1、 会计信息系统论文网络会计信息系统的风险分析、管理以及风险的有效防范0 前言网络会计信息系统(Netation System NAIS)作为管理信息系统(MIS)的一个子系统,着重接收与处理既定的经营事项或交易所产生的各种资料,为企业内、外部使用者提供决策有用的会计信息。一方面信息系统使信息资源的作用得到极其充分的发挥,但另一方面也导致了众多不安全因素的潜人,也就是说信息系统通过对组织进一步的高层次集成可提高组织的工作效率和经济效益,但与此相伴的是受到严重侵扰和有被损坏的风险。即使安全专家出色地工作,也无法保证系统是无懈可击的。1 网络会计信息系统的风险分析电子商务是基于 InterIntra
2、Extra 体系使用的是开放的 CP/IP 协议,由信息流、资金流和物资流组成的一个开放的循环系统,尽管有防火墙、授权控制和密码等预防措施以保证系统的安全,但网络会计信息系统作为其中的一个子系统,与关联企业、供应商、客户、银行、税务相联通,大量的会计信息通过开放的 Inter 传递,故存在如前所述的信息系统所具有的风险。(l)虚拟会计账务风险:在基于传统会计方法的网络会计系统中,会计软件成为会计核算的重要工具,几乎任何一个会计软件都可以提供虚拟账务的功能。出于扩展功能的考虑,会计软件一般都能提供至少 9 套、最多 9999 套甚至更多的账务处理功能。多套账务处理功能是集团或系统内部财务管理网络
3、化的前提条件。假定某集团公司下属有若干分公司,若每一主体都独立地采用一套会计软件核算系统,则很难实现数据共享和网络数据传输,当分公司需向集团报送财务报表时,仍须以纸张或磁盘为介质,如此一来,网络会计的优越性就得不到充分发挥。因此,绝大多数会计软件都允许用户设置多个账套以满足同一集团或同一系统网络管理的要求。这样,不论该集团(企业 )有多少个分支机构,都只需购买一套财务软件即可。若某集团公司有 3 个会计主体,它可设置 3 套账。除此之外还可以建立多个虚拟账套,如模拟企业未来生产经营状况,以便作出生产经营预测;模拟投资收益状况,以作出投资决策; 按销售计划模拟销售状况以作出销售决策;向投资者提供
4、未来赢利能力预测。值得注意的是,会计软件的操使用虚拟账套也可能不是为了模拟未来的生产经营、销售、投资状况,而是区分对内账和对外账,即所谓的真账和假账,那么虚拟套账就为假账提供了制造途径。也许我们可以要求软件的销售商限制软件的账套数(并且完全可以做到) ,但通常销售商为了推销其产品,增强竞争力,一般都将软件可提供的账套全数奉送。(2)财务报告多元化风险:在以会计信息系统论为中心的现代财务会计理论中,财务报告的充分披露受到特别关注。但是,传统会计模式在信息披露方式、内容等方面都无法满足现代经济尤其是网络经济的要求。由于网络这一无限空间技术的存在,更多的企业内、外部信息使用者、决策者希望企业提供更具
5、特性化的财务报告。企业将像电视台一样制作不同风格的“节目”(财务报告) ,供不同口味的“观众”(信息使用者)选择,这也是财务会计基本理论中对会计信息相关性要求的具体表现。凭借现代网络通信技术,网络财务报告不仅能够短期报告会计分期至周、日、甚至小时,同时还可针对不同的信息使用者提供侧重点不同的财务报告:也就是说,在网络会计环境下,财务报告的编制不再是单一的,而是多元的;不再是按期的,而是随时的。网络财务的这一优越性同样可能成为企业编制虚假财务报告的手段,当企业针对不同信息使用者提供不同财务报告时,其目的不是为了体现会计信息的相关性,而是为了企业的某种特殊目的,如送给意向联营单位的是“如意表”,送
