掃碼下載APP
及時(shí)接收最新考試資訊及
備考信息
安卓版本:8.7.30 蘋果版本:8.7.30
開發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
計(jì)算機(jī)的普及與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,使計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)在企業(yè)財(cái)務(wù)管理中發(fā)揮了日益重要的作用,但同時(shí)它也改變了傳統(tǒng)的會(huì)計(jì)信息處理方式和存儲(chǔ)方式,對會(huì)計(jì)信息的安全性提出了新的挑戰(zhàn)。如何在充分利用信息技術(shù)的同時(shí),有效地規(guī)避信息系統(tǒng)帶來的風(fēng)險(xiǎn),是目前面臨的一個(gè)亟待解決的問題。本文通過對部分實(shí)施會(huì)計(jì)信息化的企業(yè)進(jìn)行充分調(diào)研,深入分析計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)存在的風(fēng)險(xiǎn),并針對不同的風(fēng)險(xiǎn)提出相應(yīng)的防范措施。
一、計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析
在會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)分析所進(jìn)行調(diào)研的企業(yè)中,筆者發(fā)現(xiàn),盡管每個(gè)企業(yè)實(shí)施會(huì)計(jì)信息化的程度不一樣,但存在的風(fēng)險(xiǎn)一般為以下四個(gè)方面:
?。ㄒ唬┗A(chǔ)設(shè)施方面存在的風(fēng)險(xiǎn)主要包括:(1)計(jì)算機(jī)硬件風(fēng)險(xiǎn)。調(diào)研的樣本企業(yè)中,計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的應(yīng)用模式有單機(jī)和C/S兩種,兩者硬件都存在自身功能失效的可能,也會(huì)同時(shí)受到零組件性能的限制,令硬件出現(xiàn)壽命的限制性,如硬盤的損壞,突然斷電造成的主板和CPU的損害,受潮濕、磁化、輻射等各種物理損傷,這些破壞都能令工作受到嚴(yán)重的影響,導(dǎo)致計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的工作混亂或會(huì)計(jì)數(shù)據(jù)毀損。(2)會(huì)計(jì)軟件開發(fā)設(shè)計(jì)方面的風(fēng)險(xiǎn)。計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)一般由會(huì)計(jì)軟件客戶端和后臺(tái)數(shù)據(jù)庫兩大部分構(gòu)成。無論C/S架構(gòu)、B/S架構(gòu)還是單用戶系統(tǒng)都是如此,依靠人機(jī)界面和軟件客戶端將各種數(shù)據(jù)保存到數(shù)據(jù)庫中,再將需要的信息處理后反饋給用戶。因此計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)中至關(guān)重要的是數(shù)據(jù)庫控制和管理。我國目前使用的會(huì)計(jì)軟件中,有些對數(shù)據(jù)庫未采取任何的保護(hù)措施,有些雖然采取了措施,但比較薄弱或形同虛設(shè)。甚至有些會(huì)計(jì)軟件中的數(shù)據(jù)庫文件,往往能通過相應(yīng)的數(shù)據(jù)庫管理系統(tǒng)打開,直接讀寫這些數(shù)據(jù)文件,并對文件中的數(shù)據(jù)直接進(jìn)行增加、刪除及修改等操作。這些為系統(tǒng)管理和財(cái)務(wù)核算的安全留下重大的隱患。(3)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用使各個(gè)孤立的計(jì)算機(jī)系統(tǒng)通過網(wǎng)絡(luò)連成一體。由于網(wǎng)絡(luò)所依托的1NTERNET/INTRANET體系使用的是開放式TCP/IP協(xié)議,雖然網(wǎng)絡(luò)技術(shù)不斷的提高,但網(wǎng)絡(luò)依然存在著安全漏洞,計(jì)算機(jī)安全漏洞已不斷地被人利用,嚴(yán)重威脅著會(huì)計(jì)數(shù)據(jù)的安全。