财务网络安全风险防范措施范文
时间:2023-12-19 18:01:44
导语:如何才能写好一篇财务网络安全风险防范措施,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。
篇1
一、企业网络财务安全现状
影响网络财务安全的因素来源于信息技术的一般风险和财务数据的特定风险,包括硬件系统、软件系统、数据存储等多个方面:
1.硬件系统风险。硬件是计算机正常运行的基础,任何软件都要建立在硬件之上。如果存在操作人员不正确的操作、人为的有意破坏以及不可预测的灾害所造成的破坏时,将会导致网络系统瘫痪,软件无法运行,业务处理停滞,给网络财务使用者造成很大损失。
2.软件系统风险。网络财务软件在运行过程中,需要操作系统、数据库等相关软件的支撑,如果软件系统存在漏洞,财务信息的安全程度通常会受到威胁,财务政策的不及时更新也会直接影响网络财务软件的运行效率。
3.数据存储风险。数据安全对企业尤其重要,在网络环境下,会计数据以电子格式存储于服务器端,财务数据容易产生信息丢失、人为的被盗和破坏。同时,财务信息在客户端和服务器端之间进行数据传递和交换时,也容易被截取、泄露或篡改。
4.病毒及黑客的破坏风险。财务网络化的运用,使得计算机感染病毒的几率和病毒的防范难度加大,来历不明的媒体介质、网络信息的下载,错误的上网操作都会增加计算机感染病毒的风险。同时,在网络环境中,客户端在理论上是可以被访问到的。一些人可能出于各种目的,利用黑客程序,进行黑客攻击,从而破坏网络系统,给财务信息造成极大威胁。
5.人员责任风险。计算机管理制度的不健全,责任心不强或者管理人员技术不精;防范措施不严格,都会增加财务数据的安全性。
二、网络财务信息安全风险防范策略
网络财务的安全是一个复杂的系统,需要财务和信息部门密切配合,从各角度着手,采取防范措施,增强系统抵御风险的能力,使得网络财务的信息安全得到确保。
1.完善必要的管理制度。抓网络财务系统安全,必须建立安全的制约机制。要建立严格的硬件操作流程,软件的使用守则,完善必要的上机操作、系统运行记录控制制度,网络环境下会计信息系统的岗位责任制,形成一个网络财务系统安全管理制度保障体系。
2.加强网络安全技术防范。从技术角度来看,对整个财务网络系统采取安全防范策略,要综合运用防火墙、数据机密性、虚拟专网、数字证书与认证等专业技术,建立多层次的网络安全体系,进而实现全面的网络信息安全保护。
3.加强财务数据管理。建立信息加密系统,加密是保障数据安全的重要措施。企业要综合采用软件加密技术和硬件加密技术,全面建立网络财务信息加密系统。同时,为了防止数据被非法拷贝或毁坏,要加强对系统中的数据进行备份和管理。财务数据共享范围和权限也要做到严格限定,根据实际工作需要,合理确定财务人员和管理人员操作权限。其他系统在限定的范围内只允许对财务数据库进行只读操作,不赋予改写权限。未经批准,为确保财务系统和数据信息的安全,不相关人员不得接触财务软硬件系统。
4.加强对计算机病毒和非法入侵的防范。企业首先要建立集中管理的计算机病毒防范体系。由于网络财务系统运行于单位内网之中,可以实行内外网严格分离制度,内外网之间进行物理隔离。同时要做好所有计算机杀毒软件的安装,及时查杀和定期更新病毒库的工作。其次要建立网络漏洞监测与攻击防范系统。加强网络安全监控,及时发现网络中的异常情况,果断进行处理。
5.加强身份认证。建立更为科学的CA数字认证体系,登录时采用数字证书方式,确保系统数据的完整性、保密性和行为的不可否认性。在数据进行传递和交易时,使用认证体系能够杜绝可能出现的非法访问、非法篡改、假冒伪造等安全问题。
篇2
关键词:信息技术风险;商业风险;关键成功要素
中图分类号:F279.2
当前,全球市场正发生很大的变化,许多企业在新时期也面临着许多挑战、威胁及机遇。这些威胁来自商业风险、信息技术风险等方面。可以说,信息技术就是当今企业科学发展的“好帮手”。国内很多企业都在享受信息技术的各种优势所带来的便利。然而,企业信息技术在激烈的竞争中,遭遇到许多风险,在很大程度上制约着企业的产品设计、战术决策、发展战略等。因此,有必要高度重视企业信息技术风险的防范。
1 信息技术风险的分类
IBM公司将关于信息技术风险定义成:在信息技术应用过程中产产生的各种风险。这种风险不只是安全性风险,也包括其他单纯性的技术风险。具体包括下面五类:第一,完整性风险,即由于相关的信息数据没有经过授权就进行使用,也或者相关的信息数据缺失、错误、不全给使用方带来的风险。第二,准入风险,即因为系统数据以及系统信息储存方法不正确所带来的风险。此种风险在当前信息技术以及网络技术发展迅猛的背景下,更要给予引起高度重视。第三,获得性风险,即,因为人们所需要的数据与处理过程不能及时得到所造成的风险。第四,合适性风险,即,因为在经营过程当中由于信息系统带来的风险。第五,基础设施风,即,因为组织没有完善的信息技术的各种基础设施所造成的风险。这几种风险不是孤立的,而是有机的整体,相互作用,共同构筑了一个完整的信息技术风险体系[1]。
2 企业信息技术风险的防范机制
笔者对企业信息技术风险进行有益的探索,认为企业关键是要建立一个操作性很强的、可以有效转移风险的防范机制。
2.1 积极建立信息技术安全组织
通过走访调研,笔者深深体会到,新时期每一个企业很有必要积极建立一个专门组织,其工作职责是来全面指导与负责企业信息技术风险的预防与处置工作。企业下设的这个专门组织,一定要结合企业的实际情况建立与完善信息技术安全制度,并提出风险应急防范预案。这个专门组织要指导企业其他部门(机构)在日常工作中进行信息技术风险的识别与评估工作,以及防范与监控风险的工作。这样就可以减少企业信息技术风险的发生率,也可以促进企业健康运作。
2.2 正确识别与评估企业信息技术风险
识别与评估是预防企业信息技术风险的关键一环。具体来说,可以从下面几个方面来展开识别与评估工作:
(1)结合企业实际,建立起风险信息技术资源的列表。通过评估,企业要将各种可能或会给企业本身带来各种风险的相关信息技术资源。但是,我们要充分意识到,企业的经营环境以及信息技术环境是多元化的,也是日益复杂。所以,企业应该组织信息技术安全组织以及经营部门相互协作,共同完成风险信息技术资源的列表的制定工作。一般来说,企业风险信息技术资源主要有下面几个方面:1)信息数据的应用程序。比如处理财务信息的财务软件、处理日常信息的办公软件等。2)信息处理的系统软件。比如信息操作系统、各种信息数据库的管理系统等。3)信息网络系统。这个系统主要包含信息网络设备、防火墙等信息安全的设置等。4)跟内部与外部资源之依赖性。可以说,每一个企业所建立的信息技术系统并不是独立的系统,肯定跟内部或外部资源具有很强的关联性与依赖性。5)数字化信息。企业一部分信息属于公开的,人们是可以通过一定的信息渠道来访问的;但是有一部分信息并不是随意可见,是处于保密级的状态,必须通过授权则有权限进行访问。所以,企业信息所有者则要对种类繁多的海量信息给予分门别类,笔者认为,一般可以分成保密信息、内部使用信息、公开访问信息。值得一提的是,不同种类的信息,所潜在的风险也是不同的。6)信息技术人员。这些人员主要是用来管理企业信息技术、从事信息技术的设计与开发。7)风险防范的相关措施与相关技术。可以术,风险防范的措施与相关技术其实就是风险来源之一[2]。
(2)正确评估各种资源之信息技术风险。依照上述所建立起来的风险信息技术资源的列表,运用风险计算的相关公式,及时分类与评估每一类资源所存在的信息技术风险。评估信息技术风险工作主要包括下面几个步骤[3]:1)认真对照所建立的风险信息资源的列表,比较分析各种资源可能蕴藏的各类危险。2)然后针对这些危险仔细分析这些信息资源之薄弱性与缺陷。3)运用相关的财务指标,来正确评估各类风险带来的各种损失额。4)依照相关风险的计算公式,算出每一类资源之具体风险。
2.3 采取有效的风险防范措施
企业认真完成上述信息风险的识别与评估工作以后,则要根据实际情况,采取相关具体的措施来降低或避免各种风险,当然也可以做好准备接受风险。不过,百分百来有效避免一切信息技术风险是很不容易的,也是很难做到的。至于风险发生的几率比较小,产生的危害不是很大的风险,有关企业是可以执行相关防范措施,做好充足准备以完全接受这些风险。当前,比较常见的风险防范技术是降低与转移风险。我们可运用保险等方式来安全转移信息技术带来的风险,国外发达国家就是给企业设立了与企业信息技术风险对应的保险险种。相信,我国也会与时俱进积极建立这类保险险种,帮助企业降低风险[4]。
2.4 坚持长期监控风险
实际上,信息技术风险防范不是一朝一夕的事情,也不是一蹴而就。可以说,它属于一个长期的、动态的、系统性很强的工作。笔者认为,企业要积极建立起某种监控网络,不定期或定期对信息技术的风险给予识别与评估,然后才有切实有效的措施给予防范。企业设立的专门组织要坚守岗位、认真负责监控网络之运行,要定期给企业领导汇报相关的风险动态与监控网络之运行工作情况[5]。
3 结语
总之,企业信息技术风险可以说是无处不在,有的是可以通过一些具体措施给予避免出现的。在当前,企业信息化进程日益加快的今天,企业信息技术风险必须放在重要议事日程上来,重点管理、重点防范,不可掉以轻心。实践告诉我们,企业机密的数字化信息一旦外漏、在网上受到诈骗后者恶意性攻击,则会使得信息系统发生瘫痪,从而给企业造成巨大的损失,阻碍企业健康运行以及科学发展。为此,笔者建议,企业要与时俱进,结合自身实际,积极建立本文上述所介绍的防范机制,沉着应战,积极做好风险防范及治理工作,要不断动员企业每一位员工、每一个部门(机构)一起行动起来,准确识别、正确评估、有效防范各种企业信息技术风险的发生。与此同时,每一个企业都要建立起一种良好的防范机制,让企业信息技术风险的防范工作能够不断制度化与常态化,从而为企业信息技术安全保驾护航。
参考文献:
[1]张玉明,吴有红,张昭贵.高新技术企业技术风险及其管理[J].高科技与产业化,2005(06).
