前言:中文期刊网精心挑选了会计信息安全范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
会计信息安全范文1
一、云会计的定义与优势
(一)云会计的定义
早在2006年Google首席执行官Eric Schmidt在搜索引擎大会上首次提出了“云计算”的概念。美国国家标准与技术研究院(NIST)对其定义:云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。云计算的发展给云会计提供了良好的基础。随着会计电算化、会计核算软件会计管理软件等新名词的不断出现,基于云计算的云会计开始飞速发展,为实现企业会计信息化提供了一种新的途径。
(二)云会计给中小企业会计信息化带来的优势
1.成本方面
云会计供应商是以软件服务的方式为中小企业提供服务,中小企业可根据自身需求向供应商定制购买相应的会计软件功能模块,支付相应的费用即可。企业不需要再为服务器、网络、机房和数据中心等基础设施投资巨大的费用,也不用考虑设施成本折旧问题,从而降低了会计信息化的成本。
2.效率方面
云会计能够大大提高中小企业会计的工作效率。中小企业无需再配备大量的专业维护人员来保障会计信息化软件的使用,供应商的专业团队能够提供更好更专业的技术支持以及会计信息化软件的更新、维护服务,使得企业会计人员能专注于会计工作本身,从而提高企业会计工作效率。此外,云会计使中小企业减少了在维护管理会计信息化软件花费的精力,使中小企业能够更专注于对自身发展有重大作用的战略性活动。
3.扩展性方面
云会计是基于云计算环境下的会计信息化实现的,云会计供应商提供给中小企业的软件服务。云会计拥有云计算的特点,在设备技术更新升级时也不会中断会计信息服务,降低了中小企业会计信息化的风险。云会计不受物理硬盘限制的存储容量,以及可以确保中小企业存储在云上的核心财务信息能够动态移动调整的特点,满足了中小企业会计信息化用和规模增长的需要。
二、云会计下中小企业会计信息的安全问题
(一)会计信息在存储上的安全问题
云会计使中小企业能够更加方便地存储、获取和使用会计信息,发生突发事件也能调用存储在网上数据库的存储资源。但是,正是由于会计信息存储在网上数据库里,而云会计供应商的存储管理技术不完善会对这些信息的安全造成隐患。会计信息存储在网上数据库里,其完整性、机密性和安全性令人担忧。云会计供应商由于需要为大量用户提供加密保证,导致管理工作变得更加复杂和困难。管理工作难度的上升,人员配置的增多以及互联网的开放型使会计信息安全问题出现。云会计供应商相关员工的泄露,网络黑客利用系统漏洞侵入网上数据库并非法截获篡改会计信息等,这些问题都是中小企业应用云会计时所担忧的问题。
(二)会计信息在传输上的安全问题
企业内部在传输会计信息时,通常并不进行加密或是仅仅使用内部约定的简单加密。然而企业在将会计信息通过云会计服务传输到网上数据库时,就要确保好会计信息的安全性和完整性。由于会计信息的传输一般都需要通关互联网,信息传输的载体发生了改变,使得信息流动的确认手段出现了多种方式。如果缺乏加密和完整性检验等安全保障手段,企业的会计信息就容易在传输过程中可能被竞争对手非法截获、篡改和删除。
(三)会计信息在使用上的安全问题
会计信息是企业的核心商业机密,其使用者一般是财务相关管理者,如果会计信息在使用中出现重大问题,对企业的影响是致命的。中小企业在应用云会计进行财务处理的日常工作中,由于财务人员工作中的人机分离,财务人员的保密意识差,用户密码过于简单,用户的角色与操作权限设置不当,都容易导致企业会计信息意外泄露或被人有意盗取,对于企业的发展具有致命的威胁。
三、提高云会计下中小企业会计信息安全的建议
在当前云会计环境下,提高中小企业会计信息安全可以从云技术、云会计供应商、中小企业自身管理和国家相关监督规范四个方面着手。
(一)云技术
云技术可以通过提高秘钥管理技术,加强对访问者的身份认证,加强网上数据库里的会计信息的保密性,防止云计算供应商及其他不相关人员看到数据,还可以通过和网络安全解决方案提供商合作提供加强会计信息传输中的安全,加强在会计信息存储使用等不同时段防御黑客、恶意软件入侵的能力,为中小企业安全使用云会计提供保障。
(二)云会计供应商
作为云会计服务的供应商,应该为企业做好保护企业会计信息安全的工作。为了防止突发事件,供应商还需要做好云会计网上数据库上会计信息的日常备份以及异地备份,保障系统异常时能够快速恢复企业会计信息的数据和历史数据,防止重要财务信息丢失。此外,云会计供应商还要不断提升服务的质量,提高本身技术,保障云会计使用用户的日常业务处理和会计信息安全。
(三)中小企业自身管理
中小企业自身管理的漏洞和大意也是造成会计信息安全问题的重要因素,因此,从企业自身管理来说,首先要规范会计信息软件使用员工的授权,每个员工的根据工作内容设定云会计系统中相应的权限,每个账号的开通、变更和删除都需要通过部门领导的审批和记录。同时,还要经常审核每个员工账号的权限与其工作职责是否相符,检查离职员工账号是否删除,加强员工对账号密码的保密性,保障本企业会计信息不被无关人士泄露或删除。
(四)国家相关监管规范
国家相关部门在推进会计信息化建设的过程中,也应当针对飞速发展的信息技术,为云会计的发展以及云会计供应商提供相关的法规标准。首先,要建立云会计下会计信息安全的法规。我国目前针对云会计的标准还不够完善,我国云会计的技术也还在起步发展中,因此需要国家相关部门根据国内云会计发展情况,制定适合的云会计标准,规范云会计市场,通过法律法规来约束云会计市场,保障云会计下中小企业会计信息的安全性。其次,做好云会计供应商的资质评估工作。要规范云会计市场,提高我国云会计发展水平,就要做好云会计供应商的资质评估工作,建立适当的行业门槛,筛选出优质的云会计供应商,保障中小企业使用云会计时会计信息的安全性。最后,国家相关部门还要做好对云会计供应商的监督工作,对出现问题的云会计供应商进行整改,加强提高我国云会计服务的水平,提高云会计下我国中小企业会计信息的安全性。
参考文献:
[1]汪慧甜,胡仁昱.浅议云会计下中小企业会计信息安全[J].新会计,2012(03).
[2]程平,何雪峰.“云会计”在中小企业会计信息化中的应用[J].重庆理工大学学报,2011(01).
