274.A试论IT环境下如何加强会计信息系统风险管理 论文.doc

《274.A试论IT环境下如何加强会计信息系统风险管理 论文.doc》由会员分享，可在线阅读，更多相关《274.A试论IT环境下如何加强会计信息系统风险管理 论文.doc（30页珍藏版）》请在三一办公上搜索。

1、科技学院毕业设计（论文）题 目 试论IT环境下如何加强会计信息系统风险管理 院 （系） 经济管理学院 专业班级 会计学本科2006级 学生姓名 学号 指导教师 职称 副教授 评阅教师 职称 2010年 6 月 10 日学生毕业设计（论文）原创性声明本人以信誉声明：所呈交的毕业设计（论文）是在导师的指导下进行的设计（研究）工作及取得的成果，设计（论文）中引用他（她）人的文献、数据、图件、资料均已明确标注出，论文中的结论和结果为本人独立完成，不包含他人成果及为获得科技学院或其它教育机构的学位或证书而使用其材料。与我一同工作的同志对本设计（研究）所做的任何贡献均已在论文中作了明确的说明并表示了谢意。

2、毕业设计（论文）作者（签字）： 年 月 日科技学院本科生毕业设计（论文）试论IT环境下如何加强会计信息系统风险管理院（系） 经济管理学院专业班级 会计学2006级 学生姓名 指导教师 副教授 2010年 6 月 10 日摘 要随着计算机在会计领域的应用与普及，会计信息系统由传统手工会计信息系统发展到电算化会计信息系统。但在电算化会计信息系统使会计核算变得简便的同时，由于某些主客观因素的存在，当前会计信息系统也面临着很多新的风险和挑战，如信息易被盗取、网络安全隐患、内部控制薄弱引起的风险等等。在为人类社会的发展做出巨大贡献时，计算机信息系统也存在着很多不完善和不安全之处，网络的资源共享等特点更增

3、加了系统中信息保护的脆弱性和复杂性。对会计信息系统进行风险分析和风险防范是当前急需解决的问题。本文根据会计信息系统的特点，通过分析IT环境下技术、人员素质、信息传递方式等变化，对会计信息系统风险进行分析和阐释，并提出会计信息系统风险管理的具体防范措施。关键词：计算机会计信息系统 IT环境 风险 控制措施 内部控制ABSTRACTWith the computer in the accounting field of application and popularization of, accounting information systems from the traditional man

4、ual accounting information system developed to Computerized Accounting Information System.Though accounting becomes easy by computer-based accounting information system ，at the same time, owing to certain factors in subjective or objective exist, the current system of accounting information is faced

5、 with many new risks and challenges, such as information to be stealed easily 、network safety pitfalls、Internal control weakness of the risks and so on. The computer-based information system is also existent a host of faultiness and insecurity while it have being contributed a great deal to the deve

6、lopment of human civilization.The risk analysis and risk prevention is to be solved first and foremost.The basis of accounting information system. by analyzing the IT environment techniques, personnel quality and information flow in the way,to analysis and conflict the risk of AIS, and risk manageme

7、nt of specific preventive measures.Key words: computer-based accounting information system；IT environment；risk；control measure；Internal Control目 录中文摘要.I英文摘要.II一 绪论.1(一）信息系统风险及安全.1(二）信息系统风险的影响因素.3(三）信息系统安全特性.4二 手工会计信息系统与计算机会计信息系统.4(一） 会计电算化同传统手工会计的联系.4(二）会计电算化同传统手工会计的区别.5三 IT环境下会计信息系统新的风险.7(一）新的风险.71

