当代会计信息的风险与预防

计算机的普及与网络技术的飞速发展，使计算机会计信息系统在企业财务管理中发挥了日益重要的作用，但同时它也改变了传统的会计信息处理方式和存储方式，对会计信息的安全性提出了新的挑战。如何在充分利用信息技术的同时，有效地规避信息系统带来的风险，是目前面临的一个亟待解决的问题。本文通过对部分实施会计信息化的企业进行充分调研，深入分析计算机会计信息系统存在的风险，并针对不同的风险提出相应的防范措施。

一、计算机会计信息系统的风险分析

在会计信息系统风险分析所进行调研的企业中，笔者发现，尽管每个企业实施会计信息化的程度不一样，但存在的风险一般为以下四个方面：

（一）基础设施方面存在的风险主要包括：（1）计算机硬件风险。调研的样本企业中，计算机会计信息系统的应用模式有单机和C/S两种，两者硬件都存在自身功能失效的可能，也会同时受到零组件性能的限制，令硬件出现寿命的限制性，如硬盘的损坏，突然断电造成的主板和CPU的损害，受潮湿、磁化、辐射等各种物理损伤，这些破坏都能令工作受到严重的影响，导致计算机会计信息系统的工作混乱或会计数据毁损。（2）会计软件开发设计方面的风险。计算机会计信息系统一般由会计软件客户端和后台数据库两大部分构成。无论C/S架构、B/S架构还是单用户系统都是如此，依靠人机界面和软件客户端将各种数据保存到数据库中，再将需要的信息处理后反馈给用户。因此计算机会计信息系统中至关重要的是数据库控制和管理。我国目前使用的会计软件中，有些对数据库未采取任何的保护措施，有些虽然采取了措施，但比较薄弱或形同虚设。甚至有些会计软件中的数据库文件，往往能通过相应的数据库管理系统打开，直接读写这些数据文件，并对文件中的数据直接进行增加、删除及修改等操作。这些为系统管理和财务核算的安全留下重大的隐患。（3）网络安全风险。计算机网络的广泛应用使各个孤立的计算机系统通过网络连成一体。由于网络所依托的1NTERNET/INTRANET体系使用的是开放式TCP/IP协议，虽然网络技术不断的提高，但网络依然存在着安全漏洞，计算机安全漏洞已不断地被人利用，严重威胁着会计数据的安全。无论是互联网还是内联网，网络是一个开放的环境，在这个环境中一切信息在理论上都可以被访问到。互联网供应商（ISP）或企业以外的第三者均可以获得有关公司的内部消息，而内联网则是企业内部的网络，企业内每个人都可接触到。在计算机会计信息系统实际应用过程中，有相当数量的单位并不重视密码，如有些单位所有人的密码都是相同的；也不重视网络安全管理，接人互联网时不安装防火墙；操作系统和数据系统出现安全漏洞时不及时升级等。

（二）计算机病毒引起的风险在对企业调研的过程中发现，多数样本企业都不同程度的受到过计算机病毒的侵害，病毒侵入的途径主要有以下几种：（1）从存储介质侵入。经过对Windows98/2000/NT、Office2000、WPS以及网页制作工具等盗版光盘进行计算机病毒测试表明，带病毒文件多达三千多项，其中多种程序确实存在多种计算机病毒，包括CMOS-destroyer,bupt等引导性病毒、CIH病毒、“邮件炸弹”、宏病毒和特洛伊木马黑客程序等。U盘和移动硬盘的普及使用也加大了病毒在计算机之间的传播空间。（2）从内联网侵入。内联网上的邮件系统容易导致病毒大量传播，而且内联网络上传播的病毒普遍较新，新发现的病毒种类占多数。（3）从互联网侵入。互联网已经成为计算机病毒传播最大的来源，无论是用户在网上浏览，还是收发电子邮件、下载软件，都很容易使计算机染上病毒。病毒的破坏性和传播性强，并且具有潜伏性、隐藏性和可激发性。它不仅可以破坏系统的数据文件，严重的还能破坏硬件的正常运作，给会计信息的安全性带来了极大的隐患。

（三）计算机舞弊引发的风险主要包括：（1）会计软件功能的滥用。不少会计软件开发公司为方便用户纠正计算机会计信息系统核算中的差错，在会计核算软件中设置了“取消复核”、“取消记账”、“取消结账”等功能。这些功能的使用，给用户提供了极大的便利，但同时也为制造虚假会计信息提供了方便。在计算机会计信息系统环境下，如果单位缺乏严格周密的内部控制制度，部分会计人员就会利用会计软件提供的逆向操作功能来篡改会计数据，而不留下任何痕迹，给审计监督工作和防范经济犯罪增加了技术难度。另外，如果软件功能使用不当，很可能导致单位整个财务系统的混乱。（2）直接操作数据库进行造假。在计算机会计信息系统中的数据库，从小型的DBASE、FOXPRO数据库，到大型的ORACLE、SYBASE、DB2数据库。数据库本身都提供自带的查询修改程序。利用这些程序，不法分子根本不需利用会计软件就可以完全控制和操作所有的数据。虽然一些数据库系统提供了很丰富的数据安全措施，如口令、钥匙卡，甚至电子签名或指纹鉴别，但安全措施得不到重视，使得原本应严密保护的会计信息系统数据处在非常危险的情况中，也为会计造假提供了方便。（3）对输入的会计信息直接造假。不法分子利用会计软件本身的功能缺陷或系统管理上的疏忽，直接使用会计软件导人虚假的数据或修改、删除已经存在的正确数据。在计算机会计信息系统中，一旦输入的初始数据是虚假的，以后处理环节即使再正确，也只能输出虚假的处理结果。（4）计算机高级人员非法操作。计算机高级人员包括系统管理员、网络管理员、系统操作员和网络黑客等，他们通过木马、后门进行非法操作，威胁单位会计数据的安全。

（四）內部控制存在的风险信息技术的发展使企业的内外部环境发生了很大的变化。（1）授权控制下降。在手工会计操作系统下，企业的每一项经济业务中的每一个环节都可设置内部一系列相互联系的授权批准程序，而在计算机会计信息系统下，这种授权可以仅凭一个密码就能获取。如果获取密码的手段是非法的，由此造成的内部控制失控将是一个重大的风险。（2）职责分离和监督不规范。信息系统的开发、维护和操作等活动中存在的职责分离对信息系统的监管格外重要。原来在手工环境下一些不相容的职责，在计算机中可以由一个程序模块来执行。此外，传统的监管手段也发生了变化。信息技术使某些员工的破坏能力增强，企业需要一批具有特殊技能的员工来开发、维护和操作信息系统。这类员工中的某些人可能对操作系统、应用程序和数据拥有特权，他们的失误或者故意破坏具有突发性、毁灭性以及隐蔽性的特点，可以使企业的整个信息系统崩溃或业务发生中断，给企业带来的损失不可估量。（3）业务记录效力降低。在计算机会计信息系统下，业务记录的载体由纸质变成了磁质，传统的纸质交易轨迹不复存在，取而代之的是数据库记录和操作日志等磁质记录。同时，交易轨迹的法律效力也发生了变化。员工在纸质凭证上的签字可以证明其确实对交易进行了授权或确认，但是磁质交易记录上的操作员信息的法律效力却受到系统的完整性、正确性和安全性的影响。

二、计算机会计信息系统风险的防范

（一）基础设施存在风险的防范主要包括：（1）硬件的风险防范。建立良好的运作环境，应将服务器放置在适当的位置，如远离水源、安放在高地、置于有空气调节的房间，以防止自然灾害带来的损失；计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒温技术要求；机房出入口应安装保安密码门锁及防卫警报装置。（2）完善会计软件的功能。要促进计算机会计信息系统的发展，首要问题就是要加大软件的开发力度，开发出比较完善的通用会计软件。会计软件开发人员应该深入研究国外优秀的财务软件，消化并吸收其精华的管理思想和设计思路。对于现有的会计软件可以人为地通过数据库系统直接操作数据这一问题，解决方法之一是在应用系统中设置文件修改检查机制，文件一旦被修改，系统可以通过自身的测试检测出来，并提醒用户注意。另外一个解决方法是采取安全性较好的数据库管理系统和操作系统开发平台，充分利用系统本身提供的安全措施对数据加以保护。对一个具有良好安全性能的会计软件而言，软件系统的数据文件（包括备份出来的数据）有适当的加密是必不可少的。加密对象可以是整个数据库、数据库的某组记录、某些字段或者某些数据元素等。（3）网络安全措施。为了防止非法用户和黑客侵入会计信息系统内部，可以通过设置防火墙，采用身份识别系统等技术防护措施，将非法用户拒之网络之外。对重要的商业秘密，可以在软件中采取数据加密技术，这样即使有人窃取了数据，由于没有密钥开启也无法将数据还原成明文，保证了数据的安全。通过使用正确的资料加密方法，可以使外来的人无法识别数据，从而使截获的会计数据失去价值，使篡改者与伪造者难以达到其目的。

