電子商務會計信息安全問題研究

[摘 要] 電子商務會計是當今會計學領域中一個較新的研究課題#65377;本文嘗試結合一般的信息安全問題對電子商務環境下的會計信息安全問題進行一些初步的研究，以期對解決電子商務環境下的企業會計安全問題提供一點借鑒和參考#65377;

[關鍵詞] 電子商務會計;會計信息系統;信息安全

[中圖分類號]F232[文獻標識碼]A[文章編號]1673-0194(2007)06-0029-03

1 引 言

電子商務的實施和推廣，極大地沖擊了企業的傳統經營和發展模式，也使企業的傳統會計有逐步向電子商務會計過渡的趨勢#65377;

電子商務是一個以Internet為主要平臺#65380;以交易雙方為主體#65380;以銀行支付和結算為主要手段#65380;以客戶數據庫為依托的全新商業模式#65377;因此，如何應對這種全新的商務模式#65380;適應信息化條件下的市場競爭，是企業會計必須面對的嶄新課題#65377;由于電子商務發展所依托的主要平臺——互聯網具有很大的安全風險，電子商務環境下的會計信息同樣也面臨著不可忽視的安全問題#65377;隨著電子商務應用的進一步推廣，電子商務環境下的企業會計信息安全問題的日益凸現，已經成為企業向電子商務時代跨越的一大障礙#65377;因此，解決電子商務環境下的會計信息安全問題已經成為發展電子商務會計中最重要#65380;最基本的工作#65377;

2 電子商務環境下的會計信息安全問題

由于電子商務環境下網絡的復雜性以及會計問題的特殊性，會計信息遇到的安全問題是多方面的#65377;電子商務環境下存在著大量的會計信息安全問題:

(1)網絡安全風險

互聯網是一個開放的環境，置于該環境中的各種服務器數據庫上的信息在理論上都是可以被訪問到的#65377;因此，網絡會計信息系統很難完全抵制非法訪問者的侵擾和攻擊#65377;尤其是當系統程序本身存在問題#65380;系統安全漏洞較大并且系統管理人員尚不自知時，就難以保證服務器上的會計信息系統的信息資源不會被竊取或篡改#65377;當然這種攻擊可能來自于系統外部，也可能來自系統內部，而且一旦發生企業將損失巨大#65377;

(2)無紙化的申報和扣稅帶來稅務稽查問題

在網上交易電子化，電子貨幣#65380;電子發票和網上銀行日漸普及的情況下，納稅人手工上門申報方式已經無法適應電子商務發展的需要#65377;同時，也引出了所謂的電子稅收問題，即如何保證納稅單位忠實無誤地進行網上申報，而稅務稽查的基礎是掌握大量確切的有關納稅人應稅會計信息的證據#65377;

(3)追蹤審計困難

從審計工作的角度看，由于數據高度集中于電子商務系統，電子商務系統對錯誤的處理具有重復性和連續性，電子商務系統中許多不相容職責相對集中，加大了舞弊的風險#65377;此外，會計信息系統設計時可能沒有充分考慮到審計工作的需要，沒有留下充分的審計線索#65377;因此，無紙化的商務環境導致電子商務活動難以追蹤審計，各種會計憑證又可被輕易修改而不留痕跡，傳統的稅務稽查工作失去物質基礎#65377;

(4)相關的法律#65380;法規配套不完善

加強電子商務立法措施，為電子商務會計發展提供一個健全的法律環境#65377;為此，要大膽借鑒和移植發達國家電子商務保護交易安全的成功經驗和制度，并結合中國的實際情況，構造一套強化交易安全保護的法律制度;在計算機及其網絡安全管理的立法上，應針對電子商務交易在虛擬環境中運行的特點，明確提出電子商務交易安全保護的法律措施;隨著電子商務進一步發展，虛擬公司越來越小，而人力資源與知識產權等是其創造價值的動力所在#65377;未來的會計報告必然要求披露知識產權#65380;商譽等的真實情況#65380;確認的公允價值#65377;我國有關電子商務活動的法律法規還難以預想到電子商務會計活動中出現的新問題，這就增加了會計信息安全的不確定性，加大了風險#65377;

