
一、電算化會(huì)計(jì)信息系統(tǒng)的基本概念及特點(diǎn)
會(huì)計(jì)信息系統(tǒng)是一個(gè)以提供財(cái)務(wù)信息為主的經(jīng)濟(jì)信息系統(tǒng)。具體由憑證單元、賬簿組織、報(bào)表體系、記賬方法和賬務(wù)處理程序等組成,主要按照規(guī)定的會(huì)計(jì)制度、法規(guī)、方法和程序,完成對(duì)價(jià)值運(yùn)動(dòng)中所產(chǎn)生的數(shù)據(jù)的收集、加工、存儲(chǔ)、傳輸,形成有助于決策的會(huì)計(jì)信息。會(huì)計(jì)信息系統(tǒng)根據(jù)對(duì)會(huì)計(jì)數(shù)據(jù)加工處理手段的不同可以分為手工會(huì)計(jì)信息系統(tǒng)和電算化會(huì)計(jì)信息系統(tǒng)。電算化會(huì)計(jì)信息系統(tǒng)是以計(jì)算機(jī)作為主要數(shù)據(jù)處理工具的會(huì)計(jì)信息系統(tǒng),主要具有如下特點(diǎn):會(huì)計(jì)數(shù)據(jù)標(biāo)準(zhǔn)化、集中化和自動(dòng)化;內(nèi)部控制程序化。
二、電算化會(huì)計(jì)信息系統(tǒng)在管理方面存在的風(fēng)險(xiǎn)
在了解了會(huì)計(jì)信息系統(tǒng)的概念和特點(diǎn)之后,我們有必要知道這樣的信息系統(tǒng)到底存在著怎樣的風(fēng)險(xiǎn)。計(jì)算機(jī)應(yīng)用技術(shù)的發(fā)展給會(huì)計(jì)工作帶來了一場(chǎng)巨大的變革,為會(huì)計(jì)工作提供了嶄新的手段——會(huì)計(jì)電算化。它的出現(xiàn)不僅改變了會(huì)計(jì)信息的處理和存儲(chǔ)方式,而且對(duì)會(huì)計(jì)理論和實(shí)務(wù)產(chǎn)生了重大影響。同時(shí),隨著新技術(shù)特別是互聯(lián)網(wǎng)技術(shù)的引入,會(huì)計(jì)信息系統(tǒng)面臨的各種風(fēng)險(xiǎn)也在增大,如硬件因素引起的風(fēng)險(xiǎn)、軟件方面引起的風(fēng)險(xiǎn)、工作環(huán)境引起的安全風(fēng)險(xiǎn)、病毒“黑客”侵入引起的風(fēng)險(xiǎn)、管理因素引起的風(fēng)險(xiǎn)等。本文就管理方面的風(fēng)險(xiǎn)加以闡述。
管理風(fēng)險(xiǎn)是指電算化會(huì)計(jì)系統(tǒng)的有關(guān)管理制度不完善、不健全而引起的風(fēng)險(xiǎn)。它包括內(nèi)部控制薄弱造成的風(fēng)險(xiǎn)、操作不當(dāng)造成的風(fēng)險(xiǎn)、備份恢復(fù)機(jī)制缺陷帶來的風(fēng)險(xiǎn)以及內(nèi)部工作人員職業(yè)道德問題引起的風(fēng)險(xiǎn)。會(huì)計(jì)電算化系統(tǒng)在處理方式和內(nèi)部結(jié)構(gòu)上與原來的手工會(huì)計(jì)系統(tǒng)存在著較大的差別,原來的一系列管理制度已不能適應(yīng)電算化會(huì)計(jì)系統(tǒng)管理工作的需要。要保證電算化會(huì)計(jì)系統(tǒng)的正常、安全、有效運(yùn)行,必須建立健全一系列管理制度,否則不但不能很好地發(fā)揮會(huì)計(jì)電算化系統(tǒng)的作用,而且還會(huì)造成單位會(huì)計(jì)工作的混亂,給各種非法舞弊行為以可乘之機(jī),甚至?xí)o國(guó)家、社會(huì)、集體造成無法挽回的損失。
(一) 內(nèi)部控制薄弱造成的風(fēng)險(xiǎn)
1.不相容職務(wù)相分離原則的應(yīng)用問題
