在信息社会中,各行各业都在走信息化的道路,因此,信息化也给各行业带来了许多新的问题。会计信息的安全就是指在会计信息化的环境下,会计信息具有完整性、可用性、保密性和可靠性的状态,它来自于会计数据的完整和会计数据的安全。会计数据的完整是指与损坏和丢失会计数据相对的状态,它通常指会计数据代表的会计信息是可靠的、可用的。会计数据的不安全是指会计数据被有意窃取或损坏的状态。会计信息化,由于存储介质、处理手段、处理程序等各方面的变化,会计信息化中会计信息的安全问题就成了会计行业重要的新问题。
一、信息化下会计信息安全的新特点
以计算机为处理手段的会计信息系统,不仅具有电子数据处理系统的共性,而且具有以下几个自身特征,决定了新系统中会计信息的安全新特性。
1.集中化与自动化处理的变化
计算机方式下会计信息系统,各种核算工作都由计算机集中处理。在网络环境中,信息可以被不同的用户分享,数据处理更具有集中化的特点。由于网络中每台计算机只能作为一个用户完成特定的任务,使数据处理又具有相对分散的特点。计算机方式下会计信息系统,在会计信息的处理过程中,人工干预较少,由程序按照指令进行管理,具有自动化的特点。因此,财务软件的优劣就直接影响到会计信息的安全。
2.人机结合的操作变化
会计工作人员是会计信息系统的组成部分,不仅要进行日常的业务处理,还要进行计算机软件、硬件故障的排除。会计数据的输入、处理及输出是手工处理和计算机处理两方面的结合。有关原始资料的收集是计算机化的关键性环节,原始数据必须经过手工收集、处理后才能输人计算机,由计算机按照一定的指令进行数据的加工和处理,将处理的信息通过一定的方式存人磁盘,打印在纸张上,通过显示器显示出来。因此,人员素质与操作安全成为会计信息安全的决定性因素。
3.内部控制过程重点的变化
计算机方式下会计信息系统的内部控制制度有了明显的变化,新的内部控制制度更强调手工与计算机结合的控制形式,控制要求更严,控制内容更广泛。
4.数据存储方式的变化
信息化后,大量的会计数据存储在磁盘中,而且还增加了各种程序、软件等资料。各种账表也与原来的有所不同,主要是打印账表。这些都给原有的档案管理工作提出了新的要求。
二、保证信息质置和安全方面的主要措施
从会计信息生成的完整途径来考虑,保证信息质量和安全方面的主要措施可以从几个方面人手:事前控制、事中控制和事后控制三大部分。事前控制即是在会计数据处理前财务软件的安全设置;事中控制即是在会计数据处理时的人员、权限、操作等方面的安全;事后控制是在会计信息生成后,会计信息的存储、传输等方面的安全。
1.事前控制
(1)会计数据处理环境安全。即实体安全,包括机房、线路、主机等,实体安全是保证计算机机房设备的安全和正常运行是进行会计信息化的前提条件。因此设立机房有两个目的:一是给计算机设备创造一个良好的运行环境,保护计算机设备;--是防止各种非法人员进入机房,保护机房内的设备、机内的程序与数据的安全。以上是通过制定与贯彻执行机房管理制度来实施的。因此,机房管理的主要内容包括机房人员的资格审查,机房内的各种环境、设备要求,机房中禁止的活动和行为,设备和材料进出机房的管理要求等。
(2)程序开发控制。首先,在人员权限上的设置。在一般情况下,会计主管和系统管理员应由两人分别担当,尤其是实现网络条件的会计软件,从软件的规模、信息化工作的强度与会计业务的工作量上都要求由专门的系统管理员负责。无论从会计工作的分工、工作的内容、所负责任等方面来讲,信息主管都是本单位的业务总负责人,系统管理员应服从电算主管的工作安排,系统管理员的权限并不是“无限大”的,其所做各项工作都应对电算主管负责。同时,要防止无关人员进入计算机程序操作。每一位参与信息化会计的人员都应实施合理授权控制,通过设置操作员口令等控制手段,防止差错和舞弊行为。其次,信息处理和输出的控制。由于信息处理与输出基本上是通过计算机程序自动进行的,主要取决于应用程序的正确性和环境控制能力,系统设计应具有识别信息失误的能力。还必须增设专人输入检查控制环节,未经检查,应无法进入下一步会计处理。最后,在审计线索的预留上,应在程序中设置审计线索,为将来对会计信息系统的审计奠定基础。比如,上机日志的保存将有利于对系统中出现的问题找到其行为的实施者,保证会计信息的真实性。
2.事中控制
(1)加强对数据输入的管理。在会计信息化环境下,虽然多个用户可以同时共享数据库,但必须严格进行授权控制,对来历不明或者没有经过审核的业务数据不能进入会计信息系统。
(2)加强数据处理的控制。为了保证数据处理的及时性,可以采用集中分散式和授权式两种控制方法。集中分散式控制是指各个工作站分散输入业务,由网络服务器对全部业务进行集中序时处理,并对数据库实施统一管理;授权式是指各个工作站可以根据权限访问网络服务器,服务器则根据当时的忙闲决定是否接受访问。