6、给开户行的是“高兴表”,送给税务部门的是“叫苦表”,企业留存的是“如实表”。如果说传统手工会计每月要提供这么多套报表还真有点勉为其难,那么在网络财务系统中,这些报表的编辑可以随时随地唾手可得。(3)原始凭证的淡化风险:原始凭证是会计核算的起点,也是记录大量经济业务发生的唯一凭据。在网络会计系统中,企业通过网络将采集数据的范围扩展到企业外部,如银行、客户、供应商,其采集数据可以通过网上交易、电子银行、网络结算中心来实现,因此,会计信息系统输人端的数据可以利用 EDI 技术会计信息直接从一台计算机传到另一台计算机,传统的原始凭证在现代网络财务环境中不再处于至关重要的地位。原始凭证在很大程度上限制了
7、制造假帐的可能,而当原始凭证不再成为会计核算的唯一凭据时,一方面扩大了采集信息的渠道,同时也为假账的制造者提供了新的空间。(4)历史数据更改风险:传统会计工作中每月的结帐都有很明显的标记,如果要修改已经结帐的记录,则只能通过红字冲销等方法更正,这是因为在现实生活中,我们不能要求时间倒转回去。但计算机里的时间却可以上下自如,比如当日历时间为 2000 年 1 月 1 日时,计算机里的账务时间既可以是 1990 年 l 月 1 日,也可以是 2010 年 l 月 l日,总之可以是合法日期中的任何一天。为了给不经意产生的错误以更正的机会,许多会计软件设计有“重新登账”功能,按照更改后的凭证重新登记的
8、账簿将覆盖更改前的账簿,相当于错误根本就没发生过。这为预谋更改账簿记录的人提供了方便。(5)操作权控制风险:传统会计中内部控制主要通过账证核对、账账核对、账表核对、账实核对等方法来进行。这些方法在网络会计中已经不实用,因为网络系统中所有的账簿和报表都是由计算机根据凭证记录自动生成的,几乎不存在账证不符、账表不符的情况。网络会计系统主要通过操作权限控制来进行内部控制,为每一不同职能的用户(如会计或出纳)设置不同的权限,通过口令或密码来控制各自的权限。这种方式的不足之处在于,一旦出纳知道了会计的密码或会计有了出纳的密码,则控制作用就会被解除,会计信息的真实性得不到保证。会计信息系统控制的对象是信息
9、系统,包括计算机硬件及网络、会计软件资源、应用系统、数据库和相关人员等会计信息系统的组成要素。业务控制的控制对象是依附于生产经营的资金流动过程,会计信息系统控制可以根据控制对象进行抽象和分类。这样的抽象和分类有利于对信息系统控制进行一般化的描述。会计信息系统的控制对象随着网络信息技术、数据处理技术和电子商务的发展水平和应用水平的变化而不断发展变化。一般而言,信息系统的内部控制必须遵循一些基本的原则,诸如交易授权、职能分割、作业监督、限制资产接近、交易记录和独立检验等。适用于企业会计信息系统的一般控制包括:组织控制、记录控制、资产问责控制、管理过程控制和资料处理操作控制。2 网络会计信息系统的风
10、险管理以上分析了网络会计信息系统的风险。对信息系统的单纯风险可以通过风险管理来降低风险所带来的损失;对会计信息的处理和传输风险可通过完善技术设施、加强内部控制来解决;对投机风险的产生可通过科学管理如建立财务预警系统来解决。会计信息的不确定性,从其根源来看有以下两种情形:一是不合法的会计信息失真,即会计信息的加工和处理违反了有关法律法规的要求;二是合法的会计信息失真,即失真的会计信息产生于合法真实的原始凭证,并且其依据的是合法合规的会计处理过程。对于非法会计信息失真,现行的法律法规基本能够予以约束,但对合法会计信息失真,目前还没有建立十分有效的监督机制。在网络会计中以上两种情形都有可能发生。值得
