时间:2020-03-11 作者:汪家常 (作者单位:安徽工业大学管理学院会计系)
[大]
[中]
[小]
摘要:
信息时代许多组织都依赖于计算机系统进行着每天的经营活动,如果计算机系统遭到灾难性的破坏,企业不仅可能受到严重的直接损失,而且由于重要经济信息的毁灭,潜在损失更为巨大。美国“9.11”事件的突然发生,严重地中断了美国很多企业的正常商业活动,有的企业会计信息毁灭殆尽,这也给我们一个警示。我国很多企业甚至一些现代化的大企业,会计信息系统的灾难风险防范意识薄弱,只能应对一些局部性灾害或损害。在灾难发生时,有效实施灾难风险的管理,确保会计信息系统的正常运转和企业的正常经营,这一问题必须引起人们的广泛关注。
会计信息系统的灾难风险管理作为企业灾难风险管理的重要组成部分,包括灾难预防和灾难恢复计划两个方面。灾难预防是进行灾难风险管理的最有效措施,它可以防患于未然;灾难恢复计划的制定,可以在灾难发生时,使会计信息系统迅速而有效地恢复,最大限度地降低灾难损失。
一、会计信息系统的灾难预防
会计信息系统的灾难预防是灾难风险管理的第一步。研究结果显示,灾难事件的发生频率为:自然灾害30%、人为破坏45%、人为失误25%。这表明70%的灾难是人为引起的,而这部分灾难是能够通过实施有效的预防措施和安全政策来...
信息时代许多组织都依赖于计算机系统进行着每天的经营活动,如果计算机系统遭到灾难性的破坏,企业不仅可能受到严重的直接损失,而且由于重要经济信息的毁灭,潜在损失更为巨大。美国“9.11”事件的突然发生,严重地中断了美国很多企业的正常商业活动,有的企业会计信息毁灭殆尽,这也给我们一个警示。我国很多企业甚至一些现代化的大企业,会计信息系统的灾难风险防范意识薄弱,只能应对一些局部性灾害或损害。在灾难发生时,有效实施灾难风险的管理,确保会计信息系统的正常运转和企业的正常经营,这一问题必须引起人们的广泛关注。
会计信息系统的灾难风险管理作为企业灾难风险管理的重要组成部分,包括灾难预防和灾难恢复计划两个方面。灾难预防是进行灾难风险管理的最有效措施,它可以防患于未然;灾难恢复计划的制定,可以在灾难发生时,使会计信息系统迅速而有效地恢复,最大限度地降低灾难损失。
一、会计信息系统的灾难预防
会计信息系统的灾难预防是灾难风险管理的第一步。研究结果显示,灾难事件的发生频率为:自然灾害30%、人为破坏45%、人为失误25%。这表明70%的灾难是人为引起的,而这部分灾难是能够通过实施有效的预防措施和安全政策来减轻或避免的。
1、人为灾难的预防。人为灾难的产生可分为人为破坏和人为失误。美国“9.11”事件这样的恐怖事件,造成了许多公司的会计信息系统彻底毁灭,但这类情况是难以事先预防的,只能通过灾难恢复计划来实现恢复。人为灾难的预防重点应放在人为失误上,由于人为失误造成的水灾、火灾等灾难是完全可以通过实施严格的安全管理制度和预防措施来消除的。目前,不少企业在实施会计信息系统时,都建立了一定的安全管理制度,但实际执行却很不严格。笔者在对一些企业的会计信息系统进行评审或检查时,发现会计信息系统的安全管理制度大都停留在表面上,更多的是应付性措施,这一问题必须引起企业领导和各级部门的高度重视。
2、自然灾难的预防。随着人们对一些自然灾害预报能力的增强,风暴、洪水这类灾害来临之前,人们有足够的时间对会计信息系统采取一定的安全预防措施,而对地震、雷电这类难以预料的灾难,只能通过实施灾难恢复计划来实现会计信息系统的全面恢复。
二、会计信息系统的灾难恢复计划
会计信息系统的灾难预防是事先性的,如果预防成功,企业只付出一定的预防成本,损失最小。由于自然灾害和人为破坏的不确定性,百分之百的成功预防是不可能的,但在灾难发生后,实施有效的灾难恢复计划,使灾难的损失减少到最低限度是非常必要的。
美国明尼苏达大学的研究表明,“发生灾难而又没有灾难恢复计划的企业,超过60%以上在两到三年后将退出市场,随着企业对计算机数据处理依赖程度的递增,此比例还有上升的趋势”,因此,企业是否具有会计信息系统的灾难恢复计划,将是企业能否稳定持续经营的重要标志。
会计信息系统的灾难恢复计划应包括三个主要部分:
1、评价会计信息系统对关键资源的需求。
会计信息系统的关键资源是指会计信息系统得以正常运转的最低限度资源。在分析会计信息系统关键资源时,只需要考虑最低硬件、软件配置、必要的会计数据、文档和最少的系统人员,并在灾难恢复计划中进行准确的描述,描述包括硬软件的性能及最低配置要求、会计数据、文档的存放地点、后备人员的能力描述和取得方式。制定好会计信息系统对关键资源的需求计划,可以在恢复会计信息系统时,有计划并迅速地获得这些资源。
2、确定优先恢复的业务。
即使制定了完善而有效的恢复计划,企业在进行灾难恢复时,也不可能全面同时恢复。因此,一般是检查每一个核心业务流程,确定其关键度等级,然后根据关键度等级分配人力、物力和时间,以确保企业的关键业务得到优先恢复。会计信息系统的某些业务活动是非常关键的,如现金收支业务活动应在几小时内恢复,销售业务活动、采购业务活动应在几天内恢复,而其他会计业务活动的恢复则可相对滞后。在灾难恢复计划中,必须按照每项会计业务活动重要程度的先后顺序,明确列示其恢复时间表。
