閔雨晴 戴昕

[提要] 會(huì)計(jì)信息系統(tǒng)安全性是中小企業(yè)是否應(yīng)用云會(huì)計(jì)的重要因素之一。在分析SaaS模式云會(huì)計(jì)應(yīng)用于中小企業(yè)合理性的基礎(chǔ)上，探討SaaS模式云會(huì)計(jì)在系統(tǒng)安全、網(wǎng)絡(luò)安全、內(nèi)部控制安全、會(huì)計(jì)信息管理安全等方面的安全隱患。本文運(yùn)用層次分析法，建立評(píng)價(jià)模型，得到影響會(huì)計(jì)信息系統(tǒng)安全性的關(guān)鍵因素，為相關(guān)主體的云會(huì)計(jì)安全防范問題提出建議。旨在強(qiáng)化SaaS模式的云會(huì)計(jì)安全性建設(shè)，為中小企業(yè)選擇云會(huì)計(jì)產(chǎn)品提供參考，助力中小企業(yè)會(huì)計(jì)工作轉(zhuǎn)型升級(jí)。

關(guān)鍵詞：SaaS模式;云會(huì)計(jì);安全性;層次分析法

中圖分類號(hào)：F232 文獻(xiàn)標(biāo)識(shí)碼：A

收錄日期：2020年5月22日

一、引言

《會(huì)計(jì)改革與發(fā)展“十三五”規(guī)劃綱要》指出“會(huì)計(jì)信息化建設(shè)是當(dāng)前會(huì)計(jì)改革與發(fā)展的重要領(lǐng)域之一”，強(qiáng)調(diào)會(huì)計(jì)信息化創(chuàng)新和會(huì)計(jì)工作轉(zhuǎn)型的必要性。在財(cái)務(wù)大數(shù)據(jù)的背景下，企業(yè)的數(shù)據(jù)規(guī)模日益擴(kuò)大，數(shù)據(jù)類型日趨多元，傳統(tǒng)單機(jī)模式財(cái)務(wù)處理存在低效率、難擴(kuò)張的痛點(diǎn)，無法適應(yīng)企業(yè)處理財(cái)務(wù)數(shù)據(jù)的高要求。云會(huì)計(jì)是大數(shù)據(jù)和云計(jì)算發(fā)展下應(yīng)運(yùn)而生的信息系統(tǒng)，突破傳統(tǒng)會(huì)計(jì)工作的桎梏，能夠高效處理業(yè)務(wù)數(shù)據(jù)，滿足企業(yè)內(nèi)部運(yùn)作和外部交易的需要。針對(duì)不同需求的用戶，云會(huì)計(jì)服務(wù)商提供不同的交付模式，其中SaaS模式的云會(huì)計(jì)，以租賃的方式提供服務(wù)，具有實(shí)時(shí)成本控制、依據(jù)需求付費(fèi)、共享資源的特點(diǎn)，能夠滿足規(guī)模較小、資金緊張、業(yè)務(wù)相對(duì)簡(jiǎn)單的中小企業(yè)的需求。

企業(yè)在選擇云會(huì)計(jì)產(chǎn)品時(shí)不僅會(huì)考慮其服務(wù)能力，也會(huì)重點(diǎn)關(guān)注安全性問題。由于不同規(guī)模的企業(yè)對(duì)云會(huì)計(jì)的需求有別，它們會(huì)處于云會(huì)計(jì)基建層、平臺(tái)層、服務(wù)層的不同層次，因此對(duì)云會(huì)計(jì)安全性的考慮不能一概而論。針對(duì)選擇SaaS模式的中小企業(yè)而言，云會(huì)計(jì)保障數(shù)據(jù)的能力、數(shù)據(jù)恢復(fù)的能力、服務(wù)商IT團(tuán)隊(duì)的專業(yè)能力等是其著重考慮的因素。由于安全性影響中小企業(yè)財(cái)務(wù)軟件SaaS化，因此分析影響SaaS模式下云會(huì)計(jì)安全性的因素，建立云會(huì)計(jì)安全性評(píng)價(jià)模型，引導(dǎo)服務(wù)商設(shè)計(jì)出更加符合中小企業(yè)需求的產(chǎn)品與服務(wù)，致力于推動(dòng)會(huì)計(jì)工作云端化，能夠填補(bǔ)中小企業(yè)信息化建設(shè)的空缺。

