電算化會計(jì)信息系統(tǒng)的管理風(fēng)險(xiǎn)探討

［摘要］ 在知識經(jīng)濟(jì)時(shí)代，實(shí)行會計(jì)電算化已經(jīng)成為必然趨勢，與此同時(shí)會計(jì)電算化也給會計(jì)內(nèi)部控制帶來了新的風(fēng)險(xiǎn)。為了保證會計(jì)信息的真實(shí)性、正確性、完整性和可靠性，就必須建立、健全并認(rèn)真執(zhí)行一套完整的、適合會計(jì)電算化的風(fēng)險(xiǎn)防范機(jī)制。本文在分析電算化會計(jì)信息系統(tǒng)管理方面風(fēng)險(xiǎn)的基礎(chǔ)上，提出了防范電算化會計(jì)信息系統(tǒng)管理風(fēng)險(xiǎn)的措施。

［關(guān)鍵詞］ 會計(jì)信息系統(tǒng)； 電算化； 內(nèi)部控制 ；風(fēng)險(xiǎn) ；管理

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 14 . 004

［中圖分類號］F232 ［文獻(xiàn)標(biāo)識碼］A ［文章編號］1673 - 0194（2011）14- 0006- 03

一、電算化會計(jì)信息系統(tǒng)的基本概念及特點(diǎn)

會計(jì)信息系統(tǒng)是一個(gè)以提供財(cái)務(wù)信息為主的經(jīng)濟(jì)信息系統(tǒng)。具體由憑證單元、賬簿組織、報(bào)表體系、記賬方法和賬務(wù)處理程序等組成，主要按照規(guī)定的會計(jì)制度、法規(guī)、方法和程序，完成對價(jià)值運(yùn)動(dòng)中所產(chǎn)生的數(shù)據(jù)的收集、加工、存儲、傳輸，形成有助于決策的會計(jì)信息。會計(jì)信息系統(tǒng)根據(jù)對會計(jì)數(shù)據(jù)加工處理手段的不同可以分為手工會計(jì)信息系統(tǒng)和電算化會計(jì)信息系統(tǒng)。電算化會計(jì)信息系統(tǒng)是以計(jì)算機(jī)作為主要數(shù)據(jù)處理工具的會計(jì)信息系統(tǒng)，主要具有如下特點(diǎn)：會計(jì)數(shù)據(jù)標(biāo)準(zhǔn)化、集中化和自動(dòng)化；內(nèi)部控制程序化。

二、電算化會計(jì)信息系統(tǒng)在管理方面存在的風(fēng)險(xiǎn)

在了解了會計(jì)信息系統(tǒng)的概念和特點(diǎn)之后，我們有必要知道這樣的信息系統(tǒng)到底存在著怎樣的風(fēng)險(xiǎn)。計(jì)算機(jī)應(yīng)用技術(shù)的發(fā)展給會計(jì)工作帶來了一場巨大的變革，為會計(jì)工作提供了嶄新的手段——會計(jì)電算化。它的出現(xiàn)不僅改變了會計(jì)信息的處理和存儲方式，而且對會計(jì)理論和實(shí)務(wù)產(chǎn)生了重大影響。同時(shí)，隨著新技術(shù)特別是互聯(lián)網(wǎng)技術(shù)的引入，會計(jì)信息系統(tǒng)面臨的各種風(fēng)險(xiǎn)也在增大，如硬件因素引起的風(fēng)險(xiǎn)、軟件方面引起的風(fēng)險(xiǎn)、工作環(huán)境引起的安全風(fēng)險(xiǎn)、病毒“黑客”侵入引起的風(fēng)險(xiǎn)、管理因素引起的風(fēng)險(xiǎn)等。本文就管理方面的風(fēng)險(xiǎn)加以闡述。

