《网络环境下会计信息系统风险及其防范》由会员分享,可在线阅读,更多相关《网络环境下会计信息系统风险及其防范(8页珍藏版)》请在金锄头文库上搜索。
1、摘 要 随着技术的发展,计算机网络已应用于各个领域,成为人们工作和生活不可缺少的工具。网络时代的来临必将使传统会计演变为网络会计,而建立在网络环境基础上的会计信息系统,由于计算机网络系统本身及外部环境都不同程度地存在着各种安全隐患,给会计信息的安全性带来一定的风险,风险从成因上看包括客观风险、主观风险两个方面。这些直接影响着会计核算和财产安全,使企业蒙受巨大的经济损失。会计信息系统的风险是客观存在的,本文从网络环境下会计信息面对的各种风险问题,对风险问题的形成及成因进行分析,进而提出有效的风险防范措施,保证网络系统正确、可靠、连续地运行。关键词:会计 网络 风险 防范网络环境下会计信息系统风险
2、及其防范随着互联网和多媒体技术的迅速普及,网上银行、电子商务、网络技术等计算机通信活动进入了人们的日常生活,信息技术的飞速发展,全球经济向网络经济迈进的今天,建立高效完整的会计信息系统,实现网络会计的快速发展已不是单纯的会计与计算机网络的简单结合,它的推广应用不再停留在传统的财务管理系统上面,而是逐渐发展成为中国财政改革事业和财政信息化建设的有力武器和得力助手。1、 当前网络背景下的会计信息系统网络会计是以现代信息技术为手段,采用数据库、网络通讯等工具,利用计算机硬件、软件及其他设备等资源,对业务活动产生的会计信息进行采集、存储和处理,完成会计核算任务,并能提供会计管理、分析、决策所需要的信息
3、系统,以计算机网络为平台进行核算和监督,以求达到管理经济活动,提高经济效益,实现会计目标的现代会计模式。网络会计的快速发展已不单是会计和计算机的简单结合,而是一门已经包含通信学、企业管理学、公共财政信息化等内容的综合学科。先进的计算机网络技术使信息系统实现会计电算化、管理信息化和结算网络化,极大地提高了会计工作效率和工作质量,使会计工作由原来的手工作业发展到今天的无纸化操作,这些变革不仅给企业带来经济效益和社会效益,更减轻了财会工作人员的工作力度,促进会计工作的规范化。网络会计系统具有会计数据和会计效用高度共享,会计数据透明度高,会计数据分散输入等特点,在这种环境下,会计信息系统既给会计工作带
4、来了高效率,也带来了一些手工条件下所没有的风险,必须通过特定的会计内控措施来加以控制和防范。二、网络环境下会计信息系统面临的主要风险鉴于网络环境下会计信息系统的上述特点,我们在享受这一系统带来的快捷、便利的同时,也决不能忽视系统本身带来的风险。这一风险从成因上看包括客观风险、主观风险两个方面。(一)客观风险这主要是硬件、软件配置维护不当带来的风险,它对会计信息的安全构成重大威胁,但只要防范得当,绝大部分风险是可以规避的。这种风险主要表现在:1.网络系统硬件选配不当带来的风险。由于网络系统硬件选配的质量低劣,功能欠缺,性能落后,工作不稳定,配合不当等,会导致网络系统功能不能充分发挥作用,软件无法
5、运行,或运行不稳定,从而制约网络运行和数据传输的速度甚至造成部分或全部数据的丢失或出错。2.传输介质不安全带来的风险。网络的传输介质有光缆、电缆和微波等,各种介质都有其缺点:如电缆传输信号容易通过非法连接或利用非接触方式窃听。微波具有一定散射的宽度,可以用无线加以接收,造成机密泄漏。光缆虽说传输过程中不易被窃取,但其转接器、分路器或其他接口是个薄弱环节。由于会计信息的保密要求甚高,一旦泄漏,极有可能给所在单位带来巨大经济损失,因此,此种风险的危害性很大。3.软件带来的风险。软件是网络系统安全运行的灵魂,财会软件是网络会计信息系统得以正常、安全运行的前提条件。如果软件选择不合适,或未及时升级,安
