王鐵 王成 孟祥成

【摘 要】 會(huì)計(jì)信息安全在ERP系統(tǒng)中非常重要。文章基于ERP環(huán)境分析會(huì)計(jì)信息的本質(zhì)，建立了會(huì)計(jì)信息安全體系模型，即“1+1，智能大廈+安全大廈”，并對(duì)安全體系模型進(jìn)行應(yīng)用研究，通過(guò)此模型解決會(huì)計(jì)信息安全問(wèn)題，為企業(yè)主管領(lǐng)導(dǎo)指明了會(huì)計(jì)信息安全的解決對(duì)策和思路。

【關(guān)鍵詞】 會(huì)計(jì)信息安全； ERP； 智能大廈； 安全大廈

一、引言

隨著社會(huì)信息化進(jìn)程的不斷加快，計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)普遍應(yīng)用于企業(yè)生產(chǎn)經(jīng)營(yíng)和管理實(shí)踐中，對(duì)企業(yè)的管理模式、管理體系帶來(lái)了巨大的改變。近十年來(lái)，ERP系統(tǒng)的發(fā)展尤其迅速，現(xiàn)在的ERP系統(tǒng)主要包括企業(yè)的財(cái)務(wù)管理、生產(chǎn)管理、采購(gòu)管理、銷(xiāo)售管理、庫(kù)存管理、人力資源管理等，并且成熟的ERP系統(tǒng)可以與企業(yè)其他系統(tǒng)進(jìn)行有效和必要的集成，ERP從最初的會(huì)計(jì)電算化發(fā)展到今天，其不斷成熟與持續(xù)的擴(kuò)展應(yīng)用，在一定程度上代表了企業(yè)信息化水平和管理水平。

在企業(yè)信息化不斷提高的同時(shí)，不能回避的就是系統(tǒng)安全問(wèn)題。在ERP中，財(cái)務(wù)管理是核心，而會(huì)計(jì)信息則是財(cái)務(wù)管理的基礎(chǔ)。國(guó)內(nèi)學(xué)者在研究會(huì)計(jì)信息安全時(shí)，主要是從單方面來(lái)研究，如計(jì)算機(jī)硬件安全、軟件安全、會(huì)計(jì)人員管理、規(guī)章制度等方面。這些研究取得了較好的效果，在企業(yè)里應(yīng)用較好，但在ERP領(lǐng)域，由于會(huì)計(jì)信息系統(tǒng)與其他子系統(tǒng)緊密地結(jié)合在一起，僅從單方面研究是不夠的，必須從全局和整體上研究，再到各個(gè)部門(mén)、各個(gè)子系統(tǒng)進(jìn)行細(xì)化。本文主要研究在ERP環(huán)境下，企業(yè)如何保證會(huì)計(jì)信息的安全，采取何種有效的方法來(lái)規(guī)避會(huì)計(jì)信息存在的風(fēng)險(xiǎn)，為ERP的安全運(yùn)行提供保障。

二、會(huì)計(jì)信息安全概述

（一）會(huì)計(jì)信息安全的基本概念

本文研究的會(huì)計(jì)信息安全，主要是指基于ERP環(huán)境下的安全，即企業(yè)單位的會(huì)計(jì)信息系統(tǒng)及其相應(yīng)的硬件、軟件資源受到系統(tǒng)性保護(hù)，在遇到偶然或者惡意事件時(shí)不會(huì)遭到破壞、信息不會(huì)外泄或者更改，系統(tǒng)能夠可靠、有效地運(yùn)行。會(huì)計(jì)信息安全是企業(yè)的根本，在商業(yè)競(jìng)爭(zhēng)白熱化的今天，企業(yè)必須要保證自身信息的安全。

（二）會(huì)計(jì)信息安全的本質(zhì)

會(huì)計(jì)信息安全的本質(zhì)就是數(shù)據(jù)的安全。信息處理是通過(guò)數(shù)據(jù)這個(gè)載體來(lái)實(shí)現(xiàn)的。數(shù)據(jù)是記錄客觀事物的性質(zhì)、形態(tài)、數(shù)量特征的抽象符號(hào)，例如文字、數(shù)字、圖形、曲線(xiàn)等。會(huì)計(jì)信息是由數(shù)據(jù)產(chǎn)生的，是對(duì)數(shù)據(jù)加工處理后得到的信息，是反映企業(yè)財(cái)務(wù)狀況的基礎(chǔ)，是企業(yè)決策的重要依據(jù)。

