時間:2022-07-19 05:23:43
序論:在您撰寫淺談會計電算化風(fēng)險管理時,參考他人的優(yōu)秀作品可以開闊視野,小編為您整理的1篇范文,希望這些建議能夠激發(fā)您的創(chuàng)作熱情,引導(dǎo)您走向新的創(chuàng)作高度。
摘要:會計電算化是事業(yè)單位會計工作改革的一項重要內(nèi)容。本文借助項目風(fēng)險管理的理論,構(gòu)建了事業(yè)單位會計電算化項目風(fēng)險管理框架,并詳細(xì)分析了事業(yè)單位會計電算化項目的風(fēng)險因素,提出了相應(yīng)的風(fēng)險應(yīng)對措施。為即將實施會計電算化項目的單位提供了有益借鑒。
關(guān)鍵詞:會計電算化 風(fēng)險管理 風(fēng)險應(yīng)對
隨著信息技術(shù)的高速發(fā)展,計算機已經(jīng)逐步在我國部分事業(yè)單位得到廣泛應(yīng)用,會計電算化在實現(xiàn)了工資管理、往來賬目等日常會計工作自動化的同時,不僅提高了財務(wù)工作的效率,降低了部分人為工作的不確定性,而且能夠?qū)崿F(xiàn)事業(yè)單位對財務(wù)管理的規(guī)范化,增強了對財務(wù)工作的監(jiān)控能力。因此,我國越來越多的行政事業(yè)單位開始展開會計電算化項目。然而,一個項目的順利實施不僅僅要看到其所帶來的效益,還應(yīng)該在項目實施之初考慮項目可能產(chǎn)生的風(fēng)險,并通過對項目風(fēng)險的把控,保證項目的順利開展。作為還未開展會計電算化的事業(yè)單位,應(yīng)該在什么時候開展,在開展中需要遵從什么樣的管理步驟,在實際應(yīng)用中需要避免什么樣的風(fēng)險才能保證會計電算化項目的順利實施則是財務(wù)管理人員所必須了解的一項重要內(nèi)容。
一、風(fēng)險管理的基本理論
項目風(fēng)險是在項目管理活動或事件中消極的、項目管理人員不希望的后果發(fā)生的潛在可能性。由于項目的一次性、創(chuàng)新性和獨特性等特性,任何一個項目都是有風(fēng)險。
目前,通用的項目風(fēng)險管理系統(tǒng)模型由以下四個部分組成,即風(fēng)險規(guī)劃、風(fēng)險分析、風(fēng)險應(yīng)對和風(fēng)險監(jiān)控。
(一)風(fēng)險規(guī)劃
風(fēng)險規(guī)劃主要是對項目實施過程中風(fēng)險管理工作的整體計劃和安排,是后續(xù)工作的基礎(chǔ)。
(二)風(fēng)險分析
風(fēng)險分析包括風(fēng)險識別、風(fēng)險估計和風(fēng)險評價。即通過風(fēng)險識別找出影響項目質(zhì)量、進度、費用等目標(biāo)順利實現(xiàn)的主要風(fēng)險,然后對風(fēng)險發(fā)生的概率和產(chǎn)生的影響進行估算,最后對風(fēng)險度進行評價、排序。通過風(fēng)險分析可以確定項目的關(guān)鍵風(fēng)險、主要風(fēng)險,以便項目管理者能夠集中精力和資金對項目的風(fēng)險進行應(yīng)對。
(三)風(fēng)險應(yīng)對
風(fēng)險應(yīng)對是指項目管理者采用多種措施和方法降低風(fēng)險發(fā)生的概率、減少風(fēng)險發(fā)生后造成的損失。目前,傳統(tǒng)的風(fēng)險應(yīng)對的措施和方法包括:風(fēng)險回避、風(fēng)險轉(zhuǎn)移、風(fēng)險自留等。
(四)風(fēng)險監(jiān)控
風(fēng)險監(jiān)控是通過對項目實施過程中的可能出現(xiàn)風(fēng)險的監(jiān)視,提出相應(yīng)的解決措施,包括重新規(guī)劃、在此分析等。項目的風(fēng)險管理不是一次性工作,通過風(fēng)險監(jiān)控將風(fēng)險管理構(gòu)成了閉環(huán)控制,更滿足項目的實際實施環(huán)境。
以上四個部分中,風(fēng)險的分析與應(yīng)對是項目風(fēng)險管理系統(tǒng)的核心。因此,本文就以風(fēng)險分析與應(yīng)對為基礎(chǔ)對事業(yè)單位會計電算化項目的風(fēng)險管理框架進行探討。
二、事業(yè)單位會計電算化項目的風(fēng)險管理框架
(一)會計電算化項目的風(fēng)險分析
1、風(fēng)險識別
找到風(fēng)險是風(fēng)險分析和管理的前提和基礎(chǔ)。因此風(fēng)險識別雖然多采用定性分析,但卻尤為重要。事業(yè)單位會計電算化項目中的風(fēng)險可以總結(jié)為以下幾個種類:
會計電算化實施中制度不健全的風(fēng)險。制度建設(shè)是任何工作正常開展的必要保證。如果內(nèi)控制度薄弱,普通操作人員在未經(jīng)授權(quán)的情況下就能對財務(wù)數(shù)據(jù)進行篡改,則必然會造成管理上的混亂,不僅使會計電算化不能得到高效、有序的使用,而且還可能導(dǎo)致作假舞弊等更大的潛在風(fēng)險,給單位和個人造成巨大的損失。
會計電算化實施中軟、硬件配置不當(dāng)?shù)娘L(fēng)險。由于自主開發(fā)的成本過高,目前,很多事業(yè)單位各自從市場上購買會計軟件并配置相應(yīng)的硬件設(shè)備。這樣,可能產(chǎn)生由于過分追求低成本,或項目組成員考慮問題不周全而購買了質(zhì)量和后續(xù)服務(wù)都較弱的軟、硬件產(chǎn)品,而造成很多重要財務(wù)功能無法實現(xiàn),電算化目標(biāo)無法達到等風(fēng)險的發(fā)生;相反,如果忽視單位自身需求,而盲目追求軟硬件產(chǎn)品的新、貴、全,則會導(dǎo)致購買的產(chǎn)品很多功能沒有必要,造成資源的極大浪費。
2、風(fēng)險估計與評價
目前,傳統(tǒng)的風(fēng)險估計的方法包括:主觀評分法、決策樹法(Decision Tree Analysis)、層次分析法AHP?。╰he Analytiwal Hierarchy Process)、模糊風(fēng)險綜合評價(Fussy Comprehensive Evaluation)、故障樹分析法FTA(Fault Tree Analysis)和蒙托卡羅模擬法(Monte Carlo Simulation)等,事業(yè)單位可以根據(jù)自身的業(yè)務(wù)特點,對開展會計電算化項目的風(fēng)險進行評估。
(二)會計電算化項目的風(fēng)險應(yīng)對
根據(jù)項目風(fēng)險分析的結(jié)果,本文提出了事業(yè)單位會計電算化項目的風(fēng)險應(yīng)對措施。
健全會計電算化的各項制度。包括資料管理制度,強調(diào)專人專管,確保會計電算化項目的順利開展;安全管理規(guī)范,確定不同使用人員的權(quán)限,避免財務(wù)數(shù)據(jù)的不正常瀏覽和篡改;
