会计信息系统展过程中存在主要风险安全防范体系

1、3 会计信息系统发展过程中存在的主要风险 计算机技术在会计应用中的广泛深入,同时也使计算机数据处理环境下会计风险防范难度加大,会计信息系统的安全应得到高度重视。加强会计信息系统的风险控制对防止信息泄露,保护财务数据的完整性,保障用户的合法使用权益具有非常重要的作用。 高校会计信息系统网络化是一把双刃剑,高校在利用网络实施财务管理的同时,也将自己暴露于风险之中,财务网络存在诸多安全隐患。据笔者分析,目前高校会计信息系统存在的风险主要表现在以下几个方面: 3.1系统运行风险 会计信息系统运行风险主要有人为因素和非人为因素两种。人为因素指用户非法占用网络资源、窃取或有意阻塞网络通信、通过计算机病毒来

2、降低网络性能造成计算机网络瘫痪等。非人为因素主要指自然灾害影响,如风雨雷电、地震、火灾等造成系统运行故障。 3.2 数据传输风险从技术上来看,网络运行中的任何数据都有可能被“窃取”。非法用户不但可以窃取会计信息的内容,还可以在不了解信息内容的情况下窃取信息的流量和流向、通讯频度和长度,由此获取有用的信息。传输风险还包括操作人员采用不正当的手段获取、篡改数据、 盗用资源(计算资源、 通信资源、存储资源)等。 3.3 数据的完整性风险 会计信息系统数据完整性风险可分为人为因素和非人为因素两种。人为因素指操作员对会计信息系统的非法入侵,用户越权对会计数据的处理以及其他对会计数据的破坏等;非人为因素对

3、数据的破坏指通讯传输过程中对数据的干扰、计算机硬件故障、软件运行差错等。以上风险可能篡改会计信息的内容、形式和流向,都会造成整个财务系统数据丢失、无法运行甚至瘫痪等,给学校造成巨大经济损失。 3.4计算机舞弊风险 计算机舞弊行为主要包括当数据进入系统时操作员伪造数据,删除、修改或增加会计事项等。最常见的手段有:从远程地址访问数据库,在文件中浏览查找复制有用数据,以达到个人的各种目的。用计算机病毒破坏程序逻辑。如木马计算是在计算机程序中最常用的破坏方法。计算机病毒有传播性、潜伏性,正成为计算机舞弊者对计算机网络进行破坏的最常用的手段之一。创建非法程序。该程序可以直接访问数据库数据文件,更改或删除

4、会计记录,或变更会计事项等。 3.5人才缺乏风险 会计信息化成败,人才是一个关键。我国高校会计信息化人才的缺乏主要表现在两个方面:缺乏符合会计信息化管理要求的领导者。实现会计信息化需要调动各种资源,形成一个高效率的团队,发挥每一名财务人员的积极性和特长,与学校信息化目标保持一致。这些需要财务领导者有较强的协调能力、创新能力和洞察力,然而这样的财务领导人才正是目前高校所缺乏的。高校实行会计信息化后人员技术知识呈现两极分化状况,即懂计算机的人,财务管理知识比较缺乏;有财务管理经验的人,计算机技术又不够强。要想进行深层次的会计信息化,就要培养既懂计算机又懂会计的复合型人才。 4 加强会计信息系统建设

5、安全控制措施 4.1加强安全防范意识 拥有网络安全意识是保证网络安全的重要前提,许多网络安全事件的发生都和缺乏安全防范意识有关。 4.2 安全技术手段 (1)物理措施。保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。(2)访问控制。对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。 (3)网络隔离。网络隔离有两种方式:一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。 (4)技术性措施。近年来,围绕网络安全

6、问题提出了许多技术解决办法,如数据加密、防火墙、漏洞扫描、入侵检测、数据处理功能保护、数据备份等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息,保障信息被人截获后不能读懂其含义。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。4.3加强内部控制,建立安全防范体系 会计信息系统存在的风险问题很大程度上源于内部控制方面存在缺陷,因此,必须建立健全电子数据处理的内部控制系统,建立与其相适应的一般控制和应用控制措施。一般控制适用于较广范围的风险,重点是对程序的控制;应用控制主要针对特定系统的风险,其重点是输入过程的控制。 内