反映會(huì)計(jì)信息的數(shù)據(jù)，在ERP系統(tǒng)中有多種表現(xiàn)形式。主要如下：

1.基礎(chǔ)數(shù)據(jù)。基礎(chǔ)數(shù)據(jù)是指反映會(huì)計(jì)信息最基礎(chǔ)的數(shù)據(jù)單元，以從銀行取款為例，會(huì)計(jì)分錄如下：

借：庫(kù)存現(xiàn)金 100

貸：銀行存款 100

在系統(tǒng)中，上述會(huì)計(jì)分錄包含的基礎(chǔ)數(shù)據(jù)的項(xiàng)目主要有會(huì)計(jì)科目編號(hào)、科目名稱(chēng)、金額、科目方向、日期、制單人、制單日期、審核人、審核日期等。

基礎(chǔ)數(shù)據(jù)一般存于數(shù)據(jù)庫(kù)中，存在形式為電子形式，基礎(chǔ)數(shù)據(jù)是企業(yè)信息化管理的根本，也是安全保護(hù)的核心內(nèi)容。

2.賬表數(shù)據(jù)。賬表是根據(jù)企業(yè)業(yè)務(wù)需要，基于基礎(chǔ)數(shù)據(jù)生成的各種報(bào)表，如資產(chǎn)負(fù)債表、損益表、科目賬、客戶(hù)往來(lái)賬、部門(mén)輔助賬、個(gè)人往來(lái)賬、供應(yīng)商往來(lái)賬等。賬表數(shù)據(jù)存在形式主要有電子形式、普通文件形式（生成或?qū)С龅膱?bào)表文件）、紙面形式（打?。┑?。

3.存檔數(shù)據(jù)。根據(jù)會(huì)計(jì)工作的需要，有些歷史數(shù)據(jù)或者往年數(shù)據(jù)需要存檔，即為存檔數(shù)據(jù)。存檔數(shù)據(jù)存在形式主要有電子形式、文件形式等。

4.流動(dòng)數(shù)據(jù)。ERP的運(yùn)行必須依托于計(jì)算機(jī)網(wǎng)絡(luò)，數(shù)據(jù)從客戶(hù)端到服務(wù)器端，中間的傳遞要經(jīng)過(guò)計(jì)算機(jī)網(wǎng)絡(luò)，在計(jì)算機(jī)網(wǎng)絡(luò)中傳遞的數(shù)據(jù)都屬于流動(dòng)數(shù)據(jù)。流動(dòng)數(shù)據(jù)的存在形式是電子形式。

5.備份數(shù)據(jù)。為了防止信息系統(tǒng)受到意外破壞，一般要對(duì)數(shù)據(jù)庫(kù)及其相關(guān)數(shù)據(jù)進(jìn)行必要的備份，形成備份數(shù)據(jù)。數(shù)據(jù)備份可以以天、星期、月、年為單位完成，備份時(shí)間間隔越短，形成的數(shù)據(jù)量越大。備份數(shù)據(jù)的存在形式為電子形式、文件形式（在計(jì)算機(jī)中存儲(chǔ)）、光盤(pán)（刻錄）等。

（三）影響會(huì)計(jì)信息安全的因素

影響會(huì)計(jì)信息安全的因素較多，主要因素總結(jié)如表1所示。

三、會(huì)計(jì)信息安全風(fēng)險(xiǎn)分析

ERP系統(tǒng)的生命周期一般要經(jīng)歷選型與實(shí)施、應(yīng)用與維護(hù)及切換等漫長(zhǎng)的周期，在每個(gè)階段，企業(yè)應(yīng)用都會(huì)面臨一些風(fēng)險(xiǎn)。筆者根據(jù)多年來(lái)從事ERP系統(tǒng)實(shí)施及維護(hù)的經(jīng)驗(yàn)，基于會(huì)計(jì)信息安全角度分析其風(fēng)險(xiǎn)。

（一）ERP選型與實(shí)施

企業(yè)在ERP選型過(guò)程中，一般要與多家軟件供應(yīng)商進(jìn)行接觸，最后選擇3至5家比較適合自身企業(yè)實(shí)際情況的軟件供應(yīng)商進(jìn)行進(jìn)一步的考察，同時(shí)軟件供應(yīng)商也會(huì)深入到企業(yè)進(jìn)行調(diào)研，在此過(guò)程中，軟件供應(yīng)商一般會(huì)接觸企業(yè)宏觀的一些業(yè)務(wù)，具體的業(yè)務(wù)細(xì)節(jié)涉及較小，因此安全風(fēng)險(xiǎn)小。

