○汪潔 趙云 周晟

（1、總后軍需物資油料部軍需軍代局 北京 100071；2、駐濟(jì)南鐵路水路軍代處 山東 濟(jì)南 250001；3、軍事經(jīng)濟(jì)學(xué)院 湖北 武漢 430035）

一、電算化會(huì)計(jì)中存在的風(fēng)險(xiǎn)

1、數(shù)據(jù)共享的風(fēng)險(xiǎn)

市場經(jīng)濟(jì)的發(fā)展推動(dòng)著越來越多企事業(yè)單位紛紛借助計(jì)算機(jī)網(wǎng)絡(luò)來展示和推介自己，網(wǎng)絡(luò)財(cái)務(wù)帶來了會(huì)計(jì)系統(tǒng)的開放和數(shù)據(jù)共享。電算化會(huì)計(jì)信息資料也以其具有的輔助分析、預(yù)測等功能越來越多地為多方共享。有些單位不注意電算化會(huì)計(jì)信息共享中應(yīng)注意的問題，沒有合理界定共享信息范圍，或根本就缺乏信息安全意識(shí)，共享信息不設(shè)數(shù)據(jù)加密等保護(hù)性限制措施（包括數(shù)據(jù)的加解密、認(rèn)證信息的加解密、數(shù)據(jù)鑒定完整性）、訪問控制技術(shù)、認(rèn)證技術(shù)、網(wǎng)絡(luò)防毒等，造成會(huì)計(jì)信息被盜用、信息被篡改、丟失，單位經(jīng)濟(jì)活動(dòng)或商業(yè)秘密、理財(cái)秘密被公開、網(wǎng)絡(luò)病毒入侵等后果，加大了會(huì)計(jì)資料共享的風(fēng)險(xiǎn)。

2、硬件維護(hù)的風(fēng)險(xiǎn)

硬件維護(hù)主要指在系統(tǒng)運(yùn)行過程中，出現(xiàn)硬件故障時(shí)及時(shí)進(jìn)行故障分析、檢查、修復(fù)，并由系統(tǒng)維護(hù)人員及時(shí)進(jìn)行安裝調(diào)試的活動(dòng)。很多單位沒有指定專門的系統(tǒng)維護(hù)人員，或系統(tǒng)維護(hù)人員缺乏最基本的電腦硬件維護(hù)常識(shí)；有些單位的財(cái)會(huì)人員用系統(tǒng)計(jì)算機(jī)從事與會(huì)計(jì)業(yè)務(wù)無關(guān)的工作，在財(cái)務(wù)專用機(jī)上使用、安裝外來軟盤、光盤甚至游戲軟件，系統(tǒng)計(jì)算機(jī)沒有安裝高效實(shí)時(shí)監(jiān)控的防毒、殺毒軟件，增加了系統(tǒng)計(jì)算機(jī)感染病毒的機(jī)會(huì)。更有甚者，系統(tǒng)維護(hù)員缺乏必要的防范意識(shí)和措施，對(duì)利用計(jì)算機(jī)進(jìn)行經(jīng)濟(jì)犯罪知之不多，控制措施不得力，將會(huì)計(jì)系統(tǒng)服務(wù)器或工作站連接Internet，更進(jìn)一步增大了病毒通過互聯(lián)網(wǎng)和電子郵件入侵的可能性。

3、系統(tǒng)軟件維護(hù)中存在風(fēng)險(xiǎn)

軟件維護(hù)主要包括正確性維護(hù)、適應(yīng)性維護(hù)、完善性維護(hù)等。正確性維護(hù)是指診斷和改正錯(cuò)誤的過程，適應(yīng)性維護(hù)是指單位的會(huì)計(jì)工作發(fā)展變化時(shí)，為適應(yīng)而進(jìn)行的修改活動(dòng)；完善性維護(hù)是為了改善軟件已有功能的需求而進(jìn)行的軟件修改活動(dòng)。目前市場上出現(xiàn)的各種會(huì)計(jì)軟件，其功能均處于不斷地完善、開發(fā)、改造和升級(jí)之中。有些單位購買軟件時(shí)不注重軟件售后服務(wù)，軟件性能缺乏穩(wěn)定性，難以適應(yīng)日新月異、新業(yè)務(wù)不斷出現(xiàn)的會(huì)計(jì)工作需要。系統(tǒng)升級(jí)改造前缺乏必要的論證、考察，盲目改造或?qū)浖龆伍_發(fā)，造成新問題不斷出現(xiàn)，給實(shí)際會(huì)計(jì)工作造成麻煩和風(fēng)險(xiǎn)。

4、電子信息檔案管理存放中存在的風(fēng)險(xiǎn)

