摘要:会计电算化是事业单位会计工作改革的一项重要内容。本文借助项目风险管理的理论,构建了事业单位会计电算化项目风险管理框架,并详细分析了事业单位会计电算化项目的风险因素,提出了相应的风险应对措施。为即将实施会计电算化项目的单位提供了有益借鉴。
关键词:会计电算化 风险管理 风险应对
随着信息技术的高速发展,计算机已经逐步在我国部分事业单位得到广泛应用,会计电算化在实现了工资管理、往来账目等日常会计工作自动化的同时,不仅提高了财务工作的效率,降低了部分人为工作的不确定性,而且能够实现事业单位对财务管理的规范化,增强了对财务工作的监控能力。因此,我国越来越多的行政事业单位开始展开会计电算化项目。然而,一个项目的顺利实施不仅仅要看到其所带来的效益,还应该在项目实施之初考虑项目可能产生的风险,并通过对项目风险的把控,保证项目的顺利开展。作为还未开展会计电算化的事业单位,应该在什么时候开展,在开展中需要遵从什么样的管理步骤,在实际应用中需要避免什么样的风险才能保证会计电算化项目的顺利实施则是财务管理人员所必须了解的一项重要内容。
一、风险管理的基本理论
项目风险是在项目管理活动或事件中消极的、项目管理人员不希望的后果发生的潜在可能性。由于项目的一次性、创新性和独特性等特性,任何一个项目都是有风险。
目前,通用的项目风险管理系统模型由以下四个部分组成,即风险规划、风险分析、风险应对和风险监控。
(一)风险规划
风险规划主要是对项目实施过程中风险管理工作的整体计划和安排,是后续工作的基础。
(二)风险分析
风险分析包括风险识别、风险估计和风险评价。即通过风险识别找出影响项目质量、进度、费用等目标顺利实现的主要风险,然后对风险发生的概率和产生的影响进行估算,最后对风险度进行评价、排序。通过风险分析可以确定项目的关键风险、主要风险,以便项目管理者能够集中精力和资金对项目的风险进行应对。
(三)风险应对
风险应对是指项目管理者采用多种措施和方法降低风险发生的概率、减少风险发生后造成的损失。目前,传统的风险应对的措施和方法包括:风险回避、风险转移、风险自留等。
(四)风险监控
风险监控是通过对项目实施过程中的可能出现风险的监视,提出相应的解决措施,包括重新规划、在此分析等。项目的风险管理不是一次性工作,通过风险监控将风险管理构成了闭环控制,更满足项目的实际实施环境。
以上四个部分中,风险的分析与应对是项目风险管理系统的核心。因此,本文就以风险分析与应对为基础对事业单位会计电算化项目的风险管理框架进行探讨。
二、事业单位会计电算化项目的风险管理框架
(一)会计电算化项目的风险分析
1、风险识别
找到风险是风险分析和管理的前提和基础。因此风险识别虽然多采用定性分析,但却尤为重要。事业单位会计电算化项目中的风险可以总结为以下几个种类:
会计电算化实施中制度不健全的风险。制度建设是任何工作正常开展的必要保证。如果内控制度薄弱,普通操作人员在未经授权的情况下就能对财务数据进行篡改,则必然会造成管理上的混乱,不仅使会计电算化不能得到高效、有序的使用,而且还可能导致作假舞弊等更大的潜在风险,给单位和个人造成巨大的损失。
会计电算化实施中软、硬件配置不当的风险。由于自主开发的成本过高,目前,很多事业单位各自从市场上购买会计软件并配置相应的硬件设备。这样,可能产生由于过分追求低成本,或项目组成员考虑问题不周全而购买了质量和后续服务都较弱的软、硬件产品,而造成很多重要财务功能无法实现,电算化目标无法达到等风险的发生;相反,如果忽视单位自身需求,而盲目追求软硬件产品的新、贵、全,则会导致购买的产品很多功能没有必要,造成资源的极大浪费。
2、风险估计与评价
目前,传统的风险估计的方法包括:主观评分法、决策树法(Decision Tree Analysis)、层次分析法AHP (the Analytiwal Hierarchy Process)、模糊风险综合评价(Fussy Comprehensive Evaluation)、故障树分析法FTA(Fault Tree Analysis)和蒙托卡罗模拟法(Monte Carlo Simulation)等,事业单位可以根据自身的业务特点,对开展会计电算化项目的风险进行评估。
(二)会计电算化项目的风险应对
根据项目风险分析的结果,本文提出了事业单位会计电算化项目的风险应对措施。
健全会计电算化的各项制度。包括资料管理制度,强调专人专管,确保会计电算化项目的顺利开展;安全管理规范,确定不同使用人员的权限,避免财务数据的不正常浏览和篡改;
培训会计电算化的重要人才。包括本单位相关人员对会计电算化的认识的普及型培训;包括对电算化项目使用人员的专业化培训;通过培训提高人员电算化的意识、态度和实际操作技能。