11、注意的是,由于网络会计环境及网络通信技术的应用,会计信息失真的形式更为隐蔽,使某些看似合法会计信息其实为非法会计信息失真。2.1 网络会计信息系统的风险预警模型风险预警模型如图 1 所示。它由以下 5 个部分构成:一是风险信息系统。该系统是整个预警系统的基础,其主要功能是搜集外部生存环境以及内部财务经营方面的资料和信息,并进行初步整理、加工、存储及传输。它是保证企业获得高质量财务信息,充分识别、正确分析企业财务风险状况的前提条件。二是预警评价指标。风险预警的评价指标是为了准确地测度企业财务风险状况而从大量的财务信息中筛选并建立的指标体系,其具体指标和数量根据不同企业的具体情况而有所不同,但都应
12、该遵循敏感性、独立性、可测性和规范性。三是预警评价与推断系统。该系统根据建立起的预警评价指标体系中的评价指标计算公式,根据相关会计信息,计算出具体的指标值,与预先设定的警戒线(闽值)进行风险预测和推断。四是报警系统。该系统是建立在预警评价与推断系统基础之上的,企业通过定期搜集数据,并通过上述的系统分析,从而对企业的财务风险状况做出判断,找出企业财务运营当中存在的重大问题,并及时通报给企业以便即使采取措施,防范于未然。五是预警防范措施。这是预警机制的最后一个阶段,根据报警系统的输出信号,针对企业不同业务采取解决和消化风险的一系列办法和措施。2.2 网络会计信息系统的风险监控管理风险监控管理就是通
13、过对风险的预测、识别、衡量和控制,以最少的成本将风险导致的各种不利后果减少到最低限度。在监控机制的设计中,应考虑以下设计原则:一是主动性原则。风险监控系统应能主动地、积极地获取与企业经营有关的可变因素,外部信息和内部信息,这些信息是进行下一步分析的数据。二是前瞻性原则。采集的信息不仅能够反映目前企业的财务经营状况,还要能够反映将来的情况,具有预测性。三是可操作性。风险监控系统的流程必须有可操作性。比如财务信息一定是直接或间接得到的;具备相应的计算机软硬件及操作人员。四是系统弹性。系统弹性是指监控系统的适应能力、协调能力以及与动态的被控制对象相应变化的能力。因为网络财务风险的成因极为复杂,系统不
14、可能监控所有因素,因而采取的控制工具与方法要留有一定的变动余地和伸缩空间。这样,还可以引导企业在一定范围内调整业务,同时又不至于脱离油田企业的总体投资目标。五是闭环模式。指某一风险监控信息输人系统后,观察其带来的后果,然后作出相应调整。企业生产经营活动中不确定情况很多,其变化发展的可能性空间很大,系统无法对这些因素一一作出精确估计并拟订相应对策。采取以信息反馈为特征的闭环监控模式,可以及时发现实际情况与期望值的偏差,调整策略。依据以上原则设计的风险监控机制如图 2 所示。由图 2 可以看出,全方位的网络会计信息系统风险监控管理系统包括 3 个子系统:一是风险预警系统。即预先发现隐患,以供后续模
15、块采取防范措施,尽将风险损失降至最小。二是风险评估系统。评估风险实际上就是化险损失,如利用 AHP 模型和模糊数学评价模型。三是风险管理系统。针对不同类型风险采取相应对策,跟踪其实施效果。其中,风险预警系统是监控机制的初始环节,也是风险评估系统和风险管理系统的前提与基础。3 网络会计信息系统风险的有效防范一是要加强系统本身的内部控制、实行用户分级授权管理,按照网络会计信息系统的需求设定会计岗位,建立岗位责任制,并通过规定每个用户的安全级别和身份标识来落实其责任和权限。建立必要的上机操作控制和系统运行日志,对运行系统的事件类型、用户身份、操作参数和状态等进行实时监视和记录,并定期检查。实行轮岗制
