沈琨 陶福文 劉天鵬

摘 要：計算機會計信息系統(tǒng)形成后，數(shù)據(jù)的處理、儲存等都發(fā)生了變化，使會計信息系統(tǒng)面臨新的風(fēng)險，導(dǎo)致內(nèi)部控制體系失效，本文通過對內(nèi)部控制信息系統(tǒng)存在的風(fēng)險進行分析，提出了相應(yīng)的風(fēng)險防范措施，從而確保內(nèi)部控制體系的有效運行。

關(guān)鍵詞：內(nèi)部控制信息系統(tǒng)；風(fēng)險；防范措施

現(xiàn)代企業(yè)內(nèi)部控制系統(tǒng)作為系統(tǒng)化的信息集成系統(tǒng)，其建立和實施應(yīng)按照信息系統(tǒng)的專業(yè)化方法來進行，同時應(yīng)確保系統(tǒng)的安全和穩(wěn)定，以保證企業(yè)內(nèi)部控制系統(tǒng)的有效運行，實現(xiàn)企業(yè)內(nèi)部控制的目標。但隨著信息技術(shù)的不斷發(fā)展，使內(nèi)部控制信息系統(tǒng)產(chǎn)生了新的風(fēng)險。

一、內(nèi)部控制信息系統(tǒng)存在的風(fēng)險

1.系統(tǒng)開發(fā)風(fēng)險。系統(tǒng)開發(fā)風(fēng)險主要來自系統(tǒng)開發(fā)人員與用戶溝通不足的矛盾。從用戶角度講，用戶是否清楚了解自己對系統(tǒng)的要求，能否明確將要求傳達給開發(fā)人員，用戶在不甚清楚其對系統(tǒng)要求時，如何進行有效的溝通，以及選擇合適的系統(tǒng)開發(fā)方法都是問題；從開發(fā)方的角度看，系統(tǒng)調(diào)查、系統(tǒng)分析、系統(tǒng)設(shè)計等系統(tǒng)生命周期過程中人員等的配置、整合都會給系統(tǒng)開發(fā)帶來風(fēng)險；此外，系統(tǒng)試運行過程中的溝通等也會給系統(tǒng)帶來風(fēng)險。

2.人員分工變化以及數(shù)據(jù)和責(zé)任高度集中的風(fēng)險。在財務(wù)集中核算的計算機系統(tǒng)中，由于部分崗位分工的消失，責(zé)任也相對集中，在審計軌跡不清的情況下，難以查找責(zé)任人。在系統(tǒng)相應(yīng)保護措施不夠的情況下，數(shù)據(jù)很容易被熟悉計算機系統(tǒng)的人修改且不易被發(fā)現(xiàn)。

3.授權(quán)風(fēng)險。在數(shù)字簽名不被強化，或系統(tǒng)保密性差、維護制度不完善等情況下，系統(tǒng)缺乏有效控制，軟件容易被盜用、竄改，造成嚴重的信息失真。

4.儲存介質(zhì)變化產(chǎn)生的風(fēng)險。存放于磁性介質(zhì)上的系統(tǒng)數(shù)據(jù)庫和文件的閱讀、修改、復(fù)制、刪除通常不會留下痕跡，除非有嚴格的操作日志記錄，同時，在多方牽制弱化以及難以實現(xiàn)簽字、蓋章等的情況下，數(shù)據(jù)容易被刪改。

5.應(yīng)用軟件系統(tǒng)通常缺少對不合理業(yè)務(wù)的識別能力。計算機只能依照事先設(shè)計“機械邏輯”識別業(yè)務(wù)，而不能如同人工那樣實現(xiàn)“專家判斷”，一旦事先“灌輸”給計算機信息系統(tǒng)的邏輯不合理，如程序上的差錯，則可以導(dǎo)致整個信息系統(tǒng)輸出的各層次信息的失真。

6.網(wǎng)絡(luò)安全風(fēng)險。網(wǎng)絡(luò)安全風(fēng)險首先來自于系統(tǒng)的非法侵擾。由于網(wǎng)絡(luò)信息系統(tǒng)信息具有開放性的特點，網(wǎng)絡(luò)下的企業(yè)信息系統(tǒng)很有可能遭受非法訪問甚至黑客或病毒的侵擾。這種攻擊一旦發(fā)生將造成巨大的損失。其次是電子商務(wù)對內(nèi)控的挑戰(zhàn)，隨著電子商務(wù)的迅猛發(fā)展，網(wǎng)上交易愈加普遍，在不久后的將來，企業(yè)的全部原始憑證都將成為數(shù)字格式，這加強了企業(yè)對網(wǎng)上公證機構(gòu)的依賴。但是，目前網(wǎng)上認證中第三方認證發(fā)展尚未成熟，有效的第三方牽制尚未形成。第三，網(wǎng)絡(luò)會計信息系統(tǒng)的復(fù)雜性使系統(tǒng)安全控制更加困難，信息來源的復(fù)雜性及信息的動態(tài)性等特點使審計變得困難，造成信息失真等系統(tǒng)安全性問題。第四，網(wǎng)絡(luò)控制系統(tǒng)使傳統(tǒng)的組織內(nèi)部牽制作用減弱。計算機及網(wǎng)絡(luò)的使用大大降低了人工環(huán)節(jié)，但這一點使傳統(tǒng)的制單、復(fù)核等內(nèi)部牽制變得很弱。