8、 计算机软硬件技术不足引致的风险.72 网络安全隐患引致的风险.83 企业内部控制弱化引起的风险.8(二）IT环境下新风险的特点.91 错误的系统性、反复性发生.92 数据的安全性受到威胁.93 程序不能满足实际需要或被非法篡改.104 会计业务缺乏有效控制.105 网络环境下无形资产转移难以控制.10四 解决方法.13(一)加强软硬件及网络安全控制.13(二)加强企业内部控制.14五案例分析.17(一)公司简介.17(二）会计信息系统建设.17(三)风险分析.181 购买财务软件前的风险分析.182 购买财务软件之后的风险分析.18(四)结论.191 加强软硬件控制.192 加强网络安全控制

9、.193 加强企业内部控制制度.19参考文献.22总 结.23致 谢.24一 绪论会计电算化是以电子计算机为主的现代电子技术和信息技术应用到会计实务的简称，是电子计算机代替人工，实现报帐、记帐、算帐、查帐以及部分需由人工完成的对会计信息（数据）的统计、分析、判断乃至提供决策的过程。它的使用，使会计人员从繁重的手工劳动中解脱出来，节约了大量的人力、物力和时间，具有运算速度快、存储容量大、数据高度共享、检索查询速度快捷、编制报表简单、数据分析准确等特点，核算手段和财务管理决策的现代化使收集、整理、传输、反馈的会计信息更准确、更及时，提高了会计分析决策能力，为管理者提供所需的会计信息，更好地实现其参

10、与管理、决策的职能。随着现代计算机技术的不断发展，会计电算化在社会经济中的运用越来越广泛。然而,信息技术是一把双刃剑,随着企业信息系统的应用和会计信息系统的普及,信息技术帮助企业改善了经营管理,提高了营运效率和信息质量水平,这些都显现出了其有利的一面；但与此同时,恶意的数据窃取,计算机舞弊等现象屡见不鲜,这又折射出了信息技术的不利一面.在这样的环境下，原来手工会计信息系统下所面临的风险也随之发生了变化，并越来越受到人们的关注。严峻的现实告诉我们，信息系统安全问题已经成为企业实施现代化战略是不得不重视的一大问题，如何对信息系统的安全进行评价、如何对信息系统的风险进行科学评估并以此为基础构建高效、

11、合理的风险控制体系已然成为每一个建立信息系统的企业首先要面对的重大问题。（一）信息系统风险及安全1会计信息系统风险会计信息系统风险：是指会计信息系统分析、设计、实施、运行、维护直到寿命期结束系统报废的全过程面临的风险。其中在运行阶段，会计信息系统面临着由于人为的或非人为的因素导致的系统运行正确性、可靠性、安全性以及运行效率等多方面的风险。由于信息系统的正确性、可靠性和运行效率主要取决于分析、设计阶段而非运行阶段，因此本文对会计信息系统风险的分析，主要指会计信息系统的安全风险，会计信息系统控制也主要针对安全风险1。2会计信息系统安全风险 会计信息系统安全风险是指由于人为的或非人为的因素使得会计信

12、息系统保护安全的能力减弱，从而造成损失的可能性。会计信息系统风险具有以下特点： （1）隐蔽性强 会计信息系统风险的隐蔽性主要表现在以下几方面： 舞弊的手段更具隐蔽性。通过使用计算机及通讯设施等高技术工具，作案人不用亲自到现场就可以完成犯罪活动。 系统受到侵害后，不易被发现。由于所有的数据和程序都是以电子文件存储，数据文件受到篡改后可以不留下任何像手工业务处理下的笔迹、涂改、伪造之类的痕迹，同时由于数据存储在磁盘、光盘、胶片之类的信息媒体上，人的肉眼无法直接识别，因此，即使数据文件的内容已经有非法更改、程序已经有变化，操作者也难以发现；同时，操作者通过计算机读出的信息与媒体上存储的信息并不完全等

