楊俊文

摘要：會(huì)計(jì)電算化基礎(chǔ)上發(fā)展起來的會(huì)計(jì)信息化系統(tǒng)為當(dāng)代企業(yè)的財(cái)會(huì)工作帶來了重大變革與突破。相比傳統(tǒng)手工會(huì)計(jì)，信息化的會(huì)計(jì)系統(tǒng)有著諸多的優(yōu)勢(shì)。但是，隨著互聯(lián)網(wǎng)的普及，會(huì)計(jì)信息化系統(tǒng)也潛在著一些安全風(fēng)險(xiǎn)，主要是針對(duì)其硬件、軟件以及數(shù)據(jù)三個(gè)方面。為應(yīng)對(duì)這些風(fēng)險(xiǎn)，應(yīng)該采取一些必要的措施進(jìn)行監(jiān)控，從制度與技術(shù)兩個(gè)方面進(jìn)行防范。

關(guān)鍵詞：會(huì)計(jì)；信息化系統(tǒng)；安全風(fēng)險(xiǎn)；防范措施

1.引言

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的飛速發(fā)展帶動(dòng)了會(huì)計(jì)電算化與信息化的進(jìn)步。我國(guó)在三十多年前，開始逐漸普及會(huì)計(jì)電算化。進(jìn)入二十一世紀(jì)，英美等發(fā)達(dá)國(guó)家在會(huì)計(jì)領(lǐng)域又提出了ERP系統(tǒng)，即Enterprise Resource Planning，企業(yè)資源計(jì)劃系統(tǒng)。ERP系統(tǒng)的誕生，標(biāo)志著會(huì)計(jì)信息化的正式出現(xiàn)。不同于簡(jiǎn)單利用計(jì)算機(jī)計(jì)算能力的會(huì)計(jì)電算化，以ERP為代表的會(huì)計(jì)信息化系統(tǒng)，是一種全產(chǎn)業(yè)鏈的財(cái)會(huì)管理模式，將物流、人力、資金流、信息流集成于一體。但是，與任何信息化的系統(tǒng)一樣，以計(jì)算機(jī)網(wǎng)絡(luò)為依存的會(huì)計(jì)信息化系統(tǒng)也同時(shí)存在著安全風(fēng)險(xiǎn)。

2.會(huì)計(jì)電算化與信息化概述

2.1 會(huì)計(jì)電算化與信息化

我國(guó)會(huì)計(jì)行業(yè)信息化是在電算化的基礎(chǔ)上發(fā)展起來的。在上世紀(jì)80年代，微型計(jì)算機(jī)開始快速發(fā)展，小型的個(gè)人電腦的成本下降到足以為中小企業(yè)所廣泛應(yīng)用。利用計(jì)算機(jī)軟件來替代手工進(jìn)行會(huì)計(jì)計(jì)算這一變革開始在整個(gè)會(huì)計(jì)行業(yè)推廣。早期的電算化會(huì)計(jì)與手工會(huì)計(jì)相比，在數(shù)據(jù)結(jié)構(gòu)與賬務(wù)處理上，沒有大的突破，還是遵循著復(fù)式記賬的基本原理，只是利用計(jì)算機(jī)代替了手工計(jì)算。到了90年代末，以ERP-U8軟件系統(tǒng)為代表的ERP系統(tǒng)開始被眾多企業(yè)所使用，以計(jì)算機(jī)數(shù)據(jù)庫(kù)、會(huì)計(jì)軟件為手段整合企業(yè)內(nèi)部流程、外部市場(chǎng)和合作伙伴的ERP系統(tǒng)的出現(xiàn)，代表了會(huì)計(jì)信息化的起步。

2.2 會(huì)計(jì)信息化的優(yōu)勢(shì)

會(huì)計(jì)信息化相比傳統(tǒng)會(huì)計(jì)，首先其具備電算化的優(yōu)勢(shì)，即：能夠有效提高處理會(huì)計(jì)數(shù)據(jù)的準(zhǔn)確度，具有實(shí)效性，能較大地提高會(huì)計(jì)核算的質(zhì)量，減輕財(cái)會(huì)工作者的勞動(dòng)強(qiáng)度；同時(shí)，將財(cái)會(huì)管理由原先的事后管理變?yōu)槭轮锌刂?，并提供了事先預(yù)測(cè)的可能，有利于提高企業(yè)的經(jīng)營(yíng)管理水平。

