资金安全系统架构的设计
设计资金安全框架,制定资金安全策略、建立资金安全管理机制,只是实施资金安全系统的第一步,只有当各级组织机构都能严格执行资金安全的各项规定,认真维护各自负责的分系统的资金安全,才能保证资金的整体安全。
一、资金安全建设原则
一个所谓的资金安全系统实际上应该是“使入侵者花费不可接受的成本和风险才能闯入”的系统,它与资金的规模、结构、应用业务的程序、功能和实现方式密切相关。一个好的安全设计应该结合现有资金和业务的特点,充分考虑发展的需求。资金安全系统应根据企业的总体规划,有关建设原则和技术规范,做出资金安全系统总体设计规划,并提出解决方案,以期解决资金的主要安全风险,最大限度发挥资金效能。一方面,总体规划可以全面分析资金系统存在的安全风险,并指导安全工程的一次性或分步实施;另一方面,结合安全总体规划,考虑资金系统发展的需求,能使人们的安全投入不会因为系统、资金和业务的发展而不适应,造成投资浪费。资金安全系统应包括资金的筹集、存储和使用等各个方面。
(一)完整性原则
资金安全建设必需保证整个防御系统的完整性。一个较好的安全措施往往是多种方法适当综合的应用结果。单一的安全措施对安全问题的发现、处理、控制等能力各有优劣,从安全性的角度考虑,需要不同安全措施之间的安全互补,通过这种对照、比较,可以提高系统对安全事件响应的准确性和全面性。
(二)动态性原则
威胁攻击技术的发展,使资金安全变成了一个动态的过程,静止不变的安全机制根本无法适应资金安全的需要。所选用的安全措施必须及时地、不断地改进和完善,适时进行技术和设备的升级换代,只有这样才能保证系统的安全性。
(三)专业性原则
攻击技术和防御技术是资金安全的一对矛盾体,两种技术从不同角度不断地对系统的安全提出了挑战。“知己知彼、百战不殆”,只有同时掌握了这两种技术才能对系统的安全有全面的认识,才能提供有效的安全技术及服务,这就需要资金管理人员及相关人员要拥有扎实的专业技术,并能长期的进行技术研究、积累。
(四)可控性原则
安全系统的任何一个环节都应有很好的可控性,而这一点也是安全的核心,这就要求安全措施本身具有安全性和针对性。换言之,一项不易控制的技术或措施,其本身就是不安全的。
(五)可操作性原则
安全措施要由人来完成,如果措施过于复杂,对人的要求过高,一般人员难以胜任,有可能降低系统的安全性。
二、常见的资金安全隐患
常见的资金安全隐患大致有以下几个方面:
1.物理安全。物理安全包括环境安全、设备安全。包含了资金以及资金数据在物理介质中存储和传输的安全性、可靠性和完整性。因此,要采取措施提高介质的安全级别。如许多企业在财务办公场所和重要物质的存放地安装较高级别的防火防盗设备,在办公自动化和网络支付条件下,不断升级计算机加密软件等。
2.“黑客”入侵。资金“黑客”一直处心积虑地找寻资金管理系统的漏洞,伺机攻击,一旦成功,将带来巨大的损失。这里的“黑客”是相对资金系统而言,可以来自企业的外部和内部。“黑客”行为非法,采用自外向里的侵犯路径,目的为占用企业合法资金。比如,外来人员的抢、盗、骗行为,内部人员挪用公款、截留收入,套取现金、变卖设备等行为。
3.资金“泄漏”。各类资金连接的项目众多、关系纵横交错,结成庞大的资金关系网本身难免安全薄弱环节,有可能造成资金自内向外的“泄漏”,游离到安全系统之外。这实质上是资金安全系统本身的隐患,包括设计隐患、建设隐患、使用隐患。如有些单位的资金审批制度不健全,一些重大投资项目也由一人说了算,最后导致投资失败,资金外流,损失重大。有些单位预算项目与实际执行的项目不衔接,不按规定专款专用,专项核算,也会使得管理混乱,为懈怠、渎职、腐朽等提供方便。
三、资金安全框架
资金安全系统由三部分组成,即资金安全保证系统、资金安全监察系统、资金安全评价系统。
1.资金安全保证系统,是保证资金可靠完成企业各项任务的系统工程。对资金的安全负有具体的实施、完成职责。系统内容包括:对相关人员的教育:决策、指挥工作;各岗位的职责:相应的规章制度;物理环境安全;尽可能采用先进的设备和技术;可靠地进行资金及其相关信息的管理;保证符合相关的法律法规:适时组织安全检查;制订、落实反事故措施等。
