計算機的普及與網絡技術的飛速發展，使計算機會計信息系統在企業財務管理中發揮了日益重要的作用，但同時它也改變了傳統的會計信息處理方式和存儲方式，對會計信息的安全性提出了新的挑戰。如何在充分利用信息技術的同時，有效地規避信息系統帶來的風險，是目前面臨的一個亟待解決的問題。本文通過對部分實施會計信息化的企業進行充分調研，深入分析計算機會計信息系統存在的風險，并針對不同的風險提出相應的防范措施。

　　一、計算機會計信息系統的風險分析

　　在會計信息系統風險分析所進行調研的企業中，筆者發現，盡管每個企業實施會計信息化的程度不一樣，但存在的風險一般為以下四個方面：

　?。ㄒ唬┗A設施方面存在的風險主要包括：（1）計算機硬件風險。調研的樣本企業中，計算機會計信息系統的應用模式有單機和C/S兩種，兩者硬件都存在自身功能失效的可能，也會同時受到零組件性能的限制，令硬件出現壽命的限制性，如硬盤的損壞，突然斷電造成的主板和CPU的損害，受潮濕、磁化、輻射等各種物理損傷，這些破壞都能令工作受到嚴重的影響，導致計算機會計信息系統的工作混亂或會計數據毀損。（2）會計軟件開發設計方面的風險。計算機會計信息系統一般由會計軟件客戶端和后臺數據庫兩大部分構成。無論C/S架構、B/S架構還是單用戶系統都是如此，依靠人機界面和軟件客戶端將各種數據保存到數據庫中，再將需要的信息處理后反饋給用戶。因此計算機會計信息系統中至關重要的是數據庫控制和管理。我國目前使用的會計軟件中，有些對數據庫未采取任何的保護措施，有些雖然采取了措施，但比較薄弱或形同虛設。甚至有些會計軟件中的數據庫文件，往往能通過相應的數據庫管理系統打開，直接讀寫這些數據文件，并對文件中的數據直接進行增加、刪除及修改等操作。這些為系統管理和財務核算的安全留下重大的隱患。（3）網絡安全風險。計算機網絡的廣泛應用使各個孤立的計算機系統通過網絡連成一體。由于網絡所依托的1NTERNET/INTRANET體系使用的是開放式TCP/IP協議，雖然網絡技術不斷的提高，但網絡依然存在著安全漏洞，計算機安全漏洞已不斷地被人利用，嚴重威脅著會計數據的安全。無論是互聯網還是內聯網，網絡是一個開放的環境，在這個環境中一切信息在理論上都可以被訪問到。互聯網供應商（ISP）或企業以外的第三者均可以獲得有關公司的內部消息，而內聯網則是企業內部的網絡，企業內每個人都可接觸到。在計算機會計信息系統實際應用過程中，有相當數量的單位并不重視密碼，如有些單位所有人的密碼都是相同的；也不重視網絡安全管理，接人互聯網時不安裝防火墻；操作系統和數據系統出現安全漏洞時不及時升級等。

　　（二）計算機病毒引起的風險在對企業調研的過程中發現，多數樣本企業都不同程度的受到過計算機病毒的侵害，病毒侵入的途徑主要有以下幾種：（1）從存儲介質侵入。經過對Windows98/2000/NT、Office2000、WPS以及網頁制作工具等盜版光盤進行計算機病毒測試表明，帶病毒文件多達三千多項，其中多種程序確實存在多種計算機病毒，包括CMOS-destroyer,bupt等引導性病毒、CIH病毒、“郵件炸彈”、宏病毒和特洛伊木馬黑客程序等。U盤和移動硬盤的普及使用也加大了病毒在計算機之間的傳播空間。（2）從內聯網侵入。內聯網上的郵件系統容易導致病毒大量傳播，而且內聯網絡上傳播的病毒普遍較新，新發現的病毒種類占多數。（3）從互聯網侵入?；ヂ摼W已經成為計算機病毒傳播最大的來源，無論是用戶在網上瀏覽，還是收發電子郵件、下載軟件，都很容易使計算機染上病毒。病毒的破壞性和傳播性強，并且具有潛伏性、隱藏性和可激發性。它不僅可以破壞系統的數據文件，嚴重的還能破壞硬件的正常運作，給會計信息的安全性帶來了極大的隱患。