內(nèi)部控制重點(diǎn)就在于不相容職務(wù)分離。采用計(jì)算機(jī)后,不相容職務(wù)相分離這一在手工核算體制下常用的有效控制原則,在很多時(shí)候卻得不到遵循。由于數(shù)據(jù)處理集中進(jìn)行,導(dǎo)致職責(zé)合并嚴(yán)重,會(huì)計(jì)人員大大減少,從而使一些不相容職務(wù)得不到分離,如有些單位會(huì)計(jì)人員既從事數(shù)據(jù)輸入、輸出工作,又負(fù)責(zé)數(shù)據(jù)報(bào)送,這增加了他們?cè)谖唇?jīng)批準(zhǔn)情況下,直接對(duì)使用中的數(shù)據(jù)和程序進(jìn)行修改、復(fù)制或刪除等操作的可能性,從而使會(huì)計(jì)數(shù)據(jù)的準(zhǔn)確和及安全性得不到保證,其危害是不言而喻的。
2.數(shù)據(jù)的安全性差
(1)數(shù)據(jù)信息易被篡改。在手工會(huì)計(jì)信息系統(tǒng)中,信息都是用紙張記錄,其法律效力被廣泛承認(rèn),而且所作的任何修改都會(huì)有痕跡留下來,數(shù)據(jù)不易被篡改。而在電算化會(huì)計(jì)處理過程中,計(jì)算機(jī)存儲(chǔ)方式是將信息轉(zhuǎn)化為數(shù)字形式存儲(chǔ)在磁(光)介質(zhì)上,不易實(shí)現(xiàn)簽字、蓋章等具有法律效力的手段。因此,數(shù)據(jù)極易被篡改甚至偽造而不留任何痕跡。未經(jīng)授權(quán)的人員有可能通過計(jì)算機(jī)和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件,甚至復(fù)制、偽造、銷毀企業(yè)重要數(shù)據(jù)。
(2)利用數(shù)據(jù)信息進(jìn)行計(jì)算機(jī)舞弊和犯罪。計(jì)算機(jī)犯罪具有很大的隱蔽性和危害性,發(fā)現(xiàn)計(jì)算機(jī)舞弊和犯罪的難度較之手工會(huì)計(jì)系統(tǒng)更大,計(jì)算機(jī)舞弊和犯罪造成的危害和損失可能比手工會(huì)計(jì)系統(tǒng)更大,這給一些不法之徒提供了機(jī)會(huì)。據(jù)美國(guó)的一項(xiàng)研究表明:一般手工操作系統(tǒng)的銀行舞弊案每次造成的損失為10.4萬美元,而使用計(jì)算機(jī)系統(tǒng)的銀行舞弊案的平均損失為61.7萬美元,是一般手工操作系統(tǒng)的6倍以上。
3.審查、復(fù)核機(jī)制被削弱
在手工會(huì)計(jì)信息系統(tǒng)中,會(huì)計(jì)工作被分成幾個(gè)步驟,按一定的程序完成,任何一個(gè)步驟或一道手續(xù)的處理,都意味著是對(duì)前面步驟或手續(xù)的復(fù)核和審查,前一步驟中出現(xiàn)了錯(cuò)誤,往往可以在后一步驟中被發(fā)現(xiàn)并加以修改。而使用計(jì)算機(jī)后,大部分會(huì)計(jì)處理步驟不再存在,被計(jì)算機(jī)所代替自動(dòng)完成,審查、復(fù)核等控制機(jī)制隨之削弱,甚至消失了。原始數(shù)據(jù)輸入計(jì)算機(jī)后,記賬、報(bào)表等均由計(jì)算機(jī)處理,再也沒有經(jīng)手人負(fù)責(zé),如果處理過程出現(xiàn)錯(cuò)誤,將無從追查責(zé)任者,審查、復(fù)核機(jī)制被大大削弱。
(二)操作不當(dāng)造成的風(fēng)險(xiǎn)
