财务网络安全风险防范措施篇1
关键词:高校;财务信息;网络;安全风险
中图分类号:tp393文献标识码:a文章编号:1009-3044(2015)34-0024-01
传统的财务信息数据管理传输方式往往在时间性、效率上较差,导致管理成本高,信息不准确[1],严重影响了财务管理工作的正常运行。随着高校办学规模的不断扩大及网络技术的普遍应用,网络财务得到了广泛的发展。财务信息被存储在数据库中,用户在自己的权限范围内可以不受地点时间的限制通过网络访问相关财务数据,高效性、及时性、共享性成为网络财务的主要特点。虽然网络环境下财务信息管理系统,为高校财务工作各方面提供了信息综合平台,提高了财务工作效率,保证了数据传输的及时性和准确性,但在网络的环境背景下,财务信息系统也必然要面临网络安全风险。如何做好在网络环境下财务信息数据安全风险的防范工作,成为高校财务信息管理者所要面对和解决的重要问题之一。
1网络环境下高校财务信息的主要安全风险因素
网络财务是计算机与网络信息技术在财务信息管理领域的具体应用,其信息安全风险除来源于网络信息技术的一般风险外还有财务数据的特定风险[2],主要有以下几个风险:
1)计算机软硬件系统风险。计算机软硬件是保证财务信息数据安全的基础,也是财务系统运行的基本条件,但其对财务数据安全的影响却未引起财务管理者足够的重视。计算机硬件长期不进行更新维护,缺乏日常保洁,增加了硬件发生故障的风险。一旦硬件设备系统发生故障,就会导致财务网络系统及财务软件无法正常运行,造成财务信息数据丢失的风险,给财务工作带来灾难性的后果。同样,软件系统对财务信息的安全也很重要。软件系统不够成熟,运行不稳定,升级更新缓慢,相关漏洞未及时弥补,安全性和保密性不够,用户权限设置不合理,这些都可能直接影响网络财务的运行效率,给财务信息安全造成隐患。
2)计算机病毒风险。在网络技术的快速发展的今天,计算机病毒的破坏能力也在不断提高,成为网络安全最大的威胁因素之一。计算机病毒具有隐蔽性高、传播速度快、自我复制强、难以防范等特点。高校财务信息数据通过网络在客户端与服务器端进行数据的相互交换和传递,极大增加了财务系统感染计算机病毒的风险,而一旦财务系统感染病毒势必会威胁到整个财务网络系统和数据安全。
3)非授权访问风险。在网络环境背景下,一些人可能会出于各种目的,避开计算机系统访问控制机制,对财务网络设备及数据资源进行非正常使用,扩大或改变权限访问财务数据信息,在网络上对财务数据进行修改,以及通过网络对财务系统进行攻击,这些将会对财务网络系统及数据造成严重破坏。
4)内部控制风险[3]。任何数据和系统都需要有效的管理机制,财务信息管理不断网络化,但针对其相应的内控管理制度却还不够健全。各种人为破坏及失职行为,比如伪造、窃取、删除等,都不能得到有效的控制与责任追究。
5)数据存储及传输风险。财务信息化后,电子数据成为财务信息管理的主要对象。对数据备份不够重视,没有形成定期备份的制度,会导致数据丢失后无法还原。或者,对数据存储介质管理不当,造成消磁或损坏,数据丢失。另外,电子数据除存储备份外还要在客户端和服务器之间相互传输,大大增加财务数据被截取、x改的可能,导致数据不准确或丢失。
2网络环境下财务信息化安全对策及防范
计算机网络的迅猛发展,网络财务信息安全成为重要的问题。为了确保网络环境下财务信息数据的安全,在实际工作中需注意以下几点:
1)提高运用网络安全技术,确保网络运行安全。除了运用法律和管理手段外,管理者还需依靠网络技术方法来实现保护网络背景下财务信息的安全可靠。目前,网络安全控制技术主要有:防火墙技术、访问控制技术、用户识别技术、网络安全漏洞扫描技术、网络反病毒技术、入侵检测技术等[4]。
2)加强对计算机病毒及人为破坏防范。建立合理有效的计算机病毒与人为破坏防范体系和制度,及时发现计算机病毒入侵情况后,采取有效的手段阻止计算机病毒的进一步传播和对系统的破坏;同时提高工作人员防范意识,遵守相关防范措施,制定具体的、切实可行的管理措施,防止人为因素的破坏。在安全防范体系中,每个责任主体都必须遵守安全行为规则,防范体系才可能运行好,才可能达到预期的防范效果。
3)完善财务信息内部控制制度。建立健全财务信息内部控制管理制度,明确内部岗位分工,利用岗位之间相互联系相互制约关系,确保财务信息数据安全可靠,防止对数据和软件的破坏性修改。加强计算机软硬件管理与维护制度,涉及财务信息数据的计算机做到专机专用,未经允许不得使用财务专用计算机。针对财务信息数据的操作须经主管批准,不得擅自进行。定期检查计算机软硬件系统,做好检查记录,对易损、易耗件经常更换,保证系统正常运行。故障发生时,及时解决问题,做好财务信息系统维护工作。
4)加强财务数据管理,做好数据备份。完善财务数据管理制度的制定,规范财务信息管理内部控制,明确各岗位职责,确保高校财务信息数据的安全可靠性。定期对财务信息数据进行备份,提高数据的完整性,避免由于硬件的故障而导致数据的丢失。对财务备份数据安排专人负责保管,未经领导批准不得对备份数据进行任何的操作。同时对存储备份数据的光盘、硬盘、磁盘等存储介质,按照相关规定的管理办法进行归档存放,并做好防火、防潮、防磁等工作,谨防外部因素造成对财务数据的破坏。
参考文献:
[1]孙瑾.谈高校网上财务信息的安全与对策[J].科技信息,2010(18):474-475.
[2]霍宏建.网络财务信息安全风险及防范[J].合作经济与科技,2012(435):86-87.
财务网络安全风险防范措施篇2
【关键词】网络财务软件风险对策
世纪之交,社会的信息化进程发生了重大的改革,互联网的触角已深入到各地区、各领域,全球贸易迅速发展,促使电子商务在世界各国都有长足的发展,电子商务无疑将成为网络时代的商业方式和企业生产方式。企业要想在这场革命中赢得胜利的果实,就必须顺应时代的发展,加入到电子商务的大潮流中来。电子商务不仅仅需要有互联网作为物质基础,而且还需要有适当的财务软件来支持它的运作。这是因为电子商务主要涉及的是企业对外的经营业务部分,于是不可避免地要发生支付、清算和税务等对外的财务往来业务。从而互联网环境下财务管理模式、财会工作方式的探索成为当前财会工作的焦点问题。
一、网络财务软件及其特点
网络财务软件是基于网络计算技术,以整合实现企业电子商务为目标,能够提供互联网环境下财务管理模式、财会工作方式及其各项功能的财务管理软件系统。实施网络财务软件为企业财务管理带来以下好处:
1、实现整个公司集中记账、集中资金调配。由于网络财务软件能够实现远程报表、远程报账、远程查账和远程审计等功能,因此大型企业可以通过互联网把所有公司紧密联系在一起,利用网络财务系统的集中管理,并基于软件提供的信息对资金进行统一调配。
2、帮助母公司加强对各分公司的监管。通过网络财务软件可以突破时空的局限,使物理距离变成鼠标距离,实时了解各分公司的财务状况,从而使得对分公司的监控变得简单易行。
3、使企业实现低成本运营。第一,降低人工成本。网络财务软件的实施能使集团企业精简庞大的财务机构组织,减少不必要的开支。第二,降低信息收集成本。通过网络,企业决策部门可随时了解、使用各种相关信息。第三,节约交易成本。网络使得企业能够选择相关产品中成本最低、质量最优、性能最佳的产品,而无须耗费大量人力物力调查谈判。第四,降低监督成本。无论是外部审计和内部审计都可彻底抛弃传统手工操作,实现远程审查。第五,节省纳税申报费用。企业与财政部门、税务部门可实现信息实时传送。
二、企业实施网络财务软件的风险
网络财务软件因其自身的优势无疑是解决企业现有问题最好的选择,但网络财务软件与单机版的财务软件相比,多了一重网络管理,它的实施将使企业在以下方面面临风险:
1、会计信息面临安全风险
会计信息是反映企业财务状况和经营成果的重要依据,不得随意泄漏、破坏和遗失。在网络环境下,过去以计算机机房为中心的“保险箱”式安全措施已不适用,大量的会计信息通过开放的internet传递,途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性。随着电子采购范围的扩大,尤其是通过互联网的电子采购范围的扩大,会给犯罪分子提供新的机会,其作案范围不再受时间和空间限制,互联网环境下会计信息的安全受到了严重的挑战。
2、网络系统面临安全风险
由于互联网的开放特性,能够上互联网的计算机系统可互相共享信息资源,同时也给一些非善意访问者以可乘之机。首先,黑客是危害互联网系统的主要祸手。从美国国防部网站被改头换面到中国的163网站的崩溃,从微软公司的开发蓝图被窃取,到美国总统克林顿的信用卡信息被盗,无不布满黑客的踪迹。其次计算机病毒的猖獗也为互联网系统带来更大的风险,从原始的木马程序到先进的cih、美丽莎病毒的肆虐,病毒制造者的技术日益高超,手段越来越凶狠,破坏力越来越大。另外,财务人员的自身道德素质也可能给网络系统带来危害,系统内部员工恶意破坏计算机数据的事件屡见不鲜。以上这些因素使网络系统的安全面临巨大的风险。
3、企业内部控制面临失效风险
传统会计系统非常强调对业务活动的使用授权批准如职责性、正确性、合法性,但是在网络财务软件中,会计信息的处理和存储集中于网络系统,大量不同的会计业务交叉在一起,加上信息资源的共享,财务信息复杂程序,交叉程序加快,使传统会计系统中某些职权分工、相互牵制的控制失效。此外计算机在硬件与软件结构、环境要求和文档保存等方面的特点决定了网络财务系统的内部控制必然具有新的内容,同时对会计的反映和监督职能提出更高的要求。
4、会计档案面临保存失效风险
网络财务软件的实施必然是对现有单机版、局域网络版财务软件和硬件系统的全面升级,但此时网络财务软件不一定兼容以前版本或其它品牌的财务软件。由于数据格式、数据接口不同,数据库被加密等原因,以前的会计信息可能不能被及时录入网络财务系统。因此,企业所保存的磁带、磁盘等数据资料面临失效风险。
5、企业面临人才缺乏风险
网络财务软件的实施,不仅仅是对财务软件的简单升级,它带来的更是财务管理方式、管理理念和方法与工具的变革。会计工作已变为一项高技术工作,它不仅需要会计人才、计算机专门人才,还需要既精通会计又熟悉计算机技术的复合人才。而企业目前会计人员的现状是学历层次较低,知识结构单一,一般会计人员较多,高层次会计人才缺乏。企业实施网络财务软件以后,如果没有高层次、高技术复合人才的支持与运作,网络财务、电子商务始终是一句空话,企业在竞争中必然处于劣势。
三、化解风险采取的对策
1、会计信息安全对策
保障会计信息安全的措施有三个方面的内容:一是采用有效安全技术,网络财务软件应采用两层加密技术。为防止非法用户窃取机密信息和非授权用户越权操作数据,在系统的客户端和服务器之间传输的所有数据都进行两层加密。第一层加密采用标准ssl协议,该协议能够有效地防破译、防篡改、防重发,是一种经过长期发展并被实践证明安全可靠的加密协议;第二层加密采用私有的加密协议,该协议不公开、不采用公开算法并且有非常高的加密强度。两层加密确保了会计信息的传输安全。二是制定和实施安全管理措施。企业应按照会计电算化的要求,按责、权、利相结合的原则,建立、健全和实施会计电算化岗位责任制度、安全日志制度等。三是国家适时进行社会立法和法律保障,使企业在计算机信息安全工作中有法可依。2000年4月我国公安部制定了《计算机信息系统安全保护等级划分准则》,将计算机信息系统安全保护等级分为用户自主、系统审计、安全标记、结构化和访问验证5个保护级,企业应根据系统重要程度确定相应的安全保护级别,并针对相应级别进行建设。
2、网络系统安全对策
为保护企业网络系统的安全,首要的措施是防火墙(firewall)技术。防火墙是一个由软件系统和硬件设备组合而成的,在内部网和外部网之间的界面上构造的保护屏障。它能够防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。防火墙产品主要有包过滤型和应用网关型两种类型。第二,在网络系统中应积极采用反病毒(antivirus)技术。在系统的运行与维护过程中应高度重视计算机病毒的防范及其相应的技术手段与措施。如采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;采用防病毒卡或芯片等硬件,能有效防治病毒;财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件。第三,及时做好备份工作。备份是防止网络财务系统意外事故最基本最有效的手段,它包括硬件备份、系统备份、财务软件系统备份和数据备份四个层次。
3、网络系统内部控制对策
传统会计系统的内部控制机制与手段已不适应网络环境,网络环境下会计信息系统必须针对网络的特点,建立适应网络系统的控制体系及相应的岗位责任制和内部控制制度。控制范围应由原来单一的财务部门转变为财务部门和计算机管理部门共同控制。控制方式应由单纯的手工控制转化为组织控制、手工控制和程序控制相结合的全面内部控制。在网络财务软件中实行新的程序控制方法:①采用用户名/口令体系安全技术方法,它可以在开机口令、网络用户名/口令和应用系统名/口令三个层次上使用。②实行用户级控制、数据库级控制和网络系统级控制相结合的多级权限控制机制。用户级能对网络用户进行合理的权限分工,实现操作权限的集中化管理,强化系统管理员对软件各模块操作的统一授权,防止非法用户获得使用权;数据库级防止不道德的软件人员对财务资料进行非法篡改;网络系统级能防止因断电、通信线路故障等意外所引起的资料损毁。通过程序控制,网络财务系统应能实现如下功能:①限制财务系统用户工作时间;②限制财务系统用户工作权限。
