時間:2022-07-19 05:23:43
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了一篇淺談會計電算化風險管理范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
摘要:會計電算化是事業單位會計工作改革的一項重要內容。本文借助項目風險管理的理論,構建了事業單位會計電算化項目風險管理框架,并詳細分析了事業單位會計電算化項目的風險因素,提出了相應的風險應對措施。為即將實施會計電算化項目的單位提供了有益借鑒。
關鍵詞:會計電算化 風險管理 風險應對
隨著信息技術的高速發展,計算機已經逐步在我國部分事業單位得到廣泛應用,會計電算化在實現了工資管理、往來賬目等日常會計工作自動化的同時,不僅提高了財務工作的效率,降低了部分人為工作的不確定性,而且能夠實現事業單位對財務管理的規范化,增強了對財務工作的監控能力。因此,我國越來越多的行政事業單位開始展開會計電算化項目。然而,一個項目的順利實施不僅僅要看到其所帶來的效益,還應該在項目實施之初考慮項目可能產生的風險,并通過對項目風險的把控,保證項目的順利開展。作為還未開展會計電算化的事業單位,應該在什么時候開展,在開展中需要遵從什么樣的管理步驟,在實際應用中需要避免什么樣的風險才能保證會計電算化項目的順利實施則是財務管理人員所必須了解的一項重要內容。
一、風險管理的基本理論
項目風險是在項目管理活動或事件中消極的、項目管理人員不希望的后果發生的潛在可能性。由于項目的一次性、創新性和獨特性等特性,任何一個項目都是有風險。
目前,通用的項目風險管理系統模型由以下四個部分組成,即風險規劃、風險分析、風險應對和風險監控。
(一)風險規劃
風險規劃主要是對項目實施過程中風險管理工作的整體計劃和安排,是后續工作的基礎。
(二)風險分析
風險分析包括風險識別、風險估計和風險評價。即通過風險識別找出影響項目質量、進度、費用等目標順利實現的主要風險,然后對風險發生的概率和產生的影響進行估算,最后對風險度進行評價、排序。通過風險分析可以確定項目的關鍵風險、主要風險,以便項目管理者能夠集中精力和資金對項目的風險進行應對。
(三)風險應對
風險應對是指項目管理者采用多種措施和方法降低風險發生的概率、減少風險發生后造成的損失。目前,傳統的風險應對的措施和方法包括:風險回避、風險轉移、風險自留等。
(四)風險監控
風險監控是通過對項目實施過程中的可能出現風險的監視,提出相應的解決措施,包括重新規劃、在此分析等。項目的風險管理不是一次性工作,通過風險監控將風險管理構成了閉環控制,更滿足項目的實際實施環境。
以上四個部分中,風險的分析與應對是項目風險管理系統的核心。因此,本文就以風險分析與應對為基礎對事業單位會計電算化項目的風險管理框架進行探討。
二、事業單位會計電算化項目的風險管理框架
(一)會計電算化項目的風險分析
1、風險識別
找到風險是風險分析和管理的前提和基礎。因此風險識別雖然多采用定性分析,但卻尤為重要。事業單位會計電算化項目中的風險可以總結為以下幾個種類:
會計電算化實施中制度不健全的風險。制度建設是任何工作正常開展的必要保證。如果內控制度薄弱,普通操作人員在未經授權的情況下就能對財務數據進行篡改,則必然會造成管理上的混亂,不僅使會計電算化不能得到高效、有序的使用,而且還可能導致作假舞弊等更大的潛在風險,給單位和個人造成巨大的損失。
會計電算化實施中軟、硬件配置不當的風險。由于自主開發的成本過高,目前,很多事業單位各自從市場上購買會計軟件并配置相應的硬件設備。這樣,可能產生由于過分追求低成本,或項目組成員考慮問題不周全而購買了質量和后續服務都較弱的軟、硬件產品,而造成很多重要財務功能無法實現,電算化目標無法達到等風險的發生;相反,如果忽視單位自身需求,而盲目追求軟硬件產品的新、貴、全,則會導致購買的產品很多功能沒有必要,造成資源的極大浪費。
2、風險估計與評價
目前,傳統的風險估計的方法包括:主觀評分法、決策樹法(Decision Tree Analysis)、層次分析法AHP?。╰he Analytiwal Hierarchy Process)、模糊風險綜合評價(Fussy Comprehensive Evaluation)、故障樹分析法FTA(Fault Tree Analysis)和蒙托卡羅模擬法(Monte Carlo Simulation)等,事業單位可以根據自身的業務特點,對開展會計電算化項目的風險進行評估。
(二)會計電算化項目的風險應對
根據項目風險分析的結果,本文提出了事業單位會計電算化項目的風險應對措施。
