會(huì)計(jì)電算化系統(tǒng)的安全性分析與防范措施
評(píng)論: 更新日期:2015年05月25日
??????? (五)加強(qiáng)審計(jì)監(jiān)督�,實(shí)行計(jì)算機(jī)審計(jì)
??????? 加強(qiáng)審計(jì)監(jiān)督����,有兩層含義:首先��,核數(shù)師會(huì)計(jì)電算化系統(tǒng)驗(yàn)證通過每一個(gè)環(huán)節(jié)的監(jiān)測(cè)和評(píng)估內(nèi)部控制系統(tǒng)���,以發(fā)現(xiàn)漏洞在系統(tǒng)中的內(nèi)部控制�,內(nèi)部控制的改進(jìn);第二���,我們必須質(zhì)量審計(jì)人員�����,加強(qiáng)篩選不當(dāng)行為的能力����,在相同的時(shí)間���,加快電算化審計(jì)的發(fā)展和應(yīng)用�����,以適應(yīng)會(huì)計(jì)電算化系統(tǒng)的審計(jì)要求��。��。���。���。
??????? 計(jì)算機(jī)審計(jì)技術(shù),以計(jì)算機(jī)執(zhí)行審計(jì)作為審計(jì)輔助工具確認(rèn)試驗(yàn)��。計(jì)算機(jī)審計(jì)標(biāo)準(zhǔn)的基礎(chǔ)上��,利用計(jì)算機(jī)硬件和財(cái)務(wù)軟件的安全����,穩(wěn)定,可靠����,審計(jì)和法律方面的可靠和有效的方法和程序,會(huì)計(jì)電算化環(huán)境��。依靠計(jì)算機(jī)審計(jì)揭露問題���,審計(jì)業(yè)務(wù)單位的安全問題���,并提出建議,會(huì)計(jì)電算化環(huán)境下的安全可以得到保證��。審計(jì)會(huì)計(jì)電算化環(huán)境下提供的數(shù)據(jù)是正確的����,全面的,能有效防止電腦輸入無效數(shù)據(jù)��,數(shù)據(jù)篡改或破壞磁介質(zhì)數(shù)據(jù)詐騙犯罪��,會(huì)計(jì)電算化的真實(shí)數(shù)據(jù)保護(hù)����,可靠和安全的使用。通過評(píng)價(jià)會(huì)計(jì)電算化內(nèi)部管理和控制制度�,可提出內(nèi)部管理和控制的薄弱環(huán)節(jié),提出意見改善��,促使被審的企業(yè)單位加強(qiáng)會(huì)計(jì)電算化的內(nèi)部管理和控制方面���,加速會(huì)計(jì)電算化工作的安全發(fā)展�。
??????? 四、工商銀行會(huì)計(jì)電算化系統(tǒng)風(fēng)險(xiǎn)案例
??????? (一)工商銀行會(huì)計(jì)電算化系統(tǒng)使用現(xiàn)狀
??????? 隨著信息化時(shí)代的到來�����,工商銀行會(huì)計(jì)電算化的水平日益提高��,不僅極大地改變了工商銀行會(huì)計(jì)核算的傳統(tǒng)做法�,而且變更工商銀行的服務(wù)交付和服務(wù)質(zhì)量,甚至帶來了很大的變化�,管理的工業(yè)和商業(yè)銀行業(yè)務(wù)的內(nèi)容管理系統(tǒng)的形式等。在銀行業(yè)會(huì)計(jì)電算化系統(tǒng)的使用情況和普及應(yīng)用�,不僅為工商銀行創(chuàng)造了良好的社會(huì)效益的同時(shí),也創(chuàng)造經(jīng)濟(jì)效益��,為工商銀行��。然而���,工商銀行會(huì)計(jì)電算化的好處�����,也給工商銀行帶來了新的經(jīng)營風(fēng)險(xiǎn)����,在電腦模式下的安全問題,更重要的是�����,會(huì)計(jì)電算化系統(tǒng)的風(fēng)險(xiǎn)防范已成為一個(gè)嚴(yán)重的問題有關(guān)銀行業(yè)務(wù)�����。