培訓(xùn)會計電算化的重要人才。包括本單位相關(guān)人員對會計電算化的認(rèn)識的普及型培訓(xùn);包括對電算化項目使用人員的專業(yè)化培訓(xùn);通過培訓(xùn)提高人員電算化的意識、態(tài)度和實際操作技能。
合理配置會計電算化的軟硬件環(huán)境。全面分析本單位的業(yè)務(wù)流程和發(fā)展的趨勢,廣泛調(diào)研省市內(nèi)相關(guān)單位會計電算化使用情況,結(jié)合未來幾年計算機及軟件發(fā)展的可能,采取內(nèi)部邀請招標(biāo)的方式配置單位的會計電算化的軟硬件環(huán)境。
三、總結(jié)
項目的風(fēng)險管理是項目成功實施的重要保證。通過對事業(yè)單位會計電算化項目的風(fēng)險管理框架的探析,能夠為準(zhǔn)備開展會計電算化的單位成功實施并完成項目提供一定的參考依據(jù)。
會計電算化是電子計算機技術(shù)、信息技術(shù)和現(xiàn)代會計技術(shù)相結(jié)合的產(chǎn)物,是會計工作發(fā)展的方向。在我國,銀行會計電算化起步較早、發(fā)展較快,從信用卡自動提款到票據(jù)自動清分,從儲蓄通存通兌到匯兌天地對接,從銀行證券聯(lián)網(wǎng)到網(wǎng)上銀行,銀行會計電算化包含的業(yè)務(wù)越來越多,囊括的范圍越來越廣,輻射的空間越來越大。面對飛速發(fā)展的銀行會計電算化現(xiàn)實,我們研究和探討銀行會計電算化的風(fēng)險防范與控制有著十分重要的意義。
一、銀行會計電算化設(shè)計風(fēng)險的防范與控制
銀行會計電算化從發(fā)展過程看,通常分為會計核算電算化、會計管理電算化、會計決策電算化三個階段。這三個階段是由低到高的遞進過程。每一階段電算化的實現(xiàn)都離不開一定的物質(zhì)基礎(chǔ)——電子計算機系統(tǒng),包括硬件、軟件。所謂銀行會計電算化設(shè)計風(fēng)險就是指在實現(xiàn)會計電算化過程中因考慮不周而形成的風(fēng)險,這種風(fēng)險具有彌補困難、花費大、有一定潛伏期、影響全局等特點。設(shè)計風(fēng)險表現(xiàn)的形式、反映的問題多種多樣。有的反映在硬件上,比如內(nèi)存不足,這主要是當(dāng)初會計電算化僅考慮某個部門、某種業(yè)務(wù),而沒有用發(fā)展的眼光從戰(zhàn)略的角度來選擇使用硬件設(shè)備。有的反映在軟件上,比如軟件設(shè)計功能欠缺,這主要是程序開發(fā)人員不熟悉、不把握業(yè)務(wù)人員實際需求或業(yè)務(wù)人員對電腦所提需求被遺漏、監(jiān)督認(rèn)定不夠造成的。
在實際中,反映在軟件上的設(shè)計風(fēng)險要比反映在硬件上的設(shè)計風(fēng)險更常見。以某行開發(fā)使用的信用卡業(yè)務(wù)核算系統(tǒng)為例,該行應(yīng)用程序的開發(fā)是委托深圳一軟件公司,開發(fā)時由于僅從信用卡業(yè)務(wù)考慮,結(jié)果造成該系統(tǒng)會計核算的“單腿跳”,所出的賬表無法滿足會計核算的規(guī)定和要求,給信用卡業(yè)務(wù)會計核算和監(jiān)督工作帶來了很大麻煩,并被政治修養(yǎng)不高的員工鉆了空子,造成了該行經(jīng)營的較大損失。再比如全球都在關(guān)注的電腦“2000年問題”,這也可以歸入設(shè)計風(fēng)險,如果解決不好,將直接對銀行會計核算造成重大影響,給銀行經(jīng)營帶來直接或間接損失。
“凡事預(yù)則立,不預(yù)則廢”,控制和防范會計電算化的設(shè)計風(fēng)險,重點應(yīng)放在事前。實際工作中,我們一是要注重硬件選擇的長遠(yuǎn)性,必須經(jīng)過技術(shù)論證、業(yè)務(wù)發(fā)展論證;二是要注重會計軟件開發(fā)的規(guī)范性,必須在符合現(xiàn)行會計法規(guī)的前提下滿足實際業(yè)務(wù)需要;三是要注重會計軟件開發(fā)的前瞻性,必須充分估計以后可能出現(xiàn)的變動,必須考慮解決可能出現(xiàn)問題的方法,必須提供靈活多樣的參數(shù)維護手段;四是要注重會計軟件開發(fā)的科學(xué)性,必須有編制規(guī)范及內(nèi)容齊全的文檔資料,必須留有必要的數(shù)據(jù)接口和程序接口;五是要注重會計軟件開發(fā)、推廣的程序性,必須有開發(fā)需求認(rèn)定,已完成軟件理論認(rèn)定、已完成軟件實際測試等環(huán)節(jié)和手續(xù)。
二、銀行會計電算化技術(shù)風(fēng)險的防范與控制
幾十年來,計算機始終保持著高速發(fā)展的趨勢。這不僅表現(xiàn)在電子計算機主要內(nèi)部元件經(jīng)歷了真空管、晶體管、集成電路、大規(guī)模集成電路發(fā)展階段,而且表現(xiàn)在CPU、BUS等內(nèi)在功能的提高以及各種系統(tǒng)軟件和應(yīng)用軟件不斷更新?lián)Q代和升級。同時,電子計算機的應(yīng)用領(lǐng)域越來越廣泛,認(rèn)識和使用電子計算機的人員越來越多。所謂銀行會計電算化技術(shù)風(fēng)險就是指在實現(xiàn)會計電算化過程中因技術(shù)水平不足或過高而形成的風(fēng)險,這種風(fēng)險具有階段性、時期性、變動性、局限性等特點。
銀行會計電算化技術(shù)風(fēng)險主要反映在軟件上,尤其是應(yīng)用軟件。以手工和電算化賬務(wù)處理數(shù)據(jù)流程為例,可發(fā)現(xiàn)因技術(shù)水平不足而對核算的影響。
電算化賬務(wù)處理數(shù)據(jù)流程圖
上述兩個結(jié)構(gòu)框圖見于由中華人民共和國財政部會計司編寫的《基層單位會計電算化》(經(jīng)濟科學(xué)出版社,第54頁、55頁),書中將電算化賬務(wù)處理數(shù)據(jù)流程圖視為“打破了原有手工業(yè)務(wù)流程的框框”。事實上,會計手工核算依據(jù)同一會計原始憑證進行綜合和明細(xì)二條線核算是會計不斷發(fā)展和實踐經(jīng)驗的總結(jié)。相反,按照電算化賬務(wù)處理數(shù)據(jù)流程圖實現(xiàn)的會計核算電算化,雖然也生產(chǎn)出類似手工核算的綜合和明細(xì)核算賬表,但它生產(chǎn)出的綜合和明細(xì)核算賬表會始終保持一致,因為它已失去一條線,因此也就失去了明細(xì)核算賬表對綜合核算賬表通過兩條線記賬所實現(xiàn)的核對監(jiān)督作用。
會計電算化技術(shù)風(fēng)險還表現(xiàn)在因電子計算機使用人技術(shù)水平提高而利用軟件設(shè)計、開發(fā)者技術(shù)方面的局限、漏洞等作案,比如破譯電算化系統(tǒng)本身的防衛(wèi)功能,在賬戶系統(tǒng)中盜用他人賬戶資金,在自動提款機上盜取他人資金等等。