4、会计档案管理对策
为解决好网络财务软件对现有财务软件的升级换代问题,为保证会计档案数据存贮形式的连续性和一致性。第一,必须制定和执行标准的财务软件数据转换接口,使不同开发商的软件能够相互兼容会计数据,便于财务软件的升级。同时也使网络传送的数据、报表在银行、财政部门相互兼容。第二,为解决隔代数据兼容问题,应采用多种形式的会计数据备份策略,既要输入光盘、磁盘等光电介质,又要按规定打印输出,便于日后查询和故障恢复需要。第三,财务软件的升级尽量选择年初作为升级的起始期,因为年初客户和数据量较小,易检查,部分基础资料可根据实际需要进行修改,是软件升级的最佳时机。
5、企业人才策略
企业要顺应市场的竞争,必须重视人力资源的竞争。首先要引进高层次会计人才。所谓高层次人才,一是指既懂外语、又熟悉计算机操作、有实际工作能力及组织才能,善于攻关的人才;二是指懂得经营管理、能运用会计信息协助企业领导人进行筹划决策的开拓性人才。其次,为适应时代要求,必须有计划、有步骤、有针对性地组织开展现有会计人员的继续教育和培训工作。主要是改善会计人员的知识结构,不断进行知识更新。提高会计人员的计算机用水平,特别是计算机网络技术,提高会计人员的外语水平,培养熟悉科技与管理知识的复合型会计人才,使企业适应国际竞争需要。此外还要加强会计人员职业修养和道德建设,培训会计人员依法理财、秉公办事的意识。
【参考文献】
[1]王景新:新形势下财会软件开发中应当考虑的几个问题[j].财务与会计,2006(6).
财务网络安全风险防范措施篇3
[摘要]实施网络财务给企业带来利益的同时也给企业内部控制带来新问题。建立适应互联网环境的内部控制,其措施应基于企业的内部网络和外部网络两大方面来进行。
随着网络财务的逐步实施,企业会计核算与会计管理的环境发生了很大变化,传统会计系统的内部控制机制和手段已不适应于网络环境,从而建立适合于网络环境下的内部控制体系是目前企业急需解决的问题。为建立和加强网络财务系统的内部控制,首先必须要弄清网络财务为企业的内部控制带来的新问题与新要求。
一、网络财务时代企业内部控制面临的新问题
(一)网络财务的应用扩大了企业会计核算范围企业实施网络财务以后,会计核算环境发生了很大的变化。第一,会计部门的组成人员结构发生变化,由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二,会计业务处理范围变大,除完成基本的会计业务外,网络财务同时还集成许多管理以及财务的相关功能,诸如网上支付、网上催账、网上报税、网上报关、网上法规及财务信息查询,以及网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三,网络财务提供在线办公等服务,从而使会计信息的网上实时处理成为可能,原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此,要保证企业会计系统对企业经济活动反映的正确可靠,达到企业内部控制目标,企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。
(二)网络财务使会计信息储存方式和媒介发生变化
网络财务的应用使各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介发生变化。原始凭证在网络业务交易时自动产生并存入计算机,不再存在传统的原始凭证。会计电算化的第一阶段促进了介质的改变,从账本到磁盘文件。网络财务使会计介质继续发生变化,不仅账表,更多的介质将电子化,出现各种电子单据(如各种发票、结算单据)。存贮形式主要以网络页面数据存贮。发生业务交易时系统不一定打印原始记录;网页数据只能在计算机及相应的程序中阅读;原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机自动完成。因此,网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。
(三)网络财务使企业面临的安全风险加大
网络财务的应用将原来封闭的局域会计系统面临开放的互联网世界,给财务系统的安全提出了严重的挑战。第一,在网络环境下,过去以计算机机房为中心的“保险箱”式安全措施已不适用,大量的会计信息通过开放的internet传递,途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机。目前黑客肆虐,世界上的各类网站每天都受到成千上万次攻击,网络财务系统无疑也面临巨大的安全风险。第三,计算机病毒的猖撅也为互联网系统带来更大的风险。在互联网中,计算机病毒可以通过e-mail或用户下载文件进行传播,其传播速度是单机的20倍。有效地防治计算机病毒对保障网络财务系统的安全性至关重要。因此,网络财务系统的内部控制不仅难度大、复杂,而且还要有各种控制的先进技术手段。
二、网络财务内部控制措施
(一)基于企业内部网(intranet)的控制措施
1.会计信息资源控制。会计信息来源于网络服务器的数据库系统中,所以网络数据库系统是整个网络财务系统控制的重点目标。威胁数据库系统的安全主要有两个方面:一是网络系统内外人员对数据库的非授权访问;二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁,会计信息资源控制应采取以下措施:(1)采用三层式客户机/服务器模式组建企业内部网,即利用中间服务器隔离客户与数据库服务器的联系,实现数据的一致性;(2)采用较为成熟的大型网络数据库产品并合理定义应用子模式。子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;(3)建立会计信息资源授权表制度;(4)采取有效的网络数据备份、恢复及灾难补救计划。
2.系统开发控制。它是一种预防性控制,目的是确保网络财务系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关机关和部门制订的标准和规范。(1)在网络财务系统开发之初,要进行详细的可行性研究;(2)在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制订有效的内部控制方案并在系统中实施;(3)在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各种标准进行;(4)系统运行前对有关人员进行培训,不仅培训系统的操作,还要使受训人员了解系统投入运行后新的内部控制制度和网络财务提供的高质量会计信息的进一步分析与利用等;(5)及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段,做好各项转换的准备工作,如旧系统的结算、汇总,人员的重新配置,新系统初始数据的安全导入等。
3.系统应用控制。是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。(1)在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验,如总数据控制校验、平衡校验、数据类型校验、二次录入校验等;(2)在处理控制中,对数据进行有效性控制和文件控制。有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、标识和是否染毒等;(3)在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息;二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
4.系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络财务系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都应设置必要的控制,维护的原因和性质必须有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络财务系统操作员不能参与软件的修改,所有与系统维护有关的记录都应打印后存档。
5.管理控制。是指企业为加强和完善对网络财务系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络财务系统是一种分布式处理结构,计算机网络分布于企业各业务部门,实现财务与业务协同处理,因此原来集中处理模式下的行政控制转变为间接业务控制。主要应做好如下几方面的工作:(1)设置适应于网络下作业的组织机构并设置相应的工作站点;(2)合理建立上机管理制度,包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等;(3)建立完备的设备管理制度,对硬件设备所处的环境进行温度、湿度、防静电控制,做好网络的绝缘、接地和屏蔽工作,同时对人文环境进行控制,防止无关人员上机操作;(4)建立完备的内审制度。
(二)基于企业外部网(extranet)的控制措施
1.周界控制。是指通过安全区域的周界实施控制来达到保护区域内部系统安全的目的。它是预防外来攻击措施的基础,主要内容包括:(1)设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过电话网络进入系统;(2)建立防火墙(firewall),在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。
2.大众访问控制。大众访问包括文件传递、电子邮件、网上会计信息查询等。由于互联网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的,因此,企业应在网络财务系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:(1)在网络财务系统中设置多重口令,对用户的登录名和口令的合法性进行检查;(2)合理设置网络资源的属主、属性和访问权限。资源的属主体现不同用户对资源的从属关系,如建立者、修改者等;资源的属性表示资源本身的存取特性,如读、写或执行等;访问权限体现用户对网络资源的可用程度;(3)对网络进行实时监视,找出并解决网络上的安全问题,如定位网络故障点、捉住非法入侵者、控制网络访问范围等;(4)审计与跟踪,包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。
3.电子商务控制。网络财务是电子商务的基石,是电子商务的重要组成部分,因此,对电子商务活动也必须进行管理与控制。主要措施有:(1)建立与关联方的电子商务联系模式;(2)建立网上交易活动的授权、确认制度,以及相应的电子会计文件的接收、签发验证制度;(3)建立交易日志的记录与审计制度。
4.远程处理控制。网络财务系统的应用为跨国企业、集团企业实现远程报表、远程报账、远程查账、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用必须采取相应的控制措施,主要有:(1)合理设计网络财务系统各分支系统的安全模式并实施;(2)进行远程处理规程控制。
5.数据通讯控制。数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施。企业应采取各种有效手段来保护数据在传输过程中准确、安全、可靠。主要措施有:(1)保证良好的物理安全,在埋设地下电缆的位置设立标牌加以防范,尽量采用结构化布线来安装网络;(2)采用虚拟专用网(vpn)线路传输数据;(3)对传输的数据进行加密与数字签名。在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性。
6.防病毒控制。在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施:(1)对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;(2)采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;(3)在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒;(4)财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;(5)对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;(6)及时升级本系统的防病毒产品。
[参考文献]
[1]严绍业。互联网-改变财务软件的十个方面[j].中国会计电算化,2000,(1):10-12.
