計算機的普及與網絡技術的飛速發(fā)展，使計算機會計信息系統(tǒng)在企業(yè)財務管理中發(fā)揮了日益重要的作用，但同時它也改變了傳統(tǒng)的會計信息處理方式和存儲方式，對會計信息的安全性提出了新的挑戰(zhàn)。如何在充分利用信息技術的同時，有效地規(guī)避信息系統(tǒng)帶來的風險，是目前面臨的一個亟待解決的問題。本文通過對部分實施會計信息化的企業(yè)進行充分調研，深入分析計算機會計信息系統(tǒng)存在的風險，并針對不同的風險提出相應的防范措施。

　　一、計算機會計信息系統(tǒng)的風險分析

　　在會計信息系統(tǒng)風險分析所進行調研的企業(yè)中，筆者發(fā)現(xiàn)，盡管每個企業(yè)實施會計信息化的程度不一樣，但存在的風險一般為以下四個方面：

　?。ㄒ唬┗A設施方面存在的風險主要包括：（1）計算機硬件風險。調研的樣本企業(yè)中，計算機會計信息系統(tǒng)的應用模式有單機和C/S兩種，兩者硬件都存在自身功能失效的可能，也會同時受到零組件性能的限制，令硬件出現(xiàn)壽命的限制性，如硬盤的損壞，突然斷電造成的主板和CPU的損害，受潮濕、磁化、輻射等各種物理損傷，這些破壞都能令工作受到嚴重的影響，導致計算機會計信息系統(tǒng)的工作混亂或會計數(shù)據毀損。（2）會計軟件開發(fā)設計方面的風險。計算機會計信息系統(tǒng)一般由會計軟件客戶端和后臺數(shù)據庫兩大部分構成。無論C/S架構、B/S架構還是單用戶系統(tǒng)都是如此，依靠人機界面和軟件客戶端將各種數(shù)據保存到數(shù)據庫中，再將需要的信息處理后反饋給用戶。因此計算機會計信息系統(tǒng)中至關重要的是數(shù)據庫控制和管理。我國目前使用的會計軟件中，有些對數(shù)據庫未采取任何的保護措施，有些雖然采取了措施，但比較薄弱或形同虛設。甚至有些會計軟件中的數(shù)據庫文件，往往能通過相應的數(shù)據庫管理系統(tǒng)打開，直接讀寫這些數(shù)據文件，并對文件中的數(shù)據直接進行增加、刪除及修改等操作。這些為系統(tǒng)管理和財務核算的安全留下重大的隱患。（3）網絡安全風險。計算機網絡的廣泛應用使各個孤立的計算機系統(tǒng)通過網絡連成一體。由于網絡所依托的1NTERNET/INTRANET體系使用的是開放式TCP/IP協(xié)議，雖然網絡技術不斷的提高，但網絡依然存在著安全漏洞，計算機安全漏洞已不斷地被人利用，嚴重威脅著會計數(shù)據的安全。無論是互聯(lián)網還是內聯(lián)網，網絡是一個開放的環(huán)境，在這個環(huán)境中一切信息在理論上都可以被訪問到?；ヂ?lián)網供應商（ISP）或企業(yè)以外的第三者均可以獲得有關公司的內部消息，而內聯(lián)網則是企業(yè)內部的網絡，企業(yè)內每個人都可接觸到。在計算機會計信息系統(tǒng)實際應用過程中，有相當數(shù)量的單位并不重視密碼，如有些單位所有人的密碼都是相同的；也不重視網絡安全管理，接人互聯(lián)網時不安裝防火墻；操作系統(tǒng)和數(shù)據系統(tǒng)出現(xiàn)安全漏洞時不及時升級等。