二、SaaS模式下云會(huì)計(jì)的安全性問題

云會(huì)計(jì)對(duì)信息的存儲(chǔ)不僅取決于企業(yè)自身，而且依賴于服務(wù)商的技術(shù)支持。由于虛擬“云”無跡可尋，使得云端會(huì)計(jì)信息的存儲(chǔ)脫離中小企業(yè)用戶的控制，因此企業(yè)對(duì)云會(huì)計(jì)的安全性尤為重視。

（一）系統(tǒng)安全問題。云會(huì)計(jì)服務(wù)系統(tǒng)承載著企業(yè)重要的會(huì)計(jì)信息，因而系統(tǒng)的安全性尤為重要。系統(tǒng)安全涉及操作系統(tǒng)安全、硬盤安全、主機(jī)安全等三個(gè)方面，其中，操作系統(tǒng)安全影響信息同步、數(shù)據(jù)處理、信息識(shí)別等工作。硬盤安全是伴隨自然損耗而產(chǎn)生的隱患，由于中小企業(yè)業(yè)務(wù)日益擴(kuò)展，其會(huì)計(jì)工作需要對(duì)數(shù)據(jù)進(jìn)行頻繁的壓縮傳輸，易導(dǎo)致硬盤溫度過高而造成硬盤損耗。主機(jī)故障則涉及主機(jī)與零件的兼容性、整體與部分的協(xié)調(diào)性等復(fù)雜工作，同樣存在一定的故障概率。

（二）網(wǎng)絡(luò)安全問題。中小企業(yè)在資金與技術(shù)方面較為薄弱，難以實(shí)現(xiàn)云會(huì)計(jì)服務(wù)的定制化，而是采用租賃服務(wù)將數(shù)據(jù)存儲(chǔ)于“公共云”中。由于網(wǎng)絡(luò)技術(shù)的漏洞為不法行為提供可乘之機(jī)，也會(huì)沖擊云會(huì)計(jì)網(wǎng)絡(luò)安全的穩(wěn)定性，因此中小企業(yè)對(duì)服務(wù)商提出更高的網(wǎng)絡(luò)安全要求。一方面要求云會(huì)計(jì)具備防范黑客入侵的能力，因?yàn)榫W(wǎng)絡(luò)黑客和不法分子會(huì)通過網(wǎng)絡(luò)系統(tǒng)攻擊盜取企業(yè)機(jī)密，實(shí)現(xiàn)牟取利益的目的;另一方面是防范病毒入侵的能力，由于網(wǎng)絡(luò)病毒具有強(qiáng)大破壞性和傳染性，會(huì)影響云會(huì)計(jì)工作甚至癱瘓服務(wù)器，因此規(guī)避網(wǎng)絡(luò)病毒、惡意代碼的侵害尤為重要。

（三）內(nèi)部控制安全問題。傳統(tǒng)會(huì)計(jì)工作以不相容的職務(wù)分工為基礎(chǔ)，會(huì)計(jì)信息的確認(rèn)、計(jì)量、記錄、報(bào)告有嚴(yán)格的流程。而財(cái)務(wù)SaaS工作靈活性強(qiáng)，數(shù)據(jù)處理集中性高，容易導(dǎo)致中小企業(yè)賬簿管理與組織控制的功能被弱化。其一，由于記賬、制單及復(fù)核工作涉及多個(gè)崗位，中小企業(yè)在內(nèi)部控制尚不完善的情況下，若云會(huì)計(jì)在身份認(rèn)證方面較為薄弱，則更容易出現(xiàn)密碼泄露、權(quán)限混淆等現(xiàn)象。其二，中小企業(yè)在員工管理和培訓(xùn)方面存在不足，在員工缺乏安全知識(shí)或未合規(guī)操作的情況下，容易帶來風(fēng)險(xiǎn)。其三，交易環(huán)境的漏洞會(huì)引起惡性交易，造成中小企業(yè)利益受損。

