會計電算化下信息安全探討

　　隨著計算機在企業管理和會計信息處理中的迅速普及和運用，會計工作經歷了從手工會計到會計電算化，再到網絡會計這一發展過程。會計數據處理的工具也從簡單計算器發展到計算機網絡等高科技手段，會計數據處理的流程也隨之被賦予了新的內容和時代特色。每一個時代主流技術的范式以及它的屬性和特點，都深刻地決定并融入了那個時代的社會屬性和特點之中。當今這個時代，安全作為社會的價值問題、利益問題，并隨著網絡信息技術問題等的提出，深刻地揭示了信息技術時代的主題。對于會計來說，信息時代必定會給會計電算化帶來具有時代性質的新問題尤其是安全問題。
　　
　　一、會計電算化下存在的問題
　　
　　由于信息時代的到來和傳統的會計工作方式的改變，使企業會計工作中出現了許多新的問題和漏洞，給會計的內部控制帶來許多不便。
　　
　　(一)構成內控制威脅的內在因素
　　構成企業內控制威脅的因素對企業來說是一個很現實的問題，是應當及時解決的重要問題，但它可以在企業工作人員的共同努力下解決。
　　首先，篡改輸入、輸出。篡改輸入，這是最簡單也是最常見的計算機舞弊手段，該方法通過在經濟數據錄入前或加入期間對數據做手腳來達到個人目的。篡改輸出，通常通過非法修改、銷毀輸出報表，將輸出的報表私自交給公司競爭對手，利用終端竊取輸出的機密信息等手段都能達到作案的目的。例如：某公司的電腦保密設施很差，一個科室里設有一臺電腦，存儲的每項工程的密碼都是一樣的，并且科室里所有人都知道。在問題沒有發生時，密碼總是被忽略的，可是這里卻潛藏著重大的危機。如果有人不經意說出去，就會極易發生篡改輸入、輸出這種違法行為。
　　其次，篡改文件、程序。篡改文件是通過維護程序來修改或直接通過終端來修改文件中的數據。而篡改程序，是通過對程序作非法改動，以便達到某種不法目的的活動。例如，財務軟件的程序是由專業人員來設計的，懂得計算機的人很容易在科室沒有人的時候對計算機的應用程序進行修改。
　　再次，非法操作。它不同于以上幾種方式，它是指操作員或其他對計算機十分精通的人員不按操作過程或未經允許上機操作，改變計算機的執行路徑，也就是對財務軟件進行了非法操作。
　　最后，還有很多其他的違紀行為，例如通過COPY、拍照、電子竊聽等手段來進行舞弊行為。在競爭激烈的行業里，每個企業的各種信息對競爭對手來說都是十分重要的，有些商家為了贏利，難免會使出—些低劣的招數以獲得更多的利潤。
　　
　　(二)構成內控制威脅的外在因素
　　一是硬件自身的問題。每一個企業都有自己的特點，而市面上的財務軟件大多相類似。小型企業由于資金等問題，在進行財務軟件開發時，不會花費太多的資金請高層次的軟件公司進行開發，這樣他們的財務軟件就容易存在漏洞，嚴重的可使企業財務工作不能正常運作，最后不但沒有節省資金，還會因為財務軟件上的問題而發生意外事件，致使公司發生虧損。同時也會使企業在市場競爭中處于不利地位。二是當前互聯網上的病毒侵害。三是黑客攻擊越發嚴重。
　　
　　二、解決問題的必要性
　　
　　在應用電子計算機處理會計活動的環境下，進行交易、授權、執行操作等活動都與手工處理的會計活動存在著很大差異。在手工的會計活動中，處理經濟往來和交易，每一個具體環節都要經過具體會計人員的審批和簽章，若有人進行了修改、涂抹之類的舞弊行為，我們都可以一目了然地發現。但在會計信息系統電算化環境下，情況就大不一樣了，業務人員可以通過很多途徑來進行非法活動。例如：利用特殊權文件的口令，獲得某種權力，或者運行特定程序警醒業務處理，由此引發財務軟件失控，而乘機竊取資料的案例在現實生活中是常見的。因此，在會計電算化下對會計活動的監督就變得更加重要和必要，對會計電算化下出現的問題我們就更應該及時地進行解決。
　　
　　三、對策與措施
　　
　　(一)針對內在的因素提出的幾個解決辦法
　　1、提高會計人員的操作水平
　　目前的會計電算化培訓具有很強的局限性。每個地方的會計電算化上崗證考試所用的軟件都不同，而同一個地方的不同企業所使用的財務軟件也不同。
