论文部分内容阅读
摘要:互联网时代大大拓展了信息共享的范围和传递的速度。基于网络的企业会计信息系统的应用为企业的发展带来了前所未有的优越性,同时也使企业面临更多样化的风险与问题。这些风险和问题严重影响会计信息系统在企业应用所带来的价值。本文首先分析了网络环境下企业会计信息系统存在的主要不安全因素,并应用层次分析法评估主要不安全因素的相对重要程度,据此提出安全风险的防范措施。
关键词:会计信息系统;安全风险;层次分析法
一、引言
近年来,网络技术的广泛应用使得企业在全球范围内实现信息的交流和共享成为可能。相应的,企业的会计环境也发生了变化,由原来封闭的局域网会计信息系统进入到了互联网世界。这种变化给企业带来了前所未有的优越性的同时,也使得企业会计信息系统面临更多样化的风险与问题。据调查显示,美国每年因为网络安全造成的经济损失超过 170 亿美元,75%的公司报告财务损失是由于会计信息系统的安全问题造成的。在我国,企业为防止泄密而修补信息网络安全漏洞的投入每年达 700 万元。因此,会计信息系统的风险分析与评估越来越受到人们的重视(谷增军,2009)。 运用科学的方法对会计信息系统进行全面、系统的安全风险评估,识别网络环境下会计信息系统的主要不安全因素,了解企业的安全技术与管理现状,并采取及时的风险应对措施、制定安全策略,确保会计信息系统的安全,对于保证企业平稳健康的运行,保障各方的利益具有重要意义。
针对上述问题,本文首先分析了网络环境下企业会计信息系统存在的主要不安全因素,并应用层次分析法评估主要不安全因素的相对重要程度,据此提出安全风险的防范措施,对于企业加强会计信息系统安全管理具有一定的指导作用。
二、网络环境下企业会计信息系统主要不安全因素分析
网络环境下的会计信息系统是指建立在网络环境基础上的会计信息系统,即在互联网境下对各种交易中的会计事项进行确认、计量和披露的会计活动。其为企业与客户、供应商之间,等部门之间建立开放、实时的双向信息交流环境创造了条件,也使企业会计业务一体化处理成为现实。但由于互联网系统的分布式、开放性等特点,与原有集中封闭的会计信息系统比较,系统在安全上的问题也更加突出,因此网络环境下会计信息系统的安全性问题越来越受到人们的重视,同时和其密切相关的安全因素也成为学者们研究的重点(宋彪、常剑锋,2010)。宋彪、常剑锋等人在2010年通过对100名会计从业人员进行问卷调查,得到影响会计信息系统安全的主要因素,按照重要程度分别为会计软件的缺陷,企业内部控制方面的失效,操作人员的有意破坏,人为舞弊,计算机病毒,网络黑客的入侵,不可预测的灾害。这些要素之间存在包含关系,如操作人员的有意破坏、人为舞弊都属于企业内部控制方面的问题。倪江陵(2008)在其硕士论文中提到网络环境下会计信息系统的不安全性因素有硬件系统的不安全因素(硬盘、存储器、线路故障等)、软件系统的不安全因素(会计软件、操作系统、数据库系统、数据中心、会计档案)、网络系统的不安全性(黑客攻击、病毒、电磁波辐射)。谷增军(2010)比较全面的描述了影响会计信息系统安全的因素:自身的脆弱性(系统硬件选配安装不当,操作系统问题、传输、存储介质不安全、数据库安全问题,软件开发设计缺陷)、内控的风险(会计软件功能的滥用,授权控制下降,操作人员舞弊,系统管理员失职),自然界的威胁(飓风,地震、火灾)和外部环境(间谍、病毒、黑客)的威胁。
由于不安全因素错综复杂,学者们在评估会计信息系统的安全风险时,所关注的重点也有所不同。不过,通过对文献的梳理发现,学者们对于以下安全风险因素达成共识:1、技术方面,包括硬件安装不当、软件开发设计或选配不当、传输、存储介质不安全(潘婧,2008;罗红,2011;王恒辉,2010等)。2、内部控制风险,包括操作人员舞弊、系统操作不规范、数据交易不安全、身份认证安全隐患、授权控制下降(谷增军,2010;宋彪、常剑锋,2010;倪江陵,2008等)3、意外因素带来的风险,如自然灾害,如地震、台风、病毒、黑客入侵(谷增军,2010;宋彪、常剑锋,2010;朱海英,2010;程琳,2006等)
