【摘要】 基于信息技術(shù)建立起來(lái)的會(huì)計(jì)信息系統(tǒng)，從其構(gòu)建開(kāi)始一直到壽命結(jié)束都面臨著各種風(fēng)險(xiǎn)。本文對(duì)其運(yùn)行階段面臨的風(fēng)險(xiǎn)以及應(yīng)采取的控制目標(biāo)進(jìn)行了分析和探討。

　　【關(guān)鍵詞】 會(huì)計(jì)信息系統(tǒng)；風(fēng)險(xiǎn)；控制

　　一、基本概念

　?。ㄒ唬?huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)

　　風(fēng)險(xiǎn)概念至今并沒(méi)有一個(gè)統(tǒng)一的、嚴(yán)格的定義，不同的理解下，風(fēng)險(xiǎn)概念的內(nèi)涵和外延是不同的。為了分析問(wèn)題方便，本文將風(fēng)險(xiǎn)看成是導(dǎo)致一個(gè)組織或機(jī)構(gòu)不利事件發(fā)生、遭受損失的可能性。

　　會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)：是指會(huì)計(jì)信息系統(tǒng)分析、設(shè)計(jì)、實(shí)施、運(yùn)行、維護(hù)直到壽命期結(jié)束系統(tǒng)報(bào)廢的全過(guò)程面臨的風(fēng)險(xiǎn)。其中在運(yùn)行階段，會(huì)計(jì)信息系統(tǒng)面臨著由于人為的或非人為的因素導(dǎo)致的系統(tǒng)運(yùn)行正確性、可靠性、安全性以及運(yùn)行效率等多方面的風(fēng)險(xiǎn)。由于信息系統(tǒng)的正確性、可靠性和運(yùn)行效率主要取決于分析、設(shè)計(jì)階段而非運(yùn)行階段，因此本文對(duì)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的分析，主要指會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn)，會(huì)計(jì)信息系統(tǒng)控制也主要針對(duì)安全風(fēng)險(xiǎn)。

　　（二）會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)

　　會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)是指由于人為的或非人為的因素使得會(huì)計(jì)信息系統(tǒng)保護(hù)安全的能力減弱，從而造成損失的可能性。會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)具有以下特點(diǎn)：

　　1．隱蔽性強(qiáng)

　　會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的隱蔽性主要表現(xiàn)在以下幾方面：

　?。?）舞弊的手段更具隱蔽性。通過(guò)使用計(jì)算機(jī)及通訊設(shè)施等高技術(shù)工具，作案人不用親自到現(xiàn)場(chǎng)就可以完成犯罪活動(dòng)。

　?。?）系統(tǒng)受到侵害后，不易被發(fā)現(xiàn)。由于所有的數(shù)據(jù)和程序都是以電子文件存儲(chǔ)，數(shù)據(jù)文件受到篡改后可以不留下任何像手工業(yè)務(wù)處理下的筆跡、涂改、偽造之類的痕跡，同時(shí)由于數(shù)據(jù)存儲(chǔ)在磁盤、光盤、膠片之類的信息媒體上，人的肉眼無(wú)法直接識(shí)別，因此，即使數(shù)據(jù)文件的內(nèi)容已經(jīng)有非法更改、程序已經(jīng)有變化，操作者也難以發(fā)現(xiàn)；同時(shí)，操作者通過(guò)計(jì)算機(jī)讀出的信息與媒體上存儲(chǔ)的信息并不完全等同，即存在著輸出的數(shù)據(jù)是正確的，而數(shù)據(jù)文件中存儲(chǔ)的數(shù)據(jù)有問(wèn)題的可能，使錯(cuò)弊難以被發(fā)現(xiàn)。

　?。?）錯(cuò)誤和舞弊人員不易被發(fā)現(xiàn)。無(wú)論是系統(tǒng)的合法用戶還是非法破壞者，由于手段的隱蔽、作案后留下的線索和痕跡較少、系統(tǒng)內(nèi)外部人員相互勾結(jié)以及遠(yuǎn)程破壞等原因都使系統(tǒng)安全遭到破壞后難以及時(shí)發(fā)現(xiàn)錯(cuò)弊者。

　　2．風(fēng)險(xiǎn)損失及后果嚴(yán)重

　?。?）由于難以及時(shí)發(fā)現(xiàn),錯(cuò)弊可以反復(fù)多次出現(xiàn)而不被察覺(jué),一旦發(fā)現(xiàn),已經(jīng)損失巨大。

