1、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)及其控制 黃碧英摘要:會(huì)計(jì)電算化代替了手工做賬提高了工作效率的同時(shí)也帶來了風(fēng)險(xiǎn)本文針對(duì)會(huì)計(jì)電算化信息系統(tǒng)存在的安全威脅，分析了電算化條件卜會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)產(chǎn)生的原因，并提出了如何加強(qiáng)會(huì)計(jì)電算化系統(tǒng)的風(fēng)險(xiǎn)控制關(guān)鍵詞:會(huì)計(jì)信息系統(tǒng);xl險(xiǎn);控制 雖然應(yīng)用電子計(jì)算機(jī)信息技術(shù)的會(huì)計(jì)電算化代替了手工的數(shù)據(jù)采集、處理和輸出，大大提高了會(huì)計(jì)工作的效率，但會(huì)計(jì)傳統(tǒng)的核算環(huán)境、信息載體、管理模式、安全控制體系均發(fā)生了變化，不可避免地造成會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)控制面臨嚴(yán)峻的挑戰(zhàn)。 一、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)分析 由于人為因素或非人為因素造成會(huì)計(jì)信息系統(tǒng)安全保護(hù)能力減弱，從而形成損失的可能性、)信息技術(shù)的應(yīng)用使

2、原來由人工處理的業(yè)務(wù)轉(zhuǎn)為由計(jì)算機(jī)完成，使企業(yè)面臨與手工會(huì)計(jì)環(huán)境不同的新財(cái)務(wù)風(fēng)險(xiǎn) 1、內(nèi)部崗位牽制的效力降低 自動(dòng)高效的計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用，使操作人員的數(shù)量大大減少，各種業(yè)務(wù)核算手續(xù)完全由計(jì)算機(jī)統(tǒng)一執(zhí)行，那種試圖通過適當(dāng)?shù)膷徫环蛛x而實(shí)現(xiàn)各種業(yè)務(wù)環(huán)節(jié)的相互牽制，就顯得乏力 2,命令權(quán)限的局限性 各個(gè)操作人員的權(quán)限分工是靠命令授權(quán)來完成的，而命令存放在計(jì)算機(jī)系統(tǒng)內(nèi)，不像手工環(huán)境下代表授權(quán)的印章鎖在箱子里或帶在身上那樣保險(xiǎn)，因此一旦被人破解或竊取便會(huì)帶來極大的隱患 3、風(fēng)險(xiǎn)更加隱蔽 會(huì)計(jì)信息系統(tǒng)的業(yè)務(wù)數(shù)據(jù)通過系統(tǒng)的采集轉(zhuǎn)化為數(shù)字化的信息被存儲(chǔ)在磁(光)介質(zhì)上，而電子數(shù)據(jù)易被修改、刪除、隱匿、轉(zhuǎn)移和偽造而

3、不留痕跡)犯罪分子可通過使用計(jì)算機(jī)及通信設(shè)備等高科技工具，不親臨現(xiàn)場(chǎng)即達(dá)到犯罪目的;即使數(shù)據(jù)文件內(nèi)容己被篡改，程序己有變化，操作者也難以及時(shí)發(fā)現(xiàn))由于犯罪分子作案手段隱蔽、作案后留卜的線索和痕跡較少，無論是系統(tǒng)內(nèi)外部人員勾結(jié)現(xiàn)場(chǎng)作案，還是采取遠(yuǎn)程方式破壞系統(tǒng)安全，都難以及時(shí)發(fā)現(xiàn)作案者 4、系統(tǒng)安全控制的難度加大 會(huì)計(jì)信息系統(tǒng)是一個(gè)網(wǎng)絡(luò)系統(tǒng)，計(jì)算機(jī)硬件、軟件、人員和各種業(yè)務(wù)處理流程等構(gòu)成了一個(gè)復(fù)雜的網(wǎng)絡(luò)系統(tǒng)，而且絕大多數(shù)交易的合法性和有效性是依賴計(jì)算機(jī)網(wǎng)絡(luò)來自動(dòng)完成的，因此，硬件配置的不合理、軟件功能的缺陷、系統(tǒng)操作的失誤、內(nèi)部人員的非法訪問及外部的惡意攻擊、人們對(duì)風(fēng)險(xiǎn)的控制缺乏應(yīng)有的主動(dòng)權(quán)等都

