7.計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)包括哪些？如何進(jìn)行防范？

答：計(jì)算機(jī)的普及與網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，使計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)在企業(yè)財(cái)務(wù)管理中發(fā)揮了日益重要的作用，但同時(shí)它也改變了傳統(tǒng)的會(huì)計(jì)信息處理方式和存儲(chǔ)方式，對(duì)會(huì)計(jì)信息的安全性提出了新的挑戰(zhàn)。計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)及其防范主要包括以下幾個(gè)方面：

（1）基礎(chǔ)設(shè)施方面

①存在的風(fēng)險(xiǎn)。主要包括：

A.計(jì)算機(jī)硬件風(fēng)險(xiǎn)。在企業(yè)中，計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的應(yīng)用模式有單機(jī)和C/S兩種，兩者硬件都存在自身功能失效的可能，也會(huì)同時(shí)受到零組件性能的限制，令硬件出現(xiàn)壽命的限制性，如硬盤的損壞，突然斷電造成的主板和CPU的損害，受潮濕、磁化、輻射等各種物理損傷，這些破壞都能令工作受到嚴(yán)重的影響，導(dǎo)致計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的工作混亂或會(huì)計(jì)數(shù)據(jù)毀損。

B.會(huì)計(jì)軟件開發(fā)設(shè)計(jì)方面的風(fēng)險(xiǎn)。計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)一般由會(huì)計(jì)軟件客戶端和后臺(tái)數(shù)據(jù)庫兩大部分構(gòu)成。無論C/S架構(gòu)、B/S架構(gòu)還是單用戶系統(tǒng)都是如此，依靠人機(jī)界面和軟件客戶端將各種數(shù)據(jù)保存到數(shù)據(jù)庫中，再將需要的信息處理后反饋給用戶。因此計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)中至關(guān)重要的是數(shù)據(jù)庫控制和管理。我國(guó)目前使用的會(huì)計(jì)軟件中，有些對(duì)數(shù)據(jù)庫未采取任何的保護(hù)措施，有些雖然采取了措施，但比較薄弱或形同虛設(shè)。甚至有些會(huì)計(jì)軟件中的數(shù)據(jù)庫文件，往往能通過相應(yīng)的數(shù)據(jù)庫管理系統(tǒng)打開，直接讀寫這些數(shù)據(jù)文件，并對(duì)文件中的數(shù)據(jù)直接進(jìn)行增加、刪除及修改等操作。這些為系統(tǒng)管理和財(cái)務(wù)核算的安全留下重大的隱患。

C.網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)的廣泛應(yīng)用使各個(gè)孤立的計(jì)算機(jī)系統(tǒng)通過網(wǎng)絡(luò)連成一體。由于網(wǎng)絡(luò)所依托的Internet/Intranet體系使用的是開放式TCP/IP協(xié)議，雖然網(wǎng)絡(luò)技術(shù)不斷地提高，但網(wǎng)絡(luò)依然存在著安全漏洞，計(jì)算機(jī)安全漏洞已不斷地被人利用，嚴(yán)重威脅著會(huì)計(jì)數(shù)據(jù)的安全。無論是互聯(lián)網(wǎng)還是內(nèi)聯(lián)網(wǎng)，網(wǎng)絡(luò)是一個(gè)開放的環(huán)境，在這個(gè)環(huán)境中一切信息在理論上都可以被訪問到?；ヂ?lián)網(wǎng)供應(yīng)商或企業(yè)以外的第三者均可以獲得有關(guān)公司的內(nèi)部消息，而內(nèi)聯(lián)網(wǎng)則是企業(yè)內(nèi)部的網(wǎng)絡(luò)，企業(yè)內(nèi)每個(gè)人都可接觸到。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)實(shí)際應(yīng)用過程中，有相當(dāng)數(shù)量的單位并不重視密碼，如有些單位所有人的密碼都是相同的；也不重視網(wǎng)絡(luò)安全管理，接入互聯(lián)網(wǎng)時(shí)不安裝防火墻；操作系統(tǒng)和數(shù)據(jù)系統(tǒng)出現(xiàn)安全漏洞時(shí)不及時(shí)升級(jí)等。

②風(fēng)險(xiǎn)的防范。主要包括：

A.硬件的風(fēng)險(xiǎn)防范。建立良好的運(yùn)作環(huán)境，應(yīng)將服務(wù)器放置在適當(dāng)?shù)奈恢?，如遠(yuǎn)離水源、安放在高地、置于有空氣調(diào)節(jié)的房間，以防止自然災(zāi)害帶來的損失；計(jì)算機(jī)機(jī)房應(yīng)充分滿足防火、防潮、防塵、防磁和防輻射及恒溫技術(shù)要求；機(jī)房出入口應(yīng)安裝保安密碼門鎖及防衛(wèi)警報(bào)裝置。