　?。?）由于計(jì)算機(jī)病毒、黑客等不僅威脅數(shù)據(jù)甚至破壞程序、硬件系統(tǒng)等,可以造成單位計(jì)算機(jī)系統(tǒng)的癱瘓,系統(tǒng)難以恢復(fù),從而導(dǎo)致數(shù)據(jù)丟失或系統(tǒng)無(wú)法進(jìn)行正常業(yè)務(wù)處理，造成巨大損失。

　?。?）如果企業(yè)經(jīng)營(yíng)決策信息、技術(shù)機(jī)密、其他保密數(shù)據(jù)等重要信息被泄露的話,其損失和影響將難以計(jì)量；此外，由于水災(zāi)、火災(zāi)、地震等破壞性自然災(zāi)害造成計(jì)算機(jī)系統(tǒng)破壞，數(shù)據(jù)丟失，其后果嚴(yán)重。

　　3．舞弊手段和方法先進(jìn)。網(wǎng)絡(luò)環(huán)境下，由于各種信息都存儲(chǔ)在非紙質(zhì)媒體上，除非直接竊取或破壞有關(guān)媒體(如盜竊存放數(shù)據(jù)、程序、重要資料的軟盤、撕毀原始憑證等)，舞弊基本上都利用計(jì)算機(jī)、通訊設(shè)施等現(xiàn)代化工具通過(guò)修改軟件、非法接入硬件、破壞傳輸系統(tǒng)、釋放病毒、黑客襲擊等隱蔽的方法和手段達(dá)到非法目的。比如：在網(wǎng)上設(shè)置陷阱，在用戶不知不覺(jué)中截獲用戶密碼，然后以合法身份進(jìn)入系統(tǒng)進(jìn)行非法操作等。

　　（三）會(huì)計(jì)信息系統(tǒng)控制

　　會(huì)計(jì)信息系統(tǒng)控制是指為了保證會(huì)計(jì)信息系統(tǒng)的正確性、可靠性和安全性，提高會(huì)計(jì)信息系統(tǒng)運(yùn)營(yíng)效率，確保會(huì)計(jì)信息的準(zhǔn)確可靠，利用各種手段和技術(shù)，對(duì)會(huì)計(jì)信息系統(tǒng)實(shí)施管理和控制的過(guò)程。

　　會(huì)計(jì)信息系統(tǒng)控制的對(duì)象是信息系統(tǒng)，由計(jì)算機(jī)硬件和軟件資源、應(yīng)用系統(tǒng)、數(shù)據(jù)和相關(guān)人員等信息系統(tǒng)的組成要素構(gòu)成。

　　會(huì)計(jì)信息系統(tǒng)控制的根本目的就是在信息系統(tǒng)風(fēng)險(xiǎn)分析基礎(chǔ)上消除或降低風(fēng)險(xiǎn)危害。其控制目標(biāo)主要有以下幾點(diǎn)：

　　1．及時(shí)提供正確的、完整的、可靠的和合理的會(huì)計(jì)信息。

　　2．保證會(huì)計(jì)處理符合會(huì)計(jì)制度和會(huì)計(jì)原則的要求。這就要求無(wú)論在設(shè)計(jì)階段還是運(yùn)行階段，都必須建立適當(dāng)?shù)膬?nèi)部控制體系，確保系統(tǒng)及其所處理的經(jīng)濟(jì)業(yè)務(wù)合規(guī)、合法。

　　3．保護(hù)資產(chǎn)和資源，提高系統(tǒng)的安全性。

　　4．提高系統(tǒng)效率和效益，提高企業(yè)的競(jìng)爭(zhēng)能力，輔助管理者提高管理決策的正確性。

　　二、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)分析

　　會(huì)計(jì)信息系統(tǒng)是一個(gè)復(fù)雜的系統(tǒng)，本文將會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)因素歸納為技術(shù)、應(yīng)用和管理、舞弊幾個(gè)方面。

　?。ㄒ唬┬畔⑾到y(tǒng)固有的脆弱性和缺陷

　　信息系統(tǒng)的組件在設(shè)計(jì)、制造和組裝中，由于人為和自然的原因，可能留下各種隱患。如網(wǎng)絡(luò)傳輸速度，服務(wù)器等硬件設(shè)施的穩(wěn)定性和運(yùn)行速度，軟件設(shè)計(jì)中的缺陷，不同信息子系統(tǒng)的接口等。

