企業(yè)信息化的風(fēng)險(xiǎn)及其防范措施

[摘要]本文主要針對(duì)企業(yè)集團(tuán)在進(jìn)行企業(yè)信息化特別是在運(yùn)用ERP軟件過(guò)程中面臨的許多風(fēng)險(xiǎn)，提出應(yīng)采取規(guī)避風(fēng)險(xiǎn)的措施，從而保證企業(yè)會(huì)計(jì)數(shù)據(jù)的真實(shí)正確性。

[關(guān)鍵詞] 信息化 風(fēng)險(xiǎn) 措施

目前，許多企業(yè)都在運(yùn)用不同的ERP軟件實(shí)現(xiàn)企業(yè)信息化，從而使企業(yè)在管理方法、管理模式和管理手段等方面進(jìn)入到一個(gè)新階段。但隨著企業(yè)信息化過(guò)程中ERP軟件的實(shí)施，ERP實(shí)施企業(yè)越來(lái)越關(guān)心系統(tǒng)運(yùn)行集成化、業(yè)務(wù)流程合理化、績(jī)效監(jiān)控動(dòng)態(tài)化和管理改善持續(xù)化等方面的問(wèn)題，特別是關(guān)心企業(yè)數(shù)據(jù)安全體系、信息共享機(jī)制和ERP在改善管理、效率方面的表現(xiàn)。但由于多種原因，基于ERP環(huán)境下的安全性問(wèn)題越來(lái)越突出。筆者依據(jù)多年為企業(yè)集團(tuán)進(jìn)行信息化咨詢和軟件實(shí)施的經(jīng)驗(yàn)，認(rèn)為有必要針對(duì)其可能面臨的風(fēng)險(xiǎn)，提出相應(yīng)的防范措施，從而保證信息化數(shù)據(jù)的真實(shí)性與可靠性。

一、企業(yè)信息化的風(fēng)險(xiǎn)

1.企業(yè)信息化過(guò)程中授權(quán)方式的改變引發(fā)的風(fēng)險(xiǎn)

在手工會(huì)計(jì)方式下，主要是人與人之間相互牽制進(jìn)行授權(quán)，而在電算化會(huì)計(jì)信息系統(tǒng)中，授權(quán)方式轉(zhuǎn)變?yōu)闄?quán)限分工管理。權(quán)限分工主要是口令授權(quán)，口令存放于計(jì)算機(jī)系統(tǒng)而不像印章那樣由專(zhuān)人保管，一旦口令被人竊取，會(huì)帶來(lái)巨大隱患。

2.原始憑證數(shù)字化趨勢(shì)引發(fā)的風(fēng)險(xiǎn)

隨著電子商務(wù)的發(fā)展，企業(yè)信息化中的一些原始憑證也同記賬憑證、會(huì)計(jì)賬薄、會(huì)計(jì)報(bào)表一樣，有數(shù)字化、電子化的趨勢(shì)。這種無(wú)紙化憑證極易不留痕跡被篡改或偽造，弱化了紙質(zhì)原始憑證所具有的較強(qiáng)的控制功能，給內(nèi)部會(huì)計(jì)控制帶來(lái)了新難題。

3.ERP軟件本身的原因引起的風(fēng)險(xiǎn)

在企業(yè)信息化過(guò)程中，我們發(fā)現(xiàn)企業(yè)運(yùn)用的ERP軟件存在一些瑕疵容易帶來(lái)風(fēng)險(xiǎn)。主要表現(xiàn)為：

(1)ERP軟件模塊間集成度不高導(dǎo)致模塊間數(shù)據(jù)不一致。有的ERP軟件業(yè)務(wù)模塊與財(cái)務(wù)模塊之間沒(méi)有真正無(wú)縫聯(lián)接，模塊間數(shù)據(jù)無(wú)法建立真正共享機(jī)制。從而引發(fā)不必要的模塊間數(shù)據(jù)差錯(cuò)。

(2)ERP軟件的一些逆向功能引發(fā)不必要的風(fēng)險(xiǎn)。在企業(yè)的電算化會(huì)計(jì)信息系統(tǒng)中，正確的數(shù)據(jù)處理流程應(yīng)該是制單→審核→記賬→結(jié)賬。但為了方便用戶的會(huì)計(jì)業(yè)務(wù)處理，一些ERP軟件提供了反結(jié)賬、反記賬等逆向功能，這些功能從根本上講對(duì)財(cái)政稅務(wù)及企業(yè)獲取真實(shí)數(shù)據(jù)信息無(wú)益，只能為極個(gè)別企業(yè)做假賬大開(kāi)方便之門(mén)，從而引發(fā)不必要的風(fēng)險(xiǎn)。

4.網(wǎng)絡(luò)環(huán)境的開(kāi)放性加劇了會(huì)計(jì)信息失真的風(fēng)險(xiǎn)

由于網(wǎng)絡(luò)系統(tǒng)采用的是開(kāi)放式TCP/IP協(xié)議，企業(yè)集團(tuán)大都使用網(wǎng)絡(luò)版ERP軟件，企業(yè)所有數(shù)據(jù)存放在數(shù)據(jù)庫(kù)服務(wù)器內(nèi)，網(wǎng)絡(luò)開(kāi)放性和數(shù)據(jù)共享性必將引發(fā)信息系統(tǒng)風(fēng)險(xiǎn)，并可能導(dǎo)致審計(jì)線索紊亂。

