论文部分内容阅读
一、前言
随着财务管理现代化进程的推进,企业财务会计电算化、财务信息化的普及,我们已经进入以计算机化运作为操作平台的财务时代。财务信息化在给传统财务带来质的变化的同时,引发的财务信息安全问题同样令人担忧,特别是涉及企业重大商业机密信息,由于财务信息中包含了许多公司重要的机密,加上财务业务又存在一定的专业性,所以对财务信息安全的管理就有一定的难度。
二、财务信息安全存在的风险
1、数据损坏风险。数据安全风险包括:物理损坏和恶意破坏。由于公司财务系统是基于网络模式运行,所有重要数据都储存在服务器中,一旦服务器出现问题不能正常运行,对于财务数据会带来不可挽回的损失,而整个财务系统将会受到毁灭性打击。另外,大量的数据通过网络传输,也可能会造成财务信息的丢失、泄漏。
2、信息失真风险。由于财务业务的特殊性,在没有实施会计电算化时,可以通过会计人员的笔迹,以及签章的确认来判断会计业务的真实性,但是实施了会计电算化后,有一部分的签名和签章用计算机处理了,无法判断会计业务是由本人经手还是他人处理。这样就使得手工环境下的内部控制机制受到了削弱。此外,操作人员的误操作也是造成信息失真的重要原因之一。
3、非法入侵风险。在网络环境下,电子符号代替了会计数据,磁介质代替了纸介质,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断开链接。因此,财务部门在实现网络化管理的同时,很难避免非法侵扰。一些人可能出于各种目的,有意或无意地损坏网络设备,网络(局域网、广域网)上对管理系统进行黑客程序的测试运行等活动,对系统造成极大破坏。黑客活动比病毒破坏更具目的性,几乎覆盖了所有的操作系统,包括财务系统。
三、财务信息安全风险的规避
1、要强化网络安全防范的意识,使得每一个操作人员都有强烈的安全风险意识。要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,真正提高用户的网络安全意识和防范能力。此外对于财务人员来说还应该加强职业操守的教育,使财务人员牢固树立保密的意识,杜绝由财务人员本身的原因,造成财务信息的泄漏。
2、优化财务流程设计,强化财务审批流程。由于财务信息的特殊性,所以对外公示财务信息一定要统一口径,对于财务业务流程应突出审计环节,对会计风险的控制始终贯穿于会计核算的每个环节。长久以来人们已习惯于按固有本职工作内容处理信息,在信息采集、信息共享方面未建立整体的管理规则,因此,需要企业业务从以职能划分转变为以流程优化重组,达到各部门信息共享、统一。
3、加强财务人员登录管理。由于在财务系统中系统所认的只有登录名,所产生的凭证、报表、其他单据都是以登录名为署名,一旦他人用财务人员的登录名进入系统后,就取得了相应的权限,这将带来极大的隐患。所以财务人员要保管好自己的登录密码,尽量使用复杂的密码。如果财务人员不能正常行使职能,应该在软件中使用权限委托的方式,而不是直接告诉自己的登录名和密码。这点对于行使审计职能的操作员来说更为重要。
4、从软件的角度来说,对于凭证和报表也使用数字签名的功能,电子签章的功能,以避免他人使用财务人员的登录名进入财务系统,填制和篡改凭证和报表,从而给公司带来损失。
目前实现数字签名的方法主要有三种:一是用公开密钥技术;二是利用传统密码技术;三是利用单向校验和函数进行压缩签名。1991年,美国颁布了数字签名标准DSS的安全性基础是离散对数问题的困难性。数字签名一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动,因为只有发信者才知道自己的私人钥匙,另一方面也确保发信者对自己发出的信息负责,信息一旦发出且署了名,他就无法再否认这一事实。通过数字签名技术,有效的保障了信息真实性。
5、针对操作人员的误操作,应该加强财务人员的计算机水平的培训。杜绝由于操作失误而带来的会计信息失真的风险。
6、建立完整的日志记录制度,对所有的操作人员的所有操作都应记录在案。日志中至少应该包括操作员登入系统的时间,操作内容,以及下线的时间。如果特殊情况要修改已审核的记账凭证,则尽量在软件中保留修改的痕迹。
7、加强计算机网络病毒的防治。病毒防治单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,在管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程。
8、隔离财务信息数据系统。在网络环境下,局域网、广域网互相联通,财务系统数据就如暴露在网络之中,公司机密数据变得无秘密可言,所以按照不同的应用隔离单独的应用系统是个不错的选择。在一台计算中同时运行两个相互隔离的操作系统,重要、机密的数据操作均在隔离的系统中处理。
9、加强数据备份管理。对于财务数据应该采用实时备份。或者定期进行远程备份,备份介质要由专人负责,严格管理、妥善保存,不再使用的备份数据应按有关规定及时删除、销毁。涉密介质遗失,应立即向本单位及上级保密部门报告,并组织查处,堤防储存介质管理不善导致数据泄密。备份方式通常可分层次地采用服务器双机热备份、RAID镜像技术、财务及管理软件系统自动备份等多种方式,按照“积极预防、及时发现、快速反应、确保恢复”的要求做好数据备份工作。备份数据要保存在安全可靠的多个存储介质上,必要时,使用压缩软件、加密软件对备份数据压缩、加密。定期将必要的备份数据刻录到光盘中,重要的数据最好制作2个以上拷贝且存放在不同的地点,保证数据在损坏后可以及时恢复。
