3G时代会计电算化风险管理

来源:用户上传      作者:

　　如何在3G时代进行会计电算化风险管理,在理论界尚且空白。本文拟对3G电算化会计风险防范的基本原则及措施进行研究,欢迎大家批评指正。
　　
　　一、3G时代,电算化风险解析
　　3G时代的会计电算化已经进化到纯网络时代,数据的保存和管理全部储存在网络服务器中,业务主管可以在全球任何一个角落进入企业的数据系统进行操作和管理。这也意味着黑客可以在全球任何一台计算机上入侵电算化系统,修改或盗取企业的会计核心数据。如此一来,会计信息的可靠性、可比性、及时性等质量要求将面临巨大挑战。
　　(一)网络安全风险
　　3G时代,各企业网络均实时接入Internet(互联网,下同),这就意味着企业会计电算化系统必须承受来自互联网的外部攻击以及内部网络风险,据国内知名信息网络安全厂商金山公司2009年《互联网安全报告》数据表明,2009年,仅金山“云安全”中心就监测发现新病毒2 068万余个,导致7 640万台电脑感染病毒。通过木马或后门侵入公司会计电算化系统窃取财务资料绝非只是电影里艺术化的场景。如果对网络风险的防范措施不当,会计电算化数据被恶意更改,内容失真,资料遗失,或严重泄密,必然会对企业财务信息的可靠性造成恶劣影响。
　　(二)操作系统漏洞
　　电算化产品往往基于一定的操作系统,操作系统除了我们最熟悉的微软windows系列之外,还有unix/linux、苹果OS等其他操作系统。建立于同一操作系统的会计软件方能达到会计信息可比性要求,不同操作系统的会计电算化系统一般互相无法兼容,会计数据的可比性难以实现。
　　同时,由于操作系统本身的漏洞,致使会计电算化系统存在重大安全隐患,掌握一般攻击技术的人都可能入侵得手,会计信息的可靠性得不到保证。
　　(三)应用安全风险
　　众所周知,会计电算化中,纸质凭证需由操作员手工录入,在这一过程和会计信息日常管理中,其风险为:
　　1.误操作风险,即合法操作人员在正常操作中所发生的风险,如数据录入不及时,数据录入金额错误,合法数据被误删除等,其发生的机率不大,危害性却不小。数据一但进入电算化系统,出于对电脑的盲目信任,很少还有人根据原始凭证去审核其一致性,所以不少企业到年终决算或几年后才发现某一数据的差错。
　　2.不能操作的风险。如系统故障,电脑或网络硬件损坏、网络服务器受损等。一旦出现不能操作的相关状况,轻则一两天不能进行正常的会计核算工作,重则造成资金款项不能正常结算等重大事故。
　　3.被恶意操作的风险。常见的有:非授权用户的访问、通过口令猜测或盗用正常操作者的口令和加密硬件的方式,强行划转企业银行资金;获得系统管理员权限、通过数据库服务器本身漏洞进行数据篡改等。和误操作不同的是,通过恶意修改会计数据,可以让非法的会计数据显得合法,如重复记账、数据篡改、非本周期会计数据强行入账等。由于电算化系统的特点,数据一旦被非法更改,很难发现,要查找作案者也非常困难。
　　4.信息泄露的危险。除黑客、病毒的攻击外,因为办公网络应用通常是共享网络资源,可能存在着员工有意、无意把硬盘中重要信息目录共享,可能被外部人员轻易偷取或被内部其他员工窃取并传播出去造成泄密,或者将数据保存到U盘中却不慎遗失,也有备份数据被非法调阅甚至盗窃等。这些都是因为缺少必要的访问控制策略。
　　(四)管理体系隐患
　　1.忽视复核岗位。内部控制原则要求不相容职务要进行分离,按此原则会计电算化系统的数据录入和复核应当不少于2人,但是不少企业实行电算化后,却并不设置这一传统岗位,数据信息由操作员自录自审,其真实性和可靠性难以保证。
　　2.操作权限混乱。计算机管理原则要求,不同的操作人员应该有不同的计算机操作权限,如是否能复制数据,更改系统,查看核心服务器状态等,但多数企业为了管理上的方便,授予了部分操作者不应有的高级别系统管理权限,可以轻易获取并更改计算机和网络的关键设置,这也使会计信息质量要求在会计电算化管理中无法保证。