[2]卫敏娟,付波.风险管理在技术创新中的应用[J].时代经贸(中旬刊),2008(S2).
[3]么秀杰,马军.ERP实施风险防范[J].内蒙古科技与经济,2008(08).
[4]龙勇,刘誉豪.风险投资的非资本增值服务与高新技术企业技术能力关系的实证研究[J].科技进步与对策,2013(03).
[5]龙勇,时萍萍.风险投资对高新技术企业的技术创新效应影响[J].经济与管理研究,2012(07).
篇3
关键词:会计电算化;风险;防范
中图分类号:F23 文献标识码:A 文章编号:1001-828X(2013)07-0-02
一、前言
随着信息技术的飞速发展,网络与计算机已应用于社会的各个领域,成为人们工作和生活不可缺少的工具。会计人员记账、算账、填制会计报表,甚至分析各种报表数据,都离不开计算机。而在全球经济向网络经济迈进的今天,建立高效完整的会计信息系统,实现会计电算化是大势所趋,己成为各行各业乃至国家机关、行政事业单位的当务之急。本文在这种情况下,分析会计电算化在哪些方面存在风险,并阐述了相应的防范措施,重点说明了在网络环境下会计电算化所面临的风险及防范。
二、网络环境下会计电算化所面临的风险及防范措施
(一)网络环境下会计信息系统面临的主要风险
1.主观风险
(1)财务内部职务不相容风险
采用计算机后,不相容职务相分离这一在手工核算体制下常用的有效控制原则,在很多时候却得不到遵循。由于数据处理集中进行,导致职责合并严重,会计人员大大减少,从而使一些不相容职务得不到分离,如有些单位会计人员既从事数据输入、输出工作,又负责数据报送,这增加了他们在未经批准情况下,直接对使用中的数据和程序进行修改、复制或删除等操作的可能性,从而使会计数据的准确和及安全性得不到保证,其危害是不言而喻的。
(2)财务监管的不同步性风险
由于网络经济发展在财务监督方面制订了苛刻的标准,部分控制工作者无法面对将要被淘汰的显示,无法科学合理的开展决策活动,也许借助先前的规章制度将造成当前业务无法顺利进行。
2.客观风险
(1)相关法律法规的滞后性风险
其直接的滞后性表现在缺少能够使计算机确保自身安全、健康发展的法律制度;间接的滞后性表现在现有的经济法规不能适应网络财务的发展。以网上银行为例,网上支付业务是以变码印签作为安全支付保证,而传统的支付方式是以传统的印签作为付款保证,而《票据法》仅对传统的印签作了明确具体规定。所以一旦出了问题,银行能否得到法律的保护还存在问题。
(2)网络空间的安全性风险
网络空间虽然广阔,但同时存在自身的弱点,即网络病毒、黑客攻击等安全问题。但目前的网络安全技术完全可以做到有效防范黑客攻击。从发生的黑客袭击网站事件及病毒感染的情况看,主要存在三类问题:一是管理问题,管理人员、使用人员安全意识淡薄,下载文件不做安全技术检测。二是对一个安全性要求不高的网站,使用防火墙软件显得成本比较昂贵,加上自身软件存在漏洞,为黑客攻击网站提供了可能。三是由于程序设计缺陷及使用者自身的素质问题,容易产生一些系统性的问题。
(二)网络环境下会计信息系统面临的新的风险
本论文对企业内部控制在网络环境中失效带来的风险总结如下:
(1)会计电算化必须提高信息录入自身准确性水平。若原始数据从录入过程中出现问题,计算机不能有效区分,必须根据这一程序开展相应的处理活动,将导致信息出现失真。
(2)调整会计资料无法及时发现,造成会计信息真实水平不断降低。从电算化环境之内,会计信息节诶祝计算机处理系统进行保管,此类保管与磁性介质内的相关信息还有资料,能够有效的调整同时无法及时发现,造成了会计信息真实水平不断降低。
(3)内部控制审计出现明显缺陷。从会计电算化环境之内因为电子信息自身突出性质,手工审计方式根本不可能开展合理的监督控制,原来的审计工具同样无法和现阶段会计信息电子化相关标准保持一致。
(4)信息系统在物理风险还有非法入侵风险方面存在明显的隐患。物理风险主要表示从信息系统之内因为软硬件还有网络产生问题造成了系统信息出现遗漏还有瘫痪。同时,信息系统也许能够出现系统内部还有外部的各种破坏,同时假如出现损失能够导致非常恶劣的后果。
(三)网络环境下会计信息系统的风险防范
1.应用措施
(1)构建相关风险评估及分级制度
根据单位的具体情况,对电算化系统各组成部分和运转的每一过程的风险和可承受性进行客观合理的评价,采取适宜的分级管理制度,并在实施过程中持续改进和完善,最有效的利用组织资源来确保会计电算化的安全。同时,结合内、外检查监控机制和交流反馈机制,及时发现现有或潜在的风险,采取纠正、预防措施,持续改进和完善安全管理体系,提高安全绩效。
(2)实现网络会计安全防范
推动财会工作者树立相应的思想及观念,营造出科学合理的网络财务系统为网络财务水平快速提高的重点。作者表示,良好的网络财务系统通过下述元素营造产生:首先,一定营造产生科学合理的电子商务通信网络,通过这种方式不断提高财会信息可靠性水平;其次,财务数据库服务器一定要可靠,避免出现黑客入侵情况;再次,一定要营造出权威认证机构,通过相关验证中心衡量交易者的资格,同时授予安全证书,具备安全证书的方可获准进行电子商务会计系统;最后,营造防火墙、电子密钥系统,从公司还有外界界面内营建产生保护屏障,科学合理的减少意外情况出现的可能性。
(3)强化网络系统内部控制
第一,设置三重用户口令,不仅要设置开机口令和网络用户名口令还要设置相关的应用系统名口令。只有这样才能保障财务档案不被侵犯盗取。第二,要建立完善的多级权限控制机制,既要做好用户级控制和数据库级控制的工作,也要完善网络系统级控制系统。第三,要建立完善的电子表单来对归档的档案进行管理,员工必须通过网络管理员的授权才能查阅相关的信息资料。
(4)加强财务档案信息网络建设
档案从使用过程中才能产生关键影响,档案管理信息化水平持续提高能够给档案数据发挥作用奠定坚实的基础。营造健全的财务档案数据体系,首先能够把工作过程中所有的文档直接保存到数据库之中,有效缓解工作者实际负担,推动数据科学性、有效性水平不断提高。其次能够真正做到联机公共目录查询、光盘远程检索服务,同时能够借助不同途径进行查询活动。
2.一般控制
(1)完善相关法律法规
电子商务与信息化相比是一个小系统,但就其内容、内涵和涉及的方方面面而言,又是一个巨大的社会系统,而且是当今社会的龙头系统。所以,加快电子商务立法非常重要。我国电子商务立法应解决电子商务中出现的各类综合性问题,规范电子商务活动,使其在法律、法规许可的范围内进行公开、公平、公正的交易,鼓励竞争,防止垄断;其次,电子商务的安全、保密也必须有法律保障,对计算机犯罪、计算机泄密、窃取商业与金融秘密等都要给予严厉的法律制裁。
(2)强化对会计电算化系统网络环境的管理与维护
网络安全性的指标主要包括数据保密、访问控制、身份识别等。采用密码管理和登陆制度控制网上财务数据的读取;起用防火墙,隔离会计电算化系统与外部访问区之间的联系,限制外界透过防火墙对会计信息系统数据库进行非法访问;采用数据加密、回响检查等技术手段进行网络管理以防止由于遮荫问题、设备故障导致数据丢失以及不法分子非法拦截盗用财务数据信息等安全隐患,保障会计电算化系统网络环境的安全运行。
(3)积极发展相关网络财务市场
网络财务市场能不能保持健全能够在网络会计方面产生非常关键的影响。应当营造出健全完善的国际网络财务市场,营造产生网络会计网站,和全球范围内所有国家开展会计信息沟通,推动会计信息能够顺畅流通,给会计准则协调还有发展奠定坚实的基础。
三、结论
随着会计电算化事业的迅猛发展,会计电算化工作将面临巨大的变化和广阔的发展前景,也将会出现各种各样的问题,如未得到重视或及时解决,将会阻碍会计电算化向更深层次发展,因此必须采取积极的应对措施,才能推动电算化事业的高效稳步发展。
参考文献:
[1]赵春芳.浅析电算化会计的内部控制[J].保定职业技术学院,2006(02).