　　1. 硬件的脆弱性

　　信息系統(tǒng)硬件組件的安全隱患多數(shù)來(lái)源于設(shè)計(jì)，主要表現(xiàn)為物理安全方面(如物理可存取和電磁兼容方面等)的問(wèn)題。由于這種問(wèn)題是設(shè)計(jì)時(shí)所遺留的固有問(wèn)題，因此在自制硬件和選購(gòu)硬件時(shí)應(yīng)盡可能減少或消除這類安全隱患。

　　2. 軟件系統(tǒng)的脆弱性

　　軟件系統(tǒng)的安全隱患來(lái)源于設(shè)計(jì)和軟件工程實(shí)施中的遺留問(wèn)題。軟件設(shè)計(jì)中的疏忽可能留下安全漏洞；軟件設(shè)計(jì)中不必要的功能冗余以及軟件過(guò)長(zhǎng)過(guò)大，不可避免地存在安全脆弱性；軟件設(shè)計(jì)不按信息系統(tǒng)安全等級(jí)要求進(jìn)行模塊化設(shè)計(jì)，導(dǎo)致軟件的安全等級(jí)不能達(dá)到應(yīng)有的安全級(jí)別；軟件尤其是自制應(yīng)用軟件編程時(shí)程序員暗地編進(jìn)指令，使之執(zhí)行未經(jīng)授權(quán)的功能等。這些問(wèn)題一般不易被防止和發(fā)現(xiàn)。

　　3. 網(wǎng)絡(luò)和通信協(xié)議

　　由于互聯(lián)網(wǎng)本身是一個(gè)沒(méi)有明確物理界限的網(wǎng)際，而支持互聯(lián)網(wǎng)運(yùn)行的TCP/IP協(xié)議棧在設(shè)計(jì)的當(dāng)初主要考慮了互聯(lián)互通和資源共享的問(wèn)題，無(wú)法兼容解決來(lái)自網(wǎng)際的大量安全問(wèn)題。比如，缺乏對(duì)通信雙方真實(shí)身份的鑒別，TCP/IP在IP層上缺乏對(duì)路由協(xié)議的安全認(rèn)證，應(yīng)用層處于最頂部，下層的安全缺陷必然導(dǎo)致應(yīng)用層的安全出現(xiàn)漏洞甚至崩潰，同時(shí)各種應(yīng)用層協(xié)議本身也存在一些安全隱患等等。

　?。ǘ┬畔⑾到y(tǒng)的舞弊

　　1. 針對(duì)硬件系統(tǒng)的舞弊

　　有意破壞系統(tǒng)硬件設(shè)備，致使系統(tǒng)運(yùn)行中斷或毀滅；計(jì)算機(jī)系統(tǒng)的操作人員不按規(guī)定的程序使用硬件設(shè)備可以引起系統(tǒng)的損壞，從而危害系統(tǒng)的安全直至系統(tǒng)完全毀滅。例如，不按正確的順序開(kāi)啟設(shè)備致使硬件系統(tǒng)被燒，系統(tǒng)無(wú)法正常運(yùn)行等，其后果是非常嚴(yán)重的；通過(guò)盜竊等手段破壞計(jì)算機(jī)系統(tǒng)，例如竊走競(jìng)爭(zhēng)對(duì)手存有數(shù)據(jù)的磁帶或磁盤，從而非法獲得對(duì)方企業(yè)的重要信息；在原有的計(jì)算機(jī)系統(tǒng)中，非法加入硬件設(shè)備以達(dá)到竊取口令和重要信息的目的。

