略論會計電算化的潛在風險與監(jiān)控

○汪潔 趙云 周晟

（1、總后軍需物資油料部軍需軍代局 北京 100071；2、駐濟南鐵路水路軍代處 山東 濟南 250001；3、軍事經(jīng)濟學院 湖北 武漢 430035）

一、電算化會計中存在的風險

1、數(shù)據(jù)共享的風險

市場經(jīng)濟的發(fā)展推動著越來越多企事業(yè)單位紛紛借助計算機網(wǎng)絡(luò)來展示和推介自己，網(wǎng)絡(luò)財務(wù)帶來了會計系統(tǒng)的開放和數(shù)據(jù)共享。電算化會計信息資料也以其具有的輔助分析、預測等功能越來越多地為多方共享。有些單位不注意電算化會計信息共享中應(yīng)注意的問題，沒有合理界定共享信息范圍，或根本就缺乏信息安全意識，共享信息不設(shè)數(shù)據(jù)加密等保護性限制措施（包括數(shù)據(jù)的加解密、認證信息的加解密、數(shù)據(jù)鑒定完整性）、訪問控制技術(shù)、認證技術(shù)、網(wǎng)絡(luò)防毒等，造成會計信息被盜用、信息被篡改、丟失，單位經(jīng)濟活動或商業(yè)秘密、理財秘密被公開、網(wǎng)絡(luò)病毒入侵等后果，加大了會計資料共享的風險。

2、硬件維護的風險

硬件維護主要指在系統(tǒng)運行過程中，出現(xiàn)硬件故障時及時進行故障分析、檢查、修復，并由系統(tǒng)維護人員及時進行安裝調(diào)試的活動。很多單位沒有指定專門的系統(tǒng)維護人員，或系統(tǒng)維護人員缺乏最基本的電腦硬件維護常識；有些單位的財會人員用系統(tǒng)計算機從事與會計業(yè)務(wù)無關(guān)的工作，在財務(wù)專用機上使用、安裝外來軟盤、光盤甚至游戲軟件，系統(tǒng)計算機沒有安裝高效實時監(jiān)控的防毒、殺毒軟件，增加了系統(tǒng)計算機感染病毒的機會。更有甚者，系統(tǒng)維護員缺乏必要的防范意識和措施，對利用計算機進行經(jīng)濟犯罪知之不多，控制措施不得力，將會計系統(tǒng)服務(wù)器或工作站連接Internet，更進一步增大了病毒通過互聯(lián)網(wǎng)和電子郵件入侵的可能性。

3、系統(tǒng)軟件維護中存在風險

軟件維護主要包括正確性維護、適應(yīng)性維護、完善性維護等。正確性維護是指診斷和改正錯誤的過程，適應(yīng)性維護是指單位的會計工作發(fā)展變化時，為適應(yīng)而進行的修改活動；完善性維護是為了改善軟件已有功能的需求而進行的軟件修改活動。目前市場上出現(xiàn)的各種會計軟件，其功能均處于不斷地完善、開發(fā)、改造和升級之中。有些單位購買軟件時不注重軟件售后服務(wù)，軟件性能缺乏穩(wěn)定性，難以適應(yīng)日新月異、新業(yè)務(wù)不斷出現(xiàn)的會計工作需要。系統(tǒng)升級改造前缺乏必要的論證、考察，盲目改造或?qū)浖龆伍_發(fā)，造成新問題不斷出現(xiàn)，給實際會計工作造成麻煩和風險。

4、電子信息檔案管理存放中存在的風險

會計檔案在收集過程中，由于操作人員時間觀念不強，沒有及時或定期按規(guī)定把計算機系統(tǒng)中的所有會計資料備份到磁性介質(zhì)或光盤上；沒有脫離原計算機系統(tǒng)進行保存。一旦因意外或人為錯誤造成數(shù)據(jù)丟失或系統(tǒng)被破壞，就不能在最短時間、最小損失下恢復原有的會計資料，電算化系統(tǒng)不能正常工作。實際工作中許多單位的電子檔案在保管過程中，操作員往往是單備份保存，且保存在電算化系統(tǒng)附近，一旦發(fā)生意外，后果不堪設(shè)想。有的檔案保管人員缺乏必要的物理知識，不懂磁性介質(zhì)的物理特性，將電子檔案存放在磁場附近，造成備份資料瞬間消失。此外，檔案保管人員由于缺乏安全意識，不注意檔案存放環(huán)境，使電子檔案遭遇火災(zāi)、水浸、霉變的情況時有發(fā)生。

二、會計電算化中對于風險的監(jiān)控

在會計電算化過程中進行風險控制是十分必要的，并將被提到一個越來越重要的位置。各級領(lǐng)導都要提高對會計電算化工作的認識，積極創(chuàng)造條件開展此項工作。單位負責人或總會計師應(yīng)當親自領(lǐng)導會計電算化工作，財務(wù)部門組織具體實施，對在什么時候開展、開展哪些項目都應(yīng)仔細規(guī)劃，廣泛聽取專家的意見，認真做好可行性研究；建立民主、科學的決策機制，對會計電算化事項進行集體討論，杜絕一人說了算的現(xiàn)象。只有這樣，才能提高決策的正確性，減少決策的盲目性，降低決策風險。