[2]李红琨,刘琨.浅论企业内部控制要素与组合[J].北方经济,2006(12).
[3]蔡亦农.电算化环境下的会计档案管理[J].中国农业会计,2008(01).
[4]张粟.网络时代的会计信息生产模式创新[J].上海会计,2001(05).
[5]许永斌,杨春华.电算化会计[M].上海:立信会计出版社,2001(08).
篇4
关键词:医院会计 风险防范 策略
一、医院会计风险管理概述
会计风险主要是指会计人员在工作时由于漏报或错报会计信息而使单位遭受损失的风险。现代医院财务会计工作是一项政策性、法规性和业务性很强的系统工作。医院的会计工作从过去的收支核算转变为一项贯穿医院管理全程的综合性工作,会计工作从被动的风险处理转变为主动的风险防范,定期评估医院的各类风险和总体风险水平,提出风险管理建议。把有效控制风险放在重要位置,每一项规章制度的制定和业务运营都要以有效识别、计量、监测和有效控制风险为主线,建立和完善风险防范机制。
二、医院会计风险产生的主要原因
(一)电脑网络信息安全存在风险
伴随着医院现代化和电脑网络的发展和广泛应用,会计信息的处理方式也由传统的纸质会计信息处理转变为了网络共享式会计信息处理,这种会计信息处理方式的转变给会计行业带来便利的同时,也相应的带来了一定的风险。便利就是通过网络共享可以实现医院各部门间信息的相互交流,促进会计核算工作更快速准确,同时相关的信息数据也不容易被人为随意处理 ;风险就是计算机技术的快速发展,实现了网络平台的共享, 使得医院内部网络可能会受到非法入侵或攻击,以及单位内部高水平舞弊者篡改电脑程序或数据库, 造成会计信息被破坏或篡改,且不容易发现,甚至会使整个网络系统陷入瘫痪状态, 影响会计信息的完整性和安全性。
(二)医院事业发展呈现出复杂化趋势
社会经济的快速发展和医疗体制改革的不断深入,以及人民群众对医疗保健需求的不断提高,使得医院运行管理活动也在发生不断变化,并呈现出日益复杂化的趋势, 这种变化间接地造成了医院会计风险的增加,如多种医疗保险模式各自为政、互不兼容,又如科室全成本核算,都会大大增加会计核算的工作量和复杂程度。为了有效应对这种局面,当前很多医院都把防范财务会计风险摆在医院工作的重要位置,采取一切手段尽可能地把会计风险发生的可能性降到最低, 避免医院遭受重大的经济和财产损失, 保障其在激烈的竞争中占据有利地位, 取得更加长远的发展 。
(三)医院内控体系的实施环境有待完善
当前,医院外部经济条件和内部建设发展在一定程度上发生了改变,但是医院基本的管理模式鲜有改变,内控体系的实施环境不容乐观。首先,医院的组织结构没有变化,即仍为上级主管部门任命的院长负责制,然后再由院长任命医院中层干部。这种传统的管理模式缺少强有力的监督,院长有绝对的权威,容易造成管理层为了粉饰业绩或私欲进行舞弊,进而带来相应的会计风险。 其次,医院管理的基础和意识薄弱,长久以来,大部分的医院都存在重医疗轻管理的传统,缺乏相应的管理专才,绝大部分管理者都是医学专业出身,并无管理知识和经验,其他员工要么是专注医疗业务,要么是从事底层辅助服务,更没有良好的管理意识;有些医院虽然建立了部分内控制度,但往往流于形式得不到严格执行,并且医院对财务管理重视不够,财务人员的权威不足,造成财务管理和内部控制环境间的协调性较差,使得部分财务管理工作得不到有效开展,从而带来会计数据失真的风险,比如大部分医院为了迁就病人,都存在医生开治疗处方而领取药品行为,这种行为肯定会造成药房或药库账实不相符。
三、 医院会计风险的主要防范措施
(一)完善电脑网络信息安全机制
现今,大部分医院都进行不同程度的电脑网络系统建设且投资巨大,但是软件供应商上千上万,软件产品千差万别,没有统一行业标准。甚至,同一家软件公司也没有统一标准的医院管理软件,而是面对不同的医院开发不同的软件产品。软件商重销售轻服务,也没有软件后续维护、升级,这种状况不利于规范医院管理流程,更难以保证网络信息的准确和安全。为此,笔者建议由国家卫生部根据医院管理、诊疗流程规范,委托实力强大的软件公司开发统一医院管理软件,向全国医院推广,并长期提供软件优化、升级等后续服务。上述统一软件除了满足医院管理各种需要外,还需提供一些灵活功能设置以满足各医院的个性化需求,更重要的是要保证网络信息的准确和安全。当然,各医院在实施网络系统时,除了需要购置严密的硬件安全屏障外,还需建立相应配套管理制度,严格网络操作权限,凡涉及到重要参数设置、软件代码修改的,均需要进行多重审批,以建立完善的网络安全机制。
(二)建立和健全企业内控制度
内控制度是一项以保护资产安全 ,保障信息的完整性和正确性, 控制经营风险、 提高经营效率等为目的的管理制度。建立和健全内控制度, 能够及时发现和识别会计风险并加以控制 ,使一些不可控风险变为可控风险, 从而降低会计风险的发生程度。一套完善的医院内控制度, 能够保证医院各项活动的顺利进行,促进医院社会和经济效益的提高 。
笔者建议医院首先需要借鉴现代企业的治理结构模式,分别建立类似企业股东大会、董事会、监事会、经理层的医院组织结构,各机构各司其职;其次,医院根据管理规范,建立一套适合自身的内控制度,尤其注重不相容岗位设置,以及复核、审批岗位设置;最后,医院应强化包括管理层在内的全院职工的管理意识,引进和培养管理专才,适当树立财务人员的工作权威。通过改善医院内控制度的实施环境,进而达到降低医院会计风险之目的。
(三)提高财务会计人员职业道德和专业水准
会计风险与财务会计人员综合素质有密切关系,所以,为有效防范和控制医院会计风险,提高财务会计人员职业道德和专业水准是至关重要的。第一,要强化会计人员的职业道德教育,包括职业品德、职业纪律、职业行为、职业责任等方面内容,制定与上述内容相关的执行性强的规范和准则,结合医院医德医风或行风建设工作加强会计人员的思想教育,使他们做到严格按规定处理业务,主动抵制不正之风,进而降低主观性会计风险。第二, 还要注重对会计人员进行专业业务培训, 使他们除了熟练掌握财务会计知识,还要对医院管理常识、财政、金融、审计、 税法、经济法、外语、计算机等各个方面都有一定的了解,提高会计人员的综合业务水平,并着重提高专业判断能力,以减少实际工作中的失误,从而降低客观性会计风险。第三,要求会计人员在处理业务时,要保持相对的独立性,不受外部因素过多的影响,公平公正处理业务,以降低主观性会计风险。
(四)加强医院会计报表的注册会计师审计制度和医院总会计师制度建设
篇5
20xx年1月17日,中国互联网络信息中心(cnnic)在京《第21次中国互联网络发展状况统计报告》,数据显示,截止20xx年12月31日,我国网民总人数达到2.1亿人,cnnic预计在20xx年中国将成为全球网民规模最大、普及率相对较高的国家。这些数据显示,中国已经进入了网络经济时代。那么何谓网络经济?网络经济就是以直接经济为特征的服务经济,它是人类联系与交流方式的演进,是以先进的网络工具体系为依托,以综合、融合为典型特征的经济模式。它的产生和发展对被誉为经济“看门人”的传统审计带来了巨大的冲击,迫切需要有一个全新的审计模式与之相适应,联网审计由此应运而生。前审计长李金华同志有一句名言:审计人员不掌握计算机技术就将失去审计资格,审计机关的领导干部不了解网络知识也将失去指挥的资格。这足以说明联网审计已经成为现在乃至将来审计的新模式。
一、联网审计的定义及开展联网审计的意义
联网审计作为电算化审计的延伸,是指审计机关与被审计单位进行网络互连后,在对被审计单位财政、财务管理相关信息系统进行测评和高效率的数据采集与分析的基础上,对被审计单位财政财务收支的真实、合法、效益进行适时、远程检查监督的行为。联网审计有利于推动财政、财务收支相关数据和业务处理日益电子化、信息化、网络化形势下审计工作的开展;有利于在新形势下有效配置审计资源、提高审计效率,进一步贯彻落实“全面审计、突出重点”的审计工作方针;联网审计模式使审计工作从事后审计转变为事后审计与事中审计相结合,从静态审计转变为静态审计与动态审计相结合,从现场审计转变为现场审计与远程审计相结合,能够使一些违纪违规问题被及时发现和纠正,能够在动态的监督中关注资金与项目的效益,能够及时、准确地为决策部门提供决策信息,从而有利于提高审计质量。但是,由于联网审计是基于互联网技术的审计模式,互联网的时空无限性和技术开放性本身就潜存着安全隐患,从而有可能导致会计信息、审计资料被截取或恶意篡改,影响审计效率和审计质量,安全性问题已经成为联网审计发展的瓶颈。本文着力于联网审计安全性问题的探讨。