無論是互聯(lián)網(wǎng)還是內(nèi)聯(lián)網(wǎng),網(wǎng)絡(luò)是一個(gè)開放的環(huán)境,在這個(gè)環(huán)境中一切信息在理論上都可以被訪問到?;ヂ?lián)網(wǎng)供應(yīng)商(ISP)或企業(yè)以外的第三者均可以獲得有關(guān)公司的內(nèi)部消息,而內(nèi)聯(lián)網(wǎng)則是企業(yè)內(nèi)部的網(wǎng)絡(luò),企業(yè)內(nèi)每個(gè)人都可接觸到。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)實(shí)際應(yīng)用過程中,有相當(dāng)數(shù)量的單位并不重視密碼,如有些單位所有人的密碼都是相同的;也不重視網(wǎng)絡(luò)安全管理,接人互聯(lián)網(wǎng)時(shí)不安裝防火墻;操作系統(tǒng)和數(shù)據(jù)系統(tǒng)出現(xiàn)安全漏洞時(shí)不及時(shí)升級等。
?。ǘ┯?jì)算機(jī)病毒引起的風(fēng)險(xiǎn)在對企業(yè)調(diào)研的過程中發(fā)現(xiàn),多數(shù)樣本企業(yè)都不同程度的受到過計(jì)算機(jī)病毒的侵害,病毒侵入的途徑主要有以下幾種:(1)從存儲(chǔ)介質(zhì)侵入。經(jīng)過對Windows98/2000/NT、Office2000、WPS以及網(wǎng)頁制作工具等盜版光盤進(jìn)行計(jì)算機(jī)病毒測試表明,帶病毒文件多達(dá)三千多項(xiàng),其中多種程序確實(shí)存在多種計(jì)算機(jī)病毒,包括CMOS-destroyer,bupt等引導(dǎo)性病毒、CIH病毒、“郵件炸彈”、宏病毒和特洛伊木馬黑客程序等。U盤和移動(dòng)硬盤的普及使用也加大了病毒在計(jì)算機(jī)之間的傳播空間。(2)從內(nèi)聯(lián)網(wǎng)侵入。內(nèi)聯(lián)網(wǎng)上的郵件系統(tǒng)容易導(dǎo)致病毒大量傳播,而且內(nèi)聯(lián)網(wǎng)絡(luò)上傳播的病毒普遍較新,新發(fā)現(xiàn)的病毒種類占多數(shù)。(3)從互聯(lián)網(wǎng)侵入?;ヂ?lián)網(wǎng)已經(jīng)成為計(jì)算機(jī)病毒傳播最大的來源,無論是用戶在網(wǎng)上瀏覽,還是收發(fā)電子郵件、下載軟件,都很容易使計(jì)算機(jī)染上病毒。病毒的破壞性和傳播性強(qiáng),并且具有潛伏性、隱藏性和可激發(fā)性。它不僅可以破壞系統(tǒng)的數(shù)據(jù)文件,嚴(yán)重的還能破壞硬件的正常運(yùn)作,給會(huì)計(jì)信息的安全性帶來了極大的隱患。
?。ㄈ┯?jì)算機(jī)舞弊引發(fā)的風(fēng)險(xiǎn)主要包括:(1)會(huì)計(jì)軟件功能的濫用。不少會(huì)計(jì)軟件開發(fā)公司為方便用戶糾正計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)核算中的差錯(cuò),在會(huì)計(jì)核算軟件中設(shè)置了“取消復(fù)核”、“取消記賬”、“取消結(jié)賬”等功能。這些功能的使用,給用戶提供了極大的便利,但同時(shí)也為制造虛假會(huì)計(jì)信息提供了方便。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)環(huán)境下,如果單位缺乏嚴(yán)格周密的內(nèi)部控制制度,部分會(huì)計(jì)人員就會(huì)利用會(huì)計(jì)軟件提供的逆向操作功能來篡改會(huì)計(jì)數(shù)據(jù),而不留下任何痕跡,給審計(jì)監(jiān)督工作和防范經(jīng)濟(jì)犯罪增加了技術(shù)難度。另外,如果軟件功能使用不當(dāng),很可能導(dǎo)致單位整個(gè)財(cái)務(wù)系統(tǒng)的混亂。(2)直接操作數(shù)據(jù)庫進(jìn)行造假。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)中的數(shù)據(jù)庫,從小型的DBASE、FOXPRO數(shù)據(jù)庫,到大型的ORACLE、SYBASE、DB2數(shù)據(jù)庫。數(shù)據(jù)庫本身都提供自帶的查詢修改程序。