王曉明

提要由于某些主客觀因素的存在，會(huì)計(jì)信息系統(tǒng)面臨著很多風(fēng)險(xiǎn)和挑戰(zhàn)，對(duì)其進(jìn)行風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)防范是當(dāng)前急需解決的問(wèn)題。本文根據(jù)會(huì)計(jì)信息系統(tǒng)的特點(diǎn)，按照風(fēng)險(xiǎn)管理的一般步驟，對(duì)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)進(jìn)行分析和闡釋?zhuān)⑻岢鰰?huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)管理的具體防范措施。

關(guān)鍵詞：會(huì)計(jì)信息系統(tǒng)；風(fēng)險(xiǎn)管理；防范措施

中圖分類(lèi)號(hào)：F23文獻(xiàn)標(biāo)識(shí)碼：A

當(dāng)前會(huì)計(jì)信息系統(tǒng)面臨著很多風(fēng)險(xiǎn)和挑戰(zhàn)，從會(huì)計(jì)信息系統(tǒng)的生命周期來(lái)看，包括分析、設(shè)計(jì)、實(shí)施、維護(hù)等階段，各階段既受技術(shù)方面局限性的限制，又受企業(yè)文化、管理水平、操作者素質(zhì)等因素的影響，使得會(huì)計(jì)信息系統(tǒng)包含了眾多不確定因素和潛在風(fēng)險(xiǎn)。因此，對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析以及防范和控制風(fēng)險(xiǎn)是當(dāng)前急需解決的問(wèn)題。

一、會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)識(shí)別

風(fēng)險(xiǎn)的識(shí)別是風(fēng)險(xiǎn)管理的首要環(huán)節(jié)。風(fēng)險(xiǎn)管理的識(shí)別是指在開(kāi)展會(huì)計(jì)信息系統(tǒng)建設(shè)的過(guò)程中，找到風(fēng)險(xiǎn)所在，其目的在于查明建設(shè)過(guò)程中的不確定因素、來(lái)源及其相互之間的關(guān)系。

（一）會(huì)計(jì)信息系統(tǒng)的特點(diǎn)。會(huì)計(jì)信息系統(tǒng)以現(xiàn)代信息技術(shù)為手段，采用數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、通訊等工具，利用計(jì)算機(jī)硬件、軟件及其他設(shè)備等資源，對(duì)業(yè)務(wù)活動(dòng)中產(chǎn)生的會(huì)計(jì)信息進(jìn)行采集、存儲(chǔ)和處理，完成會(huì)計(jì)核算任務(wù)，并能提供會(huì)計(jì)管理、分析、決策所需信息的系統(tǒng)。

會(huì)計(jì)信息系統(tǒng)具有以下特點(diǎn)：（1）數(shù)據(jù)來(lái)源廣泛，數(shù)據(jù)量大；（2）數(shù)據(jù)的結(jié)構(gòu)和數(shù)據(jù)處理的流程較復(fù)雜；（3）數(shù)據(jù)的真實(shí)性、可靠性要求高；（4）數(shù)據(jù)處理的環(huán)節(jié)多，很多處理步驟具有周期性；（5）數(shù)據(jù)的加工處理有嚴(yán)格的制度規(guī)定，并要求留有明確的審計(jì)線(xiàn)索；（6）信息輸出種類(lèi)多、數(shù)量大、格式上有嚴(yán)格的要求；（7）數(shù)據(jù)處理過(guò)程的安全、保密性有嚴(yán)格的要求。

（二）會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)分析。在計(jì)算機(jī)環(huán)境下，會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)大致包括以下幾個(gè)方面：

1、軟件技術(shù)和系統(tǒng)故障帶來(lái)的風(fēng)險(xiǎn)。目前，我國(guó)很多國(guó)產(chǎn)的電算化軟件已得到較大發(fā)展，但仍存在一些技術(shù)上的問(wèn)題。如，由于會(huì)計(jì)信息化下操作更改的無(wú)痕跡性，不易發(fā)現(xiàn)存在的問(wèn)題。系統(tǒng)故障風(fēng)險(xiǎn)主要可分為：一是系統(tǒng)開(kāi)發(fā)和設(shè)計(jì)風(fēng)險(xiǎn)，如系統(tǒng)開(kāi)發(fā)過(guò)程中技術(shù)不成熟或開(kāi)發(fā)人員會(huì)計(jì)知識(shí)了解不足等；二是系統(tǒng)運(yùn)行風(fēng)險(xiǎn)，即計(jì)算機(jī)硬件的毀損、丟失以及軟件運(yùn)行過(guò)程中的風(fēng)險(xiǎn)等。