管理風(fēng)險(xiǎn)是指電算化會計(jì)系統(tǒng)的有關(guān)管理制度不完善、不健全而引起的風(fēng)險(xiǎn)。它包括內(nèi)部控制薄弱造成的風(fēng)險(xiǎn)、操作不當(dāng)造成的風(fēng)險(xiǎn)、備份恢復(fù)機(jī)制缺陷帶來的風(fēng)險(xiǎn)以及內(nèi)部工作人員職業(yè)道德問題引起的風(fēng)險(xiǎn)。會計(jì)電算化系統(tǒng)在處理方式和內(nèi)部結(jié)構(gòu)上與原來的手工會計(jì)系統(tǒng)存在著較大的差別，原來的一系列管理制度已不能適應(yīng)電算化會計(jì)系統(tǒng)管理工作的需要。要保證電算化會計(jì)系統(tǒng)的正常、安全、有效運(yùn)行，必須建立健全一系列管理制度，否則不但不能很好地發(fā)揮會計(jì)電算化系統(tǒng)的作用，而且還會造成單位會計(jì)工作的混亂，給各種非法舞弊行為以可乘之機(jī)，甚至?xí)o國家、社會、集體造成無法挽回的損失。

（一） 內(nèi)部控制薄弱造成的風(fēng)險(xiǎn)

１.不相容職務(wù)相分離原則的應(yīng)用問題

內(nèi)部控制重點(diǎn)就在于不相容職務(wù)分離。采用計(jì)算機(jī)后，不相容職務(wù)相分離這一在手工核算體制下常用的有效控制原則，在很多時(shí)候卻得不到遵循。由于數(shù)據(jù)處理集中進(jìn)行，導(dǎo)致職責(zé)合并嚴(yán)重，會計(jì)人員大大減少，從而使一些不相容職務(wù)得不到分離，如有些單位會計(jì)人員既從事數(shù)據(jù)輸入、輸出工作，又負(fù)責(zé)數(shù)據(jù)報(bào)送，這增加了他們在未經(jīng)批準(zhǔn)情況下，直接對使用中的數(shù)據(jù)和程序進(jìn)行修改、復(fù)制或刪除等操作的可能性，從而使會計(jì)數(shù)據(jù)的準(zhǔn)確和及安全性得不到保證，其危害是不言而喻的。

２.數(shù)據(jù)的安全性差

（１）數(shù)據(jù)信息易被篡改。在手工會計(jì)信息系統(tǒng)中，信息都是用紙張記錄，其法律效力被廣泛承認(rèn)，而且所作的任何修改都會有痕跡留下來，數(shù)據(jù)不易被篡改。而在電算化會計(jì)處理過程中，計(jì)算機(jī)存儲方式是將信息轉(zhuǎn)化為數(shù)字形式存儲在磁（光）介質(zhì)上，不易實(shí)現(xiàn)簽字、蓋章等具有法律效力的手段。因此，數(shù)據(jù)極易被篡改甚至偽造而不留任何痕跡。未經(jīng)授權(quán)的人員有可能通過計(jì)算機(jī)和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件，甚至復(fù)制、偽造、銷毀企業(yè)重要數(shù)據(jù)。

（２）利用數(shù)據(jù)信息進(jìn)行計(jì)算機(jī)舞弊和犯罪。計(jì)算機(jī)犯罪具有很大的隱蔽性和危害性，發(fā)現(xiàn)計(jì)算機(jī)舞弊和犯罪的難度較之手工會計(jì)系統(tǒng)更大，計(jì)算機(jī)舞弊和犯罪造成的危害和損失可能比手工會計(jì)系統(tǒng)更大，這給一些不法之徒提供了機(jī)會。據(jù)美國的一項(xiàng)研究表明：一般手工操作系統(tǒng)的銀行舞弊案每次造成的損失為１０．４萬美元，而使用計(jì)算機(jī)系統(tǒng)的銀行舞弊案的平均損失為６１．７萬美元，是一般手工操作系統(tǒng)的６倍以上。

３.審查、復(fù)核機(jī)制被削弱

在手工會計(jì)信息系統(tǒng)中，會計(jì)工作被分成幾個(gè)步驟，按一定的程序完成，任何一個(gè)步驟或一道手續(xù)的處理，都意味著是對前面步驟或手續(xù)的復(fù)核和審查，前一步驟中出現(xiàn)了錯(cuò)誤，往往可以在后一步驟中被發(fā)現(xiàn)并加以修改。而使用計(jì)算機(jī)后，大部分會計(jì)處理步驟不再存在，被計(jì)算機(jī)所代替自動(dòng)完成，審查、復(fù)核等控制機(jī)制隨之削弱，甚至消失了。原始數(shù)據(jù)輸入計(jì)算機(jī)后，記賬、報(bào)表等均由計(jì)算機(jī)處理，再也沒有經(jīng)手人負(fù)責(zé)，如果處理過程出現(xiàn)錯(cuò)誤，將無從追查責(zé)任者，審查、復(fù)核機(jī)制被大大削弱。

