文档介绍：筑牢信息化防火墙
 
 
丁 晶 甘卓霞
如果把企业比喻为盘根错杂的大树,会计信息系统则是负责维持养分收集与运作的树干。
在经济全球化的大背景下,管理滞后、会计信息风险控制不力导致风险加剧,往往是企业在危机中倒下的共因在通讯过程中暴露得较为明显。在人机对话中,用户缺乏必要的安全知识、系统维护安全措施不到位或缺失、无保护的数据传输、命令口令及个人密码单一且未做到定时更新等,都是薄弱的环节。
。当风险实际发生时,企业不可避免地会发生损失,包括直接经济损失、商业机会的损失、企业利益相关者决策的失误、企业名誉受损等等。
设计思路
接下来,笔者以广西物资集团总公司的运作方案为例,重点剖析方案部署思路及工作流程。
广西物资集团总公司是我国大型一类流通企业,现有全资子公司、控股公司21家,集团业务复杂且行业布局广。截至2009年12月,。随着业务快速发展,集团急需通过会计信息化管理提升企业财务管理水平,加强内部资源整合,从而提高集团财务管控能力,会计信息系统的风险控制,也同样成为信息工作的重点和难点。
会计信息渗透至企业经济活动的各个神经末梢,甚至涉及整个价值链。因此,公司将信息安全升级为信息风险问题。风险控制方案的核心思想定位于,在成本效益原则指导下合理地防范四大风险要素,为保证IT治理和会计信息真实完整,在COBIT的基础上引入COSO-ERM框架,而COSO-ERM涵盖了企业组织活动的所有风
险,在四目标、八要素中,将内部控制的控制对象定义为风险,将风险的控制转变为管理。在实际工作中,广西物资集团总公司把八大要素与会计信息系统的有机结合(见表1),本质上完善了会计信息系统风控的体系。
方案实施
会计信息系统的风险控制是范围大、控制程序复杂的综合性控制,是人工控制和计算机自动控制相结合的多方位控制。结合集团公司的特点和经营管理实际情况,以核心思想和工作思路为准绳,将工作分四个阶段进行具体实施。
第一阶段制定风险控制工作计划
全面评估集团信息系统所存在的风险要素,确定开展控制的范围,统一全公司信息系统风险识别及测评方法,规范工作底稿,做好风险控制的准备工作。工作步骤如下:
,专人负责项目推进。集团公司高层十分重视风险控制项目的实施,为确保项目的顺利推进,设立项目实施及进度推进表,每一个任务内容落实到人,订时到日。
,规范业务流程的操作。为减少会计信息系统人为的操作失误,与财务软件公司合作,加强培训相关岗位员工,培训内容包括道德素质教育、软硬件使用要求、安全维护等。集团制定并下发了《广西物资集团总公司会计核算软件系统管理办法》,从岗位设置、操作要求、数据管理等方面进行规范,为员工具体操作信息系统提供了操作的行为准则。
。COSO-ERM的实施,不可能脱离其赖以生存的环境和内外部各种风险因素。为了加强对风险的控制,必须合理评估公司整体信息化过
程,对事件进行识别,对风险发生可能性的高低和风险对目标影响程度,进行定量和定性分析(见表2),排查重点和优先控制的风险,确定风险控制的关键控制点,为达到年度风险管理目标提供依据。
。测试分为集团公司总部层面和子公司层面。总部层面委托会计师事务所进行测试,子公司层面采用