会计信息安全范文2
针对许多外包服务商、厂商技术支持人员、项目集成商等在对内部核心服务器、网络基础设施进行现场调试或远程技术维护时,无法有效的记录其操作过程、维护内容,极容易泄露核心机密数据或遭到潜在的恶意破坏。
对SDH会计信息安全信息系统控制的过程中需要对网络运行维护进行全面的判断,对每个会计信息安全信息进行科学化划分,从而能够保证网络数据信息集中化控制与管理,保证数据信息审计能力提升。对SDH会计信息安全系统产生的方案进行会话管理,从而能够产生会话流,提升网络会计信息安全信息化管理水平。通过模型驱动等措施能够对网络行为进行检测,报警和记录,确保网络数据信息能够有效的控制,提升数据信息的控制与管理能力。
数据库运行维护是对数据进行有效会计信息安全和旁路侦听的重要方式,确保网络会话流能够符合网络数据信息管理的基本要求,提升网络数据接收能力,对网络数据传输活动的顺利实施产生积极的作用。通过对网络数据信息结构的优化,可以提升网络数据管理的性能要求,确保网络数据的会计信息安全性得到巩固,对可靠性管理产生重要的影响。网络数据信息管理过程中需要通过会计信息安全性和透明性控制,对日常会计信息安全维护进行处理,提高网络数据信息的控制和管理能力。支持日常维护人员针对AIX、Linux主机设备,主流网络设备、Windows服务器的进行的运行维护操作审计;日常维护人员操作Sybase数据库,通过运维审计系统可以审计到维护数据库的操作;可以支持针对外部厂商远程运行维护时,进行操作审计;审计协议支持Telnet、FTP、SSH、SFTP、RDP等;详细的权限分配功能,可以根据时间、登录IP、目标资源等进行详细授权;支持按时间、用户名、被审计设备、命令等进行的定制报表,并可以导出Excel或PDF等格式报表;设备支持硬件冗余方式,并支持HA(双机备份冗余)。
运维审计系统针对内部运维人员、厂商技术支持人员、外包服务商等对关键服务器、网络设备、会计信息安全设备操作进行会计信息安全审计,规避会计信息安全风险,减少会计信息安全事件;规范运维流程,加强会计信息安全管理,提高运维会计信息安全水平;对运维会计信息安全违规事件及时追踪,并提供可信、完整的技术依据;定时针对各类系统产生运行维护报告,审计运维内容,提交相关领导审核,并会计信息安全存档;协助完善内控机制,达到省公司的合格性要求。
2.SDH会计信息安全网络化模型设计
网络数据信息管理需要从SDH会计信息安全优化角度出发,积极稳妥的利用网络数据信息管理的基本要求,提升网络数据信息的管理能力,对网络数据信息会计信息安全目标实现产生重要的影响。
数据访问框架要提供对快速开发处于业务逻辑层与后端的DBMS之间的数据存取层的支持。主要要求有:
a.数据访问框架采用ORM技术提供业务对象到数据库的映射,对业务层屏蔽数据库的一切细节,使得DBMS的变迁不需要业务逻辑层做任何代码的变更。
b.设计时也需考虑DBMS的变更对数据存取层的影响,变更时只需最少的代码变更。
c.要实现代码和SDH语句的分离,以利于数据库管理员对数据库做配置优化。
d.支持对批处理操作的优化。
e.提供灵活方便的事务处理。
f.支持大部分需求的通用实现,又能够方便扩展。
g.要具有自成体系的异常机制。
String getSDH(Properties prop)方法接受一个Properties对象做为参数,该对象包含了参数化SDH语句select * FROM table_A WHERE field1 = #PARAM1# AND field2 like "#PARAM2#"中被##符号包括的参数名PARAM1和PARAM2所对应的参数值。getSDH()方法以参数名PARAM1和PARAM2为键(key),从Properties对象中得到相应的参数值paramValue1和paramValue2,然后将它们按照在参数化SDH语句中的位置同partsOfSDH[]中的SDH语句段组合起来,构成一个标准的SDH语句返回。
PreCompiledSDH类对象在构造标准SDH语句时还要多做一样工作,就是根据映射文件中元素中定义的参数类型对得到的参数值进行包装。比如若参数PARAM1的类型为STRING型,则要将相应的参数值paramValue1包装成 paramValue1;若参数PARAM2的类型为DATE型,则要将相应的参数值paramValue2包装成to_date(paramValue2,yyyy-MM-dd HH24:mi:ss),等等。
数据访问对象(DAO)提供了数据访问的标准接口,把实体操作的细节封装起来。
当执行数据访问操作时,调用者以Obje-
cSignature对象(Entity和Entity-Container都是ObjectSignature的子类)和Properties对象作为参数,调用DAO的相应方法。
DAO对象根据ObjectSignature.toSign-ature()方法得到所要执行的SDH Statement的唯一标识,并根据此标识调用SDHCode单例对象的getSDHStatement()方法获得对应的SDHStatement实例对象。
DAO对象从SDHStatement中得到标识参数化SDH语句的ParameterizedSDH对象,然后将这个ParameterizedSDH对象和调用者传入的Properties对象一起作为参数调用DBWrapper对象的相应方法。
DBWrapper是数据库操作包装器类,它封装了所有的通过JDBC操作数据库的调用。DBWrapper类对象根据Properties对象将ParameterizedSDH对象转换成标准SDH语句,并通过一个JDBC Statement的实例执行该SDH语句,最后根据JDBC返回的ResultSet创建结果对象。
下面详细介绍数据访问对象类、数据库操作包装器类的设计,以及事务处理和对DBMS之间差异的屏蔽。
会计信息安全范文3
【关键词】 会计信息安全; ERP; 智能大厦; 安全大厦
一、引言
随着社会信息化进程的不断加快,计算机技术和网络技术普遍应用于企业生产经营和管理实践中,对企业的管理模式、管理体系带来了巨大的改变。近十年来,ERP系统的发展尤其迅速,现在的ERP系统主要包括企业的财务管理、生产管理、采购管理、销售管理、库存管理、人力资源管理等,并且成熟的ERP系统可以与企业其他系统进行有效和必要的集成,ERP从最初的会计电算化发展到今天,其不断成熟与持续的扩展应用,在一定程度上代表了企业信息化水平和管理水平。
在企业信息化不断提高的同时,不能回避的就是系统安全问题。在ERP中,财务管理是核心,而会计信息则是财务管理的基础。国内学者在研究会计信息安全时,主要是从单方面来研究,如计算机硬件安全、软件安全、会计人员管理、规章制度等方面。这些研究取得了较好的效果,在企业里应用较好,但在ERP领域,由于会计信息系统与其他子系统紧密地结合在一起,仅从单方面研究是不够的,必须从全局和整体上研究,再到各个部门、各个子系统进行细化。本文主要研究在ERP环境下,企业如何保证会计信息的安全,采取何种有效的方法来规避会计信息存在的风险,为ERP的安全运行提供保障。
二、会计信息安全概述
(一)会计信息安全的基本概念
本文研究的会计信息安全,主要是指基于ERP环境下的安全,即企业单位的会计信息系统及其相应的硬件、软件资源受到系统性保护,在遇到偶然或者恶意事件时不会遭到破坏、信息不会外泄或者更改,系统能够可靠、有效地运行。会计信息安全是企业的根本,在商业竞争白热化的今天,企业必须要保证自身信息的安全。
(二)会计信息安全的本质
会计信息安全的本质就是数据的安全。信息处理是通过数据这个载体来实现的。数据是记录客观事物的性质、形态、数量特征的抽象符号,例如文字、数字、图形、曲线等。会计信息是由数据产生的,是对数据加工处理后得到的信息,是反映企业财务状况的基础,是企业决策的重要依据。
反映会计信息的数据,在ERP系统中有多种表现形式。主要如下:
1.基础数据。基础数据是指反映会计信息最基础的数据单元,以从银行取款为例,会计分录如下:
借:库存现金 100
贷:银行存款 100
在系统中,上述会计分录包含的基础数据的项目主要有会计科目编号、科目名称、金额、科目方向、日期、制单人、制单日期、审核人、审核日期等。
基础数据一般存于数据库中,存在形式为电子形式,基础数据是企业信息化管理的根本,也是安全保护的核心内容。
2.账表数据。账表是根据企业业务需要,基于基础数据生成的各种报表,如资产负债表、损益表、科目账、客户往来账、部门辅助账、个人往来账、供应商往来账等。账表数据存在形式主要有电子形式、普通文件形式(生成或导出的报表文件)、纸面形式(打印)等。
3.存档数据。根据会计工作的需要,有些历史数据或者往年数据需要存档,即为存档数据。存档数据存在形式主要有电子形式、文件形式等。
4.流动数据。ERP的运行必须依托于计算机网络,数据从客户端到服务器端,中间的传递要经过计算机网络,在计算机网络中传递的数据都属于流动数据。流动数据的存在形式是电子形式。
5.备份数据。为了防止信息系统受到意外破坏,一般要对数据库及其相关数据进行必要的备份,形成备份数据。数据备份可以以天、星期、月、年为单位完成,备份时间间隔越短,形成的数据量越大。备份数据的存在形式为电子形式、文件形式(在计算机中存储)、光盘(刻录)等。
(三)影响会计信息安全的因素
影响会计信息安全的因素较多,主要因素总结如表1所示。
三、会计信息安全风险分析
ERP系统的生命周期一般要经历选型与实施、应用与维护及切换等漫长的周期,在每个阶段,企业应用都会面临一些风险。笔者根据多年来从事ERP系统实施及维护的经验,基于会计信息安全角度分析其风险。
(一)ERP选型与实施
企业在ERP选型过程中,一般要与多家软件供应商进行接触,最后选择3至5家比较适合自身企业实际情况的软件供应商进行进一步的考察,同时软件供应商也会深入到企业进行调研,在此过程中,软件供应商一般会接触企业宏观的一些业务,具体的业务细节涉及较小,因此安全风险小。
在企业成功选型后,即进入ERP项目实施阶段,从目前软件市场来看,除非是企业自身研制的ERP系统,使用其他公司ERP产品时,都会涉及到实施。在实施过程中,软件厂商或者商的工作人员会深入到企业进行详细的业务调研,了解企业生产经营的流程、数据流动特点、业务逻辑规则等详细内容,为企业进行ERP实施。系统实施过程长短不一,一般小型企业系统实施在三至六个月即可完成,大型企业时间较长。在此过程中,由于制度的不健全、软件的不稳定、人员变更频繁等综合原因,会计信息风险较大,但由于企业的数据量不大,有些是演示数据或者是并行数据,对企业的影响较小。
(二)ERP应用
ERP系统在应用过程中,会计信息不安全的风险因素多,在上述信息风险范围之内的所有风险都可能会遇到,风险较大。一般存在的风险主要包括以下项目:会计信息被窃取;会计信息不一致;数据被非法篡改;数据丢失。
会计信息安全范文4
关键词:会计信息安全 组织环境 风险评估 监控反馈 制度安排
中图分类号:F23 文献标识码:A 文章编号:1002-5812(2016)03-0026-04
随着我国企业信息化的推进,会计信息化逐步由简单的单用户电算化应用向复杂的深层次网络化运用过渡,会计信息化系统也在一定程度上实现了由核算型向管理型的过渡。在企业会计信息化水平不断提高的同时,作为企业重要资产的会计信息,其完整性、可用性、保密性等方面却受到不同程度的挑战和冲击。如若企业会计信息安全不能得到有效保障,可能会引发相关商业机密的泄漏,严重的会导致企业失去客户、市场,乃至核心竞争力;即便是信息系统的故障也会造成企业的相关业务中断,给企业带来资产与声誉的损失。因此,为了使企业能持续不断的发展,会计信息安全成为了企业管理越来越关注的内容之一。
一、企业会计信息安全的影响因素
企业会计信息安全是指会计信息化环境下,会计信息处于完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。参照国际标准化组织和美国NSTISSC委员会对信息安全的阐述,本文认为企业会计信息安全就是为了使会计信息具有完整性、可用性、保密性和可靠性,而让企业的会计信息和会计信息系统处于必要的保护之下免于未经授权的访问、使用、泄漏、修改和破坏,并适当采取相应政策、培训和教育以及技术等必要手段,其实质就是扎根于企业经营实践活动并与企业战略密切联系的业务保障和管理问题。显然,影响企业会计信息安全的因素必然来源于企业的生产经营实践活动,并与企业的经营管理过程结合在一起。鉴于此,本文认为影响企业会计信息安全的因素不外乎组织环境、信息处理、风险评估、监控反馈、制度安排五个方面内容。
(一)组织环境。企业组织环境是指能对企业生产经营活动和决策产生直接影响并与企业战略目标实现密切相关的因素。企业会计信息安全及相关会计信息系统的运行都必须基于既有的企业组织环境。一般来说,企业组织环境包括企业愿景、企业战略、企业文化、组织结构、员工胜任能力以及管理者素质、管理风格、管理哲学等。企业组织环境对企业会计信息安全的影响作用在很大程度上取决于企业高层管理者。其原因在于,根据企业高层管理者的管理哲学与管理风格以及由其演绎而成的组织结构和企业文化形成了企业会计信息安全环境,并以此构建相应的会计信息安全管控框架,进而形成相应的会计信息安全策略。此外,相关的企业会计信息安全管控策略若要能在企业内部得到有效的持续的实施,也需要企业内所有管理者和员工的共同参与,更是与管理者和员工的安全意识和职业素养密切相关。高层管理者负责制订与企业组织发展方向相关以及影响整个企业战略的会计信息安全管控决策;中层管理者负责将高层管理者所制订的会计信息安全管控决策目标转换成为基层管理者可执行的会计信息安全管控具体目标;基层管理者则负责直接指挥从事具体业务的相关员工进行日常业务作业。
(二)信息处理。企业会计信息处理是一个比较复杂的系统,在这个系统中应该能完整、可靠、安全地采集与企业经营管理相关的各种会计信息,并使这些会计信息以适当的方式在企业有关层级及经过适当授权的客户之间进行有效传递和正确使用。因此,在会计信息化环境下为达到上述要求,企业需要为会计信息处理系统配置适当的软硬件资源。在这种情况下,企业会计信息安全问题就集中于物理硬件的可靠性和支持软件的有效性。物理硬件通常由系统主机、网络线路、终端电脑、附设周边、物化防护等组成,譬如给数据加密的专用设备,添加专用防火墙的服务器,具有加密算法和多数位加密的路由等。支持软件则主要由能实现会计信息采集、整理、加工、传送、使用等功能的会计信息管理软件构成,当然还包括操作系统、网络协议、压缩、加密算法、防病毒等相关软件。