2、內(nèi)部控制弱化引起的風(fēng)險(xiǎn)。由于內(nèi)部控制弱化，使得財(cái)務(wù)數(shù)據(jù)更易被控制和操縱，主要表現(xiàn)為授權(quán)控制下降、不相容職能分離和職責(zé)分工的重要性下降以及憑證、賬簿的作用弱化。

3、缺乏審計(jì)引發(fā)的風(fēng)險(xiǎn)。由于電算化會(huì)計(jì)制度的不完善，大部分會(huì)計(jì)核算軟件可審性極為軟弱，因而給審計(jì)工作帶來(lái)許多困難?，F(xiàn)有的會(huì)計(jì)核算軟件缺乏設(shè)立明晰的審計(jì)線(xiàn)索的設(shè)計(jì)思想，不能保證審計(jì)部門(mén)利用計(jì)算機(jī)技術(shù)進(jìn)行審計(jì)監(jiān)督。

4、安全風(fēng)險(xiǎn)。安全風(fēng)險(xiǎn)是指會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)被破壞、丟失所帶來(lái)的風(fēng)險(xiǎn)。其主要可表現(xiàn)為：軟件系統(tǒng)的安全缺陷、篡改或非法調(diào)用程序的風(fēng)險(xiǎn)以及網(wǎng)絡(luò)隱患。

二、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)預(yù)測(cè)

風(fēng)險(xiǎn)預(yù)測(cè)實(shí)際上就是估算、衡量風(fēng)險(xiǎn)，由風(fēng)險(xiǎn)管理人員運(yùn)用科學(xué)的方法，對(duì)其掌握的統(tǒng)計(jì)資料、風(fēng)險(xiǎn)信息及風(fēng)險(xiǎn)的性質(zhì)進(jìn)行系統(tǒng)分析和研究，進(jìn)而確定各項(xiàng)風(fēng)險(xiǎn)的頻度和強(qiáng)度，為選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)處理方法提供依據(jù)。

1、編制風(fēng)險(xiǎn)管理計(jì)劃。風(fēng)險(xiǎn)管理計(jì)劃的編制應(yīng)當(dāng)全面、合理、有效，并隨著時(shí)間的推移，及時(shí)做出調(diào)整、修改，使之更加完整、合理、切實(shí)可行。

2、制定風(fēng)險(xiǎn)預(yù)防政策和標(biāo)準(zhǔn)。抽調(diào)一定的會(huì)計(jì)人員和計(jì)算機(jī)維護(hù)人員以及行政人員，組成風(fēng)險(xiǎn)管理組。在領(lǐng)導(dǎo)的帶領(lǐng)下，制定行之有效的政策和規(guī)章制度。

3、定期核查監(jiān)督。風(fēng)險(xiǎn)管理組定期或不定期對(duì)會(huì)計(jì)信息系統(tǒng)運(yùn)行、數(shù)據(jù)、備份進(jìn)行核查，按照制定的標(biāo)準(zhǔn)編制核查報(bào)告，分析各個(gè)不確定性及相應(yīng)的風(fēng)險(xiǎn)系數(shù)，檢驗(yàn)是否符合重要性水平。對(duì)于臨近重要性水平的數(shù)據(jù)要重點(diǎn)關(guān)注，及時(shí)監(jiān)督和處理。

三、會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)處理

風(fēng)險(xiǎn)的處理是指當(dāng)風(fēng)險(xiǎn)將要發(fā)生或已經(jīng)發(fā)生時(shí)，按照事先編制的風(fēng)險(xiǎn)控制計(jì)劃，采取相對(duì)應(yīng)的風(fēng)險(xiǎn)應(yīng)對(duì)策略，使會(huì)計(jì)信息系統(tǒng)的整體風(fēng)險(xiǎn)降到最低的活動(dòng)?；跁?huì)計(jì)信息系統(tǒng)的特點(diǎn)和存在的風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)處理應(yīng)考慮的一般原則總結(jié)為以下幾點(diǎn)：

（一）成本效益原則?？梢哉f(shuō)，風(fēng)險(xiǎn)管理是在降低風(fēng)險(xiǎn)的收益與成本之間進(jìn)行權(quán)衡，并決定采取何種措施的過(guò)程。同樣，在進(jìn)行會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)處理及風(fēng)險(xiǎn)方法的選擇上更要注意成本效益原則，要能夠花最少的資源盡可能化解最大的危機(jī)。

