به پرتال ثبت شرکت ارشیا خوش آمدید امروز : جمعه ، 24 اسفند 1403
ثبت شرکت

جستجو در سایت

پلمپ دفاتر 1396

انجمن ثبت شرکت ایران

ثبت شرکت در سراسر ایران :
موضوع مناسب برای ثبت شرکتها

سایر امور ثبتی :
ثبت برند در تهران
سایر محلات تهران

امنیت در سیستمهای اطلاعاتی حسابداری

  ثبت محدود- ثبت تعاونی- تغییرات - ثبت شرکت –تغییرات خاص –تغییرات محدود – صورتجلسات – پلمپ دفاتر
صرفه جویی در زمان و هزینه با ثبت شرکت ارشیا

 

امنیت در سیستمهای اطلاعاتی حسابداری


مقدمه
امروزه یکی از شاخه‌های تخصصی حسابداری، طراحی سیستمهای اطلاعاتی حسابداری است. مدیریت جهت تصمیم‌گیری‌‌ راهبردی، نیازمند اطلاعاتی می‌باشد که عموماً به‌وسیله سیستمهای اطلاعاتی حسابداری فراهم می شود (پورحیدری، 1385). کار سیستمهای اطلاعاتی، پردازش داده‌ها است؛ اما گاه چنین تصور می‌شود که در سیستمهای اطلاعاتی سازمانها آنچه روی می‌دهد، صرفاً پردازش ساده داده‌های خام و اولیه رویدادهای مالی و غیرمالی موثر بر فعالیتهای سازمان است. اما واقعیت این است که سطوح مختلف مدیران با مسائل متنوعی درگیرند که به‌لحاظ پیچیدگی شیوه‌های حل مسئله در درجات متفاوتی قرار دارند و نوع سیستمهایی که می‌توانند به حل این مجموعه متنوع کمک کنند، در طیفی از نظامهای اطلاعاتی متعارف گذشته‌نگر تا سیستمهای هوشمند آینده‌نگر قرار دارند که بحث برقراری امنیت در آن سیستمها درخور توجه است (عرب‌مازار، 1385).
کنترل سیستمهای اطلاعاتی، به‌ویژه در مواردی که این سیستمها از ایمنی کافی بر خوردار نباشد، امری ضروری است، چرا که خطراتی که این سیستمها را می‌تواند تهدید کند، بسیار زیاد است (آریا، 1380). در شرکتها و سازمانهایی که امنیت سیستمهای اطلاعاتی آن ضعیف است، خطر نفوذ به آن سیستم و دستکاری اطلاعات آن زیاد و خسارتهای وارد می‌تواند غیرقابل جبران باشد. نیاز به ایمنی اطلاعات ایجاب می‌کند که پیش‌بینی‌های لازم توسط مدیریت صورت گیرد تا اطلاعات سیستم از ایمنی مناسبی برخوردار و اطلاعات آن قابل‌ اتکا باشد. تاکنون تحقیقات زیادی در مورد نقش و اهمیت سیستمهای اطلاعاتی حسابداری در تصمیم‌گیری‌ و همچنین کیفیت اطلاعات در کارایی تصمیم‌گیری‌ انجام شده که همگی گویای نقش پر رنگ آن در عرصه تصمیم‌گیری‌‌های اقتصادی مدیران است. از آنجایی که اهمیت برقراری امنیت سیستمهای اطلاعاتی در پردازش اطلاعات مالی روزبه‌روز افزایش می‌یابد، موضوع امنیت در سیستمهای اطلاعاتی حسابداری و ایجاد آن در سازمانها و شرکتها، جایگاه ویژه‌ای را در بین مدیران، حسابداران و حسابرسان به‌وجود آورده است.

مفهوم سیستم
سیستم مجموعه‌ای از عناصر است که برای رسیدن به یک هدف مشخص و مشترک گرد هم آمده‌اند، به‌طوری که بین این عناصر یک رابطه تعاملی وجود دارد. ویژگی بعدی سیستم، وجود نظم در روابط بین عناصر است؛ به این معنا که هر عنصری دارای یک نقش می‌باشد (سجادی و طباطبائی‌نژاد، 1385). به بیان دیگر سیستم مجموعه منظمی از عناصر به هم وابسته است که برای رسیدن به اهدافی مشترک با هم در تعاملند (مانند سیستم حسابداری، سیستم اطلاعاتی مدیریت، سیستم بانک اطلاعاتی).
اما هر سیستم دارای ساختاری است که موارد زیر را در بر می‌گیرد:
1- دروندادها1 (اطلاعات ورودی)،
2- بروندادها2 (نتایج بدست آمده از اطلاعات)، و
3- فرایندها و تبدیلها3 (تجزیه‌وتحلیل اطلاعات).
حسابداری نیز یک سیستم اطلاعاتی است که به‌وسیله آن اطلاعات مربوط به فعالیتهای مالی شناسایی، ثبت، طبقه‌بندی و تلخیص می‌گردد تا به‌منظور فراهم کردن ا مکان قضاوت و تصمیم‌گیری‌ آگاهانه در اختیار استفاده‌کنندگان قرار گیرد. براساس این دیدگاه و مطابق نمودار 1، حسابداری به مثابه یک سیستم اطلاعاتی، تمامی اجزای یک سیستم را دارد.
نمودار 1 سیستم اطلاعات حسابداری