（四）會(huì)計(jì)信息管理安全問題。SaaS模式的“公共云”數(shù)據(jù)庫(kù)全面覆蓋企業(yè)所有的財(cái)務(wù)信息，因此會(huì)計(jì)信息管理安全是云會(huì)計(jì)服務(wù)的重要內(nèi)容，企業(yè)需要服務(wù)商在信息儲(chǔ)存、傳輸、轉(zhuǎn)化過程中重視會(huì)計(jì)信息真實(shí)性、可用性和保密性方面的管理工作。其中，云會(huì)計(jì)軟件在升級(jí)維護(hù)的過程中，存在影響會(huì)計(jì)信息真實(shí)性的風(fēng)險(xiǎn)，所以需要避免信息在轉(zhuǎn)化中失真或在傳輸過程中丟失。可用性是要求服務(wù)商提供全天候服務(wù)，保障用戶的訪問不受時(shí)空限制，否則將會(huì)影響中小企業(yè)會(huì)計(jì)工作的正常開展。保密性則是指會(huì)計(jì)信息不被泄露，需要避免信息泄露給企業(yè)帶來的風(fēng)險(xiǎn)。

三、基于AHP的云會(huì)計(jì)安全評(píng)價(jià)

通過對(duì)SaaS模式下中小企業(yè)云會(huì)計(jì)安全隱患的分析，可知影響云會(huì)計(jì)安全性的因素較多，并且主要為定性因素。層次分析法能夠融合抽象與具體的指標(biāo)，對(duì)決策因素進(jìn)行層次劃分，實(shí)現(xiàn)定性指標(biāo)的定量評(píng)價(jià)，是確定層次權(quán)重的決策分析方法，適合本文研究云會(huì)計(jì)安全性的評(píng)價(jià)問題。

（一）建立遞階層次結(jié)構(gòu)模型。將影響會(huì)計(jì)安全性的因素劃分為系統(tǒng)安全、網(wǎng)絡(luò)安全、內(nèi)部控制安全、信息管理安全四大類，并分別對(duì)應(yīng)子指標(biāo)，建立安全評(píng)價(jià)指標(biāo)體系。（圖1）

（二）構(gòu)造判斷矩陣及一致性檢驗(yàn)。為獲取指標(biāo)評(píng)分的合理性，通過發(fā)放問卷，邀請(qǐng)15位行業(yè)專家對(duì)指標(biāo)體系進(jìn)行評(píng)分。其中，問卷的設(shè)計(jì)是指標(biāo)層次內(nèi)部間的兩兩對(duì)比，分值劃分采用“1-9 標(biāo)度法”，最終得到指標(biāo)評(píng)分均值數(shù)據(jù)。（表1）

其中，判斷分值“3”代表與另一指標(biāo)相比，該指標(biāo)重要程度稍微大;分值“5”代表與另一指標(biāo)相比，該指標(biāo)明顯重要;“2”、“4”則介于相鄰重要程度之間，數(shù)字越大反映重要程度越高。

在獲取指標(biāo)評(píng)分的基礎(chǔ)上，對(duì)準(zhǔn)則層和指標(biāo)層構(gòu)建相應(yīng)的比較判斷矩陣，以衡量指標(biāo)的重要程度并獲取總權(quán)重，其中準(zhǔn)則層判斷矩陣如表2所示。（表2）

對(duì)云會(huì)計(jì)安全評(píng)價(jià)體系所對(duì)應(yīng)的矩陣進(jìn)行列向量歸一化：

S=0.09 0.07 0.09 0.100.18 0.13 0.13 0.130.27 0.27 0.26 0.260.46 0.53 0.52 0.51

通過特征值得到單個(gè)層次的順序，令SW=？姿Wi，其中？姿為向量S的特征根，W為與？姿對(duì)應(yīng)的特征向量，Wi為W的分量，表示第i個(gè)指標(biāo)在準(zhǔn)則層的權(quán)重。根據(jù)矩陣歸一處理后的結(jié)果，求解出W1=0.09 0.14 0.26 0.51T。

得知檢驗(yàn)系數(shù)CR<0.1，符合一致性要求。進(jìn)而計(jì)算指標(biāo)層各元素相對(duì)于準(zhǔn)則層的權(quán)重，具體算法與過程與上文一致，且判斷矩陣均通過一致性檢驗(yàn)。

（三）層次總排序。通過計(jì)算各指標(biāo)在評(píng)價(jià)體系中的權(quán)重，得出評(píng)價(jià)指標(biāo)權(quán)重結(jié)果如表3所示。（表3）