　　2. 針對(duì)軟件系統(tǒng)的舞弊

　　軟件系統(tǒng)是威脅、攻擊、舞弊的主要對(duì)象，其方法和手段多種多樣。常用的方法：截尾術(shù)、越級(jí)法、程序天窗、邏輯炸彈、冒名頂替等。

　　3. 針對(duì)數(shù)據(jù)的舞弊

　　計(jì)算機(jī)舞弊中最簡(jiǎn)單、最常用的方法是篡改輸入，即數(shù)據(jù)在輸入計(jì)算機(jī)之前或輸入過(guò)程中篡改數(shù)據(jù)，使舞弊數(shù)據(jù)進(jìn)入系統(tǒng)，達(dá)到非法目的的作弊方法。此外還有指操作員或其他人員不按操作規(guī)程或非法操作系統(tǒng)，改變計(jì)算機(jī)系統(tǒng)的執(zhí)行路徑從而破壞數(shù)據(jù)、通過(guò)篡改輸出，以輸出正確數(shù)據(jù)以蒙蔽檢查、存儲(chǔ)在軟磁盤、硬盤、光盤等介質(zhì)上的信息泄露、通信的某一方對(duì)發(fā)出或接收信息的行為進(jìn)行抵賴。比如事后否認(rèn)已經(jīng)發(fā)送過(guò)的訂貨申請(qǐng)信息等。

　　4. 計(jì)算機(jī)病毒

　　計(jì)算機(jī)病毒實(shí)際上是一段小程序，它具有自我復(fù)制功能，常駐留于內(nèi)存、磁盤的引導(dǎo)扇區(qū)或磁盤文件中，在計(jì)算機(jī)系統(tǒng)之間傳播，常常在某個(gè)特定的時(shí)刻破壞計(jì)算機(jī)內(nèi)的程序、數(shù)據(jù)甚至硬件。雖然絕大多數(shù)病毒并不是針對(duì)某個(gè)系統(tǒng)設(shè)計(jì)，但是由于其隱蔽性強(qiáng)、傳播范圍廣、破壞力大，對(duì)網(wǎng)絡(luò)信息傳輸?shù)陌踩珮?gòu)成了極大的威脅，逐漸成為威脅系統(tǒng)安全的重要因素。

　　5. 網(wǎng)絡(luò)黑客

　　黑客是指非授權(quán)侵入網(wǎng)絡(luò)的用戶或程序。黑客可能通過(guò)盜竊系統(tǒng)合法用戶的口令，然后以此口令合法登陸系統(tǒng)實(shí)現(xiàn)非法目的等。

　　（三）信息系統(tǒng)應(yīng)用和管理的問(wèn)題

　　1. 如果企業(yè)規(guī)模很大，信息系統(tǒng)的結(jié)構(gòu)就會(huì)很復(fù)雜，發(fā)生信息錯(cuò)誤的機(jī)會(huì)也隨之增多，即數(shù)據(jù)完整性就較難保證。

　　2. 授權(quán)管理的問(wèn)題

　　信息系統(tǒng)中，很多原來(lái)手工系統(tǒng)下由不同的人完成的業(yè)務(wù)處理環(huán)節(jié)集中由計(jì)算機(jī)統(tǒng)一處理，這樣就不能像手工方式那樣相互牽制、相互制約，操作人員只要獲得授權(quán)文件或注冊(cè)系統(tǒng)的密碼就可獲得某種權(quán)利或運(yùn)行特定程序進(jìn)行業(yè)務(wù)處理，密碼一旦被他人掌握或一人掌握多個(gè)級(jí)別操作員的密碼,權(quán)限就會(huì)失控，從而造成損失。

　　3. 職責(zé)分離失效

　　信息系統(tǒng)中，業(yè)務(wù)人員可能一人身兼多個(gè)職能。例如，在零售業(yè)，當(dāng)顧客購(gòu)買商品時(shí)，銷售人員掃描商品的條形碼，由計(jì)算機(jī)系統(tǒng)自動(dòng)讀取商品價(jià)格，計(jì)算已銷售商品數(shù)量，并自動(dòng)更新銷售收入余額和存貨余額。如果發(fā)現(xiàn)存貨余額低于最低數(shù)量，計(jì)算機(jī)系統(tǒng)還可以自動(dòng)向供應(yīng)商發(fā)出定單。這樣，一個(gè)銷售人員就可以完成授權(quán)、記錄和保管工作，極易出現(xiàn)錯(cuò)弊。

　　三、會(huì)計(jì)信息系統(tǒng)的控制

　　（一）信息技術(shù)應(yīng)用對(duì)內(nèi)部控制的影響

　　網(wǎng)絡(luò)化環(huán)境下由于會(huì)計(jì)處理高度集中在計(jì)算機(jī)內(nèi)部，其處理高度自動(dòng)化，會(huì)計(jì)信息的利用遍布在網(wǎng)絡(luò)各處，信息傳輸高度分散化，而且會(huì)計(jì)信息主要載體變?yōu)榇沤橘|(zhì)，人眼無(wú)法直接識(shí)別，這為組織的內(nèi)部控制帶來(lái)了挑戰(zhàn)。