合理配置会计电算化的软硬件环境。全面分析本单位的业务流程和发展的趋势,广泛调研省市内相关单位会计电算化使用情况,结合未来几年计算机及软件发展的可能,采取内部邀请招标的方式配置单位的会计电算化的软硬件环境。
三、总结
项目的风险管理是项目成功实施的重要保证。通过对事业单位会计电算化项目的风险管理框架的探析,能够为准备开展会计电算化的单位成功实施并完成项目提供一定的参考依据。
会计电算化是电子计算机技术、信息技术和现代会计技术相结合的产物,是会计工作发展的方向。在我国,银行会计电算化起步较早、发展较快,从信用卡自动提款到票据自动清分,从储蓄通存通兑到汇兑天地对接,从银行证券联网到网上银行,银行会计电算化包含的业务越来越多,囊括的范围越来越广,辐射的空间越来越大。面对飞速发展的银行会计电算化现实,我们研究和探讨银行会计电算化的风险防范与控制有着十分重要的意义。
一、银行会计电算化设计风险的防范与控制
银行会计电算化从发展过程看,通常分为会计核算电算化、会计管理电算化、会计决策电算化三个阶段。这三个阶段是由低到高的递进过程。每一阶段电算化的实现都离不开一定的物质基础——电子计算机系统,包括硬件、软件。所谓银行会计电算化设计风险就是指在实现会计电算化过程中因考虑不周而形成的风险,这种风险具有弥补困难、花费大、有一定潜伏期、影响全局等特点。设计风险表现的形式、反映的问题多种多样。有的反映在硬件上,比如内存不足,这主要是当初会计电算化仅考虑某个部门、某种业务,而没有用发展的眼光从战略的角度来选择使用硬件设备。有的反映在软件上,比如软件设计功能欠缺,这主要是程序开发人员不熟悉、不把握业务人员实际需求或业务人员对电脑所提需求被遗漏、监督认定不够造成的。
在实际中,反映在软件上的设计风险要比反映在硬件上的设计风险更常见。以某行开发使用的信用卡业务核算系统为例,该行应用程序的开发是委托深圳一软件公司,开发时由于仅从信用卡业务考虑,结果造成该系统会计核算的“单腿跳”,所出的账表无法满足会计核算的规定和要求,给信用卡业务会计核算和监督工作带来了很大麻烦,并被政治修养不高的员工钻了空子,造成了该行经营的较大损失。再比如全球都在关注的电脑“2000年问题”,这也可以归入设计风险,如果解决不好,将直接对银行会计核算造成重大影响,给银行经营带来直接或间接损失。
“凡事预则立,不预则废”,控制和防范会计电算化的设计风险,重点应放在事前。实际工作中,我们一是要注重硬件选择的长远性,必须经过技术论证、业务发展论证;二是要注重会计软件开发的规范性,必须在符合现行会计法规的前提下满足实际业务需要;三是要注重会计软件开发的前瞻性,必须充分估计以后可能出现的变动,必须考虑解决可能出现问题的方法,必须提供灵活多样的参数维护手段;四是要注重会计软件开发的科学性,必须有编制规范及内容齐全的文档资料,必须留有必要的数据接口和程序接口;五是要注重会计软件开发、推广的程序性,必须有开发需求认定,已完成软件理论认定、已完成软件实际测试等环节和手续。
二、银行会计电算化技术风险的防范与控制
几十年来,计算机始终保持着高速发展的趋势。这不仅表现在电子计算机主要内部元件经历了真空管、晶体管、集成电路、大规模集成电路发展阶段,而且表现在CPU、BUS等内在功能的提高以及各种系统软件和应用软件不断更新换代和升级。同时,电子计算机的应用领域越来越广泛,认识和使用电子计算机的人员越来越多。所谓银行会计电算化技术风险就是指在实现会计电算化过程中因技术水平不足或过高而形成的风险,这种风险具有阶段性、时期性、变动性、局限性等特点。
银行会计电算化技术风险主要反映在软件上,尤其是应用软件。以手工和电算化账务处理数据流程为例,可发现因技术水平不足而对核算的影响。
电算化账务处理数据流程图
上述两个结构框图见于由中华人民共和国财政部会计司编写的《基层单位会计电算化》(经济科学出版社,第54页、55页),书中将电算化账务处理数据流程图视为“打破了原有手工业务流程的框框”。事实上,会计手工核算依据同一会计原始凭证进行综合和明细二条线核算是会计不断发展和实践经验的总结。相反,按照电算化账务处理数据流程图实现的会计核算电算化,虽然也生产出类似手工核算的综合和明细核算账表,但它生产出的综合和明细核算账表会始终保持一致,因为它已失去一条线,因此也就失去了明细核算账表对综合核算账表通过两条线记账所实现的核对监督作用。
会计电算化技术风险还表现在因电子计算机使用人技术水平提高而利用软件设计、开发者技术方面的局限、漏洞等作案,比如破译电算化系统本身的防卫功能,在账户系统中盗用他人账户资金,在自动提款机上盗取他人资金等等。
