序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了1篇的淺談會計電算化風險管理樣本��,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�,請盡情閱讀。
淺談會計電算化風險管理:事業(yè)單位會計電算化項目風險管理框架探析
摘要:會計電算化是事業(yè)單位會計工作改革的一項重要內(nèi)容����。本文借助項目風險管理的理論,構建了事業(yè)單位會計電算化項目風險管理框架���,并詳細分析了事業(yè)單位會計電算化項目的風險因素�����,提出了相應的風險應對措施��。為即將實施會計電算化項目的單位提供了有益借鑒����。
關鍵詞:會計電算化 風險管理 風險應對
隨著信息技術的高速發(fā)展,計算機已經(jīng)逐步在我國部分事業(yè)單位得到廣泛應用����,會計電算化在實現(xiàn)了工資管理、往來賬目等日常會計工作自動化的同時��,不僅提高了財務工作的效率�,降低了部分人為工作的不確定性,而且能夠?qū)崿F(xiàn)事業(yè)單位對財務管理的規(guī)范化�����,增強了對財務工作的監(jiān)控能力�。因此���,我國越來越多的行政事業(yè)單位開始展開會計電算化項目����。然而,一個項目的順利實施不僅僅要看到其所帶來的效益�,還應該在項目實施之初考慮項目可能產(chǎn)生的風險,并通過對項目風險的把控��,保證項目的順利開展����。作為還未開展會計電算化的事業(yè)單位,應該在什么時候開展��,在開展中需要遵從什么樣的管理步驟��,在實際應用中需要避免什么樣的風險才能保證會計電算化項目的順利實施則是財務管理人員所必須了解的一項重要內(nèi)容����。
一、風險管理的基本理論
項目風險是在項目管理活動或事件中消極的�����、項目管理人員不希望的后果發(fā)生的潛在可能性。由于項目的一次性�����、創(chuàng)新性和獨特性等特性,任何一個項目都是有風險。
目前��,通用的項目風險管理系統(tǒng)模型由以下四個部分組成�,即風險規(guī)劃�����、風險分析���、風險應對和風險監(jiān)控��。
(一)風險規(guī)劃
風險規(guī)劃主要是對項目實施過程中風險管理工作的整體計劃和安排�,是后續(xù)工作的基礎��。
(二)風險分析
風險分析包括風險識別��、風險估計和風險評價。即通過風險識別找出影響項目質(zhì)量��、進度�、費用等目標順利實現(xiàn)的主要風險,然后對風險發(fā)生的概率和產(chǎn)生的影響進行估算,最后對風險度進行評價����、排序。通過風險分析可以確定項目的關鍵風險�����、主要風險���,以便項目管理者能夠集中精力和資金對項目的風險進行應對���。
(三)風險應對
風險應對是指項目管理者采用多種措施和方法降低風險發(fā)生的概率、減少風險發(fā)生后造成的損失����。目前�����,傳統(tǒng)的風險應對的措施和方法包括:風險回避�、風險轉移���、風險自留等���。
(四)風險監(jiān)控
風險監(jiān)控是通過對項目實施過程中的可能出現(xiàn)風險的監(jiān)視���,提出相應的解決措施���,包括重新規(guī)劃、在此分析等。項目的風險管理不是一次性工作����,通過風險監(jiān)控將風險管理構成了閉環(huán)控制,更滿足項目的實際實施環(huán)境��。
以上四個部分中,風險的分析與應對是項目風險管理系統(tǒng)的核心���。因此��,本文就以風險分析與應對為基礎對事業(yè)單位會計電算化項目的風險管理框架進行探討����。
二、事業(yè)單位會計電算化項目的風險管理框架
(一)會計電算化項目的風險分析
1、風險識別
找到風險是風險分析和管理的前提和基礎��。因此風險識別雖然多采用定性分析�����,但卻尤為重要。事業(yè)單位會計電算化項目中的風險可以總結為以下幾個種類:
會計電算化實施中制度不健全的風險��。制度建設是任何工作正常開展的必要保證。如果內(nèi)控制度薄弱�,普通操作人員在未經(jīng)授權的情況下就能對財務數(shù)據(jù)進行篡改��,則必然會造成管理上的混亂,不僅使會計電算化不能得到高效、有序的使用�,而且還可能導致作假舞弊等更大的潛在風險,給單位和個人造成巨大的損失��。
會計電算化實施中軟、硬件配置不當?shù)娘L險�。由于自主開發(fā)的成本過高�,目前,很多事業(yè)單位各自從市場上購買會計軟件并配置相應的硬件設備�。這樣,可能產(chǎn)生由于過分追求低成本,或項目組成員考慮問題不周全而購買了質(zhì)量和后續(xù)服務都較弱的軟��、硬件產(chǎn)品,而造成很多重要財務功能無法實現(xiàn)����,電算化目標無法達到等風險的發(fā)生���;相反���,如果忽視單位自身需求,而盲目追求軟硬件產(chǎn)品的新����、貴�、全�����,則會導致購買的產(chǎn)品很多功能沒有必要,造成資源的極大浪費��。
2�����、風險估計與評價
目前��,傳統(tǒng)的風險估計的方法包括:主觀評分法���、決策樹法(Decision Tree Analysis)���、層次分析法AHP (the Analytiwal Hierarchy Process)���、模糊風險綜合評價(Fussy Comprehensive Evaluation)����、故障樹分析法FTA(Fault Tree Analysis)和蒙托卡羅模擬法(Monte Carlo Simulation)等����,事業(yè)單位可以根據(jù)自身的業(yè)務特點�,對開展會計電算化項目的風險進行評估�����。
(二)會計電算化項目的風險應對
根據(jù)項目風險分析的結果�����,本文提出了事業(yè)單位會計電算化項目的風險應對措施����。
健全會計電算化的各項制度。包括資料管理制度�,強調(diào)專人專管,確保會計電算化項目的順利開展���;安全管理規(guī)范�����,確定不同使用人員的權限,避免財務數(shù)據(jù)的不正常瀏覽和篡改�����;
培訓會計電算化的重要人才。包括本單位相關人員對會計電算化的認識的普及型培訓��;包括對電算化項目使用人員的專業(yè)化培訓�;通過培訓提高人員電算化的意識、態(tài)度和實際操作技能���。