三、基于层次分析法的安全风险评估指标体系
层次分析法(Analytic Hierarchy Process)简称AHP方法,是20世纪70年代由美国运筹学家T. L. Satty提出的。层次分析法作为一种定性分析与定量分析相结合的评估分析方法,适用于有多种属性、多个目标或多重准则系统的问题(罗鑫,2010)。鉴于网络环境下会计信息系统的安全风险分析问题指标具有层次性、定性与定量指标并存、并且指标数据不易获得的特点,本文采用层次分析法评估主要不安全因素的相对重要程度,找到主要文献因素和次要风险因素,为企业有针对性的采取规避措施提供科学的依据。
在第二部分我们分析了会计信息系统主要的不安全因素,根据层次分析法的要求,建立安全风险评估的三层结构:目标层(A层)、一级指标(B层)、二级指标(C层),如表1所示。
四、指标体系权重分析、检验及排序
1、构造判断矩阵
本研究邀请了从业经验5年以上的会计工作者6名,吉林大学管理学院会计系副教授职称以上教师4名,企业管理中层领导干部2名对各层次的评价指标按照其发生的可能性、发生后后果的严重性等对其重要性予以比较。在综合了12名专家的意见后,获得了各指标在本层的比较得分。本研究采用Satty的1-9标度方法构建两两比较矩阵。表2展示的是准则层(B层)对于目标层(A层)的判断矩阵及相对权重。
2、一致性检验
一般当CR<0.1时,认定判断矩阵的不一致性在允许的范围内,具有满意的一致性,即判断矩阵通过了一致性检验;否则要对加以调整,重新构造判断矩阵。经过计算,CR=0.0080<0.1,矩阵一致性可以接受。 同样的,表2至表5分别列出了技术风险、内部控制风险和意外因素风险的判断矩阵和相对权重。
除意外因素风险下只有两个因素不需要一致性检验外,其他判断矩阵均通过一致性检验。
3、指标合成权重的计算及排序
合成权重Wk可以由二级指标各权重及其对应的一级指标相乘获得。见表6。
五、风险防范策略
由层次分析法得出的各指标的权重实际上表示指标相对于目标层的重要程度。从表6中可以看出,造成会计信息系统安全风险的主要因素有:软件开发设计或选配不当、系统硬件安装不当、数据交易不安全、病毒、黑客入侵和操作人员舞弊。这五个因素占据不安全因素累积权重的80%以上,为主要因素,必须予以重视。针对上述因素,本文提出以下几点防范措施,帮助企业最大限度的减少会计信息系统的安全性风险。
1、软件开发设计或选配不当
通过运用层次分析法对会计信息系统的不安全因素按照其重要程度进行排序,软件开发设计或选配不当成为影响会计信息系统安全性的最主要问题。一般来讲,企业应用的会计信息系统主要是通过外包或者是直接从软件公司购买两种方式获得的。如果是通过外包的形式开发,企业应积极安排会计人员与委托开发公司进行充分的沟通,使需求分析的结果尽可能的反应真实的要求。另外,委托公司的所使用的开发工具要与企业实际状况匹配,以数据库为例,SQL server、Oracle、Sybase等主要适用于大型系统;Acess、FoxPro等则主要适用于小型系统。如果企业从软件公司直接购买已完成开发的软件,由于现成的系统不可能完全支持企业的现有业务,因此在选择软件时,应充分了解企业的财务经营流程,全面掌握备选软件的操作流程,在充分比较后谨慎选择。
2、硬件方面
