时间:2020-05-26 作者:胡奕明 刘育青 (作者工作单位:厦门大学会计学系)
[大]
[中]
[小]
摘要:
计算机技术在会计领域的广泛应用,给会计信息处理带来了深刻的变化,使之更为及时、准确和高效。但同时也给会计信息处理带来了新的风险。如何识别、控制并减少这类风险,是保证会计电算化系统安全、高效运行,保证会计信息准确、及时和完整的关键。在本文中,我们将着重讨论会计电算化系统下出现的一些新的风险,并探讨相应的风险控制措施。
一、职责集中所带来的风险及其控制
在会计电算化系统中,数据处理过程的程序化,使许多在手工会计方式下的数据处理职责都汇集到会计电算化应用程序中,如业务数据的输入和审核都集中在会计应用程序中,这给会计信息处理带来了诸多风险。例如,当企业的全部会计数据资料均集中在计算机数据处理部门时,如果不采取适当的控制措施,任何人未经许可都可以接触这些数据文件,那么,这些数据就很有可能被篡改,一些重要信息也可能被泄露。再如,尽管程序中对业务数据的输入、审核和处理有严格的审核控制步骤(即只有通过审核的数据方可进行输入和处理),但倘若这一过程是由一个人来完成的,那么就很难保证交由计算机处理的数据中不包含错误或虚假的业务数据。
要避免这类风险,首先应设立适当的组织机构,并进行恰当...
计算机技术在会计领域的广泛应用,给会计信息处理带来了深刻的变化,使之更为及时、准确和高效。但同时也给会计信息处理带来了新的风险。如何识别、控制并减少这类风险,是保证会计电算化系统安全、高效运行,保证会计信息准确、及时和完整的关键。在本文中,我们将着重讨论会计电算化系统下出现的一些新的风险,并探讨相应的风险控制措施。
一、职责集中所带来的风险及其控制
在会计电算化系统中,数据处理过程的程序化,使许多在手工会计方式下的数据处理职责都汇集到会计电算化应用程序中,如业务数据的输入和审核都集中在会计应用程序中,这给会计信息处理带来了诸多风险。例如,当企业的全部会计数据资料均集中在计算机数据处理部门时,如果不采取适当的控制措施,任何人未经许可都可以接触这些数据文件,那么,这些数据就很有可能被篡改,一些重要信息也可能被泄露。再如,尽管程序中对业务数据的输入、审核和处理有严格的审核控制步骤(即只有通过审核的数据方可进行输入和处理),但倘若这一过程是由一个人来完成的,那么就很难保证交由计算机处理的数据中不包含错误或虚假的业务数据。
要避免这类风险,首先应设立适当的组织机构,并进行恰当的职责分工。会计电算化部门就是一个根据“职责分工”这一内部控制的基本原理建立起来的,专门负责电子数据有关事宜的部门。它在很大程度上确保了会计电算化部门和业务部门之间的职责分离。其次,为保证不相容职责由不同的人承担,并保证一个人对其他人的工作进行检查,会计电算化部门内部必须作以下的职责分工:(1)系统设计与编程;(2)上机操作;(3)输入、输出控制和安排;(4)档案资料的保管。与上述控制措施相应的人员或组织通常还包括系统分析员、程序员、操作员、控制小组以及中心资料库等。
二、系统开发中的风险及其控制
系统开发能否成功,计算机技术的运用是否得当,开发出的系统是否具有一定的可扩展性,是否能够适应企业未来发展的需要,以及开发过程是否会引入一些错误的、甚至是具有舞弊动机的程序等,是会计电算化系统开发或策划过程中所面临的主要风险。
要防止这类风险,必须在会计电算化系统开发时建立一套严格的管理控制机制:
首先,应订立一个全面、完整的开发计划,其内容主要包括目标、系统的整体结构、开发方式、组织结构和管理体制、确定工作阶段和开发进度、费用预算以及人员培训与配置等;其次,必须经过一定的审批手续才能开始进行系统开发;第三,系统在正式投入运行之前,应经过充分的测试,办理合法的审批手续;第四,系统维护和程序更改应有合法的审批手续,修改后的程序应经过必要的审批和充分的测试方可进入系统;最后,在系统开发、测试和审批过程中应保留完整的文档资料。
三、数据存贮方式发生变化所带来的风险及其控制
在会计电算化系统中,除了部分原始数据和打印输出的报表之外,绝大多数数据是以机器可读的形式存贮在各种磁介质(磁带、磁盘)上的,数据存贮介质的这种特点给会计电算化系统带来的风险主要有:(1)磁性介质上的信息,一般缺乏证据能力。这表现在:①磁性介质很容易通过拷贝进行数据复制,没有正副本之分;②磁性介质储存的信息具有不可视性,即必须通过计算机转换为可视的、且可为人所理解的形式,但同一信息却可转换成不同的形式;③利用磁性介质难以实现像签字、盖章那样证据化的操作;(2)对磁性介质上的信息进行修改可以不留任何痕迹,这给察觉和防范舞弊行为造成了一定的困难;(3)磁性介质本身易受周围环境的影响,数据信息的安全性较低。例如在受热、受潮、弯曲或强的电磁场影响下,磁性介质会出现一定程度的物理损害,导致其存储的有关数据信息丢失或损坏。