ورودی سیستم اطلاعاتی حسابداری، اطلاعات مربوط به رویدادهای مالی است که با انجام عملیات حسابداری بر روی آنها، گزارشهای مالی مورد نیاز تهیه و در اختیار استفاده‌کنندگان قرار می‌گیرد.

سیستم اطلاعات حسابداری4
حسابداری یک سیستم اطلاعاتی است که تصمیم‌گیری‌ را تسهیل می‌بخشد. هورنگرن (Horngren, 1972) با تاکید بر حسابداری مدیریت، چنين بیان می‌دارد: "حسابداری مدیریت به‌عنوان اصلی‌ترین ارائه کننده اطلاعات برای تصمیم‌گیری‌ مدیران، باید جهت تعیین اینکه چه اطلاعاتی برای سطوح مختلف مدیریت نیاز است، بر فرایند تصمیم‌گیری‌ تمرکز نماید" (پورحیدری، 1385).
انجمن حسابداری امریکا5 از سیستم اطلاعات حسابداری به‌عنوان پشتیبان تصمیم‌گیری‌ مدیران حمایت نموده و بیان می‌دارد: "سیستم اطلاعات حسابداری بخشی از سیستم اطلاعاتی است که به جمع‌آوری، پردازش، طبقه‌بندی، تلخیص،... داده‌ها به‌منظور ارائه اطلاعات به تصمیم‌گیرندگان درون‌سازمانی می‌پردازد" (

