摘要:信息安全問題是當前會計信息化快速發展的嚴峻挑戰。文章分析了網絡環境下會計信息安全的現狀,結合國際信息安全管理標準(ISO/IEC 17799:2005),立足于會計信息管理措施,在人員管理,數據及信息管理,計算機軟、硬件管理方面探討了有效安全管理的方法,闡述了安全管理對于信息安全的重要意義;提出了管理和技術并重的會計信息安全系統構建思路。
關鍵詞:網絡;會計;安全;管理
會計信息的安全是指會計信息具有完整性、可用性、保密性和可靠性的狀態,它來自于會計數據的完整和會計數據的安全,并保證會計信息的持續性和有效性。隨著網絡的發展,信息技術越來越多的滲透到會計領域,但傳統會計軟件的設計多是考慮從業務操作功能上滿足會計實務的要求,對其安全性的考慮較少。會計信息化的輔助軟件雖然具備了強大的信息安全技術,但是又易使人陷入技術決定一切的誤區,迄今為止,網絡環境下的多種安全技術尚未能夠確保信息的安全性。企業只有從技術和管理兩方面構建會計信息安全系統,充分考慮技術的持續有效性,重視對安全工程建成后的管理,才能最大限度地保障網絡環境下會計信息的安全性。國際信息安全管理標準(ISO/IEC 17799:2005)對于信息系統安全管理和安全認證的分析表明,解決信息系統的安全問題不能只局限于技術,更重要的還在于管理。因此,要讓安全技術發揮應有的作用,必然要有適當管理措施的支持。按照該標準(ISO/IEC 17799:2005)“制訂自己的準則”的建議,探討管理對于會計信息安全的重要作用,兼重管理和技術,對于真正實現會計信息安全目標具有重要意義。
一、目前會計信息安全的現狀及研究
目前會計實務中的信息安全面臨諸多問題。如會計管理越權、不相容崗位分工不清會導致會計信息的損壞;在網絡環境下,伴隨電子商務的發展而出現的會計數據載體無紙化使會計數據被篡改成為可能;網絡本身的安全性問題,則可能會使會計數據在傳輸過程中受病毒、黑客的威脅等。目前國內被大量使用的傳統會計軟件主要是代替手工會計核算和減輕會計人員的計賬工作量,本身的安全性設計相對較差,當其在網絡環境下使用時,上述的某些問題就更加顯著。據一份針對英國900家不同類型組織做的問卷調查,1999-2000年有超過一半的政府機構及2/3的民營組織,正面臨信息科技的不法入侵、濫用甚至破壞。而對大部分組織而言,信息安全的問題尚無一個明確的解決方案。許多文獻針對會計信息安全問題進行了研究,但大多集中在技術方面,如電子數據的存儲加密技術、傳輸加密技術、密鑰管理加密技術和確認加密技術、數字簽名等。也有很多文獻從不同的角度對會計信息安全的管理保障進行了有益的探討。本文從內部控制,計算機軟、硬件管理的角度,參考ISO/IEC 17799:2005推薦的部分控制措施,探討了針對會計實務的信息安全管理控制方法,結合對信息安全技術應用的分析,闡述了會計信息安全管理系統的構建過程中需注意的幾個薄弱環節。
二、會計信息安全管理
(一)內部控制
2002年美國FBI(聯邦調查局)和CSI通過對484家公司的調查,安全威脅和安全事件研究統計表明:超過85%的安全威脅來自企業內部。本文先從企業內部分析網絡環境下會計安全問題。
1、確保不相容崗位相分離,防止越權。管理越權、分工不清這些問題在傳統會計模式下也會出現,但應用信息技術后,信息載體的無紙化等特點使此類問題更易出現且較隱蔽,多數文獻指出,實行用戶分級授權管理,建立崗位責任制,并賦予不同的操作權限,拒絕其他非授權用戶的訪問。對操作密碼要嚴格管理,指定專人定期更換密碼。在會計實務中可以推廣應用生物識別技術,其具有更多優點,比如會計與出納有不同的權限,擁有各自的密碼,因為會計與出納工作往來頻繁,密碼被對方獲取的情況時有發生,影響了會計信息的安全性。而生物識別技術如指紋只能本人在場的情況下方可操作,并且不存在遺忘或丟失的問題。
