您的位置:正保會(huì)計(jì)網(wǎng)校 301 Moved Permanently

301 Moved Permanently


nginx
 > 正文

如何控制會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)

2010-09-06 13:57 來源:商貴平

  簡介: 會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)包括系統(tǒng)故障風(fēng)險(xiǎn)、內(nèi)部人員的道德風(fēng)險(xiǎn)、非法侵?jǐn)_風(fēng)險(xiǎn)等五大風(fēng)險(xiǎn),加強(qiáng)對會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)控制的辦法是堅(jiān)持系統(tǒng)開發(fā)的控制,定制″防護(hù)套裝″;建立網(wǎng)上公證三方牽制,開發(fā)″第三只眼睛″;實(shí)行監(jiān)控與操作分離,增強(qiáng)內(nèi)部牽制;拓展在線測試功能,健全漏洞監(jiān)測系統(tǒng)。

  在全球網(wǎng)絡(luò)化的熱潮中,國內(nèi)外的會(huì)計(jì)(管理)軟件公司紛紛推出基于互聯(lián)網(wǎng)的會(huì)計(jì)信息系統(tǒng)。原來封閉的局域網(wǎng)會(huì)計(jì)信息系統(tǒng)被推向開放的互聯(lián)網(wǎng)世界后,一方面給企業(yè)帶來了會(huì)計(jì)與業(yè)務(wù)一體化處理和實(shí)時(shí)監(jiān)控的方便,但同時(shí)也向會(huì)計(jì)信息系統(tǒng)的安全提出了嚴(yán)重挑戰(zhàn)。

  綜合來看,會(huì)計(jì)信息系統(tǒng)存在以下幾個(gè)方面的風(fēng)險(xiǎn)。

  第一,系統(tǒng)故障風(fēng)險(xiǎn)。任何計(jì)算機(jī)系統(tǒng)都存在著由于操作失誤,以及硬件、軟件、網(wǎng)絡(luò)本身出現(xiàn)故障導(dǎo)致系統(tǒng)數(shù)據(jù)丟失甚至癱瘓的風(fēng)險(xiǎn),并且在內(nèi)聯(lián)網(wǎng)結(jié)構(gòu)的會(huì)計(jì)信息系統(tǒng)中,由于其開放性、遠(yuǎn)程實(shí)時(shí)處理的特點(diǎn),系統(tǒng)的一致性、可控性降低,一旦出現(xiàn)故障,影響面更廣,數(shù)據(jù)的一致性保障更難,系統(tǒng)恢復(fù)處理的成本更高。

  第二,內(nèi)部人員的道德風(fēng)險(xiǎn)。主要指企業(yè)內(nèi)部人員對會(huì)計(jì)數(shù)據(jù)的非法訪問、篡改、泄密和破壞等方面的風(fēng)險(xiǎn)。網(wǎng)絡(luò)安全的最大風(fēng)險(xiǎn)仍然來自于組織內(nèi)部,據(jù)統(tǒng)計(jì),大部分的非法闖入者來自于內(nèi)部雇員。

  第三,非法侵?jǐn)_風(fēng)險(xiǎn)。網(wǎng)絡(luò)環(huán)境里的會(huì)計(jì)信息系統(tǒng)很有可能遭受不法分子的非法訪問甚至黑客或病毒的侵?jǐn)_。這是目前媒體報(bào)道最多的風(fēng)險(xiǎn)類型。這種攻擊可能來自于系統(tǒng)外部,也可能來自系統(tǒng)內(nèi)部,而且一旦發(fā)生將造成巨大的損失。

  第四,系統(tǒng)關(guān)聯(lián)方道德風(fēng)險(xiǎn)。主要指關(guān)聯(lián)方非法侵入企業(yè)內(nèi)聯(lián)網(wǎng),盜竊財(cái)務(wù)數(shù)據(jù)和知識產(chǎn)權(quán)、破壞系統(tǒng)、攪亂某項(xiàng)特定交易或事業(yè)等所產(chǎn)生的風(fēng)險(xiǎn)。在互聯(lián)網(wǎng)環(huán)境下,為適應(yīng)競爭發(fā)展需要,企業(yè)與關(guān)聯(lián)方需要建立統(tǒng)一的外聯(lián)網(wǎng)。在外聯(lián)網(wǎng)內(nèi),企業(yè)之間的數(shù)據(jù)查詢、數(shù)據(jù)交換、服務(wù)技術(shù)可通過互聯(lián)網(wǎng)實(shí)現(xiàn),也可通過虛擬專用網(wǎng)實(shí)現(xiàn)。特殊的內(nèi)部聯(lián)系也使道德風(fēng)險(xiǎn)的發(fā)生成為可能,尤其像軟件供應(yīng)商或開發(fā)商這樣的關(guān)聯(lián)方,由于其對企業(yè)內(nèi)聯(lián)網(wǎng)的控制結(jié)構(gòu)一清二楚,企業(yè)在接受網(wǎng)上技術(shù)支持和維護(hù)的同時(shí),實(shí)際上也向?qū)Ψ匠ㄩ_了系統(tǒng)控制的大門。

