山東工商學(xué)院會計學(xué)院 谷增軍

會計信息系統(tǒng)是由計算機硬件、軟件、數(shù)據(jù)、會計人員和會計信息系統(tǒng)的運行規(guī)程構(gòu)成的，利用信息技術(shù)對會計數(shù)據(jù)進行采集、存儲和處理，完成會計核算任務(wù)，并提供會計管理、分析、決策所需的輔助信息的系統(tǒng)。像其它事物一樣，會計信息系統(tǒng)也有生命周期，該周期由以下階段組成：（1）系統(tǒng)規(guī)劃階段：本階段通過初步調(diào)查，明確需要解決的問題，研究建立新系統(tǒng)的必要性和可能性，若認為項目可行，則提出新系統(tǒng)開發(fā)的基本設(shè)想，制定開發(fā)計劃。（2）需求分析階段：本階段的任務(wù)是在對現(xiàn)有系統(tǒng)詳細調(diào)查和全面分析的基礎(chǔ)上，繪制業(yè)務(wù)流程，找出需要完善的環(huán)節(jié)，提出修改方案并設(shè)計出新系統(tǒng)的邏輯模型。（3）系統(tǒng)設(shè)計階段：本階段的任務(wù)是設(shè)計實現(xiàn)邏輯模型的技術(shù)方案，包括系統(tǒng)總體結(jié)構(gòu)、界面設(shè)計、程序設(shè)計、安全設(shè)計等。（4）系統(tǒng)實施階段：本階段的任務(wù)是編寫軟件代碼、購置硬件設(shè)備、培訓(xùn)企業(yè)員工等。（5）系統(tǒng)運行與維護階段：本階段的工作主要是在系統(tǒng)運行過程中進行護，保證系統(tǒng)正常運行，從而延長系統(tǒng)使用壽命，主要包括程序、數(shù)據(jù)文件、機器設(shè)備等方面的維護。（6）系統(tǒng)廢棄階段：在系統(tǒng)被轉(zhuǎn)移、終止或廢棄時，應(yīng)確保重要數(shù)據(jù)、信息能安全的轉(zhuǎn)移到其它介質(zhì)或系統(tǒng)中，同時用科學(xué)的方法安全清除無用的信息，對設(shè)備的處理也應(yīng)符合國家相關(guān)部門的要求。

一、會計信息系統(tǒng)生命周期分階段風(fēng)險分析

（一）規(guī)劃階段面臨的風(fēng)險 具體包括：（1）規(guī)劃風(fēng)險。在系統(tǒng)規(guī)劃階段，要結(jié)合企業(yè)發(fā)展戰(zhàn)略和業(yè)務(wù)目標(biāo)，要解決好是否建立新系統(tǒng)、建立何種規(guī)模的系統(tǒng)、要解決什么問題、達到哪些目標(biāo)，系統(tǒng)軟硬件的總體配置方案如何等問題，做好合理規(guī)劃，科學(xué)論證，避免論證不充分帶來的風(fēng)險。（2）人力資源風(fēng)險。信息系統(tǒng)建設(shè)可以說是“一把手工程”，系統(tǒng)建設(shè)過程中如果得不到領(lǐng)導(dǎo)層的支持則面臨項目擱淺的風(fēng)險。（3）開發(fā)方式與項目代理方選擇的風(fēng)險。在進行初步調(diào)研和可行性研究后，如果確定進行系統(tǒng)開發(fā)，則會面臨選擇何種開發(fā)方式、選擇什么樣的項目代理方等風(fēng)險。（4）外界環(huán)境風(fēng)險。外界環(huán)境對信息系統(tǒng)的建設(shè)有重要影響，當(dāng)政治、經(jīng)濟、社會等外部環(huán)境發(fā)生變化時，信息系統(tǒng)的規(guī)劃勢必要發(fā)生改變，不僅影響系統(tǒng)建設(shè)進度，也有可能導(dǎo)致信息系統(tǒng)無法按計劃完工。