6、全配置参数不规则等,会带来软件运行出现差错,出现漏洞,易受到攻击破坏等,甚至会使正常的电子记账都无法实施,从而会给会计工作带来不便和风险,进而给企业带来经济损失。4.计算机病毒的侵蚀。计算机病毒已成为网络安全的最大隐患。目前,网络上存在的计算机病毒有几万种,并且还在迅速增加,它们无孔不入,令人防不胜防,稍不注意病毒就会乘机进入,给网络造成严重破坏。如,前两年流行的红色病毒及其变种,使许多服务器遭受严重破坏,像日本和欧洲的几个国家的几家大航空公司都曾受到过此种病毒的攻击,使自动售票系统瘫痪无法售票,导航系统破坏,飞机无法起飞,给这些公司造成了巨大的经济损失。计算机病毒对会计信息系统的攻击或侵蚀,
7、可以导致整个系统出错甚至崩溃,其风险之大是显而易见的。(二)主观风险这是由于网络会计信息系统的管理者、使用者维护、管理、使用不当或不规范带来的风险,主要包括:1.网络管理制度不健全,管理不科学,日常维护不及时,维护不当,数据无备份等造成的风险。其危害主要是造成网络软硬件运行不正常,影响工作效率,甚至导致数据产生错误、数据丢失等。2.合法用户越权对会计数据的处理、访问、修改等,可能会导致会计信息出错、丢失、泄密。3.合法用户的误操作,导致数据丢失、被破坏4.非法分子非法访问篡改会计数据,窃取会计数据,泄漏企业机密等。这可以导致整个会计信息系统失密、失效,危及所在单位的经济安全。5.非法占用网络资
8、源,切断或阻断网络通讯,使信息无法传递。6.会计档案管理不善,造成档案丢失、被损坏,以致机密泄漏等。三、网络环境下会计信息系统的风险防范网络环境下的会计信息系统的风险,应采用一定的内控措施来加以防范。通过会计内部控制,应力求规避网络风险,发挥网络优势,提高经济效益。其内部控制措施一般包括应用控制和一般控制两个方面。(一)应用控制措施应用控制措施,亦称为技术控制,是指从技术上完善控制手段,来防范风险的基本内部控制措施。应用控制应结合具体的业务,但由于会计数据处理都是由输入、处理和输出三个阶段构成,所以一般将应用控制分为输入控制、处理控制和输出控制,主要包括以下四种: 1、输入控制 输入控制是应用
9、控制中的非常重要的一类控制,因此,它是计算机会计处理区别于手工会计处理的一个重要方面,在会计信息系统程序设计时,通常会把基本的输入控制关系考虑进去,这样既方便用户操作,又可提高输入数据的正确性和可靠性。 (1)采用先进的身份验证技术。身份验证可采用两种方式:其一,采用操作人员独自具有的,别人难以仿制伪造的信息作为身份验证的标志。最常用的是密码,用汉字、字母、数字及其他任何的电脑可以识别的符号集合组成的密码钥,或者用特定的一句话组成的密码钥作为密码的标志。为了防止密钥被复制,软件应该限制密钥被复制的操作,并限定试探密钥的次数和两次试探之间的间隔时间,对于确认身份的特殊标识,每次输入只允许使用一次
10、,不得复制使用。其二,可以采用以特定的信息交换方式或者编码计算方式或者报文验证等方式来验证身份。发送方和接受方可采用同一种方式处理,也可采用经过一定计算处理或者特殊方式的转换后的不同方式加以处理。采用特定的加密算法,使操作人员身份的验证贯穿于网络操作的全过程,每个过程都要有严格的身份识别,以确保操作人员合法。(2)加强输入数据和接受外部数据的控制。这个环节的控制方法包括对输入数据的人员的身份控制;对输入数据进行范围校验、平衡校验、逻辑校验、计算校验、复核校验等,对有关人员输入的数据进行严格检验,检验无误后再进行确认、保存、发送。在网络条件下的销售业务控制方式,客户交款以支票、银行汇票等方式。业
11、务部门开具电子发票,一切票据的传递全靠网络。业务部门开票时需检验电子合同号、可供商品数量、单价等内容,仓库发货需检验有无业务部门签字和会计部门审核签字,在仓库输入实发数量后,系统要检验实发数量是否与应发数量一致,会计部门在收到款项后可以直接签字。接收外部传来数据,要验明数据来源,检查数据的合法性和正确性。数据仓库中应设置存放接收本地网以外数据的缓存区。外部发来的数据先进入缓存区,经审核无误签字后,方可进入正式的数据存贮区,并自动消除缓存区中的数据或用手工方式消除缓存区中的数据。且可定期消除缓存区中的数据,以节约网络资源。2.处理控制。数据输入计算机后,按照预定的程序进行加工处理,在数据处理过程
