网络环境下会计信息系统内控风险及防范_单位财务会计信息化存在的问题及建议

大家好！今天让小编来大家介绍下关于网络环境下会计信息系统内控风险及防范_单位财务会计信息化存在的问题及建议的问题，以下是小编对此问题的归纳整理，让我们一起来看看吧。

文章目录列表:

浅析如何防范计算机审计的风险

　计算 机审计风险是指审计人员在对被审计单位 会计 电算化系统进行审计后作出的审计结论与被审计事项实际情况相背离的可能性。也可以理解为审计人员不能正确合理地运用计算机审计技术，从而导致审计结果与事实不相符，发表不恰当的审计意见。

　 一、形成计算机审计风险的原因

　1.传统审计线索逐渐消失。在手工会计系统中，从原始凭证到记账凭证、账簿记录以及财务报表的编制，每一步都有文字记录，都有不同的经手人签字，审计线索十分清晰。但在会计电算化系统中，传统的帐簿没有了，绝大部分的文字记录消失了，会计信息大都存储在磁盘或磁带上，因此，肉眼所见的线索减少了。况且，存储在磁盘上的数据很容易被修改、删除、隐匿、转移，又无明显的痕迹，因此，审计人员发现错误的可能性就减少了，而审计风险就增加了。

　2.审计技术、 方法 日趋复杂。实行会计电算化后，审计技术和方法有了很大的变化，由于被审计单位采用的会计 应用 软件有的是商品化软件，有的是自行 研究 开发的软件，在功能、程序处理上都有着一定的差别，其要求运用的 审计技术和方法也不一样，从而给审计人员的审计增加了复杂性，审计人员如果对软件不熟悉或采用了不当的审计技术和方法，必然会带来审计风险。

　3.在动态中进行审计取证较难。在某些大型 企业 ，计算机会计信息系统是一个很大的 网络 系统，每一天都要进行成本和利润的结算，进行生产动态 分析 ，供管理层次决策 参考 ，因此，系统必须处于运作当中，一旦停止工作，将会给被审计单位造成很大的 经济 损失。而审计人员一方面要完成审计任务，一方面又不能妨碍和终止被审计单位会计信息系统的运做，这样就只能在系统运作过程中进行取证，难度较高，也存在一定的审计风险。

　4.被审计单位内控制度的不完善。在手工系统中，内部控制的测试是看得见、摸得着的，但在会计电算化信息系统中，内部控制的技术和方法发生了很大的变化，使得手工系统中的许多原有的控制措施都已不适合了，大部分控制措施都是以程序的形式建立在计算机会计信息系统中，肉眼无法觉察，在很大程度上依赖于计算机处理。而计算机会计信息系统的内控功能是否恰当有效会直接 影响 系统输出信息的真实和准确，内控环境的复杂性以及内部控制的局限性也使舞弊行为有机可乘，从而增加了审计风险。

　5.审计人员计算机知识的缺乏。 目前 ，大部分审计人员对于计算机知识普遍缺乏，而随着会计电算化的实行，审计的对象也更多更复杂了。因此，审计人员除了要有专业的审计、会计知识外，还必须掌握一定的计算机知识和应用技术，否则，审计人员作出的审计结论有可能偏离被审计单位会计信息系统的实际，从而造成审计风险。

　6.缺少 科学 的计算机会计信息系统审计的标准和准则。对于以往手工系统的审计有诸多的审计标准和准则加以参考，但是对于会计电算化信息系统进行审计时，由于审计对象和审计线索等发生了变化，审计的技术和手段也相应地发生了变化，原来的一些标准和准则就显得不适用了，新的适用于会计电算化信息系统审计方面的标准和准则尚未出台，因此，也容易产生审计风险。

　7.现行会计软件评审机制存在缺陷。现行会计软件的评审主要侧重于软件功能的构成要素及会计处理方法的合理性，忽视了审计线索的保全性；评审侧重于会计软件运行的结果与手工一致，忽略了对软件开发过程内部控制系统的评价；评审依赖于会计电算化专家小组及部分用户的意见，忽视了软件的审计特征；评审的结果可能同审计人员的意见产生冲突。这些都给审计人员的工作带来了一定的困难和风险。