（二）操作不當(dāng)造成的風(fēng)險(xiǎn)

操作不當(dāng)?shù)男问接泻芏啵饕腥缦乱恍┍憩F(xiàn)：①職員在進(jìn)入電子數(shù)據(jù)處理領(lǐng)域時(shí)，沒有經(jīng)過適當(dāng)?shù)纳矸輽z查和識別。②沒有防止未經(jīng)許可的人員利用遠(yuǎn)距離終端進(jìn)入系統(tǒng)。③口令泄露給未經(jīng)批準(zhǔn)的人員。他們可能自己尋找口令，或從廢棄的輸出結(jié)果中取得口令，也可以通過觀察操作人員的操作以得到口令。④控制表中或授權(quán)等級庫中沒有及時(shí)清除離職人員的姓名和口令，使他們在離職以后依舊能夠接近電子數(shù)據(jù)處理系統(tǒng)。⑤沒有受過培訓(xùn)的人員處理實(shí)際數(shù)據(jù)，有可能無意地改變或破壞計(jì)算機(jī)文件。⑥計(jì)算機(jī)系統(tǒng)的操作人員對硬件設(shè)備的不正確操作可以引起系統(tǒng)的損壞， 從而危害系統(tǒng)的安全。不正確的操作主要是指操作人員不按規(guī)定的程序使用硬件設(shè)備。例如不按順序開機(jī)、關(guān)機(jī)， 有可能燒毀計(jì)算機(jī)的硬盤， 從而造成數(shù)據(jù)的全部丟失。

（三）備份恢復(fù)機(jī)制缺陷帶來的風(fēng)險(xiǎn)

實(shí)現(xiàn)會計(jì)電算化后，對計(jì)算機(jī)硬件的要求在不斷提高，但是由于種種原因致使計(jì)算機(jī)硬件存在著某些缺陷，如硬盤的損壞而沒有備份，數(shù)據(jù)會丟失。即使有些計(jì)算機(jī)硬件系統(tǒng)存在恢復(fù)機(jī)制，但是恢復(fù)控制薄弱。如對備份文件未能做到恰當(dāng)?shù)谋９埽贿€有部分單位當(dāng)系統(tǒng)遇到意外事件無法工作時(shí)，不知道如何恢復(fù)系統(tǒng)，也沒有制訂系統(tǒng)恢復(fù)計(jì)劃。

（四）內(nèi)部工作人員職業(yè)道德問題引起的風(fēng)險(xiǎn)

１.會計(jì)人員的無意行為

由于電算化系統(tǒng)內(nèi)的工作人員素質(zhì)不高或責(zé)任心不強(qiáng)等原因造成的數(shù)據(jù)錄入錯(cuò)誤，操作步驟失誤，監(jiān)控力度不夠等，使會計(jì)數(shù)據(jù)錄入或處理出現(xiàn)錯(cuò)誤，從而導(dǎo)致會計(jì)信息不真實(shí)、不可靠和不完整。

２.人為的舞弊行為

電算化系統(tǒng)的內(nèi)部工作人員為了達(dá)到竊取商業(yè)秘密、非法轉(zhuǎn)移資金、掩蓋各種舞弊行為等非法目的，有意協(xié)助競爭對手獲取和破壞會計(jì)數(shù)據(jù)，從而對會計(jì)軟件數(shù)據(jù)等進(jìn)行非法篡改、刪除，給單位造成嚴(yán)重?fù)p失。

三、電算化會計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的防范措施

（一）建立健全會計(jì)電算化內(nèi)部控制制度

要保障計(jì)算機(jī)會計(jì)信息系統(tǒng)的安全，各單位不僅要遵循國家制定的保護(hù)計(jì)算機(jī)系統(tǒng)安全及計(jì)算機(jī)知識產(chǎn)權(quán)的法律法規(guī)，還應(yīng)建立一整套從投入使用、業(yè)務(wù)操作到設(shè)備管理等完善的、行之有效的會計(jì)電算化風(fēng)險(xiǎn)防范措施（包括加強(qiáng)職務(wù)不相容的內(nèi)部控制、加強(qiáng)數(shù)據(jù)安全的內(nèi)部控制、實(shí)施有效的實(shí)時(shí)監(jiān)控）。

