基于ERP環境下的會計信息安全體系研究

王鐵 王成 孟祥成

【摘 要】 會計信息安全在ERP系統中非常重要。文章基于ERP環境分析會計信息的本質，建立了會計信息安全體系模型，即“1+1，智能大廈+安全大廈”，并對安全體系模型進行應用研究，通過此模型解決會計信息安全問題，為企業主管領導指明了會計信息安全的解決對策和思路。

【關鍵詞】 會計信息安全； ERP； 智能大廈； 安全大廈

一、引言

隨著社會信息化進程的不斷加快，計算機技術和網絡技術普遍應用于企業生產經營和管理實踐中，對企業的管理模式、管理體系帶來了巨大的改變。近十年來，ERP系統的發展尤其迅速，現在的ERP系統主要包括企業的財務管理、生產管理、采購管理、銷售管理、庫存管理、人力資源管理等，并且成熟的ERP系統可以與企業其他系統進行有效和必要的集成，ERP從最初的會計電算化發展到今天，其不斷成熟與持續的擴展應用，在一定程度上代表了企業信息化水平和管理水平。

在企業信息化不斷提高的同時，不能回避的就是系統安全問題。在ERP中，財務管理是核心，而會計信息則是財務管理的基礎。國內學者在研究會計信息安全時，主要是從單方面來研究，如計算機硬件安全、軟件安全、會計人員管理、規章制度等方面。這些研究取得了較好的效果，在企業里應用較好，但在ERP領域，由于會計信息系統與其他子系統緊密地結合在一起，僅從單方面研究是不夠的，必須從全局和整體上研究，再到各個部門、各個子系統進行細化。本文主要研究在ERP環境下，企業如何保證會計信息的安全，采取何種有效的方法來規避會計信息存在的風險，為ERP的安全運行提供保障。

二、會計信息安全概述

（一）會計信息安全的基本概念

本文研究的會計信息安全，主要是指基于ERP環境下的安全，即企業單位的會計信息系統及其相應的硬件、軟件資源受到系統性保護，在遇到偶然或者惡意事件時不會遭到破壞、信息不會外泄或者更改，系統能夠可靠、有效地運行。會計信息安全是企業的根本，在商業競爭白熱化的今天，企業必須要保證自身信息的安全。

（二）會計信息安全的本質

會計信息安全的本質就是數據的安全。信息處理是通過數據這個載體來實現的。數據是記錄客觀事物的性質、形態、數量特征的抽象符號，例如文字、數字、圖形、曲線等。會計信息是由數據產生的，是對數據加工處理后得到的信息，是反映企業財務狀況的基礎，是企業決策的重要依據。

反映會計信息的數據，在ERP系統中有多種表現形式。主要如下：

1.基礎數據。基礎數據是指反映會計信息最基礎的數據單元，以從銀行取款為例，會計分錄如下：

借：庫存現金 100

貸：銀行存款 100

在系統中，上述會計分錄包含的基礎數據的項目主要有會計科目編號、科目名稱、金額、科目方向、日期、制單人、制單日期、審核人、審核日期等。

基礎數據一般存于數據庫中，存在形式為電子形式，基礎數據是企業信息化管理的根本，也是安全保護的核心內容。

2.賬表數據。賬表是根據企業業務需要，基于基礎數據生成的各種報表，如資產負債表、損益表、科目賬、客戶往來賬、部門輔助賬、個人往來賬、供應商往來賬等。賬表數據存在形式主要有電子形式、普通文件形式（生成或導出的報表文件）、紙面形式（打印）等。

3.存檔數據。根據會計工作的需要，有些歷史數據或者往年數據需要存檔，即為存檔數據。存檔數據存在形式主要有電子形式、文件形式等。

4.流動數據。ERP的運行必須依托于計算機網絡，數據從客戶端到服務器端，中間的傳遞要經過計算機網絡，在計算機網絡中傳遞的數據都屬于流動數據。流動數據的存在形式是電子形式。

5.備份數據。為了防止信息系統受到意外破壞，一般要對數據庫及其相關數據進行必要的備份，形成備份數據。數據備份可以以天、星期、月、年為單位完成，備份時間間隔越短，形成的數據量越大。備份數據的存在形式為電子形式、文件形式（在計算機中存儲）、光盤（刻錄）等。