控制和防范銀行會計電算化的技術(shù)風(fēng)險,貫穿于電算化工作的始終。我們一是要不斷采用新技術(shù),不斷提高使用程序版本;二是要不斷改進、變換和提高系統(tǒng)本身的防衛(wèi)功能;三是要不斷提高數(shù)據(jù)加密水平和手段;四是要保管好重要的文檔資料。
三、銀行會計電算化操作風(fēng)險的防范與控制
操作系統(tǒng)是計算機系統(tǒng)的重要組成部分,它是一種有效的管理計算機軟件資源和硬件資源的軟件。在會計電算化系統(tǒng)中,各單位應(yīng)根據(jù)硬件的結(jié)構(gòu)體系選擇適合本單位需要的操作系統(tǒng)。我們在這里所講的銀行會計電算化操作風(fēng)險是指依附于電子計算機操作系統(tǒng)因操作應(yīng)用軟件不當(dāng)而形成的風(fēng)險,這種風(fēng)險具有多發(fā)性、普遍性、多樣性等特點。
銀行會計電算化擺脫了傳統(tǒng)的手工核算方式,同時對會計人員自身素質(zhì)提出了更高的要求。從操作上看,要求業(yè)務(wù)人員必須經(jīng)過一定的崗位培訓(xùn)才能勝任交付的工作,同時上機時必須依規(guī)程進行操作。從思想上看,要求業(yè)務(wù)人員必須有高度自覺的安全防范觀念和高度負(fù)責(zé)的工作態(tài)度。如達不到上述要求,就會出現(xiàn)銀行會計電算化操作風(fēng)險。
由于銀行會計電算化操作風(fēng)險具有多發(fā)性、多樣性、普遍性的特點,因此,操作風(fēng)險的表現(xiàn)形式和危害也是多種多樣的。有的屬于無意操作風(fēng)險,如因工作粗心大意誤輸機、漏輸機、重輸機等,這種情況下常常會造成結(jié)算事故或給銀行經(jīng)營帶來損失。有的屬于有意操作風(fēng)險,這主要是銀行內(nèi)部犯罪分子通過竊取他人密碼或本人通過某種操作方式,單獨或內(nèi)外勾結(jié)達到侵吞國家財產(chǎn)、占用或騙取銀行資金的目的。操作人員這種情況下產(chǎn)生的操作風(fēng)險,是一種犯罪行為,通常給銀行造成的損失巨大。
控制和防范銀行會計電算化的操作風(fēng)險主要是通過一定的操作控制方式來實現(xiàn)。目前,最常見的控制方式是特殊業(yè)務(wù)通過授權(quán)完成,這種方式的缺點是不能涉及全部業(yè)務(wù)。,另一種方式是二次錄入,這種方式的缺點是監(jiān)督發(fā)現(xiàn)問題滯后,容易失去防范有利時機。筆者比較傾向于機上覆蓋式復(fù)核同授權(quán)及二次錄入三者相結(jié)合的方式控制操作風(fēng)險,所謂機上覆蓋式復(fù)核就是電腦操作也分為經(jīng)辦人、復(fù)核人兩個崗位,經(jīng)辦人員進行業(yè)務(wù)錄入后不能進入復(fù)核系統(tǒng)(會計系統(tǒng)),復(fù)核人員不能進入經(jīng)辦系統(tǒng),經(jīng)辦人員的業(yè)務(wù)只有經(jīng)過復(fù)核人員的要點式覆蓋,并經(jīng)確認(rèn)后才能進入會計系統(tǒng)。
四、銀行會計電算化管理風(fēng)險的防范與控制
建立健全銀行會計電算化管理制度是貫徹執(zhí)行會計法律、法規(guī)、規(guī)章制度,保證銀行會計工作有序進行的重要措施。良好的管理制度可以維護銀行各項資產(chǎn)的安全完整,防止發(fā)生損失和跑冒滴漏,防止失誤和及時糾偏,是彌補設(shè)計風(fēng)險,技術(shù)風(fēng)險,操作風(fēng)險的重要手段。所謂銀行電算化管理風(fēng)險就是指銀行在會計電算化應(yīng)用過程中因管理不善而形成的風(fēng)險,這種風(fēng)險具有無意性、依賴性、誘導(dǎo)性和廣泛性等特點。
銀行會計電算化管理風(fēng)險的無意性,主要是反映這種風(fēng)險的產(chǎn)生是管理者主觀愿望所不希望的,管理者是無意的。依賴性主要是反映這種風(fēng)險的產(chǎn)生是管理和操作者在主觀上缺乏管理控制意識,過分相信和依賴程序的邏輯檢查功能。誘導(dǎo)性主要是反映這種風(fēng)險產(chǎn)生后如果不吸取教訓(xùn),如果不立即堵塞漏洞,就會有新的誘犯者。廣泛性主要是反映管理風(fēng)險可能產(chǎn)生于任何一個環(huán)節(jié),從人員分工到部門劃分,從前端工作站到機房主機,從常規(guī)操作到意外情況處理,從備份磁盤保管到機房防火、防潮、防盜、環(huán)境等,忽視任何一個環(huán)節(jié)都可能給銀行經(jīng)營帶來嚴(yán)重的后果。
控制和防范銀行會計電算化的管理風(fēng)險,離不開人們主、客觀的努力。我們一是要建立健全各項管理制度,包括會計電算化內(nèi)部管理制度、會計電算化操作管理制度、計算機硬(軟)件和數(shù)據(jù)管理制度、電算化會計檔案管理制度、意外情況處理制度等;二是要加強教育,樹立管理者和操作者的風(fēng)險防范觀念,提高員工遵章守紀(jì)、按規(guī)操作的自覺性;三是要建立起監(jiān)督、檢查制約機制和與之配套的賞罰機制。
總之,銀行會計電算化程度的提高,無疑給商業(yè)銀行的經(jīng)營帶來了極大的益處,但也給銀行經(jīng)營帶來了風(fēng)險。我們只有重視防范風(fēng)險,才能避免風(fēng)險。因此,銀行會計電算化越發(fā)展,越應(yīng)重視風(fēng)險的防范與控制。
[摘要]隨著信息技術(shù)的飛速發(fā)展,全球經(jīng)濟向網(wǎng)絡(luò)經(jīng)濟邁進的今天,建立高效完整的會計信息系統(tǒng),實現(xiàn)會計電算化是大勢所趨。針對會計電算化過程中出現(xiàn)的一些新問題和潛在的風(fēng)險,提出采取切實可行的應(yīng)對措施。
隨著信息技術(shù)的飛速發(fā)展,全球經(jīng)濟向網(wǎng)絡(luò)經(jīng)濟邁進的今天,建立高效完整的會計信息系統(tǒng),實現(xiàn)會計電算化是大勢所趨,己成為各行各業(yè)乃至國家機關(guān)、行政事業(yè)單位的當(dāng)務(wù)之急。會計電算化的快速發(fā)展己不是單純的會計與計算機的簡單結(jié)合,而是已經(jīng)發(fā)展成為一門延伸到通信學(xué)、企業(yè)管理學(xué)、市場運籌學(xué)、公共財政信息化等學(xué)科的綜合學(xué)科。它的推廣應(yīng)用不再停留在傳統(tǒng)的財務(wù)管理系統(tǒng)上面,而是正朝著企業(yè)資源計劃管理系統(tǒng)“ERP”(企業(yè)管理軟件)和政府資源規(guī)化“GRP”(財政管理軟件)方向發(fā)展,甚至發(fā)展成為不同企業(yè)之間、跨地區(qū)、跨行業(yè)相互鏈接的大網(wǎng)絡(luò)系統(tǒng)及發(fā)展成為中國財政改革事業(yè)和財政信息化建設(shè)的有力武器和得力助手。先進的計算機網(wǎng)絡(luò)技術(shù)使信息系統(tǒng)實現(xiàn)會計電算化、管理信息化和結(jié)算網(wǎng)絡(luò)化,極大的提高了會計工作效率和工作質(zhì)量,使會計工作由原來的手工作業(yè)發(fā)展到今天的無紙化操作,這些變革不僅給企業(yè)帶來經(jīng)濟效益和社會效益,更減輕了財會人員的工作力度,促進了會計工作的規(guī)范化,為我國的管理工作的現(xiàn)代化奠定了基礎(chǔ)。但也出現(xiàn)一些新的問題和挑戰(zhàn),潛在的風(fēng)險漸漸地暴露出來。現(xiàn)探討如下:
一、無紙化過程中存在的風(fēng)險及應(yīng)對辦法
在手工會計系統(tǒng)中,記賬憑證、會計賬簿及會計報表均以紙張為載體,但實現(xiàn)會計電算化后都是無紙化作業(yè),這種無紙化操作,會計的各種數(shù)據(jù)易被他人任意刪改修訂且不留痕跡,而造成會計信息質(zhì)量的失真。因此,應(yīng)建立健全科學(xué)嚴(yán)密的會計電算化內(nèi)部控制制度,保證會計數(shù)字的安全和保密。
(一)、組織控制。隨著會計電算化的超速發(fā)展,會計機構(gòu)也應(yīng)作相應(yīng)的調(diào)整,如人員崗位責(zé)任制:人員崗位包括基本會計崗位和電算化崗位。其中,基本會計崗位為會計主管、出納、核算、稽核和檔案人員等,而電算化會計崗位則是操作員、維護人員、直接管理人員和會計軟件人員,以上兩種工作人員之間不得兼任;還要明確軟件開發(fā)人員、維護人員不能兼任操作員。并建立各崗位人員的崗位責(zé)任制度,且分工科學(xué),責(zé)任明確,各崗位都要得到一定的授權(quán),并用密碼控制。防止非法操作、越權(quán)操作。這樣人員互相制約和內(nèi)部牽動,能防止違法行為的發(fā)生并能及時發(fā)現(xiàn)錯誤。
(二)、操作控制。會計電算化操作應(yīng)嚴(yán)格遵循會計業(yè)務(wù)和處理流程進行,在會計軟件中設(shè)置防止重復(fù)操作、遺漏操作和誤操作的控制程序,違反操作規(guī)程和操作時間應(yīng)及時予以提示和制止;建立操作日志制度。計算機程序中應(yīng)對所有操作留有記錄,包括操作時間、操作人員姓名、操作內(nèi)容等。對已記賬和已結(jié)賬業(yè)務(wù)設(shè)置不可修改或逆操作程序,要修改必須通過編制記賬憑證沖正或補充登記來更正。以保證會計數(shù)據(jù)的完整性、真實性。
(三)、數(shù)據(jù)輸入(出)控制。會計電算化系統(tǒng)主要是由數(shù)據(jù)整理、數(shù)據(jù)輸入、數(shù)據(jù)處理、數(shù)據(jù)通訊、數(shù)據(jù)保存、數(shù)據(jù)輸出幾個部分構(gòu)成。在這些環(huán)節(jié)中分析出現(xiàn)風(fēng)險的可能性;分析系統(tǒng)設(shè)計過程中是否在實現(xiàn)各個功能時嵌入相應(yīng)的內(nèi)部控制措施;嵌入的內(nèi)部控制措施是否發(fā)揮作用;對于一些潛在的可預(yù)見風(fēng)險是否在系統(tǒng)中采取預(yù)防措施;是否對不可預(yù)見風(fēng)險的處理留有系統(tǒng)空間等等。由此保證各個環(huán)節(jié)的數(shù)據(jù)準(zhǔn)確、有效和全過程會計電算化的安全完整。在會計電算化工作中,電腦中原始數(shù)據(jù)是由人工事先進行審核和確認(rèn)后輸入計算機內(nèi),因而自動處理數(shù)據(jù)的準(zhǔn)確性完全依賴原始數(shù)據(jù)輸入時的準(zhǔn)確性。會計資料是單位的絕對機密,一旦泄漏將給單位帶來不應(yīng)有的損失,而磁性介質(zhì)的可復(fù)制性又使會計資料極易泄漏而不易發(fā)現(xiàn),故會計電算化系統(tǒng)的輸出不論是磁性文件還是打印資料,輸出后均應(yīng)立即受到嚴(yán)格管理,以防被人竊取或篡改。磁性資料應(yīng)由會計檔案保管員負(fù)責(zé)保管;打印資料在系統(tǒng)的操作日志上有所記錄后(包括記錄輸出時間、文件頁數(shù)及操作人員姓名)及時送達指定人手中;收件人要簽收并注明收件日期、文件內(nèi)容,以便日后備查;確保會計數(shù)據(jù)和會計軟件的安全保密,防止對數(shù)據(jù)和軟件的非法修改和刪除,對磁性介質(zhì)存放的數(shù)據(jù)要保存雙備份。所以一切數(shù)據(jù)的輸入(出)過程都必須規(guī)范化,并保持?jǐn)?shù)據(jù)的準(zhǔn)確性,才能保證會計信息質(zhì)量的真實、完整和準(zhǔn)確。
(四)、硬件與軟件系統(tǒng)的開發(fā)與維護控制。會計電算化包括需求分析、系統(tǒng)的設(shè)計和測試、系統(tǒng)的運行與維護以及系統(tǒng)文檔資料的保管等,即對正在使用的會計核算軟件進行修改、升級和硬件設(shè)備的更換,要有一定的審批手續(xù),要保證會計數(shù)據(jù)的連續(xù)和安全,并由有關(guān)人員監(jiān)督實施。要保證機房設(shè)備的安全和計算機的正常運行,健全排除硬件與軟件系統(tǒng)故障的管理措施,保證會計數(shù)據(jù)的完整性。
二、網(wǎng)絡(luò)環(huán)境的開放性所帶來的會計信息失真的風(fēng)險與應(yīng)對措施
在網(wǎng)絡(luò)環(huán)境下,信息的來源具有多樣、多渠道性,而大量會計信息大多是通過網(wǎng)絡(luò)通訊線路傳輸,這樣網(wǎng)絡(luò)信息就有可能被非法分子或別有用心的人攔截、竊取或篡改,網(wǎng)絡(luò)信息時常會遭到“病毒”和“黑客”的入侵,使網(wǎng)絡(luò)不得不暫停服務(wù),還有在利益的驅(qū)動下違背誠實信用原則,在網(wǎng)上亂盜他人或其他單位(企業(yè))的機密文件和重要資料等等,這些都會使企業(yè)蒙受損失,增加風(fēng)險,其應(yīng)對措施是:
(一)、實行數(shù)據(jù)通信控制。實施互聯(lián)網(wǎng)技術(shù),進行遠(yuǎn)程記賬憑證輸入,遠(yuǎn)程報表及遠(yuǎn)程監(jiān)控便于網(wǎng)絡(luò)控制。系統(tǒng)在數(shù)據(jù)通信時,面臨著因線路、設(shè)備故障導(dǎo)致數(shù)據(jù)丟失及被不法分子人為的攔截泄密的風(fēng)險,因此要在傳輸過程中采用數(shù)據(jù)加密,回響檢查等技術(shù)手段進行會計電算化的規(guī)范管理。
