《会计信息系统发展过程中存在的主要风险、安全防范体系》由会员分享,可在线阅读,更多相关《会计信息系统发展过程中存在的主要风险、安全防范体系(15页珍藏版)》请在金锄头文库上搜索。
1、3 会计信息系统发展过程中存在的主要风险 计算机技术在会计应用中的广泛深入,同时也使计算机数据处理环境下会计风险防范难度加大,会计信息系统的安全应得到高度重视。加强会计信息系统的风险控制对防止信息泄露,保护财务数据的完整性,保障用户的合法使用权益具有非常重要的作用。 高校会计信息系统网络化是一把双刃剑,高校在利用网络实施财务管理的同时,也将自己暴露于风险之中,财务网络存在诸多安全隐患。据笔者分析,目前高校会计信息系统存在的风险主要表现在以下几个方面: 3.1 系统运行风险 会计信息系统运行风险主要有人为因素和非人为因素两种。人为因素指用户非法占用网络资源、窃取或有意阻塞网络通信、通过计算机病毒
2、来降低网络性能造成计算机网络瘫痪等。非人为因素主要指自然灾害影响,如风雨雷电、地震、火灾等造成系统运行故障。 3.2 数据传输风险从技术上来看,网络运行中的任何数据都有可能被“窃取” 。非法用户不但可以窃取会计信息的内容,还可以在不了解信息内容的情况下窃取信息的流量和流向、通讯频度和长度,由此获取有用的信息。传输风险还包括操作人员采用不正当的手段获取、篡改数据、 盗用资源(计算资源、 通信资源、存储资源)等。 3.3 数据的完整性风险 会计信息系统数据完整性风险可分为人为因素和非人为因素两种。人为因素指操作员对会计信息系统的非法入侵,用户越权对会计数据的处理以及其他对会计数据的破坏等;非人为因
3、素对数据的破坏指通讯传输过程中对数据的干扰、计算机硬件故障、软件运行差错等。以上风险可能篡改会计信息的内容、形式和流向,都会造成整个财务系统数据丢失、无法运行甚至瘫痪等,给学校造成巨大经济损失。3.4 计算机舞弊风险 计算机舞弊行为主要包括当数据进入系统时操作员伪造数据,删除、修改或增加会计事项等。最常见的手段有:从远程地址访问数据库,在文件中浏览查找复制有用数据,以达到个人的各种目的。用计算机病毒破坏程序逻辑。如木马计算是在计算机程序中最常用的破坏方法。计算机病毒有传播性、潜伏性,正成为计算机舞弊者对计算机网络进行破坏的最常用的手段之一。创建非法程序。该程序可以直接访问数据库数据文件,更改或
4、删除会计记录,或变更会计事项等。 3.5 人才缺乏风险 会计信息化成败,人才是一个关键。我国高校会计信息化人才的缺乏主要表现在两个方面:缺乏符合会计信息化管理要求的领导者。实现会计信息化需要调动各种资源,形成一个高效率的团队,发挥每一名财务人员的积极性和特长,与学校信息化目标保持一致。这些需要财务领导者有较强的协调能力、创新能力和洞察力,然而这样的财务领导人才正是目前高校所缺乏的。高校实行会计信息化后人员技术知识呈现两极分化状况,即懂计算机的人,财务管理知识比较缺乏;有财务管理经验的人,计算机技术又不够强。要想进行深层次的会计信息化,就要培养既懂计算机又懂会计的复合型人才。 4 加强会计信息系
5、统建设安全控制措施 4.1 加强安全防范意识 拥有网络安全意识是保证网络安全的重要前提,许多网络安全事件的发生都和缺乏安全防范意识有关。 4.2 安全技术手段 (1)物理措施。保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。(2)访问控制。对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。 (3)网络隔离。网络隔离有两种方式:一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。 (4)技术性措施。近年来,围绕
