试论会计信息系统运行阶段风险与控制.docVIP

试论会计信息系统运行阶段的风险与控制 　　【摘要】 基于信息技术建立起来的会计信息系统，从其构建开始一直到寿命结束都面临着各种风险。本文对其运行阶段面临的风险以及应采取的控制目标进行了分析和探讨。 　　【关键词】 会计信息系统；风险；控制 　　 　　一、基本概念 　　 　　（一）会计信息系统风险 　　风险概念至今并没有一个统一的、严格的定义，不同的理解下，风险概念的内涵和外延是不同的。为了分析问题方便，本文将风险看成是导致一个组织或机构不利事件发生、遭受损失的可能性。 　　会计信息系统风险：是指会计信息系统分析、设计、实施、运行、维护直到寿命期结束系统报废的全过程面临的风险。其中在运行阶段，会计信息系统面临着由于人为的或非人为的因素导致的系统运行正确性、可靠性、安全性以及运行效率等多方面的风险。由于信息系统的正确性、可靠性和运行效率主要取决于分析、设计阶段而非运行阶段，因此本文对会计信息系统风险的分析，主要指会计信息系统的安全风险，会计信息系统控制也主要针对安全风险。 　　（二）会计信息系统安全风险 　　会计信息系统安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱，从而造成损失的可能性。会计信息系统风险具有以下特点： 　　1．隐蔽性强 　　会计信息系统风险的隐蔽性主要表现在以下几方面： 　　（1）舞弊的手段更具隐蔽性。通过使用计算机及通讯设施等高技术工具，作案人不用亲自到现场就可以完成犯罪活动。 　　（2）系统受到侵害后，不易被发现。由于所有的数据和程序都是以电子文件存储，数据文件受到篡改后可以不留下任何像手工业务处理下的笔迹、涂改、伪造之类的痕迹，同时由于数据存储在磁盘、光盘、胶片之类的信息媒体上，人的肉眼无法直接识别，因此，即使数据文件的内容已经有非法更改、程序已经有变化，操作者也难以发现；同时，操作者通过计算机读出的信息与媒体上存储的信息并不完全等同，即存在着输出的数据是正确的，而数据文件中存储的数据有问题的可能，使错弊难以被发现。 　　（3）错误和舞弊人员不易被发现。无论是系统的合法用户还是非法破坏者，由于手段的隐蔽、作案后留下的线索和痕迹较少、系统内外部人员相互勾结以及远程破坏等原因都使系统安全遭到破坏后难以及时发现错弊者。 　　2．风险损失及后果严重 　　（1）由于难以及时发现,错弊可以反复多次出现而不被察觉,一旦发现,已经损失巨大。 　　（2）由于计算机病毒、黑客等不仅威胁数据甚至破坏程序、硬件系统等,可以造成单位计算机系统的瘫痪,系统难以恢复,从而导致数据丢失或系统无法进行正常业务处理，造成巨大损失。 　　（3）如果企业经营决策信息、技术机密、其他保密数据等重要信息被泄露的话,其损失和影响将难以计量；此外，由于水灾、火灾、地震等破坏性自然灾害造成计算机系统破坏，数据丢失，其后果严重。 　　3．舞弊手段和方法先进。网络环境下，由于各种信息都存储在非纸质媒体上，除非直接窃取或破坏有关媒体(如盗窃存放数据、程序、重要资料的软盘、撕毁原始凭证等)，舞弊基本上都利用计算机、通讯设施等现代化工具通过修改软件、非法接入硬件、破坏传输系统、释放病毒、黑客袭击等隐蔽的方法和手段达到非法目的。比如：在网上设置陷阱，在用户不知不觉中截获用户密码，然后以合法身份进入系统进行非法操作等。 　　（三）会计信息系统控制 　　会计信息系统控制是指为了保证会计信息系统的正确性、可靠性和安全性，提高会计信息系统运营效率，确保会计信息的准确可靠，利用各种手段和技术，对会计信息系统实施管理和控制的过程。 　　会计信息系统控制的对象是信息系统，由计算机硬件和软件资源、应用系统、数据和相关人员等信息系统的组成要素构成。 　　会计信息系统控制的根本目的就是在信息系统风险分析基础上消除或降低风险危害。其控制目标主要有以下几点： 　　1．及时提供正确的、完整的、可靠的和合理的会计信息。 　　2．保证会计处理符合会计制度和会计原则的要求。这就要求无论在设计阶段还是运行阶段，都必须建立适当的内部控制体系，确保系统及其所处理的经济业务合规、合法。 　　3．保护资产和资源，提高系统的安全性。 　　4．提高系统效率和效益，提高企业的竞争能力，辅助管理者提高管理决策的正确性。 　　 　　二、会计信息系统风险分析 　　 　　会计信息系统是一个复杂的系统，本文将会计信息系统的风险因素归纳为技术、应用和管理、舞弊几个方面。 　　（一）信息系统固有的脆弱性和缺陷 　　信息系统的组件在设计、制造和组装中，由于人为和自然的原因，可能留下各种隐患。如网络传输速度，服务器等硬件设施的稳定性和运行速度，软件设计中的缺陷，不同信息子系统的接口等。 　　1. 硬件的脆弱性 　　信息系统硬件组件的安全