摘要:從進貨來源上看,不少單位的會計信息系統是選擇購買通用的會計信息系統,一些非法用戶可以很方便的從外部打開資料庫,而部分會計人員對計算機風險缺乏了解,這將造成嚴重的損失。為此,加強電算化會計系統安全問題的研究,具有非常重要的現實意義。
關鍵詞:電算化會計;系統安全;研究與探索
隨著我國科技的進步,計算機在經濟生活的廣泛應用,我國企事業單位的電算化會計工作得到了突飛猛進的發展。雖然我國會計電算化是從上世紀70年代末開始起步較晚,但是,其應用非常廣泛,因此,加強電算化會計系統安全問題的研究,具有非常重要的現實意義。
一、關於我國電算化會計系統的安全風險存在表現及原因分析
(一)人為因素,舞弊造假。在電算化會計系統中,有些系統內部工作人員竊取口令、文件,用來作弊。或非法轉移資金、掩蓋各種舞弊行為泄露商業秘密、等。
(二)會計軟體自身缺乏安全性與保密性。不少單位由於各方面原因,電算化會計系統的開發模式是選擇購買通用的電算化會計系統,由於通用使得一些非法用戶可以很方便的從外部打開資料庫,對數據進行違法操作,造成企業的嚴重損失。還有一些會計軟體缺乏「操作日誌」記錄功能,客觀上增加了追究責任的難度和產生風險的幾率。
(三)會計人員缺乏風險防範意識。電腦無與倫比的運算速度改變了會計信息的形成過程,但由於部分會計人員對計算機風險缺乏了解,思想上不夠重視,許多單位也忽視安全防範教育。
(四)會計信息嚴重失真。不少單位非電算化會計人員隨意操作、至使系統軟硬體故障等,導致會計數據錯誤、丟失或被篡改。在網絡環境下,數據容易被截取、盜用,甚至被篡改。同時,由於審計取證難度大,同時加大了會計信息失真的風險。
(五)病毒侵襲造成計算機系統無法正常運行,當前,計算機病毒防不勝防,在網絡環境下,一台計算機染上病毒,能夠導致網絡中其他計算機也感染病毒,它可以通過軟盤、U盤等途徑進行傳播,還可以通過網絡環境和電子郵件進行傳播。有些黑客為了獲得商業利益或其他利益而入侵單位的電算化會計系統,盜取機密資料、文件、數據等,從而獲得非法利益。
二、如何做好電算化會計系統的安全防範對策問題的幾點思考
(一)從內控制度抓起建立健全電算化會計系統的內部控制制度
l、對一般工作上控制:一定要避免兼職,因為組織與管理控制的基本目的是減少發生錯誤及舞弊行為的可能性。在會計電算化系統中,不相容的職務要相互分離,互不兼任,同時還應定期輪換,以減少利用計算機舞弊的可能性;業務處理部門與用戶部門的職責要嚴格分離,除了執行業務記錄的職能外,不能負責業務的批准和執行,也不能保管除計算機系統以外的任何資產。
2、對應用過程的控制
(1)關於輸入控制:經審批的業務數據能準確、完整地輸入系統,被系統發現並拒絕的錯誤數據,能經恰當的改正後重新輸入系統。所有業務數據輸入前必須經過恰當的審批手續,只有經審批的數據才能輸入系統。所以輸入操作是保證系統數據正確的關鍵環節,要有嚴格控制;會計軟體必須具備必要的防範會計數據輸入差錯的功能。
(2)關於處理控制:處理過程的現場控制應該將前個過程的數據處理結果進行現場檢索,經過系統核對、驗證無誤,確認該處理過程正確無誤後才可以進入本次處理;業務時序控制是會計數據處理過程中,一個處理過程的運行結果取決於若干個相關條件過程的完成;數據備份及可恢復控制是將機內會計數據進行備份,是過程控制的一個重要內容,是一種防止數據丟失的防範措施。
(3)關於輸出控制:在賬簿無誤的情況下再進行輸出報表等,這便是時序控制;根據賬簿、報表之間的勾稽關係,設置控制程序對輸出的數據進行核對,是數據稽核控制授權輸出控制就是只有經過批准的人才能執行輸出操作企業單位的會計信息。
(二)進一步完善電算化會計系統的軟體管理制度
電算化會計系統投入運行後,首先應保證會計軟體運行的安全會計軟體必須具備安全和保密功能模塊。軟體設計者應開發權限設置、自動校驗、提示功能、保護功能等模塊,並融合到系統軟體中,引入各種控制機制,使各業務系統成為基於同一種作業系統平台的大系統。各種業務之間能相互銜接,相關數據能夠自動核對、校驗、備份。為了會計核算資料安全保密,任何人不允許直接使用命令打開數據文件對數據操作,或使用工具軟體直接對會計軟體的文件進行操作,能夠自動進行數據備份,保存會計檔案資料以磁性記錄形式並進行加密存儲。
(三)關於完善會計電算化系統的硬體管理制度