4、會(huì)使會(huì)計(jì)信息系統(tǒng)面臨嚴(yán)重的安全威脅 5、風(fēng)險(xiǎn)損失較大 由于系統(tǒng)風(fēng)險(xiǎn)難以及時(shí)發(fā)現(xiàn)，有可能風(fēng)險(xiǎn)事項(xiàng)反復(fù)多次發(fā)生而不被察覺;一旦發(fā)現(xiàn)，己經(jīng)損失巨大)而且，計(jì)算fij l病毒和電腦黑客等不僅威脅數(shù)據(jù)安全，還會(huì)破壞程序及硬件系統(tǒng)，造成計(jì)算機(jī)系統(tǒng)癱瘓，從而造成數(shù)據(jù)丟失或系統(tǒng)無法進(jìn)行正常運(yùn)行，其損失和影響難以計(jì)算)如果企業(yè)經(jīng)營(yíng)決策信息、技術(shù)機(jī)密和其他重要信息被泄露，其損失和影響更是難以計(jì)算 二、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)產(chǎn)生的原因 1,硬件系統(tǒng)固有缺陷產(chǎn)生風(fēng)險(xiǎn) 由于人為和自然的原因，會(huì)計(jì)信息系統(tǒng)的硬件在設(shè)計(jì)、制造和組裝過程中可能留卜各種隱患，影響到網(wǎng)絡(luò)傳輸介質(zhì)和服務(wù)器等硬件設(shè)施的穩(wěn)定性和運(yùn)行速度、)這種缺陷是硬件系統(tǒng)

5、固有的問題 2、軟件系統(tǒng)安全隱患帶來風(fēng)險(xiǎn) 軟件系統(tǒng)安全隱患來源于軟件設(shè)計(jì)與安裝階段，如軟件設(shè)計(jì)中的疏忽造成的安全漏洞;軟件安全等級(jí)較低，使用的技術(shù)和開發(fā)工具不成熟或未經(jīng)授權(quán)、所依賴的技術(shù)過于復(fù)雜引起實(shí)施者未恰當(dāng)理解、軟件存在先天設(shè)計(jì)缺陷，程序設(shè)計(jì)員設(shè)置秘密“后門”、軟件自我糾錯(cuò)能力弱等。 3、違規(guī)操作產(chǎn)生風(fēng)險(xiǎn) 計(jì)算機(jī)系統(tǒng)操作人員不按規(guī)定程序使用硬件設(shè)備，導(dǎo)致系統(tǒng)損壞，從而威脅系統(tǒng)安全，甚至導(dǎo)致系統(tǒng)完全癱瘓;被競(jìng)爭(zhēng)對(duì)手竊取存有重要數(shù)據(jù)的磁帶或磁盤;操作人員在計(jì)算機(jī)系統(tǒng)非法加入硬件設(shè)備，以達(dá)到竊取ii令或重要信息的目的、)在輸入計(jì)算機(jī)之前或在輸入過程中篡改數(shù)據(jù)，使舞弊數(shù)據(jù)進(jìn)入操作系統(tǒng)，達(dá)到操作者的

6、非法目的;操作規(guī)程操作，或非法進(jìn)入操作系統(tǒng)，改變計(jì)算機(jī)系統(tǒng)的執(zhí)行路徑，從而破壞數(shù)據(jù);通過篡改輸出數(shù)據(jù)蒙蔽檢查)如收銀員在收款環(huán)節(jié)可能將收到客戶的現(xiàn)金據(jù)為己有。 4、管理權(quán)限產(chǎn)生的風(fēng)險(xiǎn) 隨著企業(yè)規(guī)模的擴(kuò)大，許多原來手工環(huán)境卜由不同人分別完成的業(yè)務(wù)處理環(huán)節(jié)集中由計(jì)算機(jī)統(tǒng)一處理，很難形成手工會(huì)計(jì)系統(tǒng)卜的相互牽制、相互制約、)操作人員只要獲得授權(quán)文件或注冊(cè)系統(tǒng)的密碼，即獲得運(yùn)行特定程序進(jìn)行業(yè)務(wù)處理的權(quán)限)一旦密碼被他人掌握，或一人掌握多個(gè)級(jí)別操作員密碼，權(quán)限就會(huì)失控，從而對(duì)企業(yè)會(huì)計(jì)信息控制構(gòu)成威脅 三、加強(qiáng)會(huì)計(jì)電算化系統(tǒng)風(fēng)險(xiǎn)控制 會(huì)計(jì)信息系統(tǒng)作為人造的經(jīng)濟(jì)信息系統(tǒng)，在企業(yè)管理提供了有力的手段)面對(duì)著錯(cuò)