AAA,1974).
تلاش جهت توسعه سیستمهای اطلاعاتی با توجه به فرایند تصمیم‌گیری‌ در حسابداری، توسط محققان زیادی از جمله سیمون (Simon, 1957)، دپوک و دمسکی (Dopuch & Demski, 1970) و فلتهام (Feltham) صورت گرفته است. محققان در مطالعه‌ای کلاسیک با عنوان «تمرکز در مقابل عدم تمرکز»، نیاز به سیستمهای اطلاعاتی با توجه به فرایندهای تصمیم‌گیری‌ را مورد بحث قرار داده‌اند. عده‌ای از محققان نیز به ارتباط بین فرایند تصمیم‌گیری‌ و سیستمهای اطلاعاتی توجه نموده و بررسی‌های خود را در این زمینه انجام داده‌اند. در رابطه با ارتباط بین فرایند تصمیم‌گیری‌ و سیستمهای اطلاعاتی، کاپلان (1966 ,Caplan) اظهار داشته است که "حسابداری یک سیستم اطلاعاتی است که به‌عنوان یک بخش مجزا از فرایند تصمیم‌گیری‌ عمل می‌نماید".
از آنجایی که سیستم اطلاعات حسابداری بر شناخت و درک چگونگی وظایف سیستم حسابداری شامل شیوه‌های گرداوری داده‌های مربوط به فعالیتها و رویدادهای مالی سازمان و شیوه تبدیل داده‌ها به اطلاعاتی که مدیریت می‌تواند آنها را در سازمان مورد استفاده قرار دهد و شیوه حصول اطمینان از قابلیت دسترسی و اتکای به آن اطلاعات تاکید می‌کند، یکی از حیاتی‌ترین و اساسی‌ترین سیستمهای یک سازمان به‌شمار می‌رود (Davis, 1997).
سیستم اطلاعات حسابداری، سیستمی است که از طریق آن می‌توان اطلاعات صورتهای مالی را گرداوری و تنظیم کرد و در اختیار استفاده‌کنندگان از آن قرار داد. لذا کارایی سیستمهای اطلاعات حسابداری به کیفیت اطلاعات ارائه شده آن و به بهره‌برداری مناسب مدیریت از آن بستگی دارد. هر گونه ضعف و نبود کارایی و امنیت در سیستمهای اطلاعات حسابداری، کاهش کارایی، بازدهی و مشکلات بیشماری را در امر برنامه‌ریزی و تصمیم‌گیری‌ به دنبال خواهد داشت (میرمجربیان و شهشهانی، 1385).
سازمان در ابتدا باید اهمیت سیستم اطلاعات حسابداری و با کفایت بودن آن را درک نماید تا بتواند برای آن امنیت ایجاد کند. چارچوب و مفروضاتی که توسط متخصصان امر برای سیستمهای اطلاعات حسابداری ارائه می‌شود، باید امنیت را در آن لحاظ و پیش‌بینی نمایند تا اطلاعات آن برای استفاده‌کنندگان اطلاعات، مناسب، مفید و معتبر باشد. اگر امنیت در سیستمهای اطلاعات حسابداری کافی نباشد، این سیستم نمی‌تواند اطلاعات قابل اتکایی را برای نیازمندان داخلی و خارجی تهیه نماید؛ چون ممکن است در غیاب امنیت، اطلاعات تحریف و دستکاری شوند و این موضوع به عدم اطمینان و اتکای اطلاعات در گزارشهای مالی منجر خواهد شد.
امروزه حسابرسان نقش مهمی را در ایجاد اطمینان برای استفاده‌کنندگان از اطلاعات ایفا می‌نمایند. بخشی از اطمینان‌دهی حسابرسان باید از طریق بررسی امنیت سیستمهای اطلاعات حسابداری باشد. حسابرسان آگاهند که بدون ایجاد امنیت در سیستمهای اطلاعات حسابداری، مدیران قادر به ارائه اطلاعات درست و قابل اتکا نخواهند بود. زيرا ممکن است گزارشـــهای مالی به علت نبود امنیت در سیستمهای حســــابداری مورد تحریف و دستکاری قرار گیرد. البته حسابرســـان داخلی نیز می‌توانند در برقــراری امنیت در سیستمهـــای اطلاعات حســــابداری نقش مهمی داشته باشند، زیرا آنها به‌طور مستقیم مسئــولیت کمک به مدیریت شــرکت به‌منظور بهبود کارایی و اثربخشــی ســـازمان را بر عهده دارند. بخشی از این مسئــولیت، شــــامل کمک به طراحـــی و اجـــرای سیستمهای اطلاعات حســـابداری است.
به تازگی «بنیاد کنترل و حسابرسی سیستمهای اطلاعاتی»6 اهداف کنترل اطلاعات و فناوری مربوط را تعیین کرده است. این اهداف چارچوبی کاربردی برای امنیت سیستمهای اطلاعاتی فراهم می‌کنند. این چارچوب اجازه می‌دهد که اقدامات زیر انجام گیرد (سجادی و طباطبائی‌نژاد، 1385):
1- مدیریت معیارهای امنیتی و کنترلی لازم را برای محیط فناوری اطلاعاتی طراحی کند،
2- کاربران خدمات فناوری اطلاعات، اطمینان حاصل کنند که امنیت کافی و کنترل لازم وجود دارد، و
3- حسابرسان نظر خود را در مورد کنترلهای داخلی بیان کرده و پیشنهادی لازم را درباره امنیت فناوری اطلاعاتی و موضوعهای کنترلی ارائه کنند.

امنیت اطلاعات
در فرهنگ لغت، امنیت به معنی رهایی از خطر، وجود ایمنی، رهایی از ترس یا نگرانی است.
واژه «امنیت اطلاعات» به معنی حفاظت از اطلاعات و سیستمهای اطلاعاتی در مقابل دستیابی و استفاده غیرمجاز از آن می‌باشد (صفائی، 1383).
نتیجه کار و محصول اصلی سیستمهای کامپیوتری، اطلاعات است. برای یک واحد تجاری، این محصول اطلاعات مالی است؛ زیرا اطلاعات مالی نمونه‌ای از محصول تولیدشده به‌وسیله سیستم اطلاعات حسابداری است. امنیت پردازش معاملات حسابداری، یک موضوع مهم است. از این‌رو، حسابداران به دانش و آگاهی درباره تهدیدات و خطراتی که مربوط به امنیت کامپیـوتر مـی‌شود نیاز دارنـد (Davis, 1997).
نبود امنیت اطلاعات باعث ایجاد نگرانی و دلواپسی عمده برای سازمانها و واحدهای تجاری و غیرتجاری شده است. لذا حسابداران و مدیران باید با انواع خطرات و تهدیدات امنیتی به‌منظور حراست و نگهداری از برنامه‌های کاربردی و اطلاعات موجود در کامپیوترهایی که استفاده می کنند، آشنا باشند (Daily, 2000). بدین منظور، حسابداران و مدیران باید به‌طور صحیح با مهندسان و متخصصان امر در خصوص برقراری امنیت در اطلاعات موجود در سیستم کامپیوتری خود و با انواع متفاوت خطرات و تهدیدهای امنیتی گوناگون مشاوره کنند، زیرا انواع تهدیدها و خطرات برای سیستم اطلاعاتی به موازات پیشرفت سریع فناوری اطلاعات در حال تغییر و تحول می‌باشد. به‌همین دلیل، حسابرسان همواره تاکید دارند که نیاز برای افزایش امنیت سیستمهای اطلاعات حسابداری بر طبق آخرین تغییرات و پیشرفتهای فناوری الزامی است (Davis, 1997).

