会计信息失真风险

会计信息失真风险 前言 计算机网络的兴起 引领着整个信息社会的发展潮流 网络会计是在国际互联网进一步普及 各企业 内部联网和外部接人融洽对接的环境下应运而生的新型会计处理模式 即在网络环境基础上建立会计信息 系统 实现各种交易和事项的确认 计量和披露等会计活动 相较于传统会计 网络会计具有适时 便捷 和无纸化特点 增强了信息处理的及时性 促进了信息传播的共享性 然而 网络环境下会计信息的安全 更多的依赖于网络的安全 但网络具有开放性 互联性等自身固有弱点特征 致使网络会计信息安全存在 较多潜在的威胁 而会计信息的失真极易造成企业严重的损失 因此 深入分析无纸化网络会计信息失真 的风险因素 并针对风险因素采取有效的防范对策成为当今网络会计业务运行的焦点 一 无纸化网络会计信息失真的风险 1 网络窃取 计算机网络技术在快速发展的同时 计算机病毒及黑客入侵技术易得到相应滋长 且呈现出破坏力强 入 侵速度快 难以防范等特点 网络会计 依据的是 Intemet Intmnet 体系 且采用 TCP lP 开放式协议 信息传播途径多 一旦计算机网络出现病 毒袭击或黑客入侵 通过信息截获 线路监听 身份仿冒等网络窃取手段就极易造成网络会计信息的截取 窃听及破坏风险 导致信息失真 现代企业会计信息系统是利用通信技术 网络技术 计算机技术 信息 技术 在财务管理规范化 标准化和程序化的基础上 完成财务 资产有关数据的采集 传递 加工 处 理 存储和管理等工作 并能及时完整准确地出具财务报告 具备一定分析和决策功能的网络信息系统 会计信息系统不再仅局限于单纯的会计核算 而是融合了资金管理 预算管理等功能 对企业经营的预测 决策 规划 控制等发挥了重要作用 信息安全是为了防范意外或人为破坏信息系统的运行 或非法使用信息资源而对信息系统采取的安全 保护措施 企业会计信息系统安全包括了信息系统硬件安全 软件安全两方面的内容 信息系统硬件安全是指为避免因自然灾害 人为破坏 操作失误 硬件故障 电磁干扰 丢失被盗等 带来的危险 而对系统所处环境 设备 设施 载体和人员采取的安全应对措施 信息系统软件安全是为 避免软件数据或资料泄露 被窃取 黑客病毒攻击等带来的危险 而对计算机程序和系统文档资料采取的 安全保护措施 2 会计目标变更 相较于传统会计信息处理系统 无纸化网络会计将传统历史成本计量属性用现行市价计量属性取代 将盈 利数字用现金流动信息取代 同时 将交易与事项的经济实质纳入会计信息处理重点 相关会计信息的披 露选定不同的需求对象为披露目标 从而实现网络会计信息不同使用者的不同要求 然而 该模式的信息 披露方式虽简化了会计信息处理流程 但忽略了会计信息供给方与信息需求方的理解差异 获取时间差异 等 从而造成会计信息失真 3 会计原则 程序和处理方法变更 网络会计环境中 企业运作体系仅有名称和订单 会计主体难以确认 从而模糊了会计核算的空间 同时 网络环境下企业传统的会计原则如历史成本原则 权责发生制失去存在的价值 另外 交易信息网 络传递 交易无纸化 信息输入到报表生成同步进行等会计信息处理方法造成会计信息处理流程大大减少 了人为 的干预和核对 从而增加了会计信息失真风险 4 内部控制风险 网络本身具有的开放性特点增加了会计信息管理的难度 一方面会计信息的传递方式将由附层型转为 水平型 接触信息的部门和人员逐渐增多 另一方面大量的会计信息直接从企业内部或企业外部其他系统获得 网络信息来源渠道变得复杂 因此 各种传统内部控制措施已不能满足网络环境下会计信息管理的要求 从而增加了会计信息失真风险 二 防止无纸化网络会计信息失真的对策 1 完善网络安全技术 会计信息是通过计算机网络来达到信息共享目的的 而网络安全是会计信息管理业务的重点 因此 无纸 化网络会计环境下应依据网络安全威胁因素 制定网络安全技术策略 目前 广泛运用的网络安全技术主 要包括 是防火墙技术 防火墙技术能够将本地网络与外界网络之间的执行控制进行隔离 形成一道防御系统 通过对网络之间传输数据包的检查来安装控制点 以此来决定通信是否被允许 从而保护内部网络的信息 不被外部非授权用户访问 起到保护网络会计信息的作用 是数据加密 数据加密技术能够通过对原来为明文的文件或数据按照某种算法进行重新编码 使其成为 一段不可读的代码 用户需要使用信息时只有输入与之相对应的 正确的密钥之后才能获取信息 从而有 