,都必须建立适当的内部控制体系,确保系统及其所处理的经济业务合规、合法。
3.保护资产和资源,提高系统的安全性。
4.提高系统效率和效益,提高企业的竞争能力,辅助管理者提高管理决策的正确性。
二、会计信息系统风险分析
会计信息系统是一个复杂的系统,本文将会计信息系统的风险因素归纳为技术、应用和管理、舞弊几个方面。
(一)信息系统固有的脆弱性和缺陷
信息系统的组件在设计、制造和组装中,由于人为和自然的原因,可能留下各种隐患。如网络传输速度,服务器等硬件设施的稳定性和运行速度,软件设计中的缺陷,不同信息子系统的接口等。
1. 硬件的脆弱性
信息系统硬件组件的安全隐患多数来源于设计,主要表现为物理安全方面(如物理可存取和电磁兼容方面等)的问题。由于这种问题是设计时所遗留的固有问题,因此在自制硬件和选购硬件时应尽可能减少或消除这类安全隐患。
2. 软件系统的脆弱性
软件系统的安全隐患来源于设计和软件工程实施中的遗留问题。软件设计中的疏忽可能留下安全漏洞;软件设计中不必要的功能冗余以及软件过长过大,不可避免地存在安全脆弱性;软件设计不按信息系统安全等级要求进行模块化设计,导致软件的安全等级不能达到应有的安全级别;软件尤其是自制应用软件编程时程序员暗地编进指令,使之执行未经授权的功能等。这些问题一般不易被防止和发现。
3. 网络和通信协议
由于互联网本身是一个没有明确物理界限的网际,而支持互联网运行的TCP/IP协议栈在设计的当初主要考虑了互联互通和资源共享的问题,无法兼容解决来自网际的大量安全问题。比如,缺乏对通信双方真实身份的鉴别,TCP/IP在IP层上缺乏对路由协议的安全认证,应用层处于最顶部,下层的安全缺陷必然导致应用层的安全出现漏洞甚至崩溃,同时各种应用层协议本身也存在一些安全隐患等等。
(二)信息系统的舞弊
1. 针对硬件系统的舞弊
有意破坏系统硬件设备,致使系统运行中断或毁灭;计算机系统的操作人员不按规定的程序使用硬件设备可以引起系统的损坏,从而危害系统的安全直至系统完全毁灭。例如,不按正确的顺序开启设备致使硬件系统被烧,系统无法正常运行等,其后果是非常严重的;通过盗窃等手段破坏计算机系统,例如窃走竞争对手存有数据的磁带或磁盘,从而非法获得对方企业的重要信息;在原有的计算机系统中,非法加入硬件设备以达到窃取口令和重要信息的目的。
2. 针对软件系统的舞弊
软件系统是威胁、攻击、舞弊的主要对象,其方法和手段多种多样。常用的方法:截尾术、越级法、程序天窗、逻辑炸弹、冒名顶替等。
3. 针对数据的舞弊
计算机舞弊中最简单、最常用的方法是篡改输入,即数据在输入计算机之前或输入过程中篡改数据,使舞弊数据进入系统,达到非法目的的作弊方法。此外还有指操作员或其他人员不按操作规程或非法操作系统,改变计算机系统的执行路径从而破坏数据、通过篡改输出,以输出正确数据以蒙蔽检查、存储在软磁盘、硬盘、光盘等介质上的信息泄露、通信的某一方对发出或接收信息的行为进行抵赖。比如事后否认已经发送过的订货申请信息等。
4. 计算机病毒
计算机病毒实际上是一段小程序,它具有自我复制功能,常驻留于内存、磁盘的引导扇区或磁盘文件中,在计算机系统之间传播,常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。虽然绝大多数病毒并不是针对某个系统设计,但是由于其隐蔽性强、传播范围广、破坏力大,对网络信息传输的安全构成了极大的威胁,逐渐成为威胁系统安全的重要因素。
5. 网络黑客
黑客是指非授权侵入网络的用户或程序。黑客可能通过盗窃系统合法用户的口令,然后以此口令合法登陆系统实现非法目的等。
(三)信息系统应用和管理的问题
1. 如果企业规模很大,信息系统的结构就会很复杂,发生信息错误的机会也随之增多,即数据完整性就较难保证。
2. 授权管理的问题
