erp軟件財(cái)務(wù)會(huì)計(jì)系統(tǒng)安全風(fēng)險(xiǎn)防范

1、陰財(cái)會(huì)月刊全國(guó)優(yōu)秀經(jīng)濟(jì)期刊援中旬ERP系統(tǒng)的應(yīng)用帶來(lái)了巨大的社會(huì)經(jīng)濟(jì)效益，同時(shí)由于它直接跟經(jīng)濟(jì)利益掛鉤，其安全存在相當(dāng)大的風(fēng)險(xiǎn)，其中財(cái)務(wù)會(huì)計(jì)系統(tǒng)的安全威脅主要來(lái)自企業(yè)內(nèi)部安全管理、企業(yè)內(nèi)部網(wǎng)絡(luò)、互聯(lián)網(wǎng)、競(jìng)爭(zhēng)企業(yè)、企業(yè)違法、設(shè)計(jì)違法等，而這些安全威脅可能引發(fā)的后果有非法使用資源、惡意破壞數(shù)據(jù)、數(shù)據(jù)竊取、數(shù)據(jù)篡改、假冒、偽造、欺騙、敲詐勒索等。種種后果對(duì)企業(yè)及社會(huì)經(jīng)濟(jì)秩序帶來(lái)的損失都是不可估量的，必然要將風(fēng)險(xiǎn)防患于未然。本文研究的目的就是尋

2、找軟件使用中可能存在的風(fēng)險(xiǎn)，并進(jìn)一步思考降低風(fēng)險(xiǎn)的方法。本研究所針對(duì)的ERP軟件是用友公司生產(chǎn)的用友ERPU8企業(yè)應(yīng)用套件8.61版，筆者擬對(duì)其中的財(cái)務(wù)會(huì)計(jì)系統(tǒng)（包括系統(tǒng)管理模塊、總賬模塊、UFO報(bào)表模塊）進(jìn)行安全風(fēng)險(xiǎn)研究。本文以一套模擬的賬務(wù)在軟件中運(yùn)行，流程包括建立賬套———設(shè)置操作員———賬套初始化———輸入憑證———月末處理———編制報(bào)表，在運(yùn)行過(guò)程中分析用友ERP軟件財(cái)務(wù)會(huì)計(jì)系統(tǒng)各個(gè)模塊中可能存在的安全風(fēng)險(xiǎn)。一、ERP軟件財(cái)務(wù)

3、會(huì)計(jì)系統(tǒng)的安全風(fēng)險(xiǎn)1.系統(tǒng)管理模塊的安全風(fēng)險(xiǎn)。按照用友公司隨軟件所提供的《用友ERPU8企業(yè)應(yīng)用套件———系統(tǒng)管理使用手冊(cè)》中的說(shuō)明，基于系統(tǒng)管理模塊的所有操作，都必須先以系統(tǒng)管理員或已設(shè)置的賬套主管身份登錄系統(tǒng)。經(jīng)過(guò)對(duì)系統(tǒng)管理界面和功能的模擬操作，筆者發(fā)現(xiàn)，和進(jìn)入總賬系統(tǒng)前需要使用應(yīng)用平臺(tái)不同，系統(tǒng)管理界面無(wú)需登錄即可先行打開(kāi)。雖然其主要操作需要在菜單中選擇登錄方可使用，但是有一項(xiàng)操作是無(wú)需先行登錄的，即初始化數(shù)據(jù)庫(kù)。該操作將對(duì)已經(jīng)建