7、部控制采取的主要方法有: (1)分析会计信息系统存在的薄弱环节以及可能受到的威胁。 (2)制定并实施系统运行的安全措施。 (3)建立多层控制体系,物理隔离潜在的入侵者,如站点进入控制、系统进入控制和文档进入控制等。 (4)加强内控制度建设。会计信息系统实施以后,要结合会计信息系统的特点制定一系列的内部控制制度,如网络维护与管理制度、设备管理制度、操作权限控制制度、业务流程与核算制度等,以保证会计信息系统正常运行。 (5)加强对系统管理人员和操作员安全知识教育和职业道德教育,通过安全教育对数据安全问题达成共识,提高人员的基本素质。 4.4加强灾难性风险控制 灾难性风险控制主要指灾难性预防和偶然性

8、事件处理两个方面。加强灾难性控制就是要保证有灾难事件发生时,系统能够快速恢复工作。良好的安全政策和计划可以预防由于蓄意破坏或误操作引起的灾难。计算机设备及其备份的数据要放置在建筑物中最难以被自然灾害以及恶意破坏者破坏的地点。灾难恢复计划必须作为计算机安全措施的一个重要组成部分。 4.5加强法制建设 加强网络安全的法制建设是保护计算机安全运行的有力武器和强有力的措施。信息系统的快速发展一是需要建立维护计算机系统安全的法律法规,使计算机安全措施法制化、制度化、规范化;二是建立针对计算机犯罪活动的法律,惩治违法者,保护用户的合法权益。 4.6加强业务流程控制 高校会计信息系统内部控制的许多方面均体现

9、在业务流程层面上,根据财政部颁发的内部会计控制规范基本规范(试行)的总体要求,可以按照本单位的业务流程画出业务流程模型图,找出哪一个环节问题最多,就定位为关键控制点,设置重点控制,对不易出问题的业务环节定位为一般控制。把风险控制融于业务处理的过程中,使其发挥最佳控制实效。4.7加强业务学习,提高会计人员的综合素质 目前绝大多数高校都建立了校园网,这为实现会计信息化搭建了良好的运行平台,关键问题是,如何最大限度地利用这一平台,充分发挥网络化的优势,保证会计信息化的实现。其中实现会计信息化最根本的一条就是必须有一支高素质的会计人员队伍。会计人员只有不断学习新知识,接受新观念,适应新方法,开拓新思路

10、,才能做到与时俱进,保证会计信息化在高校的全面实现。 5 结 语 会计信息化系统的实施是会计现代化发展的必然趋势,是提高高校现代化管理水平的重要手段,只有不断发现和解决信息化建设中的有关问题, 建立健全网络会计信息系统内部控制制度,才能保证网络环境下会计信息系统安全、稳定的运行,才能充分发挥财务信息网络的优势和作用,更好地促进高等教育事业健康、有序发展。 主要参考文献 1财政部.关于推进我国会计信息化工作的指导意见(财会20096号)Z.2009. 2陈旭,毛华扬. 会计信息系统分析与设计M. 北京:清华大学出版社,2009. 3张海兰. 网络信息时代高校财务管理目标及其实现J. 北京航四、企

11、业电算化会计信息系统内部控制对策： 1. 全面提高会计人员素质。内部制度是由人设计、执行的，缺乏高素质的人员，任何控制制度措施的效用都将大打折扣，甚至形同虚设。企业必须全面提高会计人员的政治素质和业务素质在内的综合素质，尤其要加强计算机技术学习，使计算机操作水平上档次，同时注重管理者管理风格、企业文化意识等精神层面的软控制，充分调动人的积极性。 2. 业务程序标准化，严把会计核算控制质量关。会计核算控制是电算化系统内部控制中的重要内容。会计核算结果是会计预测、决策、分析的基础。必须保证账务处理正确性、规范性、真实性。原始凭证经过审核，在录入处理的一切经济业务必须经过相应的权级审批，简明、准确、

