下载

0下载券

加入VIP
  • 专属下载券
  • 上传内容扩展
  • 资料优先审核
  • 免费资料无限下载

上传资料

关闭

关闭

关闭

封号提示

内容

首页 会计信息系统发展过程中存在的主要风险、安全防范体系

会计信息系统发展过程中存在的主要风险、安全防范体系.doc

会计信息系统发展过程中存在的主要风险、安全防范体系

烟雨楼中的刀客
2019-05-01 0人阅读 举报 0 0 0 暂无简介

简介:本文档为《会计信息系统发展过程中存在的主要风险、安全防范体系doc》,可适用于领域

会计信息系统发展过程中存在的主要风险计算机技术在会计应用中的广泛深入,同时也使计算机数据处理环境下会计风险防范难度加大,会计信息系统的安全应得到高度重视。加强会计信息系统的风险控制对防止信息泄露,保护财务数据的完整性,保障用户的合法使用权益具有非常重要的作用。高校会计信息系统网络化是一把双刃剑,高校在利用网络实施财务管理的同时,也将自己暴露于风险之中,财务网络存在诸多安全隐患。据笔者分析,目前高校会计信息系统存在的风险主要表现在以下几个方面:系统运行风险会计信息系统运行风险主要有人为因素和非人为因素两种。人为因素指用户非法占用网络资源、窃取或有意阻塞网络通信、通过计算机病毒来降低网络性能造成计算机网络瘫痪等。非人为因素主要指自然灾害影响,如风雨雷电、地震、火灾等造成系统运行故障。数据传输风险从技术上来看,网络运行中的任何数据都有可能被“窃取”。非法用户不但可以窃取会计信息的内容,还可以在不了解信息内容的情况下窃取信息的流量和流向、通讯频度和长度,由此获取有用的信息。传输风险还包括操作人员采用不正当的手段获取、篡改数据、盗用资源(计算资源、通信资源、存储资源)等。数据的完整性风险会计信息系统数据完整性风险可分为人为因素和非人为因素两种。人为因素指操作员对会计信息系统的非法入侵,用户越权对会计数据的处理以及其他对会计数据的破坏等非人为因素对数据的破坏指通讯传输过程中对数据的干扰、计算机硬件故障、软件运行差错等。以上风险可能篡改会计信息的内容、形式和流向,都会造成整个财务系统数据丢失、无法运行甚至瘫痪等,给学校造成巨大经济损失。计算机舞弊风险计算机舞弊行为主要包括当数据进入系统时操作员伪造数据,删除、修改或增加会计事项等。最常见的手段有:①从远程地址访问数据库,在文件中浏览查找复制有用数据,以达到个人的各种目的。②用计算机病毒破坏程序逻辑。如木马计算是在计算机程序中最常用的破坏方法。计算机病毒有传播性、潜伏性,正成为计算机舞弊者对计算机网络进行破坏的最常用的手段之一。③创建非法程序。该程序可以直接访问数据库数据文件,更改或删除会计记录,或变更会计事项等。人才缺乏风险会计信息化成败,人才是一个关键。我国高校会计信息化人才的缺乏主要表现在两个方面:①缺乏符合会计信息化管理要求的领导者。实现会计信息化需要调动各种资源,形成一个高效率的团队,发挥每一名财务人员的积极性和特长,与学校信息化目标保持一致。这些需要财务领导者有较强的协调能力、创新能力和洞察力,然而这样的财务领导人才正是目前高校所缺乏的。②高校实行会计信息化后人员技术知识呈现两极分化状况,即懂计算机的人,财务管理知识比较缺乏有财务管理经验的人,计算机技术又不够强。要想进行深层次的会计信息化,就要培养既懂计算机又懂会计的复合型人才。加强会计信息系统建设安全控制措施加强安全防范意识拥有网络安全意识是保证网络安全的重要前提,许多网络安全事件的发生都和缺乏安全防范意识有关。安全技术手段()物理措施。保护网络关键设备(如交换机、大型计算机等),制定严格的网络安全规章制度,采取防辐射、防火以及安装不间断电源(UPS)等措施。