参考两个例子:
网络环境下会计信息系统内部控制风险及防范
李晓红摄
《当代经济》2012年第8期
摘要:由于网络环境下会计信息系统存在数据安全、身份识别、权限控制等风险,会计系统内部控制比手工系统甚至一般的电算化会计系统更为复杂。只有强化安全意识,注重人才建设,加强审计监督,落实符合企业实际的内部控制制度,才能确保网络环境下会计信息的真实、完整、可靠。关键词:内部控制风险、会计信息化、网络化
1.概述随着电子信息技术的飞速发展,从20世纪80年代初衍生出来的会计电算化发展速度不断加快,特别是互联网乃至物联网技术在经济领域的广泛应用。企业利用网络进行管理、交易和会计核算越来越普遍,网络环境下的会计核算和管理应运而生。在网络环境下,会计信息系统具有许多不同于手工会计系统的特点,如数据处理的集中性和快速性,数据结果生成的不可见性和自动化等。新一代财务软件还打网络牌,采用商业领域最新流行的技术方案,集成以ERP系统为代表的信息系统,实现企业一体化管理。会计信息系统是从管理的角度设计的,具有业务核算、信息管理和决策分析等功能。网络环境下会计信息的传递借助互联网完成,电子符号取代会计数据,磁介质取代纸张,财务数据流动过程中签字、盖章等传统交易授权手段不复存在,肉眼可见的审计线索减少,企业会计系统内部控制比一般会计电算化范围更广、方法更多样、程序更复杂。正因为如此,建立健全信息化会计系统的内部控制,维护其系统的稳定性,比手工系统乃至一般的电算化会计系统更为重要。二、现状与问题,无论是中小企业的初级电算化会计信息系统还是网络级企业
财务会计信息系统,即使是支持电子商务和企业ERP系统的大型、集中的会计信息系统,在会计内部控制中,也基本上是按照内部会计控制的目标、原则和要求,利用电子技术和加密技术实现内部会计控制的简单功能,难以适应当前网络环境下会计信息系统内部控制的要求。同时,在网络环境下,企业内部管理决策者和外部信息使用者对会计信息的依赖程度越来越高,会计信息的质量在很大程度上取决于会计信息系统的内部控制。总的来说,会计信息系统内部控制存在的风险和问题主要有以下几个方面。1.系统开发设计中的风险随着会计核算和管理水平的逐步提高,越来越多的企业将更多的资源投入到会计信息化建设中,与各种软硬件相结合的会计信息化系统资源构成了企业的重要资产。不合理的信息化建设规划可能造成信息孤岛或重复建设,如集团内部、子公司内部不同业态“存异不求同”导致的过度个性化发展;系统开发不符合内部控制要求,导致无法利用会计信息系统实施有效的管理和控制,难以保证今后的审计工作在开发过程中不留审计线索;沟通不畅、信息不畅导致系统升级速度放缓,阻碍了会计信息化建设随着企业发展而不断完善和升级。在通用会计信息软件的二次开发过程中,由于会计人员与软件开发人员的出发点不同,或者会计人员习惯于甚至过度强调人工处理的模拟,没有考虑计算机和网络系统信息处理的特点,客观上存在着系统内部控制的混乱。而且,为了提高市场占有率,商业化的软件大多是标准化模式,功能多、覆盖面广。软件本身可能有密有疏,存在轻微漏洞和安全隐患。2.网络环境开放带来的风险。网络会计信息化依托Internet/Intranet系统企业事务网络化办理消除了物理距离和时间差,使经济业务通过各种终端在互联网上实时办理成为可能。计算机内部控制取代了传统的内部控制手段。包括与金融机构、工商税务、政府部门以及自身业务相关部门之间的数据交换和传输,都依托网络即时完成,大量会计信息通过网络传输,可能被非法截取、窃取甚至篡改。因此,网络环境的开放性带来的潜在风险包括:原始会计信息虚假、会计信息篡改、信息保密性差、网络系统破坏等,具体来说,如硬件故障、软件故障、非法操作、计算机病毒和黑客入侵等都可能导致整个网络系统瘫痪,影响会计信息质量。