(二)、加強會計電算化保密控制。保密控制主要是保證會計電算化的程序、會計數(shù)據(jù)不被借用、濫用和非法使用。由于電算化系統(tǒng)的特殊性,為了防止非法進入財務(wù)管理系統(tǒng)和修改數(shù)據(jù)庫風(fēng)險的發(fā)生,可采取設(shè)置程序保密控制,文件密碼存儲控制,用戶進入操作系統(tǒng)的口令控制等措施,以保證在電算化過程中會計程序數(shù)據(jù)的安全。
(三)、健全會計電算化內(nèi)部定期檢查制度。對會計資料定期或不定期檢查,主要檢查會計電算化賬務(wù)處理正確與否,看是否遵照會計法規(guī)行事,審核費用簽字是不是符合本單位的內(nèi)控制度要求,憑證附件是否完整等;審查計算機內(nèi)部數(shù)據(jù)與書面資料的一致性,查看賬冊內(nèi)容,做到賬冊相符,對不符合要求、錯誤的賬表要及時糾正和調(diào)整。要監(jiān)督電算化過程中數(shù)據(jù)保存形式的安全性、合法性,防止非法刪除、修訂和篡改歷史會計數(shù)據(jù)及對電算化系統(tǒng)運行各環(huán)節(jié)進行檢查,防止出現(xiàn)漏洞。
(四)、加強法制建設(shè)。計算機犯罪具有智能化、隱蔽化的特點。我國雖已采用各種技術(shù)防止外部入侵攻擊,但“病毒,,屢屢得逞,因此加強網(wǎng)絡(luò)法制建設(shè),加大網(wǎng)上執(zhí)法力度,對不法分子的不法行為進行打擊以起到威懾作用已迫在眉睫。還應(yīng)配備殺毒軟件,定期或不定期的查“毒”、殺“毒”。
三、會計信息系統(tǒng)應(yīng)用軟件自身存在的問題及解決的途徑
當(dāng)前電子商務(wù)尚處在初始階段,跟不上網(wǎng)絡(luò)信息技術(shù)的飛速發(fā)展。會計信息系統(tǒng)使用的軟件還存在不少問題,最明顯的是網(wǎng)絡(luò)用戶不夠普及,沒有形成大的網(wǎng)絡(luò)系統(tǒng),各軟件公司出于本身利益的考慮,不對外公布軟件內(nèi)部數(shù)據(jù)接口,導(dǎo)致信息無法大范圍的交流、傳輸;網(wǎng)上法制建設(shè)尚不完善;給犯罪分子可乘之機。其解決的途徑:
(一)、開發(fā)商與用戶應(yīng)加強在線測試。在軟件開發(fā)和應(yīng)用過程中,開發(fā)商與用戶應(yīng)加強交流,充分測試。例如,用戶通過網(wǎng)絡(luò)向開發(fā)商提出要求或建議,開發(fā)商通過網(wǎng)絡(luò)把軟件傳送給用戶。雙方在軟件應(yīng)用過程中應(yīng)注意監(jiān)控,及時發(fā)現(xiàn)并解決問題。開發(fā)商可通過網(wǎng)絡(luò)對用戶的系統(tǒng)進行定期在線測試,一旦發(fā)現(xiàn)問題,應(yīng)進行升級,以便提高系統(tǒng)運行的安全性。
(二)、建立賬表系統(tǒng)?,F(xiàn)在市場上使用的財務(wù)軟件普遍是財務(wù)系統(tǒng)和報表系統(tǒng),作為兩個獨立的模塊獨自處理,它不利于雙向性查詢和確定性查詢。按照財務(wù)軟件的模塊化設(shè)計原則,對系統(tǒng)模塊劃分要求模塊具有最大獨立性,將財務(wù)系統(tǒng)和報表系統(tǒng)合二為一,建立賬表系統(tǒng),以回避自身存在的風(fēng)險。
(三)、注重會計電算化軟件的開發(fā)和人才的培養(yǎng)及技術(shù)培訓(xùn)。隨著會計電算化的普及和廣泛運用,更多的潛在風(fēng)險會有所暴露,這就要求我們要注重會計電算化軟件的開發(fā)和人才的培養(yǎng)并加強技術(shù)培訓(xùn)。為此,要充分利用計算機技術(shù)和會計知識,制定科學(xué)的會計綜合體系和會計電算化軟件發(fā)展規(guī)劃,選拔優(yōu)秀的計算機人才,開發(fā)適合行業(yè)內(nèi)部需要的會計電算化軟件,向大規(guī)模數(shù)值計算的專用軟件,面向問題和過程分析及判斷推理的高層次軟件綜合開發(fā)階段邁進。建立一套完善的計算機輔助管理專家系統(tǒng)和智能系統(tǒng),使計算機在會計管理工作中的應(yīng)用向更廣泛更深層次發(fā)展,實現(xiàn)單位自己的智能化信息與專家系統(tǒng)的會計電算化發(fā)展的新路子。會計電算化工作的關(guān)鍵是應(yīng)用。經(jīng)常參加計算機技術(shù)展示會和計算機培訓(xùn)班,全面了解科技信息和開發(fā)信息資源的重要性,提高對計算機的感性和理性認(rèn)識,充分認(rèn)識計算機技術(shù)的先進性、可靠性及在管理工作中所起到的重要作用。把計算機同現(xiàn)代化的管理科學(xué)融合在一起,開發(fā)出經(jīng)濟實用的計算機軟件系統(tǒng)和更高水平的計算機處理系統(tǒng)及培養(yǎng)出大批能從事會計電算化工作的復(fù)合型人才,才能回避會計電算化工作中的各種風(fēng)險。
隨著網(wǎng)絡(luò)和電子商務(wù)的發(fā)展,會計信息的安全問題越來越突出,必須采取相應(yīng)的防護措施,保證電算化系統(tǒng)安全穩(wěn)定的運行。
一、會計電算化系統(tǒng)存在的安全風(fēng)險
會計電算化系統(tǒng)的安全性是指電算化系統(tǒng)保持正常穩(wěn)定運行,系統(tǒng)數(shù)據(jù)信息保持安全和完整。會計電算化的安全性一直是系統(tǒng)設(shè)計者考慮的問題,同時也是系統(tǒng)用戶最為擔(dān)心的問題,其安全風(fēng)險表現(xiàn)在以下幾方面:
1.會計信息數(shù)據(jù)的失真。
會計信息是對企業(yè)生產(chǎn)經(jīng)營活動的綜合反映,滿足企業(yè)的內(nèi)部管理和外部相關(guān)部門和個人的需要,信息的質(zhì)量直接影響到企業(yè)的經(jīng)營管理和預(yù)策、決策。會計信息的真實、完整和準(zhǔn)確是對會計信息的基本要求,一旦會計信息系統(tǒng)的安全受到損害,最為直接的就是會計數(shù)據(jù)的錯誤、數(shù)據(jù)的丟失或被篡改,致使信息失真,這里的不安全因素表現(xiàn)為:一是硬件缺陷,如計算機硬盤的損壞而又沒有數(shù)據(jù)備份的情況下造成數(shù)據(jù)丟失。二是人為的誤操作和有意破壞,造成數(shù)據(jù)丟失和被篡改。三是外部環(huán)境如操作時停電或處于磁場環(huán)境磁盤被磁化造成數(shù)據(jù)丟失。另外在電算化網(wǎng)絡(luò)環(huán)境下,一些非法用戶的侵入或數(shù)據(jù)在網(wǎng)絡(luò)的傳輸中數(shù)據(jù)被截取和篡改,也將造成信息的不安全。
2.企業(yè)資金結(jié)算的安全問題。
