论文部分内容阅读
摘 要:文章从信息技术的发展探讨了对会计系统带来的风险,并据此提出应该加强组织控制;建立切实可行的内部审计制度;对工作站点控制;网络会计信息系统开发与软件维护控制;网络会计信息系统安全控制。
关键词:会计信息系统 风险 控制
中图分类号:F230 文献标识码:A
文章编号:1004-4914(2007)12-179-02
会计作为国际通用的商业语言,通过记录、分类、汇总和分析等处理手段,以会计信息的形式反映组织的财务状况,向管理人员和有关方面提供必要的管理信息。近年来, 随着电子信息技术向传统会计领域的渗透,会计电算化的发展步伐更加迅猛。但会计系统因管理不善而带来的计算机犯罪和网络风险,给社会造成了巨大损失,这应引起我们的高度重视。因此,有必要从因素分析入手,对信息技术的应用给会计系统带来的影响及其风险防范进行系统的分析和研究。
信息技术的应用对传统会计的影响。以计算机技术、网络通信、电子商务飞速发展为标志的信息革命, 使会计工作的方法和程序发生了深刻的变革。这种影响不仅使数据处理工具和信息载体发生变化, 而且还促进了会计理论与实务进行深层次的自我调整。
信息技术的应用给会计系统带来的风险。信息技术在会计领域的广泛应用,给会计信息处理带来了深刻的变化,使之更为及时、准确和高效。但同时也带来了新的风险。如何识别、控制、减少风险,是保证电算化会计系统安全、高效运行,保证会计信息准确、及时、完整的关键。(1) 因数据处理集中化、程序化和自动化所带来的职责集中的风险。计算机证账表信息来源于以人机交互方式输入的记账凭证, 这样以往由职责分离而形成的相互制约的内部控制作用已消失,把手工系统的分散职责都汇集到软件中去。由输入环节带来的错误所引起的后果不论在深度和广度上比手工系统的危害更广泛和深远,产生更大范围的连锁反应。会计电算化“省略了会计过程的信息重组和分类等诸多繁琐细节,并且使程序之间的技术性核对化为乌有”。(2) 会计信息磁性化所具有的风险。无纸化办公把个人不同的会计行为转化为统一的光电磁信号后,因无书写字体、签名盖章等每个人所具有的不同特征,使得非纸存储的会计信息缺乏法律上的证据表现力。由于磁性存储介质具有的易损、易删、易改、易磁化又不留痕迹的特性,使得手工系统的划线更正法所具有的控制和痕迹作用消失。因而应当将磁性存储介质的接触限制和存放环境作为控制重点, 同时电算化系统应对任何修改都有限制,并留有痕迹。(3)计算机网络风险。网络意味着开放与交流, 信息收集和使用空间范围的扩大,相应增加了系统运行和数据安全的风险。电子商务的迅猛发展、电子货币的出现、支付方式的改变,使得网络企业成为全球网络商务链中的一个节点。但是,面对我国目前缺乏可靠的社会信用基础和法律保障体系的现状,如何防范电子商务所带来的商业信用风险, 是每一个网络企业面临的一个重要问题。
基于计算机网络的会计信息系统,由于在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的会计信息系统,极大地改变了以往计算机系统的应用模式,扩展了系统运行的环境。从而大大改变了以往电算化会计信息系统内部控制的内容和方法。因此,我们需要根据网络会计信息系统的特点及其风险来源,重新确立系统的内部控制点,并建立相应的内部控制方法和措施体系。
一、加强组织控制
在目前的电算化会计信息系统中,有一套比较全面的组织控制措施,如机构设置与人员安排、职责分离等,这为现阶段的电算化会计的实施在组织上提供了保证。但在网络会计信息系统中,由于其会计环境的变化,使得其组织控制的内容与范围更广泛,除保留了电算化会计组织控制的上述两个基本内容外,还需要根据网络会计的特点,加以扩充与完善。