6、网络安全问题提出了许多技术解决办法,如数据加密、防火墙、漏洞扫描、入侵检测、数据处理功能保护、数据备份等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息,保障信息被人截获后不能读懂其含义。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。4.3 加强内部控制,建立安全防范体系 会计信息系统存在的风险问题很大程度上源于内部控制方面存在缺陷,因此,必须建立健全电子数据处理的内部控制系统,建立与其相适应的一般控制和应用控制措施。一般控制适用于较广范围的风险,重点是对程序的控制;应用控制主要针对特定系统的风险,其重点是输入过程的
7、控制。 内部控制采取的主要方法有: (1)分析会计信息系统存在的薄弱环节以及可能受到的威胁。 (2)制定并实施系统运行的安全措施。 (3)建立多层控制体系,物理隔离潜在的入侵者,如站点进入控制、系统进入控制和文档进入控制等。 (4)加强内控制度建设。会计信息系统实施以后,要结合会计信息系统的特点制定一系列的内部控制制度,如网络维护与管理制度、设备管理制度、操作权限控制制度、业务流程与核算制度等,以保证会计信息系统正常运行。 (5)加强对系统管理人员和操作员安全知识教育和职业道德教育,通过安全教育对数据安全问题达成共识,提高人员的基本素质。 4.4 加强灾难性风险控制 灾难性风险控制主要指灾难性
8、预防和偶然性事件处理两个方面。加强灾难性控制就是要保证有灾难事件发生时,系统能够快速恢复工作。良好的安全政策和计划可以预防由于蓄意破坏或误操作引起的灾难。计算机设备及其备份的数据要放置在建筑物中最难以被自然灾害以及恶意破坏者破坏的地点。灾难恢复计划必须作为计算机安全措施的一个重要组成部分。 4.5 加强法制建设 加强网络安全的法制建设是保护计算机安全运行的有力武器和强有力的措施。信息系统的快速发展一是需要建立维护计算机系统安全的法律法规,使计算机安全措施法制化、制度化、规范化;二是建立针对计算机犯罪活动的法律,惩治违法者,保护用户的合法权益。4.6 加强业务流程控制 高校会计信息系统内部控制的
9、许多方面均体现在业务流程层面上,根据财政部颁发的内部会计控制规范基本规范(试行)的总体要求,可以按照本单位的业务流程画出业务流程模型图,找出哪一个环节问题最多,就定位为关键控制点,设置重点控制,对不易出问题的业务环节定位为一般控制。把风险控制融于业务处理的过程中,使其发挥最佳控制实效。4.7 加强业务学习,提高会计人员的综合素质 目前绝大多数高校都建立了校园网,这为实现会计信息化搭建了良好的运行平台,关键问题是,如何最大限度地利用这一平台,充分发挥网络化的优势,保证会计信息化的实现。其中实现会计信息化最根本的一条就是必须有一支高素质的会计人员队伍。会计人员只有不断学习新知识,接受新观念,适应新
10、方法,开拓新思路,才能做到与时俱进,保证会计信息化在高校的全面实现。 5 结 语 会计信息化系统的实施是会计现代化发展的必然趋势,是提高高校现代化管理水平的重要手段,只有不断发现和解决信息化建设中的有关问题, 建立健全网络会计信息系统内部控制制度,才能保证网络环境下会计信息系统安全、稳定的运行,才能充分发挥财务信息网络的优势和作用,更好地促进高等教育事业健康、有序发展。 主要参考文献 1财政部.关于推进我国会计信息化工作的指导意见(财会20096号)Z.2009. 2陈旭,毛华扬. 会计信息系统分析与设计M. 北京:清华大学出版社,2009. 3张海兰. 网络信息时代高校财务管理目标及其实现J
11、. 北京航四、企业电算化会计信息系统内部控制对策:1. 全面提高会计人员素质。内部制度是由人设计、执行的,缺乏高素质的人员,任何控制制度措施的效用都将大打折扣,甚至形同虚设。企业必须全面提高会计人员的政治素质和业务素质在内的综合素质,尤其要加强计算机技术学习,使计算机操作水平上档次,同时注重管理者管理风格、企业文化意识等精神层面的软控制,充分调动人的积极性。2. 业务程序标准化,严把会计核算控制质量关。会计核算控制是电算化系统内部控制中的重要内容。会计核算结果是会计预测、决策、分析的基础。必须保证账务处理正确性、规范性、真实性。原始凭证经过审核,在录入处理的一切经济业务必须经过相应的权级审批,
