APP下载

现代会计管理风险控制分析

2009-06-30

关键词:控制措施信息系统软件

李 翠

摘要:随着网络会计的不断发展,会计信息控制问题显得越来越重要。如何搞好会计信息系统的风险控制?文章对现代会计管理中面临的风险以及应采取的控制措施进行了分析和探讨。

关键词:会计管理风险控制

1会计系统的风险

会计信息系统是一个复杂的系统,本文将会计信息系统的风险因素归纳为技术、应用和管理几个方面。

1.1信息系统的缺陷信息系统的组件在设计、制造和组装中,由于人为和自然的原因,可能留下各种隐患。如网络传输速度,服务器等硬件设施的稳定性和运行速度,软件设计中的缺陷,不同信息子系统的接口等。

1.1.1硬件的脆弱性信息系统硬件组件的安全隐患多数来源于设计,主要表现为物理安全方面f如物理可存取和电磁兼容方面等)的问题。由于这种问题是设计时所遗留的固有问题,因此在自制硬件和选购硬件时应尽可能减少或消除这类安全隐患。

1.1.2软件系统的脆弱性软件系统的安全隐患来源于设计和软件工程实施中的遗留问题。软件设计中的疏忽可能留下安全漏洞:软件设计中不必要的功能冗余以及软件过长过大,不可避免地存在安全脆弱性;软件设计不按信息系统安全等级要求进行模块化设计,导致软件的安全等级不能达到应有的安全级别;软件尤其是自制应用软件编程时程序员暗地编进指令,使之执行未经授权的功能等。这些问题一般不易被防止和发现。

1.1.3网络和通信协议由于互联网本身是一个没有明确物理界限的网际,而支持互联网运行的TCP/lP协议栈在设计的当初主要考虑了互联互通和资源共享的问题,无法兼容解决来自网际的大量安全问题。比如,缺乏对通信双方真实身份的鉴别,TCP/IP在lP层上缺乏对路由协议的安全认证,应用层处于最顶部,下层的安全缺陷必然导致应用层的安全出现漏洞甚至崩溃,同时各种应用层协议本身也存在一些安全隐患等等。

1.2信息系统的管理

1.2.1如果企业规模很大,信息系统的结构就会很复杂,发生信息错误的机会也随之增多,即数据完整性就较难保证。

1.2.2授权管理的问题信息系统中,很多原来手工系统下由不同的人完成的业务处理环节集中由计算机统一处理,这样就不能像手工方式那样相互牵制、相互制约,操作人员只要获得授权文件或注册系统的密码就可获得某种权利或运行特定程序进行业务处理,密码一旦被他人学握或一人掌握多个级别操作员的密码,权限就会失控,从而造成损失。

1.2.3职责分离失效信息系统中,业务人员可能一人身兼多个职能。例如,在零售业,当顾客购买商品时,销售人员扫描商品的条形码,由计算机系统自动读取商品价格,计算已销售商品数量,并自动更新销售收入余额和存货余额。如果发现存货余额低于最低数量,计算机系统还可以自动向供应商发出定单。这样,一个销售人员就可以完成授权、记录和保管工作,极易出现错弊。

2会计信息系统的风险控制

会计信息系统运行阶段的控制包括一般控制和应用控制两个方面。一般控制主要从组织控制、操作控制、资源控制几方面着手:应用控制的内容与业务处理有关,取决于业务处理的需要。

2.1组织控制组织控制是将组织作为控制的对象和手段,通过建立起具有控制能力的组织结构、采用满足控制要求的组织流程、构筑认同和重视控制的组织文化,达到控制的目标。组织控制是其他控制实施和发挥作用的基础。会计信息系统的组织控制应该包括进行合理的职责分工(合理划分人机职责、合理划分岗位职责、确定岗位标准)、设置满足控制要求的组织流程等方面的工作。

2.2操作控制操作控制主要是建立和实施操作管理制度,对系统使用、操作规程和会计业务处理几方面做出规定。

操作控制中首先应该强调系统使用和管理的计划性,比如什么时间按照何种程序对整个系统进行全面(或局部)检测、什么时间对系统进行优化升级、什么时间对系统的中间文件进行清理等等:其次要重视操作日志。操作日志是操作管理的重要手段,是对日常系统操作情况的最基本、最全面和最详尽的反映,应充分利用操作日志,定期监察和检验日志,及时了解非法用户和有权用户越权使用系统的情况及设备状况。第三,操作控制中除了要求各类操作人员按照制度规定操作系统外,还应该强调员工的责任、能力和可信赖程度。

2.3资源控制

2.3.1硬件资源控制会计信息系统的硬件包括网络设施、通讯设施、计算机及其辅助设备等。硬件设备本身的控制措施一般由设备生产厂家固化在设备中,设备使用者是难以改变的,它能自动查出某些类型的错误,而无需程序或操作人员送入任何特殊指令。硬件控制的失效会消弱其他控制措施的作用,影响系统的可靠性。

2.3.2软件资源控制信息系统软件一般包括操作系统(包括网络操作系统和单用户操作系统)、工具软件(包括数据库管理系统,编译器和程序设计语言,Excel等电子表格处理软件,Web服务、发布和浏览软件,信息采集、FTP、Telnet等软件)、应用系统软件三大部分。操作系统处于信息系统软件平台的最底层,其安全是整个软件平台安全的基础i应用系统处于最上层,是完成具体业务处理的软件,由于各种业务处理对安全的需求程度不同,应用软件自身提供的控制措施也有很大区别;工具软件介于操作系统和应用软件之间。

2.3.3数据资源控制会计信息系统的数据都以记录的形式存储在系统的数据库中,数据资源控制的重点是数据库的管理控制,其主要目的是防止系统内外人员对数据库的非法访问,以及系统故障、误操作或人为破坏造成数据库毁损。一般可以实施的控制包括访问控制、建立数据备份和恢复制度。

2.3.4档案资料控制采用会计信息系统之后,由于档案本身种类、内容、形式等的改变,档案的保存具有了与传统手工会计不同的要求。档案资料控制主要是确定档案、建立档案管理制度(包括档案保管制度、档案存取制度、档案作废制度)两方面。

3.4应用控制应用控制是对具体业务处理过程实施的控制。图2所示是计算机系统的业务处理环节,从中可以看到任何业务处理系统都可以划分成输入过程、处理和存储过程、输出过程几个环节,因此不同环节的应用控制又可以分别称为输入控制、处理和存储控制、输出控制。

其中,输入控制是为了防止和发现进入信息系统的数据错误而施加的控制。输入控制应该从数据采集、数据输入和输入数据的存储三方面着手。处理控制是为了保证在合法的权限内,数据处理能够按照预先设定的程序正确、完整地进行而实施的控制,处理控制一般是通过预先编好的计算机程序实现的。常用的控制措施有设置处理权限、控制业务时序、检查钩稽关系、检验数据合理性、错误更正控制、设置审计线索、备份及恢复等;存储控制是对信息系统处理结果保存的控制,以便为审计提供线索;输出控制就是要保证信息系统能够输出正确的信息,并将其提供给经过授权的使用者。

猜你喜欢

控制措施信息系统软件
企业信息系统安全防护
禅宗软件
软件对对碰
基于区块链的通航维护信息系统研究
信息系统审计中计算机审计的应用
基于SG-I6000的信息系统运检自动化诊断实践
浅析土建工程造价控制措施
谈软件的破解与保护