会计信息系统发展过程中存在的主要风险、安全防范体系

1、3会计信息系统发展过程中存在的主要风险计算机技术在会计应用中的广泛深入，同时也使计算机数据处理环境 下会计风险防范难度加大，会计信息系统的安全应得到高度重视。加 强会计信息系统的风险控制对防止信息泄露，保护财务数据的完整性 保障用户的合法使用权益具有非常重要的作用。高校会计信息系统网络化是一把双刃剑，高校在利用网络实施财 务管理的同时，也将自己暴露于风险之中，财务网络存在诸多安全隐 患。据笔者分析，目前高校会计信息系统存在的风险主要表现在以下 几个方面：3.1系统运行风险会计信息系统运行风险主要有人为因素和非人为因素两种。人为因素指用户非法占用网络资源、窃取或有意阻塞网络通信、通过计算 机病毒

2、来降低网络性能造成计算机网络瘫痪等。非人为因素主要指自然灾害影响，如风雨雷电、地震、火灾等造成系统运行故障。3.2数据传输风险从技术上来看，网络运行中的任何数据都有可能被 “窃取”。非法 用户不但可以窃取会计信息的内容，还可以在不了解信息内容的情况 下窃取信息的流量和流向、通讯频度和长度 ，由此获取有用的信息。 传输风险还包括操作人员采用不正当的手段获取、篡改数据、盗用资源（计算资源、 通信资源、存储资源）等。3.3数据的完整性风险会计信息系统数据完整性风险可分为人为因素和非人为因素两 种。人为因素指操作员对会计信息系统的非法入侵 ,用户越权对会计 数据的处理以及其他对会计数据的破坏等；非人为

3、因素对数据的破坏 指通讯传输过程中对数据的干扰、计算机硬件故障、软件运行差错等。 以上风险可能篡改会计信息的内容、形式和流向，都会造成整个财务系统数据丢失、无法运行甚至瘫痪等，给学校造成巨大经济损失。3.4计算机舞弊风险计算机舞弊行为主要包括当数据进入系统时操作员伪造数据，删 除、修改或增加会计事项等。最常见的手段有 ：从远程地址访问数 据库，在文件中浏览查找复制有用数据，以达到个人的各种目的。用 计算机病毒破坏程序逻辑。如木马计算是在计算机程序中最常用的破 坏方法。计算机病毒有传播性、潜伏性，正成为计算机舞弊者对计算 机网络进行破坏的最常用的手段之一。 创建非法程序。该程序可以 直接访问数据

4、库数据文件，更改或删除会计记录，或变更会计事项等。3.5人才缺乏风险会计信息化成败，人才是一个关键。我国高校会计信息化人才的 缺乏主要表现在两个方面：缺乏符合会计信息化管理要求的领导 者。实现会计信息化需要调动各种资源，形成一个高效率的团队，发挥每一名财务人员的积极性和特长，与学校信息化目标保持一致。这些 需要财务领导者有较强的协调能力、创新能力和洞察力，然而这样的财务领导人才正是目前高校所缺乏的。高校实行会计信息化后人员 技术知识呈现两极分化状况，即懂计算机的人，财务管理知识比较缺 乏；有财务管理经验的人，计算机技术又不够强。要想进行深层次的会 计信息化,就要培养既懂计算机又懂会计的复合型人

5、才。4加强会计信息系统建设安全控制措施4.1加强安全防范意识拥有网络安全意识是保证网络安全的重要前提，许多网络安全事 件的发生都和缺乏安全防范意识有关。4.2安全技术手段(1) 物理措施。保护网络关键设备(如交换机、大型计算机等), 制定严格的网络安全规章制度，采取防辐射、防火以及安装不间断电 源(UPS)等措施。(2) 访问控制。对用户访问网络资源的权限进行严格的认证和控制。例如，进行用户身份认证，对口令加密、更新和鉴别，设置用户访 问目录和文件的权限，控制网络设备配置的权限，等等。(3) 网络隔离。网络隔离有两种方式：一种是米用隔离卡来实现的 一种是采用网络安全隔离网闸实现的。(4) 技术

