李運(yùn)熙 陳倩倩

本文探討面向互聯(lián)網(wǎng)的會(huì)計(jì)信息系統(tǒng)控制，首先分析會(huì)計(jì)信息系統(tǒng)需要面對(duì)的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)來自于網(wǎng)絡(luò)、自然災(zāi)害、人為操作，會(huì)影響到系統(tǒng)的正常運(yùn)行，也會(huì)導(dǎo)致信息數(shù)據(jù)失真。在此基礎(chǔ)上提出控制風(fēng)險(xiǎn)問題的措施，要完善相應(yīng)的管理制度，規(guī)范工作人員的操作行為，規(guī)避會(huì)計(jì)信息不真實(shí)的情況，加強(qiáng)防范網(wǎng)絡(luò)風(fēng)險(xiǎn)問題。希望能為關(guān)注此話題的研究學(xué)者提供參考意見。

如今，社會(huì)已經(jīng)全面進(jìn)入網(wǎng)絡(luò)時(shí)代，企業(yè)的會(huì)計(jì)信息系統(tǒng)面對(duì)開放的網(wǎng)絡(luò)環(huán)境，會(huì)受到非法訪問者的入侵，會(huì)受到網(wǎng)絡(luò)木馬病毒的侵害。企業(yè)的會(huì)計(jì)信息大多是企業(yè)的機(jī)密信息，萬一泄露會(huì)給公司帶來十分不利的影響，導(dǎo)致公司在激烈的市場(chǎng)競(jìng)爭(zhēng)中失去一部分競(jìng)爭(zhēng)優(yōu)勢(shì)。為此企業(yè)內(nèi)部要定期評(píng)估財(cái)務(wù)信息系統(tǒng)的安全性，制定有效的措施強(qiáng)化內(nèi)部控制能力。

一、互聯(lián)網(wǎng)背景下會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)問題

（一）硬件和軟件

系統(tǒng)操作員的不正確操作有可能會(huì)導(dǎo)致硬件設(shè)備不能正常運(yùn)行，比如硬件設(shè)備不按照正常順序開機(jī)、關(guān)機(jī)，還有可能是計(jì)算機(jī)硬件損壞，比如計(jì)算機(jī)硬盤損壞，就會(huì)導(dǎo)致電腦上的數(shù)據(jù)全部丟失。自然界的災(zāi)害有可能導(dǎo)致計(jì)算機(jī)硬件損壞，其特點(diǎn)是發(fā)生幾率小，難以預(yù)測(cè)。但是計(jì)算機(jī)硬件一旦受到自然災(zāi)害影響，就會(huì)遭到極大的破壞。比如發(fā)生火災(zāi)或者是地震，很有可能導(dǎo)致計(jì)算機(jī)系統(tǒng)的毀滅。所以要重視預(yù)防自然災(zāi)害。病毒侵襲是一種軟件風(fēng)險(xiǎn)，它實(shí)際上是一個(gè)小程序，由于其自我復(fù)制能力強(qiáng)，會(huì)駐足于計(jì)算機(jī)的內(nèi)存，也有可能存在于硬盤的引導(dǎo)扇區(qū)，病毒傳播于計(jì)算機(jī)系統(tǒng)之間，隱蔽性很強(qiáng)，傳播范圍很大，而且破壞性也很大。會(huì)計(jì)信息常常需要時(shí)間長(zhǎng)距離傳播，病毒極大威脅信息傳播的安全性。網(wǎng)絡(luò)黑客也會(huì)威脅到會(huì)計(jì)信息系統(tǒng)的安全，他們會(huì)在沒有授權(quán)的條件下攻擊合法用戶的電腦程序，并捕獲用戶的個(gè)人信息，盜取合法用戶的口令，通過口令登錄會(huì)計(jì)信息系統(tǒng)。

（二）會(huì)計(jì)信息數(shù)據(jù)

