浅议会计信息化环境下风险与防范对策

1、浅议会计信息化环境下风险与防范对策【内容摘要】随着信息技术在经济领域的广泛应用，会计信息化成为一种必然趋势。越来越多的企业选择实施会计信息化以适应现代管理的要求。然而，会计信息化运用过程也存在一些风险。本文基于对会计信息化及风险类型进行分析的基础上，围绕会计信息化在新形势下的发展，提出企业会计信息化环境下风险防范的粗浅对策。【关键词】会计信息化 风险 防范 对策会计信息化给企业财务处理带来了极大的便利，它使企业实现远程账务处理、事中动态会计核算及在线财务管理，并支持电子单据与电子货币、改变财务信息的获取与利用方式，同时也增加了安全风险。据统计，全球由于网络安全造成的经济损失十分巨大，我国计算机

2、病毒感染数量与网络安全事件报告也呈日益增加趋势。因此，为了促进会计信息化的健康发展，需对信息系统整个生命周期过程实施有效控制，在企业信息化环境中会计信息化风险控制也是企业信息化安全实施的有效保障。西方对计算机会计内部控制的研究始于20世纪70年代。与网络风险控制体系相关的研究在信息系统控制方面，提供了一些可行的策略和标准，并指导组织有效利用信息资源，有效管理与信息相关的风险。从国内情况看，近年来内部会计控制已成为我国理论界和实务界最为关注的话题之一，但这些内部控制措施主要是基于手工方式而制定的，对会计信息化环境下的内部控制规定则较为笼统，在现实中的可操作性相对较差，与会计信息化的迅速发展对信息

3、的安全性提出的更为严格的要求不相适应。有的学者从理论上对会计信息化环境下的内部会计控制进行了探讨，提出了一些新的控制手段和方法，这些研究推动了会计信息化环境下内部控制制度的发展与创新，丰富了内部控制理论，但研究仍停留在制度层面，会计信息化风险控制的体系变化还须深入探析。一、会计信息化的引入（一）会计信息化概述会计信息化是采用现代信息技术，对传统的会计模型进行重整，并在重整的现代会计基础上，建立信息技术与会计学科高度融合的、充分开放的现代会计信息系统。这种会计信息系统将全面运用现代信息技术，通过系统，使业务处理高度自动化，信息高度共享，能够进行主动和实时报告会计信息。我国会计信息化起源于20世纪

4、70年代末80年代初期。一般认为是以1979年长春第一汽车制造厂在有关部门支持下，进行电子计算机在会计工作中应用的试点作为开始标志的。随后，1981年8月，在财政部、机械工业部和中国会计学会的支持下，在长春第一汽车制造厂召开了财务、会计、成本核算管理中应用电子计算机专题学术讨论会，把“电子计算机在会计中的应用”简称为“会计电算化”，并逐步得到了社会的公认。经过近30年来的发展，有了长足的进步，从单纯的模拟手工的软件单项应用发展到系统应用，成为当前企业信息化的主要构成部分，其名称也从“会计电算化”转向“会计信息化”。会计信息化系统是指以计算机为主要信息处理手段的会计信息系统，该系统是由人员、计算

5、机硬件、计算机软件、相关的信息资料文件和会计规范等基本要素组成，是一个人机结合的系统。而会计信息系统则是指管理信息系统的一个子系统，是专门用于企事业单位处理会计业务，收集、存储、传输和加工各种会计数据，输出会计信息，并将其反馈给各有关部门，为企业的经营活动和决策活动提供帮助，为投资人、债权人、政府等部门提供财务信息的系统。会计信息化具有以下特点：数据量大且结构复杂；对数据的及时性、全面性、完整性、真实性、准确性、安全可靠性要求高；数据加工处理方法要求严格；数据存储的磁性化、无纸化；内部控制的程序化；数据处理的集中化、自动化；会计人员业务知识的多面化；与管理信息系统中其他子系统的联系密切等。会计