二、相关法律准则的缺失对联网审计安全性影响及对策
联网审计立法是保障联网审计正常发展的关键性措施。新的《会计法》已增加了有关网络财务的内容,《电子商务法》起草工作正在加紧进行之中,但上述法规都不是针对联网审计而的,不能够满足联网审计的需要。因此,有必要加快联网审计立法工作的力度和进度,使人们在开展联网审计工作时有章可循。如对电子证据,电子签名,电子合同,电子货币等网络经济工具的合法性及其使用规定,都需要立法来加以明确,使得联网审计工作尤其是进行合法性审计时有法可依。目前,已有的相关法律法规适用于联网审计的应该遵从其规定,不适应的需要进一步进行修改和完善。
审计准则是审计工作应遵循的规范和尺度,是评价审计工作质量的权威性规则。联网审计对象、线索、方法,流程、结果等各方面相对于传统审计都发生了变化,以往的审计标准和准则已经不能完全适用,所以应加快新的审计标准和准则的制定以指导联网审计工作实践的深入。如对联网审计人员的一般要求,网络系统安全可靠性评价标准,网络系统内部控制准则等。
三、审计人员综合素质对联网审计的安全性影响及对策
审计人员提高网络安全防范意识,树立全新的信息安全理念,寻求最佳的安全解决方案,避免因网络安全防范失误而可能造成的不必要损失,对于联网审计来讲,显得尤其突出,这就需要审计人员从宏观上强化网络安全防范意识,实行联网审计信息安全预警报告制度。审计主管部门应尽快建立一套完善的联网审计信息安全预警报告制度,依托国家反计算机入侵和防病毒研究中心及各大杀毒软件公司雄厚的实力,及时联网审计信息安全问题及计算机病毒疫情,从而切实有效地防范网络会计信息安全事件;要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,并加大网络安全防范措施检查的力度,真正提高用户的网络安全意识和防范能力。
实现联网审计以后,由于审计线索、内部控制、审计内容、审计方法与技术等的改变,决定了对审计人员要求的提高。不懂得计算机的审计人员,会因为审计线索的改变而无法跟踪审计,会因为不懂得网络审计的特点和风险而不能审查和评价其内部控制,会因为不会使用计算机和网络系统而无法对电子商务活动进行审计。实施联网审计后,审计工作的顺利开展,必须基于一定的计算机技能、网络知识和完备的审计理论等多方面的综合运用,这对审计人员的业务素质提出了更高的要求。
在这种情况下,审计人员不仅要有丰富的审计知识,而且要掌握一定的计算机、网络、通讯、电子商务知 识与技能。只有全面提高审计人员的业务素质和工作能力,才能满足网络审计工作的需要。这就要求审计人员:
(1)系统学习审计风险方面的理论知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度;
(2)更新审计监督观念。现阶段审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和社会效益的审计,强化高新技术产业的审计,并促使其快速成长;
(3)树立竞争观念,培养创新意识。知识经济条件下,科学信息化技术对经济的促进作用进一步加强,应提高审计人员对信息经济的认识,树立面向经济的竞争观念;
(4)改革教育和培训模式,提高审计人员的素质和业务水平。未来知识经济的竞争是人才的竞争,要培养面向知识经济的高素质审计人才,就必须改革现有的教育和培训模式,建立面向知识经济的教育和培训模式,用新的方式、新的观念,全方位的培养和选拔人才。推行素质教育,实施终身教育;改革教育、培训方法和手段,教研结合,学研结合,以培养和造就一大批一流水平的审计人才。
四、网络安全对联网审计安全性的影响及对策
随着计算机互联网络技术的提高,网络带宽影响网络传输速度的问题应该说已基本解决,宽带接入为实现联网审计提供了在线操作的保证,但宽带接入的背后却隐藏了无限的杀机,有人曾断言,宽带将电脑接入了高危地区,断言虽说有点危言耸听,但网络用户面临的安全问题却是客观存在的。联网审计的信息安全问题已经成为困扰联网审计发展的核心问题。
篇6
信息系统作为会计信息系统控制的对象,是由计算机硬件和软件部分、应用系统、各种数据和相关人员等要素构成的。会计信息系统控制目的是在信息系统风险分析和识别控制基础上避免或减少风险危害。
为了使得会计信息系统正确的,可靠的和安全的运行,同时提高会计信息系统运行效率,就需要使用各种方法和相应的技术,对会计信息系统实施风险管理和风险规避。
1.计算机会计信息系统的简介
1.1计算机会计信息系统的定义。计算机会计信息系统将电子计算机为主的当代电子技术和信息技术应运到会计实务中,是一个运用电子计算机实现的会计信息系统。它使传统的手工会计信息系统逐渐转化为电算化会计信息系统。计算机会计信息系统将电子计算机和现代数据处理技术相结合并且运用到会计工作中,是用电子计算机代替人工记账、算账和报账,和部分代替人脑完成企业对会计信息的分析、预测、决策的过程,它的目的是使得企业财务管理水平和经济效益得以提高。
1.2 计算机会计信息系统特点
(1)系统的庞大复杂性;(2)信息的真实可靠性。计算机会计信息系统应确保存放在系统中的会计信息的真实、公允、全面、完整、安全和可靠;(3)内部控制严格。计算机会计信息系统中的数据不仅要保证其正确性,还要保证;(4)会计核算程序的规范性和程序性。
1.3 计算机会计信息系统的应用及不足
(1) 会计信息数据将会发生失真。如果会计信息系统的安全受到威胁,那么将会发生会计数据发生错误、数据将会丢失或被篡改,使信息发生失真;(2) 企业重要信息发生泄露。比如,在各种网络环境下,财务信息完全通过网络进行传递,这时将不可避免的发生财务信息被不法分子截取或泄露;(3) 计算机病毒侵袭使得系统不能正常运行。计算机病毒将会破坏计算机内部的程序、重要数据,有的甚至会破坏硬件。病毒通常会通过磁盘、光盘、网络和电子邮件进行传播。
2.我国计算机会计信息系统存在的风险
2.1 会计信息系统内在是脆弱的
( 1) 计算机的硬件存在很大风险。硬件的安全隐患大部分来自于程序设计,物理安全是最主要的表现方式;( 2) 会计软件的系统是脆弱的。计算机软件的风险一般来自于软件设计和软件工程实施中的遗留问题,一旦软件设计中发生了疏忽,则可能留下安全漏洞;安全脆弱性还体现在软件设计中不必要的冗余功能,和软件本身较大;(3) 网络和通信协议存在一定的安全风险。由于支持因特网运行的TCP/IP协议栈在设计的当初将互联互通和资源共享问题考虑了进去,从而导致了解决来自网际的安全问题无法被兼容。
2.2 计算机病毒引起的风险
(1) 从存储介质进入。
(2) 从内联网进入。内联网上的邮件系统容易给病毒大量传播的机会,而且在内联网络上传播的病毒较新,大部分是新发现的病毒。
(3) 从互联网进入。计算机病毒大部分通过互联网传播,不管用户在网上浏览网页, 还是收发电子邮件、或者是下载软件, 都比较容易使计算机染上病毒。
2.3 计算机舞弊引发的风险
(1)将会使得系统硬件发生破坏。比如不法分子蓄意对系统硬件设备进行破坏,最终导致系统运行发生中断或瘫痪;(2)使得软件系统发生破坏。不法分子威胁、攻击及舞弊的主要对象是软件系统,方法和手段是多样的,常用方法有截尾术、越级法、程序天窗、逻辑炸弹及冒名顶替等等;(3)使得重要数据发生破坏。计算机舞弊中最常用的方法就是对输入进行篡改,即在将数据输入计算机之前或者输入过程中对数据进行篡改;(4) 网络黑客。
2.4 内部控制存在的风险
( 1) 授权控制下降。 ( 2) 职责分离和监督不规范。 ( 3) 业务记录效力降低。员工在纸质凭证上进行了签字只是证明了他确实对交易进行了授权确认,但是系统的完整性、正确性和安全性影响了磁质交易记录上的操作员信息的法律效力。
3.对我国计算机会计信息系统风险的规避控制
3.1 我国的计算机会计信息系统内在的防范对策
3.1.1 完善会计软件的功能
3.1.2 加强内部审计
3.1.3 计算机舞弊引发风险的防范
不同企业对会计信息系统存在不同的安全要求,企业可以自主选择合适的操作系统平台。在会计软件的开发设计过程中,通过运用操作系统提供的信息安全技术,使信息安全得以实现。此外,要监督审计人员 ,让他们在执行审计工作的过程中查找计算机舞弊的痕迹。
3.1.4 提高应用与管理人员业务素质
企业可以通过内部培训、绩效考核、奖惩等各种方法,使会计人员的会计信息系统应用和管理人员的计算机知识、网络技术安全知识、会计理论与实务知识有所增加,并同时增强会计人员的风险防范意识,提高他们的业务素质,使得计算机会计信息系统有效正常运行.
3.2 我国计算机会计信息系统外部的防范对策
3.2.1安装防火墙和使用加密技术
(1) 企业可以通过安装防火墙,使得内联网上的企业信息系统躲过来自互联网上的攻击。防火墙具有限制网上会计信息的自由流动,从而使得网上访问变的安全。
(2)企业可以使用非对称加密机制,会计数据秘密得以保守。
3.2.2 采用数字签名技术和仲裁制度,防范来自关联方和社会道德风险
3.2.3采取多种网络安全技术,保证系统的安全性
(1)企业应当适当使用安全检测预警系统。
(2)企业应当适当采用加密技术。加密技术是最主要的网络安全技术, 它可以使得系统数据的保密性得以提高,而且能防止私密数据被破译。保秘密钥和公开密钥是加密技术的两大手段。
4.结 论
篇7
关键词:会计信息化;财会流程;完善措施
时代在变迁,社会也在不断的发展。不论是人们的生活还是工作都渐渐变得信息化,在这个全面信息化的社会环境下,我国的行政事业单位也在不断改革。在财务管理中,信息化帮助行政事业单位得到了更有效的管理,也帮助行政事业单位在不断提升经济效益,因此,各行政事业单位领导层更加需要对自身行政事业单位的财会流程进行了解,使其能够将信息化完美的运用在管理中。
一、行政事业单位会计信息化财会流程概况
会计信息化财会流程实际上是指在信息化的基础背景下,行政事业单位对于自身所运营的财务数据进行规划和有效的整理,将财务数据中出错的地方找出来进行修改,对一些无用的数据进行清除,最终整理出对行政事业单位有用的财务数据并对其进行深入的研究和分析。而在经过了这个过程之后,行政事业单位就可以对自身作全方位的财务评估以及管理,进而使得行政事业单位的发展能够相对快速,并且处于上升的状态。行政事业单位在运营和发展的过程中会得到非常多、内容非常杂乱的财务数据,将这些乱七八糟的数据进行分门别类的整理之后,再将整理之后的数据进行下一步的传达和处理,因此财务管理工作的财会流程就是每个小流程的结合体。
二、完善会计信息化财会流程的方法和策略
对一体化财会流程进行建设。在行政事业单位运行的时候,财务部门常常会接触到许多单据和其他记账凭证,但是往往缺少对这些记账凭证的管理方法。行政事业单位内应该建立财会流程一体化模型来辅助管理,比如将收到的单据以及记账凭证等业务信息转存入信息数据库里面,当需要将这些信息数据制作成财务报表的时候就可以直接通过流程一体化模型中的报表生成系统获取原始数据然后进行报表生成。动态会计平台模型也是构建财会流程一体化的一个方法。动态会计平台主要是由凭证模板、接收器以及生成器还有实时凭证组成。在将财会信息和业务信息进行统一的同时还能够提高两者的可靠性。利用财务数据管理系统将系统中凭证设置、账簿以及报表等进行设置,并使用其原有的功能对所有的信息数据输入到里面,进行处理和共享、输出。这不仅可以实现财会流程的信息数据共享,还可以实现财会的信息化以及无纸化。在行政事业单位运营中对财会流程进行实时掌控并运用流程控制机制。流程控制机制通常来讲是由行政事业单位的领导层制定的,在数据系统中建立属于该行政事业单位的流程控制机制标准,并全程按照设计好的财会流程控制标准对系统进行初始设置。在运营的时候,接受的业务信息都是来自于信息接收器,当需要对财务信息进行判断研究的时候都是通过控制器,这就可以有效增强对行政事业单位财会的实时控制。利用事件驱动来获取信息。在计算机领域中有这么一个专业术语,主要代表由输入代码而进行的事件执行指定。当在行政事业单位中运用事件驱动管理的时候,会依照使用目的的不同而将使用人的信息划分成不同的时间,并且会设计与之对应的事件过程程序模型。假如使用人要调取讯息,就可以输入指令进行事件驱动,达到对想要的信息获取的目的。
三、会计信息化财会流程中完善行政事业单位内部控制的策略
行政事业单位实施会计信息化财会流程,是对其财会流程的一次整理、再造进程,其相应也会对行政事业单位的某些业务流程与交易方式产生影响,而内部控制是行政事业单位依据自身业务流程与交易方式进行实施的,其会计信息化财会流程,并对其内部控制造成影响,需要采取相应的完善措施加以应对。
(一)从思想观念上强化内部控制
1、风险防范观念会计信息化财会流程背景下,行政事业单位通常经由授予权限或用户口令的方式,来规范员工对其系统的操作使用。但若员工本身的风险防范意识不足,会令这类防范措施形同虚设,如员工间相互透露用户口令或密码。或是因将口令记录在纸条上而导致的外泄问题,均会给事业单位内部控制带来极大安全隐患,需要行政事业单位强化对员工的安全风险防范宣传教育,为其树立起风险防范观念与责任意识。2、将计算机与人工做共同控制行政事业单位会计信息化财会流程进行初期,员工会因不适应信息管理方式而排斥计算机控制手段,进而影响行政事业单位内部控制成效。因而行政事业单位应强化对员工的信息技术培训,令其了解与掌握计算机技术在信息管理上的便利性、与操作方式,使员工开始重视其计算机控制的优势并做有效运用。从而在计算机与人工共同控制下,实现对行政事业单位内部的高效控制。
(二)从体系上强化内部控制
1、网络安全控制网络安全控制的目的在于避免非法用户与网络病毒,经由信息化后会计应用系统进行入侵,以确保其会计信息系统的网络数据安全。其主要网络安全控制措施有:一是设置会计信息系统外部访问区域限制,以达到行政事业单位会计信息应用系统,与外部网络环境的有效隔离。二是建立双重防火墙以限制、应对外界网络对行政事业单位主机系统的访问行为。三是在会计信息系统服务器及各终端机中设置反病毒软件,并且设立相应的网络使用规范,以防止员工在应用会计信息系统时不慎打开带有病毒的网页。2、数据安全控制行政事业单位会计数据的安全隐患,主要来自于单位内部人员对会计数据库的非授权访问,以及数据系统的故障或损坏问题。对与数据库的非授权访问问题,事业单位可使用三层式客户机或服务器模式,以构建事业单位内部网,进而通过中间服务器,避免客户与数据库数据的之间联系操作,进而确保会计数据的安全一致。而对于系统故障或损坏问题造成的数据安全隐患,行政事业单位因对其数据做实时备份,并在出现故障损坏后及时恢复,以避免相应的数据安全问题发生。
四、结束语
由于社会在不断的进行信息化发展,各行政事业单位的运营方式也受到了很大的影响。运营和信息的传递关乎行政事业单位在市场上的立足和发展,因此行政事业单位财会流程的优化变得更加迫切起来。只有跟随着社会信息化的脚步,采用科学的方法对财会流程进行完善和优化,行政事业单位才能够实现可持续发展。但是信息化财会流程在现今还存在有许多问题,信息化虽然是财会流程优化的最合适的途径,但是还需要不断对其进行摸索和研究。
参考文献:
[1]李丽.建设会计信息化体系完善现代化财会制度[J].环球市场信息导报,2015(10):92-93
[2]蔡天雨.会计信息化形势下财会流程优化分析[N].赤峰学院学报(自然科学版),2015(14):108-109
篇8
网络银行最早兴起于美国。就目前而言,网络银行可分为以下两种模式:一是纯网络银行;二是分支型网络银行,即现有的传统银行设立的网络银行,是在传统银行的基础上,建立一个独立的机构或部门经营网上银行业务,并且配备相应的人力和财力资源,将传统银行业务和创新品种扩展到互联网上。我国目前的网上银行大都采用第二种模式,还未出现完全意义上的网上银行,也就是说我国的网络银行业务尚处于初级阶段。
二、网络银行面临的风险
(一)传统银行所面临的风险在网络银行经营中呈现出新的特点。1、信用风险,是指由于债务人未能按照与银行所签的合同履约等造成的风险。2、利率风险,是指因利率变化而对银行收益或资本造成的风险。3、流动性风险,是指银行在其所承诺到期时,不承担难以接受的损失就无法履行这些承诺,从而对银行收益和资本造成的风险。4、价格风险,是指因交易完毕的金融票据价值发生了变化而对银行收益或资本造成的风险。5、外汇风险,当一笔贷款或贷款组合以外汇计价,或以借入外汇作为资金来源,外汇风险就会产生。
(二)网络银行固有的风险。1、投资战略风险,是指网络银行的投资时机、投资规模、投资方式等选择的不确定性,导致了网络银行的投资战略性风险。2、网络体系风险,主要是指网络安全、交易体系、信誉和消费者信心等因素的不确定性所带来的风险。3、网络法律风险,是指由于缺乏相关的法律或法律法规不健全所导致的运营
风险。4、业务运营风险,它包括技术风险和市场信号风险。
三、我国网络银行面临的主要问题
(一)网络基础设施建设不完善,安全防范能力差。对于银行业来讲,除了社会整体网络设备水平低下之外,银行业内部网络构造也还处于很低级的状态,银行内部局域网建设仍很落后。网络安全是金融界的第一生命,我国的网络银行在安全性方面存在不少问题,主要表现在以下几个方面:一是缺乏必要的网络安全防范措施;二是缺乏整个信息系统安全审计体系;三是金融设备软硬件落后、国产化程度低及复合型高级管理人才奇缺;四是相关法律法规不健全。我国现行法律也远不适应电子商务。比如,进行交易需要签名,而在网上只有数字化的签名,这种签名有没有法律效力?所以说,为适应电子商务,从《商业分行法》到《广告法》都有需要修正的地方。提高企业的服务可以获得更高的利润,但要“网”住千万家企事业单位和大型集团用户及其亿万资金,在安全和法律问题没有得到彻底解决之前,很难有大的进展。
(二)网络经济市场需求不足,交易规模小,效益差;理财观念和信用观念相对落后,银行创新能力不足;网络经营风险大。到2004年5月,全国1000多万家企业中,只有2%上了网。加之网上交易成本高、支付方式不便等,限制了个人网上消费的增长。另外,思想观念的滞后成了网络银行发展的最直接障碍。我国人们对于财富的概念基本上还集中体现在现金和有价证券上,难以接受电子货币的概念,要接受网络银行更是不易。在扭转传统文化桎梏、陈旧理财观念和消费行为习惯上可能要付出一代甚至几代人的努力。因此,虽然各家银行初期投入巨大,但网上交易笔数少、金额小,其收入甚至不足以支付其广告费,更无法实现盈利。据统计,目前网络银行业务量占银行业务总量的比例还不到1%,网络银行的盈利能力远远没有被开发出来。
(三)信用机制不健全,市场环境不完善。个人信用联合征信制度在西方国家已有150年的历史,而我国才在上海进行试点。我国的信用体系发育程度低,许多企业不愿采取客户提出的信用结算交易方式,而是向现金交易、以货易货等更原始的方式发展。互联网具有充分开放、管理松散和不设防护等特点。1、网上交易、支付的双方互不见面,交易的真实性不容易考察和验证,对社会信用的高要求也就迫使我们应尽快建立和完善社会信用体系,以支持网络经济的健康发展。2、在网络经济中,获取信息的速度和对信息的优化配置将成为银行信用的一个重要方面。目前,商业银行网上支付系统各自为政,企业及个人客户资信零散不全,有关信息资源不能共享,其整体优势没有显现出来。3、海关、税务、交通等与电子支付相关部门的网络化水平未能与银行网络化配套,制约了网络银行业务的发展。
四、我国网络银行监管对策
(一)完善与网络银行相关的法律法规,规范网络银行经营行为。由于我国现行监管规则不能完全涵盖网络业务方面,扩充和修改现有监管规则已经成为当务之急,不但要从刑法的角度对犯罪进行严惩,在民法方面,也要进行界定。还要对未来发展情况进行预测,分析可能出现的问题,进行先行立法保护。中央银行应积极参与制定“电子商务法”等法规,为网络银行的运营提供规范。同时,还应努力推动对《中国人民银行法》、《商业银行法》、《合同法》等法规的完善工作,补充有关网络银行的条款。主要应在电子商务安全交易、网上知识产权保护、数据保护、公共信息资源管理、网络管理以及网上交易的税收问题、关税问题、网上金融活动、保险活动方面做出相应的法律规定。对网络银行交易中发生的各种社会关系加以调整,充分保护银行、客户的合法权益,应以完善的法律条文对利用电脑在网上银行实施犯罪行为的犯罪分子进行严惩,使网络银行沿着法制轨道健康发展。还要重视与有关国际法规(如联合国国际贸易法律委员会制定的《电子商务示范法》)的协调,做好与有关国际惯例的衔接,并积极参与有关国际标准的制定工作,为网络银行的发展创造良好的法律环境。
(二)建立专门网络银行监管机构,提高金融监管效率。在防止利用网络银行进行金融欺诈方面,我国一直把监控重点放在对个人服务的零售业务上,随着网络银行业务的不断拓展,应适时调整监管对象,对登录网络银行的企业加强监控,尤其应对巨额资金大进大出的贸易背景进行监控。按照巴塞尔协议监管核心原则和《关于洗钱、扣押、没收犯罪所得公约》等国际条约,网络银行应进行交易跟踪,通过数据挖掘软件,对可疑的资金交易进行分析,必要时介入调查,防范利用网络银行进行非法资金交易。而我国目前对网络银行的监管仍然有传统的监管部门负责,还没有非现场检查等监管措施。随着我国网络银行的不断发展,应借鉴国外先进经验,成立专门机构,专司网络银行监管职责。
(三)强化网上银行业务审批制度。审批制度对提高银行业整体风险管理能力、防止盲目扩张具有积极的现实意义。目前,我国银行开办的网上银行业务,大部分是在网上提供传统银行业务,但因业务载体发生了变化,风险的内涵和表现形式也相应发生变化,似应视为新业务品种。因此,商业银行开办网上银行业务应获得人行的批准,在审批中应予以优先考虑:1、遵循审慎性原则。必须严格监督网络银行公示、信息、交易风险揭示、系统安全机制设计等制度性安排。对于设备装备、技术投入、系统应用等技术性标准,宜采用较为灵活、宽松的策略。2、要求网络银行具有较为完备的风险识别、鉴定、管理、处置方案和计划,应急处理措施及辅助替代手段等。3、严格跨境业务管理。这既与我国目前的监管水平、外汇制度相适应,也为网络银行将来的发展提供了一个公平的竞争环境。
(四)增强银行监管部门的技术水平,加紧培养技术人才。网络银行业务是信息技术的产物,要求监管机构也应有相应的技术能力。而我国银行整体的电子信息技术落后,网络设施薄弱。所以我国银行业应加快引进和开发先进的网络技术,大力发展网上银行的三大核心技术:Web技术、建立服务平台技术、安全保密技术。在硬件方面,要大力研发功能强大的服务器、有指纹鉴定功能的自动柜员机、可擦写的智能钱夹等先进设备。在软件方面,要大力研发网络安全系统、语音鉴别系统、电子转账系统、智能卡识别系统、管理信息系统等众多软件系统集成。一方面我国银行业必须进一步加大对网络技术引进和研发的投资力度,尽快抢占新经济、新技术的制高点;另一方面要积极培养适应网络银行发展需要的高素质人才。其中,最需要补充的人才是:有战略眼光的高级管理人才、有金融知识的科技专才、有较强数理及财务分析、运用能力的人才。网络银行建设需要一批既掌握计算机技术、网络技术、通信技术,又掌握金融实务和管理知识的复合型高级技术人才和管理人才。各大商业银行应该着眼未来,认真考虑这些人才的培养渠道、培养方式,为增强我国网络银行的竞争力积蓄力量。
(五)建立强制信息披露制度。就监管而言,信息披露是一个很重要的环节,网络银行诸多特性加大了监管当局稽核审查的难度,导致外部公众难以全面真实地了解网络银行的经营情况。为了一方面促进网络银行的经营者提高经营管理水平,另一方面加强公众的金融网络意识,提高人们对网络银行的信任度,建立强制性信息披露制度尤其重要。我国网络银行应该制定比传统银行更为严格的信息披露规则,遵循“公开、公平、公正”的原则,定期在其网站上向社会经注册会计师审计过的经营活动和财务状况信息,不断提高信息披露的质量。
篇9
[关键词]网络银行;风险;防范
我国网络银行除了具有传统银行的流动性风险、利率风险、结算风险、道德风险、新金融工具风险外,还增加了一些网络环境下的新风险。
一、我国网络银行面临的风险
1.系统风险
(1)操作系统风险。操作系统是作为计算机资源的直接管理者,它直接和硬件打交道并为用户提供接口,是计算机系统能够正常、安全运行的基础。Windows操作系统存在许多安全漏洞,UNIX操作系统是一个开放的系统,源代码已公开。根据美、荷、法、德、英、加共同制定的通用安全评价标准《CommonCriteriaforITSecurityEvaluation(简称CC标准)》,微软的Windows操作系统、大部分的UNIX操作系统其安全性仅达到C2级安全,而网络银行的操作系统的安全级别应至少达到B级。
