摘要：本文在全面分析企業(yè)會計信息安全影響因素的基礎(chǔ)上，探討其主要風(fēng)險問題，并從組織環(huán)境、信息處理、風(fēng)險評估、監(jiān)控反饋和制度安排五個方面提出全面系統(tǒng)的管控建議。

關(guān)鍵詞：會計信息安全 組織環(huán)境 風(fēng)險評估 監(jiān)控反饋 制度安排

中圖分類號：F23 文獻(xiàn)標(biāo)識碼：A 文章編號：1002-5812（2016）03-0026-04

隨著我國企業(yè)信息化的推進(jìn)，會計信息化逐步由簡單的單用戶電算化應(yīng)用向復(fù)雜的深層次網(wǎng)絡(luò)化運(yùn)用過渡，會計信息化系統(tǒng)也在一定程度上實(shí)現(xiàn)了由核算型向管理型的過渡。在企業(yè)會計信息化水平不斷提高的同時，作為企業(yè)重要資產(chǎn)的會計信息，其完整性、可用性、保密性等方面卻受到不同程度的挑戰(zhàn)和沖擊。如若企業(yè)會計信息安全不能得到有效保障，可能會引發(fā)相關(guān)商業(yè)機(jī)密的泄漏，嚴(yán)重的會導(dǎo)致企業(yè)失去客戶、市場，乃至核心競爭力；即便是信息系統(tǒng)的故障也會造成企業(yè)的相關(guān)業(yè)務(wù)中斷，給企業(yè)帶來資產(chǎn)與聲譽(yù)的損失。因此，為了使企業(yè)能持續(xù)不斷的發(fā)展，會計信息安全成為了企業(yè)管理越來越關(guān)注的內(nèi)容之一。

一、企業(yè)會計信息安全的影響因素

企業(yè)會計信息安全是指會計信息化環(huán)境下，會計信息處于完整性、可用性、保密性和可靠性的狀態(tài)，它來自于會計數(shù)據(jù)的完整和會計數(shù)據(jù)的安全。參照國際標(biāo)準(zhǔn)化組織和美國NSTISSC委員會對信息安全的闡述，本文認(rèn)為企業(yè)會計信息安全就是為了使會計信息具有完整性、可用性、保密性和可靠性，而讓企業(yè)的會計信息和會計信息系統(tǒng)處于必要的保護(hù)之下免于未經(jīng)授權(quán)的訪問、使用、泄漏、修改和破壞，并適當(dāng)采取相應(yīng)政策、培訓(xùn)和教育以及技術(shù)等必要手段，其實(shí)質(zhì)就是扎根于企業(yè)經(jīng)營實(shí)踐活動并與企業(yè)戰(zhàn)略密切聯(lián)系的業(yè)務(wù)保障和管理問題。顯然，影響企業(yè)會計信息安全的因素必然來源于企業(yè)的生產(chǎn)經(jīng)營實(shí)踐活動，并與企業(yè)的經(jīng)營管理過程結(jié)合在一起。鑒于此，本文認(rèn)為影響企業(yè)會計信息安全的因素不外乎組織環(huán)境、信息處理、風(fēng)險評估、監(jiān)控反饋、制度安排五個方面內(nèi)容。