上述风险可通过以下措施加以控制:(1)接触控制。接触控制能保证会计电算化各项资源的正确使用,因为大多数错误或故意破坏必须在与会计电算化系统发生接触后才能得逞。为了防止各种存贮磁性介质遭破坏,必须实行接触控制,即把对数据存储介质的接触限制于有关的会计电算化工作人员;(2)环境控制。由于会计电算化系统中的各种存贮介质受环境因素的影响很大,因而须将其保存在能防高温、防潮、防霉和抗强磁场干扰等的环境中;(3)后备控制。为在系统遭到破坏或出现故障后能够迅速恢复处理,重建被毁数据和程序文件,必须设置一些预防性控制措施。常见的这类措施有:①将有关数据文件、程序文件或其副本保存在安全的地方;②配备一定的备用设备,如备用电源等;③将重要文件以“祖—父—子”的形式保存,以便数据恢复。
四、软硬件系统存在的风险及其控制
通常,计算机硬件生产厂家和软件制造商为了减少故障、保证系统工作的可靠性,使用了诸多的控制技术。此外,会计应用软件也在诸如输入、处理和输出等方面设计了许多控制环节。但是,硬件和软件仍存在以下几个方面的风险:(1)软硬件系统失灵。硬件失灵原因可能是多方面的,如机械故障、零件或元器件损坏、电器短路或断线、以及接触不良等。软件失灵则可能是因为软件本身不完善、程序中包含错误、操作出错、以及各类软件之间产生冲突等等;(2)数据文件和程序文件因遭到软件攻击而被破坏。最典型的情况是遭到病毒破坏。病毒会破坏数据和文件,扰乱系统的正常工作,甚至导致整个系统瘫痪;(3)硬件和软件中的控制失效。不良的人员组织和操作会削弱这种控制,如在软件中原本授权由不同人员来完成任务改由一个人完成;(4)系统被非法访问、偷盗和毁损等。
针对上述风险,会计电算化系统应采取的控制包括:(1)系统开发中对各类资源的合理选择和安排,即在开发会计电算化系统时就考虑各类软硬件资源之间的协调和配备,其目的在于避免各类软件之间的冲突,也可减少不必要的重复;(2)定期进行维护与检测,如定期检测和更换易损坏的元器件、检测软件系统的运行状况等,有时还需要对系统中的控制进行不定期的审查,以防系统中的控制机制被篡改或被绕过;(3)规范上机操作,建立一套健全的环境安全控制制度,包括对病毒入侵的防范、接触控制和系统日常运行的环境安全控制等;(4)在应用程序中设计相应的处理控制,包括:①对数据有效性和处理有效性进行检测,如检验数据的逻辑合理性以及处理结果是否符合相关的会计制度等;②对错误的处理结果进行纠正;③尽量保留审计线索;④采用断点技术,以便及时判断发现错误原因,并监督一些重要数据的处理等等。
五、运用网络技术所带来的风险及其控制
对网络系统而言,除了上述软硬件风险外,在通讯和互连过程中,还存在以下几个问题:其一,从技术上讲,任何传输线路都有可能被窃听,因而信息可能在通讯线路上被泄漏。如使用公共交换网的大型会计电算化系统,其无线通讯传输可以通过天线接收被窃听;其二,通讯传输中的干扰与噪声,系统硬件或软件的差错,还有各种人为的破坏(如篡改信息的内容、形式或流向等)等等,都有可能导致互连网络中信息传输不完整;其
三,网络不能提供及时服务或者不能正常运转,其原因包括网络资源可能被非法占用,网络通讯可能被切断或阻塞,电脑病毒的存在还可能会降低网络的工作性能甚至导致网络瘫痪,等等。
为控制上述风险,可在网络中相应地采用以下控制措施:(1)给网络中的数据加密。加密控制的关键在于密钥的管理。通常,密钥管理可采用多项密钥体制和密钥中心管理方式。密钥需要定期更换,密钥的产生、传递和销毁需要在严格的监督控制下进行;(2)对网络端口进行保护,以防止对系统的非法侵入。这种保护主要由各种端口保护硬件设备和有关软件来实施;(3)实施主体验证(即对终端或用户进行验证),以保证信息交换的可靠性。用户使用的标识可是口令、密码、磁卡、指纹和签字等。同样,主体验证的关键也在于标识的严格控制和管理。
六、数据输入、输出中的风险及其控制
计算机处理结果的准确性和可靠性的基础是输入数据的正确、完整和合法性,但数据在输入过程中,却经常出现这样一些问题:①送交计算机处理的数据不真实、不完整;②在将待处理数据变为机器可读形式的转换过程中发生错误、重复、遗漏或非法变动等;③错误的原始数据未作及时更正,或虽已更正但并未重新输入。
为了防止上述错误的发生,往往需要对应用系统采取适当的输入控制,如原始数据审核、记录计数控制、整批控制、两次录入控制、顺序号检查、合理性和极限检查、逻辑运算检查、数据类型检查以及错误更正控制等。
另一方面,在数据输出环节可能出现的错误主要有:①送给用户的输出资料不正确或不完整;②送给用户的输出报表不易懂;③报表送给无权授受报表的单位或个人;④输出结果没有或未及时送达用户。
输出控制就是针对上述可能发生的输出错误而设计的。因此,在输出时应尽量按照用户的要求设计输出格式、输出方式及内容,并将输入总数与输出总数加以核对,审核输出结果,以检查其正确性、完整性和合理性;同时,在传送报告时规定只能将报告送给有权接受者。此外,还应建立报告报送登记簿、输出错误纠正和重新提交处理等有关规程,并要求控制人员加以严格执行。
责任编辑 刘志新
相关推荐
主办单位:中国财政杂志社
地址:中国北京海淀区万寿路西街甲11号院3号楼 邮编:100036 电话:010-88227114
京ICP备19047955号京公网安备 11010802030967号网络出版服务许可证:(署)网出证(京)字第317号