اهداف امنیتی در سیستمهای اطلاعاتی
ایجاد امنیت در سیستمهای اطلاعاتی، به‌منظور تامین هدفهای زیر می‌باشد:
الف- کامل بودن اطلاعات7: اطلاعات قابل اتکا، اطلاعاتی است که جامع و کامل و بدون خدشه باشد. بنابراین اطلاعات نباید قابل دستکاری توسط افراد غیرمجاز باشد. بدین منظور باید از اطلاعات در برابر خطر اعمال هر گونه تغییر شامل افزودن، کاستن یا آلوده کردن یا شدن غیرمجاز تصادفی یا عمدی، محافظت شود.
ب- محرمانه بودن اطلاعات8: اشخاص حقیقی یا حقوقی غیرمجاز نباید بتوانند اطلاعات را در اختیار گیرند و درمعرض استفاده نامشروع قرار دهند.
ج- استفاده مجاز از اطلاعات9: اطلاعات تنها باید برای به‌کارگیری در راههای مجاز، توسط اشخاص مجاز استفاده شود. بنابراین هر کاربر تنها اجازه دارد اطلاعات را در حدی که مجاز است، دریافت و برای کاربردهای خاص در اختیار گیرد.
د- در دسترس بودن اطلاعات10: اطلاعات باید به‌موقع و به‌سرعت در اختیار کاربران مجاز قرار گیرد. کاربر مجاز باید بتواند در زمانی که به اطلاعات نیاز دارد به آن دسترسی داشته باشد (آریا، 1380).
بنابراین، مدیران هر سازمان باید اطمینان حاصل نمایند که سازمان از طریق موارد زیر برای سیستمهای اطلاعاتی امنیت اطلاعاتی ایجاد کرده است (Daily, 2000):
1- ارزیابی احتمال خطر و میزان زیانی که می‌تواند ناشی از دستیابی، استفاده، اختلال، اصلاح یا نابودی غیرمجاز چنین اطلاعات یا سیستمهای اطلاعاتی باشد،
2- تعیین سطوح امنیت اطلاعاتی متناسب جهت پیشگیری از آسیب چنین اطلاعات و سیستم اطلاعاتی بر طبق استانداردها،
3- اجرای سیاستها و روندهایی برای کاهش هزینه‌های خطر تا یک سطح قابل‌قبول، و
4- آزمایش و ارزیابی تکنیکها و کنترلهای امنیت اطلاعات برای اطمینان حاصل کردن از اینکه آنها به‌طور موثری انجام می‌شوند.

حمله به اطلاعات
مدیران همواره باید مطلع باشند که راههای زیادی وجود دارد تا برای اطلاعات و سیستمهای کامپیوتری سازمان اتفاقات ناگواری رخ دهد. برخی از این اتفاقات از روی عمد و آگاهانه صورت می‌گیرند و برخی هم به‌طور تصادفی و غیرعمدی حادث می‌شوند. صرف‌نظر از نوع اتفاق، آنچه که مهم است از بین رفتن اطلاعات و خسارتی است که به سازمان وارد می‌آید؛ به همین جهت، این اتفاقات را «حمله» می‌نامند. ویژگی جالب این نوع حمله آن است که می‌توان اطلاعات را کپی و سرقت کرد، بدون اینکه مالک اصلی اطلاعات آگاهی یابد. به‌عبارت دیگر، مهاجم می‌تواند به‌طور غیرمجاز به اطلاعات دسترسی پیدا کند.

