胡玉可

[摘要]在網(wǎng)絡(luò)環(huán)境下，會(huì)計(jì)信息處理表現(xiàn)為適時(shí)、便捷和無(wú)紙化，這一方面大大加快了會(huì)計(jì)信息流通的效率；另一方面，網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息處理容易導(dǎo)致非客觀性，網(wǎng)上犯罪時(shí)有發(fā)生，所以。在建立網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)時(shí)，應(yīng)完善法律控制、健全環(huán)境控制、加強(qiáng)組織控制，以確保會(huì)計(jì)信息系統(tǒng)安全的實(shí)現(xiàn)。

[關(guān)鍵詞]網(wǎng)絡(luò)環(huán)境；會(huì)計(jì)信息系統(tǒng)；安全控制

一、完善法制環(huán)境，是會(huì)計(jì)信息系統(tǒng)安全實(shí)現(xiàn)的根本保證

為了對(duì)付日益猖獗的計(jì)算機(jī)犯罪，保護(hù)會(huì)計(jì)信息使用者的權(quán)益，國(guó)家應(yīng)制定并實(shí)施計(jì)算機(jī)安全及數(shù)據(jù)保護(hù)法律法規(guī)，從宏觀上加強(qiáng)對(duì)會(huì)計(jì)信息系統(tǒng)的控制。如英國(guó)政府分別于1984年和1990年頒布實(shí)施了《計(jì)算機(jī)濫用法》(《The Com-puter Misuse Act》)和《數(shù)據(jù)保護(hù)法》(《The Data Protection Act》)，為計(jì)算機(jī)信息系統(tǒng)提供了一個(gè)良好的社會(huì)環(huán)境。法律是由國(guó)家權(quán)力機(jī)關(guān)制定的，依照國(guó)家權(quán)威性來(lái)保證執(zhí)行，并協(xié)調(diào)各方面的利益，對(duì)社會(huì)政治、經(jīng)濟(jì)的發(fā)展起到規(guī)范和制約的作用，任何組織、任何個(gè)人都不可能超越法律所賦予的權(quán)限。為了實(shí)現(xiàn)會(huì)計(jì)信息系統(tǒng)的安全控制：首先，必須有法可依。完善的法律法規(guī)是一項(xiàng)工作得以順利開(kāi)展的保證。我國(guó)在計(jì)算機(jī)信息安全管理方面立法較早，從1986年的4月開(kāi)始，我國(guó)相繼制定并頒布了《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)系統(tǒng)安全規(guī)范》、《計(jì)算機(jī)病毒控制規(guī)定》等系列法律，并在《刑法》、《刑事訴訟法》、《民法》、《民事訴訟法》、《經(jīng)濟(jì)合同法》等相關(guān)法律中寫(xiě)入了計(jì)算機(jī)犯罪的有關(guān)內(nèi)容，這有力地打擊了計(jì)算機(jī)犯罪、病毒的猖撅傳播。但是，我國(guó)目前還沒(méi)有專門的會(huì)計(jì)信息系統(tǒng)安全法律法規(guī)。只有建立和健全有關(guān)會(huì)計(jì)信息系統(tǒng)的相應(yīng)法律法規(guī)，且應(yīng)立足于我國(guó)國(guó)情前提下參照國(guó)際有關(guān)示范的原則，制定出一套規(guī)范的、符合我國(guó)國(guó)情的網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)方面的法律法規(guī)，才能使我國(guó)的會(huì)計(jì)信息系統(tǒng)真正走上健康發(fā)展的軌道。其次，必須有法必依。應(yīng)該說(shuō)新中國(guó)經(jīng)過(guò)半個(gè)多世紀(jì)的不懈努力，法制化建設(shè)邁出了堅(jiān)實(shí)而有力的步伐，已制定、修改、補(bǔ)充和完善了幾千個(gè)法規(guī)，我國(guó)的法律法規(guī)體系基本構(gòu)建起來(lái)，但由于法制觀念淡薄。可能不知法，也可能知法犯法，所以，應(yīng)該堅(jiān)持不懈地開(kāi)展宣傳，讓計(jì)算機(jī)安全法律深入到相關(guān)行為人中去，使他們懂法知法，從而依法，有法必依。