　　1．內(nèi)部控制形式發(fā)生變化

　　首先，傳統(tǒng)手工處理中，一般將授權(quán)、記錄、保管職責(zé)進(jìn)行分離來(lái)防止在正常工作過(guò)程中發(fā)生的人為錯(cuò)誤或舞弊。但是在應(yīng)用信息系統(tǒng)之后，許多原來(lái)由人做的工作改由計(jì)算機(jī)進(jìn)行處理，一個(gè)業(yè)務(wù)員可能身兼多個(gè)職能，這就使手工環(huán)境下的一些職責(zé)分離失去作用；其次，傳統(tǒng)會(huì)計(jì)實(shí)務(wù)中的一些控制措施將不再有效，如制作科目匯總表、憑證匯總表等試算平衡的檢查，進(jìn)行平行登記、賬賬核對(duì)、賬證核對(duì)等，隨著核算程序的變化，這些控制已失去了其真正的意義。第三，傳統(tǒng)會(huì)計(jì)實(shí)務(wù)中的一些平衡檢查將移入計(jì)算機(jī)系統(tǒng)內(nèi)部通過(guò)計(jì)算機(jī)程序體現(xiàn)出來(lái)。如，賬戶的期末余額、期初余額、本期發(fā)生額的檢查，各核算業(yè)務(wù)模塊間數(shù)據(jù)的核對(duì)，報(bào)表數(shù)據(jù)的勾稽關(guān)系檢查，會(huì)計(jì)平衡等式的檢查等。信息系統(tǒng)內(nèi)部控制的形式，包括以組織控制措施為主的一般控制和以計(jì)算機(jī)程序控制為主的應(yīng)用控制兩個(gè)方面。

　　2．內(nèi)部控制內(nèi)容發(fā)生改變

　　會(huì)計(jì)信息系統(tǒng)是一個(gè)人機(jī)交互系統(tǒng)，其控制的內(nèi)容更加復(fù)雜。大致可以概括為以下幾方面：①計(jì)算機(jī)會(huì)計(jì)人員的重新崗位分工和內(nèi)部牽制。崗位職責(zé)分離的重點(diǎn)在于信息系統(tǒng)和業(yè)務(wù)職能的相互獨(dú)立、信息系統(tǒng)本身業(yè)務(wù)職能的劃分和相互牽制；②系統(tǒng)安全控制以及系統(tǒng)開(kāi)發(fā)、系統(tǒng)資料文書(shū)化控制；③系統(tǒng)的組織和操作管理控制；④系統(tǒng)的自動(dòng)控制，包括輸入控制、處理控制和輸出控制；⑤網(wǎng)絡(luò)化硬件系統(tǒng)控制。

　　3．內(nèi)部控制重點(diǎn)發(fā)生改變

　　信息環(huán)境下，業(yè)務(wù)處理過(guò)程包括了手工處理、信息系統(tǒng)處理和人與計(jì)算機(jī)進(jìn)行交互處理幾個(gè)環(huán)節(jié)，這一處理過(guò)程可以用下圖簡(jiǎn)單表示。

　　由上圖可以看出，內(nèi)部控制的重點(diǎn)發(fā)生了變化：人及其處理的業(yè)務(wù)、人機(jī)交互處理過(guò)程、計(jì)算機(jī)系統(tǒng)業(yè)務(wù)處理過(guò)程和不同系統(tǒng)之間信息傳遞過(guò)程。其中人機(jī)交互處理過(guò)程包括原始數(shù)據(jù)進(jìn)入計(jì)算機(jī)系統(tǒng)和業(yè)務(wù)信息從計(jì)算機(jī)系統(tǒng)輸出兩個(gè)環(huán)節(jié)。

　?。ǘ?huì)計(jì)信息系統(tǒng)控制

　　會(huì)計(jì)信息系統(tǒng)運(yùn)行階段的控制包括一般控制和應(yīng)用控制兩個(gè)方面。一般控制主要從組織控制、操作控制、資源控制幾方面著手；應(yīng)用控制的內(nèi)容與業(yè)務(wù)處理有關(guān)，取決于業(yè)務(wù)處理的需要。