3.身份识别和权限控制的风险网络会计信息系统采用开放的TCP/IP协议,以广播的形式传播,有利于口令字的测试。未经授权的计算机专业人员利用计算机技术和网络技术可以轻松浏览各种数据文件,导致会计保密数据泄露不留痕迹。同时,网络会计信息系统全面支持电子商务,涉及众多电子货币、电子单据等,易受非法攻击。在会计信息系统中,每个操作员都有自己的密码和不同的工作权限,但在实践中,虽然有的单位财务分工不同,但往往是一个操作员身兼数职。有的以不同身份进入系统进行凭证录入、审核等不兼容工作,有的由系统开发人员代替会计人员操作,有的简单设置密码或不更改初始登录密码,会计信息化所需的组织控制和系统安全控制形同虚设。4.数据备份与安全隐患网络会计信息系统的数据处理和存储高度集中,系统逐点运行使得会计信息系统可能会受到多处攻击,给数据安全带来一定威胁。同时,数据处理的集中性特点也要求执行部门职责与人员不相容,需要额外的补偿控制来减轻风险。数据存储集中在磁性载体中,对环境湿度和温度有一定要求。一旦发生火灾、水灾、盗窃等事件,所有数据都可能丢失、损坏,给企业带来毁灭性打击。信息系统的网络服务器无论是自行管理还是委托第三方管理,都存在“万一”的小概率风险。5.人才缺乏的问题。网络环境下的会计从业人员应熟悉计算机和网络信息,掌握网络会计常见故障排除方法和相应维护措施,了解电子商务知识和国际电子交易相关法律法规,精通会计知识。这就要求网络会计不仅是一名优秀的计算机操作员,而且是一名高水平的会计人员,能够熟练掌握各种网络财务软件的操作。目前,大部分企业会计人员只有中级及以下会计专业水平,年长会计人员知识更新慢,对计算机应用技术了解甚少,每年常规的再教育培训针对性不强,实际效果不尽如人意,复合型会计人才十分匮乏,这些都给网络环境下的会计信息化内部控制带来严峻挑战。三、措施建议1。增强内控风险防范意识,加强系统内部控制,既是防范计算机犯罪的重要措施,也是减少差错的有效保障。网络会计信息化无疑是会计发展的必然趋势。身处全球开放、竞争激烈的“地球村”,会计内部控制的风险只会变得更加复杂,尤其是会计信息安全更容易受到威胁。社会上反复出现的计算机和网络犯罪,使我们清醒地认识到加强和完善会计信息系统内部控制的重要性。各级领导、会计部门和信息化部门不能简单地认为使用信息化管理软件就能保证会计信息的真实、准确、有效。要绷紧会计信息内部控制这根弦,形成防范风险从我做起的意识,从而建立网络控制和软件部分控制、投入控制、运行控制、保密控制、监督控制等内部控制措施。2.建立可行的信息系统内部控制制度健全的会计信息系统内部控制制度是会计活动必要的基本条件。例如,《会计法》对内部会计控制制度的描述是:明确职责、相互制约、严格程序、如实记录、定期检查。《会计电算化管理办法》明确规定,要有严格的运行管理制度、严格的软硬件管理制度、严格的会计档案管理制度。规范性会计信息化规定包括财政部等五部委联合印发的《企业内部控制配套指引》。财政部、国家标准化委员会提出了基于企业会计准则的可扩展商业报告语言(XBRL)通用分类标准、XBRL技术规范系列国家标准等建议,2012年4月,财政部副部长王军在全国会计管理工作会议上谈到完善会计信息化标准体系时表示,一是要建立健全以企业会计准则统一分类标准为核心,门类齐全、功能完善、国际领先的会计信息化标准体系。二要构建全国统一、便捷的会计信息管理平台。三要运用“云计算”等先进信息技术,建立健全网络环境下的会计信息编制、使用、监督、评价体系。以上列举的只是财政等部门的总体规划、规定和要求。由于每个企业的实际情况千差万别,企业管理情况及其对会计信息的要求、财务管理操作规程、配置的信息软件和系统环境、人员素质以及自身对内部控制目标的要求等各不相同,因此具体的信息系统管理措施也不得不量体裁衣。