财务网络安全风险防范措施篇4
随着互联网的飞速发展,财务电算化也在向财务网络信息化的方向发展,企业会计核算与会计管理的环境发生了很大变化,传统会计系统的内部控制机制和手段已不适应于网络环境,从而建立适合于网络环境下的内部控制体系是目前企业急需解决的问题。为建立和加强网络财务系统的内部控制,首先必须要弄清网络财务为企业的内部控制带来的新问题与新要求。
一、网络财务时代企业内部控制面临的新问题
(一)网络财务的应用扩大了企业会计核算范围企业实施网络财务以后,会计核算环境发生了很大的变化。第一,会计部门的组成人员结构发生变化,由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二,会计业务处理范围变大,除完成基本的会计业务外。网络财务同时还集成许多管理以及财务的相关功能,诸如网上支付、网上催账、网上报税、网上报关、网上法规及财务信息查询,以及网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三,网络财务提供在线办公等服务,从而使会计信息的网上实时处理成为可能,原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此,要保证企业会计系统对企业经济活动反映的正确可靠,达到企业内部控制目标,企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。
(二)网络财务使会计信息储存方式和媒介发生变化
网络财务的应用使各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介发生变化。原始凭证在网络业务交易时自动产生并存入计算机,不再存在传统的原始凭证。会计电算化的第一阶段促进了介质的改变,从账本到磁盘文件。网络财务使会计介质继续发生变化,不仅账表,更多的介质将电子化,出现各种电子单据(如各种发票、结算单据)。存贮形式主要以网络页面数据存储。发生业务交易时系统不一定打印原始记录;网页数据只能在计算机及相应的程序中阅读;原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机自动完成。因此。网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。
(三)网络财务使企业面临的安全风险加大
网络财务的应用将原来封闭的局域会计系统面临开放的互联网世界,给财务系统的安全提出了严重的挑战。第一,在网络环境下,过去以计算机机房为中心的“保险箱”式安全措施已不适用,大量的会计信息通过开放的internet传递,途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机。目前黑客肆虐,世界上的各类网站每天都受到成千上万次攻击,网络财务系统无疑也面临巨大的安全风险。第三,计算机病毒的猖獗也为互联网系统带来更大的风险。在互联网中,计算机病毒可以通过e-mail或用户下载文件进行传播,其传播速度是单机的20倍。有效地防治计算机病毒对保障网络财务系统的安全性至关重要。因此,网络财务系统的内部控制不仅难度大、复杂,而且还要有各种控制的先进技术手段。
二、网络财务内部控制措施
(一)基于企业内部网(intranet)的控制措施
1 会计信息资源控制。会计信息来源于网络服务器的数据库系统中,所以网络数据库系统是整个网络财务系统控制的重点目标。威胁数据库系统的安全主要有两个方面:一是网络系统内外人员对数据库的非授权访问;二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁,会计信息资源控制应采取以下措施:(1)采用三层式客户机/服务器模式组建企业内部网,即利用中间服务器隔离客户与数据库服务器的联系,实现数据的一致性;(2)采用较为成熟的大型网络数据库产品并合理定义应用子模式。子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;(3)建立会计信息资源授权表制度;(4)采取有效的网络数据备份、恢复及灾难补救计划。
2 系统开发控制。它是一种预防性控制,目的是确保网络财务系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关机关和部门制订的标准和规范。(1)在网络财务系统开发之初,要进行详细的可行性研究;(2)在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制订有效的内部控制方案并在系统中实施;(3)在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各
种标准进行:(4)系统运行前对有关人员进行培训,不仅培训系统的操作,还要使受训人员了解系统投入运行后新的内部控制制度和网络财务提供的高质量会计信息的进一步分析与利用等:(5)及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段,做好各项转换的准备工作,如旧系统的结算、汇总,人员的重新配置,新系统初始数据的安全导入等。
3 系统应用控制。是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。(1)在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验,如总数据控制校验、平衡校验、数据类型校验、二次录入校验等;(2)在处理控制中,对数据进行有效性控制和文件控制。有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括检查文件长度、标志和是否染毒等:(3)在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息;二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。
4 系统维护控制。系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络财务系统进行维护必须经过周密计划和严格记录。维护过程的每一环节都应设置必要的控制,维护的原因和性质必须有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络财务系统操作员不能参与软件的修改,所有与系统维护有关的记录都应打印后存档。
5 管理控制。是指企业为加强和完善对网络财务系统涉及的各个部门和人员的管理和控制所建立的内部控制制度。由于网络财务系统是一种分布式处理结构,计算机网络分布于企业各业务部门,实现财务与业务协同处理,因此原来集中处理模式下的行政控制转变为间接业务控制。主要应做好如下几方面的工作;(1)设置适应于网络下作业的组织机构并设置相应的工作站点;(2)合理建立上机管理制度,包括轮流值班制度、上机记录制度、完善的操作手册和上机时间安排并保存完备的操作日志文件等;(3)建立完备的设备管理制度,对硬件设备所处的环境进行温度、湿度、防静电控制,做好网络的绝缘、接地和屏蔽工作,同时对人文环境进行控制,防止无关人员上机操作:(4)建立完备的内审制度。
(二)基于企业外部网(extranet)的控制措施
1 周界控制。是指通过安全区域的周界实施控制来达到保护区域内部系统安全的目的。它是预防外来攻击措施的基础,主要内容包括:(1)设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过电话网络进入系统:(2)建立防火墙(firewall),在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源,执行安全管理措施,记录所有可疑事件。
2 大众访问控制。大众访问包括文件传递、电子邮件、网上会计信息查询等。由于互联网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的,因此,企业应在网络财务系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:(1)在网络财务系统中设置多重口令,对用户的登录名和口令的合法性进行检查;(2)合理设置网络资源的属主、属性和访问权限。资源的属主体现不同用户对资源的从属关系,如建立者、修改者等;资源的属性表示资源本身的存取特性,如读写或执行等;访问权限体现用户对网络资源的可用程度;(3)对网络进行实时监视,找出并解决网络上的安全问题,如定位网络故障点、捉住非法入侵者、控制网络访问范围等;(4)审计与跟踪,包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。
3 电子商务控制。网络财务是电子商务的基石,是电子商务的重要组成部分,因此,对电子商务活动也必须进行管理与控制。主要措施有:(1)建立与关联方的电子商务联系模式;(2)建立网上交易活动的授权、确认制度,以及相应的电子会计文件的接收、签发验证制度;(3)建立交易日志的记录与审计制度。
4 远程处理控制。网络财务系统的应用为跨国企业、集团企业实现远程报表、远程报账、远程查账、远程审计以及财务远程监控等远程处理功能创造了条件。这些功能的启用必须采取相应的控制措施,主要有:(1)合理设计网络财务系统各分支系统的安全模式并实施;(2)进行远程处理规程控制。
财务网络安全风险防范措施篇5
论文关键词:会计信息化,会计信息系统,会计信息系统安全,措施
一、会计信息系统的
(一)会计信息系
信息系统的概念暗示着在组织中应用计算机技术来为用户提供“基于”计算机的信息系统,是用于将数据转换为
(二)会计信息化
会计信息化是一项融现代信息技术、计算机网络技术和会计理论及实务于一体的边缘学科和系统工程;是基于现代信息技术平台,融物流、资金流、信息流与业务流为一体,反映会计与现代信息技术相结合的
(三)会计信息化条件下会
1、复杂性<
会计信息化下的会计信息系统从技术手段上看,不仅要采用计算机技术,而且,
2、开放性
在网络环境下,由于采用了现代信息技术,数据处理高度自动化,会计信息资源高度共享。大量的数据通过网络从企业内外有关系统直
3、动态性
在信息化条件下,会计子系统只是企业管理信息系统的一个组成部分,与其它子系
4、集成性
信息化条件下,由于会计子系统与其他子系统之间有着密切联系。所以,分销、制造子系统的业务数据能够通过信
