摘要:信息安全问题是当前会计信息化快速发展的严峻挑战。文章分析了网络环境下会计信息安全的现状,结合国际信息安全管理标准(ISO/IEC 17799:2005),立足于会计信息管理措施,在人员管理,数据及信息管理,计算机软、硬件管理方面探讨了有效安全管理的方法,阐述了安全管理对于信息安全的重要意义;提出了管理和技术并重的会计信息安全系统构建思路。
关键词:网络;会计;安全;管理
会计信息的安全是指会计信息具有完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全,并保证会计信息的持续性和有效性。随着网络的发展,信息技术越来越多的渗透到会计领域,但传统会计软件的设计多是考虑从业务操作功能上满足会计实务的要求,对其安全性的考虑较少。会计信息化的辅助软件虽然具备了强大的信息安全技术,但是又易使人陷入技术决定一切的误区,迄今为止,网络环境下的多种安全技术尚未能够确保信息的安全性。企业只有从技术和管理两方面构建会计信息安全系统,充分考虑技术的持续有效性,重视对安全工程建成后的管理,才能最大限度地保障网络环境下会计信息的安全性。国际信息安全管理标准(ISO/IEC 17799:2005)对于信息系统安全管理和安全认证的分析表明,解决信息系统的安全问题不能只局限于技术,更重要的还在于管理。因此,要让安全技术发挥应有的作用,必然要有适当管理措施的支持。按照该标准(ISO/IEC 17799:2005)“制订自己的准则”的建议,探讨管理对于会计信息安全的重要作用,兼重管理和技术,对于真正实现会计信息安全目标具有重要意义。
一、目前会计信息安全的现状及研究
目前会计实务中的信息安全面临诸多问题。如会计管理越权、不相容岗位分工不清会导致会计信息的损坏;在网络环境下,伴随电子商务的发展而出现的会计数据载体无纸化使会计数据被篡改成为可能;网络本身的安全性问题,则可能会使会计数据在传输过程中受病毒、黑客的威胁等。目前国内被大量使用的传统会计软件主要是代替手工会计核算和减轻会计人员的计账工作量,本身的安全性设计相对较差,当其在网络环境下使用时,上述的某些问题就更加显著。据一份针对英国900家不同类型组织做的问卷调查,1999-2000年有超过一半的政府机构及2/3的民营组织,正面临信息科技的不法入侵、滥用甚至破坏。而对大部分组织而言,信息安全的问题尚无一个明确的解决方案。许多文献针对会计信息安全问题进行了研究,但大多集中在技术方面,如电子数据的存储加密技术、传输加密技术、密钥管理加密技术和确认加密技术、数字签名等。也有很多文献从不同的角度对会计信息安全的管理保障进行了有益的探讨。本文从内部控制,计算机软、硬件管理的角度,参考ISO/IEC 17799:2005推荐的部分控制措施,探讨了针对会计实务的信息安全管理控制方法,结合对信息安全技术应用的分析,阐述了会计信息安全管理系统的构建过程中需注意的几个薄弱环节。
二、会计信息安全管理
(一)内部控制
2002年美国FBI(联邦调查局)和CSI通过对484家公司的调查,安全威胁和安全事件研究统计表明:超过85%的安全威胁来自企业内部。本文先从企业内部分析网络环境下会计安全问题。
1、确保不相容岗位相分离,防止越权。管理越权、分工不清这些问题在传统会计模式下也会出现,但应用信息技术后,信息载体的无纸化等特点使此类问题更易出现且较隐蔽,多数文献指出,实行用户分级授权管理,建立岗位责任制,并赋予不同的操作权限,拒绝其他非授权用户的访问。对操作密码要严格管理,指定专人定期更换密码。在会计实务中可以推广应用生物识别技术,其具有更多优点,比如会计与出纳有不同的权限,拥有各自的密码,因为会计与出纳工作往来频繁,密码被对方获取的情况时有发生,影响了会计信息的安全性。而生物识别技术如指纹只能本人在场的情况下方可操作,并且不存在遗忘或丢失的问题。
2、保障原始数据安全性。信息来源复杂性、接触信息的部门和人员多样性,增加内部控制难度,使原始数据错误、信息篡改的风险加大。例如,原始凭证是进行会计核算的原始资料,是证明经济业务发生的唯一初始文件,有较强的法律效力,在网络环境下,有些原始凭证是通过网上交易取得,如电子单据、电子货币结算等网络经营业务。为使其与纸质原始凭证在安全性上达到同样的功效,多数文献提出的建议是利用网上公证技术及各种加密技术。但以磁(光)性介质为载体的凭证易被篡改或伪造而不留任何痕迹的问题是计算机及网络本身的缺陷,即使是采用了网上公证技术,其法律效力仍无法与印鉴相比,因此其安全性并不能超过纸质原始凭证,作为会计核算唯一凭据的原始凭证,其地位至关重要,所以网上交易完成后必须索要纸质原始凭证,以备核对、保留,尽可能确保会计信息完整性、可用性。
3、保障会计档案安全性。会计档案是唯一保存完整的会计历史资料,是核实已发生会计活动最重要的依据,信息技术应用于会计后,部分会计档案是以磁性介质存储的。若保管、备份策略和方法不合理,会形成会计安全隐患。例如,电子档案存储介质体积小、无纸化等特点与传统档案相比更易于被窃取或泄漏,所以管理人员必须持有上岗证,并且要经常进行档案法、保密法培训。在收集过程中要注意相关设备或软件的收集,使会计电子档案在将来任何时间都可查阅使用。企业备份电子档案的同时,应对已存档的电子档案定期检查、复制。电子档案的定期复制的时间应根据存储介质的性质而定,在不浪费成本同时保障会计档案安全。