在网络环境下,由于它的三层架构体系(企业内联网、企业外联网、互联网),则需设置相应机构确保系统内、外的信息沟通。设置的部门主要有:会计部门(负责会计信息输入、审核与输出)、业务部门(负责业务的交易与原始电子凭证的认证)、信息处理部门(负责对企业所有的信息进行处理并确保处理的正确性、安全性和及时性)、内部审计部门(监督企业整个业务过程与信息加工处理过程)、网络管理部门(负责内部网络的维护、对内部网络外的使用者的身份加以确认)等。只有建立一个严谨的组织体系,才能使网络会计信息系统有一个完善的运行机制,在组织上得到保障。
二、建立切实可行的内部审计制度
内部审计在手工会计系统中对于保证会计工作人员正确、有效地完成会计核算工作,并最终产生有用的会计信息有着不可替代的作用。同样,在网络会计信息系统中,它对于系统的正常、可靠运行也具有同等重要的作用。
首先,在网络会计信息系统的开发过程中需要审计人员的参加,一方面,可以使审计人员了解系统的控制措施和控制关键;另一方面,审计人员可以指出系统的不足之处,并提出改进意见。其次,网络会计信息系统中设置了一些专供内部审计人员使用的审计程序,强化了审计手段。再者,在分布式网络环境下,计算机处理工作分散于企业的各行政部门中,并且与互联网相接,系统随时面临着来自网上(内、外部)的威胁,因此,企业要专门设置由内审人员、风险分析评估人员、系统维护人员组成的内审小组,运用软件技术实时监控系统运行情况,随时分析系统运行日志文件和各种安全检测记录,及时发现系统的安全漏洞,并采取相应的对策。
企业还应建立风险评估制度,由用户、内审人员、维护人员、风险分析员等组成的风险评估小组定期对系统环境、功能进行全面的风险评估和弱点分析,并据此完善系统的会计控制体系。
三、工作站点控制
工作站是企业所有部门的计算机应用中心。在网络时代,计算机处理是无所不在的,工作站的设置不能简单地建立在企业原有的组织机构上,而是应该按照网络系统及其处理的要求,开展企业再造工程。即对企业的组织结构、业务流程进行优化设置的基础上,分布设置各级网络工作站,并通过操作系统、数据库管理系统等技术控制措施实现对各工作站的职责分工控制。
四、网络会计信息系统开发与软件维护控制
在网络环境下,企业的业务流程、组织结构发生了很大变化。因此,系统开发的过程同时也是企业再造的过程,必须把新的会计控制功能全面融入系统中。而在现阶段的电算化会计信息系统中此类控制如同虚设。因为,目前大多数企业采用商品化软件,系统的开发是由开发商来研制的。对企业而言,整个应用系统是一个“黑洞",根本无法进行开发控制,自然,维护也只能借助于或依赖于开发商。网络会计信息系统则不然,由于强调个性化,体现企业文化,大多数企业将采用自行研制的软件。即使不这样,也要化较多的功夫进行二次开发,由此而来,必然要加以控制。系统软件维护控制也是控制的重点,因为网络系统具有个性化的特征,除“量身定做"软件外,还要求各企业在遵守行业协议的前提下,其应用软件可随时加以更新,进行维护。
五、网络会计信息系统安全控制
互联网是一把双刃剑,在享受它给我们带来好处的同时,必须承担安全风险。随着社会信息化程度的不断提高,安全问题将会日益突出。如何直面安全问题,对社会来说,需要不断加强和完善法律的威慑作用,不断创新安全技术产品;而对企业来说,则需要不断提高管理和控制的有效性。系统的可靠性、信息的安全性及信息处理的正确性都依赖于强有力的安全控制。要研究系统安全控制,首先要讨论基于互联网的会计信息系统的风险组成,只有了解和掌握了系统的风险特征与组成,才能“对症下药",设计“制敌法宝"——安全控制措施。一般而言,网络会计信息系统的风险主要来自两个方面:一是来自系统内部,如:系统故障的风险、内部人员道德风险等;另一部分来自企业外部,如:系统关联方道德风险(指关联方非法侵入企业内联网,以剽窃数据和知识产权、破坏数据、搅乱某项特定交易或事业等所产生的风险)和社会道德风险(是指来自社会上的不法分子通过互联网,对企业内联网的非法入侵和破坏)。
