計算機(jī)的普及與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，使計算機(jī)會計信息系統(tǒng)在企業(yè)財務(wù)管理中發(fā)揮了日益重要的作用，但同時它也改變了傳統(tǒng)的會計信息處理方式和存儲方式，對會計信息的安全性提出了新的挑戰(zhàn)。如何在充分利用信息技術(shù)的同時，有效地規(guī)避信息系統(tǒng)帶來的風(fēng)險，是目前面臨的一個亟待解決的問題。本文通過對部分實(shí)施會計信息化的企業(yè)進(jìn)行充分調(diào)研，深入分析計算機(jī)會計信息系統(tǒng)存在的風(fēng)險，并針對不同的風(fēng)險提出相應(yīng)的防范措施。

　　一、計算機(jī)會計信息系統(tǒng)的風(fēng)險分析

　　在會計信息系統(tǒng)風(fēng)險分析所進(jìn)行調(diào)研的企業(yè)中，筆者發(fā)現(xiàn)，盡管每個企業(yè)實(shí)施會計信息化的程度不一樣，但存在的風(fēng)險一般為以下四個方面：

　?。ㄒ唬┗A(chǔ)設(shè)施方面存在的風(fēng)險主要包括：（1）計算機(jī)硬件風(fēng)險。調(diào)研的樣本企業(yè)中，計算機(jī)會計信息系統(tǒng)的應(yīng)用模式有單機(jī)和C/S兩種，兩者硬件都存在自身功能失效的可能，也會同時受到零組件性能的限制，令硬件出現(xiàn)壽命的限制性，如硬盤的損壞，突然斷電造成的主板和CPU的損害，受潮濕、磁化、輻射等各種物理損傷，這些破壞都能令工作受到嚴(yán)重的影響，導(dǎo)致計算機(jī)會計信息系統(tǒng)的工作混亂或會計數(shù)據(jù)毀損。（2）會計軟件開發(fā)設(shè)計方面的風(fēng)險。計算機(jī)會計信息系統(tǒng)一般由會計軟件客戶端和后臺數(shù)據(jù)庫兩大部分構(gòu)成。無論C/S架構(gòu)、B/S架構(gòu)還是單用戶系統(tǒng)都是如此，依靠人機(jī)界面和軟件客戶端將各種數(shù)據(jù)保存到數(shù)據(jù)庫中，再將需要的信息處理后反饋給用戶。因此計算機(jī)會計信息系統(tǒng)中至關(guān)重要的是數(shù)據(jù)庫控制和管理。我國目前使用的會計軟件中，有些對數(shù)據(jù)庫未采取任何的保護(hù)措施，有些雖然采取了措施，但比較薄弱或形同虛設(shè)。甚至有些會計軟件中的數(shù)據(jù)庫文件，往往能通過相應(yīng)的數(shù)據(jù)庫管理系統(tǒng)打開，直接讀寫這些數(shù)據(jù)文件，并對文件中的數(shù)據(jù)直接進(jìn)行增加、刪除及修改等操作。這些為系統(tǒng)管理和財務(wù)核算的安全留下重大的隱患。（3）網(wǎng)絡(luò)安全風(fēng)險。計算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用使各個孤立的計算機(jī)系統(tǒng)通過網(wǎng)絡(luò)連成一體。由于網(wǎng)絡(luò)所依托的1NTERNET/INTRANET體系使用的是開放式TCP/IP協(xié)議，雖然網(wǎng)絡(luò)技術(shù)不斷的提高，但網(wǎng)絡(luò)依然存在著安全漏洞，計算機(jī)安全漏洞已不斷地被人利用，嚴(yán)重威脅著會計數(shù)據(jù)的安全。無論是互聯(lián)網(wǎng)還是內(nèi)聯(lián)網(wǎng)，網(wǎng)絡(luò)是一個開放的環(huán)境，在這個環(huán)境中一切信息在理論上都可以被訪問到?；ヂ?lián)網(wǎng)供應(yīng)商（ISP）或企業(yè)以外的第三者均可以獲得有關(guān)公司的內(nèi)部消息，而內(nèi)聯(lián)網(wǎng)則是企業(yè)內(nèi)部的網(wǎng)絡(luò)，企業(yè)內(nèi)每個人都可接觸到。在計算機(jī)會計信息系統(tǒng)實(shí)際應(yīng)用過程中，有相當(dāng)數(shù)量的單位并不重視密碼，如有些單位所有人的密碼都是相同的；也不重視網(wǎng)絡(luò)安全管理，接人互聯(lián)網(wǎng)時不安裝防火墻；操作系統(tǒng)和數(shù)據(jù)系統(tǒng)出現(xiàn)安全漏洞時不及時升級等。