操作不當(dāng)?shù)男问接泻芏?,但主要有如下一些表現(xiàn):①職員在進(jìn)入電子數(shù)據(jù)處理領(lǐng)域時(shí),沒有經(jīng)過適當(dāng)?shù)纳矸輽z查和識(shí)別。②沒有防止未經(jīng)許可的人員利用遠(yuǎn)距離終端進(jìn)入系統(tǒng)。③口令泄露給未經(jīng)批準(zhǔn)的人員。他們可能自己尋找口令,或從廢棄的輸出結(jié)果中取得口令,也可以通過觀察操作人員的操作以得到口令。④控制表中或授權(quán)等級(jí)庫(kù)中沒有及時(shí)清除離職人員的姓名和口令,使他們?cè)陔x職以后依舊能夠接近電子數(shù)據(jù)處理系統(tǒng)。⑤沒有受過培訓(xùn)的人員處理實(shí)際數(shù)據(jù),有可能無意地改變或破壞計(jì)算機(jī)文件。⑥計(jì)算機(jī)系統(tǒng)的操作人員對(duì)硬件設(shè)備的不正確操作可以引起系統(tǒng)的損壞, 從而危害系統(tǒng)的安全。不正確的操作主要是指操作人員不按規(guī)定的程序使用硬件設(shè)備。例如不按順序開機(jī)、關(guān)機(jī), 有可能燒毀計(jì)算機(jī)的硬盤, 從而造成數(shù)據(jù)的全部丟失。
(三)備份恢復(fù)機(jī)制缺陷帶來的風(fēng)險(xiǎn)
實(shí)現(xiàn)會(huì)計(jì)電算化后,對(duì)計(jì)算機(jī)硬件的要求在不斷提高,但是由于種種原因致使計(jì)算機(jī)硬件存在著某些缺陷,如硬盤的損壞而沒有備份,數(shù)據(jù)會(huì)丟失。即使有些計(jì)算機(jī)硬件系統(tǒng)存在恢復(fù)機(jī)制,但是恢復(fù)控制薄弱。如對(duì)備份文件未能做到恰當(dāng)?shù)谋9?;還有部分單位當(dāng)系統(tǒng)遇到意外事件無法工作時(shí),不知道如何恢復(fù)系統(tǒng),也沒有制訂系統(tǒng)恢復(fù)計(jì)劃。
(四)內(nèi)部工作人員職業(yè)道德問題引起的風(fēng)險(xiǎn)
1.會(huì)計(jì)人員的無意行為
由于電算化系統(tǒng)內(nèi)的工作人員素質(zhì)不高或責(zé)任心不強(qiáng)等原因造成的數(shù)據(jù)錄入錯(cuò)誤,操作步驟失誤,監(jiān)控力度不夠等,使會(huì)計(jì)數(shù)據(jù)錄入或處理出現(xiàn)錯(cuò)誤,從而導(dǎo)致會(huì)計(jì)信息不真實(shí)、不可靠和不完整。
2.人為的舞弊行為
電算化系統(tǒng)的內(nèi)部工作人員為了達(dá)到竊取商業(yè)秘密、非法轉(zhuǎn)移資金、掩蓋各種舞弊行為等非法目的,有意協(xié)助競(jìng)爭(zhēng)對(duì)手獲取和破壞會(huì)計(jì)數(shù)據(jù),從而對(duì)會(huì)計(jì)軟件數(shù)據(jù)等進(jìn)行非法篡改、刪除,給單位造成嚴(yán)重?fù)p失。
三、電算化會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的防范措施
(一)建立健全會(huì)計(jì)電算化內(nèi)部控制制度
要保障計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的安全,各單位不僅要遵循國(guó)家制定的保護(hù)計(jì)算機(jī)系統(tǒng)安全及計(jì)算機(jī)知識(shí)產(chǎn)權(quán)的法律法規(guī),還應(yīng)建立一整套從投入使用、業(yè)務(wù)操作到設(shè)備管理等完善的、行之有效的會(huì)計(jì)電算化風(fēng)險(xiǎn)防范措施(包括加強(qiáng)職務(wù)不相容的內(nèi)部控制、加強(qiáng)數(shù)據(jù)安全的內(nèi)部控制、實(shí)施有效的實(shí)時(shí)監(jiān)控)。
1.加強(qiáng)職務(wù)不相容的內(nèi)部控制
