中小型單位會計信息系統的風險分析與防范

[摘要]中小型單位開展和應用會計信息系統是當今信息經濟飛速發展時代的必然趨勢，保障會計信息系統的安全運行具有重要的現實意義，本文對中小型單位在開展和應用會計信息系統過程中的風險問題進行分析，并提出相應的防范措施。

[關鍵詞]中小單位；會計信息系統；風險分析；對策

[中圖分類號]F232

[文獻標識碼]A

[文章編號]1673-0194(2006)12-0039-04

一、引言

隨著我國經濟的迅速發展，信息技術的日新月異，商品化財務軟件的普及，為中小型單位實現會計信息化提供了良好的客觀條件。會計信息系統投入成本的降低，特別是近年來通用型商品化財務軟件的大眾化價格，使許多中小型企事業單位(以下簡稱為中小單位，中小型企業的界定參照“國經貿中小企[2003]143號文《關于印發中小企業標準暫行規定的通知》”)為了提高工作效率，應用了會計信息系統(或稱為電算化會計系統)。中小單位雖然經營規模小，但數量眾多，是我國國民經濟和社會發展的一支重要力量。重視和做好中小單位的會計信息系統建設，無疑對于提高中小單位的管理水平和經營效益具有重大的意義，并且對于國家進行宏觀管理和決策工作可提供更加準確充實的數據。大型企事業單位特別是集團化單位，由于規模、資金、成本費用巨大，對信息化的管理目標和要求更高、更全面，基本上建立了全面的信息化工程，從核算型會計信息系統過渡為管理型會計信息系統，或者直接采用了諸如ERP(企業資源規劃系統)等大型的管理信息系統，大型單位在會計信息化系統建設方面投入巨大，風險的防范以及制度設計比較完善科學，而且理論界對于這些大型會計信息系統的風險與控制措施(如對ERP系統環境下的風險分析等)的探討也比較多，本文不再討論。但是數量眾多的中小單位由于受到經營規范、成本費用等因素的影響，許多中小單位，特別是小型單位在實際操作中由于不能嚴格遵從國家制定的會計電算化工作規范來開展實施，導致會計信息系統存在比較嚴重的安全隱患。本文旨在對中小單位在開展和應用會計信息系統過程中存在的風險問題進行分析。并提出一些防范建議。

二、會計信息系統的內部控制的現狀與風險分析

(一)人員配備、崗位分工不符合會計電算化工作規范的要求

中小單位由于經營規模較小，受制于成本費用，特別是人力資源成本(或人員編制)，往往在人員科學分工配置方面存在缺陷，一人身兼數職，多崗合一的情況非常普遍。從經濟成本的角度來看是一件好事，可以節約經營成本，但問題是，要開展會計信息系統工作，前提的條件是必然要符合會計電算化工作規范要求，嚴格的內部控制制度是會計電算化信息真實可靠的保證，而中小單位往往忽視這個問題。如：有的國有小型企事業單位由于經營規模較小，但業務收支比較頻繁，受制于人員編制問題，未設立獨立核算的財務機構，設有一名專職的會計員和出納員，考慮到單位收支業務比較多，財務工作人員工作繁重，實行了會計信息化；還有的單位因為實行了會計信息化，覺得財會人員工作量減輕了，把原有的獨立的財務機構，附屬于其他業務機構，筆者認為這些做法不符合會計電算化工作規范的要求，而且對單位也有可能造成不可估量的損失。會計信息化雖然在很大程度上減輕了會計人員的工作量，但同時也增加了操作人員、系統維護人員等崗位，提出了比傳統手工會計環境下更高的要求。按照會計電算化工作規范要求，會計電算化工作崗位分為基本會計崗位和電算化會計崗位，雖然按規范要求，實施會計電算化過程中，各單位可根據內部控制制度的要求和本單位的工作需要，對電算化會計崗位的劃分進行調整和設立必要的工作崗位，基本會計崗位和電算化會計崗位，可在保證會計數據安全的前提下交叉設置。依照這個前提小型企事業單位開展會計信息化時，可以根據實際需要對崗位進行適當合并，如：讓會計員可兼任軟件錄入員或者作數據分析。但是對于職務不相容的崗位，會計電算化工作規范也做出了明確要求，會計人員如果擔任了錄入員(制單員)則不能兼任電算審查(審核員)，實際上財務軟件已有提示，如：制單員與審核員不能同為一個人是最起碼的原則和要求。因為輸入會計信息系統的原始數據必須是審核無誤的，一旦原始數據在輸入中發生錯誤，而又沒有相應的人員進行審核，計算機是無法識別的，只會將錯就錯地進行各種計算工作。處理數據的準確性完全依賴于原始數據的輸入的準確性，準確性和真實性有賴于輸入員和審核員的把關。

