企業(yè)內(nèi)部控制信息系統(tǒng)風(fēng)險(xiǎn)防范措施研究

沈琨 陶福文 劉天鵬

摘 要：計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)形成后，數(shù)據(jù)的處理、儲(chǔ)存等都發(fā)生了變化，使會(huì)計(jì)信息系統(tǒng)面臨新的風(fēng)險(xiǎn)，導(dǎo)致內(nèi)部控制體系失效，本文通過(guò)對(duì)內(nèi)部控制信息系統(tǒng)存在的風(fēng)險(xiǎn)進(jìn)行分析，提出了相應(yīng)的風(fēng)險(xiǎn)防范措施，從而確保內(nèi)部控制體系的有效運(yùn)行。

關(guān)鍵詞：內(nèi)部控制信息系統(tǒng)；風(fēng)險(xiǎn)；防范措施

現(xiàn)代企業(yè)內(nèi)部控制系統(tǒng)作為系統(tǒng)化的信息集成系統(tǒng)，其建立和實(shí)施應(yīng)按照信息系統(tǒng)的專業(yè)化方法來(lái)進(jìn)行，同時(shí)應(yīng)確保系統(tǒng)的安全和穩(wěn)定，以保證企業(yè)內(nèi)部控制系統(tǒng)的有效運(yùn)行，實(shí)現(xiàn)企業(yè)內(nèi)部控制的目標(biāo)。但隨著信息技術(shù)的不斷發(fā)展，使內(nèi)部控制信息系統(tǒng)產(chǎn)生了新的風(fēng)險(xiǎn)。

一、內(nèi)部控制信息系統(tǒng)存在的風(fēng)險(xiǎn)

1.系統(tǒng)開(kāi)發(fā)風(fēng)險(xiǎn)。系統(tǒng)開(kāi)發(fā)風(fēng)險(xiǎn)主要來(lái)自系統(tǒng)開(kāi)發(fā)人員與用戶溝通不足的矛盾。從用戶角度講，用戶是否清楚了解自己對(duì)系統(tǒng)的要求，能否明確將要求傳達(dá)給開(kāi)發(fā)人員，用戶在不甚清楚其對(duì)系統(tǒng)要求時(shí)，如何進(jìn)行有效的溝通，以及選擇合適的系統(tǒng)開(kāi)發(fā)方法都是問(wèn)題；從開(kāi)發(fā)方的角度看，系統(tǒng)調(diào)查、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)等系統(tǒng)生命周期過(guò)程中人員等的配置、整合都會(huì)給系統(tǒng)開(kāi)發(fā)帶來(lái)風(fēng)險(xiǎn)；此外，系統(tǒng)試運(yùn)行過(guò)程中的溝通等也會(huì)給系統(tǒng)帶來(lái)風(fēng)險(xiǎn)。

2.人員分工變化以及數(shù)據(jù)和責(zé)任高度集中的風(fēng)險(xiǎn)。在財(cái)務(wù)集中核算的計(jì)算機(jī)系統(tǒng)中，由于部分崗位分工的消失，責(zé)任也相對(duì)集中，在審計(jì)軌跡不清的情況下，難以查找責(zé)任人。在系統(tǒng)相應(yīng)保護(hù)措施不夠的情況下，數(shù)據(jù)很容易被熟悉計(jì)算機(jī)系統(tǒng)的人修改且不易被發(fā)現(xiàn)。

3.授權(quán)風(fēng)險(xiǎn)。在數(shù)字簽名不被強(qiáng)化，或系統(tǒng)保密性差、維護(hù)制度不完善等情況下，系統(tǒng)缺乏有效控制，軟件容易被盜用、竄改，造成嚴(yán)重的信息失真。

4.儲(chǔ)存介質(zhì)變化產(chǎn)生的風(fēng)險(xiǎn)。存放于磁性介質(zhì)上的系統(tǒng)數(shù)據(jù)庫(kù)和文件的閱讀、修改、復(fù)制、刪除通常不會(huì)留下痕跡，除非有嚴(yán)格的操作日志記錄，同時(shí)，在多方牽制弱化以及難以實(shí)現(xiàn)簽字、蓋章等的情況下，數(shù)據(jù)容易被刪改。

5.應(yīng)用軟件系統(tǒng)通常缺少對(duì)不合理業(yè)務(wù)的識(shí)別能力。計(jì)算機(jī)只能依照事先設(shè)計(jì)“機(jī)械邏輯”識(shí)別業(yè)務(wù)，而不能如同人工那樣實(shí)現(xiàn)“專家判斷”，一旦事先“灌輸”給計(jì)算機(jī)信息系統(tǒng)的邏輯不合理，如程序上的差錯(cuò)，則可以導(dǎo)致整個(gè)信息系統(tǒng)輸出的各層次信息的失真。