在企業(yè)成功選型后，即進(jìn)入ERP項(xiàng)目實(shí)施階段，從目前軟件市場(chǎng)來(lái)看，除非是企業(yè)自身研制的ERP系統(tǒng)，使用其他公司ERP產(chǎn)品時(shí)，都會(huì)涉及到實(shí)施。在實(shí)施過(guò)程中，軟件廠商或者代理商的工作人員會(huì)深入到企業(yè)進(jìn)行詳細(xì)的業(yè)務(wù)調(diào)研，了解企業(yè)生產(chǎn)經(jīng)營(yíng)的流程、數(shù)據(jù)流動(dòng)特點(diǎn)、業(yè)務(wù)邏輯規(guī)則等詳細(xì)內(nèi)容，為企業(yè)進(jìn)行ERP實(shí)施。系統(tǒng)實(shí)施過(guò)程長(zhǎng)短不一，一般小型企業(yè)系統(tǒng)實(shí)施在三至六個(gè)月即可完成，大型企業(yè)時(shí)間較長(zhǎng)。在此過(guò)程中，由于制度的不健全、軟件的不穩(wěn)定、人員變更頻繁等綜合原因，會(huì)計(jì)信息風(fēng)險(xiǎn)較大，但由于企業(yè)的數(shù)據(jù)量不大，有些是演示數(shù)據(jù)或者是并行數(shù)據(jù)，對(duì)企業(yè)的影響較小。

（二）ERP應(yīng)用

ERP系統(tǒng)在應(yīng)用過(guò)程中，會(huì)計(jì)信息不安全的風(fēng)險(xiǎn)因素多，在上述信息風(fēng)險(xiǎn)范圍之內(nèi)的所有風(fēng)險(xiǎn)都可能會(huì)遇到，風(fēng)險(xiǎn)較大。一般存在的風(fēng)險(xiǎn)主要包括以下項(xiàng)目：會(huì)計(jì)信息被竊?。粫?huì)計(jì)信息不一致；數(shù)據(jù)被非法篡改；數(shù)據(jù)丟失。

（三）ERP維護(hù)

ERP系統(tǒng)維護(hù)一般是指系統(tǒng)出現(xiàn)軟件錯(cuò)誤或者邏輯錯(cuò)誤、模塊修改、軟件升級(jí)等，由軟件公司出人負(fù)責(zé)對(duì)系統(tǒng)進(jìn)行維護(hù)，使系統(tǒng)符合企業(yè)的實(shí)際需要。在現(xiàn)行的軟件管理技術(shù)手段中，軟件公司對(duì)ERP維護(hù)一般包括三種方式：電話(huà)或者電子郵件指導(dǎo)（由企業(yè)自身人員完成維護(hù)工作）、現(xiàn)場(chǎng)維護(hù)、遠(yuǎn)程維護(hù)等。在維護(hù)過(guò)程中，軟件公司人員可以看到企業(yè)的數(shù)據(jù)，要嚴(yán)格控制風(fēng)險(xiǎn)，防止企業(yè)工作人員“趁火打劫”，對(duì)信息進(jìn)行竊取或者破壞并將責(zé)任推給他人。

（四）ERP廢除和新系統(tǒng)的建立

在企業(yè)正常運(yùn)營(yíng)情況下，如果目前使用的ERP系統(tǒng)不能滿(mǎn)足企業(yè)發(fā)展的需要，企業(yè)會(huì)廢除當(dāng)前使用的ERP系統(tǒng)，更換新的系統(tǒng)，即系統(tǒng)切換。系統(tǒng)切換周期較長(zhǎng)，一般會(huì)進(jìn)行ERP系統(tǒng)的選型和實(shí)施工作，將有新人參與到系統(tǒng)切換工作中進(jìn)行業(yè)務(wù)調(diào)研和業(yè)務(wù)梳理。由于對(duì)系統(tǒng)進(jìn)行大規(guī)模的調(diào)整，風(fēng)險(xiǎn)較大。

四、安全體系的建立

企業(yè)在應(yīng)用ERP系統(tǒng)時(shí)，必須保證系統(tǒng)的安全，前文分析了信息安全風(fēng)險(xiǎn)，由于影響的因素較多，因此需要建立一套完善的安全體系。企業(yè)的ERP系統(tǒng)與現(xiàn)代的高樓大廈十分相似，由底層向上依次為硬件系統(tǒng)、系統(tǒng)軟件、應(yīng)用軟件等，在建設(shè)和維護(hù)ERP時(shí)，與建樓和對(duì)樓的維護(hù)相似，本文設(shè)計(jì)了“1+1”的會(huì)計(jì)信息安全模型，即“安全大廈+智能大廈”，模型如圖1所示。