１.加強(qiáng)職務(wù)不相容的內(nèi)部控制

職務(wù)不相容控制是內(nèi)部控制的基礎(chǔ)，是由不同的部門或人員來承擔(dān)不相容的職責(zé)。職務(wù)不相容控制的內(nèi)容主要分為以下3個(gè)方面：①電算化部門與用戶部門的職務(wù)分離。電算化部門是對數(shù)據(jù)進(jìn)行處理和控制的部門或人員，用戶部門是指產(chǎn)生原始數(shù)據(jù)或使用計(jì)算機(jī)處理所得信息的部門或人員，兩者之間應(yīng)盡可能保持不相容職務(wù)的分離。②電算化部門內(nèi)部的職務(wù)分離。電算化系統(tǒng)從建立到運(yùn)行的整個(gè)生命周期中，根據(jù)職能不同劃分為兩大部門，即系統(tǒng)開發(fā)部門和系統(tǒng)應(yīng)用部門。系統(tǒng)開發(fā)部門主要承擔(dān)系統(tǒng)的開發(fā)研制以及系統(tǒng)的維護(hù)工作等，系統(tǒng)應(yīng)用部門主要負(fù)責(zé)日常會計(jì)處理工作。③崗位授權(quán)的職務(wù)分離。單位應(yīng)根據(jù)企業(yè)規(guī)模及會計(jì)軟件的管理功能，設(shè)立系統(tǒng)管理員、電算主管員、軟件操作員、系統(tǒng)維護(hù)員、檔案管理員等崗位，這些崗位可以一人多崗，也可以一崗多人，但必須做到不相容職務(wù)的分離。

２.加強(qiáng)數(shù)據(jù)安全的內(nèi)部控制

數(shù)據(jù)安全控制是要做到任何情況下數(shù)據(jù)都不丟失、不毀損、不泄露、不被非法侵入，數(shù)據(jù)處理結(jié)果正確。一般包括以下內(nèi)容：①數(shù)據(jù)輸入控制。首先，輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán)和審批，并經(jīng)有關(guān)的內(nèi)控部門檢查。其次， 應(yīng)采用各種技術(shù)手段對輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn)，如總數(shù)控制校驗(yàn)、平衡校驗(yàn)、數(shù)據(jù)類型校驗(yàn)、重復(fù)輸入校驗(yàn)等。②數(shù)據(jù)處理控制。包括有效性控制和文件控制。有效性控制包括數(shù)字的核對。對字段和記錄的長度檢查、代碼和數(shù)值有效范圍的檢查、記錄總數(shù)的檢查等。文件控制包括檢查文件長度、文件標(biāo)識、文件是否被病毒感染等。③數(shù)據(jù)輸出控制。一般應(yīng)檢查輸出數(shù)據(jù)與輸入數(shù)據(jù)是否匹配，輸出數(shù)據(jù)是否完整，是否能滿足使用部門的需要，數(shù)據(jù)的發(fā)送對象、份數(shù)應(yīng)有明確的規(guī)定，要建立標(biāo)準(zhǔn)化的報(bào)告編號、收發(fā)、保管工作等。

３.實(shí)施有效的實(shí)時(shí)監(jiān)控

隨著會計(jì)不斷發(fā)展，計(jì)算機(jī)在會計(jì)中的應(yīng)用已相當(dāng)普遍。手工方式下內(nèi)部控制已不能適應(yīng)電算化會計(jì)信息系統(tǒng)要求，這就要求在電算化會計(jì)系統(tǒng)內(nèi)設(shè)置操作與監(jiān)控兩個(gè)崗位，對每一筆業(yè)務(wù)同時(shí)進(jìn)行多份備份。當(dāng)會計(jì)人員進(jìn)行賬務(wù)處理時(shí)，其操作和數(shù)據(jù)也被同步記錄在監(jiān)控人員機(jī)器上，由監(jiān)控人員進(jìn)行即時(shí)或定期審查，一旦出現(xiàn)數(shù)據(jù)不一致便進(jìn)行深入調(diào)查，以實(shí)現(xiàn)有效牽制，從而實(shí)施有效監(jiān)控，加大審查、復(fù)核力度。