计算机硬件包括硬盘、磁盘、存储器等,是会计信息系统的物质基础。如果硬件方面出现故障,会影响整个运营的效率,甚至导致巨大的灾难。为了保证会计信息系统硬件的安全性,企业在采购硬件时应全面掌握相关信息,了解品牌、产品型号及供应商的信誉等,硬件采购后要进行试运行,在确保其安全性后再投入到企业的实际应用中。同时,要排除由于安装不当而导致的安全隐患。
3、数据交易不安全
网络环境下,交易数据的处理都依托于网络,计算速度加快,信息资源的共享性和财务复杂程度的增加,许多会计业务交叉进行,如果系统中权限划分不明确、内部控制不严密,就非常容易造成信息的泄露,数据交易的不安全性增加。企业要要保证数据的安全,一方面需要借助法律、政策及相关规章制度的约束,另一方面又必须依赖企业管理人员制定有效的管理制度,同时还必须有严格的监督与管理手段。会计数据的安全控制一般分为以下几个方面:1.依据相关的法律规章制度建立严格的内部管理制度。2.利用数字签名技术进行数据确认。3. 加强监控与审计
4、病毒、黑客入侵
网络传输中由于黑客, 病毒, 木马入侵, 造成非法访问、信息泄露、非法拷贝、盗窃以及非法监视、监听等风险(潘婧,2008)。应对病毒、黑客入侵会计信息系统的主要措施有:(1)定期杀毒。尽管目前却没有一款杀毒软件能够应对一切病毒,但是定期进行杀毒是防治病毒入侵最直接有效的办法。对于企业网等比较复杂的网络环境,建议采用网络杀毒软件进行杀毒。网络病毒防治系统可以通过对局域网进行远程集中安全管理、通过账号和口令设置来达到一定的网络病毒防治效果。(2)定期备份财务数据。财务数据作为企业经营状况的直接指标,是企业制定经营决策的主要依据。备份财务数据的意义在于通过将财务数据复制到不同的介质中保存来防止财务数据的丢失。一旦会计信息系统遭到病毒或者黑客的入侵,数据备份可以及时的恢复丢失数据,支持会计信息系统的正常运行。(3)制度保障。企业应出台相应制度,限制运行会计信息系统的计算机的其他上网行为;谨慎使用U盘和移动硬盘;设置 Office 软件的宏安全级别等。
5、操作人员舞弊
个别操作人员由于专业素养不够,对会计信息系统的操作不够规范,对整个系统的安全造成了很大的威胁。究其原因,随着企业的扩大和发展,利益相关者的范围也在逐渐扩大,经营活动也更加广泛,网络会计信息系统相关人员面对了更多的诱惑和威胁,这可能会动摇相关人员遵守职业道德的决心,从而引发道德风险。安然、世界通讯等重大的舞弊案件的发生迫使企业重视人员舞弊的不安全因素。企业应关注会计信息系统建设中的人员因素,加强人员的培训, 通过会计培训使财会人员不断汲取新知识, 不仅掌握现代网络技术, 而且充分认识到会计人员的职业道德的重要性, 自觉抵制各种诱惑, 切实遵守各项规章制度。与此同时,要对财务人员的岗位职责进行定期的审计。近年来,国家也相应的出台了一系列的法律法规和职业道德规范来规范会计人员的职业道德素质,要求会计人员诚信、保密、独立等(王恒辉,2010)。(作者单位:大连隆铭会计师事务所有限公司)
参考文献
[1]潘婧.网络会计信息系统的安全风险及防范措施[J].财会研究,2008,(2):48-52.
[2]罗红.网络会计信息系统安全问题研究[J].财会通讯,2011,(7):33-35.
[3]宋彪,常剑峰.网络环境下会计信息系统安全性研究[C].上海: 第九届全国会计信息化年会,2010.174-180.
[4]胡玉可.浅析网络环境下会计信息系统安全控制的实现[J].会计之友,2009,(11):44-45.
[5]韩娜.企业会计信息系统风险评估方法研究[D].2006.
[6]张继德,刘盼盼. 会计信息系统安全性现状及应对策略探讨[J].中国管理信息化,2010,13(6):3-5.
[7]王恒辉.网络环境下会计信息系统安全性探析[D].2010.
[8]倪江陵. 网络环境下会计信息系统安全问题防范对策研究[D].2008.