信息系统中,很多原来手工系统下由不同的人完成的业务处理环节集中由计算机统一处理,这样就不能像手工方式那样相互牵制、相互制约,操作人员只要获得授权文件或注册系统的密码就可获得某种权利或运行特定程序进行业务处理,密码一旦被他人掌握或一人掌握多个级别操作员的密码,权限就会失控,从而造成损失。
3. 职责分离失效
信息系统中,业务人员可能一人身兼多个职能。例如,在零售业,当顾客购买商品时,销售人员扫描商品的条形码,由计算机系统自动读取商品价格,计算已销售商品数量,并自动更新销售收入余额和存货余额。如果发现存货余额低于最低数量,计算机系统还可以自动向供应商发出定单。这样,一个销售人员就可以完成授权、记录和保管工作,极易出现错弊。
三、会计信息系统的控制
(一)信息技术应用对内部控制的影响
网络化环境下由于会计处理高度集中在计算机内部,其处理高度自动化,会计信息的利用遍布在网络各处,信息传输高度分散化,而且会计信息主要载体变为磁介质,人眼无法直接识别,这为组织的内部控制带来了挑战。
1.内部控制形式发生变化
首先,传统手工处理中,一般将授权、记录、保管职责进行分离来防止在正常工作过程中发生的人为错误或舞弊。但是在应用信息系统之后,许多原来由人做的工作改由计算机进行处理,一个业务员可能身兼多个职能,这就使手工环境下的一些职责分离失去作用;其次,传统会计实务中的一些控制措施将不再有效,如制作科目汇总表、凭证汇总表等试算平衡的检查,进行平行登记、账账核对、账证核对等,随着核算程序的变化,这些控制已失去了其真正的意义。第三,传统会计实务中的一些平衡检查将移入计算机系统内部通过计算机程序体现出来。如,账户的期末余额、期初余额、本期发生额的检查,各核算业务模块间数据的核对,报表数据的勾稽关系检查,会计平衡等式的检查等。信息系统内部控制的形式,包括以组织控制措施为主的一般控制和以计算机程序控制为主的应用控制两个方面。
2.内部控制内容发生改变
会计信息系统是一个人机交互系统,其控制的内容更加复杂。大致可以概括为以下几方面:①计算机会计人员的重新岗位分工和内部牵制。岗位职责分离的重点在于信息系统和业务职能的相互独立、信息系统本身业务职能的划分和相互牵制;②系统安全控制以及系统开发、系统资料文书化控制;③系统的组织和操作管理控制;④系统的自动控制,包括输入控制、处理控制和输出控制;⑤网络化硬件系统控制。
3.内部控制重点发生改变
信息环境下,业务处理过程包括了手工处理、信息系统处理和人与计算机进行交互处理几个环节,这一处理过程可以用下图简单表示。
由上图可以看出,内部控制的重点发生了变化:人及其处理的业务、人机交互处理过程、计算机系统业务处理过程和不同系统之间信息传递过程。其中人机交互处理过程包括原始数据进入计算机系统和业务信息从计算机系统输出两个环节。
(二)会计信息系统控制
会计信息系统运行阶段的控制包括一般控制和应用控制两个方面。一般控制主要从组织控制、操作控制、资源控制几方面着手;应用控制的内容与业务处理有关,取决于业务处理的需要。
1.组织控制
组织控制是将组织作为控制的对象和手段,通过建立起具有控制能力的组织结构、采用满足控制要求的组织流程、构筑认同和重视控制的组织文化,达到控制的目标。组织控制是其他控制实施和发挥作用的基础。会计信息系统的组织控制应该包括进行合理的职责分工(合理划分人机职责、合理划分岗位职责、确定岗位标准)、设置满足控制要求的组织流程等方面的工作。
2.操作控制
操作控制主要是建立和实施操作管理制度,对系统使用、操作规程和会计业务处理几方面做出规定。