（一）組織環(huán)境。企業(yè)組織環(huán)境是指能對企業(yè)生產(chǎn)經(jīng)營活動和決策產(chǎn)生直接影響并與企業(yè)戰(zhàn)略目標(biāo)實(shí)現(xiàn)密切相關(guān)的因素。企業(yè)會計信息安全及相關(guān)會計信息系統(tǒng)的運(yùn)行都必須基于既有的企業(yè)組織環(huán)境。一般來說，企業(yè)組織環(huán)境包括企業(yè)愿景、企業(yè)戰(zhàn)略、企業(yè)文化、組織結(jié)構(gòu)、員工勝任能力以及管理者素質(zhì)、管理風(fēng)格、管理哲學(xué)等。企業(yè)組織環(huán)境對企業(yè)會計信息安全的影響作用在很大程度上取決于企業(yè)高層管理者。其原因在于，根據(jù)企業(yè)高層管理者的管理哲學(xué)與管理風(fēng)格以及由其演繹而成的組織結(jié)構(gòu)和企業(yè)文化形成了企業(yè)會計信息安全環(huán)境，并以此構(gòu)建相應(yīng)的會計信息安全管控框架，進(jìn)而形成相應(yīng)的會計信息安全策略。此外，相關(guān)的企業(yè)會計信息安全管控策略若要能在企業(yè)內(nèi)部得到有效的持續(xù)的實(shí)施，也需要企業(yè)內(nèi)所有管理者和員工的共同參與，更是與管理者和員工的安全意識和職業(yè)素養(yǎng)密切相關(guān)。高層管理者負(fù)責(zé)制訂與企業(yè)組織發(fā)展方向相關(guān)以及影響整個企業(yè)戰(zhàn)略的會計信息安全管控決策；中層管理者負(fù)責(zé)將高層管理者所制訂的會計信息安全管控決策目標(biāo)轉(zhuǎn)換成為基層管理者可執(zhí)行的會計信息安全管控具體目標(biāo)；基層管理者則負(fù)責(zé)直接指揮從事具體業(yè)務(wù)的相關(guān)員工進(jìn)行日常業(yè)務(wù)作業(yè)。

（二）信息處理。企業(yè)會計信息處理是一個比較復(fù)雜的系統(tǒng)，在這個系統(tǒng)中應(yīng)該能完整、可靠、安全地采集與企業(yè)經(jīng)營管理相關(guān)的各種會計信息，并使這些會計信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級及經(jīng)過適當(dāng)授權(quán)的客戶之間進(jìn)行有效傳遞和正確使用。因此，在會計信息化環(huán)境下為達(dá)到上述要求，企業(yè)需要為會計信息處理系統(tǒng)配置適當(dāng)?shù)能浻布Y源。在這種情況下，企業(yè)會計信息安全問題就集中于物理硬件的可靠性和支持軟件的有效性。物理硬件通常由系統(tǒng)主機(jī)、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護(hù)等組成，譬如給數(shù)據(jù)加密的專用設(shè)備，添加專用防火墻的服務(wù)器，具有加密算法和多數(shù)位加密的路由等。支持軟件則主要由能實(shí)現(xiàn)會計信息采集、整理、加工、傳送、使用等功能的會計信息管理軟件構(gòu)成，當(dāng)然還包括操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、壓縮、加密算法、防病毒等相關(guān)軟件。

（三）風(fēng)險評估。風(fēng)險評估就是分析、識別和控制相關(guān)影響會計信息安全目標(biāo)實(shí)現(xiàn)的各種風(fēng)險的過程，它主要由會計信息安全的目標(biāo)設(shè)定、風(fēng)險分析、風(fēng)險識別和風(fēng)險控制等方面構(gòu)成。企業(yè)要確保其會計信息安全，則必須清楚且能應(yīng)對各種可能對其會計信息安全產(chǎn)生影響的風(fēng)險，在不斷變化的企業(yè)經(jīng)營環(huán)境中進(jìn)行認(rèn)真分析，識別并把握其變化規(guī)律，制訂相關(guān)的應(yīng)對措施，依據(jù)會計信息安全面臨的問題適時調(diào)整企業(yè)會計信息安全管控策略和方法。這就要求企業(yè)的會計信息安全管控策略要有更長遠(yuǎn)的時間和更廣闊的視野來關(guān)注風(fēng)險，將風(fēng)險意識貫穿于企業(yè)會計信息安全管控的始終，不斷完善包括企業(yè)經(jīng)營理念、管理方式、管理風(fēng)格在內(nèi)的控制風(fēng)險環(huán)境。為此，企業(yè)還需要制訂相關(guān)的會計信息安全目標(biāo)，并將這一目標(biāo)與企業(yè)的供應(yīng)、生產(chǎn)、銷售等經(jīng)營活動進(jìn)行整合。唯有如此，才能實(shí)現(xiàn)整個企業(yè)經(jīng)營管理的協(xié)調(diào)一致。