??????? 在我國工商銀行領(lǐng)域�����,會(huì)計(jì)電算化從建立模仿手工作業(yè)的單項(xiàng)業(yè)務(wù)應(yīng)用系統(tǒng)開始�,經(jīng)歷了多項(xiàng)業(yè)務(wù)應(yīng)用集成處理階段�����,正逐步向著集約化管理和決策支持的高級(jí)階段發(fā)展�。以我國最大的工商銀行中國工商銀行為例,截止到1998年末����,工商銀行電子化營業(yè)網(wǎng)點(diǎn)的覆蓋率已超過90%,其中�����,全國150個(gè)主要大中城市電子化網(wǎng)點(diǎn)覆蓋率已達(dá)到98%以上。與此同時(shí)���,區(qū)域范圍的通存通兌系統(tǒng)��、全國范圍的電子匯兌系統(tǒng)��、企業(yè)銀行系統(tǒng)��、自助銀行系統(tǒng)等一大批會(huì)計(jì)電算化應(yīng)用系統(tǒng)的陸續(xù)投產(chǎn)也為我國工商銀行競(jìng)爭(zhēng)力的提高和業(yè)務(wù)的發(fā)展起到了良好的支持作用��。
??????? 會(huì)計(jì)電算化給工商銀行帶來的社會(huì)效益表現(xiàn)在:加速企業(yè)資金周轉(zhuǎn)���;減少現(xiàn)金流通量;為社會(huì)提供多元化的金融服務(wù)����;為國民經(jīng)濟(jì)信息化提供重要支持。會(huì)計(jì)電算化給工商銀行帶來的經(jīng)濟(jì)效益表現(xiàn)在:提高了工商銀行工作效率和經(jīng)營能力���;提高了工商銀行會(huì)計(jì)核算的質(zhì)量和經(jīng)營管理水平��;擴(kuò)大了業(yè)務(wù)范圍��,改善了客戶服務(wù)�����;改善了資金調(diào)度能力��,提高了盈利能力�����。
??????? (二)工商銀行會(huì)計(jì)電算化系統(tǒng)存在的主要安全隱患
??????? 概括地說�,我國工商銀行會(huì)計(jì)電算化系統(tǒng)存在的主要安全隱患包括:
??????? 1.部分干部職工對(duì)計(jì)算機(jī)知識(shí)缺乏了解��,風(fēng)險(xiǎn)防范意識(shí)淡簿
??????? 當(dāng)前���,我國銀行業(yè)中有一些干部職工由于計(jì)算機(jī)知識(shí)缺乏��,往往認(rèn)為電算化系統(tǒng)是由計(jì)算機(jī)自動(dòng)控制的�,比手工處理更安全��,殊不知計(jì)算機(jī)系統(tǒng)也是人來控制和使用的�,任何有意的破壞或無意的操作失誤行為都會(huì)更具隱蔽性,都可能帶來更為嚴(yán)重的損失和后果�。
??????? 2.業(yè)務(wù)需求不完善���,導(dǎo)致應(yīng)用軟件控制和管理功能不完善
??????? 在部分電算化系統(tǒng)開發(fā)過程中,由于參與軟件開發(fā)的人員(包括業(yè)務(wù)和技術(shù)人員)��,對(duì)業(yè)務(wù)流程及容易發(fā)生弊端的環(huán)節(jié)不了解或沒有深入研究�,業(yè)務(wù)需求沒有考慮如何建立一種安全機(jī)制,特別是沒有考慮對(duì)以后使用軟件系統(tǒng)的有關(guān)人員如何進(jìn)行防范����,造成數(shù)據(jù)輸入、數(shù)據(jù)處理�����、數(shù)據(jù)保管等方面的風(fēng)險(xiǎn)�����。
??????? 另外��,目前銀行使用的一部分會(huì)計(jì)電算化軟件在系統(tǒng)設(shè)計(jì)上都或多或少存在一些問題���。比如:有的軟件在設(shè)計(jì)銷戶交易時(shí)���,沒有考慮對(duì)應(yīng)收未收利息進(jìn)行檢查��,導(dǎo)致有銀行欠息的客戶也能銷戶�;又如:目前大多數(shù)銀行會(huì)計(jì)軟件的操作員權(quán)限都只劃分為兩級(jí)�,高級(jí)別柜員有權(quán)執(zhí)行低級(jí)別柜員的全部操作;再比如:更為嚴(yán)重的是有些系統(tǒng)還允許系統(tǒng)管理員查詢操作員密碼和操作員號(hào)�����,并給系統(tǒng)管理員定義了很高的操作權(quán)限����,能夠辦理銷帳、沖帳����、調(diào)整計(jì)息積數(shù)等業(yè)務(wù)�����,致使管理員可以繞開會(huì)計(jì)主管的監(jiān)督進(jìn)行操作���,從而削弱了會(huì)計(jì)制度和會(huì)計(jì)主管人員的監(jiān)督約束作用���。上述漏洞的存在使得相關(guān)人員一旦產(chǎn)生犯罪動(dòng)機(jī)��,便會(huì)有機(jī)可乘��。