操作控制中首先应该强调系统使用和管理的计划性,比如什么时间按照何种程序对整个系统进行全面(或局部)检测、什么时间对系统进行优化升级、什么时间对系统的中间文件进行清理等等;其次要重视操作日志。操作日志是操作管理的重要手段,是对日常系统操作情况的最基本、最全面和最详尽的反映,应充分利用操作日志,定期监察和检验日志,及时了解非法用户和有权用户越权使用系统的情况及设备状况。第三,操作控制中除了要求各类操作人员按照制度规定操作系统外,还应该强调员工的责任、能力和可信赖程度。
3.资源控制
(1)硬件资源控制
会计信息系统的硬件包括网络设施、通讯设施、计算机及其辅助设备等。硬件设备本身的控制措施一般由设备生产厂家固化在设备中,设备使用者是难以改变的,它能自动查出某些类型的错误,而无需程序或操作人员送入任何特殊指令。硬件控制的失效会消弱其他控制措施的作用,影响系统的可靠性。
(2)软件资源控制
信息系统软件一般包括操作系统(包括网络操作系统和单用户操作系统)、工具软件(包括数据库管理系统,编译器和程序设计语言,Excel等电子表格处理软件,Web 服务、发布和浏览软件,信息采集、FTP、Telnet等软件)、应用系统软件三大部分。操作系统处于信息系统软件平台的最底层,其安全是整个软件平台安全的基础;应用系统处于最上层,是完成具体业务处理的软件,由于各种业务处理对安全的需求程度不同,应用软件自身提供的控制措施也有很大区别;工具软件介于操作系统和应用软件之间。
不同软件资源的控制措施不同。
(3)数据资源控制
会计信息系统的数据都以记录的形式存储在系统的数据库中,数据资源控制的重点是数据库的管理控制,其主要目的是防止系统内外人员对数据库的非法访问,以及系统故障、误操作或人为破坏造成数据库毁损。一般可以实施的控制包括访问控制、建立数据备份和恢复制度。
(4)档案资料控制
采用会计信息系统之后,由于档案本身种类、内容、形式等的改变,档案的保存具有了与传统手工会计不同的要求。档案资料控制主要是确定档案、建立档案管理制度(包括档案保管制度、档案存取制度、档案作废制度)两方面。
4.应用控制
应用控制是对具体业务处理过程实施的控制。图2所示是计算机系统的业务处理环节,从中可以看到任何业务处理系统都可以划分成输入过程、处理和存储过程、输出过程几个环节,因此不同环节的应用控制又可以分别称为输入控制、处理和存储控制、输出控制。
其中,输入控制是为了防止和发现进入信息系统的数据错误而施加的控制。输入控制应该从数据采集、数据输入和输入数据的存储三方面着手。处理控制是为了保证在合法的权限内,数据处理能够按照预先设定的程序正确、完整地进行而实施的控制,处理控制一般是通过预先编好的计算机程序实现的。常用的控制措施有设置处理权限、控制业务时序、检查钩稽关系、检验数据合理性、错误更正控制、设置审计线索、备份及恢复等;存储控制是对信息系统处理结果保存的控制,以便为审计提供线索;输出控制就是要保证信息系统能够输出正确的信息,并将其提供给经过授权的使用者。
(三)会计信息系统控制的局限
会计信息系统控制的作用不是无限的,具有一定的局限性,主要表现在:
1. 会计信息系统控制也要讲究成本效益原则。如果建立或实施某项控制的成本过大,取得的效益相对较小,这样的控制就会被放弃。
2. 会计信息系统控制一般都是针对经常发生的事项而设置的,而不适用于那些偶然发生的事项。
3. 即使很有效的控制措施,也可能因执行人员的错误理解、粗心大意、疲劳或其他人为因素而失效。
4. 一旦不相容职务的用户相互勾结,串通舞弊,或用户判断错误,再好的控制也会失效。
5. 系统的管理者如果逾越控制权限,滥用职权,会使其管理系统的控制形同虚设。
6. 会计信息系统控制有效依赖于其运行环境。会计信息系统运行环境发生变化,将可能使原有的控制措施失效。
【主要参考文献】
[1] 中国财政部. 企业内部控制规范(征求意见稿),2007.3
[2] [美]斯科特.格林著,张翼,林小驰译.萨班斯法案内控指南.经济科学出版社,2007.1.