（四）監(jiān)控反饋。企業(yè)必須制定監(jiān)控反饋的政策與程序，才能確保既定會計信息安全目標(biāo)和必要改進(jìn)措施的有效實(shí)施。一方面，企業(yè)經(jīng)營環(huán)境是不斷發(fā)生變化的，企業(yè)經(jīng)營活動也隨之不斷變化。在這種情況下，唯有對企業(yè)會計信息安全管控系統(tǒng)進(jìn)行必要的監(jiān)控，并在必要時加以修訂與調(diào)整，管控系統(tǒng)及相關(guān)的政策與程序才能反應(yīng)自如。另一方面，企業(yè)會計信息處理系統(tǒng)自身也會由于物理硬件或支持軟件方面的不確定因素而導(dǎo)致會計信息處理的延誤或失效。這樣，企業(yè)也需適時地對企業(yè)會計信息處理系統(tǒng)進(jìn)行監(jiān)控，排除不確定因素，維護(hù)會計信息處理系統(tǒng)的有效和安全。此外，還應(yīng)考慮制定怎樣的監(jiān)控反饋政策與程序。通常，過于集權(quán)的監(jiān)控政策會導(dǎo)致因信息缺乏而引起的成本，過于分權(quán)的監(jiān)控政策則會出現(xiàn)因目標(biāo)不一致而引起的成本。鑒于此，企業(yè)對會計信息安全的監(jiān)控反饋政策與程序的選擇應(yīng)該是權(quán)衡這兩類成本，使成本之和最小。

（五）制度安排。企業(yè)會計信息安全還與企業(yè)制度安排密切相關(guān)。好的政策制度，能有效協(xié)調(diào)和激勵合意的行為，約束和懲罰不合意的行為，從而帶來良好的經(jīng)濟(jì)績效；差的政策制度，則會產(chǎn)生相反的結(jié)果。因此，企業(yè)在進(jìn)行會計信息安全方面的制度安排時，需要依據(jù)會計信息安全的目標(biāo)，設(shè)計出良好的管控制度，做到能有效地協(xié)調(diào)和激勵符合企業(yè)會計信息安全的行為，并能夠約束和懲罰不符合企業(yè)會計信息安全的行為，進(jìn)而為企業(yè)帶來良好的會計信息安全管控效果。需要關(guān)注的是，制度安排的效果，還要與其實(shí)施的環(huán)境密切關(guān)聯(lián)。因?yàn)橹贫葘?shí)施的環(huán)境發(fā)生了變化，就有可能使得原先實(shí)施效果很好的制度不再那么有效，甚至失效。

二、企業(yè)會計信息安全的主要風(fēng)險問題

通過上文的分析可知，企業(yè)會計信息安全受到?jīng)_擊和挑戰(zhàn)的原因很多，具體表現(xiàn)出來的風(fēng)險問題也是多樣的。但是，具體到企業(yè)管理實(shí)踐中，會計信息安全的風(fēng)險問題基本上集中于員工的會計信息安全認(rèn)知、會計信息處理系統(tǒng)、風(fēng)險評估與監(jiān)控反饋的認(rèn)識以及對會計信息安全管控制度的執(zhí)行等幾個方面。