4、立在SQL服務(wù)器數(shù)據(jù)庫(kù)中的各類(lèi)數(shù)據(jù)進(jìn)行覆蓋式的初始化———亦即消除所有賬套數(shù)據(jù)，并重置系統(tǒng)管理員密碼為空。無(wú)需登錄即可進(jìn)行這一操作，無(wú)疑是一個(gè)安全隱患。雖然進(jìn)行該操作時(shí)需要輸入數(shù)據(jù)庫(kù)口令，但是數(shù)據(jù)庫(kù)口令與操作員口令不同，是SQL數(shù)據(jù)庫(kù)提供給軟件接口的SA口令，為了方便軟件的接入，該口令常常被設(shè)置為非常簡(jiǎn)單的口令甚至是空口令，而且是使用SQL數(shù)據(jù)庫(kù)的所有應(yīng)用軟件通用的，因此基本沒(méi)有保密性可言。事實(shí)上對(duì)于這種極少使用并且會(huì)破壞數(shù)據(jù)的功能，通

5、常的應(yīng)用軟件都會(huì)嚴(yán)格限定使用者的身份，并提示甚至強(qiáng)制要求備份數(shù)據(jù)，或干脆將這一功能從軟件通常使用時(shí)的界面中去除，改以其他方式如單獨(dú)的工具程序來(lái)提供。在登錄界面時(shí)，筆者發(fā)現(xiàn)系統(tǒng)管理模塊默認(rèn)系統(tǒng)管理員口令為空，而且可以一直使用空口令，同時(shí)并沒(méi)有任何對(duì)于口令設(shè)置的安全性要求以及對(duì)暴力破解口令的防范措施。很顯然，這是一個(gè)很大的安全隱患。系統(tǒng)管理模塊所提供的主要功能即賬套管理和操作員管理，按照賬務(wù)處理的流程，首先以系統(tǒng)管理員的身份登錄系統(tǒng)管理模塊

6、，建立一個(gè)賬套，并設(shè)置該賬套的操作員。（1）賬套建立。經(jīng)模擬流程分析，未發(fā)現(xiàn)安全風(fēng)險(xiǎn)。（2）設(shè)置操作員。建立賬套后，設(shè)立了用于對(duì)賬套進(jìn)行操作的操作員，并賦予其相關(guān)的操作權(quán)限。在這一過(guò)程中，筆者經(jīng)過(guò)測(cè)試發(fā)現(xiàn)，用友ERP軟件在設(shè)立操作員的界面上設(shè)計(jì)了大量的用戶(hù)角色，但沒(méi)有詳細(xì)說(shuō)明各個(gè)角色所默認(rèn)擁有的權(quán)限。這樣很容易導(dǎo)致在設(shè)立操作員時(shí)出現(xiàn)錯(cuò)誤的權(quán)限賦予，雖然軟件提供了單獨(dú)修改權(quán)限的界面，但面對(duì)復(fù)雜的權(quán)限列表，也容易發(fā)生混淆。如果能在設(shè)立操作員

7、時(shí)就提供詳細(xì)的權(quán)限說(shuō)明，特別是各種權(quán)限所能進(jìn)行操作的說(shuō)明，無(wú)疑將大大減少發(fā)生權(quán)限設(shè)置錯(cuò)誤的風(fēng)險(xiǎn)。還有一個(gè)容易被忽視的隱患就是系統(tǒng)默認(rèn)的操作員。用友系統(tǒng)預(yù)設(shè)了三個(gè)用于演示的操作員，而這三個(gè)操作員的口令是和名字相同的。當(dāng)建立賬套時(shí)操作員DEMO甚至是默認(rèn)的賬套主管，如果在建立賬套后沒(méi)有及時(shí)取消其賬套主管權(quán)限的話(huà)，則任何訪問(wèn)系統(tǒng)的人都可以利用這一操作員身份獲得對(duì)賬套的一切操作權(quán)限。實(shí)際上完全可以取消在建賬時(shí)設(shè)立默認(rèn)賬套主管的設(shè)計(jì)，改為在建賬后

