论网络环境下的会计风险及其控制

［论文关键词］网络环境；会计风险；控制方法

［论文摘要］由于计算机技术和网络通讯技术的应用，使得会计风险有了新的变化。会计风险形成的主要原因有授权方式的改变、网络环境下职责分离不充分、网络环境下业务记录方式的变化和网络环境的开放性，以及业务操作方面的漏洞等。本文主要介绍使用计算机舞弊的主要手段及形成的风险等，然后在此基础上分析控制这些风险应该采用的方法与措施。

一、引 言

随着计算机技术和网络通讯技术的发展，网络化会计信息系统日趋普及， 计算机网络技术和与之相对应的安全技术的应用，使得基于网络平台的电子商务、网络化和远程化的经营管理逐渐被人们所接受，并迅速发展起来。

企业会计信息所面对的网络环境包括两部分：一是企业的外部网络环境，另一个是企业内部网络环境。由于网络的开放性，它在给企业的经营管理带来质的飞跃的同时，也为思想不健康的高智能者带来了利用高科技犯罪的机会，特别是极少数大型企业、金融、证券等的会计人员，利用网络缺陷获取不义之财，给国家、集体、企业或他人造成重大损失。因此，如何有效控制网络环境下的会计风险问题已越来越引起人们的关注。现在，就网络环境下会计业务存在的风险及应采取的控制措施谈几点看法。

二、使用计算机舞弊的主要手段及形成的风险

（一）信息流失带来的风险。1．授权方式的改变，使财会人员及相关人员舞弊的可能性增加：在传统的会计系统中，交易授权主要通过对内部控制具有管理权限的人签章来办理。这种传统方式虽然效率低下，但由于书面签字盖章等程序缜密，传递过程又能起到相互监督的作用，所以可有效防止财会人员作弊。在网络系统下，交易授权常常被嵌入到程序中通过口令触发程序完成，授权过程具有自动化的特征。另外，网络环境下的授权通常在网络系统的设计和实施中完成，授权过程不明显，管理者难以评价交易授权的控制效果，从而使财会人员及相关人员舞弊的可能性增加。2．网络环境下职责分离不充分，使企业内部控制难度增大：内部控制的作用在于促使企业有效地达成经营目标，提供可靠的财务报表与信息，并确保一切程序符合相关的法令与规章。企业会计部门的制单、审核和管理工作，以及信息系统的开发、维护、操作等活动本来应该相互分离，但对于中小企业和一些缺少人手的会计部门来说，要做到充分地职责分离有一定的困难，致使企业实行会计电算化后，大部分业务都是由同一人操作完成，这样就给非法操作创造了机会，从而给企业带来了操作风险。3．网络环境下业务记录方式的变化使稽核工作难度加大：在网络环境下，手工明细账、日记账不存在了，记账凭证数据存储在磁性介质上，财务处理过程在计算机内自动完成，肉眼可见的审计线索大大减少，过去的账务核对办法现在不方便了 ，这无疑给稽核工作者带来了困难。4．网络环境的开放性使会计信息很难避免非法侵扰，使外部控制难度增加：网络是一个开放的环境，无论是IT还是在局域网、广域网，网络环境中的一切信息在理论上都是可以被访问的，除非他们在物理上被断开连接。因此，网络下的会计信息系统极易遭受非法访问，甚至黑客和病毒侵扰。这种攻击可能来自系统外部，也可能来自系统内部，并且一旦发生将造成巨大的损失。

（二）业务操作方面的漏洞。1．篡改输入：这是计算机舞弊中最常见的方法。通常表现为：虚构业务数据；修改业务数据；删除业务数据。篡改输入这种舞弊主要是由于内部控制的如下弱点造成的：一是职责分工不明确，不相容的职责没有适当的分工；二是接触控制不完善；三是无严格的操作权限控制；四是没有完整的控制日志。如果这类控制手段不健全，舞弊分子会因为没有留下舞弊证据而为所欲为。2．窃取或篡改商业秘密、非法转移电子资金和数据泄密：对会计数据的泄密主要是指系统用户或数据保管人员把本企业会计信息通过磁盘、磁带、光盘或网络等介质透露给竞争对手；窃取或篡改商业秘密是系统非法转移用户信息，利用不正常手段获取企业重要机密的行为。由于数据在传输过程中信息的传输路线是随机的，因而可能出现物理窃听、感应窃听、口令试探、信息窃取、身份假冒等舞弊手段。数据在输出过程中，舞弊者能够把敏感数据隐藏在本来没有问题的输出报告中。3．篡改程序：篡改程序是指对程序作非法改动，以达到某种舞弊的目的。该类舞弊主要是利用内部控制的下列弱点：一是电算部门与用户部门职责分离不恰当；二是系统开发控制不严；三是系统维护控制不严。