（一）員工的會計信息安全認(rèn)知不足。基于組織環(huán)境方面的會計信息安全風(fēng)險問題多源于企業(yè)的員工對會計信息安全認(rèn)知的不足。其原因在于，與安全有關(guān)的問題都離不開“人”這個主體因素。一方面，許多企業(yè)管理者的會計信息安全意識、安全知識和安全管理等方面存在不足。譬如，在確定企業(yè)會計信息安全管控方案時沒有對企業(yè)進(jìn)行全面的自我診斷，僅是對企業(yè)的基本狀況做了一個大概了解，就直接在企業(yè)內(nèi)部實(shí)施現(xiàn)有的標(biāo)準(zhǔn)或者其他企業(yè)或組織的成功方案。由于企業(yè)既沒有充分挖掘會計信息安全現(xiàn)狀和對會計信息安全的內(nèi)在需求，也沒有全面考慮利益相關(guān)者的利益安全需求，必然會導(dǎo)致企業(yè)對會計信息安全的實(shí)際需求與其能提供的安全管控之間存在差距。更有甚者，企業(yè)管理者對會計信息安全的支持和重視不足，導(dǎo)致企業(yè)內(nèi)部會計信息安全文化缺失和普通員工會計信息安全意識淡薄。另一方面，企業(yè)信息化的發(fā)展，使得越來越多的非財會相關(guān)崗位的普通員工也被包含到企業(yè)會計信息安全體系之中。這些員工，甚至一些財會崗位的員工，要么不完全理解會計信息安全的重要性，要么過度信賴企業(yè)會計信息安全管控方案，而不愿意把自己的精力和資源放在會計信息安全防護(hù)上，或者從根本上就認(rèn)為即便對會計信息不采取安全防護(hù)措施也不一定會造成損失。當(dāng)然，也存在一些員工由于缺少必要的會計信息安全教育和培訓(xùn)，根本不知道自己不遵守和執(zhí)行相關(guān)的會計信息安全管控方案會對企業(yè)帶來怎樣的不利影響。

（二）會計信息處理系統(tǒng)安全技術(shù)滯后。企業(yè)會計信息安全需求是隨著企業(yè)的生產(chǎn)經(jīng)營活動和企業(yè)所處的內(nèi)外部環(huán)境的變化而變化的。但是，很多企業(yè)并沒有意識到企業(yè)會計信息安全需求的動態(tài)變化規(guī)律，對會計信息安全管控方案依然秉承“投資一次，受用終身”的觀念，抱陳守舊。這種投資觀直接導(dǎo)致企業(yè)會計信息處理系統(tǒng)安全技術(shù)跟不上企業(yè)生產(chǎn)經(jīng)營活動和企業(yè)所處的內(nèi)外部環(huán)境的變化。具體體現(xiàn)在企業(yè)使用的會計信息處理軟件本身設(shè)計存在缺陷或技術(shù)漏洞得不到及時的完善以及殺毒軟件、防火墻等相關(guān)支持軟件不能得到及時更新；沒有隨著企業(yè)業(yè)務(wù)和環(huán)境的變化更新會計信息處理系統(tǒng)導(dǎo)致業(yè)務(wù)流程描述錯誤或漏洞、數(shù)據(jù)訪問權(quán)限設(shè)置不當(dāng)、關(guān)鍵數(shù)據(jù)備份不足等問題；以及系統(tǒng)主機(jī)、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護(hù)等老化損毀等。

（三）會計信息安全風(fēng)險意識薄弱與風(fēng)險評估體系缺失。當(dāng)前，不少企業(yè)員工，包括部分企業(yè)管理者，其會計信息安全風(fēng)險意識淡薄，認(rèn)識不到企業(yè)會計信息安全風(fēng)險的客觀性。實(shí)際上，企業(yè)生產(chǎn)經(jīng)營活動中，風(fēng)險是客觀存在的，它是無處不在的，也是無時不在的。通常狀況下，企業(yè)所面臨的會計信息安全風(fēng)險，也與威脅企業(yè)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)的相關(guān)事件密切相關(guān)。因此，企業(yè)會計信息安全風(fēng)險的評估，要求企業(yè)所有員工能對貫穿于企業(yè)方方面面的會計信息安全風(fēng)險有一個清晰的認(rèn)知。尤為突出的是，很多企業(yè)并沒有形成一套有效的會計信息安全風(fēng)險評估體系來對會計信息處理系統(tǒng)進(jìn)行風(fēng)險評估。會計信息安全風(fēng)險評估體系可以確定各種會計信息采集、整理、處置、披露和使用等行為的邊界，明確什么行為是可以做的，什么行為是不可以做的。如果發(fā)現(xiàn)有越界的行為，能夠及時發(fā)現(xiàn)并對其進(jìn)行控制，進(jìn)而使得這些越界行為造成的損失降至最低。