8、手動(dòng)設(shè)置，這樣的小改動(dòng)就可以基本消除這一安全隱患。2.總賬模塊的安全風(fēng)險(xiǎn)。（1）賬套初始化?？傎~模塊的賬套初始化設(shè)置中包括會(huì)計(jì)科目設(shè)置、外幣設(shè)置、期初余額、憑證類(lèi)別、結(jié)算方式、分類(lèi)定義、編碼檔案等功能模塊。ERP軟件財(cái)務(wù)會(huì)計(jì)系統(tǒng)安全風(fēng)險(xiǎn)防范林茂淵成都理工大學(xué)商學(xué)院成都610051冤【摘要】本文以ERP理論和會(huì)計(jì)風(fēng)險(xiǎn)理論為基礎(chǔ)，以在國(guó)內(nèi)使用廣泛的用友ERP軟件作為研究對(duì)象，采用模擬法來(lái)研究用友ERP軟件財(cái)務(wù)會(huì)計(jì)系統(tǒng)各個(gè)模塊的賬務(wù)處理過(guò)程，

9、以實(shí)際測(cè)試的形式，尋找系統(tǒng)中各個(gè)環(huán)節(jié)可能存在的安全風(fēng)險(xiǎn)，并從技術(shù)和管理兩方面分析解決安全隱患、提高ERP系統(tǒng)安全性的方法。【關(guān)鍵詞】ERP軟件會(huì)計(jì)電算化會(huì)計(jì)風(fēng)險(xiǎn)陰窯60窯全國(guó)中文核心期刊財(cái)會(huì)月刊陰援中旬按賬務(wù)處理流程，筆者在通過(guò)企業(yè)應(yīng)用平臺(tái)登錄總賬模塊后，首先進(jìn)行了會(huì)計(jì)科目設(shè)置與期初余額的錄入。在實(shí)際操作中，筆者發(fā)現(xiàn)，錄入期初余額時(shí)，對(duì)涉及數(shù)量核算的科目例如“庫(kù)存商品”，雖然在余額列表上有輸入數(shù)量的行，但是即使不輸入數(shù)量，也能正常地繼續(xù)

10、操作，最后的期初試算平衡表上也無(wú)法反映這一點(diǎn)。實(shí)際上，只要設(shè)計(jì)成期初不允許數(shù)量核算科目有0數(shù)量的情況，或是在沒(méi)有輸入數(shù)量的情況下由軟件給予一個(gè)提醒，就能夠完全杜絕這一風(fēng)險(xiǎn)。（2）憑證輸入。未發(fā)現(xiàn)安全風(fēng)險(xiǎn)。（3）月末處理。按用友公司提供的《用友ERPU8企業(yè)應(yīng)用套件———總賬使用手冊(cè)》中的說(shuō)明，總賬模塊中“記賬”這一操作是可逆的，軟件提供了“恢復(fù)記賬前狀態(tài)”這一功能。手冊(cè)中對(duì)這一功能的說(shuō)明如下：當(dāng)系統(tǒng)在記賬時(shí)，萬(wàn)一發(fā)生記賬被中斷的情況，系

11、統(tǒng)將自動(dòng)進(jìn)入本功能恢復(fù)中斷狀態(tài)，然后讓您重新記賬。另外由于某種原因，事后發(fā)現(xiàn)本月記賬有錯(cuò)誤，利用本功能則可將本月已記賬的憑證全部重新變成未記賬憑證，從而進(jìn)行修改，然后再記賬。與此類(lèi)似，軟件同樣也提供了“恢復(fù)結(jié)賬前狀態(tài)”的功能。經(jīng)筆者在模擬賬務(wù)流程中進(jìn)行實(shí)際測(cè)試，這兩項(xiàng)功能實(shí)質(zhì)上就是“反記賬”與“反結(jié)賬”。所謂“反記賬”，就是將已記賬的憑證通過(guò)記賬的“逆向”過(guò)程，恢復(fù)到記賬前的狀態(tài)。“反結(jié)賬”就是通過(guò)結(jié)賬的“逆向”過(guò)程，使已完成結(jié)賬處理的

