企業會計信息安全：影響因素、風險問題與管控建議

摘要：本文在全面分析企業會計信息安全影響因素的基礎上，探討其主要風險問題，并從組織環境、信息處理、風險評估、監控反饋和制度安排五個方面提出全面系統的管控建議。

關鍵詞：會計信息安全 組織環境 風險評估 監控反饋 制度安排

中圖分類號：F23 文獻標識碼：A 文章編號：1002-5812（2016）03-0026-04

隨著我國企業信息化的推進，會計信息化逐步由簡單的單用戶電算化應用向復雜的深層次網絡化運用過渡，會計信息化系統也在一定程度上實現了由核算型向管理型的過渡。在企業會計信息化水平不斷提高的同時，作為企業重要資產的會計信息，其完整性、可用性、保密性等方面卻受到不同程度的挑戰和沖擊。如若企業會計信息安全不能得到有效保障，可能會引發相關商業機密的泄漏，嚴重的會導致企業失去客戶、市場，乃至核心競爭力；即便是信息系統的故障也會造成企業的相關業務中斷，給企業帶來資產與聲譽的損失。因此，為了使企業能持續不斷的發展，會計信息安全成為了企業管理越來越關注的內容之一。

一、企業會計信息安全的影響因素

企業會計信息安全是指會計信息化環境下，會計信息處于完整性、可用性、保密性和可靠性的狀態，它來自于會計數據的完整和會計數據的安全。參照國際標準化組織和美國NSTISSC委員會對信息安全的闡述，本文認為企業會計信息安全就是為了使會計信息具有完整性、可用性、保密性和可靠性，而讓企業的會計信息和會計信息系統處于必要的保護之下免于未經授權的訪問、使用、泄漏、修改和破壞，并適當采取相應政策、培訓和教育以及技術等必要手段，其實質就是扎根于企業經營實踐活動并與企業戰略密切聯系的業務保障和管理問題。顯然，影響企業會計信息安全的因素必然來源于企業的生產經營實踐活動，并與企業的經營管理過程結合在一起。鑒于此，本文認為影響企業會計信息安全的因素不外乎組織環境、信息處理、風險評估、監控反饋、制度安排五個方面內容。

（一）組織環境。企業組織環境是指能對企業生產經營活動和決策產生直接影響并與企業戰略目標實現密切相關的因素。企業會計信息安全及相關會計信息系統的運行都必須基于既有的企業組織環境。一般來說，企業組織環境包括企業愿景、企業戰略、企業文化、組織結構、員工勝任能力以及管理者素質、管理風格、管理哲學等。企業組織環境對企業會計信息安全的影響作用在很大程度上取決于企業高層管理者。其原因在于，根據企業高層管理者的管理哲學與管理風格以及由其演繹而成的組織結構和企業文化形成了企業會計信息安全環境，并以此構建相應的會計信息安全管控框架，進而形成相應的會計信息安全策略。此外，相關的企業會計信息安全管控策略若要能在企業內部得到有效的持續的實施，也需要企業內所有管理者和員工的共同參與，更是與管理者和員工的安全意識和職業素養密切相關。高層管理者負責制訂與企業組織發展方向相關以及影響整個企業戰略的會計信息安全管控決策；中層管理者負責將高層管理者所制訂的會計信息安全管控決策目標轉換成為基層管理者可執行的會計信息安全管控具體目標；基層管理者則負責直接指揮從事具體業務的相關員工進行日常業務作業。

（二）信息處理。企業會計信息處理是一個比較復雜的系統，在這個系統中應該能完整、可靠、安全地采集與企業經營管理相關的各種會計信息，并使這些會計信息以適當的方式在企業有關層級及經過適當授權的客戶之間進行有效傳遞和正確使用。因此，在會計信息化環境下為達到上述要求，企業需要為會計信息處理系統配置適當的軟硬件資源。在這種情況下，企業會計信息安全問題就集中于物理硬件的可靠性和支持軟件的有效性。物理硬件通常由系統主機、網絡線路、終端電腦、附設周邊、物化防護等組成，譬如給數據加密的專用設備，添加專用防火墻的服務器，具有加密算法和多數位加密的路由等。支持軟件則主要由能實現會計信息采集、整理、加工、傳送、使用等功能的會計信息管理軟件構成，當然還包括操作系統、網絡協議、壓縮、加密算法、防病毒等相關軟件。

（三）風險評估。風險評估就是分析、識別和控制相關影響會計信息安全目標實現的各種風險的過程，它主要由會計信息安全的目標設定、風險分析、風險識別和風險控制等方面構成。企業要確保其會計信息安全，則必須清楚且能應對各種可能對其會計信息安全產生影響的風險，在不斷變化的企業經營環境中進行認真分析，識別并把握其變化規律，制訂相關的應對措施，依據會計信息安全面臨的問題適時調整企業會計信息安全管控策略和方法。這就要求企業的會計信息安全管控策略要有更長遠的時間和更廣闊的視野來關注風險，將風險意識貫穿于企業會計信息安全管控的始終，不斷完善包括企業經營理念、管理方式、管理風格在內的控制風險環境。為此，企業還需要制訂相關的會計信息安全目標，并將這一目標與企業的供應、生產、銷售等經營活動進行整合。唯有如此，才能實現整個企業經營管理的協調一致。