效防止会计信息不被人非法窃取 篡改 办公自动化网络安全预誓系统分为人侵预警和病毒预警两部分 人侵预警系统中 人侵检测可以分析确 定网络中传输的数据包是否经过授权 一旦检测到人侵信息 将发出警告 从而减少对网络的威胁 它把 包括网络扫描 互联网扫描 系统扫描 实时监控和第三方的防火墙产生的重要安全数据综合起来 提供 内部和外部的分析并在实际网络中发现风险源和直接响应 它提供企业安全风险管理报告 报告集中于重 要的风险管理范围 如实时风险 攻击条件 安全漏洞和攻击分析 提供详细的人侵告警报告 显示人侵 告警信息 如人侵 IP 地址及目的 IP 地址 目的端口 攻击特征 并跟踪分析人侵趋势 以确定网络的安 全状态 信息可以发往相关数据库 作为有关网络安全的决策依据 病毒预警系统通过对所有进出网络的 数据包实施不间断的持续扫描 保持全天 24 小时监控所有进出网络的文件 发现病毒时可立即产生报警 信息 通知管理员 并可以通过 IP 地址定位 端口定位追踪病毒来源 并产生功能强大的扫描日志与报 告 记录规定时间内追踪网络所有病毒的活动 2 建立会计信息输入控制体系 会计信息输入控制体系是实现会计信息系统安全的基础 在控制体系的建立上应把握以下三点内容 一是建立会计信息确认安全控制 即当会计信息记录数据生成后 首先在会计报表上正式反映信息 然后通过 CA 证书确认电子化原始凭证 并通过动态数字签字进一步确认其可靠性 最后 在记账凭证的 填制上建立适应网络环境需要的填制程序 与第一步确认进行有机衔接 从而实现会计信息确认的安全控 制 二是建立记账凭证的输入安全控制 网络环境下会计信息系统生成的记账凭证是由系统直接根据每一 笔经济业务的性质而自动形成的 其借贷方科目及金额也是自动确定的 为实现记账凭证的输入安全控制 我们可采用相应的信息技术 建立会计数据之间的勾稽关系 从而有效促进系统自动生成借贷方科目时的 正确性 三是建立操作权限安全控制 网络环境下为保证会计信息的安全使用 应对会计信息的重要性进行明 确划分 根据重要性层次对各类人员访问不同数据的权限进行严格界定 严格禁止工作人员越权获取会计 信息 同时 采取输入 输出等信息处理权限控制制度 杜绝未经授权人员操作会计软件 3 完善会计公认原则 采用现行价值 公允价值和历史价值相结合的方法对企业拥有的资产情况进行客观确认 同时 明确界定 配比原则 权责发生制的应用范围 结合权责发生制和实现收付实现制共同完善会计公认原则 促进企业 财务状况和经营成果更准确的反映 从而降低网络环境下会计信息失真的风险 4 明确会计核算前提 网络环境下针对企业会计主体难以确认 会计核算空间模糊的现象 可采取会计主体开放性假设方法 促 进会计确认范围的扩大 进而使会计信息之间的相关性增强 避免会计信息的脱节而引发信息失真风险 同时 可将会计分期假设并人持续经营假设 实时生成不同时期的经营成果和不同时点的财务状况 从而 提高会计信息决策的有效性 另外 可实现计量手段多样化 促进会计信息的完整性 5 实施远程审计 实施远程审计是加强网络会计监督效果 促进会计信息安全的重要措施 网络会计远程审计的实施主要是 通过专业审计人员根据有关的法律法规 财产所有者的委托和管理当局的授权 全面 系统的对网络会计 的相关活动或行为进行审查验证 从而客观评价并分析网络会计中存在的信息安全隐患 降低网络会计信 息失真风险 三 信息系统安全管理的技术措施 结合企业会计信息系统安全的内容 保证信息系统安全需要采取以下几种措施 1 环境安全措施 即对信息系统所处的环境有一定的要求 计算机机房重地应远离易燃 易爆 有 害气体等各种危险物品 机房应有监控系统 做到监控和监视 机房电源 通信设备应有防雷措施 要配 备不间断电源等 对存储大量信息的磁介质 光盘介质等载体定期备份整理 做好安全保护措施 2 操作系统安全措施 在应用软件操作系统中严格执行 不相容岗位分离 按权限分级审批 的原 则 在人员调整岗位 轮换中做好权限分配管理 在资金内部结算和银行网络支付中做到介质口令双重加 密 3 数据库系统安全措施 基本要求为 保证数据库的完整性 保密性 可用性及有用性 从安全管 理和存取控制保证数据库的合法使用 防止财务数据外泄 通过对数据库加密防止攻击者借助某种手段直 接进入系统访问而造成数据泄露 对一些无法避免的破坏可采取数据库恢复技术进行补救 4 通信网络安全措施 