　　3.密码设置过于简单。电算化软件管理原则要求,应设置健全的密码体系,如开机密码、系统密码、电算化操作员角色密码等,同时对密码的长度和复杂程度都有一定的要求。但不少单位会计电算化管理人员或员工图方便省事,不设置用户口令,或者设置的口令过短和过于简单,导致很容易被破解;或者责任不清,使用相同的用户名、口令,导致权限管理混乱等,造成会计信息质量要求在会计电算化管理中难以实现。
　　
　　二、电算化风险管理基本原则
　　通过会计电算化风险解析所谈到的大量风险点,我们应该深深体会到3G时代的会计电算化风险管理应该上升到一个新的高度。在3G已经向4G发展的高速无线网络时代,具有纲领性质的电算化风险管理基本原则的建立正当其时,笔者总结如下:
　　(一)整体性原则
　　整体性原则又可分为2个方面:一是全体性原则,指整个企业全员列入电算化安全防范体系,绝对不允许任何一个特权人员或非受控人员的存在。即便是企业高层管理人员,仍然只能给予应有的操作权限,只能查阅的绝不授予修改权限,只能操作的绝不给予系统管理权限;再如计算机管理人员,已经有较高的计算机管理权限,就绝不能再有电算化系统操作权限。二是全面性原则,指电算化风险管理体系的建立,要充分考虑整个企业信息保密、数据传递、业务运营、电算化系统运行等多方面的要求,在综合会计管理原则、计算机系统管理要求、各部门软件运行及数据传递规范等多方面管理体系的情况下,建立一套整体性的风险管理机制。各部门各行其是,或偏重一点而不注重整体规划,是不可取的。
　　(二)普遍性原则
　　普遍性原则,指整个企业全员应给予同等必要的电算化安全知识培训,不留空白。一些管理者认为电算化系统的安全取决于企业计算机安全保障力量的强弱,却不明白普通员工安全意识的提高同等重要。对不同权限的操作人员,要组织有针对性的安全知识培训。
　　(三)标准性原则
　　所谓标准性原则,是指会计电算化系统的开发要能适应多个操作系统,数据的保存和采集要能通用于不同的操作系统或应用平台。
　　电算化的发展过程也证明了这一点,从最初的各单位自主开发,到有统一电算化软件公司的出现;从系统的单一会计应用,到企业的综合性管理平台;从内部单机的不可联网,到互联网共通共享,都充分说明了标准性原则的重要性。
　　而且标准性原则必须贯穿于企业会计电算化对内对外的各种应用中去,只有标准化,才能高效的助推企业的发展。
　　(四)专业性原则
　　专业性原则,指整个企业的电算化风险管理体系一定要由专业部门或公司来规划。如果企业自身有较强的风险管理力量,可以由这一部门或人员来制定相关防范机制;如果企业自身没有这一能力,则务必订购专业产品和方案。企业如果具有相当经营规模,业务的发展进入了上升通道,邀请专业风险管理(又称安全保障)公司或人员为公司量身定做电算化风险管理体系就显得更加重要。
　　(五)延伸性原则
　　延伸性原则即电算化风险管理系统要跳出企业内网,延伸到公共网络及手机等移动通信设备。如很多管理者由于工作需要,长期随身携带笔记本进行办公操作,喜欢在家庭、机场、宾馆等公共网络环境下接入办公网或电算化系统。这些地方网络安全条件显然远低于企业内部网络,同时由于大部分人不喜欢设置开机密码、系统密码,也不习惯对重要资料加密,口令一旦被破解或笔记本电脑遗失,后果十分严重。

　　所以,无论在任何时候、任何地方使用电脑,只要员工需要接入电算化系统或办公系统,就需要按照企业电算化风险管理体系自觉进行相关规范化操作。如需要在家中上网操作,按企业要求对网络和电脑进行相关安全设置;如需要用U盘携带重要资料,按企业规定进行加密处理等等。同时,对于长期需要从外部网络登陆企业电算化系统的人员,企业应记录在案,进行技术培训和安全警示(或规范)。