7、綜復(fù)雜的安全威脅，一定要深刻認(rèn)識(shí)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)防范的重要性，筆者認(rèn)為應(yīng)從以下方面對(duì)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)加以控制: 1、源頭控制 計(jì)算機(jī)軟件包括系統(tǒng)軟件和應(yīng)用軟件，會(huì)計(jì)信息系統(tǒng)所運(yùn)用的系統(tǒng)軟件(包括部分應(yīng)用軟件)多是從外部購(gòu)置，所購(gòu)置軟件的技術(shù)是否成熟、可靠，直接關(guān)系到數(shù)據(jù)的安全、)購(gòu)置的系統(tǒng)軟件應(yīng)是經(jīng)過實(shí)踐應(yīng)用并被證明是安全可靠的，購(gòu)置的會(huì)計(jì)信息系統(tǒng)必須是經(jīng)財(cái)政部門評(píng)審?fù)ㄟ^的，并應(yīng)有詳細(xì)的操作說明)單位自行開發(fā)、研制軟件的，必須進(jìn)行全面、深入的調(diào)查，科學(xué)系統(tǒng)地分析和設(shè)計(jì)，開發(fā)、研制過程一定要規(guī)范，開發(fā)、研制出的軟件必須符合財(cái)政部發(fā)布的會(huì)計(jì)核算軟件基木功能規(guī)范的要求、)開發(fā)、研制出的軟件在投入運(yùn)行

8、前必須經(jīng)上級(jí)有關(guān)部門的評(píng)審、鑒定，軟件的有關(guān)文檔資料必須齊全)在正式運(yùn)用前，應(yīng)經(jīng)過一段時(shí)間的試運(yùn)轉(zhuǎn)，對(duì)相關(guān)數(shù)據(jù)進(jìn)行驗(yàn)證，防i1=由于考慮問題不全而出現(xiàn)的偏差)通過這些措施，使會(huì)計(jì)信息系統(tǒng)在源頭上得到了控制。 2、崗位控制 隨著會(huì)計(jì)信息系統(tǒng)的超速發(fā)展，會(huì)計(jì)機(jī)構(gòu)也應(yīng)作相應(yīng)的調(diào)整，如人員崗位責(zé)任制:人員崗位包括基木會(huì)計(jì)崗位和電算化崗位，而電算化會(huì)計(jì)崗位則是操作員、維護(hù)人員、直接管理人員和會(huì)計(jì)軟件人員、)以上兩種工作人員之間不得兼任，還要明確軟件開發(fā)人員、維護(hù)人員不能兼任操作員，并建立各崗位人員的崗位責(zé)任制度，且分工科學(xué)，責(zé)任明確，各崗位都得到一定的授權(quán)，并用密碼控制，防止非法操作，越權(quán)操作、)因此，

9、在劃分崗位職責(zé)時(shí)，要遵循崗位不相容原則和不相容職務(wù)分離原則。 3、操作控制 會(huì)計(jì)信息系統(tǒng)操作應(yīng)嚴(yán)格遵循會(huì)計(jì)業(yè)務(wù)和處理流程進(jìn)行，應(yīng)建立操作口志制度，會(huì)計(jì)信息系統(tǒng)對(duì)所有操作留有記錄，包括操作時(shí)間，操作人員姓名，操作內(nèi)容等，對(duì)口記賬和己結(jié)賬業(yè)務(wù)設(shè)置不可修改或逆操作程序，要修改必須通過編制記賬憑證沖正或補(bǔ)充登記來更正，以保證會(huì)計(jì)數(shù)據(jù)的完整性、真實(shí)性、 4、環(huán)境控制 許多企業(yè)的會(huì)計(jì)信息系統(tǒng)是在網(wǎng)絡(luò)環(huán)境卜運(yùn)行，企業(yè)可通過鏈路加密、端點(diǎn)加密等信息加密技術(shù)保護(hù)網(wǎng)絡(luò)會(huì)計(jì)信息傳輸?shù)陌踩裕纈1=外界對(duì)企業(yè)信息流的觀察和篡改，通過設(shè)置訪問控制防i1=對(duì)信息系統(tǒng)資源的非授權(quán)訪問和非授權(quán)使用、)應(yīng)注意會(huì)計(jì)信息系統(tǒng)木身