6、性措施。近年来，围绕网络安全问题提出了许多技术解决办法,如数据加密、防火墙、漏洞扫描、入侵检测、数据处理功能保 护、数据备份等。数据加密是对网络中传输的数据进行加密，到达目的地后再解密还原为原始数据，目的是防止非法用户截获后盗用信息 保障信息被人截获后不能读懂其含义。防火墙技术是通过对网络的隔 离和限制访问等方法来控制网络的访问权限。4.3加强内部控制，建立安全防范体系会计信息系统存在的风险问题很大程度上源于内部控制方面存 在缺陷，因此,必须建立健全电子数据处理的内部控制系统，建立与其 相适应的一般控制和应用控制措施。一般控制适用于较广范围的风险 重点是对程序的控制；应用控制主要针对特定系统的

7、风险，其重点是 输入过程的控制。内部控制采取的主要方法有：(1) 分析会计信息系统存在的薄弱环节以及可能受到的威胁。(2) 制定并实施系统运行的安全措施。(3) 建立多层控制体系，物理隔离潜在的入侵者，如站点进入控 制、系统进入控制和文档进入控制等。(4) 加强内控制度建设。会计信息系统实施以后，要结合会计信息系统的特点制定一系列的内部控制制度，如网络维护与管理制度、设 备管理制度、操作权限控制制度、业务流程与核算制度等，以保证会计信息系统正常运行。(5) 加强对系统管理人员和操作员安全知识教育和职业道德教育 通过安全教育对数据安全问题达成共识，提高人员的基本素质。4.4加强灾难性风险控制灾难

8、性风险控制主要指灾难性预防和偶然性事件处理两个方面。加强灾难性控制就是要保证有灾难事件发生时，系统能够快速恢复工 作。良好的安全政策和计划可以预防由于蓄意破坏或误操作引起的灾 难。计算机设备及其备份的数据要放置在建筑物中最难以被自然灾害 以及恶意破坏者破坏的地点。灾难恢复计划必须作为计算机安全措施 的一个重要组成部分。4.5加强法制建设加强网络安全的法制建设是保护计算机安全运行的有力武器和强有力的措施。信息系统的快速发展一是需要建立维护计算机系统安 全的法律法规，使计算机安全措施法制化、制度化、规范化；二是建立 针对计算机犯罪活动的法律，惩治违法者，保护用户的合法权益。4.6加强业务流程控制高

9、校会计信息系统内部控制的许多方面均体现在业务流程层面上，根据财政部颁发的内部会计控制规范 基本规范 (试行)的 总体要求，可以按照本单位的业务流程画出业务流程模型图 ，找出哪 一个环节问题最多，就定位为关键控制点，设置重点控制，对不易出问 题的业务环节定位为一般控制。把风险控制融于业务处理的过程中 ， 使其发挥最佳控制实效。4.7加强业务学习，提高会计人员的综合素质目前绝大多数高校都建立了校园网，这为实现会计信息化搭建了 良好的运行平台，关键问题是，如何最大限度地利用这一平台，充分发 挥网络化的优势，保证会计信息化的实现。其中实现会计信息化最根 本的一条就是必须有一支高素质的会计人员队伍。会计

10、人员只有不断 学习新知识，接受新观念，适应新方法，开拓新思路，才能做到与时俱 进,保证会计信息化在高校的全面实现。5结语会计信息化系统的实施是会计现代化发展的必然趋势，是提高高校现代化管理水平的重要手段，只有不断发现和解决信息化建设中的有关问题，建立健全网络会计信息系统内部控制制度，才能保证网络环境下会计信息系统安全、稳定的运行 ，才能充分发挥财务信息网 络的优势和作用，更好地促进高等教育事业健康、有序发展。主要参考文献1财政部关于推进我国会计信息化工作的指导意见（财会20096 号）Z.2OO9.2陈旭，毛华扬.会计信息系统分析与设计M.北京：清华大 学出版社，2009.3张海兰.网络信息时