6、信息化已经形成了政府大力支持、企业积极参与、厂商竞争有序的格局。据统计，目前我国共有320多万家企事业单位先后部分或全部实施了会计信息化，有200多家厂商经营会计信息化相关业务，有720万财会人员参加了会计信息化操作培训。会计信息化工作的普及使企业财务工作的质量和效率迈上了新台阶。加入WTO后，我国企业对会计信息化工作的要求越来越高，会计电算化已经从核算型阶段向信息化、管理型阶段转变。然而，我国企业会计信息化在风险防范等方面还存在着诸多问题，制约了其迅速发展。（二）推进会计信息化的现实意义1、 有利于提高会计信息质量。会计信息失真在我国目前仍较严重,它的形成有多种原因,包括产权制度不

7、清、内外监督机制不健全等,但不同的信息需求者对信息获取的不对称性是其产生的一个重要原因。会计信息化作为一种从手段上进行防范的工具,有利于增强会计信息的透明度，提高财务报告分析利用率，促进财务报告模式变革，对于财务信息的供给方和需求方都提供了很大的便利和好处，进而提高财务透明度,促使单位财务管理水平提高,保证会计信息的真实性,提高会计信息质量。2、 有利于提高企业管理水平。实现会计信息化以后，会计信息系统将真正成为企业管理信息系统的一个子系统。企业发生的各项业务，能够自动从企业的内部和外部采集相关的会计核算资料，并汇集与企业的内部会计信息系统进行实时处理。会计将从传统的记账算账的局限中

8、解脱出来，从而更大的发挥会计的管理控制职能，让企业经营者和信息使用者可随时利用企业的会计信息对企业的未来财务形势做出合理的预测，为企业的管理和发展做出正确的决策。3、有利于实现与国际趋同。由于国际国内市场趋于统一，无国界经济的发展带来了会计的国际化和资本的国际化，使得世界各国的经济越来越相互依赖，紧密联系，会计管理和信息提供越来越趋于国际标准，呈现一体化的无国界状态。信息技术作为生产力中最为活跃的因素日益渗透和改变着现代会计，并从社会文化、技术力量、市场经济结构等诸方面加速了会计的国际化发展趋势，任何游离于会计信息化发展道路的国家，都难以做出科学决策，将陷于“信息孤岛”，给经济发展带来严重损失

9、和影响。二、会计信息化在运用中存在的风险及风险类型（一）会计信息化在运用中存在的风险简析首先，会计信息的存储和传输具有较高的危险性。在传统的手工会计环境下，会计信息的存储和传输有着严格的操作流程，如会计档案管理办法规定“各单位保存的会计档案不得借出。如有特殊需要，经本单位负责人批准，可以提供查阅或者复制，并办理登记手续”，“各单位应当建立健全会计档案查阅、复制登记制度”等，对保证会计信息的安全性和完整性发挥了重要的作用。在电算化会计环境下，会计电算化软件主要是单机版和网络版两大类，单机版仅在单台计算机上使用，网络版则在财务局域网或企业局域网内运行，一般情况下都不与广域网链接，会计信息在存储和传

10、输过程中被“局外人”截取的可能性几乎很少，但“局内人”非授权访问或篡改会计信息的案例也时有发生，其主要原因是开机密码、系统密码、授权口令及屏保密码等设置过于简单、过于统一或太有规律造成的。另外，存储设备的人为或自然损坏，也会造成数据丢失而无法恢复。在会计信息化环境下，会计信息存储和传输的危险性要比电算化会计环境下高得多，除前述诸多因素外，更严重的都是来自“局外人”的危险，这种危险主要来自于三个方面，一是网络病毒的侵入造成数据被改写等而使会计信息被破坏，二是网络黑客的攻击造成机器瘫痪等而使会计信息丢失，三是网络罪犯的破坏造成会计信息被窃乃至于财产损失。可见，网络的危险更具隐蔽性也更具危害性。其次

