会计信息系统建设中风险控制与防范

董 君

【摘要】企业运营大多依靠信息系统的支持，而企业信息系统尤其是会计信息系统是否安全可靠已成为企业内部控制和风险防范的重要内容。因此，在进行会计信息系统建设的过程中，必须重视外部监管要求，并借鉴信息系统审计的风险控制思想和标准，加强风险控制与防范。

【关键词】会计信息系统；风险；控制；防范

一、什么是会计信息系统

在我国，学者们经过研究和讨论，普遍认为会计是经济管理的工具(即：工具论)，它服务于管理者的需要，这也与当时的整个社会政治气氛相适应。后来一些学者开始尝试介绍、引进西方会计理论的观点，认为会计是一个以提供财务信息为主的经济信息系统的观点，逐步被学术界所接受。并与管理活动论共同列为我国有关会计本质讨论的两大主流派观点。

信息系统论有关会计基本理论的观点，都是围绕信息论和系统论展开的。由于系统论强调目标是系统存在和运行的前提，因此会计信息系统自然要有一个目标。这个目标就是提供以财务系统为主的经济信息。在信息提供的内容和对象上，存在决策有用性和受托责任观之争。前者认为，会计信息系统应该向同在的和潜在的投资人(债权投资人)提供他们进行投资决策所需要的信息；后者则认为，会计应以向现在的投资人提供反映管理当局受托责任履行情况的信息为主。在信息质量特征上，决策有用性要求所提供的信息应与决策有着直接的相关性；而受托责任观认为，反映报告主体经济活动的真实性是首要的标准。关于会计的职能，信息系统论认为以提供信息为主的反映是最主要的职能，监督是次要的、派生的职能。关于会计对象，信息系统论区分了反映、控制的对象和直接处理的对象。前者是企业经营活动中可以用货币表现的方面，即资金运动；后者是指经营资金运动过程所发出的信息。信息系统论将整个会计程序分解为确认、计量、记录和报告四个环节，认为确认是对各项经济活动的数据按会计要素的本质特征记入会计系统，它包括初始确认和再确认两个步骤：将各具体经济业务对各会计要素的影响按其货币单位予以量化，就是计量。在具体价值计量时，存在历史成本、公允市价等不同选择；记录是运用复式簿记方法对各经济活动进行具体地反映，按操作手段的不同，分为手工操作系统和电算化操作系统；会计系统最终的信息输出，就是报告。目前的报告主要由通用报表组成。

信息系统论是社会发展到一定阶段，信息论、系统论等工具性学科广泛应用，同时电子计算机也得到普及后，人们对会计认识深化的，必然结果。它在一定阶段、特定的环境下，体现了会计的本质特征。以信息系统化为核心所形成的理论和方法体系能适应具体社会环境的要求。但是，社会在不断变化、发展，人们的认识也在不断提高，可以肯定未来人们对会计本质的认识，将会在信息系统论之上有所发展。

二、会计信息系统安全的主要因素

影响会计信息系统正常运行的因素很多，主要归纳为以下三个方面：

(一)自然因素

火灾、水灾、地震等自然灾害对系统软硬件设备的破坏，对会计数据的安全造成威胁。如：高温会影响磁介质的性能，从而造成数据的丢失；房屋出现漏水现象，造成线路短路，会对系统造成毁灭性的危害。

(二)设备因素

1硬件因素。计算机硬件技术性能不可靠或故障对会计信息系统造成破坏性影响。如：硬盘损坏可能使存在其中的会计信息荡然无存，服务器一旦出现问题，将导致整个工作组网络瘫痪等等。

2软件因素。一般说系统软件运行稳定，故障不多，而且一般不会破坏系统信息。问题主要来自应用软件。因为在应用软件的研制过程中，由于研制人员所考虑的问题不是十分的全面、科学，致使实际工作中的一些情况与之不能吻合，容易出现差错。如：现有的大多数会计应用软件系统在设计、开发阶段，普遍存在着系统需求中安全需求少、软件设计重功能轻安全的现象。软件设计选用的语言和数据库考虑安全性能少，以至软件投入运行后暴露诸多安全隐患，如数据库呈开放状态、易于打开、应用系统软件存在安全问题等。

(三)人为因素

一是计算机维护不当因素，如计算机维护人员由于工作失误，未做好系统备份，导致软件数据无法恢复；二是实际业务操作不规范因素。主要表现在会计人员工作素质不高，操作出现错误，导致计算机死机或数据丢失；三是为达到某种非法目的而对系统进行的蓄意破坏；四是通过非法修改程序达到作弊的目的或利用计算机信息系统进行犯罪活动。

