会计信息系统风险控制与防范研究.doc

会计信息系统风险控制与防范研究摘要：计算机的普及与网络技术的飞速发展，会计数据透明度高，会计数据分散输入等特点，在这种环境下，会计信息系统既给会计工作带来了高效率，也带来了一些手工条件下所没有的会计信息系统风险，如何在充分利用信息技术的同时，有效地规避信息系统带来的风险，是目前面临的一个亟待解决的问题。通过对部分实施会计信息化的企业进行充分调研，深入分析计算机会计信息系统存在的风险，并针对不同的风险提出相应的防范措施。关键词：会计信息；系统风险；控制防范1 会计信息系统的主要会计信息系统风险鉴于新时期环境下会计信息系统的上述特点，我们在享受这一系统带来的快捷、便利的同时，也决不能忽视系统本身带来的会计信息系统风险。尽管每个企业实施会计信息化的程度不一样，但存在的风险有两方面：（1）客观风险（2）主观风险。1.1 客观风险这主要是硬件、软件配置维护不当带来的会计信息系统风险，它对会计信息的安全构成重大威胁，但只要防范得当，绝大部分会计信息系统风险是可以规避的。这种会计信息系统风险主要表现在：（1）软件自身。软件是新时期系统安全运行的灵魂，计算机会计信息系统一般由会计软件客户端和后台数据库两大部分构成。财会软件是新时期会计信息系统得以正常、安全运行的首要条件。有些会计软件中的数据库文件，往往能通过相应的数据库管理系统打开，直接读写这些数据文件，并对文件中的数据直接进行增加、删除及修改等操作。这些为系统管理和财务核算的安全留下重大的隐患。如果软件选择不合适便会带来软件运行出现差错，出现漏洞，会使正常的电子记账都无法实施，从而成为会计信息系统的客观风险。（2）传输介质不安全。新时期的每一种介质都有其缺点，泄漏是一大问题。由于会计信息的保密要求非常严格，一旦发生泄漏，便会导致巨大经济损失，由此也成为会计信息系统的客观风险。（3）系统硬件选配不当。由于新时期系统硬件选配的质量低劣，性能落后，配合不当等，会成为新时期系统功能不能充分发挥作用的具体因素，如硬盘的损坏，突然断电造成的主板和cpu的损害，受潮湿、磁化、辐射等各种物理损伤，这些破坏都能令工作受到严重的影响，导致计算机会计信息系统的工作混乱或会计数据毁损。软件运行不稳定，从而成为会计信息系统的客观风险。（4）软硬件安装不规范。如果新时期安装不规范，接触不良，线路不畅通，软件安装不当，必然会影响新时期的稳定运行，所以也成为会计信息系统的客观风险的因素之一。1.2 主观风险这是由于新时期会计信息系统的管理者、使用者维护、管理、使用不当或不规范带来的会计信息系统风险，主要包括：（1）管理制度不健全，日常维护不及时，管理不科学，数据无备份，维护不当等造成的会计信息系统风险。如果单位缺乏严格周密的内部控制制度，部分会计人员就会利用会计软件提供的逆向操作功能来篡改会计数据，而不留下任何痕迹，给审计监督工作和防范经济犯罪增加了技术难度。其危害主要是影响工作效率，所以这也是成为主观风险因素的原因之一。（2）非法分子非法访问篡改会计数据，虽然一些数据库系统提供了很丰富的数据安全措施，如口令、钥匙卡，甚至电子签名或指纹鉴别，但安全措施得不到重视，使得原本应严密保护的会计信息系统数据处在非常危险的情况中，也为会计造假提供了方便。（3）计算机高级人员非法操作。计算机高级人员包括系统管理员、网络管理员、系统操作员和网络黑客等，他们通过木马、后门进行非法操作，威胁单位会计数据的安全。（4）合法用户的错误操作，可能会导致会计信息出错、丢失、泄密。（5）会计档案管理不善，造成档案丢失、被损坏，以致机密泄漏等。2 会计信息系统的会计信息系统风险防范2.1 应用控制措施应用控制措施，亦称为技术控制，是指从技术上完善控制手段，来防范会计信息系统风险的基本内部控制措施。主要包括以下六种：2.1.1 采用先进的身份验证技术身份验证可采用两种方式：（1）可以采用以特定的信息交换方式或者编码计算方式或者报文验证等方式来验证身份。这种方式下，发送方和接受方可采用同一种方式处理，也可采用经过一定计算处理或者特殊方式的转换后的不同方式加以处理。（2）密码的安全性，尤其是数字、字母密码，已经很不安全，非常容易被破解，所以，密码的安全性已经受到严重挑战。事实上，可以用汉字、字母、数字及其他任何的电脑可以识别的符号集合组成的密码钥，或者用特定的一句话组成的密码钥作为密码的标志。2.1.2 防火墙技术升级这种方法具体的就是采用防火墙技术过滤本地网以外的用户，阻止外地用户注册到本地网，以防止黑客进入本地网，同时为了防止本地网用户的病毒危害，在各个新时期终端均要设置防火墙。2.1.3 加强输入数据和接受外部数据的控制只有输入正确有效的原始数据，才能保证处理的最终结果是正确的、客观的。输入数据主要是由本单位经办业务人员将业务办理的有关数据输入系统中，这是会计系统的人口，是主要的人机接口，也是出现差错的主要环节，是决定会计信息是否正确客观的关键控制点。2.1.4 处理控制在新时期环境下，会计数据的处理基本上是完全的自动化，处理控制主要应控制操作权限，也就是何人在何部门何终端可以进行何种操作。另外，还要注意流程控制。