健全會計電算化的各項制度。包括資料管理制度,強調專人專管,確保會計電算化項目的順利開展;安全管理規范,確定不同使用人員的權限,避免財務數據的不正常瀏覽和篡改;
培訓會計電算化的重要人才。包括本單位相關人員對會計電算化的認識的普及型培訓;包括對電算化項目使用人員的專業化培訓;通過培訓提高人員電算化的意識、態度和實際操作技能。
合理配置會計電算化的軟硬件環境。全面分析本單位的業務流程和發展的趨勢,廣泛調研省市內相關單位會計電算化使用情況,結合未來幾年計算機及軟件發展的可能,采取內部邀請招標的方式配置單位的會計電算化的軟硬件環境。
三、總結
項目的風險管理是項目成功實施的重要保證。通過對事業單位會計電算化項目的風險管理框架的探析,能夠為準備開展會計電算化的單位成功實施并完成項目提供一定的參考依據。
會計電算化是電子計算機技術、信息技術和現代會計技術相結合的產物,是會計工作發展的方向。在我國,銀行會計電算化起步較早、發展較快,從信用卡自動提款到票據自動清分,從儲蓄通存通兌到匯兌天地對接,從銀行證券聯網到網上銀行,銀行會計電算化包含的業務越來越多,囊括的范圍越來越廣,輻射的空間越來越大。面對飛速發展的銀行會計電算化現實,我們研究和探討銀行會計電算化的風險防范與控制有著十分重要的意義。
一、銀行會計電算化設計風險的防范與控制
銀行會計電算化從發展過程看,通常分為會計核算電算化、會計管理電算化、會計決策電算化三個階段。這三個階段是由低到高的遞進過程。每一階段電算化的實現都離不開一定的物質基礎——電子計算機系統,包括硬件、軟件。所謂銀行會計電算化設計風險就是指在實現會計電算化過程中因考慮不周而形成的風險,這種風險具有彌補困難、花費大、有一定潛伏期、影響全局等特點。設計風險表現的形式、反映的問題多種多樣。有的反映在硬件上,比如內存不足,這主要是當初會計電算化僅考慮某個部門、某種業務,而沒有用發展的眼光從戰略的角度來選擇使用硬件設備。有的反映在軟件上,比如軟件設計功能欠缺,這主要是程序開發人員不熟悉、不把握業務人員實際需求或業務人員對電腦所提需求被遺漏、監督認定不夠造成的。
在實際中,反映在軟件上的設計風險要比反映在硬件上的設計風險更常見。以某行開發使用的信用卡業務核算系統為例,該行應用程序的開發是委托深圳一軟件公司,開發時由于僅從信用卡業務考慮,結果造成該系統會計核算的“單腿跳”,所出的賬表無法滿足會計核算的規定和要求,給信用卡業務會計核算和監督工作帶來了很大麻煩,并被政治修養不高的員工鉆了空子,造成了該行經營的較大損失。再比如全球都在關注的電腦“2000年問題”,這也可以歸入設計風險,如果解決不好,將直接對銀行會計核算造成重大影響,給銀行經營帶來直接或間接損失。
“凡事預則立,不預則廢”,控制和防范會計電算化的設計風險,重點應放在事前。實際工作中,我們一是要注重硬件選擇的長遠性,必須經過技術論證、業務發展論證;二是要注重會計軟件開發的規范性,必須在符合現行會計法規的前提下滿足實際業務需要;三是要注重會計軟件開發的前瞻性,必須充分估計以后可能出現的變動,必須考慮解決可能出現問題的方法,必須提供靈活多樣的參數維護手段;四是要注重會計軟件開發的科學性,必須有編制規范及內容齊全的文檔資料,必須留有必要的數據接口和程序接口;五是要注重會計軟件開發、推廣的程序性,必須有開發需求認定,已完成軟件理論認定、已完成軟件實際測試等環節和手續。
二、銀行會計電算化技術風險的防范與控制
幾十年來,計算機始終保持著高速發展的趨勢。這不僅表現在電子計算機主要內部元件經歷了真空管、晶體管、集成電路、大規模集成電路發展階段,而且表現在CPU、BUS等內在功能的提高以及各種系統軟件和應用軟件不斷更新換代和升級。同時,電子計算機的應用領域越來越廣泛,認識和使用電子計算機的人員越來越多。所謂銀行會計電算化技術風險就是指在實現會計電算化過程中因技術水平不足或過高而形成的風險,這種風險具有階段性、時期性、變動性、局限性等特點。
銀行會計電算化技術風險主要反映在軟件上,尤其是應用軟件。以手工和電算化賬務處理數據流程為例,可發現因技術水平不足而對核算的影響。
電算化賬務處理數據流程圖
上述兩個結構框圖見于由中華人民共和國財政部會計司編寫的《基層單位會計電算化》(經濟科學出版社,第54頁、55頁),書中將電算化賬務處理數據流程圖視為“打破了原有手工業務流程的框框”。事實上,會計手工核算依據同一會計原始憑證進行綜合和明細二條線核算是會計不斷發展和實踐經驗的總結。相反,按照電算化賬務處理數據流程圖實現的會計核算電算化,雖然也生產出類似手工核算的綜合和明細核算賬表,但它生產出的綜合和明細核算賬表會始終保持一致,因為它已失去一條線,因此也就失去了明細核算賬表對綜合核算賬表通過兩條線記賬所實現的核對監督作用。