　?。ǘ┯嬎銠C病毒引起的風險在對企業(yè)調研的過程中發(fā)現(xiàn)，多數(shù)樣本企業(yè)都不同程度的受到過計算機病毒的侵害，病毒侵入的途徑主要有以下幾種：（1）從存儲介質侵入。經過對Windows98/2000/NT、Office2000、WPS以及網頁制作工具等盜版光盤進行計算機病毒測試表明，帶病毒文件多達三千多項，其中多種程序確實存在多種計算機病毒，包括CMOS-destroyer,bupt等引導性病毒、CIH病毒、“郵件炸彈”、宏病毒和特洛伊木馬黑客程序等。U盤和移動硬盤的普及使用也加大了病毒在計算機之間的傳播空間。（2）從內聯(lián)網侵入。內聯(lián)網上的郵件系統(tǒng)容易導致病毒大量傳播，而且內聯(lián)網絡上傳播的病毒普遍較新，新發(fā)現(xiàn)的病毒種類占多數(shù)。（3）從互聯(lián)網侵入。互聯(lián)網已經成為計算機病毒傳播最大的來源，無論是用戶在網上瀏覽，還是收發(fā)電子郵件、下載軟件，都很容易使計算機染上病毒。病毒的破壞性和傳播性強，并且具有潛伏性、隱藏性和可激發(fā)性。它不僅可以破壞系統(tǒng)的數(shù)據文件，嚴重的還能破壞硬件的正常運作，給會計信息的安全性帶來了極大的隱患。

　　（三）計算機舞弊引發(fā)的風險主要包括：（1）會計軟件功能的濫用。不少會計軟件開發(fā)公司為方便用戶糾正計算機會計信息系統(tǒng)核算中的差錯，在會計核算軟件中設置了“取消復核”、“取消記賬”、“取消結賬”等功能。這些功能的使用，給用戶提供了極大的便利，但同時也為制造虛假會計信息提供了方便。在計算機會計信息系統(tǒng)環(huán)境下，如果單位缺乏嚴格周密的內部控制制度，部分會計人員就會利用會計軟件提供的逆向操作功能來篡改會計數(shù)據，而不留下任何痕跡，給審計監(jiān)督工作和防范經濟犯罪增加了技術難度。另外，如果軟件功能使用不當，很可能導致單位整個財務系統(tǒng)的混亂。（2）直接操作數(shù)據庫進行造假。在計算機會計信息系統(tǒng)中的數(shù)據庫，從小型的DBASE、FOXPRO數(shù)據庫，到大型的ORACLE、SYBASE、DB2數(shù)據庫。數(shù)據庫本身都提供自帶的查詢修改程序。利用這些程序，不法分子根本不需利用會計軟件就可以完全控制和操作所有的數(shù)據。雖然一些數(shù)據庫系統(tǒng)提供了很豐富的數(shù)據安全措施，如口令、鑰匙卡，甚至電子簽名或指紋鑒別，但安全措施得不到重視，使得原本應嚴密保護的會計信息系統(tǒng)數(shù)據處在非常危險的情況中，也為會計造假提供了方便。（3）對輸入的會計信息直接造假。不法分子利用會計軟件本身的功能缺陷或系統(tǒng)管理上的疏忽，直接使用會計軟件導人虛假的數(shù)據或修改、刪除已經存在的正確數(shù)據。在計算機會計信息系統(tǒng)中，一旦輸入的初始數(shù)據是虛假的，以后處理環(huán)節(jié)即使再正確，也只能輸出虛假的處理結果。（4）計算機高級人員非法操作。計算機高級人員包括系統(tǒng)管理員、網絡管理員、系統(tǒng)操作員和網絡黑客等，他們通過木馬、后門進行非法操作，威脅單位會計數(shù)據的安全。

