淺析網絡環境下會計信息系統安全控制的實現

[摘要]在網絡環境下，會計信息處理表現為適時、便捷和無紙化，這一方面大大加快了會計信息流通的效率；另一方面，網絡環境下的會計信息處理容易導致非客觀性，網上犯罪時有發生，所以。在建立網絡環境下的會計信息系統時，應完善法律控制、健全環境控制、加強組織控制，以確保會計信息系統安全的實現。

[關鍵詞]網絡環境；會計信息系統；安全控制

一、完善法制環境，是會計信息系統安全實現的根本保證

為了對付日益猖獗的計算機犯罪，保護會計信息使用者的權益，國家應制定并實施計算機安全及數據保護法律法規，從宏觀上加強對會計信息系統的控制。如英國政府分別于1984年和1990年頒布實施了《計算機濫用法》(《The Com-puter Misuse Act》)和《數據保護法》(《The Data Protection Act》)，為計算機信息系統提供了一個良好的社會環境。法律是由國家權力機關制定的，依照國家權威性來保證執行，并協調各方面的利益，對社會政治、經濟的發展起到規范和制約的作用，任何組織、任何個人都不可能超越法律所賦予的權限。為了實現會計信息系統的安全控制：首先，必須有法可依。完善的法律法規是一項工作得以順利開展的保證。我國在計算機信息安全管理方面立法較早，從1986年的4月開始，我國相繼制定并頒布了《中華人民共和國信息系統安全保護條例》、《計算機系統安全規范》、《計算機病毒控制規定》等系列法律，并在《刑法》、《刑事訴訟法》、《民法》、《民事訴訟法》、《經濟合同法》等相關法律中寫入了計算機犯罪的有關內容，這有力地打擊了計算機犯罪、病毒的猖撅傳播。但是，我國目前還沒有專門的會計信息系統安全法律法規。只有建立和健全有關會計信息系統的相應法律法規，且應立足于我國國情前提下參照國際有關示范的原則，制定出一套規范的、符合我國國情的網絡環境下會計信息系統方面的法律法規，才能使我國的會計信息系統真正走上健康發展的軌道。其次，必須有法必依。應該說新中國經過半個多世紀的不懈努力，法制化建設邁出了堅實而有力的步伐，已制定、修改、補充和完善了幾千個法規，我國的法律法規體系基本構建起來，但由于法制觀念淡薄。可能不知法，也可能知法犯法，所以，應該堅持不懈地開展宣傳，讓計算機安全法律深入到相關行為人中去，使他們懂法知法，從而依法，有法必依。

二、健全環境控制，是會計信息系統安全實現的前提條件

隨著網上電子商務的發展，各類業務不斷增多，會計數據更加復雜，會計信息的處理量將大大增加，如何使會計信息系統向網絡智能化發展，是網絡環境下會計信息系統對計算機運行環境提出的新要求。為了實現網絡環境下會計信息系統的安全：首先，健全“硬”環境安全控制。這種安全控制是對系統硬件的控制，屬于一種預防性的控制。它包括計算機機房的安全控制、機房設備的保護、安全供電系統的安裝等。也就是說，對于環境的安全要求具有專用的計算機機房，并且計算機機房能夠保持規定的溫度、濕度，能防止靜電、電磁干擾、具有良好的采光照明及噪聲控制設計等。同時，計算機機房還應具有防火、防水、防其他自然災害的設施。除此之外，為保證網絡環境下會計信息系統可靠安全地運行，還必須有一個良好的供電系統，有專門供應計算機設備的穩壓電源及其他動力用電的供配電系統。其次，健全“軟”環境一系統關聯方和企業內部人員道德控制。通過“防火墻”可以控制非法者的入侵。但對于合法者一關聯方非法入侵的防范卻是無能為力的。關聯方從戰略上講是同盟者，是合法用戶，它可以穿越“防火墻”進入企業的內聯網。如果關聯方的某些工作人員缺乏職業道德和社會道德，惡意破壞會計信息系統，以謀取私利，那么，企業內聯網看似“固若金湯”，實則“岌岌可危”。因此，要加強管理，防止合法者的非法活動。其主要措施有：(1)選擇信用好的合作伙伴，這樣可以減少產生風險的概率；(2)內部審計人員要加強對關聯方進入系統后的監控，及時發現問題，及時控制。對于那些有意破壞的關聯方要提出警告，如果情節嚴重者可終止與他們的合作，并公示于眾。企業內部人員道德控制制度對于會計信息系統的安全性是至關重要的。因為內部人員熟悉系統結構與功能，了解系統管理的方法，一旦破壞了系統，那后果不堪設想，因此，要對內部人員的道德加以控制。

