淺析財務(wù)管理軟件的風險防范

朱益鋒

（江蘇省泰州引江河管理處，江蘇 泰州 225300）

隨著會計電算化飛速發(fā)展，財務(wù)管理軟件在企業(yè)財務(wù)管理中也發(fā)揮著日益重要的作用，但這同時也帶來了一個新的課題：如何有效地確保會計信息的安全性？如何在充分利用信息技術(shù)的同時，有效地規(guī)避因利用計算機信息系統(tǒng)而帶來的風險？

1 財務(wù)管理軟件的風險分析

1.1 “硬”風險

（1）計算機及輔助設(shè)備等硬件的損壞風險。計算機及輔助設(shè)備主要包括各類計算機設(shè)備（服務(wù)器、工作站）、通訊設(shè)備（網(wǎng)卡、國庫集中支付系統(tǒng)撥號所用modem、HUB等）和傳輸媒介（電纜、光釬、微波、電磁波）。地震、水災(zāi)、雷電、高溫、高濕、塵埃、靜電、強磁場、電磁波和微波等，都有可能對硬件設(shè)備造成破壞，進而導(dǎo)致信息和服務(wù)的中斷。

（2）會計軟件開發(fā)設(shè)計方面的風險。有些會計軟件對數(shù)據(jù)庫未采取任何的保護措施，或采取的措施比較薄弱，甚至能通過相應(yīng)的數(shù)據(jù)庫管理系統(tǒng)打開文件，并對文件中的數(shù)據(jù)直接進行增加、刪除及修改等操作。這些都給系統(tǒng)管理和財務(wù)核算的安全留下了重大隱患。

（3）網(wǎng)絡(luò)安全風險[1]。在財務(wù)管理軟件實際應(yīng)用過程中，有部分操作人員不重視網(wǎng)絡(luò)安全管理，接入互聯(lián)網(wǎng)時不安裝防火墻，操作系統(tǒng)和數(shù)據(jù)庫系統(tǒng)出現(xiàn)安全漏洞時不及時升級等，這些都會給財務(wù)管理軟件帶來安全風險。

（4）會計檔案保存風險。隨著財務(wù)管理軟件的廣泛使用，會計檔案的保存介質(zhì)已經(jīng)由傳統(tǒng)的紙張過渡到磁介質(zhì)或光電介質(zhì)，如磁帶、光盤、移動硬盤等等。這些介質(zhì)的存儲風險（如無法讀取等）也是財務(wù)管理軟件風險的組成部分。

1.2 “軟”風險

（1）計算機病毒引起的風險。計算機病毒侵入的途徑主要有以下幾種：1）從存儲介質(zhì)侵入。這種侵入主要以光盤、U盤、移動硬盤及軟盤等存儲介質(zhì)作為媒介進行傳輸。特別是在與互聯(lián)網(wǎng)物理隔離的內(nèi)網(wǎng)上，這種侵入方式占了大多數(shù)。2）從網(wǎng)絡(luò)侵入。無論是用戶在網(wǎng)上瀏覽新聞，還是收發(fā)電子郵件、下載軟件，都很容易使計算機染上病毒，帶來安全隱患。

（2）軟件功能濫用引發(fā)的風險。不少軟件開發(fā)公司為方便用戶糾正財務(wù)管理軟件核算中的差錯，在會計核算軟件中設(shè)置了“取消復(fù)核”、“取消記賬”、“取消結(jié)賬”等功能。如果軟件功能使用不當，很有可能導(dǎo)致單位整個財務(wù)系統(tǒng)的混亂。

（3）不法分子造假引發(fā)的安全性風險。目前流行財務(wù)管理軟件所使用的數(shù)據(jù)庫本身都提供查詢修改功能，給會計數(shù)據(jù)的安全性、保密性帶來了非常大的風險。

（4）少數(shù)會計人員的素質(zhì)問題引發(fā)的風險。財務(wù)管理軟件的廣泛使用就要求會計人員針對出現(xiàn)的不同問題能夠進行相關(guān)的操作，而現(xiàn)在有少部分會計人員專業(yè)知識薄弱、計算機水平有限、管理能力較低，這是財務(wù)管理軟件發(fā)展中所面臨的最大風險。

2 財務(wù)管理軟件存在風險可能帶來的影響

2.1 授權(quán)批準控制下降

在手工會計環(huán)境下，對不同的控制環(huán)節(jié)可以有不同權(quán)力授予，無論哪個環(huán)節(jié)，在具體授權(quán)時，都可以先認真研究，準確掌握，這樣既能保證經(jīng)營決策有效運作，管理制度有效貫徹，又能保證權(quán)力制衡得以落實；而在財務(wù)管理軟件中，授權(quán)批準僅憑一個密碼授權(quán)，如果不法分子以非法手段獲取密碼，就會造成內(nèi)部控制失控。

2.2 職務(wù)分離不規(guī)范

在手工會計環(huán)境下，我們可以做到每項經(jīng)濟業(yè)務(wù)都經(jīng)過兩個或兩個以上的部門或人員的處理，這樣就使得單個人或部門的工作必須與其他人或部門的工作相一致或相聯(lián)系，并受其監(jiān)督和制約；而在財務(wù)管理軟件中，由一個程序模塊來執(zhí)行，他們的失誤或者故意破壞將可能導(dǎo)致單位的整個信息系統(tǒng)崩潰或業(yè)務(wù)中斷，給單位帶來不可估量的損失。