三、网络环境下会计风险的控制方法和措施

（一）对于信息管理风险的控制。1．重组业务流程，建立科学合理的内控体系：不论是企业自行开发的会计软件，还是外购软件，企业在建设会计电算化系统时都必须进行业务流程重组。要特别对业务流程中的核心环节增加控制手段，实施内部系统的控制。另外，业务流程重组还必须有适当的信息系统来支持和维护。2．形成由多方牵制的网上公证：由于网络环境下原始凭证仍然是以数据信息存储在磁性介质上的，没有留下可供检验的交易轨迹。加强对这些“无形”原始凭证的控制，一个可行的办法是采取由多方牵制的网上公证，即利用网络的实时传输功能和互联网认证机构领取数字签名和私有密钥。3．分离监控与操作，实现系统内部的有效牵制：一个有效的做法是在电算化的系统内分出操作与监控两个岗位，对每一笔业务同时进行多方备份。当会计人员进行账务处理时，其操作的数据也被同步记录在监控人员的机器上，由监控人员进行即时或定期审查，以便及时发现问题，这样既明确了岗位划分，又实现了有效牵制。4．实现软件的在线测试，及时解决可能存在的漏洞：对于计算机软件来说，其内部错误或不足是无法避免的。因此，其解决办法只有两个:一是在开发过程中加强交流，充分测试;二是在发现问题后及时解决。在网络时代，即使万里之隔也可以在几秒钟内建立连接，进行实时高质的通讯或软件传输。这给解决上述问题带来了方便。一旦发现问题可以及时通知用户并进行在线升级，把BUG的存在时间控制在最短，提高系统健壮性。

（二）对于网络环境风险的控制。1．物理防范措施：要建立可靠的计算机网络会计系统，并制定网络计算机房和设备的管理制度、岗位责任和操作规程。严禁无关人员接触系统，作到专机专用，关键性的硬件设备要采用双系统备份。2．数据加密措施：数据加密是网络会计中防止会计信息失真的最基本的防范技术之一。3．软件控制措施：严格控制系统软件的安装与修改，对系统文件属性可采取隐含、只读等加密措施，或利用网络设置软件对某个工作点规定访问的权限、口令等保密方式，避免文件、会计数据等被意外删除或破坏。同时，要对系统软件进行定期的预测性检查。系统破坏时，要求系统软件具备紧急响应、强制备份、快速重构和快速恢复的功能。4．系统入侵防范措施：为防止非法用户对网络环境下会计系统的入侵，可以采取端口技术和防火墙技术。该技术系统采用只允许信息单向流动的路由器来保护本地网，不允许外部用户注册到本地网。这样，即使某个“黑客”能够突破防护进入到文件服务器，由于有单向配置路由器的阻挡，它也无法进入到受保护的本地网中。

（三）对于业务操作风险的控制。1．加强组织与管理控制：要严格制定并落实有关会计数据输入、处理的操作制度和规程。常见的操作控制包括：一是实行用户权限分级授权管理，建立起网络环境下会计信息系统得岗位责任制；二是严格操作规程控制；三是严格系统开发控制。2．提高会计人员整体素质：控制网络环境下会计风险的核心是提高会计从业人员的整体防范意识和业务操作能力。因此，要通过全面提高会计人员整体素质来抵御和控制会计风险。一方面要引导和帮助会计人员树立正确的世界观、人生观、价值观，树立良好的道德风尚和职业作风，自觉规范从业行为；另一方面要进一步健全配置科学、程序严密、制约有效的权力运行控制机制，坚决防止他们利用计算机进行舞弊。

四、结束语

综上所述，在网络环境下控制会计风险，必须全面加强会计系统在程序编制、前台操作、后台授权、远程监控等各个环节的计算机硬控制，不断提高广大会计从业人员的网络风险意识和防控能力，以达到规避和消除信息流失和操作风险的目的，确保网络环境下会计电算化工作实现持续健康地发展。

参考文献:

[1]甄阜铭：“网络环境下会计信息系统内部控制的探讨”，中华财会网，2002年3月14日。

[2]陈铃：“关于我国内部控制规范建设的思考”，《会计研究》，2001年8月。

[3]盖地：“规范财务会计报告 提高会计信息质量”，《财会通讯》，2000年第1期。