(2)应用系统风险。网络业务系统设计存在漏洞。目前,网络应用软件存在以下安全漏洞:无效参数、失效的访问控制、失效的账户、跨站点脚本漏洞、缓冲溢出、命令注入漏洞、错误处理问题、密码系统的非安全利用、远程管理漏洞、网络及应用软件服务器错误配置。
在设计过程中,只重视“计算机如何完成任务”方面的设计,对运行过程中的程序控制或检查考虑不全面,系统没有为审计留下接口,难以进行实时审计。
(3)数据存储风险。数据存取、保密、硬盘损坏导致的风险。
(4)数据传输风险。数据传输过程中被窃取、修改等风险。
2.操作风险
网络银行操作风险是指由于网络银行中的内部程序、人员、系统的不完善或失误,以及外部事件而导致网络银行直接或间接损失的风险。产生操作风险的原因有以下几点:
(1)网络银行操作风险意识淡薄。
(2)组织机构职责不清。
(3)内控制度不健全或执行不力。
(4)没有适合的网络银行稽核审计部门。
3.信用风险
网络银行的信用风险主要表现为客户在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡来欺骗银行。
4.信息不对称风险
信息不对称表现在两个方面,一方面是由于网络银行无法得到足够客户信息,另一方面是由于客户无法得到有关网络银行的足够信息。信息不对称使得网上客户更容易隐蔽他们的信息和行动,做出对自己有利而对网络银行不利的行为,也使得客户不能正确评价网络银行的优劣。
5.法律风险
我国对网络银行和网上交易缺乏相应的法规。如:如何征收与管理网上税收、数字签名是否具有法律效力、交易的跨国界问题、知识产权问题、电子合同问题、电子货币问题、电子转账问题。
二、我国网络银行风险防范对策
1.系统风险的防范
(1)物理安全。主要指对计算机设备场地、计算机系统、网络设备、密钥等关键设备的安全防卫措施。为了防止电磁泄露,要对电源线和信号线加装滤波器,减少传输阻抗和导线间的交叉耦合,同时对辐射进行防护。
(2)应用安全操作系统技术。安全操作系统不仅可以防范黑客利用操作系统平台本身的漏洞来攻击网络银行交易系统,而且它还可以在一定程度上屏蔽掉应用软件系统的某些安全漏洞。美国先后开发了各种级别的安全操作系统,其中作为商用的有DataGeneral公司的DGUXB1/B2安全操作系统,HP公司的HPUXCMWB1级安全操作系统等。国内各大科研机构及公司也研制出高安全级别的操作系统,如:中科院信息安全工程研究中心研制的SECLINUX安全操作系统、中软总公司研制的COSIXLINUX系统。目前,中国建设银行的网络银行系统建立在安全操作系统平台之上,该系统基于HP9000硬件平台,采用HP公司的B1级安全操作系统。
(3)数据通信加密技术的应用。对传输中的数据流进行加密,按实现加密的通信层次可分为链路加密、节点加密、端到端加密。在链路数较多以及对流量分析要求不高的情况下,适合采用“端到端加密”方式。在对流量分析要求较高的情况下,可采用“链路加密”与“端到端加密”相结合的方式:用“链路加密”对报文的报头进行加密,防止进行流量分析,再用“端到端加密”对传送的报文进行加密保护。
对数据进行加密的算法主要有DES和RSA两种。DES属于私钥加密体制(又称对称加密体制),它的优点是加、解密速度快,算法容易实现,安全性好,缺点是密钥管理不方便。RSA属于公钥加密体制(又称非对称加密体制),它的优点是安全性好,网络中容易实现密钥管理。因此可以采用将DES和RSA相结合的综合加密体制:用DES算法对数据进行加密,用RSA算法对密钥进行加密。
(4)应用系统安全。应用系统安全主要包括对交易双方的身份确认和对交易的确认。在网络银行系统中,用户的身份认证依靠数字签名机制和登录密码双重检验,将来还可以通过自动指纹认证系统进行身份认证。数字签名还确保了客户提交的交易指令的不可否认性。公钥基础设施——PKI(PublicKeyInfrastructure)是解决大规模网络环境中信任和加密问题的很好的解决方案。同时采用安全电子交易协议,目前主要的协议标准有:安全超文本传输协议(S-HTTP)、安全套接层协议(SSL)、安全交易技术协议(STT)、安全电子交易协议(SET),其中SET涵盖了信用卡的交易协定、信息保密、资料完整及数据认证、数字签名等,已经成为事实上的工业标准。
加强应用系统开发过程的审计,应用系统运行过程中的实时审计。
(5)应用数据库安全技术。应用存取控制技术、数据加密技术、硬盘分区防护技术、数据库的安全审计技术、故障恢复技术等。
(6)应用防火墙安全技术。建立综合计算机病毒检测技术、服务技术和包过滤技术的第四代防火墙,提供DES加密、支持链路加密或虚拟专网、病毒扫描等安全服务,并具有实时报告、实时监控、记录非法登录、统计分析等功能。设置放火墙时要截止所有从135到142的TCP和UDP连接,改变默认配置端口,拒绝PING信息包,通过设置ACCESSLIST的过滤规则来实现包过滤功能。采用防火墙双机冷备份策略。进行入侵检测和定期漏洞扫描。
2.操作风险的防范
操作风险主要来自银行内部,应完善网络银行的内部控制制度,建立科学的操作规范,严格内部制约机制,将不相容职务如管理员与经办员分离、程序员与操作员分离、制作者与执行者分离,对主管和操作员实行IC卡身份鉴别,并同时加口令,任何进入系统的操作必须有日志记载。
建立操作风险管理中心,对员工进行防范操作风险的技术培训,监督各项操作风险管理制度的执行情况,对网络银行的操作风险进行评估,并采取相应措施。建立操作风险应急反应中心,对业务的影响因素进行研究,识别出可能导致业务中止的情况,系统的备份及定期测试公司的灾难应急计划,对出现的安全问题提供技术支援和解决方案。使用保险来抵补那些“低频率、高危害”的操作风险。建立操作风险审计中心,对全部的网络银行业务实时监控、网络扫描,并利用审计记录,对业务操作人员和计算机系统管理人员进行稽核。
来自外部的操作风险,尤其是网络银行金融欺诈方面,不但要对个人服务的零售业务进行监控,还要加强对登录网络银行的企业加强监控,通过数据挖掘软件对可疑资金交易进行分析,防范利用网络进行非法资金交易。
3.信用风险的防范
建立全国性的用户信用管理信息系统,将用户划分为不同的信用等级,针对不同等级的用户采取不同的管理措施。应共享客户资料信息库,与其他商业银行、保险公司等非银行金融机构、世界各银行等金融机构合作,及时将客户的守信情况和违约情况记录入库。
4.信息不对称风险的防范
建立信息披露制度,强化信息披露的质量。应定期经注册会计师审计的关于网络银行经营活动和财务状况的公允信息,披露有关网络银行风险的大小和网络银行为了规避风险而采取的措施以及消费者权益保护的信息。建立社会监管体系,网络银行之间进行相互监督。
5.法律风险的防范
应充分利用和执行《网络银行业务管理暂行办法》,应充分利用《合同法》、《会计法》、《票据法》、《支付结算办法》等法律拟订网络银行相关协议,制定有关业务流程和业务处理规定,应充分利用目前执行的关于网络安全方面的行政法规,如《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》等,充分利用中国金融认证中心在认证技术方面的权威性和第三方认证的合理性。网络银行应注重交易数据的保管,为可能的纠纷或诉讼过程做好证据准备。
建立网络银行法律监管体系,制定网络银行的外部惩罚措施以及网络银行的市场退出机制。建立网络银行业务运营法律体系,如建立《电子银行法》、《电子签名法》、《电子资金划拨法》等法律法规,同时对已有法律法规进行充实、修改。完善网络银行配套法律法规建设,主要有税收征管法、国际税收法、电子商务法、刑法、诉讼法、票据法、证券法、商业银行法、消费者权益保护法、反不正当竞争法等相关法律法规。加强与国际立法、司法实践的交流与合作,加大打击网上洗钱、网上盗窃等电子犯罪的力度。
主要参考文献
[1]周慧.商业银行电子化的风险控制[J].金融与保险,2003,(9).
[2]乔立新,袁爱玲,冯英俊.建立网络银行操作风险内部控制系统
的策略[J].商业研究,2003,(8).
[3]刘昊.论我国网络银行的风险及其控制[J].新金融,2003,(1).
