摘要:
一、网络环境下会计信息系统面临的风险
与传统的手工、单机电算化会计信息系统相比,网络化会计信息系统呈现出以下新特征和新风险,对传统的内部控制体系提出了新的挑战。
1.内部控制要点的变化。网络环境下,会计信息系统的报表生成、账务处理等均由网络内的终端计算机甚至后台集中式主机或服务器自动执行、验证、试算平衡、对账以及检查勾稽关系,与本单位之内本部门之外的、本单位之外的外部系统或外部网络自动对接并处理业务。内部控制要点从单个部门扩展到处于同一网络内的所有相关部门,甚至扩展至企事业单位的外部;从对手工处理的控制,转变为对系统自动处理业务的控制,以及对人机交互、人网交互的控制;从实物凭证、单机数据的保管保密,转变为网络内全量数据的保管保密;从简单的财会人员内部控制,扩展到管理信息系统人员、科技开发人员的内部控制。相比传统手工和单机电算化环境,网络环境下的会计信息系统在极大提高会计工作效率和会计信息处理能力的同时,其内部控制的复杂程度大大增加,内部控制要点的覆盖范围也大大扩展。
2.网络开放风险。网络环境下,会计信息系统中多个模块、主体、部门互联互通并高度开放,企事业单位内部局域网...
一、网络环境下会计信息系统面临的风险
与传统的手工、单机电算化会计信息系统相比,网络化会计信息系统呈现出以下新特征和新风险,对传统的内部控制体系提出了新的挑战。
1.内部控制要点的变化。网络环境下,会计信息系统的报表生成、账务处理等均由网络内的终端计算机甚至后台集中式主机或服务器自动执行、验证、试算平衡、对账以及检查勾稽关系,与本单位之内本部门之外的、本单位之外的外部系统或外部网络自动对接并处理业务。内部控制要点从单个部门扩展到处于同一网络内的所有相关部门,甚至扩展至企事业单位的外部;从对手工处理的控制,转变为对系统自动处理业务的控制,以及对人机交互、人网交互的控制;从实物凭证、单机数据的保管保密,转变为网络内全量数据的保管保密;从简单的财会人员内部控制,扩展到管理信息系统人员、科技开发人员的内部控制。相比传统手工和单机电算化环境,网络环境下的会计信息系统在极大提高会计工作效率和会计信息处理能力的同时,其内部控制的复杂程度大大增加,内部控制要点的覆盖范围也大大扩展。
2.网络开放风险。网络环境下,会计信息系统中多个模块、主体、部门互联互通并高度开放,企事业单位内部局域网大规模协作或与单位外部网直接对接,实现网上记账、网上审核、网上审批、网上转账、网上资金调度、网上报表处理等,会计信息的存储、传播和使用在理论上和技术上更具开放性,共享更便利,信息更全面。但是,企业财务隐私也因此更容易被网络内部甚至外部人员接触或获得,更容易被侵入、窃取、修改甚至控制,关键机密信息的泄露风险增大。
3.全局传染风险。全局传染风险是与网络开放性风险相关联、但侧重点不同的另一类风险。网络环境下,某个环节出现问题,会快速传递至整个系统和网络,问题快速蔓延之前采取补救措施的时间非常短暂;整个会计信息系统牵一发而动全身,问题可能快速传播至网络内的其他服务器、子模块和业务系统,影响整个网络的正常运行,甚至放大成无法控制的全局性问题;计算机病毒从某点侵入,可能快速传播蔓延至整个网络,甚至造成整个网络瘫痪。
5.会计模型风险。网络化环境下,会计核算在更大范围上依靠计算机系统自动核算,各个业务模块自动化协作进行会计业务处理,因此,往往在最终输出会计结果时才会发现错误,缺少提前预警和纠错的机会;在发现相关错误结果后,由于中间过程环节全部是由财务模型或计算程序自动计算、执行,会计信息系统的一般用户只能求助于后台信息系统管理人员甚至是科技开发人员;网络化会计信息系统的各个业务系统、子模块、网络环境、业务流程错综复杂,问题排查难度大,需要逐行检查程序开发命令语句,逐层分析系统开发架构,逐个检查相关子系统的各个业务细节和技术细节。