（四）會計信息安全監(jiān)控反饋欠佳。一般來說，企業(yè)會計信息安全監(jiān)控反饋機(jī)制可以分為三個步驟。一是對實(shí)際會計信息安全的衡量與評估；二是將實(shí)際衡量與評估的結(jié)果與企業(yè)設(shè)定的或標(biāo)準(zhǔn)的安全目標(biāo)進(jìn)行比較；三是采取必要的管控行動來糾正比較后得出的偏差與不足。顯然，會計信息安全監(jiān)控反饋過程是一個連續(xù)行動的過程，其有效性歸根結(jié)蒂取決于以上的衡量、比較與糾偏三個步驟，其中任何一個步驟或者幾個步驟低效率或不作為就會影響企業(yè)會計信息安全監(jiān)控反饋機(jī)制的有效性。但是，在現(xiàn)實(shí)的企業(yè)經(jīng)營管理實(shí)際中，由于企業(yè)員工認(rèn)識不到會計信息安全監(jiān)控反饋機(jī)制是一個衡量、比較與糾偏的連續(xù)行動過程，而是過度強(qiáng)調(diào)這個監(jiān)控反饋機(jī)制中的某一個步驟或某幾個步驟，沒有從整個會計信息安全監(jiān)控反饋機(jī)制的全局上考慮，導(dǎo)致企業(yè)會計信息安全監(jiān)控反饋機(jī)制運(yùn)行不暢，監(jiān)控反饋效果大打折扣，最終使該機(jī)制的有效性受到質(zhì)疑，動搖該機(jī)制在企業(yè)會計信息安全管控體系中的地位。

（五）會計信息安全管控制度低效。會計信息化依然是個新生事物，企業(yè)對會計信息安全管控的認(rèn)知還處于初級階段，相關(guān)的制度建設(shè)尚不完善，有的還處于草創(chuàng)階段，導(dǎo)致企業(yè)日常會計事務(wù)的工作制度依然處于缺失狀態(tài)，會計信息處理系統(tǒng)的使用和維護(hù)行為缺乏合理的引導(dǎo)，會計信息處理設(shè)備的濫用和誤用、會計信息的不當(dāng)使用等現(xiàn)象時有發(fā)生，嚴(yán)重危害企業(yè)的會計信息安全。即便企業(yè)有相對健全的會計信息安全管控制度，若不能對相關(guān)執(zhí)行人進(jìn)行必要的激勵，也難以使相關(guān)制度得到有效執(zhí)行。其原因在于任何制度都是由人來執(zhí)行的，要保證制度的執(zhí)行效果，就必須對執(zhí)行人進(jìn)行激勵。激勵的目的就是當(dāng)個人的行為能促進(jìn)企業(yè)目標(biāo)的實(shí)現(xiàn)時，能得到企業(yè)提供給其相應(yīng)的價值回報，把企業(yè)員工的個人行為動機(jī)與企業(yè)目標(biāo)的實(shí)現(xiàn)密切關(guān)聯(lián)起來。事實(shí)上，很多企業(yè)在信息安全管控制度的執(zhí)行過程中，并沒有設(shè)立相應(yīng)的激勵指標(biāo)來推動企業(yè)員工為企業(yè)信息安全目標(biāo)的實(shí)現(xiàn)而工作。

三、企業(yè)會計信息安全的管控建議

針對以上風(fēng)險問題，企業(yè)應(yīng)該在影響會計信息安全因素的組織環(huán)境、信息處理、風(fēng)險評估、監(jiān)控反饋、制度安排等方面強(qiáng)化作為。