合理配置會計電算化的軟硬件環(huán)境�����。全面分析本單位的業(yè)務流程和發(fā)展的趨勢����,廣泛調(diào)研省市內(nèi)相關單位會計電算化使用情況����,結合未來幾年計算機及軟件發(fā)展的可能,采取內(nèi)部邀請招標的方式配置單位的會計電算化的軟硬件環(huán)境���。
三�����、總結
項目的風險管理是項目成功實施的重要保證�����。通過對事業(yè)單位會計電算化項目的風險管理框架的探析�����,能夠為準備開展會計電算化的單位成功實施并完成項目提供一定的參考依據(jù)�。
淺談會計電算化風險管理:會計電算化風險管理
會計電算化是電子計算機技術、信息技術和現(xiàn)代會計技術相結合的產(chǎn)物�,是會計工作發(fā)展的方向。在我國�����,銀行會計電算化起步較早���、發(fā)展較快���,從信用卡自動提款到票據(jù)自動清分,從儲蓄通存通兌到匯兌天地對接����,從銀行證券聯(lián)網(wǎng)到網(wǎng)上銀行,銀行會計電算化包含的業(yè)務越來越多���,囊括的范圍越來越廣���,輻射的空間越來越大。面對飛速發(fā)展的銀行會計電算化現(xiàn)實���,我們研究和探討銀行會計電算化的風險防范與控制有著十分重要的意義�����。
一�����、銀行會計電算化設計風險的防范與控制
銀行會計電算化從發(fā)展過程看����,通常分為會計核算電算化�����、會計管理電算化��、會計決策電算化三個階段。這三個階段是由低到高的遞進過程��。每一階段電算化的實現(xiàn)都離不開一定的物質(zhì)基礎——電子計算機系統(tǒng)�,包括硬件、軟件���。所謂銀行會計電算化設計風險就是指在實現(xiàn)會計電算化過程中因考慮不周而形成的風險����,這種風險具有彌補困難��、花費大�����、有一定潛伏期��、影響全局等特點���。設計風險表現(xiàn)的形式��、反映的問題多種多樣����。有的反映在硬件上,比如內(nèi)存不足�����,這主要是當初會計電算化僅考慮某個部門���、某種業(yè)務,而沒有用發(fā)展的眼光從戰(zhàn)略的角度來選擇使用硬件設備�����。有的反映在軟件上���,比如軟件設計功能欠缺��,這主要是程序開發(fā)人員不熟悉��、不把握業(yè)務人員實際需求或業(yè)務人員對電腦所提需求被遺漏�、監(jiān)督認定不夠造成的�����。
在實際中����,反映在軟件上的設計風險要比反映在硬件上的設計風險更常見�����。以某行開發(fā)使用的信用卡業(yè)務核算系統(tǒng)為例�,該行應用程序的開發(fā)是委托深圳一軟件公司�,開發(fā)時由于僅從信用卡業(yè)務考慮,結果造成該系統(tǒng)會計核算的“單腿跳”���,所出的賬表無法滿足會計核算的規(guī)定和要求����,給信用卡業(yè)務會計核算和監(jiān)督工作帶來了很大麻煩�����,并被政治修養(yǎng)不高的員工鉆了空子����,造成了該行經(jīng)營的較大損失。再比如全球都在關注的電腦“2000年問題”�,這也可以歸入設計風險,如果解決不好,將直接對銀行會計核算造成重大影響���,給銀行經(jīng)營帶來直接或間接損失����。
“凡事預則立�����,不預則廢”�����,控制和防范會計電算化的設計風險��,重點應放在事前����。實際工作中�����,我們一是要注重硬件選擇的長遠性����,必須經(jīng)過技術論證����、業(yè)務發(fā)展論證�����;二是要注重會計軟件開發(fā)的規(guī)范性����,必須在符合現(xiàn)行會計法規(guī)的前提下滿足實際業(yè)務需要;三是要注重會計軟件開發(fā)的前瞻性����,必須充分估計以后可能出現(xiàn)的變動,必須考慮解決可能出現(xiàn)問題的方法���,必須提供靈活多樣的參數(shù)維護手段����;四是要注重會計軟件開發(fā)的科學性���,必須有編制規(guī)范及內(nèi)容齊全的文檔資料��,必須留有必要的數(shù)據(jù)接口和程序接口����;五是要注重會計軟件開發(fā)、推廣的程序性�,必須有開發(fā)需求認定,已完成軟件理論認定��、已完成軟件實際測試等環(huán)節(jié)和手續(xù)�。
二、銀行會計電算化技術風險的防范與控制
幾十年來�,計算機始終保持著高速發(fā)展的趨勢。這不僅表現(xiàn)在電子計算機主要內(nèi)部元件經(jīng)歷了真空管�、晶體管���、集成電路�、大規(guī)模集成電路發(fā)展階段����,而且表現(xiàn)在CPU、BUS等內(nèi)在功能的提高以及各種系統(tǒng)軟件和應用軟件不斷更新?lián)Q代和升級�。同時,電子計算機的應用領域越來越廣泛�����,認識和使用電子計算機的人員越來越多。所謂銀行會計電算化技術風險就是指在實現(xiàn)會計電算化過程中因技術水平不足或過高而形成的風險��,這種風險具有階段性�、時期性、變動性���、局限性等特點�。
銀行會計電算化技術風險主要反映在軟件上��,尤其是應用軟件�。以手工和電算化賬務處理數(shù)據(jù)流程為例,可發(fā)現(xiàn)因技術水平不足而對核算的影響�。
電算化賬務處理數(shù)據(jù)流程圖
上述兩個結構框圖見于由中華人民共和國財政部會計司編寫的《基層單位會計電算化》(經(jīng)濟科學出版社,第54頁�、55頁),書中將電算化賬務處理數(shù)據(jù)流程圖視為“打破了原有手工業(yè)務流程的框框”���。事實上�,會計手工核算依據(jù)同一會計原始憑證進行綜合和明細二條線核算是會計不斷發(fā)展和實踐經(jīng)驗的總結�����。相反,按照電算化賬務處理數(shù)據(jù)流程圖實現(xiàn)的會計核算電算化���,雖然也生產(chǎn)出類似手工核算的綜合和明細核算賬表�,但它生產(chǎn)出的綜合和明細核算賬表會始終保持一致���,因為它已失去一條線���,因此也就失去了明細核算賬表對綜合核算賬表通過兩條線記賬所實現(xiàn)的核對監(jiān)督作用。
會計電算化技術風險還表現(xiàn)在因電子計算機使用人技術水平提高而利用軟件設計��、開發(fā)者技術方面的局限���、漏洞等作案��,比如破譯電算化系統(tǒng)本身的防衛(wèi)功能����,在賬戶系統(tǒng)中盜用他人賬戶資金��,在自動提款機上盜取他人資金等等��。