二、信息化条件下会计信息
会计信息系统的安全是指系统保持正常稳定运行状态的能力措施,信息安全是会计信息系统安全的核心。在信息化条件下,由于会计信息
(一)软件因素导致
软件是会计信息系统安全运行的灵魂,软件本身的正确完整是会计信息系统得以正常、
1、对数据的安全保密性弱。许多软件在开发过程中,只注重软件的功能性,而不注重其安全性,从而使得会计软件的设计总是存在这样或那样的漏洞。例如,很多软件
2、有些财务软件是对现有单机版、局域网络版财务软件和硬件系统的全面升级。但这些网络财务软件不一定兼容以前版本或其他财务软件。由于数据格式、数据接口不同,数据库被加密等原因,以
(二)会计从业人员计算机知识
在会计信息化条件下,采集会计信息的方式除了键盘和鼠标的传统方式外,还可以通过网上下载、电子邮件、语音输入、条码阅读等方式,而会计信息的输出除了传统的打印和屏幕查询外,也可以通过文件传
而我国的现实情况是一般会计人员业务经验丰富,而计算机专业知识和网络知识却很匮乏,难以胜任用计算机和互联网处理会计业务工作,从而导致会计工作人员的操作不够规范严密,对
(三)网络系统下道德因素
1、企业内部人员道德因素
网络会计信息的无纸化,缺少了手工操作时的内部控制所能依赖的书面审计线索,再加上计算机的自动高效使工作人员减少,各种手续都被合并到一起由计算机统一执行,从而不能像手工方式那样相互牵制,构成内控隐患,所以网络安全的最大风险来自于组织内部,一些研究网络信息安全的调查人员发现,大部分的非法闯入者是
2、竞争对手的道德因素导
重要数据的窃取是当今商务领域的一个严重的问题。在许多高度竞争的行业中,对竞争对手定量和定性信息的挖掘从未停止过。在信息化条件下大量信息资料在因特网之间加以传送。这些信息很容易在传送途中被拦截或窃听。比如,在由计算机处理的信息中,有很
3、企业非相关人员的道德因
非相关人员道德因素导致的安全隐患主要是指对计算机的恶意破坏,计算机的恶意破坏对于任何信息系统都会造成严重的威胁,其以成为网络安全的主要问题。尽
恶意破坏的实施方式更是层出不穷:有比较古老的方法,比如说措施,逻辑炸弹。一枚逻辑炸弹含有一段嵌于程序中的、可以被特定事件激活的隐匿密码。另外还有表面正常的特洛
三、会计信息系统的安
(一)软件因素的安
1、慎重的选择符合企业
首先,应该选择具有财政部颁发的《商品化会计核算软件评审合格证》的软件。其次,软件指标应该符合单位特殊核算的要求和行业特性以及单位发展的
2、定时对软件应用进
应用程序和软件系统在执行前应进行严格的检查,在确保数据处理无误的情况下,才能进行会计信息化处理业务,在计算机工作期间要定期检查监控应用程序和系统软件的可靠性,确保软
(二)人才因素的安
信息化条件下对会计人员提出了更高的要求,要求财会人员不仅要掌握扎实的会计知识和技能,还要有相应的计算机、网络及软件应用知识。当前重要的一点就是要培养一大批既懂得网络信息技术,又具备商务经营管理知识,且精通会计知识的复合型人才。要适应信息化会计发展的需要,国家必须注重这类人才的培养和开发,这是信
(三)道德因素的安
1、企业相关者的安全
首先,建立输入控制制度,为会计信息系统的安全提供基础保证。具体
其次,建立操作控制制度,为会计信息系统的安全提供操作层面保证。建立操作权限安全控制,防止越权使用操作对系统带来的影响;建立严格
再次,建立内部监督管理机制,为会计信
2、非企业相关者的安
针对一些不法人士对计算机的恶意破坏,我们不仅要有一些被动防范,更要采取一些积极措施。被动防范主要有:不使用盗版软件;不打开和阅读来历不明的电子邮件。主动措施主要有:经常对计算机进行软盘和硬盘的病毒检测并对相关的软件进行及时的升级;设置防火墙,将黑客阻挡在内部网络之外;严格网内主机管理;设置好
四、结束语
总之,会计信息化条件下的会计信息系统,已经完全于融合于互联网中,它在提高财务管理效率的同时,其自身的风险也在加大。分析信息化条件下的会计信息系统面临的主要风险,并提出相应的解决措施,对于企业的信息化进程有极大的促进作用。
网络环境,对操作命令的使用必须严格限制,有条件的单位可以设置网络机关,把本单位网络与外网隔离。其次,可以利用信息加密技术中的非对称加密机制,实现共同保守会计数据秘密。最后,可采用一种主动控制技术即入侵检测技术,用来监听流动的网络上的数据包,并能识别具有黑客攻击的数据包。
全防范措施
息系统的安全提供内部保障。
的操作控制来规范对会计信息系统的操作措施,保证即使系统本身由于开发存在的不足引发的系统异常的情况下仍然能保证系统继续运行。
操作时分别建立会计确认安全控制和记账凭证的输入安全控制。
防范措施
全防范措施
息时代保证企业乃至国家在激烈的市场竞争中制胜的关键所在。因此,要加快调整现行会计教育体系,加大对现有会计人员关于网络会计知识的后续教育。为此,企业可以让财会人员进修计算机课程,还可以让计算机人员、在岗人员实习并进修财会知识,以增加本企业的复合型知识结构人才,降低企业的信息安全隐患。
全防范措施
件输出结果正确,确保数据库不被绕开财务软件直接进行访问或使用数据库工具对数据库进行直接修改,这样,可以有效地避免来自会计软件的风险,避免错误的会计信息产生。
行正确性检查
需要,能保证会计数据安全可靠,同时也应符合操作方便、通俗易懂、售后服务好、能及时提供日常维护、版本升级和软件二次开发等要求。
自身需要的软件
全防范措施
全防范措施
伊木马,以及与特洛伊木马相似,但可以将自身传递给其它程序的一种电脑病毒程序。在实际中,电脑病毒已经相当普遍,多数电脑每年至少遭受一次电脑病毒的攻击。
管各大企业每年用于网络安全的年费用支出很多,但黑客们对于互连网站的成功攻击还是有增无减。对计算机或软件的破坏足以导致一个公司的破产。
素导致的安全隐患
大比例是通过电信或电缆传输的。一些信息也许仅仅从一个房间传送到另一个房间,另一些信息可能通过因特网在不同的国家之间传送。这些路线都容易受到搭线密听者的袭击,它们甚至可以被一些廉价的安装设备驱动程序在不留任何线索的情况下被破坏。
致的安全隐患
企业雇员。在企业中,计算机维护员、程序员、网络操作员、信息系统管理员都有各种机会把威胁引入信息系统。他们常常通过在会计系统中输入虚构的交易,或与非雇员合作,转移资产,据为己有,从而形成欺诈性的财务报告。另外,对公司不满的雇员,尤其是已被解雇的雇员,也有可能是电脑系统恶意破坏的罪犯。
导致的安全隐患
导致的安全隐患
软件运行过程中出现的故障不能及时排除,对于计算机网络问题更是无从解决,进而使系统不能正常运行,重要的会计信息丢失。这就给会计的信息安全问题带来了重大隐患。
输、电子邮件、多媒体等方式,种种这些都对会计从业人员提出了更高的要求。如果企业在没有复合型,高层次的会计人员的前提下盲目的推行会计信息化的话措施,只会让会计信息系统面临更大的风险。
的缺乏导致的安全隐患
前的财务信息可能不被及时录入网络财务系统。对于若干年前保存的会计档案更不可能兼容,从而使得原有财务信息在新的网络财务系统中无法查询,致使这种会计档案面临失效风险。
都缺乏操作日志记录功能,对操作人员、操作时间和操作内容没有完整记录下来,出现问题无法追究责任,软件质量的缺陷为外部恶意攻击提供可乘之机。
安全运行的前提条件。从目前情况来看,我国会计软件主要存在以下安全隐患。
的安全隐患
系统具有开放性、复杂性、动态性、集成性等特点,使得会计信息系统的安全隐患更加突出。具体体现在以下几个方面:
系统存在的安全隐患
息集成直接传入会计子系统。自动采集业务数据,自动选择总账科目和明细账科目,自动生成记账凭证。
统之间有着密切联系,每个相关人员都可以动态的跟踪企业的业务变动。
接采集,而企业内外的各个机构、部门也可根据授权,通过internet从系统直接获取信息,会计信息系统日趋开放。
更要以网络技术和通讯等现代技术为主,来进行会计信息系统的构建。
br>计信息系统的特点
、高度数字化、多元化、实时化、个性化、动态化的会计信息系统,是在新的会计思想的指导下进行会计业务流程重组,并在这一系列过程中建立起以“集成”与“互动”为特征的现代会计信息系统。
的内涵
有用信息的硬件和软件的总称。类似的,会计信息系统是基于计算机的,将会计数据转换为信息的系统。
统概念
概述及其特点
参考文献:
[1]于泽.会计信息化系统中的安全风险及对策研究[J].山西建筑,2009(06)
[2]王成,王世波,张凤玲.会计信息系统风险分析于防范[J].中国农业会计,2008(08)
[3]姜颖,曲晓桦.网络会计信息安全性的探讨[J].中国乡镇企业会计,2009(07)
[4]郝玉清.网络会计的信息安全问题及其防范策率[J].财务与审计,2007(08)
[5]王华娟.论网络会计信息安全系统存在的问题与管理[J].商业经济,2009(02)
[6]谢琨.从会计电算化到会计信息化[J].会计信息化专题,2004
[7]GeorgeH.Bodnar,williamS.Hopwood.卢俊一译.会计信息系统[m].清华大学出版社,2003,154-155
财务网络安全风险防范措施篇6
【关键词】网络会计信息系统安全
我国会计电算化事业自1979年起步以来,已经历了接近30年的发展历程,进过几个阶段的发展,会计电算化事业已经到达了一个崭新的阶段,会计软件日趋成熟,软件的商品化、市场化已经达到了相当的规模。为此,财政部于1994年陆续下发了若干促进会计电算化发展和规范会计工作的相关文件,其中《关于大力发展我国会计电算化的意见》明确了我国会计电算化的总体目标,即到2008达到80%以上,主要贡献于相关单位的应收应付款核算、固定资产核算、材料核算、成本核算、工资核算、会计报表生成与汇总等基本会计核算业务方面实现电算化。与之共同成长的就是计算机网络的快速发展应用,如何保证网络会计的信息安全,是我们从业人员应该注意维护的重要事项。网络会计信息的安全是指系统保持正常稳定运行状态的能力,即在网络环境下对各种交易和事项进行确认、计量和批漏的活动,以及财务数据处理的各个环节,也就是说既要包括操作这个系统的人和做为系统处理对象的那些数据,也包括系统所处的那个环境。所以,网络会计信息系统的安全建设是全方位的系统工程。会计信息系统如同金库中的资金,信息安全是会计信息系统安全的核心,确保信息的生存性、完整性、可用性和保密性是会计信息系统的中心任务。信息系统是为承载、传输、处理、保存、输入、输出、查询信息提供服务的基础,信息系统的安全是信息安全的基本保障。
一、网络会计信息系统的安全风险主要表现
会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。会计信息系统的安全风险是指有人为的或非人为的因素是会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面。
1.会计信息的真实性、可靠性。开放性的网络会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。
2.企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。
3.会计信息是否被篡改。会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。
4.网络系统的安全性。网络是一把双刃剑,它使企业在利用lnternet网寻找潜在的贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:泄密与恶意攻击。所谓泄密是指未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或卖出商业机密换取钱财。所谓恶意攻击是指网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。
二、网络会计信息系统安全应考虑的一般原则
1.需求、风险、代价平衡分析的原则
任何网络的绝对安全都是难以达到的,也不一定是必要的。对一个网络要进行实际的研究,并对网络面临的威胁及可能承担的风险进行定性与定量相结合的分析,然后确定本系统的安全策略。
2.综合性、整体性原则
应运用系统工程的观点、方法、分析网络的安全及具体的措施。安全措施包括:行政法律手段、各种管理制度(人员审查、工作流等)以及专业技术措施。一个较好的安全措施往往是多种方法适当综合的应用结果。总之,不同的安全措施的代价、效果对不同的网络并不完全相同,根据确定的安全策略制定出合理的网络体系结构及网络安全体系结构。
3.一致性原则
一致性原则是指网络安全问题应存在于整个网络的工作周期,制定的安全体系结构必须与网络的安全需求相一致,安全的网络系统设计及实施计划、网络验证、验收、运行等,都要有安全的内容及措施。实际上,在网络建设的初期就应该考虑网络安全对策,比等网络建设好后再考虑安全措施不但较容易,且成本也大大的降低。
三、网络会计信息系统安全的几项措施
通过加强会计信息系统的安全建设与管理,提高会计信息系统安全的防护和反应综合能力,使系统能够抵御各种威胁,有效保护企业资产,提高会计的完整服务。在会计信息系统建设过程中,必须克服“重建设轻安全、重技术轻管理、重使用轻维护”的思想。应逐步建立以“检查与管理、保密与防护、检测与防治、测评与服务”为基本结构的安全管理和技术系统。通过管理和技术两种手段,使会计信息系统的技术风险防范能力不断提高到一个新的水平。为了更好的利用网络会计带来的优势,保证信息数据质量和安全,应从以下几方面入手,以网络技术为基础,结合会计需要,确保网络安全有效的传递信息。
1.系统加密管理。在会计信息系统中,对一些须严格控制操作的环节,设上“双口令”只有“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置,不得告知他人。对“双口令”进行“并钥”处理后,方可执行相应的操作。这样不仅加强了控制管理,保证了数据安全,而且也保护了相关的人员,便于分清各自的责任。
2.形成网上公证由第三方牵制的安全机制。网络环境下原始凭证用数字方式进行存储,应利用网络所特有的实时传输功能和日益丰富的互联网服务项目,实现原始交易凭证的第三方监控(即网上公证)。
3.建立严格的数据存储措施。为了提高系统数据的安全性和在意外情况下的“自救能力”,应建立双备份,备份后的两份数据应有不同的人员持有,另一份是非加密的,有具体操作人员使用。对一些重要的数据,可采用分布存储。
所谓分布存储,是指对数据文件采用一定的算法,将数据串分到两个或两个以上的新串中,组成新的两个或多个文件,并存在不同的物理存储设备中,甚至是异地设备中。
4.完善和积极实施法律法规。国家应尽快建立和完善电子商务法规,以规范网上交易的购销、支付及核算行为;借签国外有关研究成果和实践经验,制定符合我国国情的网络会计信息管理、财务报告披露的法规、准则,具体规定企业网上披露的义务与责任、网络会计信息质量标准要求、监管机构及其权责等,为网络会计信息系统提供一个良好的社会环境。
参考文献:
[1]韩杰,金光华.电算化内部控制的研究.
财务网络安全风险防范措施篇7
关键词:网络审计 历史财务报表审计 信息安全管理 风险评估
一、引言
从审计的角度,风险评估是现代风险导向审计的核心理念。无论是在历史财务报表审计还是在网络审计中,现代风险导向审计均要求审计师在执行审计工作过程中应以风险评估为中心,通过对被审计单位及其环境的了解,评估确定被审计单位的高风险领域,从而确定审计的范围和重点,进一步决定如何收集、收集多少和收集何种性质的证据,以便更有效地控制和提高审计效果及审计效率。从企业管理的角度,企业风险管理将风险评估作为其基本的要素之一进行规范,要求企业在识别和评估风险可能对企业产生影响的基础上,采取积极的措施来控制风险,降低风险为企业带来损失的概率或缩小损失程度来达到控制目的。信息安全风险评估作为企业风险管理的一部分,是企业信息安全管理的基础和关键环节。尽管如此,风险评估在网络审计、历史财务报表审计和企业信息安全管理等工作中的运用却不尽相同,本文在分析计算机信息系统环境下所有特定风险和网络审计风险基本要素的基础上,从风险评估中应关注的风险范围、风险评估的目的、内容、程序及实施流程等内容展开,将网络审计与历史财务报表审计和信息安全管理的风险评估进行对比分析,以期深化对网络审计风险评估的理解。
二、网络审计与历史财务报表审计的风险评估比较
(一)审计风险要素根据美国注册会计师协会的第47号审计标准说明中的审计风险模型,审计风险又由固有风险、控制风险和检查风险构成。其中,固有风险是指不考虑被审计单位相关的内部控制政策或程序的情况下,其财务报表某项认定产生重大错报的可能性;控制风险是被审计单位内部控制未能及时防止或发现财务报表上某项错报或漏报的可能性;检查风险是审计人员通过预定的审计程序未能发现被审计单位财务报表上存在重大错报或漏报的可能性。在网络审计中,审计风险仍然包括固有风险、控制风险和检查风险要素,但其具体内容直接受计算机网络环境下信息系统特定风险的影响。计算机及网络技术的应用能提高企业经营活动的效率,为企业的经营管理带来很大的优越性,但同时也为企业带来了一些新的风险。这些新的风险主要表现为:(1)数据与职责过于集中化。由于手工系统中的职责分工、互相牵制等控制措施都被归并到计算机系统自动处理过程中去了,这些集中的数据库技术无疑会增加数据纵和破坏的风险。(2)系统程序易于被非法调用甚至遭到篡改。由于计算机系统有较高的技术要求,非专业人员难以察觉计算机舞弊的线索,这加大了数据被非法使用的可能性。如经过批准的系统使用人员滥用系统,或者说,企业对接近信息缺乏控制使得重要的数据或程序被盗窃等。(3)错误程序的风险,例如程序中的差错反复和差错级联、数据处理不合逻辑、甚至是程序本身存在错误等。(4)信息系统缺乏应用的审计接口,使得审计人员在审计工作中难以有效地采集或获取企业信息系统中的数据,从而无法正常开展审计工作。(5)网络系统在技术和商业上的风险,如计算机信息系统所依赖的硬件设备可能出现一些不可预料的故障,或者信息系统所依赖的物理工作环境可能对整个信息系统的运行效能带来影响等。相对应地,网络审计的固有风险主要是指系统环境风险,即财务电算化系统本身所处的环境引起的风险,它可分为硬件环境风险和软件环境风险。控制风险包括系统控制风险和财务数据风险,其中,系统控制风险是指会计电算化系统的内部控制不严密造成的风险,财务数据风险是指电磁性财务数据被篡改的可能性。检查风险包括审计软件风险和人员操作风险,审计软件风险是指计算机审计软件本身缺陷原因造成的风险,人员操作风险是指计算机审计系统的操作人员、技术人员和开发人员等在工作中由于主观或客观原因造成的风险。
(二)风险评估目的无论在网络审计还是历史财务报表审计中,风险评估只是审计的一项重要程序,贯穿于审计的整个过程。与其他审计程序紧密联系而不是一项独立的活动。尽管如此,两者所关注的风险范围则有所不同。历史财务报表审计的风险评估要求审计人员主要关注的是被审计单位的重大错报风险――财务报表在审计前存在重大错报的可能性。由于网络审计的审计对象包括被审计单位基于网络的财务信息和网络财务信息系统两类,因此审计人员关注的风险应是被审计单位经营过程中与该两类审计对象相关的风险。(1)对于与企业网络财务信息系统相关的风险,审计人员应该从信息系统生命周期的各个阶段和信息系统的各组成部分及运行环境两方面出发进行评估。信息系统生命周期是指该信息系统从产生到完成乃至进入维护的各个阶段及其活动,无论是在早期的线性开发模型中还是在更为复杂的螺旋式等模型中,一个信息系统的生命周期大都包括规划和启动、设计开发或采购、集成实现、运行和维护、废弃等五个基本阶段。由于信息系统在不同阶段的活动内容不同,企业在不同阶段的控制目标和控制行为也会有所不同,因此,审计人员的风险评估应该贯穿于信息系统的整个生命周期。信息系统的组成部分是指构成该信息系统的硬件、软件及数据等,信息系统的运行环境是指信息系统正常运行使用所依托的物理和管理平台。具体可将其分为五个层面:物理层,即信息系统运行所必备的机房、设备、办公场所、系统线路及相关环境;网络层,即信息系统所需的网络架构的安全情况、网络设备的漏洞情况、网络设备配置的缺陷情况等;系统层,即信息系统本身的漏洞情况、配置的缺陷情况;应用层,即信息系统所使用的应用软件的漏洞情况、安全功能缺陷情况;管理层,即被审计单位在该信息系统的运行使用过程中的组织、策略、技术管理等方面的情况。(2)对于与企业基于网络的财务信息相关的风险,审计人员应着重关注财务信息的重大错报风险和信息的安全风险。重大错报风险主要指被审计单位基于网络的相关财务信息存在重大错报的可能性,它是针对企业借助于网络信息系统或网络技术对有关账户、交易或事项进行确认、计量或披露而言。网络审计中关注的重大错报风险与传统审Ctt的内涵基本上是一致的,审计人员在审计时应当考虑被审计单位的行业状况、经营性质、法律及监管环境、会计政策和会计方法的选用、财务业绩的衡量和评价等方面的情况对财务信息错报可能的影响。信息安全风险涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的风险,主要针对企业利用信息系统或一定的网络平台来存储、传输、披露相关财务信息而言。在审计过程中,审eta员应当主要关注相关财务信息被盗用、非法攻击或篡改及非法使用的可能性。当然,这两类风险并非完全分离的,评估时审计人员应将两者结合起来考虑。
