本文讲述了关于会计电算化信息系统的安全控制的内容,供大家参考,接下来我们一起阅读下吧。
摘 要 采用计算机替代手工记账、算账、报账,以及对会计资料进行电子化分析,其软件本身的数据安全非常重要,分析了会计电算化信息系统存在的安全威胁,阐述了安全控制的方法。
关键词 会计电算化 安全控制 内部控制
会计电算化是从以电子计算机为主的当代电子和信息技术应用于会计工作中的简称,是采用电子计算机替代手工记账、算账、报账,以及对会计资料进行电子化分析和利用的现代记账手段。开展会计电算化工作,能有效的促进会计基础工作规范化,提高会计人员的工作效率和工作质量,并最终提高企业的经济效益。
电算化会计信息处理具有如下特点:以电子计算机为计算工具,数据处理代码化,速度快、精度高;数据处理人机结合,系统内部控制程序化、复杂化;数据处理自动化,账务处理一体化;信息处理规范化,会计存储磁性化;具有选择判断及作出合理决定的逻辑功能。
会计电算化后,由于软件完成了大部分数据处理工作,所以软件本身的数据安全非常重要。
1 会计电算化信息系统的安全威胁
1.1 非预期故障
非预期故障主要包括以下几个方面:不可控制的自然灾害;存储数据的辅助介质(如磁盘)部分或全部遭到破坏;非预期的、不正常的程序结束操作造成的故障;用户非法读取、执行、修改、删除、扩充和迁移各种数据、索引、模式、子模式和程序等,从而使数据遭到破坏、篡改或泄露;使用、维护人员的错误或疏忽。
1.2 计算机舞弊和犯罪
1.2.1 篡改输入或输出数据
数据有可能在输入计算机之前或输入过程之中被篡改。在数据的采集、记录、传递、编码、检查、核实、转换并最后进入计算机系统的过程中,任何与之有关的人员,或能够接触处理过程的人员,为了一己之欲或被人利用都有可能篡改数据。如虚构业务数据、修改业务数据、删除业务数据等。篡改输出数据,通过非法修改,销毁输出报表,将输出报表送给公司竞争对手利用终端窃取输出的机密信息等手段来达到作案的目的。
1.2.2 采用木马程序获取数据
在计算机程序中,非法地编进一些指令,使之执行未经授权的功能,这些指令的执行可以在被保护或限定的程序范围内接触所有供程序使用的文件。例如安置逻辑炸弹,即在计算机系统中适时或定期执行一种计算机程序,它能确定计算机中促发未经授权的有害件的发生件。
1.2.3 篡改程序和文件
一般情况下只有系统程序员和计算机操作系统的维修人员有可能篡改程序和文件。例如,将小量资金(比如计算中的四舍五入部分)逐笔积累起来,通过暗设程序记到自己的工资帐户中,表面上却看不出任何违规之处。又例如开发大型计算机应用系统,程序员一般要插进一些调式手段,编辑完毕时,这些手段应被取消,但有时被有意留下,以用来进行篡改程序和文件之用。此外,当计算机出现故障、运转异常时,修改或暴露计算内容。
1.2.4 非法操作
非法操作主要是通过非法手段获取他人口令或通过隐藏的终端进入被控制接触的区域从而进行舞弊活动。例如,从计算机中泄露数据,即从计算机系统或计算设施中取走数据。作案人员可以将敏感数据隐藏在没有问题的输出报告中,也可采用隐藏数据和没有问题的数据交替输出。如系统人员未经批准擅自启动现金支票签发程序,生成一张现金支票到银行支取现金。
1.2.5 其他方法
其他的方法如拾遗、仿造与模拟等等。拾遗是在一项作业完成之后,取得遗留在计算机系统内或附近的信息。仿造与模拟在个人计算机上仿造其他计算机程序,或对作案计划方法进行模拟实验,以确定成功的可能性,然后实施非法操作。此外,还可通过物理接触、电子窃听、译码、拍照、拷贝等方法来舞弊。
1.3 计算机病毒侵入
网络财务是会计电算化的一个发展趋势,网络是计算机病毒传播的一个重要途径,因此计算机病毒也是会计电算化安全的一大威胁。
2 会计电算化安全防范与控制
2.1 加强电算化法制建设
目前,由于法规的不健全使电算化犯罪的控制很困难,例如,对未经许可接触电算化会计信息系统或有关数据文件的行为,在许多国家法律上不认为是偷窃行为,因此就无法对拷贝重要机密数据的行为治罪。我们必须看到,对电算化会计信息系统的开发和管理,不能仅靠现有的一些法规,如会计法、企业会计准则等,因为会计电算化犯罪毕竟是高科技、新技术下的一种新型犯罪,为此制定专门的法规对此加以有效控制就很有必要。