　 二、 计算 机审计风险的种类

　1.人员操作风险。人员操作风险是指审计恩怨在对 会计 电算化信息系统进行审计时，由于过分依赖计算机运行所得出的结果，而没有对各种疑点线索进行必要的复查所产生的风险。

　2.财务数据风险。财务数据风险是由于财会人员在对财务数据录入时采用虚假、修改、延迟等手段造成虚假财务数据而产生的风险。

　3.软件管理风险。软件管理风险是指对计算机辅助审计软件的使用和管理不完善、不健全而引起的风险。

　 三、计算机审计风险的防范

　1.保证审计数据的完整性。为保证审计数据的完整和准确，审计人员在审计时必须认真检查被审计单位所提供的数据是否真实、是否属审计时间范围内的财务数据，是否属结帐后的数据，财务数据是否有纸质帐册、报表相配套。同时，审计人员获得的财务数据，应该是被审计单位财务人员对财务数据作现场备份所得的。

　2.选择恰当的审计发与技术。审计人员可以根据被审计单位不同的系统而采取不同的审计 方法 和技术，从而有效地降低审计风险。当打印文件充分且与被审计单位输入输出联系比较密切能直接核对时，则可采用绕过计算机的审计方法，用核对、复核、 分析 等审计技术；当被审计单位采用实时处理，纸质的审计线索较少且输入输出不能直接核对时，则可采用计算机审计的方法，当被审计单位采用每时每刻都在运行，审计过程中不能终止工作时，则可采用制度基础法，首先对被审计单位计算机会计信息系统的一般控制和 应用 控制进行审查，根据一般控制和应用控制审查的结果决定抽查的重点、范围和方法，这样，既可以降低审计风险，又可以减少被审计系统正常工作的 影响 。

　3.选择合理的审计方式。由于要审计的 内容 大都存储在磁性介质中，而磁性介质很容易被篡改、删除而不留下任何痕迹。因此，对于计算机会计信息系统审计一般应采用就地审计或突击审计的`方式。在进行审计时，可以采用事先不通知操作员或程序员的情况下，把系统中正在运行的数据拷贝出来进行审查，以防操作员把数据篡改、删除等，只有这样，才能保证被审程序和数据的正确、完整性，也才能有效地降低审计风险。

　4.积极取得被审计单位的支持和配合。在进行计算机审计时，如果被审计单位的财务人员、操作人员不予配合，把存在磁性介质当中以及会计信息系统中的财务数据进行加密、修改、删除、隐匿等，则审计人员很难进行审查，因此，审计时应积极取得被审计单位的支持和配合，来降低审计风险。

　5.建立健全会计电算化信息系统审计的标准和准则。原有的标准和准则有的已经不适用于会计电算化信息系统审计，这给会计电算化信息系统审计带来了一定的风险，有关部门应采取有关措施，大力加强对计算机审计的研究，尽快制定出适用于会计电算化信息系统审计的标准和准则，来降低计算机审计风险。

　6.改进会计软件的评审机制。财政部门对会计软件独家评审的纵向评审机制，给会计电算化信息系统审计工作带来了一定的困难和风险。因此，需要对会计软件评审机制进行改进，在会计软件通过财政评审前，由审计机关组织专家对软件开发商进行软件开发审计，并作出审计结论，财政部门 参考 审计结论，最终作出是否通过评审的决定，基层的审计人寰也只需参照审计结论来审查、评价基层用户的会计软件系统。这样就使审计人员和财政部门评审人员共同分担了评审责任和风险。

　7.积极开发和使用电算化审计软件。随着会计电算化的普及， 网络 化的不断升级，审计的难度也越来越大，开发和使用优秀的电算化审计软件，一方面可以提高审计的效率，另一方面也能够有效地控制和降低审计风险。