控制和防范銀行會計電算化的技術風險��,貫穿于電算化工作的始終���。我們一是要不斷采用新技術��,不斷提高使用程序版本���;二是要不斷改進、變換和提高系統(tǒng)本身的防衛(wèi)功能��;三是要不斷提高數(shù)據(jù)加密水平和手段��;四是要保管好重要的文檔資料�。
三、銀行會計電算化操作風險的防范與控制
操作系統(tǒng)是計算機系統(tǒng)的重要組成部分����,它是一種有效的管理計算機軟件資源和硬件資源的軟件。在會計電算化系統(tǒng)中��,各單位應根據(jù)硬件的結構體系選擇適合本單位需要的操作系統(tǒng)�。我們在這里所講的銀行會計電算化操作風險是指依附于電子計算機操作系統(tǒng)因操作應用軟件不當而形成的風險,這種風險具有多發(fā)性��、普遍性��、多樣性等特點。
銀行會計電算化擺脫了傳統(tǒng)的手工核算方式��,同時對會計人員自身素質(zhì)提出了更高的要求�����。從操作上看���,要求業(yè)務人員必須經(jīng)過一定的崗位培訓才能勝任交付的工作�����,同時上機時必須依規(guī)程進行操作����。從思想上看�����,要求業(yè)務人員必須有高度自覺的安全防范觀念和高度負責的工作態(tài)度�。如達不到上述要求����,就會出現(xiàn)銀行會計電算化操作風險。
由于銀行會計電算化操作風險具有多發(fā)性�����、多樣性���、普遍性的特點���,因此,操作風險的表現(xiàn)形式和危害也是多種多樣的����。有的屬于無意操作風險,如因工作粗心大意誤輸機�、漏輸機、重輸機等�,這種情況下常常會造成結算事故或給銀行經(jīng)營帶來損失。有的屬于有意操作風險����,這主要是銀行內(nèi)部犯罪分子通過竊取他人密碼或本人通過某種操作方式,單獨或內(nèi)外勾結達到侵吞國家財產(chǎn)��、占用或騙取銀行資金的目的。操作人員這種情況下產(chǎn)生的操作風險��,是一種犯罪行為�,通常給銀行造成的損失巨大。
控制和防范銀行會計電算化的操作風險主要是通過一定的操作控制方式來實現(xiàn)�。目前,最常見的控制方式是特殊業(yè)務通過授權完成�����,這種方式的缺點是不能涉及全部業(yè)務�����。����,另一種方式是二次錄入,這種方式的缺點是監(jiān)督發(fā)現(xiàn)問題滯后�����,容易失去防范有利時機��。筆者比較傾向于機上覆蓋式復核同授權及二次錄入三者相結合的方式控制操作風險�,所謂機上覆蓋式復核就是電腦操作也分為經(jīng)辦人、復核人兩個崗位,經(jīng)辦人員進行業(yè)務錄入后不能進入復核系統(tǒng)(會計系統(tǒng))���,復核人員不能進入經(jīng)辦系統(tǒng),經(jīng)辦人員的業(yè)務只有經(jīng)過復核人員的要點式覆蓋�����,并經(jīng)確認后才能進入會計系統(tǒng)���。
四�、銀行會計電算化管理風險的防范與控制
建立健全銀行會計電算化管理制度是貫徹執(zhí)行會計法律�、法規(guī)、規(guī)章制度��,保證銀行會計工作有序進行的重要措施�����。良好的管理制度可以維護銀行各項資產(chǎn)的安全完整�,防止發(fā)生損失和跑冒滴漏,防止失誤和及時糾偏���,是彌補設計風險�����,技術風險�,操作風險的重要手段。所謂銀行電算化管理風險就是指銀行在會計電算化應用過程中因管理不善而形成的風險�����,這種風險具有無意性��、依賴性�����、誘導性和廣泛性等特點���。
銀行會計電算化管理風險的無意性����,主要是反映這種風險的產(chǎn)生是管理者主觀愿望所不希望的���,管理者是無意的�����。依賴性主要是反映這種風險的產(chǎn)生是管理和操作者在主觀上缺乏管理控制意識��,過分相信和依賴程序的邏輯檢查功能�。誘導性主要是反映這種風險產(chǎn)生后如果不吸取教訓,如果不立即堵塞漏洞����,就會有新的誘犯者���。廣泛性主要是反映管理風險可能產(chǎn)生于任何一個環(huán)節(jié)��,從人員分工到部門劃分���,從前端工作站到機房主機,從常規(guī)操作到意外情況處理�����,從備份磁盤保管到機房防火���、防潮�、防盜�、環(huán)境等�����,忽視任何一個環(huán)節(jié)都可能給銀行經(jīng)營帶來嚴重的后果�。
控制和防范銀行會計電算化的管理風險�����,離不開人們主���、客觀的努力�。我們一是要建立健全各項管理制度����,包括會計電算化內(nèi)部管理制度、會計電算化操作管理制度�、計算機硬(軟)件和數(shù)據(jù)管理制度、電算化會計檔案管理制度�����、意外情況處理制度等��;二是要加強教育�,樹立管理者和操作者的風險防范觀念�����,提高員工遵章守紀�、按規(guī)操作的自覺性����;三是要建立起監(jiān)督、檢查制約機制和與之配套的賞罰機制��。
總之�,銀行會計電算化程度的提高��,無疑給商業(yè)銀行的經(jīng)營帶來了極大的益處�����,但也給銀行經(jīng)營帶來了風險�����。我們只有重視防范風險�����,才能避免風險。因此�����,銀行會計電算化越發(fā)展�����,越應重視風險的防范與控制����。
淺談會計電算化風險管理:會計電算化風險管理研究
[摘要]隨著信息技術的飛速發(fā)展,全球經(jīng)濟向網(wǎng)絡經(jīng)濟邁進的今天,建立高效完整的會計信息系統(tǒng),實現(xiàn)會計電算化是大勢所趨。針對會計電算化過程中出現(xiàn)的一些新問題和潛在的風險,提出采取切實可行的應對措施��。
隨著信息技術的飛速發(fā)展,全球經(jīng)濟向網(wǎng)絡經(jīng)濟邁進的今天,建立高效完整的會計信息系統(tǒng),實現(xiàn)會計電算化是大勢所趨,己成為各行各業(yè)乃至國家機關���、行政事業(yè)單位的當務之急�。會計電算化的快速發(fā)展己不是單純的會計與計算機的簡單結合,而是已經(jīng)發(fā)展成為一門延伸到通信學���、企業(yè)管理學�、市場運籌學����、公共財政信息化等學科的綜合學科�。它的推廣應用不再停留在傳統(tǒng)的財務管理系統(tǒng)上面,而是正朝著企業(yè)資源計劃管理系統(tǒng)“ERP”(企業(yè)管理軟件)和政府資源規(guī)化“GRP”(財政管理軟件)方向發(fā)展,甚至發(fā)展成為不同企業(yè)之間����、跨地區(qū)、跨行業(yè)相互鏈接的大網(wǎng)絡系統(tǒng)及發(fā)展成為中國財政改革事業(yè)和財政信息化建設的有力武器和得力助手����。先進的計算機網(wǎng)絡技術使信息系統(tǒng)實現(xiàn)會計電算化、管理信息化和結算網(wǎng)絡化,極大的提高了會計工作效率和工作質(zhì)量,使會計工作由原來的手工作業(yè)發(fā)展到今天的無紙化操作,這些變革不僅給企業(yè)帶來經(jīng)濟效益和社會效益,更減輕了財會人員的工作力度,促進了會計工作的規(guī)范化,為我國的管理工作的現(xiàn)代化奠定了基礎�。但也出現(xiàn)一些新的問題和挑戰(zhàn),潛在的風險漸漸地暴露出來。現(xiàn)探討如下:
一����、無紙化過程中存在的風險及應對辦法
在手工會計系統(tǒng)中,記賬憑證、會計賬簿及會計報表均以紙張為載體,但實現(xiàn)會計電算化后都是無紙化作業(yè),這種無紙化操作,會計的各種數(shù)據(jù)易被他人任意刪改修訂且不留痕跡,而造成會計信息質(zhì)量的失真�。因此,應建立健全科學嚴密的會計電算化內(nèi)部控制制度,保證會計數(shù)字的安全和保密���。
(一)�����、組織控制��。隨著會計電算化的超速發(fā)展,會計機構也應作相應的調(diào)整,如人員崗位責任制:人員崗位包括基本會計崗位和電算化崗位����。其中,基本會計崗位為會計主管、出納�、核算、稽核和檔案人員等,而電算化會計崗位則是操作員��、維護人員�����、直接管理人員和會計軟件人員,以上兩種工作人員之間不得兼任;還要明確軟件開發(fā)人員����、維護人員不能兼任操作員。并建立各崗位人員的崗位責任制度,且分工科學,責任明確,各崗位都要得到一定的授權,并用密碼控制�����。防止非法操作���、越權操作�。這樣人員互相制約和內(nèi)部牽動,能防止違法行為的發(fā)生并能及時發(fā)現(xiàn)錯誤���。
(二)����、操作控制。會計電算化操作應嚴格遵循會計業(yè)務和處理流程進行,在會計軟件中設置防止重復操作��、遺漏操作和誤操作的控制程序,違反操作規(guī)程和操作時間應及時予以提示和制止;建立操作日志制度��。計算機程序中應對所有操作留有記錄,包括操作時間���、操作人員姓名����、操作內(nèi)容等����。對已記賬和已結賬業(yè)務設置不可修改或逆操作程序,要修改必須通過編制記賬憑證沖正或補充登記來更正。以保證會計數(shù)據(jù)的完整性�����、真實性�����。
(三)�、數(shù)據(jù)輸入(出)控制。會計電算化系統(tǒng)主要是由數(shù)據(jù)整理�、數(shù)據(jù)輸入、數(shù)據(jù)處理�、數(shù)據(jù)通訊、數(shù)據(jù)保存����、數(shù)據(jù)輸出幾個部分構成。在這些環(huán)節(jié)中分析出現(xiàn)風險的可能性;分析系統(tǒng)設計過程中是否在實現(xiàn)各個功能時嵌入相應的內(nèi)部控制措施;嵌入的內(nèi)部控制措施是否發(fā)揮作用;對于一些潛在的可預見風險是否在系統(tǒng)中采取預防措施;是否對不可預見風險的處理留有系統(tǒng)空間等等��。由此保證各個環(huán)節(jié)的數(shù)據(jù)準確�����、有效和全過程會計電算化的安全完整�。在會計電算化工作中,電腦中原始數(shù)據(jù)是由人工事先進行審核和確認后輸入計算機內(nèi),因而自動處理數(shù)據(jù)的準確性完全依賴原始數(shù)據(jù)輸入時的準確性。會計資料是單位的絕對機密,一旦泄漏將給單位帶來不應有的損失,而磁性介質(zhì)的可復制性又使會計資料極易泄漏而不易發(fā)現(xiàn),故會計電算化系統(tǒng)的輸出不論是磁性文件還是打印資料,輸出后均應立即受到嚴格管理,以防被人竊取或篡改����。磁性資料應由會計檔案保管員負責保管;打印資料在系統(tǒng)的操作日志上有所記錄后(包括記錄輸出時間、文件頁數(shù)及操作人員姓名)及時送達指定人手中;收件人要簽收并注明收件日期�、文件內(nèi)容,以便日后備查;確保會計數(shù)據(jù)和會計軟件的安全保密,防止對數(shù)據(jù)和軟件的非法修改和刪除,對磁性介質(zhì)存放的數(shù)據(jù)要保存雙備份。所以一切數(shù)據(jù)的輸入(出)過程都必須規(guī)范化,并保持數(shù)據(jù)的準確性,才能保證會計信息質(zhì)量的真實�、完整和準確�����。
(四)�����、硬件與軟件系統(tǒng)的開發(fā)與維護控制����。會計電算化包括需求分析�、系統(tǒng)的設計和測試���、系統(tǒng)的運行與維護以及系統(tǒng)文檔資料的保管等,即對正在使用的會計核算軟件進行修改���、升級和硬件設備的更換,要有一定的審批手續(xù),要保證會計數(shù)據(jù)的連續(xù)和安全,并由有關人員監(jiān)督實施���。要保證機房設備的安全和計算機的正常運行,健全排除硬件與軟件系統(tǒng)故障的管理措施,保證會計數(shù)據(jù)的完整性����。
二、網(wǎng)絡環(huán)境的開放性所帶來的會計信息失真的風險與應對措施
在網(wǎng)絡環(huán)境下,信息的來源具有多樣�、多渠道性,而大量會計信息大多是通過網(wǎng)絡通訊線路傳輸,這樣網(wǎng)絡信息就有可能被非法分子或別有用心的人攔截��、竊取或篡改,網(wǎng)絡信息時常會遭到“病毒”和“黑客”的入侵,使網(wǎng)絡不得不暫停服務,還有在利益的驅(qū)動下違背誠實信用原則,在網(wǎng)上亂盜他人或其他單位(企業(yè))的機密文件和重要資料等等,這些都會使企業(yè)蒙受損失,增加風險,其應對措施是:
(一)���、實行數(shù)據(jù)通信控制。實施互聯(lián)網(wǎng)技術,進行遠程記賬憑證輸入,遠程報表及遠程監(jiān)控便于網(wǎng)絡控制�����。系統(tǒng)在數(shù)據(jù)通信時,面臨著因線路��、設備故障導致數(shù)據(jù)丟失及被不法分子人為的攔截泄密的風險,因此要在傳輸過程中采用數(shù)據(jù)加密,回響檢查等技術手段進行會計電算化的規(guī)范管理���。
(二)�����、加強會計電算化保密控制����。保密控制主要是保證會計電算化的程序、會計數(shù)據(jù)不被借用�����、濫用和非法使用���。由于電算化系統(tǒng)的特殊性,為了防止非法進入財務管理系統(tǒng)和修改數(shù)據(jù)庫風險的發(fā)生,可采取設置程序保密控制,文件密碼存儲控制,用戶進入操作系統(tǒng)的口令控制等措施,以保證在電算化過程中會計程序數(shù)據(jù)的安全�����。