11、，会计信息化是采用现代信息技术，对传统的会计模型进行重整，并在重整的现代会计基础上，建立信息技术与会计学科高度融合的、充分开放的现代会计信息系统。作为目前管理信息系统中的核心模块，这种会计信息系统将全面运用现代信息技术，通过网络系统，使业务处理高度自动化，信息高度共享，能够进行主动和实时报告会计信息，具备强大的实时控制功能，从而确保了信息公开和数据共享，使财务人员能够更及时地为经营管理活动提供科学的财务依据。它不仅仅是信息技术运用于会计上的变革，它更代表的是一种与现代信息技术环境相适应的新的会计思想。会计信息化要求人们以放眼世界的新视野、站在整个企业的高度来认识信息化工作，构架新一代的现代企业

12、管理信息系统，促使企业推进全面信息化建设，最终促使整个社会经济信息化的快速发展。会计信息化的这一过程必然引起企业业务流程的重组，从而对传统的内部控制产生一系列的影响。这些影响使得原有的内部控制体系无法适应网络环境下会计信息系统的要求，因此，加强和完善内部控制以适应会计信息系统的变化是当前的首要任务。最后，由于会计信息化系统具有其独特的属性，如果被审计单位控制不当，就可能从以下几个方面影响会计信息的正确性：容许匿名处理经济和会计业务，减少会计责任；移去或者模糊审计线索；容许未经授权的会计数据修改，或者不留相应痕迹的会计记录修改；易受到远程的和未经授权的访问和攻击；隐藏或者进行一些不可见的处理；通

13、过分布式系统广泛地分散数据等。正是由于实行电算化后存在上述风险，这一切都与手工会计下的审计存在很大不同，不管是对审计人员还是审计机构都提出了更高的要求，在对实施会计信息化的企业审计时，审计人员应确立正确的风险意识，并能在审计中使用有针对性的审计方法。（二）企业会计信息化风险类型1、决策风险。企业会计信息化的决策风险是指选择财务软件或软件供应商的失误而造成系统实施的失败。引发决策风险的原因在于企业决策层未能结合企业实际状况，充分客观地进行项目可行性分析，选择适合企业的财务信息化解决方案。面对当前我国市场上众多的财务软件，部分企业领导不清楚企业的信息化目标，缺乏全面评估软件适应性的经验，对软件的选

14、型与软件供应商的选择容易受到商家的诱导，致使所选购的软件质量存在缺陷，软件功能不适合企业的实际需求，从而使信息系统实施出现问题。2、信息处理风险。信息处理风险是指会计信息化过程中由于企业的财务软件开发未经过严密的可靠测试，数据结构、程序结构隐含的问题会在后期系统运行中被触发或各种舞弊导致损失的可能性。根据信息处理的环节来看，信息处理风险主要包括三种：一是数据记录风险，指不能完整、准确、真实地记录业务活动数据造成损失的可能性。如在销售活动中记录客户订货信息时，漏记客户信用信息或错记客户收货地点等。二是数据维护风险，指数据或信息维护过程中发生损失的可能性。如未能及时反映客户地址、信用情况的变化，或

15、未能及时反映存货的变化导致缺货情况的发生等。三是信息报告风险，指在信息报告过程中发生损失的可能性。如未经授权的人进行信息报告，或报告提供给了未经授权的人，或者未能及时提供管理所需的报告等。在企业管理信息化条件下，企业所有的数据都将以电子数据形式集中存储在计算机数据库系统中，在信息化后企业许多经营活动依赖于计算机系统。企业管理信息化安全风险主要由技术因素和管理因素两方面引起，网络系统本身存在的安全脆弱性，软件系统内部缺陷没被测试出来属技术因素，而组织内部没有建立信息安全管理制度，使用人员操作缺乏相应的操作规范，无控制标准与安全防范标准属管理因素。3、资产保护风险。资产保护风险是指企业资产损毁、被