職務(wù)不相容控制是內(nèi)部控制的基礎(chǔ),是由不同的部門或人員來承擔(dān)不相容的職責(zé)。職務(wù)不相容控制的內(nèi)容主要分為以下3個(gè)方面:①電算化部門與用戶部門的職務(wù)分離。電算化部門是對(duì)數(shù)據(jù)進(jìn)行處理和控制的部門或人員,用戶部門是指產(chǎn)生原始數(shù)據(jù)或使用計(jì)算機(jī)處理所得信息的部門或人員,兩者之間應(yīng)盡可能保持不相容職務(wù)的分離。②電算化部門內(nèi)部的職務(wù)分離。電算化系統(tǒng)從建立到運(yùn)行的整個(gè)生命周期中,根據(jù)職能不同劃分為兩大部門,即系統(tǒng)開發(fā)部門和系統(tǒng)應(yīng)用部門。系統(tǒng)開發(fā)部門主要承擔(dān)系統(tǒng)的開發(fā)研制以及系統(tǒng)的維護(hù)工作等,系統(tǒng)應(yīng)用部門主要負(fù)責(zé)日常會(huì)計(jì)處理工作。③崗位授權(quán)的職務(wù)分離。單位應(yīng)根據(jù)企業(yè)規(guī)模及會(huì)計(jì)軟件的管理功能,設(shè)立系統(tǒng)管理員、電算主管員、軟件操作員、系統(tǒng)維護(hù)員、檔案管理員等崗位,這些崗位可以一人多崗,也可以一崗多人,但必須做到不相容職務(wù)的分離。
2.加強(qiáng)數(shù)據(jù)安全的內(nèi)部控制
數(shù)據(jù)安全控制是要做到任何情況下數(shù)據(jù)都不丟失、不毀損、不泄露、不被非法侵入,數(shù)據(jù)處理結(jié)果正確。一般包括以下內(nèi)容:①數(shù)據(jù)輸入控制。首先,輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán)和審批,并經(jīng)有關(guān)的內(nèi)控部門檢查。其次, 應(yīng)采用各種技術(shù)手段對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn),如總數(shù)控制校驗(yàn)、平衡校驗(yàn)、數(shù)據(jù)類型校驗(yàn)、重復(fù)輸入校驗(yàn)等。②數(shù)據(jù)處理控制。包括有效性控制和文件控制。有效性控制包括數(shù)字的核對(duì)。對(duì)字段和記錄的長(zhǎng)度檢查、代碼和數(shù)值有效范圍的檢查、記錄總數(shù)的檢查等。文件控制包括檢查文件長(zhǎng)度、文件標(biāo)識(shí)、文件是否被病毒感染等。③數(shù)據(jù)輸出控制。一般應(yīng)檢查輸出數(shù)據(jù)與輸入數(shù)據(jù)是否匹配,輸出數(shù)據(jù)是否完整,是否能滿足使用部門的需要,數(shù)據(jù)的發(fā)送對(duì)象、份數(shù)應(yīng)有明確的規(guī)定,要建立標(biāo)準(zhǔn)化的報(bào)告編號(hào)、收發(fā)、保管工作等。
3.實(shí)施有效的實(shí)時(shí)監(jiān)控
隨著會(huì)計(jì)不斷發(fā)展,計(jì)算機(jī)在會(huì)計(jì)中的應(yīng)用已相當(dāng)普遍。手工方式下內(nèi)部控制已不能適應(yīng)電算化會(huì)計(jì)信息系統(tǒng)要求,這就要求在電算化會(huì)計(jì)系統(tǒng)內(nèi)設(shè)置操作與監(jiān)控兩個(gè)崗位,對(duì)每一筆業(yè)務(wù)同時(shí)進(jìn)行多份備份。當(dāng)會(huì)計(jì)人員進(jìn)行賬務(wù)處理時(shí),其操作和數(shù)據(jù)也被同步記錄在監(jiān)控人員機(jī)器上,由監(jiān)控人員進(jìn)行即時(shí)或定期審查,一旦出現(xiàn)數(shù)據(jù)不一致便進(jìn)行深入調(diào)查,以實(shí)現(xiàn)有效牽制,從而實(shí)施有效監(jiān)控,加大審查、復(fù)核力度。