　　筆者認為，學員學習的時候不能太片面地學習，建議以學一種軟件為主，將其熟練掌握，同時應該對其他軟件加以熟悉，了解他們之間的不同之處。另外現在市面上針對考證辦的輔導班大多只針對考試，學員學習完全部課程僅僅能應付考試，當面對具體工作時，通常會不知所措。所以在進行會計上崗證考試后，會計人員還應當了解其他財務軟件。當財務軟件升級或追加新的功能時，應當不斷完善自己的知識體系，提高自身水平。其次，財務人員在具備所需的專業知識的同時，要對相應的計算機知識加以強化，要在網絡安全方面多加學習。學會處理日常的網絡安全問題，有病毒襲擊時能夠獨立解決。
　　2、建立會計保密系統
　　由于會計電算化檔案較傳統會計檔案易于修改，并且不留痕跡。為了防止不法分子對會計檔案進行修改，應對財務軟件實行相應的保密措施。怎樣才能做到禁止外來人員非法登陸，或者能夠及時地發現非法登陸的情況呢?筆者在此提出幾點建議。
　　(1)建立用戶識別控制系統，防止非法用戶接觸會計檔案。筆者建議，實施會計電算化的企業，根據實際情況對會計電算化方面的人力資源進行投資。培訓具有較高計算機應用與維護能力的會計人員，使他們熟知財務軟件知識，對計算機與會計電算化相關知識有一定了解。這樣既可以提高企業會計電算化應用水平，又可在必要時在部門內部開展不定期的培訓活動，帶動其他會計人員的素質的提高。
　　(2)建立操作日志管理，并加強操作日志管理的力度。建立操作日志，并由系統自動生成，進行操作登陸記錄，同時建立加密的機內操作日志，完善監督系統的操作，為以后的審計工作留下審計線索。事實上，每個會計電算化系統自身都有一個機內的操作日志，但是由于工作人員平時沒有養成良好的防范于未然的習慣，每次上機前并沒有關注操作日志的登陸情況，或只是大略地看一下，沒有認真地查看兩次登陸間是否有可疑人物或不相干的人員登陸財務軟件及登陸的具體時間，登陸時間的長短更是被忽略。財務人員應該關注每一個登陸者，對無關人員的登陸進行詳細的詢問，不能因為是同事或者是熟人就放松警惕，應公私分明，不要因小失大。此外，筆者認為對于大企業，應當做到：凡是上機操作人員必須經過授權，避免不法分子利用管理上的疏忽來竊取相關會計信息；禁止原系統開發人員接觸或操作計算機，以防開發人員通過系統上的漏洞，對財務軟件進行破壞。同時，不允許熟悉計算機的無關人員任意進入機房。
　　(3)數據存儲權限限制。對安全保密程度不等的數據，應賦予每個使用人員不同的操作權限，防止越權使用。
　　為了防止違法行為的發生，筆者認為企業除了會計主管外至少應設置兩個操作員，其中一個進行憑證處理，通常可由出納人員來從事；另一個進行審核工作。兩者的工作內容不能有任何交叉，即使是很小的交叉也可能會為以后的違紀行為埋下禍根。審核工作也可以由會計主管來擔任，但是一定要分工明確，不能兼任。同時，對操作密碼要嚴格管理，指定專人定期更換操作員的密碼。操作人員離開機房前，應當執行相應的命令退出會計軟件，否則密碼的防線就會失去作用，會給無關人員操作軟件留下機會。
　　(4)輸入的原始數據的正確性。防止已輸入計算機的原始數據和記賬憑證等會計數據，未經審核而直接登記機內賬簿。保證會計數據的正確合法，防止越權審核憑證。
　　(5)會計審核工作要及時。輸入憑證到審核憑證之間有一段時間，審核人員在憑證輸入到電腦后要及時對憑證進行審核，審核后數據才能登入總賬和明細賬。不法分子有可能在憑證未審核的這段時間對會計的原始數據進行篡改輸入、篡改輸出等違法行為。因此出納員應當及時向審核人員匯報工作的進展情況，使審核人員能夠及時地對會計憑證進行審核。同時審核人員應當與出納進行良好的溝通，及時發現數據上出現的問題。
　　　3、檔案管理制度
　　鑒于電算化會計和傳統會計的眾多區別，在會計電算化檔案的管理工作中，除了傳統會計檔案應該注意的問題外，還要特別注意他們的不同之處，然后進行管理。