　?。ㄈ┯嬎銠C舞弊引發的風險主要包括：（1）會計軟件功能的濫用。不少會計軟件開發公司為方便用戶糾正計算機會計信息系統核算中的差錯，在會計核算軟件中設置了“取消復核”、“取消記賬”、“取消結賬”等功能。這些功能的使用，給用戶提供了極大的便利，但同時也為制造虛假會計信息提供了方便。在計算機會計信息系統環境下，如果單位缺乏嚴格周密的內部控制制度，部分會計人員就會利用會計軟件提供的逆向操作功能來篡改會計數據，而不留下任何痕跡，給審計監督工作和防范經濟犯罪增加了技術難度。另外，如果軟件功能使用不當，很可能導致單位整個財務系統的混亂。（2）直接操作數據庫進行造假。在計算機會計信息系統中的數據庫，從小型的DBASE、FOXPRO數據庫，到大型的ORACLE、SYBASE、DB2數據庫。數據庫本身都提供自帶的查詢修改程序。利用這些程序，不法分子根本不需利用會計軟件就可以完全控制和操作所有的數據。雖然一些數據庫系統提供了很豐富的數據安全措施，如口令、鑰匙卡，甚至電子簽名或指紋鑒別，但安全措施得不到重視，使得原本應嚴密保護的會計信息系統數據處在非常危險的情況中，也為會計造假提供了方便。（3）對輸入的會計信息直接造假。不法分子利用會計軟件本身的功能缺陷或系統管理上的疏忽，直接使用會計軟件導人虛假的數據或修改、刪除已經存在的正確數據。在計算機會計信息系統中，一旦輸入的初始數據是虛假的，以后處理環節即使再正確，也只能輸出虛假的處理結果。（4）計算機高級人員非法操作。計算機高級人員包括系統管理員、網絡管理員、系統操作員和網絡黑客等，他們通過木馬、后門進行非法操作，威脅單位會計數據的安全。

　?。ㄋ模﹥炔靠刂拼嬖诘娘L險信息技術的發展使企業的內外部環境發生了很大的變化。（1）授權控制下降。在手工會計操作系統下，企業的每一項經濟業務中的每一個環節都可設置內部一系列相互聯系的授權批準程序，而在計算機會計信息系統下，這種授權可以僅憑一個密碼就能獲取。如果獲取密碼的手段是非法的，由此造成的內部控制失控將是一個重大的風險。（2）職責分離和監督不規范。信息系統的開發、維護和操作等活動中存在的職責分離對信息系統的監管格外重要。原來在手工環境下一些不相容的職責，在計算機中可以由一個程序模塊來執行。此外，傳統的監管手段也發生了變化。信息技術使某些員工的破壞能力增強，企業需要一批具有特殊技能的員工來開發、維護和操作信息系統。這類員工中的某些人可能對操作系統、應用程序和數據擁有特權，他們的失誤或者故意破壞具有突發性、毀滅性以及隱蔽性的特點，可以使企業的整個信息系統崩潰或業務發生中斷，給企業帶來的損失不可估量。（3）業務記錄效力降低。在計算機會計信息系統下，業務記錄的載體由紙質變成了磁質，傳統的紙質交易軌跡不復存在，取而代之的是數據庫記錄和操作日志等磁質記錄。同時，交易軌跡的法律效力也發生了變化。員工在紙質憑證上的簽字可以證明其確實對交易進行了授權或確認，但是磁質交易記錄上的操作員信息的法律效力卻受到系統的完整性、正確性和安全性的影響。

　　二、計算機會計信息系統風險的防范

　　（一）基礎設施存在風險的防范主要包括：（1）硬件的風險防范。建立良好的運作環境，應將服務器放置在適當的位置，如遠離水源、安放在高地、置于有空氣調節的房間，以防止自然災害帶來的損失；計算機機房應充分滿足防火、防潮、防塵、防磁和防輻射及恒溫技術要求；機房出入口應安裝保安密碼門鎖及防衛警報裝置。（2）完善會計軟件的功能。要促進計算機會計信息系統的發展，首要問題就是要加大軟件的開發力度，開發出比較完善的通用會計軟件。會計軟件開發人員應該深入研究國外優秀的財務軟件，消化并吸收其精華的管理思想和設計思路。對于現有的會計軟件可以人為地通過數據庫系統直接操作數據這一問題，解決方法之一是在應用系統中設置文件修改檢查機制，文件一旦被修改，系統可以通過自身的測試檢測出來，并提醒用戶注意。另外一個解決方法是采取安全性較好的數據庫管理系統和操作系統開發平臺，充分利用系統本身提供的安全措施對數據加以保護。對一個具有良好安全性能的會計軟件而言，軟件系統的數據文件（包括備份出來的數據）有適當的加密是必不可少的。加密對象可以是整個數據庫、數據庫的某組記錄、某些字段或者某些數據元素等。（3）網絡安全措施。為了防止非法用戶和黑客侵入會計信息系統內部，可以通過設置防火墻，采用身份識別系統等技術防護措施，將非法用戶拒之網絡之外。對重要的商業秘密，可以在軟件中采取數據加密技術，這樣即使有人竊取了數據，由于沒有密鑰開啟也無法將數據還原成明文，保證了數據的安全。通過使用正確的資料加密方法，可以使外來的人無法識別數據，從而使截獲的會計數據失去價值，使篡改者與偽造者難以達到其目的。