(二)口令管理和用戶授權存在安全隱患

口令管理是防止系統的非法入侵的最基本也是最重要的要求，遺憾的是，在已實行會計信息化的中小單位中普遍存在對口令管理不重視的情況，很多電腦系統未設置口令保護，甚至連有些會計系統的主機，也未設置超級用戶口令。如有的操作人員為了方便記憶把口令寫在電腦的周圍，造成口令形同虛設，甚至有的小型單位為了所謂工作的方便，會計系統操作員的口令設為相同，達不到安全防范的目的。口令管理和用戶授權是相輔相成的，如果制單員和審核員的操作口令相同，就等同于一個操作員既可制單又可審核，不符合職務不相容的原則。另外對系統的用戶授權管理制度不夠重視，中小單位由于多崗合一的現象比較普遍。職能高度集中，因而也出現有商業信息或單位數據泄密的情況發生，從而給單位造成了損失。在手工會計系統中，對于一項經濟業務的每個環節都要經過某些具有相應權限人員的審核和簽章。但會計信息化后，職能劃分發生了巨大的變化，因為業務處理全部都是以會計信息系統為主，會計信息化功能和知識的高度集中導致了職責的高度集中，特別是會計人員的職能開始從核算型向管理型轉移，會計人員既可從事數據的輸入，也可能負責數據的打印輸出和報送。因此，如果不加強內部控制，就會使某些計算機操作人員直接對使用中的程序和數據庫進行篡改，操縱處理結果，出現舞弊以及信息泄密的風險。

二、會計信息系統的應用和管理的現狀與風險分析

(一)會計信息系統的設備安全運行問題

設備的安全是保證會計信息應用系統正常運行的前提條件。許多中小單位不重視設備的運行和管理工作，特別是對于災害事故(如火災、水災)或電源中斷故障等原因所引起的會計信息處理中斷和數據丟失的風險防范并沒有相關的措施和制度，對硬件的建設和維護缺少必要的投入，如有的小單位由于沒有使用UPS不間斷電源，很容易造成數據丟失和服務中斷。

(二)會計信息系統的檔案管理風險

會計信息化環境下的會計檔案管理，除了我們平常應嚴格遵循的傳統手工會計狀態下的紙介質的檔案保管要求外，還要按照會計電算化工作規范要求來妥善保管會計檔案，部分中小單位由于忽視了對會計信息化檔案的管理工作，沒有制訂相應的管理制度或者是沒有嚴格按制度來執行，存在嚴重的數據安全隱患甚至給單位造成了不可估量的損失。如某單位已實行會計電算化兩年了，因財政和稅務部門要來執行財務檢查，才臨時打印相關的賬表；也有的單位對儲存介質不夠重視，就直接將數據存盤在單機系統的電腦硬盤上，這些做法都不符合會計電算化工作的規范要求，存在數據丟失的巨大風險。實行會計電算化之后。隨著存儲介質的改變，對會計檔案管理提出了更加嚴格的的要求。在會計信息化情況下，會計檔案除了打印輸出紙質介形式的證、賬、表以外，還包括了整個系統開發形成的全套文檔資料以及存有會計數據的磁性介質。

(三)會計信息化網絡互聯的風險問題

這里也存在兩種情況，第一種是對網絡互聯的風險防范意識淡薄，中小單位由于信息共享的需要，單位內部計算機之間往往會建立網絡互聯，單位更是越來越多地通過互聯網了解和接受信息，如財務人員通過登錄政府網站辦理表格下載或者完成電子稅務等業務，在單位的局域網與本單位相關業務部門實現信息共享。但在黑客入侵事件屢見不鮮的今天，如何確保單位信息的安全應引起足夠的關注，有的中小單位會計信息系統應用操作人員在沒有安全控制的情況下，放松了網絡互聯的風險，在享受互聯網絡便利的同時，也存在著系統被破壞和信息泄露的風險。第二種情況是，有的中小單位由于過多地考慮了網絡互聯的風險，不能充分利用網絡的互聯便利，而使會計信息系統成為“信息孤島”，會計信息系統僅僅是代替了傳統意義上的手工會計，沒有和相關業務部門銜接，對單位的決策和調控未能很好地發揮信息化的作用。例如有的中小單位雖實現了會計信息化，財務人員的工作效率也提高了。也減輕了財務工作者的勞動強度。但是會計信息系統的一些有用的模塊并沒有很好地應用。沒有充分利用局域網的互聯便利，如財務軟件應用模塊中的固定資產模塊和工資管理模塊，并沒有很好地和單位的資產管理部門和人事勞資部門結合，往往重復勞動或者是條塊分割。

三、中小單位會計信息系統風險的防范對策

(一)科學設置崗位，加強內部控制制度

科學設崗，按會計電算化的工作規范要求設立電算化會計崗位，即使是小單位要實行會計信息化，也要遵照符合內部控制制度關于職務不相容的崗位設置原則執行(特別是國有中小單位)，這是實行會計信息化的前提條件。由于會計信息化功能的相對集中，中小單位人力資源相對缺少，可以從加強人員職能控制，制訂相應的組織和管理控制人手，盡可能保持不相容職能(如制單與審核崗位)的分離，以及在電算化部門內部的職責分離。明確職責分工，加強組織控制，將系統中不相容的職責進行分離，即在系統中的各類人員之間進行分工，并以相應的管理規章與之配套。通過設立一種相互稽核、相互監督和相互制約的機制來保障會計信息的真實、可靠，減少發生錯誤和舞弊的可能性。只要能做到科學設崗，加強內部控制制度的建設，中小單位是能夠根據單位的實際情況做到既兼顧經濟成本，又可避免會計信息系統中職能高度集中化帶來的潛在風險。