　?。ǘ┯嬎銠C(jī)病毒引起的風(fēng)險在對企業(yè)調(diào)研的過程中發(fā)現(xiàn)，多數(shù)樣本企業(yè)都不同程度的受到過計算機(jī)病毒的侵害，病毒侵入的途徑主要有以下幾種：（1）從存儲介質(zhì)侵入。經(jīng)過對Windows98/2000/NT、Office2000、WPS以及網(wǎng)頁制作工具等盜版光盤進(jìn)行計算機(jī)病毒測試表明，帶病毒文件多達(dá)三千多項(xiàng)，其中多種程序確實(shí)存在多種計算機(jī)病毒，包括CMOS-destroyer,bupt等引導(dǎo)性病毒、CIH病毒、“郵件炸彈”、宏病毒和特洛伊木馬黑客程序等。U盤和移動硬盤的普及使用也加大了病毒在計算機(jī)之間的傳播空間。（2）從內(nèi)聯(lián)網(wǎng)侵入。內(nèi)聯(lián)網(wǎng)上的郵件系統(tǒng)容易導(dǎo)致病毒大量傳播，而且內(nèi)聯(lián)網(wǎng)絡(luò)上傳播的病毒普遍較新，新發(fā)現(xiàn)的病毒種類占多數(shù)。（3）從互聯(lián)網(wǎng)侵入?；ヂ?lián)網(wǎng)已經(jīng)成為計算機(jī)病毒傳播最大的來源，無論是用戶在網(wǎng)上瀏覽，還是收發(fā)電子郵件、下載軟件，都很容易使計算機(jī)染上病毒。病毒的破壞性和傳播性強(qiáng)，并且具有潛伏性、隱藏性和可激發(fā)性。它不僅可以破壞系統(tǒng)的數(shù)據(jù)文件，嚴(yán)重的還能破壞硬件的正常運(yùn)作，給會計信息的安全性帶來了極大的隱患。

　?。ㄈ┯嬎銠C(jī)舞弊引發(fā)的風(fēng)險主要包括：（1）會計軟件功能的濫用。不少會計軟件開發(fā)公司為方便用戶糾正計算機(jī)會計信息系統(tǒng)核算中的差錯，在會計核算軟件中設(shè)置了“取消復(fù)核”、“取消記賬”、“取消結(jié)賬”等功能。這些功能的使用，給用戶提供了極大的便利，但同時也為制造虛假會計信息提供了方便。在計算機(jī)會計信息系統(tǒng)環(huán)境下，如果單位缺乏嚴(yán)格周密的內(nèi)部控制制度，部分會計人員就會利用會計軟件提供的逆向操作功能來篡改會計數(shù)據(jù)，而不留下任何痕跡，給審計監(jiān)督工作和防范經(jīng)濟(jì)犯罪增加了技術(shù)難度。另外，如果軟件功能使用不當(dāng)，很可能導(dǎo)致單位整個財務(wù)系統(tǒng)的混亂。（2）直接操作數(shù)據(jù)庫進(jìn)行造假。在計算機(jī)會計信息系統(tǒng)中的數(shù)據(jù)庫，從小型的DBASE、FOXPRO數(shù)據(jù)庫，到大型的ORACLE、SYBASE、DB2數(shù)據(jù)庫。數(shù)據(jù)庫本身都提供自帶的查詢修改程序。利用這些程序，不法分子根本不需利用會計軟件就可以完全控制和操作所有的數(shù)據(jù)。雖然一些數(shù)據(jù)庫系統(tǒng)提供了很豐富的數(shù)據(jù)安全措施，如口令、鑰匙卡，甚至電子簽名或指紋鑒別，但安全措施得不到重視，使得原本應(yīng)嚴(yán)密保護(hù)的會計信息系統(tǒng)數(shù)據(jù)處在非常危險的情況中，也為會計造假提供了方便。（3）對輸入的會計信息直接造假。不法分子利用會計軟件本身的功能缺陷或系統(tǒng)管理上的疏忽，直接使用會計軟件導(dǎo)人虛假的數(shù)據(jù)或修改、刪除已經(jīng)存在的正確數(shù)據(jù)。在計算機(jī)會計信息系統(tǒng)中，一旦輸入的初始數(shù)據(jù)是虛假的，以后處理環(huán)節(jié)即使再正確，也只能輸出虛假的處理結(jié)果。（4）計算機(jī)高級人員非法操作。計算機(jī)高級人員包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)操作員和網(wǎng)絡(luò)黑客等，他們通過木馬、后門進(jìn)行非法操作，威脅單位會計數(shù)據(jù)的安全。