2.资金安全监察系统,是监督、监察安全保证系统在完成任务的全过程中。是否严格遵守各种安全法规及规章制度,是否保证了资金过程的安全可靠的独立系统,对资金安全负有监督、监察的职责。系统内容包括:深入工作现场进行监督、检查,及时发现问题;督促有关部门及时整改;监督、检查各单位认真贯彻、执行各项规章制度:落实各项规章制度的'修订、审批工作;参加事故调查,提出处理和整改意见,并督促落实:及时进行事故通报;及时向相关部门报告。
3.资金安全评价也称危险度评价或风险评价。安全评价是以实现资金安全为目的,应用安全系统工程原理和方法,对系统中存在的危险因素、有害因素进行辨识与分析,判断系统发生事故和危害的可能性及其严重程度,从而寻求最低事故率、最少损失和最优的安全投资效益的最优方案,系统地从计划、渠道、应用、维护等全过程进行观测,建立以量化指标为主的评价指标系统,设定合理的“警戒线”,为管理决策提供科学依据。
资金安全的保证、监察、评价虽然是在同一领导、同一决策、同一指导方针下为资金的安全开展的工作,但在各项工作上都有自身的特点和侧重面。所以,不能将它们混为一谈,否则将会造成分工不明,职责不清的状况。
四、资金安全策略
在整体框架内,遵循资金安全建设原则,在实施时采用如下策略:
1.使用不同等级的安全措施进行集成,在不同的资金环境使用与之相应等级的安全措施,普通资金与重要资金要分别管理,如对职工借款和对在建工程的预付款,安全等级就不同,采用的审批程序等管理措施也不同。
2.采用有效的预警方案,及时提供必要的安全响应和提示,最大程度的保护企业资金安全,如对应收账款余额设定“警戒线”。
3.采用可分级、分布、集中管理并可进行互动的管理控制模式。由于资金和系统的复杂性,对其管理控制提出了更高的
要求,不仅要进行集中、分布的管理控制,还要采用能够进行分级的管理控制以适应大规模资金的需要,同时不同类型资金之间应能够进行有效的互动,以提高系统的防御能力。在分级核算、管理的企业和一些分权管理的大型公司,这项策略尤为重要。
4.在选择安全措施时需要保证符合相应的法规,尤其是相关的资金安全标准。如制订企业内部资金管理办法,必须符合国家有关国有资金的管理法规、以及内部控制规范等财经法规的规定。
5.随着计算机网络技术的普及,企业资金管理越来越依靠计算机系统,但在承担安全保证任务上,即便是最好的、最值得信赖的计算机系统,也不能完全取代人的作用,因此必须建立完备的安全组织和管理制度。对涉及资金及其数据的人员,要在任职条件、聘用程序、专业胜任能力的保持等方面,做出详细规定,尤其是要明确在企业资金活动中每个人的职责,并保证每个人的权力都会受到不同程度的监督和约束。
五、资金安全管理机制
资金系统的安全管理主要基于三个原则:
1.多人负责原则。每项与资金安全有关的活动都必须有两人或多人参与,对重大资金活动,必须有一个权责明晰的决策群体负责。
2.任期有限原则。一般地讲,任何人最好不要长期担任与资金安全有关的职务,以免误认为这个职务是专有的或永久性的。所以除了会计人员轮岗制度,还应制定相关决策层人员的轮换制度。
3.职责分离原则。在资金处理系统工作的人员不要参与职责以外、与安全有关的事情。如出纳人员不应参与采购、投资等资金应用的决策、运作,这也是内部控制中职务不相容原则的细化。
资金系统的安全管理部门应根据管理原则和该系统处理数据的保密性,制订相应的管理制度或采用相应规范,其具体工作是:(I)确定各类资金的安全等级及安全管理的范围。(2)制订相应的出入管理制度。对安全等级要求较高的系统,要实行分区控制,限制工作人员出入与自己工作无关的区域。如非出纳人员不得擅自接触保险箱。(3)制订严格的操作规程。操作规程要根据职责分离和多人负责的原则,各负其责,不能超越自己的管辖范围。如验收、登记设备时的程序要求。(4)制订完备的资金安全系统检查维护制度。对检查维护的内容和维护前后的情况要详细记录,如发现资金异动,要分析原因,提出改进或解决的办法。(5)制订应急措施。要制订在紧急情况下,如何尽快恢复的应急措施,使损失减至最小。如制定丢失票据时的处理办法。(6)建立人员雇用和解聘制度,对工作调动和离职人员要及时调整相应的授权。(7)加强对资金用户的培训,只有当员工对资金安全性都有了深入了解后,才能真正降低资金系统的安全风险。所以,有计划、有目的地进行财会知识的宣传,是创建资金安全环境的重要举措。
【资金安全系统架构的设计】相关文章: