电子商务会计信息安全问题研究电
电子商务会计信息安全问题研究
[摘要]电子商务会计是当今会计学领域中一个较新的研究课题本文尝试结合 一般的信息安全问题对电子商务环境下的会计信息安全问题进行一些初步的研 究,以期对解决电子商务环境下的企业会计安全问题提供一点借鉴和参考
[关键词]电子商务会计;会计信息系统;信息安全
1引言
电子商务的实施和推广,极大地冲击了企业的传统经营和发展模式,也使企 业的传统会计有逐步向电子商务会计过渡的趋势
电子商务是一个以Internet为主要平台以交易双方为主体以银行支付和结 算为主要手段以客户数据库为依托的全新商业模式因此,如何应对这种全新的商 务模式适应信息化条件下的市场竞争,是企业会计必须面对的崭新课题由于电子 商务发展所依托的主要平台——互联网具有很大的安全风险,电子商务环境下的 会计信息同样也面临着不可忽视的安全问题随着电子商务应用的进一步推广,电 子商务环境下的企业会计信息安全问题的日益凸现,已经成为企业向电子商务时 代跨越的一大障碍因此,解决电子商务环境下的会计信息安全问题已经成为发展 电子商务会计中最重要最基本的工作
2电子商务环境下的会计信息安全问题
由于电子商务环境K网络的复杂性以及会计问题的特殊性,会计信息遇到的 安全问题是多方面的电子商务环境下存在着大量的会计信息安全问题:
(1) 网络安全风险
互联网是一个开放的环境,置于该环境中的各种服务器数据库上的信息在理 论上都是可以被访问到的因此,网络会计信息系统很难完全抵制非法访问者的侵 扰和攻击尤其是当系统程序本身存在问题系统安全漏洞较大并且系统管理人员 尚不自知时,就难以保证服务器上的会计信息系统的信息资源不会被窃取或篡改 当然这种攻击可能来自于系统外部,也可能来自系统内部,而且一旦发生企业将 损失巨大
(2) 无纸化的申报和扣税带来税务稽查问题
在网上交易电子化,电子货币电子发票和网上银行日渐普及的情况下,纳税 人手工上门申报方式已经无法适应电子商务发展的需要同时,也引出了所谓的电 子税收问题,即如何保证纳税单位忠实无误地进行网上申报,而税务稽查的基础 是掌握大量确切的有关纳税人应税会计信息的证据
(3) 追踪审计困难
从审计工作的角度看,由于数据高度集中丁•电子商务系统,电子商务系统对 错误的处理具有重复性和连续性,电子商务系统中许多不相容职责相对集中,加 大了舞弊的风险此外,会计信息系统设计时可能没有充分考虑到审计工作的需要, 没有留下充分的审计线索因此,无纸化的商务环境导致电子商务活动难以追踪审
计,各种会计凭证又可被轻易修改而不留痕迹,传统的税务稽查工作失去物质基 础
(4) 相关的法律法规配套不完善
加强电子商务立法措施,为电子商务会计发展提供一个健全的法律环境为此, 要大胆借鉴和移植发达国家电子商务保护交易安全的成功经验和制度,并结合中 国的实际情况,构造一套强化交易安全保护的法律制度;在计算机及其网络安全 管理的立法上,应针对电子商务交易在虚拟环境中运行的特点,明确提出电子商 务交易安全保护的法律措施;随着电子商务进一步发展,虚拟公司越来越小,而人 力资源与知识产权等是其创造价值的动力所在未来的会计报告必然要求披露知 识产权商誉等的真实情况确认的公允价值我国有关电子商务活动的法律法规还 难以预想到电子商务会计活动中出现的新问题,这就增加了会计信息安全的不确 定性,加大了风险
(5) 现行财务会计软件的不成熟带来的会计信息安全风险
由于开发的滞后性,当前市场上流行的各种财务软件,都与电子商务会计发 展的客观需求存在着一定的差距开发出的财务软件适应性差应变能力不强相互 兼容性不好抗病毒能力差等弱点己很难适应电子商务会计的需要电子商务会计 软件的不成熟严重阻碍了电子商务会计的充分发展
会计信息是企业管理的基本依据之一,从事电子商务活动的企业需要利用电 子商务网络进行会计信息的收集输入处理存储输出传递等活动,如何利用电子商 务安全技术对网络中的会计信息进行保密处理,确保会计信息的安全,是企业面 临的一项重要任务
3电子商务环境下的会计信息系统安全策略研究
一般的会计信息系统都包括信息源输入处理存储输出反馈和信息汇等几个 构成要素各构成要素的关系如图1所示:
在电子商务环境下,会计核算网络化以后,会计岗位将重新划分,包括系统设 计员系统管理员系统操作员数据录入员数据审核员系统维护员数据分析员档案 管理员等,各岗位之间相互联系相互监督相互牵制会计信息的安全与会计信息系 统的构成元素有着密切的关系,因此,我们可以从会计信息系统的各个构成元素 来对会计信息安全进行研究,具体分析如下:
1. 1会计信息源的安全
原始会计„确性是企业会计问题的基础,因此,会计信息源安全的意义
不言而喻,如果会计信息源遭到攻击,导致其发出的信息是虚假的或是不准确的, 在会计信息系统本身没有识别能力的情况下,会计信息系统中处理存储和输出的 信息肯定是有误的,传送到信息汇中的信息也是错误的,这必然引发企业一系列 的会计问题因此,如何保证在信息源头获取正确的可靠的原始会计数据,是保证 会计信息安全的基础,否则,一切挽救措施都无从谈起为此,需要在信息源处加上 电子审计的功能,以确保其发出的数据是准确的客观的同时,在进入输入节点时 需要加上识别功能,以防错误或虚假信息进入会计信息系统在电子商务的环境下, 会计信息源可能在企业外部,非企业本身所能控制,因此,保证会计源发出的信息 准确无误不仅需要各种先进的电子商务安全技术和安全措施作支撑,还需要相关 的电子商务法规来保障,同时还需要建立起全社会的诚信系统来维护,以最大限
度地减少虚假错误的信息的发生具体到企业个体来说,信息源责任单位应建立有 效的信息安全保密管理制度和技术保障措施,并接受相关业务主管部门的管理监 督和检查公司财务主管应有权对信息源责任单位对外公开的信息内容通过浏览 进行检查,并要求信息源责任单位就不适宜的信息内容进行修改和删除等
1. 2信息输入节点的安全
数据输入的正确与否直接影响到账务处理和账务输出的结果因此会计数据 输入控制显得尤为重要在会计信息系统中,每一步的信息输入要来自上一步的结 果,每一步的信息输出又构成下一步的信息输入在电子商务环境下,从会计信息 源获取的数据一般是通过客户端直接输入系统的或从另一个系统传送到系统服 务器数据库的如果是人工键盘输入,则需要在保证输入正确的同时防止信息的泄 露,还需要采取措施对录入人员进行培训和监督,特别是需要进行及时的内部监 控,以防有人故意破坏或输入虚假错误的数据另外,在输入技术方面,需耍考虑输 入的方式接口输入数据的格式及其转换问题,这关系到原始会计数据是否能正确 地进入系统病毒的破坏黑客的攻击以及人为的失误等状况都可能威胁会计数据 的正常安全转换此外,实际经验表明,内部人员的干扰和破坏是系会计信息系统 安全的最大隐患,因此很有必要为此制定一个严格的完善的会计信息安全管理制 度,使企业财务系统从设计投入使用业务操作设备管理都有相应的制度监督,对 违反规定的员工必须依制度处理,建立相应的监督机制,保证相关制度得到落实 在许多先进的会计信息系统中一般均含有监控模块或子系统,其作用是对外部信 息的输入进行必耍的控制和管理,以及时发现和纠正各种可能的错误 3. 3信 息处理部分的安全
数据处理是会计信息系统的核心功能,财务系统处理的业务均与“钱”有关, 具有高度的敏感性和机密性,处理结果要求及时准确完整,不能有一丝差错故一 般在数据处理期间,其网络必须封闭运行,不能连接与业务无关的终端,不能与其 他无关的部门共同使用计算机设备,更不能与互联网相连当然封闭是相对而言的, 对业务相关部门是应开放的,以实现资源共享,提高企业管理水平需要说明的是, 即使对相关部门开放,也需层层加密,授权作业,禁止处理未授权的业务
信息处理部分的安全隐患也主要来自黑客的攻击程序的破坏以及系统开发 时留下的bug,这些都会干扰信息系统对会计数据处理的正常处理,甚至会危害 整个系统的运行这些问题与前述的问题有关,但内部人员作案外部人员或组织的 破坏均是可能的特别是内部人员或前内部人员作案,隐蔽性强,往往难以追踪,而 且破坏性很大,这同样需要制度化的措施和及时的监控来加以解决另外,黑客程 序的入侵和病毒程序的破坏已经是经常性的问题,因此,实时监控是电子商务网 络和系统必备的措施应建立操作日志,对日常业务进行全程跟踪,加强控制,对大 额业务单独列示,详细反映认真核对每笔业务,建立严格的确认复核制度,保证数 据完整准确重点监控大额业务定期评估财务系统的安全性,发现问题及时解决