(三)�����、健全會計電算化內(nèi)部定期檢查制度。對會計資料定期或不定期檢查,主要檢查會計電算化賬務處理正確與否,看是否遵照會計法規(guī)行事,審核費用簽字是不是符合本單位的內(nèi)控制度要求,憑證附件是否完整等;審查計算機內(nèi)部數(shù)據(jù)與書面資料的一致性,查看賬冊內(nèi)容,做到賬冊相符,對不符合要求���、錯誤的賬表要及時糾正和調(diào)整���。要監(jiān)督電算化過程中數(shù)據(jù)保存形式的安全性、合法性,防止非法刪除��、修訂和篡改歷史會計數(shù)據(jù)及對電算化系統(tǒng)運行各環(huán)節(jié)進行檢查,防止出現(xiàn)漏洞。
(四)��、加強法制建設�。計算機犯罪具有智能化、隱蔽化的特點����。我國雖已采用各種技術防止外部入侵攻擊,但“病毒,,屢屢得逞,因此加強網(wǎng)絡法制建設,加大網(wǎng)上執(zhí)法力度,對不法分子的不法行為進行打擊以起到威懾作用已迫在眉睫��。還應配備殺毒軟件,定期或不定期的查“毒”��、殺“毒”�����。
三��、會計信息系統(tǒng)應用軟件自身存在的問題及解決的途徑
當前電子商務尚處在初始階段,跟不上網(wǎng)絡信息技術的飛速發(fā)展����。會計信息系統(tǒng)使用的軟件還存在不少問題,最明顯的是網(wǎng)絡用戶不夠普及,沒有形成大的網(wǎng)絡系統(tǒng),各軟件公司出于本身利益的考慮,不對外公布軟件內(nèi)部數(shù)據(jù)接口,導致信息無法大范圍的交流����、傳輸;網(wǎng)上法制建設尚不完善;給犯罪分子可乘之機。其解決的途徑:
(一)�����、開發(fā)商與用戶應加強在線測試。在軟件開發(fā)和應用過程中,開發(fā)商與用戶應加強交流,充分測試�。例如,用戶通過網(wǎng)絡向開發(fā)商提出要求或建議,開發(fā)商通過網(wǎng)絡把軟件傳送給用戶。雙方在軟件應用過程中應注意監(jiān)控,及時發(fā)現(xiàn)并解決問題��。開發(fā)商可通過網(wǎng)絡對用戶的系統(tǒng)進行定期在線測試,一旦發(fā)現(xiàn)問題,應進行升級,以便提高系統(tǒng)運行的安全性�。
(二)、建立賬表系統(tǒng)?����,F(xiàn)在市場上使用的財務軟件普遍是財務系統(tǒng)和報表系統(tǒng),作為兩個獨立的模塊獨自處理,它不利于雙向性查詢和確定性查詢���。按照財務軟件的模塊化設計原則,對系統(tǒng)模塊劃分要求模塊具有最大獨立性,將財務系統(tǒng)和報表系統(tǒng)合二為一,建立賬表系統(tǒng),以回避自身存在的風險�。
(三)����、注重會計電算化軟件的開發(fā)和人才的培養(yǎng)及技術培訓����。隨著會計電算化的普及和廣泛運用,更多的潛在風險會有所暴露,這就要求我們要注重會計電算化軟件的開發(fā)和人才的培養(yǎng)并加強技術培訓。為此,要充分利用計算機技術和會計知識,制定科學的會計綜合體系和會計電算化軟件發(fā)展規(guī)劃,選拔優(yōu)秀的計算機人才,開發(fā)適合行業(yè)內(nèi)部需要的會計電算化軟件,向大規(guī)模數(shù)值計算的專用軟件,面向問題和過程分析及判斷推理的高層次軟件綜合開發(fā)階段邁進。建立一套完善的計算機輔助管理專家系統(tǒng)和智能系統(tǒng),使計算機在會計管理工作中的應用向更廣泛更深層次發(fā)展,實現(xiàn)單位自己的智能化信息與專家系統(tǒng)的會計電算化發(fā)展的新路子����。會計電算化工作的關鍵是應用。經(jīng)常參加計算機技術展示會和計算機培訓班,全面了解科技信息和開發(fā)信息資源的重要性,提高對計算機的感性和理性認識,充分認識計算機技術的先進性�����、可靠性及在管理工作中所起到的重要作用。把計算機同現(xiàn)代化的管理科學融合在一起,開發(fā)出經(jīng)濟實用的計算機軟件系統(tǒng)和更高水平的計算機處理系統(tǒng)及培養(yǎng)出大批能從事會計電算化工作的復合型人才,才能回避會計電算化工作中的各種風險�。
淺談會計電算化風險管理:會計電算化安全風險管理
隨著網(wǎng)絡和電子商務的發(fā)展��,會計信息的安全問題越來越突出�����,必須采取相應的防護措施,保證電算化系統(tǒng)安全穩(wěn)定的運行���。
一�、會計電算化系統(tǒng)存在的安全風險
會計電算化系統(tǒng)的安全性是指電算化系統(tǒng)保持正常穩(wěn)定運行�,系統(tǒng)數(shù)據(jù)信息保持安全和完整。會計電算化的安全性一直是系統(tǒng)設計者考慮的問題����,同時也是系統(tǒng)用戶最為擔心的問題,其安全風險表現(xiàn)在以下幾方面:
1.會計信息數(shù)據(jù)的失真�����。
會計信息是對企業(yè)生產(chǎn)經(jīng)營活動的綜合反映����,滿足企業(yè)的內(nèi)部管理和外部相關部門和個人的需要��,信息的質(zhì)量直接影響到企業(yè)的經(jīng)營管理和預策����、決策。會計信息的真實�、完整和準確是對會計信息的基本要求�����,一旦會計信息系統(tǒng)的安全受到損害����,最為直接的就是會計數(shù)據(jù)的錯誤����、數(shù)據(jù)的丟失或被篡改,致使信息失真����,這里的不安全因素表現(xiàn)為:一是硬件缺陷���,如計算機硬盤的損壞而又沒有數(shù)據(jù)備份的情況下造成數(shù)據(jù)丟失����。二是人為的誤操作和有意破壞��,造成數(shù)據(jù)丟失和被篡改�����。三是外部環(huán)境如操作時停電或處于磁場環(huán)境磁盤被磁化造成數(shù)據(jù)丟失。另外在電算化網(wǎng)絡環(huán)境下���,一些非法用戶的侵入或數(shù)據(jù)在網(wǎng)絡的傳輸中數(shù)據(jù)被截取和篡改��,也將造成信息的不安全。
2.企業(yè)資金結算的安全問題。