根据互联网系统的特点及其风险来源,考虑网络系统中企业内联网与互联网、内联网与外联网之间的关系,应该重新确立系统安全控制的控制点,并建立相应的内部控制方法。
网络安全控制。分析网络风险之一社会道德风险的危害,考虑到网络的开放性,使得网络系统极易受到社会各方面的攻击。为了防范"不速之客"的干扰和破坏,我们需要采用先进的网络安全控制技术。就目前来说,主要有以下关键技术:如防火墙技术、信息加密技术等。
软件安全控制。软件是组成网络会计信息系统的主要方面。由于软件程序容易被复制、易于在终端被任意调用,因而,就难以保证网络会计信息系统的处理控制与机密数据不被泄露、非法篡改,不被恶意破坏。这样就要求对系统的软件程序有一系列的防范措施,保证网络会计信息系统软件程序正常、安全地运行。
病毒防治。计算机病毒虽然是一些小程序,但具有很强的破坏能力,并且能够迅速地传播。对付病毒的基本策略有两种:一是利用现成的杀病毒软件对病毒进行检测并消灭,或是在系统中安装一些检测程序的技术手段。二是对病毒采取预防性的管理措施,如尽量不用或慎用公用软件、外来软件和共享软件,尤其是游戏软件;定期对系统进行检查;经常性地对一些重要的文件进行备份;对软盘加以保护等。
对系统关联方和企业内部人员道德风险的控制。通过"防火墙"可以控制非法者的入侵,但对于合法者——关联方的非法入侵它却显得有些力不从心,甚至是无能为力。关联方从战略上讲是同盟者,是合法用户,它可以穿越防火墙进入企业的内联网。如果关联方的某些工作人员缺乏职业道德和社会道德,恶意破坏网络会计信息系统,以谋取私利,那么,企业内联网看似固若金汤,实则岌岌可危。因此,要加强管理,防止合法者的非法活动。其主要措施有:选择信用好的合作伙伴,可以减少产生风险的概率;内部审计人员要加强对关联方进入系统后的监控,及时发现问题,及时控制。对于那些有意破坏的关联方要提出警告,如果情节严重者可终止与他们的合作,并公示于众。
企业内部人员道德风险的控制对于网络会计信息系统的安全性是至关重要的。俗话说"家贼难防",这些内部人员熟悉系统结构与功能,了解系统管理的方法,一旦破坏了系统,那后果不堪设想。因此,要对内部人员的道德风险加以控制,具体措施有:加强对工作人员社会道德观念的教育,同时加强会计人员职业道德教育,使他们在思想上树立正确的价值观;对不同层次上的工作人员实行岗位责任制,并利用密码进行权限控制;内部审计人员要对内部人员使用系统进行动态跟踪审查,发现问题,及时解决。
互联网对于会计信息系统而言是一个全新的视角,而对于与其相对应的内部控制也是一个全新的挑战。只有实务界与理论界协同一致,提出有关的内部控制制度,才能使会计信息系统充分发挥其内在的所有功能。
参考文献:
1.胡奕明,刘育青.会计电算化系统的特定风险及其控制[J].财务与会计,1996(8)
2.张瑞君, 蒋砚章主编. 计算机会计学. 北京: 中国人民大学出版社, 1998
3.财政部发布. 会计电算化工作规范. 1996
4.王清, 胡奕明. 关于会计电算化系统的数据安全对策[J ]. 财会通讯, 1997 (6)
5.薛云奎. 手工会计的技术特征及其对电算化会计的局限[J ]. 会计研究, 1997 (11)