[9]谷曾军.会计信息系统安全风险评估初探[J].财会通讯,2010,(12):124-125.
[10]罗鑫. 基于AHP方法的评估分析[J].科协论坛,2010,(8):144-145.
关键词:会计信息系统;安全风险;层次分析法
一、引言
近年来,网络技术的广泛应用使得企业在全球范围内实现信息的交流和共享成为可能。相应的,企业的会计环境也发生了变化,由原来封闭的局域网会计信息系统进入到了互联网世界。这种变化给企业带来了前所未有的优越性的同时,也使得企业会计信息系统面临更多样化的风险与问题。据调查显示,美国每年因为网络安全造成的经济损失超过 170 亿美元,75%的公司报告财务损失是由于会计信息系统的安全问题造成的。在我国,企业为防止泄密而修补信息网络安全漏洞的投入每年达 700 万元。因此,会计信息系统的风险分析与评估越来越受到人们的重视(谷增军,2009)。 运用科学的方法对会计信息系统进行全面、系统的安全风险评估,识别网络环境下会计信息系统的主要不安全因素,了解企业的安全技术与管理现状,并采取及时的风险应对措施、制定安全策略,确保会计信息系统的安全,对于保证企业平稳健康的运行,保障各方的利益具有重要意义。
针对上述问题,本文首先分析了网络环境下企业会计信息系统存在的主要不安全因素,并应用层次分析法评估主要不安全因素的相对重要程度,据此提出安全风险的防范措施,对于企业加强会计信息系统安全管理具有一定的指导作用。
二、网络环境下企业会计信息系统主要不安全因素分析
网络环境下的会计信息系统是指建立在网络环境基础上的会计信息系统,即在互联网境下对各种交易中的会计事项进行确认、计量和披露的会计活动。其为企业与客户、供应商之间,等部门之间建立开放、实时的双向信息交流环境创造了条件,也使企业会计业务一体化处理成为现实。但由于互联网系统的分布式、开放性等特点,与原有集中封闭的会计信息系统比较,系统在安全上的问题也更加突出,因此网络环境下会计信息系统的安全性问题越来越受到人们的重视,同时和其密切相关的安全因素也成为学者们研究的重点(宋彪、常剑锋,2010)。宋彪、常剑锋等人在2010年通过对100名会计从业人员进行问卷调查,得到影响会计信息系统安全的主要因素,按照重要程度分别为会计软件的缺陷,企业内部控制方面的失效,操作人员的有意破坏,人为舞弊,计算机病毒,网络黑客的入侵,不可预测的灾害。这些要素之间存在包含关系,如操作人员的有意破坏、人为舞弊都属于企业内部控制方面的问题。倪江陵(2008)在其硕士论文中提到网络环境下会计信息系统的不安全性因素有硬件系统的不安全因素(硬盘、存储器、线路故障等)、软件系统的不安全因素(会计软件、操作系统、数据库系统、数据中心、会计档案)、网络系统的不安全性(黑客攻击、病毒、电磁波辐射)。谷增军(2010)比较全面的描述了影响会计信息系统安全的因素:自身的脆弱性(系统硬件选配安装不当,操作系统问题、传输、存储介质不安全、数据库安全问题,软件开发设计缺陷)、内控的风险(会计软件功能的滥用,授权控制下降,操作人员舞弊,系统管理员失职),自然界的威胁(飓风,地震、火灾)和外部环境(间谍、病毒、黑客)的威胁。
由于不安全因素错综复杂,学者们在评估会计信息系统的安全风险时,所关注的重点也有所不同。不过,通过对文献的梳理发现,学者们对于以下安全风险因素达成共识:1、技术方面,包括硬件安装不当、软件开发设计或选配不当、传输、存储介质不安全(潘婧,2008;罗红,2011;王恒辉,2010等)。2、内部控制风险,包括操作人员舞弊、系统操作不规范、数据交易不安全、身份认证安全隐患、授权控制下降(谷增军,2010;宋彪、常剑锋,2010;倪江陵,2008等)3、意外因素带来的风险,如自然灾害,如地震、台风、病毒、黑客入侵(谷增军,2010;宋彪、常剑锋,2010;朱海英,2010;程琳,2006等)
