“互联网+”环境下会计信息系统风险及控制

2016-11-15李金花

中国管理信息化 2016年19期

关键词：操作员信息系统互联网+

李金花

（河南牧业经济学院　会计学院，郑州　450044）

“互联网+”环境下会计信息系统风险及控制

李金花

（河南牧业经济学院会计学院，郑州450044）

基于“互联网+”环境的会计信息系统提高了会计工作效率，实现了会计数据高度共享，但是也带来了新的风险，必须采取适当的措施加以控制。

互联网+；会计信息系统；风险；控制

“互联网＋”环境下，会计信息系统面临的最突出问题就是安全问题。信息社会企业的经营管理活动离不开网络，电子商务所涉及的电子单据容易受到不法攻击，如果企业对网络的管理维护水平不高或疏于管理监控，一旦网络系统瘫痪将严重影响企业的整体运作。

1　会计信息系统的风险问题

1.1硬件风险

（1）系统操作员的不正确操作。不正确操作主要是指操作员不按规定使用硬件设备，例如不按顺序开机、关机，有可能损坏计算机硬盘，从而造成数据丢失。

（2）系统设备的有意破坏。破坏者出于发泄私愤或谋取不法利益目的破坏计算机硬件，致使系统运行中断或毁灭。有意破坏系统硬件设备者可能是系统内部操作人员，也可能是系统外部人员。这种破坏行为可能是以暴力的方式破坏计算机设备，也可能通过盗窃等手段破坏计算机系统，例如窃走存有数据的磁盘。

（3）不可预测的自然灾害。不可预测的灾害虽然发生的概率非常小、但对信息系统的破坏性极大，所以必须引起足够的重视。例如火灾或地震，可能造成整个系统的毁灭。

1.2软件风险

（1）计算机病毒。计算机病毒实际上是一段小程序，它具有自我复制功能，常驻留于内存、磁盘的引导扇区或磁盘文件，在计算机系统之间传播，常常在某个特定的时刻破坏计算机内的程序、数据甚至硬件。由于病毒的隐蔽性强、传播范围广、破坏力大等特点，对远程网络会计信息传输的安全构成了极大的威胁。查杀病毒已成为系统安全保护的一个重要内容。前几年流行熊猫烧香、冲击波等病毒，目前有利用钓鱼岛等热点关键字传播的病毒，病毒感染系统可执行文件，终止杀毒软件运行，导致被感染计算机系统出现蓝屏、死机等现象，严重危害被感染计算机的系统和数据安全。

（2）网络黑客。黑客是指非授权侵入网络的用户或程序。黑客能够捕获到个人信息，尤其是口令，通过盗窃系统合法用户的口令，然后以此口令合法登陆系统实现非法目的。还可以采用多种程序，以极快的速度用无数的消息“轰炸”某个特定用户，对会计信息系统及远程网络传输的安全构成极大的威胁。

（3）操作员对软件的有意破坏。操作员可以通过对程序作非法改动来篡改程序文件，或者利用非法操作即操作员或其他人不经允许上机操作，改变计算机的运行路径等手段修改系统软件，从而破坏软件系统安全。

1.3会计数据风险

一旦会计信息系统的安全受到损害，最为直接的就是会计数据的错误、数据的丢失或被篡改，致使信息失真。信息技术高速发展的今天，信息在企业的生产经营管理中变得越来越重要，决定着企业在激烈的市场竞争中的成败。因此利用高科技手段非法窃取企业机密，是构成企业系统安全风险的重要形式。

（1）操作员非法修改程序和数据文件。通过对程序作非法改动，通过非法修改、销毁输出信息导致会计数据的不真实、不可靠、不准确或以此达到掩盖舞弊行为或获取私人利益的目的，如转移单位资金到指定的个人账户。

（2）有权和无权用户的非法操作。主要是操作员或其他人员不按操作规程或非法操作系统，改变计算机系统的执行路径从而破坏会计数据的安全。

（3）窃取或篡改商业秘密、非法转移资金和数据泄密等。对会计数据的泄密主要是指系统的用户或数据保管人员把本企业会计信息通过磁盘、磁带、光盘或网络等介质透露给竞争对手；窃取或篡改商业秘密是系统非法转移用户利用不正常手段获取企业重要机密的行为。借助高新技术设备和系统的通讯设施非法转移资金，对会计数据的安全保护构成很大威胁。