12、简明、准确、完整地填制与录入。不正确的业务更正与删除,企业单位的处理等都必须严格按规定进行,严格执行复核制度,充分保证计算机账务处理不错不乱。无论是静态审核,还是动态审核,都要仔细核对输出的账务凭证与实际发生的经济业务是否一致。会计数据输出必须进行严格审核并签章,认真做好会计数据日备份和月末备份,并坚持双重备份制度。从核算环节把关,保证整个系统正常运行,做到数据真实、完整、和安全,业务处理合法、有效。会计核算控制是防范和化解会计核算风险的重要环节,必须引起高度重视。3. 强化操作权限意识,明确岗位责任,实行权限等级控制。企业必须从会计工作的特点入手,合理地进行岗位分工,岗位协调,明确岗位职责,
13、制定科学规范的工作效率,防范和化解会计工作风险。要充分运用财务软件自身的程序控制功能,实行权限管理,互相监督,互相牵制;实行集中式事后监督与实时监控相结合的内控机制。4强化系统安全与网络安全控制。强化系统安全控制主要应从防止未经授权的人员擅自动用系统各种资源、减少因外界因素导致计算机故障等方面入手,主要的控制措施包括:订立内部操作制度,禁止非电脑操作人员操作财务专用电脑;设置操作权限限制,操作人员身份的密码控制;数据存储和处理相隔离;机房的工作环境保护。网络安全指标包括数据保密、访问控制、身份识别等。针对这些方面,可采用一些安全技术,主要包括:数据加密技术、访问控制技术,认证技术等。网络传输介
14、质、接入口的安全性也是应该引起注意的问题,尽量使用光纤传输,接入口应保密。通过上述技术可基确保财务信息在内部及外部网络传输中的安全性。5.加强计算机硬件、软件管理,重视技术控制。作为财务软件公司在软件开发中,必须引入安全稽核机制,对重要的操作日志进行记载,并进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。为了能够实时安全监控,必须建立网络间的安全屏障即网络安全“防火墙” ,按照系统管理员的权限,用预先定义好的规则控制会计帐套数据库的进出,通过对数据进行重新组合和对会计帐套数据库进行加密,是业务数据只有在解密的条件下才能使用,同时必须进行必要的身份认证和内容检查,控制一些
15、软件的安装,尤其是数据库系统软件,以防止利用数据库系统打开帐套数据库,进行非法处理。拒绝一切无关人员使用计算机。建立一套完善的操作环境和软件系统是进行电算化会计信息系统内部监控的必要手段,只有这样才能保证会计人员相对独立、完整地行使自己权限并达到会计内部监控目的,为更好地进行会计监控做好必要的技术支持和技术准备。6.整章建制,实行电算化环境下的制度控制。针对电算化系统,企业必须对手工会计信息中的的各项规章制度进行整理,以充分适应需要。整章建制的内容主要有计算机管理制度、 、会计工作管理制度,包括:岗位责任管理制度、日常操作管理制度、维护管理制度、机房管理制度和档案制度。作为电算化系统内部控制工
16、作的核心内容应着重在完善内控环境上下功夫,制定严格的控制制度并保证得到全面执行,设立良好的控制活动,以不断提高会计工作效率和经济利益。7.制定财务软件业界协议。协议是规则的集合,分为低层和高层两类,它规定了财务软件的不同部分是如何交互的,从而保证不同品牌的财务软件彼此间能够实现数据传递或交换。作为会计电算化宏观管理的主管部门,应当从技术的角度就财务软件的数据平台、数据结构、各功能模块、数据传递模式、数据安全与保密等做出统一规定。这样使各种不同品牌的财务软件之间才能实现数据共享,为企业会计电算化内部数据安全的进一步完善提供良好的外部环境。2 网络环境下会计信息系统内部控制的新变化(1)手工下的一些内部控制措施在网络环境下没有存在的必要性能,如:编科目汇总表、凭证汇总表、试算平衡表等的检查,总账、明细账的核对。只要财务会计软件的程序正确,就很难发生对已经正确录入数据库的财务会计凭证数据的再加工整理过程出现某些失误。(2)手工下的一些内部控制措施,在网络环境下转移到会计