11、代高校财务管理目标及其实现J.北京航四、企业电算化会计信息系统内部控制对策:1. 全面提高会计人员素质。内部制度是由人设计、执行的，缺乏高素质的人员，任何控制 制度措施的效用都将大打折扣，甚至形同虚设。企业必须全面提高会计人员的政 治素质和业务素质在内的综合素质，尤其要加强计算机技术学习，使计算机操作 水平上档次，同时注重管理者管理风格、企业文化意识等精神层面的软控制，充 分调动人的积极性。2. 业务程序标准化，严把会计核算控制质量关。会计核算控制是电算化系统内部控制中的重要内容。会计核算 结果是会计预测、决策、分析的基础。必须保证账务处理正确性、规范性、真实 性。原始凭证经过审核，在录入处理

12、的一切经济业务必须经过相应的权级审批， 简明、准确、完整地填制与录入。不正确的业务更正与删除，企业单位的处理等 都必须严格按规定进行，严格执行复核制度，充分保证计算机账务处理不错不乱。 无论是静态审核，还是动态审核，都要仔细核对输出的账务凭证与实际发生的经 济业务是否一致。会计数据输出必须进行严格审核并签章， 认真做好会计数据日 备份和月末备份，并坚持双重备份制度。从核算环节把关，保证整个系统正常运 行，做到数据真实、完整、和安全，业务处理合法、有效。会计核算控制是防范 和化解会计核算风险的重要环节，必须引起高度重视。3强化操作权限意识，明确岗位责任，实行权限等级控制。企业必须从会计工作的特点

13、入手，合理地进行岗位分工，岗位 协调，明确岗位职责，制定科学规范的工作效率，防范和化解会计 工作风险。要充分运用财务软件自身的程序控制功能，实行权限管 理，互相监督，互相牵制；实行集中式事后监督与实时监控相结合 的内控机制。4. 强化系统安全与网络安全控制。强化系统安全控制主要应从防止未经授权的人员擅自动用系 统各种资源、减少因外界因素导致计算机故障等方面入手， 主要的控制措施包括： 订立内部操作制度，禁止非电脑操作人员操作财务专用电脑；设置操作权限限制， 操作人员身份的密码控制；数据存储和处理相隔离；机房的工作环境保护。网络 安全指标包括数据保密、访问控制、身份识别等。针对这些方面，可采用一

14、些安 全技术，主要包括：数据加密技术、访问控制技术，认证技术等。网络传输介质、 接入口的安全性也是应该引起注意的问题，尽量使用光纤传输，接入口应保密。 通过上述技术可基确保财务信息在内部及外部网络传输中的安全性。5. 加强计算机硬件、软件管理，重视技术控制作为财务软件公司在软件开发中，必须引入安全稽核机制，对 重要的操作日志进行记载，并进行必要的权限设置，以便能够对各种不同的权限 进行用户识别和远程请求识别。为了能够实时安全监控，必须建立网络间的安全 屏障即网络安全“防火墙”，按照系统管理员的权限，用预先定义好的规则控制 会计帐套数据库的进出，通过对数据进行重新组合和对会计帐套数据库进行加 密

15、，是业务数据只有在解密的条件下才能使用，同时必须进行必要的身份认证和 内容检查，控制一些软件的安装，尤其是数据库系统软件，以防止利用数据库系 统打开帐套数据库，进行非法处理。拒绝一切无关人员使用计算机。建立一套完 善的操作环境和软件系统是进行电算化会计信息系统内部监控的必要手段，只有这样才能保证会计人员相对独立、完整地行使自己权限并达到会计内部监控目 的，为更好地进行会计监控做好必要的技术支持和技术准备。6. 整章建制，实行电算化环境下的制度控制。针对电算化系统，企业必须对手工会计信息中的的各项规章制 度进行整理，以充分适应需要。整章建制的内容主要有计算机管理制度、会计工作管理制度，包括：岗位