(三)风险评估。风险评估就是分析、识别和控制相关影响会计信息安全目标实现的各种风险的过程,它主要由会计信息安全的目标设定、风险分析、风险识别和风险控制等方面构成。企业要确保其会计信息安全,则必须清楚且能应对各种可能对其会计信息安全产生影响的风险,在不断变化的企业经营环境中进行认真分析,识别并把握其变化规律,制订相关的应对措施,依据会计信息安全面临的问题适时调整企业会计信息安全管控策略和方法。这就要求企业的会计信息安全管控策略要有更长远的时间和更广阔的视野来关注风险,将风险意识贯穿于企业会计信息安全管控的始终,不断完善包括企业经营理念、管理方式、管理风格在内的控制风险环境。为此,企业还需要制订相关的会计信息安全目标,并将这一目标与企业的供应、生产、销售等经营活动进行整合。唯有如此,才能实现整个企业经营管理的协调一致。
(四)监控反馈。企业必须制定监控反馈的政策与程序,才能确保既定会计信息安全目标和必要改进措施的有效实施。一方面,企业经营环境是不断发生变化的,企业经营活动也随之不断变化。在这种情况下,唯有对企业会计信息安全管控系统进行必要的监控,并在必要时加以修订与调整,管控系统及相关的政策与程序才能反应自如。另一方面,企业会计信息处理系统自身也会由于物理硬件或支持软件方面的不确定因素而导致会计信息处理的延误或失效。这样,企业也需适时地对企业会计信息处理系统进行监控,排除不确定因素,维护会计信息处理系统的有效和安全。此外,还应考虑制定怎样的监控反馈政策与程序。通常,过于集权的监控政策会导致因信息缺乏而引起的成本,过于分权的监控政策则会出现因目标不一致而引起的成本。鉴于此,企业对会计信息安全的监控反馈政策与程序的选择应该是权衡这两类成本,使成本之和最小。
(五)制度安排。企业会计信息安全还与企业制度安排密切相关。好的政策制度,能有效协调和激励合意的行为,约束和惩罚不合意的行为,从而带来良好的经济绩效;差的政策制度,则会产生相反的结果。因此,企业在进行会计信息安全方面的制度安排时,需要依据会计信息安全的目标,设计出良好的管控制度,做到能有效地协调和激励符合企业会计信息安全的行为,并能够约束和惩罚不符合企业会计信息安全的行为,进而为企业带来良好的会计信息安全管控效果。需要关注的是,制度安排的效果,还要与其实施的环境密切关联。因为制度实施的环境发生了变化,就有可能使得原先实施效果很好的制度不再那么有效,甚至失效。
二、企业会计信息安全的主要风险问题
通过上文的分析可知,企业会计信息安全受到冲击和挑战的原因很多,具体表现出来的风险问题也是多样的。但是,具体到企业管理实践中,会计信息安全的风险问题基本上集中于员工的会计信息安全认知、会计信息处理系统、风险评估与监控反馈的认识以及对会计信息安全管控制度的执行等几个方面。
(一)员工的会计信息安全认知不足。基于组织环境方面的会计信息安全风险问题多源于企业的员工对会计信息安全认知的不足。其原因在于,与安全有关的问题都离不开“人”这个主体因素。一方面,许多企业管理者的会计信息安全意识、安全知识和安全管理等方面存在不足。譬如,在确定企业会计信息安全管控方案时没有对企业进行全面的自我诊断,仅是对企业的基本状况做了一个大概了解,就直接在企业内部实施现有的标准或者其他企业或组织的成功方案。由于企业既没有充分挖掘会计信息安全现状和对会计信息安全的内在需求,也没有全面考虑利益相关者的利益安全需求,必然会导致企业对会计信息安全的实际需求与其能提供的安全管控之间存在差距。更有甚者,企业管理者对会计信息安全的支持和重视不足,导致企业内部会计信息安全文化缺失和普通员工会计信息安全意识淡薄。另一方面,企业信息化的发展,使得越来越多的非财会相关岗位的普通员工也被包含到企业会计信息安全体系之中。这些员工,甚至一些财会岗位的员工,要么不完全理解会计信息安全的重要性,要么过度信赖企业会计信息安全管控方案,而不愿意把自己的精力和资源放在会计信息安全防护上,或者从根本上就认为即便对会计信息不采取安全防护措施也不一定会造成损失。当然,也存在一些员工由于缺少必要的会计信息安全教育和培训,根本不知道自己不遵守和执行相关的会计信息安全管控方案会对企业带来怎样的不利影响。
(二)会计信息处理系统安全技术滞后。企业会计信息安全需求是随着企业的生产经营活动和企业所处的内外部环境的变化而变化的。但是,很多企业并没有意识到企业会计信息安全需求的动态变化规律,对会计信息安全管控方案依然秉承“投资一次,受用终身”的观念,抱陈守旧。这种投资观直接导致企业会计信息处理系统安全技术跟不上企业生产经营活动和企业所处的内外部环境的变化。具体体现在企业使用的会计信息处理软件本身设计存在缺陷或技术漏洞得不到及时的完善以及杀毒软件、防火墙等相关支持软件不能得到及时更新;没有随着企业业务和环境的变化更新会计信息处理系统导致业务流程描述错误或漏洞、数据访问权限设置不当、关键数据备份不足等问题;以及系统主机、网络线路、终端电脑、附设周边、物化防护等老化损毁等。
(三)会计信息安全风险意识薄弱与风险评估体系缺失。当前,不少企业员工,包括部分企业管理者,其会计信息安全风险意识淡薄,认识不到企业会计信息安全风险的客观性。实际上,企业生产经营活动中,风险是客观存在的,它是无处不在的,也是无时不在的。通常状况下,企业所面临的会计信息安全风险,也与威胁企业实现其战略目标的相关事件密切相关。因此,企业会计信息安全风险的评估,要求企业所有员工能对贯穿于企业方方面面的会计信息安全风险有一个清晰的认知。尤为突出的是,很多企业并没有形成一套有效的会计信息安全风险评估体系来对会计信息处理系统进行风险评估。会计信息安全风险评估体系可以确定各种会计信息采集、整理、处置、披露和使用等行为的边界,明确什么行为是可以做的,什么行为是不可以做的。如果发现有越界的行为,能够及时发现并对其进行控制,进而使得这些越界行为造成的损失降至最低。
(四)会计信息安全监控反馈欠佳。一般来说,企业会计信息安全监控反馈机制可以分为三个步骤。一是对实际会计信息安全的衡量与评估;二是将实际衡量与评估的结果与企业设定的或标准的安全目标进行比较;三是采取必要的管控行动来纠正比较后得出的偏差与不足。显然,会计信息安全监控反馈过程是一个连续行动的过程,其有效性归根结蒂取决于以上的衡量、比较与纠偏三个步骤,其中任何一个步骤或者几个步骤低效率或不作为就会影响企业会计信息安全监控反馈机制的有效性。但是,在现实的企业经营管理实际中,由于企业员工认识不到会计信息安全监控反馈机制是一个衡量、比较与纠偏的连续行动过程,而是过度强调这个监控反馈机制中的某一个步骤或某几个步骤,没有从整个会计信息安全监控反馈机制的全局上考虑,导致企业会计信息安全监控反馈机制运行不畅,监控反馈效果大打折扣,最终使该机制的有效性受到质疑,动摇该机制在企业会计信息安全管控体系中的地位。
(五)会计信息安全管控制度低效。会计信息化依然是个新生事物,企业对会计信息安全管控的认知还处于初级阶段,相关的制度建设尚不完善,有的还处于草创阶段,导致企业日常会计事务的工作制度依然处于缺失状态,会计信息处理系统的使用和维护行为缺乏合理的引导,会计信息处理设备的滥用和误用、会计信息的不当使用等现象时有发生,严重危害企业的会计信息安全。即便企业有相对健全的会计信息安全管控制度,若不能对相关执行人进行必要的激励,也难以使相关制度得到有效执行。其原因在于任何制度都是由人来执行的,要保证制度的执行效果,就必须对执行人进行激励。激励的目的就是当个人的行为能促进企业目标的实现时,能得到企业提供给其相应的价值回报,把企业员工的个人行为动机与企业目标的实现密切关联起来。事实上,很多企业在信息安全管控制度的执行过程中,并没有设立相应的激励指标来推动企业员工为企业信息安全目标的实现而工作。
