目 录
一、会计电算化条件下的安全漏洞问题——以湖南省某大型企业为例………………………………………………………………………3
(一)制度漏洞和人员疏忽
(二)备份恢复机制缺陷
(三)数据库系统设计缺陷
二、电算化条件下数据安全问题剖析………………………………3-5
(一)会计电算化条件下的数据安全问题
(二)会计电算化条件下安全漏洞成因分析三、强化会计电算化的安全管理……………………………………5-7
(一)加强电算化法制建设
(二)完善内部控制系统
内 容 摘 要
摘要:随着会计电算化的普及,计算机舞弊犯罪现象也越来越严重。通过阐述会计电算化条件下的舞弊特点及篡改输入数据等各种会计电算化舞弊手段,分析了这些舞弊现象产生的原因,并提出了加强法制建设、完善内部控制、发挥审计人员的监督作用等防范会计电算化舞弊的措施。
关键词:会计电算化;舞弊行为;造假手段;防范措施
会计电算化条件下的数据安全问题及其对策研究
21世纪是全球信息时代,会计作为社会经济生活不可缺少的重要成员,必将更多地运用信息技术。会计信息处理从手工发展到电算化是会计操作技术和信息处理方式的重大变革。电算化对会计理论和会计方法提出一系列新的课题,使传统会计格局逐渐被打破,新的会计思想和理论逐渐确立,从而在推动会计自身发展和变革的同时,也促使会计信息系统的进一步完善和发展,随着计算机技术的飞速发展,Internet技术和电子商务的广泛应用,财务软件的应用平台、开发技术、功能体系也在不断地更新,财务软件的应用水平不断提高、应用范围不断扩大,同时,对会计工作、税务工作、审计工作及相关经济管理工作人员对财务软件的了解、使用和维护的要求不断提高。但是会计电算化在改进会计工作、提高会计信息客观性的同时,又给会计造假规则和法律规提供了比以往更多的可能性和更高的造假效率。
一、会计电算化条件下的安全漏洞问题——以湖南省某大型企业为例
现以某企业为例,从案例角度审视会计电算化的安全管理:湖南省株洲市某大型建筑企业,设8个工程处和若干专业分公司。会计工作实行二级核算体制,即工程处和分公司作为二级核算单位,组织相对独立的会计核算,公司财务部集中汇总与合并报表。该公司财务部2001年开始采用国内某知名软件实行财务电算化,设有10个核算站点,实施了总账、报表、应收应付、内部资金管理等模块。系统开始运行的第一年,日常业务仍然主要依靠手工处理,电算化系统只是辅助地进行报表编制、数据查询等。因此电算化系统安全问题并未引起任何严重后果。通过一年的试运行,系统发挥的作用逐渐为财务主管和大部分会计人员认可,因此该公司决定于2002年丢开手工账。2002年n月中旬的一天,会计人员报告,财务软件系统的当前日期退回到7月份,7一n月份数据全部丢失。经过调查,发现有一会计人员未经授权非法进入系统管理模块,无意中运行了数据恢复功能,由于不清楚正确操作方法和错误的操作可能引起的后果,结果使系统回到了7月份数据状态,而且由于系统管理员并未进行正常的定期备份,找不到最近的备份数据,致使7一n月间数据永远丢失。这一事件暴露了该公司电算化系统的以下安全漏洞:
(一)制度漏洞和人员疏忽
相关电算化工作制度没有有效地建立和执行,报给财政部门进行丢账申请时仅简单地参照了其他公司所使用的制度文本,而这些制度也没有在会计人员中深入学习,因此系统和数据的安全责任约束和考核机制严重缺失。
(二)备份恢复机制缺陷