16、责任管理制度、日常操作管理制度、维护管理制度、 机房管理制度和档案制度。作为电算化系统内部控制工作的核心内容应着重在完 善内控环境上下功夫，制定严格的控制制度并保证得到全面执行， 设立良好的控 制活动，以不断提高会计工作效率和经济利益。7. 制定财务软件业界协议。协议是规则的集合，分为低层和高层两类，它规定了财务软件 的不同部分是如何交互的，从而保证不同品牌的财务软件彼此间能够实现数据传 递或交换。作为会计电算化宏观管理的主管部门， 应当从技术的角度就财务软件 的数据平台、数据结构、各功能模块、数据传递模式、数据安全与保密等做出统 一规定。这样使各种不同品牌的财务软件之间才能实现数据共享，为企

17、业会计电算化内部数据安全的进一步完善提供良好的外部环境。2网络环境下会计信息系统内部控制的 新变化(1) 手工下的一些内部控制措施在网络环 境下没有存在的必要性能，如：编科目汇总 表、凭证汇总表、试算平衡表等的检查，总 账、明细账的核对。只要财务会计软件的程 序正确，就很难发生对已经正确录入数据库的财务会计凭证数据的再加工整理过程出现 某些失误。(2) 手工下的一些内部控制措施，在网 络环境下转移到会计软件中，由计算机程序 完成。如凭证的借贷平衡检验；余额、生 额的平衡检查；核算与系统之间的数据核 对；表数据的勾稽关系检查等。(3) 内部控制的重点将放在原始数据输入 计算机的控制、会计信息的输

18、出控制、人机 交互自理的控制、计算机系统之间连接的控 制等几方面。(4) 控制的范围的变化。传统的内部控 制主要针对交易处理，而网络环境下，由于 系统建立和运行的复杂性，内部控制的范围 相应扩大，包含了传统手工系统所没有的控 制，如网络系统安全的控制、系统权限的控 制、修改程序的控制等。3网络环境下会计信息系统内部控制的 组建3.1会计信息系统内部控制的主体和客体 会计信息系统的内部控制主体 ，即由谁来 实施内部控制，从系统论的角度分析，会计 信息系统的内部控制主体应是单位内部人 员。而因网络的无限延伸性，财务业务的一 体化、集成化、商务活动的电子化、网络 化，从而扩大会计信息系统内部控制的范

19、 围，与单位相关联的商家、客户或其他组 织，既是影响内部控制系统运行的环境因 素，也成为某种意义上内部控制主体。内部控制的客体，即内部控制的实施对 象，体现为单位内部的基本要素人、财、物 及其在生产过程中所形成的一系列组合关系 和组合形式。3.2会计信息系统内部控制的基本原则 只有准确地对影响企业经营管理过程中 的重要方面或生要环节的分析，设置好控制 要素，才能对企业经营管理各环节实施全方 位的有效控制。因此，网络下会计，由系统控 制完善应遵循一定的原则。合法、合规性原则。建立的内部控制要 素应当遵循有关国家财经法律法规及企业有 关管理制度的要求，保证每一项经济活动能 够在合法、合规的状态下开

20、展。经济性原则。即注意成本与效益。一般 来说，控制程序的成本不能超过风险或错误 可能造成的损失或浪费，其基本标准是实行 控制的收益应大于其成本，否则，再好的控 制措施和方法也失去意义，公司应当充分发 挥各机构、各部门及广大职员的工作积极 性，尽量降低经营运作成本，保证以合理的 控制成本达到最佳的内部控制效果。针对性原则。根据实际情况，针对会计 信息系统中薄弱环节，容易出现错误的细节 来制定具体的内部控制要素。全面性原则。内部控制机制必须覆盖公 司的各项业务、各个部门和各级人员，并渗 透到决策、执行、监督、反馈等各个经营 环节。适用性原则。即控制设置的可操作性 强，易于理解，切实可行。一贯性原则