如圖1所示為會(huì)計(jì)信息系統(tǒng)的架構(gòu)。會(huì)計(jì)信息系統(tǒng)安全防線被摧毀以后，信息數(shù)據(jù)就會(huì)遭到破壞，發(fā)生信息被篡改或者是丟失的情況。會(huì)計(jì)信息失真，會(huì)對(duì)后續(xù)的很多工作產(chǎn)生不良影響。如今信息技術(shù)高速發(fā)展，在企業(yè)的生產(chǎn)經(jīng)營(yíng)中會(huì)計(jì)信息的重要性越來越明顯，甚至?xí)苯記Q定企業(yè)在激烈競(jìng)爭(zhēng)中的成敗。這是因?yàn)楹芏喾欠ǚ肿訒?huì)通過惡意手段竊取競(jìng)爭(zhēng)對(duì)手公司的機(jī)密文件，并采取有針對(duì)性的商業(yè)手段打壓對(duì)手。操作員非法修改程序非法、修改數(shù)據(jù)文件，導(dǎo)致會(huì)計(jì)信息數(shù)據(jù)失真，這樣操作員就能掩蓋自己的失誤，也有可能通過這種手段獲取非法利益。甚至有的會(huì)計(jì)工作人員會(huì)將公司的財(cái)產(chǎn)轉(zhuǎn)到指定的個(gè)人賬戶上。用戶進(jìn)入到會(huì)計(jì)信息系統(tǒng)，不按公司的規(guī)定進(jìn)行操作，這些用戶有可能是合法用戶也有可能是非法用戶。用戶不符合規(guī)定的行為有可能導(dǎo)致計(jì)算機(jī)系統(tǒng)執(zhí)行的路徑遭到破壞，之后便不能正常工作。

二、計(jì)算機(jī)背景下會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)問題控制

（一）完善一般控制與總體控制制度

在網(wǎng)絡(luò)技術(shù)十分發(fā)達(dá)的今天，會(huì)計(jì)信息系統(tǒng)面向的用戶更加多樣化，而且系統(tǒng)本身也存在一定的缺陷，此種情況下，各種因素的威脅都有可能讓信息系統(tǒng)不能正常運(yùn)行。為了提高系統(tǒng)的安全性，要盡可能選擇安全系數(shù)高的操作系統(tǒng)，不僅要經(jīng)常升級(jí)軟件系統(tǒng)的版本，還要定期完善系統(tǒng)的資源授權(quán)表制度，并定期完善系統(tǒng)的日志審計(jì)制度。保證系統(tǒng)數(shù)據(jù)庫(kù)的安全，做好系統(tǒng)數(shù)據(jù)庫(kù)的控制工作。完善建立會(huì)計(jì)數(shù)據(jù)資源授權(quán)表制度，也就是明確每一個(gè)用戶的權(quán)限，明確用戶的數(shù)據(jù)資源訪問范圍，有效控制用戶所能訪問的內(nèi)容。數(shù)據(jù)庫(kù)的操作權(quán)限包括查閱、修改、刪除、添加，要對(duì)用戶的這些操作權(quán)限有所限制。以數(shù)據(jù)備份和數(shù)據(jù)恢復(fù)為例，與成批集中式處理相比，系統(tǒng)數(shù)據(jù)備份和恢復(fù)更加復(fù)雜，需要保證系統(tǒng)數(shù)據(jù)恢復(fù)的有效性，并且還要保證信息數(shù)據(jù)的一致性，所以不僅要建立業(yè)務(wù)日志文件，還要建立檢查點(diǎn)文件。