  第五,電子商務(wù)也給內(nèi)部控制增加難題。隨著電子商務(wù)的迅猛發(fā)展,網(wǎng)上交易愈加普遍,可以想象,在不久后企業(yè)的全部原始憑證都將成為數(shù)字格式,這加強(qiáng)了企業(yè)對網(wǎng)上公證機(jī)構(gòu)的依賴。但直到目前,相應(yīng)的技術(shù)和法規(guī)還遠(yuǎn)沒有完善,這也給系統(tǒng)的內(nèi)部控制造成困難。

  針對這些問題,我們可以從以下幾方面來加強(qiáng)對會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)控制。

  第一,堅(jiān)持系統(tǒng)開發(fā)的控制,定制“防護(hù)套裝”。系統(tǒng)開發(fā)控制應(yīng)該貫穿于系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施和系統(tǒng)運(yùn)作測試與維護(hù)的各個(gè)階段。系統(tǒng)開發(fā)控制是一種預(yù)防性控制,目的是確保會(huì)計(jì)信息系統(tǒng)開發(fā)過程及其內(nèi)容符合內(nèi)部控制的要求;诨ヂ(lián)網(wǎng)會(huì)計(jì)信息系統(tǒng)的開發(fā),必須把會(huì)計(jì)控制功能全面融入系統(tǒng)邏輯模型中。在軟件開發(fā)的前期,內(nèi)審和風(fēng)險(xiǎn)管理人員要參與系統(tǒng)控制功能的研究與設(shè)計(jì),在軟件開發(fā)及測試階段加強(qiáng)監(jiān)督,確保所有既定控制功能在系統(tǒng)中得以有效的實(shí)現(xiàn)。

  第二,建立網(wǎng)上公證三方牽制,開發(fā)“第三只眼睛”。由于網(wǎng)絡(luò)環(huán)境下原始憑證仍然使用數(shù)字方式進(jìn)行存儲,所以也不能像手工系統(tǒng)那樣對每一張憑證作痕跡檢查。可是利用網(wǎng)絡(luò)所特有的實(shí)時(shí)傳輸功能和日益豐富的互聯(lián)網(wǎng)服務(wù)項(xiàng)目,我們可以實(shí)現(xiàn)原始憑證的第三方監(jiān)控,即網(wǎng)上公證。

  第三,實(shí)行監(jiān)控與操作分離,增強(qiáng)內(nèi)部牽制。會(huì)計(jì)信息系統(tǒng)的內(nèi)部牽制沒有手工系統(tǒng)完善,但是從另一角度看,手工系統(tǒng)下的多方牽制也不是一個(gè)成熟的牽制方法,只是通過多人的重復(fù)勞動(dòng)實(shí)現(xiàn)牽制。一個(gè)比較有效的辦法是在會(huì)計(jì)信息系統(tǒng)中分出操作和監(jiān)控兩個(gè)崗位,對每一筆業(yè)務(wù)同時(shí)進(jìn)行多方備份。當(dāng)會(huì)計(jì)人員進(jìn)行多方處理時(shí),其操作和數(shù)據(jù)也被同步記錄在監(jiān)控人員的機(jī)器上,由監(jiān)控人員進(jìn)行即時(shí)或定期審查,一旦出現(xiàn)數(shù)據(jù)不一致便進(jìn)行深入調(diào)查。這樣明確了崗位的劃分,實(shí)現(xiàn)了有效牽制。

  第四,拓展在線測試功能,健全漏洞監(jiān)測系統(tǒng)。對于計(jì)算機(jī)軟件來說,其內(nèi)部錯(cuò)誤或不足是無法避免的。因此其解決方法只有兩個(gè):一是在開發(fā)過程中加強(qiáng)交流,充分測試。二是在發(fā)現(xiàn)問題時(shí)及時(shí)解決。

  網(wǎng)絡(luò)系統(tǒng)需要軟硬件安全控制。硬件安全控制主要涉及計(jì)算機(jī)機(jī)房環(huán)境和設(shè)備的技術(shù)安全要求,應(yīng)制定網(wǎng)絡(luò)計(jì)算機(jī)機(jī)房和設(shè)備的管理制度、崗位職責(zé)和操作規(guī)程,嚴(yán)禁無關(guān)人員接觸系統(tǒng),專機(jī)專用,關(guān)鍵性的硬件設(shè)備可采用雙系統(tǒng)備份;嚴(yán)格控制系統(tǒng)軟件的安裝與修改,對系統(tǒng)軟件進(jìn)行定期的預(yù)防性檢查,系統(tǒng)被破壞時(shí),要求系統(tǒng)軟件具有緊急響應(yīng)、強(qiáng)制備份、快速重構(gòu)和快速恢復(fù)的功能。

我要糾錯(cuò)】 責(zé)任編輯:冠