三、基于层次分析法的安全风险评估指标体系
层次分析法(Analytic Hierarchy Process)简称AHP方法,是20世纪70年代由美国运筹学家T. L. Satty提出的。层次分析法作为一种定性分析与定量分析相结合的评估分析方法,适用于有多种属性、多个目标或多重准则系统的问题(罗鑫,2010)。鉴于网络环境下会计信息系统的安全风险分析问题指标具有层次性、定性与定量指标并存、并且指标数据不易获得的特点,本文采用层次分析法评估主要不安全因素的相对重要程度,找到主要文献因素和次要风险因素,为企业有针对性的采取规避措施提供科学的依据。
在第二部分我们分析了会计信息系统主要的不安全因素,根据层次分析法的要求,建立安全风险评估的三层结构:目标层(A层)、一级指标(B层)、二级指标(C层),如表1所示。
四、指标体系权重分析、检验及排序
1、构造判断矩阵
本研究邀请了从业经验5年以上的会计工作者6名,吉林大学管理学院会计系副教授职称以上教师4名,企业管理中层领导干部2名对各层次的评价指标按照其发生的可能性、发生后后果的严重性等对其重要性予以比较。在综合了12名专家的意见后,获得了各指标在本层的比较得分。本研究采用Satty的1-9标度方法构建两两比较矩阵。表2展示的是准则层(B层)对于目标层(A层)的判断矩阵及相对权重。
2、一致性检验
一般当CR<0.1时,认定判断矩阵的不一致性在允许的范围内,具有满意的一致性,即判断矩阵通过了一致性检验;否则要对加以调整,重新构造判断矩阵。经过计算,CR=0.0080<0.1,矩阵一致性可以接受。 同样的,表2至表5分别列出了技术风险、内部控制风险和意外因素风险的判断矩阵和相对权重。
除意外因素风险下只有两个因素不需要一致性检验外,其他判断矩阵均通过一致性检验。
3、指标合成权重的计算及排序
合成权重Wk可以由二级指标各权重及其对应的一级指标相乘获得。见表6。
五、风险防范策略
由层次分析法得出的各指标的权重实际上表示指标相对于目标层的重要程度。从表6中可以看出,造成会计信息系统安全风险的主要因素有:软件开发设计或选配不当、系统硬件安装不当、数据交易不安全、病毒、黑客入侵和操作人员舞弊。这五个因素占据不安全因素累积权重的80%以上,为主要因素,必须予以重视。针对上述因素,本文提出以下几点防范措施,帮助企业最大限度的减少会计信息系统的安全性风险。
1、软件开发设计或选配不当
通过运用层次分析法对会计信息系统的不安全因素按照其重要程度进行排序,软件开发设计或选配不当成为影响会计信息系统安全性的最主要问题。一般来讲,企业应用的会计信息系统主要是通过外包或者是直接从软件公司购买两种方式获得的。如果是通过外包的形式开发,企业应积极安排会计人员与委托开发公司进行充分的沟通,使需求分析的结果尽可能的反应真实的要求。另外,委托公司的所使用的开发工具要与企业实际状况匹配,以数据库为例,SQL server、Oracle、Sybase等主要适用于大型系统;Acess、FoxPro等则主要适用于小型系统。如果企业从软件公司直接购买已完成开发的软件,由于现成的系统不可能完全支持企业的现有业务,因此在选择软件时,应充分了解企业的财务经营流程,全面掌握备选软件的操作流程,在充分比较后谨慎选择。
2、硬件方面
计算机硬件包括硬盘、磁盘、存储器等,是会计信息系统的物质基础。如果硬件方面出现故障,会影响整个运营的效率,甚至导致巨大的灾难。为了保证会计信息系统硬件的安全性,企业在采购硬件时应全面掌握相关信息,了解品牌、产品型号及供应商的信誉等,硬件采购后要进行试运行,在确保其安全性后再投入到企业的实际应用中。同时,要排除由于安装不当而导致的安全隐患。