由表3可知，影響SaaS模式云會(huì)計(jì)安全性的主要方面是會(huì)計(jì)信息管理安全，權(quán)重為0.51，其次分別為內(nèi)部控制安全、網(wǎng)絡(luò)安全和系統(tǒng)安全。影響安全性的關(guān)鍵指標(biāo)為信息管理安全中的真實(shí)性管理、可用性管理、保密性管理;內(nèi)部控制中，合規(guī)操作和交易環(huán)境對(duì)安全性的影響較為明顯;網(wǎng)絡(luò)安全中，病毒防御能力顯著影響用戶對(duì)安全性的體驗(yàn);系統(tǒng)安全中，硬盤安全是影響安全性的主要因素。而其他指標(biāo)權(quán)重較小，對(duì)安全性的影響一般。因此，中小企業(yè)在選擇SaaS模式云會(huì)計(jì)產(chǎn)品時(shí)，應(yīng)首先要關(guān)注服務(wù)商在信息管理安全方面的保障能力，重視“公共云”信息在傳輸、儲(chǔ)存、轉(zhuǎn)化過程中的真實(shí)性、可用性、保密性的管理效果;其次是內(nèi)部控制環(huán)節(jié)對(duì)操作合規(guī)性的管理能力以及良好交易環(huán)境的維護(hù)能力;最后是關(guān)注網(wǎng)絡(luò)安全隱患和系統(tǒng)安全隱患的治理能力。

四、優(yōu)化云會(huì)計(jì)安全性的建議

針對(duì)中小企業(yè)對(duì)SaaS模式云會(huì)計(jì)安全性的高要求，服務(wù)商需要考慮企業(yè)的現(xiàn)實(shí)需要，對(duì)影響云會(huì)計(jì)安全性的關(guān)鍵因素進(jìn)行優(yōu)化。金蝶、用友、浪潮作為適用于SaaS模式下中小企業(yè)的主流服務(wù)商，借鑒它們?cè)谠茣?huì)計(jì)安全性建設(shè)方面的成功經(jīng)驗(yàn)，并融入更多提高安全性的對(duì)策，以引導(dǎo)廣大服務(wù)商設(shè)計(jì)出更加符合中小企業(yè)的產(chǎn)品與服務(wù)。

（一）強(qiáng)化信息管理安全建設(shè)?？紤]到信息管理安全是評(píng)價(jià)云會(huì)計(jì)信息系統(tǒng)安全性的關(guān)鍵指標(biāo)，服務(wù)商需要提供可靠的服務(wù)以保障會(huì)計(jì)信息的安全。以連續(xù)十多年位居我國(guó)中小企業(yè)市場(chǎng)占有率第一位的金蝶精斗云為例，它通過建立電信級(jí)別IDC機(jī)房，不僅確保了數(shù)據(jù)安全，而且使得可用性服務(wù)的保障能力高達(dá)到99.9%，其創(chuàng)新性實(shí)踐值得其他SaaS模式的財(cái)務(wù)軟件公司借鑒。此外，為強(qiáng)化信息管理安全建設(shè)，服務(wù)商還可以采用溯源技術(shù)為數(shù)據(jù)的來源與流通提供擔(dān)保，保障數(shù)據(jù)的真實(shí)性;通過雙路供電、數(shù)據(jù)備份、檔案管理等措施保障數(shù)據(jù)的可用性;運(yùn)用安全隔離與加密處理，確保數(shù)據(jù)在“公共云”上的保密性。

（二）重視內(nèi)部控制管理。中小企業(yè)由于業(yè)務(wù)擴(kuò)展的需要，會(huì)承租多樣化的功能模塊，因此財(cái)務(wù)輸入和輸出相關(guān)崗位也隨之增加，通過內(nèi)部控制規(guī)范會(huì)計(jì)信息化的監(jiān)管也愈加重要。用友暢捷通在中小企業(yè)云會(huì)計(jì)服務(wù)領(lǐng)域的重要地位，與其完善的內(nèi)部控制制度和管理體系密切相關(guān)，它能夠創(chuàng)造良好的云會(huì)計(jì)交易環(huán)境，避免“黑會(huì)計(jì)云”混跡其中帶來交易失誤，證明服務(wù)商的內(nèi)部控制同樣重要。此外，中小企業(yè)也需要設(shè)立嚴(yán)格的操作授權(quán)制度，對(duì)不相容崗位設(shè)置相應(yīng)的財(cái)務(wù)權(quán)限，服務(wù)商和企業(yè)均需要重視操作人員的專業(yè)技能培訓(xùn)和職業(yè)道德培養(yǎng)，提高云會(huì)計(jì)賬務(wù)操作的合規(guī)性。