随着财务管理现代化进程的推进,企业财务会计电算化、财务信息化的普及,我们已经进入以计算机化运作为操作平台的财务时代。财务信息化在给传统财务带来质的变化的同时,引发的财务信息安全问题同样令人担忧,特别是涉及企业重大商业机密信息,由于财务信息中包含了许多公司重要的机密,加上财务业务又存在一定的专业性,所以对财务信息安全的管理就有一定的难度。
二、财务信息安全存在的风险
1、数据损坏风险。数据安全风险包括:物理损坏和恶意破坏。由于公司财务系统是基于网络模式运行,所有重要数据都储存在服务器中,一旦服务器出现问题不能正常运行,对于财务数据会带来不可挽回的损失,而整个财务系统将会受到毁灭性打击。另外,大量的数据通过网络传输,也可能会造成财务信息的丢失、泄漏。
2、信息失真风险。由于财务业务的特殊性,在没有实施会计电算化时,可以通过会计人员的笔迹,以及签章的确认来判断会计业务的真实性,但是实施了会计电算化后,有一部分的签名和签章用计算机处理了,无法判断会计业务是由本人经手还是他人处理。这样就使得手工环境下的内部控制机制受到了削弱。此外,操作人员的误操作也是造成信息失真的重要原因之一。
3、非法入侵风险。在网络环境下,电子符号代替了会计数据,磁介质代替了纸介质,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断开链接。因此,财务部门在实现网络化管理的同时,很难避免非法侵扰。一些人可能出于各种目的,有意或无意地损坏网络设备,网络(局域网、广域网)上对管理系统进行黑客程序的测试运行等活动,对系统造成极大破坏。黑客活动比病毒破坏更具目的性,几乎覆盖了所有的操作系统,包括财务系统。
三、财务信息安全风险的规避
1、要强化网络安全防范的意识,使得每一个操作人员都有强烈的安全风险意识。要针对用户安全意识薄弱,对网络安全重视不够,安全措施不落实的现状,开展多层次、多方位的信息网络安全宣传和培训,真正提高用户的网络安全意识和防范能力。此外对于财务人员来说还应该加强职业操守的教育,使财务人员牢固树立保密的意识,杜绝由财务人员本身的原因,造成财务信息的泄漏。
2、优化财务流程设计,强化财务审批流程。由于财务信息的特殊性,所以对外公示财务信息一定要统一口径,对于财务业务流程应突出审计环节,对会计风险的控制始终贯穿于会计核算的每个环节。长久以来人们已习惯于按固有本职工作内容处理信息,在信息采集、信息共享方面未建立整体的管理规则,因此,需要企业业务从以职能划分转变为以流程优化重组,达到各部门信息共享、统一。
3、加强财务人员登录管理。由于在财务系统中系统所认的只有登录名,所产生的凭证、报表、其他单据都是以登录名为署名,一旦他人用财务人员的登录名进入系统后,就取得了相应的权限,这将带来极大的隐患。所以财务人员要保管好自己的登录密码,尽量使用复杂的密码。如果财务人员不能正常行使职能,应该在软件中使用权限委托的方式,而不是直接告诉自己的登录名和密码。这点对于行使审计职能的操作员来说更为重要。
4、从软件的角度来说,对于凭证和报表也使用数字签名的功能,电子签章的功能,以避免他人使用财务人员的登录名进入财务系统,填制和篡改凭证和报表,从而给公司带来损失。
目前实现数字签名的方法主要有三种:一是用公开密钥技术;二是利用传统密码技术;三是利用单向校验和函数进行压缩签名。1991年,美国颁布了数字签名标准DSS的安全性基础是离散对数问题的困难性。数字签名一方面可以证明这条信息确实是此发信者发出的,而且事后未经过他人的改动,因为只有发信者才知道自己的私人钥匙,另一方面也确保发信者对自己发出的信息负责,信息一旦发出且署了名,他就无法再否认这一事实。通过数字签名技术,有效的保障了信息真实性。
5、针对操作人员的误操作,应该加强财务人员的计算机水平的培训。杜绝由于操作失误而带来的会计信息失真的风险。
6、建立完整的日志记录制度,对所有的操作人员的所有操作都应记录在案。日志中至少应该包括操作员登入系统的时间,操作内容,以及下线的时间。如果特殊情况要修改已审核的记账凭证,则尽量在软件中保留修改的痕迹。
7、加强计算机网络病毒的防治。病毒防治单纯依靠技术手段是不可能十分有效地杜绝和防止其蔓延的,只有把技术手段和管理机制紧密结合起来,提高人们的防范意识,才有可能从根本上保护网络系统的安全运行。目前在网络病毒防治技术方面,基本处于被动防御的地位,在管理上应该积极主动。应从硬件设备及软件系统的使用、维护、管理、服务等各个环节制定出严格的规章制度、对网络系统的管理员及用户加强法制教育和职业道德教育,规范工作程序和操作规程。
8、隔离财务信息数据系统。在网络环境下,局域网、广域网互相联通,财务系统数据就如暴露在网络之中,公司机密数据变得无秘密可言,所以按照不同的应用隔离单独的应用系统是个不错的选择。在一台计算中同时运行两个相互隔离的操作系统,重要、机密的数据操作均在隔离的系统中处理。
9、加强数据备份管理。对于财务数据应该采用实时备份。或者定期进行远程备份,备份介质要由专人负责,严格管理、妥善保存,不再使用的备份数据应按有关规定及时删除、销毁。涉密介质遗失,应立即向本单位及上级保密部门报告,并组织查处,堤防储存介质管理不善导致数据泄密。备份方式通常可分层次地采用服务器双机热备份、RAID镜像技术、财务及管理软件系统自动备份等多种方式,按照“积极预防、及时发现、快速反应、确保恢复”的要求做好数据备份工作。备份数据要保存在安全可靠的多个存储介质上,必要时,使用压缩软件、加密软件对备份数据压缩、加密。定期将必要的备份数据刻录到光盘中,重要的数据最好制作2个以上拷贝且存放在不同的地点,保证数据在损坏后可以及时恢复。