三、企业会计信息安全的管控建议
针对以上风险问题,企业应该在影响会计信息安全因素的组织环境、信息处理、风险评估、监控反馈、制度安排等方面强化作为。
(一)加强会计信息安全管控组织环境建设。一方面,要强化企业会计信息安全文化建设,在企业内部形成全体员工共同遵循的会计信息安全的信念、价值、意识以及经营哲学等,以此为基础设计相应的企业会计信息安全管控制度,并提供理念支持。还可以在企业文化建设过程中,不断强化企业会计信息安全的重要性和相关会计信息安全管制制度设计的员工参与度,以实现更加公平透明和执行有效的企业会计信息安全管控文化。另一方面,要充分重视人的因素,加强企业员工的职业道德教育和业务素质培养,提高全体员工的职业胜任能力,充分发挥每个员工在完善企业会计信息安全管控制度方面的主观能动性。企业还可以依据员工的工作性质和职位安排,适宜安排企业会计信息安全教育与培训。对企业管理者,强化会计信息安全核心知识、技术手段、风险管理等方面的教育与培训;对企业普通员工,则结合其所在部门的业务特点加强会计信息安全技术手段、风险意识等方面的教育与培训。这样,就可以在企业内部营造企业会计信息安全文化氛围,最大程度地减少人为因素对企业会计信息安全的危害。
(二)适时更新会计信息处理系统安全技术。企业要遵循会计信息安全需求的动态变化规律,对会计信息安全管控方案放弃“投资一次,受用终身”的观念,适时更新会计信息系统处理安全技术,按照“适度防御”的原则,选择合适的安全技术与产品,形成企业适用的安全技术防线。首先,适时更新会计信息处理的安全技术。在企业会计信息处理系统中提供包括用户名、口令等在内的多种身份验证机制,必要时还需嵌入支持双因素认证和具备登录控制模块,同时在会计信息处理的日常作业不受影响的情况下,控制相应员工的访问权限,减少可能的越权操作,保障会计信息处理系统的安全。其次,适时更新会计数据的安全技术。企业应通过适时更新加密等技术手段保护会计信息处理系统中数据的保密性和完整性,提高会计信息数据访问的抗依赖性。此外,还需加强相关会计信息数据的异地崩溃或者灾难恢复机制,通过实现本地会计信息数据能够异地备份和复制,避免本地会计信息处理系统由于崩溃或者灾难等而导致会计信息数据遗失。再次,适时更新网络安全技术。不但要适时更新系统扫描技术并对会计信息处理系统和操作系统层设备进行智能化检测,帮助企业网络管理人员高效完成定期检测和操作系统的漏洞修复,还要适时更新系统实时入侵探测技术来监控主机系统事件,检测可疑特征并给予响应和处置。此外,还要适时更新在企业内外部部署的网络和信息安全设施,强化会计信息处理系统的物理实体管理,同时加强对漏洞扫描系统和入侵检测系统的更新,以实现会计信息处理系统受到内外部误操作或各种攻击时的实时保护。最后,适时完善物理设备的安全防护技术。不但要采取全面可靠的防火墙技术和防病毒系统,还要针对环境的物理灾害、人为蓄意破坏甚至自然灾害采取有效的物化防护技术,保障相关物理设备的安全。
(三)形成会计信息安全风险评估体系。任何企业管理机制的构建都是一个系统工程,能否构建成功且在以后的运行中有效,关键是相关风险的评估。正如管理大师德鲁克所说,没有评估就没有管理。同样的道理,没有评估就不可能实现管理机制的构建与施行。对会计信息安全管制机制的构建亦是如此。为此,企业为了构建有效的会计信息安全管理机制,就需对可能的损害企业会计信息安全的风险进行归集与分类,形成会计信息安全风险评估体系。具体做法,可以采用以下三步。第一步,构建适应企业经营实践和企业会计信息安全要求的会计信息安全风险评估目标体系。既要根据会计信息的完整性、可用性、保密性和可靠性设置会计信息安全的一般目标,又要根据会计信息安全管控环节设置具体目标,譬如会计信息安全管控业务执行的有效性、及时性、正确性等。第二步,按照会计信息处理的授权管理、岗位牵制、资源接触等安全管控类型,分析并得出会计信息处理业务流程和各部门的关键风险控制点和一般风险控制点。最后,根据上述风险控制点设置相应的会计信息安全管控评估指标,并对每个指标进行具体说明,且给出这些指标的评估方法和评分标准。
(四)推行企业全面信息安全监控反馈机制。会计信息安全管控不应该仅仅是涉及到会计信息这样一个狭小的范畴,而应该是一个综合的概念,要把企业的经营环境、愿景理念、组织领导、战略计划等综合起来考虑。既要认识到现代企业中会计信息安全管控的重要性,也要能从会计信息安全的管控上升到企业信息安全管控,推行企业全面信息安全监控反馈机制,实现企业全面信息安全管控,并使之成为企业的管理哲学。首先,要做到内容方式的全面性。不仅要着眼于会计信息安全的管控,还要能从企业战略的高度审视和评估会计信息安全管控,更要注重各种安全技术和方法的综合使用,确保能实现从单纯的会计信息安全管控向企业全面信息安全管控转变。其次,要做到管控过程的全面性。要把会计信息安全管控作为核心贯穿到整个企业经营过程中,即从市场调查、产品开发、生产销售等环节延续到产品售后都要实行相应的会计信息安全管控,确保会计信息从静态安全管控向动态安全管控转变,进而实现会计信息的保护、检测、反应和恢复协调一致。最后,要做到管控人员的全面性。即要求包括企业高管、其他管理人员、工程技术人员和普通员工在内的全体员工都要参与到全面信息安全管控中,各司其职,对会计信息安全负责。
(五)强化会计信息安全管控制度安排。强化企业会计信息安全管控制度建设,不外乎制度本身的完善和既有制度的有效执行。会计信息安全管控制度的完善,就是建立一套完善的会计信息安全管控制度。这既是会计信息本身安全的基础,也是会计信息安全管控的前提。完善的会计信息安全管控制度至少应该包括会计信息处理系统的开发或选购、使用、维护和应急制度,以及机房和终端等会计信息处理系统物理实体管理制度、会计信息数据的使用制度、会计信息数据备份制度、会计信息安全风险评估制度、会计信息安全审计制度等,实现从会计信息数据采集整理到会计信息数据使用备份的会计信息处理全程制度无缝构建,并随着企业经营环境的变化适时更新和完善。而既有会计信息安全管控制度的有效执行,则需充分重视企业员工绩效考核制度。恰当在企业员工的绩效考核中纳入企业会计信息安全评估的内容,使其获得报酬的变量和风险密切关联于企业会计信息安全。这样就可以保证企业员工在会计信息安全管控制度的执行方面上,能够基于企业的长期利益,而不是其个人利益,进而实现既有会计信息安全制度的有效执行。
四、结束语
企业会计信息安全对企业生产经营活动的可持续发展以及对市场经济的建立健全等方面的作用是不容置疑的。但是,也要看到我国关于企业会计信息安全乃至整个企业信息安全管控实践和研究的起步较晚,与发达市场经济国家在初始条件和实践能力方面还存在一定程度的差距。这是我国企业在进行会计信息安全管控时所必须要考虑到的一个基本现实。因此,本文认为企业会计信息化安全管控,既是一个不断发现问题和解决问题的过程,也是一个不断迎接挑战和接受冲击的过程。
参考文献:
[1]张红旗,王新昌,杨英杰等.信息安全管理[M].北京:人民邮电出版社,2007.