在網(wǎng)絡(luò)經(jīng)濟的電子商務(wù)環(huán)境下,企業(yè)經(jīng)營越來越依賴于客戶,企業(yè)在網(wǎng)上的財務(wù)活動日益增多,如網(wǎng)上定購、網(wǎng)上銷售、網(wǎng)上結(jié)算、網(wǎng)上理財、網(wǎng)上證券投資及外匯買賣等,買賣雙方都是不謀面的信息交流,完全憑借雙方的信譽進行交易活動,這樣企業(yè)就面臨著財務(wù)結(jié)算的安全問題,一些非法用戶侵入他人的計算機系統(tǒng),通過網(wǎng)絡(luò)傳輸非法轉(zhuǎn)移電子資金及通過竊取密碼盜竊銀行存款,致使企業(yè)資金面臨安全風(fēng)險。
3.企業(yè)重要信息的泄露。
信息技術(shù)高速發(fā)展的今天,信息在企業(yè)的生產(chǎn)經(jīng)營管理中變得越來越重要,決定著企業(yè)在激烈的市場競爭中的成敗。因此利用高科技手段非法竊取企業(yè)機密,是構(gòu)成企業(yè)系統(tǒng)安全風(fēng)險的重要形式。如在網(wǎng)絡(luò)環(huán)境下,財務(wù)信息傳遞完全借助于網(wǎng)絡(luò)進行,財務(wù)信息被截取和篡改或泄露成為不可避免的問題,特別是網(wǎng)絡(luò)黑客非法侵入網(wǎng)絡(luò)用戶或程序,捕獲信息或通過竊取系統(tǒng)合法用戶口令、密碼,以此合法登陸,實現(xiàn)非法的目的,獲取重要商業(yè)秘密,將給企業(yè)造成不可估量的損失。
4.計算機病毒侵襲造成系統(tǒng)無法正常運行。
計算機病毒可以破壞計算機內(nèi)的程序、數(shù)據(jù),甚至破壞硬件,計算機病毒可以通過磁盤、光盤、網(wǎng)絡(luò)和電子郵件進行傳播,如以前出現(xiàn)的一種CIH的惡性病毒,直接攻擊、破壞硬件系統(tǒng),主要傳染W(wǎng)indows95/98的可執(zhí)行程序,極大威脅著系統(tǒng)的安全。病毒的隱蔽性強,傳播范圍廣,破壞力大,對電算化信息系統(tǒng)及遠(yuǎn)程網(wǎng)絡(luò)傳輸?shù)陌踩珮?gòu)成極大的威脅。
二、保證會計信息系統(tǒng)安全性的防范策略
1.建立健全會計電算化管理制度。
建立健全會計電算化管理制度,是確保會計核算操作安全,及時、準(zhǔn)確提供會計信息的根本保證,是實現(xiàn)企業(yè)會計電算化的前提。制度的建設(shè),包括內(nèi)部控制制度和宏觀管理制度及參與國際安全協(xié)議的方面。內(nèi)部控制制度包括人員管理制度、操作制度、安全保密制度、會計檔案管理制度及內(nèi)控制度,它們對系統(tǒng)的正常運行,會計信息的真實可靠可起到一定的保障作用。宏觀管理制度包括會計軟件管理制度和法規(guī),電算化網(wǎng)絡(luò)管理制度及防止和打擊網(wǎng)絡(luò)犯罪法規(guī)等,通過建立宏觀管理制度,可以加強對上市的商品化會計軟件管理,有效打擊網(wǎng)絡(luò)犯罪,懲治網(wǎng)絡(luò)黑客。為了保證Internet網(wǎng)絡(luò)的安全和用戶的利益不受侵犯,國際上相繼制定了系列安全協(xié)議,如安全電子交易規(guī)范、安全的超文本傳輸協(xié)議等,這些協(xié)議對規(guī)范網(wǎng)上行為起到了一定的促進作用。我國面臨著加入世貿(mào)組織,應(yīng)加快推進安全協(xié)議制度的實施和完善,以降低電算化網(wǎng)絡(luò)的風(fēng)險。
2.建立必要的防護措施。
為了保證會計信息的真實、完整和安全,除了建立健全管理制度以外,還要建立必要的防護措施。
(1)在財務(wù)軟件中增加安全功能。會計電算化軟件各層數(shù)據(jù)處理應(yīng)層層設(shè)防,在軟件功能上增加必要的提示功能、檢驗功能和限制功能,要防止操作失誤造成數(shù)據(jù)破壞,操作人員進入系統(tǒng)要設(shè)置口令和密碼,以防無關(guān)人員非法進入。系統(tǒng)各模塊也要設(shè)置相應(yīng)的口令,并對系統(tǒng)操作人員進行授權(quán),防止無權(quán)人員的操作。在系統(tǒng)中應(yīng)建立起“操作日志”,記錄所有人員對系統(tǒng)所做的操作,包括操作的時間、操作人員姓名、操作內(nèi)容等,這樣一旦出現(xiàn)問題,可以依據(jù)“操作日志”所提供的線索,對有關(guān)人員進行核查。
(2)建立預(yù)防病毒的安全措施。為了防止病毒的侵襲,要堅持使用正版軟件,不能使用盜版或來路不明的軟件,對外來的軟盤要先進行病毒檢測,方可在計算機中使用;在計算機中裝入防病毒軟件,這樣在開機時進行時實控制,對硬盤進行病毒檢測,及時發(fā)現(xiàn)并殺死病毒;定期備份數(shù)據(jù)和文件;不打開和閱讀來歷不明的電子郵件等。
(3)建立必要的技術(shù)防護措施。為了防止非法用戶和黑客的侵入,可以通過設(shè)置防火墻、采用身份識別系統(tǒng)等技術(shù)防護措施,將非法用戶拒之網(wǎng)絡(luò)之外,面對重要商業(yè)秘密泄密的問題,可以對軟件的重要信息采用加密技術(shù),以防重要信息在傳輸過程中被泄露。
(4)加強對會計電算化系統(tǒng)使用人員進行安全教育。系統(tǒng)使用人員特別是系統(tǒng)操作人員樹立安全意識,要加強計算機、通訊和網(wǎng)絡(luò)理論知識的學(xué)習(xí),提高業(yè)務(wù)素質(zhì),還要樹立良好的職業(yè)道德,自覺遵守各種操作規(guī)章制度和操作規(guī)程,防止工作中出現(xiàn)不必要的失誤。
如何在3G時代進行會計電算化風(fēng)險管理,在理論界尚且空白。本文擬對3G電算化會計風(fēng)險防范的基本原則及措施進行研究,歡迎大家批評指正。
一、3G時代,電算化風(fēng)險解析
3G時代的會計電算化已經(jīng)進化到純網(wǎng)絡(luò)時代,數(shù)據(jù)的保存和管理全部儲存在網(wǎng)絡(luò)服務(wù)器中,業(yè)務(wù)主管可以在全球任何一個角落進入企業(yè)的數(shù)據(jù)系統(tǒng)進行操作和管理。這也意味著黑客可以在全球任何一臺計算機上入侵電算化系統(tǒng),修改或盜取企業(yè)的會計核心數(shù)據(jù)。如此一來,會計信息的可靠性、可比性、及時性等質(zhì)量要求將面臨巨大挑戰(zhàn)。
(一)網(wǎng)絡(luò)安全風(fēng)險
3G時代,各企業(yè)網(wǎng)絡(luò)均實時接入Internet(互聯(lián)網(wǎng),下同),這就意味著企業(yè)會計電算化系統(tǒng)必須承受來自互聯(lián)網(wǎng)的外部攻擊以及內(nèi)部網(wǎng)絡(luò)風(fēng)險,據(jù)國內(nèi)知名信息網(wǎng)絡(luò)安全廠商金山公司2009年《互聯(lián)網(wǎng)安全報告》數(shù)據(jù)表明,2009年,僅金山“云安全”中心就監(jiān)測發(fā)現(xiàn)新病毒2 068萬余個,導(dǎo)致7 640萬臺電腦感染病毒。通過木馬或后門侵入公司會計電算化系統(tǒng)竊取財務(wù)資料絕非只是電影里藝術(shù)化的場景。如果對網(wǎng)絡(luò)風(fēng)險的防范措施不當(dāng),會計電算化數(shù)據(jù)被惡意更改,內(nèi)容失真,資料遺失,或嚴(yán)重泄密,必然會對企業(yè)財務(wù)信息的可靠性造成惡劣影響。
