电子商务会计信息系统的内部管理风险及其防范

电子商务会计信息系统的内部管理风险及其防范［摘要］在知识经济时代，实行会计电子商务已经成为必然趋势，与此同时会计电子商务也给会计内部控制带来了新的风险。为了保证会计信息的真实性、正确性、完整性和可靠性，就必须建立、健全并认真执行一套完整的、适合会计电子商务的风险防范机制。本文在分析电子商务会计信息系统管理方面风险的基础上，提出了防范电子商务会计信息系统管理风险的措施。

［关键词］会计信息系统；电子商务；内部控制；风险；管理

一、引言

电子商务作为21世纪的主流贸易手段，也是商品贸易形式中的新兴商务方式，已逐渐深入到社会经济生活中的各个领域，企业依赖互联网与其供应商和客户进行交易改变了其传统的交易方式，使企业的财务环境发生了变化。交易的实时监控及其信息的实时记录和传递，价值和物资的高度同步流转，业务记录和会计信息在相关的管理层面充分地得到了共享,改变了传统财务管理方式和流程，使财务会计的职能发生了转变，同时也出现了不少问题，如在无纸化交易下，电子数据保存和传递安全存在隐患，电子商务纠纷得不到法律保障，电子商务法律有待完善等。本文就这方面问题进行了讨论并提出了一些见解和看法。

二、电子商务会计信息系统在管理方面存在的风险

电子商务的出现不仅改变了会计信息的处理和存储方式，而且对会计理论和实务产生了重大影响。同时，随着新技术特别是互联网技术的引入，会计信息系统面临的各种风险也在增大，如硬件因素引起的风险、软件方面引起的风险、工作环境引起的安全风险、病毒“黑客”侵入引起的风险、管理因素引起的风险等。

管理风险是指电子商务会计系统的有关管理制度不完善、不健全而引起的风险。它包括内部控制薄弱造成的风险、操作不当造成的风险、备份恢复机制缺陷带来的风险以及内部工作人员职业道德问题引起的风险。会计电子商务系统在处理方式和内部结构上与原来的手工会计系统存在着较大的差别，原来的一系列管理制度已不能适应电子商务会计系统管理工作的需要。要保证电子商务会计系统的正常、安全、有效运行，必须建立健全一系列管理制度，否则不但不能很好地发挥会计电子商务系统的作用，而且还会造成单位会计工作的混乱，给各种非法舞弊行为以可乘之机，甚至会给国家、社会、集体造成无法挽回的损失。（一）内部控制薄弱造成的风险

1．不相容职务相分离原则的应用问题

内部控制重点就在于不相容职务分离。采用计算机后，不相容职务相分离这一在手工核算体制下常用的有效控制原则，在很多时候却得不到遵循。由于数据处理集中进行，导致职责合并严重，会计人员大大减少，从而使一些不相容职务得不到分离，如有些单位会计人员既从事数据输入、输出工作，又负责数据报送，这增加了他们在未经批准情况下，直接对使用中的数据和程序进行修改、复制或删除等操作的可能性，从而使会计数据的准确和及安全性得不到保证，其危害是不言而喻的。

1

2．数据的安全性差

（1）数据信息易被篡改。在手工会计信息系统中，信息都是用纸张记录，其法律效力被广泛承认，而且所作的任何修改都会有痕迹留下来，数据不易被篡改。而在电子商务会计处理过程中，计算机存储方式是将信息转化为数字形式存储在磁（光）介质上，不易实现签字、盖章等具有法律效力的手段。因此，数据极易被篡改甚至伪造而不留任何痕迹。未经授权的人员有可能通过计算机和网络浏览全部数据文件，甚至复制、伪造、销毁企业重要数据。

（2）利用数据信息进行计算机舞弊和犯罪。计算机犯罪具有很大的隐蔽性和危害性，发现计算机舞弊和犯罪的难度较之手工会计系统更大，计算机舞弊和犯罪造成的危害和损失可能比手工会计系统更大，这给一些不法之徒提供了机会。据美国的一项研究表明：一般手工操作系统的银行舞弊案每次造成的损失为10.4万美元，而使用计算机系统的银行舞弊案的平均损失为61.7万美元，是一般手工操作系统的6倍以上。

3．审查、复核机制被削弱

在手工会计信息系统中，会计工作被分成几个步骤，按一定的程序完成，任何一个步骤或一道手续的处理，都意味着是对前面步骤或手续的复核和审查，前一步骤中出现了错误，往往可以在后一步骤中被发现并加以修改。而使用计算机后，大部分会计处理步骤不再存在，被计算机所代替自动完成，审查、复核等控制机制随之削弱，甚至消失了。原始数据输入计算机后，记账、报表等均由计算机处理，再也没有经手人负责，如果处理过程出现错误，将无从追查责任者，审查、复核机制被大大削弱。