(作者单位:厦门安德信会计师事务所有限公司 福建厦门 361000)
(责编:贾伟)
关键词:会计信息系统 风险 控制
中图分类号:F230 文献标识码:A
文章编号:1004-4914(2007)12-179-02
会计作为国际通用的商业语言,通过记录、分类、汇总和分析等处理手段,以会计信息的形式反映组织的财务状况,向管理人员和有关方面提供必要的管理信息。近年来, 随着电子信息技术向传统会计领域的渗透,会计电算化的发展步伐更加迅猛。但会计系统因管理不善而带来的计算机犯罪和网络风险,给社会造成了巨大损失,这应引起我们的高度重视。因此,有必要从因素分析入手,对信息技术的应用给会计系统带来的影响及其风险防范进行系统的分析和研究。
信息技术的应用对传统会计的影响。以计算机技术、网络通信、电子商务飞速发展为标志的信息革命, 使会计工作的方法和程序发生了深刻的变革。这种影响不仅使数据处理工具和信息载体发生变化, 而且还促进了会计理论与实务进行深层次的自我调整。
信息技术的应用给会计系统带来的风险。信息技术在会计领域的广泛应用,给会计信息处理带来了深刻的变化,使之更为及时、准确和高效。但同时也带来了新的风险。如何识别、控制、减少风险,是保证电算化会计系统安全、高效运行,保证会计信息准确、及时、完整的关键。(1) 因数据处理集中化、程序化和自动化所带来的职责集中的风险。计算机证账表信息来源于以人机交互方式输入的记账凭证, 这样以往由职责分离而形成的相互制约的内部控制作用已消失,把手工系统的分散职责都汇集到软件中去。由输入环节带来的错误所引起的后果不论在深度和广度上比手工系统的危害更广泛和深远,产生更大范围的连锁反应。会计电算化“省略了会计过程的信息重组和分类等诸多繁琐细节,并且使程序之间的技术性核对化为乌有”。(2) 会计信息磁性化所具有的风险。无纸化办公把个人不同的会计行为转化为统一的光电磁信号后,因无书写字体、签名盖章等每个人所具有的不同特征,使得非纸存储的会计信息缺乏法律上的证据表现力。由于磁性存储介质具有的易损、易删、易改、易磁化又不留痕迹的特性,使得手工系统的划线更正法所具有的控制和痕迹作用消失。因而应当将磁性存储介质的接触限制和存放环境作为控制重点, 同时电算化系统应对任何修改都有限制,并留有痕迹。(3)计算机网络风险。网络意味着开放与交流, 信息收集和使用空间范围的扩大,相应增加了系统运行和数据安全的风险。电子商务的迅猛发展、电子货币的出现、支付方式的改变,使得网络企业成为全球网络商务链中的一个节点。但是,面对我国目前缺乏可靠的社会信用基础和法律保障体系的现状,如何防范电子商务所带来的商业信用风险, 是每一个网络企业面临的一个重要问题。
基于计算机网络的会计信息系统,由于在系统的开放性、处理的分散性、数据的共享性等方面大大超过了以往任何类型的会计信息系统,极大地改变了以往计算机系统的应用模式,扩展了系统运行的环境。从而大大改变了以往电算化会计信息系统内部控制的内容和方法。因此,我们需要根据网络会计信息系统的特点及其风险来源,重新确立系统的内部控制点,并建立相应的内部控制方法和措施体系。
一、加强组织控制
在目前的电算化会计信息系统中,有一套比较全面的组织控制措施,如机构设置与人员安排、职责分离等,这为现阶段的电算化会计的实施在组织上提供了保证。但在网络会计信息系统中,由于其会计环境的变化,使得其组织控制的内容与范围更广泛,除保留了电算化会计组织控制的上述两个基本内容外,还需要根据网络会计的特点,加以扩充与完善。
在网络环境下,由于它的三层架构体系(企业内联网、企业外联网、互联网),则需设置相应机构确保系统内、外的信息沟通。设置的部门主要有:会计部门(负责会计信息输入、审核与输出)、业务部门(负责业务的交易与原始电子凭证的认证)、信息处理部门(负责对企业所有的信息进行处理并确保处理的正确性、安全性和及时性)、内部审计部门(监督企业整个业务过程与信息加工处理过程)、网络管理部门(负责内部网络的维护、对内部网络外的使用者的身份加以确认)等。只有建立一个严谨的组织体系,才能使网络会计信息系统有一个完善的运行机制,在组织上得到保障。
二、建立切实可行的内部审计制度
内部审计在手工会计系统中对于保证会计工作人员正确、有效地完成会计核算工作,并最终产生有用的会计信息有着不可替代的作用。同样,在网络会计信息系统中,它对于系统的正常、可靠运行也具有同等重要的作用。
首先,在网络会计信息系统的开发过程中需要审计人员的参加,一方面,可以使审计人员了解系统的控制措施和控制关键;另一方面,审计人员可以指出系统的不足之处,并提出改进意见。其次,网络会计信息系统中设置了一些专供内部审计人员使用的审计程序,强化了审计手段。再者,在分布式网络环境下,计算机处理工作分散于企业的各行政部门中,并且与互联网相接,系统随时面临着来自网上(内、外部)的威胁,因此,企业要专门设置由内审人员、风险分析评估人员、系统维护人员组成的内审小组,运用软件技术实时监控系统运行情况,随时分析系统运行日志文件和各种安全检测记录,及时发现系统的安全漏洞,并采取相应的对策。
企业还应建立风险评估制度,由用户、内审人员、维护人员、风险分析员等组成的风险评估小组定期对系统环境、功能进行全面的风险评估和弱点分析,并据此完善系统的会计控制体系。
三、工作站点控制
工作站是企业所有部门的计算机应用中心。在网络时代,计算机处理是无所不在的,工作站的设置不能简单地建立在企业原有的组织机构上,而是应该按照网络系统及其处理的要求,开展企业再造工程。即对企业的组织结构、业务流程进行优化设置的基础上,分布设置各级网络工作站,并通过操作系统、数据库管理系统等技术控制措施实现对各工作站的职责分工控制。
四、网络会计信息系统开发与软件维护控制
在网络环境下,企业的业务流程、组织结构发生了很大变化。因此,系统开发的过程同时也是企业再造的过程,必须把新的会计控制功能全面融入系统中。而在现阶段的电算化会计信息系统中此类控制如同虚设。因为,目前大多数企业采用商品化软件,系统的开发是由开发商来研制的。对企业而言,整个应用系统是一个“黑洞",根本无法进行开发控制,自然,维护也只能借助于或依赖于开发商。网络会计信息系统则不然,由于强调个性化,体现企业文化,大多数企业将采用自行研制的软件。即使不这样,也要化较多的功夫进行二次开发,由此而来,必然要加以控制。系统软件维护控制也是控制的重点,因为网络系统具有个性化的特征,除“量身定做"软件外,还要求各企业在遵守行业协议的前提下,其应用软件可随时加以更新,进行维护。
五、网络会计信息系统安全控制
互联网是一把双刃剑,在享受它给我们带来好处的同时,必须承担安全风险。随着社会信息化程度的不断提高,安全问题将会日益突出。如何直面安全问题,对社会来说,需要不断加强和完善法律的威慑作用,不断创新安全技术产品;而对企业来说,则需要不断提高管理和控制的有效性。系统的可靠性、信息的安全性及信息处理的正确性都依赖于强有力的安全控制。要研究系统安全控制,首先要讨论基于互联网的会计信息系统的风险组成,只有了解和掌握了系统的风险特征与组成,才能“对症下药",设计“制敌法宝"——安全控制措施。一般而言,网络会计信息系统的风险主要来自两个方面:一是来自系统内部,如:系统故障的风险、内部人员道德风险等;另一部分来自企业外部,如:系统关联方道德风险(指关联方非法侵入企业内联网,以剽窃数据和知识产权、破坏数据、搅乱某项特定交易或事业等所产生的风险)和社会道德风险(是指来自社会上的不法分子通过互联网,对企业内联网的非法入侵和破坏)。