（二）需求分析階段面臨的風(fēng)險 具體包括：（1）項目組織管理風(fēng)險。眾所周知，系統(tǒng)開發(fā)需要建立高效的開發(fā)團隊，吸納各方面技術(shù)人才，也需要企業(yè)各部門員工的積極參與，各部門員工作為一個整體發(fā)揮不同的作用，只有選擇好、組織好、管理好團隊成員，建立科學(xué)的激勵機制，調(diào)動員工的積極性和創(chuàng)造性，才能減少因項目組織管理不善給系統(tǒng)開發(fā)進度和最終效果帶來的風(fēng)險。（2）用戶需求分析的風(fēng)險。為保證系統(tǒng)開發(fā)的針對性和有效性，需求分析需要詳細列出用戶需求，包括功能、性能、安全性、便捷性等方面的要求，但是實際上用戶的需求很難百分百地傳達給項目組，或者開發(fā)人員對用戶的需求理解存在偏差，都會給系統(tǒng)開發(fā)帶來不利影響，影響系統(tǒng)開發(fā)質(zhì)量。（3）開發(fā)文檔規(guī)范化、標(biāo)準(zhǔn)化的風(fēng)險。在系統(tǒng)開發(fā)的每個階段，要按國際標(biāo)準(zhǔn)形成規(guī)范化和標(biāo)準(zhǔn)化的開發(fā)文檔，一方面便于項目組成員溝通和交流，保證各階段工作的連貫性，另一方面便于系統(tǒng)開發(fā)完畢后維護，有據(jù)可查，從而提高項目成果質(zhì)量和用戶滿意度。因此，開發(fā)文檔是否規(guī)范也會影響到系統(tǒng)開發(fā)質(zhì)量。（4）業(yè)務(wù)流程重組風(fēng)險。在信息系統(tǒng)開發(fā)過程中，不能照搬以前的流程，需要進行業(yè)務(wù)流程重組，這樣才能充分發(fā)揮信息系統(tǒng)的優(yōu)勢。

（三）設(shè)計階段面臨的風(fēng)險 具體包括：（1）技術(shù)風(fēng)險。隨著計算機技術(shù)、信息技術(shù)的不斷發(fā)展變革，會計信息系統(tǒng)的建設(shè)規(guī)模也日益龐大，技術(shù)難度越來越高，勢必帶來技術(shù)風(fēng)險。因此，應(yīng)從企業(yè)長遠戰(zhàn)略出發(fā)，選用適合的信息架構(gòu)與技術(shù)方案，同時要考慮與其它系統(tǒng)的集成，滿足企業(yè)現(xiàn)實及未來一定時期的需求。（2）設(shè)計風(fēng)險。系統(tǒng)設(shè)計包括總體設(shè)計和詳細設(shè)計兩部分，總體設(shè)計算機配置設(shè)計（選擇機型與確定系統(tǒng)的硬件結(jié)構(gòu)）系統(tǒng)的模塊結(jié)構(gòu)進行設(shè)計；而詳細設(shè)計是系統(tǒng)功能、結(jié)構(gòu)實現(xiàn)方法的設(shè)計，是程序設(shè)計的依據(jù)。由于系統(tǒng)設(shè)計是一個復(fù)雜的過程，也勢必面臨眾多風(fēng)險，如控制功能是否嵌套到程序中、控制功能是否合理、權(quán)限控制設(shè)計是否合理等問題。（3）設(shè)計方案審核風(fēng)險。系統(tǒng)設(shè)計階段主要是解決“如何做”的問題，建立系統(tǒng)的物理模型，最終形成設(shè)計說明書，并要經(jīng)過相關(guān)專家進行評審。在評審過程中要查驗系統(tǒng)設(shè)計的合理性、業(yè)務(wù)流程變革的科學(xué)性、控制功能的完善性等系統(tǒng)性能，檢查系統(tǒng)設(shè)計與需求分析相符，確認方案修改后得到審批，從而避免系統(tǒng)設(shè)計方案審核不嚴帶來的風(fēng)險。

