计算机会计信息系统的风险及其防范


计算机的普及与网络技术的飞速发展，使计算机会计信息系统在企业财务管理中发挥了日益重要的作用，但同时它也改变了传统的会计信息处理方式和存储方式，对会计信息的安全性提出了新的挑战。如何在充分利用信息技术的同时，有效地规避信息系统带来的风险，是目前面临的一个亟待解决的问题。本文通过对部分实施会计信息化的企业进行充分调研，深入分析计算机会计信息系统存在的风险，并针对不同的风险提出相应的防范措施。
一、计算机会计信息系统的风险分析
在会计信息系统风险分析所进行调研的企业中，笔者发现，尽管每个企业实施会计信息化的程度不一样，但存在的风险一般为以下四个方面：
（一）基础设施方面存在的风险主要包括：（1）计算机硬件风险。调研的样本企业中，计算机会计信息系统的应用模式有单机和C/S两种，两者硬件都存在自身功能失效的可能，也会同时受到零组件性能的限制，令硬件出现寿命的限制性，如硬盘的损坏，突然断电造成的主板和CPU的损害，受潮湿、磁化、辐射等各种物理损伤，这些破坏都能令工作受到严重的影响，导致计算机会计信息系统的工作混乱或会计数据毁损。（2）会计软件开发设计方面的风险。计算机会计信息系统一般由会计软件客户端和后台数据库两大部分构成。无论C/S架构、B/S架构还是单用户系统都是如此，依靠人机界面和软件客户端将各种数据保存到数据库中，再将需要的信息处理后反馈给用户。因此计算机会计信息系统中至关重要的是数据库控制和管理。我国目前使用的会计软件中，有些对数据库未采取任何的保护措施，有些虽然采取了措施，但比较薄弱或形同虚设。甚至有些会计软件中的数据库文件，往往能通过相应的数据库管理系统打开，直接读写这些数据文件，并对文件中的数据直接进行增加、删除及修改等操作。这些为系统管理和财务核算的安全留下重大的隐患。（3）网络安全风险。计算机网络的广泛应用使各个孤立的计算机系统通过网络连成一体。由于网络所依托的1NTERNET/INTRANET体系使用的是开放式TCP/IP协议，虽然网络技术不断的提高，但网络依然存在着安全漏洞，计算机安全漏洞已不断地被人利用，严重威胁着会计数据的安全。无论是互联网还是内联网，网络是一个开放的环境，在这个环境中一切信息在理论上都可以被访问到。互联网供应商（ISP）或企业以外的第三者均可以获得有关公司的内部消息，而内联网则是企业内部的网络，企业内每个人都可接触到。在计算机会计信息系统实际应用过程中，有相当数量的单位并不重视密码，如有些单位所有人的密码都是相同的；也不重视网络安全管理，接人互联网时不安装防火墙；操作系统和数据系统出现安全漏洞时不及时升级等。
（二）计算机病毒引起的风险在对企业调研的过程中发现，多数样本企业都不同程度的受到过计算机病毒的侵害，病毒侵入的途径主要有以下几种：（1）从存储介质侵入。经过对Windows98/2000/NT、Office2000、WPS以及网页制作工具等盗版光盘进行计算机病毒测试表明，带病毒文件多达三千多项，其中多种程序确实存在多种计算机病毒，包括CMOS-destroyer‚bupt等引导性病毒、CIH病毒、“邮件炸弹”、宏病毒和特洛伊木马黑客程序等。U盘和移动硬盘的普及使用也加大了病毒在计算机之间的传播空间。（2）从内联网侵入。内联网上的邮件系统容易导致病毒大量传播，而且内联网络上传播的病毒普遍较新，新发现的病毒种类占多数。（3）从互联网侵入。互联网已经成为计算机病毒传播最大的来源，无论是用户在网上浏览，还是收发电子邮件、下载软件，都很容易使计算机染上病毒。病毒的破坏性和传播性强，并且具有潜伏性、隐藏性和可激发性。它不仅可以破坏系统的数据文件，严重的还能破坏硬件的正常运作，给会计信息的安全性带来了极大的隐患。
（三）计算机舞弊引发的风险主要包括：（1）会计软件功能的滥用。不少会计软件开发公司为方便用户纠正计算机会计信息系统核算中的差错，在会计核算软件中设置了“取消复核”、“取消记账”、“取消结账”等功能。这些功能的使用，给用户提供了极大的便利，但同时也为制造虚假会计信息提供了方便。在计算机会计信息系统环境下，如果单位缺乏严格周密的内部控制制度，部分会计人员就会利用会计软件提供的逆向操作功能来篡改会计数据，而不留下任何痕迹，给审计监督工作和防范经济犯罪增加了技术难度。另外，如果软件功能使用不当，很可能导致单位整个财务系统的混乱。（2）直接操作数据库进行造假。在计算机会计信息系统中的数据库，从小型的DBASE、FOXPRO数据库，到大型的ORACLE、SYBASE、DB2数据库。数据库本身都提供自带的查询修改程序。利用这些程序，不法分子根本不需利用会计软件就可以完全控制和操作所有的数据。虽然一些数据库系统提供了很丰富的数据安全措施，如口令、钥