erp軟件財務會計系統(tǒng)安全風險防范

1、陰財會月刊全國優(yōu)秀經(jīng)濟期刊援中旬ERP系統(tǒng)的應用帶來了巨大的社會經(jīng)濟效益，同時由于它直接跟經(jīng)濟利益掛鉤，其安全存在相當大的風險，其中財務會計系統(tǒng)的安全威脅主要來自企業(yè)內(nèi)部安全管理、企業(yè)內(nèi)部網(wǎng)絡、互聯(lián)網(wǎng)、競爭企業(yè)、企業(yè)違法、設(shè)計違法等，而這些安全威脅可能引發(fā)的后果有非法使用資源、惡意破壞數(shù)據(jù)、數(shù)據(jù)竊取、數(shù)據(jù)篡改、假冒、偽造、欺騙、敲詐勒索等。種種后果對企業(yè)及社會經(jīng)濟秩序帶來的損失都是不可估量的，必然要將風險防患于未然。本文研究的目的就是尋

2、找軟件使用中可能存在的風險，并進一步思考降低風險的方法。本研究所針對的ERP軟件是用友公司生產(chǎn)的用友ERPU8企業(yè)應用套件8.61版，筆者擬對其中的財務會計系統(tǒng)（包括系統(tǒng)管理模塊、總賬模塊、UFO報表模塊）進行安全風險研究。本文以一套模擬的賬務在軟件中運行，流程包括建立賬套———設(shè)置操作員———賬套初始化———輸入憑證———月末處理———編制報表，在運行過程中分析用友ERP軟件財務會計系統(tǒng)各個模塊中可能存在的安全風險。一、ERP軟件財務

3、會計系統(tǒng)的安全風險1.系統(tǒng)管理模塊的安全風險。按照用友公司隨軟件所提供的《用友ERPU8企業(yè)應用套件———系統(tǒng)管理使用手冊》中的說明，基于系統(tǒng)管理模塊的所有操作，都必須先以系統(tǒng)管理員或已設(shè)置的賬套主管身份登錄系統(tǒng)。經(jīng)過對系統(tǒng)管理界面和功能的模擬操作，筆者發(fā)現(xiàn)，和進入總賬系統(tǒng)前需要使用應用平臺不同，系統(tǒng)管理界面無需登錄即可先行打開。雖然其主要操作需要在菜單中選擇登錄方可使用，但是有一項操作是無需先行登錄的，即初始化數(shù)據(jù)庫。該操作將對已經(jīng)建

4、立在SQL服務器數(shù)據(jù)庫中的各類數(shù)據(jù)進行覆蓋式的初始化———亦即消除所有賬套數(shù)據(jù)，并重置系統(tǒng)管理員密碼為空。無需登錄即可進行這一操作，無疑是一個安全隱患。雖然進行該操作時需要輸入數(shù)據(jù)庫口令，但是數(shù)據(jù)庫口令與操作員口令不同，是SQL數(shù)據(jù)庫提供給軟件接口的SA口令，為了方便軟件的接入，該口令常常被設(shè)置為非常簡單的口令甚至是空口令，而且是使用SQL數(shù)據(jù)庫的所有應用軟件通用的，因此基本沒有保密性可言。事實上對于這種極少使用并且會破壞數(shù)據(jù)的功能，通

5、常的應用軟件都會嚴格限定使用者的身份，并提示甚至強制要求備份數(shù)據(jù)，或干脆將這一功能從軟件通常使用時的界面中去除，改以其他方式如單獨的工具程序來提供。在登錄界面時，筆者發(fā)現(xiàn)系統(tǒng)管理模塊默認系統(tǒng)管理員口令為空，而且可以一直使用空口令，同時并沒有任何對于口令設(shè)置的安全性要求以及對暴力破解口令的防范措施。很顯然，這是一個很大的安全隱患。系統(tǒng)管理模塊所提供的主要功能即賬套管理和操作員管理，按照賬務處理的流程，首先以系統(tǒng)管理員的身份登錄系統(tǒng)管理模塊

6、，建立一個賬套，并設(shè)置該賬套的操作員。（1）賬套建立。經(jīng)模擬流程分析，未發(fā)現(xiàn)安全風險。（2）設(shè)置操作員。建立賬套后，設(shè)立了用于對賬套進行操作的操作員，并賦予其相關(guān)的操作權(quán)限。在這一過程中，筆者經(jīng)過測試發(fā)現(xiàn)，用友ERP軟件在設(shè)立操作員的界面上設(shè)計了大量的用戶角色，但沒有詳細說明各個角色所默認擁有的權(quán)限。這樣很容易導致在設(shè)立操作員時出現(xiàn)錯誤的權(quán)限賦予，雖然軟件提供了單獨修改權(quán)限的界面，但面對復雜的權(quán)限列表，也容易發(fā)生混淆。如果能在設(shè)立操作員

7、時就提供詳細的權(quán)限說明，特別是各種權(quán)限所能進行操作的說明，無疑將大大減少發(fā)生權(quán)限設(shè)置錯誤的風險。還有一個容易被忽視的隱患就是系統(tǒng)默認的操作員。用友系統(tǒng)預設(shè)了三個用于演示的操作員，而這三個操作員的口令是和名字相同的。當建立賬套時操作員DEMO甚至是默認的賬套主管，如果在建立賬套后沒有及時取消其賬套主管權(quán)限的話，則任何訪問系統(tǒng)的人都可以利用這一操作員身份獲得對賬套的一切操作權(quán)限。實際上完全可以取消在建賬時設(shè)立默認賬套主管的設(shè)計，改為在建賬后

8、手動設(shè)置，這樣的小改動就可以基本消除這一安全隱患。2.總賬模塊的安全風險。（1）賬套初始化?？傎~模塊的賬套初始化設(shè)置中包括會計科目設(shè)置、外幣設(shè)置、期初余額、憑證類別、結(jié)算方式、分類定義、編碼檔案等功能模塊。ERP軟件財務會計系統(tǒng)安全風險防范林茂淵成都理工大學商學院成都610051冤【摘要】本文以ERP理論和會計風險理論為基礎(chǔ)，以在國內(nèi)使用廣泛的用友ERP軟件作為研究對象，采用模擬法來研究用友ERP軟件財務會計系統(tǒng)各個模塊的賬務處理過程，

9、以實際測試的形式，尋找系統(tǒng)中各個環(huán)節(jié)可能存在的安全風險，并從技術(shù)和管理兩方面分析解決安全隱患、提高ERP系統(tǒng)安全性的方法?！娟P(guān)鍵詞】ERP軟件會計電算化會計風險陰窯60窯全國中文核心期刊財會月刊陰援中旬按賬務處理流程，筆者在通過企業(yè)應用平臺登錄總賬模塊后，首先進行了會計科目設(shè)置與期初余額的錄入。在實際操作中，筆者發(fā)現(xiàn)，錄入期初余額時，對涉及數(shù)量核算的科目例如“庫存商品”，雖然在余額列表上有輸入數(shù)量的行，但是即使不輸入數(shù)量，也能正常地繼續(xù)

10、操作，最后的期初試算平衡表上也無法反映這一點。實際上，只要設(shè)計成期初不允許數(shù)量核算科目有0數(shù)量的情況，或是在沒有輸入數(shù)量的情況下由軟件給予一個提醒，就能夠完全杜絕這一風險。（2）憑證輸入。未發(fā)現(xiàn)安全風險。（3）月末處理。按用友公司提供的《用友ERPU8企業(yè)應用套件———總賬使用手冊》中的說明，總賬模塊中“記賬”這一操作是可逆的，軟件提供了“恢復記賬前狀態(tài)”這一功能。手冊中對這一功能的說明如下：當系統(tǒng)在記賬時，萬一發(fā)生記賬被中斷的情況，系

11、統(tǒng)將自動進入本功能恢復中斷狀態(tài)，然后讓您重新記賬。另外由于某種原因，事后發(fā)現(xiàn)本月記賬有錯誤，利用本功能則可將本月已記賬的憑證全部重新變成未記賬憑證，從而進行修改，然后再記賬。與此類似，軟件同樣也提供了“恢復結(jié)賬前狀態(tài)”的功能。經(jīng)筆者在模擬賬務流程中進行實際測試，這兩項功能實質(zhì)上就是“反記賬”與“反結(jié)賬”。所謂“反記賬”，就是將已記賬的憑證通過記賬的“逆向”過程，恢復到記賬前的狀態(tài)?！胺唇Y(jié)賬”就是通過結(jié)賬的“逆向”過程，使已完成結(jié)賬處理的

12、會計期間恢復到未結(jié)賬狀態(tài)。對于會計軟件中是否應設(shè)置“反記賬”、“反結(jié)賬”功能，一直存在著很大的爭議。同意設(shè)置該功能的人員主要有以下三點理由：一是大量錯誤的憑證被登記入賬。這種情況發(fā)生在實施電算化初期，尤其是試運行期。二是過賬錯誤，賬證實不符。由于會計人員的粗心，發(fā)生過賬錯誤，導致賬證實不符。三是記賬過程意外中斷，數(shù)據(jù)丟失，無法了解記賬等情況。筆者認為以上三點理由都不足以使人信服。首先，工作細心是會計人員應有的工作態(tài)度。用友ERP軟件財務