انواع حملات
حملات را می‌توان به چهار دسته اساسی شامل: دسترسی11، دستکاری12، جلوگیری از سرویس‌دهی13 و انکار14 تقسیم نمود.
الف- حمله برای دسترسی: تلاشی است که مهاجم برای دست یافتن به اطلاعاتی که نباید مشاهده کند، انجام می‌دهد. این نوع حمله برای به‌دست آوردن اطلاعات محرمانه انجام می‌گیرد (صفائی، 1383).
ب- حمله برای دستکاری اطلاعات: در حمله برای دستکاری اطلاعات، مهاجم سعی می‌کند اطلاعاتی را تغییر دهد و یا صحت و تمامیت اطلاعات را از بین ببرد. در این نوع حمله، انواع دستکاری‌هایی که مهاجم می‌تواند بر روی اطلاعات انجام دهد، به ترتیب زیر است (صفائی، 1383):
• تعویض اطلاعات،
• داخل کردن اطلاعات، و
• حذف اطلاعات.
ج- حمله برای جلوگیری از سرویس‌دهی: حمله برای جلوگیری از سرویس‌دهی باعث می‌شود تا کاربر مجاز نتواند از منابع موجود در سیستم، اطلاعات یا قابلیت‌های آن سیستم استفاده کند. در اینجا به مهاجم اجازه دسترسی و تغییر اطلاعات داده نمی‌شود، اما وی از سرویس‌دهی به دیگر کاربران مجاز جلوگیری می‌کند (صفائی، 1383). انگیزه حمله برای جلوگیری از سرویس‌دهی، چیزی جز خرابکاری نیست ومعمولاً انواع آن می‌تواند به‌صورت زیر باشد:
• جلوگیری از دسترسی به اطلاعات،
• جلوگیری از سرویس‌دهی به کاربردهای نرم‌افزاری،
• جلوگیری از دسترسی به سیستم، و
• جلوگیری از دسترسی به ارتباطات.
د- حمله تکذیبی و انکار: این حمله باعث می‌شود تا اطلاعات به‌صورت نادرست داده شود یا اینکه وقوع یک واقعه حقیقی یا معامله‌ای که صورت گرفته است، انکار شود. انواع این حملات به‌شرح زیر است:
• ماسک زدن: در این روش، مهاجم سعی می‌کند تا هویت شخص یا سیستم دیگری را جعل کند.
• تکذیب یک واقعه: یعنی انکار انجام فعالیتی که ثبت شده است. فرض کنید فردی با استفاده از کارت اعتباری از فروشگاهی خرید می‌کند، اما زمانی که شرکت صادرکننده کارت اعتباری صورتحساب خرید را برایش ارسال می‌کند، شدیداً منکر خرید از چنین فروشگاهی می‌شود (صفائی و سعیدی، 1383).

انواع تهدیدها
مدیران برای تامین نیازهای اطلاعاتی خود به‌طور روزافزون به سیستمهای اطلاعات حسابداری وابستگی پیدا کرده و این سیستمهای اطلاعات حسابداری، خود به‌طور وسیع در حال گسترش و پیچیدگی‌اند )سجادی و طباطبائی‌نژاد، 1385). همزمان با افزایش پیچیدگی سیستمهای اطلاعاتی، شرکتها و سازمانها با تهدیدهایی روبه‌رو هستند. بیشتر تهدیدهایی که شرکتها و سازمانها با آن روبه‌رو هستند، به شرح زیر است:
• ایجاد، تغییر و دستکاری در اطلاعات،
• کپی‌برداری غیرمجاز و یا سرقت اطلاعات،
• منتشر کردن اطلاعات،
• تخریب پایگاههای اطلاعاتی، و
• تهدیدهای مربوط به پایگاههای كامپیوتری فعال در امور مالی و اقتصادی.
از تهدیدهای مربوط به سیستمهای اقتصادی بر خط 15 می‌توان به موارد ذیل اشاره نمود (Mack, 2006):
• ورود و نفوذ به سیستمهای بانکی و برداشتهای غیرمجاز مالی از حسابهای پر گردش،
• انجام معاملات صوری و غیرواقعی به‌صورت الکترونیکی جهت کسب اعتبار،
• گشایش حسابهای بانکی غیر واقعی و انجام تراکنشهای غیرحقیقی،
• تغییر در اسناد مالی و بانکی و جعل، و
• سوء استفاده از کارتهای اعتباری و انجام خریدوفروشهای مجازی.

تماس با ثبت شرکت ارشیا

موضوع : مقالات

تاریخ : 28-10-1393, 20:30

 

مطالب مشابه :
تمامی نظرات در کمتر از 12 ساعت پاسخ داده می شود

ارسال نظر


روزنامه رسمی

مشاوره ثبت شرکت
دفاتر پستی منتخب

ثبت شرکت برای اتباع خارجی

موضوعات پرکاربرد ثبتی :
ثبت شرکت در سراسر ایران

ثبت شرکت در تهران
سایر محلات تهران
تماس
واتس آپ
موبایل
کرکره برقی پارکینگدرب ضد سرقتصندلی پلاستیکی , کاشت مو , مزوتراپی