通信网络安全威胁有偶然和故意两种 偶然威胁有天灾 故障 误操作等 故意威胁是第三者恶意的行为和电子交易对方的恶意行为 针对这些威胁采取的安全措施有加密技术 防 火墙技术等 5 应用系统数据安全措施 主要是保护财务应用软件中数据的完整性 保密性和可用性 防止泄漏 非法修改 删除 盗用和窃取数据信息 保护措施包括 对重要的数据及系统状态进行监控 对访问数据 的用户进行的读写 删除 修改等各种操作进行监视 系统管理人员能够通过特定方式随时了解 掌握系 统或数据的运行情况 并对不正常的运行状况和操作进行控制 通过验证用户身份避免非法访问 对重要 数据多个备份 并存放于不会同时受到破坏的地方 存储重要数据的计算机系统与外部实现物理隔离并进 行电磁屏蔽 6 针对入侵的安全保护 对于数据库来说 其物理完整性 逻辑完整性 数据元素完整性都是十分重 要的 数据库中的数据有纯粹信息数据和功能文件数据两大类 人侵保护应主要考虑以下几条原则 物理 设备和安全防护 包括服务器 有线 无线通信线路的安全防护 服务器安全保护 不同类型 不同重要 程度的数据应尽可能在不同的服务器上实现 重要数据采用分布式管理 服务器应有合理的访问控制和身 份认证措施保护 并记录访问日志 系统中的重要数据在数据库中应有加密和验证措施 用户对数据的存 取应有明确的授权策略 保证用户只能打开自己权限范围之内的文件 通过审计和留痕技术避免非法者从 系统外取得系统数据或是合法用户为逃避系统预警报告的监督而从系统中取得数据 客户端安全保护 客 户端的安全主要是要求能配合服务器的安全措施 提供身份认证 加密 解密 数字签名和信息完整性验 证功能 并通过软件强制实现各客户机口令的定期更换 以防止口令泄漏可能带来的损失 7 针对病毒破坏及灾难破坏的安全保护 对于病毒和灾难破坏的数据保护来说 最为有效的保护方 式有两大类 物理保护和数据备份 要防止病毒和灾难破坏数据 首先要在网络核心设备上设置物理保护 措施 包括设置电源冗余模块和交换端口的冗余备份 其次是采用磁盘镜像或磁盘阵列存储数据 避免由 于磁盘物理故障造成数据丢失 另外 还要使用其他物理媒体对重要的数据进行备份 包括实时数据备份 和定期数据备份 以便数据丢失后及时有效地恢复 8 相对于单机病毒的防护来说 网络病毒的防治具有更大的难度 网络病毒防治应与网络管理紧密结 合 网络防病毒最大的特点在于网络的管理功能 如果没有管理功能 很难完成网络防毒的任务 只有管 理与防范相结合 才能保证系统正常运行 计算机病毒的预防在于完善操作系统和应用软件的安全机制 在网络环境下 病毒传播扩散快 仅用单机防杀病毒产品已经难以清除网络病毒 必须有适用于局域网 广域网的全方位防杀病毒产品 为实现计算机病毒的防治 可在办公自动化网络系统上安装网络病毒防治 服务器 并在内部网络服务器上安装网络病毒防治软件 在单机上安装单机环境的反病毒软件 安装网络 病毒防治服务器的目标是以实时作业方式扫描所有进出网络的文件 本地网络与其它网络间的数据交换 本地网络工作站与服务器间的数据交换 本地网络各工作站之间的数据交换都要经过网络病毒防治服务器 的检测与过滤 这样就保证了网络病毒的实时查杀与防治 9 办公自动化系统数据遭到破坏之后 其数据恢复程度依赖于数据备份方案 数据备份的目的在于尽 可能快地全盘恢复运行计算机系统所需的数据和系统信息 根据系统安全需求可选择的备份机制有 实时 高速度 大容量自动的数据存储 备份与恢复 定期的数据存储 备份与恢复 对系统设备的备份 备份不 仅在网络系统硬件故障或人为失误时起到保护作用 也在人侵者非授权访问或对网络攻击及破坏数据完整 性时起到保护作用 同时亦是系统灾难恢复的前提之一 四 信息系统安全管理的企业环境构建 财政部 证监会等五部委联合发布的 内部控制系统应用指引第 18 号 信息系统 明确指出 企 业应当加强信息系统运行与维护的管理 制定信息系统工作程序 信息管理制度以及各模块子系统的具体 操作规范 及时跟踪 发现和解决系统运行中存在的问题 确保信息系统按照规定的程序 制度和操作规 范持续稳定运行 企业开发信息系统 应当将生产经营管理业务流程 关键控制点和处理规则嵌入系 统程序 实现手工环境下难以实现的控制功能 从中可以看出 企业可以通过建设和使用信息系统来完 成手工无法完成的工作 构建会计信息系统的企业环境 从而提高企业的竞争优势 1 完善制度 制度是要求大家共同遵守的办