會計電算化技術風險還表現在因電子計算機使用人技術水平提高而利用軟件設計、開發者技術方面的局限、漏洞等作案,比如破譯電算化系統本身的防衛功能,在賬戶系統中盜用他人賬戶資金,在自動提款機上盜取他人資金等等。
控制和防范銀行會計電算化的技術風險,貫穿于電算化工作的始終。我們一是要不斷采用新技術,不斷提高使用程序版本;二是要不斷改進、變換和提高系統本身的防衛功能;三是要不斷提高數據加密水平和手段;四是要保管好重要的文檔資料。
三、銀行會計電算化操作風險的防范與控制
操作系統是計算機系統的重要組成部分,它是一種有效的管理計算機軟件資源和硬件資源的軟件。在會計電算化系統中,各單位應根據硬件的結構體系選擇適合本單位需要的操作系統。我們在這里所講的銀行會計電算化操作風險是指依附于電子計算機操作系統因操作應用軟件不當而形成的風險,這種風險具有多發性、普遍性、多樣性等特點。
銀行會計電算化擺脫了傳統的手工核算方式,同時對會計人員自身素質提出了更高的要求。從操作上看,要求業務人員必須經過一定的崗位培訓才能勝任交付的工作,同時上機時必須依規程進行操作。從思想上看,要求業務人員必須有高度自覺的安全防范觀念和高度負責的工作態度。如達不到上述要求,就會出現銀行會計電算化操作風險。
由于銀行會計電算化操作風險具有多發性、多樣性、普遍性的特點,因此,操作風險的表現形式和危害也是多種多樣的。有的屬于無意操作風險,如因工作粗心大意誤輸機、漏輸機、重輸機等,這種情況下常常會造成結算事故或給銀行經營帶來損失。有的屬于有意操作風險,這主要是銀行內部犯罪分子通過竊取他人密碼或本人通過某種操作方式,單獨或內外勾結達到侵吞國家財產、占用或騙取銀行資金的目的。操作人員這種情況下產生的操作風險,是一種犯罪行為,通常給銀行造成的損失巨大。
控制和防范銀行會計電算化的操作風險主要是通過一定的操作控制方式來實現。目前,最常見的控制方式是特殊業務通過授權完成,這種方式的缺點是不能涉及全部業務。,另一種方式是二次錄入,這種方式的缺點是監督發現問題滯后,容易失去防范有利時機。筆者比較傾向于機上覆蓋式復核同授權及二次錄入三者相結合的方式控制操作風險,所謂機上覆蓋式復核就是電腦操作也分為經辦人、復核人兩個崗位,經辦人員進行業務錄入后不能進入復核系統(會計系統),復核人員不能進入經辦系統,經辦人員的業務只有經過復核人員的要點式覆蓋,并經確認后才能進入會計系統。
四、銀行會計電算化管理風險的防范與控制
建立健全銀行會計電算化管理制度是貫徹執行會計法律、法規、規章制度,保證銀行會計工作有序進行的重要措施。良好的管理制度可以維護銀行各項資產的安全完整,防止發生損失和跑冒滴漏,防止失誤和及時糾偏,是彌補設計風險,技術風險,操作風險的重要手段。所謂銀行電算化管理風險就是指銀行在會計電算化應用過程中因管理不善而形成的風險,這種風險具有無意性、依賴性、誘導性和廣泛性等特點。
銀行會計電算化管理風險的無意性,主要是反映這種風險的產生是管理者主觀愿望所不希望的,管理者是無意的。依賴性主要是反映這種風險的產生是管理和操作者在主觀上缺乏管理控制意識,過分相信和依賴程序的邏輯檢查功能。誘導性主要是反映這種風險產生后如果不吸取教訓,如果不立即堵塞漏洞,就會有新的誘犯者。廣泛性主要是反映管理風險可能產生于任何一個環節,從人員分工到部門劃分,從前端工作站到機房主機,從常規操作到意外情況處理,從備份磁盤保管到機房防火、防潮、防盜、環境等,忽視任何一個環節都可能給銀行經營帶來嚴重的后果。
控制和防范銀行會計電算化的管理風險,離不開人們主、客觀的努力。我們一是要建立健全各項管理制度,包括會計電算化內部管理制度、會計電算化操作管理制度、計算機硬(軟)件和數據管理制度、電算化會計檔案管理制度、意外情況處理制度等;二是要加強教育,樹立管理者和操作者的風險防范觀念,提高員工遵章守紀、按規操作的自覺性;三是要建立起監督、檢查制約機制和與之配套的賞罰機制。
總之,銀行會計電算化程度的提高,無疑給商業銀行的經營帶來了極大的益處,但也給銀行經營帶來了風險。我們只有重視防范風險,才能避免風險。因此,銀行會計電算化越發展,越應重視風險的防范與控制。
[摘要]隨著信息技術的飛速發展,全球經濟向網絡經濟邁進的今天,建立高效完整的會計信息系統,實現會計電算化是大勢所趨。針對會計電算化過程中出現的一些新問題和潛在的風險,提出采取切實可行的應對措施。