利用這些程序,不法分子根本不需利用會(huì)計(jì)軟件就可以完全控制和操作所有的數(shù)據(jù)。雖然一些數(shù)據(jù)庫系統(tǒng)提供了很豐富的數(shù)據(jù)安全措施,如口令、鑰匙卡,甚至電子簽名或指紋鑒別,但安全措施得不到重視,使得原本應(yīng)嚴(yán)密保護(hù)的會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處在非常危險(xiǎn)的情況中,也為會(huì)計(jì)造假提供了方便。(3)對輸入的會(huì)計(jì)信息直接造假。不法分子利用會(huì)計(jì)軟件本身的功能缺陷或系統(tǒng)管理上的疏忽,直接使用會(huì)計(jì)軟件導(dǎo)人虛假的數(shù)據(jù)或修改、刪除已經(jīng)存在的正確數(shù)據(jù)。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)中,一旦輸入的初始數(shù)據(jù)是虛假的,以后處理環(huán)節(jié)即使再正確,也只能輸出虛假的處理結(jié)果。(4)計(jì)算機(jī)高級人員非法操作。計(jì)算機(jī)高級人員包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)操作員和網(wǎng)絡(luò)黑客等,他們通過木馬、后門進(jìn)行非法操作,威脅單位會(huì)計(jì)數(shù)據(jù)的安全。
?。ㄋ模﹥?nèi)部控制存在的風(fēng)險(xiǎn)信息技術(shù)的發(fā)展使企業(yè)的內(nèi)外部環(huán)境發(fā)生了很大的變化。(1)授權(quán)控制下降。在手工會(huì)計(jì)操作系統(tǒng)下,企業(yè)的每一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)中的每一個(gè)環(huán)節(jié)都可設(shè)置內(nèi)部一系列相互聯(lián)系的授權(quán)批準(zhǔn)程序,而在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)下,這種授權(quán)可以僅憑一個(gè)密碼就能獲取。如果獲取密碼的手段是非法的,由此造成的內(nèi)部控制失控將是一個(gè)重大的風(fēng)險(xiǎn)。(2)職責(zé)分離和監(jiān)督不規(guī)范。信息系統(tǒng)的開發(fā)、維護(hù)和操作等活動(dòng)中存在的職責(zé)分離對信息系統(tǒng)的監(jiān)管格外重要。原來在手工環(huán)境下一些不相容的職責(zé),在計(jì)算機(jī)中可以由一個(gè)程序模塊來執(zhí)行。此外,傳統(tǒng)的監(jiān)管手段也發(fā)生了變化。信息技術(shù)使某些員工的破壞能力增強(qiáng),企業(yè)需要一批具有特殊技能的員工來開發(fā)、維護(hù)和操作信息系統(tǒng)。這類員工中的某些人可能對操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)擁有特權(quán),他們的失誤或者故意破壞具有突發(fā)性、毀滅性以及隱蔽性的特點(diǎn),可以使企業(yè)的整個(gè)信息系統(tǒng)崩潰或業(yè)務(wù)發(fā)生中斷,給企業(yè)帶來的損失不可估量。(3)業(yè)務(wù)記錄效力降低。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)下,業(yè)務(wù)記錄的載體由紙質(zhì)變成了磁質(zhì),傳統(tǒng)的紙質(zhì)交易軌跡不復(fù)存在,取而代之的是數(shù)據(jù)庫記錄和操作日志等磁質(zhì)記錄。同時(shí),交易軌跡的法律效力也發(fā)生了變化。員工在紙質(zhì)憑證上的簽字可以證明其確實(shí)對交易進(jìn)行了授權(quán)或確認(rèn),但是磁質(zhì)交易記錄上的操作員信息的法律效力卻受到系統(tǒng)的完整性、正確性和安全性的影響。
二、計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的防范