21、。设置内部控制要求必须具 有一定的连续性和一致性，保证会计工作的 严肃性。相互制约原则。各个控制要素中不相容 的职务要严格加以分离，不得由一人或一个 部门包办到底。适应性、发展性原则。要始终关注企业 经营方针、政策和经营环境经营模式的变 化，同时要着眼于企业未来的发展，对控制 要素要随着客观现实的各种变化和发展要 求，定期评估，并适时做出调整，以适应 企业经营管理需要和企业发展变化的要求。3.3网络环境下增强内部控制3.3.1设立良好的控制活动 控制活动旨在针对“使企业经营目标不 能达成的风险”而采取了必要行动。控制控 制出现在整个企业内的各个阶层与各种职能 部门。332增强内部控制系统的预防

22、性功能 一个有效的内部控制制度需要预防性 的、检查性的和纠正性的控制。传统的内部 控制制度通常是根据已输出的会计信息在年 末检查财务错误和舞弊，大部分的内部控制 的预防功能被限制了。在网络环境下，广泛 地使用网络信息技术为支持决策和改善业务 与信息转化过程提供了战略机会，也提供了 预防、检查和纠正错误或防止程序舞弊的机 会。例如，在计算机软件中嵌入内部控制程 序，随时监控企业经营运行状况，当将出现 问题时及时提示预警会计信息，帮助员工进 行过程控制。3.3.3利用网络信息技术，实现企业的 一体化集成管理。企业应在网络环境下，通过信息化的手 段完成产、供、销业务的连贯，实现财务 处理与业务处理的

23、一体化，建立一个实时有 效的计划和预算系统。在会计和其他管理信 息化的过程中，改革传统的业务结构，提高 运营效率，降低成本，加强企业内部基础管 理的规范性。3.3.4加强信息流动与沟通，增强对会 计信息系统的控制企业在经营与控制过程中，员工必须清 楚地获取与其有关控制责任的信息，了解内 部控制制度的有关方面，这些方面如何生效, 在控制制度中自己所扮演的角色，所担负的 责任，所负责的活动怎样与他人的工作发生 关系等，网络环境下的会计信息系统应有向 上、向下、横向信息的沟通。3.3.5加强监督，定期评估重新设计内 部控制规则新的技术带来新风险，内部控制系统要 切实执行且效果良好，内部控制能够随时适

24、 应新情况，就需要不断地进行评估和更新，首 先要定期对会计信息系统的内部控制制度进 行审计，其次要开展会计信息的事前审计和 事后审计，通过审计，对网络信息系统的合 法、合规性作出全面评价，提出改进意见，以 便使系统更适应新的环境。4网络环境下会计信息系统内部控制的 实施 4.1网络环境下会计信息系统的一般控制 一般控制是指任何网络会计信息系统普 遍适用、为系统的安全可靠而对系统构成要 素（人、硬件、软件）及环境实施的控制。4.1.1 组织与管理控制组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分 等形式进行的控制，其基本目标是建立恰当 的组织机构和职责分工制度，以达到相

25、互牵 制、相互制约、防止或减少错弊发生的目 的。其中较重要的岗位有系统管理和审核岗 位。 系统管理主要负责系统的硬软件管理 工作，从技术上保证系统的正常运行。包括 掌握网络服务器及数据库的超级口令，负责 网络资源分配，监控网络运行；按照主管人 员的要求，对各岗位分配权限，对数据的安 全保密负责；负责对硬件、软件、数据的 管理与维护工作。审核岗位主要负责监督计算机及网络 系统的运行，防止利用计算机进行舞弊。具 体包括：审查机内数据与书面资料的一致 性；监督数据保存方式的安全性、合法性， 防止发生非法修改历史数据的现象；对系统 运行各环节进行审查，防止存在漏洞等。 4.1.2应用系统开发、建立和维