二、防范企業(yè)信息化的風(fēng)險(xiǎn)措施

面對(duì)企業(yè)信息化過(guò)程中面臨的風(fēng)險(xiǎn)，我們只有采取切實(shí)可行的措施，才能保證企業(yè)信息化數(shù)據(jù)的正確性和安全性。

1.建立健全并認(rèn)真執(zhí)行企業(yè)信息化軟件管理制度

建立健全企業(yè)信息化軟件管理制度，是任何一個(gè)企業(yè)集團(tuán)確定實(shí)施ERP軟件時(shí)必須做的一項(xiàng)首要工作，也是企業(yè)集團(tuán)實(shí)現(xiàn)會(huì)計(jì)數(shù)據(jù)安全準(zhǔn)確的根本保證。它主要包括崗位責(zé)任管理制度、日常操作管理制度、軟硬件維護(hù)制度、機(jī)房管理制度和會(huì)計(jì)檔案管理制度等。它一方面可以約束ERP操作人員的行為，另一方面又可以彌補(bǔ)和完善軟件控制功能中的一些不足。但是，制定的企業(yè)信息化軟件管理制度只是重要的第一步，更關(guān)鍵的是要使制定的企業(yè)信息化管理制度得到全面貫徹執(zhí)行，并定期或不定期檢查管理制度的執(zhí)行情況，從而防止非法刪除、修改企業(yè)數(shù)據(jù)信息。

2.正確選擇ERP軟件，并盡量限制使用可引起風(fēng)險(xiǎn)的功能

(1)凡是要上ERP軟件的企業(yè)必須認(rèn)真分析目前ERP軟件狀況，選出幾種企業(yè)集團(tuán)重點(diǎn)考察的候選ERP軟件，再聘請(qǐng)當(dāng)?shù)卮髮W(xué)或咨詢公司專(zhuān)門(mén)研究ERP軟件的人士做參謀，對(duì)ERP軟件的集成性、數(shù)據(jù)安全性、跨平臺(tái)應(yīng)用能力以及軟件售后服務(wù)能力等方面加以考察，綜合考慮選用安全系數(shù)相對(duì)較高又易于應(yīng)用的ERP軟件。

(2)限制使用可引起風(fēng)險(xiǎn)的一些功能。對(duì)于有的ERP軟件中存在易引起安全風(fēng)險(xiǎn)的功能，比如憑證的復(fù)制、修改、作廢、刪除等，可以通過(guò)企業(yè)信息化軟件管理制度的約束作用預(yù)防風(fēng)險(xiǎn)，比如制度中可以規(guī)定，凡是已經(jīng)記賬的有誤憑證必須做紅字沖銷(xiāo)憑證，而不能進(jìn)行作廢和刪除，以便留下審計(jì)線索。對(duì)于軟件中包含的反結(jié)賬、反記賬等逆向功能，目前國(guó)內(nèi)ERP軟件基本上都是由具有會(huì)計(jì)主管權(quán)限的人員來(lái)實(shí)施，所以，對(duì)于逆向功能應(yīng)該強(qiáng)調(diào)限制使用或盡量不使用。

3.強(qiáng)化操作權(quán)限管理意識(shí)，進(jìn)一步明細(xì)崗位分工

操作權(quán)限是指確定ERP軟件操作人員的功能菜單權(quán)、打印權(quán)、查詢權(quán)等，操作權(quán)限管理則是從ERP軟件的工作流程和當(dāng)前企業(yè)集團(tuán)的會(huì)計(jì)工作特點(diǎn)出發(fā)，在遵循恰當(dāng)?shù)穆氊?zé)分離原則下，充分運(yùn)用ERP軟件自身的程序控制功能，進(jìn)一步明細(xì)崗位分工和崗位職責(zé)，建立起科學(xué)合理、高效規(guī)范的工作流程，以便最大限度防范和化解風(fēng)險(xiǎn)。

4.建立預(yù)防病毒的安全保障措施

為了防止非法用戶和黑客侵入，可以通過(guò)安裝正版防病毒軟件，設(shè)置防火墻等防護(hù)措施，保證會(huì)計(jì)數(shù)據(jù)不被非法修改和刪除。

5.加強(qiáng)計(jì)算機(jī)應(yīng)用能力培訓(xùn)，提高操作人員業(yè)務(wù)技能

企業(yè)集團(tuán)應(yīng)加強(qiáng)對(duì)軟件操作人員的計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)和數(shù)據(jù)庫(kù)知識(shí)的培訓(xùn)工作，提高操作人員業(yè)務(wù)技能，從而盡量減少各種不必要的失誤。

只有采取了上述措施，才能從根本上減少企業(yè)集團(tuán)實(shí)施企業(yè)信息化引發(fā)的各種風(fēng)險(xiǎn)，提高企業(yè)信息化數(shù)據(jù)的真實(shí)性和安全性。

參考文獻(xiàn)：

[1]許永斌:企業(yè)信息化對(duì)會(huì)計(jì)電算化模式的影響[J].財(cái)會(huì)月刊(綜合版)，2004.11

[2]吳小萍鄒華興:企業(yè)信息化建設(shè)風(fēng)險(xiǎn)剖析[J].企業(yè)經(jīng)濟(jì)，2005.2