13、同，即存在着输出的数据是正确的，而数据文件中存储的数据有问题的可能，使错弊难以被发现。错误和舞弊人员不易被发现。无论是系统的合法用户还是非法破坏者，由于手段的隐蔽、作案后留下的线索和痕迹较少、系统内外部人员相互勾结以及远程破坏等原因都使系统安全遭到破坏后难以及时发现错弊者。 （2）风险损失及后果严重 由于难以及时发现,错弊可以反复多次出现而不被察觉,一旦发现,已经损失巨大。 由于计算机病毒、黑客等不仅威胁数据甚至破坏程序、硬件系统等,可以造成单位计算机系统的瘫痪,系统难以恢复,从而导致数据丢失或系统无法进行正常业务处理，造成巨大损失。 如果企业经营决策信息、技术机密、其他保密数据等重要信息被泄

14、露的话,其损失和影响将难以计量；此外，由于水灾、火灾、地震等破坏性自然灾害造成计算机系统破坏，数据丢失，其后果严重。 （3）舞弊手段和方法先进网络环境下，由于各种信息都存储在非纸质媒体上，除非直接窃取或破坏有关媒体(如盗窃存放数据、程序、重要资料的软盘、撕毁原始凭证等)，舞弊基本上都利用计算机、通讯设施等现代化工具通过修改软件、非法接入硬件、破坏传输系统、释放病毒、黑客袭击等隐蔽的方法和手段达到非法目的。比如：在网上设置陷阱，在用户不知不觉中截获用户密码，然后以合法身份进入系统进行非法操作等。信息系统安全是一个多维、多层次、多因素、多目标的体系，虽然信息系统安全的唯一和最终目标是保障信息内容在

15、系统内的任何地方、任何时间和任何状态下的机密性、完整性、可用性、可审查性及抗抵赖性，但是离开了信息系统安全的体系，单纯地寻求直接保护信息内容的方法，显然是舍本逐末。信息系统依附于国家、组织机构或个人，它是国家、组织机构或者个人应用业务与管理体系的网络化映射2。（二）信息系统风险的影响因素1硬件组织信息系统硬件组织的安全隐患多来源于设计,主要表现为物理安全方面的问题.各种计算机或网络设备,除难以抗拒的自然灾害外,温度、尘埃、电磁场等也可以造成信息的失效或泄漏。信息系统在运行时，向外辐射电磁波，易造成敏感信息的泄漏。由于这些问题是系统自身固有的，除灾管理上强化人工弥补措施外，采用软件程序的方法见效

16、不大，因此，在设计硬件或选购硬件时，应尽可能减少或消除这类安全隐患。2软件组织软件组织的安全隐患来源于设计和软件工程中的问题。软件设计中的疏忽可能留下安全漏洞；软件设计中的不必要的功能冗余及软件过长、过大，不可避免地存在安全脆弱性；软件设计不按信息系统安全等级要求进行模块化设计，导致软件的安全等级不能达到所声称的安全级别；软件工程师编程过程中造成的软件系统内部逻辑混乱，导致垃圾软件，这种软件从安全角度看是绝对不可用的。3网络和通信协议由于局域网和专用网络的通信协议不能直接与异构网络连接通信，也就是说，它具有相对封闭性，因此比开放式的internet的安全特性要好些，但信息的泄漏和基于协议分析的

17、搭线截获等问题客观上仍然存在。安全问题最多的是基于TCP/IP的internet及其通信协议。Internet存在着以下几种致命的安全隐患：（1）由于TCP/IP使用IP地址作为网络节点的唯一标识，使用准确IP地址的网络拓扑对internet来说是暴露的，容易受到攻击，而且IP地址很容易被伪造或更改，故缺乏对用户真实身份的鉴别。（2）缺乏对路由协议的鉴别认证。TCP/IP协议在IP层上缺乏对路由协议的安全认证机制，对路由信息缺乏鉴别与保护。因此可以通过internet利用路由信息修改网络传输路径，误导网络分组传输。（3）TCP/UDP的缺陷:建立一个完整的TCP连接，需要“三次握手”的过程，在