3、数据交易不安全
网络环境下,交易数据的处理都依托于网络,计算速度加快,信息资源的共享性和财务复杂程度的增加,许多会计业务交叉进行,如果系统中权限划分不明确、内部控制不严密,就非常容易造成信息的泄露,数据交易的不安全性增加。企业要要保证数据的安全,一方面需要借助法律、政策及相关规章制度的约束,另一方面又必须依赖企业管理人员制定有效的管理制度,同时还必须有严格的监督与管理手段。会计数据的安全控制一般分为以下几个方面:1.依据相关的法律规章制度建立严格的内部管理制度。2.利用数字签名技术进行数据确认。3. 加强监控与审计
4、病毒、黑客入侵
网络传输中由于黑客, 病毒, 木马入侵, 造成非法访问、信息泄露、非法拷贝、盗窃以及非法监视、监听等风险(潘婧,2008)。应对病毒、黑客入侵会计信息系统的主要措施有:(1)定期杀毒。尽管目前却没有一款杀毒软件能够应对一切病毒,但是定期进行杀毒是防治病毒入侵最直接有效的办法。对于企业网等比较复杂的网络环境,建议采用网络杀毒软件进行杀毒。网络病毒防治系统可以通过对局域网进行远程集中安全管理、通过账号和口令设置来达到一定的网络病毒防治效果。(2)定期备份财务数据。财务数据作为企业经营状况的直接指标,是企业制定经营决策的主要依据。备份财务数据的意义在于通过将财务数据复制到不同的介质中保存来防止财务数据的丢失。一旦会计信息系统遭到病毒或者黑客的入侵,数据备份可以及时的恢复丢失数据,支持会计信息系统的正常运行。(3)制度保障。企业应出台相应制度,限制运行会计信息系统的计算机的其他上网行为;谨慎使用U盘和移动硬盘;设置 Office 软件的宏安全级别等。
5、操作人员舞弊
个别操作人员由于专业素养不够,对会计信息系统的操作不够规范,对整个系统的安全造成了很大的威胁。究其原因,随着企业的扩大和发展,利益相关者的范围也在逐渐扩大,经营活动也更加广泛,网络会计信息系统相关人员面对了更多的诱惑和威胁,这可能会动摇相关人员遵守职业道德的决心,从而引发道德风险。安然、世界通讯等重大的舞弊案件的发生迫使企业重视人员舞弊的不安全因素。企业应关注会计信息系统建设中的人员因素,加强人员的培训, 通过会计培训使财会人员不断汲取新知识, 不仅掌握现代网络技术, 而且充分认识到会计人员的职业道德的重要性, 自觉抵制各种诱惑, 切实遵守各项规章制度。与此同时,要对财务人员的岗位职责进行定期的审计。近年来,国家也相应的出台了一系列的法律法规和职业道德规范来规范会计人员的职业道德素质,要求会计人员诚信、保密、独立等(王恒辉,2010)。(作者单位:大连隆铭会计师事务所有限公司)
参考文献
[1]潘婧.网络会计信息系统的安全风险及防范措施[J].财会研究,2008,(2):48-52.
[2]罗红.网络会计信息系统安全问题研究[J].财会通讯,2011,(7):33-35.
[3]宋彪,常剑峰.网络环境下会计信息系统安全性研究[C].上海: 第九届全国会计信息化年会,2010.174-180.
[4]胡玉可.浅析网络环境下会计信息系统安全控制的实现[J].会计之友,2009,(11):44-45.
[5]韩娜.企业会计信息系统风险评估方法研究[D].2006.
[6]张继德,刘盼盼. 会计信息系统安全性现状及应对策略探讨[J].中国管理信息化,2010,13(6):3-5.
[7]王恒辉.网络环境下会计信息系统安全性探析[D].2010.
[8]倪江陵. 网络环境下会计信息系统安全问题防范对策研究[D].2008.
[9]谷曾军.会计信息系统安全风险评估初探[J].财会通讯,2010,(12):124-125.
[10]罗鑫. 基于AHP方法的评估分析[J].科协论坛,2010,(8):144-145.