2　会计信息系统的风险控制

2.1建立健全组织控制

随着会计信息化的发展，企业会计机构也应作相应的调整，会计人员岗位包括基本会计岗位和信息化会计岗位。其中，基本会计岗位分为会计主管、出纳、核算、稽核和档案人员等，而信息化会计岗位则是操作员、维护员、管理员、审核员和开发人员等，以上两种工作人员之间不得兼任。建立各岗位人员的岗位责任制度，各岗位都要得到一定的授权，并用密码控制，防止非法操作、越权操作。同时做到不相容职务的分离，各岗位之间要有一定的内部牵制作保障。如系统的维护员和系统管理员不得上机处理日常会计业务，系统进行备份数据恢复时必须由具体操作员和主管共同批准等。这样人员互相制约和牵制，能防止违法行为的发生并能及时发现错误。

2.2硬件与软件系统的开发与维护控制

会计信息系统包括需求分析、系统的设计和测试、系统的运行与维护以及系统文档资料的保管等。对正在使用的会计核算软件进行修改、升级以及硬件设备的更换，要有一定的审批手续，要保证会计数据的连续和安全，并由有关人员监督实施。要保证机房设备的安全和计算机的正常运行，健全排除硬件与软件系统故障的管理措施，保证会计数据的完整性。

2.3操作控制

（1）建立上机操作日志制度，计算机程序中应对所有操作留有记录，包括操作时间、操作人员姓名、操作内容等。要制定数据文件的处置标准，对数据文件的名称、保留时间、存放地点、文件重建等事项做出规定，以便统一管理。

（2）在会计软件中设置防止重复操作、遗漏操作和误操作的控制程序，违反操作规程和操作时间应及时予以提示和制止。对已记账和已结账业务设置不可修改或逆操作程序，要修改必须通过编制记账凭证冲销或补充登记来更正。以保证会计数据的完整性、真实性。

（3）要建立严格的硬件操作规程。安装计算机硬件系统时，必须按照一定的顺序进行；启动计算机时，要按照先开外设再开主机、关机时先关主机再关外设；计算机处于工作状态时、不得拔插各种外部设备；计算机进行软盘读写操作时，不得强行将软盘取出；网络的布线要避免电磁干扰或人为的损坏，不要随意插拔网络缆线的接头，也不要经常移动计算机等。还要制定操作员访问系统的标准操作规程、明确规定各个操作员进人系统后执行程序的顺序、各硬件设备的使用要求、数据文件和程序文件的使用要求以及处理系统偶发事故的操作要求，如设备突然断电的处理、设备的重新启动要求等。

2.4数据输入、输出控制

会计信息系统主要是由数据整理、数据输入、数据处理、数据通讯、数据保存、数据输出几个部分构成，要保证各个环节的数据准确、有效和安全完整。系统中原始数据是由人工事先进行审核和确认后输入计算机内，因而数据处理的准确性完全依赖原始数据输入时的准确性。会计数据是单位的绝对机密，一旦泄漏将给单位带来不应有的损失，而磁性介质的可复制性又使会计数据极易泄漏而不易发现，故会计信息系统的输出不论是磁性文件还是打印资料，输出后均应立即受到严格管理，以防被人窃取或篡改。磁性资料应由会计档案保管员负责保管，打印资料在系统的操作日志上有所记录后及时送达指定人手中，收件人要签收并注明收件日期、文件内容，以便日后备查，确保会计数据的安全保密，防止对数据非法修改和删除，对磁性介质存放的数据要保存双备份。所以一切数据的输入、输出过程都必须规范化，并保持数据的准确性，这样才能保证会计信息质量的真实、完整和准确。

2.5网络安全控制

（1）提高系统安全风险意识。不仅要提高企业领导对信息系统安全风险的认识，还要提高系统使用人员的业务素质和思想修养，使其能够自觉遵守各种规章制度和操作规程，减少实际工作中的差错、提高系统安全意识和保护系统安全的自觉性，培养知识结构全面的网络系统管理人员，不仅精通网络系统技术，还能够站在更高的视角上观察问题，思考问题，及时发现系统的安全风险隐患并及时排除。

（2）建立预防病毒的安全措施。为了防止病毒的侵袭，要坚持使用正版软件，不能使用盗版或来路不明的软件，对外来的软盘要先进行病毒检测，方可在计算机中使用；在计算机中装入防病毒软件，这样在开机时进行时实控制，对硬盘进行病毒检测，及时发现并杀死病毒；定期备份数据和文件；不打开和阅读来历不明的电子邮件；经常对计算机硬盘和软盘进行病毒检测。

（3）建立对黑客的防护措施。设置防火墙，使用入侵检测软件。可采用一些安全技术，主要包括：数据加密技术、访问控制技术，认证技术等。入侵检测软件可以检测非法入侵的黑客，并将它拒之内部网络之外。加强对重要资料的保密。重要资料主要包括路由器、连接调制解调器的电脑号码及所用的通信软件的种类、网内的用户名等，这些都应采取一些保密措施，防止随意扩散。加强对重要网络设备的管理，删除除系统正常运行所必须的用户外所有的用户，也能增强网络的安全性。