資金安全系統架構的設計
設計資金安全框架,制定資金安全策略、建立資金安全管理機制,只是實施資金安全系統的第一步,只有當各級組織機構都能嚴格執行資金安全的各項規定,認真維護各自負責的分系統的資金安全,才能保證資金的整體安全。
一、資金安全建設原則
一個所謂的資金安全系統實際上應該是“使入侵者花費不可接受的成本和風險才能闖入”的系統,它與資金的規模、結構、應用業務的程式、功能和實現方式密切相關。一個好的安全設計應該結合現有資金和業務的特點,充分考慮發展的需求。資金安全系統應根據企業的總體規劃,有關建設原則和技術規範,做出資金安全系統總體設計規劃,並提出解決方案,以期解決資金的主要安全風險,最大限度發揮資金效能。一方面,總體規劃可以全面分析資金系統存在的安全風險,並指導安全工程的一次性或分步實施;另一方面,結合安全總體規劃,考慮資金系統發展的需求,能使人們的安全投入不會因為系統、資金和業務的發展而不適應,造成投資浪費。資金安全系統應包括資金的籌集、儲存和使用等各個方面。
(一)完整性原則
資金安全建設必需保證整個防禦系統的完整性。一個較好的安全措施往往是多種方法適當綜合的應用結果。單一的安全措施對安全問題的發現、處理、控制等能力各有優劣,從安全性的角度考慮,需要不同安全措施之間的安全互補,通過這種對照、比較,可以提高系統對安全事件響應的準確性和全面性。
(二)動態性原則
威脅攻擊技術的發展,使資金安全變成了一個動態的過程,靜止不變的安全機制根本無法適應資金安全的需要。所選用的安全措施必須及時地、不斷地改進和完善,適時進行技術和裝置的升級換代,只有這樣才能保證系統的安全性。
(三)專業性原則
攻擊技術和防禦技術是資金安全的一對矛盾體,兩種技術從不同角度不斷地對系統的安全提出了挑戰。“知己知彼、百戰不殆”,只有同時掌握了這兩種技術才能對系統的安全有全面的認識,才能提供有效的安全技術及服務,這就需要資金管理人員及相關人員要擁有紮實的專業技術,並能長期的進行技術研究、積累。
(四)可控性原則
安全系統的任何一個環節都應有很好的可控性,而這一點也是安全的核心,這就要求安全措施本身具有安全性和針對性。換言之,一項不易控制的技術或措施,其本身就是不安全的'。
(五)可操作性原則
安全措施要由人來完成,如果措施過於複雜,對人的要求過高,一般人員難以勝任,有可能降低系統的安全性。
二、常見的資金安全隱患
常見的資金安全隱患大致有以下幾個方面:
1.物理安全。物理安全包括環境安全、裝置安全。包含了資金以及資金資料在物理介質中儲存和傳輸的安全性、可靠性和完整性。因此,要採取措施提高介質的安全級別。如許多企業在財務辦公場所和重要物質的存放地安裝較高級別的防火防盜裝置,在辦公自動化和網路支付條件下,不斷升級計算機加密軟體等。
2.“黑客”入侵。資金“黑客”一直處心積慮地找尋資金管理系統的漏洞,伺機攻擊,一旦成功,將帶來巨大的損失。這裡的“黑客”是相對資金系統而言,可以來自企業的外部和內部。“黑客”行為非法,採用自外向裡的侵犯路徑,目的為佔用企業合法資金。比如,外來人員的搶、盜、騙行為,內部人員挪用公款、截留收入,套取現金、變賣裝置等行為。
3.資金“洩漏”。各類資金連線的專案眾多、關係縱橫交錯,結成龐大的資金關係網本身難免安全薄弱環節,有可能造成資金自內向外的“洩漏”,遊離到安全系統之外。這實質上是資金安全系統本身的隱患,包括設計隱患、建設隱患、使用隱患。如有些單位的資金審批制度不健全,一些重大投資專案也由一人說了算,最後導致投資失敗,資金外流,損失重大。有些單位預算專案與實際執行的專案不銜接,不按規定專款專用,專項核算,也會使得管理混亂,為懈怠、瀆職、腐朽等提供方便。
三、資金安全框架
資金安全系統由三部分組成,即資金安全保證系統、資金安全監察系統、資金安全評價系統。
1.資金安全保證系統,是保證資金可靠完成企業各項任務的系統工程。對資金的安全負有具體的實施、完成職責。系統內容包括:對相關人員的教育:決策、指揮工作;各崗位的職責:相應的規章制度;物理環境安全;儘可能採用先進的裝置和技術;可靠地進行資金及其相關資訊的管理;保證符合相關的法律法規:適時組織安全檢查;制訂、落實反事故措施等。