(三)风险评估内容 广泛意义的风险评估是指考虑潜在事件对目标实现的影响程度。由于网络审计与历史财务报表审计风险评估的目的并不完全相同,因此两者在风险评估的内容上也是存在区别的。总的来说,网络审计的风险评估内容比历史财务报表审计的风险评估内容更广泛和深入。根据《中国注册会计师审计准则第1211号――了解被审计单位及其环境并评估重大错报风
险》,在历史财务报表审计中,审计人员的风险评估应以了解被审计单位及其环境为内容。为识别和评价重大错报风险,审计人员了解的具体内容包括被审计单位所在行业状况、法律环境与监管环境以及其他外部因素、被审计单位的性质、被审计单位对会计政策的选择和运用、被审计单位的目标、战略以及相关经营风险、被审计单位财务业绩的衡量和评价及被审it@位的内部控制等。在网络审计中。为了识别和评估上文所述的两类风险,审计人员除了从以上方面了解被审计单位及其环境外,还应该关注其他相关的潜在事件及其影响,尤其是企业的财务信息系统及基于网络的财务信息可能面l临的威胁或存在的脆弱点。其中,威胁是指对信息系统及财务信息构成潜在破坏的可能性因素或者事件,它可能是一些如工作人员缺乏责任心、专业技能不足或恶意篡改等人为因素,也可能是一些如灰尘、火灾或通讯线路故障等环境因素。脆弱点是指信息系统及基于网络的财务信息所存在的薄弱环节,它是系统或网络财务信息本身固有的,包括物理环境、组织、过程、人员、管理、配置、硬软件及信息等各方面的弱点。一般来说,脆弱点本身不会带来损失或信息错报,威胁却总是要利用网络、系统的弱点来成功地引起破坏。因此,我们认为网络审计申风险评估的内容应包括以下几方面:(1)识别被审计单位财务信息系统及其基于网络的财务信息可能面临的威胁,并分析威胁发生的可能性;(2)识别被审计单位财务信息系统及其基于网络的财务信息可能存在的脆弱点,并分析脆弱点的严重程度;(3)根据威胁发生的可能性和脆弱点发生的严重程度,判断风险发生的可能性;(4)根据风险发生的可能性,评价风险对财务信息系统和基于网络的财务信息可能带来的影响;(5)若被审计单位存在风险防范或化解措施,审计人员在进行风险评估时还应该考虑相应措施的可行性及有效性。
(四)风险评估程序《中国注册会计师审计准则第1211-----了解被审计单位及其环境并评估重大错报风险》中要求,审计人员应当实施询问、分析程序、观察和检查等程序,以获取被审计单位的信息,进而评估被审计单位的重大错报风险。这些程序同样适用于网络审计中的风险评估。但在具体运用时网络审计中更加注重了解和分析被审计单位与信息系统及网络技术使用相关的事项。在实施询问程序时,审计人员的询问对象围绕信息系统和基于网络的财务信息可大致分为管理人员、系统开发和维护人员(或信息编制人员)、系统使用人员(或信息的内部使用人员)、系统或网络技术顾问及其他外部相关人员(如律师)等五类,分别从不同角度了解信息系统和基于网络的财务信息可能存在的威胁和脆弱点。在实施分析程序时,除了研究财务数据及与财务信息相关的非财务数据可能的异常趋势外,审计人员应格外关注对信息系统及网络的特性情况,被审计单位对信息系统的使用情况等内容的分析比较。实施观察和检查时,除执行常规程序外,审计人员应注意观察信息系统的操作使用和检查信息系统文档。除此之外,针对特定系统或网络技术风险的评估,审计人员还需要实施一些特定的程序。技术方面如ioS取样分析、渗透测试、工具扫描、安全策略分析等;管理方面如风险问卷调查、风险顾问访谈、风险策略分析、文档审核等。其中,iDS取样分析是指通过在核心网络采样监听通信数据方式,获取网络中存在的攻击和蠕虫行为,并对通信流量进行分析;渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、方法来进行实际漏洞发现和利用的安全测试方法;工具扫描是指通过评估工具软件或专用安全评估系统自动获取评估对象的脆弱性信息,包括主机扫描、网络扫描、数据库扫描等,用于分析系统、应用、网络设备存在的常见漏洞。风险问卷调查与风险顾问访谈要求审计人员分别采用问卷和面谈的方式向有关主体了解被审计单位的风险状况,使用时关键是要明确问卷或访谈的对象情况风险策略分析要求审计人员对企业所设定的风险管理和应对策略的有效性进行分析,进而评价企业相关风险发生的概率以及可能带来的损失;文档审核是一种事前评价方法,属于前置软件测试的一部分,主要包括需求文档测试和设计文档测试。这些特定程序主要是针对被审计单位信息系统和基于网络的财务信息在网络安全风险方面进行评价,审计人员在具体使用时应结合被审计单位的业务性质选择合适的程序。
三、网络审计与信息安全管理的风险评估比较
(一)风险评估的目的信息安全管理中的风险评估(即信息安全风险评估)是指根据国家有关信息安全技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程。作为信息安全保障体系建立过程中的重要的评价方法和决策机制,信息安全风险评估是企业管理的组成部分,它具有规划、组织、协调和控制等管理的基本特征,其主要目的在于从企业内部风险管理的角度,在系统分析和评估风险发生的可能性及带来的损失的基础上,提出有针对性的防护和整改措施,将企业面临或遭遇的风险控制在可接受水平,最大限度地保证组织的信息安全。而网络审计是由独立审计人员向企业提供的一项鉴证服务,其风险评估的目的在于识别和评价潜在事件对被审计单位基于网络的财务信息的合法性、公允性以及网络财务信息系统的合规性、可靠性和有效性的影响程度,从而指导进一步审计程序。因此,两者风险评估的目的是不一样。从评估所应关注的风险范围来看,两者具有一致性,即都需要考虑与信息系统和信息相关的风险。但是,具体的关注边界则是不一样的。信息安全风险评估要评估企业资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,它要求评估人员关注与企业整个信息系统和所有的信息相关的风险,包括实体安全风险、数据安全风险、软件安全风险、运行安全风险等。网络审计中,审计人员是对被审计单位的网络财务信息系统和基于网络的财务信息发表意见,因此,风险评估时审计人员主要关注的是与企业财务信息系统和基于网络的财务信息相关的风险,而不是与企业的整个信息系统和所有的信息相关的风险。根据评估实施者的不同,信息安全风险评估形式包括自评估和他评估。自评估是由组织自身对所拥有的信息系统进行的风险评估活动;他评估通常是由组织的上级主管机关或业务主管机关发起的,旨在依据已经颁布的法规或标准进行的具有强制意味的检查。自评估和他评估都可以通过风险评估服务机构进行咨询、服务、培训以及风险评估有关工具的提供。因此。对审计人员而言,受托执行的信息安全风险评估应当归属于管理咨询类,即属于非鉴证业务,与网络审计严格区分开来。
(二)风险评估的内容在我国国家质量监督检验检疫总局的《信息安全风险评估指南》(征求意见稿)国家标准中,它将信息安全风险评估的内容分为两部分:基本要素和相关属性,提出信息安全风险评估应围绕其基本要素展开,并充分考虑与这些基本要素相关的其他属性。其中,风险评估的基本要素包括资产、脆弱性、威胁、风险和安全措施;相关属性包括业务战略、资产价值、安全需求、安全事件、残余风险等。在此基础上的风险计算过程是:(1)对信息资产进行识别,并对资产赋值;(2)对威胁进行分析,并对威
胁发生的可能性赋值;(3)识别信息资产的脆弱性,并对弱点的严重程度赋值;(4)根据威胁和脆弱性计算安全事件发生的可能性;(5)根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失;(6)根据安全事件发生的可能性以及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即风险值。结合上文网络审计风险评估五个方面的内容可以看出,网络审计和信息安全风险评估在内容上有相近之处,即都需要针对信息系统和信息可能面临的威胁和存在的脆弱点进行识别。但是,信息安全管理作为企业的一项内部管理,其风险评估工作需要从两个层次展开:一是评估风险发生的可能性及其影响;二是提出防护或整改措施以控制风险。第一个层次的工作实质上是为第二层次工作服务的,其重点在第二层次。《信息安全风险评估指南》(征求意见稿)提出,企业在确定出风险水平后,应对不可接受的风险选择适当的处理方式及控制措施,并形成风险处理计划。其中,风险处理的方式包括回避风险、降低风险、转移风险、接受风险,而控制措施的选择应兼顾管理和技术,考虑企业发展战略、企业文化、人员素质,并特别关注成本与风险的平衡。网络审计的风险评估工作主要集中在第一个层次,即审计人员通过风险评估,为进一步审计中做出合理的职业判断、有效地实施网络审计程序和实现网络审计目标提供重要基础。因此,两者的评估内容是存在区别的。
财务网络安全风险防范措施篇8
关键词:财务;网络化;现状;问题
中图分类号:F275文献识别码:a文章编号:1001-828X(2015)011-000-02
前言
随着计算机和网络的逐渐普及,互联网以惊人的速度影响着社会各个领域的发展。财务作为在市场经济活动的反映主体,为顺应时代的步伐必须由原来的传统会计模式向网络化模式转变。财务信息系统作为企业经营管理系统的重要组成部分,为各类信息使用者提供准确的财务信息和决策信息。随着财务网络化的逐渐运行,对传统的财务管理模式产生的影响不容忽视,同时对企业的经营管理理念和经营战略转变提供更加可靠、准确的决策信息。
一、财务网络化的现状
(一)财务网络化的内涵
财务网络化是以网络技术为手段,以资源共享、优化配置为目的,实现业务协同、动态管理、远程处理(远程报表、报账、审计、财务监控、在线办公、在线管理)、移动办公、网上理财、信息服务等功能于一体的一种现代化财务管理新模式,是电子商务的重要组成部分。
随着会计核算业务量的增大、业务种类的繁多、对会计信息资料的分析与研究的深入,传统财务管理模式已经不能够适应企业高速发展对财务的实时动态、快捷准确的基本要求,企业的财务管理工作必须打破传统管理模式,做出彻底的变革发展的要求。
(二)我国财务网络化的现状
1.我国财务网络化的发展历程