（三）影響會計信息安全的因素

影響會計信息安全的因素較多，主要因素總結如表1所示。

三、會計信息安全風險分析

ERP系統的生命周期一般要經歷選型與實施、應用與維護及切換等漫長的周期，在每個階段，企業應用都會面臨一些風險。筆者根據多年來從事ERP系統實施及維護的經驗，基于會計信息安全角度分析其風險。

（一）ERP選型與實施

企業在ERP選型過程中，一般要與多家軟件供應商進行接觸，最后選擇3至5家比較適合自身企業實際情況的軟件供應商進行進一步的考察，同時軟件供應商也會深入到企業進行調研，在此過程中，軟件供應商一般會接觸企業宏觀的一些業務，具體的業務細節涉及較小，因此安全風險小。

在企業成功選型后，即進入ERP項目實施階段，從目前軟件市場來看，除非是企業自身研制的ERP系統，使用其他公司ERP產品時，都會涉及到實施。在實施過程中，軟件廠商或者代理商的工作人員會深入到企業進行詳細的業務調研，了解企業生產經營的流程、數據流動特點、業務邏輯規則等詳細內容，為企業進行ERP實施。系統實施過程長短不一，一般小型企業系統實施在三至六個月即可完成，大型企業時間較長。在此過程中，由于制度的不健全、軟件的不穩定、人員變更頻繁等綜合原因，會計信息風險較大，但由于企業的數據量不大，有些是演示數據或者是并行數據，對企業的影響較小。

（二）ERP應用

ERP系統在應用過程中，會計信息不安全的風險因素多，在上述信息風險范圍之內的所有風險都可能會遇到，風險較大。一般存在的風險主要包括以下項目：會計信息被竊取；會計信息不一致；數據被非法篡改；數據丟失。

（三）ERP維護

ERP系統維護一般是指系統出現軟件錯誤或者邏輯錯誤、模塊修改、軟件升級等，由軟件公司出人負責對系統進行維護，使系統符合企業的實際需要。在現行的軟件管理技術手段中，軟件公司對ERP維護一般包括三種方式：電話或者電子郵件指導（由企業自身人員完成維護工作）、現場維護、遠程維護等。在維護過程中，軟件公司人員可以看到企業的數據，要嚴格控制風險，防止企業工作人員“趁火打劫”，對信息進行竊取或者破壞并將責任推給他人。

（四）ERP廢除和新系統的建立

在企業正常運營情況下，如果目前使用的ERP系統不能滿足企業發展的需要，企業會廢除當前使用的ERP系統，更換新的系統，即系統切換。系統切換周期較長，一般會進行ERP系統的選型和實施工作，將有新人參與到系統切換工作中進行業務調研和業務梳理。由于對系統進行大規模的調整，風險較大。

四、安全體系的建立

企業在應用ERP系統時，必須保證系統的安全，前文分析了信息安全風險，由于影響的因素較多，因此需要建立一套完善的安全體系。企業的ERP系統與現代的高樓大廈十分相似，由底層向上依次為硬件系統、系統軟件、應用軟件等，在建設和維護ERP時，與建樓和對樓的維護相似，本文設計了“1+1”的會計信息安全模型，即“安全大廈+智能大廈”，模型如圖1所示。

對模型的若干說明：

（一）內層

內層是ERP系統的核心部分，是核心架構模型，是ERP軟件級別的安全模型，其中包括數據庫管理系統和ERP應用軟件及ERP系統運行過程中的各種數據和各類人員。在內層中，ERP系統本身會提供應用級別的安全控制體系，包括各類操作人員和各種數據的安全保護，使ERP系統能夠正常運行，保證數據不丟失、不被破壞和數據的完整性等。

（二）安全防護層

安全防護層是企業為了保證信息系統安全運行采取的安全保護措施，是企業級別的安全模型，包括底層硬件平臺、系統軟件平臺、數據庫管理系統等。執行人員為企業的主管領導和網絡管理人員。

（三）智能報警防護層

智能報警防護層是指當數據或者業務違反了預先設計的規則，由系統主動向企業管理人員發送預警信息，相關人員根據信息安全級別進行響應。智能報警防護層是智能級別的安全模型。

