會計信息系統(tǒng)風(fēng)險及其控制

1、會計信息系統(tǒng)風(fēng)險及其控制 黃碧英摘要:會計電算化代替了手工做賬提高了工作效率的同時也帶來了風(fēng)險本文針對會計電算化信息系統(tǒng)存在的安全威脅，分析了電算化條件卜會計信息系統(tǒng)風(fēng)險產(chǎn)生的原因，并提出了如何加強會計電算化系統(tǒng)的風(fēng)險控制關(guān)鍵詞:會計信息系統(tǒng);xl險;控制 雖然應(yīng)用電子計算機信息技術(shù)的會計電算化代替了手工的數(shù)據(jù)采集、處理和輸出，大大提高了會計工作的效率，但會計傳統(tǒng)的核算環(huán)境、信息載體、管理模式、安全控制體系均發(fā)生了變化，不可避免地造成會計信息系統(tǒng)風(fēng)險控制面臨嚴(yán)峻的挑戰(zhàn)。 一、會計信息系統(tǒng)風(fēng)險分析 由于人為因素或非人為因素造成會計信息系統(tǒng)安全保護(hù)能力減弱，從而形成損失的可能性、)信息技術(shù)的應(yīng)用使

2、原來由人工處理的業(yè)務(wù)轉(zhuǎn)為由計算機完成，使企業(yè)面臨與手工會計環(huán)境不同的新財務(wù)風(fēng)險 1、內(nèi)部崗位牽制的效力降低 自動高效的計算機網(wǎng)絡(luò)的應(yīng)用，使操作人員的數(shù)量大大減少，各種業(yè)務(wù)核算手續(xù)完全由計算機統(tǒng)一執(zhí)行，那種試圖通過適當(dāng)?shù)膷徫环蛛x而實現(xiàn)各種業(yè)務(wù)環(huán)節(jié)的相互牽制，就顯得乏力 2,命令權(quán)限的局限性 各個操作人員的權(quán)限分工是靠命令授權(quán)來完成的，而命令存放在計算機系統(tǒng)內(nèi)，不像手工環(huán)境下代表授權(quán)的印章鎖在箱子里或帶在身上那樣保險，因此一旦被人破解或竊取便會帶來極大的隱患 3、風(fēng)險更加隱蔽 會計信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)通過系統(tǒng)的采集轉(zhuǎn)化為數(shù)字化的信息被存儲在磁(光)介質(zhì)上，而電子數(shù)據(jù)易被修改、刪除、隱匿、轉(zhuǎn)移和偽造而

3、不留痕跡)犯罪分子可通過使用計算機及通信設(shè)備等高科技工具，不親臨現(xiàn)場即達(dá)到犯罪目的;即使數(shù)據(jù)文件內(nèi)容己被篡改，程序己有變化，操作者也難以及時發(fā)現(xiàn))由于犯罪分子作案手段隱蔽、作案后留卜的線索和痕跡較少，無論是系統(tǒng)內(nèi)外部人員勾結(jié)現(xiàn)場作案，還是采取遠(yuǎn)程方式破壞系統(tǒng)安全，都難以及時發(fā)現(xiàn)作案者 4、系統(tǒng)安全控制的難度加大 會計信息系統(tǒng)是一個網(wǎng)絡(luò)系統(tǒng)，計算機硬件、軟件、人員和各種業(yè)務(wù)處理流程等構(gòu)成了一個復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，而且絕大多數(shù)交易的合法性和有效性是依賴計算機網(wǎng)絡(luò)來自動完成的，因此，硬件配置的不合理、軟件功能的缺陷、系統(tǒng)操作的失誤、內(nèi)部人員的非法訪問及外部的惡意攻擊、人們對風(fēng)險的控制缺乏應(yīng)有的主動權(quán)等都