（四）實施階段面臨的風(fēng)險 具體包括：（1）程序開發(fā)風(fēng)險。程序開發(fā)風(fēng)險主要包括進度控制風(fēng)險及質(zhì)量控制風(fēng)險。一方面，程序員花大量時間用于編寫程序代碼上，如果不嚴格按照預(yù)先計劃的時間進度安排開展工作，可能導(dǎo)致系統(tǒng)不能按時完成的風(fēng)險。另一方面，為了便于程序的修改和維護，在程序編寫過程中應(yīng)利用科學(xué)的開發(fā)方法，充分考慮到環(huán)境、技術(shù)、用戶需求等因素的變化，防止方法使用不當(dāng)給系統(tǒng)帶來的風(fēng)險。（2）采購風(fēng)險。采購風(fēng)險是指在購買相關(guān)的軟件和硬件過程中有可能購買到假冒偽劣產(chǎn)品的風(fēng)險，從而引發(fā)系統(tǒng)的安全性、穩(wěn)定性等問題。（3）測試驗收風(fēng)險。系統(tǒng)測試主要包括功能測試和性能測試兩方面的內(nèi)容，按照測試的目的與特點可以采取多種測試方法。無論進行哪一種測試都需要制定詳盡的測算計劃和準(zhǔn)備足量的數(shù)據(jù)樣本，測試過程中需要不斷的調(diào)試，減少系統(tǒng)錯誤不能被發(fā)現(xiàn)并及時糾正的風(fēng)險。（4）新舊系統(tǒng)轉(zhuǎn)換風(fēng)險。當(dāng)新的信息系統(tǒng)正式投入運行后，員工要正確掌握系統(tǒng)的使用方法并面臨適應(yīng)新系統(tǒng)的過程，新舊系統(tǒng)也有一個融合的過程。通常情況下，新老系統(tǒng)都會并行一段時間，在最終的轉(zhuǎn)換過程中，可能會出現(xiàn)像數(shù)據(jù)遷移錯誤、遷移數(shù)據(jù)不完整和不準(zhǔn)確等不利情況，將會嚴重影響到系統(tǒng)的正常運行。

（五）運行維護階段面臨的風(fēng)險 具體包括：（1）信息安全風(fēng)險。信息系統(tǒng)在運行過程中，由于物理環(huán)境、網(wǎng)絡(luò)環(huán)境以及保密手段存在或多或少的不安全因素，會給數(shù)據(jù)的準(zhǔn)確性、安全性、保密性帶來挑戰(zhàn)，從而引發(fā)信息安全風(fēng)險。（2）人員短缺風(fēng)險。系統(tǒng)維護人員是企業(yè)不可或缺的角色，需要經(jīng)過系統(tǒng)培訓(xùn)及相關(guān)工作經(jīng)驗，如果系統(tǒng)維護員離職或其它原因不能從事系統(tǒng)維護工作，會給系統(tǒng)帶來一定的風(fēng)險，從而影響系統(tǒng)的正常運行。（3）崗位分工風(fēng)險。根據(jù)內(nèi)部的要求，系統(tǒng)中不相容崗位應(yīng)當(dāng)相互分離，做到責(zé)任明確，相互制約，相互監(jiān)督。因此，在企業(yè)信息系統(tǒng)實施過程中，應(yīng)避免不合理分工造成的效率低下、責(zé)任不清的風(fēng)險。（4）災(zāi)難恢復(fù)風(fēng)險。面對自然或人為災(zāi)害，企業(yè)應(yīng)建立完善的災(zāi)難恢復(fù)計劃，對災(zāi)難性風(fēng)險做出評估、防范，減少災(zāi)難帶來的損失，確保系統(tǒng)出現(xiàn)故障時系統(tǒng)的運行和業(yè)務(wù)的正常運轉(zhuǎn)。