无专人负责数据备份和必要时的数据恢复,任何人都可以进行数据备份和数据恢复,从而使无关人员盲目操作导致严重后果;同时财务软件本身的备份恢复功能也有问题,该软件子系统必须分别进行数据备份,这给系统管理员统一管理数据备份带来极大不便,管理员把恢复和备份责任推给一般操作人员,由此产生了随意备份、不当恢复。本案例即属于意外进数据恢复而且丢失正确的数据备份而导致无复原的后果。
(三)数据库系统设计缺陷
数据库后台管理功能开发不够,不能利用数据库本身的备份管理进行数据恢复,致使本案例失去保证数据复原的最后保障。
二、电算化条件下的各种数据安全问题剖析
(一)会计电算化条件下的数据安全问题
1、篡改输入数据
这是计算机舞弊中最简单、最安全、最常用的方法。数据有可能在输入计算机之前或输入过程中被篡改。数据要经过采集、记录、传递、编码、检查、核对、转换等环节进入计算机系统,任何与之有关的人员,或能够接触处理过程的人员,都有可能篡改数据。
2、病毒感染
病毒感染的具体表现主要有:侵害计算机的引导区或破坏文件分区表,使系统无法启动或调用文件;系统无法调用某些外部设备,如打印机、显示器等,但这些设备本身并无故障;系统内存没有原因的减少,软件运行速度减慢甚至死机;在特定的日期,当前运行的文件突然被删除;用户储存在硬盘上的文件被无故突然全部删除;正在运行的计算机突然无故重新启动;突然格式化特定的磁道、扇区甚至整个磁盘;屏幕突然出现弹跳的小球、字符、某些特定的图形等。除上述表现外,一般来说,只要正在工作的计算机发生突然的非正常运行,通常都应首先怀疑是计算机病毒在起作用。
3、截尾术
用自动化方法,从大数量的资财中取一小部分,如将存款利息四舍五入的部分据为己有。
4、拾遗。拾遗是在一项作业执行完毕后,取得遗留在计算机系统内或附近的信息。如从废纸篓中搜寻废弃的计算机打印清单、复印件;搜寻留在计算机中的数据等。
5、数据泄露
从计算机中泄露数据,是指从计算机系统或计算机设施中取走数据。作案人员可以将敏感数据隐藏在没有问题的输出报告中,也可采用隐藏数据和没有问题的数据交替输出。更复杂的方法是进行数据编码,使数据表里不一。例如,在计算机输出报告上,隐藏的数据通过打印行的不同长度、每行字符数的多少、标点符号的位置及代码字的使用,从计算机中取走数据。采用木马计、逻辑炸弹和拾遗方法可达到泄露数据的目的。]
6、乘虚而入
电子化的乘虚而入发生在计算机连机系统。连机系统中的用户使用终端时,身份由计算机自动验证,一般根据口令的通过准许进入系统。如果某隐藏的终端通过设备与同一线路连接,并在合法用户没有使用终端前先行运行,就会有害于计算机系统。
7、冒名顶替
冒名顶替主要通过非法手段获取他人口令的作法实施舞弊活动。]
(二)会计电算化条件下安全漏洞成因分析
1、会计载体本身性质带来的问题
电算化会计需在一定的系统内才可视,因此目前许多企业因为没有将会计软件的版式及软件系统很好地保存,导致在电算化软件升级后,不同版本下的会计数据不能被调用;但目前由于一些单位受条件限制,没有配备激光打印机或喷墨打印机,还在使用老的针式打印机,致使打印输出的纸介质会计档案达不到规定的保存期限;未选择质量优良的磁盘介质进行会计档案数据备份,未实行备用盘与存储盘分离存放,导致电子数据因此损坏或丢失。 2、会计电算化管理规章制度及相应的法律法规尚需完善
虽然会计电算化已经得到普及并不断发展,但配套的管理机制还没有及时建立健全起来。如内部控制制度不完善,对系统应用的职责权限、操作权限规定不严,人们对会计电算化系统的安全保密性缺乏足够的认识,电算化审计监督跟不上。 3、缺乏必要的计算机维护、网络安全人才