（一）加強(qiáng)會計信息安全管控組織環(huán)境建設(shè)。一方面，要強(qiáng)化企業(yè)會計信息安全文化建設(shè)，在企業(yè)內(nèi)部形成全體員工共同遵循的會計信息安全的信念、價值、意識以及經(jīng)營哲學(xué)等，以此為基礎(chǔ)設(shè)計相應(yīng)的企業(yè)會計信息安全管控制度，并提供理念支持。還可以在企業(yè)文化建設(shè)過程中，不斷強(qiáng)化企業(yè)會計信息安全的重要性和相關(guān)會計信息安全管制制度設(shè)計的員工參與度，以實(shí)現(xiàn)更加公平透明和執(zhí)行有效的企業(yè)會計信息安全管控文化。另一方面，要充分重視人的因素，加強(qiáng)企業(yè)員工的職業(yè)道德教育和業(yè)務(wù)素質(zhì)培養(yǎng)，提高全體員工的職業(yè)勝任能力，充分發(fā)揮每個員工在完善企業(yè)會計信息安全管控制度方面的主觀能動性。企業(yè)還可以依據(jù)員工的工作性質(zhì)和職位安排，適宜安排企業(yè)會計信息安全教育與培訓(xùn)。對企業(yè)管理者，強(qiáng)化會計信息安全核心知識、技術(shù)手段、風(fēng)險管理等方面的教育與培訓(xùn)；對企業(yè)普通員工，則結(jié)合其所在部門的業(yè)務(wù)特點(diǎn)加強(qiáng)會計信息安全技術(shù)手段、風(fēng)險意識等方面的教育與培訓(xùn)。這樣，就可以在企業(yè)內(nèi)部營造企業(yè)會計信息安全文化氛圍，最大程度地減少人為因素對企業(yè)會計信息安全的危害。

（二）適時更新會計信息處理系統(tǒng)安全技術(shù)。企業(yè)要遵循會計信息安全需求的動態(tài)變化規(guī)律，對會計信息安全管控方案放棄“投資一次，受用終身”的觀念，適時更新會計信息系統(tǒng)處理安全技術(shù)，按照“適度防御”的原則，選擇合適的安全技術(shù)與產(chǎn)品，形成企業(yè)適用的安全技術(shù)防線。首先，適時更新會計信息處理的安全技術(shù)。在企業(yè)會計信息處理系統(tǒng)中提供包括用戶名、口令等在內(nèi)的多種身份驗(yàn)證機(jī)制，必要時還需嵌入支持雙因素認(rèn)證和具備登錄控制模塊，同時在會計信息處理的日常作業(yè)不受影響的情況下，控制相應(yīng)員工的訪問權(quán)限，減少可能的越權(quán)操作，保障會計信息處理系統(tǒng)的安全。其次，適時更新會計數(shù)據(jù)的安全技術(shù)。企業(yè)應(yīng)通過適時更新加密等技術(shù)手段保護(hù)會計信息處理系統(tǒng)中數(shù)據(jù)的保密性和完整性，提高會計信息數(shù)據(jù)訪問的抗依賴性。此外，還需加強(qiáng)相關(guān)會計信息數(shù)據(jù)的異地崩潰或者災(zāi)難恢復(fù)機(jī)制，通過實(shí)現(xiàn)本地會計信息數(shù)據(jù)能夠異地備份和復(fù)制，避免本地會計信息處理系統(tǒng)由于崩潰或者災(zāi)難等而導(dǎo)致會計信息數(shù)據(jù)遺失。再次，適時更新網(wǎng)絡(luò)安全技術(shù)。不但要適時更新系統(tǒng)掃描技術(shù)并對會計信息處理系統(tǒng)和操作系統(tǒng)層設(shè)備進(jìn)行智能化檢測，幫助企業(yè)網(wǎng)絡(luò)管理人員高效完成定期檢測和操作系統(tǒng)的漏洞修復(fù)，還要適時更新系統(tǒng)實(shí)時入侵探測技術(shù)來監(jiān)控主機(jī)系統(tǒng)事件，檢測可疑特征并給予響應(yīng)和處置。此外，還要適時更新在企業(yè)內(nèi)外部部署的網(wǎng)絡(luò)和信息安全設(shè)施，強(qiáng)化會計信息處理系統(tǒng)的物理實(shí)體管理，同時加強(qiáng)對漏洞掃描系統(tǒng)和入侵檢測系統(tǒng)的更新，以實(shí)現(xiàn)會計信息處理系統(tǒng)受到內(nèi)外部誤操作或各種攻擊時的實(shí)時保護(hù)。最后，適時完善物理設(shè)備的安全防護(hù)技術(shù)。不但要采取全面可靠的防火墻技術(shù)和防病毒系統(tǒng)，還要針對環(huán)境的物理災(zāi)害、人為蓄意破壞甚至自然災(zāi)害采取有效的物化防護(hù)技術(shù)，保障相關(guān)物理設(shè)備的安全。