()访问控制。对用户访问网络资源的权限进行严格的认证和控制。例如,进行用户身份认证,对口令加密、更新和鉴别,设置用户访问目录和文件的权限,控制网络设备配置的权限,等等。()网络隔离。网络隔离有两种方式:一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。()技术性措施。近年来,围绕网络安全问题提出了许多技术解决办法,如数据加密、防火墙、漏洞扫描、入侵检测、数据处理功能保护、数据备份等。数据加密是对网络中传输的数据进行加密,到达目的地后再解密还原为原始数据,目的是防止非法用户截获后盗用信息,保障信息被人截获后不能读懂其含义。防火墙技术是通过对网络的隔离和限制访问等方法来控制网络的访问权限。加强内部控制,建立安全防范体系会计信息系统存在的风险问题很大程度上源于内部控制方面存在缺陷,因此,必须建立健全电子数据处理的内部控制系统,建立与其相适应的一般控制和应用控制措施。一般控制适用于较广范围的风险,重点是对程序的控制应用控制主要针对特定系统的风险,其重点是输入过程的控制。内部控制采取的主要方法有:()分析会计信息系统存在的薄弱环节以及可能受到的威胁。()制定并实施系统运行的安全措施。()建立多层控制体系,物理隔离潜在的入侵者,如站点进入控制、系统进入控制和文档进入控制等。()加强内控制度建设。会计信息系统实施以后,要结合会计信息系统的特点制定一系列的内部控制制度,如网络维护与管理制度、设备管理制度、操作权限控制制度、业务流程与核算制度等,以保证会计信息系统正常运行。()加强对系统管理人员和操作员安全知识教育和职业道德教育,通过安全教育对数据安全问题达成共识,提高人员的基本素质。加强灾难性风险控制灾难性风险控制主要指灾难性预防和偶然性事件处理两个方面。加强灾难性控制就是要保证有灾难事件发生时,系统能够快速恢复工作。良好的安全政策和计划可以预防由于蓄意破坏或误操作引起的灾难。计算机设备及其备份的数据要放置在建筑物中最难以被自然灾害以及恶意破坏者破坏的地点。灾难恢复计划必须作为计算机安全措施的一个重要组成部分。加强法制建设加强网络安全的法制建设是保护计算机安全运行的有力武器和强有力的措施。信息系统的快速发展一是需要建立维护计算机系统安全的法律法规,使计算机安全措施法制化、制度化、规范化二是建立针对计算机犯罪活动的法律,惩治违法者,保护用户的合法权益。加强业务流程控制高校会计信息系统内部控制的许多方面均体现在业务流程层面上,根据财政部颁发的《内部会计控制规范基本规范(试行)》的总体要求,可以按照本单位的业务流程画出业务流程模型图,找出哪一个环节问题最多,就定位为关键控制点,设置重点控制,对不易出问题的业务环节定位为一般控制。把风险控制融于业务处理的过程中,使其发挥最佳控制实效。加强业务学习,提高会计人员的综合素质目前绝大多数高校都建立了校园网,这为实现会计信息化搭建了良好的运行平台,关键问题是,如何最大限度地利用这一平台,充分发挥网络化的优势,保证会计信息化的实现。其中实现会计信息化最根本的一条就是必须有一支高素质的会计人员队伍。会计人员只有不断学习新知识,接受新观念,适应新方法,开拓新思路,才能做到与时俱进,保证会计信息化在高校的全面实现。结语会计信息化系统的实施是会计现代化发展的必然趋势,是提高高校现代化管理水平的重要手段,只有不断发现和解决信息化建设中的有关问题,建立健全网络会计信息系统内部控制制度,才能保证网络环境下会计信息系统安全、稳定的运行,才能充分发挥财务信息网络的优势和作用,更好地促进高等教育事业健康、有序发展。主要参考文献财政部关于推进我国会计信息化工作的指导意见(财会号)Z陈旭,毛华扬会计信息系统分析与设计M北京:清华大学出版社,张海兰网络信息时代高校财务管理目标及其实现J北京航四、企业电算化会计信息系统内部控制对策:全面提高会计人员素质。内部制度是由人设计、执行的,缺乏高素质的人员,任何控制制度措施的效用都将大打折扣,甚至形同虚设。企业必须全面提高会计人员的政治素质和业务素质在内的综合素质,尤其要加强计算机技术学习,使计算机操作水平上档次,同时注重管理者管理风格、企业文化意识等精神层面的软控制,充分调动人的积极性。业务程序标准化,严把会计核算控制质量关。会计核算控制是电算化系统内部控制中的重要内容。会计核算结果是会计预测、决策、分析的基础。必须保证账务处理正确性、规范性、真实性。原始凭证经过审核,在录入处理的一切经济业务必须经过相应的权级审批,简明、准确、完整地填制与录入。不正确的业务更正与删除,企业单位的处理等都必须严格按规定进行,严格执行复核制度,充分保证计算机账务处理不错不乱。无论是静态审核,还是动态审核,都要仔细核对输出的账务凭证与实际发生的经济业务是否一致。会计数据输出必须进行严格审核并签章,认真做好会计数据日备份和月末备份,并坚持双重备份制度。从核算环节把关,保证整个系统正常运行,做到数据真实、完整、和安全,业务处理合法、有效。会计核算控制是防范和化解会计核算风险的重要环节,必须引起高度重视。强化操作权限意识,明确岗位责任,实行权限等级控制。企业必须从会计工作的特点入手,合理地进行岗位分工,岗位协调,明确岗位职责,制定科学规范的工作效率,防范和化解会计工作风险。要充分运用财务软件自身的程序控制功能,实行权限管理,互相监督,互相牵制实行集中式事后监督与实时监控相结合的内控机制。强化系统安全与网络安全控制。强化系统安全控制主要应从防止未经授权的人员擅自动用系统各种资源、减少因外界因素导致计算机故障等方面入手,主要的控制措施包括:订立内部操作制度,禁止非电脑操作人员操作财务专用电脑设置操作权限限制,操作人员身份的密码控制数据存储和处理相隔离机房的工作环境保护。网络安全指标包括数据保密、访问控制、身份识别等。针对这些方面,可采用一些安全技术,主要包括:数据加密技术、访问控制技术,认证技术等。网络传输介质、接入口的安全性也是应该引起注意的问题,尽量使用光纤传输,接入口应保密。通过上述技术可基确保财务信息在内部及外部网络传输中的安全性。加强计算机硬件、软件管理,重视技术控制。作为财务软件公司在软件开发中,必须引入安全稽核机制,对重要的操作日志进行记载,并进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。为了能够实时安全监控,必须建立网络间的安全屏障即网络安全“防火墙”,按照系统管理员的权限,用预先定义好的规则控制会计帐套数据库的进出,通过对数据进行重新组合和对会计帐套数据库进行加密,是业务数据只有在解密的条件下才能使用,同时必须进行必要的身份认证和内容检查,控制一些软件的安装,尤其是数据库系统软件,以防止利用数据库系统打开帐套数据库,进行非法处理。拒绝一切无关人员使用计算机。建立一套完善的操作环境和软件系统是进行电算化会计信息系统内部监控的必要手段,只有这样才能保证会计人员相对独立、完整地行使自己权限并达到会计内部监控目的,为更好地进行会计监控做好必要的技术支持和技术准备。整章建制,实行电算化环境下的制度控制。针对电算化系统,企业必须对手工会计信息中的的各项规章制度进行整理,以充分适应需要。整章建制的内容主要有计算机管理制度、、会计工作管理制度,包括:岗位责任管理制度、日常操作管理制度、维护管理制度、机房管理制度和档案制度。