控制和防范银行会计电算化的技术风险,贯穿于电算化工作的始终。我们一是要不断采用新技术,不断提高使用程序版本;二是要不断改进、变换和提高系统本身的防卫功能;三是要不断提高数据加密水平和手段;四是要保管好重要的文档资料。
三、银行会计电算化操作风险的防范与控制
操作系统是计算机系统的重要组成部分,它是一种有效的管理计算机软件资源和硬件资源的软件。在会计电算化系统中,各单位应根据硬件的结构体系选择适合本单位需要的操作系统。我们在这里所讲的银行会计电算化操作风险是指依附于电子计算机操作系统因操作应用软件不当而形成的风险,这种风险具有多发性、普遍性、多样性等特点。
银行会计电算化摆脱了传统的手工核算方式,同时对会计人员自身素质提出了更高的要求。从操作上看,要求业务人员必须经过一定的岗位培训才能胜任交付的工作,同时上机时必须依规程进行操作。从思想上看,要求业务人员必须有高度自觉的安全防范观念和高度负责的工作态度。如达不到上述要求,就会出现银行会计电算化操作风险。
由于银行会计电算化操作风险具有多发性、多样性、普遍性的特点,因此,操作风险的表现形式和危害也是多种多样的。有的属于无意操作风险,如因工作粗心大意误输机、漏输机、重输机等,这种情况下常常会造成结算事故或给银行经营带来损失。有的属于有意操作风险,这主要是银行内部犯罪分子通过窃取他人密码或本人通过某种操作方式,单独或内外勾结达到侵吞国家财产、占用或骗取银行资金的目的。操作人员这种情况下产生的操作风险,是一种犯罪行为,通常给银行造成的损失巨大。
控制和防范银行会计电算化的操作风险主要是通过一定的操作控制方式来实现。目前,最常见的控制方式是特殊业务通过授权完成,这种方式的缺点是不能涉及全部业务。,另一种方式是二次录入,这种方式的缺点是监督发现问题滞后,容易失去防范有利时机。笔者比较倾向于机上覆盖式复核同授权及二次录入三者相结合的方式控制操作风险,所谓机上覆盖式复核就是电脑操作也分为经办人、复核人两个岗位,经办人员进行业务录入后不能进入复核系统(会计系统),复核人员不能进入经办系统,经办人员的业务只有经过复核人员的要点式覆盖,并经确认后才能进入会计系统。
四、银行会计电算化管理风险的防范与控制
建立健全银行会计电算化管理制度是贯彻执行会计法律、法规、规章制度,保证银行会计工作有序进行的重要措施。良好的管理制度可以维护银行各项资产的安全完整,防止发生损失和跑冒滴漏,防止失误和及时纠偏,是弥补设计风险,技术风险,操作风险的重要手段。所谓银行电算化管理风险就是指银行在会计电算化应用过程中因管理不善而形成的风险,这种风险具有无意性、依赖性、诱导性和广泛性等特点。
银行会计电算化管理风险的无意性,主要是反映这种风险的产生是管理者主观愿望所不希望的,管理者是无意的。依赖性主要是反映这种风险的产生是管理和操作者在主观上缺乏管理控制意识,过分相信和依赖程序的逻辑检查功能。诱导性主要是反映这种风险产生后如果不吸取教训,如果不立即堵塞漏洞,就会有新的诱犯者。广泛性主要是反映管理风险可能产生于任何一个环节,从人员分工到部门划分,从前端工作站到机房主机,从常规操作到意外情况处理,从备份磁盘保管到机房防火、防潮、防盗、环境等,忽视任何一个环节都可能给银行经营带来严重的后果。
控制和防范银行会计电算化的管理风险,离不开人们主、客观的努力。我们一是要建立健全各项管理制度,包括会计电算化内部管理制度、会计电算化操作管理制度、计算机硬(软)件和数据管理制度、电算化会计档案管理制度、意外情况处理制度等;二是要加强教育,树立管理者和操作者的风险防范观念,提高员工遵章守纪、按规操作的自觉性;三是要建立起监督、检查制约机制和与之配套的赏罚机制。
总之,银行会计电算化程度的提高,无疑给商业银行的经营带来了极大的益处,但也给银行经营带来了风险。我们只有重视防范风险,才能避免风险。因此,银行会计电算化越发展,越应重视风险的防范与控制。
[摘要]随着信息技术的飞速发展,全球经济向网络经济迈进的今天,建立高效完整的会计信息系统,实现会计电算化是大势所趋。针对会计电算化过程中出现的一些新问题和潜在的风险,提出采取切实可行的应对措施。