13、會計系統(tǒng)在沒有記賬之前是可以修改的，經(jīng)檢查無誤后再記賬和結(jié)賬。偶爾的錯誤在所難免，但不會存在大量錯誤。其次，所謂的“過賬錯誤，賬證實不符”可以通過正常會計手段解決。即使是記賬憑證與實際不符，也可以通過會計差錯更正來處理，無須通過“反記賬”、“反結(jié)賬”來更正。再次，“記賬過程意外中斷，數(shù)據(jù)丟失”的說法也站不住腳。會計軟件的設(shè)計中都有自動保存功能。而在實際工作中，只有保存相應資料才能進行下一步的操作。設(shè)置“反記賬”、“反結(jié)賬”功能的惟一原因

14、就是欲對記賬憑證數(shù)據(jù)庫中的信息進行不留痕跡的修改。綜上所述，用友ERP軟件財務會計系統(tǒng)設(shè)計“恢復記賬前狀態(tài)”、“恢復結(jié)賬前狀態(tài)”功能存在嚴重的會計風險，極大地影響了財務數(shù)據(jù)的安全性和可靠性。3.UFO報表模塊的安全風險。在對UFO報表模塊的模擬測試中，筆者對報表數(shù)據(jù)的安全性進行了分析。UFO報表模塊是一個類似于EXCEL軟件的系統(tǒng)，但是和EXCEL軟件不同的是，UFO報表模塊并沒有提供在意外情況下恢復數(shù)據(jù)的功能。也就是說，在報表的制作過

15、程中，如果出現(xiàn)斷電等意外情況，則所有未保存的數(shù)據(jù)都將丟失。雖然按照UFO報表模塊的實際應用來看，當制作好符合企業(yè)需求的報表模板后，每月只需調(diào)用這一模板生成相應的報表即可，但無法恢復未保存的數(shù)據(jù)仍是UFO報表模塊的一個安全隱患。二、防范風險的辦法1.系統(tǒng)管理模塊?！俺跏蓟瘮?shù)據(jù)庫”這一功能存在很大的安全隱患，完全可以像“應用服務器配置”等功能一樣，設(shè)計成單獨的工具程序和其他工具程序放在一起，供必要時調(diào)用。同時應該增加必要的身份驗證環(huán)節(jié)，以確

16、保數(shù)據(jù)安全。而在建立賬套時，應該取消對“設(shè)置默認賬套主管”的強制要求，改為建立賬套后提醒設(shè)置的模式，同時最好能提示系統(tǒng)管理員在建立賬套后及時刪除系統(tǒng)預設(shè)操作員，這樣可以減少利用預設(shè)操作員非法登錄賬套的可能性，消除安全隱患。在設(shè)置操作員時，如果能提供更為詳細的權(quán)限說明，例如在定義某一操作員的角色時，對這一角色有權(quán)進行的各類操作予以列示，或是逆向提示有權(quán)完成某一操作的角色列表以供設(shè)置者選擇，無疑將使定義操作員的工作更為簡便易行，同時大大降低

17、錯誤賦予某一操作員其工作范疇之外其他操作權(quán)限的可能性。2.總賬模塊。錄入期初余額時，如果對涉及數(shù)量核算的會計科目不提示輸入數(shù)量，容易導致操作人員忽略數(shù)量的錄入，而試算平衡表并不會體現(xiàn)這一點。為了防止出現(xiàn)這樣的情況，應該在數(shù)量核算科目的期初余額輸入欄處設(shè)置明顯的提示信息，或者干脆設(shè)定為數(shù)量核算科目必須在輸入期初余額的同時輸入期初數(shù)量，即可完全杜絕漏輸信息的可能?！胺从涃~”、“反結(jié)賬”這樣存在重大安全隱患的功能由于能給操作人員帶來方便，雖然

18、有諸多要求取消的呼聲，但卻一直在財務軟件中存在。事實上，隨著計算機技術(shù)的不斷發(fā)展，財務軟件完全可以兼顧方便性和安全性。筆者建議采用操作記錄的形式，雖允許反記賬存在，但是對之前的錯誤憑證仍然予以記錄，并允許擁有相關(guān)權(quán)限的人員調(diào)閱。更好的辦法是在憑證和賬表上采用備注的形式登記，即在每一處出錯點自動設(shè)置備注，擁有權(quán)限的操作人員可以查看備注中舊有的數(shù)據(jù)信息。這樣的錯誤更正方法類似于手工會計中的劃線更正法，在保留原有數(shù)據(jù)可見的情況下對其進行更正，

19、以確保已輸入的數(shù)據(jù)不會被毫無痕跡地修改。3.UFO報表模塊。UFO報表模塊在財務報表的制作過程中完全有必要增加自動存盤的功能，可以設(shè)計為定期自動存盤或是類似于OFFICE軟件的建立臨時文件保留未保存文件的記錄信息等形式，以備發(fā)生意外時恢復數(shù)據(jù)。主要參考文獻1.曹冬梅.淺議會計電算化過程中存在的問題及對策.科技情報開發(fā)與經(jīng)濟袁2008曰262.桂良軍.目前我國財務軟件應用中存在的問題及解決措施.中國管理信息化袁2008曰43.亓曉紅.論E