略論會計電算化的潛在風險與監控

○汪潔 趙云 周晟

（1、總后軍需物資油料部軍需軍代局 北京 100071；2、駐濟南鐵路水路軍代處 山東 濟南 250001；3、軍事經濟學院 湖北 武漢 430035）

一、電算化會計中存在的風險

1、數據共享的風險

市場經濟的發展推動著越來越多企事業單位紛紛借助計算機網絡來展示和推介自己，網絡財務帶來了會計系統的開放和數據共享。電算化會計信息資料也以其具有的輔助分析、預測等功能越來越多地為多方共享。有些單位不注意電算化會計信息共享中應注意的問題，沒有合理界定共享信息范圍，或根本就缺乏信息安全意識，共享信息不設數據加密等保護性限制措施（包括數據的加解密、認證信息的加解密、數據鑒定完整性）、訪問控制技術、認證技術、網絡防毒等，造成會計信息被盜用、信息被篡改、丟失，單位經濟活動或商業秘密、理財秘密被公開、網絡病毒入侵等后果，加大了會計資料共享的風險。

2、硬件維護的風險

硬件維護主要指在系統運行過程中，出現硬件故障時及時進行故障分析、檢查、修復，并由系統維護人員及時進行安裝調試的活動。很多單位沒有指定專門的系統維護人員，或系統維護人員缺乏最基本的電腦硬件維護常識；有些單位的財會人員用系統計算機從事與會計業務無關的工作，在財務專用機上使用、安裝外來軟盤、光盤甚至游戲軟件，系統計算機沒有安裝高效實時監控的防毒、殺毒軟件，增加了系統計算機感染病毒的機會。更有甚者，系統維護員缺乏必要的防范意識和措施，對利用計算機進行經濟犯罪知之不多，控制措施不得力，將會計系統服務器或工作站連接Internet，更進一步增大了病毒通過互聯網和電子郵件入侵的可能性。

3、系統軟件維護中存在風險

軟件維護主要包括正確性維護、適應性維護、完善性維護等。正確性維護是指診斷和改正錯誤的過程，適應性維護是指單位的會計工作發展變化時，為適應而進行的修改活動；完善性維護是為了改善軟件已有功能的需求而進行的軟件修改活動。目前市場上出現的各種會計軟件，其功能均處于不斷地完善、開發、改造和升級之中。有些單位購買軟件時不注重軟件售后服務，軟件性能缺乏穩定性，難以適應日新月異、新業務不斷出現的會計工作需要。系統升級改造前缺乏必要的論證、考察，盲目改造或對軟件做二次開發，造成新問題不斷出現，給實際會計工作造成麻煩和風險。

4、電子信息檔案管理存放中存在的風險

會計檔案在收集過程中，由于操作人員時間觀念不強，沒有及時或定期按規定把計算機系統中的所有會計資料備份到磁性介質或光盤上；沒有脫離原計算機系統進行保存。一旦因意外或人為錯誤造成數據丟失或系統被破壞，就不能在最短時間、最小損失下恢復原有的會計資料，電算化系統不能正常工作。實際工作中許多單位的電子檔案在保管過程中，操作員往往是單備份保存，且保存在電算化系統附近，一旦發生意外，后果不堪設想。有的檔案保管人員缺乏必要的物理知識，不懂磁性介質的物理特性，將電子檔案存放在磁場附近，造成備份資料瞬間消失。此外，檔案保管人員由于缺乏安全意識，不注意檔案存放環境，使電子檔案遭遇火災、水浸、霉變的情況時有發生。

二、會計電算化中對于風險的監控

在會計電算化過程中進行風險控制是十分必要的，并將被提到一個越來越重要的位置。各級領導都要提高對會計電算化工作的認識，積極創造條件開展此項工作。單位負責人或總會計師應當親自領導會計電算化工作，財務部門組織具體實施，對在什么時候開展、開展哪些項目都應仔細規劃，廣泛聽取專家的意見，認真做好可行性研究；建立民主、科學的決策機制，對會計電算化事項進行集體討論，杜絕一人說了算的現象。只有這樣，才能提高決策的正確性，減少決策的盲目性，降低決策風險。

1、硬件軟件控制

財政部《會計電算化工作規范》中明確規定：具備一定硬件基礎和技術力量的單位，都要充分利用現有的計算機設備建立計算機網絡，做到信息資源共享和會計數據實時處理。因此，優良的計算機硬件配置是實現會計軟件高效運作、信息共享、數據交換、良性循環的必備物質條件。此外，各單位在購買財務軟件推行會計電算化時，應該重點注意：所購軟件必須通過財政部的評審，軟件的技術指標應滿足本單位需求，符合特殊核算的要求和行業特性以及發展的需要，軟件功能具有前瞻性，且能保證會計數據安全可靠，不易被破壞和泄密，操作方便，通俗易懂，簡單好學，售后服務好，能及時提供日常維護、版本升級和軟件再開發。

2、操作系統控制

保持計算機在符合溫度、電壓、衛生等要求的環境下正常工作，網絡系統電算化的單位要使用防火墻軟件。為防止社會不法分子對單位內聯網的非法攻擊，可以根據網絡系統區域劃分的不同，設置多級防火墻。一類是外層防火墻，用來限制外界對主機操作系統的訪問；另一類是應用級防火墻，用來邏輯隔離會計應用系統與外部訪問區域間的聯系，限制外界穿透防火墻對會計數據庫的非法訪問。同時也要安裝具有高效實時監控功能的防毒軟件。