(5)現行財務會計軟件的不成熟帶來的會計信息安全風險

由于開發的滯后性，當前市場上流行的各種財務軟件，都與電子商務會計發展的客觀需求存在著一定的差距#65377;開發出的財務軟件適應性差#65380;應變能力不強#65380;相互兼容性不好#65380;抗病毒能力差等弱點已很難適應電子商務會計的需要#65377;電子商務會計軟件的不成熟嚴重阻礙了電子商務會計的充分發展#65377;

會計信息是企業管理的基本依據之一，從事電子商務活動的企業需要利用電子商務網絡進行會計信息的收集#65380;輸入#65380;處理#65380;存儲#65380;輸出#65380;傳遞等活動，如何利用電子商務安全技術對網絡中的會計信息進行保密處理，確保會計信息的安全，是企業面臨的一項重要任務#65377;

3 電子商務環境下的會計信息系統安全策略研究

一般的會計信息系統都包括信息源#65380;輸入#65380;處理#65380;存儲#65380;輸出#65380;反饋和信息匯等幾個構成要素#65377;各構成要素的關系如圖1所示:

在電子商務環境下，會計核算網絡化以后，會計崗位將重新劃分，包括系統設計員#65380;系統管理員#65380;系統操作員#65380;數據錄入員#65380;數據審核員#65380;系統維護員#65380;數據分析員#65380;檔案管理員等，各崗位之間相互聯系#65380;相互監督#65380;相互牽制#65377;會計信息的安全與會計信息系統的構成元素有著密切的關系，因此，我們可以從會計信息系統的各個構成元素來對會計信息安全進行研究，具體分析如下:

3. 1會計信息源的安全

原始會計信息準確性是企業會計問題的基礎，因此，會計信息源安全的意義不言而喻，如果會計信息源遭到攻擊，導致其發出的信息是虛假的或是不準確的，在會計信息系統本身沒有識別能力的情況下，會計信息系統中處理#65380;存儲和輸出的信息肯定是有誤的，傳送到信息匯中的信息也是錯誤的，這必然引發企業一系列的會計問題#65377;因此，如何保證在信息源頭獲取正確的#65380;可靠的原始會計數據，是保證會計信息安全的基礎，否則，一切挽救措施都無從談起#65377;為此，需要在信息源處加上電子審計的功能，以確保其發出的數據是準確的#65380;客觀的#65377;同時，在進入輸入節點時需要加上識別功能，以防錯誤或虛假信息進入會計信息系統#65377;在電子商務的環境下，會計信息源可能在企業外部，非企業本身所能控制，因此，保證會計源發出的信息準確無誤不僅需要各種先進的電子商務安全技術和安全措施作支撐，還需要相關的電子商務法規來保障，同時還需要建立起全社會的誠信系統來維護，以最大限度地減少虛假#65380;錯誤的信息的發生#65377;具體到企業個體來說，信息源責任單位應建立有效的信息安全保密管理制度和技術保障措施，并接受相關業務主管部門的管理#65380;監督和檢查#65377;公司財務主管應有權對信息源責任單位對外公開的信息內容通過瀏覽進行檢查，并要求信息源責任單位就不適宜的信息內容進行修改和刪除等#65377;