會(huì)計(jì)檔案在收集過程中，由于操作人員時(shí)間觀念不強(qiáng)，沒有及時(shí)或定期按規(guī)定把計(jì)算機(jī)系統(tǒng)中的所有會(huì)計(jì)資料備份到磁性介質(zhì)或光盤上；沒有脫離原計(jì)算機(jī)系統(tǒng)進(jìn)行保存。一旦因意外或人為錯(cuò)誤造成數(shù)據(jù)丟失或系統(tǒng)被破壞，就不能在最短時(shí)間、最小損失下恢復(fù)原有的會(huì)計(jì)資料，電算化系統(tǒng)不能正常工作。實(shí)際工作中許多單位的電子檔案在保管過程中，操作員往往是單備份保存，且保存在電算化系統(tǒng)附近，一旦發(fā)生意外，后果不堪設(shè)想。有的檔案保管人員缺乏必要的物理知識(shí)，不懂磁性介質(zhì)的物理特性，將電子檔案存放在磁場附近，造成備份資料瞬間消失。此外，檔案保管人員由于缺乏安全意識(shí)，不注意檔案存放環(huán)境，使電子檔案遭遇火災(zāi)、水浸、霉變的情況時(shí)有發(fā)生。

二、會(huì)計(jì)電算化中對(duì)于風(fēng)險(xiǎn)的監(jiān)控

在會(huì)計(jì)電算化過程中進(jìn)行風(fēng)險(xiǎn)控制是十分必要的，并將被提到一個(gè)越來越重要的位置。各級(jí)領(lǐng)導(dǎo)都要提高對(duì)會(huì)計(jì)電算化工作的認(rèn)識(shí)，積極創(chuàng)造條件開展此項(xiàng)工作。單位負(fù)責(zé)人或總會(huì)計(jì)師應(yīng)當(dāng)親自領(lǐng)導(dǎo)會(huì)計(jì)電算化工作，財(cái)務(wù)部門組織具體實(shí)施，對(duì)在什么時(shí)候開展、開展哪些項(xiàng)目都應(yīng)仔細(xì)規(guī)劃，廣泛聽取專家的意見，認(rèn)真做好可行性研究；建立民主、科學(xué)的決策機(jī)制，對(duì)會(huì)計(jì)電算化事項(xiàng)進(jìn)行集體討論，杜絕一人說了算的現(xiàn)象。只有這樣，才能提高決策的正確性，減少?zèng)Q策的盲目性，降低決策風(fēng)險(xiǎn)。

1、硬件軟件控制

財(cái)政部《會(huì)計(jì)電算化工作規(guī)范》中明確規(guī)定：具備一定硬件基礎(chǔ)和技術(shù)力量的單位，都要充分利用現(xiàn)有的計(jì)算機(jī)設(shè)備建立計(jì)算機(jī)網(wǎng)絡(luò)，做到信息資源共享和會(huì)計(jì)數(shù)據(jù)實(shí)時(shí)處理。因此，優(yōu)良的計(jì)算機(jī)硬件配置是實(shí)現(xiàn)會(huì)計(jì)軟件高效運(yùn)作、信息共享、數(shù)據(jù)交換、良性循環(huán)的必備物質(zhì)條件。此外，各單位在購買財(cái)務(wù)軟件推行會(huì)計(jì)電算化時(shí)，應(yīng)該重點(diǎn)注意：所購軟件必須通過財(cái)政部的評(píng)審，軟件的技術(shù)指標(biāo)應(yīng)滿足本單位需求，符合特殊核算的要求和行業(yè)特性以及發(fā)展的需要，軟件功能具有前瞻性，且能保證會(huì)計(jì)數(shù)據(jù)安全可靠，不易被破壞和泄密，操作方便，通俗易懂，簡單好學(xué)，售后服務(wù)好，能及時(shí)提供日常維護(hù)、版本升級(jí)和軟件再開發(fā)。

2、操作系統(tǒng)控制

保持計(jì)算機(jī)在符合溫度、電壓、衛(wèi)生等要求的環(huán)境下正常工作，網(wǎng)絡(luò)系統(tǒng)電算化的單位要使用防火墻軟件。為防止社會(huì)不法分子對(duì)單位內(nèi)聯(lián)網(wǎng)的非法攻擊，可以根據(jù)網(wǎng)絡(luò)系統(tǒng)區(qū)域劃分的不同，設(shè)置多級(jí)防火墻。一類是外層防火墻，用來限制外界對(duì)主機(jī)操作系統(tǒng)的訪問；另一類是應(yīng)用級(jí)防火墻，用來邏輯隔離會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問區(qū)域間的聯(lián)系，限制外界穿透防火墻對(duì)會(huì)計(jì)數(shù)據(jù)庫的非法訪問。同時(shí)也要安裝具有高效實(shí)時(shí)監(jiān)控功能的防毒軟件。