(二)操作系統(tǒng)漏洞
電算化產(chǎn)品往往基于一定的操作系統(tǒng),操作系統(tǒng)除了我們最熟悉的微軟windows系列之外,還有unix/linux、蘋果OS等其他操作系統(tǒng)。建立于同一操作系統(tǒng)的會計軟件方能達到會計信息可比性要求,不同操作系統(tǒng)的會計電算化系統(tǒng)一般互相無法兼容,會計數(shù)據(jù)的可比性難以實現(xiàn)。
同時,由于操作系統(tǒng)本身的漏洞,致使會計電算化系統(tǒng)存在重大安全隱患,掌握一般攻擊技術(shù)的人都可能入侵得手,會計信息的可靠性得不到保證。
(三)應(yīng)用安全風(fēng)險
眾所周知,會計電算化中,紙質(zhì)憑證需由操作員手工錄入,在這一過程和會計信息日常管理中,其風(fēng)險為:
1.誤操作風(fēng)險,即合法操作人員在正常操作中所發(fā)生的風(fēng)險,如數(shù)據(jù)錄入不及時,數(shù)據(jù)錄入金額錯誤,合法數(shù)據(jù)被誤刪除等,其發(fā)生的機率不大,危害性卻不小。數(shù)據(jù)一但進入電算化系統(tǒng),出于對電腦的盲目信任,很少還有人根據(jù)原始憑證去審核其一致性,所以不少企業(yè)到年終決算或幾年后才發(fā)現(xiàn)某一數(shù)據(jù)的差錯。
2.不能操作的風(fēng)險。如系統(tǒng)故障,電腦或網(wǎng)絡(luò)硬件損壞、網(wǎng)絡(luò)服務(wù)器受損等。一旦出現(xiàn)不能操作的相關(guān)狀況,輕則一兩天不能進行正常的會計核算工作,重則造成資金款項不能正常結(jié)算等重大事故。
3.被惡意操作的風(fēng)險。常見的有:非授權(quán)用戶的訪問、通過口令猜測或盜用正常操作者的口令和加密硬件的方式,強行劃轉(zhuǎn)企業(yè)銀行資金;獲得系統(tǒng)管理員權(quán)限、通過數(shù)據(jù)庫服務(wù)器本身漏洞進行數(shù)據(jù)篡改等。和誤操作不同的是,通過惡意修改會計數(shù)據(jù),可以讓非法的會計數(shù)據(jù)顯得合法,如重復(fù)記賬、數(shù)據(jù)篡改、非本周期會計數(shù)據(jù)強行入賬等。由于電算化系統(tǒng)的特點,數(shù)據(jù)一旦被非法更改,很難發(fā)現(xiàn),要查找作案者也非常困難。
4.信息泄露的危險。除黑客、病毒的攻擊外,因為辦公網(wǎng)絡(luò)應(yīng)用通常是共享網(wǎng)絡(luò)資源,可能存在著員工有意、無意把硬盤中重要信息目錄共享,可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密,或者將數(shù)據(jù)保存到U盤中卻不慎遺失,也有備份數(shù)據(jù)被非法調(diào)閱甚至盜竊等。這些都是因為缺少必要的訪問控制策略。
(四)管理體系隱患
1.忽視復(fù)核崗位。內(nèi)部控制原則要求不相容職務(wù)要進行分離,按此原則會計電算化系統(tǒng)的數(shù)據(jù)錄入和復(fù)核應(yīng)當(dāng)不少于2人,但是不少企業(yè)實行電算化后,卻并不設(shè)置這一傳統(tǒng)崗位,數(shù)據(jù)信息由操作員自錄自審,其真實性和可靠性難以保證。
2.操作權(quán)限混亂。計算機管理原則要求,不同的操作人員應(yīng)該有不同的計算機操作權(quán)限,如是否能復(fù)制數(shù)據(jù),更改系統(tǒng),查看核心服務(wù)器狀態(tài)等,但多數(shù)企業(yè)為了管理上的方便,授予了部分操作者不應(yīng)有的高級別系統(tǒng)管理權(quán)限,可以輕易獲取并更改計算機和網(wǎng)絡(luò)的關(guān)鍵設(shè)置,這也使會計信息質(zhì)量要求在會計電算化管理中無法保證。
3.密碼設(shè)置過于簡單。電算化軟件管理原則要求,應(yīng)設(shè)置健全的密碼體系,如開機密碼、系統(tǒng)密碼、電算化操作員角色密碼等,同時對密碼的長度和復(fù)雜程度都有一定的要求。但不少單位會計電算化管理人員或員工圖方便省事,不設(shè)置用戶口令,或者設(shè)置的口令過短和過于簡單,導(dǎo)致很容易被破解;或者責(zé)任不清,使用相同的用戶名、口令,導(dǎo)致權(quán)限管理混亂等,造成會計信息質(zhì)量要求在會計電算化管理中難以實現(xiàn)。
二、電算化風(fēng)險管理基本原則
通過會計電算化風(fēng)險解析所談到的大量風(fēng)險點,我們應(yīng)該深深體會到3G時代的會計電算化風(fēng)險管理應(yīng)該上升到一個新的高度。在3G已經(jīng)向4G發(fā)展的高速無線網(wǎng)絡(luò)時代,具有綱領(lǐng)性質(zhì)的電算化風(fēng)險管理基本原則的建立正當(dāng)其時,筆者總結(jié)如下:
(一)整體性原則
整體性原則又可分為2個方面:一是全體性原則,指整個企業(yè)全員列入電算化安全防范體系,絕對不允許任何一個特權(quán)人員或非受控人員的存在。即便是企業(yè)高層管理人員,仍然只能給予應(yīng)有的操作權(quán)限,只能查閱的絕不授予修改權(quán)限,只能操作的絕不給予系統(tǒng)管理權(quán)限;再如計算機管理人員,已經(jīng)有較高的計算機管理權(quán)限,就絕不能再有電算化系統(tǒng)操作權(quán)限。二是全面性原則,指電算化風(fēng)險管理體系的建立,要充分考慮整個企業(yè)信息保密、數(shù)據(jù)傳遞、業(yè)務(wù)運營、電算化系統(tǒng)運行等多方面的要求,在綜合會計管理原則、計算機系統(tǒng)管理要求、各部門軟件運行及數(shù)據(jù)傳遞規(guī)范等多方面管理體系的情況下,建立一套整體性的風(fēng)險管理機制。各部門各行其是,或偏重一點而不注重整體規(guī)劃,是不可取的。
(二)普遍性原則
普遍性原則,指整個企業(yè)全員應(yīng)給予同等必要的電算化安全知識培訓(xùn),不留空白。一些管理者認(rèn)為電算化系統(tǒng)的安全取決于企業(yè)計算機安全保障力量的強弱,卻不明白普通員工安全意識的提高同等重要。對不同權(quán)限的操作人員,要組織有針對性的安全知識培訓(xùn)。
(三)標(biāo)準(zhǔn)性原則
所謂標(biāo)準(zhǔn)性原則,是指會計電算化系統(tǒng)的開發(fā)要能適應(yīng)多個操作系統(tǒng),數(shù)據(jù)的保存和采集要能通用于不同的操作系統(tǒng)或應(yīng)用平臺。