三、加強文檔管理組織，是會計信息系統安全實現的必要條件

加強網絡環境下會計信息系統文檔的組織是一項重要的任務。它可在診斷網絡問題時提供方便。隨時更新的文檔可以提供關于網絡環境下會計信息系統應當如何運行，出現問題時應到哪里去尋找答案等信息。加強管理組織的文檔應包括：(1)網絡會計系統的拓撲結構，硬件的位置和布線的細節等；(2)服務器信息，包括每個服務器上的數據、備份計劃和備份存放的地點；(3)關鍵的電話號碼，包括供應商、銷售商、合同商和其它一些有用的人；(4)所有服務協議的副本，包括聯系人和電話號碼；(5)記錄所有問題和它們的癥狀、解決方法、日期、聯系方法、過程和結果的一個列表等。

四、加強組織控制，是會計信息系統安全實現的必要基礎

組織控制是一種統領性的控制，它可以全面分配和組織各種控制制度及具體措施。由于互聯網的信息系統屬于一種分布式處理結構，計算機服務功能站分布于企業內部各財務及業務應用部門，實行會計與業務協同處理，因而要使之彼此相互協調。組織控制為了實現這一目標，對企業中人與人之間的責、權、利的安排。組織制度主要包括企業組織結構的設計、職權的劃分、崗位的設置、人事安排等制度。其目的在于營造良好的環境。加強組織控制，建立會計信息系統管理安全工作體系，建立網絡環境下會計信息系統安全管理機制，是實現會計信息系統安全運行的，必要條件，實踐和經驗證明，抓企業會計信息系統安全、防止計算機犯罪。就必須要有一個專職管理和相應專業技術結合的體系，集中精力、專心致志地努力工作。具體來說：首先，加強部門設置與人員配置控制。在網絡環境下，由于它的三層結構體系(企業內聯網、企業外聯網、互聯網)，需設置相應機構確保系統內、外的信息溝通。設置的部門主要有：會計部門(負責會計信息輸入、審核與輸出)、業務部門(負責業務的交易與原始電子憑證的認證)、信息處理部門(負責對企業所有的信息進行處理并確保處理的正確性、安全性和及時性)、內部審計部門(監督企業整個業務過程與信息加工處理過程)等。只有建立一個嚴謹的組織體系，才能使網絡環境下的會計信息系統有一個完善的運行機制，從而在組織上得到保障。其次是加強職責分離控制。組織制度的基本要求是做到職責分離，即業務處理與業務記錄的分離、數據處理部門內部各崗位的職責分離。在網絡環境下，交易基本是在網絡系統中完成的，所以，一般會計業務的審批要限制在電子數據處理部門之外，電子數據處理部門無權審批業務和修改業務，所有的電子數據處理業務都必須經過授權管理，因此，電子數據處理部門的職責是負責業務的記錄，并在此基礎上對業務信息進行分析，為決策者提供有用的決策信息。網絡環境下電子數據處理的特點之一是將所有的會計資料集中起來，統一處理，這使得某些本應分離的不相容的職責集中化了。因此，在電子處理部門內部。還應當進行正確的職責分工，從而使有關的人員在數據處理中難以越權，以避免舞弊、犯罪行為的發生和防止差錯的出現，保證系統的可靠運行。一般來說，在電子處理部門內部應做到對系統分析、程序設計、系統操作、文檔管理、網絡管理和控制等六種職責加以分離。總之，加強人員安全管理，明確人員的崗位職責，加強計算機運行安全管理，堅持實行分權制約、有限授權原則。切實保證運行操作的有限性、可控性、可監督性以及可審計性：建立安全事件應急反應中心，加強對突發事件的處理：建立網絡安全監控中心，加強對網絡的安全監控與安全管理；建立病毒防范中心，加強對計算機病毒的防范與清除；加強風險管理，重點對計算機信息系統進行風險分析、風險評估、安全審計，做好防范措施的設計、認證和應急計劃的制定工作，使得計算機信息系統受到的危害或損失降到最低程度。