3. 4信息输出部分的安全
由于会计信息系统输出的财务数据或信息往往涉及企业的商业机密,所以需 要采取严密的措施进行安全防范除了前而叙述的问题外,如何防止企业敏感财务 信息的泄露是重中之重对优秀的会计信息系统来说,所有数据输出活动都应该有 记录,这种记录主要是针对用户的信息审计系统能实时对进出内部网络数据库系 统的信息进行内容审计,以防止或追查可能的泄密行为凡属涉密,按照国家有关 法律法规要求,建议安装使用信息审计系统信息输出的形式往往与采用的保密措
施有关,特别是当会计数据或信息以电子化的形式输出时,需要采用严格的制度 和纪律加以规范,以防在电子商务网上迅速传播和泄露另外,对获得输出数据或 信息的人和组织必须进行严格的审查和监督,并加以控制和施以法律责任,以防 止泄密或向外部发布被篡改后的数据或信息,引起争议或麻烦
3. 5数据存储部分的安全
这是会计信息系统最敏感的部分这部分的安全威胁主要来自黑客对未经授 权的数据的浏览修改和删除此外,计算机病毒对于存储的电子数据也是一个极为 严重的威胁对企业财务数据信息的安全保护,其重耍性己经上升到企业安全的高 度因此,建立一个安全高效的数据存储管理制度刻不容缓首先,电子商务系统本 身的技术水平技术措施系统管理员和数据库管理员的技术水准和责任心严格的 纪律和手段等,是保证数据存储器安全的先决条件同时,凡是有权访问数据的人 和组织均有法律责任,对敏感的会计数据进行严格的保密另外,数据存储安全管 理尤其需要隔绝不安全的人包括:
(1) 数据破坏者毁灭存储信息
(2) 窃密者超越权限获取信息的人都可以称为窃密者
(3) 不当使用者不熟悉数据安全和处理的人都可能造成不当使用
这其中前两类人有很多是内部人员,也可能以黑客/间谍面目出现
因此,企业需要加强内部控制,实行严格的数据资源授权管理制度在会计电 算化比较完备的企业应建立起网络系统计算机系统和数据库3层访问权限控制 管理制度,安全策略在确定对每个资源管理授权者的同时,还要确定他们可以对 用户授予什么级别的权限如果没有数据管理授权者的信息,就无法掌握究竟哪些 人在使用数据库对于数据中的关键财务信息资源,对其可授权范围应尽可能小, 范围越小就越容易管理,相对也就越安全在对数据访问授权者管理的同时,要制 定对用户授权的过程设计,以防止对授权职责的滥用,以防止财务机密外泄和蓄 意计算机作案,保证会计信息的安全
3. 6信息汇的安全
信息汇i旨的是会计数据流向的目的地,它既可能是企业内外部的组织或者是 具体的相关职责个人,也可能是会计信息系统的数据库对企业财务部门来说,必 须具有强有力的监控措施,对于谁在什么时候什么地方以何种方式对什么对象做 了什么操作发生什么结果等都应该进行详尽的记录对这些信息使用者的监控,必 须有法律效力这涉及了信息共享的安全性问题商务机密的泄漏通常是在信息共 享中发生的因此,除了严格的制度和强硬的纪律法律手段外,还需要有效的安全 技术和安全措施作保障
4结束语
在电子商务网络中,会计信息的安全保密问题实际上与一般网络安全问题有 直接的关系,在安全措施和手段上也基本一致但是会计信息比一般信息敏感,在 企业的日常管理方而财务审计与课税等方而起重要作用由于会计信息不同使用 者的信息需求有差异,会计信息的可靠性和相关性在某些情况下也不容易同时兼 顾由于在电子商务环境下产生的会计信息一般是以电子化的方式而非书面的形 式存在,故其法律效力和原始会计数据的追踪变得复杂,其安全保密具有特别的 意义对会计数据和信息的安全进行妥善处理,不仅需要技术方面的措施,还需要 社会法律制度等来保障
主要参考文献
[1] George H Bodnar, William S Hopwood.会计信息系统[M].第 8 版. 北京:清华大学出版社,2001.
[2] 陈少华.防范企业会计信息舞弊的综合对策研究[M].北京:中国财政 经济出版社,2003.
[3] 中国会计学会.会计信息化专题:2004[M].北京:中国财政经济出版 社,2004.
[4] 于玉林.现代会计理论:会计系统论会计信息论与会计控制论[M].北 京:经济科学出版社,2004.