（二）系統(tǒng)性原則。信息系統(tǒng)具有整體性特點(diǎn)，我們?cè)谶M(jìn)行風(fēng)險(xiǎn)處理時(shí)，不能為了解除已發(fā)生的故障，在處理相關(guān)數(shù)據(jù)時(shí)，忽略其他部分?jǐn)?shù)據(jù)相應(yīng)的改變，致使整個(gè)系統(tǒng)失去原來(lái)的功能。

（三）可持續(xù)發(fā)展原則。可持續(xù)發(fā)展原則，即在進(jìn)行風(fēng)險(xiǎn)處理時(shí)，不能為了降低成本而忽視系統(tǒng)的長(zhǎng)期有效使用。尤其是在風(fēng)險(xiǎn)方法的選擇上，更要注重系統(tǒng)的可持續(xù)發(fā)展。同時(shí)，在改善系統(tǒng)進(jìn)行設(shè)計(jì)時(shí)，一定要考慮到將來(lái)系統(tǒng)的升級(jí)和進(jìn)一步改善的可能性。

四、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)管理的具體防范措施

（一）加強(qiáng)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度體系建設(shè)

1、組織控制。建立崗位責(zé)任制是會(huì)計(jì)電算化工作順利實(shí)施的保證。明確系統(tǒng)內(nèi)各類(lèi)人員的職責(zé)、權(quán)限并與利益掛鉤，用組織控制對(duì)他們的職權(quán)進(jìn)行分離，形成內(nèi)部牽制。

2、授權(quán)控制。實(shí)踐證明，權(quán)力必須受到制約，否則，失去制約的權(quán)力極易導(dǎo)致舞弊。因此，各項(xiàng)工作人員必須在獲得批準(zhǔn)和授權(quán)后，方能執(zhí)行或處理某個(gè)事項(xiàng)。

3、操作控制。操作控制主要包括計(jì)算機(jī)系統(tǒng)使用管理和上機(jī)操作管理。前者主要指保護(hù)計(jì)算機(jī)設(shè)備，保證機(jī)內(nèi)的程序與會(huì)計(jì)數(shù)據(jù)的安全；后者指建立與實(shí)施各項(xiàng)上機(jī)操作規(guī)范，包括上機(jī)記錄制度、完善的操作手冊(cè)、上機(jī)時(shí)間安排等。

4、檔案控制。為確保檔案的真實(shí)性和可靠性，除了加強(qiáng)磁介質(zhì)檔案保管的防護(hù)措施外，如防磁、防潮、防火、防塵等，還應(yīng)實(shí)行雙重保管，即紙質(zhì)檔案和磁介質(zhì)檔案分別保管或磁介質(zhì)檔案?jìng)潆p份保管。

（二）加強(qiáng)軟件控制。軟件控制措施用于保證程序和會(huì)計(jì)數(shù)據(jù)不被錯(cuò)用、濫用和非法使用。常用的控制措施主要有：對(duì)于所使用的各種軟件必須經(jīng)過(guò)授權(quán)；安全程度不等的數(shù)據(jù)應(yīng)賦予不同的訪(fǎng)問(wèn)級(jí)別；對(duì)程序源代碼采取保密措施，以防操作者對(duì)指令進(jìn)行篡改；軟件的維護(hù)應(yīng)經(jīng)過(guò)周密計(jì)劃，嚴(yán)格履行手續(xù)審批和測(cè)試；如果是自行開(kāi)發(fā)的軟件，應(yīng)選擇成熟并經(jīng)授權(quán)的軟件技術(shù)和開(kāi)發(fā)工具，并由審計(jì)人員對(duì)數(shù)據(jù)輸入、處理和輸出環(huán)節(jié)進(jìn)行符合性測(cè)試，以測(cè)試軟件中的內(nèi)部控制是否存在等。

（三）加強(qiáng)計(jì)算機(jī)審計(jì)。會(huì)計(jì)電算化的發(fā)展必然要求計(jì)算機(jī)審計(jì)要跟上它的步伐。計(jì)算機(jī)審計(jì)工作的發(fā)展除了要有必要的法制保障外，還有賴(lài)于計(jì)算機(jī)審計(jì)軟件的開(kāi)發(fā)和審計(jì)技術(shù)的不斷創(chuàng)新。計(jì)算機(jī)審計(jì)根據(jù)計(jì)算機(jī)審計(jì)準(zhǔn)則，通過(guò)各種有效的方法和程序，對(duì)會(huì)計(jì)電算化環(huán)境中的計(jì)算機(jī)硬件和財(cái)務(wù)軟件的安全、可靠、穩(wěn)定、合法、管理等方面進(jìn)行審計(jì)。