篇10
【关键词】 网络审计;信息共享;无纸化审计
网络审计作为新兴的审计形式,无论在理论上还是实践上都使传统审计发生了重大变革。网络审计在便利工作、准确高效和节约精力的同时,也面临着很多问题和风险。网络审计的全面推行和实施将是时代的必然。
一、网络审计的优势
随着网络技术在会计和审计信息管理中应用的不断深入,审计信息将提供更加专业化、准确化和智能化的服务,可以解决审计信息的海量存储、智能检索、高度共享等问题,对审计信息管理将产生变革性的影响。它与传统审计相比,除了具有便捷、隐秘、准确高效和多单位联合作业的协调等优势以外,还具有以下方面的优势:
(一)信息资源的充分共享
在实施审计过程中,计算机网络通过数据传输和数据交换网,利用通讯技术将不同地区的计算机连接在一起组成一个有机信息系统,其最大的特点是信息共享性。随着整个世界经济国际化进程的加速,我国企业与世界上不同国家与地区间的贸易来往愈来愈频繁,投资者、债权人及其他相关主体往往分布在世界不同国家与地区。因此,审计信息和审计报告是他们进行理性决策的必要信息资源。在网络环境下,审计信息可以充分共享,这样可以大大提高审计信息的使用效率。
(二)提供智能化服务
网络环境下,审计人员可以充分利用网络所特有的先进电子服务技术,查找跟踪各网络网站的审计数据资料,充分利用Web共享这些数据信息资源。网络审计所提供的智能化服务,是面向客户的智能化服务。同时在遇到难以解决、难以形成定论的问题时,也可以邀请国内外审计专家进行网上会议,共同寻找克服难点的途径,以保证给客户提供最完美、最优质的审计服务。
(三)大幅度降低费用
在网络环境下,审计领域节约的有关交易费用主要表现在以下几个方面:节约了有关搜寻审计信息、审计证据的长话、电传以及审计资料传递的邮递费,所有的一切工作都在网上进行;减轻了审计人员对审计信息的搜寻、整理、等待成本以及与其他单位、个人的联络费用;节约了有关审计人员的人力,减轻了劳动强度,节约了发生在审计工作中的能源、资源包括商品流、信息流、资金流、人员流的消耗。
(四)提供实时审计服务
在网络环境下,审计部门随时对企业进行审查,及时收集掌握被审计单位的最新会计信息和有关经济业务信息,并向有关各方,审计的时效性大大提高。审计从事后审计转变为实时审计,并从静态走向动态。
二、网络审计所面临的问题
(一)网络审计理论研究不足
在我国,网络在企业管理中的推广应用才刚刚开始,较大型的系统还不多。人们对网络财务及其网络审计的认识还较模糊,网络审计理论研究尚处于初级阶段。从发表在各种专业杂志上的有关网络审计方面的论文看,涉及网络审计理论研究的文章并不多,而市场上相关的各种审计软件不断出现,网络审计的理论研究和实践出现了不平衡的局面,网络审计软件将会因为缺乏理论的指导,重复会计软件开发初期时的老路,误入歧途,多走弯路。
(二)网络审计的相关法律和审计准则不完善
在网络时代,社会的信息化加大了社会的不确定性,而法律对规范社会经济的运作、控制社会经济秩序具有不可替代的作用,尤其在网络经济环境下,法律的重要性更为突出。网络审计作为一个维护社会经济秩序并服务于经济领域的中介活动,迫切需要一套符合自身发展规律的法律来规范,建立起一套能规范网络审计的审计准则,作为维护经济秩序的法律屏障。
美、日、英等国都制定了有关计算机审计的审计准则。国际审计准则中,对此也有专门计算机审计的范围、目标、程序、技术及方法。我国的《中国注册会计师独立审计准则》中也有涉及到计算机辅助审计的内容,但针对网络经济时代下日益发展的电子商务系统及随之而出现的一系列新的问题,旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络经济时代的审计实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。
(三)网络审计软件不完善
目前,我国通用的高水平的审计软件还很缺乏,主要原因是财务软件在设计时大多没有考虑专用的审计软件接口,使得在财务软件中嵌入适时跟踪监控的审计程序难以实现,使审计人员采集数据出现一定困难。我国现有的审计软件大多处于仅满足穿过计算机进行审计的阶段,现场审计和小规模的会计师事务所后期报告的制作几乎还在依赖于手工操作,规模较大的一些会计师事务所开始利用VB,VC开发更为自动化的审计系统软件。
(四)网络审计面临新的审计风险
1. 网络安全的风险。网络安全问题带来的风险不仅表现在被审计企业在审计后发出的报表可能受到恶意攻击,而且还表现在网络本身对外界的高度依赖性,比如,突然断电对电脑的影响和电脑数据的保存、计算机病毒的破坏、人为的毁损等异常情况等,会导致网络审计系统的数据与信息丢失。
2. 审计动态取证的风险。在网络环境下,企业几乎所有的业务信息和财务信息都通过网络传输,业务活动的数据处理都是实时的,审计人员要完成审计取证工作的同时又不能妨碍和终止被审计单位会计信息系统的运作。而在系统运作过程当中,进行取证,本身就难度很大,同时这部分无纸化审计线索的真实性、完整性、可靠性也难以保证,从而加大了审计风险。
3.传统审计线索消失的风险。在传统审计中,审计证据都以纸介质的形式保存,审计线索十分清楚。而在网络审计中,所有的审计证据都存储在磁介质上,这些在磁介质上的信息是机器可读的,肉眼不能识别。存储在磁性介质上的无纸化审计线索存在容易被修改、删改、隐匿、转移,又无明显痕迹。这些都将使审计证据的真实性、完整性和可靠性大打折扣,这势必会加大审计风险。
(五)审计人员计算机知识的缺乏
目前,我国审计人员中,能从事网络审计的人员不论在数量上还是在质量上都有较大差距,审计人员由于不懂网络经营与网络会计的特点,不能识别审查和评价企业的风险与内部控制,难以对复杂的网络会计系统进行正确有效的评价,越来越多的审计工作依赖于不懂审计的计算机专家。这样,审计人员的独立性、客观公正性将会受到威胁。同时,在审计软件的开发上,要求开发人员既有计算机软件的开发能力又有熟练的审计流程知识。因此,我国迫切需要培养一批既懂网络技术又懂审计、会计的复合型人才,各高校应对此引起高度的重视。
三、对策建议
(一)建立网络审计理论体系
网络审计理论的建立不仅是传统审计理论的一大飞跃,而且有利于网络经济的健康发展。当然,理论的形成并不是实践的简单堆砌,而是需要一种理性的思维去引导实践。因此,建立较完善的、全新的网络审计理论体系是非常重要的,审计人员和有关人员应该加强这一领域的研究。
(二)加强网络审计相关的立法和审计准则
网络的出现和广泛应用对传统审计产生了强烈的冲击。旧有的审计标准准则体系和法律法规体系已不能完全适应、指导和规范网络审计的实践。网络本身的虚拟性、实时性、广泛性要求比传统审计更加切实可行、更加完备的标准准则和法律法规的保证。如对网络审计人员的一般要求,网络系统安全可靠性评价标准等。
美国的信息产业部在构建互联网络法律框架时指出,网络立法应涉及9方面:1.身份认证与安全;2.消费者中心;3.内容与商业通信;4.信息基础设施(包括可互操作性和互联网管理);5.知识产权保护;6.司法管辖权;7.责任;8.保护个人数据;9.税赋。总之,我国要建立起适应网络审计发展的良好的法律环境,使得网上交易的法律体系与国际框架基本保持一致。
(三)加快通用的审计软件的开发
为适应会计信息化的发展,提高审计工作的效率,应组织力量加快开发会计信息化环境下的审计软件,包括通用性好、实用性强、涵盖项目管理、审计计划、数据转换、符合性测试、实质性测试、合并会计报表、审计工作底稿制作、会计报告的生成等全程一体化的审计软件。从实际情况和科学性来说,最好选择财务软件公司,它在财务软件制作方面的经验有利于网络审计测试软件的开发。软件开发时应考虑重新生成审计线索,如:财务软件里增加“有痕迹”的修改操作功能,就可重建审计线索,可为审计人员提供可信的证据。
(四)加强网络审计风险控制
为了有效地降低网络审计风险,就必须采取相应的防范和控制措施,具体表现为:
1. 对相关网络系统进行实时跟踪。首先,对被审计单位的网络系统进行评价,并利用专用的对比软件,将存放于数据库不同地址的同一种数据进行自动比较,以形成相应的记录文件,并对有差异的文件数据进行详细审查;其次,对被审计单位的自动检测数据库软件和恢复软件进行审查和评价;最后,要对被审计单位的异常贸易,通过网络进行预警提示,以降低审计风险。
2. 加强对网络系统的安全性和保密性。在网络审计系统中,一方面要满足系统开放性的要求;另一方面又必须保证系统的安全保密性。如何处理好这两个方面的关系,是网络审计信息系统设计成败的关键。由于网络审计系统是建立在Internet环境下的信息系统,其开放性无疑会得到满足,现在困难的是如何保证系统的安全性。目前,从技术上讲有这么一些措施:
(1)物理保护:物理保护主要是针对网络系统的结构与硬件设备所实施的保护措施。(2)防火墙技术:防火墙控制技术是指在审计网络与外部环境之间建立一种隔离“屏障”,它一方面能够保证在CPA审计网络与外部环境(Internet)之间进行通畅的信息交流,另一方面,授权的用户可登录进入CPA网络审计系统,从而保证审计数据的安全性与保密性。(3)反病毒:审计软件可以挂接反病毒软件,如对电子邮件、文件传输FTP、网络面程序,甚至对文档中存在的病毒进行防范和查杀。(4)网络端口保护:通常对CPA审计系统的网络端口的保护可分为单端保护和双端保护,包括主机端保护和用户端保护,包括用户验证和终端验证。
3. 审计人员参与网络财务软件的评审。为了有效地防范审计检查风险和审计控制风险,审计人员应参与网络财务软件的评审。只有对网络财务软件在进入销售市场之前进行事前审计,才能从整体上减轻审计人员的劳动强度,提高审计工作效率,为事中审计和事后审计打下良好基础。
4. 充分利用计算机审计软件进行辅助审计。审计人员在实施审计的过程中,应根据网络“即时互动”的特点,充分利用通用的或专用的计算机审计软件,有效地降低审计风险:(1)利用审计法规合法性与合规性进行全面检查;(2)利用审计专家咨询软件对特定审计事项进行重点会诊,以减少审计误差;(3)利用审计接口软件获取充分、适当的审计证据,减少审计的固有风险和控制风险。
(五)大力培养网络审计人才
拥有大批精通网络、计算机及审计业务的审计人员队伍是网络审计能否得以实施的关键。网络审计已远远超出了计算机和局域网操作的范畴,计算机与网络专家、信息系统与电子商务专家对网络审计参与将是必然趋势。
针对网络审计对人才的挑战,一般可以尝试以下解决方法:1.系统学习审计风险方面的理论知识,掌握新的审计方法。重视从审计立项到审计结论的每一个步骤,并采取相应的风险防范措施,使每一个环节的风险减少到最低程度。2.更新审计监督观念。入世后,审计监督的重点应从有形资产审计转移到无形资产审计,重视管理方面和社会效益的审计,强化高新技术产业的审计,并促使其快速成长。3.树立竞争观念,培养创新意识。知识经济条件下,科学信息化技术对经济的促进作用进一步加强,应提高审计人员对信息经济的认识,树立面向经济的竞争观念。改革教育和培训模式,提高审计人员的素质和业务水平。
【主要参考文献】
[1] 刘剑民,周咏梅. 网络审计发展中的问题与建议[J].财会通讯,2005, ( 5 ).
[2] 王风化,李金克. 网络审计风险的防范[J].
中国管理信息化,2007, ( 3 ).
[3] 文英. 网络经济环境下网络审计的研究[J]. 经济师,2004, ( 3 ).
