網絡環境下會計信息系統內控風險及防范2013年01月10日13:46來源：《當代經濟》2012年第8期上作者：李曉宏字號打印糾錯分享推薦瀏覽量摘要：由于網絡環境下會計信息系統存在著數據安全、身份識別和權限控制等風險，因此會計系統內部控制較之手工系統乃至一般的會計電算化系統更為復雜。只有強化安全意識，著力人才建設，加強審計監督，貫徹執行切合企業實際的內控制度，才能保證網絡環境下會計信息的真實性、完整性和可靠性。關鍵詞：內控風險，會計信息化，網絡一、概述隨著電子信息技術的飛速發展，派生于20世紀80年初的會計電算化發展速度不斷加快，特別是互聯網乃至物聯網技術在經濟領域的廣泛應用，企業利用網絡進行管理、交易、核算越來越普遍，網絡環境下的會計核算和管理也應運而生。在網絡環境下，會計信息系統具有許多不同于手工會計系統的特點，如數據處理集中化、快速化，數據結果產生的無形化、自動化等等。新一代的財務軟件也大打網絡牌，采用最新的、商業領域流行的技術方案，以ERP系統為代表的信息系統集成實現了企業一體化管理，會計信息化系統從管理的角度進行設計，具有業務核算、信息管理和決策分析等功能。網絡環境下會計信息的傳遞借助于互聯網完成，電子符號代替了會計數據，磁性介質代替了紙張，財務數據流動過程中簽字蓋章等傳統交易授權手段不復存在，肉眼可見的審計線索減少，企業會計系統內控比一般的會計電算化內控范圍更廣泛，方式更多樣，程序更復雜。正因為如此，建立健全信息化會計系統內部控制，保持其系統的穩定性較之手工系統乃至一般的會計電算化系統就更為重要。二現狀及問題無論是中小企業初級電算化會計信息系統，還是網絡級的企業財務會計信息系統，甚至是大范圍、集中式的支持電子商務和企業ERP系統這種高級別的會計信息系統，在會計內部控制上，基本都是按照內部會計控制的目標、原則和要求，利用電子技術、加密技術來實現內部會計控制的簡單功能的，難以適應目前網絡環境下會計信息系統內控的要求。與此同時，網絡環境下企業內部的經營決策者和外部的信息使用者對會計信息的依賴性越來越大，會計信息的質量很大程度上取決于會計信息系統內控的狀況。概括而言，會計信息系統內部控制存在的風險和問題主要有以下幾個方面。1、系統開發和設計中的風險隨著會計核算和管理水平的逐步提高，越來越多的企業將更多的資源投入到會計信息化建設之中，由多種軟硬件結合而成的會計信息化系統資源本身即構成企業的一項重要資產。信息化建設規劃不合理，可能造成信息孤島或重復建設，如集團內分、子公司中業態不一出現的"存異而不求同”導致的過度個性化開發；系統開發不符合內控要求導致無法利用會計信息化系統實施有效管控，開發過程中未留下審計線索難以保證日后審計工作的開展；溝通缺失、信息不暢導致系統升級減速，阻礙會計信息化建設隨企業發展而不斷完善和升級。在通用的會計信息軟件二次開發過程中，由于會計人員與軟件開發人員出發點的不同，或者會計人員習慣于甚至過分強調對手工處理方式的模擬，不考慮電腦和網絡系統對信息處理的特點，客觀上導致系統內部控制存在一定的混亂。而且商品化的軟件為了增加市場占有份額，大多是功能眾多、覆蓋面廣的標準化模式，軟件本身有可能百密一疏，存在微小漏洞和安全隱患。2、網絡環境開放性導致的風險網絡會計信息化依托的是Internet/Intranet系統，實現了企業事務的聯網處理，消除了物理性距離和時間性差異，使經濟業務通過各種終端在網上實時處理成為可能，傳統的內部控制手段被計算機內部控制取而代之。包括與金融機構、工商稅務、政府部門以及自身業務有關部門的數據交換和傳遞都是依托網絡瞬間完成，大量會計信息通過網絡傳輸，有可能被非法攔截、竊取甚至篡改。