二、健全環(huán)境控制，是會(huì)計(jì)信息系統(tǒng)安全實(shí)現(xiàn)的前提條件

隨著網(wǎng)上電子商務(wù)的發(fā)展，各類業(yè)務(wù)不斷增多，會(huì)計(jì)數(shù)據(jù)更加復(fù)雜，會(huì)計(jì)信息的處理量將大大增加，如何使會(huì)計(jì)信息系統(tǒng)向網(wǎng)絡(luò)智能化發(fā)展，是網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)對(duì)計(jì)算機(jī)運(yùn)行環(huán)境提出的新要求。為了實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的安全：首先，健全“硬”環(huán)境安全控制。這種安全控制是對(duì)系統(tǒng)硬件的控制，屬于一種預(yù)防性的控制。它包括計(jì)算機(jī)機(jī)房的安全控制、機(jī)房設(shè)備的保護(hù)、安全供電系統(tǒng)的安裝等。也就是說(shuō)，對(duì)于環(huán)境的安全要求具有專用的計(jì)算機(jī)機(jī)房，并且計(jì)算機(jī)機(jī)房能夠保持規(guī)定的溫度、濕度，能防止靜電、電磁干擾、具有良好的采光照明及噪聲控制設(shè)計(jì)等。同時(shí)，計(jì)算機(jī)機(jī)房還應(yīng)具有防火、防水、防其他自然災(zāi)害的設(shè)施。除此之外，為保證網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)可靠安全地運(yùn)行，還必須有一個(gè)良好的供電系統(tǒng)，有專門供應(yīng)計(jì)算機(jī)設(shè)備的穩(wěn)壓電源及其他動(dòng)力用電的供配電系統(tǒng)。其次，健全“軟”環(huán)境一系統(tǒng)關(guān)聯(lián)方和企業(yè)內(nèi)部人員道德控制。通過(guò)“防火墻”可以控制非法者的入侵。但對(duì)于合法者一關(guān)聯(lián)方非法入侵的防范卻是無(wú)能為力的。關(guān)聯(lián)方從戰(zhàn)略上講是同盟者，是合法用戶，它可以穿越“防火墻”進(jìn)入企業(yè)的內(nèi)聯(lián)網(wǎng)。如果關(guān)聯(lián)方的某些工作人員缺乏職業(yè)道德和社會(huì)道德，惡意破壞會(huì)計(jì)信息系統(tǒng)，以謀取私利，那么，企業(yè)內(nèi)聯(lián)網(wǎng)看似“固若金湯”，實(shí)則“岌岌可?！薄Ｒ虼?，要加強(qiáng)管理，防止合法者的非法活動(dòng)。其主要措施有：(1)選擇信用好的合作伙伴，這樣可以減少產(chǎn)生風(fēng)險(xiǎn)的概率；(2)內(nèi)部審計(jì)人員要加強(qiáng)對(duì)關(guān)聯(lián)方進(jìn)入系統(tǒng)后的監(jiān)控，及時(shí)發(fā)現(xiàn)問(wèn)題，及時(shí)控制。對(duì)于那些有意破壞的關(guān)聯(lián)方要提出警告，如果情節(jié)嚴(yán)重者可終止與他們的合作，并公示于眾。企業(yè)內(nèi)部人員道德控制制度對(duì)于會(huì)計(jì)信息系統(tǒng)的安全性是至關(guān)重要的。因?yàn)閮?nèi)部人員熟悉系統(tǒng)結(jié)構(gòu)與功能，了解系統(tǒng)管理的方法，一旦破壞了系統(tǒng)，那后果不堪設(shè)想，因此，要對(duì)內(nèi)部人員的道德加以控制。

三、加強(qiáng)文檔管理組織，是會(huì)計(jì)信息系統(tǒng)安全實(shí)現(xiàn)的必要條件

加強(qiáng)網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)文檔的組織是一項(xiàng)重要的任務(wù)。它可在診斷網(wǎng)絡(luò)問(wèn)題時(shí)提供方便。隨時(shí)更新的文檔可以提供關(guān)于網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)應(yīng)當(dāng)如何運(yùn)行，出現(xiàn)問(wèn)題時(shí)應(yīng)到哪里去尋找答案等信息。加強(qiáng)管理組織的文檔應(yīng)包括：(1)網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，硬件的位置和布線的細(xì)節(jié)等；(2)服務(wù)器信息，包括每個(gè)服務(wù)器上的數(shù)據(jù)、備份計(jì)劃和備份存放的地點(diǎn)；(3)關(guān)鍵的電話號(hào)碼，包括供應(yīng)商、銷售商、合同商和其它一些有用的人；(4)所有服務(wù)協(xié)議的副本，包括聯(lián)系人和電話號(hào)碼；(5)記錄所有問(wèn)題和它們的癥狀、解決方法、日期、聯(lián)系方法、過(guò)程和結(jié)果的一個(gè)列表等。

四、加強(qiáng)組織控制，是會(huì)計(jì)信息系統(tǒng)安全實(shí)現(xiàn)的必要基礎(chǔ)