2.3 業(yè)務(wù)記錄效力降低

在手工會計環(huán)境下，業(yè)務(wù)記錄的載體是紙質(zhì)，而在財務(wù)管理軟件下，載體由紙質(zhì)變成了數(shù)據(jù)庫記錄和操作日志等磁質(zhì)記錄。員工在紙質(zhì)憑證上的簽字可以證明其確實對該項業(yè)務(wù)進行了授權(quán)或確認，但是磁質(zhì)交易記錄上的操作員信息的法律效力卻受到系統(tǒng)的完整性和安全性的影響。

3 防范風險的對策建議

3.1 硬件損壞風險防范

首先要建立良好的運作環(huán)境，將服務(wù)器放在適當位置，必須要將包括承重、空調(diào)、UPS、供配電、溫濕度、消防、防雷、防靜電等安全問題考慮周全，以防止自然災(zāi)害帶來的損失。

3.2 會計軟件開發(fā)設(shè)計風險防范[2]

要加大軟件的開發(fā)力度，深入研究國內(nèi)外優(yōu)秀的財務(wù)管理軟件，應(yīng)在信息系統(tǒng)中設(shè)置文件修改檢查機制，同時采取安全性較好的數(shù)據(jù)庫管理系統(tǒng)和操作系統(tǒng)開發(fā)平臺，充分利用數(shù)據(jù)庫系統(tǒng)本身提供的安全措施對數(shù)據(jù)加以保護。

3.3 網(wǎng)絡(luò)安全風險防范

可以安裝防火墻，以保護內(nèi)網(wǎng)的財務(wù)管理軟件免受攻擊。對重要的會計機密，可以在軟件中采取數(shù)據(jù)加密技術(shù)，利用信息加密技術(shù)中的非對稱加密機制，實現(xiàn)共同保守會計數(shù)據(jù)秘密，使篡改者與偽造者難以達到其目的，保證了數(shù)據(jù)的安全，截獲的會計數(shù)據(jù)信息也就失去價值。

3.4 會計檔案保存風險防范

在財務(wù)管理軟件的環(huán)境下，會計數(shù)據(jù)的備份雙管齊下：既要進行光盤、磁帶等光電介質(zhì)的數(shù)據(jù)備份，又要進行傳統(tǒng)的打印輸出，保存紙質(zhì)備份。除此之外，還要制訂存檔被破壞的緊急預(yù)案，制訂出事件發(fā)生時的應(yīng)急措施和恢復(fù)手段。

3.5 計算機病毒風險防范

財務(wù)管理軟件的服務(wù)器、客戶機要和外網(wǎng)物理隔離，在條件許可的情況下，財務(wù)管理軟件組建內(nèi)網(wǎng)的設(shè)備(如計算機、路由器等)應(yīng)在財務(wù)部門內(nèi)部，以防止不法分子通過網(wǎng)絡(luò)侵入；對文件進行定期備份，至少每周殺毒一次，不使用盜版軟件。

3.6 軟件功能濫用風險防范

建立嚴格的使用制度，包括財務(wù)管理軟件的開發(fā)或選購制度、財務(wù)管理軟件的維護制度、計算機機房管理制度、會計數(shù)據(jù)訪問權(quán)限設(shè)定、會計數(shù)據(jù)信息的備份制度、會計信息載體檔案管理制度、用戶權(quán)限授權(quán)管理制度、財務(wù)管理軟件操作員的崗位責任制度、財務(wù)管理軟件操作員的操作規(guī)程、會計信息安全日常評估制度、會計信息安全審計制度、應(yīng)急處理制度等。在財務(wù)管理軟件中設(shè)置相關(guān)的審查牽制機制，具體操作時應(yīng)由相關(guān)的操作人員提出申請，并由對應(yīng)的管理人員進行審批，而且最好要有紙質(zhì)記錄并由相關(guān)人員進行簽名確認。

3.7 不法分子直接讀取數(shù)據(jù)庫造假引發(fā)的安全性風險防范

使用安全的密碼策略，要設(shè)置一個非常強壯的密碼；加強數(shù)據(jù)庫日志的記錄管理，定期查看SQL Server日志，檢查是否有可疑的登錄事件發(fā)生；做好日常數(shù)據(jù)備份，在發(fā)現(xiàn)問題或者出現(xiàn)意外情況時可以恢復(fù)由于某些原因損毀或丟失了的數(shù)據(jù)。

總之，我們應(yīng)該以人為本，樹立信息安全比天大的理念，再加上健全的制度、嚴密的責任體系，通過懲戒一些不嚴格遵守規(guī)章和以破壞與竊取為目的非法侵入財務(wù)管理軟件的人來震懾那些試圖危害財務(wù)管理軟件安全的人。這樣才能真正筑起一道信息安全的防火墻。

[1]孫亞軍,徐鵬.企業(yè)財務(wù)管理系統(tǒng)安全性的研究[J].經(jīng)濟技術(shù)協(xié)作信息,2010,(19):70.

[2]刑晶然.會計電算化系統(tǒng)的安全性淺析[J].中小企業(yè)管理與科技,2008,(11):239.