　　1．組織控制

　　組織控制是將組織作為控制的對(duì)象和手段，通過(guò)建立起具有控制能力的組織結(jié)構(gòu)、采用滿足控制要求的組織流程、構(gòu)筑認(rèn)同和重視控制的組織文化，達(dá)到控制的目標(biāo)。組織控制是其他控制實(shí)施和發(fā)揮作用的基礎(chǔ)。會(huì)計(jì)信息系統(tǒng)的組織控制應(yīng)該包括進(jìn)行合理的職責(zé)分工（合理劃分人機(jī)職責(zé)、合理劃分崗位職責(zé)、確定崗位標(biāo)準(zhǔn)）、設(shè)置滿足控制要求的組織流程等方面的工作。

　　2．操作控制

　　操作控制主要是建立和實(shí)施操作管理制度，對(duì)系統(tǒng)使用、操作規(guī)程和會(huì)計(jì)業(yè)務(wù)處理幾方面做出規(guī)定。

　　操作控制中首先應(yīng)該強(qiáng)調(diào)系統(tǒng)使用和管理的計(jì)劃性，比如什么時(shí)間按照何種程序?qū)φ麄€(gè)系統(tǒng)進(jìn)行全面（或局部）檢測(cè)、什么時(shí)間對(duì)系統(tǒng)進(jìn)行優(yōu)化升級(jí)、什么時(shí)間對(duì)系統(tǒng)的中間文件進(jìn)行清理等等；其次要重視操作日志。操作日志是操作管理的重要手段，是對(duì)日常系統(tǒng)操作情況的最基本、最全面和最詳盡的反映，應(yīng)充分利用操作日志，定期監(jiān)察和檢驗(yàn)日志，及時(shí)了解非法用戶和有權(quán)用戶越權(quán)使用系統(tǒng)的情況及設(shè)備狀況。第三，操作控制中除了要求各類操作人員按照制度規(guī)定操作系統(tǒng)外，還應(yīng)該強(qiáng)調(diào)員工的責(zé)任、能力和可信賴程度。

　　3．資源控制

　?。?）硬件資源控制

　　會(huì)計(jì)信息系統(tǒng)的硬件包括網(wǎng)絡(luò)設(shè)施、通訊設(shè)施、計(jì)算機(jī)及其輔助設(shè)備等。硬件設(shè)備本身的控制措施一般由設(shè)備生產(chǎn)廠家固化在設(shè)備中，設(shè)備使用者是難以改變的，它能自動(dòng)查出某些類型的錯(cuò)誤，而無(wú)需程序或操作人員送入任何特殊指令。硬件控制的失效會(huì)消弱其他控制措施的作用，影響系統(tǒng)的可靠性。

　?。?）軟件資源控制

　　信息系統(tǒng)軟件一般包括操作系統(tǒng)（包括網(wǎng)絡(luò)操作系統(tǒng)和單用戶操作系統(tǒng)）、工具軟件（包括數(shù)據(jù)庫(kù)管理系統(tǒng)，編譯器和程序設(shè)計(jì)語(yǔ)言，Excel等電子表格處理軟件，Web 服務(wù)、發(fā)布和瀏覽軟件，信息采集、FTP、Telnet等軟件）、應(yīng)用系統(tǒng)軟件三大部分。操作系統(tǒng)處于信息系統(tǒng)軟件平臺(tái)的最底層，其安全是整個(gè)軟件平臺(tái)安全的基礎(chǔ)；應(yīng)用系統(tǒng)處于最上層，是完成具體業(yè)務(wù)處理的軟件，由于各種業(yè)務(wù)處理對(duì)安全的需求程度不同，應(yīng)用軟件自身提供的控制措施也有很大區(qū)別；工具軟件介于操作系統(tǒng)和應(yīng)用軟件之間。

　　不同軟件資源的控制措施不同。

　?。?）數(shù)據(jù)資源控制

　　會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)都以記錄的形式存儲(chǔ)在系統(tǒng)的數(shù)據(jù)庫(kù)中，數(shù)據(jù)資源控制的重點(diǎn)是數(shù)據(jù)庫(kù)的管理控制，其主要目的是防止系統(tǒng)內(nèi)外人員對(duì)數(shù)據(jù)庫(kù)的非法訪問(wèn)，以及系統(tǒng)故障、誤操作或人為破壞造成數(shù)據(jù)庫(kù)毀損。一般可以實(shí)施的控制包括訪問(wèn)控制、建立數(shù)據(jù)備份和恢復(fù)制度。