（六）更新淘汰階段面臨的風(fēng)險 當(dāng)信息系統(tǒng)不能滿足企業(yè)實際需求時，信息系統(tǒng)進入更新淘汰階段。本階段需要關(guān)注的是硬件、軟件、數(shù)據(jù)信息、系統(tǒng)組件等是否得到了妥善處置，應(yīng)確保重要數(shù)據(jù)、信息能安全的轉(zhuǎn)移到其它介質(zhì)或系統(tǒng)中，再者應(yīng)規(guī)范流程，確保更新過程的安全。

二、會計信息系統(tǒng)生命周期各階段風(fēng)險評估

在會計信息系統(tǒng)生命周期的各階段，都要對風(fēng)險進行評估，采取自我評估為主和檢查評估等多種方式，各個評估方式應(yīng)相互結(jié)合、互為補充。

（一）規(guī)劃階段風(fēng)險評估 規(guī)劃階段風(fēng)險評估要從企業(yè)戰(zhàn)略需求出發(fā)，確定系統(tǒng)的安全需求。本階段的評估應(yīng)該能夠描述系統(tǒng)建成后對現(xiàn)有業(yè)務(wù)模式、技術(shù)、管理等方面的影響，并以此確定系統(tǒng)建設(shè)應(yīng)實現(xiàn)的安全目標(biāo)。在信息系統(tǒng)整體規(guī)劃或項目建議書中應(yīng)包含本階段的風(fēng)險評估結(jié)果。

（二）需求分析階段風(fēng)險評估 需求分析階段風(fēng)險評估的目的是保證所開發(fā)的系統(tǒng)能夠滿足用戶需求這一目標(biāo)。為了提高所開發(fā)系統(tǒng)的質(zhì)量，必須建立相應(yīng)的溝通和評估機制，保證各項制度、流程和標(biāo)準(zhǔn)都能得到很好的落實。

（三）設(shè)計階段風(fēng)險評估 本階段需要根據(jù)項目建議書中系統(tǒng)的運行環(huán)境、安全性、性能等要求，對系統(tǒng)建設(shè)方案中存在的風(fēng)險給予評價，找出方案中可能存在的風(fēng)險，判斷信息技術(shù)方案的可靠性、可行性，確保后續(xù)工作的順利開展。

（四）實施階段風(fēng)險評估 在系統(tǒng)實施階段，應(yīng)按照系統(tǒng)安全設(shè)計來識別系統(tǒng)實施過程的風(fēng)險，確保設(shè)計階段制定的安全措施能夠落實，通過對系統(tǒng)的安全性測試、分析來加強質(zhì)量控制。

（五）運行維護階段風(fēng)險評估 為了了解和控制運行過程中的安全風(fēng)險，需要在系統(tǒng)運行維護階段定期對信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等方面進行風(fēng)險評估，從而確保系統(tǒng)安全穩(wěn)定運行。

（六）更新淘汰階段風(fēng)險評估 在系統(tǒng)更新淘汰階段，維護技術(shù)人員和管理人員需要對廢棄資產(chǎn)對企業(yè)的影響進行評估，根據(jù)評估結(jié)果采取不同的處理方式。同時，還要積極應(yīng)對由于系統(tǒng)更新改造可能帶來的新風(fēng)險，加強管理，做好風(fēng)險防范預(yù)案。

三、基于生命周期的會計信息系統(tǒng)安全風(fēng)險防控措施

風(fēng)險存在于會計信息系統(tǒng)生命周期的各個階段，因此必須采取不同的有效措施來防控風(fēng)險，確保系統(tǒng)的研發(fā)、運行、維護階段的安全。

（一）規(guī)劃階段 會計信息系統(tǒng)的開發(fā)，需要開發(fā)者和用戶的共同參與，本階段系統(tǒng)分析師、系統(tǒng)工程師、程序設(shè)計人員和用戶組建研發(fā)團隊，對現(xiàn)行系統(tǒng)進行調(diào)查，確定新系統(tǒng)需要解決的問題、增加的功能及達到的目標(biāo)，從技術(shù)、經(jīng)濟和管理等方面進行必要性和可行性研究，形成可行性項目建議書，最大程度地降低項目風(fēng)險。