随着信息技术的飞速发展,全球经济向网络经济迈进的今天,建立高效完整的会计信息系统,实现会计电算化是大势所趋,己成为各行各业乃至国家机关、行政事业单位的当务之急。会计电算化的快速发展己不是单纯的会计与计算机的简单结合,而是已经发展成为一门延伸到通信学、企业管理学、市场运筹学、公共财政信息化等学科的综合学科。它的推广应用不再停留在传统的财务管理系统上面,而是正朝着企业资源计划管理系统“ERP”(企业管理软件)和政府资源规化“GRP”(财政管理软件)方向发展,甚至发展成为不同企业之间、跨地区、跨行业相互链接的大网络系统及发展成为中国财政改革事业和财政信息化建设的有力武器和得力助手。先进的计算机网络技术使信息系统实现会计电算化、管理信息化和结算网络化,极大的提高了会计工作效率和工作质量,使会计工作由原来的手工作业发展到今天的无纸化操作,这些变革不仅给企业带来经济效益和社会效益,更减轻了财会人员的工作力度,促进了会计工作的规范化,为我国的管理工作的现代化奠定了基础。但也出现一些新的问题和挑战,潜在的风险渐渐地暴露出来。现探讨如下:
一、无纸化过程中存在的风险及应对办法
在手工会计系统中,记账凭证、会计账簿及会计报表均以纸张为载体,但实现会计电算化后都是无纸化作业,这种无纸化操作,会计的各种数据易被他人任意删改修订且不留痕迹,而造成会计信息质量的失真。因此,应建立健全科学严密的会计电算化内部控制制度,保证会计数字的安全和保密。
(一)、组织控制。随着会计电算化的超速发展,会计机构也应作相应的调整,如人员岗位责任制:人员岗位包括基本会计岗位和电算化岗位。其中,基本会计岗位为会计主管、出纳、核算、稽核和档案人员等,而电算化会计岗位则是操作员、维护人员、直接管理人员和会计软件人员,以上两种工作人员之间不得兼任;还要明确软件开发人员、维护人员不能兼任操作员。并建立各岗位人员的岗位责任制度,且分工科学,责任明确,各岗位都要得到一定的授权,并用密码控制。防止非法操作、越权操作。这样人员互相制约和内部牵动,能防止违法行为的发生并能及时发现错误。
(二)、操作控制。会计电算化操作应严格遵循会计业务和处理流程进行,在会计软件中设置防止重复操作、遗漏操作和误操作的控制程序,违反操作规程和操作时间应及时予以提示和制止;建立操作日志制度。计算机程序中应对所有操作留有记录,包括操作时间、操作人员姓名、操作内容等。对已记账和已结账业务设置不可修改或逆操作程序,要修改必须通过编制记账凭证冲正或补充登记来更正。以保证会计数据的完整性、真实性。
(三)、数据输入(出)控制。会计电算化系统主要是由数据整理、数据输入、数据处理、数据通讯、数据保存、数据输出几个部分构成。在这些环节中分析出现风险的可能性;分析系统设计过程中是否在实现各个功能时嵌入相应的内部控制措施;嵌入的内部控制措施是否发挥作用;对于一些潜在的可预见风险是否在系统中采取预防措施;是否对不可预见风险的处理留有系统空间等等。由此保证各个环节的数据准确、有效和全过程会计电算化的安全完整。在会计电算化工作中,电脑中原始数据是由人工事先进行审核和确认后输入计算机内,因而自动处理数据的准确性完全依赖原始数据输入时的准确性。会计资料是单位的绝对机密,一旦泄漏将给单位带来不应有的损失,而磁性介质的可复制性又使会计资料极易泄漏而不易发现,故会计电算化系统的输出不论是磁性文件还是打印资料,输出后均应立即受到严格管理,以防被人窃取或篡改。磁性资料应由会计档案保管员负责保管;打印资料在系统的操作日志上有所记录后(包括记录输出时间、文件页数及操作人员姓名)及时送达指定人手中;收件人要签收并注明收件日期、文件内容,以便日后备查;确保会计数据和会计软件的安全保密,防止对数据和软件的非法修改和删除,对磁性介质存放的数据要保存双备份。所以一切数据的输入(出)过程都必须规范化,并保持数据的准确性,才能保证会计信息质量的真实、完整和准确。
(四)、硬件与软件系统的开发与维护控制。会计电算化包括需求分析、系统的设计和测试、系统的运行与维护以及系统文档资料的保管等,即对正在使用的会计核算软件进行修改、升级和硬件设备的更换,要有一定的审批手续,要保证会计数据的连续和安全,并由有关人员监督实施。要保证机房设备的安全和计算机的正常运行,健全排除硬件与软件系统故障的管理措施,保证会计数据的完整性。
二、网络环境的开放性所带来的会计信息失真的风险与应对措施
在网络环境下,信息的来源具有多样、多渠道性,而大量会计信息大多是通过网络通讯线路传输,这样网络信息就有可能被非法分子或别有用心的人拦截、窃取或篡改,网络信息时常会遭到“病毒”和“黑客”的入侵,使网络不得不暂停服务,还有在利益的驱动下违背诚实信用原则,在网上乱盗他人或其他单位(企业)的机密文件和重要资料等等,这些都会使企业蒙受损失,增加风险,其应对措施是:
(一)、实行数据通信控制。实施互联网技术,进行远程记账凭证输入,远程报表及远程监控便于网络控制。系统在数据通信时,面临着因线路、设备故障导致数据丢失及被不法分子人为的拦截泄密的风险,因此要在传输过程中采用数据加密,回响检查等技术手段进行会计电算化的规范管理。