6.相关操作风险。网络化会计信息系统要求更高,但会计人员水平不达标、专业知识培训不到位,可能产生错误操作或对出现的问题错误应对;相关设备使用不当、网络环境维护不到位、防火防灾防盗措施落实不力,可能导致会计信息系统的软硬件运行出现问题;会计信息系统的参数设置不正确,用户权限管理不完善,可能引发较大负面影响。
二、改进网络环境下的会计信息系统内部控制
1.扩展内部控制责任部门。与传统手工环境和单机电算化相比,网络环境下,管理信息系统部门和科技开发部门承担的角色更加重要,在内部控制的新增部分中应承担更大的内控权重。应针对财会部门、管理信息系统部门、科技开发部门制定相应的内部控制制度、要点、权责及实施要求,三部门应共同参与、各司其职、密切配合、同步控制,依靠各个相关部门的密切协作来实施有效内部控制;如有必要,可成立由相关部门成员参与的会计信息系统内部控制委员会专司协调推进事宜。
2.补充增加新的内控要点。针对网络环境下会计信息系统的新特点,可补充如下内部控制要点:数据输入、结果输出、系统稳定、系统连接、程序开发正确性;系统开发人员、系统管理人员、系统使用人员的前中后台不相容岗位分离;系统操作合规性、用户权限合规性;网络数据的保密性,数据使用的授权、合规、加密传播、加密储存、加密恢复;等等。
3.建立防火墙和问题阻隔机制。针对网络开放风险和全局传染风险,必须设立相应内部控制机制。内部不相容岗位可全面移植到网络化会计信息系统中,不同部门之间建立适当的防火墙,在合理设置相互制约机制的同时,防止交叉泄密和不必要的作业干扰;对外部接入的网络,区分不同情况使用加密防火墙等软件隔离或更加严格的硬件物理隔离;借鉴美国股市的“绿鞋机制”,在会计信息系统网络任何一点出现问题时,可由系统自动启动问题阻隔机制,将问题限制在一定范围之内,避免快速传播、放大到无法控制的局面,影响系统全局运行。
4.改进数据存储、保密及应用机制。针对数据存储风险,必须建立一整套严格、科学、合理的内部控制制度。一是高标准的数据存储要求。按照高等级要求设定数据存储标准,采用优质存储设备,保持恒温、恒湿、通风等良好存储条件,制定严格的数据存储程序,保障重要数据及时存储。二是高标准的数据保密要求。会计信息数据生成后,采用安全的加密机制进行传输,根据会计信息系统用户等级设置不同的数据查看、打印、另存、应用、修改权限,对重要数据传输进行高等级加密,规范数据存储介质,严格控制个人设备、移动设备存储关键敏感数据,并对保密制度的执行情况按期进行现场和非现场检查。三是科学的数据检索和应用架构。海量的会计信息如不能高效检索和应用,相当于数据丢失和损坏。应事先规划、设计好科学的系统架构和数据库结构,应用先进技术实现对海量数据的科学分类、存储、检索、提取和应用,并确保应用的会计数据质量,避免出现数据错误和遗漏,最大限度挖掘会计数据的价值。
6.有针对性地防范新增操作风险。一是实行计算机与人工双线控制。针对关键环节可能出现的手工操作风险,通过计算机实现系统硬控制,例如参数设置或会计数据明显不合理时,可通过系统自动予以判断、识别、提醒和拒绝;对于明显的用户权限混用,系统自动予以拒绝操作。同时,不能放弃人工用户的主观能动性,不能简单地依赖计算机系统自动处理业务,要培养系统操作人员依靠经验性的财会常识随时识别系统运算错误。二是制定科学的应急机制。网络化会计信息系统一旦出现问题,可能导致大面积系统崩溃或损失,必须制定应急预案、问题排查预案、过渡期手工处理预案、数据恢复预案、调账预案,确保发生故障后能够及时排查、平稳过渡和全面恢复。三是有针对性地完善人员培训。财会人员、信息系统管理人员、科技开发人员不仅要精通本专业相关内容,还要熟练掌握跨专业内容;相关参与人员应提升参与领域的业务素质和能力,培训不合格的人员不能上岗;系统升级后还应及时对在岗人员进行后续培训,确保各个岗位掌握最新操作要求。
责任编辑 刘霁