　　（4）檔案資料控制

　　采用會(huì)計(jì)信息系統(tǒng)之后，由于檔案本身種類、內(nèi)容、形式等的改變，檔案的保存具有了與傳統(tǒng)手工會(huì)計(jì)不同的要求。檔案資料控制主要是確定檔案、建立檔案管理制度（包括檔案保管制度、檔案存取制度、檔案作廢制度）兩方面。

　　4．應(yīng)用控制

　　應(yīng)用控制是對(duì)具體業(yè)務(wù)處理過(guò)程實(shí)施的控制。圖2所示是計(jì)算機(jī)系統(tǒng)的業(yè)務(wù)處理環(huán)節(jié)，從中可以看到任何業(yè)務(wù)處理系統(tǒng)都可以劃分成輸入過(guò)程、處理和存儲(chǔ)過(guò)程、輸出過(guò)程幾個(gè)環(huán)節(jié)，因此不同環(huán)節(jié)的應(yīng)用控制又可以分別稱為輸入控制、處理和存儲(chǔ)控制、輸出控制。

　　其中，輸入控制是為了防止和發(fā)現(xiàn)進(jìn)入信息系統(tǒng)的數(shù)據(jù)錯(cuò)誤而施加的控制。輸入控制應(yīng)該從數(shù)據(jù)采集、數(shù)據(jù)輸入和輸入數(shù)據(jù)的存儲(chǔ)三方面著手。處理控制是為了保證在合法的權(quán)限內(nèi)，數(shù)據(jù)處理能夠按照預(yù)先設(shè)定的程序正確、完整地進(jìn)行而實(shí)施的控制，處理控制一般是通過(guò)預(yù)先編好的計(jì)算機(jī)程序?qū)崿F(xiàn)的。常用的控制措施有設(shè)置處理權(quán)限、控制業(yè)務(wù)時(shí)序、檢查鉤稽關(guān)系、檢驗(yàn)數(shù)據(jù)合理性、錯(cuò)誤更正控制、設(shè)置審計(jì)線索、備份及恢復(fù)等；存儲(chǔ)控制是對(duì)信息系統(tǒng)處理結(jié)果保存的控制，以便為審計(jì)提供線索；輸出控制就是要保證信息系統(tǒng)能夠輸出正確的信息，并將其提供給經(jīng)過(guò)授權(quán)的使用者。

　?。ㄈ?huì)計(jì)信息系統(tǒng)控制的局限

　　會(huì)計(jì)信息系統(tǒng)控制的作用不是無(wú)限的，具有一定的局限性，主要表現(xiàn)在：

　　1. 會(huì)計(jì)信息系統(tǒng)控制也要講究成本效益原則。如果建立或?qū)嵤┠稠?xiàng)控制的成本過(guò)大，取得的效益相對(duì)較小，這樣的控制就會(huì)被放棄。

　　2. 會(huì)計(jì)信息系統(tǒng)控制一般都是針對(duì)經(jīng)常發(fā)生的事項(xiàng)而設(shè)置的，而不適用于那些偶然發(fā)生的事項(xiàng)。

　　3. 即使很有效的控制措施，也可能因執(zhí)行人員的錯(cuò)誤理解、粗心大意、疲勞或其他人為因素而失效。

　　4. 一旦不相容職務(wù)的用戶相互勾結(jié)，串通舞弊，或用戶判斷錯(cuò)誤，再好的控制也會(huì)失效。

　　5. 系統(tǒng)的管理者如果逾越控制權(quán)限，濫用職權(quán)，會(huì)使其管理系統(tǒng)的控制形同虛設(shè)。

　　6. 會(huì)計(jì)信息系統(tǒng)控制有效依賴于其運(yùn)行環(huán)境。會(huì)計(jì)信息系統(tǒng)運(yùn)行環(huán)境發(fā)生變化，將可能使原有的控制措施失效。

　　【主要參考文獻(xiàn)】

　　[1] 中國(guó)財(cái)政部. 企業(yè)內(nèi)部控制規(guī)范（征求意見(jiàn)稿），2007.3

　　[2] [美]斯科特.格林著，張翼，林小馳譯.薩班斯法案內(nèi)控指南.經(jīng)濟(jì)科學(xué)出版社，2007.1.