2、保障原始數據安全性。信息來源復雜性、接觸信息的部門和人員多樣性,增加內部控制難度,使原始數據錯誤、信息篡改的風險加大。例如,原始憑證是進行會計核算的原始資料,是證明經濟業務發生的唯一初始文件,有較強的法律效力,在網絡環境下,有些原始憑證是通過網上交易取得,如電子單據、電子貨幣結算等網絡經營業務。為使其與紙質原始憑證在安全性上達到同樣的功效,多數文獻提出的建議是利用網上公證技術及各種加密技術。但以磁(光)性介質為載體的憑證易被篡改或偽造而不留任何痕跡的問題是計算機及網絡本身的缺陷,即使是采用了網上公證技術,其法律效力仍無法與印鑒相比,因此其安全性并不能超過紙質原始憑證,作為會計核算唯一憑據的原始憑證,其地位至關重要,所以網上交易完成后必須索要紙質原始憑證,以備核對、保留,盡可能確保會計信息完整性、可用性。
3、保障會計檔案安全性。會計檔案是唯一保存完整的會計歷史資料,是核實已發生會計活動最重要的依據,信息技術應用于會計后,部分會計檔案是以磁性介質存儲的。若保管、備份策略和方法不合理,會形成會計安全隱患。例如,電子檔案存儲介質體積小、無紙化等特點與傳統檔案相比更易于被竊取或泄漏,所以管理人員必須持有上崗證,并且要經常進行檔案法、保密法培訓。在收集過程中要注意相關設備或軟件的收集,使會計電子檔案在將來任何時間都可查閱使用。企業備份電子檔案的同時,應對已存檔的電子檔案定期檢查、復制。電子檔案的定期復制的時間應根據存儲介質的性質而定,在不浪費成本同時保障會計檔案安全。
2008年6月,財政部公布的《企業內部控制基本規范》第4章明確指出:“內部會計控制的方法主要包括:不相容職務相互分離控制、授權批準控制、會計系統控制、預算控制……”有文獻提出,將這些有效的內部控制方法、思想集成在軟件功能中。單純地依靠企業制定的內部控制制度來加以內部控制,當內部人員協同舞弊時,會導致內部控制制度的失效。將內部控制集成在會計軟件中可以確保會計信息正確、安全。但將這些有效的內部控制方法、思想集成在軟件功能中需要高素質會計人員及熟悉信息技術的人員參與,并且需要投入相當數量的資金,維護容易跟不上,因此現階段對多數企業來說有一定困難,但資金、人員基礎好的企業可以實施;并且要把基于PDCA(Plan、Do、Check和Act)的持續改進的管理模式應用其中。
(二)計算機硬件管理
PC客戶端,數據存儲設備,網絡設備都會影響硬件系統安全。所以應制定主控機房和相應網絡設備的管理制度,例如專機專用,計算機機房充分滿足防火、防潮、防塵、防磁和防輻射及恒溫等技術要求,關鍵性的硬件設備可采用雙機備份,硬件系統安全預警方案。同時采取相應的激勵措施,把相應人員職責列入目標考核,與獎金相對應,提高其履行制度的積極性,確保計算機硬件安全。
(三)計算機軟件管理
設計、開發的財務軟件系統功能與用戶實際操作不相適應,軟件存在漏洞,軟件售后服務不及時都會影響網絡環境下會計安全。因此,在設計、開發和使用財務軟件時,應重點考慮會計數據及會計軟件系統自身的安全問題,采取的措施能有效確保系統安全運行。保障會計軟件安全的具體措施有:
1、身份認證與權限控制。堅持多重登錄和多重密碼制,只有被賦予一定權限的人員、且密碼核對吻合時才能進行相關業務操作,最好采用生物技術。
2、軟件升級必須慎重,與原系統有可兼容性,便于查閱往年會計電子檔案。