（三）形成會計信息安全風(fēng)險評估體系。任何企業(yè)管理機(jī)制的構(gòu)建都是一個系統(tǒng)工程，能否構(gòu)建成功且在以后的運(yùn)行中有效，關(guān)鍵是相關(guān)風(fēng)險的評估。正如管理大師德魯克所說，沒有評估就沒有管理。同樣的道理，沒有評估就不可能實(shí)現(xiàn)管理機(jī)制的構(gòu)建與施行。對會計信息安全管制機(jī)制的構(gòu)建亦是如此。為此，企業(yè)為了構(gòu)建有效的會計信息安全管理機(jī)制，就需對可能的損害企業(yè)會計信息安全的風(fēng)險進(jìn)行歸集與分類，形成會計信息安全風(fēng)險評估體系。具體做法，可以采用以下三步。第一步，構(gòu)建適應(yīng)企業(yè)經(jīng)營實(shí)踐和企業(yè)會計信息安全要求的會計信息安全風(fēng)險評估目標(biāo)體系。既要根據(jù)會計信息的完整性、可用性、保密性和可靠性設(shè)置會計信息安全的一般目標(biāo)，又要根據(jù)會計信息安全管控環(huán)節(jié)設(shè)置具體目標(biāo)，譬如會計信息安全管控業(yè)務(wù)執(zhí)行的有效性、及時性、正確性等。第二步，按照會計信息處理的授權(quán)管理、崗位牽制、資源接觸等安全管控類型，分析并得出會計信息處理業(yè)務(wù)流程和各部門的關(guān)鍵風(fēng)險控制點(diǎn)和一般風(fēng)險控制點(diǎn)。最后，根據(jù)上述風(fēng)險控制點(diǎn)設(shè)置相應(yīng)的會計信息安全管控評估指標(biāo)，并對每個指標(biāo)進(jìn)行具體說明，且給出這些指標(biāo)的評估方法和評分標(biāo)準(zhǔn)。

（四）推行企業(yè)全面信息安全監(jiān)控反饋機(jī)制。會計信息安全管控不應(yīng)該僅僅是涉及到會計信息這樣一個狹小的范疇，而應(yīng)該是一個綜合的概念，要把企業(yè)的經(jīng)營環(huán)境、愿景理念、組織領(lǐng)導(dǎo)、戰(zhàn)略計劃等綜合起來考慮。既要認(rèn)識到現(xiàn)代企業(yè)中會計信息安全管控的重要性，也要能從會計信息安全的管控上升到企業(yè)信息安全管控，推行企業(yè)全面信息安全監(jiān)控反饋機(jī)制，實(shí)現(xiàn)企業(yè)全面信息安全管控，并使之成為企業(yè)的管理哲學(xué)。首先，要做到內(nèi)容方式的全面性。不僅要著眼于會計信息安全的管控，還要能從企業(yè)戰(zhàn)略的高度審視和評估會計信息安全管控，更要注重各種安全技術(shù)和方法的綜合使用，確保能實(shí)現(xiàn)從單純的會計信息安全管控向企業(yè)全面信息安全管控轉(zhuǎn)變。其次，要做到管控過程的全面性。要把會計信息安全管控作為核心貫穿到整個企業(yè)經(jīng)營過程中，即從市場調(diào)查、產(chǎn)品開發(fā)、生產(chǎn)銷售等環(huán)節(jié)延續(xù)到產(chǎn)品售后都要實(shí)行相應(yīng)的會計信息安全管控，確保會計信息從靜態(tài)安全管控向動態(tài)安全管控轉(zhuǎn)變，進(jìn)而實(shí)現(xiàn)會計信息的保護(hù)、檢測、反應(yīng)和恢復(fù)協(xié)調(diào)一致。最后，要做到管控人員的全面性。即要求包括企業(yè)高管、其他管理人員、工程技術(shù)人員和普通員工在內(nèi)的全體員工都要參與到全面信息安全管控中，各司其職，對會計信息安全負(fù)責(zé)。