(二)、加强会计电算化保密控制。保密控制主要是保证会计电算化的程序、会计数据不被借用、滥用和非法使用。由于电算化系统的特殊性,为了防止非法进入财务管理系统和修改数据库风险的发生,可采取设置程序保密控制,文件密码存储控制,用户进入操作系统的口令控制等措施,以保证在电算化过程中会计程序数据的安全。
(三)、健全会计电算化内部定期检查制度。对会计资料定期或不定期检查,主要检查会计电算化账务处理正确与否,看是否遵照会计法规行事,审核费用签字是不是符合本单位的内控制度要求,凭证附件是否完整等;审查计算机内部数据与书面资料的一致性,查看账册内容,做到账册相符,对不符合要求、错误的账表要及时纠正和调整。要监督电算化过程中数据保存形式的安全性、合法性,防止非法删除、修订和篡改历史会计数据及对电算化系统运行各环节进行检查,防止出现漏洞。
(四)、加强法制建设。计算机犯罪具有智能化、隐蔽化的特点。我国虽已采用各种技术防止外部入侵攻击,但“病毒,,屡屡得逞,因此加强网络法制建设,加大网上执法力度,对不法分子的不法行为进行打击以起到威慑作用已迫在眉睫。还应配备杀毒软件,定期或不定期的查“毒”、杀“毒”。
三、会计信息系统应用软件自身存在的问题及解决的途径
当前电子商务尚处在初始阶段,跟不上网络信息技术的飞速发展。会计信息系统使用的软件还存在不少问题,最明显的是网络用户不够普及,没有形成大的网络系统,各软件公司出于本身利益的考虑,不对外公布软件内部数据接口,导致信息无法大范围的交流、传输;网上法制建设尚不完善;给犯罪分子可乘之机。其解决的途径:
(一)、开发商与用户应加强在线测试。在软件开发和应用过程中,开发商与用户应加强交流,充分测试。例如,用户通过网络向开发商提出要求或建议,开发商通过网络把软件传送给用户。双方在软件应用过程中应注意监控,及时发现并解决问题。开发商可通过网络对用户的系统进行定期在线测试,一旦发现问题,应进行升级,以便提高系统运行的安全性。
(二)、建立账表系统。现在市场上使用的财务软件普遍是财务系统和报表系统,作为两个独立的模块独自处理,它不利于双向性查询和确定性查询。按照财务软件的模块化设计原则,对系统模块划分要求模块具有最大独立性,将财务系统和报表系统合二为一,建立账表系统,以回避自身存在的风险。
(三)、注重会计电算化软件的开发和人才的培养及技术培训。随着会计电算化的普及和广泛运用,更多的潜在风险会有所暴露,这就要求我们要注重会计电算化软件的开发和人才的培养并加强技术培训。为此,要充分利用计算机技术和会计知识,制定科学的会计综合体系和会计电算化软件发展规划,选拔优秀的计算机人才,开发适合行业内部需要的会计电算化软件,向大规模数值计算的专用软件,面向问题和过程分析及判断推理的高层次软件综合开发阶段迈进。建立一套完善的计算机辅助管理专家系统和智能系统,使计算机在会计管理工作中的应用向更广泛更深层次发展,实现单位自己的智能化信息与专家系统的会计电算化发展的新路子。会计电算化工作的关键是应用。经常参加计算机技术展示会和计算机培训班,全面了解科技信息和开发信息资源的重要性,提高对计算机的感性和理性认识,充分认识计算机技术的先进性、可靠性及在管理工作中所起到的重要作用。把计算机同现代化的管理科学融合在一起,开发出经济实用的计算机软件系统和更高水平的计算机处理系统及培养出大批能从事会计电算化工作的复合型人才,才能回避会计电算化工作中的各种风险。
随着网络和电子商务的发展,会计信息的安全问题越来越突出,必须采取相应的防护措施,保证电算化系统安全稳定的运行。
一、会计电算化系统存在的安全风险
会计电算化系统的安全性是指电算化系统保持正常稳定运行,系统数据信息保持安全和完整。会计电算化的安全性一直是系统设计者考虑的问题,同时也是系统用户最为担心的问题,其安全风险表现在以下几方面:
1.会计信息数据的失真。
会计信息是对企业生产经营活动的综合反映,满足企业的内部管理和外部相关部门和个人的需要,信息的质量直接影响到企业的经营管理和预策、决策。会计信息的真实、完整和准确是对会计信息的基本要求,一旦会计信息系统的安全受到损害,最为直接的就是会计数据的错误、数据的丢失或被篡改,致使信息失真,这里的不安全因素表现为:一是硬件缺陷,如计算机硬盘的损坏而又没有数据备份的情况下造成数据丢失。二是人为的误操作和有意破坏,造成数据丢失和被篡改。三是外部环境如操作时停电或处于磁场环境磁盘被磁化造成数据丢失。另外在电算化网络环境下,一些非法用户的侵入或数据在网络的传输中数据被截取和篡改,也将造成信息的不安全。
2.企业资金结算的安全问题。
