胡玉可

[摘要]在網(wǎng)絡(luò)環(huán)境下，會計信息處理表現(xiàn)為適時、便捷和無紙化，這一方面大大加快了會計信息流通的效率；另一方面，網(wǎng)絡(luò)環(huán)境下的會計信息處理容易導(dǎo)致非客觀性，網(wǎng)上犯罪時有發(fā)生，所以。在建立網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)時，應(yīng)完善法律控制、健全環(huán)境控制、加強組織控制，以確保會計信息系統(tǒng)安全的實現(xiàn)。

[關(guān)鍵詞]網(wǎng)絡(luò)環(huán)境；會計信息系統(tǒng)；安全控制

一、完善法制環(huán)境，是會計信息系統(tǒng)安全實現(xiàn)的根本保證

為了對付日益猖獗的計算機犯罪，保護(hù)會計信息使用者的權(quán)益，國家應(yīng)制定并實施計算機安全及數(shù)據(jù)保護(hù)法律法規(guī)，從宏觀上加強對會計信息系統(tǒng)的控制。如英國政府分別于1984年和1990年頒布實施了《計算機濫用法》(《The Com-puter Misuse Act》)和《數(shù)據(jù)保護(hù)法》(《The Data Protection Act》)，為計算機信息系統(tǒng)提供了一個良好的社會環(huán)境。法律是由國家權(quán)力機關(guān)制定的，依照國家權(quán)威性來保證執(zhí)行，并協(xié)調(diào)各方面的利益，對社會政治、經(jīng)濟的發(fā)展起到規(guī)范和制約的作用，任何組織、任何個人都不可能超越法律所賦予的權(quán)限。為了實現(xiàn)會計信息系統(tǒng)的安全控制：首先，必須有法可依。完善的法律法規(guī)是一項工作得以順利開展的保證。我國在計算機信息安全管理方面立法較早，從1986年的4月開始，我國相繼制定并頒布了《中華人民共和國信息系統(tǒng)安全保護(hù)條例》、《計算機系統(tǒng)安全規(guī)范》、《計算機病毒控制規(guī)定》等系列法律，并在《刑法》、《刑事訴訟法》、《民法》、《民事訴訟法》、《經(jīng)濟合同法》等相關(guān)法律中寫入了計算機犯罪的有關(guān)內(nèi)容，這有力地打擊了計算機犯罪、病毒的猖撅傳播。但是，我國目前還沒有專門的會計信息系統(tǒng)安全法律法規(guī)。只有建立和健全有關(guān)會計信息系統(tǒng)的相應(yīng)法律法規(guī)，且應(yīng)立足于我國國情前提下參照國際有關(guān)示范的原則，制定出一套規(guī)范的、符合我國國情的網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)方面的法律法規(guī)，才能使我國的會計信息系統(tǒng)真正走上健康發(fā)展的軌道。其次，必須有法必依。應(yīng)該說新中國經(jīng)過半個多世紀(jì)的不懈努力，法制化建設(shè)邁出了堅實而有力的步伐，已制定、修改、補充和完善了幾千個法規(guī)，我國的法律法規(guī)體系基本構(gòu)建起來，但由于法制觀念淡薄?？赡懿恢ǎ部赡苤ǚ阜?，所以，應(yīng)該堅持不懈地開展宣傳，讓計算機安全法律深入到相關(guān)行為人中去，使他們懂法知法，從而依法，有法必依。