（二）加強(qiáng)操作管理的內(nèi)部控制

企業(yè)操作管理控制主要用來規(guī)范每一個(gè)操作員的行為以及各自之間的權(quán)限，以保證數(shù)據(jù)處理的準(zhǔn)確性和安全性。操作管理的內(nèi)部控制一般包括：

１.嚴(yán)把操作員上崗關(guān)

操作員必須經(jīng)過專門的會計(jì)電算化培訓(xùn)、持有會計(jì)電算化等級證書方能上崗。

２.規(guī)定操作員的工作職責(zé)和工作權(quán)限

為保證會計(jì)數(shù)據(jù)的準(zhǔn)確、真實(shí)，對需輸入的原始憑證和記賬憑證等會計(jì)數(shù)據(jù)，未經(jīng)電算主管員審核簽章，操作員不得輸入計(jì)算機(jī)；對已輸入計(jì)算機(jī)的憑證需由電算主管員核對并簽章后方可登記機(jī)內(nèi)賬簿。同時(shí)，操作員應(yīng)按被授予的權(quán)限嚴(yán)格作業(yè)，不得越權(quán)接觸系統(tǒng)，以避免人為因素或操作不當(dāng)給系統(tǒng)帶來不必要的損失和風(fēng)險(xiǎn)。

３.建立操作員上機(jī)登記制度

操作員應(yīng)認(rèn)真填寫手工上機(jī)日志，記錄每天的上機(jī)操作內(nèi)容，并定期打印會計(jì)軟件提供的上機(jī)日志。

４.操作員不得泄露密碼

為防止密碼泄露，企業(yè)可對操作密碼實(shí)行雙人控制，即將所設(shè)密碼分為兩部分，一部分由電算主管員掌握，另一部分由操作員掌握，只有兩者同時(shí)兼有密碼，方能進(jìn)入操作。這樣可以達(dá)到相互監(jiān)控的目的。

（三）建立多級備份機(jī)制

１.服務(wù)器雙機(jī)熱備份或ＲＡＩＤ鏡像技術(shù)

在后臺建立雙機(jī)數(shù)據(jù)庫服務(wù)器系統(tǒng)，進(jìn)行系統(tǒng)熱備份，在發(fā)生故障時(shí)，服務(wù)器自動(dòng)切換，保證在一般故障情況下服務(wù)器系統(tǒng)的不停頓工作，這在多賬套、多部門應(yīng)用以及遠(yuǎn)程網(wǎng)絡(luò)服務(wù)條件下保持?jǐn)?shù)據(jù)庫不間斷服務(wù)尤其重要。ＲＡＩＤ是廉價(jià)磁盤冗余列陣的英文縮寫，在數(shù)據(jù)庫服務(wù)器中，它通過磁盤鏡像技術(shù)實(shí)現(xiàn)數(shù)據(jù)冗余來提高數(shù)據(jù)的可靠性，即一個(gè)邏輯磁盤由兩個(gè)物理磁盤組成，并且每個(gè)寫操作都在兩個(gè)磁盤上進(jìn)行，如果其中一個(gè)磁盤發(fā)生故障，數(shù)據(jù)可從另一個(gè)磁盤讀出。

２.財(cái)務(wù)軟件系統(tǒng)自動(dòng)備份

財(cái)務(wù)軟件系統(tǒng)必要的自動(dòng)備份可以彌補(bǔ)用戶自主備份不足所產(chǎn)生的損失，雖然它會消耗系統(tǒng)資源，并且頻繁的自動(dòng)備份會影響系統(tǒng)的運(yùn)行效率。一般是定期自動(dòng)備份（如一周、一月）和數(shù)據(jù)更新時(shí)強(qiáng)制性自動(dòng)備份（如大量數(shù)據(jù)輸入、結(jié)賬時(shí)的備份）。