3、定期備份計算機工作日志文件。
4、選擇售后服務好、財政部推薦的會計軟件企業的產品。
(四)人為因素的管理
現階段,多數企業的會計人員業務經驗豐富,而計算機專業知識和網絡知識卻知之甚少,不能很好地勝任計算機和互聯網相關會計業務處理工作。復合型高素質人才的缺乏制約著信息技術在會計中的應用,部分網絡會計人員雖然具備較高業務水平,但缺乏職業道德素質。他們憑借精通網絡會計的優勢進行非法轉移電子資金和會計數據、泄密等活動。多數文獻提出要加快調整現行會計教育體系,加大對現有會計人員關于網絡會計知識的后續教育。同時由于現階段我國會計人員不可能通過短期培訓就成為復合型高素質人才,所以還要從實際出發,使信息技術逐步應用于會計,在現階段輔助以傳統手工會計,確保會計安全,如電子交易中原始憑證的確認與保留。
三、信息安全技術的應用
網絡的開放性使網絡易受攻擊,網絡的龐大性使病毒易滋生、傳播,會計更易面臨諸如泄密、黑客的侵襲而導致企業跨區域協同工作或與企業合作方網上交易時會計信息被盜或丟失等風險。計算機網絡病毒的存在直接破壞系統內重要會計數據,使系統不能正常運行,影響會計數據和信息的安全性和真實性,給網絡系統安全帶來了極大危害。多數文獻指出電子商務的信息安全在很大程度上依賴于技術的完善,這些技術包括加密技術、認證技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術等。但還應該注意以下方面。第一,采用以上技術的過程中需要花費一定的成本,一般情況下,費用是隨著安全性的提高而增加的,所以在采用安全技術的同時要考慮成本收益因素。第二,破解安全技術的成本不需大于所保護會計信息的價值。如果盜取信息的人破解密碼所花費的費用大于獲得信息而得到的收益,將不會去截取信息。第三,好的系統和好的協議必須根據人的觀念來進行設計。忽略易用性問題導致系統無法達到預期目標,安全功能非常難以理解,以至于用戶無法正確使用,從而避開這些安全功能,或者完全不在使用該系統。第四,在網絡本身存在種種安全性問題的情況下,要想保證會計的安全,在利用信息技術快捷的同時,在相當長的一段時間內仍要依靠印鑒來確保憑證、合同的有效性以明確經濟責任。
四、結論
會計信息安全不僅依賴于會計信息技術的合理可靠應用,還依賴于一個完善的會計安全管理制度。既有的很多會計信息安全管理制度尚存一些薄弱環節,其完善是一個從實際出發的漸進過程。同時,會計信息技術在我國的應用也將是一個長期的過程,依賴于高素質技術人員的培訓及各類相應配套設施的投資和建立。
參考文獻:
1、潘婧.網絡會計信息系統的安全風險及防范措施[J].財會研究,2008(2).
2、谷增軍.基于數據加密技術的會計電子數據安全對策[J].財會通訊,2008(2).
3、吳亞飛,李新友等.信息安全風險評估[M].清華大學出版社,2007.
4、李筱佳.會計信息化對會計實務的影響及對策[J].財會研究,2009(6).
5、金麗榮.會計信息系統的安全控制措施[J].科技資訊,2008(1).
6、尹曉偉.IT環境下會計電算化內部控制研究[J].會計之友,2008(11).
7、田志剛,劉秋生.現代管理型會計信息系統的內部控制研究[J].會計研究,2008(10).
8、郝玉清.網絡會計的信息安全問題及其防范策略[J].北方經貿,2007(11).
9、丁學君.電子商務中的安全問題研究[J].網絡安全技術與應用,2008(10).
10、Sean Smith,John Marchesini;黃清元等譯.系統安全工藝[M].清華大學出版社,2009.