(二)加強(qiáng)操作管理的內(nèi)部控制
企業(yè)操作管理控制主要用來規(guī)范每一個(gè)操作員的行為以及各自之間的權(quán)限,以保證數(shù)據(jù)處理的準(zhǔn)確性和安全性。操作管理的內(nèi)部控制一般包括:
1.嚴(yán)把操作員上崗關(guān)
操作員必須經(jīng)過專門的會(huì)計(jì)電算化培訓(xùn)、持有會(huì)計(jì)電算化等級(jí)證書方能上崗。
2.規(guī)定操作員的工作職責(zé)和工作權(quán)限
為保證會(huì)計(jì)數(shù)據(jù)的準(zhǔn)確、真實(shí),對(duì)需輸入的原始憑證和記賬憑證等會(huì)計(jì)數(shù)據(jù),未經(jīng)電算主管員審核簽章,操作員不得輸入計(jì)算機(jī);對(duì)已輸入計(jì)算機(jī)的憑證需由電算主管員核對(duì)并簽章后方可登記機(jī)內(nèi)賬簿。同時(shí),操作員應(yīng)按被授予的權(quán)限嚴(yán)格作業(yè),不得越權(quán)接觸系統(tǒng),以避免人為因素或操作不當(dāng)給系統(tǒng)帶來不必要的損失和風(fēng)險(xiǎn)。
3.建立操作員上機(jī)登記制度
操作員應(yīng)認(rèn)真填寫手工上機(jī)日志,記錄每天的上機(jī)操作內(nèi)容,并定期打印會(huì)計(jì)軟件提供的上機(jī)日志。
4.操作員不得泄露密碼
為防止密碼泄露,企業(yè)可對(duì)操作密碼實(shí)行雙人控制,即將所設(shè)密碼分為兩部分,一部分由電算主管員掌握,另一部分由操作員掌握,只有兩者同時(shí)兼有密碼,方能進(jìn)入操作。這樣可以達(dá)到相互監(jiān)控的目的。
(三)建立多級(jí)備份機(jī)制
1.服務(wù)器雙機(jī)熱備份或RAID鏡像技術(shù)
在后臺(tái)建立雙機(jī)數(shù)據(jù)庫(kù)服務(wù)器系統(tǒng),進(jìn)行系統(tǒng)熱備份,在發(fā)生故障時(shí),服務(wù)器自動(dòng)切換,保證在一般故障情況下服務(wù)器系統(tǒng)的不停頓工作,這在多賬套、多部門應(yīng)用以及遠(yuǎn)程網(wǎng)絡(luò)服務(wù)條件下保持?jǐn)?shù)據(jù)庫(kù)不間斷服務(wù)尤其重要。RAID是廉價(jià)磁盤冗余列陣的英文縮寫,在數(shù)據(jù)庫(kù)服務(wù)器中,它通過磁盤鏡像技術(shù)實(shí)現(xiàn)數(shù)據(jù)冗余來提高數(shù)據(jù)的可靠性,即一個(gè)邏輯磁盤由兩個(gè)物理磁盤組成,并且每個(gè)寫操作都在兩個(gè)磁盤上進(jìn)行,如果其中一個(gè)磁盤發(fā)生故障,數(shù)據(jù)可從另一個(gè)磁盤讀出。
2.財(cái)務(wù)軟件系統(tǒng)自動(dòng)備份
財(cái)務(wù)軟件系統(tǒng)必要的自動(dòng)備份可以彌補(bǔ)用戶自主備份不足所產(chǎn)生的損失,雖然它會(huì)消耗系統(tǒng)資源,并且頻繁的自動(dòng)備份會(huì)影響系統(tǒng)的運(yùn)行效率。一般是定期自動(dòng)備份(如一周、一月)和數(shù)據(jù)更新時(shí)強(qiáng)制性自動(dòng)備份(如大量數(shù)據(jù)輸入、結(jié)賬時(shí)的備份)。
3.系統(tǒng)管理員定期集中備份和賬套主管的日常備份