18、此过程中若IP地址是假的，是不可达的，那么就会是TCP出于“半开”状态，易遭受攻击；TCP提供可靠连接是通过初试序列号和鉴别机制来实现的，但这些初试序列号并非随机产生，若攻击者猜出了序列号，就会遭受攻击；UDP（user datagram protocol）是一个无连接控制协议，极易受IP源路由和拒绝服务型攻击；TCP/IP协议层结构中，应用层位于最顶部，下层的安全缺陷必然导致应用层的安全出现漏洞甚至崩溃；且各种应用服务协议本身也存在安全隐患，极易引起针对基于TCP/IP应用服务协议和程序方面安全缺陷的攻击并获得成功。4管理者信息系统的运行主要依靠系统的管理者来具体实施的，他们既是信息系统安全

19、的主体，也是信息系统安全管理的对象。管理者包括系统管理员、信息安全管理员、网络管理员、存储介质保管员、操作人员、软硬件维修人员等。（三）信息系统安全特性1可信性可信性是要求信息系统对信息输入、处理和输出的全过程必须进行必要的识别和验证，以确保信息的真实可靠。可信性是信息系统安全的最基本也是最为重要的一项要求。如果信息系统缺失可信性，那它反映的就有可能是不真实、不可靠的信息，信息系统的安全就无从谈起。2可用性可用性是指信息系统能够在规定条件下和规定的时间内完成规定的功能的特性，它是信息系统安全的最基本要求之一。可用性通过抗毁性、生存性以及有效性来衡量测度。所谓抗毁性是指信息系统即使在灾害或人为破

20、坏下还能保持可用的程度，比如，部分线路或者网络节点失效后，系统能否继续提供一定程度的服务；所谓生存性是指在随机破坏下系统的可用程度，这里的随机破坏是指信息系统部件因为自然老化等原因所造成的自然失效；所谓有效性则指一种基于业务性能的可用程度，主要反映在信息系统的部件失效情况下满足业务性能要求。3机密性机密性也叫保密性，是指信息系统能够保证信息不被泄漏给任何非授权的用户、实体或过程，或者供后者利用的特性，即保证信息只给授权用户合理使用的特性。机密性是在可用性基础上，保障信息系统安全的重要特性。4完整性完整性是指信息在未授权之下不能擅自变更的特性，即网络信息在存储或传输过程中不被偶然或故意删除、修改

21、、伪造、插入、重置等行为破坏和丢失的特性。完整性要求信息系统必须保持信息的原样，即信息在信息系统中始终能够正确生成、正确存储和正确传输。5抗抵赖性抗抵赖性是指要求信息系统在信息的传输、处理和存储等过程中要有据可查，使得相应的操作主体或者交易主体无法否认过去真实发生的、对信息所作的记录、处理、查询或者其他操作性行为3。二 手工会计信息系统与计算机会计信息系统管理水平的提高和科学技术的进步对会计理论、会计方法和会计数据处理技术提出了更高的要求，使会计信息系统由简单到复杂，由落后到先进，由手工到机械，由机械到计算机。会计信息系统的发展历程是不断发展、不断完善的过程。从数据处理技术上看，会计信息系统的

22、发展可分为三个阶段：手工会计信息系统阶段、机械会计信息系统阶段还有基于计算机的会计信息系统阶段。在此，我们仅就手工会计信息系统和计算机会计信息系统进行阐述。会计信息系统是利用信息技术对会计信息进行采集、存储和处理，完成会计核算任务，并支持会计管理、会计分析、会计决策的信息系统。会计信息系统的目标是为组织内外部的信息使用者提供有用的会计信息和相关的非会计信息，并通过对信息的管理为组织创造价值。基于计算机的会计信息系统基本要素包括：硬件资源，即输入设备、数据处理设备、存储设备、输出设备和各种网络设备；软件资源，包括操作系统、数据库管理系统等；信息资源，如数据文件、会计规范等等；人力资源，包括会计人