6.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全風(fēng)險(xiǎn)首先來(lái)自于系統(tǒng)的非法侵?jǐn)_。由于網(wǎng)絡(luò)信息系統(tǒng)信息具有開(kāi)放性的特點(diǎn)，網(wǎng)絡(luò)下的企業(yè)信息系統(tǒng)很有可能遭受非法訪問(wèn)甚至黑客或病毒的侵?jǐn)_。這種攻擊一旦發(fā)生將造成巨大的損失。其次是電子商務(wù)對(duì)內(nèi)控的挑戰(zhàn)，隨著電子商務(wù)的迅猛發(fā)展，網(wǎng)上交易愈加普遍，在不久后的將來(lái)，企業(yè)的全部原始憑證都將成為數(shù)字格式，這加強(qiáng)了企業(yè)對(duì)網(wǎng)上公證機(jī)構(gòu)的依賴。但是，目前網(wǎng)上認(rèn)證中第三方認(rèn)證發(fā)展尚未成熟，有效的第三方牽制尚未形成。第三，網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)的復(fù)雜性使系統(tǒng)安全控制更加困難，信息來(lái)源的復(fù)雜性及信息的動(dòng)態(tài)性等特點(diǎn)使審計(jì)變得困難，造成信息失真等系統(tǒng)安全性問(wèn)題。第四，網(wǎng)絡(luò)控制系統(tǒng)使傳統(tǒng)的組織內(nèi)部牽制作用減弱。計(jì)算機(jī)及網(wǎng)絡(luò)的使用大大降低了人工環(huán)節(jié)，但這一點(diǎn)使傳統(tǒng)的制單、復(fù)核等內(nèi)部牽制變得很弱。

二、內(nèi)部控制信息系統(tǒng)風(fēng)險(xiǎn)防范措施

1.建立新的適合計(jì)算機(jī)信息系統(tǒng)的內(nèi)控制度。對(duì)于計(jì)算機(jī)信息系統(tǒng)存在的風(fēng)險(xiǎn)，企業(yè)要建立相應(yīng)的內(nèi)部控制制度。首先是組織結(jié)構(gòu)要有新的劃分標(biāo)準(zhǔn)和方式，這種劃分重點(diǎn)要解決計(jì)算機(jī)人員與一般用戶之間的權(quán)責(zé)劃分，保證各類人員之間可以相互監(jiān)督、制約，形成牽制；其次，計(jì)算機(jī)人員之間要?jiǎng)澐謲徫回?zé)任，即要降低可以直接接觸系統(tǒng)的人員竄改數(shù)據(jù)的可能性，一般計(jì)算機(jī)人員包括系統(tǒng)分析員、程序員、操作員、資料保管員和管理人員，這幾類人員的職責(zé)一定要?jiǎng)澐智宄?；再次，?jì)算機(jī)審計(jì)是內(nèi)部控制的重要組成部分，這種審計(jì)包括事后對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)，還包括事前對(duì)信息系統(tǒng)運(yùn)行程序等的審計(jì)以及不定期的信息系統(tǒng)運(yùn)行審計(jì)。

2.系統(tǒng)開(kāi)發(fā)中的控制。首先，根據(jù)環(huán)境狀況選擇適當(dāng)?shù)南到y(tǒng)開(kāi)發(fā)方法，做好需求分析工作，進(jìn)行細(xì)致的可行性研究；其次，在系統(tǒng)的總體設(shè)計(jì)、詳細(xì)設(shè)計(jì)以及系統(tǒng)配置方案確定的過(guò)程中，要實(shí)時(shí)做好與用戶的溝通，在每一環(huán)節(jié)上滿足用戶控制的要求，在系統(tǒng)測(cè)試和試運(yùn)行階段也要做好溝通工作，保證可以及時(shí)、適當(dāng)?shù)刈龊孟到y(tǒng)的完善修改；系統(tǒng)開(kāi)發(fā)的有關(guān)文字資料也要妥善控制保證它們形成過(guò)程的合理，并得以妥善保存。