众所周知,电算化下涉及到软件、系统安全、维护等一系列专业的问题,但目前一般单位都仅仅对以前的会计人员进行一定的培训,然后就去操作系统,在一定层面上而言,会计人员仅学会了操作,而管理与维护对他们而言就非常陌生,由此导致的结果与损失也非同小可。
4、电子计算机自身方面的原因
首先,会计电算化系统存在缺陷。由于应用软件不够成熟,系统本身在安全方面有缺陷,如会计软件大多有反过账功能,可以将审核凭证的审核标记去掉,把当前月份,甚至以前月份登记的凭证从明细账、总账中不留痕迹地去掉,报表处理模块允许用户自定义报表的格式和计算公式,报表与账簿之间的关联可人为的修改;关于会计截止日期,很多会计软件本月没有进行月末处理就可以处理下月凭证,为在不同月份间调节利润提供可能。其次,由于计算机应用的普及,应用软件的商品化,会计电算化系统更趋向开放性和共享性,计算机病毒是这些应用软件中的一种。有些人从不正规的场所购买的会计软件中往往带有病毒。这些病毒是由人创造的,通过计算机进行传播、漫延,能造成计算机文件丢失、甚至死机,并具有隐蔽性强、传播力广、破坏力大的特点。 有果必有因,对以上问题发生的原因作出以下可能的判断; (1)对会计电算化本身理解的偏差:许多企业的会计人员,仅仅将电算化看成自动运算做帐的工具,而忘记了它本身所应包含的管理会计分析、预测、决策等功能,从而心理上缺乏对会计电算化管理的重视。 (2)尚未引起有关部门的重视:对会计工作重视不够,会计部门缺乏必要的措施及相应的业务指导,造成会计部门交什么、交多少都任其自然的状况,严重妨碍了电子文件、数据的归档。 (3)缺乏明确的规章制度:由于没有完善的、针对电子文件的制度规范,电算化会计工作处于无序状态。仍旧沿袭手工管理时的老做法,只归档纸质文件,而且是将原来用手工记录的账簿、报表,改成了用计算机打印出来的账簿、报表。
三、强化会计电算化的安全管理在知道了这些造假手段和对这些手段产生的原因分析以后 我们迫切需要做的就是要怎么样来加强会计电算化的安全管理
(一)加强电算化法制建设
目前,由于法规的不健全使对电算化犯罪的控制很困难,例如,对未经许可接触电算化会计信息系统或有关数据文件的行为,在许多国家法律上不认为是偷窃行为,因此就无法对拷贝重要机密数据的行为治罪。我们必须看到,对电算化会计信息系统的开发和管理,不能仅靠现有的一些法规,如会计法、企业会计准则等,因为会计电算化犯罪毕竟是高科技、新技术下的一种新型犯罪,为此制定专门的法规对此加以有效控制就很有必要。
(二)完善内部控制系统
1、合规、合法性控制
建立和健全企业内部控制系统必须符合国家财经政策、法令和财经制度的规定,每一项经济业务活动必须控制在合规、合法的范围内开展。如一切会计凭证都必须由会计部门认真审核、把关,对不合规、不合法的经济业务应坚决予以揭露和制止;生产和销售的产品必须符合质量要求,不许以次充优或生产销售伪劣产品;等等。这些都是合规合法性控制。
2、授权分权控制
现代企事业单位规模不断扩大、环节日益增多、业务纷繁。企事业单位领导不可能事必躬亲,包揽一切事务。因此,必须将事、权进行合理划分,对下级授权、分权,规定各级人员处理某些事务的权利。在授权、分权范围内,授权者和分权者有权处理有关事务;未经批准和授权,不得处理有关的经济业务,这样,把各项经济业务在其发生之际就加以控制,使各级业务人员都能在其位和某其政。“权”和“责”是相互联系的,建立内部控制系统时,必须将每个单位或个人按其所授权利或所分权利与应负的责任相联系,制定“岗位责任制”,明确岗位应予履行的任务及其应负的责任,并定期进行检查,做到事事有人管,人人有专责,办事有标准,工作有检查,从而对各项经济业务进行控制。如一项经济业务从发生至结束的整个过程中,谁核谁、谁经办、谁复核、谁验收、谁审批等都应在制度中予以充分说明。做到分工负责,权责分明。