根据互联网系统的特点及其风险来源,考虑网络系统中企业内联网与互联网、内联网与外联网之间的关系,应该重新确立系统安全控制的控制点,并建立相应的内部控制方法。
网络安全控制。分析网络风险之一社会道德风险的危害,考虑到网络的开放性,使得网络系统极易受到社会各方面的攻击。为了防范"不速之客"的干扰和破坏,我们需要采用先进的网络安全控制技术。就目前来说,主要有以下关键技术:如防火墙技术、信息加密技术等。
软件安全控制。软件是组成网络会计信息系统的主要方面。由于软件程序容易被复制、易于在终端被任意调用,因而,就难以保证网络会计信息系统的处理控制与机密数据不被泄露、非法篡改,不被恶意破坏。这样就要求对系统的软件程序有一系列的防范措施,保证网络会计信息系统软件程序正常、安全地运行。
病毒防治。计算机病毒虽然是一些小程序,但具有很强的破坏能力,并且能够迅速地传播。对付病毒的基本策略有两种:一是利用现成的杀病毒软件对病毒进行检测并消灭,或是在系统中安装一些检测程序的技术手段。二是对病毒采取预防性的管理措施,如尽量不用或慎用公用软件、外来软件和共享软件,尤其是游戏软件;定期对系统进行检查;经常性地对一些重要的文件进行备份;对软盘加以保护等。
对系统关联方和企业内部人员道德风险的控制。通过"防火墙"可以控制非法者的入侵,但对于合法者——关联方的非法入侵它却显得有些力不从心,甚至是无能为力。关联方从战略上讲是同盟者,是合法用户,它可以穿越防火墙进入企业的内联网。如果关联方的某些工作人员缺乏职业道德和社会道德,恶意破坏网络会计信息系统,以谋取私利,那么,企业内联网看似固若金汤,实则岌岌可危。因此,要加强管理,防止合法者的非法活动。其主要措施有:选择信用好的合作伙伴,可以减少产生风险的概率;内部审计人员要加强对关联方进入系统后的监控,及时发现问题,及时控制。对于那些有意破坏的关联方要提出警告,如果情节严重者可终止与他们的合作,并公示于众。
企业内部人员道德风险的控制对于网络会计信息系统的安全性是至关重要的。俗话说"家贼难防",这些内部人员熟悉系统结构与功能,了解系统管理的方法,一旦破坏了系统,那后果不堪设想。因此,要对内部人员的道德风险加以控制,具体措施有:加强对工作人员社会道德观念的教育,同时加强会计人员职业道德教育,使他们在思想上树立正确的价值观;对不同层次上的工作人员实行岗位责任制,并利用密码进行权限控制;内部审计人员要对内部人员使用系统进行动态跟踪审查,发现问题,及时解决。
互联网对于会计信息系统而言是一个全新的视角,而对于与其相对应的内部控制也是一个全新的挑战。只有实务界与理论界协同一致,提出有关的内部控制制度,才能使会计信息系统充分发挥其内在的所有功能。
参考文献:
1.胡奕明,刘育青.会计电算化系统的特定风险及其控制[J].财务与会计,1996(8)
2.张瑞君, 蒋砚章主编. 计算机会计学. 北京: 中国人民大学出版社, 1998
3.财政部发布. 会计电算化工作规范. 1996
4.王清, 胡奕明. 关于会计电算化系统的数据安全对策[J ]. 财会通讯, 1997 (6)
5.薛云奎. 手工会计的技术特征及其对电算化会计的局限[J ]. 会计研究, 1997 (11)
(作者单位:厦门安德信会计师事务所有限公司 福建厦门 361000)
(责编:贾伟)