宋楚乔

[摘要]由于互联网的迅猛发展和广泛使用，会计信息系统的安全性成为企业面临的关键性问题，同样对会计信息系统的内部控制带来了新的问题和挑战。本文拟对会计信息系统的风险问题进行深入分析，并针对这些问题提出相应防范措施。

[关键词]会计信息系统 风险问题 控制

会计信息系统的发展走过了漫长的历史，经济在不断发展，竞争在不断加剧，在全球网络化得环境中，国内为的会计管理软件公司也纷纷推出基于互联网的会计信息系统，即现代会计信息系统。虽然应用信息技术的会计信息系统代替传统的手工采集处理数据大大提高了会计的工作效率，但是传统会计的核算环境和信息载体管理模式安全控制体系均发生了变化，这样就造成了不可避免的信息系统风险问题。因此，有必要对现代会计信息系统的风险问题进行分析，并从中找出防范和控制系统风险的措施。

一、现代会计信息系统存在风险的原因

现代会计信息系统是基于高度发达的互联网产生的，互联网网络风险即是会计信息系统风险。除此之外，还与现代会计信息系统本身的特点有着密切的关系，其风险存在的原因主要是由该系统的特点决定的。

1.系统本身的庞大性。现代会计信息系统是由传统的自动化会计信息系统和各业务信息系统集成的，这样就会使信息系统由部门级别系统升级到企业级别系统。而传统的自动化会计信息系统本身就包含很多子系统，再加上各业务信息系统结合在一起，现在会计信息系统本身的庞大性就不言而喻了。

2.资源管理的集成性。现代会计信息系统与企业管理的各个子系统集成一体并与外部系统（如银行、供应商等）相连接从而使所需要的原始数据能够及时准确的采集和整理。由此可见会计信息化从根本上促进了会计部门与其他部门之间的协作，正因为这样参与的人越多，需要处理的信息越广，现代会计信息系统面临的风险就越严峻。

3.网络环境的开放性。由于现代会计信息系统是基于网络技术的信息系统，所以它不再是封闭的。现代网络技术的应用使会计信息在不同地域之间传输不再受限制，通过网络可以实现远程审计，远程查账等多种处理功能，会计信息的使用者也可以根据自己的需要，在网络上筛选出及时、准确的信息数据。网络环境的开放性提高了信息的透明度，这样有利于监督和管理，但也容易遭到病毒的攻击和黑客的入侵。

4.人为因素的干预性。现代会计信息系统是由人、电子计算机、网络系统、数据及程序等有机结合的应用系统，所以现代会计信息系统不是人机相互作用的智能系统。因此，人为因素的干扰对系统风险则构成了致命的威胁。

网络时代的会计信息系统将会是一个智能的会计信息系统，其系统的正常运作离不开软件、硬件以及人的作用。所以现代会计信息系统的风险存在是必然的。

二、现代会计信息系统风险存在的形式

现代会计信息系统是开放的、处理是分散的、数据是共享的，这些方面较以前的会计信息系统都有很大的飞跃，改变了以往计算机系统的应用模式，拓展了运行环境的同时也增加了系统风险。现代会计信息系统的风险主要来自以下两方面：

1.系统故障风险。任何计算机系统都可能因为操作失误或者硬件、软件或网络本身出现问题而故障，这样就导致了系统数据丢失甚至是系统瘫痪的风险。但是在互联网结构的会计信息系统中，由于其具有分布广、开放性、远程实时处理的特点，系统的一致性和可控性降低，一旦出现了故障问题影响面很广，数据的一致性很难保障，恢复处理系统的成本更高。

2.人员道德风险。由于互联网是开放的，任何人都可可以通过访问Internet来访问企业的会计信息系统，这样就使认为的风险加剧。不同人员有着不同的需求，其风险可以划分为内部人员的道德风险、系统关联方道德风险和社会道德风险。

总之，互联网是一把双刃剑，在享受它带给我我们的方便快捷的同时我们必须承担相应的风险。随着社会信息化程度的不断提高，安全问题将会日益突出，需要不断加强和完善法律来控制，不断创新安全生产技术来避免，还需要不断提高管理和控制的有效手段。

三、现代会计信息系统风险的防范与控制

为了从根本上解决现代会计信息系统的风险问题，除了要采用先进的计算机网络安全技术，要有完善的基于网络社会的法律环境外，我们还必须根据互联网系统的特点和风险来源的形式，从内部控制和外部控制两方面来重新考虑和设计现代会计信息系统的控制系统。

1.内部控制体系。内部控制是指企业为保护资产安全、保证会计记录的正确性，提高经营管理效率、保障经营管理政策的执行而采取的全部方法和措施。内部控制可以分为应用控制和一般控制两大类。不同的应用系统和环境模式，所选用的内部控制的方法和措施是不同的。现代会计信息系统的内部控制主要包括一下几点：

（1）数据库控制。威胁数据库安全主要有系统故障和系统受到非法访问。针对系统故障可以采取的措施有：子模式定义数据库，既是用户需要什么数据就向其开放什么数据；对数据库的各种操作设定不同权限，即对数据库的查询、更新、删改等操作赋予不同权限；数据备份和恢复，建立数据备份文件，除此之外还需建立事务日志文件和检查点文件。系统恢复时，可以根据事务日志文件、检查点文件查询最近业务点使用备份数据进行恢复；系统非法访问是系统内部人员的非法访问和外部人员非法访问。例如企业内部人员为了解自己或别人信息情况越权访问数据文件，或者好奇非法访问企业机密文件等行为。企业外部人员非法访问，例如，网络黑客、竞争对手、合作伙伴等出于商业目的获取系统数据的非法访问等等。

（2）系统维护控制。系统维护控制包括两方面内容信息系统的修改和日常维护。软件本身功能就能完成系统日常维护工作，其实现于系统的操作控制中。系统的修改包括，调整代码结构、修改原程序、修改数据结构、系统功能的扩充等等。所以，系统维护也包括了系统开发控制方法。即是严格控制系统的维护方案、软件测试、维护过程。系统内部的功能结构会受到系统修改的影响，对系统的任意修改都会造成其它功能混乱或功能协调不一致，系统内部控制的有效性也会因此受到影响。所以，对系统维护需要严格的审批程序，禁止私自维护系统。此外，营业用机和维护用机也需特别维护，以确保系统的可靠性运行。

2.外部控制体系。此处的外部控制是指对企业外联网以外的系统空间进行控制。对企业外联网意外的环境进行控制也是由现代会计信息系统本身所决定的。其外部控制包括电子商务控制、远程处理控制、周界控制、大众访问控制等。

（1）电子商务控制。电子商务的安全问题涉及到网上交易的各个方面，虽然已经远远超出了本文讨论的范畴，但是电子商务活动室实现会计信息系统的前提条件，如：电子商务合同的订立、合同承诺生效的时间与地点、电子文件（如电子凭证、电子签字）等。除了要完善法律来保护以外，还要建立完善的网上交易安全协议，需要有成熟的数据加密、数字签名等技术手段，需要建立权威安全的论证中心等等。

（2）远程处理控制。基于互联网的会计信息系统的建立为集团型企业实现远程查帐、远程报表、远程审计，以及对交易事项的远程财务监控创造了条件。建立相应的远程处理控制系统，讲成为企业现代会计信息系统控制的重要内容之一。对于需要在线实时处理的内容，如在线审计、电子转账等，都需要在严格的操作规范下进行，以确保处理结果的有效性和可验证性。

（3）周界控制。周界控制是通过对安全区域的周界实时控制来保护区域内部系统的安全性，它是一切防外措施的基础。但是目前周界控制还没能引起应用界的重视。从防外的角度来考虑最便捷的作法是对安全区域的周界实时控制，在实时周界控制前首先要定义出明确的周界范围和安全要求。一般来说，周界控制包括建立防火墙、设置外部访问区域、建立周界控制制度等。

周界监控实施包括技术和管理两个方面。技术措施是指通过一定的安全技术产品和软件功能实施对周界的实时监控和情况记录；管理措施是指企业要设置专门的内审小组，负责对系统的周界监控系统的管理，实时检查记录资料，及时发现和解决问题。同时还要开展定期的风险评估分析活动来不断提高系统的安全性。

（4）大众访问控制。网上大众访问包括电子邮件传递、网上查询等内容。由于网络系统是一个开放的系统，对于社会大众的网上行为实际上是无法控制的。因此，除了加强社会法律的作用外，主要是企业要在系统的外部访问区域采取防护性控制措施。包括邮件系统控制和网上信息查询控制。

现代会计信息系统风险的存在是必然的，随着互联网技术的发展和进步，风险的变化也呈多样性发展，如何最大限度地控制和防范风险，仍将是我们今后所要研究的课题。然而，人才是最根本的保证，企业必须注重人才的培养和与时俱进，以保证企业会计信息系统的安全性和可靠性。

参考文献：

[1]许永斌.电子商务会计，立信会计出版社，2000

[2]杨周南.会计信息系统，东北财经大学出版社，2001

[3]李荣梅，陈良民.企业内部控制与审计，北京经济科学出版社，2004

[4]楼德华，傅黎瑛.中小企业内部控制，上海三联书店，2005

[5]张孟，李洁.网络环境下会计信息系统的安全问题探讨，观点，2010

[6]熊绪.进网络会计信息系统安全控制探讨，会计电算化 2010；

[7]李河君.会计信息系统风险控制体系研究[D].首都经济贸易大学，2010