三、会计信息系统的安全保护措施

(一)针对自然因素的保护措施

将计算机系统安放在安全可靠通风良好的地方，防止天灾人祸的破坏。要注意提供一个良好的机房环境条件：如防潮、防水、防尘、防震、防静电，机房的环境温度宜在15-30度之间。

(二)设备因素的保护措施

1配备可靠的硬件资源。会计信息系统有以下几种特性：保密性、连续性、历史性。从保密性的角度看，在网络上应配置具有较强功能的防火墙设备，还应对用户设置相应的权限。从连续性及历史性的角度来看，应有足够的保证系统数据安全存储的配置。

2配备具有后续支持的软件。对于会计软件，其后继支持主要在于具有升级能力和处理突发事件能力。这些能力当然应由系统管理者负责实现。由于操作平台的更新，如DOS更新成window平台，单机系统更新成网络系统。会计软件势必作相应的升级，才能保证整个系统畅通运行。另外还应加强财会人员的素质，定期对财会人员进行培训，提高财会人员的操作水平，最好能够在会计工作人员中训练出两三个业务尖子，然后带动全体财会人员的技术水平。

3建立安全的运行环境。安全的环境设计分为两个部分。一部分为系统所处的位置。计算机所处的位置应当是具有安全性的，如应在所在位置设置摄像头等监控设施。第二部分为计算机网络环境的设计。如：操作权限等等。

4加强数据的保密。数据保密的方法可以采用供销码核对、特征识别、存取权限等，另外还可以考虑硬件加密、软件狗或把系统作在芯片上加密等机器保密措施和专门的管理制度，另外还可通过对财会工作人员分别设置不同的代码及密码，加强对工作人员作弊或破坏财务数据的监控等。

5建立防病毒措施。可以采用如下控制措施：在网络服务上采用防病毒卡或芯片等硬件，能有效防治病毒；财务软件可挂接或捆绑第三方反病毒软件，加强软件自身的防病毒能力；安装正版的杀毒软件，定期升级并对计算机进行杀毒，有外来设备如U盘等与硬件相连接时，应先进行杀毒，在工作系统中不得安装游戏软件等可能携带病毒的相关程序。

四、会计信息系统建设中应加强内控和风险防范意识

在会计信息系统建设中，加强内控和风险防范意识是控制会计信息系统风险的关键，而在此过程中，应树立有效、健全的信息系统内部控制的一些基本理念。

(一)将业务控制要求嵌入到会计信息系统中

信息技术的应用特别是信息系统和网络技术的应用对企业的内部控制制度的建设有较大的影响：包括内部控制的观念、内涵、重点、实现手段等。在建立信息系统时，随着企业业务流程自动化程度的提高，对业务的传统控制活动逐渐被嵌入到计算机程序中。计算机代替员工来完成对业务的各种控制，业务控制的有效性依赖于信息系统的安全性、可靠性和有效性。也就是说，传统的业务控制已经转变为信息系统中的一种自动的控制。因此，企业在进行会计信息系统的建设时，必须考虑、研究和设计内控过程的嵌入，以实现企业各业务流程、会计工作流程、信息流程和内控流程的集成。

(二)加强对会计信息系统本身的控制

1业务流程的自动化使得会计业务处理和控制的正确性和有效性。依赖于信息系统的一致性和完整性。

2信息处理和会计数据的集中化使得会计信息系统被破坏时所造成的损失不可估量。

3信息技术的特点决定了会计信息系统具有易被攻击的特点。所以，对会计信息系统进行有效控制是企业开展正常生产经营活动的前提和保障。

(三)管理层重视是会计信息系统风险控制的重要前提

有效的会计信息系统控制需要企业管理层的重视，许多人认为会计信息系统控制只是一个技术问题，应该由技术人员负责。事实上，会计信息系统控制需要企业上下各级组织机构和各类员工的参与，需要制定并实施严格的规章制度。如果企业管理层不能够充分认识信息技术的风险，不能给以会计信息系统控制足够的重视，企业对会计信息系统控制的投资不足。而且不能动员相关人员来重视和参与会计信息系统控制，各种关于会计信息系统控制的规章制度的实施将会遇到较大的困难，进而影响会计信息系统控制的有效性。