会计信息系统风险及其控制.doc

会计信息系统风险及其控制 黄碧英摘要:会计电算化代替了手工做账提高了工作效率的同时也带来了风险本文针对会计电算化信息系统存在的安全威胁，分析了电算化条件卜会计信息系统风险产生的原因，并提出了如何加强会计电算化系统的风险控制关键词:会计信息系统;xL险;控制 虽然应用电子计算机信息技术的会计电算化代替了手工的数据采集、处理和输出，大大提高了会计工作的效率，但会计传统的核算环境、信息载体、管理模式、安全控制体系均发生了变化，不可避免地造成会计信息系统风险控制面临严峻的挑战。 一、会计信息系统风险分析 由于人为因素或非人为因素造成会计信息系统安全保护能力减弱，从而形成损失的可能性、)信息技术的应用使原来由人工处理的业务转为由计算机完成，使企业面临与手工会计环境不同的新财务风险 1、内部岗位牵制的效力降低 自动高效的计算机网络的应用，使操作人员的数量大大减少，各种业务核算手续完全由计算机统一执行，那种试图通过适当的岗位分离而实现各种业务环节的相互牵制，就显得乏力 2,命令权限的局限性 各个操作人员的权限分工是靠命令授权来完成的，而命令存放在计算机系统内，不像手工环境下代表授权的印章锁在箱子里或带在身上那样保险，因此一旦被人破解或窃取便会带来极大的隐患 3、风险更加隐蔽 会计信息系统的业务数据通过系统的采集转化为数字化的信息被存储在磁(光)介质上，而电子数据易被修改、删除、隐匿、转移和伪造而不留痕迹)犯罪分子可通过使用计算机及通信设备等高科技工具，不亲临现场即达到犯罪目的;即使数据文件内容己被篡改，程序己有变化，操作者也难以及时发现)由于犯罪分子作案手段隐蔽、作案后留卜的线索和痕迹较少，无论是系统内外部人员勾结现场作案，还是采取远程方式破坏系统安全，都难以及时发现作案者 4、系统安全控制的难度加大 会计信息系统是一个网络系统，计算机硬件、软件、人员和各种业务处理流程等构成了一个复杂的网络系统，而且绝大多数交易的合法性和有效性是依赖计算机网络来自动完成的，因此，硬件配置的不合理、软件功能的缺陷、系统操作的失误、内部人员的非法访问及外部的恶意攻击、人们对风险的控制缺乏应有的主动权等都会使会计信息系统面临严重的安全威胁 5、风险损失较大 由于系统风险难以及时发现，有可能风险事项反复多次发生而不被察觉;一旦发现，己经损失巨大)而且，计算fiJ L病毒和电脑黑客等不仅威胁数据安全，还会破坏程序及硬件系统，造成计算机系统瘫痪，从而造成数据丢失或系统无法进行正常运行，其损失和影响难以计算)如果企业经营决策信息、技术机密和其他重要信息被泄露，其损失和影响更是难以计算 二、会计信息系统风险产生的原因 1,硬件系统固有缺陷产生风险 由于人为和自然的原因，会计信息系统的硬件在设计、制造和组装过程中可能留卜各种隐患，影响到网络传输介质和服务器等硬件设施的稳定性和运行速度、)这种缺陷是硬件系统固有的问题 2、软件系统安全隐患带来风险 软件系统安全隐患来源于软件设计与安装阶段，如软件设计中的疏忽造成的安全漏洞;软件安全等级较低，使用的技术和开发工具不成熟或未经授权、所依赖的技术过于复杂引起实施者未恰当理解、软件存在先天设计缺陷，程序设计员设置秘密“后门”、软件自我纠错能力弱等。 3、违规操作产生风险 计算机系统操作人员不按规定程序使用硬件设备，导致系统损坏，从而威胁系统安全，甚至导致系统完全瘫痪;被竞争对手窃取存有重要数据的磁带或磁盘;操作人员在计算机系统非法加入硬件设备，以达到窃取II令或重要信息的目的、)在输入计算机之前或在输入过程中篡改数据，使舞弊数据进入操作系统，达到操作者的非法目的;操作规程操作，或非法进入操作系统，改变计算机系统的执行路径，从而破坏数据;通过篡改输出数据蒙蔽检查)如收银员在收款环节可能将收到客户的现金据为己有。 