　　首先，要特別注意對會計電算化檔案中軟件文檔的管理。這些軟件文檔是進行會計信息系統維護必不可少的資料，它可以幫助理解別人的實際思路和編者的源程序代碼，同時一個軟件系統由于主客觀的原因不可避免地會發生一些問題。因此要保存完整的軟件文檔，系統地維護才能進行正常的工作。
　　其次，會計電算化檔案有受質量、溫度濕度、磁場等因素的影響較大，易被破壞的缺點，要在管理上多注意。筆者建議在選用保存介質時應特別注意，要選用質量較好、可靠性較高的介質。因為介質的質量關系到會計檔案能否被使用。對存儲會計檔案的介質應寫好保護字樣，存放在防潮、防熱、防塵、防磁的場所。對存放往年會計檔案的介質應當定期復制，如一個季度或者半年，一次性復制兩份放在不同的地方。保證檔案的安全性，對使用時間較長的存儲介質應定期進行替換。同時對硬盤上的會計檔案最少保存兩份，分別放在會計和計算機操作部門的檔案管理處存放，以防止某一方存儲介質損壞造成數據丟失或單方面修改會計數據，為將來的審計工作帶來不便。
　　4、建立完善的內部審計
　　為了保證會計信息的真實、可靠，企業內部應建立和完善內部審計工作。通過內部審計，可以了解現有的一些內部控制是否能夠保證當前的會計信息準確可靠，以及這些控制是否正在有效地運作，并達到預期的效果。由于現代審計是以內控制系統作為基礎的，在評價內部控制基礎上進行抽樣設計，加之計算機審計水平有限，計算機舞弊有可能從審計人員手中漏掉，因而預防作用遠比直接作用更大。
　　此外，審計人員要盡職盡責，不能因為是內部審計而放松警惕，進行審計工作時要主動對相關的會計人員進行詢問，對下級機關送來的報表要及時審閱。
　　筆者認為，審計工作要分定期和不定期進行。定期審計是指要對企業內部每隔一段時間就進行一次審核。這里的不定期是指要對企業內部進行突擊檢查，以防止為了應付定期審核而做出事先安排的情況發生。出現了問題，根據重要性原則，對部分事件進行嚴格的審計工作，這是發現內部人員舞弊行為的重要途徑。加強內部審計不但是降低會計工作發生錯誤的關鍵，也是本企業發展的一個推動力量。
　　
　　(二)針對外在的因素提出的解決方法
　　1、建立國際防護聯盟
　　當今經濟全球化，網絡給人類帶來了福音，但也有更新的問題產生。通過網絡來破壞會計系統的案例已經在各國出現，會計上的問題已經上升為國際問題，因此應當大力加強國際網絡安全方面的工作，建立國際防護聯盟。例如，可以由國際計算機機構來組織有關方面的專家，專門對會計安全進行研究，通過解決安全問題，共同防止黑客的攻擊，這對全球經濟的發展無疑是一個巨大的貢獻。
　　2、提高本企業的財務軟件的安全性
　　要確保企業的財務軟件安全、可靠，減少漏洞，將發生錯誤的可能性降至最低。因此一個企業在進行最初的財務軟件設計的時候就要有一定的準則。財務軟件對于一個企業是非常重要的，準確程度要高，應當聘請專業性強、水準高，最好是有財務軟件開發經驗的公司或人員來進行開發。對于從事會計活動和利用會計信息來進行工作的人員來說，會計資料的真實、可靠是最為重要的。為了不給不法分子以從事違法活動的機會，我們要從各個因素研究，從如何加強內控制來幫助會計人員對會計工作出現的新問題進行分析，筆者針對前文提到的內在和外在的因素提了幾點建議。開發的財務軟件系統的質量，不能受資金不足，或重視程度不夠影響。如，廣州某企業因經費不足，聘請了一家技術力量較弱的公司負責開發系統，由于開發人員的水平問題，所開發出的系統漏洞百出，最終無法使用，給企業造成了很大的損失，而且影響了該單位的電子化進程：
　　當今，眾多財務軟件的開發已經走向專業化、商品化、社會化的軌道，并且商品化、通用化的財務軟件也得到了廣泛的應用。由于財務工作本身的特點，以及網絡發展、電子商務興起等一些先進的、現代化的事物不斷出現，會計工作不能一直停留在手工記賬的時代，解決會計電算化下的會計問題越發迫切，它是讓我們的會計工作能夠更順利地進行的最根本的保障。為使企業有一個安全可靠的數據來源，信息使用者在應用這些會計信息進行數據分析時，應作出正確的決策，不被虛假的數據所蒙騙，使企業更快更好地發