　?。ǘ┯嬎銠C病毒引發風險的防范對于計算機病毒引發的風險，可以從以下幾方面進行防范：一是網絡與單機殺毒軟件相結合，重點防范郵件服務器。建立完善的防病毒體系，將網絡版殺毒軟件安裝在郵件服務器上，將所有計算機和NT服務器都安裝好單機版殺毒軟件，啟動實時監控系統。二是對文件進行定期備份，至少每周殺毒一次，不要使用盜版軟件，確保網絡管理員賦予訪問者的權限在其工作范圍之內，拒絕任何不受限制的訪問。三是加強安全教育，提高認識，防患于未然。從加強管理人手，制定切實可行的管理措施，盡快建立快速預警機制，對重點對象加大檢查與清殺力度。健全并嚴格執行防范病毒管理制度，具體包括：軟件、磁盤及計算機系統的使用和更新要通過計算機病毒檢測并專機專用；禁止在工作機上玩游戲；建立U盤管理制度，防止亂拷貝U盤；安裝防病毒卡和反病毒軟件；定期檢測并清除計算機病毒等。

　?。ㄈ┯嬎銠C舞弊引發風險的防范對計算機舞弊方面的風險的防范，最有效的措施是完善內部控制制度，設立合理、有效的管理制度并加以嚴格執行。要在充分考慮信息安全需要的基礎上，決定系統中關鍵部分——數據庫系統和操作系統的選擇。針對不同企業對會計信息系統的不同安全性要求，選擇合適的操作系統平臺。在會計軟件的開發設計過程中，充分運用操作系統提供的信息安全技術，使信息安全從理論上的可能性變為現實。同時，要充分發揮審計人員的作用，在執行審計工作的過程中查找計算機舞弊的痕跡。

　　（四）內部控制存在風險的防范主要包括：（1）建立有效的組織管理控制制度。計算機舞弊者大多是企業的程序員或計算機操作人員，因此，計算機會計信息系統要建立完善的人員職能控制制度，進行適當分工，明確規定每個崗位的職責，以防止對處理過程的不適當干預。企業應將系統分析、程序設計、計算機操作、文件程序管理等職務予以分離，系統操作人員、管理人員和維護人員這三種不相容職務相互分離、互不兼任，以減少利用計算機舞弊的可能性。（2）加強內部審計。內部審計是企業內部控制的主要組成部分，旨在對企業中的各種內部控制制度和各個職能部門所從事的各種業務活動進行獨立評價。在計算機會計信息系統下，獨立的內部審計機構應在信息系統的開發、維護過程中進行嚴格的審查，而且應定期檢查信息系統的處理過程。為了有效地監控系統運行狀況，防止系統被侵犯，計算機會計信息系統中應設置系統安全性檢查程序，檢查系統的各種設置是否與上次運行結束時狀態一致。另外，程序中需設置一個歷史文件，該文件能夠自動記錄當天所有的操作過程，對所有的操作進行監控記錄，從而確保所有操作活動都留下痕跡，便于以后追索。隨著信息技術的發展，能引發計算機會計信息系統風險的因素會更多也更復雜，因此計算機會計信息系統風險的防范將是一個長期的過程。不僅要從技術的角度出發，把計算機會計信息系統的安全性、可靠性寄托在網絡硬件產品和技術上，還要重視管理制度的建設。因為計算機系統的安全與否，主要取決于使用和接近計算機的人，因此管理比技術更重要。只有這樣才有可能最大限度地減少計算機會計信息系統的安全風險，把風險可能造成的影響和損失控制在最小程度。