1、硬件軟件控制

財政部《會計電算化工作規(guī)范》中明確規(guī)定：具備一定硬件基礎(chǔ)和技術(shù)力量的單位，都要充分利用現(xiàn)有的計算機設(shè)備建立計算機網(wǎng)絡(luò)，做到信息資源共享和會計數(shù)據(jù)實時處理。因此，優(yōu)良的計算機硬件配置是實現(xiàn)會計軟件高效運作、信息共享、數(shù)據(jù)交換、良性循環(huán)的必備物質(zhì)條件。此外，各單位在購買財務(wù)軟件推行會計電算化時，應(yīng)該重點注意：所購軟件必須通過財政部的評審，軟件的技術(shù)指標應(yīng)滿足本單位需求，符合特殊核算的要求和行業(yè)特性以及發(fā)展的需要，軟件功能具有前瞻性，且能保證會計數(shù)據(jù)安全可靠，不易被破壞和泄密，操作方便，通俗易懂，簡單好學，售后服務(wù)好，能及時提供日常維護、版本升級和軟件再開發(fā)。

2、操作系統(tǒng)控制

保持計算機在符合溫度、電壓、衛(wèi)生等要求的環(huán)境下正常工作，網(wǎng)絡(luò)系統(tǒng)電算化的單位要使用防火墻軟件。為防止社會不法分子對單位內(nèi)聯(lián)網(wǎng)的非法攻擊，可以根據(jù)網(wǎng)絡(luò)系統(tǒng)區(qū)域劃分的不同，設(shè)置多級防火墻。一類是外層防火墻，用來限制外界對主機操作系統(tǒng)的訪問；另一類是應(yīng)用級防火墻，用來邏輯隔離會計應(yīng)用系統(tǒng)與外部訪問區(qū)域間的聯(lián)系，限制外界穿透防火墻對會計數(shù)據(jù)庫的非法訪問。同時也要安裝具有高效實時監(jiān)控功能的防毒軟件。

總之，對于軟硬件的升級改造，要充分考慮會計工作的延續(xù)性和升級軟件的穩(wěn)定性與會計信息資料的安全性，既要有工作的熱情，又要本著謹慎的原則，避免盲目和沖動給會計工作帶來的被動和風險。

3、組織與管理控制

實行會計電算化的單位要建立健全內(nèi)部控制制度，明確會計人員職責，采取相應(yīng)措施保護計算機設(shè)備，確保會計信息資料的準確性。防止各種非指定人員操作計算機及財務(wù)軟件，保證機內(nèi)的程序和數(shù)據(jù)的安全。明確規(guī)定上機操作人員對會計軟件的操作工作內(nèi)容和權(quán)限。密碼是限制操作權(quán)限、檢查操作人員身份的一道防線，管理好每個人的密碼，對整個系統(tǒng)的安全至關(guān)重要，因此，對操作密碼要嚴格管理、實行定期更換。杜絕未經(jīng)授權(quán)人員操作會計軟件，防止會計人員越權(quán)使用軟件。操作人員離開機器時，應(yīng)執(zhí)行相應(yīng)的命令退出會計軟件。各單位應(yīng)根據(jù)本單位的實際情況，設(shè)專人保存上機操作記錄，記錄操作人、操作時間、操作內(nèi)容等并與軟件中的“日志管理”相比較，開展日志審計。

4、系統(tǒng)日常操作管理控制

系統(tǒng)操作控制主要表現(xiàn)為操作權(quán)限控制和操作規(guī)程控制兩個方面。操作權(quán)限控制是指每個崗位的人員只能按照所授予的權(quán)限對系統(tǒng)進行作業(yè)，不得超越權(quán)限接觸系統(tǒng)。系統(tǒng)應(yīng)制定適當?shù)臋?quán)限標準體系，使系統(tǒng)不被越權(quán)操作，從而保證系統(tǒng)的安全。操作權(quán)限控制常采用設(shè)置口令來實行。操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標準操作規(guī)程進行。操作規(guī)程應(yīng)明確職責、操作程序和注意事項，并形成一套電算化系統(tǒng)文件，如對進入機房內(nèi)的人員進行嚴格審查；規(guī)定交接班手續(xù)和登記運行日志；規(guī)定數(shù)據(jù)備份及機器的使用規(guī)范；規(guī)定軟盤專用以防病毒感染；規(guī)定不準在計算機上玩電腦游戲等等。標準操作規(guī)程包括：軟硬件操作規(guī)程，作業(yè)運行規(guī)程，上機時間記錄規(guī)程等。