對(duì)模型的若干說(shuō)明：

（一）內(nèi)層

內(nèi)層是ERP系統(tǒng)的核心部分，是核心架構(gòu)模型，是ERP軟件級(jí)別的安全模型，其中包括數(shù)據(jù)庫(kù)管理系統(tǒng)和ERP應(yīng)用軟件及ERP系統(tǒng)運(yùn)行過(guò)程中的各種數(shù)據(jù)和各類(lèi)人員。在內(nèi)層中，ERP系統(tǒng)本身會(huì)提供應(yīng)用級(jí)別的安全控制體系，包括各類(lèi)操作人員和各種數(shù)據(jù)的安全保護(hù)，使ERP系統(tǒng)能夠正常運(yùn)行，保證數(shù)據(jù)不丟失、不被破壞和數(shù)據(jù)的完整性等。

（二）安全防護(hù)層

安全防護(hù)層是企業(yè)為了保證信息系統(tǒng)安全運(yùn)行采取的安全保護(hù)措施，是企業(yè)級(jí)別的安全模型，包括底層硬件平臺(tái)、系統(tǒng)軟件平臺(tái)、數(shù)據(jù)庫(kù)管理系統(tǒng)等。執(zhí)行人員為企業(yè)的主管領(lǐng)導(dǎo)和網(wǎng)絡(luò)管理人員。

（三）智能報(bào)警防護(hù)層

智能報(bào)警防護(hù)層是指當(dāng)數(shù)據(jù)或者業(yè)務(wù)違反了預(yù)先設(shè)計(jì)的規(guī)則，由系統(tǒng)主動(dòng)向企業(yè)管理人員發(fā)送預(yù)警信息，相關(guān)人員根據(jù)信息安全級(jí)別進(jìn)行響應(yīng)。智能報(bào)警防護(hù)層是智能級(jí)別的安全模型。

（四）信息安全監(jiān)控

信息安全監(jiān)控是指從企業(yè)信息系統(tǒng)運(yùn)行整體情況出發(fā)，由企業(yè)網(wǎng)絡(luò)管理人員和部門(mén)主管主動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)異常、數(shù)據(jù)異常等，并進(jìn)行處理。信息安全監(jiān)控是自主級(jí)別的安全模型。

（五）安全中心

安全中心是企業(yè)為了保證ERP系統(tǒng)安全運(yùn)行建立的行政部門(mén)，一般與信息部門(mén)合并，共同行使職責(zé)。

五、模型應(yīng)用

（一）“安全大廈”的建立

“安全大廈”的建立指ERP系統(tǒng)的實(shí)施階段。在實(shí)施階段，會(huì)計(jì)信息處于規(guī)劃、整理和初始化狀態(tài)，企業(yè)應(yīng)用ERP中的模塊越多，會(huì)計(jì)信息越復(fù)雜。在此階段，會(huì)計(jì)信息安全主要指基礎(chǔ)數(shù)據(jù)的安全，包括會(huì)計(jì)分錄設(shè)置、客戶(hù)資料、供應(yīng)商資料、期初余額等。此過(guò)程涉及的人員主要包括ERP軟件方實(shí)施人員、企業(yè)的會(huì)計(jì)或者賬務(wù)主管、企業(yè)會(huì)計(jì)人員及相關(guān)模塊的操作人員。安全模型圖如圖2所示。

在ERP系統(tǒng)實(shí)施開(kāi)始時(shí)，一般要與軟件公司簽訂《實(shí)施安全協(xié)議》，同時(shí)為了方便實(shí)施操作，軟件公司經(jīng)常采用遠(yuǎn)程管理的方式對(duì)企業(yè)數(shù)據(jù)進(jìn)行維護(hù)，在開(kāi)通遠(yuǎn)程操作時(shí)，應(yīng)與軟件公司簽訂《遠(yuǎn)程許可協(xié)議》，保證基礎(chǔ)數(shù)據(jù)的安全。在企業(yè)內(nèi)部，制定《規(guī)章制度》，規(guī)范人員操作，加強(qiáng)對(duì)數(shù)據(jù)的安全保護(hù)。

（二）“安全大廈”的維護(hù)

實(shí)施成功后，即進(jìn)入“安全大廈”的維護(hù)階段，這是企業(yè)日常運(yùn)營(yíng)及管理階段，也是企業(yè)會(huì)計(jì)信息安全保護(hù)的主要階段。會(huì)計(jì)信息安全主要在于“安全防護(hù)層”，包括硬件、軟件、人員、法規(guī)等。在硬件和法規(guī)上，管理較簡(jiǎn)單，本文從軟件和人員兩方面進(jìn)行分析。

