摘  要：随着信息技术的高速发展，会计信息系统已成为企业日常运营所必不可少的组成部分。然而，会计信息系统的安全性和可靠性也越来越受到关注。本文基于COBIT与COSO报告，针对会计信息系统的各项风险进行评估研究。通过对企业内部控制和外部法规的分析，提出了一系列风险防范措施。同时，通过实际案例分析，验证了该方法的可行性。

关键词：会计信息系统；风险评估；COBIT；COSO

引言：AIS风险评估和防范措施是保障企业信息系统安全性和可靠性的重要手段。本论文所提出的COBIT和COSO框架，以及相应的防范措施，在实际应用中具有一定的参考价值。我们相信，在持续的研究和不断的实践中，AIS风险评估和防范措施会不断得到完善，为企业信息化发展提供更加坚实的保障。

一、绪论

（一）AIS概念

会计信息系统（Accounting Information System，简称AIS），会计信息系统是基于计算机的、将会计数据转换为信息的系统。会计信息系统是利用信息技术对会计信息进行采集、存储和处理，完成会计核算任务，并能提供为进行会计管理、分析、决策用的辅助信息的系统。其简化工作流程示意如下：

AIS（会计信息系统）：1、会计信息收集：帐户；收据；发票。2、会计分录生成：帐簿；凭证；表单。3、分类核算汇总：报表；汇总凭证；科目余额表。4、生成报告：月度；季度；年度。5、决策支持：财务分析；经营预测；管理决策。6、跟踪预测：运营状况；发现问题；给定方案。

（二）AIS对企业管理的意义

会计信息系统（AIS）是企业管理中不可或缺的一个方面。它是一种由计算机和软件组成的系统，用于处理、存储和管理企业的财务和会计信息。AIS可以帮助企业进行财务分析、预算管理、成本控制、决策支持等工作，对企业的管理和决策具有重要的作用，可以概括为以下几个方面：

1.提高数据处理效率

AIS可以自动化处理企业的财务和会计信息，比人工处理更快并且准确。同时还可以通过电子数据处理技术与其他商业应用程序集成，从而帮助企业更快捷地实现数据收集、分析和报告。

2.支持决策制定

AIS可以生成各种财务和会计报表，包括利润和损失表、资产负债表、现金流量表等。这些报表为企业提供了相关的决策依据，帮助企业管理层更好地制定战略和运营计划。

3.提高安全性

AIS可以设置各种安全措施，例如对数据进行备份、密码保护、访问限制等等，以确保企业信息的安全性和保密性。

4.降低成本

使用AIS可以降低企业的成本，因为它可以自动处理大部分财务和会计信息，减少人工处理费用。同时，也可以通过在系统中设置控制措施来减少审计成本。

（三）AIS在企业管理中存在的问题

然而，AIS的广泛应用为企业带来了巨大的便利和效率优势，但同时也带来了安全和可靠性方面的问题。以下是一些常见的问题：

1.数据安全问题

AIS中处理的数据通常包含企业的财务、客户、供应商等重要信息，因此安全性非常重要。如果未通过适当的身份验证或访问控制来防止未经授权的访问，可能会导致数据泄露或被窃取的风险。

2.系统可靠性问题

AIS的可靠性对于企业的正常运营至关重要，如果系统出现故障或停机，将导致数据丢失或无法访问，从而对企业的业务造成重大影响。因此，必须采取适当的预防措施，例如备份数据、保养硬件设备等等。

3.操作错误问题

由于AIS涉及到众多复杂的金融和会计业务流程，操作错误可能会导致数据不准确、报表错误等问题，从而影响企业的决策和业务运营。

4.软件更新问题

AIS的软件需要定期进行更新，以确保其正常运行和与其他应用程序的兼容性。但是，这种更新有时可能会导致系统中存在的漏洞被利用来攻击企业系统。

综上所述，AIS的广泛应用给企业带来了许多好处，但也需要特别注意其安全和可靠性问题。企业必须采取适当的措施来保护其数据，并确保AIS系统始终保持可靠和稳定的状态。其中AIS风险评估与管理对于保障企业信息安全至关重要。

（四）研究目的

本论文旨在通过COBIT和COSO报告，对会计信息系统的各项风险进行评估研究，并提出一系列风险防范措施。通过实际案例分析，验证该方法的可行性。

企业研究会计信息系统的主要目的是为了提高会计信息的准确性、可靠性和及时性，从而更好地支持企业的决策和管理。以下是一些常见的目的：

1.提高会计信息的准确性和可靠性

通过研究会计信息系统，企业可以识别潜在的错误和问题，并采取措施来提高会计信息的准确性和可靠性。例如，企业可以优化会计流程、改进数据输入和处理的质量控制，以及加强对内部控制的监督等。

2.提高管理决策的准确度和效率

会计信息系统在收集、处理和报告财务数据方面扮演着重要的角色。通过分析这些数据并制作相关的财务报表和分析工具，企业可以更好地了解自身的财务状况，并基于此作出更为准确和有效的管理决策。