總之，對(duì)于軟硬件的升級(jí)改造，要充分考慮會(huì)計(jì)工作的延續(xù)性和升級(jí)軟件的穩(wěn)定性與會(huì)計(jì)信息資料的安全性，既要有工作的熱情，又要本著謹(jǐn)慎的原則，避免盲目和沖動(dòng)給會(huì)計(jì)工作帶來的被動(dòng)和風(fēng)險(xiǎn)。

3、組織與管理控制

實(shí)行會(huì)計(jì)電算化的單位要建立健全內(nèi)部控制制度，明確會(huì)計(jì)人員職責(zé)，采取相應(yīng)措施保護(hù)計(jì)算機(jī)設(shè)備，確保會(huì)計(jì)信息資料的準(zhǔn)確性。防止各種非指定人員操作計(jì)算機(jī)及財(cái)務(wù)軟件，保證機(jī)內(nèi)的程序和數(shù)據(jù)的安全。明確規(guī)定上機(jī)操作人員對(duì)會(huì)計(jì)軟件的操作工作內(nèi)容和權(quán)限。密碼是限制操作權(quán)限、檢查操作人員身份的一道防線，管理好每個(gè)人的密碼，對(duì)整個(gè)系統(tǒng)的安全至關(guān)重要，因此，對(duì)操作密碼要嚴(yán)格管理、實(shí)行定期更換。杜絕未經(jīng)授權(quán)人員操作會(huì)計(jì)軟件，防止會(huì)計(jì)人員越權(quán)使用軟件。操作人員離開機(jī)器時(shí)，應(yīng)執(zhí)行相應(yīng)的命令退出會(huì)計(jì)軟件。各單位應(yīng)根據(jù)本單位的實(shí)際情況，設(shè)專人保存上機(jī)操作記錄，記錄操作人、操作時(shí)間、操作內(nèi)容等并與軟件中的“日志管理”相比較，開展日志審計(jì)。

4、系統(tǒng)日常操作管理控制

系統(tǒng)操作控制主要表現(xiàn)為操作權(quán)限控制和操作規(guī)程控制兩個(gè)方面。操作權(quán)限控制是指每個(gè)崗位的人員只能按照所授予的權(quán)限對(duì)系統(tǒng)進(jìn)行作業(yè)，不得超越權(quán)限接觸系統(tǒng)。系統(tǒng)應(yīng)制定適當(dāng)?shù)臋?quán)限標(biāo)準(zhǔn)體系，使系統(tǒng)不被越權(quán)操作，從而保證系統(tǒng)的安全。操作權(quán)限控制常采用設(shè)置口令來實(shí)行。操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標(biāo)準(zhǔn)操作規(guī)程進(jìn)行。操作規(guī)程應(yīng)明確職責(zé)、操作程序和注意事項(xiàng)，并形成一套電算化系統(tǒng)文件，如對(duì)進(jìn)入機(jī)房內(nèi)的人員進(jìn)行嚴(yán)格審查；規(guī)定交接班手續(xù)和登記運(yùn)行日志；規(guī)定數(shù)據(jù)備份及機(jī)器的使用規(guī)范；規(guī)定軟盤專用以防病毒感染；規(guī)定不準(zhǔn)在計(jì)算機(jī)上玩電腦游戲等等。標(biāo)準(zhǔn)操作規(guī)程包括：軟硬件操作規(guī)程，作業(yè)運(yùn)行規(guī)程，上機(jī)時(shí)間記錄規(guī)程等。

5、實(shí)體安全控制

實(shí)體安全涉及到計(jì)算機(jī)機(jī)房的環(huán)境、光和磁介質(zhì)等數(shù)據(jù)存儲(chǔ)體的存放和保護(hù)。機(jī)房應(yīng)符合技術(shù)和安全的要求，充分滿足防火、防水、防潮、防盜、恒溫等技術(shù)要求，并配有空調(diào)和消防設(shè)施。對(duì)用于數(shù)據(jù)備份的磁介質(zhì)存儲(chǔ)媒體注意防潮、防塵和防磁，對(duì)所有業(yè)務(wù)數(shù)據(jù)實(shí)行雙備份、異地存放，建立目錄清單，對(duì)長期保存的磁介質(zhì)存儲(chǔ)媒體還應(yīng)定期轉(zhuǎn)儲(chǔ)。

6、數(shù)據(jù)和程序控制

數(shù)據(jù)和程序控制主要是指對(duì)數(shù)據(jù)、程序的安全控制。程序的安全與否直接影響著系統(tǒng)的運(yùn)行，而數(shù)據(jù)的安全與否關(guān)系到財(cái)務(wù)信息的完整性和保密性。