３.系統(tǒng)管理員定期集中備份和賬套主管的日常備份

這是用戶自主進(jìn)行的備份工作，要做到勤備份、少恢復(fù)，任何恢復(fù)操作必須有明確的書面記錄，記載數(shù)據(jù)恢復(fù)的原因、恢復(fù)時(shí)間、恢復(fù)人和用以恢復(fù)的備份數(shù)據(jù)詳細(xì)情況。數(shù)據(jù)的備份應(yīng)分別存在3個(gè)以上地點(diǎn)，并由專人保管，貼上寫保護(hù)標(biāo)簽并用印章或封條簽封，并定期進(jìn)行轉(zhuǎn)儲。

（四）會計(jì)人員的培訓(xùn)和繼續(xù)教育制度以及風(fēng)險(xiǎn)評估和分級管理制度

1.人員培訓(xùn)，提高會計(jì)人員素質(zhì)

搞好會計(jì)電算化人員的后續(xù)培訓(xùn)是內(nèi)部控制的有效措施。會計(jì)電算化已成為一門融會計(jì)學(xué)、管理學(xué)、電子計(jì)算機(jī)技術(shù)、信息技術(shù)為一體的邊緣學(xué)科。高質(zhì)量的會計(jì)軟件需要優(yōu)秀的軟件設(shè)計(jì)者的研制開發(fā)，會計(jì)軟件的持久應(yīng)用也離不開稱職的軟件操作人員，他們應(yīng)該是既精通會計(jì)業(yè)務(wù)，又精通計(jì)算機(jī)和計(jì)算機(jī)數(shù)據(jù)處理技術(shù)的復(fù)合型人才。目前，新的應(yīng)用軟件不斷涌現(xiàn)，操作系統(tǒng)不斷升級，有的財(cái)務(wù)軟件即使未更換，也存在升級、增加新功能的問題，這就要求將會計(jì)電算化培訓(xùn)列入會計(jì)人員后續(xù)教育的內(nèi)容中去，在培訓(xùn)時(shí)不僅僅是對操作系統(tǒng)的培訓(xùn)，還應(yīng)包括讓這些人員了解系統(tǒng)投入運(yùn)行后新的內(nèi)部控制機(jī)制，計(jì)算機(jī)會計(jì)系統(tǒng)運(yùn)行后新的憑證流轉(zhuǎn)程序，計(jì)算機(jī)會計(jì)系統(tǒng)提供的高質(zhì)量的會計(jì)信息的進(jìn)一步利用和分析的前景等。

２.建立風(fēng)險(xiǎn)評估和分級管理制度，及時(shí)發(fā)現(xiàn)現(xiàn)有的或潛在的風(fēng)險(xiǎn)

根據(jù)單位的具體情況，對電算化系統(tǒng)各組成部分和運(yùn)轉(zhuǎn)的每一過程的風(fēng)險(xiǎn)和可承受性進(jìn)行客觀合理的評價(jià)，采取適宜的分級管理制度，并在實(shí)施過程中持續(xù)改進(jìn)和完善，更有效地利用組織資源來確保會計(jì)電算系統(tǒng)的安全。同時(shí)，結(jié)合內(nèi)外檢查監(jiān)控機(jī)制和交流反饋機(jī)制，及時(shí)發(fā)現(xiàn)現(xiàn)有的或潛在的風(fēng)險(xiǎn)，采取糾正、預(yù)防措施，持續(xù)改進(jìn)和完善安全管理體系，提高安全績效。

主要參考文獻(xiàn)

［１］田文利．淺談電算化會計(jì)信息系統(tǒng)的管理［Ｊ］．內(nèi)蒙古科技與經(jīng)濟(jì)，２００６（１６）.

［２］黃平秋．淺議電算化會計(jì)信息系統(tǒng)中的內(nèi)部控制［Ｊ］．時(shí)代經(jīng)貿(mào)：學(xué)術(shù)版，２００６（9）.

［３］虞曉紅．電算化會計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)與防范［Ｊ］．經(jīng)濟(jì)師，２００６（３）.

［４］陳雪芬．會計(jì)電算化系統(tǒng)的安全風(fēng)險(xiǎn)及防范策略［Ｊ］．中國鄉(xiāng)鎮(zhèn)企業(yè)會計(jì)，2000（3）.