(3)加强对人的因素的控制。人的因素在保障会计信息安全过程中起主导作用。会计信息系统操作人员出于主观故意篡改数据或不按操作程序操作,均会直接影响会计信息的真实性和可靠性、可用性。严格按照《会计电算化工作规范》操作。选择符合《会计电算化工作规范》要求的软件开发商开发的商业软件,摒弃只图用户使用“方便”,而不顾会计制度要求的不严肃商业行为。人员素质的培养是根本。会计信息系统是一个较为复杂的人机系统,会计信息系统的应用与维护需要运用较为复杂的信息技术、会计知识。它首先需要有一支既熟悉计算机技术,又精通会计业务的队伍,在这支队伍中,最重要的组成人员是保证系统正常运行、解决系统运行中出现的各种问题的系统维护与管理人员,即系统管理员。其次,由于信息技术发展异常迅速,会计工作规范进程的不断发展与完善,无论计算机方面的新技术,还是会计业务的新要求,都对会计信息化工作不断提出更高要求,这就需要系统管理员首先掌握、理解会计信息化的各项新要求,及时调整、更新系统,从而更好地服务于会计信息化工作。
(4)分清岗位职责。要求会计人员进一步学习体会在会计信息化条件下的岗位分工,明确职责。加强对操作员岗位尤其是系统管理员及电算主管权限的约束。
3.事后控制
(1)建立数据备份制度。可以包含日常备份与双备份。日常备份通常指数据保存一个相对较短的时间,主要目的是为了恢复由于某些原因损毁或丢失了的数据,在日常操作中,会计数据尽可能做到每天备份,或设置自动备份。双备份是为了避免因误操作或突然事件引起信息丢失。可采用镜像技术,将数据原样从一台设备上复制到另一台设备上,可以采用磁盘镜像或磁盘双联,以保证会计数据的安全。
(2)维护管理。维护是系统整个生命周期中最重要、最费时的工作,应贯穿于系统的整个生命周期,不断地重复进行,直至系统过时和报废为止。维护管理包括软件维护和硬件维护两种。软件维护是指对日常的各类代码、标准摘要、数据及源程序的正确性维护、适应性维护,还有完善性的维护。现有统计资料表明:在软件系统生命周期各部分的工作量中,软件维护的工作量一般占50%以上,因此,各单位应加强维护工作的管理,保证软件的故障及时排除,满足单位会计工作的需要。加强维护管理是系统安全、有效、正常运行的保证之一。在硬件维护工作中,一般是指系统的硬件设备和支持硬件工作的相应软件的维护工作,及时排除故障,确保系统能正常运行。建立系统安全维护机构,由专业人员实施安全维护,提高警惕,随时防范黑客攻击和不法之徒的非法入侵,保证网络安全和信息安全,确保会计信息质量,为实现会计信息化提供安全保障。
(3)档案管理。会计档案管理主要是建立和执行会计档案立卷、归档、保管、调阅、销毁等管理制度。这里的档案主要是指打印输出的各种账簿、报表、凭证;存储会计数据和程序的软盘及其他存储介质;系统开发运行中编制的各种文档以及其他会计资料。档案管理的任务是负责系统内各类文档资料的存档、安全保管和保密工作。有效的档案管理是存档数据安全、完整与保密的有效保证。档案管理一般也是通过制定与实施档案管理制度来实现的。档案管理一般可包括以下内容:存档的手续;档案使用的各种审批手续;各类文档的保存期限及销毁手续;档案的保密规定。
(4)数据加密技术。通过数据加密技术,可以在一定程度上提高数据传输的安全性,保证传输数据的完整性。
4.其他管理
(1)病毒预防。计算机病毒轻则中断或干扰信息系统的工作,重则破坏机内数据造成系统重大甚至是无可挽回的损失。因此,在会计信息系统的运行过程中必须对计算机病毒问题给予充分的重视。构筑防火墙,防火墙具有很好的保护作用,是保护企业网络会计信息安全的主要机制,它能对流经的网络通信进行扫描,过滤掉一些攻击。在具体操作中,可以将防火墙配置成许多不同保护级别。建立网络防火墙以抵御外来病毒或“黑客”对网络系统的非法侵入。使用防病毒软件经常对计算机系统进行检查,以防止病毒对计算机系统的破坏。
(2)网络电子信息控制方法。一是网上公证形成三方牵制。利用网络所持有的实时传输功能和日益丰富的互联网服务项目,我们可以实现原始交易凭证的第三方监控,即网上公证。二是监控与操作的分离实现了系统内部的有效牵制。三是在线测试的实现使软件内部可能存在的漏洞能够得到及时解决。
随着计算机和网络技术的发展,会计控制自动化的程度就会越高。当全社会都用计算机网络连接起来以后,就可将规范、标准的原始凭证扫描进入计算机进行自动识别,甚至完全可以采用电子数据网络传输,以尽量减少人为因素。在会计信息安全控制中,最终达到国际会计师联合会在《信息安全管理》中提出的“保护依靠信息、信息系统和传送信息的人、通信设施的利益不因为信息机密性、完整性和可用性的故障而遭受损失”。总之,在知识经济条件下信息技术高度发展的今天,信息技术的迅速发展,推动了会计信息化的高速发展,而在这个过程中,会计信息的安全将成为会计信息化发展的“瓶颈”。因此,确保会计信息的安全是实施和完善会计信息化的必经之路。