2008年6月,财政部公布的《企业内部控制基本规范》第4章明确指出:“内部会计控制的方法主要包括:不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制……”有文献提出,将这些有效的内部控制方法、思想集成在软件功能中。单纯地依靠企业制定的内部控制制度来加以内部控制,当内部人员协同舞弊时,会导致内部控制制度的失效。将内部控制集成在会计软件中可以确保会计信息正确、安全。但将这些有效的内部控制方法、思想集成在软件功能中需要高素质会计人员及熟悉信息技术的人员参与,并且需要投入相当数量的资金,维护容易跟不上,因此现阶段对多数企业来说有一定困难,但资金、人员基础好的企业可以实施;并且要把基于PDCA(Plan、Do、Check和Act)的持续改进的管理模式应用其中。
(二)计算机硬件管理
PC客户端,数据存储设备,网络设备都会影响硬件系统安全。所以应制定主控机房和相应网络设备的管理制度,例如专机专用,计算机机房充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双机备份,硬件系统安全预警方案。同时采取相应的激励措施,把相应人员职责列入目标考核,与奖金相对应,提高其履行制度的积极性,确保计算机硬件安全。
(三)计算机软件管理
设计、开发的财务软件系统功能与用户实际操作不相适应,软件存在漏洞,软件售后服务不及时都会影响网络环境下会计安全。因此,在设计、开发和使用财务软件时,应重点考虑会计数据及会计软件系统自身的安全问题,采取的措施能有效确保系统安全运行。保障会计软件安全的具体措施有:
1、身份认证与权限控制。坚持多重登录和多重密码制,只有被赋予一定权限的人员、且密码核对吻合时才能进行相关业务操作,最好采用生物技术。
2、软件升级必须慎重,与原系统有可兼容性,便于查阅往年会计电子档案。
3、定期备份计算机工作日志文件。
4、选择售后服务好、财政部推荐的会计软件企业的产品。
(四)人为因素的管理
现阶段,多数企业的会计人员业务经验丰富,而计算机专业知识和网络知识却知之甚少,不能很好地胜任计算机和互联网相关会计业务处理工作。复合型高素质人才的缺乏制约着信息技术在会计中的应用,部分网络会计人员虽然具备较高业务水平,但缺乏职业道德素质。他们凭借精通网络会计的优势进行非法转移电子资金和会计数据、泄密等活动。多数文献提出要加快调整现行会计教育体系,加大对现有会计人员关于网络会计知识的后续教育。同时由于现阶段我国会计人员不可能通过短期培训就成为复合型高素质人才,所以还要从实际出发,使信息技术逐步应用于会计,在现阶段辅助以传统手工会计,确保会计安全,如电子交易中原始凭证的确认与保留。
三、信息安全技术的应用
网络的开放性使网络易受攻击,网络的庞大性使病毒易滋生、传播,会计更易面临诸如泄密、黑客的侵袭而导致企业跨区域协同工作或与企业合作方网上交易时会计信息被盗或丢失等风险。计算机网络病毒的存在直接破坏系统内重要会计数据,使系统不能正常运行,影响会计数据和信息的安全性和真实性,给网络系统安全带来了极大危害。多数文献指出电子商务的信息安全在很大程度上依赖于技术的完善,这些技术包括加密技术、认证技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术等。但还应该注意以下方面。第一,采用以上技术的过程中需要花费一定的成本,一般情况下,费用是随着安全性的提高而增加的,所以在采用安全技术的同时要考虑成本收益因素。第二,破解安全技术的成本不需大于所保护会计信息的价值。如果盗取信息的人破解密码所花费的费用大于获得信息而得到的收益,将不会去截取信息。第三,好的系统和好的协议必须根据人的观念来进行设计。忽略易用性问题导致系统无法达到预期目标,安全功能非常难以理解,以至于用户无法正确使用,从而避开这些安全功能,或者完全不在使用该系统。第四,在网络本身存在种种安全性问题的情况下,要想保证会计的安全,在利用信息技术快捷的同时,在相当长的一段时间内仍要依靠印鉴来确保凭证、合同的有效性以明确经济责任。
四、结论
会计信息安全不仅依赖于会计信息技术的合理可靠应用,还依赖于一个完善的会计安全管理制度。既有的很多会计信息安全管理制度尚存一些薄弱环节,其完善是一个从实际出发的渐进过程。同时,会计信息技术在我国的应用也将是一个长期的过程,依赖于高素质技术人员的培训及各类相应配套设施的投资和建立。
参考文献:
1、潘婧.网络会计信息系统的安全风险及防范措施[J].财会研究,2008(2).
2、谷增军.基于数据加密技术的会计电子数据安全对策[J].财会通讯,2008(2).
3、吴亚飞,李新友等.信息安全风险评估[M].清华大学出版社,2007.
4、李筱佳.会计信息化对会计实务的影响及对策[J].财会研究,2009(6).
5、金丽荣.会计信息系统的安全控制措施[J].科技资讯,2008(1).
6、尹晓伟.IT环境下会计电算化内部控制研究[J].会计之友,2008(11).
7、田志刚,刘秋生.现代管理型会计信息系统的内部控制研究[J].会计研究,2008(10).
8、郝玉清.网络会计的信息安全问题及其防范策略[J].北方经贸,2007(11).
9、丁学君.电子商务中的安全问题研究[J].网络安全技术与应用,2008(10).
10、Sean Smith,John Marchesini;黄清元等译.系统安全工艺[M].清华大学出版社,2009.
(作者单位:沈阳大学工商管理学院)
|
|