单位财务会计信息化存在的问题及建议

摘　要 会计信息化使传统的内部控制面临严峻考验，给企业内部控制制度提出了新的挑战。因此，企业必须加强各种会计风险的防范措施，不断改进内部控制系统，建立基于信息化下的内部控制体系，以降低借助会计信息系统舞弊的可能性，保证企业各项业务活动的有效运行，保证企业经营效益和财务资料的可靠性，最终实现经营管理目标。

关键词 会计信息化； 内部控制； 体系构建

一、构建会计信息化环境下企业内部控制体系的背景

会计信息化使企业实现了远程账务处理、在线财务管理与事中动态会计核算、电子单据与电子货币，但同时增加了安全风险：数据被滥用、信息被恶意篡改、遭受非法访问甚至黑客或病毒的侵扰造成会计信息系统瘫痪等。据2010年全国信息网络安全调查显示，有超过70%的用户遭受网络安全风险，其中来自外部的攻击有49.4%，内外攻击的占25.5%，内部攻击占7.6%，不清楚的占17.6%。

造成以上问题的主要原因是传统的内部控制制度不能适应会计信息化条件下企业内部控制的新要求。我国财政部2009年7月1日颁布的《企业内部控制——基本规范》第四十一条明确规定：为确保会计信息系统安全稳定运行，企业应当加强对会计系统开发与维护、数据输入与输出、访问与变更、文件储存与保管、网络安全等方面的控制；2010年4月26日，财政部联合其他部委发布了《企业内部控制配套指引》，对在会计信息化背景下，企业内部控制如何实施，信息技术究竟带给内部控制怎样的影响，给出了具体指引。这些都表明我国已经开始重视该领域。因此，在企业信息化中，构建内部控制体系，加强会计信息系统的风险控制是企业信息化安全实施的保障。

二、会计信息化环境下企业风险的类型

（一）决策风险

决策风险是指企业财务软件的选择失误而造成系统实施失败的风险。其引发原因主要是企业决策层不明确企业的信息化目标，缺乏评估软件实用性的经验，没有能够结合企业实际状况选择适合本企业需要的财务信息化解决方案，特别是部分企业管理者，在选择软件时盲目跟风，致使所选购的软件质量存在缺陷，软件功能不适合企业的实际需求，从而使信息系统实施出现问题。

（二）环境风险

环境风险包括外部环境风险与内部环境风险。外部环境风险包括：企业信息化项目是否符合现行的法律法规、企业社会环境可能发生的变化、企业选用或开发的软件没有行业竞争力、企业具有竞争力产品发生变动的可能性。内部环境风险包括：企业文化对实施信息化的阻碍、企业财务对企业会计信息化的投入比例过小、企业组织形式适应信息化建设的程度不够、企业门户网站建设的水平达不到要求、企业内部各部门之间的信息沟通不顺畅等。

（三）信息安全风险

信息安全风险是指会计信息化实施中，由于财务软件开发未经过严密的可靠性测试，使隐含问题的数据结构、程序结构在系统运行中被触发或各种舞弊导致损失的可能性。信息安全风险主要包括：一是数据记录风险，二是数据维护风险，三是信息报告风险。企业信息化安全风险主要来自于技术因素和管理因素，如：网络系统本身具有的脆弱性、软件系统内部缺陷、组织内部没有建立信息安全管理制度、无控制标准与安全防范标准、使用人员缺乏相应的操作规范等。

（四）业务风险

企业会计信息化的实施过程是一个业务流程的再造过程。流程再造使得业务流程中的交易方式可能发生变化。业务风险包括：企业实施信息化业务流程重组的程度、企业业务管理信息化应用的程度、企业信息采集信息化手段覆盖率、企业网络营销应用的程度等。

（五）资产保护风险

资产保护风险是指企业资产损毁、流失、被盗等导致损失的可能性。会计信息化下，除了传统意义上的资产所包括的存货、设备、现金以外，会计信息化过程中的资产还包括信息系统、各种数据资源以及有关的文档与记录等。

