АИС бухгалтерского учета в управлении экономическим объектом

Прежде чем проектировать  какую-либо систему безопасности, определим, что в учете и от кого (чего) нуждается в защите.  
         К объектам информационной безопасности в учете относятся как информационные ресурсы, содержащие сведения, отнесенные к коммерческой тайне, и конфиденциальную информацию, представленную в виде баз учетных данных, так и средства и системы информатизации – технические средства, используемые в информационных процессах (средства вычислительной и организационной техники, информативные и физические поля компьютеров, общесистемное и прикладное программное обеспечение, в целом автоматизированные системы учетных данных предприятий). 
        Угроза информационной безопасности бухгалтерского учета заключается в потенциально возможном действии, которое посредством воздействия на компоненты учетной системы может привести к нанесению ущерба владельцам информационных ресурсов или пользователям системы. 
        Правовой режим информационных ресурсов определяется нормами, устанавливающими: порядок документирования информации; 
право собственности на отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах; категорию информации по уровню доступа к ней; 
порядок правовой защиты информации. 
       Основный принцип, нарушаемый при реализации информационной угрозы в бухгалтерском учете, - это принцип документирования информации. Учетный документ, полученный из автоматизированной информационной системы учета, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации. 
       Все множество потенциальных угроз в учете по природе их возникновения можно разделить на два класса: естественные (объективные) и искусственные.

Естественные  угрозы вызываются объективными причинами, как правило, не зависящими от бухгалтера, ведущими к полному или частичному уничтожению бухгалтерии вместе с ее компонентами. К таким стихийным явлениям относятся: землетрясения, удары молнией, пожары и т.п. 
          Искусственные угрозы связаны с деятельностью людей. Их можно разделить на непреднамеренные (неумышленные), вызванные способностью сотрудников делать какие-либо ошибки в силу невнимательности, либо усталости, болезненного состояния и т.п. Например, бухгалтер при вводе сведений в компьютер может нажать не ту клавишу, сделать неумышленные ошибки в программе, занести вирус, случайно разгласить пароли. 
        Преднамеренные (умышленные) угрозы связаны с корыстными устремлениями людей – злоумышленников, намеренно создающих недостоверные документы. 
         Угрозы безопасности с точки зрения их направленности можно подразделить на следующие группы:   угрозы проникновения и считывания данных из баз учетных данных и компьютерных программ их обработки; 
угрозы сохранности учетных данных, приводящие либо к их уничтожению, либо к изменению, в том числе фальсификация платежных документов (платежных требований, поручений и т.п.);  угрозы доступности данных, возникающие, когда пользователь не может получить доступа к учетным данным;   угрозы отказа от выполнения операций, когда один пользователь передает сообщение другому, а затем не подтверждает переданные данные.  
В зависимости от источника угроз их можно подразделить на внутренние и внешние. 
          Источником внутренних угроз является деятельность персонала организации.

           Внешние угрозы приходят извне от сотрудников других организаций, от хакеров и прочих лиц. Внешние угрозы можно подразделить на: локальные, которые предполагают проникновение нарушителя на территорию организации и получение им доступа к отдельному компьютеру или локальной сети;  удаленные угрозы характерны для систем, подключенных к глобальным сетям (Internet, система международных банковских расчетов SWIFT и др.). 
        Такие опасности возникают чаще всего в системе электронных платежей при расчетах поставщиков с покупателями, использовании в расчетах сетей Internet. Источники таких информационных атак могут находиться за тысячи километров. Причем воздействию подвергаются не только ЭВМ, но и бухгалтерская информация.  
         Умышленными и неумышленными ошибками в учете, приводящими к увеличению учетного риска, являются следующие:  ошибки в записи учетных данных;  неверные коды; несанкционированные учетные операции; 
нарушение контрольных лимитов;  пропущенные учетные записи; 
ошибки при обработке или выводе данных;  ошибки при формировании или корректировке справочников; неполные учетные записи; 
неверное отнесение записей по периодам;  фальсификация данных;  нарушение требований нормативных актов;   нарушение принципов учетной политики;  несоответствие качества услуг потребностям пользователей. 
        В условиях обработки данных на ПЭВМ последствия многократно повторенной ошибки или неправильно примененной методики могут оказаться катастрофическими. 
         Распространение вычислительной техники привело к резкому сокращению невольных (арифметических) ошибок, но создало дополнительные условия для возникновения ошибок умышленных, связанных с мошенничеством. 
         Необходимо решить – от кого мы защищаем информацию, кто тот потенциальный злоумышленник (или их несколько), который стремится завладеть информацией и для чего, какие он имеет возможности для этого.