3.降低成本和提高效率

具有高效性和精度的会计信息系统可以帮助企业降低成本和提高效率。例如，通过自动化流程和减少错误，企业可以节省时间和人力成本，同时提高准确性和可靠性。

4.支持税务合规和审核需求

当企业需要向税务部门提交财务数据或接受审核时，会计信息系统可以提供有关数据的详细信息和完整性，以确保企业合规并避免未来可能面临的罚款或法律责任。

总之，企业研究会计信息系统的目的是为了确保会计信息的准确性、可靠性和即时性，并提供有用的财务报表和分析工具，支持企业的决策和管理。

（五）研究内容

本论文主要包括以下几个方面内容：

1.COBIT与COSO报告简介及其在AIS中的应用；

2.AIS风险评估相关概念和方法；

3.通过对企业内部控制和外部法规的分析，提出AIS风险防范措施；

4.通过实际案例分析，验证所提出的AIS风险评估方法的可行性。

二、COBIT与COSO报告在AIS中的应用

（一）COBIT简述

COBIT（Control Objectives for Information and Related Technology）是一个广泛使用的IT管理框架，它提供了一系列标准和最佳实践，帮助企业制定和管理信息技术策略，并确保信息技术的有效性和合规性。其中，COBIT对会计信息系统的重要性体现在以下几个方面：

1. 保证会计信息系统的安全和可靠性：COBIT提供了一系列的控制目标和最佳实践，可以帮助企业建立健全的信息系统安全管理机制，确保会计信息系统的安全和可靠性。

2. 确保会计信息系统符合法律法规要求：COBIT包括适用于会计信息系统的各种法律法规和标准，如Sarbanes-Oxley Act、财务会计准则等，并能够帮助企业确保会计信息系统的合规性。

3. 优化会计信息系统的绩效和价值：COBIT强调企业需要建立合理的IT战略和规划，确定IT投资的优先级和资源分配，帮助企业优化会计信息系统的绩效和价值。

4. 提高会计信息系统的透明度和可审计性：COBIT提倡建立规范的审计机制，确保会计信息系统运行的透明度和可审计性，并能够及时发现和纠正任何可能存在的问题。

综上所述，COBIT对于会计信息系统的重要性不言而喻，它可以帮助企业建立安全、合规、高效、透明和可审计的会计信息系统，提高企业的管理水平和竞争力。

（二）COSO报告简述

COSO（Committee of Sponsoring Organizations）是一个由美国五大会计师事务所和美国财务高级管理协会等组成的私人组织，旨在为企业提供管理和内部控制方面的指导。对于会计信息系统而言，COSO对其重要性体现在以下三个方面：

1. 确保会计信息系统的安全及完整性：COSO指出，内部控制包括会计信息系统内的控制，通过实施各种控制程序，包括访问控制、交易控制、完整性控制等，确保会计信息系统的安全及完整性。

2. 确保会计信息系统可靠性及有效性：COSO强调内部控制必须满足可靠及有效的要求，以确保会计信息系统的数据能够被准确记录、处理及报告，并且确保相关的内部控制程序能够评估系统的有效性。

3. 保证会计信息系统合规性：COSO认为内部控制应该在合适的时机检验是否应用了适当的法律和法规，从而保障企业符合法律和法规的要求。

综上所述，COSO对于会计信息系统的重要性不容忽视，它可以帮助企业建立安全、可靠、有效及合规的会计信息系统，提升企业管理水平和竞争力，帮助企业在复杂严峻的商业环境下更好地运营和发展。

三、AIS风险评估相关概念和方法

（一）风险评估相关概念

风险是指发生某事情的可能性和结果造成的不利影响。而风险评估则是对风险进行分析和评估，以确定其重要性和紧急性，并制定相应的控制措施。

（二）AIS风险评估方法

对于AIS风险评估，可以采用以下三种方法：

第一种，按照COBIT框架进行评估：根据COBIT框架中的关键控制目标，对AIS风险进行评估。

按照COBIT框架进行风险评估可以帮助企业全面了解其IT风险现状，并制定适当的风险管理策略，从而保护关键IT资产，提高企业的IT风险管理水平。一般按照以下步骤进行：

1.确定评估的资产；2.确定评估的目标；3.确定评估的风险类型；4.评估控制的有效性；5.识别风险；6.制定应对方案；7.监测和评估。

第二种是按照COSO框架进行评估：根据COSO框架中的内部控制目标，对AIS风险进行评估。步骤大致为：

1.确认评估范围和目标；2.识别和评估潜在风险；3.识别现有控制措施；4.评估控制环境；5.评估控制活动；6.识别信息和沟通问题；7.监控和审计。

最后就是综合评估法：同时考虑COBIT和COSO框架，对AIS风险进行综合评估。COBIT和COSO框架都是广泛应用于企业内部控制和风险管理的框架，可以结合使用对AIS（会计信息系统）的风险进行综合评估。

具体来说，可以按照以下步骤进行：

1. 确定评估的范围和目标：明确评估的范围和目标，选择需要评估的关键业务流程和相关信息系统，以及需要保护的关键信息资产。

2. 建立COBIT框架中的控制目标和实践与COSO框架的内部控制组件之间的关联：COBIT主要关注IT治理和IT服务管理，而COSO则着重于内部控制。将两者相结合，可以形成一个全面的内部控制和风险管理框架。