組織控制是一種統(tǒng)領(lǐng)性的控制，它可以全面分配和組織各種控制制度及具體措施。由于互聯(lián)網(wǎng)的信息系統(tǒng)屬于一種分布式處理結(jié)構(gòu)，計(jì)算機(jī)服務(wù)功能站分布于企業(yè)內(nèi)部各財(cái)務(wù)及業(yè)務(wù)應(yīng)用部門，實(shí)行會(huì)計(jì)與業(yè)務(wù)協(xié)同處理，因而要使之彼此相互協(xié)調(diào)。組織控制為了實(shí)現(xiàn)這一目標(biāo)，對(duì)企業(yè)中人與人之間的責(zé)、權(quán)、利的安排。組織制度主要包括企業(yè)組織結(jié)構(gòu)的設(shè)計(jì)、職權(quán)的劃分、崗位的設(shè)置、人事安排等制度。其目的在于營(yíng)造良好的環(huán)境。加強(qiáng)組織控制，建立會(huì)計(jì)信息系統(tǒng)管理安全工作體系，建立網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)安全管理機(jī)制，是實(shí)現(xiàn)會(huì)計(jì)信息系統(tǒng)安全運(yùn)行的，必要條件，實(shí)踐和經(jīng)驗(yàn)證明，抓企業(yè)會(huì)計(jì)信息系統(tǒng)安全、防止計(jì)算機(jī)犯罪。就必須要有一個(gè)專職管理和相應(yīng)專業(yè)技術(shù)結(jié)合的體系，集中精力、專心致志地努力工作。具體來(lái)說(shuō)：首先，加強(qiáng)部門設(shè)置與人員配置控制。在網(wǎng)絡(luò)環(huán)境下，由于它的三層結(jié)構(gòu)體系(企業(yè)內(nèi)聯(lián)網(wǎng)、企業(yè)外聯(lián)網(wǎng)、互聯(lián)網(wǎng))，需設(shè)置相應(yīng)機(jī)構(gòu)確保系統(tǒng)內(nèi)、外的信息溝通。設(shè)置的部門主要有：會(huì)計(jì)部門(負(fù)責(zé)會(huì)計(jì)信息輸入、審核與輸出)、業(yè)務(wù)部門(負(fù)責(zé)業(yè)務(wù)的交易與原始電子憑證的認(rèn)證)、信息處理部門(負(fù)責(zé)對(duì)企業(yè)所有的信息進(jìn)行處理并確保處理的正確性、安全性和及時(shí)性)、內(nèi)部審計(jì)部門(監(jiān)督企業(yè)整個(gè)業(yè)務(wù)過(guò)程與信息加工處理過(guò)程)等。只有建立一個(gè)嚴(yán)謹(jǐn)?shù)慕M織體系，才能使網(wǎng)絡(luò)環(huán)境下的會(huì)計(jì)信息系統(tǒng)有一個(gè)完善的運(yùn)行機(jī)制，從而在組織上得到保障。其次是加強(qiáng)職責(zé)分離控制。組織制度的基本要求是做到職責(zé)分離，即業(yè)務(wù)處理與業(yè)務(wù)記錄的分離、數(shù)據(jù)處理部門內(nèi)部各崗位的職責(zé)分離。在網(wǎng)絡(luò)環(huán)境下，交易基本是在網(wǎng)絡(luò)系統(tǒng)中完成的，所以，一般會(huì)計(jì)業(yè)務(wù)的審批要限制在電子數(shù)據(jù)處理部門之外，電子數(shù)據(jù)處理部門無(wú)權(quán)審批業(yè)務(wù)和修改業(yè)務(wù)，所有的電子數(shù)據(jù)處理業(yè)務(wù)都必須經(jīng)過(guò)授權(quán)管理，因此，電子數(shù)據(jù)處理部門的職責(zé)是負(fù)責(zé)業(yè)務(wù)的記錄，并在此基礎(chǔ)上對(duì)業(yè)務(wù)信息進(jìn)行分析，為決策者提供有用的決策信息。網(wǎng)絡(luò)環(huán)境下電子數(shù)據(jù)處理的特點(diǎn)之一是將所有的會(huì)計(jì)資料集中起來(lái)，統(tǒng)一處理，這使得某些本應(yīng)分離的不相容的職責(zé)集中化了。因此，在電子處理部門內(nèi)部。還應(yīng)當(dāng)進(jìn)行正確的職責(zé)分工，從而使有關(guān)的人員在數(shù)據(jù)處理中難以越權(quán)，以避免舞弊、犯罪行為的發(fā)生和防止差錯(cuò)的出現(xiàn)，保證系統(tǒng)的可靠運(yùn)行。一般來(lái)說(shuō)，在電子處理部門內(nèi)部應(yīng)做到對(duì)系統(tǒng)分析、程序設(shè)計(jì)、系統(tǒng)操作、文檔管理、網(wǎng)絡(luò)管理和控制等六種職責(zé)加以分離?？傊?，加強(qiáng)人員安全管理，明確人員的崗位職責(zé)，加強(qiáng)計(jì)算機(jī)運(yùn)行安全管理，堅(jiān)持實(shí)行分權(quán)制約、有限授權(quán)原則。切實(shí)保證運(yùn)行操作的有限性、可控性、可監(jiān)督性以及可審計(jì)性：建立安全事件應(yīng)急反應(yīng)中心，加強(qiáng)對(duì)突發(fā)事件的處理：建立網(wǎng)絡(luò)安全監(jiān)控中心，加強(qiáng)對(duì)網(wǎng)絡(luò)的安全監(jiān)控與安全管理；建立病毒防范中心，加強(qiáng)對(duì)計(jì)算機(jī)病毒的防范與清除；加強(qiáng)風(fēng)險(xiǎn)管理，重點(diǎn)對(duì)計(jì)算機(jī)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)評(píng)估、安全審計(jì)，做好防范措施的設(shè)計(jì)、認(rèn)證和應(yīng)急計(jì)劃的制定工作，使得計(jì)算機(jī)信息系統(tǒng)受到的危害或損失降到最低程度。