??????? 3.事中和事后監(jiān)督措施不得力�����。
??????? 會(huì)計(jì)結(jié)算完成后�����,中國銀行業(yè)的審計(jì)和監(jiān)督��,也沒有同步操作�,會(huì)計(jì)電算化系統(tǒng)�,以監(jiān)測(cè)和監(jiān)督軟件,這使得業(yè)務(wù)會(huì)計(jì)控制環(huán)節(jié)很薄弱�����。
??????? 4.軟件開發(fā)和維護(hù)不統(tǒng)一
??????? 在實(shí)際工作中��,地市以下銀行機(jī)構(gòu)自行開發(fā)軟件��、修改總行和省行軟件的事情時(shí)有發(fā)生�,這一方面造成軟件低水平重復(fù)開發(fā)����,一方面給犯罪分子提供了可乘之機(jī)�。
??????? 5.系統(tǒng)備份不充分
??????? 目前,部分行處的計(jì)算機(jī)設(shè)備運(yùn)行環(huán)境較差���,且許多設(shè)備的使用時(shí)間較長��、性能已不十分穩(wěn)定�。
??????? 6.制度不健全�����,執(zhí)行不嚴(yán)格
??????? 銀行會(huì)計(jì)業(yè)務(wù)實(shí)現(xiàn)電算化處理初期��,銀行的各項(xiàng)管理規(guī)章不能滿足業(yè)務(wù)發(fā)展需要�,導(dǎo)致一些案件發(fā)生,比如通存通兌業(yè)務(wù)的開辦�����,一方面方便了客戶��,提高了銀行的競(jìng)爭(zhēng)力�;另一方面也引發(fā)了一些“虛存實(shí)取”的案件。
??????? (三)工商銀行會(huì)計(jì)電算化系統(tǒng)風(fēng)險(xiǎn)防范對(duì)策
??????? 面對(duì)現(xiàn)實(shí)���,我們必須采取積極對(duì)策�,針對(duì)銀行會(huì)計(jì)電算化系統(tǒng)而言���,風(fēng)險(xiǎn)防范應(yīng)從以下幾方面著手考慮:
??????? 1.提高計(jì)算機(jī)風(fēng)險(xiǎn)防范意識(shí)
??????? 隨著計(jì)算機(jī)技術(shù)和信息技術(shù)的發(fā)展和普及�,銀行應(yīng)加強(qiáng)對(duì)員工計(jì)算機(jī)知識(shí)的培訓(xùn)力度�,使管理人員和業(yè)務(wù)操作人員都具備計(jì)算機(jī)基礎(chǔ)知識(shí),并對(duì)常用會(huì)計(jì)電算化系統(tǒng)的開發(fā)思想�����、基本流程��、正確使用和風(fēng)險(xiǎn)防范有一個(gè)正確認(rèn)識(shí)�,使每個(gè)人都樹立強(qiáng)烈的安全意識(shí)。
??????? 2.加強(qiáng)現(xiàn)有系統(tǒng)和新開發(fā)系統(tǒng)的控制和管理功能��,注重系統(tǒng)管理和數(shù)據(jù)操作
??????? 1�、注重系統(tǒng)安全:1,以防止非法使用系統(tǒng)資源����,指定一個(gè)人來操作你的系統(tǒng)�,及時(shí)清理垃圾文件�,所有操作必須記錄在日志文件中,以避免意外損壞軟件系統(tǒng)或業(yè)務(wù)數(shù)據(jù);3應(yīng)用系統(tǒng)的操作環(huán)境必需封閉�,為了防止一般用戶非法操作系統(tǒng)。
