会计信息系统是一个以提供财务信息为主的经济信息系统。具体由凭证单元、账簿组织、报表体系、记账方法和账务处理程序等组成,主要按照规定的会计制度、法规、方法和程序,完成对价值运动中所产生的数据的收集、加工、存储、传输,形成有助于决策的会计信息。会计信息系统根据对会计数据加工处理手段的不同可以分为手工会计信息系统和电算化会计信息系统。电算化会计信息系统是以计算机作为主要数据处理工具的会计信息系统,主要具有如下特点:会计数据标准化、集中化和自动化;内部控制程序化。
二、电算化会计信息系统在管理方面存在的风险
在了解了会计信息系统的概念和特点之后,我们有必要知道这样的信息系统到底存在着怎样的风险。计算机应用技术的发展给会计工作带来了一场巨大的变革,为会计工作提供了崭新的手段——会计电算化。它的出现不仅改变了会计信息的处理和存储方式,而且对会计理论和实务产生了重大影响。同时,随着新技术特别是互联网技术的引入,会计信息系统面临的各种风险也在增大,如硬件因素引起的风险、软件方面引起的风险、工作环境引起的安全风险、病毒“黑客”侵入引起的风险、管理因素引起的风险等。本文就管理方面的风险加以阐述。
管理风险是指电算化会计系统的有关管理制度不完善、不健全而引起的风险。它包括内部控制薄弱造成的风险、操作不当造成的风险、备份恢复机制缺陷带来的风险以及内部工作人员职业道德问题引起的风险。会计电算化系统在处理方式和内部结构上与原来的手工会计系统存在着较大的差别,原来的一系列管理制度已不能适应电算化会计系统管理工作的需要。要保证电算化会计系统的正常、安全、有效运行,必须建立健全一系列管理制度,否则不但不能很好地发挥会计电算化系统的作用,而且还会造成单位会计工作的混乱,给各种非法舞弊行为以可乘之机,甚至会给国家、社会、集体造成无法挽回的损失。
(一) 内部控制薄弱造成的风险
1.不相容职务相分离原则的应用问题
内部控制重点就在于不相容职务分离。采用计算机后,不相容职务相分离这一在手工核算体制下常用的有效控制原则,在很多时候却得不到遵循。由于数据处理集中进行,导致职责合并严重,会计人员大大减少,从而使一些不相容职务得不到分离,如有些单位会计人员既从事数据输入、输出工作,又负责数据报送,这增加了他们在未经批准情况下,直接对使用中的数据和程序进行修改、复制或删除等操作的可能性,从而使会计数据的准确和及安全性得不到保证,其危害是不言而喻的。
2.数据的安全性差
(1)数据信息易被篡改。在手工会计信息系统中,信息都是用纸张记录,其法律效力被广泛承认,而且所作的任何修改都会有痕迹留下来,数据不易被篡改。而在电算化会计处理过程中,计算机存储方式是将信息转化为数字形式存储在磁(光)介质上,不易实现签字、盖章等具有法律效力的手段。因此,数据极易被篡改甚至伪造而不留任何痕迹。未经授权的人员有可能通过计算机和网络浏览全部数据文件,甚至复制、伪造、销毁企业重要数据。
(2)利用数据信息进行计算机舞弊和犯罪。计算机犯罪具有很大的隐蔽性和危害性,发现计算机舞弊和犯罪的难度较之手工会计系统更大,计算机舞弊和犯罪造成的危害和损失可能比手工会计系统更大,这给一些不法之徒提供了机会。据美国的一项研究表明:一般手工操作系统的银行舞弊案每次造成的损失为10.4万美元,而使用计算机系统的银行舞弊案的平均损失为61.7万美元,是一般手工操作系统的6倍以上。
3.审查、复核机制被削弱
在手工会计信息系统中,会计工作被分成几个步骤,按一定的程序完成,任何一个步骤或一道手续的处理,都意味着是对前面步骤或手续的复核和审查,前一步骤中出现了错误,往往可以在后一步骤中被发现并加以修改。而使用计算机后,大部分会计处理步骤不再存在,被计算机所代替自动完成,审查、复核等控制机制随之削弱,甚至消失了。原始数据输入计算机后,记账、报表等均由计算机处理,再也没有经手人负责,如果处理过程出现错误,将无从追查责任者,审查、复核机制被大大削弱。
(二)操作不当造成的风险
操作不当的形式有很多,但主要有如下一些表现:①职员在进入电子数据处理领域时,没有经过适当的身份检查和识别。②没有防止未经许可的人员利用远距离终端进入系统。③口令泄露给未经批准的人员。他们可能自己寻找口令,或从废弃的输出结果中取得口令,也可以通过观察操作人员的操作以得到口令。④控制表中或授权等级库中没有及时清除离职人员的姓名和口令,使他们在离职以后依旧能够接近电子数据处理系统。⑤没有受过培训的人员处理实际数据,有可能无意地改变或破坏计算机文件。⑥计算机系统的操作人员对硬件设备的不正确操作可以引起系统的损坏, 从而危害系统的安全。不正确的操作主要是指操作人员不按规定的程序使用硬件设备。例如不按顺序开机、关机, 有可能烧毁计算机的硬盘, 从而造成数据的全部丢失。