從信息技術(shù)上講，安全管理的人員為企業(yè)的網(wǎng)絡(luò)管理人員，主要保護(hù)手段要通過(guò)第三方安全軟件實(shí)現(xiàn)，如防火墻、殺毒軟件，另外管理人員的經(jīng)驗(yàn)也是必不可少的。維護(hù)階段會(huì)計(jì)信息安全的子模型如圖3所示。

（三）“智能大廈”的應(yīng)用

“智能大廈”主要體現(xiàn)在整套系統(tǒng)的智能報(bào)警子系統(tǒng)上，即建立會(huì)“說(shuō)話(huà)”的安全系統(tǒng)。智能報(bào)警需要建立報(bào)警規(guī)則，主要通過(guò)以下幾方面實(shí)現(xiàn)：

1.應(yīng)用軟件報(bào)警。完備的ERP系統(tǒng)會(huì)提供關(guān)鍵數(shù)據(jù)報(bào)警功能，如會(huì)計(jì)人員越權(quán)使用系統(tǒng)、票據(jù)的金額過(guò)大或過(guò)小而超過(guò)許可范圍等。

2.數(shù)據(jù)庫(kù)報(bào)警?，F(xiàn)代大型數(shù)據(jù)庫(kù)一般提供警報(bào)功能，通過(guò)在后臺(tái)管理進(jìn)行詳細(xì)設(shè)置報(bào)警規(guī)則，當(dāng)某些敏感數(shù)據(jù)違反規(guī)則時(shí)，將報(bào)警信息發(fā)送給相關(guān)人員進(jìn)行處理。

3.網(wǎng)絡(luò)報(bào)警。網(wǎng)絡(luò)報(bào)警一般通過(guò)路由器來(lái)實(shí)現(xiàn)，通過(guò)路由器可以監(jiān)控企業(yè)網(wǎng)絡(luò)流量、非法修改網(wǎng)絡(luò)參數(shù)、網(wǎng)絡(luò)運(yùn)行異常狀況等。

報(bào)警信息一般可以通過(guò)手機(jī)短信、電子郵件或者其他媒介來(lái)接收，保證報(bào)警信息的有效性，以提高會(huì)計(jì)信息安全。

（四）“安全大廈”的轉(zhuǎn)移

在我國(guó)，由于ERP應(yīng)用時(shí)間較短，極少企業(yè)涉及“安全大廈”轉(zhuǎn)移?！鞍踩髲B”轉(zhuǎn)移即系統(tǒng)切換。在ERP系統(tǒng)進(jìn)行切換時(shí)，對(duì)原始電子數(shù)據(jù)有兩種處理方法，一種是完整的備份，待將來(lái)業(yè)務(wù)需要時(shí)進(jìn)行查詢(xún)；另外一種是將數(shù)據(jù)直接轉(zhuǎn)移到新系統(tǒng)中，銷(xiāo)毀舊系統(tǒng)，今后所有的歷史數(shù)據(jù)查詢(xún)都在新系統(tǒng)中實(shí)現(xiàn)。一般說(shuō)來(lái)，當(dāng)數(shù)據(jù)量較小時(shí)，使用后一種方法處理較為合適，但如果數(shù)據(jù)量大時(shí)，使用備份的方法較為可行。

六、結(jié)束語(yǔ)

在ERP環(huán)境下，企業(yè)會(huì)計(jì)信息安全更為重要，本文基于ERP的生命周期，設(shè)計(jì)了會(huì)計(jì)信息安全的“1+1”模型，即“安全大廈+智能大廈”模型，并對(duì)模型進(jìn)行了應(yīng)用研究，以期對(duì)企業(yè)領(lǐng)導(dǎo)管理企業(yè)、維護(hù)信息系統(tǒng)安全起到關(guān)鍵作用。

【主要參考文獻(xiàn)】

［1］ 林茂.ERP軟件財(cái)務(wù)會(huì)計(jì)系統(tǒng)安全風(fēng)險(xiǎn)防范［J］.財(cái)會(huì)月刊，2010（12）：60-61.

［2］ 吳占坤.基于網(wǎng)絡(luò)環(huán)境的會(huì)計(jì)信息系統(tǒng)安全體系建設(shè)研究［J］.財(cái)會(huì)通訊，2009（9）：119-120.

［3］ 何日勝.論信息環(huán)境下企業(yè)會(huì)計(jì)信息安全體系［J］.會(huì)計(jì)之友，2011（7）：124-125.

［4］ 羅紅.網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)安全問(wèn)題研究［J］.財(cái)會(huì)通訊，2011（7）：33-35.