会计信息系统的风险

二、会计信息系统的风险

1．会计信息系统的风险特点

计算机信息手段的应用，改变了原来手工会计的作业环境，这种环境的改变可能使原来手工方式下的某些风险变得无足轻重甚至消失，但又会产生一些新的风险。这些风险可能贯穿于会计信息系统生命周期从分析、设计、实施、运行、维护，直到生命终结的全过程。限于篇幅，这里我们更多地侧重于讨论系统运行阶段的风险。

会计信息系统在运行阶段，由于人为或非人为的因素，可能会面临运行正确性、可靠性、安全性以及运行效率等方面的风险。而系统运行的正确性、可靠性和运行效率与系统分析和设计阶段的工作质量有很大关系，因此，我们这里主要研究会计信息系统运行安全方面的风险。系统运行安全的风险可能会为企业造成信息失真、资产损失、重要信息泄露或系统运行失常乃至瘫痪的风险损失。这些风险主要有以下特点：

（1）隐蔽性。会计信息系统在现代计算机网络信息环境下运行，可能会使不怀好意者对系统的攻击更具隐蔽性。作案人甚至不用亲临现场，如使用病毒或其他高科技通信工具，就可以对系统实施不同程度的攻击，而且作案后不留痕迹。由于会计数据电子存储的特点，这种攻击发生后，也容易使系统受到的侵害不会轻易被发现。

（2）高科技性。非法入侵者可以利用各种计算机及网络技术手段实现对软件的非法修改、非法接入硬件、破坏传输系统、释放病毒及黑客袭击、设置网上陷阱截获用户密码等，达到自己非法的目的。其手段具有较高的高科技含量。

（3）风险产生损失及后果的严重性。由于会计信息系统具有高度集成和高科技的特点，所以任何病毒、黑客等人为因素和水灾、火灾、地震等自然因素对系统造成的损失和后果都是严重的，其损失和影响将难以估量。轻者可能会使系统运行失常，重者则可能导致系统瘫痪或重要机密丢失、泄露。

（4）差错出现的蔓延性和反复性。手工环境下的数据处理过程分别是由多个部门、多个岗位和多个人员共同完成的，当数据发生差错时，往往在下个处理环节就会被及时发现和改正。因此，手工环境下发生的差错通常只是个别现象，一定时间内一般不会发生重大的差错；但在信息化条件下，由于数据处理的高度集中和自动化，当数据处理出现差错时，往往在短时间内就会迅速蔓延至整个系统，以致造成多种文件、账簿、报表以至整个系统失真。特别是差错出现在源程序上时，这种错误将会伴随着每次数据的处理过程而反复发作。

（5）数据整体缺乏安全性。会计信息系统中的数据存储是高度集中化和磁性介质化的，它一方面为人们快速查询和综合分析提供了极大的方便，但另一方面也使系统数据存在着巨大的安全隐患。如未经授权的人员对数据的非法调用、篡改和删除而不留下任何痕迹，另外自然灾害、黑客入侵、病毒、工作失误或人为破坏也随时会造成数据一定程度的毁损或丢失。

（6）对不合理业务缺乏识别能力。计算机数据处理具有速度快、精度高的特点，但对不合逻辑、不合理，以及非常规事件却缺乏综合的判断和处理能力。如会计事项记录中存在不合企业政策，或违反会计准则、法律、法规等记录时，如果控制不力，计算机是无法判断和识别的，而这类错误也往往是计算机会计信息系统运行中最常遇到的风险。这类错误还包括如分录“串户”和会计分期及特殊业务归类差错等方面的情况。

（7）系统软件运行程序被篡改的风险。在信息化条件下，除人的因素外，系统的工作主要是靠计算机软件来实现自动处理的。如果软件的运行程序被非法调用或篡改，那么整个系统就会处于失控和失真的状态。这是信息化后出现的一个新的风险控制点。

由此看来，加强会计信息系统控制，是会计信息化过程中一个十分重要和迫切的任务，它的重要程度甚至比会计信息化本身更重要。国内外发生的许多事实说明，虽然随着信息化技术的不断进步和完善，在系统中出现的错误和舞弊的次数有所减少，但每次所造成的损失程度则有所增加。

2．会计信息系统的风险种类

我们这里也仅限于安全方面的风险探讨。

（1）系统固有的安全风险。也就是系统在设计和实施过程中出现的安全风险。会计信息系统在设计、制造和组装过程中，由于人为和自然的原因，可能会留下各种安全方面的隐患。例如，首先是在硬件方面的隐患。其主要表现为物理安全问题，如物理可存取和电磁兼容等问题；其次是在软件方面的隐患。其主要表现为在软件设计和工程实施中所遗留下的问题。软件设计中的疏忽可能会为系统以后运行稳定性和安全性等留下漏洞和隐患；再者是网络和通信协议方面的隐患。因特网是一个没有明确物理界限的网际，而支持因特网运行的TCP/IP协议栈在设计的当初主要是考虑了互联、互通和资源共享等良性方面的问题，而对来自网际的大量安全问题则考虑较少。如对通信双方真实身份的鉴别，以及TCP/IP在IP层上缺乏对路由协议的安全认证。应用层处于最顶部，下层的安全缺陷必然会导致应用层的安全出现漏洞甚至崩溃，同时各种应用层协议本身也存在一些安全隐患。

（2）由人为恶意操作或舞弊产生的安全风险。首先是针对硬件系统：如不按操作规程使用硬件设备而引起的硬件系统损坏（如不按正确顺序开启设备致使硬件系统被烧或无法正常运行等），或在系统中非法接入硬件设备以窃取密码和重要信息等；其次是针对软件系统：对软件系统攻击和舞弊的方法和手段更是多种多样，常用的方法有截尾术、越级法、程序天窗、逻辑炸弹、冒名顶替等；第三是针对数据进行的破坏：其中最简单且最常用的方法就是篡改输入，即在输入计算机之前或输入过程中篡改原始数据内容。另外还可以通过改变系统的执行路径对数据进行破坏，等等；第四是由于计算机病毒所引起的安全风险：计算机病毒实际上就是一段小程序，它可以自我复制，并常驻于内存、磁盘的引导扇区或磁盘文件中，在计算机系统或网络之间进行传播，常常在某个特定的时刻“引爆”，并对系统的程序、数据、乃至硬件进行恶意攻击；第五是由于网络黑客所引起的安全风险：黑客是指非经授权侵入到网络或系统中的用户或程序，黑客最常用的诡计有：采用多种程序以极快速度并用无数消息“轰炸”某个特定用户的系统直至造成系统的瘫痪，或通过盗窃系统合法用户口令并通过该口令合法登录系统以实现非法目的，等等。

（3）由系统管理不善所产生的安全风险。对计算机系统进行管理，其重要的、且也是有效的手段就是密码授权手段。系统中的各种岗位分工和相互牵制机制的实现，几乎都是通过密码授权手段来完成的。密码授权不同于手工方式下所使用的原始的、人为式的手工签名手段（在手工方式下多是通过手工签名来实现相互牵制和制约的，而有些甚至只是口头约定就已经很有效了）。计算机系统具有“只认口令不认人”的特点，也就是说，操作者无论通过何种方式（当然也包括非法的方式），只要获取了授权文件或注册系统的密码，也就获得了在密码授权范围内一切通行无阻的权利。因此，密码一旦失控被非法者所得或由一人掌控了多个具有相互牵制关系的岗位密码，那么其后果将是不堪设想的。