5、實體安全控制

實體安全涉及到計算機機房的環(huán)境、光和磁介質(zhì)等數(shù)據(jù)存儲體的存放和保護。機房應(yīng)符合技術(shù)和安全的要求，充分滿足防火、防水、防潮、防盜、恒溫等技術(shù)要求，并配有空調(diào)和消防設(shè)施。對用于數(shù)據(jù)備份的磁介質(zhì)存儲媒體注意防潮、防塵和防磁，對所有業(yè)務(wù)數(shù)據(jù)實行雙備份、異地存放，建立目錄清單，對長期保存的磁介質(zhì)存儲媒體還應(yīng)定期轉(zhuǎn)儲。

6、數(shù)據(jù)和程序控制

數(shù)據(jù)和程序控制主要是指對數(shù)據(jù)、程序的安全控制。程序的安全與否直接影響著系統(tǒng)的運行，而數(shù)據(jù)的安全與否關(guān)系到財務(wù)信息的完整性和保密性。

數(shù)據(jù)控制的目標是要做到任何情況下數(shù)據(jù)都不丟失、不損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數(shù)據(jù)的恢復與重建等，而數(shù)據(jù)的備份則是數(shù)據(jù)恢復與重建的基礎(chǔ)，是一種常見的數(shù)據(jù)控制手段，采用磁性介質(zhì)保存會計檔案要定期進行檢查和定期復制，防止由于磁性介質(zhì)損壞而使會計檔案丟失。網(wǎng)絡(luò)中利用兩人服務(wù)器進行雙機鏡像映射備份是備份的先進形式。

程序的安全控制是要保證程序不被修改、不損毀、不被病毒感染。常用的控制包括接觸控制、程序備份等。接觸控制是指非系統(tǒng)維護人員不得接觸到程序的技術(shù)資料、源程序和加密文件，從而減少程序被修改的可能性；程序備份則是指有關(guān)人員要注明程序功能后備份存檔，以備系統(tǒng)損壞后重建安裝之需。程序的安全控制還要求系統(tǒng)使用單位制定具體的防病毒措施，包括對所有來歷不明的介質(zhì)和在使用前進行病毒檢測，定期對系統(tǒng)進行病毒檢測，使用網(wǎng)絡(luò)病毒防火墻以防止日益猖獗的網(wǎng)絡(luò)病毒侵入等。

7、網(wǎng)絡(luò)安全控制

隨著網(wǎng)絡(luò)技術(shù)快速地發(fā)展，公司應(yīng)加強網(wǎng)絡(luò)安全的控制，在技術(shù)上對整個財務(wù)網(wǎng)絡(luò)系統(tǒng)的各個層次（通信平臺、網(wǎng)絡(luò)平臺、操作系統(tǒng)平臺、應(yīng)用平臺）都要采取安全防范措施和規(guī)則，建立綜合的多層次的安全體系。網(wǎng)絡(luò)安全性指標包括數(shù)據(jù)保密、訪問控制、身份識別等。針對這些方面，可采用一些安全技術(shù)，主要包括數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、數(shù)字簽名技術(shù)等。

數(shù)據(jù)加密技術(shù)是保護信息通過公共網(wǎng)絡(luò)傳輸和防止電子竊聽的首選方法。訪問控制技術(shù)的代表是防火墻技術(shù)，特別是已融和了VPN（虛擬專用網(wǎng)及隧道技術(shù)）的防火墻技術(shù)。防火墻是建立在企業(yè)內(nèi)部網(wǎng)（Intranet）和外部網(wǎng)絡(luò)接口處的訪問控制系統(tǒng)，它對跨越網(wǎng)絡(luò)邊界的信息進行過濾，目的在于防范來自外部的非法訪問、又不影響正常工作，從而為企業(yè)設(shè)立了一道電子屏障。

數(shù)字簽名是指在Internet環(huán)境下，電子符號代替了會計數(shù)據(jù)，磁介質(zhì)代替了紙介質(zhì)，財務(wù)數(shù)據(jù)流動過程中的簽字蓋章等傳統(tǒng)手段將完全改變，為驗證對方身份、保證數(shù)據(jù)真實性和完整性，在計算機通信中采用數(shù)字簽名這一安全控制手段。

[1]郭利平：企業(yè)如何實行會計電算化[J].科技情報開發(fā)與經(jīng)濟,2005（12）.

[2]周銀花：談企業(yè)會計電算化應(yīng)用中的內(nèi)部控制[J].山西建筑，2004（4）.

[3]陸義保：電腦會計[M].南京大學出版社，2000.

[4]王景新、郭新平：計算機在會計中的應(yīng)用[M].經(jīng)濟管理出版社，1998.

[5]張英明：IT環(huán)境下會計信息系統(tǒng)內(nèi)部控制研究[J].中國會計電算化，2002（5）.

[6]李少彤：論電算化會計信息資料共享[J].中國會計電算化，2000（3）.

[7]郭慶文：實行會計電算化必須加強信息安全管理[J].事業(yè)財會，2001（6）.

[8]梁鵬、沈安廈：會計電算化工作中若干問題的探討[J].中國會計電算化，2002（2）.