（四）建立風(fēng)險(xiǎn)評(píng)估和分級(jí)管理制度。建立風(fēng)險(xiǎn)評(píng)估和分級(jí)管理制度，及時(shí)發(fā)現(xiàn)現(xiàn)有或潛在的風(fēng)險(xiǎn)。根據(jù)單位的具體情況，對(duì)電算化系統(tǒng)各組成部分和運(yùn)轉(zhuǎn)的每一過(guò)程的風(fēng)險(xiǎn)和可承受性進(jìn)行客觀合理的評(píng)價(jià)，采取適宜的分級(jí)管理制度，并在實(shí)施過(guò)程中持續(xù)改進(jìn)和完善，最有效的利用組織資源來(lái)確保會(huì)計(jì)電算化的安全。同時(shí)，結(jié)合內(nèi)、外檢查監(jiān)控機(jī)制和交流反饋機(jī)制，及時(shí)發(fā)現(xiàn)現(xiàn)有或潛在的風(fēng)險(xiǎn)，采取糾正、預(yù)防措施，持續(xù)改進(jìn)和完善安全管理體系，提高安全績(jī)效。

（五）加強(qiáng)數(shù)據(jù)存儲(chǔ)控制和網(wǎng)絡(luò)安全控制。加強(qiáng)數(shù)據(jù)存儲(chǔ)控制：一方面加強(qiáng)設(shè)備環(huán)境控制，其控制措施主要包括：采取防火、防水、防磁、防震、防掉電、防高低溫等措施，定期對(duì)硬件進(jìn)行測(cè)試，安裝防病毒軟件等；另一方面建立多級(jí)存儲(chǔ)機(jī)制——設(shè)置財(cái)務(wù)軟件系統(tǒng)自動(dòng)備份系統(tǒng)，并實(shí)行管理員定期集中備份和賬套主管的日常備份制度。

針對(duì)計(jì)算機(jī)病毒日益猖獗和網(wǎng)絡(luò)黑客頻繁攻擊、盜取秘密的現(xiàn)象，應(yīng)采用積極、科學(xué)的反計(jì)算機(jī)病毒和防黑客侵入的措施，如不使用盜版軟件、經(jīng)常對(duì)計(jì)算機(jī)進(jìn)行軟盤(pán)和硬盤(pán)的病毒檢測(cè)并對(duì)相關(guān)軟件進(jìn)行及時(shí)的升級(jí)、設(shè)置防火墻、使用入侵檢測(cè)軟件、將黑客阻擋在內(nèi)部網(wǎng)絡(luò)之外、嚴(yán)格網(wǎng)內(nèi)主機(jī)管理。

（作者單位：東北財(cái)經(jīng)大學(xué)）

參考文獻(xiàn)：

[1]胡奕明，劉育青.會(huì)計(jì)電算化系統(tǒng)的特定風(fēng)險(xiǎn)及其控制[J].財(cái)務(wù)與會(huì)計(jì)，1996.8.

[2]張瑞君，蔣硯章主編.計(jì)算機(jī)會(huì)計(jì)學(xué).北京：中國(guó)人民大學(xué)出版社，1998.

[3]財(cái)政部發(fā)布.會(huì)計(jì)電算化工作規(guī)范，1996.

[4]王清，胡奕明.關(guān)于會(huì)計(jì)電算化系統(tǒng)的數(shù)據(jù)安全對(duì)策[J].財(cái)會(huì)通訊，1997.6.

[5]薛云奎.手工會(huì)計(jì)的技術(shù)特征及其對(duì)電算化會(huì)計(jì)的局限[J].會(huì)計(jì)研究，1997.11.

[6]虞曉紅.電算化會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)與防范《經(jīng)濟(jì)師》，2006.3.

[7]張國(guó)平，程玉民.會(huì)計(jì)信息系統(tǒng)份的風(fēng)險(xiǎn)管理，《會(huì)計(jì)之友》，2005.4.

[8]鄭慶良，楊瑩.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)與及其防范，《財(cái)會(huì)通訊》，2006.12.

[9]莊明來(lái).會(huì)計(jì)電算化研究[M].北京：中國(guó)金融出版社，2001.12.