16、盗等导致损失的可能性。传统意义上的资产包括存货、设备、现金等，会计信息化过程中的资产还应包括信息系统、各种信息或数据资源以及有关的文档、记录等。信息化环境下资产保护风险更加严峻，资产损失更加巨大，如有未经授权的人接触信息系统或记录、对敏感信息缺乏必要的保密机制、对信息系统资产缺乏灾难恢复措施等。4、效益风险。效益风险是指由于未能有效地实现业务目标而造成损失的可能性。这与传统意义上的效益风险类似。通常效益风险与业务执行风险是相关的，业务执行风险和效益风险往往同时存在。例如，在销售业务中，每个销售环节如客户订单处理、装运、开票、收款等都正确执行了(或提供商品或服务未经授权的产生了风险)，但却未能达

17、到企业制定的销售目标，这就是一种效益风险。因此，企业不仅应考虑业务执行是否无误，还应关注业务执行是否有效益。三、会计信息化下风险防范对策对企业来说，会计信息化风险管理的经验只能逐步积累，因此，须高度重视信息化中的各种风险，加强管理控制，确保会计信息化数据的安全可靠，促进企业的可持续发展。要想更好的防范会计信息化环境下的风险，主要从两个层面的对策。（一）企业层面对策对于企业来说，需要建立一套完整的控制体系，主要从以下几个方面进行控制。1、更新会计信息化风险管理观念会计信息化是一个系统工程，实施难度大。企业领导须高度重视，组织、领导和监督会计信息化的实施过程。首先，要改变思想，加大宣传教育力度，使

18、企业全体人员熟悉到实行会计信息化的必要性；其次，要借助现代信息技术、引进现代治理理念，对不适应企业发展要求的生产方式、经营方式、组织结构等进行全面而深刻的变革。2、会计信息化下的组织控制会计信息化下的组织控制应该包括两方面的内容：一是分离会计部门与其他业务部门的职责。不相容职责的分离一般是将四种基本职能，即业务授权、执行、记录和资产保管予以分开。在会计信息化下，这四种职能同样需要分离。会计部门负责记录业务的职能便不可再兼具执行业务、保管资产等职能，而应由其他业务部门分别负责其余三项职能。二是分离会计部门内部不相容的工作岗位。企业应将数据录人、文档管理等基础工作设置为单独的岗位，并配备专门的数据

19、录入人员、文档管理员等，以确保录入数据的准确性、完整性以及文档存取的安全性。3、会计信息化下的人员控制加强人员控制，防范道德风险 “人”才是最主观最能动的因素，是所有利益的载体,是内控的根本。因为说到底内控政策的制定者是人,内控的执行者是人,内控的对象也是人。所以,为使各个内控点的措施到位,企业应首先注重影响“人”的企业软环境建设。管理层要身体力行，起表率作用；治理层要积极参与，起监督作用。同时，建立道德行为规范，对诚信和道德价值观念在企业上下进行沟通与落实；建立企业文化，加强员工培训，强化法制观念。另一方面，建立激励制度，将员工的绩效考核与企业相挂钩，采取股权激励、分红等多种措施，使员工利益

20、与企业整体利益相一致。会计信息化环境下，企业一般通过授予权限或用户口令来限制员工对系统的操作。但是如果员工的风险防范意识薄弱，将会使这些控制措施行之无效。如，员工之间互相透露用户口令，或者为了防止密码遗忘而将其记录在纸上从而导致密码外泄。这些行为都会使内部控制失效，甚至面临风险，因此应加大会计人员的风险防范意识。同时，会计人员的构成由原来纯粹的会计专业人员转变为由会计专业人员、计算机系统管理人员及计算机专家组成。会计业务从原来单纯的核算转变为在完成基本会计业务的同时，还要完成财务分析、预测、管理等更为复杂的业务；原来由会计人员处理的某些事项，现在由其他人员在终端机上直接完成。因此，随着数据处理