（二）需求分析階段 本階段需要對現(xiàn)有系統(tǒng)業(yè)務(wù)流程與需求進行詳細調(diào)查，完全搞清楚現(xiàn)用系統(tǒng)的情況以及用戶對新系統(tǒng)的種種需求，并用規(guī)范的工具表達出來，建立起新系統(tǒng)的邏輯模型。因此，理解（對現(xiàn)有系統(tǒng)的了解）和表達（用規(guī)范工具構(gòu)建系統(tǒng)邏輯模型）是本階段的主要工作，理解是前提，表達是目的，并最終形成需求分析說明書。

（三）設(shè)計階段 本階段應(yīng)根據(jù)系統(tǒng)邏輯模型，結(jié)合會計業(yè)務(wù)特點和信息技術(shù)，進行一系列技術(shù)考慮和設(shè)計，優(yōu)化流程，完善控制點，利用信息技術(shù)優(yōu)勢得到能在計算機上實現(xiàn)系統(tǒng)目標(biāo)的實施方案，建立新系統(tǒng)的物理模型。同時，應(yīng)加強控制功能的設(shè)計，解決實現(xiàn)手工處理環(huán)境下難以解決的問題，增強系統(tǒng)預(yù)防、發(fā)現(xiàn)和糾正錯誤和舞弊的功能。

（四）實施階段 在系統(tǒng)實施過程中，企業(yè)應(yīng)采用招標(biāo)形式采購硬件設(shè)備，規(guī)范采購流程，規(guī)避采購風(fēng)險，同時制定詳盡的測試計劃，加大對員工的培訓(xùn)工作，使員工掌握正確的系統(tǒng)使用方法。同時制定有效的系統(tǒng)試運行方案和數(shù)據(jù)遷移方案，保證新舊系統(tǒng)數(shù)據(jù)的一致性。

（五）運行維護階段 在該階段，企業(yè)嚴格用戶權(quán)限管理，做到不相容崗位相互分離、制約和監(jiān)督，同時應(yīng)當(dāng)建立并執(zhí)行系統(tǒng)數(shù)據(jù)定期備份制度以及問題管理制度，加強信息保密工作，制定信息系統(tǒng)災(zāi)難恢復(fù)計劃并進行演練，確保系統(tǒng)安全運行。

（六）更新淘汰階段 由于不能滿足企業(yè)需要，系統(tǒng)進行更新淘汰時，重點應(yīng)關(guān)注系統(tǒng)內(nèi)數(shù)據(jù)處理的安全性問題，做好數(shù)據(jù)備份、暫存和轉(zhuǎn)移工作，加強對報廢資產(chǎn)、系統(tǒng)組件的管理，加強監(jiān)督，防止數(shù)據(jù)丟失和認為破壞。

會計信息系統(tǒng)給企業(yè)帶來巨大經(jīng)濟效益的同時，也經(jīng)常會受到來自系統(tǒng)本身、外部環(huán)境以及人和自然界的安全威脅，只要能夠在系統(tǒng)建設(shè)、實施中規(guī)范運作方式，對生命周期各階段進行“全過程”風(fēng)險分析、評估和防范，預(yù)防為主，因地制宜，確定關(guān)鍵控制點，就可以有效規(guī)避各種風(fēng)險。

［1］吳炎太、林斌：《基于生命周期的信息系統(tǒng)內(nèi)部控制風(fēng)險管理研究》，《審計研究》2009年第6期。

［2］谷增軍：《基于模糊綜合評判的會計信息系統(tǒng)安全風(fēng)險評估模型及應(yīng)用》，《財會通訊》（綜合·上）2010年第8期。

［3］曹文正：《基于生命周期的企業(yè)信息系統(tǒng)風(fēng)險防范研究》，《科技創(chuàng)業(yè)月刊》2010年第12期。

［4］王振武：《會計信息系統(tǒng)》，東北財經(jīng)大學(xué)出版社2006年版。