（五）強(qiáng)化會計信息安全管控制度安排。強(qiáng)化企業(yè)會計信息安全管控制度建設(shè)，不外乎制度本身的完善和既有制度的有效執(zhí)行。會計信息安全管控制度的完善，就是建立一套完善的會計信息安全管控制度。這既是會計信息本身安全的基礎(chǔ)，也是會計信息安全管控的前提。完善的會計信息安全管控制度至少應(yīng)該包括會計信息處理系統(tǒng)的開發(fā)或選購、使用、維護(hù)和應(yīng)急制度，以及機(jī)房和終端等會計信息處理系統(tǒng)物理實(shí)體管理制度、會計信息數(shù)據(jù)的使用制度、會計信息數(shù)據(jù)備份制度、會計信息安全風(fēng)險評估制度、會計信息安全審計制度等，實(shí)現(xiàn)從會計信息數(shù)據(jù)采集整理到會計信息數(shù)據(jù)使用備份的會計信息處理全程制度無縫構(gòu)建，并隨著企業(yè)經(jīng)營環(huán)境的變化適時更新和完善。而既有會計信息安全管控制度的有效執(zhí)行，則需充分重視企業(yè)員工績效考核制度。恰當(dāng)在企業(yè)員工的績效考核中納入企業(yè)會計信息安全評估的內(nèi)容，使其獲得報酬的變量和風(fēng)險密切關(guān)聯(lián)于企業(yè)會計信息安全。這樣就可以保證企業(yè)員工在會計信息安全管控制度的執(zhí)行方面上，能夠基于企業(yè)的長期利益，而不是其個人利益，進(jìn)而實(shí)現(xiàn)既有會計信息安全制度的有效執(zhí)行。

四、結(jié)束語

企業(yè)會計信息安全對企業(yè)生產(chǎn)經(jīng)營活動的可持續(xù)發(fā)展以及對市場經(jīng)濟(jì)的建立健全等方面的作用是不容置疑的。但是，也要看到我國關(guān)于企業(yè)會計信息安全乃至整個企業(yè)信息安全管控實(shí)踐和研究的起步較晚，與發(fā)達(dá)市場經(jīng)濟(jì)國家在初始條件和實(shí)踐能力方面還存在一定程度的差距。這是我國企業(yè)在進(jìn)行會計信息安全管控時所必須要考慮到的一個基本現(xiàn)實(shí)。因此，本文認(rèn)為企業(yè)會計信息化安全管控，既是一個不斷發(fā)現(xiàn)問題和解決問題的過程，也是一個不斷迎接挑戰(zhàn)和接受沖擊的過程。

參考文獻(xiàn)：

[1]張紅旗，王新昌，楊英杰等.信息安全管理[M].北京：人民郵電出版社，2007.

[2]胡英松.信息化會計信息安全問題研究[J].哈爾濱商業(yè)大學(xué)學(xué)報（社會科學(xué)版），2009，（4）：83-85.

[3]ISO.ISO/IEC27002：2005[EB/OL].[2015-08-17].https：//www.iso.org/obp/ui/#iso：std：iso-iec：27002：ed-1：v1：en.

[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online，http：//csrc.nist.ov/publications/history/dod85.pdf

[5]梅雨.企業(yè)財務(wù)監(jiān)控問題解析[J].中國管理信息化，2009，（9）：48-50.

[6]Schultz E.The Human Factor in Security[J].Computers and Security，2005，24（6）：425-426.

[7]朱麗明.簡析信息化環(huán)境下影響會計信息安全的因素及應(yīng)對措施[J].新經(jīng)濟(jì)，2014，（5）：106-107.

[8]雷萬云.信息安全保衛(wèi)戰(zhàn)：企業(yè)信息安全建設(shè)策略與實(shí)踐[M].北京：清華大學(xué)出版社，2013.