在網(wǎng)絡經(jīng)濟的電子商務環(huán)境下��,企業(yè)經(jīng)營越來越依賴于客戶����,企業(yè)在網(wǎng)上的財務活動日益增多�,如網(wǎng)上定購、網(wǎng)上銷售��、網(wǎng)上結算���、網(wǎng)上理財���、網(wǎng)上證券投資及外匯買賣等,買賣雙方都是不謀面的信息交流�����,完全憑借雙方的信譽進行交易活動�,這樣企業(yè)就面臨著財務結算的安全問題�,一些非法用戶侵入他人的計算機系統(tǒng),通過網(wǎng)絡傳輸非法轉移電子資金及通過竊取密碼盜竊銀行存款���,致使企業(yè)資金面臨安全風險���。
3.企業(yè)重要信息的泄露。
信息技術高速發(fā)展的今天�,信息在企業(yè)的生產(chǎn)經(jīng)營管理中變得越來越重要��,決定著企業(yè)在激烈的市場競爭中的成敗��。因此利用高科技手段非法竊取企業(yè)機密�����,是構成企業(yè)系統(tǒng)安全風險的重要形式���。如在網(wǎng)絡環(huán)境下,財務信息傳遞完全借助于網(wǎng)絡進行�����,財務信息被截取和篡改或泄露成為不可避免的問題,特別是網(wǎng)絡黑客非法侵入網(wǎng)絡用戶或程序���,捕獲信息或通過竊取系統(tǒng)合法用戶口令�、密碼,以此合法登陸�����,實現(xiàn)非法的目的�,獲取重要商業(yè)秘密���,將給企業(yè)造成不可估量的損失���。
4.計算機病毒侵襲造成系統(tǒng)無法正常運行��。
計算機病毒可以破壞計算機內(nèi)的程序���、數(shù)據(jù)���,甚至破壞硬件����,計算機病毒可以通過磁盤�、光盤�、網(wǎng)絡和電子郵件進行傳播,如以前出現(xiàn)的一種CIH的惡性病毒���,直接攻擊��、破壞硬件系統(tǒng)��,主要傳染W(wǎng)indows95/98的可執(zhí)行程序,極大威脅著系統(tǒng)的安全��。病毒的隱蔽性強��,傳播范圍廣����,破壞力大�,對電算化信息系統(tǒng)及遠程網(wǎng)絡傳輸?shù)陌踩珮嫵蓸O大的威脅����。
二、保證會計信息系統(tǒng)安全性的防范策略
1.建立健全會計電算化管理制度�����。
建立健全會計電算化管理制度����,是確保會計核算操作安全,及時���、準確提供會計信息的根本保證����,是實現(xiàn)企業(yè)會計電算化的前提。制度的建設��,包括內(nèi)部控制制度和宏觀管理制度及參與國際安全協(xié)議的方面�。內(nèi)部控制制度包括人員管理制度���、操作制度�、安全保密制度����、會計檔案管理制度及內(nèi)控制度����,它們對系統(tǒng)的正常運行,會計信息的真實可靠可起到一定的保障作用��。宏觀管理制度包括會計軟件管理制度和法規(guī),電算化網(wǎng)絡管理制度及防止和打擊網(wǎng)絡犯罪法規(guī)等,通過建立宏觀管理制度���,可以加強對上市的商品化會計軟件管理����,有效打擊網(wǎng)絡犯罪�����,懲治網(wǎng)絡黑客����。為了保證Internet網(wǎng)絡的安全和用戶的利益不受侵犯,國際上相繼制定了系列安全協(xié)議����,如安全電子交易規(guī)范��、安全的超文本傳輸協(xié)議等��,這些協(xié)議對規(guī)范網(wǎng)上行為起到了一定的促進作用����。我國面臨著加入世貿(mào)組織,應加快推進安全協(xié)議制度的實施和完善�����,以降低電算化網(wǎng)絡的風險�。
2.建立必要的防護措施。
為了保證會計信息的真實�����、完整和安全��,除了建立健全管理制度以外����,還要建立必要的防護措施���。
(1)在財務軟件中增加安全功能。會計電算化軟件各層數(shù)據(jù)處理應層層設防���,在軟件功能上增加必要的提示功能、檢驗功能和限制功能��,要防止操作失誤造成數(shù)據(jù)破壞�,操作人員進入系統(tǒng)要設置口令和密碼�����,以防無關人員非法進入���。系統(tǒng)各模塊也要設置相應的口令,并對系統(tǒng)操作人員進行授權����,防止無權人員的操作。在系統(tǒng)中應建立起“操作日志”��,記錄所有人員對系統(tǒng)所做的操作,包括操作的時間�、操作人員姓名、操作內(nèi)容等�,這樣一旦出現(xiàn)問題���,可以依據(jù)“操作日志”所提供的線索�����,對有關人員進行核查�。
(2)建立預防病毒的安全措施����。為了防止病毒的侵襲,要堅持使用正版軟件�,不能使用盜版或來路不明的軟件�����,對外來的軟盤要先進行病毒檢測,方可在計算機中使用;在計算機中裝入防病毒軟件�,這樣在開機時進行時實控制����,對硬盤進行病毒檢測����,及時發(fā)現(xiàn)并殺死病毒����;定期備份數(shù)據(jù)和文件��;不打開和閱讀來歷不明的電子郵件等。
(3)建立必要的技術防護措施�����。為了防止非法用戶和黑客的侵入�,可以通過設置防火墻��、采用身份識別系統(tǒng)等技術防護措施�,將非法用戶拒之網(wǎng)絡之外���,面對重要商業(yè)秘密泄密的問題,可以對軟件的重要信息采用加密技術����,以防重要信息在傳輸過程中被泄露����。
(4)加強對會計電算化系統(tǒng)使用人員進行安全教育�����。系統(tǒng)使用人員特別是系統(tǒng)操作人員樹立安全意識�����,要加強計算機��、通訊和網(wǎng)絡理論知識的學習��,提高業(yè)務素質(zhì)��,還要樹立良好的職業(yè)道德�,自覺遵守各種操作規(guī)章制度和操作規(guī)程,防止工作中出現(xiàn)不必要的失誤�����。
淺談會計電算化風險管理:3G時代會計電算化風險管理
如何在3G時代進行會計電算化風險管理,在理論界尚且空白。本文擬對3G電算化會計風險防范的基本原則及措施進行研究,歡迎大家批評指正。
一����、3G時代,電算化風險解析
3G時代的會計電算化已經(jīng)進化到純網(wǎng)絡時代,數(shù)據(jù)的保存和管理全部儲存在網(wǎng)絡服務器中,業(yè)務主管可以在全球任何一個角落進入企業(yè)的數(shù)據(jù)系統(tǒng)進行操作和管理。這也意味著黑客可以在全球任何一臺計算機上入侵電算化系統(tǒng),修改或盜取企業(yè)的會計核心數(shù)據(jù)。如此一來,會計信息的可靠性�、可比性��、及時性等質(zhì)量要求將面臨巨大挑戰(zhàn)�。
(一)網(wǎng)絡安全風險