（二）计算机病毒引发风险的防范对于计算机病毒引发的风险，可以从以下几方面进行防范：一是网络与单机杀毒软件相结合，重点防范邮件服务器。建立完善的防病毒体系，将网络版杀毒软件安装在邮件服务器上，将所有计算机和NT服务器都安装好单机版杀毒软件，启动实时监控系统。二是对文件进行定期备份，至少每周杀毒一次，不要使用盗版软件，确保网络管理员赋予访问者的权限在其工作范围之内，拒绝任何不受限制的访问。三是加强安全教育，提高认识，防患于未然。从加强管理人手，制定切实可行的管理措施，尽快建立快速预警机制，对重点对象加大检查与清杀力度。健全并严格执行防范病毒管理制度，具体包括：软件、磁盘及计算机系统的使用和更新要通过计算机病毒检测并专机专用；禁止在工作机上玩游戏；建立U盘管理制度，防止乱拷贝U盘；安装防病毒卡和反病毒软件；定期检测并清除计算机病毒等。

（三）计算机舞弊引发风险的防范对计算机舞弊方面的风险的防范，最有效的措施是完善内部控制制度，设立合理、有效的管理制度并加以严格执行。要在充分考虑信息安全需要的基础上，决定系统中关键部分——数据库系统和操作系统的选择。针对不同企业对会计信息系统的不同安全性要求，选择合适的操作系统平台。在会计软件的开发设计过程中，充分运用操作系统提供的信息安全技术，使信息安全从理论上的可能性变为现实。同时，要充分发挥审计人员的作用，在执行审计工作的过程中查找计算机舞弊的痕迹。

（四）内部控制存在风险的防范主要包括：（1）建立有效的组织管理控制制度。计算机舞弊者大多是企业的程序员或计算机操作人员，因此，计算机会计信息系统要建立完善的人员职能控制制度，进行适当分工，明确规定每个岗位的职责，以防止对处理过程的不适当干预。企业应将系统分析、程序设计、计算机操作、文件程序管理等职务予以分离，系统操作人员、管理人员和维护人员这三种不相容职务相互分离、互不兼任，以减少利用计算机舞弊的可能性。（2）加强内部审计。内部审计是企业内部控制的主要组成部分，旨在对企业中的各种内部控制制度和各个职能部门所从事的各种业务活动进行独立评价。在计算机会计信息系统下，独立的内部审计机构应在信息系统的开发、维护过程中进行严格的审查，而且应定期检查信息系统的处理过程。为了有效地监控系统运行状况，防止系统被侵犯，计算机会计信息系统中应设置系统安全性检查程序，检查系统的各种设置是否与上次运行结束时状态一致。另外，程序中需设置一个历史文件，该文件能够自动记录当天所有的操作过程，对所有的操作进行监控记录，从而确保所有操作活动都留下痕迹，便于以后追索。随着信息技术的发展，能引发计算机会计信息系统风险的因素会更多也更复杂，因此计算机会计信息系统风险的防范将是一个长期的过程。不仅要从技术的角度出发，把计算机会计信息系统的安全性、可靠性寄托在网络硬件产品和技术上，还要重视管理制度的建设。因为计算机系统的安全与否，主要取决于使用和接近计算机的人，因此管理比技术更重要。只有这样才有可能最大限度地减少计算机会计信息系统的安全风险，把风险可能造成的影响和损失控制在最小程度。