4、會使會計信息系統(tǒng)面臨嚴(yán)重的安全威脅 5、風(fēng)險損失較大 由于系統(tǒng)風(fēng)險難以及時發(fā)現(xiàn)，有可能風(fēng)險事項反復(fù)多次發(fā)生而不被察覺;一旦發(fā)現(xiàn)，己經(jīng)損失巨大)而且，計算fij l病毒和電腦黑客等不僅威脅數(shù)據(jù)安全，還會破壞程序及硬件系統(tǒng)，造成計算機系統(tǒng)癱瘓，從而造成數(shù)據(jù)丟失或系統(tǒng)無法進(jìn)行正常運行，其損失和影響難以計算)如果企業(yè)經(jīng)營決策信息、技術(shù)機密和其他重要信息被泄露，其損失和影響更是難以計算 二、會計信息系統(tǒng)風(fēng)險產(chǎn)生的原因 1,硬件系統(tǒng)固有缺陷產(chǎn)生風(fēng)險 由于人為和自然的原因，會計信息系統(tǒng)的硬件在設(shè)計、制造和組裝過程中可能留卜各種隱患，影響到網(wǎng)絡(luò)傳輸介質(zhì)和服務(wù)器等硬件設(shè)施的穩(wěn)定性和運行速度、)這種缺陷是硬件系統(tǒng)

5、固有的問題 2、軟件系統(tǒng)安全隱患帶來風(fēng)險 軟件系統(tǒng)安全隱患來源于軟件設(shè)計與安裝階段，如軟件設(shè)計中的疏忽造成的安全漏洞;軟件安全等級較低，使用的技術(shù)和開發(fā)工具不成熟或未經(jīng)授權(quán)、所依賴的技術(shù)過于復(fù)雜引起實施者未恰當(dāng)理解、軟件存在先天設(shè)計缺陷，程序設(shè)計員設(shè)置秘密“后門”、軟件自我糾錯能力弱等。 3、違規(guī)操作產(chǎn)生風(fēng)險 計算機系統(tǒng)操作人員不按規(guī)定程序使用硬件設(shè)備，導(dǎo)致系統(tǒng)損壞，從而威脅系統(tǒng)安全，甚至導(dǎo)致系統(tǒng)完全癱瘓;被競爭對手竊取存有重要數(shù)據(jù)的磁帶或磁盤;操作人員在計算機系統(tǒng)非法加入硬件設(shè)備，以達(dá)到竊取ii令或重要信息的目的、)在輸入計算機之前或在輸入過程中篡改數(shù)據(jù)，使舞弊數(shù)據(jù)進(jìn)入操作系統(tǒng)，達(dá)到操作者的

6、非法目的;操作規(guī)程操作，或非法進(jìn)入操作系統(tǒng)，改變計算機系統(tǒng)的執(zhí)行路徑，從而破壞數(shù)據(jù);通過篡改輸出數(shù)據(jù)蒙蔽檢查)如收銀員在收款環(huán)節(jié)可能將收到客戶的現(xiàn)金據(jù)為己有。 4、管理權(quán)限產(chǎn)生的風(fēng)險 隨著企業(yè)規(guī)模的擴(kuò)大，許多原來手工環(huán)境卜由不同人分別完成的業(yè)務(wù)處理環(huán)節(jié)集中由計算機統(tǒng)一處理，很難形成手工會計系統(tǒng)卜的相互牽制、相互制約、)操作人員只要獲得授權(quán)文件或注冊系統(tǒng)的密碼，即獲得運行特定程序進(jìn)行業(yè)務(wù)處理的權(quán)限)一旦密碼被他人掌握，或一人掌握多個級別操作員密碼，權(quán)限就會失控，從而對企業(yè)會計信息控制構(gòu)成威脅 三、加強會計電算化系統(tǒng)風(fēng)險控制 會計信息系統(tǒng)作為人造的經(jīng)濟(jì)信息系統(tǒng)，在企業(yè)管理提供了有力的手段)面對著錯