23、员、财务管理人员4。传统手工会计信息系统是指财会人员以纸、笔、计算器等为工具，实现对会计数据的记录、计算、分类、汇总，并编制会计报表。电算化会计信息系统是指用计算机对会计信息进行处理，会计数据的主要处理过程全部由计算机系统自动完成，如数据检验、分类、记账、算账、编制会计报表等，并能准确、高效地完成任务。（一） 会计电算化同传统手工会计的联系系统目标一致。两者都对经济业务进行记录和核算，目标都是为了加强经营管理，提供会计信息，参与经营决策，提高企业经济效益。基本会计理论与方法一致。两系统都要遵循基本的会计理论和方法，都采用复式记账原理。都要遵守会计和财务制度，以及国家的各项财经法纪，严格贯彻执行

24、会计法规，堵塞各种可能的漏洞。系统的基本功能相同。都具备信息的采集输入、存贮、加工处理、传输和输出这五项功能。都要保存会计档案。作为会计信息系统的输出，会计信息档案必须妥善保存，以便查询。编制会计报表的要求相同。两系统都要编制会计报表，并且都必须按国家要求编制企业外部报表。（二）会计电算化同传统手工会计的区别 系统初始化设置工作有差异。手工会计的初始化工作包括建立会计科目，开设总账，登录余额等；会计电算化的初始化设置工作则较为复杂，主要有会计系统的安装，账套的设置，权限的设置，会计科目及其代码的建立，初始余额的输入，自动转账分录定义，会计报表名称、格式、数据来源公式的定义等5。 科目的设置和使

25、用上存在差异。在手工会计中，将账户分设为总账和明细账，明细账大多仅设到三级账户，此外，再开设辅助账户以满足管理核算上的需要；科目的设置和使用一般都仅为中文科目。而在会计电算化中，有的财务软件将科目的级数设置到6级以上，除设置中文科目外，还设置与之对应的科目代码，使用科目时，计算机只要求用户输入某一科目代码，而不要求输入该中文科目，但在显示打印时，一般都将中文科目和与之对应的科目代码同时显示。 账务处理程序上存在差异。手工会计采用不同的会计核算形式，常用的有记账凭证核算形式、科目汇总表核算形式、汇总记账凭证核算形式、日记账核算形式等，对业务数据采用了分散收集、分散处理、重复登记的操作方法，通过多

26、人员、多环节进行内部牵制和相互核对，目的是为了简化会计核算的手续，以减少舞弊和差错。而在会计电算化中常用的是日记账文件核算形式和凭证文件核算形式，在一个计算机会计系统中，通常只采用其中一种核算形式，对数据进行集中收集、统一处理、数据共享的操作方法。6而且由于计算机处理数据差错的概率小，没必要象传统会计那样，在数据处理过程中，进行各种核对，如帐帐核对、帐证核对、帐表核对。现在的会计人员应该没有过这种体验：到了月底对帐时，为了几分钱的差额而必须翻遍所有的凭证、帐册。账簿格式存在差异。在手工会计中，账簿的格式分为订本式、活页式和卡片式三种,现金日记账、银行存款日记账和总账必须采用订本式账簿。而在计算

27、机会计系统中,由于受到打印机的条件限制,不太可能打印出订本式账簿,因此根据会计电算化工作规范规定,所有的账页均可按活页式打印后装订成册。电算化会计建立了一套新的会计资料档案。传统会计档案包括原始凭证、记账凭证、日记账、明细账、总账以及报表。一个单位每个会计期间的会计档案都要按一定的要求排列，连同各种附件定期加具封面，装订成册，耗费了大量的时间和空间，查找十分不便，又易于毁坏。原来的老会计人员现在应该还记得每到月初报表出来以后，还有一项重要的工作要做装订凭证，虽然美其名曰：活动筋骨，但穿孔打眼，飞针走线，也够难为我们的会计人员了。等到年底，三大检查团来检查工作时，我们的会计人员还得在堆积如山的档