12、完整地填制与录入。不正确的业务更正与删除，企业单位的处理等都必须严格按规定进行，严格执行复核制度，充分保证计算机账务处理不错不乱。无论是静态审核，还是动态审核，都要仔细核对输出的账务凭证与实际发生的经济业务是否一致。会计数据输出必须进行严格审核并签章，认真做好会计数据日备份和月末备份，并坚持双重备份制度。从核算环节把关，保证整个系统正常运行，做到数据真实、完整、和安全，业务处理合法、有效。会计核算控制是防范和化解会计核算风险的重要环节，必须引起高度重视。3. 强化操作权限意识，明确岗位责任，实行权限等级控制。企业必须从会计工作的特点入手，合理地进行岗位分工，岗位协调，明确岗位职责，制定科学规范

13、的工作效率，防范和化解会计工作风险。要充分运用财务软件自身的程序控制功能，实行权限管理，互相监督，互相牵制；实行集中式事后监督与实时监控相结合的内控机制。4强化系统安全与网络安全控制。强化系统安全控制主要应从防止未经授权的人员擅自动用系统各种资源、减少因外界因素导致计算机故障等方面入手，主要的控制措施包括：订立内部操作制度，禁止非电脑操作人员操作财务专用电脑；设置操作权限限制，操作人员身份的密码控制；数据存储和处理相隔离；机房的工作环境保护。网络安全指标包括数据保密、访问控制、身份识别等。针对这些方面，可采用一些安全技术，主要包括：数据加密技术、访问控制技术，认证技术等。网络传输介质、接入口的

14、安全性也是应该引起注意的问题，尽量使用光纤传输，接入口应保密。通过上述技术可基确保财务信息在内部及外部网络传输中的安全性。5.加强计算机硬件、软件管理，重视技术控制。作为财务软件公司在软件开发中，必须引入安全稽核机制，对重要的操作日志进行记载，并进行必要的权限设置，以便能够对各种不同的权限进行用户识别和远程请求识别。为了能够实时安全监控，必须建立网络间的安全屏障即网络安全“防火墙”，按照系统管理员的权限，用预先定义好的规则控制会计帐套数据库的进出，通过对数据进行重新组合和对会计帐套数据库进行加密，是业务数据只有在解密的条件下才能使用，同时必须进行必要的身份认证和内容检查，控制一些软件的安装，尤

15、其是数据库系统软件，以防止利用数据库系统打开帐套数据库，进行非法处理。拒绝一切无关人员使用计算机。建立一套完善的操作环境和软件系统是进行电算化会计信息系统内部监控的必要手段，只有这样才能保证会计人员相对独立、完整地行使自己权限并达到会计内部监控目的，为更好地进行会计监控做好必要的技术支持和技术准备。6.整章建制，实行电算化环境下的制度控制。针对电算化系统，企业必须对手工会计信息中的的各项规章制度进行整理，以充分适应需要。整章建制的内容主要有计算机管理制度、会计工作管理制度，包括：岗位责任管理制度、日常操作管理制度、维护管理制度、机房管理制度和档案制度。作为电算化系统内部控制工作的核心内容应着重

16、在完善内控环境上下功夫，制定严格的控制制度并保证得到全面执行，设立良好的控制活动，以不断提高会计工作效率和经济利益。7.制定财务软件业界协议。协议是规则的集合，分为低层和高层两类，它规定了财务软件的不同部分是如何交互的，从而保证不同品牌的财务软件彼此间能够实现数据传递或交换。作为会计电算化宏观管理的主管部门，应当从技术的角度就财务软件的数据平台、数据结构、各功能模块、数据传递模式、数据安全与保密等做出统一规定。这样使各种不同品牌的财务软件之间才能实现数据共享，为企业会计电算化内部数据安全的进一步完善提供良好的外部环境。2 网络环境下会计信息系统内部控制的新变化(1)手工下的一些内部控制措施在网