在网络经济的电子商务环境下,企业经营越来越依赖于客户,企业在网上的财务活动日益增多,如网上定购、网上销售、网上结算、网上理财、网上证券投资及外汇买卖等,买卖双方都是不谋面的信息交流,完全凭借双方的信誉进行交易活动,这样企业就面临着财务结算的安全问题,一些非法用户侵入他人的计算机系统,通过网络传输非法转移电子资金及通过窃取密码盗窃银行存款,致使企业资金面临安全风险。
3.企业重要信息的泄露。
信息技术高速发展的今天,信息在企业的生产经营管理中变得越来越重要,决定着企业在激烈的市场竞争中的成败。因此利用高科技手段非法窃取企业机密,是构成企业系统安全风险的重要形式。如在网络环境下,财务信息传递完全借助于网络进行,财务信息被截取和篡改或泄露成为不可避免的问题,特别是网络黑客非法侵入网络用户或程序,捕获信息或通过窃取系统合法用户口令、密码,以此合法登陆,实现非法的目的,获取重要商业秘密,将给企业造成不可估量的损失。
4.计算机病毒侵袭造成系统无法正常运行。
计算机病毒可以破坏计算机内的程序、数据,甚至破坏硬件,计算机病毒可以通过磁盘、光盘、网络和电子邮件进行传播,如以前出现的一种CIH的恶性病毒,直接攻击、破坏硬件系统,主要传染Windows95/98的可执行程序,极大威胁着系统的安全。病毒的隐蔽性强,传播范围广,破坏力大,对电算化信息系统及远程网络传输的安全构成极大的威胁。
二、保证会计信息系统安全性的防范策略
1.建立健全会计电算化管理制度。
建立健全会计电算化管理制度,是确保会计核算操作安全,及时、准确提供会计信息的根本保证,是实现企业会计电算化的前提。制度的建设,包括内部控制制度和宏观管理制度及参与国际安全协议的方面。内部控制制度包括人员管理制度、操作制度、安全保密制度、会计档案管理制度及内控制度,它们对系统的正常运行,会计信息的真实可靠可起到一定的保障作用。宏观管理制度包括会计软件管理制度和法规,电算化网络管理制度及防止和打击网络犯罪法规等,通过建立宏观管理制度,可以加强对上市的商品化会计软件管理,有效打击网络犯罪,惩治网络黑客。为了保证Internet网络的安全和用户的利益不受侵犯,国际上相继制定了系列安全协议,如安全电子交易规范、安全的超文本传输协议等,这些协议对规范网上行为起到了一定的促进作用。我国面临着加入世贸组织,应加快推进安全协议制度的实施和完善,以降低电算化网络的风险。
2.建立必要的防护措施。
为了保证会计信息的真实、完整和安全,除了建立健全管理制度以外,还要建立必要的防护措施。
(1)在财务软件中增加安全功能。会计电算化软件各层数据处理应层层设防,在软件功能上增加必要的提示功能、检验功能和限制功能,要防止操作失误造成数据破坏,操作人员进入系统要设置口令和密码,以防无关人员非法进入。系统各模块也要设置相应的口令,并对系统操作人员进行授权,防止无权人员的操作。在系统中应建立起“操作日志”,记录所有人员对系统所做的操作,包括操作的时间、操作人员姓名、操作内容等,这样一旦出现问题,可以依据“操作日志”所提供的线索,对有关人员进行核查。
(2)建立预防病毒的安全措施。为了防止病毒的侵袭,要坚持使用正版软件,不能使用盗版或来路不明的软件,对外来的软盘要先进行病毒检测,方可在计算机中使用;在计算机中装入防病毒软件,这样在开机时进行时实控制,对硬盘进行病毒检测,及时发现并杀死病毒;定期备份数据和文件;不打开和阅读来历不明的电子邮件等。
(3)建立必要的技术防护措施。为了防止非法用户和黑客的侵入,可以通过设置防火墙、采用身份识别系统等技术防护措施,将非法用户拒之网络之外,面对重要商业秘密泄密的问题,可以对软件的重要信息采用加密技术,以防重要信息在传输过程中被泄露。
(4)加强对会计电算化系统使用人员进行安全教育。系统使用人员特别是系统操作人员树立安全意识,要加强计算机、通讯和网络理论知识的学习,提高业务素质,还要树立良好的职业道德,自觉遵守各种操作规章制度和操作规程,防止工作中出现不必要的失误。
如何在3G时代进行会计电算化风险管理,在理论界尚且空白。本文拟对3G电算化会计风险防范的基本原则及措施进行研究,欢迎大家批评指正。
一、3G时代,电算化风险解析
3G时代的会计电算化已经进化到纯网络时代,数据的保存和管理全部储存在网络服务器中,业务主管可以在全球任何一个角落进入企业的数据系统进行操作和管理。这也意味着黑客可以在全球任何一台计算机上入侵电算化系统,修改或盗取企业的会计核心数据。如此一来,会计信息的可靠性、可比性、及时性等质量要求将面临巨大挑战。
(一)网络安全风险