　?。ㄋ模﹥?nèi)部控制存在的風(fēng)險信息技術(shù)的發(fā)展使企業(yè)的內(nèi)外部環(huán)境發(fā)生了很大的變化。（1）授權(quán)控制下降。在手工會計操作系統(tǒng)下，企業(yè)的每一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)中的每一個環(huán)節(jié)都可設(shè)置內(nèi)部一系列相互聯(lián)系的授權(quán)批準(zhǔn)程序，而在計算機(jī)會計信息系統(tǒng)下，這種授權(quán)可以僅憑一個密碼就能獲取。如果獲取密碼的手段是非法的，由此造成的內(nèi)部控制失控將是一個重大的風(fēng)險。（2）職責(zé)分離和監(jiān)督不規(guī)范。信息系統(tǒng)的開發(fā)、維護(hù)和操作等活動中存在的職責(zé)分離對信息系統(tǒng)的監(jiān)管格外重要。原來在手工環(huán)境下一些不相容的職責(zé)，在計算機(jī)中可以由一個程序模塊來執(zhí)行。此外，傳統(tǒng)的監(jiān)管手段也發(fā)生了變化。信息技術(shù)使某些員工的破壞能力增強(qiáng)，企業(yè)需要一批具有特殊技能的員工來開發(fā)、維護(hù)和操作信息系統(tǒng)。這類員工中的某些人可能對操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)擁有特權(quán)，他們的失誤或者故意破壞具有突發(fā)性、毀滅性以及隱蔽性的特點(diǎn)，可以使企業(yè)的整個信息系統(tǒng)崩潰或業(yè)務(wù)發(fā)生中斷，給企業(yè)帶來的損失不可估量。（3）業(yè)務(wù)記錄效力降低。在計算機(jī)會計信息系統(tǒng)下，業(yè)務(wù)記錄的載體由紙質(zhì)變成了磁質(zhì)，傳統(tǒng)的紙質(zhì)交易軌跡不復(fù)存在，取而代之的是數(shù)據(jù)庫記錄和操作日志等磁質(zhì)記錄。同時，交易軌跡的法律效力也發(fā)生了變化。員工在紙質(zhì)憑證上的簽字可以證明其確實(shí)對交易進(jìn)行了授權(quán)或確認(rèn)，但是磁質(zhì)交易記錄上的操作員信息的法律效力卻受到系統(tǒng)的完整性、正確性和安全性的影響。