Ранее мы уже давали уголовно – правовую характеристику компьютерных преступлений, совершаемых работниками бухгалтерии . Как правило, они совершались путем внесения в бухгалтерские документы на начисление заработной платы подложных данных, начисление денежных средств на счета вымышленных (или отсутствующих) лиц. Итак, опасность исходит часто от сотрудников фирмы, действующих не в одиночку, а в сговоре с другими злоумышленниками.

Мотивы и цели компьютерных преступлений могут быть разными: корысть, желание причинить вред, месть, хулиганство  либо желание проверить свои способности  и навыки владения компьютером.

Общей причиной существования  любой преступности, в том числе  и компьютерной, является несовершенство человека, его предрасположенность как к добру, так и злу. К счастью большинство людей не совершают компьютерных преступлений не потому, что это осуждается или наказывается обществом, а потому, что так поступать не принято. К законодательным мерам, направленным на создание и поддержание в обществе негативного отношения к нарушениям и нарушителям безопасности информации относится глава 28 "Преступления в сфере компьютерной информации" раздела IX Уголовного Кодекса (УК). Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети (ст. 274 УК). 
         Защита информации в автоматизированных учетных системах строится исходя из следующих основных принципов:  обеспечение физического разделения областей, предназначенных для обработки секретной и несекретной информации  обеспечение криптографической защиты информации;  обеспечение аутентификации абонентов и абонентских установок;  обеспечение разграничения доступа субъектов и их процессов к информации; обеспечение установления подлинности и целостности документальных сообщений при их передаче по каналам связи; 
обеспечение защиты от отказов от авторства и содержания электронных документов; обеспечение защиты оборудования и технических средств системы, помещений, где они размещаются, от утечки конфиденциальной информации по техническим каналам; обеспечение защиты шифротехники, оборудования, технических и программных средств от утечки информации за счет аппаратных и программных закладок; обеспечение контроля целостности программной и информационной части автоматизированной системы; использование в качестве механизмов защиты только отечественных разработок; обеспечение организационно-режимных мер защиты. Целесообразно использование и дополнительных мер по обеспечению безопасности связи в системе; 
организация защиты сведений об интенсивности, продолжительности и трафиках обмена информации; использование для передачи и обработки информации каналов и способов, затрудняющих перехват. 
       Защита информации от несанкционированного доступа направлена на формирование у защищаемой информации трех основных свойств: 
конфиденциальность (засекреченная информация должна быть доступна только тому, кому она предназначена);   целостность (информация, на основе которой принимаются важные решения, должна быть достоверной, точной и полностью защищенной от возможных непреднамеренных и злоумышленных искажений);  готовность (информация и соответствующие информационные службы должны быть доступны, готовы к обслуживанию заинтересованных лиц всегда, когда в них возникает необходимость). 
        Методами обеспечения защиты учетной информации являются: препятствия; управление доступом, маскировка, регламентация,