三、企业内部控制体系的构建目标

《基本规范》把内部控制目标定义为保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。这些目标体系是一个完整不可分割的整体，但是就其在整个体系中的地位和作用来说，也是有差异的。结合企业管理的战略，内部控制目标具体还可以细化为以下几个目标：

（一）战略目标

战略目标是整个体系中的最高目标，其他目标都应与战略目标协调一致，都为战略目标服务。在公司高层制定总体战略目标时，要根据外部环境和内部机构的变化不断调整战略目标，确保战略目标在企业风险可控制范围之内；同时要将战略目标细化为具体经营目标，确保具体经营目标的实现；实现针对目标的资源分配，使得组织、人员、流程与基础结构相协调，促进战略目标的实施；建立可计量的基准，实现有效的绩效考核。

（二）经营目标

经营目标决定了企业营运效率和效果，在企业内部控制目标体系中发挥主导作用并占有重要的支配地位。良好的内部控制体系可以优化经营效率和效果，具体如下：可以精简组织、明确责权划分，协调各部门之间、工作环节之间的关系，充分发挥资源潜力并提高经营绩效；可以建立良好的信息和沟通体系，使得各种经济管理信息在企业内部进行有效的流动，提高企业各个层次的反应速度；可以建立有效的内部考核机制，并将考核结果实施到奖惩机制中去，实现企业对部门和员工的激励目标，提高工作效率和效果。

（三）报告目标

它是内部控制的基础目标，要求企业提供真实、可靠的财务报告及其他信息。报告目标更多的基于企业外部的需求，对于外部经营者来说，企业真实可靠的财务报告能够公允地反映企业的财务状况和经营成果，而真实可靠的财务报告是企业管理层人员对于企业内部控制的承诺，也是内部控制成果的展示。要取得真实可靠的财务报告，除了净化外部环境外，还要加强监督、完善内部审计制度、提高内部审计部门的独立性、发挥内部审计的功能。在这个过程中，会计人员要保证所有交易和事项都能够在恰当的会计期间内及时地记录于适当的账户；保证会计报表的编制符合会计准则和会计制度的规定；保证账面资产与实存资产的定期符合一致；保证所有会计记录都经过了必要的复核手续，并确定有关记录正确无误。

一、目前企业会计信息化存在的问题

1、企业管理层对会计信息化的重要性认识不足

目前，相当一部分企业管理层没有认识到会计信息化是会计电算化的新的发展阶段，会计信息化是企业信息化建设中的重要组成部分，他们只是简单的认为会计信息化就是会计电算化，只是利用计算机对会计数据的简单处理，只是使会计人员减轻工作量，提高劳动效率和质量的工具，因此，虽然企业发展了，其管理水平仍然停留在原来的水平上，管理手段和措施也没有多大的变化，有些领导甚至认为，企业己经实现会计电算化就够了，没必要再实现会计信息化，所以对企业的会计信息化不够重视，这些都严重影响了企业会计信息化的进程。

2、企业缺乏复合型会计信息化人才

会计信息化是现代会计和信息技术相结合的产物，对相应的会计人员、管理人员的素质要求大大提高，不仅要求他们要具有较高的会计业务处理技能和管理能力，而且还要精通计算机网络知识、计算机的基本维护技能以及解决实际工作中各种问题的能力。从我国人才供给调查报告来看：我国中低层财会人才供给饱和，甚至过剩，而高尖端信息技术与会计相结合的专业人才却极度缺乏，供不应求。具体体现在会计领域，即能够完成手工记账式的人才比比皆是，而真正能够把现代信息技术引入会计界，能够满足会计信息化需要，推动会计信息化发展的人才却十分欠缺。因此，会计信息化复合型人才的缺乏是制约我国企业会计信息化发展的关键问题。

3、会计信息化与企业信息化未能有机结合

实现会计信息化的主要目的是实现财务、业务、生产一体化，实现物流、信息流、资金流的统一性，这就要求财务信息和业务信息一体化，但从我国目前的实际情况看，还有一部分企业由于管理意识不到位，资金短缺、人员缺乏、业务链脱节等原因使财务软件大多只在财务部门使用，致使财务数据与业务数据不能共享，不仅造成横向上不能与银行、税务等部门信息共享，纵向上不能与客户、供应商及时沟通，而且与企业内部业务部门也没有很好的连接，不能实现财务与业务一体化，从而影响企业会计信息化实现的进程。