3. 2信息輸入節點的安全

數據輸入的正確與否直接影響到賬務處理和賬務輸出的結果#65377;因此會計數據輸入控制顯得尤為重要#65377;在會計信息系統中，每一步的信息輸入要來自上一步的結果，每一步的信息輸出又構成下一步的信息輸入#65377;在電子商務環境下，從會計信息源獲取的數據一般是通過客戶端直接輸入系統的或從另一個系統傳送到系統服務器數據庫的#65377;如果是人工鍵盤輸入，則需要在保證輸入正確的同時防止信息的泄露，還需要采取措施對錄入人員進行培訓和監督，特別是需要進行及時的內部監控，以防有人故意破壞或輸入虛假#65380;錯誤的數據#65377;另外，在輸入技術方面，需要考慮輸入的方式#65380;接口#65380;輸入數據的格式及其轉換問題，這關系到原始會計數據是否能正確地進入系統#65377;病毒的破壞#65380;黑客的攻擊以及人為的失誤等狀況都可能威脅會計數據的正常安全轉換#65377;此外，實際經驗表明，內部人員的干擾和破壞是系會計信息系統安全的最大隱患，因此很有必要為此制定一個嚴格的完善的會計信息安全管理制度，使企業財務系統從設計#65380;投入使用#65380;業務操作#65380;設備管理都有相應的制度監督，對違反規定的員工必須依制度處理，建立相應的監督機制，保證相關制度得到落實#65377;在許多先進的會計信息系統中一般均含有監控模塊或子系統，其作用是對外部信息的輸入進行必要的控制和管理，以及時發現和糾正各種可能的錯誤#65377;

3. 3信息處理部分的安全

數據處理是會計信息系統的核心功能，財務系統處理的業務均與“錢”有關，具有高度的敏感性和機密性，處理結果要求及時#65380;準確#65380;完整，不能有一絲差錯#65377;故一般在數據處理期間，其網絡必須封閉運行，不能連接與業務無關的終端，不能與其他無關的部門共同使用計算機設備，更不能與互聯網相連#65377;當然封閉是相對而言的，對業務相關部門是應開放的，以實現資源共享，提高企業管理水平#65377;需要說明的是，即使對相關部門開放，也需層層加密，授權作業，禁止處理未授權的業務#65377;

信息處理部分的安全隱患也主要來自黑客的攻擊#65380;程序的破壞以及系統開發時留下的bug，這些都會干擾信息系統對會計數據處理的正常處理，甚至會危害整個系統的運行#65377;這些問題與前述的問題有關，但內部人員作案#65380;外部人員或組織的破壞均是可能的#65377;特別是內部人員或前內部人員作案，隱蔽性強，往往難以追蹤，而且破壞性很大，這同樣需要制度化的措施和及時的監控來加以解決#65377;另外，黑客程序的入侵和病毒程序的破壞已經是經常性的問題，因此，實時監控是電子商務網絡和系統必備的措施#65377;應建立操作日志，對日常業務進行全程跟蹤，加強控制，對大額業務單獨列示，詳細反映#65377;認真核對每筆業務，建立嚴格的確認#65380;復核制度，保證數據完整準確#65377;重點監控大額業務#65377;定期評估財務系統的安全性，發現問題及時解決#65377;

3. 4信息輸出部分的安全

由于會計信息系統輸出的財務數據或信息往往涉及企業的商業機密，所以需要采取嚴密的措施進行安全防范#65377;除了前面敘述的問題外，如何防止企業敏感財務信息的泄露是重中之重#65377;對優秀的會計信息系統來說，所有數據輸出活動都應該有記錄，這種記錄主要是針對用戶的#65377;信息審計系統能實時對進出內部網絡數據庫系統的信息進行內容審計，以防止或追查可能的泄密行為#65377;凡屬涉密，按照國家有關法律#65380;法規要求，建議安裝使用信息審計系統#65377;信息輸出的形式往往與采用的保密措施有關，特別是當會計數據或信息以電子化的形式輸出時，需要采用嚴格的制度和紀律加以規范，以防在電子商務網上迅速傳播和泄露#65377;另外，對獲得輸出數據或信息的人和組織必須進行嚴格的審查和監督，并加以控制和施以法律責任，以防止泄密或向外部發布被篡改后的數據或信息，引起爭議或麻煩#65377;