12、會(huì)計(jì)期間恢復(fù)到未結(jié)賬狀態(tài)。對(duì)于會(huì)計(jì)軟件中是否應(yīng)設(shè)置“反記賬”、“反結(jié)賬”功能，一直存在著很大的爭(zhēng)議。同意設(shè)置該功能的人員主要有以下三點(diǎn)理由：一是大量錯(cuò)誤的憑證被登記入賬。這種情況發(fā)生在實(shí)施電算化初期，尤其是試運(yùn)行期。二是過(guò)賬錯(cuò)誤，賬證實(shí)不符。由于會(huì)計(jì)人員的粗心，發(fā)生過(guò)賬錯(cuò)誤，導(dǎo)致賬證實(shí)不符。三是記賬過(guò)程意外中斷，數(shù)據(jù)丟失，無(wú)法了解記賬等情況。筆者認(rèn)為以上三點(diǎn)理由都不足以使人信服。首先，工作細(xì)心是會(huì)計(jì)人員應(yīng)有的工作態(tài)度。用友ERP軟件財(cái)務(wù)

13、會(huì)計(jì)系統(tǒng)在沒(méi)有記賬之前是可以修改的，經(jīng)檢查無(wú)誤后再記賬和結(jié)賬。偶爾的錯(cuò)誤在所難免，但不會(huì)存在大量錯(cuò)誤。其次，所謂的“過(guò)賬錯(cuò)誤，賬證實(shí)不符”可以通過(guò)正常會(huì)計(jì)手段解決。即使是記賬憑證與實(shí)際不符，也可以通過(guò)會(huì)計(jì)差錯(cuò)更正來(lái)處理，無(wú)須通過(guò)“反記賬”、“反結(jié)賬”來(lái)更正。再次，“記賬過(guò)程意外中斷，數(shù)據(jù)丟失”的說(shuō)法也站不住腳。會(huì)計(jì)軟件的設(shè)計(jì)中都有自動(dòng)保存功能。而在實(shí)際工作中，只有保存相應(yīng)資料才能進(jìn)行下一步的操作。設(shè)置“反記賬”、“反結(jié)賬”功能的惟一原因

14、就是欲對(duì)記賬憑證數(shù)據(jù)庫(kù)中的信息進(jìn)行不留痕跡的修改。綜上所述，用友ERP軟件財(cái)務(wù)會(huì)計(jì)系統(tǒng)設(shè)計(jì)“恢復(fù)記賬前狀態(tài)”、“恢復(fù)結(jié)賬前狀態(tài)”功能存在嚴(yán)重的會(huì)計(jì)風(fēng)險(xiǎn)，極大地影響了財(cái)務(wù)數(shù)據(jù)的安全性和可靠性。3.UFO報(bào)表模塊的安全風(fēng)險(xiǎn)。在對(duì)UFO報(bào)表模塊的模擬測(cè)試中，筆者對(duì)報(bào)表數(shù)據(jù)的安全性進(jìn)行了分析。UFO報(bào)表模塊是一個(gè)類(lèi)似于EXCEL軟件的系統(tǒng)，但是和EXCEL軟件不同的是，UFO報(bào)表模塊并沒(méi)有提供在意外情況下恢復(fù)數(shù)據(jù)的功能。也就是說(shuō)，在報(bào)表的制作過(guò)

15、程中，如果出現(xiàn)斷電等意外情況，則所有未保存的數(shù)據(jù)都將丟失。雖然按照UFO報(bào)表模塊的實(shí)際應(yīng)用來(lái)看，當(dāng)制作好符合企業(yè)需求的報(bào)表模板后，每月只需調(diào)用這一模板生成相應(yīng)的報(bào)表即可，但無(wú)法恢復(fù)未保存的數(shù)據(jù)仍是UFO報(bào)表模塊的一個(gè)安全隱患。二、防范風(fēng)險(xiǎn)的辦法1.系統(tǒng)管理模塊?！俺跏蓟瘮?shù)據(jù)庫(kù)”這一功能存在很大的安全隱患，完全可以像“應(yīng)用服務(wù)器配置”等功能一樣，設(shè)計(jì)成單獨(dú)的工具程序和其他工具程序放在一起，供必要時(shí)調(diào)用。同時(shí)應(yīng)該增加必要的身份驗(yàn)證環(huán)節(jié)，以確