?。ㄒ唬┗A(chǔ)設(shè)施存在風(fēng)險(xiǎn)的防范主要包括:(1)硬件的風(fēng)險(xiǎn)防范。建立良好的運(yùn)作環(huán)境,應(yīng)將服務(wù)器放置在適當(dāng)?shù)奈恢茫邕h(yuǎn)離水源、安放在高地、置于有空氣調(diào)節(jié)的房間,以防止自然災(zāi)害帶來的損失;計(jì)算機(jī)機(jī)房應(yīng)充分滿足防火、防潮、防塵、防磁和防輻射及恒溫技術(shù)要求;機(jī)房出入口應(yīng)安裝保安密碼門鎖及防衛(wèi)警報(bào)裝置。(2)完善會(huì)計(jì)軟件的功能。要促進(jìn)計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的發(fā)展,首要問題就是要加大軟件的開發(fā)力度,開發(fā)出比較完善的通用會(huì)計(jì)軟件。會(huì)計(jì)軟件開發(fā)人員應(yīng)該深入研究國外優(yōu)秀的財(cái)務(wù)軟件,消化并吸收其精華的管理思想和設(shè)計(jì)思路。對于現(xiàn)有的會(huì)計(jì)軟件可以人為地通過數(shù)據(jù)庫系統(tǒng)直接操作數(shù)據(jù)這一問題,解決方法之一是在應(yīng)用系統(tǒng)中設(shè)置文件修改檢查機(jī)制,文件一旦被修改,系統(tǒng)可以通過自身的測試檢測出來,并提醒用戶注意。另外一個(gè)解決方法是采取安全性較好的數(shù)據(jù)庫管理系統(tǒng)和操作系統(tǒng)開發(fā)平臺(tái),充分利用系統(tǒng)本身提供的安全措施對數(shù)據(jù)加以保護(hù)。對一個(gè)具有良好安全性能的會(huì)計(jì)軟件而言,軟件系統(tǒng)的數(shù)據(jù)文件(包括備份出來的數(shù)據(jù))有適當(dāng)?shù)募用苁潜夭豢缮俚?。加密對象可以是整個(gè)數(shù)據(jù)庫、數(shù)據(jù)庫的某組記錄、某些字段或者某些數(shù)據(jù)元素等。(3)網(wǎng)絡(luò)安全措施。為了防止非法用戶和黑客侵入會(huì)計(jì)信息系統(tǒng)內(nèi)部,可以通過設(shè)置防火墻,采用身份識(shí)別系統(tǒng)等技術(shù)防護(hù)措施,將非法用戶拒之網(wǎng)絡(luò)之外。對重要的商業(yè)秘密,可以在軟件中采取數(shù)據(jù)加密技術(shù),這樣即使有人竊取了數(shù)據(jù),由于沒有密鑰開啟也無法將數(shù)據(jù)還原成明文,保證了數(shù)據(jù)的安全。通過使用正確的資料加密方法,可以使外來的人無法識(shí)別數(shù)據(jù),從而使截獲的會(huì)計(jì)數(shù)據(jù)失去價(jià)值,使篡改者與偽造者難以達(dá)到其目的。
?。ǘ┯?jì)算機(jī)病毒引發(fā)風(fēng)險(xiǎn)的防范對于計(jì)算機(jī)病毒引發(fā)的風(fēng)險(xiǎn),可以從以下幾方面進(jìn)行防范:一是網(wǎng)絡(luò)與單機(jī)殺毒軟件相結(jié)合,重點(diǎn)防范郵件服務(wù)器。建立完善的防病毒體系,將網(wǎng)絡(luò)版殺毒軟件安裝在郵件服務(wù)器上,將所有計(jì)算機(jī)和NT服務(wù)器都安裝好單機(jī)版殺毒軟件,啟動(dòng)實(shí)時(shí)監(jiān)控系統(tǒng)。二是對文件進(jìn)行定期備份,至少每周殺毒一次,不要使用盜版軟件,確保網(wǎng)絡(luò)管理員賦予訪問者的權(quán)限在其工作范圍之內(nèi),拒絕任何不受限制的訪問。三是加強(qiáng)安全教育,提高認(rèn)識(shí),防患于未然。從加強(qiáng)管理人手,制定切實(shí)可行的管理措施,盡快建立快速預(yù)警機(jī)制,對重點(diǎn)對象加大檢查與清殺力度。健全并嚴(yán)格執(zhí)行防范病毒管理制度,具體包括:軟件、磁盤及計(jì)算機(jī)系統(tǒng)的使用和更新要通過計(jì)算機(jī)病毒檢測并專機(jī)專用;禁止在工作機(jī)上玩游戲;建立U盤管理制度,防止亂拷貝U盤;安裝防病毒卡和反病毒軟件;定期檢測并清除計(jì)算機(jī)病毒等。
?。ㄈ┯?jì)算機(jī)舞弊引發(fā)風(fēng)險(xiǎn)的防范對計(jì)算機(jī)舞弊方面的風(fēng)險(xiǎn)的防范,最有效的措施是完善內(nèi)部控制制度,設(shè)立合理、有效的管理制度并加以嚴(yán)格執(zhí)行。要在充分考慮信息安全需要的基礎(chǔ)上,決定系統(tǒng)中關(guān)鍵部分——數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)的選擇。針對不同企業(yè)對會(huì)計(jì)信息系統(tǒng)的不同安全性要求,選擇合適的操作系統(tǒng)平臺(tái)。在會(huì)計(jì)軟件的開發(fā)設(shè)計(jì)過程中,充分運(yùn)用操作系統(tǒng)提供的信息安全技術(shù),使信息安全從理論上的可能性變?yōu)楝F(xiàn)實(shí)。同時(shí),要充分發(fā)揮審計(jì)人員的作用,在執(zhí)行審計(jì)工作的過程中查找計(jì)算機(jī)舞弊的痕跡。