二、內(nèi)部控制信息系統(tǒng)風(fēng)險防范措施

1.建立新的適合計算機信息系統(tǒng)的內(nèi)控制度。對于計算機信息系統(tǒng)存在的風(fēng)險，企業(yè)要建立相應(yīng)的內(nèi)部控制制度。首先是組織結(jié)構(gòu)要有新的劃分標準和方式，這種劃分重點要解決計算機人員與一般用戶之間的權(quán)責(zé)劃分，保證各類人員之間可以相互監(jiān)督、制約，形成牽制；其次，計算機人員之間要劃分崗位責(zé)任，即要降低可以直接接觸系統(tǒng)的人員竄改數(shù)據(jù)的可能性，一般計算機人員包括系統(tǒng)分析員、程序員、操作員、資料保管員和管理人員，這幾類人員的職責(zé)一定要劃分清楚；再次，計算機審計是內(nèi)部控制的重要組成部分，這種審計包括事后對會計信息系統(tǒng)的審計，還包括事前對信息系統(tǒng)運行程序等的審計以及不定期的信息系統(tǒng)運行審計。

2.系統(tǒng)開發(fā)中的控制。首先，根據(jù)環(huán)境狀況選擇適當(dāng)?shù)南到y(tǒng)開發(fā)方法，做好需求分析工作，進行細致的可行性研究；其次，在系統(tǒng)的總體設(shè)計、詳細設(shè)計以及系統(tǒng)配置方案確定的過程中，要實時做好與用戶的溝通，在每一環(huán)節(jié)上滿足用戶控制的要求，在系統(tǒng)測試和試運行階段也要做好溝通工作，保證可以及時、適當(dāng)?shù)刈龊孟到y(tǒng)的完善修改；系統(tǒng)開發(fā)的有關(guān)文字資料也要妥善控制保證它們形成過程的合理，并得以妥善保存。

3.系統(tǒng)運行中的控制。（1）輸入控制。輸入控制中首先應(yīng)當(dāng)形成業(yè)務(wù)審批制度，操作人員不能審批修改業(yè)務(wù)，審批修改應(yīng)由領(lǐng)導(dǎo)完成；其次，在系統(tǒng)的每一模塊設(shè)置操作權(quán)限和口令密碼，對重要的數(shù)據(jù)，還應(yīng)當(dāng)設(shè)置多重密碼；再次，應(yīng)建立輸入校驗控制等。（2）處理控制。處理控制是防止對輸入業(yè)務(wù)的漏處理、重復(fù)處理或錯誤處理，以增加處理活動的可信性。（3）輸出控制。輸出控制的目的是確保信息系統(tǒng)信息輸出或傳輸?shù)恼_性，防止遺失、錯發(fā)、截留、泄密等。這類控制最基本的方法是定期不定期地打印輸出各種信息，還可以進行輸入總數(shù)、處理總數(shù)和輸出總數(shù)的核對，以及對輸出信息進行人工核查等。

4.系統(tǒng)維護中的控制。系統(tǒng)維護安全控制是指對包括系統(tǒng)硬件、軟件、數(shù)據(jù)資料、操作規(guī)程等的維護，防止可能引發(fā)系統(tǒng)安全問題的情況發(fā)生。這類控制首先是系統(tǒng)接觸的控制，此外還有諸如系統(tǒng)硬件環(huán)境的改良和保持，系統(tǒng)后備控制與災(zāi)難補救控制等。

5.數(shù)據(jù)資源的控制。數(shù)據(jù)資源的安全隱患，一是來自非法訪問；二是來自系統(tǒng)故障、錯誤操作和人為破壞等。因此，應(yīng)當(dāng)建立適當(dāng)?shù)臋?quán)責(zé)劃分制度、數(shù)據(jù)備份和恢復(fù)制度等。

6.網(wǎng)絡(luò)安全控制。首先要加強組織與管理控制。設(shè)置網(wǎng)絡(luò)管理中心，由網(wǎng)絡(luò)管理中心進行整體規(guī)劃，在工作站、終端和人員間劃分權(quán)責(zé)；建立良好的人事制度，優(yōu)化配置人力資源，建立良好的內(nèi)部審計制度。其次，加強網(wǎng)絡(luò)信息系統(tǒng)的開發(fā)控制。在系統(tǒng)分析階段要明確開發(fā)目標，進行詳實的可行性研究，在系統(tǒng)設(shè)計階段檢查模塊設(shè)計的合理性。利用網(wǎng)絡(luò)在線測試的功能，檢驗整個系統(tǒng)的完整性，做好人員和設(shè)備等資源的整合配置以及初始數(shù)據(jù)的安全導(dǎo)入，保證新舊系統(tǒng)的轉(zhuǎn)換有序進行。及時發(fā)現(xiàn)和修補網(wǎng)絡(luò)系統(tǒng)應(yīng)用程序可能存在的安全漏洞。再次，加強日常操作管理控制。要建立良好的操作制度，對系統(tǒng)人員的操作進行嚴格管理，建立安全檢測預(yù)警制度。另外，還需對網(wǎng)絡(luò)系統(tǒng)的軟硬件、系統(tǒng)數(shù)據(jù)資源、防入侵、網(wǎng)上交易、遠程處理等進行有效控制。

參考文獻：

[1]楊炳志.互聯(lián)網(wǎng)+環(huán)境下會計信息系統(tǒng)內(nèi)部控制研究[J].商場現(xiàn)代化，2017（4）.

[2]杭天竹.大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險探析[J].中國管理信息化，2016（9）.

[3]陳萍.ERP環(huán)境下財務(wù)會計信息系統(tǒng)的內(nèi)部控制與風(fēng)險管理[J].中外企業(yè)家，2017（6）.

作者簡介：沈琨（1979.11- ），女，江蘇南通人，碩士，南通職業(yè)大學(xué)經(jīng)濟管理學(xué)院