电算化犯罪法制建设,可从三个方面入手:建立针对利用电算化犯罪活动的法律; 建立电算化系统保护法;加强会计人员的信用体系建设和职业道德教育。
2.2 完善内部控制系统
2.2.1 组织与管理控制
(1)机构和人员的管理控制。会计核算软件投入正式使用后,对原有会计机构必须做相应调整,对各类人员制定岗位责任制度。通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约、防止或减少错弊发生的目的。
(2)实体安全控制。实体安全涉及到计算机主机房的环境和各种技术安全要求、光和磁介质等数据存贮体的存放和保护。计算机机房应该符合技术要求和安全要求,应充分满足防火、防水、防潮、防盗、恒温等技术条件;机房应配有空调和消防设置等。对用于数据备份的磁介质存贮媒体进行保护时应注意防潮、防尘和防磁,对每天的业务数据备双份,建立目录清单异地存放,长期保存的磁介质存贮媒体应定期转贮。
(3)硬件安全控制。计算机关键性的硬件设备应采用双系统备份。此外,机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,配置UPS(不间断电源)、防辐射和防电磁波干扰等设备。
(4)网络安全控制。针对网络的特点,需加强以下几个方面的控制。① 用户权限设置:从业务范围出发,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,把各项业务的授权、执行、记录以及资产保管等职能授予不同岗位的用户,并赋予不同的操作权限,拒绝其他用户的访问。② 密码设置:每一用户按照自己的用户身份和密码进入系统,对密码进行分级管理,避免使用易破译的密码。③对重要数据加密:在网络中传播数据前对相关数据进行加密,接收到数据后作相应的解密处理,并定期更新加密密钥。④病毒的防范与控制:防范病毒最为有效的措施是加强安全教育,健全并严格执行防范病毒管理制度,具体包括软件、软盘及计算机系统的采购和更新要通过计算机病毒检测后才可使用;专机专用,绝对禁止在工作机上玩游戏;建立软盘管理制度,同时防止乱拷贝软盘;安装防病毒卡和反病毒软件,定期检测并清除计算机病毒;采用网上防火墙技术等。
2.2.2 应用控制
(1)数据输入控制。输入控制的主要内容有:由专门录入人员、录入人员除录入数据外,不允许将数据进行修改、复制或其他操作;数据输入前必须经过有关负责人审核批准;对输入数据进行校对;对更正错误的控制等。
(2)处理控制。是指对计算机系统进行的内部数据处理活动(数据验证、计算、比较、合并、排序、文件更新和维护、访问、等等)进行控制。处理控制是通过计算机程序自动进行的。其措施有:输出审核处理;数据有效件件验;通过重运算、逆运算法、溢出检查等进行处理有效性检测;错误纠正控制;余额核对;试算平衡等。
(3)数据输出控制。主要措施有:建立输出记录;建立输出文件及报告的签章制度;建立输出授权制度;建立数据传送的加密制度;严格减少资产的文件输出,如开支票、发票、提货单要经过有关人员授权,并经过有关人员审核签章。
2.2.3 充分发挥审计人员的作用
会计审计准则的建设是会计信息行业健康发展的重要步骤。企业信息系统的电子化和网络化使审计重点转向对明细信息的验证和对系统的复核验证,因此,审计人员还要加大传统的实物牵制、体制牵制、簿籍牵制力度,还要通过开展计算机系统的事前审计,对于内部控制系统的完善性系统的可审性及系统的合法性作出评价,以保证系统运行后数据处理的真实、准确、防止和减少舞弊行为的发生;通过定期的对计算机内部控制系统的审查与评价促进企业加强和完善内部控制;通过对计算机系统的事后审计,对系统的处理实施有效的监督。
参考文献
1 李玉萍,尚英梅.浅谈会计电算化在实际工作中的应用[J].吉林师范大学学报(自然科学版),2003(2)
2 赵剑红,李春山.会计电算化发展的新趋势—网络财务[J].信息技术,2002(2)
3 薛兆军,李俊英.试论会计电算化系统的内部控制[J].机械管理开发,2002(1)
那么关于会计电算化信息系统的安全控制的内容就介绍到这了,更多精彩请大家持续关注我们网站。
相关推荐:
论信用管理是市场扩张的安全保障
关于企业破产重整制度评析
相关推荐:
下一篇:关于企业负债经营探析