4、管理权限产生的风险 随着企业规模的扩大，许多原来手工环境卜由不同人分别完成的业务处理环节集中由计算机统一处理，很难形成手工会计系统卜的相互牵制、相互制约、)操作人员只要获得授权文件或注册系统的密码，即获得运行特定程序进行业务处理的权限)一旦密码被他人掌握，或一人掌握多个级别操作员密码，权限就会失控，从而对企业会计信息控制构成威胁 三、加强会计电算化系统风险控制 会计信息系统作为人造的经济信息系统，在企业管理提供了有力的手段)面对着错综复杂的安全威胁，一定要深刻认识会计信息系统风险防范的重要性，笔者认为应从以下方面对会计信息系统风险加以控制: 1、源头控制 计算机软件包括系统软件和应用软件，会计信息系统所运用的系统软件(包括部分应用软件)多是从外部购置，所购置软件的技术是否成熟、可靠，直接关系到数据的安全、)购置的系统软件应是经过实践应用并被证明是安全可靠的，购置的会计信息系统必须是经财政部门评审通过的，并应有详细的操作说明)单位自行开发、研制软件的，必须进行全面、深入的调查，科学系统地分析和设计，开发、研制过程一定要规范，开发、研制出的软件必须符合财政部发布的会计核算软件基木功能规范的要求、)开发、研制出的软件在投入运行前必须经上级有关部门的评审、鉴定，软件的有关文档资料必须齐全)在正式运用前，应经过一段时间的试运转，对相关数据进行验证，防i1=由于考虑问题不全而出现的偏差)通过这些措施，使会计信息系统在源头上得到了控制。 2、岗位控制 随着会计信息系统的超速发展，会计机构也应作相应的调整，如人员岗位责任制:人员岗位包括基木会计岗位和电算化岗位，而电算化会计岗位则是操作员、维护人员、直接管理人员和会计软件人员、)以上两种工作人员之间不得兼任，还要明确软件开发人员、维护人员不能兼任操作员，并建立各岗位人员的岗位责任制度，且分工科学，责任明确，各岗位都得到一定的授权，并用密码控制，防止非法操作，越权操作、)因此，在划分岗位职责时，要遵循岗位不相容原则和不相容职务分离原则。 3、操作控制 会计信息系统操作应严格遵循会计业务和处理流程进行，应建立操作口志制度，会计信息系统对所有操作留有记录，包括操作时间，操作人员姓名，操作内容等，对口记账和己结账业务设置不可修改或逆操作程序，要修改必须通过编制记账凭证冲正或补充登记来更正，以保证会计数据的完整性、真实性、 4、环境控制 许多企业的会计信息系统是在网络环境卜运行，企业可通过链路加密、端点加密等信息加密技术保护网络会计信息传输的安全性，防i1=外界对企业信息流的观察和篡改，通过设置访问控制防i1=对信息系统资源的非授权访问和非授权使用、)应注意会计信息系统木身的安全隐患，在对会计信息系统进行测试时，还应重点检查和测试会计信息系统中是否存在漏洞;应将系统开发过程中的文档资料建档归类，保存完整。 5、数据输入(出)控制 会计信息系统主要是由数据整理，数据输入，数据处理数据通讯数据保存数据输出几个部分构成、在这些环节中分析出现风险的可能性，分析系统设计过程中是否在实现各个功能时嵌入相应的内部控制措施，嵌入的内部控制措施是否发挥作用，对于一些潜在的可预见风险是否在系统中采取预防措施，是否对不可预见风险的处理留有系统空间等等)在会计信息系统工作中，电脑原始数据是由人工事先进行审核和确认后输入计算机内，因而自动处理数据的准确性完全依赖原始数据输入时的准确性、)会计资料是单位的绝对机密，一旦泄露将给单位带来不应有的损失，而磁性介质的可复制性又使会计资料极易泄露而不易发现，故会计信息系统的输出不论是磁性文件还是打印资料，输出后均应立即受到严格管理，以防被人窃取或篡改，造成机密泄露。 6、数据处理控制 会计业务数据处理有一定的时序性，一项业务的处理结果取决于其他多项业务的处理过程和结果，所以，要健全企业内部定期检查制度，对会计资料定期检查，主要检查会计信息系统账务处理正确与否，看是否遵照会计法规行事，审核费用签字是否符合木单位的内控要求，凭证附件是否完整等、)审核计算机内部数据与书面资料的一致性、同时还应配备杀毒软件，定期或不定期地查毒、杀毒、另外，计算机犯罪具有智能化、隐蔽化的特点，因此，加强网络法制建设，加大网上执法力度，对不法分子的不法行为进行打击以起到威慑作用己迫在眉睫。 7、数据资源控制 随着信息技术的发展和网络环境的变化，会计信息系统还将面临更多的挑战，要求财务人员和会计信息系统设计人员不断探索，提高会计信息系统的稳定性与安全性，企业可通过密码或身份鉴别的方式限制数据库访问，如利用软件手段识别用户身份，可要求用户输入身份识别命令，如利用硬件手段识别用户身份，可使用指纹或声音识别设备;可通过设置用户数据操作权限来限制用户对数据库的访问范围，会计信息系统的备份数据须加密保护并定点存放，以防泄密;建立数据备份与恢复制度，以保证会计信息系统其他部分的正常运行。 总之，会计信息系统的风险是客观存在，只要我们正视各种风险，并认真分析，积极采取正确有效的防范措施，进行严密监督与控制，那么会计