??????? 2����、嚴(yán)格控制數(shù)據(jù)處理:1嚴(yán)格規(guī)定訪問數(shù)據(jù)庫的各級(jí)權(quán)限,實(shí)現(xiàn)權(quán)限等級(jí)管理�����,嚴(yán)禁越權(quán)操作����;2定期強(qiáng)制修改密碼;3嚴(yán)格控制數(shù)據(jù)輸入�����,應(yīng)盡量減少人工操作�����,具備條件可采用掃描儀����、閱讀器等設(shè)備錄入數(shù)據(jù),同時(shí)錄入數(shù)據(jù)應(yīng)換人復(fù)核后方可生效�����;4對(duì)數(shù)據(jù)要進(jìn)行多重備份和異地備份���,以便在設(shè)備故障或發(fā)生意外時(shí)能及時(shí)恢復(fù)數(shù)據(jù)�,保證數(shù)據(jù)的完整性��。
??????? 3�、加強(qiáng)網(wǎng)絡(luò)資源授權(quán)管理,保證數(shù)據(jù)傳輸安全:1控制用戶登錄���,限制登錄密碼的擴(kuò)散范圍���;2對(duì)網(wǎng)絡(luò)中各用戶的存取、訪問進(jìn)行控制����;3對(duì)數(shù)據(jù)進(jìn)行加密傳輸���。
??????? 3.結(jié)合會(huì)計(jì)電算化的特點(diǎn),進(jìn)行業(yè)務(wù)流程再造和安全控制手段再造���。
??????? 可考慮采用如下手段:
??????? 1在經(jīng)營過程中�,重要的業(yè)務(wù)系統(tǒng)和大型企業(yè)���,在電腦操作中的分離原則���,審查和授權(quán)制度實(shí)施的權(quán)力分工,實(shí)施和控制����,形成一個(gè)有效的約束機(jī)制。
??????? 2�����,健全事后監(jiān)督機(jī)制�,事后監(jiān)督系統(tǒng)在柜臺(tái)操作系統(tǒng)必須完全分離,設(shè)備��,網(wǎng)絡(luò)��,系統(tǒng)管理,事后監(jiān)督���,及時(shí)發(fā)現(xiàn)問題,發(fā)揮作用補(bǔ)救間接被非法分子破壞的問題����。
??????? 4.加強(qiáng)系統(tǒng)開發(fā)和維護(hù)管理
??????? 會(huì)計(jì)電算化系統(tǒng)開發(fā)管理應(yīng)本著“統(tǒng)一規(guī)劃、統(tǒng)一開發(fā)�����、統(tǒng)一維護(hù)”的原則�,在會(huì)計(jì)部門和信息技術(shù)部門的領(lǐng)導(dǎo)下進(jìn)行。全行通用的系統(tǒng)由總行統(tǒng)一組織開發(fā)���,各分行如有特殊業(yè)務(wù)需求����,應(yīng)報(bào)總行會(huì)計(jì)和信息技術(shù)部門審定���,經(jīng)總行授權(quán)后由分行信息技術(shù)部門開發(fā)�,系統(tǒng)開發(fā)完成后�����,須經(jīng)總行驗(yàn)收方可使用。
??????? 各級(jí)機(jī)構(gòu)在使用電算化應(yīng)用系統(tǒng)的過程中如發(fā)現(xiàn)問題或有新的業(yè)務(wù)需求��,應(yīng)及時(shí)逐級(jí)上報(bào)業(yè)務(wù)主管部門�����,總行開發(fā)的系統(tǒng)由總行統(tǒng)一修改維護(hù)�,分行開發(fā)的系統(tǒng)由分行統(tǒng)一修改維護(hù)。
??????? 5.建立健全規(guī)章制度�����,加強(qiáng)內(nèi)部安全控管�����。
??????? 要充分發(fā)揮計(jì)算機(jī)的作用���,就必須建立嚴(yán)格���、完善的內(nèi)部安全管理和控制制度并嚴(yán)格監(jiān)督制度的執(zhí)行,這樣才能使計(jì)算機(jī)安全工作有章可循��、有的放矢。具體講應(yīng)從以下幾方面著手:
??????? 1�����、加強(qiáng)人事管理:加強(qiáng)人員管理:接觸系統(tǒng)操作和繪制來選擇合適的候選人;兩對(duì)技能水平����,工作態(tài)度���,工作績(jī)效的定期評(píng)估��,輪崗及時(shí)�����。