10、的安全隱患，在對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行測(cè)試時(shí)，還應(yīng)重點(diǎn)檢查和測(cè)試會(huì)計(jì)信息系統(tǒng)中是否存在漏洞;應(yīng)將系統(tǒng)開發(fā)過程中的文檔資料建檔歸類，保存完整。 5、數(shù)據(jù)輸入(出)控制 會(huì)計(jì)信息系統(tǒng)主要是由數(shù)據(jù)整理，數(shù)據(jù)輸入，數(shù)據(jù)處理數(shù)據(jù)通訊數(shù)據(jù)保存數(shù)據(jù)輸出幾個(gè)部分構(gòu)成、在這些環(huán)節(jié)中分析出現(xiàn)風(fēng)險(xiǎn)的可能性，分析系統(tǒng)設(shè)計(jì)過程中是否在實(shí)現(xiàn)各個(gè)功能時(shí)嵌入相應(yīng)的內(nèi)部控制措施，嵌入的內(nèi)部控制措施是否發(fā)揮作用，對(duì)于一些潛在的可預(yù)見風(fēng)險(xiǎn)是否在系統(tǒng)中采取預(yù)防措施，是否對(duì)不可預(yù)見風(fēng)險(xiǎn)的處理留有系統(tǒng)空間等等)在會(huì)計(jì)信息系統(tǒng)工作中，電腦原始數(shù)據(jù)是由人工事先進(jìn)行審核和確認(rèn)后輸入計(jì)算機(jī)內(nèi)，因而自動(dòng)處理數(shù)據(jù)的準(zhǔn)確性完全依賴原始數(shù)據(jù)輸入時(shí)的準(zhǔn)確性、)

11、會(huì)計(jì)資料是單位的絕對(duì)機(jī)密，一旦泄露將給單位帶來不應(yīng)有的損失，而磁性介質(zhì)的可復(fù)制性又使會(huì)計(jì)資料極易泄露而不易發(fā)現(xiàn)，故會(huì)計(jì)信息系統(tǒng)的輸出不論是磁性文件還是打印資料，輸出后均應(yīng)立即受到嚴(yán)格管理，以防被人竊取或篡改，造成機(jī)密泄露。 6、數(shù)據(jù)處理控制 會(huì)計(jì)業(yè)務(wù)數(shù)據(jù)處理有一定的時(shí)序性，一項(xiàng)業(yè)務(wù)的處理結(jié)果取決于其他多項(xiàng)業(yè)務(wù)的處理過程和結(jié)果，所以，要健全企業(yè)內(nèi)部定期檢查制度，對(duì)會(huì)計(jì)資料定期檢查，主要檢查會(huì)計(jì)信息系統(tǒng)賬務(wù)處理正確與否，看是否遵照會(huì)計(jì)法規(guī)行事，審核費(fèi)用簽字是否符合木單位的內(nèi)控要求，憑證附件是否完整等、)審核計(jì)算機(jī)內(nèi)部數(shù)據(jù)與書面資料的一致性、同時(shí)還應(yīng)配備殺毒軟件，定期或不定期地查毒、殺毒、另外，計(jì)算

12、機(jī)犯罪具有智能化、隱蔽化的特點(diǎn)，因此，加強(qiáng)網(wǎng)絡(luò)法制建設(shè)，加大網(wǎng)上執(zhí)法力度，對(duì)不法分子的不法行為進(jìn)行打擊以起到威懾作用己迫在眉睫。 7、數(shù)據(jù)資源控制 隨著信息技術(shù)的發(fā)展和網(wǎng)絡(luò)環(huán)境的變化，會(huì)計(jì)信息系統(tǒng)還將面臨更多的挑戰(zhàn)，要求財(cái)務(wù)人員和會(huì)計(jì)信息系統(tǒng)設(shè)計(jì)人員不斷探索，提高會(huì)計(jì)信息系統(tǒng)的穩(wěn)定性與安全性，企業(yè)可通過密碼或身份鑒別的方式限制數(shù)據(jù)庫(kù)訪問，如利用軟件手段識(shí)別用戶身份，可要求用戶輸入身份識(shí)別命令，如利用硬件手段識(shí)別用戶身份，可使用指紋或聲音識(shí)別設(shè)備;可通過設(shè)置用戶數(shù)據(jù)操作權(quán)限來限制用戶對(duì)數(shù)據(jù)庫(kù)的訪問范圍，會(huì)計(jì)信息系統(tǒng)的備份數(shù)據(jù)須加密保護(hù)并定點(diǎn)存放，以防泄密;建立數(shù)據(jù)備份與恢復(fù)制度，以保證會(huì)計(jì)信息系統(tǒng)其他部分的正常運(yùn)行。 總之，會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)是客觀存在，只要我們正視各種風(fēng)險(xiǎn)，并認(rèn)真分析，積極采取正確有效的防范措施，進(jìn)行嚴(yán)密監(jiān)督與控制，那么會(huì)計(jì)