3. 识别潜在风险：通过对所选业务流程和相关信息系统的评估，识别可能存在的风险，包括IT风险、管理风险和合规风险等。

4. 评估风险的可能性和影响度：对每个潜在风险进行评估，确定其可能性和影响度。可以使用COSO框架的风险评估矩阵，将可能性和影响度划分为不同的等级。

5. 识别控制弱点：对已实施的控制措施进行评估，识别可能存在的弱点或缺陷，如缺乏适当的访问控制、缺少备份策略等。

6. 制定风险管理策略：根据评估结果，制定风险管理策略，明确采取的措施和行动计划，包括增加新的控制、升级现有控制、建立监控和报告机制等。

7. 监控和审计：对实施的控制措施进行监控和审计，发现和纠正任何存在的问题和缺陷，确保风险管理策略的有效性和可持续性。

可见，综合运用COBIT和COSO框架可以帮助企业全面评估其AIS风险，并采取有效的风险管理策略，确保对关键信息资产的保护和IT治理的有效运作。

四、AIS风险防范措施

（一）内部控制方面的防范措施

1.加强对AIS系统运营的监督和管理，确保数据的准确性和可靠性；

2.规范用户权限和安全认证机制，防止未经授权的访问；

3.加强对系统日志的监测和分析，及时发现异常情况；

4.建立完善的备份和恢复机制，确保数据的可恢复性和可用性。

（二）外部法规方面的防范措施

1.遵守相关法律法规，如《企业会计准则》和《信息安全技术基本要求》等；

2.加强对第三方服务提供商的管理和监督；

3.定期进行安全评估和漏洞扫描，及时修复潜在风险。

五、案例分析

以下是一个企业AIS的风险评估和防范措施的实际案例分析：

（一）案例描述

一家制造业企业使用了一个集成的会计信息系统（AIS）来管理其财务、采购、库存等方面的业务。该系统尤其强调数据的保密性和完整性，因为它包含大量敏感的财务和商业信息。

（二）风险评估

在对该企业的AIS进行风险评估时，发现以下主要风险：

1.网络安全风险：由于该系统在线，因此它容易受到网络攻击（如黑客攻击、病毒攻击）的影响。

2.内部攻击风险：该系统中的敏感数据可能会被内部人员（如员工、合作伙伴）利用来实施欺诈、窃取信息或者破坏数据完整性。

3.系统崩溃风险：如果该系统出现故障或崩溃，企业将无法访问其重要数据，从而影响业务的生产和管理。

（三）防范措施

为了减轻这些风险，企业采取了以下防范措施：

1.网络安全策略：企业采用了防火墙、加密和访问控制等措施来确保网络安全，从而防止黑客和病毒攻击。

2.内部监督措施：企业建立了一个内部监督体系，以确保敏感数据的访问和使用符合规定，并限制员工在系统中的权限。

3.备份和恢复计划：企业制定了备份和恢复计划，以确保系统出现故障或崩溃时，可以及时恢复并恢复其生产运行。

4.员工培训：企业实施有针对性的员工培训，提高员工识别和报告安全漏洞、异常行为的意识，以便及时进行处理。

（四）结论

通过采取这些风险防范措施，企业成功地减轻了其AIS所面临的网络安全、内部攻击和系统崩溃等风险。同时，这些措施也加强了企业的内部控制和合规性，为企业的长期稳定发展提供了保障。通过对某企业AIS的风险评估和防范措施的实际案例分析，验证了上述方法的可行性。该企业通过建立严格的内部控制流程，并遵守外部法规，成功地保障了AIS系统的安全性和可靠性。

六、总结与展望

本论文基于COBIT与COSO报告，对AIS风险进行了评估研究，并提出了一系列防范措施。通过实际案例的分析，验证了所提出方法的可行性。未来，未来，随着信息技术的不断发展和商业环境的变化，AIS风险也将面临新的挑战。因此，需要不断地完善与更新风险评估和防范措施，以确保企业信息系统的安全性和可靠性。

参考文献：

[1] 杨律青.面向风险管理的企业应用软件项目实施模型与方法研究[D].华中科技大学，2008

[2] 肖龙.信息系统风险分析与量化评估[D].四川大学，2006

[3] 方德英，李敏强，寇纪淞.目标导向的IT项目开发风险影响图模型[J].系统工程学报，2004.12

[4] 《企业内部控制基本规范》 财政部 证监会 审计署 银监会 保监会  2008.5

[5] 苗连琦.COBIT：加强会计信息系统的内部控制与审计的一个不可或缺的工具[J].中国管理信息化，2008（02）：90-93.

[6] 吴慧婷. 信息化环境下的企业内部控制系统研究[D].苏州大学大学，2007

[7] 白珣.基于IT治理的企业IT风险管理框架的研究[D].中国海洋大学，2008

作者简介：寇正垚，男，2002年1月4日，汉族，天津市，本科在读，研究方向：审计专业