為了儘可能減少硬體故障率、減輕硬體故障造成的危害,應加強硬體管理。因為硬體是會計軟體運行基礎。嚴格崗位責任制,明確每個工作崗位的職責範圍,單位應根據工作的需要,建立電算化會計系統的崗位責任制,切實做到層層防範系統各模塊要設置相應的口令;執行嚴格的權限控制措施,嚴格遵守操作程序,每次操作完畢,應執行相應命令退出系統,以防數據丟失。遵守上機登記與運行日誌相結合的管理制度,由會計軟體自動生成的運行日誌,系統管理員要定期檢查等。實現對用戶使用系統的及時跟蹤。
(四)切實加強病毒的防範和控制
對於計算機病毒應採用「防、查、殺」相結合的方式,堅決防止計算機病毒的傳播,一定將病毒對系統的潛在破壞性減到最少。防範工作應從這幾方面進行:必須使用正版軟體。由於購買的盜版軟體從非正規渠道,則可能攜帶病毒,要提高對計算機異常現象的警覺。發現計算機有奇怪的現象的出現可能意味著計算機感染了病毒、計算機中存在有問題的軟體或出現了硬體故障;及時升級反病毒軟體。定期備份數據。數據一定要至少每周備份一次,通常要進行異地備份;對外來軟盤要進行防病毒檢查專機專用,決不打開來歷不明的郵件。
(五)關於網絡安全控制
企業的電算化會計系統已是整個企業信息化系統的一個組成部分,網際網路得到充分的應用。關於用戶權限設置,從業務範圍出發,將整個網絡系統分級管理,.層層負責,對各種數據的讀、寫、修改權限進行嚴格限制,拒絕其他用戶的訪問。關於密碼設置,每一用戶按照自己的用戶身份和密碼進入系統,對密碼進行分級管理,避免使用易破譯的密碼。對重要數據加密,傳輸重要數據前對其進行加密,接收到數據後作相應的解密處理,並定期更換加密密鑰。關於設置網絡防火牆與入侵檢測系統,對於需要與外網進行數據通訊的單位,需要安裝網絡防火牆。網絡防火牆主要安置在網關處,對流入、流出單位內部的數據進行安全防範。能夠防範眾多的攻擊手段,保證內部網絡的安全。另外,為了防範內部的網絡威脅還需要配置入侵檢測系統。兩者互為補充,可以極大的保證內部網絡的安全。
參考文獻:
[1]王秀玲,會計電算化存在的問題及對策[J].現代企業教育,2005,(7):60;
[2]潘先林.會計電算化系統的安全研究[J].沿海企業與科技,2005,(5)=142-143;
[3]閆艷,會計電算化對審計工作的影響及對策[J].商業會計,2005,(14):37。
關鍵詞:電算化會計;系統安全;研究與探索
隨著我國科技的進步,計算機在經濟生活的廣泛應用,我國企事業單位的電算化會計工作得到了突飛猛進的發展。雖然我國會計電算化是從上世紀70年代末開始起步較晚,但是,其應用非常廣泛,因此,加強電算化會計系統安全問題的研究,具有非常重要的現實意義。
一、關於我國電算化會計系統的安全風險存在表現及原因分析
(一)人為因素,舞弊造假。在電算化會計系統中,有些系統內部工作人員竊取口令、文件,用來作弊。或非法轉移資金、掩蓋各種舞弊行為泄露商業秘密、等。
(二)會計軟體自身缺乏安全性與保密性。不少單位由於各方面原因,電算化會計系統的開發模式是選擇購買通用的電算化會計系統,由於通用使得一些非法用戶可以很方便的從外部打開資料庫,對數據進行違法操作,造成企業的嚴重損失。還有一些會計軟體缺乏「操作日誌」記錄功能,客觀上增加了追究責任的難度和產生風險的幾率。
(三)會計人員缺乏風險防範意識。電腦無與倫比的運算速度改變了會計信息的形成過程,但由於部分會計人員對計算機風險缺乏了解,思想上不夠重視,許多單位也忽視安全防範教育。
(四)會計信息嚴重失真。不少單位非電算化會計人員隨意操作、至使系統軟硬體故障等,導致會計數據錯誤、丟失或被篡改。在網絡環境下,數據容易被截取、盜用,甚至被篡改。同時,由於審計取證難度大,同時加大了會計信息失真的風險。
(五)病毒侵襲造成計算機系統無法正常運行,當前,計算機病毒防不勝防,在網絡環境下,一台計算機染上病毒,能夠導致網絡中其他計算機也感染病毒,它可以通過軟盤、U盤等途徑進行傳播,還可以通過網絡環境和電子郵件進行傳播。有些黑客為了獲得商業利益或其他利益而入侵單位的電算化會計系統,盜取機密資料、文件、數據等,從而獲得非法利益。
二、如何做好電算化會計系統的安全防範對策問題的幾點思考
(一)從內控制度抓起建立健全電算化會計系統的內部控制制度
