(一)建立科学的会计信息系统风险控制机制,强化风险意识
要做到有备无患,就需要建立风险防范的预警机制:(1)应建立风险评估的信号和指标体系,针对可能出现的技术风险和管理风险等。建立起一套风险预警指标,就相当于计算机会计信息系统安装了风险警报系统,可以及时发现和评价所出现的风险;(2)应健全风险控制的运行体系。收到预警信号后应及时采取措施,以防风险的发生。这是计算机信息系统运行的“防火墙”;(3)建立风险处理的快速反应部门,目的是帮助企业能迅速的对事故及故障做出反应,将事故及故障造成的损害降到最小。
(二)制定和完善计算机会计信息系统相应的组织与管理控制
基于网络环境下的计算机会计信息系统是一种分布式处理结构,必须对原有会计机构作相应的调整,要增加网络管理与监控的岗位,会计信息系统岗位要明确职责分工,并对各类人员制定岗位责任制度,各岗位都要得到一定的授权,并用密码控制。这样就有效地防止密码泄露、非法操作和越权操作系统。另外,会计信息系统的设计、开发和维护等工作的岗位设置需要建立隔离机制。
(三)建立网络安全管理控制制度,保证网络和信息系统安全
在网络环境下,为了避免网络攻击破坏会计数据,加强网络风险的防范。这就要求在技术上对整个财务网络系统建立综合的多层次的安全控制体系。其技术主要包括:(1)访问控制。为了防范来自外部的非法访问,互联网计算机会计信息系统应建立访问控制措施。(2)数据传输控制。企业应采取数字签名技术和数据加密技术等,在计算机通信中采用数字签名控制手段是用电子符号代替了会计数据,磁性介质代替了纸介质,验证对方身份、保证数据完整性。(3)网路安全协议和数据自动备份技术。自动备份技术是为了应付突发事件的,保障数据完整的有力工具。(4)防病毒控制。在计算机会计信息系统运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施,通过服务器的网络杀毒软件进行实时监控、追踪病毒。
(四)完善网络环境下会计信息系统一般控制与总体控制制度
1.系统操作控制。要提高操作系统的安全可靠性,除了要尽可能地选用安全等级较高的操作系统产品,并经常进行版本升级外,在管理控制上主要可采取以下措施:(1)计算机资源授权表制度。明确规定每个用户的安全级别和身份标识,并分别定义具体的访问对象;(2)日志审计制度。对运行系统的事件类型、用户身份等进行实时监视和记录,并对日志文件定期进行安全检查和评估;(3)存取控制。对系统资源进行分类管理,并根据用户级别,限制系统资源的共享和流动。
2.系统数据库控制。对数据库系统安全的威胁主要来自两个方面:一是系统内外人员对数据库的非法访问;二是由于系统故障、误操作或人为破坏造成数据库的物理损坏。针对上述风险,会计数据资源控制主要可采取以下措施:(1)会计数据资源授权表制度。明确定义每一用户对数据资源访问的范围和内容,并分别规定对数据库的查阅、修改、删除、插入等操作权限。(2)数据备份和恢复制度。网络环境下的数据备份和恢复远比成批集中式处理环境下要复杂,为保证系统恢复的有效性和一致性,建立业务日志文件和检查点文件是必要的。
3.远程处理控制。其主要控制措施包括:(1)分支系统安全模式设计。分支系统是企业在异地具有独立内联网结构的会计信息系统,由于母系统的监控和访问直接伸入分支系统内部。另外,分支系统可采取单独设置母系统访问区域的做法,以提高其会计信息系统的安全可靠性;(2)远程处理规程控制。双方要制定严格的远程处理控制操作规程,包括操作权限控制、内容授权控制、处理程序控制、通道及两端服务器安全控制等等。
4.会计信息系统档案控制。磁性介质的可复制性又使会计信息极易泄漏与篡改而不易发现,因此,磁性资料应由会计档案保管员负责保管;打印资料在系统的操作日志上有所记录后(包括记录输出时间、文件页数及操作人员姓名)及时送达指定人手中;收件人要签收并注明收件日期、文件内容,以便日后备查;确保会计数据和会计软件的安全保密,防止对数据和软件的非法修改和删除。