（三）加強(qiáng)網(wǎng)絡(luò)安全與系統(tǒng)安全的防范。在互聯(lián)網(wǎng)時(shí)代，中小企業(yè)對(duì)調(diào)取財(cái)務(wù)數(shù)據(jù)的要求較高，對(duì)云會(huì)計(jì)網(wǎng)絡(luò)安全和系統(tǒng)安全也提出較高的要求。在此方面，浪潮云會(huì)計(jì)在浪潮云中心實(shí)施部署，以區(qū)塊鏈、人工智能等新技術(shù)為手段，為網(wǎng)絡(luò)安全和系統(tǒng)安全打造多重保障，這恰是其他云會(huì)計(jì)服務(wù)商的薄弱之處。此外，由于網(wǎng)絡(luò)安全是財(cái)務(wù)SaaS運(yùn)轉(zhuǎn)的基礎(chǔ)條件，服務(wù)商可以通過雙數(shù)據(jù)中心業(yè)務(wù)以及24小時(shí)監(jiān)測(cè)，對(duì)云端數(shù)據(jù)進(jìn)行安全檢查，及時(shí)處理異常的網(wǎng)絡(luò)問題，解決數(shù)據(jù)被破壞后的追溯與恢復(fù)工作。針對(duì)系統(tǒng)安全的防范，需要服務(wù)商加強(qiáng)對(duì)潛在風(fēng)險(xiǎn)的檢測(cè)，保障設(shè)備維護(hù)和升級(jí)。

五、結(jié)語(yǔ)

現(xiàn)階段，中小企業(yè)在會(huì)計(jì)信息化建設(shè)方面相對(duì)薄弱，而SaaS模式的云會(huì)計(jì)以其拓展性、經(jīng)濟(jì)性能夠推動(dòng)中小企業(yè)會(huì)計(jì)信息化的應(yīng)用，但其潛在的安全隱患仍不可忽視。通過分析SaaS模式云會(huì)計(jì)安全性的影響因素，運(yùn)用層次分析法得出影響安全性的關(guān)鍵指標(biāo)，為中小企業(yè)選擇云會(huì)計(jì)產(chǎn)品提供參考。針對(duì)云會(huì)計(jì)在安全性方面的欠缺，借鑒金蝶、用友、浪潮三大主流服務(wù)商的成功經(jīng)驗(yàn)，從強(qiáng)化信息管理、完善內(nèi)部控制、治理網(wǎng)絡(luò)安全和系統(tǒng)安全的角度，向廣大云會(huì)計(jì)服務(wù)商提出風(fēng)險(xiǎn)防控和安全維護(hù)的建議，致力于提高云會(huì)計(jì)產(chǎn)品安全性，推動(dòng)中小企業(yè)財(cái)務(wù)軟件SaaS化，以便為企業(yè)帶來更高的實(shí)效性和產(chǎn)品數(shù)據(jù)價(jià)值。

主要參考文獻(xiàn)：

[1]賈巖.基于SaaS模式的云會(huì)計(jì)在小微企業(yè)中的應(yīng)用[D].哈爾濱商業(yè)大學(xué)，2019.

[2]陳姣.基于模糊層次分析法的云會(huì)計(jì)安全評(píng)價(jià)[J].財(cái)會(huì)通訊，2018（19）.

[3]姚宇.基于SaaS模式的在線會(huì)計(jì)服務(wù)風(fēng)險(xiǎn)控制體系研究[J].現(xiàn)代商業(yè)，2014（29）.

[4]寧洋洋，劉培培等.大數(shù)據(jù)背景下云會(huì)計(jì)安全隱患及防范機(jī)制研究[J].會(huì)計(jì)之友，2019（21）.

[5]周文慧.SaaS模式下中小企業(yè)會(huì)計(jì)信息化優(yōu)化升級(jí)探析[J].財(cái)會(huì)通訊，2019（31）.