隨著信息技術的飛速發展,全球經濟向網絡經濟邁進的今天,建立高效完整的會計信息系統,實現會計電算化是大勢所趨,己成為各行各業乃至國家機關、行政事業單位的當務之急。會計電算化的快速發展己不是單純的會計與計算機的簡單結合,而是已經發展成為一門延伸到通信學、企業管理學、市場運籌學、公共財政信息化等學科的綜合學科。它的推廣應用不再停留在傳統的財務管理系統上面,而是正朝著企業資源計劃管理系統“ERP”(企業管理軟件)和政府資源規化“GRP”(財政管理軟件)方向發展,甚至發展成為不同企業之間、跨地區、跨行業相互鏈接的大網絡系統及發展成為中國財政改革事業和財政信息化建設的有力武器和得力助手。先進的計算機網絡技術使信息系統實現會計電算化、管理信息化和結算網絡化,極大的提高了會計工作效率和工作質量,使會計工作由原來的手工作業發展到今天的無紙化操作,這些變革不僅給企業帶來經濟效益和社會效益,更減輕了財會人員的工作力度,促進了會計工作的規范化,為我國的管理工作的現代化奠定了基礎。但也出現一些新的問題和挑戰,潛在的風險漸漸地暴露出來?,F探討如下:
一、無紙化過程中存在的風險及應對辦法
在手工會計系統中,記賬憑證、會計賬簿及會計報表均以紙張為載體,但實現會計電算化后都是無紙化作業,這種無紙化操作,會計的各種數據易被他人任意刪改修訂且不留痕跡,而造成會計信息質量的失真。因此,應建立健全科學嚴密的會計電算化內部控制制度,保證會計數字的安全和保密。
(一)、組織控制。隨著會計電算化的超速發展,會計機構也應作相應的調整,如人員崗位責任制:人員崗位包括基本會計崗位和電算化崗位。其中,基本會計崗位為會計主管、出納、核算、稽核和檔案人員等,而電算化會計崗位則是操作員、維護人員、直接管理人員和會計軟件人員,以上兩種工作人員之間不得兼任;還要明確軟件開發人員、維護人員不能兼任操作員。并建立各崗位人員的崗位責任制度,且分工科學,責任明確,各崗位都要得到一定的授權,并用密碼控制。防止非法操作、越權操作。這樣人員互相制約和內部牽動,能防止違法行為的發生并能及時發現錯誤。
(二)、操作控制。會計電算化操作應嚴格遵循會計業務和處理流程進行,在會計軟件中設置防止重復操作、遺漏操作和誤操作的控制程序,違反操作規程和操作時間應及時予以提示和制止;建立操作日志制度。計算機程序中應對所有操作留有記錄,包括操作時間、操作人員姓名、操作內容等。對已記賬和已結賬業務設置不可修改或逆操作程序,要修改必須通過編制記賬憑證沖正或補充登記來更正。以保證會計數據的完整性、真實性。
(三)、數據輸入(出)控制。會計電算化系統主要是由數據整理、數據輸入、數據處理、數據通訊、數據保存、數據輸出幾個部分構成。在這些環節中分析出現風險的可能性;分析系統設計過程中是否在實現各個功能時嵌入相應的內部控制措施;嵌入的內部控制措施是否發揮作用;對于一些潛在的可預見風險是否在系統中采取預防措施;是否對不可預見風險的處理留有系統空間等等。由此保證各個環節的數據準確、有效和全過程會計電算化的安全完整。在會計電算化工作中,電腦中原始數據是由人工事先進行審核和確認后輸入計算機內,因而自動處理數據的準確性完全依賴原始數據輸入時的準確性。會計資料是單位的絕對機密,一旦泄漏將給單位帶來不應有的損失,而磁性介質的可復制性又使會計資料極易泄漏而不易發現,故會計電算化系統的輸出不論是磁性文件還是打印資料,輸出后均應立即受到嚴格管理,以防被人竊取或篡改。磁性資料應由會計檔案保管員負責保管;打印資料在系統的操作日志上有所記錄后(包括記錄輸出時間、文件頁數及操作人員姓名)及時送達指定人手中;收件人要簽收并注明收件日期、文件內容,以便日后備查;確保會計數據和會計軟件的安全保密,防止對數據和軟件的非法修改和刪除,對磁性介質存放的數據要保存雙備份。所以一切數據的輸入(出)過程都必須規范化,并保持數據的準確性,才能保證會計信息質量的真實、完整和準確。
(四)、硬件與軟件系統的開發與維護控制。會計電算化包括需求分析、系統的設計和測試、系統的運行與維護以及系統文檔資料的保管等,即對正在使用的會計核算軟件進行修改、升級和硬件設備的更換,要有一定的審批手續,要保證會計數據的連續和安全,并由有關人員監督實施。要保證機房設備的安全和計算機的正常運行,健全排除硬件與軟件系統故障的管理措施,保證會計數據的完整性。
二、網絡環境的開放性所帶來的會計信息失真的風險與應對措施
在網絡環境下,信息的來源具有多樣、多渠道性,而大量會計信息大多是通過網絡通訊線路傳輸,這樣網絡信息就有可能被非法分子或別有用心的人攔截、竊取或篡改,網絡信息時常會遭到“病毒”和“黑客”的入侵,使網絡不得不暫停服務,還有在利益的驅動下違背誠實信用原則,在網上亂盜他人或其他單位(企業)的機密文件和重要資料等等,這些都會使企業蒙受損失,增加風險,其應對措施是:
(一)、實行數據通信控制。實施互聯網技術,進行遠程記賬憑證輸入,遠程報表及遠程監控便于網絡控制。系統在數據通信時,面臨著因線路、設備故障導致數據丟失及被不法分子人為的攔截泄密的風險,因此要在傳輸過程中采用數據加密,回響檢查等技術手段進行會計電算化的規范管理。