7、綜復(fù)雜的安全威脅，一定要深刻認(rèn)識會計信息系統(tǒng)風(fēng)險防范的重要性，筆者認(rèn)為應(yīng)從以下方面對會計信息系統(tǒng)風(fēng)險加以控制: 1、源頭控制 計算機軟件包括系統(tǒng)軟件和應(yīng)用軟件，會計信息系統(tǒng)所運用的系統(tǒng)軟件(包括部分應(yīng)用軟件)多是從外部購置，所購置軟件的技術(shù)是否成熟、可靠，直接關(guān)系到數(shù)據(jù)的安全、)購置的系統(tǒng)軟件應(yīng)是經(jīng)過實踐應(yīng)用并被證明是安全可靠的，購置的會計信息系統(tǒng)必須是經(jīng)財政部門評審?fù)ㄟ^的，并應(yīng)有詳細(xì)的操作說明)單位自行開發(fā)、研制軟件的，必須進(jìn)行全面、深入的調(diào)查，科學(xué)系統(tǒng)地分析和設(shè)計，開發(fā)、研制過程一定要規(guī)范，開發(fā)、研制出的軟件必須符合財政部發(fā)布的會計核算軟件基木功能規(guī)范的要求、)開發(fā)、研制出的軟件在投入運行

8、前必須經(jīng)上級有關(guān)部門的評審、鑒定，軟件的有關(guān)文檔資料必須齊全)在正式運用前，應(yīng)經(jīng)過一段時間的試運轉(zhuǎn)，對相關(guān)數(shù)據(jù)進(jìn)行驗證，防i1=由于考慮問題不全而出現(xiàn)的偏差)通過這些措施，使會計信息系統(tǒng)在源頭上得到了控制。 2、崗位控制 隨著會計信息系統(tǒng)的超速發(fā)展，會計機構(gòu)也應(yīng)作相應(yīng)的調(diào)整，如人員崗位責(zé)任制:人員崗位包括基木會計崗位和電算化崗位，而電算化會計崗位則是操作員、維護(hù)人員、直接管理人員和會計軟件人員、)以上兩種工作人員之間不得兼任，還要明確軟件開發(fā)人員、維護(hù)人員不能兼任操作員，并建立各崗位人員的崗位責(zé)任制度，且分工科學(xué)，責(zé)任明確，各崗位都得到一定的授權(quán)，并用密碼控制，防止非法操作，越權(quán)操作、)因此，

9、在劃分崗位職責(zé)時，要遵循崗位不相容原則和不相容職務(wù)分離原則。 3、操作控制 會計信息系統(tǒng)操作應(yīng)嚴(yán)格遵循會計業(yè)務(wù)和處理流程進(jìn)行，應(yīng)建立操作口志制度，會計信息系統(tǒng)對所有操作留有記錄，包括操作時間，操作人員姓名，操作內(nèi)容等，對口記賬和己結(jié)賬業(yè)務(wù)設(shè)置不可修改或逆操作程序，要修改必須通過編制記賬憑證沖正或補充登記來更正，以保證會計數(shù)據(jù)的完整性、真實性、 4、環(huán)境控制 許多企業(yè)的會計信息系統(tǒng)是在網(wǎng)絡(luò)環(huán)境卜運行，企業(yè)可通過鏈路加密、端點加密等信息加密技術(shù)保護(hù)網(wǎng)絡(luò)會計信息傳輸?shù)陌踩?，防i1=外界對企業(yè)信息流的觀察和篡改，通過設(shè)置訪問控制防i1=對信息系統(tǒng)資源的非授權(quán)訪問和非授權(quán)使用、)應(yīng)注意會計信息系統(tǒng)木身