从上世纪80年代开始,我国财务会计点算化已经开始逐步启动,结合财务电算化的进程、制度管控和财务软件开发等因素,我国财务网络化的发展历程可以分为五个阶段:
(1)1982年以前起步阶段。
(2)1983―1988年推广应用阶段。
(3)1989―1998年普及提高阶段。
(4)1999―2006年制度规范化及软件创新结算。各类单机版软件普及使用,财务核算开始全面电算化。
(5)2007年至今,财务网络化的迅速崛起,企事业单位的息及时高效的反映。
2.财务网络化的发展优势
(1)财务网络化,使得财务管理工作更加方便和快捷。成熟的网络和计算机操作环境,文档资料的处理及保存更加安全。
(2)财务网络化,使得企业财务与具体业务趋于一体化。抛弃传统财务事后反映控制的旧观念,转变为向事中、事前控制的模式。财务管理的重点由事后的反映和控制转到事前的计划、决策与分析上来,充分运用财务网络化的手段与方法,发挥网络化的优势,整合企业各部门的相关信息,从财务的角度进行事前预测、分析和事中控制,充分体现一体化的最大优势。
(3)财务网络化,财务信息处理更及时,信息传递更快捷。在经济事项发生时立即进行账务处理,及时在网络上进行传递和审核,账、证和表在业务处理结束的同时可以随时提交相关请求,实时生成动态的账套和财务报表,账套和报表的格式进一步得到规范,提高了财务会计信息质量,加大了内控监督力度,为会计信息使用者提供可靠、及时和准确的会计信息。
(4)财务网络化,提高企业整体管理水平和运行效率。通过一体化管理,保证企业信息传递更加流畅、及时,提高整体运行决策过程中效率,及时反映企业财务状况、产销状况和市场状况。同时对于预算的编制更加准确,预算偏差及时修正,进行有效的控制。
二、财务网络化存在的问题
(一)财务网络化的安全隐患
财务信息系统的安全风险是指由于人为的或非人为的因素使得财务信息系统保护安全的能力减弱,从而造成系统的信息失真、失窃,企业资金财产损失,系统硬件、软件无法正常运行等结果发生的可能性。
由于大中型企业财务人员年龄结构和知识结构层次不齐,年龄较大及业务素质不高的人员对于计算机和网络操作不够娴熟,财务网络化安全隐患较为凸显。首先直接导致会计信息失真,会计信息很容易被篡改、丢失,影响财务信息的使用者进行有关决策;其次,网络环境下的风险很可能导致未经许可的非法登入财务系统,散步网络病毒等有害程序及非法转移企业电子资金及银行存款。
(二)财务网络化企业内控面临的风险
财务网络化再给企业带来信息传递的快捷同时,传统的内控措施已不能满足企业对风险的管控要求。网络化的普及,利用网络进行贪污、舞弊等犯罪行为增加。传统纸质原始凭证很难不留痕迹的被篡改或伪造,而电子的原始凭证的篡改和伪造具有很强的隐蔽性,加大了内控的难度。财务软件系统的设计,注重强调会计核算方面和管理方面的需求,内审需求考虑较少,导致审计人员的取证、分析、信息获取难度较大,对内控人员的素质要求较高。
(三)财务网络化信息披露的风险
财务网络化信息的及时传递,信息使用者利用网络纰漏的信息进行分析和预测,一旦企业信息不全面、未动态及时更新,可能误导信息使用者以过时的信息进行分析和预测,企业面临未及时更新信息的责任风险;财务网络化披露板块中的一些不正当链接,并非企业认同的分析和观点,很可能被信息使用者误认为企业认同的观点和信息使用,企业面临不正当链接的相关潜在风险。
(四)财务网络化会计人员业务操作问题
财务网络系统的环境下,要求每一位财务人员精通财务理论的同时掌握网络知识,能够对计算机进行日常的维护操作,对日常网络问题进行故障排除。目前,企业财务人员年龄结构和知识结构不合理,35-50岁人员掌握大部分公司主要业务,但是此年龄段人员掌握财务专业知识,缺乏计算机及网络维护知识和相关法律法规。
三、财务网络化问题的防范措施
财务网络化管理有着传统的财务会计管理所不能比拟的优势,极大的提高了工作效率和数据的准确度,给我们带来了极大便利。但我们也应正视并及时解决财务网络化管理存在的问题,扬长避短,使财务网络化管理更好地为单位的财务管理服务。
(一)财务网络化的安全隐患,应设置明确的权责分工
在会计信息系统的安全性方面,财务网络化软件的使用者应重视计算机及计算机网络的安全性,加强软硬件的日常性维护。每一位财务人员的电脑都应设置登陆密码,数据在录入系统前要经过检验、审核,输入时适当分工,录入后由专业的审核人员进行审核。信息完成后应由专人定期对网络数据进行备份保存,同时按照财务规定将账簿、凭证、报表打印出来纸质版的装订保存。
我们现在所用的eRp、Sap财务软件在登陆时设置权限及权责分工。首先,要通过内部局域网的设置,局域网连接成功后又要通过用户名和密码的认证才能登陆财务系统,建议财务人员应定期更换登录密码,有效的保障数据的安全,避免各种隐患的产生;由于企业人员、岗位变动较为频繁,不在相关岗位的用户,应及时取消授权,无法取消的应及时更改密码,以免泄漏财务信息,避免财务网络化的安全隐患。
(二)财务网络化企业内控风险的防范措施
首先从财务网络化的内控源头抓起,增强系统操作的安全性。一般企业都有自己的软件和系统维护团队,但有的企业是与外部企业合作进行软件和系统的维护,应于外部人员签订保密协议及业务操作规范合同;统一安装正版的和局域网内经过授权的系统和软件,定期进行检测禁止自行使用外部网络上的软件,避免造成不必要的数据丢失。
(三)财务网络化信息披露风险的防范
企业不能因为网络的众多披露风险而放弃财务网络化,相反提出了一系列防范风险的措施。首先应定期检测系统安全措施同时监测各类链接报道,及时澄清企业未认可的论述;各类公开的网络数据后,及时备注对于各种预测报告和论述的责任解除声明。
(四)财务网络化会计人员业务操作问题
企业应重视培养复合型人才,提高企业人员业务素质。提高企业人员业务素质,一是企业定期组织人员举办专业培训讲座,通过被动培训和自主学习,提高财务人员计算机操作水平及网络维护能力;二是全员树立网络风险意识,提高财务人员的职业道德水准平,确保规范操作财务软件,减少财务信息泄露的风险;三是培养和督促员工学习最新财会业务知识及相关法律法规,提高自身业务素质,将财会业务与网络化的优势相融合。
参考文献:
[1]卞继红.网络的财务安全隐患及治理[J].财会研究,2011.
[2]张志凤.浅谈会计网络化对内部控制的影响.财会研究,2014.
[3]张桂仁等.网络财务的安全问题及对策[J].现代经济信息.
[4]郭凤丽.谈网络财务管理下的企业财务内部安全性控制[J].中国石油大学胜利学院学报,2006.
[5]钟莉.浅谈网络会计存在的问题及安全对策[J].科技信息,2010.
财务网络安全风险防范措施篇9
[摘要]实施网络财务给企业带来利益的同时也给企业内部控制带来新问题。建立适应互联网环境的内部控制,其措施应基于企业的内部网络和外部网络两大方面来进行。
随着网络财务的逐步实施,企业会计核算与会计管理的环境发生了很大变化,传统会计系统的内部控制机制和手段已不适应于网络环境,从而建立适合于网络环境下的内部控制体系是目前企业急需解决的问题。为建立和加强网络财务系统的内部控制,首先必须要弄清网络财务为企业的内部控制带来的新问题与新要求。
一、网络财务时代企业内部控制面临的新问题
(一)网络财务的应用扩大了企业会计核算范围企业实施网络财务以后,会计核算环境发生了很大的变化。第一,会计部门的组成人员结构发生变化,由原来的财务、会计人员转变为由财务、会计人员和计算机操作员、网络系统维护员、网络系统管理员等组成。第二,会计业务处理范围变大,除完成基本的会计业务外,网络财务同时还集成许多管理以及财务的相关功能,诸如网上支付、网上催账、网上报税、网上报关、网上法规及财务信息查询,以及网上询价、网上采购、网上销售、网上服务、网上银行、网上理财、网上保险、网上证券投资和网上外汇买卖等等。第三,网络财务提供在线办公等服务,从而使会计信息的网上实时处理成为可能,原来由几个部门按预定步骤完成的业务事项可集中在一个部门甚至一个人完成。因此,要保证企业会计系统对企业经济活动反映的正确可靠,达到企业内部控制目标,企业内部控制制度的范围和控制方法较原来系统将更加广泛和复杂。
(二)网络财务使会计信息储存方式和媒介发生变化
网络财务的应用使各类会计凭证和报表的生成方式、会计信息的储存方式和储存媒介发生变化。原始凭证在网络业务交易时自动产生并存入计算机,不再存在传统的原始凭证。会计电算化的第一阶段促进了介质的改变,从账本到磁盘文件。网络财务使会计介质继续发生变化,不仅账表,更多的介质将电子化,出现各种电子单据(如各种发票、结算单据)。存贮形式主要以网络页面数据存贮。发生业务交易时系统不一定打印原始记录;网页数据只能在计算机及相应的程序中阅读;原来在核算过程中进行的各种必要的核对、审核等工作大部分由计算机自动完成。因此,网络环境下会计内部控制的重点由对人的控制为主转变为对人、计算机和互联网的控制。
(三)网络财务使企业面临的安全风险加大
网络财务的应用将原来封闭的局域会计系统面临开放的互联网世界,给财务系统的安全提出了严重的挑战。第一,在网络环境下,过去以计算机机房为中心的“保险箱”式安全措施已不适用,大量的会计信息通过开放的internet传递,途经若干国家与地区,置身于开放的网络中,存在被截取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机。目前黑客肆虐,世界上的各类网站每天都受到成千上万次攻击,网络财务系统无疑也面临巨大的安全风险。第三,计算机病毒的猖撅也为互联网系统带来更大的风险。在互联网中,计算机病毒可以通过e-mail或用户下载文件进行传播,其传播速度是单机的20倍。有效地防治计算机病毒对保障网络财务系统的安全性至关重要。因此,网络财务系统的内部控制不仅难度大、复杂,而且还要有各种控制的先进技术手段。
二、网络财务内部控制措施
(一)基于企业内部网(intranet)的控制措施
1.会计信息资源控制。会计信息来源于网络服务器的数据库系统中,所以网络数据库系统是整个网络财务系统控制的重点目标。威胁数据库系统的安全主要有两个方面:一是网络系统内外人员对数据库的非授权访问;二是系统故障、误操作或人为破坏数据库造成的物理损坏。针对上述威胁,会计信息资源控制应采取以下措施:(1)采用三层式客户机/服务器模式组建企业内部网,即利用中间服务器隔离客户与数据库服务器的联系,实现数据的一致性;(2)采用较为成熟的大型网络数据库产品并合理定义应用子模式。子模式是全部数据资料中面向某一特定用户或应用项目的一个数据处理集,通过它可以分别定义面向用户操作的用户界面,做到特定数据面向特定用户开放;(3)建立会计信息资源授权表制度;(4)采取有效的网络数据备份、恢复及灾难补救计划。