(二)、加強會計電算化保密控制。保密控制主要是保證會計電算化的程序、會計數據不被借用、濫用和非法使用。由于電算化系統的特殊性,為了防止非法進入財務管理系統和修改數據庫風險的發生,可采取設置程序保密控制,文件密碼存儲控制,用戶進入操作系統的口令控制等措施,以保證在電算化過程中會計程序數據的安全。
(三)、健全會計電算化內部定期檢查制度。對會計資料定期或不定期檢查,主要檢查會計電算化賬務處理正確與否,看是否遵照會計法規行事,審核費用簽字是不是符合本單位的內控制度要求,憑證附件是否完整等;審查計算機內部數據與書面資料的一致性,查看賬冊內容,做到賬冊相符,對不符合要求、錯誤的賬表要及時糾正和調整。要監督電算化過程中數據保存形式的安全性、合法性,防止非法刪除、修訂和篡改歷史會計數據及對電算化系統運行各環節進行檢查,防止出現漏洞。
(四)、加強法制建設。計算機犯罪具有智能化、隱蔽化的特點。我國雖已采用各種技術防止外部入侵攻擊,但“病毒,,屢屢得逞,因此加強網絡法制建設,加大網上執法力度,對不法分子的不法行為進行打擊以起到威懾作用已迫在眉睫。還應配備殺毒軟件,定期或不定期的查“毒”、殺“毒”。
三、會計信息系統應用軟件自身存在的問題及解決的途徑
當前電子商務尚處在初始階段,跟不上網絡信息技術的飛速發展。會計信息系統使用的軟件還存在不少問題,最明顯的是網絡用戶不夠普及,沒有形成大的網絡系統,各軟件公司出于本身利益的考慮,不對外公布軟件內部數據接口,導致信息無法大范圍的交流、傳輸;網上法制建設尚不完善;給犯罪分子可乘之機。其解決的途徑:
(一)、開發商與用戶應加強在線測試。在軟件開發和應用過程中,開發商與用戶應加強交流,充分測試。例如,用戶通過網絡向開發商提出要求或建議,開發商通過網絡把軟件傳送給用戶。雙方在軟件應用過程中應注意監控,及時發現并解決問題。開發商可通過網絡對用戶的系統進行定期在線測試,一旦發現問題,應進行升級,以便提高系統運行的安全性。
(二)、建立賬表系統?,F在市場上使用的財務軟件普遍是財務系統和報表系統,作為兩個獨立的模塊獨自處理,它不利于雙向性查詢和確定性查詢。按照財務軟件的模塊化設計原則,對系統模塊劃分要求模塊具有最大獨立性,將財務系統和報表系統合二為一,建立賬表系統,以回避自身存在的風險。
(三)、注重會計電算化軟件的開發和人才的培養及技術培訓。隨著會計電算化的普及和廣泛運用,更多的潛在風險會有所暴露,這就要求我們要注重會計電算化軟件的開發和人才的培養并加強技術培訓。為此,要充分利用計算機技術和會計知識,制定科學的會計綜合體系和會計電算化軟件發展規劃,選拔優秀的計算機人才,開發適合行業內部需要的會計電算化軟件,向大規模數值計算的專用軟件,面向問題和過程分析及判斷推理的高層次軟件綜合開發階段邁進。建立一套完善的計算機輔助管理專家系統和智能系統,使計算機在會計管理工作中的應用向更廣泛更深層次發展,實現單位自己的智能化信息與專家系統的會計電算化發展的新路子。會計電算化工作的關鍵是應用。經常參加計算機技術展示會和計算機培訓班,全面了解科技信息和開發信息資源的重要性,提高對計算機的感性和理性認識,充分認識計算機技術的先進性、可靠性及在管理工作中所起到的重要作用。把計算機同現代化的管理科學融合在一起,開發出經濟實用的計算機軟件系統和更高水平的計算機處理系統及培養出大批能從事會計電算化工作的復合型人才,才能回避會計電算化工作中的各種風險。
隨著網絡和電子商務的發展,會計信息的安全問題越來越突出,必須采取相應的防護措施,保證電算化系統安全穩定的運行。
一、會計電算化系統存在的安全風險
會計電算化系統的安全性是指電算化系統保持正常穩定運行,系統數據信息保持安全和完整。會計電算化的安全性一直是系統設計者考慮的問題,同時也是系統用戶最為擔心的問題,其安全風險表現在以下幾方面:
1.會計信息數據的失真。
會計信息是對企業生產經營活動的綜合反映,滿足企業的內部管理和外部相關部門和個人的需要,信息的質量直接影響到企業的經營管理和預策、決策。會計信息的真實、完整和準確是對會計信息的基本要求,一旦會計信息系統的安全受到損害,最為直接的就是會計數據的錯誤、數據的丟失或被篡改,致使信息失真,這里的不安全因素表現為:一是硬件缺陷,如計算機硬盤的損壞而又沒有數據備份的情況下造成數據丟失。二是人為的誤操作和有意破壞,造成數據丟失和被篡改。三是外部環境如操作時停電或處于磁場環境磁盤被磁化造成數據丟失。另外在電算化網絡環境下,一些非法用戶的侵入或數據在網絡的傳輸中數據被截取和篡改,也將造成信息的不安全。
