在全球網絡化的熱潮中,國內外的會計(管理)軟件公司紛紛推出基于互聯網的會計信息系統。原來封閉的局域網會計信息系統被推向開放的互聯網世界后,一方面給企業帶來了會計與業務一體化處理和實時監控的方便,但同時也向會計信息系統的安全提出了嚴重挑戰。
綜合來看,會計信息系統存在以下幾個方面的風險。
第一,系統故障風險。任何計算機系統都存在著由于操作失誤,以及硬件、軟件、網絡本身出現故障導致系統數據丟失甚至癱瘓的風險,并且在內聯網結構的會計信息系統中,由于其開放性、遠程實時處理的特點,系統的一致性、可控性降低,一旦出現故障,影響面更廣,數據的一致性保障更難,系統恢復處理的成本更高。
第二,內部人員的道德風險。主要指企業內部人員對會計數據的非法訪問、篡改、泄密和破壞等方面的風險。網絡安全的最大風險仍然來自于組織內部,據統計,大部分的非法闖入者來自于內部雇員。
第三,非法侵擾風險。網絡環境里的會計信息系統很有可能遭受不法分子的非法訪問甚至黑客或病毒的侵擾。這是目前媒體報道最多的風險類型。這種攻擊可能來自于系統外部,也可能來自系統內部,而且一旦發生將造成巨大的損失。
第四,系統關聯方道德風險。主要指關聯方非法侵入企業內聯網,盜竊財務數據和知識產權、破壞系統、攪亂某項特定交易或事業等所產生的風險。在互聯網環境下,為適應競爭發展需要,企業與關聯方需要建立統一的外聯網。在外聯網內,企業之間的數據查詢、數據交換、服務技術可通過互聯網實現,也可通過虛擬專用網實現。特殊的內部聯系也使道德風險的發生成為可能,尤其像軟件供應商或開發商這樣的關聯方,由于其對企業內聯網的控制結構一清二楚,企業在接受網上技術支持和維護的同時,實際上也向對方敞開了系統控制的大門。
第五,電子商務也給內部控制增加難題。隨著電子商務的迅猛發展,網上交易愈加普遍,可以想象,在不久后企業的全部原始憑證都將成為數字格式,這加強了企業對網上公證機構的依賴。但直到目前,相應的技術和法規還遠沒有完善,這也給系統的內部控制造成困難。
針對這些問題,我們可以從以下幾方面來加強對會計信息系統的風險控制。
第一,堅持系統開發的控制,定制“防護套裝”。系統開發控制應該貫穿于系統規劃、系統分析、系統設計、系統實施和系統運作測試與維護的各個階段。系統開發控制是一種預防性控制,目的是確保會計信息系統開發過程及其內容符合內部控制的要求。基于互聯網會計信息系統的開發,必須把會計控制功能全面融入系統邏輯模型中。在軟件開發的前期,內審和風險管理人員要參與系統控制功能的研究與設計,在軟件開發及測試階段加強監督,確保所有既定控制功能在系統中得以有效的實現。
第二,建立網上公證三方牽制,開發“第三只眼睛”。由于網絡環境下原始憑證仍然使用數字方式進行存儲,所以也不能像手工系統那樣對每一張憑證作痕跡檢查。可是利用網絡所特有的實時傳輸功能和日益豐富的互聯網服務項目,我們可以實現原始憑證的第三方監控,即網上公證。
第三,實行監控與操作分離,增強內部牽制。會計信息系統的內部牽制沒有手工系統完善,但是從另一角度看,手工系統下的多方牽制也不是一個成熟的牽制方法,只是通過多人的重復勞動實現牽制。一個比較有效的辦法是在會計信息系統中分出操作和監控兩個崗位,對每一筆業務同時進行多方備份。當會計人員進行多方處理時,其操作和數據也被同步記錄在監控人員的機器上,由監控人員進行即時或定期審查,一旦出現數據不一致便進行深入調查。這樣明確了崗位的劃分,實現了有效牽制。
第四,拓展在線測試功能,健全漏洞監測系統。對于計算機軟件來說,其內部錯誤或不足是無法避免的。因此其解決方法只有兩個:一是在開發過程中加強交流,充分測試。二是在發現問題時及時解決。
網絡系統需要軟硬件安全控制。硬件安全控制主要涉及計算機機房環境和設備的技術安全要求,應制定網絡計算機機房和設備的管理制度、崗位職責和操作規程,嚴禁無關人員接觸系統,專機專用,關鍵性的硬件設備可采用雙系統備份;嚴格控制系統軟件的安裝與修改,對系統軟件進行定期的預防性檢查,系統被破壞時,要求系統軟件具有緊急響應、強制備份、快速重構和快速恢復的功能。