[2]胡英松.信息化会计信息安全问题研究[J].哈尔滨商业大学学报(社会科学版),2009,(4):83-85.
[3]ISO.ISO/IEC27002:2005[EB/OL].[2015-08-17].https:///obp/ui/#iso:std:iso-iec:27002:ed-1:v1:en.
[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online,http://csrc.nist.ov/publications/history/dod85.pdf
[5]梅雨.企业财务监控问题解析[J].中国管理信息化,2009,(9):48-50.
[6]Schultz E.The Human Factor in Security[J].Computers and Security,2005,24(6):425-426.
会计信息安全范文5
网络会计信息系统是指构建于互联网及其技术基础上的新一代会计信息系统,通过Internet和Intranet将企业各职能部门、总部与异地分支机构、合作伙伴、社会管理部门以及其他所有社会组织或个体紧密联结,使会计信息的采集、传递、存储、加工、检索、输出、呈报等活动可在全球范围内进行。而且Internet时空的无限性和技术的开放性,使得网络会计超越了时空障碍,实现了会计工作场地虚拟化,资料记录无纸化,数据传递远程化,信息交换数字化,极大地拓展了企业会计核算和管理职能的作用,实现了企业财务与业务、供应链合作企业、社会管理部门之间的协同,大幅提高财务核算和管理效能,有效降低全社会会计信息交流与获取的成本。
但是,网络会计与传统会计相比,其风险更高,更容易出现信息泄密,或遭受系统攻击。不法分子乘机窃取有价值的企业信息及公司客户的各类私人保密信息;恶意地袭击网络会计站点,进行各种可能的破坏,如制造和传播破坏性病毒或让服务器拒绝服务等,这些攻击会引起服务崩溃,信息暴露,从而使企业蒙受巨大的经济损失。因此,采取有效的防护措施,保证网络会计信息系统正确、可靠、连续地运行,是网络时代保护企业利益安全的重要方面。
网络会计信息系统的安全可以从人和技术两大因素来研究。人的理论、业务、管理水平属于内部控制的研究范畴,技术因素是指通过各种管理、技术的控制措施,使系统硬件、软件及其中的数据资源受到保护,不会因其偶然或恶意的行为和事件而使会计信息系统遭到破坏、更改、泄露,保证其连续、可靠、正常地运行。
一、导致网络会计信息系统出现安全问题的因素分析
网络会计信息系统是一种内联网结构的系统。所谓企业内联网(Intranet),是指企业应用互联网的技术和标准,如TCP/IP通信协议、WWW技术规范等建立的企业内部信息管理和交换平台。企业内联网通过互联网,为企业与客户、供应商之间,企业与银行、税务、审计等各部门之间建立开放、公布、实时的双向多媒体信息交流环境,使企业会计与业务一体化处理和实时监控。然而,由于互联网/内联网系统的分布式、开放性等特点,系统的安全性问题更加突出。导致网络会计信息系统出现安全问题的因素主要体现在以下几方面:
(一)网络会计信息系统软硬件技术存在的漏洞
现代操作系统、数据库系统和应用软件的规模日趋庞大、功能日趋复杂。因而,在软件开发过程中,必然存在设计漏洞,甚至故意留下后门(Backdoor),这为外部攻击提供了可趁之机。如有些“间谍软件”能够在用户不知情的情况下秘密进行安装,并悄悄把截获的一些机密信息发送给第三者,还有一些“广告软件”能够在硬盘上安营扎寨,发作时会不断弹出广告,将浏览器引导至某些特定网页,以此盗取用户的活动信息。据IT业界和美国国家安全部共同成立的“国家互联网安全联盟”的估计,目前互联网上流行的间谍软件和广告软件大概有数万个之多。
自然或人为灾害如机房火灾能使计算机、通信设备、软件、数据彻底摧毁,造成不可估量的损失。如果受到水浸,电缆和电器电子设备会因绝缘性能下降而烧毁。雷击产生的强电流,是烧毁电子设备或器件的常见原因等。 作为网络核心的TCP/IP协议设计时完全没有考虑商业公共网下必须的安全机制,通信线路和设备若屏蔽不善,将存在严重的电磁泄露,攻击者可通过辐射感应接收窃取企业的机密信息;在传输过程中,数据以明文方式传递,其机密性、完整性、真实性都存在严重的安全隐患。
(二) 网络会计信息系统相关人员的道德风险
网络安全的最大风险仍然来自于组织内部人员对会计数据的非法访问、篡改、泄密和破坏等方面的风险。因此,内部控制已从会计机构内部扩展到对整个企业内部人员的控制。
网络会计信息系统的关联方也存在着道德风险。网络对会计最直接的影响体现在财务报告由纸质向网络形式的迅速转移,越来越多的企业通过政府指定网站或者自己的门户站点,强制或自愿披露会计信息,以更好地满足社会各方对企业会计信息的需求。网络会计信息系统和社会部门的关联,又引入了新的安全风险。如企业的关税方既包括客户、供应商、合作伙伴、软件供应商或开发商,也包括银行、保险、税务、审计等社会部门。企业与这些关联方存在着特殊的业务和数据交换关系,有部分企业与关联方之间采用专用增值网(VAN)实现电子数据交换(EDI)任务,也有的关联方与企业建立统一的外联网(Extranet)。在外联网内,企业之间通过互联网进行松散型的数据查询、数据交换、服务技术等。因此,无论从业务联系还是从网络联系上看,外联网范围内的企业存在着一种特殊的关系。这种特殊关系使相互间道德风险的发生成为可能。
由于互联网没有国界和时空的限制,来自社会上的道德风险几乎不可避免。社会不法分子对企业内联网的非法入侵和破坏,包括来自网上的信息截收、仿冒、窃听,黑客入侵,病毒破坏等是目前媒体报道最多的风险类型。据报道,反病毒专家截获了一种专门盗取某网上银行用户名和密码的木马病毒,这种病毒竟能绕过Microsoft安全控件和网上银行的CA证书,会在用户计算机中创建可执行文件、修改注册表,轻易地窃取用户的账号和密码。
二、提高网络会计信息系统的安全性技术措施