3. 5數據存儲部分的安全

這是會計信息系統最敏感的部分#65377;這部分的安全威脅主要來自黑客對未經授權的數據的瀏覽#65380;修改和刪除#65377;此外，計算機病毒對于存儲的電子數據也是一個極為嚴重的威脅#65377;對企業財務數據信息的安全保護，其重要性已經上升到企業安全的高度#65377;因此，建立一個安全高效的數據存儲管理制度刻不容緩#65377;首先，電子商務系統本身的技術水平#65380;技術措施#65380;系統管理員和數據庫管理員的技術水準和責任心#65380;嚴格的紀律和手段等，是保證數據存儲器安全的先決條件#65377;同時，凡是有權訪問數據的人和組織均有法律責任，對敏感的會計數據進行嚴格的保密#65377;另外，數據存儲安全管理尤其需要隔絕不安全的人#65377;包括:

(1)數據破壞者#65377;毀滅存儲信息#65377;

(2)竊密者#65377;超越權限獲取信息的人都可以稱為竊密者#65377;

(3)不當使用者#65377;不熟悉數據安全和處理的人都可能造成不當使用#65377;

這其中前兩類人有很多是內部人員，也可能以黑客/間諜面目出現#65377;

因此，企業需要加強內部控制，實行嚴格的數據資源授權管理制度#65377;在會計電算化比較完備的企業應建立起網絡系統#65380;計算機系統和數據庫3層訪問權限控制管理制度，安全策略在確定對每個資源管理授權者的同時，還要確定他們可以對用戶授予什么級別的權限#65377;如果沒有數據管理授權者的信息，就無法掌握究竟哪些人在使用數據庫#65377;對于數據中的關鍵財務信息資源，對其可授權范圍應盡可能小，范圍越小就越容易管理，相對也就越安全#65377;在對數據訪問授權者管理的同時，要制定對用戶授權的過程設計，以防止對授權職責的濫用，以防止財務機密外泄和蓄意計算機作案，保證會計信息的安全#65377;

3. 6信息匯的安全

信息匯指的是會計數據流向的目的地，它既可能是企業內外部的組織或者是具體的相關職責個人，也可能是會計信息系統的數據庫#65377;對企業財務部門來說，必須具有強有力的監控措施，對于誰#65380;在什么時候#65380;什么地方#65380;以何種方式#65380;對什么對象#65380;做了什么操作#65380;發生什么結果等都應該進行詳盡的記錄#65377;對這些信息使用者的監控，必須有法律效力#65377;這涉及了信息共享的安全性問題#65377;商務機密的泄漏通常是在信息共享中發生的#65377;因此，除了嚴格的制度和強硬的紀律#65380;法律手段外，還需要有效的安全技術和安全措施作保障#65377;

4 結束語

在電子商務網絡中，會計信息的安全保密問題實際上與一般網絡安全問題有直接的關系，在安全措施和手段上也基本一致#65377;但是會計信息比一般信息敏感，在企業的日常管理方面#65380;財務審計與課稅等方面起重要作用#65377;由于會計信息不同使用者的信息需求有差異，會計信息的可靠性和相關性在某些情況下也不容易同時兼顧#65377;由于在電子商務環境下產生的會計信息一般是以電子化的方式而非書面的形式存在，故其法律效力和原始會計數據的追蹤變得復雜，其安全保密具有特別的意義#65377;對會計數據和信息的安全進行妥善處理，不僅需要技術方面的措施，還需要社會#65380;法律#65380;制度等來保障#65377;

主要參考文獻

[1] George H Bodnar，William S Hopwood. 會計信息系統[M]. 第8版. 北京:清華大學出版社，2001.

[2] 陳少華. 防范企業會計信息舞弊的綜合對策研究[M]. 北京:中國財政經濟出版社，2003.

[3] 中國會計學會. 會計信息化專題:2004[M]. 北京:中國財政經濟出版社，2004.

[4] 于玉林. 現代會計理論:會計系統論#65380;會計信息論與會計控制論[M]. 北京:經濟科學出版社，2004.