16、度,定期调整内部控制人员的监管权限,防止发生内部合谋行为。严格硬件管理,确保硬件设备能实时地、连续地运转,主要是指系统内部人员按各自权限范围管理和使用硬件设备,非计算机人员禁止使用计算机系统。系统开发控制,在软件开发的前期,内审和风险管理人员要参与系统控制功能的研究与设计,确保所有既定控制功能在系统中得以有效地实现。强化内审制度,设立审计组,监督和控制各工作站的日常运行,对内部控制系统的薄弱环节加以完善。二是采用多种网络安全技术强化系统外部控制可以在企业内部网和互联网之间设立防火墙,使内部网和互联网互相隔离。为了防止非法用户的侵人,要在内部采用识别认证和访问控制技术,企业的Intra 的访问控
17、制一般采用人网控制、网络权限控制、目录级安全控制、网络服务器的安全控制等技术。采用数字签名技术和公正仲裁机构等,可以防止网络中进行数据交换时的否认、抵赖事件。这可较好地防范来自关联方和社会的道德风险。数据加密技术作为主动网络安全技术,是提高网络系统数据的保密性、防止秘密数据被外部破析所采用的主要技术手段,一般采取两种加密形式,即保密密钥和公开密钥。加密算法的选择要结合具体应用环境和系统,综合考虑密钥合理分配、加密效率与系统的结合度以及投人产出分析等具体因素。三是加强系统的外部审计,及时发现并改正错误、注重对企业网络会计信息系统开发的审计。在系统开发的各阶段,审计人员要注意审查系统的可行性、可审
18、性、可扩展性以及系统业务处理和程序控制的恰当性。通过事前和事中审计,尽早发现系统的问题,及时提出改进的建议,把好系统质量的第一关;同时也为审计人员进行网上实时审计打下基础,开展网上实时审计。审计人员采用并行审计技术与企业的计算机系统联网,并在取得被审单位给予的审查权限后,就可以在任何地方通过网络完成除实地盘点和观察之外的审计工作。若在系统开发时嵌人了审计程序,计算机还可以自动对经济业务进行实时的监控,自动完成部分审计任务。为了保证网络财务系统中有关数据的真实和安全性,各企业可能都要求审查网上的认证机构、加数字时间戳的机构的真实、可靠性,并要求评价各种加密技术、防火墙技术等网络安全控制措施的有效
19、性。都是可以通过信誉和资质都较高的独立审计机构来完成。四是制定相关法律,把网络会计信息系统的安全纳人法制化轨道,近年以来,我国相继制定并颁布了计算机系统安全规范、计算机病毒控制规定等法规,并在刑法、民法、民事诉讼法等相关法律中写人了有关计算机信息安全方面的条文,有力地打击了计算机犯罪,保证了计算机系统和信息的安全。但这些法律、法规并不涉及网络会计信息系统犯罪的领域,本文认为随着网络会计信息系统广泛而深人地应用,其安全性会日益重要,制定专门的网络会计安全法规也将成为必然。总之,网络会计信息系统所面临的外部和内部侵害,使得我们必须采取切实可行的安全对策,以确保系统具有信息保密性、身份的确定性、不可否认性、不可篡改性、可验证性和可控制性。为防范风险要不断地从技术防范、制度保障和组织管理 3 个方面去创建网络会计信息系统的风险管理和内部控制机制。摘要:基于网络的会计信息系统在运用网络技术提高业务流程的自动化程度后,必须加强对信息系统的控制,对信息系统的风险管理和安硕士论文代写全控制是信息系统的前提和保障。在分析网络会计信息系统的风险的基础上,运用信息系统风险管理的一般技术结合会计信息系统的特有规律,提出风险预警模型、建立风险监控机制和风险防范体系。关键词:网络会计;系统风险;风险管理