网络会计信息系统安全包含系统实体安全和系统数据安全两部分。系统实体安全是保护软、硬件安全,保障系统各部件机能正常,系统正常运行。系统数据安全包括静态存储和动态传输的安全。静态存储指网络中存储在中央数据库和各分布式数据库中数据的安全;动态传输是在通信过程中,保证数据的完整性、保密性、有效性和真实性。因此,网络会计信息系统的安全技术包括:
・会计数据的防护技术,包括会计数据的处理和人员的素质的提高;
・网络会计系统的保护技术,包括数据备份、异地存储和远程控制数据加密算法和数字签名技术等。
(一)会计数据的防护技术
首先确立网络会计核算前提,建立科学合理的网络财务会计理论体系,完善会计公认原则。采用科学合理的会计核算方法,利用网络的实时性,将历史信息变为现行信息、定期固定信息变为随时可选信息。确立网络财务报告的基本框架,利用网络开展远程审计、实施实时多方监督,大大减少主观因素的影响;同时,管理人员也可以随时多方调用会计信息,进行监督,提高监督的有效性。
从人员素质来看:一方面通过教育,提高财会人员的思想认识,提高安全防范意识和职业道德水准,严格执行各项规章制度;另一方面要加强专业知识的学习和培训,不断提高财会人员的计算机网络和安全防范手段应用水平,在对网上会计信息进行有效过滤的同时,注意保护本企业的会计信息,防止非法访问和恶意攻击。
(二)网络会计系统的保护技术
国际安全巨头赛门铁克(symantec)公司中国区执行总裁郑裕庆曾说:“防止网络威胁惟一的方法是主动预防,即部署整体的网络安全解决方案,而不是简单的反病毒解决方案。”
1.高效的计算机网络系统应具有容灾、容错技术
容灾系统的关键在于数据同步复制技术。当网络系统在遭遇自然灾害、战争、电力中断、设备故障等不可抗拒的灾难和意外时,一方面能够实施充分的数据备份方案来使保证系统数据的完整性和可用性,使系统能迅速恢复正常运行;另外,可以采用额外的硬件、软件、电源部件或错误处理模块作为系统的后援,在系统硬件发生故障时,自动切换至备份硬件。常用的技术手段有磁盘镜像、RAID、双机热备份、额外的通信设备和线路。
2.及时下载和安装系统补丁,堵住操作系统、数据库管理系统和网络服务软件的漏洞
首先,恶意代码是一种具有破坏力的程序,它通常附着在另一段正常程序之上,随同寄生程序一同被运行,通过盗窃、修改、删除被染计算机的数据而威胁系统的安全。防范恶意代码首先须修补系统漏洞,及时升级和打补丁。其次,安装性能优良的杀毒和防黑软件,定期升级病毒库,定期整机扫描杀毒。再次,加强对网络使用的控制,如禁止访问有安全风险的站点,不下载安装未经认证的程序,不打开不明邮件附件等。
3.实施防火墙可有效提升企业内部网络的安全
防火墙是架构在本地网络与外界网络之间的通信控制设施,可以正确划分资源保护和开放的边界,据此定义访问控制表,对双向的访问数据流实施逐一检查,允许符合企业安全政策的访问,拦截可能危害企业网络安全的访问,从而对企业内部网上敏感数据资源或服务加以保护。
4.密钥技术是网络会计发展的关键环节,既可解决静态会计信息被非授权访问或篡改的问题,又能解决动态会计信息在传输中被截取的问题
在网络上发送财务信息之前,采用有效的安全密钥技术将客户端和服务器之间传输的所有数据都进行加密处理,将明文切换为杂乱无章的密文,接收方须经解密后才能阅读到原始信息内容。加密和解密都在密钥的控制下方能正确完成。虽然网络黑客或其他恶意攻击者可以通过窃听截获数据报文,但由于没有解密所需的密钥,无法恢复明文而不能读懂乱码背后的真实信息。CA认证中心及数字证书为解决身份真实性问题提供了有效的技术机制。CA通过数字证书,统一分配公有信息,授予用户可以合法使用的公、私钥对,实施网络交易安全。
5.访问控制、入侵检测和应急响应机制可以预防大多数的不安全事件,阻止安全威胁
访问控制分为三层,入网访问控制、权限访问控制和属性访问控制。入网访问控制对任一试图进入系统的用户进行基于账号+口令的身份验证,控制其是否有权接入。保持该项控制有效的关键在于合理设置、保护用户口令。权限访问控制为每一用户分配合理、适当的访问权限,明确界定用户对包括目录、文件和设备在内的系统资源拥有的权限,如读、写、建立、删除、更改等。属性访问控制是面向系统资源设置属性,进一步控制用户对文件或设备等资源的访问,使所有用户都不可超越属性所指定的权限范围来操作资源。
网络安全是个动态的改进过程,将防护、检测和响应综合成一循环体,才是更完整的安全策略。在网络会计信息系统内安装适当的入侵检测系统IDS,通过对用户行为、系统资源状态变更的监视,可及时发现入侵事件和系统新的威胁、弱点,识别防火墙等防护设施不能识别的攻击,向系统管理员发出安全警告。一旦检测到入侵事件,立即启动紧急响应和恢复处理机制,响应机制明确规定应对入侵的程序和措施,如切断网络链接、记录事件、报警、恢复系统等。
通过采用安全的数据通信协议,采用安全性强的数据加密算法、实现数据保密等,建立有效的计算机病毒防范体系、网络漏洞监测和攻击防范系统,建立计算机安全应急机制,使用安全的财务软件平台等先进技术,从而确保会计信息的安全。
三、结束语
会计信息安全范文6
[关键词]网络会计 风险 对策
随着计算机网络与信息技术的飞速发展,互联网与信息时代造就了数字化的社会环境,改变了人们的消费方式和企业的经营方法,网络会计成为会计发展的新趋势。网络会计的产生使得会计工作突破传统的时空限制,与现代信息技术高度融合、与企业业务管理系统协同化运作,建立动态的核算系统,大大降低了企业信息采集成本,节约了交易成本,实现了个性化服务。
网络会计是计算机网络化的会计信息系统,其所需处理的各种数据越来越多地以电子形式直接存储于计算机网络之中,对企业各种交易事项进行确认、计量和披露,是电子商务的重要组成部分。从实质上说,网络会计是建立在网络环境基础上的会计信息系统,是一种为适应市场快速变化而设计的、自我学习、进化和快速应变的创新会计系统。
一、网络会计对于企业的影响和意义
1. 对存在会计信息合法性和有效性的影响