3G时代,各企业网络均实时接入Internet(互联网,下同),这就意味着企业会计电算化系统必须承受来自互联网的外部攻击以及内部网络风险,据国内知名信息网络安全厂商金山公司2009年《互联网安全报告》数据表明,2009年,仅金山“云安全”中心就监测发现新病毒2 068万余个,导致7 640万台电脑感染病毒。通过木马或后门侵入公司会计电算化系统窃取财务资料绝非只是电影里艺术化的场景。如果对网络风险的防范措施不当,会计电算化数据被恶意更改,内容失真,资料遗失,或严重泄密,必然会对企业财务信息的可靠性造成恶劣影响。
(二)操作系统漏洞
电算化产品往往基于一定的操作系统,操作系统除了我们最熟悉的微软windows系列之外,还有unix/linux、苹果OS等其他操作系统。建立于同一操作系统的会计软件方能达到会计信息可比性要求,不同操作系统的会计电算化系统一般互相无法兼容,会计数据的可比性难以实现。
同时,由于操作系统本身的漏洞,致使会计电算化系统存在重大安全隐患,掌握一般攻击技术的人都可能入侵得手,会计信息的可靠性得不到保证。
(三)应用安全风险
众所周知,会计电算化中,纸质凭证需由操作员手工录入,在这一过程和会计信息日常管理中,其风险为:
1.误操作风险,即合法操作人员在正常操作中所发生的风险,如数据录入不及时,数据录入金额错误,合法数据被误删除等,其发生的机率不大,危害性却不小。数据一但进入电算化系统,出于对电脑的盲目信任,很少还有人根据原始凭证去审核其一致性,所以不少企业到年终决算或几年后才发现某一数据的差错。
2.不能操作的风险。如系统故障,电脑或网络硬件损坏、网络服务器受损等。一旦出现不能操作的相关状况,轻则一两天不能进行正常的会计核算工作,重则造成资金款项不能正常结算等重大事故。
3.被恶意操作的风险。常见的有:非授权用户的访问、通过口令猜测或盗用正常操作者的口令和加密硬件的方式,强行划转企业银行资金;获得系统管理员权限、通过数据库服务器本身漏洞进行数据篡改等。和误操作不同的是,通过恶意修改会计数据,可以让非法的会计数据显得合法,如重复记账、数据篡改、非本周期会计数据强行入账等。由于电算化系统的特点,数据一旦被非法更改,很难发现,要查找作案者也非常困难。
4.信息泄露的危险。除黑客、病毒的攻击外,因为办公网络应用通常是共享网络资源,可能存在着员工有意、无意把硬盘中重要信息目录共享,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,或者将数据保存到U盘中却不慎遗失,也有备份数据被非法调阅甚至盗窃等。这些都是因为缺少必要的访问控制策略。
(四)管理体系隐患
1.忽视复核岗位。内部控制原则要求不相容职务要进行分离,按此原则会计电算化系统的数据录入和复核应当不少于2人,但是不少企业实行电算化后,却并不设置这一传统岗位,数据信息由操作员自录自审,其真实性和可靠性难以保证。
2.操作权限混乱。计算机管理原则要求,不同的操作人员应该有不同的计算机操作权限,如是否能复制数据,更改系统,查看核心服务器状态等,但多数企业为了管理上的方便,授予了部分操作者不应有的高级别系统管理权限,可以轻易获取并更改计算机和网络的关键设置,这也使会计信息质量要求在会计电算化管理中无法保证。
3.密码设置过于简单。电算化软件管理原则要求,应设置健全的密码体系,如开机密码、系统密码、电算化操作员角色密码等,同时对密码的长度和复杂程度都有一定的要求。但不少单位会计电算化管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易被破解;或者责任不清,使用相同的用户名、口令,导致权限管理混乱等,造成会计信息质量要求在会计电算化管理中难以实现。
二、电算化风险管理基本原则
通过会计电算化风险解析所谈到的大量风险点,我们应该深深体会到3G时代的会计电算化风险管理应该上升到一个新的高度。在3G已经向4G发展的高速无线网络时代,具有纲领性质的电算化风险管理基本原则的建立正当其时,笔者总结如下:
(一)整体性原则
整体性原则又可分为2个方面:一是全体性原则,指整个企业全员列入电算化安全防范体系,绝对不允许任何一个特权人员或非受控人员的存在。即便是企业高层管理人员,仍然只能给予应有的操作权限,只能查阅的绝不授予修改权限,只能操作的绝不给予系统管理权限;再如计算机管理人员,已经有较高的计算机管理权限,就绝不能再有电算化系统操作权限。二是全面性原则,指电算化风险管理体系的建立,要充分考虑整个企业信息保密、数据传递、业务运营、电算化系统运行等多方面的要求,在综合会计管理原则、计算机系统管理要求、各部门软件运行及数据传递规范等多方面管理体系的情况下,建立一套整体性的风险管理机制。各部门各行其是,或偏重一点而不注重整体规划,是不可取的。
(二)普遍性原则