2.企業資金結算的安全問題。
在網絡經濟的電子商務環境下,企業經營越來越依賴于客戶,企業在網上的財務活動日益增多,如網上定購、網上銷售、網上結算、網上理財、網上證券投資及外匯買賣等,買賣雙方都是不謀面的信息交流,完全憑借雙方的信譽進行交易活動,這樣企業就面臨著財務結算的安全問題,一些非法用戶侵入他人的計算機系統,通過網絡傳輸非法轉移電子資金及通過竊取密碼盜竊銀行存款,致使企業資金面臨安全風險。
3.企業重要信息的泄露。
信息技術高速發展的今天,信息在企業的生產經營管理中變得越來越重要,決定著企業在激烈的市場競爭中的成敗。因此利用高科技手段非法竊取企業機密,是構成企業系統安全風險的重要形式。如在網絡環境下,財務信息傳遞完全借助于網絡進行,財務信息被截取和篡改或泄露成為不可避免的問題,特別是網絡黑客非法侵入網絡用戶或程序,捕獲信息或通過竊取系統合法用戶口令、密碼,以此合法登陸,實現非法的目的,獲取重要商業秘密,將給企業造成不可估量的損失。
4.計算機病毒侵襲造成系統無法正常運行。
計算機病毒可以破壞計算機內的程序、數據,甚至破壞硬件,計算機病毒可以通過磁盤、光盤、網絡和電子郵件進行傳播,如以前出現的一種CIH的惡性病毒,直接攻擊、破壞硬件系統,主要傳染Windows95/98的可執行程序,極大威脅著系統的安全。病毒的隱蔽性強,傳播范圍廣,破壞力大,對電算化信息系統及遠程網絡傳輸的安全構成極大的威脅。
二、保證會計信息系統安全性的防范策略
1.建立健全會計電算化管理制度。
建立健全會計電算化管理制度,是確保會計核算操作安全,及時、準確提供會計信息的根本保證,是實現企業會計電算化的前提。制度的建設,包括內部控制制度和宏觀管理制度及參與國際安全協議的方面。內部控制制度包括人員管理制度、操作制度、安全保密制度、會計檔案管理制度及內控制度,它們對系統的正常運行,會計信息的真實可靠可起到一定的保障作用。宏觀管理制度包括會計軟件管理制度和法規,電算化網絡管理制度及防止和打擊網絡犯罪法規等,通過建立宏觀管理制度,可以加強對上市的商品化會計軟件管理,有效打擊網絡犯罪,懲治網絡黑客。為了保證Internet網絡的安全和用戶的利益不受侵犯,國際上相繼制定了系列安全協議,如安全電子交易規范、安全的超文本傳輸協議等,這些協議對規范網上行為起到了一定的促進作用。我國面臨著加入世貿組織,應加快推進安全協議制度的實施和完善,以降低電算化網絡的風險。
2.建立必要的防護措施。
為了保證會計信息的真實、完整和安全,除了建立健全管理制度以外,還要建立必要的防護措施。
(1)在財務軟件中增加安全功能。會計電算化軟件各層數據處理應層層設防,在軟件功能上增加必要的提示功能、檢驗功能和限制功能,要防止操作失誤造成數據破壞,操作人員進入系統要設置口令和密碼,以防無關人員非法進入。系統各模塊也要設置相應的口令,并對系統操作人員進行授權,防止無權人員的操作。在系統中應建立起“操作日志”,記錄所有人員對系統所做的操作,包括操作的時間、操作人員姓名、操作內容等,這樣一旦出現問題,可以依據“操作日志”所提供的線索,對有關人員進行核查。
(2)建立預防病毒的安全措施。為了防止病毒的侵襲,要堅持使用正版軟件,不能使用盜版或來路不明的軟件,對外來的軟盤要先進行病毒檢測,方可在計算機中使用;在計算機中裝入防病毒軟件,這樣在開機時進行時實控制,對硬盤進行病毒檢測,及時發現并殺死病毒;定期備份數據和文件;不打開和閱讀來歷不明的電子郵件等。
(3)建立必要的技術防護措施。為了防止非法用戶和黑客的侵入,可以通過設置防火墻、采用身份識別系統等技術防護措施,將非法用戶拒之網絡之外,面對重要商業秘密泄密的問題,可以對軟件的重要信息采用加密技術,以防重要信息在傳輸過程中被泄露。
(4)加強對會計電算化系統使用人員進行安全教育。系統使用人員特別是系統操作人員樹立安全意識,要加強計算機、通訊和網絡理論知識的學習,提高業務素質,還要樹立良好的職業道德,自覺遵守各種操作規章制度和操作規程,防止工作中出現不必要的失誤。
如何在3G時代進行會計電算化風險管理,在理論界尚且空白。本文擬對3G電算化會計風險防范的基本原則及措施進行研究,歡迎大家批評指正。
一、3G時代,電算化風險解析
3G時代的會計電算化已經進化到純網絡時代,數據的保存和管理全部儲存在網絡服務器中,業務主管可以在全球任何一個角落進入企業的數據系統進行操作和管理。這也意味著黑客可以在全球任何一臺計算機上入侵電算化系統,修改或盜取企業的會計核心數據。如此一來,會計信息的可靠性、可比性、及時性等質量要求將面臨巨大挑戰。
(一)網絡安全風險