數(shù)據(jù)控制的目標(biāo)是要做到任何情況下數(shù)據(jù)都不丟失、不損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數(shù)據(jù)的恢復(fù)與重建等，而數(shù)據(jù)的備份則是數(shù)據(jù)恢復(fù)與重建的基礎(chǔ)，是一種常見的數(shù)據(jù)控制手段，采用磁性介質(zhì)保存會(huì)計(jì)檔案要定期進(jìn)行檢查和定期復(fù)制，防止由于磁性介質(zhì)損壞而使會(huì)計(jì)檔案丟失。網(wǎng)絡(luò)中利用兩人服務(wù)器進(jìn)行雙機(jī)鏡像映射備份是備份的先進(jìn)形式。

程序的安全控制是要保證程序不被修改、不損毀、不被病毒感染。常用的控制包括接觸控制、程序備份等。接觸控制是指非系統(tǒng)維護(hù)人員不得接觸到程序的技術(shù)資料、源程序和加密文件，從而減少程序被修改的可能性；程序備份則是指有關(guān)人員要注明程序功能后備份存檔，以備系統(tǒng)損壞后重建安裝之需。程序的安全控制還要求系統(tǒng)使用單位制定具體的防病毒措施，包括對(duì)所有來歷不明的介質(zhì)和在使用前進(jìn)行病毒檢測，定期對(duì)系統(tǒng)進(jìn)行病毒檢測，使用網(wǎng)絡(luò)病毒防火墻以防止日益猖獗的網(wǎng)絡(luò)病毒侵入等。

7、網(wǎng)絡(luò)安全控制

隨著網(wǎng)絡(luò)技術(shù)快速地發(fā)展，公司應(yīng)加強(qiáng)網(wǎng)絡(luò)安全的控制，在技術(shù)上對(duì)整個(gè)財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次（通信平臺(tái)、網(wǎng)絡(luò)平臺(tái)、操作系統(tǒng)平臺(tái)、應(yīng)用平臺(tái)）都要采取安全防范措施和規(guī)則，建立綜合的多層次的安全體系。網(wǎng)絡(luò)安全性指標(biāo)包括數(shù)據(jù)保密、訪問控制、身份識(shí)別等。針對(duì)這些方面，可采用一些安全技術(shù)，主要包括數(shù)據(jù)加密技術(shù)、訪問控制技術(shù)、數(shù)字簽名技術(shù)等。

數(shù)據(jù)加密技術(shù)是保護(hù)信息通過公共網(wǎng)絡(luò)傳輸和防止電子竊聽的首選方法。訪問控制技術(shù)的代表是防火墻技術(shù)，特別是已融和了VPN（虛擬專用網(wǎng)及隧道技術(shù)）的防火墻技術(shù)。防火墻是建立在企業(yè)內(nèi)部網(wǎng)（Intranet）和外部網(wǎng)絡(luò)接口處的訪問控制系統(tǒng)，它對(duì)跨越網(wǎng)絡(luò)邊界的信息進(jìn)行過濾，目的在于防范來自外部的非法訪問、又不影響正常工作，從而為企業(yè)設(shè)立了一道電子屏障。

數(shù)字簽名是指在Internet環(huán)境下，電子符號(hào)代替了會(huì)計(jì)數(shù)據(jù)，磁介質(zhì)代替了紙介質(zhì)，財(cái)務(wù)數(shù)據(jù)流動(dòng)過程中的簽字蓋章等傳統(tǒng)手段將完全改變，為驗(yàn)證對(duì)方身份、保證數(shù)據(jù)真實(shí)性和完整性，在計(jì)算機(jī)通信中采用數(shù)字簽名這一安全控制手段。

[1]郭利平：企業(yè)如何實(shí)行會(huì)計(jì)電算化[J].科技情報(bào)開發(fā)與經(jīng)濟(jì),2005（12）.

[2]周銀花：談企業(yè)會(huì)計(jì)電算化應(yīng)用中的內(nèi)部控制[J].山西建筑，2004（4）.

[3]陸義保：電腦會(huì)計(jì)[M].南京大學(xué)出版社，2000.

[4]王景新、郭新平：計(jì)算機(jī)在會(huì)計(jì)中的應(yīng)用[M].經(jīng)濟(jì)管理出版社，1998.

[5]張英明：IT環(huán)境下會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究[J].中國會(huì)計(jì)電算化，2002（5）.

[6]李少彤：論電算化會(huì)計(jì)信息資料共享[J].中國會(huì)計(jì)電算化，2000（3）.

[7]郭慶文：實(shí)行會(huì)計(jì)電算化必須加強(qiáng)信息安全管理[J].事業(yè)財(cái)會(huì)，2001（6）.

[8]梁鵬、沈安廈：會(huì)計(jì)電算化工作中若干問題的探討[J].中國會(huì)計(jì)電算化，2002（2）.