（四）信息安全監控

信息安全監控是指從企業信息系統運行整體情況出發，由企業網絡管理人員和部門主管主動發現網絡異常、數據異常等，并進行處理。信息安全監控是自主級別的安全模型。

（五）安全中心

安全中心是企業為了保證ERP系統安全運行建立的行政部門，一般與信息部門合并，共同行使職責。

五、模型應用

（一）“安全大廈”的建立

“安全大廈”的建立指ERP系統的實施階段。在實施階段，會計信息處于規劃、整理和初始化狀態，企業應用ERP中的模塊越多，會計信息越復雜。在此階段，會計信息安全主要指基礎數據的安全，包括會計分錄設置、客戶資料、供應商資料、期初余額等。此過程涉及的人員主要包括ERP軟件方實施人員、企業的會計或者賬務主管、企業會計人員及相關模塊的操作人員。安全模型圖如圖2所示。

在ERP系統實施開始時，一般要與軟件公司簽訂《實施安全協議》，同時為了方便實施操作，軟件公司經常采用遠程管理的方式對企業數據進行維護，在開通遠程操作時，應與軟件公司簽訂《遠程許可協議》，保證基礎數據的安全。在企業內部，制定《規章制度》，規范人員操作，加強對數據的安全保護。

（二）“安全大廈”的維護

實施成功后，即進入“安全大廈”的維護階段，這是企業日常運營及管理階段，也是企業會計信息安全保護的主要階段。會計信息安全主要在于“安全防護層”，包括硬件、軟件、人員、法規等。在硬件和法規上，管理較簡單，本文從軟件和人員兩方面進行分析。

從信息技術上講，安全管理的人員為企業的網絡管理人員，主要保護手段要通過第三方安全軟件實現，如防火墻、殺毒軟件，另外管理人員的經驗也是必不可少的。維護階段會計信息安全的子模型如圖3所示。

（三）“智能大廈”的應用

“智能大廈”主要體現在整套系統的智能報警子系統上，即建立會“說話”的安全系統。智能報警需要建立報警規則，主要通過以下幾方面實現：

1.應用軟件報警。完備的ERP系統會提供關鍵數據報警功能，如會計人員越權使用系統、票據的金額過大或過小而超過許可范圍等。

2.數據庫報警。現代大型數據庫一般提供警報功能，通過在后臺管理進行詳細設置報警規則，當某些敏感數據違反規則時，將報警信息發送給相關人員進行處理。

3.網絡報警。網絡報警一般通過路由器來實現，通過路由器可以監控企業網絡流量、非法修改網絡參數、網絡運行異常狀況等。

報警信息一般可以通過手機短信、電子郵件或者其他媒介來接收，保證報警信息的有效性，以提高會計信息安全。

（四）“安全大廈”的轉移

在我國，由于ERP應用時間較短，極少企業涉及“安全大廈”轉移。“安全大廈”轉移即系統切換。在ERP系統進行切換時，對原始電子數據有兩種處理方法，一種是完整的備份，待將來業務需要時進行查詢；另外一種是將數據直接轉移到新系統中，銷毀舊系統，今后所有的歷史數據查詢都在新系統中實現。一般說來，當數據量較小時，使用后一種方法處理較為合適，但如果數據量大時，使用備份的方法較為可行。

六、結束語

在ERP環境下，企業會計信息安全更為重要，本文基于ERP的生命周期，設計了會計信息安全的“1+1”模型，即“安全大廈+智能大廈”模型，并對模型進行了應用研究，以期對企業領導管理企業、維護信息系統安全起到關鍵作用。

【主要參考文獻】

［1］ 林茂.ERP軟件財務會計系統安全風險防范［J］.財會月刊，2010（12）：60-61.

［2］ 吳占坤.基于網絡環境的會計信息系統安全體系建設研究［J］.財會通訊，2009（9）：119-120.

［3］ 何日勝.論信息環境下企業會計信息安全體系［J］.會計之友，2011（7）：124-125.

［4］ 羅紅.網絡會計信息系統安全問題研究［J］.財會通訊，2011（7）：33-35.