?。ㄋ模﹥?nèi)部控制存在風(fēng)險(xiǎn)的防范主要包括:(1)建立有效的組織管理控制制度。計(jì)算機(jī)舞弊者大多是企業(yè)的程序員或計(jì)算機(jī)操作人員,因此,計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)要建立完善的人員職能控制制度,進(jìn)行適當(dāng)分工,明確規(guī)定每個(gè)崗位的職責(zé),以防止對處理過程的不適當(dāng)干預(yù)。企業(yè)應(yīng)將系統(tǒng)分析、程序設(shè)計(jì)、計(jì)算機(jī)操作、文件程序管理等職務(wù)予以分離,系統(tǒng)操作人員、管理人員和維護(hù)人員這三種不相容職務(wù)相互分離、互不兼任,以減少利用計(jì)算機(jī)舞弊的可能性。(2)加強(qiáng)內(nèi)部審計(jì)。內(nèi)部審計(jì)是企業(yè)內(nèi)部控制的主要組成部分,旨在對企業(yè)中的各種內(nèi)部控制制度和各個(gè)職能部門所從事的各種業(yè)務(wù)活動(dòng)進(jìn)行獨(dú)立評價(jià)。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)下,獨(dú)立的內(nèi)部審計(jì)機(jī)構(gòu)應(yīng)在信息系統(tǒng)的開發(fā)、維護(hù)過程中進(jìn)行嚴(yán)格的審查,而且應(yīng)定期檢查信息系統(tǒng)的處理過程。為了有效地監(jiān)控系統(tǒng)運(yùn)行狀況,防止系統(tǒng)被侵犯,計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)中應(yīng)設(shè)置系統(tǒng)安全性檢查程序,檢查系統(tǒng)的各種設(shè)置是否與上次運(yùn)行結(jié)束時(shí)狀態(tài)一致。另外,程序中需設(shè)置一個(gè)歷史文件,該文件能夠自動(dòng)記錄當(dāng)天所有的操作過程,對所有的操作進(jìn)行監(jiān)控記錄,從而確保所有操作活動(dòng)都留下痕跡,便于以后追索。隨著信息技術(shù)的發(fā)展,能引發(fā)計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的因素會(huì)更多也更復(fù)雜,因此計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的防范將是一個(gè)長期的過程。不僅要從技術(shù)的角度出發(fā),把計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的安全性、可靠性寄托在網(wǎng)絡(luò)硬件產(chǎn)品和技術(shù)上,還要重視管理制度的建設(shè)。因?yàn)橛?jì)算機(jī)系統(tǒng)的安全與否,主要取決于使用和接近計(jì)算機(jī)的人,因此管理比技術(shù)更重要。只有這樣才有可能最大限度地減少計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的安全風(fēng)險(xiǎn),把風(fēng)險(xiǎn)可能造成的影響和損失控制在最小程度。
安卓版本:8.7.30 蘋果版本:8.7.30
開發(fā)者:北京正保會(huì)計(jì)科技有限公司
應(yīng)用涉及權(quán)限:查看權(quán)限>
APP隱私政策:查看政策>
HD版本上線:點(diǎn)擊下載>
官方公眾號(hào)
微信掃一掃
官方視頻號(hào)
微信掃一掃
官方抖音號(hào)
抖音掃一掃
Copyright © 2000 - galtzs.cn All Rights Reserved. 北京正保會(huì)計(jì)科技有限公司 版權(quán)所有
京B2-20200959 京ICP備20012371號(hào)-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號(hào)