28、案库中翻找凭证。现在，随着计算机在会计中的运用，这一切都成为历史，电算化会计档案都存放在软盘或硬盘等设备中，这些设备的存贮密度，是以往任何一种会计档案所不能比拟的，查询速度快、检索能力强，可以快速传递会计信息。此外，电算化会计与传统手工会计记账的含义业不尽相同。手工条件下，记账指明细账、日记账、总账由不同人员按照不同的科目，分别在不同的帐册上加以记录。这种重复而繁琐的抄抄写写造成会计工作周期长，速度慢，效率低。电算化后，记账仅是一个数据处理过程，通过记账这一数据处理步骤，使被审核过的记账凭证成为正式会计档案，从“凭证临时库”转移到“流水帐库”中存放，记账后的凭证不再允许修改，记账的同时，对科目

29、的发生额进行汇总，更新“科目余额，发生额库”。而真正的帐册，只有在需要时临时从“流水账库”中把有关科目的经济业务分离出来，在屏幕上显示或在打印机上打印。并且相对于传统会计，电算化会计提供的信息具有速度快、质量高、针对性强的特点7。三 IT环境下会计信息系统新的风险（一）新的风险网络环境下的会计信息系统是一种互联网结构的系统。企业的网络通过互联网，为企业内各部门之间，企业与客户、供应商之间，企业与银行、税务、审计等部门之间建立开放、公布、实时的双向多媒体信息交流环境创造了条件；也使企业会计与业务一体化处理和实时监控成为现实。由于互联网系统的分布式、开放性等特点，与原有集中封闭的会计信息系统比较，

30、系统在安全上的问题更加突出。网络环境下的会计信息系统是由硬件设备、软件、数据、规程和人员等组成的，是建立在计算机技术基础之上的，而计算机系统存在固有的脆弱性，使会计信息系统内部存在隐患。1计算机软硬件技术不足引致的风险信息系统的运行依赖于计算机软硬件技术，无论信息技术多么先进，都难免会有缺陷，这会导致信息系统有可能存在一定的风险。目前，我国很多国产的电算化软件已得到较大发展，但仍存在一些技术上的问题。由于会计信息系统自身存在的隐患，使得我们不易发现存在的问题8。 （1）信息可存取性。在知道存取码和有效的口令后，非法者可进入系统，存取系统中的信息，并可按其需要将信息复制、删改或破坏。 （2）软件

31、脆弱性。软件前期基本上是迎合硬件发展起来的，操作系统的设计着重于提高信息处理的能力和效率，对于安全只作为一项附带的条件加以考虑。因此，在操作系统中不安全的隐患相当多。 （3）存储介质的不安全性。存储介质易受意外损坏，也易被带走。另外，在大多数计算机操作系统中，删除文件时只删除了文件名，释放了相应的存储空间而文件 内容 仍保留在介质上，这样就会造成大量信息的丢失或被盗取。 （4）通信与网络的弱点。通信线路易受物理破坏，易被搭线窃听，串音易引起传导泄漏。网络规模越大，通信线路越长，这种弱点也随之增加。 （5）电磁泄漏。计算机内的信息可以通过电磁波形式泄漏出去，任何人都可借助不复杂的设备在一定区域范

32、围内收到它而造成信息失密。 （6）渗透问题。在通用性设计思想指导下，计算机系统尤其是计算机网络可以提供公用服务和资源共享，这样虽然扩大了用户群，方便了用户，但同时也为入侵者提供了渗透的途径。以上计算机系统固有的脆弱性，极易导致网络环境下会计信息系统数据丢失，甚至发生瘫痪现象，构成了网络环境下会计信息系统的风险。（7）不可预测的灾害。不可预测的灾害虽然发生的概率非常小，但对信息系统的破坏性极大，所以必须引起足够的重视，例如火灾等自然灾害或元件的突然损坏，都可能造成整个系统的毁灭。2网络安全隐患引致的风险网络安全隐患包括以下四个方面：（1）操作系统隐患。操作系统及网络操作系统的安全弱点令人担忧，迄