　　（四）內部控制存在的風險信息技術的發(fā)展使企業(yè)的內外部環(huán)境發(fā)生了很大的變化。（1）授權控制下降。在手工會計操作系統(tǒng)下，企業(yè)的每一項經濟業(yè)務中的每一個環(huán)節(jié)都可設置內部一系列相互聯(lián)系的授權批準程序，而在計算機會計信息系統(tǒng)下，這種授權可以僅憑一個密碼就能獲取。如果獲取密碼的手段是非法的，由此造成的內部控制失控將是一個重大的風險。（2）職責分離和監(jiān)督不規(guī)范。信息系統(tǒng)的開發(fā)、維護和操作等活動中存在的職責分離對信息系統(tǒng)的監(jiān)管格外重要。原來在手工環(huán)境下一些不相容的職責，在計算機中可以由一個程序模塊來執(zhí)行。此外，傳統(tǒng)的監(jiān)管手段也發(fā)生了變化。信息技術使某些員工的破壞能力增強，企業(yè)需要一批具有特殊技能的員工來開發(fā)、維護和操作信息系統(tǒng)。這類員工中的某些人可能對操作系統(tǒng)、應用程序和數(shù)據擁有特權，他們的失誤或者故意破壞具有突發(fā)性、毀滅性以及隱蔽性的特點，可以使企業(yè)的整個信息系統(tǒng)崩潰或業(yè)務發(fā)生中斷，給企業(yè)帶來的損失不可估量。（3）業(yè)務記錄效力降低。在計算機會計信息系統(tǒng)下，業(yè)務記錄的載體由紙質變成了磁質，傳統(tǒng)的紙質交易軌跡不復存在，取而代之的是數(shù)據庫記錄和操作日志等磁質記錄。同時，交易軌跡的法律效力也發(fā)生了變化。員工在紙質憑證上的簽字可以證明其確實對交易進行了授權或確認，但是磁質交易記錄上的操作員信息的法律效力卻受到系統(tǒng)的完整性、正確性和安全性的影響。

　　二、計算機會計信息系統(tǒng)風險的防范

　?。ㄒ唬┗A設施存在風險的防范主要包括：（1）硬件的風險防范。建立良好的運作環(huán)境，應將服務器放置在適當?shù)奈恢?，如遠離水源、安放在高地、置于有空氣調節(jié)的房間，以防止自然災害帶來的損失；計算機機房應充分滿足防火、防潮、防塵、防磁和防輻射及恒溫技術要求；機房出入口應安裝保安密碼門鎖及防衛(wèi)警報裝置。（2）完善會計軟件的功能。要促進計算機會計信息系統(tǒng)的發(fā)展，首要問題就是要加大軟件的開發(fā)力度，開發(fā)出比較完善的通用會計軟件。會計軟件開發(fā)人員應該深入研究國外優(yōu)秀的財務軟件，消化并吸收其精華的管理思想和設計思路。對于現(xiàn)有的會計軟件可以人為地通過數(shù)據庫系統(tǒng)直接操作數(shù)據這一問題，解決方法之一是在應用系統(tǒng)中設置文件修改檢查機制，文件一旦被修改，系統(tǒng)可以通過自身的測試檢測出來，并提醒用戶注意。另外一個解決方法是采取安全性較好的數(shù)據庫管理系統(tǒng)和操作系統(tǒng)開發(fā)平臺，充分利用系統(tǒng)本身提供的安全措施對數(shù)據加以保護。對一個具有良好安全性能的會計軟件而言，軟件系統(tǒng)的數(shù)據文件（包括備份出來的數(shù)據）有適當?shù)募用苁潜夭豢缮俚?。加密對象可以是整個數(shù)據庫、數(shù)據庫的某組記錄、某些字段或者某些數(shù)據元素等。（3）網絡安全措施。為了防止非法用戶和黑客侵入會計信息系統(tǒng)內部，可以通過設置防火墻，采用身份識別系統(tǒng)等技術防護措施，將非法用戶拒之網絡之外。對重要的商業(yè)秘密，可以在軟件中采取數(shù)據加密技術，這樣即使有人竊取了數(shù)據，由于沒有密鑰開啟也無法將數(shù)據還原成明文，保證了數(shù)據的安全。通過使用正確的資料加密方法，可以使外來的人無法識別數(shù)據，從而使截獲的會計數(shù)據失去價值，使篡改者與偽造者難以達到其目的。