21、技术的提高，应加大对计算机系统的控制，禁止未经授权的人员为达到某些非法目的通过网络对会计数据进行篡改，还要加大对人力资源管理，保证和提高员工的素质。4、会计信息化下的安全控制企业要在严密、恰当、有效、人机结合基本原则的指导下，围绕内部控制目标，结合本企业会计信息化内部控制的特点，构建一套适应会计信息化环境下的内部控制制度，包括制定严格的管理规章、权限划分、岗位职责、操作流程、岗位手册和各项控制制度。不相容职责必须分离，系统设计、软件开发等技术人员与实际业务操作人员必须相互独立；计算机系统的日常维护和管理人员必须独立于会计、交易等部门，禁止同一人同时掌管操作系统口令和数据库管理系统口令等。建立健

22、全上机操作登记制度，会计档案管理制度，定期检查制度等各项控制制度。（1）网络安全控制。网络安全控制的目的是为了防止非法用户和病毒对网络化的应用系统的入侵以及保证网上传递数据的安全性。目前控制网络安全的措施有：设置外部访问区域，实现企业应用系统与外界的隔离；建立双重防火墙以限制外界对主机操作系统的访问；对网络进行实时监视；在系统服务器及各终端机上分别安装反病毒软件，同时建立上网规范以限制员工打开有病毒的网页；建立网上交易活动的授权与确认制度以及电子文件的接收与签发验证制度；对传输的数据进行加密以保证数据安全。（2）硬件安全控制。硬件技术是企业信息系统运行的基础，离开了硬件技术的支持，会计信息化将

23、无法开展。网络技术与电子商务的发展为会计信息化建设提供了技术平台。通过网络，将企业的物资采购、产品销售、货款结算等多项业务处理与电子商务密切结合，以满足现代企业管理的需要。硬件安全控制即对计算机硬件设备进行维护和保养的控制措施，如安排专人对其进行定期维护。（3）软件安全控制。从系统开始实施到正式运行都要对软件的安全进行控制。首先，在实施会计信息系统时，企业要选择和安装安全可靠的操作系统和数据库管理系统。其次，要规定软件运行的操作规程。需要对软件进行修改时，企业应经过仔细的调查和周密的计划且必须经过审批后才能实施修改。在修改完成后，还应将软件修改的原因、过程和结果以书面形式存档。最后，在系统正式

24、运行后，企业应对系统的所有软件进行登记注册并建立安全备份。（4）数据安全控制。数据安全性面临的威胁源于系统内外人员对数据库的非授权访问以及系统故障或数据库的物理损坏。对于数据的非授权访问，可以采取两种方法进行控制：采用三层式客户机/服务器模式组建企业内部网。这种模式利用中间代理服务器隔离客户与数据库服务器的联系从而保证数据的一致性。采用较为成熟的大型网络数据库产品并合理定义应用子模式。通过定义应用子模式使得特定用户界面面向特定的用户，从而保证了数据的安全与完整性。对于系统故障或数据库的物理损坏引起的数据安全问题，企业可以通过数据备份及恢复来解决。5、会计报告披露的时限和方式改革会计信息化条件下

25、，核算主体可以通过互联网与其他单位和投资者进行及时交流与沟通。这种经济活动的广域性与信息需求的及时性对传统的会计信息披露方式提出了挑战。首先，会计报告应尽快改变报送方式，实行无纸化、网络化的报送，方便、快捷，报告使用者可随时调用自己所需要的资料，并对自己所使用资料的真实性和完整性进行监督。其次，报告披露内容应尽可能满足前景预测、风险分析的需要，尽可能广泛披露非财务信息，如主要股东和管理人员信息、关联方信息、背景资料信息、前瞻性信息、人力资源信息等。（二）监管部门层面对策1、进行审计风险分析在对实行电算化的单位实施审计时，首先要考虑会计信息化对被审计单位财务会计资料真实性可能产生的影响，也就是说审计人员在