這是用戶自主進(jìn)行的備份工作,要做到勤備份、少恢復(fù),任何恢復(fù)操作必須有明確的書面記錄,記載數(shù)據(jù)恢復(fù)的原因、恢復(fù)時(shí)間、恢復(fù)人和用以恢復(fù)的備份數(shù)據(jù)詳細(xì)情況。數(shù)據(jù)的備份應(yīng)分別存在3個(gè)以上地點(diǎn),并由專人保管,貼上寫保護(hù)標(biāo)簽并用印章或封條簽封,并定期進(jìn)行轉(zhuǎn)儲(chǔ)。
(四)會(huì)計(jì)人員的培訓(xùn)和繼續(xù)教育制度以及風(fēng)險(xiǎn)評(píng)估和分級(jí)管理制度
1.人員培訓(xùn),提高會(huì)計(jì)人員素質(zhì)
搞好會(huì)計(jì)電算化人員的后續(xù)培訓(xùn)是內(nèi)部控制的有效措施。會(huì)計(jì)電算化已成為一門融會(huì)計(jì)學(xué)、管理學(xué)、電子計(jì)算機(jī)技術(shù)、信息技術(shù)為一體的邊緣學(xué)科。高質(zhì)量的會(huì)計(jì)軟件需要優(yōu)秀的軟件設(shè)計(jì)者的研制開發(fā),會(huì)計(jì)軟件的持久應(yīng)用也離不開稱職的軟件操作人員,他們應(yīng)該是既精通會(huì)計(jì)業(yè)務(wù),又精通計(jì)算機(jī)和計(jì)算機(jī)數(shù)據(jù)處理技術(shù)的復(fù)合型人才。目前,新的應(yīng)用軟件不斷涌現(xiàn),操作系統(tǒng)不斷升級(jí),有的財(cái)務(wù)軟件即使未更換,也存在升級(jí)、增加新功能的問題,這就要求將會(huì)計(jì)電算化培訓(xùn)列入會(huì)計(jì)人員后續(xù)教育的內(nèi)容中去,在培訓(xùn)時(shí)不僅僅是對(duì)操作系統(tǒng)的培訓(xùn),還應(yīng)包括讓這些人員了解系統(tǒng)投入運(yùn)行后新的內(nèi)部控制機(jī)制,計(jì)算機(jī)會(huì)計(jì)系統(tǒng)運(yùn)行后新的憑證流轉(zhuǎn)程序,計(jì)算機(jī)會(huì)計(jì)系統(tǒng)提供的高質(zhì)量的會(huì)計(jì)信息的進(jìn)一步利用和分析的前景等。
2.建立風(fēng)險(xiǎn)評(píng)估和分級(jí)管理制度,及時(shí)發(fā)現(xiàn)現(xiàn)有的或潛在的風(fēng)險(xiǎn)
根據(jù)單位的具體情況,對(duì)電算化系統(tǒng)各組成部分和運(yùn)轉(zhuǎn)的每一過程的風(fēng)險(xiǎn)和可承受性進(jìn)行客觀合理的評(píng)價(jià),采取適宜的分級(jí)管理制度,并在實(shí)施過程中持續(xù)改進(jìn)和完善,更有效地利用組織資源來確保會(huì)計(jì)電算系統(tǒng)的安全。同時(shí),結(jié)合內(nèi)外檢查監(jiān)控機(jī)制和交流反饋機(jī)制,及時(shí)發(fā)現(xiàn)現(xiàn)有的或潛在的風(fēng)險(xiǎn),采取糾正、預(yù)防措施,持續(xù)改進(jìn)和完善安全管理體系,提高安全績(jī)效。
主要參考文獻(xiàn)
[1]田文利.淺談電算化會(huì)計(jì)信息系統(tǒng)的管理[J].內(nèi)蒙古科技與經(jīng)濟(jì),2006(16).
[2]黃平秋.淺議電算化會(huì)計(jì)信息系統(tǒng)中的內(nèi)部控制[J].時(shí)代經(jīng)貿(mào):學(xué)術(shù)版,2006(9).
[3]虞曉紅.電算化會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)與防范[J].經(jīng)濟(jì)師,2006(3).
[4]陳雪芬.會(huì)計(jì)電算化系統(tǒng)的安全風(fēng)險(xiǎn)及防范策略[J].中國(guó)鄉(xiāng)鎮(zhèn)企業(yè)會(huì)計(jì),2000(3).