(二)做好會計信息系統運行的安全控制和制訂相應的管理制度

1.做好用戶授權、口令保護和加強安全培訓

這是做好會計信息系統運行安全控制的重要工作，盡管財務軟件都設有用戶管理的授權功能。但其用戶管理的設置是由人工進行的，這就需要從制度上對操作人員的工作職責和工作權限加以規定，用來規范和明確會計信息系統的用戶在授權的范圍內進行操作和執行。對口令的設立要有足夠的長度，一般應在8位以上，最好是字母和數字混合使用，口令還需經常變換，嚴禁為了所謂工作的方便，對進入會計信息系統的授權用戶設置相同的密碼。增強口令的安全性，主要是防范非法進入會計信息系統操作。另外，會計信息系統的安全是與操作人員的安全素質、安全知識、技術水平密不可分的。重視人員的管理才能保證計算機的安全。如：增強系統管理人員的安全意識、技術水平，才能有效地防范非法入侵。維護系統的正常運行，加強對軟件操作人員的業務操作技能和安全教育，才能保證會計信息系統的安全運行。

2.制訂會計信息系統設備安全運行的管理制度

中小單位應該按照會計電算化工作規范的要求，除了配備系統運行必須的物理設備，還需制訂設備安全管理制度：(1)制訂系統運行的服務器和終端客戶機的運行安全管理制度，嚴禁無關人員非法操作，不準在會計信息系統運行的計算機上玩電腦游戲等等。(2)保障會計信息系統網絡設備的安全順暢運行，制訂出網絡設備的管理制度，包括網絡通訊線路的保護和監控、網絡通訊設備的保護措施。(3)配備必要的電源設備。計算機中普遍應用UPS不間斷電源，以保證計算機的工作不受突然斷電的影響，保障計算機數據和服務的不間斷性。會計信息系統專用的UPS的電源不得用于非電腦設備的供電，否則容易燒毀UPS，造成損失。(4)其他設備管理的制度。如制訂用電設備、防火規定等安全措施。

3.高度重視會計檔案的安全管理

中小單位由于實行了會計信息化，電腦操作的無形化和會計檔案存儲介質的無紙化，增大了會計檔案管理的風險。數據的載體不同了，以紙張為介質的記錄比手工會計系統大為減少。信息來源于數據和程序，并且從一開始就存儲在各種磁性介質上。如：按照會計電算化工作規范的要求記賬憑證、總分類賬、現金日記賬和銀行存款賬日記賬仍需要打印輸出，還要按照有關稅務、審計等管理部門的要求，及時打印輸出有關賬簿、報表。有些業務或處理結果可能不被打印出來，那么不被打印的這些數據只有依靠會計信息系統才能閱讀，而且憑證、經濟業務事項的說明和賬簿等大多要依賴計算機方可錄入、閱讀或查詢。所以會計信息化對會計檔案管理形式提出了更高的要求，除了應嚴格執行傳統的手工會計狀態下的會計檔案管理制度外，要嚴格按照會計電算化工作規范的要求，切實保護好會計檔案，特別是要重視對儲存有會計信息的存儲介質的管理。計算機的存儲設備記錄著重要的業務數據和賬務數據，一旦丟失或損壞，后果不堪設想，因此必須對存儲設備進行登記管理，嚴格保存，數據分散備份。磁盤等儲存介質應定期按業務、時間分類有序地保存，一些重要的數據應在不同的地點進行雙重備份。

4.做足網絡安全防范措施，充分發揮會計信息化的作用

中小單位既不能對網絡互聯安全掉以輕心，也不必因為網絡互聯潛在的風險而放棄利用，隨著網絡技術快速地發展，應加強網絡安全的控制，設置網絡安全性指標，包括數據保密、訪問控制、身份識別等，并且針對單位的特定狀況，開發相應的技術來保護系統。在會計信息系統中，要注意操作系統的安全，對操作系統的BUG，應及時關注并下載補丁程序修復，在會計信息系統中設立必要的防火墻，安裝殺毒軟件，及時升級病毒庫。做足網絡互聯安全防范措施，充分發揮會計信息化的作用，提高單位的管理和決策水平。

三、結語

中小單位數量眾多，遍布各個行業，是我國國民經濟發展的主力軍，中小單位實行會計信息化既要考慮到成本費用的經濟原則，又要重視風險防范，科學管理、完善制度，遵循會計電算化的工作規范要求，保證會計信息系統安全規范運行，提高中小單位的管理水平和經營效益。

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文。