10、的安全隱患，在對會計信息系統(tǒng)進(jìn)行測試時，還應(yīng)重點檢查和測試會計信息系統(tǒng)中是否存在漏洞;應(yīng)將系統(tǒng)開發(fā)過程中的文檔資料建檔歸類，保存完整。 5、數(shù)據(jù)輸入(出)控制 會計信息系統(tǒng)主要是由數(shù)據(jù)整理，數(shù)據(jù)輸入，數(shù)據(jù)處理數(shù)據(jù)通訊數(shù)據(jù)保存數(shù)據(jù)輸出幾個部分構(gòu)成、在這些環(huán)節(jié)中分析出現(xiàn)風(fēng)險的可能性，分析系統(tǒng)設(shè)計過程中是否在實現(xiàn)各個功能時嵌入相應(yīng)的內(nèi)部控制措施，嵌入的內(nèi)部控制措施是否發(fā)揮作用，對于一些潛在的可預(yù)見風(fēng)險是否在系統(tǒng)中采取預(yù)防措施，是否對不可預(yù)見風(fēng)險的處理留有系統(tǒng)空間等等)在會計信息系統(tǒng)工作中，電腦原始數(shù)據(jù)是由人工事先進(jìn)行審核和確認(rèn)后輸入計算機內(nèi)，因而自動處理數(shù)據(jù)的準(zhǔn)確性完全依賴原始數(shù)據(jù)輸入時的準(zhǔn)確性、)

11、會計資料是單位的絕對機密，一旦泄露將給單位帶來不應(yīng)有的損失，而磁性介質(zhì)的可復(fù)制性又使會計資料極易泄露而不易發(fā)現(xiàn)，故會計信息系統(tǒng)的輸出不論是磁性文件還是打印資料，輸出后均應(yīng)立即受到嚴(yán)格管理，以防被人竊取或篡改，造成機密泄露。 6、數(shù)據(jù)處理控制 會計業(yè)務(wù)數(shù)據(jù)處理有一定的時序性，一項業(yè)務(wù)的處理結(jié)果取決于其他多項業(yè)務(wù)的處理過程和結(jié)果，所以，要健全企業(yè)內(nèi)部定期檢查制度，對會計資料定期檢查，主要檢查會計信息系統(tǒng)賬務(wù)處理正確與否，看是否遵照會計法規(guī)行事，審核費用簽字是否符合木單位的內(nèi)控要求，憑證附件是否完整等、)審核計算機內(nèi)部數(shù)據(jù)與書面資料的一致性、同時還應(yīng)配備殺毒軟件，定期或不定期地查毒、殺毒、另外，計算

12、機犯罪具有智能化、隱蔽化的特點，因此，加強網(wǎng)絡(luò)法制建設(shè)，加大網(wǎng)上執(zhí)法力度，對不法分子的不法行為進(jìn)行打擊以起到威懾作用己迫在眉睫。 7、數(shù)據(jù)資源控制 隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)環(huán)境的變化，會計信息系統(tǒng)還將面臨更多的挑戰(zhàn)，要求財務(wù)人員和會計信息系統(tǒng)設(shè)計人員不斷探索，提高會計信息系統(tǒng)的穩(wěn)定性與安全性，企業(yè)可通過密碼或身份鑒別的方式限制數(shù)據(jù)庫訪問，如利用軟件手段識別用戶身份，可要求用戶輸入身份識別命令，如利用硬件手段識別用戶身份，可使用指紋或聲音識別設(shè)備;可通過設(shè)置用戶數(shù)據(jù)操作權(quán)限來限制用戶對數(shù)據(jù)庫的訪問范圍，會計信息系統(tǒng)的備份數(shù)據(jù)須加密保護(hù)并定點存放，以防泄密;建立數(shù)據(jù)備份與恢復(fù)制度，以保證會計信息系統(tǒng)其他部分的正常運行。 總之，會計信息系統(tǒng)的風(fēng)險是客觀存在，只要我們正視各種風(fēng)險，并認(rèn)真分析，積極采取正確有效的防范措施，進(jìn)行嚴(yán)密監(jiān)督與控制，那么會計