目 录
会计信息系统存在的灾难风险及表现形式
预防会计信息系统灾难风险的措施
会计信息系统灾难的恢复
结论
内容摘要
信息时代许多组织都依赖于计算机系统进行着每天的经营活动,以至于一旦会计信息系统处理过程中断或发生灾难性事故,企业将蒙受重大的损失。灾难风险管理的实质就是保证灾难性的事件发生时,会计信息系统能够正常工作或将灾难所造成的损失降到最低。在灾难发生时,有效实施灾难风险的管理,确保会计信息系统的正常运转和企业的正常经营,这一问题必须引起人们的广泛关注。
关键词:会计 信息系统 风险 管理
会计信息系统的灾难风险管理
会计信息系统是指以会计语言为主要表达方式,以会计理论为理论基础,对会计主体内会计信息所进行的收集、加工、传递、反馈等一系列工作所构成的整个信息体系。在利用电子计算机技术以后,由于计算手段的改进,使得信息在收集、传递、反馈等多方面变得更高效、快捷、便利,会计信息系统实现了会计资源的共享和会计信息的实时处理,实现了财务与业务高度集成,使企业越来越依赖于系统来支持日常的生产经营活动,以至于一旦会计信息系统处理过程中断或发生灾难性事故,企业将蒙受重大的损失。灾难风险管理的实质就是保证灾难性的事件发生时,会计信息系统能够正常工作或将灾难所造成的损失降到最低。我国很多企业甚至一些现代化的大企业,会计信息系统的灾难风险防范意识薄弱,只能应对一些局部性灾难或损害。在灾难发生时,有效实施灾难风险的管理,确保会计信息系统的正常运转和企业的正常经营,这一问题必须引起人们的广泛关注。
会计信息系统的灾难风险管理作为企业灾难风险管理的重要组成部分,包括灾难预防和灾难恢复计划两个方面。灾难预防是进行灾难风险管理的最有效措施,它可以防患于未然;灾难恢复计划的制定,可以在灾难发生时,使会计信息系统迅速而有效地恢复,最大限度地降低灾难损失。
一、会计信息系统存在的灾难风险及表现形式
会计信息系统的灾难预防是灾难风险管理的第一步。研究结果显示,灾难事件的发生频率为:自然灾害30%、人为破坏45%、人为失误25%。这表明70%的灾难是人为引起的,而这部分灾难是能够通过实施有效的预防措施和安全政策来减轻或避免的。
影响会计信息系统的安全风险的人为因素主要表现在以下几个方面:
1、业务素质较低。计算机系统的操作人员对硬件设备的不正确操作,可以引起硬件系统的损坏。例如,不按顺序的开机、关机,往往会损坏计算机硬盘,从而影响系统的安全性,从而造成数据的部分或全部丢失,影响会计信息的真实性和可靠性。
2、人为的有预谋的破坏活动,造成资产的损失。有意破坏硬件系统的可能是内部的操作人员,也可能来自于系统外部。他们出于某种目的毁坏硬件设施,盗取会计数据备份的磁盘,通过网络散播病毒程序等,既损坏了计算机硬件系统设施,又造成了企业资金财产的严重损失。
3、“网络黑客”通过网络对会计信息系统的攻击,以达到其非法的目的。网络黑客往往通过散播病毒程序或者“电子邮件轰炸”等途径,致使会计数据丢失或毁坏,导致会计信息失真。
4、操作人员处于特定目的故意篡改程序或者信息文件,或者不按操作规程或非法操作系统,会直接致使会计信息不真实、不可靠。
5、电子信息档案管理存放中存在的风险。会计档案在收集过程中,由于操作人员时间观念不强,没有及时或定期按规定把计算机系统中的所有会计资料备份到磁性介质或光盘上;没有脱离原计算机系统进行保存。一旦因意外或人为错误造成数据丢失或系统被破坏,就不能在最短时间、最小损失下恢复原有的会计资料,电算化系统不能正常工作。实际工作中许多单位的电子档案在保管过程中,操作员往往是单备份保存,且保存在电算化系统附近,一旦意外,后果不堪设想。有的档案保管人员缺乏必要的物理知识,不懂磁性介质的物理特性,将电子档案存放在磁场附近,造成备份资料瞬间消失。
6、不可抗力的出现造成的危害。不可抗力尽管出现的机率非常小,但是一旦发生,就会对系统硬件造成不可估量的损失。例如火灾或者电脑元件的突然损坏,都会造成整个信息硬件系统的毁灭。
二、预防会计信息系统灾难风险的措施
为了保证会计信息的完整性和可靠性,在实际工作中,我们必须对影响会计信息系统安全风险的人为因素加以预防,如果预防成功,企业只需付出一定的预防成本,损失最小,从而为我们更好的经营、决策打下坚实的基础,主要预防措施包括:
1、提高企业领导对信息系统安全风险的认识,并且通过相关途径提高系统操作人员的业务素质和思想修养,使其能够自觉遵守各种规章制度和操作规程,减少实际工作中的差错、提高系统安全意识和保护系统安全的自觉性。