　?。ǘ┯嬎銠C病毒引發(fā)風險的防范對于計算機病毒引發(fā)的風險，可以從以下幾方面進行防范：一是網絡與單機殺毒軟件相結合，重點防范郵件服務器。建立完善的防病毒體系，將網絡版殺毒軟件安裝在郵件服務器上，將所有計算機和NT服務器都安裝好單機版殺毒軟件，啟動實時監(jiān)控系統(tǒng)。二是對文件進行定期備份，至少每周殺毒一次，不要使用盜版軟件，確保網絡管理員賦予訪問者的權限在其工作范圍之內，拒絕任何不受限制的訪問。三是加強安全教育，提高認識，防患于未然。從加強管理人手，制定切實可行的管理措施，盡快建立快速預警機制，對重點對象加大檢查與清殺力度。健全并嚴格執(zhí)行防范病毒管理制度，具體包括：軟件、磁盤及計算機系統(tǒng)的使用和更新要通過計算機病毒檢測并專機專用；禁止在工作機上玩游戲；建立U盤管理制度，防止亂拷貝U盤；安裝防病毒卡和反病毒軟件；定期檢測并清除計算機病毒等。

　?。ㄈ┯嬎銠C舞弊引發(fā)風險的防范對計算機舞弊方面的風險的防范，最有效的措施是完善內部控制制度，設立合理、有效的管理制度并加以嚴格執(zhí)行。要在充分考慮信息安全需要的基礎上，決定系統(tǒng)中關鍵部分——數(shù)據庫系統(tǒng)和操作系統(tǒng)的選擇。針對不同企業(yè)對會計信息系統(tǒng)的不同安全性要求，選擇合適的操作系統(tǒng)平臺。在會計軟件的開發(fā)設計過程中，充分運用操作系統(tǒng)提供的信息安全技術，使信息安全從理論上的可能性變?yōu)楝F(xiàn)實。同時，要充分發(fā)揮審計人員的作用，在執(zhí)行審計工作的過程中查找計算機舞弊的痕跡。

　　（四）內部控制存在風險的防范主要包括：（1）建立有效的組織管理控制制度。計算機舞弊者大多是企業(yè)的程序員或計算機操作人員，因此，計算機會計信息系統(tǒng)要建立完善的人員職能控制制度，進行適當分工，明確規(guī)定每個崗位的職責，以防止對處理過程的不適當干預。企業(yè)應將系統(tǒng)分析、程序設計、計算機操作、文件程序管理等職務予以分離，系統(tǒng)操作人員、管理人員和維護人員這三種不相容職務相互分離、互不兼任，以減少利用計算機舞弊的可能性。（2）加強內部審計。內部審計是企業(yè)內部控制的主要組成部分，旨在對企業(yè)中的各種內部控制制度和各個職能部門所從事的各種業(yè)務活動進行獨立評價。在計算機會計信息系統(tǒng)下，獨立的內部審計機構應在信息系統(tǒng)的開發(fā)、維護過程中進行嚴格的審查，而且應定期檢查信息系統(tǒng)的處理過程。為了有效地監(jiān)控系統(tǒng)運行狀況，防止系統(tǒng)被侵犯，計算機會計信息系統(tǒng)中應設置系統(tǒng)安全性檢查程序，檢查系統(tǒng)的各種設置是否與上次運行結束時狀態(tài)一致。另外，程序中需設置一個歷史文件，該文件能夠自動記錄當天所有的操作過程，對所有的操作進行監(jiān)控記錄，從而確保所有操作活動都留下痕跡，便于以后追索。隨著信息技術的發(fā)展，能引發(fā)計算機會計信息系統(tǒng)風險的因素會更多也更復雜，因此計算機會計信息系統(tǒng)風險的防范將是一個長期的過程。不僅要從技術的角度出發(fā)，把計算機會計信息系統(tǒng)的安全性、可靠性寄托在網絡硬件產品和技術上，還要重視管理制度的建設。因為計算機系統(tǒng)的安全與否，主要取決于使用和接近計算機的人，因此管理比技術更重要。只有這樣才有可能最大限度地減少計算機會計信息系統(tǒng)的安全風險，把風險可能造成的影響和損失控制在最小程度。