2.系统开发控制。它是一种预防性控制,目的是确保网络财务系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关机关和部门制订的标准和规范。(1)在网络财务系统开发之初,要进行详细的可行性研究;(2)在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制订有效的内部控制方案并在系统中实施;(3)在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等各种标准进行;(4)系统运行前对有关人员进行培训,不仅培训系统的操作,还要使受训人员了解系统投入运行后新的内部控制制度和网络财务提供的高质量会计信息的进一步分析与利用等;(5)及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段,做好各项转换的准备工作,如旧系统的结算、汇总,人员的重新配置,新系统初始数据的安全导入等。
财务网络安全风险防范措施篇10
【关键词】会计电算化风险监控
一、电算化会计中存在的风险
1、数据共享的风险
市场经济的发展推动着越来越多企事业单位纷纷借助计算机网络来展示和推介自己,网络财务带来了会计系统的开放和数据共享。电算化会计信息资料也以其具有的辅助分析、预测等功能越来越多地为多方共享。有些单位不注意电算化会计信息共享中应注意的问题,没有合理界定共享信息范围,或根本就缺乏信息安全意识,共享信息不设数据加密等保护性限制措施(包括数据的加解密、认证信息的加解密、数据鉴定完整性)、访问控制技术、认证技术、网络防毒等,造成会计信息被盗用、信息被篡改、丢失,单位经济活动或商业秘密、理财秘密被公开、网络病毒入侵等后果,加大了会计资料共享的风险。
2、硬件维护的风险
硬件维护主要指在系统运行过程中,出现硬件故障时及时进行故障分析、检查、修复,并由系统维护人员及时进行安装调试的活动。很多单位没有指定专门的系统维护人员,或系统维护人员缺乏最基本的电脑硬件维护常识;有些单位的财会人员用系统计算机从事与会计业务无关的工作,在财务专用机上使用、安装外来软盘、光盘甚至游戏软件,系统计算机没有安装高效实时监控的防毒、杀毒软件,增加了系统计算机感染病毒的机会。更有甚者,系统维护员缺乏必要的防范意识和措施,对利用计算机进行经济犯罪知之不多,控制措施不得力,将会计系统服务器或工作站连接internet,更进一步增大了病毒通过互联网和电子邮件入侵的可能性。
3、系统软件维护中存在风险
软件维护主要包括正确性维护、适应性维护、完善性维护等。正确性维护是指诊断和改正错误的过程,适应性维护是指单位的会计工作发展变化时,为适应而进行的修改活动;完善性维护是为了改善软件已有功能的需求而进行的软件修改活动。目前市场上出现的各种会计软件,其功能均处于不断地完善、开发、改造和升级之中。有些单位购买软件时不注重软件售后服务,软件性能缺乏稳定性,难以适应日新月异、新业务不断出现的会计工作需要。系统升级改造前缺乏必要的论证、考察,盲目改造或对软件做二次开发,造成新问题不断出现,给实际会计工作造成麻烦和风险。
4、电子信息档案管理存放中存在的风险
会计档案在收集过程中,由于操作人员时间观念不强,没有及时或定期按规定把计算机系统中的所有会计资料备份到磁性介质或光盘上;没有脱离原计算机系统进行保存。一旦因意外或人为错误造成数据丢失或系统被破坏,就不能在最短时间、最小损失下恢复原有的会计资料,电算化系统不能正常工作。实际工作中许多单位的电子档案在保管过程中,操作员往往是单备份保存,且保存在电算化系统附近,一旦发生意外,后果不堪设想。有的档案保管人员缺乏必要的物理知识,不懂磁性介质的物理特性,将电子档案存放在磁场附近,造成备份资料瞬间消失。此外,档案保管人员由于缺乏安全意识,不注意档案存放环境,使电子档案遭遇火灾、水浸、霉变的情况时有发生。
二、会计电算化中对于风险的监控
在会计电算化过程中进行风险控制是十分必要的,并将被提到一个越来越重要的位置。各级领导都要提高对会计电算化工作的认识,积极创造条件开展此项工作。单位负责人或总会计师应当亲自领导会计电算化工作,财务部门组织具体实施,对在什么时候开展、开展哪些项目都应仔细规划,广泛听取专家的意见,认真做好可行性研究;建立民主、科学的决策机制,对会计电算化事项进行集体讨论,杜绝一人说了算的现象。只有这样,才能提高决策的正确性,减少决策的盲目性,降低决策风险。
1、硬件软件控制
财政部《会计电算化工作规范》中明确规定:具备一定硬件基础和技术力量的单位,都要充分利用现有的计算机设备建立计算机网络,做到信息资源共享和会计数据实时处理。因此,优良的计算机硬件配置是实现会计软件高效运作、信息共享、数据交换、良性循环的必备物质条件。此外,各单位在购买财务软件推行会计电算化时,应该重点注意:所购软件必须通过财政部的评审,软件的技术指标应满足本单位需求,符合特殊核算的要求和行业特性以及发展的需要,软件功能具有前瞻性,且能保证会计数据安全可靠,不易被破坏和泄密,操作方便,通俗易懂,简单好学,售后服务好,能及时提供日常维护、版本升级和软件再开发。
2、操作系统控制
保持计算机在符合温度、电压、卫生等要求的环境下正常工作,网络系统电算化的单位要使用防火墙软件。为防止社会不法分子对单位内联网的非法攻击,可以根据网络系统区域划分的不同,设置多级防火墙。一类是外层防火墙,用来限制外界对主机操作系统的访问;另一类是应用级防火墙,用来逻辑隔离会计应用系统与外部访问区域间的联系,限制外界穿透防火墙对会计数据库的非法访问。同时也要安装具有高效实时监控功能的防毒软件。
总之,对于软硬件的升级改造,要充分考虑会计工作的延续性和升级软件的稳定性与会计信息资料的安全性,既要有工作的热情,又要本着谨慎的原则,避免盲目和冲动给会计工作带来的被动和风险。
3、组织与管理控制
实行会计电算化的单位要建立健全内部控制制度,明确会计人员职责,采取相应措施保护计算机设备,确保会计信息资料的准确性。防止各种非指定人员操作计算机及财务软件,保证机内的程序和数据的安全。明确规定上机操作人员对会计软件的操作工作内容和权限。密码是限制操作权限、检查操作人员身份的一道防线,管理好每个人的密码,对整个系统的安全至关重要,因此,对操作密码要严格管理、实行定期更换。杜绝未经授权人员操作会计软件,防止会计人员越权使用软件。操作人员离开机器时,应执行相应的命令退出会计软件。各单位应根据本单位的实际情况,设专人保存上机操作记录,记录操作人、操作时间、操作内容等并与软件中的“日志管理”相比较,开展日志审计。
4、系统日常操作管理控制
系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统。系统应制定适当的权限标准体系,使系统不被越权操作,从而保证系统的安全。操作权限控制常采用设置口令来实行。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。操作规程应明确职责、操作程序和注意事项,并形成一套电算化系统文件,如对进入机房内的人员进行严格审查;规定交接班手续和登记运行日志;规定数据备份及机器的使用规范;规定软盘专用以防病毒感染;规定不准在计算机上玩电脑游戏等等。标准操作规程包括:软硬件操作规程,作业运行规程,上机时间记录规程等。
5、实体安全控制
实体安全涉及到计算机机房的环境、光和磁介质等数据存储体的存放和保护。机房应符合技术和安全的要求,充分满足防火、防水、防潮、防盗、恒温等技术要求,并配有空调和消防设施。对用于数据备份的磁介质存储媒体注意防潮、防尘和防磁,对所有业务数据实行双备份、异地存放,建立目录清单,对长期保存的磁介质存储媒体还应定期转储。
6、数据和程序控制
数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行,而数据的安全与否关系到财务信息的完整性和保密性。
数据控制的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一种常见的数据控制手段,采用磁性介质保存会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。网络中利用两人服务器进行双机镜像映射备份是备份的先进形式。
程序的安全控制是要保证程序不被修改、不损毁、不被病毒感染。常用的控制包括接触控制、程序备份等。接触控制是指非系统维护人员不得接触到程序的技术资料、源程序和加密文件,从而减少程序被修改的可能性;程序备份则是指有关人员要注明程序功能后备份存档,以备系统损坏后重建安装之需。程序的安全控制还要求系统使用单位制定具体的防病毒措施,包括对所有来历不明的介质和在使用前进行病毒检测,定期对系统进行病毒检测,使用网络病毒防火墙以防止日益猖獗的网络病毒侵入等。
7、网络安全控制
随着网络技术快速地发展,公司应加强网络安全的控制,在技术上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次的安全体系。网络安全性指标包括数据保密、访问控制、身份识别等。针对这些方面,可采用一些安全技术,主要包括数据加密技术、访问控制技术、数字签名技术等。
数据加密技术是保护信息通过公共网络传输和防止电子窃听的首选方法。访问控制技术的代表是防火墙技术,特别是已融和了Vpn(虚拟专用网及隧道技术)的防火墙技术。防火墙是建立在企业内部网(intranet)和外部网络接口处的访问控制系统,它对跨越网络边界的信息进行过滤,目的在于防范来自外部的非法访问、又不影响正常工作,从而为企业设立了一道电子屏障。
数字签名是指在internet环境下,电子符号代替了会计数据,磁介质代替了纸介质,财务数据流动过程中的签字盖章等传统手段将完全改变,为验证对方身份、保证数据真实性和完整性,在计算机通信中采用数字签名这一安全控制手段。
【参考文献】
[1]郭利平:企业如何实行会计电算化[J].科技情报开发与经济,2005(12).
[2]周银花:谈企业会计电算化应用中的内部控制[J].山西建筑,2004(4).
[3]陆义保:电脑会计[m].南京大学出版社,2000.
[4]王景新、郭新平:计算机在会计中的应用[m].经济管理出版社,1998.
[5]张英明:it环境下会计信息系统内部控制研究[J].中国会计电算化,2002(5).
[6]李少彤:论电算化会计信息资料共享[J].中国会计电算化,2000(3).