普遍性原则,指整个企业全员应给予同等必要的电算化安全知识培训,不留空白。一些管理者认为电算化系统的安全取决于企业计算机安全保障力量的强弱,却不明白普通员工安全意识的提高同等重要。对不同权限的操作人员,要组织有针对性的安全知识培训。
(三)标准性原则
所谓标准性原则,是指会计电算化系统的开发要能适应多个操作系统,数据的保存和采集要能通用于不同的操作系统或应用平台。
电算化的发展过程也证明了这一点,从最初的各单位自主开发,到有统一电算化软件公司的出现;从系统的单一会计应用,到企业的综合性管理平台;从内部单机的不可联网,到互联网共通共享,都充分说明了标准性原则的重要性。
而且标准性原则必须贯穿于企业会计电算化对内对外的各种应用中去,只有标准化,才能高效的助推企业的发展。
(四)专业性原则
专业性原则,指整个企业的电算化风险管理体系一定要由专业部门或公司来规划。如果企业自身有较强的风险管理力量,可以由这一部门或人员来制定相关防范机制;如果企业自身没有这一能力,则务必订购专业产品和方案。企业如果具有相当经营规模,业务的发展进入了上升通道,邀请专业风险管理(又称安全保障)公司或人员为公司量身定做电算化风险管理体系就显得更加重要。
(五)延伸性原则
延伸性原则即电算化风险管理系统要跳出企业内网,延伸到公共网络及手机等移动通信设备。如很多管理者由于工作需要,长期随身携带笔记本进行办公操作,喜欢在家庭、机场、宾馆等公共网络环境下接入办公网或电算化系统。这些地方网络安全条件显然远低于企业内部网络,同时由于大部分人不喜欢设置开机密码、系统密码,也不习惯对重要资料加密,口令一旦被破解或笔记本电脑遗失,后果十分严重。
所以,无论在任何时候、任何地方使用电脑,只要员工需要接入电算化系统或办公系统,就需要按照企业电算化风险管理体系自觉进行相关规范化操作。如需要在家中上网操作,按企业要求对网络和电脑进行相关安全设置;如需要用U盘携带重要资料,按企业规定进行加密处理等等。同时,对于长期需要从外部网络登陆企业电算化系统的人员,企业应记录在案,进行技术培训和安全警示(或规范)。
三、会计电算化风险管理对策
(一)利用软硬件防护
通过硬件设备加强网络安全风险防范,抵御形形色色病毒对会计电算化系统的攻击,保证会计信息质量。不论内网还是外网,均需通过路由器、交换机等网络设备连接各台计算机或接入Internet。网络风险防范的关键点就在于硬件设备的网络设置,这就要求企业在建立会计电算化系统时采用充分或有效的安全配置,及时填补安全漏洞,关闭一些不需要的服务等,这样可以减少或杜绝来自内外部网络的攻击和探察。同时,必须进行各网络节点的防火墙设置,阻拦入侵者,同时使其即便侵入内部网,要找到所需数据也非常困难。
(二)实行内、外网物理隔离
企业会计电算化系统与Internet间必须采取严密的安全防护措施。企业必须实行内、外网物理隔离。为确保会计信息系统安全,严禁将会计电算化系统内网的计算机接入互联网;访问互联网的计算机必须与会计电算化系统内网物理隔离。只有会计电算化内网和外网分离,才能保护会计电算化系统不易遭到来自外网一些不怀好意的入侵者的攻击。
(三)建立会计电算化内部控制制度
实行会计电算化后,一些传统的核对、计算、存储等内部会计控制方式均被计算机内部控制方式轻而易举地替代,如总账和明细账都由计算机根据审核后的会计凭证自动登记和归集,取消了手工条件下二者的核对工作,但同时记账凭证的审核工作变得更加重要。企业应对记账凭证的审核实行除在计算机系统内签字确认外还要求在打印的会计凭证上盖章确认,增强正确性和完整性的审核,保证会计信息的质量和可信度。另外,应制定严密的计算机操作管理制度,包括会计软件的操作工作内容和权限,操作密码的管理规定,保存上机操作记录,计算机病毒的防范措施,会计电算化系统维护管理等制度。
(五)做好会计信息资料备份及数据系统恢复工作
2006年“熊猫烧香”病毒的发作,造成大量用户电脑资料毁灭,花费大量资金仍然难以恢复。最新的电算化系统可以实现数据在Internet网络服务器和本地计算机双重备份,安全性提高了很多。但数据备份和保存的重要性仍然没有降低,企业应坚持每周甚至每天备份会计数据,做好数据信息存储介质保管工作,在关键时间点上的备份甚至应该采取双备份策略。另一方面应建立会计信息系统风险应对机制,操作系统上要有快速的系统恢复功能。
(六)严格实行权限管理
权限管理包括权限分配和用户名及密码管理两个方面,在分工时,对职权不相容的岗位应进行明确分工,不得兼任,做到相互牵制、相互制约,职权分离,使会计人员和各级管理者在权限内开展工作;在权限等级管理中,应制定各环节密码设置和重要资料加密规范,保管好相关口令和加密硬件,口令密码必须不定期地更换,确保企业会计信息系统和资金安全。
购物车(0)