3G時代,各企業(yè)網(wǎng)絡均實時接入Internet(互聯(lián)網(wǎng),下同),這就意味著企業(yè)會計電算化系統(tǒng)必須承受來自互聯(lián)網(wǎng)的外部攻擊以及內(nèi)部網(wǎng)絡風險,據(jù)國內(nèi)知名信息網(wǎng)絡安全廠商金山公司2009年《互聯(lián)網(wǎng)安全報告》數(shù)據(jù)表明,2009年,僅金山“云安全”中心就監(jiān)測發(fā)現(xiàn)新病毒2 068萬余個,導致7 640萬臺電腦感染病毒�。通過木馬或后門侵入公司會計電算化系統(tǒng)竊取財務資料絕非只是電影里藝術化的場景����。如果對網(wǎng)絡風險的防范措施不當,會計電算化數(shù)據(jù)被惡意更改,內(nèi)容失真,資料遺失,或嚴重泄密,必然會對企業(yè)財務信息的可靠性造成惡劣影響��。
(二)操作系統(tǒng)漏洞
電算化產(chǎn)品往往基于一定的操作系統(tǒng),操作系統(tǒng)除了我們最熟悉的微軟windows系列之外,還有unix/linux�、蘋果OS等其他操作系統(tǒng)�����。建立于同一操作系統(tǒng)的會計軟件方能達到會計信息可比性要求,不同操作系統(tǒng)的會計電算化系統(tǒng)一般互相無法兼容,會計數(shù)據(jù)的可比性難以實現(xiàn)�。
同時,由于操作系統(tǒng)本身的漏洞,致使會計電算化系統(tǒng)存在重大安全隱患,掌握一般攻擊技術的人都可能入侵得手,會計信息的可靠性得不到保證。
(三)應用安全風險
眾所周知,會計電算化中,紙質(zhì)憑證需由操作員手工錄入,在這一過程和會計信息日常管理中,其風險為:
1.誤操作風險,即合法操作人員在正常操作中所發(fā)生的風險,如數(shù)據(jù)錄入不及時,數(shù)據(jù)錄入金額錯誤,合法數(shù)據(jù)被誤刪除等,其發(fā)生的機率不大,危害性卻不小���。數(shù)據(jù)一但進入電算化系統(tǒng),出于對電腦的盲目信任,很少還有人根據(jù)原始憑證去審核其一致性,所以不少企業(yè)到年終決算或幾年后才發(fā)現(xiàn)某一數(shù)據(jù)的差錯����。
2.不能操作的風險��。如系統(tǒng)故障,電腦或網(wǎng)絡硬件損壞���、網(wǎng)絡服務器受損等�。一旦出現(xiàn)不能操作的相關狀況,輕則一兩天不能進行正常的會計核算工作,重則造成資金款項不能正常結算等重大事故。
3.被惡意操作的風險�����。常見的有:非授權用戶的訪問�、通過口令猜測或盜用正常操作者的口令和加密硬件的方式,強行劃轉企業(yè)銀行資金;獲得系統(tǒng)管理員權限、通過數(shù)據(jù)庫服務器本身漏洞進行數(shù)據(jù)篡改等����。和誤操作不同的是,通過惡意修改會計數(shù)據(jù),可以讓非法的會計數(shù)據(jù)顯得合法,如重復記賬、數(shù)據(jù)篡改�����、非本周期會計數(shù)據(jù)強行入賬等。由于電算化系統(tǒng)的特點,數(shù)據(jù)一旦被非法更改,很難發(fā)現(xiàn),要查找作案者也非常困難�����。
4.信息泄露的危險���。除黑客�����、病毒的攻擊外,因為辦公網(wǎng)絡應用通常是共享網(wǎng)絡資源,可能存在著員工有意�����、無意把硬盤中重要信息目錄共享,可能被外部人員輕易偷取或被內(nèi)部其他員工竊取并傳播出去造成泄密,或者將數(shù)據(jù)保存到U盤中卻不慎遺失,也有備份數(shù)據(jù)被非法調(diào)閱甚至盜竊等�。這些都是因為缺少必要的訪問控制策略����。
(四)管理體系隱患
1.忽視復核崗位��。內(nèi)部控制原則要求不相容職務要進行分離,按此原則會計電算化系統(tǒng)的數(shù)據(jù)錄入和復核應當不少于2人,但是不少企業(yè)實行電算化后,卻并不設置這一傳統(tǒng)崗位,數(shù)據(jù)信息由操作員自錄自審,其真實性和可靠性難以保證���。
2.操作權限混亂�。計算機管理原則要求,不同的操作人員應該有不同的計算機操作權限,如是否能復制數(shù)據(jù),更改系統(tǒng),查看核心服務器狀態(tài)等,但多數(shù)企業(yè)為了管理上的方便,授予了部分操作者不應有的高級別系統(tǒng)管理權限,可以輕易獲取并更改計算機和網(wǎng)絡的關鍵設置,這也使會計信息質(zhì)量要求在會計電算化管理中無法保證��。
3.密碼設置過于簡單��。電算化軟件管理原則要求,應設置健全的密碼體系,如開機密碼�����、系統(tǒng)密碼�����、電算化操作員角色密碼等,同時對密碼的長度和復雜程度都有一定的要求����。但不少單位會計電算化管理人員或員工圖方便省事,不設置用戶口令,或者設置的口令過短和過于簡單,導致很容易被破解;或者責任不清,使用相同的用戶名����、口令,導致權限管理混亂等,造成會計信息質(zhì)量要求在會計電算化管理中難以實現(xiàn)���。
二、電算化風險管理基本原則
通過會計電算化風險解析所談到的大量風險點,我們應該深深體會到3G時代的會計電算化風險管理應該上升到一個新的高度��。在3G已經(jīng)向4G發(fā)展的高速無線網(wǎng)絡時代,具有綱領性質(zhì)的電算化風險管理基本原則的建立正當其時,筆者總結如下:
(一)整體性原則
整體性原則又可分為2個方面:一是全體性原則,指整個企業(yè)全員列入電算化安全防范體系,絕對不允許任何一個特權人員或非受控人員的存在��。即便是企業(yè)高層管理人員,仍然只能給予應有的操作權限,只能查閱的絕不授予修改權限,只能操作的絕不給予系統(tǒng)管理權限;再如計算機管理人員,已經(jīng)有較高的計算機管理權限,就絕不能再有電算化系統(tǒng)操作權限�����。二是全面性原則,指電算化風險管理體系的建立,要充分考慮整個企業(yè)信息保密、數(shù)據(jù)傳遞�、業(yè)務運營、電算化系統(tǒng)運行等多方面的要求,在綜合會計管理原則�����、計算機系統(tǒng)管理要求�����、各部門軟件運行及數(shù)據(jù)傳遞規(guī)范等多方面管理體系的情況下,建立一套整體性的風險管理機制。各部門各行其是,或偏重一點而不注重整體規(guī)劃,是不可取的��。
(二)普遍性原則