12、中极少人工干预,网络环境下,会计数据的处理基本上是由软件自动完成的,处理控制主要应控制操作权限,即何人在何部门何终端可以进行何种操作。这种权限包括对数据的加工、修改、备份、删除、恢复等。所以,处理控制主要是限定处理权限,可使用的功能、地点,可以访问的源数据等。3.输出控制。输出控制主要包括对输出信息的传送过程的控制和对输出内容和格式的控制。会计数据输出有两个部分,其一是单位内部各部门所需的数据输出,直接按照内部控制权限和功能使用权限、信息访问权限进行操作即可。其二是企业向外部输出的数据,尤其是财务报告或机密数据,为了贯彻会计法有关精神,这些数据向单位外部输出必须由特定的人员,如企业总经理、总会
13、计师、董事长等签字后方可向外发送。系统中应该设定限定条件,采用一定的防伪识别身份技术加以防伪,进行严格控制。加工生成的数据要送回数据库,以供有权访问的用户调用,实现数据的高度共享。4.流程控制。网络条件下,虽然传统的凭证不见了,传统的人员签字消失了,但流程控制依然是不可少的,只有贯彻了流程控制,才能有效地贯彻企业的授权管理制度,保护资金的安全。网络条件下,实现流程控制重点是身份识别技术。以职工借款为例,职工可在本部门网络终端填制借款单,输入指纹或签名后,通过网络传入签字领导的网络终端并提示领导签字,领导签字后,再通过网络传入会计部门出纳终端,并提示出纳付款,经验证后,出纳予以付款,职工可到会计
14、部门取款,也可由出纳将付款传入职工所在部门终端,输入职工的信用卡。为了识别身份,单位可建立本单位全部职工的指纹档案,用于判断借款人的身份。职工还款也可通过网络予以偿还。实现流程控制要设计好提示方式,让接收数据的人及时知道需自己办理的业务,以便及时做出处理,以免影响业务的办理,同时也要求有关人员在上班时间坚守岗位,不得脱岗,以免影响业务的及时处理。(二)一般控制一般控制,即管理控制,是贯彻内部牵制的主要方法。主要包括:1.组织控制。即通过赋予和限制某岗位处理某种业务的权力,来达到控制的目的。组织控制的基本目标是减少发生错误和舞弊的可能性,其基本要求是职责分离。需要运用牵制原则加以控制的业务,一定
15、要分别由不同岗位人员来共同办理,分别赋予不同岗位一定权力,以便完成经济业务某环节的处理。在网络条件下,同样要利用这种职权划分形成的内部牵制方法进行控制,即同样要贯彻“钱账物”分管,财物保管使用与财物管理相分离的职权划分原则。但在网络环境下,会计、保管等部门的岗位设置与手工条件下有所不同。 在网络环境下,会计人员的主要工作是对业务部门的有关会计业务加以指导,进行会计内部控制程序的设计,会计软件的维护,会计数据的分析研究,为管理部门提供预测、决策信息及方案服务。大量日常的会计核算业务将由网络进行自动处理,所以,网络条件下传统意义上的会计岗位将大幅度减少。2.数据的控制。为了保证会计数据的安全,除了
16、做好数据存取的身份权限验证外,还要做好会计数据的备份工作。会计数据的备份是网络条件下保护会计数据的重要方法,要建立定期将重要数据备份的制度,尤其是原始数据和一些重要的加工数据,要以多种方式备份,要在不同的物理地点备份,不能将重要的备份数据和原数据保存于同一物理地点。对于异地备份的数据要注意保密,要用特殊的加密方式进行加密,以确保会计数据的安全。3.网络硬件的控制。主要是做好网络硬件的采购和管理的控制。网络硬件的采购,要公开招标、透明操作,防止个人暗箱操作,保证采购到质优价廉的网络硬件。网络硬件的管理措施主要有:网络硬件设施要逐一登记造册,指定专门的保管人;建立网络硬件的定期检查、维修制度和责任制;建立网