??????? 2����、加強(qiáng)規(guī)章制度和相關(guān)管理:軟件開發(fā)人員�,系統(tǒng)維護(hù)人員,業(yè)務(wù)人員的職責(zé)���,即制定明確的任務(wù)管理系統(tǒng)���,以分清責(zé)任�,相互監(jiān)督;滇�,創(chuàng)建一個(gè)密碼管理系統(tǒng),由不同的人的一個(gè)重要的密碼�����,分部主定期更換密碼����,并嚴(yán)格控制擴(kuò)散的密碼;未經(jīng)批準(zhǔn)的應(yīng)用軟件,應(yīng)用軟件的管理安排�����,加強(qiáng)管理的負(fù)責(zé)人修改軟件是不是免費(fèi)的�,軟件必須修改確實(shí)因業(yè)務(wù)需要,存儲(chǔ)寄存器修改完成后��,附加軟件修改的規(guī)范和測(cè)試報(bào)告�����,流出的非應(yīng)用程序軟件,泄露�����,系統(tǒng)的源代碼�,不得被安裝在應(yīng)用環(huán)境;建立機(jī)房管理系統(tǒng),并嚴(yán)格執(zhí)行���,不應(yīng)該��。信任代替制度���,有專人管理的機(jī)房��,分為禁區(qū)水平����,分別進(jìn)入的職責(zé);集中存儲(chǔ)的業(yè)務(wù)數(shù)據(jù),并減少跨存儲(chǔ)的數(shù)據(jù)的風(fēng)險(xiǎn)�。。�。。
??????? 3��、加強(qiáng)計(jì)算機(jī)稽核和監(jiān)管:1對(duì)帳務(wù)和應(yīng)用系統(tǒng)使用稽核軟件分別進(jìn)行實(shí)時(shí)和定期檢查�;2對(duì)每臺(tái)終端���、每個(gè)用戶的操作進(jìn)行記錄,以便保留原始操作信息��,進(jìn)行操作信息的安全跟蹤�。
??????? 總之,隨著計(jì)算機(jī)應(yīng)用的日趨普及��,電算化已成為銀行會(huì)計(jì)業(yè)務(wù)發(fā)展的必然方向����,為確保客戶利益和銀行信譽(yù)����,銀行應(yīng)對(duì)會(huì)計(jì)電算化應(yīng)用系統(tǒng)的安全性予以高度重視,采取一切措施�����,對(duì)可能產(chǎn)生的風(fēng)險(xiǎn)防患于未然�。
???????
??????? 結(jié)論
??????? 如今,會(huì)計(jì)工作應(yīng)當(dāng)是一個(gè)以信息技術(shù)為中心的嶄新的會(huì)計(jì)�。會(huì)計(jì)電算化系統(tǒng)的安全性問題,是個(gè)綜合性的問題,需要硬件�、軟件、網(wǎng)絡(luò)����、人員安全意識(shí)方面及其他社會(huì)安全問題,共同應(yīng)對(duì)解決的問題��;需要強(qiáng)化安全意識(shí)���,做足預(yù)防管理的問題���。要促進(jìn)我國會(huì)計(jì)工作水平和會(huì)計(jì)信息的質(zhì)量得到最大程度的提高,更好地為提高各級(jí)企�����、事業(yè)單位的現(xiàn)代化管理水平以及提高經(jīng)濟(jì)效益服務(wù)��,應(yīng)當(dāng)必須具備一個(gè)安全���、穩(wěn)定、高效的電算化系統(tǒng)��。加上如今的網(wǎng)絡(luò)信息的時(shí)代,計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)還在不斷完善���。為了使我國的會(huì)計(jì)電算化工作能夠更好的健康發(fā)展���,我們還需對(duì)理論上和實(shí)踐上的工作進(jìn)行認(rèn)真的探討。由于缺少實(shí)際工作經(jīng)驗(yàn)�,對(duì)于企業(yè)的ERP系統(tǒng)中的會(huì)計(jì)業(yè)務(wù)流程造成的安全性問題的探討不夠完善,在今后的工作中還需注意���。通過以上對(duì)會(huì)計(jì)電算化系統(tǒng)的安全性分析����,并予以提出相應(yīng)的防范措施�。希望可以使會(huì)計(jì)電算化系統(tǒng)的安全性問題降到最低,使電算化系統(tǒng)更優(yōu)化���,并且能夠順利實(shí)施���,安全運(yùn)行。
???????
???????