принуждение,побуждение. 
         Препятствием нужно считать метод физического преграждения пути злоумышленника к защищаемой учетной информации. Этот метод реализуется пропускной системой предприятия, включая наличие охраны на входе в него, преграждение пути посторонних лиц в бухгалтерию, кассу и пр. 
        Управлением доступом является метод защиты учетной и отчетной информации, реализуемой за счет:  идентификации пользователей информационной системы. (Каждый пользователь получает собственный персональный идентификатор);  аутентификации – установления подлинности объекта или субъекта по предъявленному им идентификатору (осуществляется путем сопоставления введенного идентификатора с хранящимся в памяти компьютера);  проверки полномочий – проверки соответствия запрашиваемых ресурсов и выполняемых операций по выделенным ресурсам и разрешенным процедурам; 
регистрации обращений к защищаемым ресурсам; 
информирования и реагирования при попытках несанкционированных действий. (Криптография – способ защиты с помощью преобразования информации (шифрования)). 
         Маскировка – метода криптографической защиты информации в автоматизированной информационной системе предприятия; 
         Принуждение – метод защиты учетной информации ввиду угрозы материальной, административной или уголовной ответственности. Последнее реализуется тремя статьями Уголовного кодекса: 
«Неправомерный доступ к компьютерной информации» (ст. 272); 
«Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273); 
Нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сетей. (ст. 274). 
        Побуждение – метод защиты информации путем соблюдения пользователями сложившихся морально-этических норм в коллективе предприятия. К морально-этическим средствам относятся, в частности, Кодекс профессионального поведения членов ассоциации пользователей ЭВМ в США. 
          Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. 
          При передаче документов (платежных поручений, контрактов, распоряжений) по компьютерным сетям необходимо доказательство истинности того, что документ был действительно создан и отправлен автором, а не фальсифицирован или модифицирован получателем или каким-либо третьим лицом. Кроме того, существует угроза отрицания авторства отправителем с целью снятия с себя ответственности за передачу документа. Для защиты от таких угроз в практике обмена финансовыми документами используются методы аутентификации сообщений при отсутствии у сторон доверия друг к другу. Документ (сообщение) дополняется цифровой подписью и секретным криптографическим ключом. Подделка подписей без знания ключа посторонними лицами исключается и неопровержимо свидетельствует об авторстве. 
         Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Бухгалтер (пользователь) подписывает электронной цифровой подписью с использованием личного ключа, известного только ему, документы, передает их в соответствии со схемой документооборота, а аппаратно-программная система производит проверку подписи. Конфиденциальные документы могут шифроваться на индивидуальных ключах и недоступны для злоумышленников. Система основывается на отечественных стандартах и нормах делопроизводства, практике организации учета документов и контроля действий исполнителей в структурах любой формы собственности (государственной и негосударственной). 
       Защищенность учетных данных дает возможность: 
обеспечить идентификацию/аутентификацию пользователя; определить для каждого пользователя функциональные права – права на выполнение тех или иных функций системы (в частности, на доступ к тем или иным журналам регистрации документов);   определить для каждого документа уровень конфиденциальности, а для каждого пользователя – права доступа к документам различного уровня конфиденциальности; 
подтвердить авторство пользователя с помощью механизма электронной подписи;  обеспечить конфиденциальность документов путем их шифрования, а также шифрования всей информации, передающейся по открытым каналам связи (например, по электронной почте); шифрование производится с использованием сертифицированных криптографических средств;  протоколировать все действия пользователей в журналах аудита (в журнале аудита входа и выхода из системы, журнале совершенных операций). 
        Подделка подписи без знания ключа злоумышленниками исключается. При защите учетной информации нужно соблюдать следующий принцип: если вы оцениваете информацию в 100000 рублей, то тратить 150000 рублей на ее защиту не стоит. Риск, который может возникнуть на предприятии в результате ошибок, сбоев и подлогов при обработке бухгалтерских данных на ПЭВМ, необходимо сопоставить с затратами на проведение контрольных операций. Нами разработана программа "Риск", которая позволяет оценить информационную систему бухгалтерского учета с позиций возможного учетного риска. Бухгалтеры должны иметь детальные знания о взаимосвязи источников данных, местах их обработки и использования; исключить факты отсутствия ввода документов, доступа к данным и компьютерным программам посторонних лиц как внутри, так и за пределами предприятия (путем использования компьютерного оборудования, расположенного на значительном расстоянии). 
       Специфический аудит достоверности информации системы бухгалтерского учета должен включать: 
контроль за вводом (все ли операции отражены в компьютерных файлах данных, нет ли добавлений или недокументированных изменений в операциях и пр.);

1. Контроль за обработкой данных (операции выполняются правильно, нет их потерь, добавлений и изменений, ошибки исправлены вовремя и устранены);
2. Контроль за выводом информации (получены достоверные результаты, ограничен доступ посторонних лиц к выходной информации).
3. Используются и другие меры безопасности информационной системы, которые способствуют непрерывному ее функционированию (дублирование данных и программ, а также хранение их на значительном расстоянии от центров обработки; выявление неадекватных операций, записей и пр.).

  Средства контроля в автоматизированных учетных системах размещаются в тех точках, где возможный риск способен обернуться убытками. 
            Такие точки называются «точками риска», или «контрольными точками». Это те точки, где контроль будет наиболее эффективным и вместе с тем наиболее экономичным. Но как бы ни были эффективны средства контроля, они не могут обеспечить стопроцентную гарантию, в частности, в силу неумышленных ошибок, когда человек вместо цифры 3 набирает цифру 9 или наоборот.

