企业内部控制信息系统风险防范措施研究

沈琨 陶福文 刘天鹏

摘 要：计算机会计信息系统形成后，数据的处理、储存等都发生了变化，使会计信息系统面临新的风险，导致内部控制体系失效，本文通过对内部控制信息系统存在的风险进行分析，提出了相应的风险防范措施，从而确保内部控制体系的有效运行。

关键词：内部控制信息系统；风险；防范措施

现代企业内部控制系统作为系统化的信息集成系统，其建立和实施应按照信息系统的专业化方法来进行，同时应确保系统的安全和稳定，以保证企业内部控制系统的有效运行，实现企业内部控制的目标。但随着信息技术的不断发展，使内部控制信息系统产生了新的风险。

一、内部控制信息系统存在的风险

1.系统开发风险。系统开发风险主要来自系统开发人员与用户沟通不足的矛盾。从用户角度讲，用户是否清楚了解自己对系统的要求，能否明确将要求传达给开发人员，用户在不甚清楚其对系统要求时，如何进行有效的沟通，以及选择合适的系统开发方法都是问题；从开发方的角度看，系统调查、系统分析、系统设计等系统生命周期过程中人员等的配置、整合都會给系统开发带来风险；此外，系统试运行过程中的沟通等也会给系统带来风险。

2.人员分工变化以及数据和责任高度集中的风险。在财务集中核算的计算机系统中，由于部分岗位分工的消失，责任也相对集中，在审计轨迹不清的情况下，难以查找责任人。在系统相应保护措施不够的情况下，数据很容易被熟悉计算机系统的人修改且不易被发现。

3.授权风险。在数字签名不被强化，或系统保密性差、维护制度不完善等情况下，系统缺乏有效控制，软件容易被盗用、窜改，造成严重的信息失真。

4.储存介质变化产生的风险。存放于磁性介质上的系统数据库和文件的阅读、修改、复制、删除通常不会留下痕迹，除非有严格的操作日志记录，同时，在多方牵制弱化以及难以实现签字、盖章等的情况下，数据容易被删改。

5.应用软件系统通常缺少对不合理业务的识别能力。计算机只能依照事先设计“机械逻辑”识别业务，而不能如同人工那样实现“专家判断”，一旦事先“灌输”给计算机信息系统的逻辑不合理，如程序上的差错，则可以导致整个信息系统输出的各层次信息的失真。

6.网络安全风险。网络安全风险首先来自于系统的非法侵扰。由于网络信息系统信息具有开放性的特点，网络下的企业信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。这种攻击一旦发生将造成巨大的损失。其次是电子商务对内控的挑战，随着电子商务的迅猛发展，网上交易愈加普遍，在不久后的将来，企业的全部原始凭证都将成为数字格式，这加强了企业对网上公证机构的依赖。但是，目前网上认证中第三方认证发展尚未成熟，有效的第三方牵制尚未形成。第三，网络会计信息系统的复杂性使系统安全控制更加困难，信息来源的复杂性及信息的动态性等特点使审计变得困难，造成信息失真等系统安全性问题。第四，网络控制系统使传统的组织内部牵制作用减弱。计算机及网络的使用大大降低了人工环节，但这一点使传统的制单、复核等内部牵制变得很弱。

二、内部控制信息系统风险防范措施

1.建立新的适合计算机信息系统的内控制度。对于计算机信息系统存在的风险，企业要建立相应的内部控制制度。首先是组织结构要有新的划分标准和方式，这种划分重点要解决计算机人员与一般用户之间的权责划分，保证各类人员之间可以相互监督、制约，形成牵制；其次，计算机人员之间要划分岗位责任，即要降低可以直接接触系统的人员窜改数据的可能性，一般计算机人员包括系统分析员、程序员、操作员、资料保管员和管理人员，这几类人员的职责一定要划分清楚；再次，计算机审计是内部控制的重要组成部分，这种审计包括事后对会计信息系统的审计，还包括事前对信息系统运行程序等的审计以及不定期的信息系统运行审计。

2.系统开发中的控制。首先，根据环境状况选择适当的系统开发方法，做好需求分析工作，进行细致的可行性研究；其次，在系统的总体设计、详细设计以及系统配置方案确定的过程中，要实时做好与用户的沟通，在每一环节上满足用户控制的要求，在系统测试和试运行阶段也要做好沟通工作，保证可以及时、适当地做好系统的完善修改；系统开发的有关文字资料也要妥善控制保证它们形成过程的合理，并得以妥善保存。

3.系统运行中的控制。（1）输入控制。输入控制中首先应当形成业务审批制度，操作人员不能审批修改业务，审批修改应由领导完成；其次，在系统的每一模块设置操作权限和口令密码，对重要的数据，还应当设置多重密码；再次，应建立输入校验控制等。（2）处理控制。处理控制是防止对输入业务的漏处理、重复处理或错误处理，以增加处理活动的可信性。（3）输出控制。输出控制的目的是确保信息系统信息输出或传输的正确性，防止遗失、错发、截留、泄密等。这类控制最基本的方法是定期不定期地打印输出各种信息，还可以进行输入总数、处理总数和输出总数的核对，以及对输出信息进行人工核查等。

4.系统维护中的控制。系统维护安全控制是指对包括系统硬件、软件、数据资料、操作规程等的维护，防止可能引发系统安全问题的情况发生。这类控制首先是系统接触的控制，此外还有诸如系统硬件环境的改良和保持，系统后备控制与灾难补救控制等。

5.数据资源的控制。数据资源的安全隐患，一是来自非法访问；二是来自系统故障、错误操作和人为破坏等。因此，应当建立适当的权责划分制度、数据备份和恢复制度等。

6.网络安全控制。首先要加强组织与管理控制。设置网络管理中心，由网络管理中心进行整体规划，在工作站、终端和人员间划分权责；建立良好的人事制度，优化配置人力资源，建立良好的内部审计制度。其次，加强网络信息系统的开发控制。在系统分析阶段要明确开发目标，进行详实的可行性研究，在系统设计阶段检查模块设计的合理性。利用网络在线测试的功能，检验整个系统的完整性，做好人员和设备等资源的整合配置以及初始数据的安全导入，保证新旧系统的转换有序进行。及时发现和修补网络系统应用程序可能存在的安全漏洞。再次，加强日常操作管理控制。要建立良好的操作制度，对系统人员的操作进行严格管理，建立安全检测预警制度。另外，还需对网络系统的软硬件、系统数据资源、防入侵、网上交易、远程处理等进行有效控制。

参考文献：

[1]杨炳志.互联网+环境下会计信息系统内部控制研究[J].商场现代化，2017（4）.

[2]杭天竹.大数据环境下的企业信息系统内部控制风险探析[J].中国管理信息化，2016（9）.

[3]陈萍.ERP环境下财务会计信息系统的内部控制与风险管理[J].中外企业家，2017（6）.

作者简介：沈琨（1979.11- ），女，江苏南通人，硕士，南通职业大学经济管理学院