因特网造就的是自动化、无纸化、数字化的社会环境,电子符号代替了会计数据,而传统经济活动从签约、履行合同到款项结算,伴随业务过程的信息流一般以书面形式出现,会计核算制度等均离不开这些原始资料,这就需要根据新的相关法律内容,对会计资料的存在形式及其合法性和有效性予以确认;在电子商务环境下,企业会计信息披露范围不仅包括财务信息本身,而且覆盖所有与企业经营有关的方面的非货币信息;会计信息的传递具有实时性,通过互联网进行,具有高效、经济的特点。
2. 对优化会计组织和有效决策的影响
会计组织发生演变,在电子商务环境下,部门出现模糊分工状况,企业管理的许多层次不再表现得那么分明,会计核算的专业功能将随之减弱,代之而起的是财务功能或称管理会计功能进一步得到开发,从而有利于企业整体运营。网络会计的出现,可以压缩组织的中间管理层级;网络会计具有远程处理和适时处理功能,可以产生数据传递的电子化和集中化,从而使总部的远程监控和集中管理成为可能;网络会计可以优化组织的高层决策管理层级,跨地区的公司可以通过网络会计对异地的分支机构实行集中的财务管理,利用网络的互动功能,可以使分布在世界各地的人员共同决策,从而集中各方信息和才智进行更为科学有效的决策。
3. 对会计管理模式和流程再造的影响
网络会计对外必须开放,面向客户。企业的财务管理空间由企业内部走向外部,这就要求企业必须对其传统的业务流程进行再造重组,构造面向顾客和市场的业务流程。随着网络会计在企业中的应用,企业各个职能部门之间信息资源高度共享,企业外部信息和内部信息交流加快,不必等到会计期间结束才制作生成会计报告,从而提供真正的实时企业财务及业绩报告。
二、目前我国网络会计信息系统存在的安全隐患
网络技术改变了整个社会经济的生产结构和劳动结构,打破了传统的企业管理模式和财务管理模式。网络会计信息系统在全面开放的网络环境下随之而来的是各种安全隐患, 同时,目前总体上我国会计信息系统的安全建设较为落后,其突出表现在以下几个方面:
1. 计算机软硬件产品的故障和网络系统的安全性漏洞
计算机的实体硬件,属于相对精细的机器工具,工作环境的多种自然因素和人为的不正确操作也可能损伤计算机主板、硬盘等关键部件。此外,硬件的故障和存储设备的保管不当,会计数据的备份的丢失也是常见的问题。所使用的这些硬件、软件产品中,国产的比例极低。比如各种计算机主机、各种数据库、各种应用系统的访问控制机制中,采用国产专用、集中式授权产品的普遍低于10%。我国现有的财会软件的网络版大多不支持大型会计数据库,保密性差。网络环境下财会工作的要求。网络是实现会计信息化的运行平台,黑客和病毒是网络的大敌。此外,对会计信息的非法侵入,可能造成商业机密的泄露,网络的安全性一直困扰着网络自身的发展。
2. 信息系统的安全建设与管理不规范不系统
(1)国家标准、法律法规不健全
对于网络会计的发展,国家在信息系统建设和安全设计方面无统一的指导性意见,政策和实务层面都尚处于探索之中,国家标准制定严重滞后,存在法律漏洞和非一致性。系统性地针对网络会计的法律体系还没有建立起来。
(2)企业的网络会计缺乏策略指导和系统建设
由于目前多数企业的安全防范意识较弱,企业在进行信息系统的安全建设时缺乏安全思想、安全策略的指导。传统会计系统非常强调对业务活动的使用授权批准和职责性、正确性与合法性,但是在网络财务环境下,财务信息的处理和存储集中于网络系统,大量不同的会计业务交叉在一起,加上信息资源的共享,财务信息复杂,交叉速度加快,使传统会计系统中某些职权分工、相互牵制的控制失效。
3. 企业面临人才缺乏的安全隐患
企业实施网络财务以后,如果没有高层次、高技术复合会计人才的支持与运作,网络财务、电子商务无法真正实现,而目前在我们国内这些人才欠缺是有目共睹的。如果企业在没有找到合适人才的时候盲目实施网络财务,其安全隐患则变得尤为突出。
三、应对网络会计系统信息安全的对策
1. 提高设备性能,完善网络技术
在网络组织的硬件上,要选择可靠性高的设备,力争选择数据专线,组网时,可以选择端口技术和防火墙等防范措施,始终把安全放在第一位。在技术上对会计信息系统的各个层次都要采取安全防范措施,建立综合的多层次的安全体系。例如,在企业内部网络和外部网络接口处建立防火墙;利用加密技术来保护信息安全地在公共网络进行传输并防止电子窃听;利用数字签名技术来验证对方身份、保证数据的完整性等。
2. 加强网络会计系统的内部控制
建立网络会计系统的组织机构和管理制度,完善网络会计的操作控制。建立一套完善健全的内部控制制度,可有效减轻由于内部人员道德风险、系统资源风险和计算机病毒所造成的危害。企业应从软硬件管理和维护控制、组织机构和人员的管理控制、系统环境的管理控制、文档资料的保护和控制、计算机病毒的预防与消除等各方面建立一套行之有效的制度,从制度上保证网络环境下会计系统的安全运行。
3. 加强网络会计立法,建立健全企业系统安全制度
建立能够使计算机网络安全、健康发展的法律制度。通过法律给会计信息化提供健康、良好、宽松的发展环境。对企业而言,应建立网络财务信息的风险预警系统和相应的防范预案。强化网络信息的安全意识,建立日常的系统安全报告制度。在宏观和微观上营造一个有利于网络会计发展的良好环境。
4. 多层次培养会计信息化人才,提高财务人员整体素质
网络会计事业是否能够顺利开展,相关的会计人员是关键。尤其是在初始阶段,在整个网络会计工作方式还未成型时,人的素质和主观能动性表现的更加突出。对现有的财会人员,国家应制定岗位培训计划,并调动企事业单位在该问题上的积极性和主动性,提高财务人员整体素质。
网络已经和更加深入地渗透到企业发展的方方面面,它既是对传统会计的继承,同时又是对传统会计的发展。我们只有在应用网络会计的过程中,逐步解决其存在的实际问题,才能使其更加健康快速地发展。
参考文献:
[1]张瑞君.会计信息系统[M],中国人民大学出版社,2010-01.
[2]胡冬菊.会计信息化发展中存在的问题与对策[J],业务技术,2008-12.
[3]朱丽华.网络环境下会计信息系统的风险及防范[J],中山大学学报论丛,2002-05.