普遍性原則,指整個企業(yè)全員應給予同等必要的電算化安全知識培訓,不留空白�。一些管理者認為電算化系統(tǒng)的安全取決于企業(yè)計算機安全保障力量的強弱,卻不明白普通員工安全意識的提高同等重要�。對不同權限的操作人員,要組織有針對性的安全知識培訓��。
(三)標準性原則
所謂標準性原則,是指會計電算化系統(tǒng)的開發(fā)要能適應多個操作系統(tǒng),數(shù)據(jù)的保存和采集要能通用于不同的操作系統(tǒng)或應用平臺��。
電算化的發(fā)展過程也證明了這一點,從最初的各單位自主開發(fā),到有統(tǒng)一電算化軟件公司的出現(xiàn);從系統(tǒng)的單一會計應用,到企業(yè)的綜合性管理平臺;從內(nèi)部單機的不可聯(lián)網(wǎng),到互聯(lián)網(wǎng)共通共享,都充分說明了標準性原則的重要性�����。
而且標準性原則必須貫穿于企業(yè)會計電算化對內(nèi)對外的各種應用中去,只有標準化,才能高效的助推企業(yè)的發(fā)展����。
(四)專業(yè)性原則
專業(yè)性原則,指整個企業(yè)的電算化風險管理體系一定要由專業(yè)部門或公司來規(guī)劃����。如果企業(yè)自身有較強的風險管理力量,可以由這一部門或人員來制定相關防范機制;如果企業(yè)自身沒有這一能力,則務必訂購專業(yè)產(chǎn)品和方案���。企業(yè)如果具有相當經(jīng)營規(guī)模,業(yè)務的發(fā)展進入了上升通道,邀請專業(yè)風險管理(又稱安全保障)公司或人員為公司量身定做電算化風險管理體系就顯得更加重要。
(五)延伸性原則
延伸性原則即電算化風險管理系統(tǒng)要跳出企業(yè)內(nèi)網(wǎng),延伸到公共網(wǎng)絡及手機等移動通信設備����。如很多管理者由于工作需要,長期隨身攜帶筆記本進行辦公操作,喜歡在家庭����、機場、賓館等公共網(wǎng)絡環(huán)境下接入辦公網(wǎng)或電算化系統(tǒng)�����。這些地方網(wǎng)絡安全條件顯然遠低于企業(yè)內(nèi)部網(wǎng)絡,同時由于大部分人不喜歡設置開機密碼���、系統(tǒng)密碼,也不習慣對重要資料加密,口令一旦被破解或筆記本電腦遺失,后果十分嚴重�����。
所以,無論在任何時候�、任何地方使用電腦,只要員工需要接入電算化系統(tǒng)或辦公系統(tǒng),就需要按照企業(yè)電算化風險管理體系自覺進行相關規(guī)范化操作��。如需要在家中上網(wǎng)操作,按企業(yè)要求對網(wǎng)絡和電腦進行相關安全設置;如需要用U盤攜帶重要資料,按企業(yè)規(guī)定進行加密處理等等。同時,對于長期需要從外部網(wǎng)絡登陸企業(yè)電算化系統(tǒng)的人員,企業(yè)應記錄在案,進行技術培訓和安全警示(或規(guī)范)��。
三�����、會計電算化風險管理對策
(一)利用軟硬件防護
通過硬件設備加強網(wǎng)絡安全風險防范,抵御形形色色病毒對會計電算化系統(tǒng)的攻擊,保證會計信息質(zhì)量。不論內(nèi)網(wǎng)還是外網(wǎng),均需通過路由器��、交換機等網(wǎng)絡設備連接各臺計算機或接入Internet���。網(wǎng)絡風險防范的關鍵點就在于硬件設備的網(wǎng)絡設置,這就要求企業(yè)在建立會計電算化系統(tǒng)時采用充分或有效的安全配置,及時填補安全漏洞,關閉一些不需要的服務等,這樣可以減少或杜絕來自內(nèi)外部網(wǎng)絡的攻擊和探察��。同時,必須進行各網(wǎng)絡節(jié)點的防火墻設置,阻攔入侵者,同時使其即便侵入內(nèi)部網(wǎng),要找到所需數(shù)據(jù)也非常困難�。
(二)實行內(nèi)�、外網(wǎng)物理隔離
企業(yè)會計電算化系統(tǒng)與Internet間必須采取嚴密的安全防護措施。企業(yè)必須實行內(nèi)�、外網(wǎng)物理隔離��。為確保會計信息系統(tǒng)安全,嚴禁將會計電算化系統(tǒng)內(nèi)網(wǎng)的計算機接入互聯(lián)網(wǎng);訪問互聯(lián)網(wǎng)的計算機必須與會計電算化系統(tǒng)內(nèi)網(wǎng)物理隔離。只有會計電算化內(nèi)網(wǎng)和外網(wǎng)分離,才能保護會計電算化系統(tǒng)不易遭到來自外網(wǎng)一些不懷好意的入侵者的攻擊。
(三)建立會計電算化內(nèi)部控制制度
實行會計電算化后,一些傳統(tǒng)的核對�、計算、存儲等內(nèi)部會計控制方式均被計算機內(nèi)部控制方式輕而易舉地替代,如總賬和明細賬都由計算機根據(jù)審核后的會計憑證自動登記和歸集,取消了手工條件下二者的核對工作,但同時記賬憑證的審核工作變得更加重要��。企業(yè)應對記賬憑證的審核實行除在計算機系統(tǒng)內(nèi)簽字確認外還要求在打印的會計憑證上蓋章確認,增強正確性和完整性的審核,保證會計信息的質(zhì)量和可信度。另外,應制定嚴密的計算機操作管理制度,包括會計軟件的操作工作內(nèi)容和權限,操作密碼的管理規(guī)定,保存上機操作記錄,計算機病毒的防范措施,會計電算化系統(tǒng)維護管理等制度。
(五)做好會計信息資料備份及數(shù)據(jù)系統(tǒng)恢復工作
2006年“熊貓燒香”病毒的發(fā)作,造成大量用戶電腦資料毀滅,花費大量資金仍然難以恢復�����。最新的電算化系統(tǒng)可以實現(xiàn)數(shù)據(jù)在Internet網(wǎng)絡服務器和本地計算機雙重備份,安全性提高了很多�。但數(shù)據(jù)備份和保存的重要性仍然沒有降低,企業(yè)應堅持每周甚至每天備份會計數(shù)據(jù),做好數(shù)據(jù)信息存儲介質(zhì)保管工作,在關鍵時間點上的備份甚至應該采取雙備份策略。另一方面應建立會計信息系統(tǒng)風險應對機制,操作系統(tǒng)上要有快速的系統(tǒng)恢復功能�����。
(六)嚴格實行權限管理
權限管理包括權限分配和用戶名及密碼管理兩個方面,在分工時,對職權不相容的崗位應進行明確分工,不得兼任,做到相互牽制����、相互制約,職權分離,使會計人員和各級管理者在權限內(nèi)開展工作;在權限等級管理中,應制定各環(huán)節(jié)密碼設置和重要資料加密規(guī)范,保管好相關口令和加密硬件,口令密碼必須不定期地更換,確保企業(yè)會計信息系統(tǒng)和資金安全�����。