 

 

 

 

 

 

 

 

 

ЗАКЛЮЧЕНИЕ

 

 

В условиях рыночной экономики  благополучие предприятия всецело зависит от эффективности управления. Качественное управление требует полной, достоверной и своевременно полученной информации. Бухгалтерия находится на стыке информационных потоков разных подразделений, и практически только она может формировать информацию о реальном финансовом состоянии предприятия. Поэтому нередко именно от того, владеет ли руководство оперативной и достоверной информацией, полученной от бухгалтерских служб, зависит, будет ли предприятие банкротом либо будет развиваться стабильно и динамично. Кроме того, мнение акционеров и инвесторов не следует забывать, именно они являются пользователями внешней отчетности.

Аккумулирование информационных потоков в бухгалтерии закономерно  приводит к тому, что здесь отражается полный спектр финансово-экономической функции предприятия.

Все большее число  организаций используют в учете  современные средства вычислительной техники и самое разнообразное  программное обеспечение. Каждый пользователь может выбрать программное обеспечение, соответствующее потребностям и возможностям предприятия.

В комплексных информационных системах важно то, что они увязывают  в единое целое все информационные потоки предприятия, хранят всю информацию в единой базе. Благодаря этому  существенно снижается трудоемкость выполнения многих процедур решения бухгалтерских задач.

Комплексные информационные системы высвобождают творческий потенциал  специалистов, позволяют планировать  материальные, финансовые и трудовые ресурсы, получать информацию, которую  без  использования подобных систем невозможно отыскать в ворохе цифр, отчетов, сводок.

В настоящее время  существует широкий выбор различных  систем автоматизации бухгалтерского учета. Не следует делить их на плохие и хорошие, сильные слабые. Все  они хороши и их возможности находят практическое применение на предприятиях различного размера, профиля и рода деятельности. При автоматизации следует выбрать необходимую систему автоматизации бухгалтерского учета, исходя из задач и имеющихся ресурсов.

Для того чтобы перевод бухгалтерии на компьютер был эффективен и дал результат,  следует учесть следующие аспекты.

Во-первых, важно правильно выбрать время для внедрения автоматизации и оценить ее сроки. Не следует вводить в эксплуатацию программы в «горячий сезон» и в период массовых отпусков сотрудников. Если требуется доработка типовой конфигурации, то обязательно нужно выделить время на подготовку технического задания и работу программистов внедренческой фирмы. Проверить, все ли аспекты деятельности фирмы учтены.

Во-вторых, уделить особое внимание подготовке персонала.

- Принять в штат технического специалиста, который будет отвечать и поддерживать исправную работу техники, компьютерной сети, системного программного обеспечения.

- Целесообразно предварительно  провести обучение сотрудников работе за компьютером, новой программе и новым возможностям, которые она дает.

В-третьих, реально оценить возможности сотрудников и готовность автоматизируемых участков.

В-четвертых, необходимо организовать четкое взаимодействие всех автоматизируемых участков (складов, секций, бухгалтерии) и распределение функций по сотрудникам.

При автоматизации бухучета важно не просто перевести всю  бумажную работу на компьютер. Важно, чтобы  это увеличило эффективность  работы бухгалтерии и улучшило контроль над финансово-хозяйственной деятельностью предприятия, что в свою очередь увеличит эффективность управления предприятием, и, как следствие, эффективность его работы. Таким образом бухгалтер перестает работать исключительно на внешнюю отчетность и начинает более полно влиять на принятие управленческих решений.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Литература

 

 

1. Федеральный Закон в ред.от 10.01.2003г.  № 8-ФЗ «О бухгалтерском учете»// СЗ РФ. 2003.  №4 
2. Быкова Н.В. Автоматизация бухгалтерского учета. Лабораторный практикум. – М.,  2003. – 80с.
3. Глицкий А.Б. Применение автоматизированных систем бухгалтерского учета на предприятии. – М.: Финансы и статистика, 2002. – 320с.
4. Ивлиев М.К. Пошаговая методика обучения автоматизации бухгалтерского учета. – М.: Интеллект-Сервис, 2003. – 123с.
5. Умнова Э.А., Шаниров М.А. Система автоматизированной обработки учетной информации. – М.: Финансы и статистика, 1998. – 246с.
6. Чистов Д.В., Порохина И.Ю., Слукин П.А. Новый план счетов в системе компьютерного учета «1С: Бухгалтерия 7.7». – СПб.: Элби, 2001. – 163с.
7. Королев Ю. Развитие автоматизированной формы учета // Бухгалте<span class