2.資金安全監察系統,是監督、監察安全保證系統在完成任務的全過程中。是否嚴格遵守各種安全法規及規章制度,是否保證了資金過程的安全可靠的獨立系統,對資金安全負有監督、監察的職責。系統內容包括:深入工作現場進行監督、檢查,及時發現問題;督促有關部門及時整改;監督、檢查各單位認真貫徹、執行各項規章制度:落實各項規章制度的修訂、審批工作;參加事故調查,提出處理和整改意見,並督促落實:及時進行事故通報;及時向相關部門報告。
3.資金安全評價也稱危險度評價或風險評價。安全評價是以實現資金安全為目的,應用安全系統工程原理和方法,對系統中存在的危險因素、有害因素進行辨識與分析,判斷系統發生事故和危害的可能性及其嚴重程度,從而尋求最低事故率、最少損失和最優的安全投資效益的最優方案,系統地從計劃、渠道、應用、維護等全過程進行觀測,建立以量化指標為主的評價指標系統,設定合理的“警戒線”,為管理決策提供科學依據。
資金安全的保證、監察、評價雖然是在同一領導、同一決策、同一指導方針下為資金的安全開展的工作,但在各項工作上都有自身的特點和側重面。所以,不能將它們混為一談,否則將會造成分工不明,職責不清的狀況。
四、資金安全策略
在整體框架內,遵循資金安全建設原則,在實施時採用如下策略:
1.使用不同等級的安全措施進行整合,在不同的資金環境使用與之相應等級的安全措施,普通資金與重要資金要分別管理,如對職工借款和對在建工程的預付款,安全等級就不同,採用的審批程式等管理措施也不同。
2.採用有效的預警方案,及時提供必要的安全響應和提示,最大程度的保護企業資金安全,如對應收賬款餘額設定“警戒線”。
3.採用可分級、分佈、集中管理並可進行互動的管理控制模式。由於資金和系統的複雜性,對其管理控制提出了更高的
要求,不僅要進行集中、分佈的管理控制,還要採用能夠進行分級的管理控制以適應大規模資金的需要,同時不同型別資金之間應能夠進行有效的互動,以提高系統的防禦能力。在分級核算、管理的企業和一些分權管理的大型公司,這項策略尤為重要。
4.在選擇安全措施時需要保證符合相應的法規,尤其是相關的資金安全標準。如制訂企業內部資金管理辦法,必須符合國家有關國有資金的管理法規、以及內部控制規範等財經法規的規定。
5.隨著計算機網路技術的普及,企業資金管理越來越依靠計算機系統,但在承擔安全保證任務上,即便是最好的、最值得信賴的計算機系統,也不能完全取代人的作用,因此必須建立完備的安全組織和管理制度。對涉及資金及其資料的人員,要在任職條件、聘用程式、專業勝任能力的保持等方面,做出詳細規定,尤其是要明確在企業資金活動中每個人的職責,並保證每個人的權力都會受到不同程度的監督和約束。
五、資金安全管理機制
資金系統的安全管理主要基於三個原則:
1.多人負責原則。每項與資金安全有關的活動都必須有兩人或多人蔘與,對重大資金活動,必須有一個權責明晰的決策群體負責。
2.任期有限原則。一般地講,任何人最好不要長期擔任與資金安全有關的職務,以免誤認為這個職務是專有的或永久性的。所以除了會計人員輪崗制度,還應制定相關決策層人員的輪換制度。
3.職責分離原則。在資金處理系統工作的人員不要參與職責以外、與安全有關的事情。如出納人員不應參與採購、投資等資金應用的決策、運作,這也是內部控制中職務不相容原則的細化。
資金系統的安全管理部門應根據管理原則和該系統處理資料的保密性,制訂相應的管理制度或採用相應規範,其具體工作是:(I)確定各類資金的安全等級及安全管理的範圍。(2)制訂相應的出入管理制度。對安全等級要求較高的系統,要實行分割槽控制,限制工作人員出入與自己工作無關的區域。如非出納人員不得擅自接觸保險箱。(3)制訂嚴格的操作規程。操作規程要根據職責分離和多人負責的原則,各負其責,不能超越自己的管轄範圍。如驗收、登記裝置時的程式要求。(4)制訂完備的資金安全系統檢查維護制度。對檢查維護的內容和維護前後的情況要詳細記錄,如發現資金異動,要分析原因,提出改進或解決的辦法。(5)制訂應急措施。要制訂在緊急情況下,如何儘快恢復的應急措施,使損失減至最小。如制定丟失票據時的處理辦法。(6)建立人員僱用和解聘制度,對工作調動和離職人員要及時調整相應的授權。(7)加強對資金使用者的培訓,只有當員工對資金安全性都有了深入瞭解後,才能真正降低資金系統的安全風險。所以,有計劃、有目的地進行財會知識的宣傳,是建立資金安全環境的重要舉措。