（二）操作不当造成的风险

操作不当的形式有很多，但主要有如下一些表现：

（1）职员在进入电子数据处理领域时，没有经过适当的身份检查和识别。

（2）没有防止未经许可的人员利用远距离终端进入系统。

（3）口令泄露给未经批准的人员。他们可能自己寻找口令，或从废弃的输出结果中取得口令，也可以通过观察操作人员的操作以得到口令。

（4）控制表中或授权等级库中没有及时清除离职人员的姓名和口令，使他们在离职以后依旧能够接近电子数据处理系统。

（5）没有受过培训的人员处理实际数据，有可能无意地改变或破坏计算机文件。

（6）计算机系统的操作人员对硬件设备的不正确操作可以引起系统的损坏，从而危害系统的安全。不正确的操作主要是指操作人员不按规定的程序使用硬件设备。例如不按顺序开机、关机，有可能烧毁计算机的硬盘，从而造成数据的全部丢失。

（三）备份恢复机制缺陷带来的风险

实现会计电子商务后，对计算机硬件的要求在不断提高，但是由于种种原因致使计算机硬件存在着某些缺陷，如硬盘的损坏而没有备份，数据会丢失。即使有些计算机硬件系统存在恢复机制，但是恢复控制薄弱。如对备份文件未能做到恰当的保管；还有部分单位当系统遇到意外事件无法工作时，不知道如何恢复系统，也没有制订系统恢复计划。

（四）内部工作人员职业道德问题引起的风险

1．会计人员的无意行为

2

由于电子商务系统内的工作人员素质不高或责任心不强等原因造成的数据录入错误，操作步骤失误，监控力度不够等，使会计数据录入或处理出现错误，从而导致会计信息不真实、不可靠和不完整。

2．人为的舞弊行为

电子商务系统的内部工作人员为了达到窃取商业秘密、非法转移资金、掩盖各种舞弊行为等非法目的，有意协助竞争对手获取和破坏会计数据，从而对会计软件数据等进行非法篡改、删除，给单位造成严重损失。

三、电子商务会计信息系统风险的防范措施

（一）建立健全会计电子商务内部控制制度

要保障计算机会计信息系统的安全，各单位不仅要遵循国家制定的保护计算机系统安全及计算机知识产权的法律法规，还应建立一整套从投入使用、业务操作到设备管理等完善的、行之有效的会计电子商务风险防范措施（包括加强职务不相容的内部控制、加强数据安全的内部控制、实施有效的实时监控）。

1．加强职务不相容的内部控制

职务不相容控制是内部控制的基础，是由不同的部门或人员来承担不相容的职责。职务不相容控制的内容主要分为以下3个方面：

（1）电子商务部门与用户部门的职务分离。电子商务部门是对数据进行处理和控制的部门或人员，用户部门是指产生原始数据或使用计算机处理所得信息的部门或人员，两者之间应尽可能保持不相容职务的分离。

（2）电子商务部门内部的职务分离。电子商务系统从建立到运行的整个生命周期中，根据职能不同划分为两大部门，即系统开发部门和系统应用部门。系统开发部门主要承担系统的开发研制以及系统的维护工作等，系统应用部门主要负责日常会计处理工作。

（3）岗位授权的职务分离。单位应根据企业规模及会计软件的管理功能，设立系统管理员、电算主管员、软件操作员、系统维护员、档案管理员等岗位，这些岗位可以一人多岗，也可以一岗多人，但必须做到不相容职务的分离。

2．加强数据安全的内部控制

数据安全控制是要做到任何情况下数据都不丢失、不毁损、不泄露、不被非法侵入，数据处理结果正确。一般包括以下内容：

（1）数据输入控制。首先，输入的数据应经过必要的授权和审批，并经有关的内控部门检查。其次，应采用各种技术手段对输入数据的准确性进行校验，如总数控制校验、平衡校验、数据类型校验、重复输入校验等。

（2）数据处理控制。包括有效性控制和文件控制。有效性控制包括数字的核对。对字段和记录的长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、文件标识、文件是否被病毒感染等。

（3）数据输出控制。一般应检查输出数据与输入数据是否匹配，输出数据是否完整，是否能满足使用部门的需要，数据的发送对象、份数应有明确的规定，要建立标准化的报告编号、收发、保管工作等。

3．实施有效的实时监控

3

随着会计不断发展，计算机在会计中的应用已相当普遍。手工方式下内部控制已不能适应电子商务会计信息系统要求，这就要求在电子商务会计系统内设置操作与监控两个岗位，对每一笔业务同时进行多份备份。当会计人员进行账务处理时，其操作和数据也被同步记录在监控人员机器上，由监控人员进行即时或定期审查，一旦出现数据不一致便进行深入调查，以实现有效牵制，从而实施有效监控，加大审查、复核力度。

（二）加强操作管理的内部控制

企业操作管理控制主要用来规范每一个操作员的行为以及各自之间的权限，以保证数据处理的准确性和安全性。操作管理的内部控制一般包括：

（1）严把操作员上岗关

操作员必须经过专门的会计电子商务培训、持有会计电子商务等级证书方能上岗。

（2）规定操作员的工作职责和工作权限

为保证会计数据的准确、真实，对需输入的原始凭证和记账凭证等会计数据，未经电算主管员审核签章，操作员不得输入计算机；对已输入计算机的凭证需由电算主管员核对并签章后方可登记机内账簿。同时，操作员应按被授予的权限严格作业，不得越权接触系统，以避免人为因素或操作不当给系统带来不必要的损失和风险。

（3）建立操作员上机登记制度

操作员应认真填写手工上机日志，记录每天的上机操作内容，并定期打印会计软件提供的上机日志。

（4）操作员不得泄露密码

为防止密码泄露，企业可对操作密码实行双人控制，即将所设密码分为两部分，一部分由电算主管员掌握，另一部分由操作员掌握，只有两者同时兼有密码，方能进入操作。这样可以达到相互监控的目的。

（三）建立多级备份机制

1．服务器双机热备份或RAID镜像技术

在后台建立双机数据库服务器系统，进行系统热备份，在发生故障时，服务器自动切换，保证在一般故障情况下服务器系统的不停顿工作，这在多账套、多部门应用以及远程网络服务条件下保持数据库不间断服务尤其重要。RAID是廉价磁盘冗余列阵的英文缩写，在数据库服务器中，它通过磁盘镜像技术实现数据冗余来提高数据的可靠性，即一个逻辑磁盘由两个物理磁盘组成，并且每个写操作都在两个磁盘上进行，如果其中一个磁盘发生故障，数据可从另一个磁盘读出。

2．财务软件系统自动备份

财务软件系统必要的自动备份可以弥补用户自主备份不足所产生的损失，虽然它会消耗系统资源，并且频繁的自动备份会影响系统的运行效率。一般是定期自动备份（如一周、一月）和数据更新时强制性自动备份（如大量数据输入、结账时的备份）。

3．系统管理员定期集中备份和账套主管的日常备份

这是用户自主进行的备份工作，要做到勤备份、少恢复，任何恢复操作必须有明确的书面记录，记载数据恢复的原因、恢复时间、恢复人和用以恢复的备份数据详细情况。数

4

据的备份应分别存在3个以上地点，并由专人保管，贴上写保护标签并用印章或封条签封，并定期进行转储。

（四）会计人员的培训和继续教育制度以及风险评估和分级管理制度

1．人员培训，提高会计人员素质

搞好会计电子商务人员的后续培训是内部控制的有效措施。会计电子商务已成为一门融会计学、管理学、电子计算机技术、信息技术为一体的边缘学科。高质量的会计软件需要优秀的软件设计者的研制开发，会计软件的持久应用也离不开称职的软件操作人员，他们应该是既精通会计业务，又精通计算机和计算机数据处理技术的复合型人才。目前，新的应用软件不断涌现，操作系统不断升级，有的财务软件即使未更换，也存在升级、增加新功能的问题，这就要求将会计电子商务培训列入会计人员后续教育的内容中去，在培训时不仅仅是对操作系统的培训，还应包括让这些人员了解系统投入运行后新的内部控制机制，计算机会计系统运行后新的凭证流转程序，计算机会计系统提供的高质量的会计信息的进一步利用和分析的前景等。

2．建立风险评估和分级管理制度，及时发现现有的或潜在的风险

根据单位的具体情况，对电子商务系统各组成部分和运转的每一过程的风险和可承受性进行客观合理的评价，采取适宜的分级管理制度，并在实施过程中持续改进和完善，更有效地利用组织资源来确保会计电算系统的安全。同时，结合内外检查监控机制和交流反馈机制，及时发现现有的或潜在的风险，采取纠正、预防措施，持续改进和完善安全管理体系，提高安全绩效。

参考文献

［1］田文利．浅谈电子商务会计信息系统的管理［J］．内蒙古科技与经济，2006（16）.

［2］黄平秋．浅议电子商务会计信息系统中的内部控制［J］．时代经贸：学术版，2006（9）.

［3］虞晓红．电子商务会计信息系统的风险与防范［J］．经济师，2006（3）.

［4］陈雪芬．会计电子商务系统的安全风险及防范策略［J］．中国乡镇企业会计，2000（3）.

5

本文来源：https://www.bwwdw.com/article/6vdl.html