26、护控制 应用系统开发控制是针对系统开发阶 段而言的，具体包括：系统开发前应进行可 行性研究和需求分析；开发过程应进行适当 的人员分工；按规范收集和保管有关系统的 资料并加以保密等。系统建立控制则是针对系统建立阶段 而言的，具体包括：资源的适当配置；系 统的调试应有各岗位人员的参与；新的系统 应与传统系统并行一段时间并经有关部门审 批后才能替代传统系统使用；一旦发现网络 系统各类软件可能存在安全漏洞，应立即进 行在线修补与升级，并将所有与软件修改有 关的记录报告及时存储归档。严格的验收程 序等。系统的维护是指日常为保障系统正常 运行而对系统硬软件进行的安装、修正、更 新、扩展、备份等方面的工作。

27、系统维护 控制就是针对这些工作而实施的控制。4.1.3系统操作控制系统操作控制主要表现为操作权限控制 和操作规程控制两个方面。操作权限控制是指每个岗位的人员只 能按照所授予的权限对系统进行作业，不得 超越权限接触系统。系统应制定适当的权限 标准体系，使系统不被越权操作，从而保证 系统的安全。操作权限控制常采用设置口令 来实行。操作规程控制是指系统操作必须遵循 一定的标准操作规程进行。标准操作规程包 括：软硬件操作规程，作业运行规程，用 机时间记录规程等。4.1.4会计数据资源控制 会计数据资源控制是整个系统控制的主 要安全目标，要防止数据程序被修改、损毁 和被病毒感染。对于特定的信息，哪些人可

28、 以读，哪些人可以改写，那些人可以复制， 必须给出严格的规定，同时建立操作日志， 一旦出现问题可以据此对相关人员进行核 查。4.1.5数据和程序控制和安全控制 数据和程序控制主要是指对数据、程序 的安全控制。程序的安全与否直接影响着系 统的运行，而数据的安全与否关系到财务信 息的完整性和保密性。程序控制的目标是要 做到任何情况下数据都不丢失、为损毁、不 泄露、不被非法侵入。通常采用的控制包括 接触控制、丢失数据的恢复与重建等。4.2会计网络系统的应用控制应用控制是对会计网络系统中具体的数 据处理活动所进行的控制。应用控制可划分为输入控制、计算机处理与数据文件控制和 输出控制。4.2.1输入控制

29、常用的控制方法包括：建立科目名称与 代码对照文件，以防止会计科目输错；设计 科目代码校验，以保证会计科目代码输入的 正确性；设立对应关系参照文件，用来判断 对应帐户是否发生错误；试算平衡控制，对 每笔分录和借贷方进行平衡校验，防止输入 金额出错；顺序检查法，防止凭证编号重 复；二次输入法，将数据先后两次输入或同 时由两人分别输入，经对比后确定输入是否 正确等。422计算机处理与数据文件控制 常用的控制措施包括：登帐条件检验， 即系统要有确认数据经复核后才能登帐的控 制能力；防错、纠错控制，即系统要有防 止或及时发现在处理过程中数据丢失、重复 或出错的控制措施；修改权限与修改痕迹控 制，即对已入

30、帐的凭证，系统只能提供留有 痕迹控制，即对已入帐的凭证，系统只能提 供留有痕迹的更改功能，对已结帐的凭证与 帐簿以及计算机内帐簿生成的报表数据，系 统不提供更改功能等。4.2.3 输出控制控制措施包括：控制只有具有相应权限 的人才能执行输出操作，并要登记操作记 录，从而达到限制接触输出信息的目的；打 印输出的资料要进行登记，并按会计档案要 求保管。总之，随着计算机网络技术在会计中的 广泛运用，一些传统的核对、计算、存储 等内部会计控制方式都被计算机轻而易举地 替代，企业内部会计信息的处理过程发生了 根本的变化，它给企业带来风险的同时也带 来了控制风险的机会与工具。在采用新型内 部控制手段时，要结合传统有效的内部控制 方式，在传统的控制观念基础上，充分利用 网络信息技术，开展内部控制的创新工作， 建立与时代相适应的内部控制制度，满足企 业管理的需要，为企业带来更大的价值。参考文献1 熊筱燕，罗建玉，王殿龙会计控制论新华 出版社,2002,1.2 胡华.网络安全与会计控制.立新会计出版 社,2000,12.3 内部会计控制规范一基本规范（试行）.中华