總之，對于軟硬件的升級改造，要充分考慮會計工作的延續性和升級軟件的穩定性與會計信息資料的安全性，既要有工作的熱情，又要本著謹慎的原則，避免盲目和沖動給會計工作帶來的被動和風險。

3、組織與管理控制

實行會計電算化的單位要建立健全內部控制制度，明確會計人員職責，采取相應措施保護計算機設備，確保會計信息資料的準確性。防止各種非指定人員操作計算機及財務軟件，保證機內的程序和數據的安全。明確規定上機操作人員對會計軟件的操作工作內容和權限。密碼是限制操作權限、檢查操作人員身份的一道防線，管理好每個人的密碼，對整個系統的安全至關重要，因此，對操作密碼要嚴格管理、實行定期更換。杜絕未經授權人員操作會計軟件，防止會計人員越權使用軟件。操作人員離開機器時，應執行相應的命令退出會計軟件。各單位應根據本單位的實際情況，設專人保存上機操作記錄，記錄操作人、操作時間、操作內容等并與軟件中的“日志管理”相比較，開展日志審計。

4、系統日常操作管理控制

系統操作控制主要表現為操作權限控制和操作規程控制兩個方面。操作權限控制是指每個崗位的人員只能按照所授予的權限對系統進行作業，不得超越權限接觸系統。系統應制定適當的權限標準體系，使系統不被越權操作，從而保證系統的安全。操作權限控制常采用設置口令來實行。操作規程控制是指系統操作必須遵循一定的標準操作規程進行。操作規程應明確職責、操作程序和注意事項，并形成一套電算化系統文件，如對進入機房內的人員進行嚴格審查；規定交接班手續和登記運行日志；規定數據備份及機器的使用規范；規定軟盤專用以防病毒感染；規定不準在計算機上玩電腦游戲等等。標準操作規程包括：軟硬件操作規程，作業運行規程，上機時間記錄規程等。

5、實體安全控制

實體安全涉及到計算機機房的環境、光和磁介質等數據存儲體的存放和保護。機房應符合技術和安全的要求，充分滿足防火、防水、防潮、防盜、恒溫等技術要求，并配有空調和消防設施。對用于數據備份的磁介質存儲媒體注意防潮、防塵和防磁，對所有業務數據實行雙備份、異地存放，建立目錄清單，對長期保存的磁介質存儲媒體還應定期轉儲。

6、數據和程序控制

數據和程序控制主要是指對數據、程序的安全控制。程序的安全與否直接影響著系統的運行，而數據的安全與否關系到財務信息的完整性和保密性。

數據控制的目標是要做到任何情況下數據都不丟失、不損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數據的恢復與重建等，而數據的備份則是數據恢復與重建的基礎，是一種常見的數據控制手段，采用磁性介質保存會計檔案要定期進行檢查和定期復制，防止由于磁性介質損壞而使會計檔案丟失。網絡中利用兩人服務器進行雙機鏡像映射備份是備份的先進形式。

程序的安全控制是要保證程序不被修改、不損毀、不被病毒感染。常用的控制包括接觸控制、程序備份等。接觸控制是指非系統維護人員不得接觸到程序的技術資料、源程序和加密文件，從而減少程序被修改的可能性；程序備份則是指有關人員要注明程序功能后備份存檔，以備系統損壞后重建安裝之需。程序的安全控制還要求系統使用單位制定具體的防病毒措施，包括對所有來歷不明的介質和在使用前進行病毒檢測，定期對系統進行病毒檢測，使用網絡病毒防火墻以防止日益猖獗的網絡病毒侵入等。

7、網絡安全控制

隨著網絡技術快速地發展，公司應加強網絡安全的控制，在技術上對整個財務網絡系統的各個層次（通信平臺、網絡平臺、操作系統平臺、應用平臺）都要采取安全防范措施和規則，建立綜合的多層次的安全體系。網絡安全性指標包括數據保密、訪問控制、身份識別等。針對這些方面，可采用一些安全技術，主要包括數據加密技術、訪問控制技術、數字簽名技術等。

數據加密技術是保護信息通過公共網絡傳輸和防止電子竊聽的首選方法。訪問控制技術的代表是防火墻技術，特別是已融和了VPN（虛擬專用網及隧道技術）的防火墻技術。防火墻是建立在企業內部網（Intranet）和外部網絡接口處的訪問控制系統，它對跨越網絡邊界的信息進行過濾，目的在于防范來自外部的非法訪問、又不影響正常工作，從而為企業設立了一道電子屏障。

數字簽名是指在Internet環境下，電子符號代替了會計數據，磁介質代替了紙介質，財務數據流動過程中的簽字蓋章等傳統手段將完全改變，為驗證對方身份、保證數據真實性和完整性，在計算機通信中采用數字簽名這一安全控制手段。

[1]郭利平：企業如何實行會計電算化[J].科技情報開發與經濟,2005（12）.

[2]周銀花：談企業會計電算化應用中的內部控制[J].山西建筑，2004（4）.

[3]陸義保：電腦會計[M].南京大學出版社，2000.

[4]王景新、郭新平：計算機在會計中的應用[M].經濟管理出版社，1998.

[5]張英明：IT環境下會計信息系統內部控制研究[J].中國會計電算化，2002（5）.

[6]李少彤：論電算化會計信息資料共享[J].中國會計電算化，2000（3）.

[7]郭慶文：實行會計電算化必須加強信息安全管理[J].事業財會，2001（6）.

[8]梁鵬、沈安廈：會計電算化工作中若干問題的探討[J].中國會計電算化，2002（2）.