因此網絡環境開放性導致的潛在風險有：原始會計信息虛假、會計信息被篡改、信息保密性差、網絡系統遭到破壞等，具體如硬件故障、軟件故障、非法操作、計算機病毒、量受到影響。黑客入侵都有可能導致整個網絡系統陷入癱瘓，使會計信息的質3、身份識別和權限控制的風險網絡會計信息系統使用的是開放式的TCP/IP協議，它采用廣播形式進行傳播，有利于口令字試，未經授權的計算機專業人員可以利用計算機技術和網絡技術輕易地瀏覽各種數據文件，造成會計機密數據被泄漏，而且不留任何痕跡。同時，網絡會計信息系統全面支持電子商務，涉及到許多電子貨幣、電子單據等，很容易受到不法攻擊。在會計信息化系統中每個操作員都有自己的口令和不同的工作權限，但是在實際工作中，一部分單位雖然設置有不同的財務分工，卻往往是一個操作員身兼數職，有的是以用不同的身份進入系統進行如憑證輸入和復核兩項不兼容的工作，有的是系統開發人員頂替會計人員操作，還有的是口令設置簡單或不更改初始登錄密碼，會計信息化要求的組織控制和系統安全控制名存實亡。4、數據備份和安全隱患網絡會計信息化系統的數據處理與存儲呈現出高度集中的特點，而系統分點式的操作又使會計信息化系統可能在多個地點受到攻擊，給數據的安全性帶來一定的威脅。同時，數據處理集中性的特點也要求在執行部門和人員不相容的職責時，需要采取一些額外的補償性控制手段來降低這一風險。數據存儲集中于磁性載體，對環境的濕度、溫度均有一定的要求，一旦發生火災、水災、盜竊之類的事件，就可能使全部數據丟失和毀損，給企業帶來毀滅性的打擊。信息化系統的網絡服務器無論是本單位自己管理或是委托第三方管理，都存在這個"萬一”的小概率風險。5、人才缺乏的問題網絡環境下的會計從業人員應當熟悉計算機及網絡信息，掌握網絡會計常見的故障排除方法及相應的維護措施，了解有關電子商務知識和國際電子交易的法律法規，精通會計知識。這就要求網絡會計人員既是一名出色的計算機操作人員，同時又是一名高水準的會計師，還能熟練掌握各種網絡財務軟件的操作。目前，大多數企業會計人員只有中級及中級以下會計專業水平，年紀較大的會計人員知識更新慢，對計算機應用技術所知甚少，每年例行的再教育培訓車十對性不強、實際效果差強人意，復合型的會計人才更是非常缺乏，這些都給網絡環境下的會計信息化內控帶來了嚴峻的挑戰。三、措施及建議1、增強內控風險防范意識強化系統的內部控制，既是預防電腦犯罪的重要措施，也是減少差錯的有效保障。網絡會計信息化無疑是會計發展的必然趨勢，置身于全球開放性、競爭激烈的"地球村”，會計內部控制的風險只會更復雜，特別是會計信息安全更易受到威脅。社會上一再出現的計算機和互聯網犯罪行為，使我們清醒地認識到加強和完善會計信息系統內部控制的重要性。各級領導和財會部門、信息部門不能簡單地認為使用了信息化管理軟件，就一定能保證會計信息的真實、準確、有效，務必繃緊會計信息內部控制這根弦，形成防范風險從我做起的意識，從而建立起網絡控制、軟件控制、輸入控制、操作控制、保密控制、監督控制等多種內部控制措施。2、制定切實可行的信息化系統內控制度健全的會計信息化系統內控制度是會計活動必備的基本條件，如《會計法》關于內部會計控制制度的描述是：職責明確、相互制約、嚴格程序、如實記錄、定期檢查。《會計電算化管理辦法》中明確規定：要有嚴格的操作管理制度，有嚴格的硬件、軟件管理制度，有嚴格的會計檔案管理制度。規范性的會計信息化法規還有財政部等五部委聯合發布的《企業內部控制配套指引》，財政部和國家標準化委員會基于企業會計準則提出可擴展商業報告語言(XBRL)通用分類標準、XBRL技術規范系列國家標準等建議。