计算机的普及与网络技术的飞速发展,使计算机会计信息系统在企业财务管理中发挥了日益重要的作用,但同时它也改变了传统的会计信息处理方式和存储方式,对会计信息的安全性提出了新的挑战。如何在充分利用信息技术的同时,有效地规避信息系统带来的风险,是目前面临的一个亟待解决的问题。本文通过对部分实施会计信息化的企业进行充分调研,深入分析计算机会计信息系统存在的风险,并针对不同的风险提出相应的防范措施。
在会计信息系统风险分析所进行调研的企业中,笔者发现,尽管每个企业实施会计信息化的程度不一样,但存在的风险一般为以下四个方面:
(一)基础设施方面存在的风险主要包括:(1)计算机硬件风险。调研的样本企业中,计算机会计信息系统的应用模式有单机和C/S两种,两者硬件都存在自身功能失效的可能,也会同时受到零组件性能的限制,令硬件出现寿命的限制性,如硬盘的损坏,突然断电造成的主板和CPU的损害,受潮湿、磁化、辐射等各种物理损伤,这些破坏都能令工作受到严重的影响,导致计算机会计信息系统的工作混乱或会计数据毁损。(2)会计软件开发设计方面的风险。计算机会计信息系统一般由会计软件客户端和后台数据库两大部分构成。无论C/S架构、B/S架构还是单用户系统都是如此,依靠人机界面和软件客户端将各种数据保存到数据库中,再将需要的信息处理后反馈给用户。因此计算机会计信息系统中至关重要的是数据库控制和管理。我国目前使用的会计软件中,有些对数据库未采取任何的保护措施,有些虽然采取了措施,但比较薄弱或形同虚设。甚至有些会计软件中的数据库文件,往往能通过相应的数据库管理系统打开,直接读写这些数据文件,并对文件中的数据直接进行增加、删除及修改等操作。这些为系统管理和财务核算的安全留下重大的隐患。(3)网络安全风险。计算机网络的广泛应用使各个孤立的计算机系统通过网络连成一体。由于网络所依托的1NTERNET/INTRANET体系使用的是开放式TCP/IP协议,虽然网络技术不断的提高,但网络依然存在着安全漏洞,计算机安全漏洞已不断地被人利用,严重威胁着会计数据的安全。无论是互联网还是内联网,网络是一个开放的环境,在这个环境中一切信息在理论上都可以被访问到。互联网供应商(ISP)或企业以外的第三者均可以获得有关公司的内部消息,而内联网则是企业内部的网络,企业内每个人都可接触到。在计算机会计信息系统实际应用过程中,有相当数量的单位并不重视密码,如有些单位所有人的密码都是相同的;也不重视网络安全管理,接人互联网时不安装防火墙;操作系统和数据系统出现安全漏洞时不及时升级等。
(二)计算机病毒引起的风险在对企业调研的过程中发现,多数样本企业都不同程度的受到过计算机病毒的侵害,病毒侵入的途径主要有以下几种:(1)从存储介质侵入。经过对Windows98/2000/NT、Office2000、WPS以及网页制作工具等盗版光盘进行计算机病毒测试表明,带病毒文件多达三千多项,其中多种程序确实存在多种计算机病毒,包括CMOS-destroyer,bupt等引导性病毒、CIH病毒、“邮件炸弹”、宏病毒和特洛伊木马黑客程序等。U盘和移动硬盘的普及使用也加大了病毒在计算机之间的传播空间。(2)从内联网侵入。内联网上的邮件系统容易导致病毒大量传播,而且内联网络上传播的病毒普遍较新,新发现的病毒种类占多数。(3)从互联网侵入。互联网已经成为计算机病毒传播最大的来源,无论是用户在网上浏览,还是收发电子邮件、下载软件,都很容易使计算机染上病毒。病毒的破坏性和传播性强,并且具有潜伏性、隐藏性和可激发性。它不仅可以破坏系统的数据文件,严重的还能破坏硬件的正常运作,给会计信息的安全性带来了极大的隐患。
(三)计算机舞弊引发的风险主要包括:(1)会计软件功能的滥用。不少会计软件开发公司为方便用户纠正计算机会计信息系统核算中的差错,在会计核算软件中设置了“取消复核”、“取消记账”、“取消结账”等功能。这些功能的使用,给用户提供了极大的便利,但同时也为制造虚假会计信息提供了方便。在计算机会计信息系统环境下,如果单位缺乏严格周密的内部控制制度,部分会计人员就会利用会计软件提供的逆向操作功能来篡改会计数据,而不留下任何痕迹,给审计监督工作和防范经济犯罪增加了技术难度。另外,如果软件功能使用不当,很可能导致单位整个财务系统的混乱。(2)直接操作数据库进行造假。在计算机会计信息系统中的数据库,从小型的DBASE、FOXPRO数据库,到大型的ORACLE、SYBASE、DB2数据库。数据库本身都提供自带的查询修改程序。利用这些程序,不法分子根本不需利用会计软件就可以完全控制和操作所有的数据。虽然一些数据库系统提供了很丰富的数据安全措施,如口令、钥匙卡,甚至电子签名或指纹鉴别,但安全措施得不到重视,使得原本应严密保护的会计信息系统数据处在非常危险的情况中,也为会计造假提供了方便。(3)对输入的会计信息直接造假。不法分子利用会计软件本身的功能缺陷或系统管理上的疏忽,直接使用会计软件导人虚假的数据或修改、删除已经存在的正确数据。在计算机会计信息系统中,一旦输入的初始数据是虚假的,以后处理环节即使再正确,也只能输出虚假的处理结果。(4)计算机高级人员非法操作。计算机高级人员包括系统管理员、网络管理员、系统操作员和网络黑客等,他们通过木马、后门进行非法操作,威胁单位会计数据的安全。
(四)內部控制存在的风险信息技术的发展使企业的内外部环境发生了很大的变化。(1)授权控制下降。在手工会计操作系统下,企业的每一项经济业务中的每一个环节都可设置内部一系列相互联系的授权批准程序,而在计算机会计信息系统下,这种授权可以仅凭一个密码就能获取。如果获取密码的手段是非法的,由此造成的内部控制失控将是一个重大的风险。(2)职责分离和监督不规范。信息系统的开发、维护和操作等活动中存在的职责分离对信息系统的监管格外重要。原来在手工环境下一些不相容的职责,在计算机中可以由一个程序模块来执行。此外,传统的监管手段也发生了变化。信息技术使某些员工的破坏能力增强,企业需要一批具有特殊技能的员工来开发、维护和操作信息系统。这类员工中的某些人可能对操作系统、应用程序和数据拥有特权,他们的失误或者故意破坏具有突发性、毁灭性以及隐蔽性的特点,可以使企业的整个信息系统崩溃或业务发生中断,给企业带来的损失不可估量。(3)业务记录效力降低。在计算机会计信息系统下,业务记录的载体由纸质变成了磁质,传统的纸质交易轨迹不复存在,取而代之的是数据库记录和操作日志等磁质记录。同时,交易轨迹的法律效力也发生了变化。员工在纸质凭证上的签字可以证明其确实对交易进行了授权或确认,但是磁质交易记录上的操作员信息的法律效力却受到系统的完整性、正确性和安全性的影响。