3、灾难恢复策略和步骤。
(1)成立应急处理中心。会计信息系统灾难恢复计划必须明确应急处理中心的地点和预备地点、应急处理中心负责人和预备负责人。当灾难发生时,所有数据处理和计算机管理都纳入应急中心,由应急中心负责人统一指挥,并指导恢复计划的执行。特殊情况下,可启动应急处理中心的预备地点。
(2)切换计划。当灾难发生时,会计信息系统灾难的恢复,最重要的是依靠备份中心及其备份数据。从理论上讲,备份中心和处理中心之间的空间距离越大,同时发生灾难性事故的几率越小,系统的可靠性和安全性就越高。对于一些大企业或重要企业会计信息系统数据,设置同城或异地备份是有必要的。备份中心地点的选择,灾难恢复计划必须明确加以说明。数据备份目前主要有冷备份、暖备份和热备份等几种方式。冷备份适用于会计信息系统数据量不大并采用定期备份的企业,而热备份适用于对会计数据的一致性和完整性要求比较严格,尤其是那些实施ERP(企业资源计划)的大型企业。备份中心地点和备份方式的选择,是会计信息系统灾难恢复计划最为核心的问题。
一般情况下,灾难发生时,备份中心和处理中心之间切换时间越短,丢失的数据越少,系统恢复的效果越佳,灾难事故造成的损失和影响越小。在实时性要求很高的银行系统和股票交易系统中,只有实施动态镜像热备份功能,在系统发生灾难时方可迅速自动切换,保证备份数据和处理数据的一致性和完整性。在一些大型企业中,这种备份和切换方式值得提倡。
(3)人员的重新布置计划。考虑灾难中失去员工的可能性,会计信息系统灾难恢复计划必须应付人员重新布置后可能发生的情况,计划必须谨慎周全,因为许多员工在短期内重新布置是有困难的。因此,在会计信息系统灾难恢复计划中,必须明确日常会计人员全面的会计电算化知识培训计划,以适应不同会计电算化岗位的需要,防患于未然。
(4)抢救计划。在一些灾难中,如果快速采取行动,修复设备和有价值的会计信息是可能的。例如,在飓风中,失去屋顶的建筑物会暴露到大雨中,如果立即采取抢救措施损失有可能减到最小。制定一些不同灾难、不同情况的灾难抢救计划,是会计信息系统灾难恢复计划的重要方面。
(5)测试和维修系统计划。对于制定了会计信息系统灾难恢复计划的企业,由于环境的变化,早期制定的计划,必然会出现不适应或需要调整的地方。因此,每隔一定时间必须对其进行测试,过时的或没有测试的计划在灾难中可能没有任何效果。测试一般要考虑方案的选择、时间的选择、频度的选择等几个问题,以对正常业务的影响最小为宜。
三、会计信息系统的灾难风险管理成本
会计信息系统风险管理成本包括两个方面:风险预防成本和灾难恢复计划成本。据国外有关资料估计,最初的灾难恢复计划的成本可能达到整个信息系统预算的2%到10%。一般情况下,投入的风险预防成本和灾难恢复计划成本越大,未来的灾难损失越小。为了减少停业时间及停业损失,必须投入较多的灾难恢复成本和预防成本,当灾难造成的停业时间在某一时点时,企业的总成本最小。但是要做到以投入恰当的灾难风险管理成本来得到最优化的停业时间,是非常困难的。因此,企业往往愿意投入较多的风险管理成本,以获得较小停业时间,因为潜在的停业损失是很难估计的,停业对企业的影响可能是长远的。
由于灾难恢复计划的实施是比较复杂的,国外的一些公司投入的费用也越来越多,很多小的公司即使投入较多的财力,靠自身的技术力量也很难支撑此项计划,再加上此项计划的实际使用只是偶然的,因此,寻求专门的服务机构提供特定的灾难恢复服务,是这些公司的最佳选择。
美国有不少提供灾难恢复服务的公司,主要有Comdis-co、IBM和Sungard、Tucker Anthony等。例如,Comdisco专门按月租用热地点,公司支持一个国际性的由卫星连在一起的热地点的灾难恢复网络。IBM的灾难恢复部门提供全方位的服务,包括各种服务及硬件,如恢复网络、便携式电脑、台式电脑,并提供临时的工作空间等,在2000年,IBM的总收入为880亿美元,其中灾难恢复服务的收入占了1/3。
四、结论
目前,我国除了金融、证券行业对会计信息系统的灾难恢复计划给予了高度重视外,一般企业,即使一些大型企业的灾难恢复意识仍很淡薄,为此必须提请注意以下几个问题:
1、加强企业的灾难危机意识,制定必要的灾难恢复计划。强化企业高层领导的灾难危机意识,是会计信息系统灾难恢复计划制定的关键,灾难恢复计划必须由企业最高的层次来实行,明确该计划制定的责任部门,使之作为基本计算机安全系统的一部分,尤其企业在建立新的会计信息系统时,灾难恢复计划必须作为一个重要内容加以考虑。
2、增强软件(会计软件、ERP软件)供应商提供必要的灾难恢复服务的能力。我国目前专门从事灾难恢复服务的公司较少,会计软件或ERP软件供应商对会计信息系统的特性较为熟悉,由他们提供一定的灾难恢复服务,既可降低企业的灾难风险管理成本,又可解决我国企业灾难风险管理技术力量不足的问题,最符合我国国情。
3、制定相应的制度或法规,确保灾难恢复计划的有效性。由于会计信息的重要性,财政部门可以制定会计信息系统灾难恢复计划规范,从而保证灾难恢复计划的有效执行。
责任编辑 王教育
相关推荐