而會(huì)計(jì)信息化系統(tǒng)在財(cái)務(wù)管理上，會(huì)計(jì)信息化同樣有電算化的上述優(yōu)勢(shì)，在集成了電算化的軟件的同時(shí)，更是整個(gè)企業(yè)資源配置的有效手段。首先會(huì)計(jì)信息化系統(tǒng)能夠?qū)崿F(xiàn)供應(yīng)鏈管理，以ERP系統(tǒng)為代表，其能夠?qū)κ袌?chǎng)供需、定單、采購(gòu)、產(chǎn)品出入庫(kù)等實(shí)現(xiàn)準(zhǔn)確的管理。其次，能夠?yàn)樯a(chǎn)管控提供依據(jù)，生產(chǎn)部門可以根據(jù)ERP之類的會(huì)計(jì)信息系統(tǒng)的信息，編制生產(chǎn)計(jì)劃，對(duì)于原材料以及采購(gòu)的零配件也能夠?qū)崿F(xiàn)可追溯的唯一的代碼化的管理。另外，不僅在物料、物流管理上會(huì)計(jì)信息化系統(tǒng)表現(xiàn)出色，在人力管理上，尤其是人工費(fèi)用的核算等方面，以U8系統(tǒng)為代表，也在許多制造企業(yè)里有優(yōu)秀的表現(xiàn)。

3.會(huì)計(jì)信息化系統(tǒng)存在的安全風(fēng)險(xiǎn)

在會(huì)計(jì)電算化與信息化帶來相比紙面會(huì)計(jì)更多的方便與快捷的同時(shí)，也潛藏著一些安全風(fēng)險(xiǎn)。任何以計(jì)算機(jī)以及計(jì)算機(jī)網(wǎng)絡(luò)為媒介的信息系統(tǒng)，都不可避免地存在這類風(fēng)險(xiǎn)。主要威脅的對(duì)象是會(huì)計(jì)信息化系統(tǒng)的硬件、軟件和數(shù)據(jù)三大方面。

3.1 硬件使用維護(hù)風(fēng)險(xiǎn)

（1）不正確的操作。由于當(dāng)前，會(huì)計(jì)從業(yè)者中對(duì)于計(jì)算機(jī)及計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)硬件有較深了解的并不多，因此在使用維護(hù)過程常常由于不正確的操作，引起硬件的損壞。比如，電源的錯(cuò)誤接配、非正常開關(guān)機(jī)、敲打計(jì)算機(jī)、不合適的清潔方式等，都可能造成硬件損壞。

（2）環(huán)境因素以及非人為因素。計(jì)算機(jī)系統(tǒng)內(nèi)部元器件較多，對(duì)于電壓、溫度、振動(dòng)等都較為敏感，也可能由于間接原因?qū)е掠布p壞。計(jì)算機(jī)的主板需要穩(wěn)定的供電，如果供電電壓不穩(wěn)，可能會(huì)導(dǎo)致主板電容擊穿，或者線路燒毀。硬盤在運(yùn)行時(shí)，如果有較大的振動(dòng)，容易造成其讀寫的磁頭劃壞盤片，造成數(shù)據(jù)丟失。

（3）不法分子破壞。也有一些不法分子，為了謀求非法利益，對(duì)硬件進(jìn)行破壞，也是潛在的風(fēng)險(xiǎn)。其中，最常遭到破壞的就是計(jì)算機(jī)網(wǎng)絡(luò)之間的連接線路，以及存儲(chǔ)數(shù)據(jù)的硬盤。

3.2 軟件系統(tǒng)風(fēng)險(xiǎn)

（1）非正確操作與非法操作，有可能使得系統(tǒng)軟件運(yùn)行

出錯(cuò)或者被篡改。一般軟件運(yùn)行有一些環(huán)境變量或者賬戶管理信息，這些是最容易由于胡亂操作而出現(xiàn)問題的。還有一些違法的操作人員或者其他人員，蓄意對(duì)軟件系統(tǒng)進(jìn)行破壞，試圖竊取或者篡改其中的機(jī)密。

（2）計(jì)算機(jī)病毒的威脅。當(dāng)前，計(jì)算機(jī)病毒幾乎無處不再，尤其是U盤等便攜存儲(chǔ)設(shè)備的普及化，很容易由于隨意讀取外源的存儲(chǔ)設(shè)備而感染病毒。當(dāng)前的主流的殺毒軟件依靠的都是云殺毒，需要連接到殺毒軟件公司的病毒庫(kù)，才能將病毒掃描干凈。但是會(huì)計(jì)信息系統(tǒng)由于其機(jī)密性，往往都是局域網(wǎng)連接，離線殺毒往往不甚理想，因此計(jì)算機(jī)病毒的威脅是比較大的。

（3）黑客攻擊。有一些精通網(wǎng)絡(luò)技術(shù)的黑客專門利用木馬程序，盜取信息系統(tǒng)的登錄密碼等，這種犯罪行為，只能根據(jù)IP追蹤等方式確定作案人員，隱蔽性很高，難以防范。還有一些黑客惡意上傳病毒與垃圾文件，也會(huì)造成軟件系統(tǒng)崩潰。

3.3 會(huì)計(jì)數(shù)據(jù)及商業(yè)泄密風(fēng)險(xiǎn)

會(huì)計(jì)信息化系統(tǒng)的核心信息就是會(huì)計(jì)數(shù)據(jù)，這些數(shù)據(jù)是資金流動(dòng)、結(jié)算和納稅的依據(jù)。其首要風(fēng)險(xiǎn)，就是操作人員篡改資金數(shù)據(jù)。其次，會(huì)計(jì)信息化系統(tǒng)中還儲(chǔ)存著企業(yè)的供產(chǎn)銷的商業(yè)秘密。這些商業(yè)機(jī)密，包括供應(yīng)商信息、原材料采購(gòu)價(jià)格、基本成本費(fèi)用、定單、客戶數(shù)據(jù)等，一旦被泄漏，可能造成比直接資金損失更大的危害。

4.會(huì)計(jì)信息化系統(tǒng)風(fēng)險(xiǎn)防范措施

4.1 技術(shù)方面的防范措施

（1）硬件方面。應(yīng)該對(duì)存儲(chǔ)重要數(shù)據(jù)的服務(wù)器、主機(jī)等進(jìn)行一定的物理防護(hù)。可以定制專門的存放箱存放主機(jī)和交換機(jī)等，上鎖管理，由專人負(fù)責(zé)。應(yīng)對(duì)斷電和電壓不穩(wěn)的問題，可以配備一些穩(wěn)壓電源和應(yīng)急電源。局域網(wǎng)計(jì)算機(jī)之間的連接網(wǎng)線，可以在建筑地面、墻面上，安裝封閉式的線路槽。另外，定期停機(jī)對(duì)主要的硬件設(shè)備進(jìn)行清潔作業(yè)。

（2）軟件方面。定制軟件時(shí)，要求軟件公司提供相應(yīng)的培訓(xùn)教程，在軟件界面操作中，增加適當(dāng)?shù)奶崾竟δ埽员苊獠僮魅藛T錯(cuò)誤。加強(qiáng)軟件的賬戶信息管理與權(quán)限管理。相應(yīng)權(quán)限的財(cái)會(huì)人員，只能進(jìn)行相應(yīng)層級(jí)的操作，同時(shí)軟件中加強(qiáng)審核機(jī)制，關(guān)鍵操作，自動(dòng)送達(dá)上層管理人員處，需要審核后才能生效。另外，軟件應(yīng)具備操作記錄功能。每一個(gè)用戶進(jìn)行的操作，應(yīng)該要都能根據(jù)時(shí)間進(jìn)行準(zhǔn)確的查詢，增加可追溯性，并且為落實(shí)責(zé)任提供依據(jù)。

4.2 管理方面的防范措施

（1）嚴(yán)格實(shí)行賬戶分級(jí)授權(quán)管理，明確崗位責(zé)任。每一級(jí)別的財(cái)會(huì)人員，在登錄會(huì)計(jì)信息系統(tǒng)時(shí)，都有專有的賬戶名和密碼，不允許互相借用，其操作與考核以及績(jī)效掛鉤，杜絕其他人員使用專屬賬戶。

（2）完善內(nèi)部監(jiān)督制度。系統(tǒng)操作人員與系統(tǒng)維護(hù)人員要明確分離，不能互相兼任。分級(jí)授權(quán)還要配合多級(jí)審查與審核制度，上級(jí)管理人員在審核與審查下級(jí)人員的操作時(shí)，只有允否權(quán)，沒有修改權(quán)。

（3）建立并落實(shí)嚴(yán)格的操機(jī)程序。一是硬件啟動(dòng)使用方面，比如外接設(shè)備與主機(jī)的開關(guān)機(jī)程序，主機(jī)的硬件的使用程序等。二是，軟件操作規(guī)程及數(shù)據(jù)管理。比如系統(tǒng)的登錄與操作規(guī)程，數(shù)據(jù)文檔的建立與管理，數(shù)據(jù)文檔的加密控制以及存放路徑、備份等，都應(yīng)該建立完善的制度，并且貫徹執(zhí)行。

4.3 外部防范措施

建立專業(yè)的防火墻與過濾系統(tǒng)，防范黑客入侵，以及內(nèi)部人員訪問外網(wǎng)泄密。對(duì)于需要存取數(shù)據(jù)時(shí)，必須使用加密的便攜存儲(chǔ)設(shè)備。對(duì)內(nèi)部人員配發(fā)專門的加密U盤、移動(dòng)硬盤等設(shè)備，除此之外的設(shè)備，無法在內(nèi)部計(jì)算機(jī)上讀取。定期對(duì)這些設(shè)備進(jìn)行統(tǒng)一的殺毒管理。

5.結(jié)語

會(huì)計(jì)信息化系統(tǒng)雖然十分依賴計(jì)算機(jī)網(wǎng)絡(luò)，從而存在不少的漏洞，同時(shí)相比傳統(tǒng)的紙面會(huì)計(jì)，其數(shù)據(jù)容易被篡改，并且難以追溯，因此潛在的安全風(fēng)險(xiǎn)也較大。但是，采用一些適當(dāng)?shù)拇胧?，是可以?duì)其進(jìn)行防范，因此我們更應(yīng)該看到會(huì)計(jì)信息化系統(tǒng)帶來的便捷，以及其整合企業(yè)資源，精確及優(yōu)化配置的功能。當(dāng)前，較為先進(jìn)的大型企業(yè)，都已經(jīng)普遍采用了ERP系統(tǒng)，可見這類會(huì)計(jì)信息化系統(tǒng)必將是未來會(huì)計(jì)發(fā)展改革的方向，值得投入較大的精力完善與改進(jìn)。

參考文獻(xiàn)：

[1] 彭超然.大數(shù)據(jù)時(shí)代下會(huì)計(jì)信息化的風(fēng)險(xiǎn)因素及防范措施[J].財(cái)政研究，2014（04）：73-76.

[2] 王偉.會(huì)計(jì)信息系統(tǒng)的管理風(fēng)險(xiǎn)及應(yīng)對(duì)策略[J].中國(guó)水運(yùn)，2011（09）：37-38.

[3] 于澤.會(huì)計(jì)信息系統(tǒng)中的安全風(fēng)險(xiǎn)及對(duì)策研究[J].山西建筑，2009；35（18）：191-192.

[4] 田九玲.會(huì)計(jì)信息化蘊(yùn)含的安全風(fēng)險(xiǎn)及對(duì)策[J].中國(guó)鄉(xiāng)鎮(zhèn)會(huì)計(jì)，2008（06）：166-167.

[5] 谷增軍.會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估初探[J].財(cái)會(huì)通訊，2010（12）：124-125.

[6] 王海林.試論會(huì)計(jì)網(wǎng)絡(luò)化系統(tǒng)的安全風(fēng)險(xiǎn)和防范策略[J].中國(guó)鄉(xiāng)鎮(zhèn)會(huì)計(jì)，2010（08）：58-59.

[7] 徐伊欣.醫(yī)院會(huì)計(jì)信息化存在的問題及解決對(duì)策[J].財(cái)務(wù)與審計(jì)，2013（09）：86-89.

[8] 朱亞林.互聯(lián)網(wǎng)環(huán)境下高校會(huì)計(jì)信息化安全問題研究[M].首都經(jīng)濟(jì)貿(mào)易學(xué)院，2013.