2012年4月，財政部副部長王軍在全國會計管理工作會議上談到健全完善會計信息化標準體系時，提出一要建立健全以企業會計準則統一分類標準為核心、門類齊全、功能完善、國際領先的會計信息化標準體系，二要建成全國統一、操作便捷的會計信息管理平臺，三要利用"云計算”等先進信息技術建立健全網絡環境下會計信息編制、使用、監督和評價體系。以上列舉的只是財政等部門的總體規劃、規定和要求，因為每個企業實際情況千差萬別，企業經營管理狀況及對會計信息的要求、財務管理操作程序、配置的信息化軟件和系統環境、人員素質以及自身對內控目標的要求等各方面不盡相同，因此具體的信息化系統管理措施還得各自量身定做。例如在會計機構設置和會計人員職能控制中，人員崗位是否分成基本會計崗位和信息化會計崗位，又如對容易出現操作風險的崗位是實行雙重身份認證還是電子簽名制度，這些都需要結合企業自身特點去制定，而不能照搬現成的或其他單位的內控制度，否則在具體實施過程中，會因為制度本身太過理想化或不合適而難以執行，甚至無法執行。3、制度和執行雙管齊下純粹的制度建設，如果沒有有效的執行，也就形同虛設。信息化系統運行和維護環節的重點控制有：及時跟蹤、發現和解決運行中存在的問題，確保按規定的程序、制度持續穩定運行；遵守操作流程，不擅自進行系統軟件的刪除、修改等操作，不擅自改變軟件系統環境配置；例行進行安全檢測、網絡安全監控、鏈路加密、網頁恢復的維護；綜合利用防火墻、路由器等網路設備，防范來自網路的攻擊和非法侵入；經常做備份和定期檢查關鍵信息設備，指定專人定期更改操作密碼；實行網上監督和實地監督相結合的方式強化會計信息披露，保證會計信息和數據安全。以上關鍵點必須按本企業制定的信息化系統內控制度不折不扣地貫徹執行，因為再好的制度如果沒有執行力也不過是"一紙空文”。4、強化審計監督會計信息化雖然在內部控制方面實際執行了一部分審計工作，但是借助于網絡和計算機系統的運作往往是"人機”對話的特殊形態，因此強調內部審計的監督作用不僅因為它是內部控制系統的重要組成部分，而且也是會計在網絡信息化環境下實施內部監督的一種有效手段。審計的內容包括：信息系統數據的合法性、真實性、安全性；業務流程和操作程序是否安全可靠；財務組織管理體系和人員職能控制是否健全，會計信息系統內控措施是否恰當和完善等等。對網絡環境下的會計信息審核必須運用更復雜的核查技術，只有精通計算機網絡知識、熟悉審計業務程序的人員才能勝任此項工作，這無疑給內部審計加大了難度。具備專門內部審計機構和審計人員的企業要獨立行使"啄木鳥”的權利，一般企業在審計人員數量和能力有限的情況下，可以外聘相關專家協助審計。5、著力人才培養建設信息化使會計業務層面的操作人員大大減少，但同時又需要大量高素質的財務信息分析人才。正因為如此，網絡環境下會計信息化運行是否成功，內部控制執行的效果到底如何，關鍵因素還是人才。《會計人員資格管理辦法》中明確規定，會計信息化是財會人員的必修課，要制定實事求是的培訓計劃，將培訓結果與會計人員績效考核掛鉤，定期評價有關人員的工作能力和業務技能，營造和諧向上的企業文化氛圍。會計人員職業道德建設和信息技術的技能培訓只是人才建設的基本層面，人才培養的更高層面是適應新技術發展的要求，引進熟練運用信息技術的新型財會人才，致力培養復合型人才。網絡管理時代一般的會計人員必須具備財會知識和計算機知識，業務主管則應當熟悉整個會計信息化處理流程，可以對信息系統全程進行監控和指導。同樣，審計人才的培養和素質提高也要與時俱進。四、結語綜上所述，會計因經濟發展而產生，因技術更新而進步。隨著網絡電子技術和物聯網技術等高新技術的飛速發展，會計信息化的普及程度也越來越高，網絡環境下企業內部會計控制的新問題和新課題將不斷涌現。只有強化風險防范意識，著力人才培養，提高會計和管理人員的素質，加強審計監督，不斷完善和切實執行會計信