4、内部控制方面的问题

（1）会计信息化数据安全控制存在问题

第一，保密性差。在手工会计信息系统中，经济业务均记录在纸张上，所有的数据都以纸张为载体，纸质原件的数据若被修改，很容易辨认出修改线索和痕迹，从而使非法修改在一定程度上可被挽救，但会计信息化环境下，以磁性介质作为信息载体，存储在计算机磁盘上的数据容易被修改，甚至能不留下痕迹地被修改。另外会计信息化环境下，也使得对会计信息档案的复制窃取变得更加容易且不易发现，同时，大部分会计软件都没有对存储在数据库中的数据进行加密，简单的复制数据库文件即可很轻易的获得会计信息化档案资料。

第二，安全稳定性差。现代计算机技术的快速发展，导致计算机病毒日益猖獗。会计信息化档案是以文件形式存储在计算机上的，当前的计算机病毒不仅可以破坏数据和网络通信功能，而且可以从被感染的计算机中获取系统控制权，直接将档案文件通过网络发送给病毒的支配者或监控计算机的硬件设备。不仅如此，随着计算机硬件和网络的发展，计算机病毒感染率正在日益提高，感染途径也从以前的存储介质传播发展到现在的在网络上传播，同时，大量的专用病毒和间谍软件的出现对会计信息化数据的安全造成很大的威胁。

（2）企业授权方式的改变，会使得某些内控制度失效

手工会计信息系统中，每一项会计业务的每个环节都由有相应管理权限的责任人的签名或者是盖章，这种管理方式可以有效地防止作弊。而在会计信息化环境中，系统授权方式是主要是口令授权，通过绕过财务软件的关卡，可以打开计算机财务数据库进入财务报表等系统。同时，业务人员的口令不像印章那样由专人保管，一旦口令被人偷看或窃取，便会带来巨大的隐患。

（3）内容控制的程序化，增加了差错的反复性和严重性

手工会计系统中数据处理环节分散于多个部门、多个员工，一个部门或人员的差错往往可以在下个环节发现和纠正。所以，一般情况下一定时间内差错重复发生的可能性不大。会计信息化环境中，数据处理程序化、自动化、集中化，使得处理结果一旦发生错误，往往就会在短时间内迅速蔓延，造成多种数据文件、账薄及整个系统的会计数据失真，并且可能使系统出现反复性差错。

二、解决会计信息化问题的对策

1、建立会计信息化理念，提高管理层对会计信息化的认识加强对企业高层管理人员的素质教育，进一步转变观念，建立会计信息化的理念，使他们认识到会计信息化和企业信息化是当今知识经济时代的必然趋势，是企业管理的需要，也是企业未来生存和发展的需要，使他们成为会计信息化的倡导者。同时领导要重视会计信息化，提高认识，成立高效务实的会计信息化管理机构，由单位负责人挂帅，由相关职能部门的负责人和技术骨干参加。会计信息化管理机构的主要任务和职责是：制定本单位会计信息化工作的发展规划，组织会计信息系统的建立，建立会计信息化管理制度，组织有关人员参加会计信息化培训与学习，监督会计信息系统的正常运行。

2、加快会计信息化人才的培养。

开展会计信息化工作，人才是关键。针对目前我国会计信息化人才供给现状，培养大量的信息化人才，需要从几方面入手，首先，国家从宏观的角度加大会计信息化方面的教育投资，加大会计教育的改革和发展力度，调动社会各种培训机构的力量，为企业为社会培养大批合格的会计信息化人才，其次，企业应从实际出发，增强企业员工对管理信息化的认识，通过各种途径，加强对高、中级管理人员、IT 负责人，会计人员的培训，提高他们的思想品德、职业道德、业务素质，造就一支多门类、多层次、高水平的专业人才队伍，建立一支精干的会计信息化管理队伍。