　　
　　三、会计电算化风险管理对策
　　(一)利用软硬件防护
　　通过硬件设备加强网络安全风险防范,抵御形形色色病毒对会计电算化系统的攻击,保证会计信息质量。不论内网还是外网,均需通过路由器、交换机等网络设备连接各台计算机或接入Internet。网络风险防范的关键点就在于硬件设备的网络设置,这就要求企业在建立会计电算化系统时采用充分或有效的安全配置,及时填补安全漏洞,关闭一些不需要的服务等,这样可以减少或杜绝来自内外部网络的攻击和探察。同时,必须进行各网络节点的防火墙设置,阻拦入侵者,同时使其即便侵入内部网,要找到所需数据也非常困难。
　　(二)实行内、外网物理隔离
　　企业会计电算化系统与Internet间必须采取严密的安全防护措施。企业必须实行内、外网物理隔离。为确保会计信息系统安全,严禁将会计电算化系统内网的计算机接入互联网;访问互联网的计算机必须与会计电算化系统内网物理隔离。只有会计电算化内网和外网分离,才能保护会计电算化系统不易遭到来自外网一些不怀好意的入侵者的攻击。
　　(三)建立会计电算化内部控制制度
　　实行会计电算化后,一些传统的核对、计算、存储等内部会计控制方式均被计算机内部控制方式轻而易举地替代,如总账和明细账都由计算机根据审核后的会计凭证自动登记和归集,取消了手工条件下二者的核对工作,但同时记账凭证的审核工作变得更加重要。企业应对记账凭证的审核实行除在计算机系统内签字确认外还要求在打印的会计凭证上盖章确认,增强正确性和完整性的审核,保证会计信息的质量和可信度。另外,应制定严密的计算机操作管理制度,包括会计软件的操作工作内容和权限,操作密码的管理规定,保存上机操作记录,计算机病毒的防范措施,会计电算化系统维护管理等制度。
　　(五)做好会计信息资料备份及数据系统恢复工作
　　2006年“熊猫烧香”病毒的发作,造成大量用户电脑资料毁灭,花费大量资金仍然难以恢复。最新的电算化系统可以实现数据在Internet网络服务器和本地计算机双重备份,安全性提高了很多。但数据备份和保存的重要性仍然没有降低,企业应坚持每周甚至每天备份会计数据,做好数据信息存储介质保管工作,在关键时间点上的备份甚至应该采取双备份策略。另一方面应建立会计信息系统风险应对机制,操作系统上要有快速的系统恢复功能。
　　(六)严格实行权限管理
　　权限管理包括权限分配和用户名及密码管理两个方面,在分工时,对职权不相容的岗位应进行明确分工,不得兼任,做到相互牵制、相互制约,职权分离,使会计人员和各级管理者在权限内开展工作;在权限等级管理中,应制定各环节密码设置和重要资料加密规范,保管好相关口令和加密硬件,口令密码必须不定期地更换,确保企业会计信息系统和资金安全。
　　
　　主要参考文献:
　　[1]金山公司.2009年中国电脑病毒疫情及互联网安全报告.
　　[2]赵复元.我国会计电算化事业发展问题综述.
　　[3]福建省国家保密局官方网站.近年来发生的计算机及其网络泄密案例.
　　[4]高红静.网络环境下会计电算化安全性研究.
　　
　　相关链接
　　“3G”(3rd-generation)是第三代移动通信技术的简称,是指支持高速数据传输的蜂窝移动通讯技术,代表特征是提供高速数据业务。3G服务能够同时传送声音(通话)及数据信息(电子邮件、即时通信等)。
　　随着3G的到来,带宽的增加,手机办公越来越受到青睐。手机办公使得办公人员可以随时随地与单位的信息系统保持联系,完成办公功能。这包括移动办公、移动执法、移动商务等等。与传统的OA系统相比,手机办公摆脱了传统OA局限于局域网的桎梏,办公人员可以随时随地访问政府和企业的数据库,进行实时办公和处理业务,极大地提高了办公效率。

转载注明来源:https://www.xzbu.com/3/view-1420567.htm