16、保數(shù)據(jù)安全。而在建立賬套時(shí)，應(yīng)該取消對(duì)“設(shè)置默認(rèn)賬套主管”的強(qiáng)制要求，改為建立賬套后提醒設(shè)置的模式，同時(shí)最好能提示系統(tǒng)管理員在建立賬套后及時(shí)刪除系統(tǒng)預(yù)設(shè)操作員，這樣可以減少利用預(yù)設(shè)操作員非法登錄賬套的可能性，消除安全隱患。在設(shè)置操作員時(shí)，如果能提供更為詳細(xì)的權(quán)限說(shuō)明，例如在定義某一操作員的角色時(shí)，對(duì)這一角色有權(quán)進(jìn)行的各類(lèi)操作予以列示，或是逆向提示有權(quán)完成某一操作的角色列表以供設(shè)置者選擇，無(wú)疑將使定義操作員的工作更為簡(jiǎn)便易行，同時(shí)大大降低

17、錯(cuò)誤賦予某一操作員其工作范疇之外其他操作權(quán)限的可能性。2.總賬模塊。錄入期初余額時(shí)，如果對(duì)涉及數(shù)量核算的會(huì)計(jì)科目不提示輸入數(shù)量，容易導(dǎo)致操作人員忽略數(shù)量的錄入，而試算平衡表并不會(huì)體現(xiàn)這一點(diǎn)。為了防止出現(xiàn)這樣的情況，應(yīng)該在數(shù)量核算科目的期初余額輸入欄處設(shè)置明顯的提示信息，或者干脆設(shè)定為數(shù)量核算科目必須在輸入期初余額的同時(shí)輸入期初數(shù)量，即可完全杜絕漏輸信息的可能?！胺从涃~”、“反結(jié)賬”這樣存在重大安全隱患的功能由于能給操作人員帶來(lái)方便，雖然

18、有諸多要求取消的呼聲，但卻一直在財(cái)務(wù)軟件中存在。事實(shí)上，隨著計(jì)算機(jī)技術(shù)的不斷發(fā)展，財(cái)務(wù)軟件完全可以兼顧方便性和安全性。筆者建議采用操作記錄的形式，雖允許反記賬存在，但是對(duì)之前的錯(cuò)誤憑證仍然予以記錄，并允許擁有相關(guān)權(quán)限的人員調(diào)閱。更好的辦法是在憑證和賬表上采用備注的形式登記，即在每一處出錯(cuò)點(diǎn)自動(dòng)設(shè)置備注，擁有權(quán)限的操作人員可以查看備注中舊有的數(shù)據(jù)信息。這樣的錯(cuò)誤更正方法類(lèi)似于手工會(huì)計(jì)中的劃線更正法，在保留原有數(shù)據(jù)可見(jiàn)的情況下對(duì)其進(jìn)行更正，

19、以確保已輸入的數(shù)據(jù)不會(huì)被毫無(wú)痕跡地修改。3.UFO報(bào)表模塊。UFO報(bào)表模塊在財(cái)務(wù)報(bào)表的制作過(guò)程中完全有必要增加自動(dòng)存盤(pán)的功能，可以設(shè)計(jì)為定期自動(dòng)存盤(pán)或是類(lèi)似于OFFICE軟件的建立臨時(shí)文件保留未保存文件的記錄信息等形式，以備發(fā)生意外時(shí)恢復(fù)數(shù)據(jù)。主要參考文獻(xiàn)1.曹冬梅.淺議會(huì)計(jì)電算化過(guò)程中存在的問(wèn)題及對(duì)策.科技情報(bào)開(kāi)發(fā)與經(jīng)濟(jì)袁2008曰262.桂良軍.目前我國(guó)財(cái)務(wù)軟件應(yīng)用中存在的問(wèn)題及解決措施.中國(guó)管理信息化袁2008曰43.亓?xí)约t.論E