3G時代,各企業網絡均實時接入Internet(互聯網,下同),這就意味著企業會計電算化系統必須承受來自互聯網的外部攻擊以及內部網絡風險,據國內知名信息網絡安全廠商金山公司2009年《互聯網安全報告》數據表明,2009年,僅金山“云安全”中心就監測發現新病毒2 068萬余個,導致7 640萬臺電腦感染病毒。通過木馬或后門侵入公司會計電算化系統竊取財務資料絕非只是電影里藝術化的場景。如果對網絡風險的防范措施不當,會計電算化數據被惡意更改,內容失真,資料遺失,或嚴重泄密,必然會對企業財務信息的可靠性造成惡劣影響。
(二)操作系統漏洞
電算化產品往往基于一定的操作系統,操作系統除了我們最熟悉的微軟windows系列之外,還有unix/linux、蘋果OS等其他操作系統。建立于同一操作系統的會計軟件方能達到會計信息可比性要求,不同操作系統的會計電算化系統一般互相無法兼容,會計數據的可比性難以實現。
同時,由于操作系統本身的漏洞,致使會計電算化系統存在重大安全隱患,掌握一般攻擊技術的人都可能入侵得手,會計信息的可靠性得不到保證。
(三)應用安全風險
眾所周知,會計電算化中,紙質憑證需由操作員手工錄入,在這一過程和會計信息日常管理中,其風險為:
1.誤操作風險,即合法操作人員在正常操作中所發生的風險,如數據錄入不及時,數據錄入金額錯誤,合法數據被誤刪除等,其發生的機率不大,危害性卻不小。數據一但進入電算化系統,出于對電腦的盲目信任,很少還有人根據原始憑證去審核其一致性,所以不少企業到年終決算或幾年后才發現某一數據的差錯。
2.不能操作的風險。如系統故障,電腦或網絡硬件損壞、網絡服務器受損等。一旦出現不能操作的相關狀況,輕則一兩天不能進行正常的會計核算工作,重則造成資金款項不能正常結算等重大事故。
3.被惡意操作的風險。常見的有:非授權用戶的訪問、通過口令猜測或盜用正常操作者的口令和加密硬件的方式,強行劃轉企業銀行資金;獲得系統管理員權限、通過數據庫服務器本身漏洞進行數據篡改等。和誤操作不同的是,通過惡意修改會計數據,可以讓非法的會計數據顯得合法,如重復記賬、數據篡改、非本周期會計數據強行入賬等。由于電算化系統的特點,數據一旦被非法更改,很難發現,要查找作案者也非常困難。
4.信息泄露的危險。除黑客、病毒的攻擊外,因為辦公網絡應用通常是共享網絡資源,可能存在著員工有意、無意把硬盤中重要信息目錄共享,可能被外部人員輕易偷取或被內部其他員工竊取并傳播出去造成泄密,或者將數據保存到U盤中卻不慎遺失,也有備份數據被非法調閱甚至盜竊等。這些都是因為缺少必要的訪問控制策略。
(四)管理體系隱患
1.忽視復核崗位。內部控制原則要求不相容職務要進行分離,按此原則會計電算化系統的數據錄入和復核應當不少于2人,但是不少企業實行電算化后,卻并不設置這一傳統崗位,數據信息由操作員自錄自審,其真實性和可靠性難以保證。
2.操作權限混亂。計算機管理原則要求,不同的操作人員應該有不同的計算機操作權限,如是否能復制數據,更改系統,查看核心服務器狀態等,但多數企業為了管理上的方便,授予了部分操作者不應有的高級別系統管理權限,可以輕易獲取并更改計算機和網絡的關鍵設置,這也使會計信息質量要求在會計電算化管理中無法保證。
3.密碼設置過于簡單。電算化軟件管理原則要求,應設置健全的密碼體系,如開機密碼、系統密碼、電算化操作員角色密碼等,同時對密碼的長度和復雜程度都有一定的要求。但不少單位會計電算化管理人員或員工圖方便省事,不設置用戶口令,或者設置的口令過短和過于簡單,導致很容易被破解;或者責任不清,使用相同的用戶名、口令,導致權限管理混亂等,造成會計信息質量要求在會計電算化管理中難以實現。
二、電算化風險管理基本原則
通過會計電算化風險解析所談到的大量風險點,我們應該深深體會到3G時代的會計電算化風險管理應該上升到一個新的高度。在3G已經向4G發展的高速無線網絡時代,具有綱領性質的電算化風險管理基本原則的建立正當其時,筆者總結如下:
(一)整體性原則
整體性原則又可分為2個方面:一是全體性原則,指整個企業全員列入電算化安全防范體系,絕對不允許任何一個特權人員或非受控人員的存在。即便是企業高層管理人員,仍然只能給予應有的操作權限,只能查閱的絕不授予修改權限,只能操作的絕不給予系統管理權限;再如計算機管理人員,已經有較高的計算機管理權限,就絕不能再有電算化系統操作權限。二是全面性原則,指電算化風險管理體系的建立,要充分考慮整個企業信息保密、數據傳遞、業務運營、電算化系統運行等多方面的要求,在綜合會計管理原則、計算機系統管理要求、各部門軟件運行及數據傳遞規范等多方面管理體系的情況下,建立一套整體性的風險管理機制。各部門各行其是,或偏重一點而不注重整體規劃,是不可取的。
(二)普遍性原則