(三)备份恢复机制缺陷带来的风险
实现会计电算化后,对计算机硬件的要求在不断提高,但是由于种种原因致使计算机硬件存在着某些缺陷,如硬盘的损坏而没有备份,数据会丢失。即使有些计算机硬件系统存在恢复机制,但是恢复控制薄弱。如对备份文件未能做到恰当的保管;还有部分单位当系统遇到意外事件无法工作时,不知道如何恢复系统,也没有制订系统恢复计划。
(四)内部工作人员职业道德问题引起的风险
1.会计人员的无意行为
由于电算化系统内的工作人员素质不高或责任心不强等原因造成的数据录入错误,操作步骤失误,监控力度不够等,使会计数据录入或处理出现错误,从而导致会计信息不真实、不可靠和不完整。
2.人为的舞弊行为
电算化系统的内部工作人员为了达到窃取商业秘密、非法转移资金、掩盖各种舞弊行为等非法目的,有意协助竞争对手获取和破坏会计数据,从而对会计软件数据等进行非法篡改、删除,给单位造成严重损失。
三、电算化会计信息系统风险的防范措施
(一)建立健全会计电算化内部控制制度
要保障计算机会计信息系统的安全,各单位不仅要遵循国家制定的保护计算机系统安全及计算机知识产权的法律法规,还应建立一整套从投入使用、业务操作到设备管理等完善的、行之有效的会计电算化风险防范措施(包括加强职务不相容的内部控制、加强数据安全的内部控制、实施有效的实时监控)。
1.加强职务不相容的内部控制
职务不相容控制是内部控制的基础,是由不同的部门或人员来承担不相容的职责。职务不相容控制的内容主要分为以下3个方面:①电算化部门与用户部门的职务分离。电算化部门是对数据进行处理和控制的部门或人员,用户部门是指产生原始数据或使用计算机处理所得信息的部门或人员,两者之间应尽可能保持不相容职务的分离。②电算化部门内部的职务分离。电算化系统从建立到运行的整个生命周期中,根据职能不同划分为两大部门,即系统开发部门和系统应用部门。系统开发部门主要承担系统的开发研制以及系统的维护工作等,系统应用部门主要负责日常会计处理工作。③岗位授权的职务分离。单位应根据企业规模及会计软件的管理功能,设立系统管理员、电算主管员、软件操作员、系统维护员、档案管理员等岗位,这些岗位可以一人多岗,也可以一岗多人,但必须做到不相容职务的分离。
2.加强数据安全的内部控制
数据安全控制是要做到任何情况下数据都不丢失、不毁损、不泄露、不被非法侵入,数据处理结果正确。一般包括以下内容:①数据输入控制。首先,输入的数据应经过必要的授权和审批,并经有关的内控部门检查。其次, 应采用各种技术手段对输入数据的准确性进行校验,如总数控制校验、平衡校验、数据类型校验、重复输入校验等。②数据处理控制。包括有效性控制和文件控制。有效性控制包括数字的核对。对字段和记录的长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、文件标识、文件是否被病毒感染等。③数据输出控制。一般应检查输出数据与输入数据是否匹配,输出数据是否完整,是否能满足使用部门的需要,数据的发送对象、份数应有明确的规定,要建立标准化的报告编号、收发、保管工作等。
3.实施有效的实时监控
随着会计不断发展,计算机在会计中的应用已相当普遍。手工方式下内部控制已不能适应电算化会计信息系统要求,这就要求在电算化会计系统内设置操作与监控两个岗位,对每一笔业务同时进行多份备份。当会计人员进行账务处理时,其操作和数据也被同步记录在监控人员机器上,由监控人员进行即时或定期审查,一旦出现数据不一致便进行深入调查,以实现有效牵制,从而实施有效监控,加大审查、复核力度。
(二)加强操作管理的内部控制
企业操作管理控制主要用来规范每一个操作员的行为以及各自之间的权限,以保证数据处理的准确性和安全性。操作管理的内部控制一般包括:
1.严把操作员上岗关
操作员必须经过专门的会计电算化培训、持有会计电算化等级证书方能上岗。
2.规定操作员的工作职责和工作权限
为保证会计数据的准确、真实,对需输入的原始凭证和记账凭证等会计数据,未经电算主管员审核签章,操作员不得输入计算机;对已输入计算机的凭证需由电算主管员核对并签章后方可登记机内账簿。同时,操作员应按被授予的权限严格作业,不得越权接触系统,以避免人为因素或操作不当给系统带来不必要的损失和风险。
3.建立操作员上机登记制度
操作员应认真填写手工上机日志,记录每天的上机操作内容,并定期打印会计软件提供的上机日志。
4.操作员不得泄露密码
为防止密码泄露,企业可对操作密码实行双人控制,即将所设密码分为两部分,一部分由电算主管员掌握,另一部分由操作员掌握,只有两者同时兼有密码,方能进入操作。这样可以达到相互监控的目的。