B.完善會(huì)計(jì)軟件的功能。要促進(jìn)計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的發(fā)展，首要問題就是要加大軟件的開發(fā)力度，開發(fā)出比較完善的通用會(huì)計(jì)軟件。會(huì)計(jì)軟件開發(fā)人員應(yīng)認(rèn)真研究國(guó)外優(yōu)秀的財(cái)務(wù)軟件，消化并吸收其精華的管理思想和設(shè)計(jì)思路。對(duì)于現(xiàn)有的會(huì)計(jì)軟件可以人為地通過數(shù)據(jù)庫系統(tǒng)直接操作數(shù)據(jù)這一問題，解決方法之一是在應(yīng)用系統(tǒng)中設(shè)置文件修改檢查機(jī)制，文件一旦被修改，系統(tǒng)可以通過自身的測(cè)試檢測(cè)出來，并提醒用戶注意。另外就是采取安全性較好的數(shù)據(jù)庫管理系統(tǒng)和操作系統(tǒng)開發(fā)平臺(tái)，充分利用系統(tǒng)本身提供的安全措施對(duì)數(shù)據(jù)加以保護(hù)。對(duì)一個(gè)具有良好安全性能的會(huì)計(jì)軟件而言，軟件系統(tǒng)的數(shù)據(jù)文件（包括備份出來的數(shù)據(jù)）有適當(dāng)?shù)募用苁潜夭豢缮俚?。加密?duì)象可以是整個(gè)數(shù)據(jù)庫、數(shù)據(jù)庫的某組記錄、某些字段或者某些數(shù)據(jù)元素等。

C.網(wǎng)絡(luò)安全措施。為了防止非法用戶和黑客侵入會(huì)計(jì)信息系統(tǒng)內(nèi)部，可以通過設(shè)置防火墻，采用身份識(shí)別系統(tǒng)等技術(shù)防護(hù)措施，將非法用戶拒之網(wǎng)絡(luò)之外。對(duì)重要的商業(yè)秘密，可以在軟件中采取數(shù)據(jù)加密技術(shù)，這樣即使有人竊取了數(shù)據(jù)，由于沒有密鑰開啟也無法將數(shù)據(jù)還原成明文，保證了數(shù)據(jù)的安全。通過使用正確的資料加密方法，可以使外來的人無法識(shí)別數(shù)據(jù)，從而使截獲的會(huì)計(jì)數(shù)據(jù)失去價(jià)值，使篡改者與偽造者難以達(dá)到其目的。

（2）計(jì)算機(jī)病毒方面

①存在的風(fēng)險(xiǎn)。主要是病毒侵入，病毒侵入的途徑主要有以下幾種：

A.從存儲(chǔ)介質(zhì)侵入。通過對(duì)Windows98/2000/NT、Office2000、WPS以及網(wǎng)頁制作工具等盜版光盤進(jìn)行計(jì)算機(jī)病毒測(cè)試表明，帶病毒文件多達(dá)3000項(xiàng)，其中多種程序確實(shí)存在多種計(jì)算機(jī)病毒，包括CMOS-destroyer，bupt等引導(dǎo)性病毒、CIH病毒、“郵件炸彈”、宏病毒和特洛伊木馬黑客程序等。U盤和移動(dòng)硬盤的普及使用也加大了病毒在計(jì)算機(jī)之間的傳播空間。

B.從內(nèi)聯(lián)網(wǎng)侵入。內(nèi)聯(lián)網(wǎng)上的郵件系統(tǒng)容易導(dǎo)致病毒大量傳播，而且內(nèi)聯(lián)網(wǎng)絡(luò)上傳播的病毒普遍較新，新發(fā)現(xiàn)的病毒種類占多數(shù)。

C.從互聯(lián)網(wǎng)侵入?；ヂ?lián)網(wǎng)已經(jīng)成為計(jì)算機(jī)病毒傳播最大的來源，無論是用戶在網(wǎng)上瀏覽，還是收發(fā)電子郵件、下載軟件，都很容易使計(jì)算機(jī)染上病毒。

②風(fēng)險(xiǎn)的防范。主要包括：

A.網(wǎng)絡(luò)與單機(jī)殺毒軟件相結(jié)合，重點(diǎn)防范郵件服務(wù)器。建立完善的防病毒體系，將網(wǎng)絡(luò)版殺毒軟件安裝在郵件服務(wù)器上，將所有計(jì)算機(jī)和NT服務(wù)器都安裝好單機(jī)版殺毒軟件，啟動(dòng)實(shí)時(shí)監(jiān)控系統(tǒng)。

B.對(duì)文件進(jìn)行定期備份，至少每周殺毒一次，不要使用盜版軟件，確保網(wǎng)絡(luò)管理員賦予訪問者的權(quán)限在其工作范圍之內(nèi)，拒絕任何不受限制的訪問。

C.加強(qiáng)安全教育，提高認(rèn)識(shí)，防患于未然。從加強(qiáng)管理入手，制定切實(shí)可行的管理措施，盡快建立快速預(yù)警機(jī)制，對(duì)重點(diǎn)對(duì)象加大檢查與清殺力度。健全并嚴(yán)格執(zhí)行防范病毒管理制度，具體包括：軟件、磁盤及計(jì)算機(jī)系統(tǒng)的使用和更新要通過計(jì)算機(jī)病毒檢測(cè)并專機(jī)專用；禁止在工作機(jī)上玩游戲；建立U盤管理制度，防止亂拷貝U盤；安裝防病毒卡和反病毒軟件；定期檢測(cè)并清除計(jì)算機(jī)病毒等。

（3）計(jì)算機(jī)舞弊方面

①存在的風(fēng)險(xiǎn)。主要包括：

A.會(huì)計(jì)軟件功能的濫用。不少會(huì)計(jì)軟件開發(fā)公司為方便用戶糾正計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)核算中的差錯(cuò)，在會(huì)計(jì)核算軟件中設(shè)置了“取消復(fù)核”、“取消記賬”、“取消結(jié)賬”等功能。這些功能的使用，給用戶提供了極大的便利，但同時(shí)也為制造虛假會(huì)計(jì)信息提供了方便。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)環(huán)境下，如果單位缺乏嚴(yán)格周密的內(nèi)部控制制度，部分會(huì)計(jì)人員就會(huì)利用會(huì)計(jì)軟件提供的逆向操作功能來篡改會(huì)計(jì)數(shù)據(jù)，而不留下任何痕跡，給審計(jì)監(jiān)督工作和防范經(jīng)濟(jì)犯罪增加了技術(shù)難度。

B.直接操作數(shù)據(jù)庫進(jìn)行造假。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)中的數(shù)據(jù)庫，從小型的DBASE、FOXPRO數(shù)據(jù)庫，到大型的ORACLE、SYBASE、DB2數(shù)據(jù)庫。數(shù)據(jù)庫本身都提供自帶的查詢修改程序。利用這些程序，不法分子根本不需利用會(huì)計(jì)軟件就可以完全控制和操作所有的數(shù)據(jù)。雖然一些數(shù)據(jù)庫系統(tǒng)提供了很豐富的數(shù)據(jù)安全措施，如口令、鑰匙卡，甚至電子簽名或指紋鑒別，但安全措施得不到重視，使得原本應(yīng)嚴(yán)密保護(hù)的會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處在非常危險(xiǎn)的情況中，也為會(huì)計(jì)造假提供了方便。

C.對(duì)輸入的會(huì)計(jì)信息直接造假。不法分子利用會(huì)計(jì)軟件本身的功能缺陷或系統(tǒng)管理上的疏忽，直接使用會(huì)計(jì)軟件導(dǎo)入虛假的數(shù)據(jù)或修改、刪除已經(jīng)存在的正確數(shù)據(jù)。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)中，一旦輸入的初始數(shù)據(jù)是虛假的，以后處理環(huán)節(jié)即使再正確，也只能輸出虛假的處理結(jié)果。

D.計(jì)算機(jī)高級(jí)人員非法操作。計(jì)算機(jī)高級(jí)人員包括系統(tǒng)管理員、網(wǎng)絡(luò)管理員、系統(tǒng)操作員和網(wǎng)絡(luò)黑客等，他們通過木馬等進(jìn)行非法操作，威脅單位會(huì)計(jì)數(shù)據(jù)的安全。