二、健全環(huán)境控制，是會計信息系統(tǒng)安全實現(xiàn)的前提條件

隨著網(wǎng)上電子商務(wù)的發(fā)展，各類業(yè)務(wù)不斷增多，會計數(shù)據(jù)更加復(fù)雜，會計信息的處理量將大大增加，如何使會計信息系統(tǒng)向網(wǎng)絡(luò)智能化發(fā)展，是網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)對計算機運行環(huán)境提出的新要求。為了實現(xiàn)網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)的安全：首先，健全“硬”環(huán)境安全控制。這種安全控制是對系統(tǒng)硬件的控制，屬于一種預(yù)防性的控制。它包括計算機機房的安全控制、機房設(shè)備的保護(hù)、安全供電系統(tǒng)的安裝等。也就是說，對于環(huán)境的安全要求具有專用的計算機機房，并且計算機機房能夠保持規(guī)定的溫度、濕度，能防止靜電、電磁干擾、具有良好的采光照明及噪聲控制設(shè)計等。同時，計算機機房還應(yīng)具有防火、防水、防其他自然災(zāi)害的設(shè)施。除此之外，為保證網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)可靠安全地運行，還必須有一個良好的供電系統(tǒng)，有專門供應(yīng)計算機設(shè)備的穩(wěn)壓電源及其他動力用電的供配電系統(tǒng)。其次，健全“軟”環(huán)境一系統(tǒng)關(guān)聯(lián)方和企業(yè)內(nèi)部人員道德控制。通過“防火墻”可以控制非法者的入侵。但對于合法者一關(guān)聯(lián)方非法入侵的防范卻是無能為力的。關(guān)聯(lián)方從戰(zhàn)略上講是同盟者，是合法用戶，它可以穿越“防火墻”進(jìn)入企業(yè)的內(nèi)聯(lián)網(wǎng)。如果關(guān)聯(lián)方的某些工作人員缺乏職業(yè)道德和社會道德，惡意破壞會計信息系統(tǒng)，以謀取私利，那么，企業(yè)內(nèi)聯(lián)網(wǎng)看似“固若金湯”，實則“岌岌可?！薄Ｒ虼?，要加強管理，防止合法者的非法活動。其主要措施有：(1)選擇信用好的合作伙伴，這樣可以減少產(chǎn)生風(fēng)險的概率；(2)內(nèi)部審計人員要加強對關(guān)聯(lián)方進(jìn)入系統(tǒng)后的監(jiān)控，及時發(fā)現(xiàn)問題，及時控制。對于那些有意破壞的關(guān)聯(lián)方要提出警告，如果情節(jié)嚴(yán)重者可終止與他們的合作，并公示于眾。企業(yè)內(nèi)部人員道德控制制度對于會計信息系統(tǒng)的安全性是至關(guān)重要的。因為內(nèi)部人員熟悉系統(tǒng)結(jié)構(gòu)與功能，了解系統(tǒng)管理的方法，一旦破壞了系統(tǒng)，那后果不堪設(shè)想，因此，要對內(nèi)部人員的道德加以控制。

三、加強文檔管理組織，是會計信息系統(tǒng)安全實現(xiàn)的必要條件

加強網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)文檔的組織是一項重要的任務(wù)。它可在診斷網(wǎng)絡(luò)問題時提供方便。隨時更新的文檔可以提供關(guān)于網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)應(yīng)當(dāng)如何運行，出現(xiàn)問題時應(yīng)到哪里去尋找答案等信息。加強管理組織的文檔應(yīng)包括：(1)網(wǎng)絡(luò)會計系統(tǒng)的拓?fù)浣Y(jié)構(gòu)，硬件的位置和布線的細(xì)節(jié)等；(2)服務(wù)器信息，包括每個服務(wù)器上的數(shù)據(jù)、備份計劃和備份存放的地點；(3)關(guān)鍵的電話號碼，包括供應(yīng)商、銷售商、合同商和其它一些有用的人；(4)所有服務(wù)協(xié)議的副本，包括聯(lián)系人和電話號碼；(5)記錄所有問題和它們的癥狀、解決方法、日期、聯(lián)系方法、過程和結(jié)果的一個列表等。

四、加強組織控制，是會計信息系統(tǒng)安全實現(xiàn)的必要基礎(chǔ)