（二）規(guī)范工作人員的操作行為

工作人員在會(huì)計(jì)信息系統(tǒng)中發(fā)生的所有操作行為，系統(tǒng)都會(huì)有記錄。這些信息包括操作時(shí)間和操作內(nèi)容。規(guī)范工作人員的操作行為，相關(guān)數(shù)據(jù)的處理標(biāo)準(zhǔn)應(yīng)該被考慮在內(nèi)，處理標(biāo)準(zhǔn)的指標(biāo)有信息數(shù)據(jù)的文件名、文件的保存位置、文件的保存時(shí)間。處理的標(biāo)準(zhǔn)越詳細(xì)，日后的統(tǒng)一管理也會(huì)越容易。在計(jì)算機(jī)會(huì)計(jì)系統(tǒng)中要設(shè)置一定的控制程序，控制的內(nèi)容有重復(fù)、錯(cuò)誤和遺漏操作。有了這些控制程序，當(dāng)用戶在系統(tǒng)上進(jìn)行了不正確的操作，系統(tǒng)就會(huì)有所提示。對(duì)于一些特殊業(yè)務(wù)，要制定相應(yīng)的操作規(guī)定，限制工作人員的行為，設(shè)置不可更改的操作規(guī)定。如果必須要更改，只能通過補(bǔ)充記賬的形式來完成，這樣才能確保會(huì)計(jì)信息數(shù)據(jù)的真實(shí)性和可靠性。在安裝計(jì)算機(jī)硬件系統(tǒng)時(shí)，要按照規(guī)定的程序進(jìn)行。在日常操作計(jì)算機(jī)時(shí)，也要按照規(guī)范的程序進(jìn)行，比如軟盤讀寫，如果軟盤正在讀寫，就不能強(qiáng)行將軟盤拔出，這不僅會(huì)對(duì)計(jì)算機(jī)造成一定損害，還會(huì)使得信息傳輸中斷，導(dǎo)致信息失真。

（三）優(yōu)化網(wǎng)絡(luò)風(fēng)險(xiǎn)防范手段

上文提到網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)有可能會(huì)遭受到病毒小程序的破壞，軟件程序入侵會(huì)計(jì)信息系統(tǒng)的危害性不容忽視，要采取有效的措施避免這一情況出現(xiàn)，切實(shí)保證會(huì)計(jì)信息系統(tǒng)的安全。比如為計(jì)算機(jī)系統(tǒng)安裝網(wǎng)管軟件，網(wǎng)管軟件的能夠?qū)崿F(xiàn)對(duì)網(wǎng)絡(luò)環(huán)境的監(jiān)控，能夠有針對(duì)性地過濾特殊的內(nèi)容，避免惡意軟件入侵計(jì)算機(jī)系統(tǒng)。防火墻、掃描器、入侵檢測(cè)這些系統(tǒng)都是計(jì)算機(jī)的安全防護(hù)程序，采集相關(guān)信息，完善安全事故的報(bào)告說明，將收集到的信息綜合起來，進(jìn)行關(guān)聯(lián)分析。切實(shí)掌握非授權(quán)訪問行為、攻擊信息，具體分析控制措施的控制效果，以此更高效地防范網(wǎng)絡(luò)風(fēng)險(xiǎn)。通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)、操作系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)是財(cái)務(wù)網(wǎng)絡(luò)信息系統(tǒng)的各個(gè)層次，針對(duì)不同的層次采取有效的安全防范措施，構(gòu)建的安全控制體系也要有覆蓋全面、層次多樣的特點(diǎn)。

三、結(jié)語

綜上所述，會(huì)計(jì)信息系統(tǒng)在互聯(lián)網(wǎng)的背景下明顯提高了工作效率，但是系統(tǒng)的開放性也有所增強(qiáng)，這就意味著信息安全成為威脅企業(yè)健康發(fā)展的問題。面對(duì)這一風(fēng)險(xiǎn)，要保證會(huì)計(jì)信息的準(zhǔn)確性和真實(shí)性，也要保證內(nèi)部控制制度的有效性，科學(xué)的內(nèi)部控制制度會(huì)明顯提升企業(yè)的核心競(jìng)爭(zhēng)力，也會(huì)有效拓展企業(yè)的發(fā)展空間。（作者單位：南京理工大學(xué)泰州科技學(xué)院）