企業內部控制信息系統風險防范措施研究

沈琨 陶福文 劉天鵬

摘 要：計算機會計信息系統形成后，數據的處理、儲存等都發生了變化，使會計信息系統面臨新的風險，導致內部控制體系失效，本文通過對內部控制信息系統存在的風險進行分析，提出了相應的風險防范措施，從而確保內部控制體系的有效運行。

關鍵詞：內部控制信息系統；風險；防范措施

現代企業內部控制系統作為系統化的信息集成系統，其建立和實施應按照信息系統的專業化方法來進行，同時應確保系統的安全和穩定，以保證企業內部控制系統的有效運行，實現企業內部控制的目標。但隨著信息技術的不斷發展，使內部控制信息系統產生了新的風險。

一、內部控制信息系統存在的風險

1.系統開發風險。系統開發風險主要來自系統開發人員與用戶溝通不足的矛盾。從用戶角度講，用戶是否清楚了解自己對系統的要求，能否明確將要求傳達給開發人員，用戶在不甚清楚其對系統要求時，如何進行有效的溝通，以及選擇合適的系統開發方法都是問題；從開發方的角度看，系統調查、系統分析、系統設計等系統生命周期過程中人員等的配置、整合都會給系統開發帶來風險；此外，系統試運行過程中的溝通等也會給系統帶來風險。

2.人員分工變化以及數據和責任高度集中的風險。在財務集中核算的計算機系統中，由于部分崗位分工的消失，責任也相對集中，在審計軌跡不清的情況下，難以查找責任人。在系統相應保護措施不夠的情況下，數據很容易被熟悉計算機系統的人修改且不易被發現。

3.授權風險。在數字簽名不被強化，或系統保密性差、維護制度不完善等情況下，系統缺乏有效控制，軟件容易被盜用、竄改，造成嚴重的信息失真。

4.儲存介質變化產生的風險。存放于磁性介質上的系統數據庫和文件的閱讀、修改、復制、刪除通常不會留下痕跡，除非有嚴格的操作日志記錄，同時，在多方牽制弱化以及難以實現簽字、蓋章等的情況下，數據容易被刪改。

5.應用軟件系統通常缺少對不合理業務的識別能力。計算機只能依照事先設計“機械邏輯”識別業務，而不能如同人工那樣實現“專家判斷”，一旦事先“灌輸”給計算機信息系統的邏輯不合理，如程序上的差錯，則可以導致整個信息系統輸出的各層次信息的失真。

6.網絡安全風險。網絡安全風險首先來自于系統的非法侵擾。由于網絡信息系統信息具有開放性的特點，網絡下的企業信息系統很有可能遭受非法訪問甚至黑客或病毒的侵擾。這種攻擊一旦發生將造成巨大的損失。其次是電子商務對內控的挑戰，隨著電子商務的迅猛發展，網上交易愈加普遍，在不久后的將來，企業的全部原始憑證都將成為數字格式，這加強了企業對網上公證機構的依賴。但是，目前網上認證中第三方認證發展尚未成熟，有效的第三方牽制尚未形成。第三，網絡會計信息系統的復雜性使系統安全控制更加困難，信息來源的復雜性及信息的動態性等特點使審計變得困難，造成信息失真等系統安全性問題。第四，網絡控制系統使傳統的組織內部牽制作用減弱。計算機及網絡的使用大大降低了人工環節，但這一點使傳統的制單、復核等內部牽制變得很弱。

二、內部控制信息系統風險防范措施

1.建立新的適合計算機信息系統的內控制度。對于計算機信息系統存在的風險，企業要建立相應的內部控制制度。首先是組織結構要有新的劃分標準和方式，這種劃分重點要解決計算機人員與一般用戶之間的權責劃分，保證各類人員之間可以相互監督、制約，形成牽制；其次，計算機人員之間要劃分崗位責任，即要降低可以直接接觸系統的人員竄改數據的可能性，一般計算機人員包括系統分析員、程序員、操作員、資料保管員和管理人員，這幾類人員的職責一定要劃分清楚；再次，計算機審計是內部控制的重要組成部分，這種審計包括事后對會計信息系統的審計，還包括事前對信息系統運行程序等的審計以及不定期的信息系統運行審計。

2.系統開發中的控制。首先，根據環境狀況選擇適當的系統開發方法，做好需求分析工作，進行細致的可行性研究；其次，在系統的總體設計、詳細設計以及系統配置方案確定的過程中，要實時做好與用戶的溝通，在每一環節上滿足用戶控制的要求，在系統測試和試運行階段也要做好溝通工作，保證可以及時、適當地做好系統的完善修改；系統開發的有關文字資料也要妥善控制保證它們形成過程的合理，并得以妥善保存。

3.系統運行中的控制。（1）輸入控制。輸入控制中首先應當形成業務審批制度，操作人員不能審批修改業務，審批修改應由領導完成；其次，在系統的每一模塊設置操作權限和口令密碼，對重要的數據，還應當設置多重密碼；再次，應建立輸入校驗控制等。（2）處理控制。處理控制是防止對輸入業務的漏處理、重復處理或錯誤處理，以增加處理活動的可信性。（3）輸出控制。輸出控制的目的是確保信息系統信息輸出或傳輸的正確性，防止遺失、錯發、截留、泄密等。這類控制最基本的方法是定期不定期地打印輸出各種信息，還可以進行輸入總數、處理總數和輸出總數的核對，以及對輸出信息進行人工核查等。

4.系統維護中的控制。系統維護安全控制是指對包括系統硬件、軟件、數據資料、操作規程等的維護，防止可能引發系統安全問題的情況發生。這類控制首先是系統接觸的控制，此外還有諸如系統硬件環境的改良和保持，系統后備控制與災難補救控制等。

5.數據資源的控制。數據資源的安全隱患，一是來自非法訪問；二是來自系統故障、錯誤操作和人為破壞等。因此，應當建立適當的權責劃分制度、數據備份和恢復制度等。

6.網絡安全控制。首先要加強組織與管理控制。設置網絡管理中心，由網絡管理中心進行整體規劃，在工作站、終端和人員間劃分權責；建立良好的人事制度，優化配置人力資源，建立良好的內部審計制度。其次，加強網絡信息系統的開發控制。在系統分析階段要明確開發目標，進行詳實的可行性研究，在系統設計階段檢查模塊設計的合理性。利用網絡在線測試的功能，檢驗整個系統的完整性，做好人員和設備等資源的整合配置以及初始數據的安全導入，保證新舊系統的轉換有序進行。及時發現和修補網絡系統應用程序可能存在的安全漏洞。再次，加強日常操作管理控制。要建立良好的操作制度，對系統人員的操作進行嚴格管理，建立安全檢測預警制度。另外，還需對網絡系統的軟硬件、系統數據資源、防入侵、網上交易、遠程處理等進行有效控制。

參考文獻：

[1]楊炳志.互聯網+環境下會計信息系統內部控制研究[J].商場現代化，2017（4）.

[2]杭天竹.大數據環境下的企業信息系統內部控制風險探析[J].中國管理信息化，2016（9）.

[3]陳萍.ERP環境下財務會計信息系統的內部控制與風險管理[J].中外企業家，2017（6）.

作者簡介：沈琨（1979.11- ），女，江蘇南通人，碩士，南通職業大學經濟管理學院