3、加快企业信息化进程，实现财务业务一体化

一些企业实施会计信息化后，企业管理信息化工作就处于停顿状态，没有及时开展其他业务系统的信息化建设，或者虽然已经开展了部分业务系统的建设工作，但由于缺乏整体的规划，没有用信息化的理念来指导这项工作，导致会计信息化没有成为整个企业信息化的重要组成部分，这样会导致信息数据在内部外部之间不能共享，信息流通不畅通，既影响了财务管理功能的发挥，又不能满足企业现代化管理的需要。因此，企业信息化包含会计信息化的发展，会计信息化的发展是企业信息化在会计方面发展的体现，没有企业信息化的发展就没有会计信息化的发展，我们要加快企业信息化速度，实现财务、业务、生产一体化，实现物流、信息流、资金流的有效连接，推进会计信息化的发展。

4、加强会计信息化内部控制

在会计信息化的发展进程中，企业加快建立健全完善的企业内部制度。完善的内部控制可以有效减轻由于内部人员道德风险、系统资源风险带来的危害。企业的内部控制制度包括安全保密制度、会计信息化岗位责任制度、日常操作管理制度、系统维护制度和会计信息化档案管理制度。

（1）做好系统的安全保密控制

实现会计信息化后，必须要解决信息的安全问题。由于电子数据高度集中，高度依赖电脑，且受人为操作失误、机器故障、电脑病毒入侵及水灾、火灾等因素影响，数据容易被破坏，因此必须做好会计信息化的安全保密控制，主要控制措施应包括：订立内部操作制度、禁止非电脑操作人员操作财会用电脑、设置操作权限限制、操作人员身份的密码控制、数据存贮和处理相隔离、设置接触与操作的日志控制、机房环境保护、安全供电系统的安装等。另外针对网络黑客和计算机病毒等，企业应增强网络安全防范能力，采用防火墙技术，信息加密存储功能等为会计信息化提供技术支持。

（2）建立会计信息岗位责任制，加强授权审批控制，强化内部牵制

建立会计信息系统岗位责任制，要明确各个工作岗位的职责范围，切实做到事事有人管，人人有专责，办事有要求，工作有检查。会计信息化后的工作岗位可分为基本会计岗位和电算化会计岗位。基本会计岗位可包括：会计主管、出纳、会计核算、稽核、会计档案管理等工作岗位。会计信息化岗位包括直接管理、操作、维护计算机及会计软件系统的工作岗位。实行会计信息化的单位要根据计算机系统操作、维护和开发的特点，结合本单位的会计工作要求，对会计岗位的划分进行调整和设立必要的会计岗位。设置岗位时应根据职责分离的原则分配岗位，同时加强授权审批控制，强化内部牵制制度，通过人员分工、岗位责任制的建立、权限的划分等形式进行控制，防止错漏、舞弊和越权行为的发生。

（3）加强会计信息化档案的管理

良好的会计档案管理是在会计信息化后会计工作连续进行的保障，是保证系统内数据信息安全、完整的关键环节，也是会计信息得以充分利用，更好为管理服务的保证。因此，企业必须建立和完善会计信息化档案管理制度：对会计信息化档案管理要做好防磁、防火、防潮、防尘、防盗、防虫蛀、防霉烂和防鼠咬等工作。重要会计档案应准备双份，存放在两个以上不同的地点，最好在两个不同建筑物内，采用磁性介质存贮会计档案，要定期进行检查，定期进行复制，防止由于磁性介质损坏而使会计档案丢失，严格执行安全和保密制度，会计档案不得随意堆放，严防毁损、散失和泄密，各种会计资料包括打印出来的会计资料以及存储会计资料的软盘、硬盘、计算机设备、光盘、微缩胶片等，未经单位领导同意，不得外借和拿出单位，严格会计档案的借阅权限和借阅手续。存放在磁介质上的会计资料借阅归还时，还应该认真检查，防止感染病毒。