電算化的發(fā)展過程也證明了這一點,從最初的各單位自主開發(fā),到有統(tǒng)一電算化軟件公司的出現(xiàn);從系統(tǒng)的單一會計應(yīng)用,到企業(yè)的綜合性管理平臺;從內(nèi)部單機的不可聯(lián)網(wǎng),到互聯(lián)網(wǎng)共通共享,都充分說明了標(biāo)準(zhǔn)性原則的重要性。
而且標(biāo)準(zhǔn)性原則必須貫穿于企業(yè)會計電算化對內(nèi)對外的各種應(yīng)用中去,只有標(biāo)準(zhǔn)化,才能高效的助推企業(yè)的發(fā)展。
(四)專業(yè)性原則
專業(yè)性原則,指整個企業(yè)的電算化風(fēng)險管理體系一定要由專業(yè)部門或公司來規(guī)劃。如果企業(yè)自身有較強的風(fēng)險管理力量,可以由這一部門或人員來制定相關(guān)防范機制;如果企業(yè)自身沒有這一能力,則務(wù)必訂購專業(yè)產(chǎn)品和方案。企業(yè)如果具有相當(dāng)經(jīng)營規(guī)模,業(yè)務(wù)的發(fā)展進入了上升通道,邀請專業(yè)風(fēng)險管理(又稱安全保障)公司或人員為公司量身定做電算化風(fēng)險管理體系就顯得更加重要。
(五)延伸性原則
延伸性原則即電算化風(fēng)險管理系統(tǒng)要跳出企業(yè)內(nèi)網(wǎng),延伸到公共網(wǎng)絡(luò)及手機等移動通信設(shè)備。如很多管理者由于工作需要,長期隨身攜帶筆記本進行辦公操作,喜歡在家庭、機場、賓館等公共網(wǎng)絡(luò)環(huán)境下接入辦公網(wǎng)或電算化系統(tǒng)。這些地方網(wǎng)絡(luò)安全條件顯然遠(yuǎn)低于企業(yè)內(nèi)部網(wǎng)絡(luò),同時由于大部分人不喜歡設(shè)置開機密碼、系統(tǒng)密碼,也不習(xí)慣對重要資料加密,口令一旦被破解或筆記本電腦遺失,后果十分嚴(yán)重。
所以,無論在任何時候、任何地方使用電腦,只要員工需要接入電算化系統(tǒng)或辦公系統(tǒng),就需要按照企業(yè)電算化風(fēng)險管理體系自覺進行相關(guān)規(guī)范化操作。如需要在家中上網(wǎng)操作,按企業(yè)要求對網(wǎng)絡(luò)和電腦進行相關(guān)安全設(shè)置;如需要用U盤攜帶重要資料,按企業(yè)規(guī)定進行加密處理等等。同時,對于長期需要從外部網(wǎng)絡(luò)登陸企業(yè)電算化系統(tǒng)的人員,企業(yè)應(yīng)記錄在案,進行技術(shù)培訓(xùn)和安全警示(或規(guī)范)。
三、會計電算化風(fēng)險管理對策
(一)利用軟硬件防護
通過硬件設(shè)備加強網(wǎng)絡(luò)安全風(fēng)險防范,抵御形形色色病毒對會計電算化系統(tǒng)的攻擊,保證會計信息質(zhì)量。不論內(nèi)網(wǎng)還是外網(wǎng),均需通過路由器、交換機等網(wǎng)絡(luò)設(shè)備連接各臺計算機或接入Internet。網(wǎng)絡(luò)風(fēng)險防范的關(guān)鍵點就在于硬件設(shè)備的網(wǎng)絡(luò)設(shè)置,這就要求企業(yè)在建立會計電算化系統(tǒng)時采用充分或有效的安全配置,及時填補安全漏洞,關(guān)閉一些不需要的服務(wù)等,這樣可以減少或杜絕來自內(nèi)外部網(wǎng)絡(luò)的攻擊和探察。同時,必須進行各網(wǎng)絡(luò)節(jié)點的防火墻設(shè)置,阻攔入侵者,同時使其即便侵入內(nèi)部網(wǎng),要找到所需數(shù)據(jù)也非常困難。
(二)實行內(nèi)、外網(wǎng)物理隔離
企業(yè)會計電算化系統(tǒng)與Internet間必須采取嚴(yán)密的安全防護措施。企業(yè)必須實行內(nèi)、外網(wǎng)物理隔離。為確保會計信息系統(tǒng)安全,嚴(yán)禁將會計電算化系統(tǒng)內(nèi)網(wǎng)的計算機接入互聯(lián)網(wǎng);訪問互聯(lián)網(wǎng)的計算機必須與會計電算化系統(tǒng)內(nèi)網(wǎng)物理隔離。只有會計電算化內(nèi)網(wǎng)和外網(wǎng)分離,才能保護會計電算化系統(tǒng)不易遭到來自外網(wǎng)一些不懷好意的入侵者的攻擊。
(三)建立會計電算化內(nèi)部控制制度
實行會計電算化后,一些傳統(tǒng)的核對、計算、存儲等內(nèi)部會計控制方式均被計算機內(nèi)部控制方式輕而易舉地替代,如總賬和明細(xì)賬都由計算機根據(jù)審核后的會計憑證自動登記和歸集,取消了手工條件下二者的核對工作,但同時記賬憑證的審核工作變得更加重要。企業(yè)應(yīng)對記賬憑證的審核實行除在計算機系統(tǒng)內(nèi)簽字確認(rèn)外還要求在打印的會計憑證上蓋章確認(rèn),增強正確性和完整性的審核,保證會計信息的質(zhì)量和可信度。另外,應(yīng)制定嚴(yán)密的計算機操作管理制度,包括會計軟件的操作工作內(nèi)容和權(quán)限,操作密碼的管理規(guī)定,保存上機操作記錄,計算機病毒的防范措施,會計電算化系統(tǒng)維護管理等制度。
(五)做好會計信息資料備份及數(shù)據(jù)系統(tǒng)恢復(fù)工作
2006年“熊貓燒香”病毒的發(fā)作,造成大量用戶電腦資料毀滅,花費大量資金仍然難以恢復(fù)。最新的電算化系統(tǒng)可以實現(xiàn)數(shù)據(jù)在Internet網(wǎng)絡(luò)服務(wù)器和本地計算機雙重備份,安全性提高了很多。但數(shù)據(jù)備份和保存的重要性仍然沒有降低,企業(yè)應(yīng)堅持每周甚至每天備份會計數(shù)據(jù),做好數(shù)據(jù)信息存儲介質(zhì)保管工作,在關(guān)鍵時間點上的備份甚至應(yīng)該采取雙備份策略。另一方面應(yīng)建立會計信息系統(tǒng)風(fēng)險應(yīng)對機制,操作系統(tǒng)上要有快速的系統(tǒng)恢復(fù)功能。
(六)嚴(yán)格實行權(quán)限管理
權(quán)限管理包括權(quán)限分配和用戶名及密碼管理兩個方面,在分工時,對職權(quán)不相容的崗位應(yīng)進行明確分工,不得兼任,做到相互牽制、相互制約,職權(quán)分離,使會計人員和各級管理者在權(quán)限內(nèi)開展工作;在權(quán)限等級管理中,應(yīng)制定各環(huán)節(jié)密碼設(shè)置和重要資料加密規(guī)范,保管好相關(guān)口令和加密硬件,口令密碼必須不定期地更換,確保企業(yè)會計信息系統(tǒng)和資金安全。