随着我国科技的进步,计算机在经济生活的广泛应用,我国企事业单位的电算化会计工作得到了突飞猛进的发展。虽然我国会计电算化是从上世纪70年代末开始起步较晚,但是,其应用非常广泛,因此,加强电算化会计系统安全问题的研究,具有非常重要的现实意义。
(一)人为因素,舞弊造假。在电算化会计系统中,有些系统内部工作人员窃取口令、文件,用来作弊。或非法转移资金、掩盖各种舞弊行为泄露商业秘密、等。
(二)会计软件自身缺乏安全性与保密性。不少单位由于各方面原因,电算化会计系统的开发模式是选择购买通用的电算化会计系统,由于通用使得一些非法用户可以很方便的从外部打开数据库,对数据进行违法操作,造成企业的严重损失。还有一些会计软件缺乏“操作日志”记录功能,客观上增加了追究责任的难度和产生风险的几率。
(三)会计人员缺乏风险防范意识。电脑无与伦比的运算速度改变了会计信息的形成过程,但由于部分会计人员对计算机风险缺乏了解,思想上不够重视,许多单位也忽视安全防范教育。
(四)会计信息严重失真。不少单位非电算化会计人员随意操作、至使系统软硬件故障等,导致会计数据错误、丢失或被篡改。在网络环境下,数据容易被截取、盗用,甚至被篡改。同时,由于审计取证难度大,同时加大了会计信息失真的风险。
(五)病毒侵袭造成计算机系统无法正常运行,当前,计算机病毒防不胜防,在网络环境下,一台计算机染上病毒,能够导致网络中其他计算机也感染病毒,它可以通过软盘、U盘等途径进行传播,还可以通过网络环境和电子邮件进行传播。有些黑客为了获得商业利益或其他利益而入侵单位的电算化会计系统,盗取机密资料、文件、数据等,从而获得非法利益。
二、如何做好电算化会计系统的安全防范对策问题的几点思考
l、对一般工作上控制:一定要避免兼职,因为组织与管理控制的基本目的是减少发生错误及舞弊行为的可能性。在会计电算化系统中,不相容的职务要相互分离,互不兼任,同时还应定期轮换,以减少利用计算机舞弊的可能性;业务处理部门与用户部门的职责要严格分离,除了执行业务记录的职能外,不能负责业务的批准和执行,也不能保管除计算机系统以外的任何资产。
2、对应用过程的控制(1)关于输入控制:经审批的业务数据能准确、完整地输入系统,被系统发现并拒绝的错误数据,能经恰当的改正后重新输入系统。所有业务数据输入前必须经过恰当的审批手续,只有经审批的数据才能输入系统。所以输入操作是保证系统数据正确的关键环节,要有严格控制;会计软件必须具备必要的防范会计数据输入差错的功能。
(2)关于处理控制:处理过程的现场控制应该将前个过程的数据处理结果进行现场检索,经过系统核对、验证无误,确认该处理过程正确无误后才可以进入本次处理;业务时序控制是会计数据处理过程中,一个处理过程的运行结果取决于若干个相关条件过程的完成;数据备份及可恢复控制是将机内会计数据进行备份,是过程控制的一个重要内容,是一种防止数据丢失的防范措施。
(3)关于输出控制:在账簿无误的情况下再进行输出报表等,这便是时序控制;根据账簿、报表之间的勾稽关系,设置控制程序对输出的数据进行核对,是数据稽核控制授权输出控制就是只有经过批准的人才能执行输出操作企业单位的会计信息。
电算化会计系统投入运行后,首先应保证会计软件运行的安全会计软件必须具备安全和保密功能模块。软件设计者应开发权限设置、自动校验、提示功能、保护功能等模块,并融合到系统软件中,引入各种控制机制,使各业务系统成为基于同一种操作系统平台的大系统。各种业务之间能相互衔接,相关数据能够自动核对、校验、备份。为了会计核算资料安全保密,任何人不允许直接使用命令打开数据文件对数据操作,或使用工具软件直接对会计软件的文件进行操作,能够自动进行数据备份,保存会计档案资料以磁性记录形式并进行加密存储。
为了尽可能减少硬件故障率、减轻硬件故障造成的危害,应加强硬件管理。因为硬件是会计软件运行基础。严格岗位责任制,明确每个工作岗位的职责范围,单位应根据工作的需要,建立电算化会计系统的岗位责任制,切实做到层层防范系统各模块要设置相应的口令;执行严格的权限控制措施,严格遵守操作程序,每次操作完毕,应执行相应命令退出系统,以防数据丢失。遵守上机登记与运行日志相结合的管理制度,由会计软件自动生成的运行日志,系统管理员要定期检查等。实现对用户使用系统的及时跟踪。
(四)切实加强病毒的防范和控制
对于计算机病毒应采用“防、查、杀”相结合的方式,坚决防止计算机病毒的传播,一定将病毒对系统的潜在破坏性减到最少。防范工作应从这几方面进行:必须使用正版软件。由于购买的盗版软件从非正规渠道,则可能携带病毒,要提高对计算机异常现象的警觉。发现计算机有奇怪的现象的出现可能意味着计算机感染了病毒、计算机中存在有问题的软件或出现了硬件故障;及时升级反病毒软件。定期备份数据。数据一定要至少每周备份一次,通常要进行异地备份;对外来软盘要进行防病毒检查专机专用,决不打开来历不明的邮件。
(五)关于网络安全控制
企业的电算化会计系统已是整个企业信息化系统的一个组成部分,互联网得到充分的应用。关于用户权限设置,从业务范围出发,将整个网络系统分级管理,。层层负责,对各种数据的读、写、修改权限进行严格限制,拒绝其他用户的访问。关于密码设置,每一用户按照自己的用户身份和密码进入系统,对密码进行分级管理,避免使用易破译的密码。对重要数据加密,传输重要数据前对其进行加密,接收到数据后作相应的解密处理,并定期更换加密密钥。关于设置网络防火墙与入侵检测系统,对于需要与外网进行数据通讯的单位,需要安装网络防火墙。网络防火墙主要安置在网关处,对流入、流出单位内部的数据进行安全防范。能够防范众多的攻击手段,保证内部网络的安全。另外,为了防范内部的网络威胁还需要配置入侵检测系统。两者互为补充,可以极大的保证内部网络的安全。