作为电算化系统内部控制工作的核心内容应着重在完善内控环境上下功夫,制定严格的控制制度并保证得到全面执行,设立良好的控制活动,以不断提高会计工作效率和经济利益。制定财务软件业界协议。协议是规则的集合,分为低层和高层两类,它规定了财务软件的不同部分是如何交互的,从而保证不同品牌的财务软件彼此间能够实现数据传递或交换。作为会计电算化宏观管理的主管部门,应当从技术的角度就财务软件的数据平台、数据结构、各功能模块、数据传递模式、数据安全与保密等做出统一规定。这样使各种不同品牌的财务软件之间才能实现数据共享,为企业会计电算化内部数据安全的进一步完善提供良好的外部环境。网络环境下会计信息系统内部控制的新变化()手工下的一些内部控制措施在网络环境下没有存在的必要性能,如:编科目汇总表、凭证汇总表、试算平衡表等的检查,总账、明细账的核对。只要财务会计软件的程序正确,就很难发生对已经正确录入数据库的财务会计凭证数据的再加工整理过程出现某些失误。()手工下的一些内部控制措施,在网络环境下转移到会计软件中,由计算机程序完成。如凭证的借贷平衡检验余额、生额的平衡检查核算与系统之间的数据核对表数据的勾稽关系检查等。()内部控制的重点将放在原始数据输入计算机的控制、会计信息的输出控制、人机交互自理的控制、计算机系统之间连接的控制等几方面。()控制的范围的变化。传统的内部控制主要针对交易处理,而网络环境下,由于系统建立和运行的复杂性,内部控制的范围相应扩大,包含了传统手工系统所没有的控制,如网络系统安全的控制、系统权限的控制、修改程序的控制等。网络环境下会计信息系统内部控制的组建会计信息系统内部控制的主体和客体会计信息系统的内部控制主体,即由谁来实施内部控制,从系统论的角度分析,会计信息系统的内部控制主体应是单位内部人员。而因网络的无限延伸性,财务业务的一体化、集成化、商务活动的电子化、网络化,从而扩大会计信息系统内部控制的范围,与单位相关联的商家、客户或其他组织,既是影响内部控制系统运行的环境因素,也成为某种意义上内部控制主体。内部控制的客体,即内部控制的实施对象,体现为单位内部的基本要素人、财、物及其在生产过程中所形成的一系列组合关系和组合形式。会计信息系统内部控制的基本原则只有准确地对影响企业经营管理过程中的重要方面或生要环节的分析,设置好控制要素,才能对企业经营管理各环节实施全方位的有效控制。因此,网络下会计,由系统控制完善应遵循一定的原则。合法、合规性原则。建立的内部控制要素应当遵循有关国家财经法律法规及企业有关管理制度的要求,保证每一项经济活动能够在合法、合规的状态下开展。经济性原则。即注意成本与效益。一般来说,控制程序的成本不能超过风险或错误可能造成的损失或浪费,其基本标准是实行控制的收益应大于其成本,否则,再好的控制措施和方法也失去意义,公司应当充分发挥各机构、各部门及广大职员的工作积极性,尽量降低经营运作成本,保证以合理的控制成本达到最佳的内部控制效果。针对性原则。根据实际情况,针对会计信息系统中薄弱环节,容易出现错误的细节来制定具体的内部控制要素。全面性原则。内部控制机制必须覆盖公司的各项业务、各个部门和各级人员,并渗透到决策、执行、监督、反馈等各个经营环节。适用性原则。即控制设置的可操作性强,易于理解,切实可行。一贯性原则。设置内部控制要求必须具有一定的连续性和一致性,保证会计工作的严肃性。相互制约原则。各个控制要素中不相容的职务要严格加以分离,不得由一人或一个部门包办到底。适应性、发展性原则。要始终关注企业经营方针、政策和经营环境经营模式的变化,同时要着眼于企业未来的发展,对控制要素要随着客观现实的各种变化和发展要求,定期评估,并适时做出调整,以适应企业经营管理需要和企业发展变化的要求。网络环境下增强内部控制设立良好的控制活动控制活动旨在针对“使企业经营目标不能达成的风险”而采取了必要行动。控制控制出现在整个企业内的各个阶层与各种职能部门。增强内部控制系统的预防性功能一个有效的内部控制制度需要预防性的、检查性的和纠正性的控制。传统的内部控制制度通常是根据已输出的会计信息在年末检查财务错误和舞弊,大部分的内部控制的预防功能被限制了。在网络环境下,广泛地使用网络信息技术为支持决策和改善业务与信息转化过程提供了战略机会,也提供了预防、检查和纠正错误或防止程序舞弊的机会。例如,在计算机软件中嵌入内部控制程序,随时监控企业经营运行状况,当将出现问题时及时提示预警会计信息,帮助员工进行过程控制。利用网络信息技术,实现企业的一体化集成管理。企业应在网络环境下,通过信息化的手段完成产、供、销业务的连贯,实现财务处理与业务处理的一体化,建立一个实时有效的计划和预算系统。在会计和其他管理信息化的过程中,改革传统的业务结构,提高运营效率,降低成本,加强企业内部基础管理的规范性。加强信息流动与沟通,增强对会计信息系统的控制企业在经营与控制过程中,员工必须清楚地获取与其有关控制责任的信息,了解内部控制制度的有关方面,这些方面如何生效,在控制制度中自己所扮演的角色,所担负的责任,所负责的活动怎样与他人的工作发生关系等,网络环境下的会计信息系统应有向上、向下、横向信息的沟通。加强监督,定期评估重新设计内部控制规则新的技术带来新风险,内部控制系统要切实执行且效果良好,内部控制能够随时适应新情况,就需要不断地进行评估和更新,首先要定期对会计信息系统的内部控制制度进行审计,其次要开展会计信息的事前审计和事后审计,通过审计,对网络信息系统的合法、合规性作出全面评价,提出改进意见,以便使系统更适应新的环境。网络环境下会计信息系统内部控制的实施网络环境下会计信息系统的一般控制一般控制是指任何网络会计信息系统普遍适用、为系统的安全可靠而对系统构成要素(人、硬件、软件)及环境实施的控制。组织与管理控制组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约、防止或减少错弊发生的目的。其中较重要的岗位有系统管理和审核岗位。⑴系统管理主要负责系统的硬软件管理工作,从技术上保证系统的正常运行。包括掌握网络服务器及数据库的超级口令,负责网络资源分配,监控网络运行按照主管人员的要求,对各岗位分配权限,对数据的安全保密负责负责对硬件、软件、数据的管理与维护工作。⑵审核岗位主要负责监督计算机及网络系统的运行,防止利用计算机进行舞弊。具体包括:审查机内数据与书面资料的一致性监督数据保存方式的安全性、合法性,防止发生非法修改历史数据的现象对系统运行各环节进行审查,防止存在漏洞等。应用系统开发、建立和维护控制⑴应用系统开发控制是针对系统开发阶段而言的,具体包括:系统开发前应进行可行性研究和需求分析开发过程应进行适当的人员分工按规范收集和保管有关系统的资料并加以保密等。⑵系统建立控制则是针对系统建立阶段而言的,具体包括:资源的适当配置系统的调试应有各岗位人员的参与新的系统应与传统系统并行一段时间并经有关部门审批后才能替代传统系统使用一旦发现网络系统各类软件可能存在安全漏洞,应立即进行在线修补与升级,并将所有与软件修改有关的记录报告及时存储归档。严格的验收程序等。⑶系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作。系统维护控制就是针对这些工作而实施的控制。系统操作控制系统操作控制主要表现为操作权限控制和操作规程控制两个方面。⑴操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统。系统应制定适当的权限标准体系,使系统不被越权操作,从而保证系统的安全。操作权限控制常采用设置口令来实行。⑵操作规程控制是指系统操作必须遵循一定的标准操作规程进行。标准操作规程包括:软硬件操作规程,作业运行规程,用机时间记录规程等。会计数据资源控制会计数据资源控制是整个系统控制的主要安全目标,要防止数据程序被修改、损毁和被病毒感染。对于特定的信息,哪些人可以读,哪些人可以改写,那些人可以复制,必须给出严格的规定,同时建立操作日志,一旦出现问题可以据此对相关人员进行核查。数据和程序控制和安全控制数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行,而数据的安全与否关系到财务信息的完整性和保密性。程序控制的目标是要做到任何情况下数据都不丢失、为损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等。会计网络系统的应用控制应用控制是对会计网络系统中具体的数据处理活动所进行的控制。应用控制可划分为输入控制、计算机处理与数据文件控制和输出控制。输入控制常用的控制方法包括:建立科目名称与代码对照文件,以防止会计科目输错设计科目代码校验,以保证会计科目代码输入的正确性设立对应关系参照文件,用来判断对应帐户是否发生错误试算平衡控制,对每笔分录和借贷方进行平衡校验,防止输入金额出错顺序检查法,防止凭证编号重复二次输入法,将数据先后两次输入或同时由两人分别输入,经对比后确定输入是否正确等。计算机处理与数据文件控制常用的控制措施包括:登帐条件检验,即系统要有确认数据经复核后才能登帐的控制能力防错、纠错控制,即系统要有防止或及时发现在处理过程中数据丢失、重复或出错的控制措施修改权限与修改痕迹控制,即对已入帐的凭证,系统只能提供留有痕迹控制,即对已入帐的凭证,系统只能提供留有痕迹的更改功能,对已结帐的凭证与帐簿以及计算机内帐簿生成的报表数据,系统不提供更改功能等。输出控制控制措施包括:控制只有具有相应权限的人才能执行输出操作,并要登记操作记录,从而达到限制接触输出信息的目的打印输出的资料要进行登记,并按会计档案要求保管。总之,随着计算机网络技术在会计中的广泛运用,一些传统的核对、计算、存储等内部会计控制方式都被计算机轻而易举地替代,企业内部会计信息的处理过程发生了根本的变化,它给企业带来风险的同时也带来了控制风险的机会与工具。在采用新型内部控制手段时,要结合传统有效的内部控制方式,在传统的控制观念基础上,充分利用网络信息技术,开展内部控制的创新工作,建立与时代相适应的内部控制制度,满足企业管理的需要,为企业带来更大的价值。参考文献熊莜燕,罗建玉,王殿龙会计控制论新华出版社,,胡华网络安全与会计控制立新会计出版社,,内部会计控制规范基本规范(试行)中华人民共和国财政部,张英明IT环境下会计信息系统控制研究中国会计电算化,辜行华浅议网络财务安全与风险防范福建财会,高明红浅析计算机替代手工记帐后如何进行岗位分工中国会计电算化,朱容恩内部控制的理论发展财会世界内部会计控制若干理念剖析会计文苑企业内部控制理论的发展与启示论文指导网工作室王垒垒简论计算机会计信息系统的内部控制江苏财经信息网电算化会计信息系统环境下内部控制的研究中华会计网校

用户评价(0)

关闭

新课改视野下建构高中语文教学实验成果报告(32KB)

抱歉,积分不足下载失败,请稍后再试!

提示

试读已结束,如需要继续阅读或者下载,敬请购买!

评分:

/19

VIP

意见
反馈

免费
邮箱

百度今晚到底是什么生肖呀!