②風(fēng)險(xiǎn)的防范。主要包括：

對(duì)計(jì)算機(jī)舞弊方面風(fēng)險(xiǎn)的防范，最有效的措施是完善內(nèi)部控制制度，設(shè)立合理、有效的管理制度并加以嚴(yán)格執(zhí)行。要在充分考慮信息安全需要的基礎(chǔ)上，決定系統(tǒng)中關(guān)鍵部分——數(shù)據(jù)庫系統(tǒng)和操作系統(tǒng)的選擇。針對(duì)不同企業(yè)對(duì)會(huì)計(jì)信息系統(tǒng)的不同安全性要求，選擇合適的操作系統(tǒng)平臺(tái)。在會(huì)計(jì)軟件的開發(fā)設(shè)計(jì)過程中，充分運(yùn)用操作系統(tǒng)提供的信息安全技術(shù)，使信息安全從理論上的可能性變?yōu)楝F(xiàn)實(shí)。

（4）內(nèi)部控制方面

①存在的風(fēng)險(xiǎn)。信息技術(shù)的發(fā)展使企業(yè)的內(nèi)外部環(huán)境發(fā)生了很大的變化，風(fēng)險(xiǎn)主要包括：

A.授權(quán)控制下降。在手工會(huì)計(jì)操作系統(tǒng)下，企業(yè)的每一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)中的每一個(gè)環(huán)節(jié)都可設(shè)置內(nèi)部一系列相互聯(lián)系的授權(quán)批準(zhǔn)程序，而在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)下，這種授權(quán)可以僅憑一個(gè)密碼就能獲取。如果獲取密碼的手段是非法的，由此造成的內(nèi)部控制失控將是一個(gè)重大的風(fēng)險(xiǎn)。

B.職責(zé)分離和監(jiān)督不規(guī)范。信息系統(tǒng)的開發(fā)、維護(hù)和操作等活動(dòng)中存在的職責(zé)分離對(duì)信息系統(tǒng)的監(jiān)管格外重要。原來在手工環(huán)境下一些不相容的職責(zé)，在計(jì)算機(jī)中可以由一個(gè)程序模塊來執(zhí)行。此外，傳統(tǒng)的監(jiān)管手段也發(fā)生了變化。信息技術(shù)使某些員工的破壞能力增強(qiáng)，企業(yè)需要一批具有特殊技能的員工來開發(fā)、維護(hù)和操作信息系統(tǒng)。

C.業(yè)務(wù)記錄效力降低。在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)下，業(yè)務(wù)記錄的載體由紙質(zhì)變成了磁質(zhì)，傳統(tǒng)的紙質(zhì)交易軌跡不復(fù)存在，取而代之的是數(shù)據(jù)庫記錄和操作日志等磁質(zhì)記錄。同時(shí)，交易軌跡的法律效力也發(fā)生了變化。員工在紙質(zhì)憑證上的簽字可以證明其確實(shí)對(duì)交易進(jìn)行了授權(quán)或確認(rèn)，但是磁質(zhì)交易記錄上的操作員信息的法律效力卻受到系統(tǒng)的完整性、正確性和安全性的影響。

②風(fēng)險(xiǎn)的防范。主要包括：

A.建立有效的組織管理控制制度。計(jì)算機(jī)舞弊者大多是企業(yè)的程序員或計(jì)算機(jī)操作人員，因此，計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)要建立完善的人員職能控制制度，進(jìn)行適當(dāng)分工，明確規(guī)定每個(gè)崗位的職責(zé)，以防止對(duì)處理過程的不適當(dāng)干預(yù)。企業(yè)應(yīng)將系統(tǒng)分析、程序設(shè)計(jì)、計(jì)算機(jī)操作、文件程序管理等職務(wù)予以分離，系統(tǒng)操作人員、管理人員和維護(hù)人員這三種不相容職務(wù)相互分離、互不兼任，以減少利用計(jì)算機(jī)舞弊的可能性。

B.加強(qiáng)內(nèi)部審計(jì)。內(nèi)部審計(jì)是企業(yè)內(nèi)部控制的主要組成部分，在計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)下，獨(dú)立的內(nèi)部審計(jì)機(jī)構(gòu)應(yīng)在信息系統(tǒng)的開發(fā)、維護(hù)過程中進(jìn)行嚴(yán)格的審查，而且應(yīng)定期檢查信息系統(tǒng)的處理過程。為了有效地監(jiān)控系統(tǒng)運(yùn)行狀況，防止系統(tǒng)被侵犯，計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)中應(yīng)設(shè)置系統(tǒng)安全性檢查程序，檢查系統(tǒng)的各種設(shè)置是否與上次運(yùn)行結(jié)束時(shí)狀態(tài)一致。另外，程序中需設(shè)置一個(gè)歷史文件，該文件能夠自動(dòng)記錄當(dāng)天所有的操作過程，對(duì)所有的操作進(jìn)行監(jiān)控記錄，從而確保所有操作活動(dòng)都留下痕跡，便于以后追索。