2.1.5 输出控制单位内部各部门所需的数据输出，直接按照内部控制权限和功能使用权限、信息访问权限进行操作即可。企业向外部输出的数据，特别重要的是财务报告或机密数据，为了安全起见，这些数据向单位外部输出必须由特定的管理人员签字后方可向外发送。系统中应该设定限定条件，采用一定的防伪识别身份技术加以防伪，进行严格控制。加工生成的数据要送回数据库，以供有权访问的用户调用，实现数据的高度共享。2.1.6 流程控制手工条件下，各项经济业务均有流程控制，不同业务有不同的流程，如职工借款的流程是：首先，借款人填单据，然后，部门领导或管财务的单位领导签字，最后，借款人到财务科取款并签字，同时出纳也要签字等。内部审计是企业内部控制的主要组成部分，旨在对企业中的各种内部控制制度和各个职能部门所从事的各种业务活动进行独立评价。在计算机会计信息系统下，独立的内部审计机构应在信息系统的开发、维护过程中进行严格的审查，而且应定期检查信息系统的处理过程。新时期条件下，虽说这些传统的凭证不见了，传统的人员签字消失了，但流程控制依然是不可少的，只有贯彻了流程控制，才能有效地贯彻企业的授权管理制度，保护资金的安全，否则，整个单位财务便会失控。那么新时期条件下如何贯彻流程控制呢？事实上，新时期条件下，只要有了身份识别技术，照样可以实现流程控制。建立u盘管理制度，防止乱拷贝u盘；安装防病毒卡和反病毒软件；定期检测并清除计算机病毒等。以上述职工借款为例，职工可在本部门新时期终端填制借款单，输入指纹或签名后，通过新时期传入签字领导的新时期终端并提示领导签字，领导签字后，再通过新时期传入会计部门出纳终端，并提示出纳付款，经验证后，出纳予以付款，职工可到会计部门取款，也可由出纳将付款传入职工所在部门终端，输入职工的信用卡。为了识别身份，单位可建立本单位全部职工的指纹档案，用于判断借款人的身份。未来的社会高度新时期化后，职工可在任何地方实现借款，但要特别注意身份识别，防止不法分子钻空子。职工还款也可通过新时期予以偿还。实现流程控制要设计好提示方式，让接收数据的人及时知道需自己办理的业务，以便及时做出处理，以免影响业务的办理，同时也要求有关人员在上班时间坚守岗位，不得脱岗，以免影响业务的及时处理。2.2 一般控制一般控制，即管理控制，是贯彻内部牵制的主要方法。主要包括：（1）职权控制。即通过赋予和限制某岗位处理某种业务的权力，来达到控制的目的。需要运用牵制原则加以控制的业务，一定要分别由不同岗位人员来共同办理，分别赋予不同岗位一定权力，以便完成经济业务某环节的处理。这样，经济业务的处理一环扣一环，既相互监督、相互制约，又相互配合，共同完成一项业务的处理。在新时期条件下，同样要利用这种职权划分形成的内部牵制方法进行控制。即同样要贯彻“钱账物”分管，财物保管使用与财物管理相分离的职权划分原则。但在新时期环境下，会计、保管等部门的岗位设置与手工条件下有所不同。（2）数据的控制。为了保证会计数据的安全，除了做好数据存取的身份权限验证外，还要做好会计数据的备份工作。会计数据的备份是新时期条件下保护会计数据的重要方法，要建立定期将重要数据备份的制度，尤其是原始数据和一些重要的加工数据，要以多种方式备份，要在不同的物理地点备份，不能将重要的备份数据和原数据保存于同一物理地点。对于异地备份的数据要注意保密，要用特殊的加密方式进行加密，以确保会计数据的安全。（3）新时期硬件的控制。建立良好的运作环境，应将服务器放置在适当的位置，如远离水源、安放在高地、置于有空气调节的房间，以防止自然灾害带来的损失；计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒温技术要求；机房出入口应安装保安密码门锁及防卫警报装置。（4）新时期软件控制。包括建立定期维护软件制度和责任制，消化并吸收其精华的管理思想和设计思路。对于现有的会计软件可以人为地通过数据库系统直接操作数据这一问题，解决方法之一是在应用系统中设置文件修改检查机制，文件一旦被修改，系统可以通过自身的测试检测出来，并提醒用户注意。（5）档案资料的控制。会计档案要采用两种或两种以上的介质进行保存。对重要的数据，每种介质形式的数据都要双备份，并保存在不同地点。要制定归档借阅制度，建立档案保管责任制，重要档案要采用两人或两个以上人员共同保管，以防监守自盗，因为电子数据盗窃十分容易，携带复制十分迅速方便，能够在很短时间内盗窃大量数据和秘密。电子档案要注意防磁、防火、防潮、防盗、防尘、防压、防复制等，磁介质的档案要加避磁外套，光盘注意加上防火、防压外套。（6）建立和健全各项管理制度，建立有效的组织管理控制制度。计算机舞弊者大多是企业的程序员或计算机操作人员，因此，计算机会计信息系统要建立完善的人员职能控制制度，进行适当分工，明确规定每个岗位的职责，以防止对处理过程的不适当干预。以保证计算机硬件、软件的正常运行及整个会计信息系统的正常运转，保护计算机硬件、软件的安全以及电子文档资料和数据的安全、完整。参考文献1支明园.高职院校会计电算化专业特征课程体系的构建思路j.成功（教育），2008，（10）.2何荣华.高等职业会计专业信息技术类课程设置研究j.财会通讯（学术版），2006，（5）.