比如,在会计机构设置和会计人员职能的控制上,人员岗位是否分为基础会计岗位和信息会计岗位,再比如,对易产生经营风险的岗位是否实行双重身份认证或电子签章制度,这些都需要根据企业自身特点制定,而不是照搬照抄现有的内控制度或其他单位,否则在具体实施过程中,会因制度的不完善而导致人员流失。学位本身过于理想化或不适宜实施,甚至不可能。3.既有制度又有执行的纯制度建设,如果得不到有效执行,就会形同虚设。信息系统运行维护的关键控制包括:及时跟踪、发现和解决运行中存在的问题,确保按规定程序和制度持续稳定运行;遵守操作流程,不擅自删除、修改系统软件,不擅自改变软件系统环境配置;常规安全检测、网络安全监控、链接加密、网页恢复维护;综合利用防火墙、路由器等网络设备,防止来自网络的攻击和非法入侵;对关键信息设备做好定期备份、定期巡检,指定专人定期更改操作密码;实行在线监管与实地监管相结合,加强会计信息披露,确保会计信息数据安全。以上要点必须按照企业制定的信息系统内控制度不折不扣地执行,因为再好的制度也只是没有执行力的“一纸空文”。4.加强审计监督虽然会计信息化实际上在内部控制方面开展了一些审计工作,但是,网络和计算机系统的操作往往是一种特殊的“人机”对话形式。因此,强调内部审计的监督职能,不仅是因为它是内部控制制度的重要组成部分,更是网络信息环境下会计实施内部监督的有效手段。审核内容包括:信息系统数据的合法性、真实性、安全性;业务流程和操作规程是否安全可靠;财务组织管理制度和人员职能控制是否健全,会计信息系统内部控制措施是否适当完善等,网络环境下的会计信息审计必须使用更为复杂的鉴证技术。只有精通计算机网络知识、熟悉审计业务程序的人才能够胜任这项工作,这无疑增加了内部审计的难度。设有专门内部审计机构和审计人员的企业,应独立行使“啄木鸟”权。一般在审计人员数量和能力有限的情况下,企业可以聘请相关专家协助审计米。5.注重人才培养和建设信息化,大大减少了会计业务层面的操作人员,但同时需要大量高素质的财务信息分析人才。正因为如此,网络环境下会计信息运作的成功与否和内部控制实施效果的关键因素是人才。《会计人员资格管理办法》明确规定,会计信息化是会计人员的必修课。要制定符合实际的培训计划,将培训结果与财会人员绩效考核挂钩,定期对相关人员的工作能力和业务技能进行评估,营造和谐向上的企业文化氛围。会计人员职业道德建设和信息技术技能培训只是人才建设的基础层次。更高层次的人才培养是适应新技术发展要求,引进熟练运用信息技术的新型会计人才,致力于培养复合型人才。网络管理时代,一般会计人员必须具备会计知识和计算机知识,业务主管人员则要熟悉整个会计信息处理过程,能够对整个信息系统进行监控和指导。同样,审计人才的培养和素质提升也要与时俱进。4.结论综上所述,会计因经济发展而产生,因技术更新而进步。随着网络电子技术、物联网技术等高新技术的快速发展,会计信息化的普及程度越来越高,网络环境下企业内部会计控制的新问题、新课题将不断涌现。只有强化风险防范意识,着力人才培养,提高会计人员和管理人员素质,加强审计监督,不断完善和有效执行会计信息系统内部控制制度,才能确保网络环境下会计信息的真实、完整和可靠,为企业做出正确决策提供有效信息,确保企业获得可持续发展。[参考文献][1]曹国强:企业信息化进程中财务软件发展分析[J].会计师,2012(5)。[2]王慧,洪辉:物联网时代会计信息化发展探析[J]事务与财务,2012(1).[3]于春旭:建立健全报社会计电算化内部控制制度[J].城市党报研究,2011(1).[4]万希宁,郭伟:会计信息化[M].华中科技大学出版社,2009.(作者单位:无锡日报报业集团)
相关课程推荐