2、在进行物理装备时,应保证计算机房具有防火、防水、防风的能力,需要有灭火器、排烟器、排水装置和挡风设备。在事故发生时能及时断电、正常断电时又能提供后援电源。有及时备用的机器设备。
3、对于日常的账务处理,实行严格的审验程序,任何由人工编制的记帐凭证都应进行严格的审核与复核,如:输入记帐凭证时,每张凭证都要经过日期合法性、会计科目合法性、凭证类合法性、对应科目的合法性、金额借、贷、平等较验。对于不符合要求的数据,系统不予通过,审核中有问题的凭证应当及时予以调整。
4、运用正版财务软件,保证日常业务处理稳定开展。所购软件必须通过财政部的评审,软件的技术指标应满足本单位需求,符合特殊核算的要求和行业特性以及发展的需要,软件功能具有前瞻性,且能保证会计数据安全可靠,不易被破坏和泄密,操作方便,通俗易懂,简单好学,售后服务好,能及时提供日常维护、版本升级和软件再开发。
5、拥有一批技术过硬、素质优良的系统管理和软件操作人员。再先进的设备和系统软件归根到底是要靠人来使用和操作的,因此培养一批既懂电脑知识,又精通财会业务的复合型系统管理人才和软件使用、操作人员对推动会计电算化的发展,降低电算化会计的风险有着直接的作用。
6、加强系统维护,防范风险。保持计算机在符合温度、电压、卫生等要求的环境下正常工作,网络系统电算化的单位要使用防火墙软件。为防止社会不法分子对单位内联网的非法攻击,可以根据网络系统区域划分的不同,设置多级防火墙。一类是外层防火墙,用来限制外界对主机操作系统的访问;另一类是应用级防火墙,用来逻辑隔离会计应用系统与外部访问区域间的联系,限制外界穿透防火墙对会计数据库的非法访问,同时也要安装具有高效实时监控功能的防毒软件。
对于软件的升级改造,要充分考虑会计工作的延续性和升级软件的稳定性与会计信息资料的安全性,既要有工作的热情,又要本着谨慎的原则,避免盲目和冲动给会计工作带来的被动和风险。
7、制定切实可行的电算会计系统的内部控制制度。完善岗位分工责任制,规范会计操作流程。实行会计电算化的单位要健全内部控制制度。明确会计人员职责,采取相应措施保护计算机设备,确保会计信息资料的准确性。防止各种非指定人员操作计算机及财务软件,保证机内的程序和数据的安全。明确规定上机操作人员对会计软件的操作工作内容和权限。密码是限制操作权限、检查操作人员身份的一道防线,管理好每个人的密码,对整个系统的安全至关重要,因此,对操作密码要严格管理、实行定期更换。杜绝未经授权人员操作会计软件,防止会计人员越权使用软件。操作人员离开机器时,应执行相应的命令退出会计软件。各单位应根据本单位的实际情况,设专人保存上机操作记录,记录操作人、操作时间、操作内容等并与软件中的“日志管理”相比较,开展日志审计。
8、认真保管会计电子信息档案,防范风险。按照财政部颁布的《会计电算化管理办法》的规定,实现会计电算化的单位只要发生新的经济业务,内容经过电算化财务处理后,就应坚持每天备份且要双重备份,即“AB备份法”进行资料的备份,并且要在备份盘上注明形成档案的时间与操作员姓名,同时要分处、分人保管,以防意外事件导致整体资料系统的毁灭与不可恢复。由于光盘的安全性强、容量大,故备份盘要尽量使用光盘。备份盘保存时应远离磁场,注意“七防”,还应定期进行检查、复制,防止由于磁性介质的破坏而使会计档案丢失,造成无法挽救的损失。经领导同意借阅的会计档案,应严格履行相应的借阅手续,经手人必须签字记录。存放在磁性介质上的会计资料借阅归还时,要做杀毒处理,防止病毒感染。
另外,随着人们对一些自然灾害预报能力的增强,风暴、洪水这类灾害来临之前,人们有足够的时间对会计信息系统采取一定的安全预防措施,而对地震、雷电这类难以预料的灾难,只能通过实施灾难恢复计划来实现会计信息系统的全面恢复。
三、会计信息系统灾难的恢复
由于自然灾害和人为破坏的不确定性,百分之百的成功预防是不可能的,但在灾难发生后,实施有效的灾难恢复计划,使灾难的损失减少到最低限度是非常必要的。美国明尼苏达大学的研究表明,“发生灾难而又没有灾难恢复计划的企业,超过60%以上在两到三年后将退出市场,随着企业对计算机数据处理依赖程度的递增,此比例还有上升的趋势”,因此,企业是否具有会计信息系统的灾难恢复计划,将是企业能否稳定持续经营的重要标志。
会计信息系统的灾难恢复计划应包括三个主要部分:
1、制定会计信息系统对关键资源的需求计划。
会计信息系统的关键资源是指会计信息系统得以正常运转的最低限度资源。在分析会计信息系统关键资源时,只需要考虑最低硬件、软件配置、必要的会计数据、文档和最少的系统人员,并在灾难恢复计划中进行准确的描述,描述包括硬软件的性能及最低配置要求、会计数据、文档的存放地点、后备人员的能力描述和取得方式。制定好会计信息系统对关键资源的需求计划,可以在恢复会计信息系统时,有计划并迅速地获得这些资源。
2、确定优先恢复的业务。
即使制定了完善而有效的恢复计划,企业在进行灾难恢复时,也不可能全面同时恢复。因此,一般是检查每一个核心业务流程,确定其关键度等级,然后根据关键度等级分配人力、物力和时间,以确保企业的关键业务得到优先恢复。会计信息系统的某些业务活动是非常关键的,如现金收支业务活动应在几小时内恢复;销售业务活动、采购业务活动应在几天内恢复;而其他会计业务活动的恢复则可相对滞后。在灾难恢复计划中,必须按照每项会计业务活动重要程度的先后顺序,明确列示其恢复时间表。
3、灾难恢复的步骤。
(1)成立应急处理中心。会计信息系统灾难恢复计划必须首先明确应急处理中心的地点和预备地点、应急处理中心负责人和预备负责人。当灾难发生时,由应急中心负责人统一指挥,并指导恢复计划的执行。特殊情况下,可启动应急处理中心的预备地点。
(2)切换计划。一般情况下,灾难发生时,备份中心和处理中心之间切换时间越短,丢失的数据越少,系统恢复的效果越佳,灾难事故造成的损失和影响越小。备份中心地点和备份方式的选择,是会计信息系统灾难恢复计划最为核心的问题。
从理论上讲,备份中心和处理中心之间的空间距离越大,同时发生灾难性事故的几率越小,系统的可靠性和安全性就越高。对于一些大企业或重要企业会计信息系统数据,设置同城或异地备份是有必要的。备份中心地点的选择,灾难恢复计划必须明确加以说明。数据备份目前主要有冷备份和热备份等几种方式。冷备份适用于会计信息系统数据量不大并采用定期备份的企业,而热备份适用于对会计数据的一致性和完整性要求比较严格,尤其是那些实施ERP(企业资源计划)的大型企业。例如:在实时性要求很高的银行系统和股票交易系统中,只有实施动态镜像热备份功能,在系统发生灾难时方可迅速自动切换,保证备份数据和处理数据的一致性和完整性。在一些大型企业中,这种备份和切换方式值得提倡。
(3)抢救计划。在一些灾难中,如果快速采取行动,修复设备和有价值的会计信息是可能的。制定一些不同灾难、不同情况的灾难抢救计划,是会计信息系统灾难恢复计划的重要方面。
(4)人员的重新布置计划。考虑灾难中失去员工的可能性,会计信息系统灾难恢复计划必须应付人员重新布置后可能发生的情况,计划必须谨慎周全,因为许多员工在短期内重新布置是有困难的。因此,在会计信息系统灾难恢复计划中,必须明确日常会计人员全面的会计电算化知识培训计划,以适应不同会计电算化岗位的需要,防患于未然。
(5)测试和调整系统计划。对于制定了会计信息系统灾难恢复计划的企业,由于环境的变化,早期制定的计划,必然会出现不适应或需要调整的地方。因此,每隔一定时间必须对其进行测试,过时的或没有测试的计划在灾难中可能没有任何效果。测试一般要考虑方案的选择、时间的选择、频度的选择等几个问题,以对正常业务的影响最小为宜。
四、结论
目前,我国除了金融、证券行业对会计信息系统的灾难恢复计划给予了高度重视外,一般企业,即使一些大型企业的灾难恢复意识仍很淡薄,为此必须提请注意以下几个问题:
1、加强企业的灾难危机意识,制定必要的灾难恢复计划。强化企业高层领导的灾难危机意识,是会计信息系统灾难恢复计划制定的关键,灾难恢复计划必须由企业最高的层次来实行,明确该计划制定的责任部门,使之作为基本计算机安全系统的一部分,尤其企业的建立新的会计信息系统时,灾难恢复计划必须作为一个重要内容加以考虑。
2、增强软件(会计软件、ERP软件)供应商提供必要的灾难恢复服务的能力。我国目前专门从事灾难恢复服务的公司较少,会计软件或ERP软件供应商对会计信息系统的特性较为熟悉,由他们提供一定的灾难恢复服务,既可降低企业的灾难风险管理成本,又可解决我国企业灾难风险管理技术力量不足的问题,最符合我国国情。
3、制定相应的制度或法规,确保灾难恢复计划的有效性。由于会计信息的重要性,财政部门可以制定会计信息系统灾难恢复计划规范,从而保证灾难恢复计划的有效执行。
综上所述,随着信息技术的飞速发展,全球经济向网络经济迈进的今天,如果计算机系统遭到灾难性的破坏,企业不仅可能受到严重的直接损失,而且由于重要经济信息的毁灭,潜在损失更为巨大。因此,只有实施有效的灾难风险管理,才能确保会计信息系统的的正常运转和企业的正常经营。
参考文献:
1、郭庆文,《事业财会》,2001年第6期;
2、周常兰,《财务与会计》,2002年第12期;
3、孙良文,赛音娜,《财务与会计》,2004年第5期。