3、不相容职务控制
建立内部控制系统,必须对某些不相容职务进行分离,应分别由两个以上担任,以便相互核对、相互牵制,防止舞弊。所谓不相容职务,指集中于一人办理时,发生差错或舞弊的可能性就会增加的两项或几项职务。如经管现金和银行存款的出纳,与负责总账登记的会计,就属于不相容职务。企业对不相容职务,应该加以严格控制和分离。①经济业务处理的分工。即一项经济业务的全过程不应由一个人或一个部门单独处理,应分割为若干环节,分属不同的岗位或人员去管。具体要求是:授权进行某项经济业务和审查该项业务的职务要分离;执行某项经济业务和记录该项业务的职务要分离;记录某项经济业务与审核该项经济业务的职务要分离。②资产记录与保管的分工。实行这种分工的目的在与保护资产的安全和完整。具体要求是:保管某项物资和记录该项物资的职务要分离;保管物资与核对该项物资账实是否相符的职务要分离;贵重物品仓库的钥匙由两个人分别持有。③各职能部门具有相对独立性。这种独立性体现在:一是各职能部门之间是平级关系,而非上下级关系:二是各职能部门的工作有明确分工,不存在责任共同负担、成绩均有份的关系。
4、业务程序标准化控制
为了提高工作效率,实行科学化管理,现代企业一般将每一项业务与活动,都划分为六个步骤:授权、主办、核准、执行、记录和复核。这种按照客观要求建立的标准化业务处理程序,不仅有利于实际业务活动按照事先规定的轨道进行。而且对实际业务活动做到了事前、事中和事后的控制。这种标准化的处理程序,可用成文的制度表示,如各种管理制度,也可以绘成流程图。如各种业务处理流程图,采取这种方式控制,不仅经办人有章可循,能按照科学的程序办事,而且可以避免职责不清,相互扯皮的现象。按照标准化处理程序的要求,会计部门的每一个工作人员必须有严格的组织分工,会计资料力求做到统一格式、统一编号、专人填制专人保管,防止混乱、丢失。如每项经济业务业务发生之后,都应取得或填制会计凭证,作为该项经济业务的证明;凭证的设计必须科学,力求标准格式;凭证的填写必须认真;凭证的传递必须合理。环环紧扣;凭证的复核、审查必须严格;需要套写的凭证,不准分别填写;需要事先连续编号的凭证,不准临时编号;填错的凭证,要按照规定的程序和手续改正,不准任意涂改;对每种凭证应规定整理、归档、调阅、销毁等要求和手续;等等。
5、复查核对控制。为了保证会计信息的可靠性,规定各项经济业务必须经过复查核对,以免发生差错和舞弊。对业已完成的经济业务记录进行复查何地,是控制记录使其正确可靠的重要方法、复查核对一般分为两种:一种是将记录与所记的事物相核实;另一种是记录之间的相互复查核对。通过这两种复查核对,能进一步保证记录真实、完整、正确。复查核对的内容包括凭证之间的复查核对,凭证和账簿之间的复查核对,账簿和报表之间的复查核对,账簿之间的复查核对等。建立严格的复查核对制度,有利于及时发现并改正会计记录中的错误,做到证、账、表三相符。
6、强化对会计人员的培训。一般来说,会计人员普遍具备一定的会计理论和工作实践经验,关键在于计算机水平不高。计算机学不好,会计电算化只能是空中楼阁。因此必须加强培训,不仅使他们掌握计算机的基本操作,而且还要掌握必要的常识且具备解决实际问题的能力。目前,会计电算化初级培训已普及,中级培训正在开展,这对提高在职会计应用计算机能力有极大的帮助,并有助于不同行业在职会计的横向交流。有关部门应把好关,不要流于形式,而要真正地把会计电算化深入下去,不但要培训,还要定期考核:
7、建立健全内部控制。内部控制制度是为了保护财产的安全完整,保证会计及其他数据正确可靠,保证国家有关方针、政策、法令、制度和本单位制度、计划贯彻执行,提高经济效益,利用系统的内部分工而产生相互联系的关系,形成一系列具有控制只能的方法、措施、程序的一种管理制度。内部控制制度的基本作用是保护财产安全完整,提高数据的正确性、可靠性。贯彻执行方针、政策、法令、计划,是审计工作的重要依据。内部控制制度的基本目标是健全机构、明确分工、落实责任、严格的操作规程,充分发挥内部控制作用。其具体目标如下:(1)合法性,保证处理的经济业务及有关数据符合有关规章制度。(2)合理性,保证处理的经济业务及有关数据有利于提高经济效益和工作效率。(3)适应性,应用管理需要、环境变化和例外业务。(4)安全性,保证财产和数据的安全,具有严格的操作权限、保密功能、恢复功能和防止非法操作功能。(5)正确性,保证输入、加工、输出数据正确无误,及时性,保证数据处理及时,为管理提供信息。
8、加强数据的保密与保护。在进入系统时加一些用户口令、声音监测、指纹辨认等检测手段和用户权限设置等限制手段;另外还可以给硬件加密或把系统作在芯片上加密等机器保密措施和专门的管理制度,如专机专用、专室专用等。管理型的会计软件除了具有完善的会计业务核算功能外,还应大力加强会计数据分析预测,辅助计划的制定和控制,支持高、中、低各管理层次的管理决策。管理型会计软件不但可以实现或辅助实现财务会计和管理会计中的主要功能,而且可以使它们和企业的日常管理工作有机地结合在一起。解决此问题的关键在于尽快开发出以管理为导向的会计软件并推广使用。有关部门应结合企业的管理特点,制定全国统一的、具体的管理规定和标准。如考核指标体系,既要有数量指标,又要有质量指标,还要有各种综合指标。有了可操作的管理规定和考核指标体系,会计电算化从核算型向管理型转化才有据可依,企业的管理才能走上规范化的轨道。随着社会主义市场经济的发展、完善,尤其是知识经济时代的到来,当今数字化革命正在进行,会计电算化已是管理现代化和会计自身改革及发展的客观需要,是时代发展的必然。管理者应高瞻远瞩,着眼于本单位长远发展,紧跟时代步伐,不断提高自身素质,排除自身干扰因素,支持会计电算化工作的开展。同时,提高专业会计电算化人员的地位,发挥他们的最大能动性。
在上述湖南株洲企业中,解决会计电算化系统安全问题的首要前提是必须弄清影响会计电算化系统安全的诸多因素,这些因素构成会计电算化系统的安全链。对这条安全链上的每一个环节都必须重视并确保其可靠才能保证整个系统的安全,财务及管理软件本身在开发过程中就有一定的安全设计,内容一般包括:数据的业务逻辑约束、对数据写盘异常的保护、功能权限的划分、业务范围权限划分、对岗位暂离的屏幕保护、口令控制等等。但不同软件之间的性能差异较大。财务及管理软件的安全设置:用户必须根据软件特点结合自身管理要求,对系统运行的安全进行全面规划和控制。制度保护:这是系统与数据安全的最后一道屏障,通过各项有关制度的制定和有效执行,真正做到对系统硬件、软件、数据和信息进行保护和保密。
参考文献…
[1].李春友.从案例审视会计电算化安全管理.会计电算化2003.4
[2].郑丹.会计电算化舞弊及其防范措施的问题探讨.沈阳工程学院学报(社会科学版)第4卷
[3].张辉.会计电算化[M].北京:机械工业出版社,2001
[4]崔国玲.刍议利用计算机会计信息系统实施犯罪的方法[J].辽宁经济,2003.12
[5].学术研讨2008年第3期56
[6].财税与会计.2006年3-8期2007年1-3期