l、對一般工作上控制:一定要避免兼職,因為組織與管理控制的基本目的是減少發生錯誤及舞弊行為的可能性。在會計電算化系統中,不相容的職務要相互分離,互不兼任,同時還應定期輪換,以減少利用計算機舞弊的可能性;業務處理部門與用戶部門的職責要嚴格分離,除了執行業務記錄的職能外,不能負責業務的批准和執行,也不能保管除計算機系統以外的任何資產。
2、對應用過程的控制
(1)關於輸入控制:經審批的業務數據能準確、完整地輸入系統,被系統發現並拒絕的錯誤數據,能經恰當的改正後重新輸入系統。所有業務數據輸入前必須經過恰當的審批手續,只有經審批的數據才能輸入系統。所以輸入操作是保證系統數據正確的關鍵環節,要有嚴格控制;會計軟體必須具備必要的防範會計數據輸入差錯的功能。
(2)關於處理控制:處理過程的現場控制應該將前個過程的數據處理結果進行現場檢索,經過系統核對、驗證無誤,確認該處理過程正確無誤後才可以進入本次處理;業務時序控制是會計數據處理過程中,一個處理過程的運行結果取決於若干個相關條件過程的完成;數據備份及可恢復控制是將機內會計數據進行備份,是過程控制的一個重要內容,是一種防止數據丟失的防範措施。
(3)關於輸出控制:在賬簿無誤的情況下再進行輸出報表等,這便是時序控制;根據賬簿、報表之間的勾稽關係,設置控制程序對輸出的數據進行核對,是數據稽核控制授權輸出控制就是只有經過批准的人才能執行輸出操作企業單位的會計信息。
(二)進一步完善電算化會計系統的軟體管理制度
電算化會計系統投入運行後,首先應保證會計軟體運行的安全會計軟體必須具備安全和保密功能模塊。軟體設計者應開發權限設置、自動校驗、提示功能、保護功能等模塊,並融合到系統軟體中,引入各種控制機制,使各業務系統成為基於同一種作業系統平台的大系統。各種業務之間能相互銜接,相關數據能夠自動核對、校驗、備份。為了會計核算資料安全保密,任何人不允許直接使用命令打開數據文件對數據操作,或使用工具軟體直接對會計軟體的文件進行操作,能夠自動進行數據備份,保存會計檔案資料以磁性記錄形式並進行加密存儲。
(三)關於完善會計電算化系統的硬體管理制度
為了儘可能減少硬體故障率、減輕硬體故障造成的危害,應加強硬體管理。因為硬體是會計軟體運行基礎。嚴格崗位責任制,明確每個工作崗位的職責範圍,單位應根據工作的需要,建立電算化會計系統的崗位責任制,切實做到層層防範系統各模塊要設置相應的口令;執行嚴格的權限控制措施,嚴格遵守操作程序,每次操作完畢,應執行相應命令退出系統,以防數據丟失。遵守上機登記與運行日誌相結合的管理制度,由會計軟體自動生成的運行日誌,系統管理員要定期檢查等。實現對用戶使用系統的及時跟蹤。
(四)切實加強病毒的防範和控制
對於計算機病毒應採用「防、查、殺」相結合的方式,堅決防止計算機病毒的傳播,一定將病毒對系統的潛在破壞性減到最少。防範工作應從這幾方面進行:必須使用正版軟體。由於購買的盜版軟體從非正規渠道,則可能攜帶病毒,要提高對計算機異常現象的警覺。發現計算機有奇怪的現象的出現可能意味著計算機感染了病毒、計算機中存在有問題的軟體或出現了硬體故障;及時升級反病毒軟體。定期備份數據。數據一定要至少每周備份一次,通常要進行異地備份;對外來軟盤要進行防病毒檢查專機專用,決不打開來歷不明的郵件。
(五)關於網絡安全控制
企業的電算化會計系統已是整個企業信息化系統的一個組成部分,網際網路得到充分的應用。關於用戶權限設置,從業務範圍出發,將整個網絡系統分級管理,.層層負責,對各種數據的讀、寫、修改權限進行嚴格限制,拒絕其他用戶的訪問。關於密碼設置,每一用戶按照自己的用戶身份和密碼進入系統,對密碼進行分級管理,避免使用易破譯的密碼。對重要數據加密,傳輸重要數據前對其進行加密,接收到數據後作相應的解密處理,並定期更換加密密鑰。關於設置網絡防火牆與入侵檢測系統,對於需要與外網進行數據通訊的單位,需要安裝網絡防火牆。網絡防火牆主要安置在網關處,對流入、流出單位內部的數據進行安全防範。能夠防範眾多的攻擊手段,保證內部網絡的安全。另外,為了防範內部的網絡威脅還需要配置入侵檢測系統。兩者互為補充,可以極大的保證內部網絡的安全。
參考文獻:
[1]王秀玲,會計電算化存在的問題及對策[J].現代企業教育,2005,(7):60;
[2]潘先林.會計電算化系統的安全研究[J].沿海企業與科技,2005,(5)=142-143;
[3]閆艷,會計電算化對審計工作的影響及對策[J].商業會計,2005,(14):37。
收藏