　　二、計算機(jī)會計信息系統(tǒng)風(fēng)險的防范

　?。ㄒ唬┗A(chǔ)設(shè)施存在風(fēng)險的防范主要包括：（1）硬件的風(fēng)險防范。建立良好的運(yùn)作環(huán)境，應(yīng)將服務(wù)器放置在適當(dāng)?shù)奈恢茫邕h(yuǎn)離水源、安放在高地、置于有空氣調(diào)節(jié)的房間，以防止自然災(zāi)害帶來的損失；計算機(jī)機(jī)房應(yīng)充分滿足防火、防潮、防塵、防磁和防輻射及恒溫技術(shù)要求；機(jī)房出入口應(yīng)安裝保安密碼門鎖及防衛(wèi)警報裝置。（2）完善會計軟件的功能。要促進(jìn)計算機(jī)會計信息系統(tǒng)的發(fā)展，首要問題就是要加大軟件的開發(fā)力度，開發(fā)出比較完善的通用會計軟件。會計軟件開發(fā)人員應(yīng)該深入研究國外優(yōu)秀的財務(wù)軟件，消化并吸收其精華的管理思想和設(shè)計思路。對于現(xiàn)有的會計軟件可以人為地通過數(shù)據(jù)庫系統(tǒng)直接操作數(shù)據(jù)這一問題，解決方法之一是在應(yīng)用系統(tǒng)中設(shè)置文件修改檢查機(jī)制，文件一旦被修改，系統(tǒng)可以通過自身的測試檢測出來，并提醒用戶注意。另外一個解決方法是采取安全性較好的數(shù)據(jù)庫管理系統(tǒng)和操作系統(tǒng)開發(fā)平臺，充分利用系統(tǒng)本身提供的安全措施對數(shù)據(jù)加以保護(hù)。對一個具有良好安全性能的會計軟件而言，軟件系統(tǒng)的數(shù)據(jù)文件（包括備份出來的數(shù)據(jù)）有適當(dāng)?shù)募用苁潜夭豢缮俚?。加密對象可以是整個數(shù)據(jù)庫、數(shù)據(jù)庫的某組記錄、某些字段或者某些數(shù)據(jù)元素等。（3）網(wǎng)絡(luò)安全措施。為了防止非法用戶和黑客侵入會計信息系統(tǒng)內(nèi)部，可以通過設(shè)置防火墻，采用身份識別系統(tǒng)等技術(shù)防護(hù)措施，將非法用戶拒之網(wǎng)絡(luò)之外。對重要的商業(yè)秘密，可以在軟件中采取數(shù)據(jù)加密技術(shù)，這樣即使有人竊取了數(shù)據(jù)，由于沒有密鑰開啟也無法將數(shù)據(jù)還原成明文，保證了數(shù)據(jù)的安全。通過使用正確的資料加密方法，可以使外來的人無法識別數(shù)據(jù)，從而使截獲的會計數(shù)據(jù)失去價值，使篡改者與偽造者難以達(dá)到其目的。

　?。ǘ┯嬎銠C(jī)病毒引發(fā)風(fēng)險的防范對于計算機(jī)病毒引發(fā)的風(fēng)險，可以從以下幾方面進(jìn)行防范：一是網(wǎng)絡(luò)與單機(jī)殺毒軟件相結(jié)合，重點(diǎn)防范郵件服務(wù)器。建立完善的防病毒體系，將網(wǎng)絡(luò)版殺毒軟件安裝在郵件服務(wù)器上，將所有計算機(jī)和NT服務(wù)器都安裝好單機(jī)版殺毒軟件，啟動實(shí)時監(jiān)控系統(tǒng)。二是對文件進(jìn)行定期備份，至少每周殺毒一次，不要使用盜版軟件，確保網(wǎng)絡(luò)管理員賦予訪問者的權(quán)限在其工作范圍之內(nèi)，拒絕任何不受限制的訪問。三是加強(qiáng)安全教育，提高認(rèn)識，防患于未然。從加強(qiáng)管理人手，制定切實(shí)可行的管理措施，盡快建立快速預(yù)警機(jī)制，對重點(diǎn)對象加大檢查與清殺力度。健全并嚴(yán)格執(zhí)行防范病毒管理制度，具體包括：軟件、磁盤及計算機(jī)系統(tǒng)的使用和更新要通過計算機(jī)病毒檢測并專機(jī)專用；禁止在工作機(jī)上玩游戲；建立U盤管理制度，防止亂拷貝U盤；安裝防病毒卡和反病毒軟件；定期檢測并清除計算機(jī)病毒等。