17、络环境下没有存在的必要性能，如：编科目汇总表、凭证汇总表、试算平衡表等的检查，总账、明细账的核对。只要财务会计软件的程序正确，就很难发生对已经正确录入数据库的财务会计凭证数据的再加工整理过程出现某些失误。(2)手工下的一些内部控制措施，在网络环境下转移到会计软件中，由计算机程序完成。如凭证的借贷平衡检验；余额、生额的平衡检查；核算与系统之间的数据核对；表数据的勾稽关系检查等。(3)内部控制的重点将放在原始数据输入计算机的控制、会计信息的输出控制、人机交互自理的控制、计算机系统之间连接的控制等几方面。(4)控制的范围的变化。传统的内部控制主要针对交易处理，而网络环境下，由于系统建立和运行的复杂性

18、，内部控制的范围相应扩大，包含了传统手工系统所没有的控制，如网络系统安全的控制、系统权限的控制、修改程序的控制等。3 网络环境下会计信息系统内部控制的组建3.1 会计信息系统内部控制的主体和客体会计信息系统的内部控制主体,即由谁来实施内部控制,从系统论的角度分析，会计信息系统的内部控制主体应是单位内部人员。而因网络的无限延伸性，财务业务的一体化、集成化、商务活动的电子化、网络化，从而扩大会计信息系统内部控制的范围，与单位相关联的商家、客户或其他组织，既是影响内部控制系统运行的环境因素，也成为某种意义上内部控制主体。内部控制的客体，即内部控制的实施对象，体现为单位内部的基本要素人、财、物及其在生

19、产过程中所形成的一系列组合关系和组合形式。3.2 会计信息系统内部控制的基本原则只有准确地对影响企业经营管理过程中的重要方面或生要环节的分析，设置好控制要素，才能对企业经营管理各环节实施全方位的有效控制。因此，网络下会计，由系统控制完善应遵循一定的原则。合法、合规性原则。建立的内部控制要素应当遵循有关国家财经法律法规及企业有关管理制度的要求，保证每一项经济活动能够在合法、合规的状态下开展。经济性原则。即注意成本与效益。一般来说，控制程序的成本不能超过风险或错误可能造成的损失或浪费，其基本标准是实行控制的收益应大于其成本，否则，再好的控制措施和方法也失去意义，公司应当充分发挥各机构、各部门及广大

20、职员的工作积极性，尽量降低经营运作成本，保证以合理的控制成本达到最佳的内部控制效果。针对性原则。根据实际情况，针对会计信息系统中薄弱环节，容易出现错误的细节来制定具体的内部控制要素。全面性原则。内部控制机制必须覆盖公司的各项业务、各个部门和各级人员，并渗透到决策、执行、监督、反馈等各个经营环节。适用性原则。即控制设置的可操作性强，易于理解，切实可行。一贯性原则。设置内部控制要求必须具有一定的连续性和一致性，保证会计工作的严肃性。相互制约原则。各个控制要素中不相容的职务要严格加以分离，不得由一人或一个部门包办到底。适应性、发展性原则。要始终关注企业经营方针、政策和经营环境经营模式的变化，同时要着

21、眼于企业未来的发展，对控制要素要随着客观现实的各种变化和发展要求，定期评估，并适时做出调整，以适应企业经营管理需要和企业发展变化的要求。3.3 网络环境下增强内部控制3.3.1 设立良好的控制活动控制活动旨在针对“使企业经营目标不能达成的风险”而采取了必要行动。控制控制出现在整个企业内的各个阶层与各种职能部门。3.3.2 增强内部控制系统的预防性功能一个有效的内部控制制度需要预防性的、检查性的和纠正性的控制。传统的内部控制制度通常是根据已输出的会计信息在年末检查财务错误和舞弊，大部分的内部控制的预防功能被限制了。在网络环境下，广泛地使用网络信息技术为支持决策和改善业务与信息转化过程提供了战略机

22、会，也提供了预防、检查和纠正错误或防止程序舞弊的机会。例如，在计算机软件中嵌入内部控制程序，随时监控企业经营运行状况，当将出现问题时及时提示预警会计信息，帮助员工进行过程控制。3.3.3 利用网络信息技术，实现企业的一体化集成管理。企业应在网络环境下，通过信息化的手段完成产、供、销业务的连贯，实现财务处理与业务处理的一体化，建立一个实时有效的计划和预算系统。在会计和其他管理信息化的过程中，改革传统的业务结构，提高运营效率，降低成本，加强企业内部基础管理的规范性。3.3.4 加强信息流动与沟通，增强对会计信息系统的控制企业在经营与控制过程中，员工必须清楚地获取与其有关控制责任的信息，了解内部控制