33、今为止，没有任何一个操作系统是对外部攻击完全免疫的，这就意味着只要黑客们找到了操作系统安全漏洞，他们就有可能对基于操作系统的信息系统发动攻击。比如，当用户默认安装WINDOWS NT4.0时，由于系统预设了一个“访问用户”，这个用户拥有进入系统的授权，这样就为非法闯入者打开了方面之门9。（2）网络服务器隐患。网络服务器是信息系统安全防范的第一线，因为这是外来访问者最经常经过的入口。网络服务器本质上说只是操作系统的一个延伸，因此任何操作系统层面的安全弱点都会在网络服务器上产生相应的问题。除此之外，不恰当的配置也会大大减低网络服务器的安全性。（3）局域网的隐患。当网络服务器被置于一台通过局域网连接

34、了许多客户机的主机上时，局域网会因此面临特别的风险，黑客可以从其中一台客户机进入随后攻击整个局域网。（4）各种服务程序的隐患。许多网络服务器上不仅运行网络服务程序，而且还提供一些其他服务，比如文件传输服务、电子邮件服务以及远程控制服务等。每增加一项服务，就意味着同时增加了一份系统安全隐患，也就为黑客进入系统打开了一扇方便之门。在网络安全隐患得不到有效控制的情况下，信息系统就会受到包括黑客非法入侵、病毒危害等各方面的风险。在网络化系统中，计算机病毒不再靠磁盘和光盘传播，开始通过电子邮件传播计算机病毒。黑客的入侵也相当猖獗，主要来自社会上一些不法分子对企事业单位和政府机关互联网的入侵。这种风险范围

35、广，危害大。它包括截收、仿冒、窃听的迅速普及和广泛应用，计算机病毒的传播呈现渠道多样化、速度快捷的特点，危害也在不断加剧，这对网络环境下会计信息系统构成很大威胁。另外还有利用计算机进行经济犯罪等10。 3企业内部控制弱化引起的风险由于内部控制弱化，使得财务数据更易被控制和操纵，主要表现为授权控制下降、不相容职能分离和职责分工的重要性下降以及凭证、账簿的作用弱化。（1）操作人员带来的风险。操作风险主要包括操作程序不规范和操作人员防范意识不强造成的风险。如操作人员缺乏安全意识和网络安全防范措施，对于网下载的电子邮件或会计信息资源不做安全性技术检查、测试；操作人员不按规范操作，随意开关机；操作人员对

36、会计数据的非法访问、篡改、泄密和破坏等方面的风险。 （2）系统关联方道德风险。主要指关联方非法入侵单位网络财务软件系统，以剽窃财务数据和知识产权、破坏系统、干扰单位正常交易等产生的风险。单位关联方主要包括客户、供应商、软件开发商，也包括银行、税务、审计、保险、财政等部门。单位与关联方之间通过互联网进行业务和数据交换，这种特殊的交换关系使关联方之间道德风险的发生成为可能，尤其是软件开发商，他们非法入侵单位财务系统不易被发现，其危害是不容忽视的11。 （3）传统职责分离失效带来的风险。传统会计系统强调对业务活动的使用授权批准和职责性、正确性、合法性，但是在网络财务系统中，会计信息的处理和存储集中于

37、网络系统，大量不同的会计业务交叉在一起，加上信息资源的共享，财务信息复杂程度提高，交叉速度加快，使传统会计系统中某些职权分工、相互牵制的控制失效，原来使用的靠帐簿之间互相核对实现的差错纠正控制己经不复存在。因而，传统会计系统的内部控制机制与手段己不适应网络环境。 （二）IT环境下新风险的特点1错误的系统性、反复性发生在手工系统中，发生差错往往是个别现象，且由于不相容职责的相互分离，数据处理缓解分散于多个部门，由多个人员完成，一个部门或人员的差错往往可以在下一个环节中发现和改正。所以一般而言，一定时间内数据中反复发生错误的可能性并不大。但计算机系统处理的集中化，加之计算机运算的高速性，使得其处理

