会计信息系统风险管理
2009-03-06王晓明
王晓明
提要由于某些主客观因素的存在,会计信息系统面临着很多风险和挑战,对其进行风险分析和风险防范是当前急需解决的问题。本文根据会计信息系统的特点,按照风险管理的一般步骤,对会计信息系统风险进行分析和阐释,并提出会计信息系统风险管理的具体防范措施。
关键词:会计信息系统;风险管理;防范措施
中图分类号:F23文献标识码:A
当前会计信息系统面临着很多风险和挑战,从会计信息系统的生命周期来看,包括分析、设计、实施、维护等阶段,各阶段既受技术方面局限性的限制,又受企业文化、管理水平、操作者素质等因素的影响,使得会计信息系统包含了众多不确定因素和潜在风险。因此,对会计信息系统进行风险分析以及防范和控制风险是当前急需解决的问题。
一、会计信息系统的风险识别
风险的识别是风险管理的首要环节。风险管理的识别是指在开展会计信息系统建设的过程中,找到风险所在,其目的在于查明建设过程中的不确定因素、来源及其相互之间的关系。
(一)会计信息系统的特点。会计信息系统以现代信息技术为手段,采用数据库、网络、通讯等工具,利用计算机硬件、软件及其他设备等资源,对业务活动中产生的会计信息进行采集、存储和处理,完成会计核算任务,并能提供会计管理、分析、决策所需信息的系统。
会计信息系统具有以下特点:(1)数据来源广泛,数据量大;(2)数据的结构和数据处理的流程较复杂;(3)数据的真实性、可靠性要求高;(4)数据处理的环节多,很多处理步骤具有周期性;(5)数据的加工处理有严格的制度规定,并要求留有明确的审计线索;(6)信息输出种类多、数量大、格式上有严格的要求;(7)数据处理过程的安全、保密性有严格的要求。
(二)会计信息系统风险分析。在计算机环境下,会计信息系统的风险大致包括以下几个方面:
1、软件技术和系统故障带来的风险。目前,我国很多国产的电算化软件已得到较大发展,但仍存在一些技术上的问题。如,由于会计信息化下操作更改的无痕迹性,不易发现存在的问题。系统故障风险主要可分为:一是系统开发和设计风险,如系统开发过程中技术不成熟或开发人员会计知识了解不足等;二是系统运行风险,即计算机硬件的毁损、丢失以及软件运行过程中的风险等。
2、内部控制弱化引起的风险。由于内部控制弱化,使得财务数据更易被控制和操纵,主要表现为授权控制下降、不相容职能分离和职责分工的重要性下降以及凭证、账簿的作用弱化。
3、缺乏审计引发的风险。由于电算化会计制度的不完善,大部分会计核算软件可审性极为软弱,因而给审计工作带来许多困难。现有的会计核算软件缺乏设立明晰的审计线索的设计思想,不能保证审计部门利用计算机技术进行审计监督。
4、安全风险。安全风险是指会计信息系统数据被破坏、丢失所带来的风险。其主要可表现为:软件系统的安全缺陷、篡改或非法调用程序的风险以及网络隐患。
二、会计信息系统风险预测
风险预测实际上就是估算、衡量风险,由风险管理人员运用科学的方法,对其掌握的统计资料、风险信息及风险的性质进行系统分析和研究,进而确定各项风险的频度和强度,为选择适当的风险处理方法提供依据。
1、编制风险管理计划。风险管理计划的编制应当全面、合理、有效,并随着时间的推移,及时做出调整、修改,使之更加完整、合理、切实可行。
2、制定风险预防政策和标准。抽调一定的会计人员和计算机维护人员以及行政人员,组成风险管理组。在领导的带领下,制定行之有效的政策和规章制度。
3、定期核查监督。风险管理组定期或不定期对会计信息系统运行、数据、备份进行核查,按照制定的标准编制核查报告,分析各个不确定性及相应的风险系数,检验是否符合重要性水平。对于临近重要性水平的数据要重点关注,及时监督和处理。
三、会计信息系统的风险处理
风险的处理是指当风险将要发生或已经发生时,按照事先编制的风险控制计划,采取相对应的风险应对策略,使会计信息系统的整体风险降到最低的活动。基于会计信息系统的特点和存在的风险,将风险处理应考虑的一般原则总结为以下几点:
(一)成本效益原则。可以说,风险管理是在降低风险的收益与成本之间进行权衡,并决定采取何种措施的过程。同样,在进行会计信息系统的风险处理及风险方法的选择上更要注意成本效益原则,要能够花最少的资源尽可能化解最大的危机。
(二)系统性原则。信息系统具有整体性特点,我们在进行风险处理时,不能为了解除已发生的故障,在处理相关数据时,忽略其他部分数据相应的改变,致使整个系统失去原来的功能。
(三)可持续发展原则。可持续发展原则,即在进行风险处理时,不能为了降低成本而忽视系统的长期有效使用。尤其是在风险方法的选择上,更要注重系统的可持续发展。同时,在改善系统进行设计时,一定要考虑到将来系统的升级和进一步改善的可能性。
四、会计信息系统风险管理的具体防范措施
(一)加强会计信息系统内部控制制度体系建设
1、组织控制。建立岗位责任制是会计电算化工作顺利实施的保证。明确系统内各类人员的职责、权限并与利益挂钩,用组织控制对他们的职权进行分离,形成内部牵制。
2、授权控制。实践证明,权力必须受到制约,否则,失去制约的权力极易导致舞弊。因此,各项工作人员必须在获得批准和授权后,方能执行或处理某个事项。
3、操作控制。操作控制主要包括计算机系统使用管理和上机操作管理。前者主要指保护计算机设备,保证机内的程序与会计数据的安全;后者指建立与实施各项上机操作规范,包括上机记录制度、完善的操作手册、上机时间安排等。
4、档案控制。为确保档案的真实性和可靠性,除了加强磁介质档案保管的防护措施外,如防磁、防潮、防火、防尘等,还应实行双重保管,即纸质档案和磁介质档案分别保管或磁介质档案备双份保管。
(二)加强软件控制。软件控制措施用于保证程序和会计数据不被错用、滥用和非法使用。常用的控制措施主要有:对于所使用的各种软件必须经过授权;安全程度不等的数据应赋予不同的访问级别;对程序源代码采取保密措施,以防操作者对指令进行篡改;软件的维护应经过周密计划,严格履行手续审批和测试;如果是自行开发的软件,应选择成熟并经授权的软件技术和开发工具,并由审计人员对数据输入、处理和输出环节进行符合性测试,以测试软件中的内部控制是否存在等。
(三)加强计算机审计。会计电算化的发展必然要求计算机审计要跟上它的步伐。计算机审计工作的发展除了要有必要的法制保障外,还有赖于计算机审计软件的开发和审计技术的不断创新。计算机审计根据计算机审计准则,通过各种有效的方法和程序,对会计电算化环境中的计算机硬件和财务软件的安全、可靠、稳定、合法、管理等方面进行审计。
(四)建立风险评估和分级管理制度。建立风险评估和分级管理制度,及时发现现有或潜在的风险。根据单位的具体情况,对电算化系统各组成部分和运转的每一过程的风险和可承受性进行客观合理的评价,采取适宜的分级管理制度,并在实施过程中持续改进和完善,最有效的利用组织资源来确保会计电算化的安全。同时,结合内、外检查监控机制和交流反馈机制,及时发现现有或潜在的风险,采取纠正、预防措施,持续改进和完善安全管理体系,提高安全绩效。
(五)加强数据存储控制和网络安全控制。加强数据存储控制:一方面加强设备环境控制,其控制措施主要包括:采取防火、防水、防磁、防震、防掉电、防高低温等措施,定期对硬件进行测试,安装防病毒软件等;另一方面建立多级存储机制——设置财务软件系统自动备份系统,并实行管理员定期集中备份和账套主管的日常备份制度。
针对计算机病毒日益猖獗和网络黑客频繁攻击、盗取秘密的现象,应采用积极、科学的反计算机病毒和防黑客侵入的措施,如不使用盗版软件、经常对计算机进行软盘和硬盘的病毒检测并对相关软件进行及时的升级、设置防火墙、使用入侵检测软件、将黑客阻挡在内部网络之外、严格网内主机管理。
(作者单位:东北财经大学)
参考文献:
[1]胡奕明,刘育青.会计电算化系统的特定风险及其控制[J].财务与会计,1996.8.
[2]张瑞君,蒋砚章主编.计算机会计学.北京:中国人民大学出版社,1998.
[3]财政部发布.会计电算化工作规范,1996.
[4]王清,胡奕明.关于会计电算化系统的数据安全对策[J].财会通讯,1997.6.
[5]薛云奎.手工会计的技术特征及其对电算化会计的局限[J].会计研究,1997.11.
[6]虞晓红.电算化会计信息系统的风险与防范《经济师》,2006.3.
[7]张国平,程玉民.会计信息系统份的风险管理,《会计之友》,2005.4.
[8]郑庆良,杨莹.网络会计信息系统的风险与及其防范,《财会通讯》,2006.12.
[9]庄明来.会计电算化研究[M].北京:中国金融出版社,2001.12.