23、制度的有关方面，这些方面如何生效，在控制制度中自己所扮演的角色，所担负的责任，所负责的活动怎样与他人的工作发生关系等，网络环境下的会计信息系统应有向上、向下、横向信息的沟通。3.3.5 加强监督，定期评估重新设计内部控制规则新的技术带来新风险，内部控制系统要切实执行且效果良好，内部控制能够随时适应新情况，就需要不断地进行评估和更新，首先要定期对会计信息系统的内部控制制度进行审计，其次要开展会计信息的事前审计和事后审计，通过审计，对网络信息系统的合法、合规性作出全面评价，提出改进意见，以便使系统更适应新的环境。4 网络环境下会计信息系统内部控制的实施4.1 网络环境下会计信息系统的一般控制一般控

24、制是指任何网络会计信息系统普遍适用、为系统的安全可靠而对系统构成要素（人、硬件、软件）及环境实施的控制。4.1.1 组织与管理控制组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制，其基本目标是建立恰当的组织机构和职责分工制度，以达到相互牵制、相互制约、防止或减少错弊发生的目的。其中较重要的岗位有系统管理和审核岗位。系统管理主要负责系统的硬软件管理工作，从技术上保证系统的正常运行。包括掌握网络服务器及数据库的超级口令，负责网络资源分配，监控网络运行；按照主管人员的要求，对各岗位分配权限，对数据的安全保密负责；负责对硬件、软件、数据的管理与维护工作。审核岗位

25、主要负责监督计算机及网络系统的运行，防止利用计算机进行舞弊。具体包括：审查机内数据与书面资料的一致性；监督数据保存方式的安全性、合法性，防止发生非法修改历史数据的现象；对系统运行各环节进行审查，防止存在漏洞等。4.1.2 应用系统开发、建立和维护控制应用系统开发控制是针对系统开发阶段而言的，具体包括：系统开发前应进行可行性研究和需求分析；开发过程应进行适当的人员分工；按规范收集和保管有关系统的资料并加以保密等。系统建立控制则是针对系统建立阶段而言的，具体包括：资源的适当配置；系统的调试应有各岗位人员的参与；新的系统应与传统系统并行一段时间并经有关部门审批后才能替代传统系统使用；一旦发现网络系统

26、各类软件可能存在安全漏洞，应立即进行在线修补与升级，并将所有与软件修改有关的记录报告及时存储归档。严格的验收程序等。系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作。系统维护控制就是针对这些工作而实施的控制。4.1.3 系统操作控制系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业，不得超越权限接触系统。系统应制定适当的权限标准体系，使系统不被越权操作，从而保证系统的安全。操作权限控制常采用设置口令来实行。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。标准操作规程包

27、括：软硬件操作规程，作业运行规程，用机时间记录规程等。4.1.4 会计数据资源控制会计数据资源控制是整个系统控制的主要安全目标，要防止数据程序被修改、损毁和被病毒感染。对于特定的信息，哪些人可以读，哪些人可以改写，那些人可以复制，必须给出严格的规定，同时建立操作日志，一旦出现问题可以据此对相关人员进行核查。4.1.5 数据和程序控制和安全控制数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行，而数据的安全与否关系到财务信息的完整性和保密性。程序控制的目标是要做到任何情况下数据都不丢失、为损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等。4.2 会计网络系统的应用控制应用控制是对会计网络系统中具体的数据处理活动所进行的控制。应用控制可划分为输入控制、计算机处理与数据文件控制和输出控制。4.2.1 输入控制常用的控制方法包括：建立科目名称与代码对照文件，以防止会计科目输错；设计科目代码校验，以保证会计科目代码输入的正确性；设立对应关系参照文件，用来判断对应帐户是否发生错误；试算平衡控制，对每笔分录和借贷方进行