3.系統(tǒng)運(yùn)行中的控制。（1）輸入控制。輸入控制中首先應(yīng)當(dāng)形成業(yè)務(wù)審批制度，操作人員不能審批修改業(yè)務(wù)，審批修改應(yīng)由領(lǐng)導(dǎo)完成；其次，在系統(tǒng)的每一模塊設(shè)置操作權(quán)限和口令密碼，對(duì)重要的數(shù)據(jù)，還應(yīng)當(dāng)設(shè)置多重密碼；再次，應(yīng)建立輸入校驗(yàn)控制等。（2）處理控制。處理控制是防止對(duì)輸入業(yè)務(wù)的漏處理、重復(fù)處理或錯(cuò)誤處理，以增加處理活動(dòng)的可信性。（3）輸出控制。輸出控制的目的是確保信息系統(tǒng)信息輸出或傳輸?shù)恼_性，防止遺失、錯(cuò)發(fā)、截留、泄密等。這類控制最基本的方法是定期不定期地打印輸出各種信息，還可以進(jìn)行輸入總數(shù)、處理總數(shù)和輸出總數(shù)的核對(duì)，以及對(duì)輸出信息進(jìn)行人工核查等。

4.系統(tǒng)維護(hù)中的控制。系統(tǒng)維護(hù)安全控制是指對(duì)包括系統(tǒng)硬件、軟件、數(shù)據(jù)資料、操作規(guī)程等的維護(hù)，防止可能引發(fā)系統(tǒng)安全問(wèn)題的情況發(fā)生。這類控制首先是系統(tǒng)接觸的控制，此外還有諸如系統(tǒng)硬件環(huán)境的改良和保持，系統(tǒng)后備控制與災(zāi)難補(bǔ)救控制等。

5.數(shù)據(jù)資源的控制。數(shù)據(jù)資源的安全隱患，一是來(lái)自非法訪問(wèn)；二是來(lái)自系統(tǒng)故障、錯(cuò)誤操作和人為破壞等。因此，應(yīng)當(dāng)建立適當(dāng)?shù)臋?quán)責(zé)劃分制度、數(shù)據(jù)備份和恢復(fù)制度等。

6.網(wǎng)絡(luò)安全控制。首先要加強(qiáng)組織與管理控制。設(shè)置網(wǎng)絡(luò)管理中心，由網(wǎng)絡(luò)管理中心進(jìn)行整體規(guī)劃，在工作站、終端和人員間劃分權(quán)責(zé)；建立良好的人事制度，優(yōu)化配置人力資源，建立良好的內(nèi)部審計(jì)制度。其次，加強(qiáng)網(wǎng)絡(luò)信息系統(tǒng)的開(kāi)發(fā)控制。在系統(tǒng)分析階段要明確開(kāi)發(fā)目標(biāo)，進(jìn)行詳實(shí)的可行性研究，在系統(tǒng)設(shè)計(jì)階段檢查模塊設(shè)計(jì)的合理性。利用網(wǎng)絡(luò)在線測(cè)試的功能，檢驗(yàn)整個(gè)系統(tǒng)的完整性，做好人員和設(shè)備等資源的整合配置以及初始數(shù)據(jù)的安全導(dǎo)入，保證新舊系統(tǒng)的轉(zhuǎn)換有序進(jìn)行。及時(shí)發(fā)現(xiàn)和修補(bǔ)網(wǎng)絡(luò)系統(tǒng)應(yīng)用程序可能存在的安全漏洞。再次，加強(qiáng)日常操作管理控制。要建立良好的操作制度，對(duì)系統(tǒng)人員的操作進(jìn)行嚴(yán)格管理，建立安全檢測(cè)預(yù)警制度。另外，還需對(duì)網(wǎng)絡(luò)系統(tǒng)的軟硬件、系統(tǒng)數(shù)據(jù)資源、防入侵、網(wǎng)上交易、遠(yuǎn)程處理等進(jìn)行有效控制。

參考文獻(xiàn)：

[1]楊炳志.互聯(lián)網(wǎng)+環(huán)境下會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究[J].商場(chǎng)現(xiàn)代化，2017（4）.

[2]杭天竹.大數(shù)據(jù)環(huán)境下的企業(yè)信息系統(tǒng)內(nèi)部控制風(fēng)險(xiǎn)探析[J].中國(guó)管理信息化，2016（9）.

[3]陳萍.ERP環(huán)境下財(cái)務(wù)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制與風(fēng)險(xiǎn)管理[J].中外企業(yè)家，2017（6）.

作者簡(jiǎn)介：沈琨（1979.11- ），女，江蘇南通人，碩士，南通職業(yè)大學(xué)經(jīng)濟(jì)管理學(xué)院