普遍性原則,指整個企業全員應給予同等必要的電算化安全知識培訓,不留空白。一些管理者認為電算化系統的安全取決于企業計算機安全保障力量的強弱,卻不明白普通員工安全意識的提高同等重要。對不同權限的操作人員,要組織有針對性的安全知識培訓。
(三)標準性原則
所謂標準性原則,是指會計電算化系統的開發要能適應多個操作系統,數據的保存和采集要能通用于不同的操作系統或應用平臺。
電算化的發展過程也證明了這一點,從最初的各單位自主開發,到有統一電算化軟件公司的出現;從系統的單一會計應用,到企業的綜合性管理平臺;從內部單機的不可聯網,到互聯網共通共享,都充分說明了標準性原則的重要性。
而且標準性原則必須貫穿于企業會計電算化對內對外的各種應用中去,只有標準化,才能高效的助推企業的發展。
(四)專業性原則
專業性原則,指整個企業的電算化風險管理體系一定要由專業部門或公司來規劃。如果企業自身有較強的風險管理力量,可以由這一部門或人員來制定相關防范機制;如果企業自身沒有這一能力,則務必訂購專業產品和方案。企業如果具有相當經營規模,業務的發展進入了上升通道,邀請專業風險管理(又稱安全保障)公司或人員為公司量身定做電算化風險管理體系就顯得更加重要。
(五)延伸性原則
延伸性原則即電算化風險管理系統要跳出企業內網,延伸到公共網絡及手機等移動通信設備。如很多管理者由于工作需要,長期隨身攜帶筆記本進行辦公操作,喜歡在家庭、機場、賓館等公共網絡環境下接入辦公網或電算化系統。這些地方網絡安全條件顯然遠低于企業內部網絡,同時由于大部分人不喜歡設置開機密碼、系統密碼,也不習慣對重要資料加密,口令一旦被破解或筆記本電腦遺失,后果十分嚴重。
所以,無論在任何時候、任何地方使用電腦,只要員工需要接入電算化系統或辦公系統,就需要按照企業電算化風險管理體系自覺進行相關規范化操作。如需要在家中上網操作,按企業要求對網絡和電腦進行相關安全設置;如需要用U盤攜帶重要資料,按企業規定進行加密處理等等。同時,對于長期需要從外部網絡登陸企業電算化系統的人員,企業應記錄在案,進行技術培訓和安全警示(或規范)。
三、會計電算化風險管理對策
(一)利用軟硬件防護
通過硬件設備加強網絡安全風險防范,抵御形形色色病毒對會計電算化系統的攻擊,保證會計信息質量。不論內網還是外網,均需通過路由器、交換機等網絡設備連接各臺計算機或接入Internet。網絡風險防范的關鍵點就在于硬件設備的網絡設置,這就要求企業在建立會計電算化系統時采用充分或有效的安全配置,及時填補安全漏洞,關閉一些不需要的服務等,這樣可以減少或杜絕來自內外部網絡的攻擊和探察。同時,必須進行各網絡節點的防火墻設置,阻攔入侵者,同時使其即便侵入內部網,要找到所需數據也非常困難。
(二)實行內、外網物理隔離
企業會計電算化系統與Internet間必須采取嚴密的安全防護措施。企業必須實行內、外網物理隔離。為確保會計信息系統安全,嚴禁將會計電算化系統內網的計算機接入互聯網;訪問互聯網的計算機必須與會計電算化系統內網物理隔離。只有會計電算化內網和外網分離,才能保護會計電算化系統不易遭到來自外網一些不懷好意的入侵者的攻擊。
(三)建立會計電算化內部控制制度
實行會計電算化后,一些傳統的核對、計算、存儲等內部會計控制方式均被計算機內部控制方式輕而易舉地替代,如總賬和明細賬都由計算機根據審核后的會計憑證自動登記和歸集,取消了手工條件下二者的核對工作,但同時記賬憑證的審核工作變得更加重要。企業應對記賬憑證的審核實行除在計算機系統內簽字確認外還要求在打印的會計憑證上蓋章確認,增強正確性和完整性的審核,保證會計信息的質量和可信度。另外,應制定嚴密的計算機操作管理制度,包括會計軟件的操作工作內容和權限,操作密碼的管理規定,保存上機操作記錄,計算機病毒的防范措施,會計電算化系統維護管理等制度。
(五)做好會計信息資料備份及數據系統恢復工作
2006年“熊貓燒香”病毒的發作,造成大量用戶電腦資料毀滅,花費大量資金仍然難以恢復。最新的電算化系統可以實現數據在Internet網絡服務器和本地計算機雙重備份,安全性提高了很多。但數據備份和保存的重要性仍然沒有降低,企業應堅持每周甚至每天備份會計數據,做好數據信息存儲介質保管工作,在關鍵時間點上的備份甚至應該采取雙備份策略。另一方面應建立會計信息系統風險應對機制,操作系統上要有快速的系統恢復功能。
(六)嚴格實行權限管理
權限管理包括權限分配和用戶名及密碼管理兩個方面,在分工時,對職權不相容的崗位應進行明確分工,不得兼任,做到相互牽制、相互制約,職權分離,使會計人員和各級管理者在權限內開展工作;在權限等級管理中,應制定各環節密碼設置和重要資料加密規范,保管好相關口令和加密硬件,口令密碼必須不定期地更換,確保企業會計信息系統和資金安全。