組織控制是一種統(tǒng)領(lǐng)性的控制，它可以全面分配和組織各種控制制度及具體措施。由于互聯(lián)網(wǎng)的信息系統(tǒng)屬于一種分布式處理結(jié)構(gòu)，計算機服務(wù)功能站分布于企業(yè)內(nèi)部各財務(wù)及業(yè)務(wù)應(yīng)用部門，實行會計與業(yè)務(wù)協(xié)同處理，因而要使之彼此相互協(xié)調(diào)。組織控制為了實現(xiàn)這一目標(biāo)，對企業(yè)中人與人之間的責(zé)、權(quán)、利的安排。組織制度主要包括企業(yè)組織結(jié)構(gòu)的設(shè)計、職權(quán)的劃分、崗位的設(shè)置、人事安排等制度。其目的在于營造良好的環(huán)境。加強組織控制，建立會計信息系統(tǒng)管理安全工作體系，建立網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)安全管理機制，是實現(xiàn)會計信息系統(tǒng)安全運行的，必要條件，實踐和經(jīng)驗證明，抓企業(yè)會計信息系統(tǒng)安全、防止計算機犯罪。就必須要有一個專職管理和相應(yīng)專業(yè)技術(shù)結(jié)合的體系，集中精力、專心致志地努力工作。具體來說：首先，加強部門設(shè)置與人員配置控制。在網(wǎng)絡(luò)環(huán)境下，由于它的三層結(jié)構(gòu)體系(企業(yè)內(nèi)聯(lián)網(wǎng)、企業(yè)外聯(lián)網(wǎng)、互聯(lián)網(wǎng))，需設(shè)置相應(yīng)機構(gòu)確保系統(tǒng)內(nèi)、外的信息溝通。設(shè)置的部門主要有：會計部門(負(fù)責(zé)會計信息輸入、審核與輸出)、業(yè)務(wù)部門(負(fù)責(zé)業(yè)務(wù)的交易與原始電子憑證的認(rèn)證)、信息處理部門(負(fù)責(zé)對企業(yè)所有的信息進(jìn)行處理并確保處理的正確性、安全性和及時性)、內(nèi)部審計部門(監(jiān)督企業(yè)整個業(yè)務(wù)過程與信息加工處理過程)等。只有建立一個嚴(yán)謹(jǐn)?shù)慕M織體系，才能使網(wǎng)絡(luò)環(huán)境下的會計信息系統(tǒng)有一個完善的運行機制，從而在組織上得到保障。其次是加強職責(zé)分離控制。組織制度的基本要求是做到職責(zé)分離，即業(yè)務(wù)處理與業(yè)務(wù)記錄的分離、數(shù)據(jù)處理部門內(nèi)部各崗位的職責(zé)分離。在網(wǎng)絡(luò)環(huán)境下，交易基本是在網(wǎng)絡(luò)系統(tǒng)中完成的，所以，一般會計業(yè)務(wù)的審批要限制在電子數(shù)據(jù)處理部門之外，電子數(shù)據(jù)處理部門無權(quán)審批業(yè)務(wù)和修改業(yè)務(wù)，所有的電子數(shù)據(jù)處理業(yè)務(wù)都必須經(jīng)過授權(quán)管理，因此，電子數(shù)據(jù)處理部門的職責(zé)是負(fù)責(zé)業(yè)務(wù)的記錄，并在此基礎(chǔ)上對業(yè)務(wù)信息進(jìn)行分析，為決策者提供有用的決策信息。網(wǎng)絡(luò)環(huán)境下電子數(shù)據(jù)處理的特點之一是將所有的會計資料集中起來，統(tǒng)一處理，這使得某些本應(yīng)分離的不相容的職責(zé)集中化了。因此，在電子處理部門內(nèi)部。還應(yīng)當(dāng)進(jìn)行正確的職責(zé)分工，從而使有關(guān)的人員在數(shù)據(jù)處理中難以越權(quán)，以避免舞弊、犯罪行為的發(fā)生和防止差錯的出現(xiàn)，保證系統(tǒng)的可靠運行。一般來說，在電子處理部門內(nèi)部應(yīng)做到對系統(tǒng)分析、程序設(shè)計、系統(tǒng)操作、文檔管理、網(wǎng)絡(luò)管理和控制等六種職責(zé)加以分離。總之，加強人員安全管理，明確人員的崗位職責(zé)，加強計算機運行安全管理，堅持實行分權(quán)制約、有限授權(quán)原則。切實保證運行操作的有限性、可控性、可監(jiān)督性以及可審計性：建立安全事件應(yīng)急反應(yīng)中心，加強對突發(fā)事件的處理：建立網(wǎng)絡(luò)安全監(jiān)控中心，加強對網(wǎng)絡(luò)的安全監(jiān)控與安全管理；建立病毒防范中心，加強對計算機病毒的防范與清除；加強風(fēng)險管理，重點對計算機信息系統(tǒng)進(jìn)行風(fēng)險分析、風(fēng)險評估、安全審計，做好防范措施的設(shè)計、認(rèn)證和應(yīng)急計劃的制定工作，使得計算機信息系統(tǒng)受到的危害或損失降到最低程度。