38、结果一旦发生错误，就往往在短时间内迅速蔓延，使得多种文件、账簿、以至整个系统失真。如果发生错误的原因在于系统程序和系统软件，则计算机就会重复执行同一错误操作。更为甚者的是由于会计人员对计算机专业知识所知甚少，很难及时发现这些漏洞，致使系统会多次重复同一错误，扩大损失。2数据的安全性受到威胁（1）数据大量集中存储于磁、光介质中，一旦发生火灾、水灾、被盗之类的事件，就可能是全部数据丢失或者毁损；同时磁、光介质对环境的要求较高，不仅要防水、防火，还要防尘、防磁，而且对温度还有一定的要求，从而增加了数据的脆弱性12。（2）原始凭证数字化，易于伪造。计算机的存储方式是信息转化为数字形式存储在磁(光)介质

39、上，因此极易被非法修改、删除、转移甚至伪造而不留任何痕迹。（3）计算机系统的突出特点是其处理和存储的集中化，由此对数据安全带来一定的威胁。如未经授权的人员可以利用计算机轻而易举的浏览其他部门文件和数据，从而使得机密数据被泄漏。（4）网络环境具有开放性的特点，这给会计信息系统的内部控制带来了许多新问题。如在网络环境下，信息来源的多样性，有可能导致审计线索紊乱；大量会计信息通过网络通讯线路传播，有可能被非法拦截、窃取甚至篡改；网络会计信息系统遭受病毒入侵或黑客攻击的可能性更大等。总之，网络环境的开放性和动态性，加剧了网络会计信息失真的风险，加大了网络会计内部控制的难度13。3程序不能满足实际需要或

40、被非法篡改计算机完全依靠程序进行操作，如果程序设置失误或程序被篡改，即便是数据源真实、准确，最终产品一信息依然避免不了失真。因此对程序的控制，这一在手工系统中不曾有的控制手段在计算机系统中却至关重要。（1）计算机会计信息系统的建立是一个复杂的过程，不仅需要很多计算机和通讯技术知识，也需要能满足用户特殊需要的相关专业知识。而我国目前的现状是：计算机专业人员往往不懂会计与审计知识，而会计审计人员又对计算机知识知之甚少。因此由于知识背景的差异，往往造成理解上的障碍，使得程序设置失误，未能有效满足客户的特殊需要。（2）无论国外还是国内，操作人员利用工作之便篡改程序以达到非法目的的事件一直屡见不鲜，因此

41、如何对接近计算机系统的人实施限制，以及如何防止程序被非法篡改是迫切需要解决的问题。4会计业务缺乏有效控制（1）尽管计算机运行速度快、精度高，但以其代替人的手工操作的同时也使系统丧失人类所具有的对不合逻辑、不合理以及例外事项的判断和处理能力，也即电脑不能代替人脑。由于人脑功能在一定程度上的缺他会导致会计业务缺乏有效控制。（2）随着电子商务的迅猛发展，网上交易愈加普遍，可以想象在不久后企业的伞部原始凭证都将成为数字格式，从而可视审计线索减少。（3）由于计算机的自动高效，工作人员减少，很多原来手工环境下由不同的人完成的业务都被合并到一起由计算机统一执行，从而不能像手工方式那样相互牵制，操作人员只要获得授权文件或注册系统的密码就可获得某种权利或运行特定程序进行业务处理，如果密码被他人掌握或一人掌握多个操作员密码，权限就会失控，这给内部控制带来隐患14。5网络环境下无形资产转移难以控制知识经济形成后，会计控制的客体发生了变化，由部分有形资产转移到了无形资产。无形资产是一种动态资产，在利益的驱使下在网上很容易转移。总之，与信息技术相结合的会计信息系统中的