　?。ㄈ┯嬎銠C(jī)舞弊引發(fā)風(fēng)險的防范對計算機(jī)舞弊方面的風(fēng)險的防范，最有效的措施是完善內(nèi)部控制制度，設(shè)立合理、有效的管理制度并加以嚴(yán)格執(zhí)行。要在充分考慮信息安全需要的基礎(chǔ)上，決定系統(tǒng)中關(guān)鍵部分——數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)的選擇。針對不同企業(yè)對會計信息系統(tǒng)的不同安全性要求，選擇合適的操作系統(tǒng)平臺。在會計軟件的開發(fā)設(shè)計過程中，充分運(yùn)用操作系統(tǒng)提供的信息安全技術(shù)，使信息安全從理論上的可能性變?yōu)楝F(xiàn)實(shí)。同時，要充分發(fā)揮審計人員的作用，在執(zhí)行審計工作的過程中查找計算機(jī)舞弊的痕跡。

　?。ㄋ模﹥?nèi)部控制存在風(fēng)險的防范主要包括：（1）建立有效的組織管理控制制度。計算機(jī)舞弊者大多是企業(yè)的程序員或計算機(jī)操作人員，因此，計算機(jī)會計信息系統(tǒng)要建立完善的人員職能控制制度，進(jìn)行適當(dāng)分工，明確規(guī)定每個崗位的職責(zé)，以防止對處理過程的不適當(dāng)干預(yù)。企業(yè)應(yīng)將系統(tǒng)分析、程序設(shè)計、計算機(jī)操作、文件程序管理等職務(wù)予以分離，系統(tǒng)操作人員、管理人員和維護(hù)人員這三種不相容職務(wù)相互分離、互不兼任，以減少利用計算機(jī)舞弊的可能性。（2）加強(qiáng)內(nèi)部審計。內(nèi)部審計是企業(yè)內(nèi)部控制的主要組成部分，旨在對企業(yè)中的各種內(nèi)部控制制度和各個職能部門所從事的各種業(yè)務(wù)活動進(jìn)行獨(dú)立評價。在計算機(jī)會計信息系統(tǒng)下，獨(dú)立的內(nèi)部審計機(jī)構(gòu)應(yīng)在信息系統(tǒng)的開發(fā)、維護(hù)過程中進(jìn)行嚴(yán)格的審查，而且應(yīng)定期檢查信息系統(tǒng)的處理過程。為了有效地監(jiān)控系統(tǒng)運(yùn)行狀況，防止系統(tǒng)被侵犯，計算機(jī)會計信息系統(tǒng)中應(yīng)設(shè)置系統(tǒng)安全性檢查程序，檢查系統(tǒng)的各種設(shè)置是否與上次運(yùn)行結(jié)束時狀態(tài)一致。另外，程序中需設(shè)置一個歷史文件，該文件能夠自動記錄當(dāng)天所有的操作過程，對所有的操作進(jìn)行監(jiān)控記錄，從而確保所有操作活動都留下痕跡，便于以后追索。隨著信息技術(shù)的發(fā)展，能引發(fā)計算機(jī)會計信息系統(tǒng)風(fēng)險的因素會更多也更復(fù)雜，因此計算機(jī)會計信息系統(tǒng)風(fēng)險的防范將是一個長期的過程。不僅要從技術(shù)的角度出發(fā)，把計算機(jī)會計信息系統(tǒng)的安全性、可靠性寄托在網(wǎng)絡(luò)硬件產(chǎn)品和技術(shù)上，還要重視管理制度的建設(shè)。因?yàn)橛嬎銠C(jī)系統(tǒng)的安全與否，主要取決于使用和接近計算機(jī)的人，因此管理比技術(shù)更重要。只有這樣才有可能最大限度地減少計算機(jī)會計信息系統(tǒng)的安全風(fēng)險，把風(fēng)險可能造成的影響和損失控制在最小程度。