（四）監控反饋。企業必須制定監控反饋的政策與程序，才能確保既定會計信息安全目標和必要改進措施的有效實施。一方面，企業經營環境是不斷發生變化的，企業經營活動也隨之不斷變化。在這種情況下，唯有對企業會計信息安全管控系統進行必要的監控，并在必要時加以修訂與調整，管控系統及相關的政策與程序才能反應自如。另一方面，企業會計信息處理系統自身也會由于物理硬件或支持軟件方面的不確定因素而導致會計信息處理的延誤或失效。這樣，企業也需適時地對企業會計信息處理系統進行監控，排除不確定因素，維護會計信息處理系統的有效和安全。此外，還應考慮制定怎樣的監控反饋政策與程序。通常，過于集權的監控政策會導致因信息缺乏而引起的成本，過于分權的監控政策則會出現因目標不一致而引起的成本。鑒于此，企業對會計信息安全的監控反饋政策與程序的選擇應該是權衡這兩類成本，使成本之和最小。

（五）制度安排。企業會計信息安全還與企業制度安排密切相關。好的政策制度，能有效協調和激勵合意的行為，約束和懲罰不合意的行為，從而帶來良好的經濟績效；差的政策制度，則會產生相反的結果。因此，企業在進行會計信息安全方面的制度安排時，需要依據會計信息安全的目標，設計出良好的管控制度，做到能有效地協調和激勵符合企業會計信息安全的行為，并能夠約束和懲罰不符合企業會計信息安全的行為，進而為企業帶來良好的會計信息安全管控效果。需要關注的是，制度安排的效果，還要與其實施的環境密切關聯。因為制度實施的環境發生了變化，就有可能使得原先實施效果很好的制度不再那么有效，甚至失效。

二、企業會計信息安全的主要風險問題

通過上文的分析可知，企業會計信息安全受到沖擊和挑戰的原因很多，具體表現出來的風險問題也是多樣的。但是，具體到企業管理實踐中，會計信息安全的風險問題基本上集中于員工的會計信息安全認知、會計信息處理系統、風險評估與監控反饋的認識以及對會計信息安全管控制度的執行等幾個方面。

（一）員工的會計信息安全認知不足。基于組織環境方面的會計信息安全風險問題多源于企業的員工對會計信息安全認知的不足。其原因在于，與安全有關的問題都離不開“人”這個主體因素。一方面，許多企業管理者的會計信息安全意識、安全知識和安全管理等方面存在不足。譬如，在確定企業會計信息安全管控方案時沒有對企業進行全面的自我診斷，僅是對企業的基本狀況做了一個大概了解，就直接在企業內部實施現有的標準或者其他企業或組織的成功方案。由于企業既沒有充分挖掘會計信息安全現狀和對會計信息安全的內在需求，也沒有全面考慮利益相關者的利益安全需求，必然會導致企業對會計信息安全的實際需求與其能提供的安全管控之間存在差距。更有甚者，企業管理者對會計信息安全的支持和重視不足，導致企業內部會計信息安全文化缺失和普通員工會計信息安全意識淡薄。另一方面，企業信息化的發展，使得越來越多的非財會相關崗位的普通員工也被包含到企業會計信息安全體系之中。這些員工，甚至一些財會崗位的員工，要么不完全理解會計信息安全的重要性，要么過度信賴企業會計信息安全管控方案，而不愿意把自己的精力和資源放在會計信息安全防護上，或者從根本上就認為即便對會計信息不采取安全防護措施也不一定會造成損失。當然，也存在一些員工由于缺少必要的會計信息安全教育和培訓，根本不知道自己不遵守和執行相關的會計信息安全管控方案會對企業帶來怎樣的不利影響。

（二）會計信息處理系統安全技術滯后。企業會計信息安全需求是隨著企業的生產經營活動和企業所處的內外部環境的變化而變化的。但是，很多企業并沒有意識到企業會計信息安全需求的動態變化規律，對會計信息安全管控方案依然秉承“投資一次，受用終身”的觀念，抱陳守舊。這種投資觀直接導致企業會計信息處理系統安全技術跟不上企業生產經營活動和企業所處的內外部環境的變化。具體體現在企業使用的會計信息處理軟件本身設計存在缺陷或技術漏洞得不到及時的完善以及殺毒軟件、防火墻等相關支持軟件不能得到及時更新；沒有隨著企業業務和環境的變化更新會計信息處理系統導致業務流程描述錯誤或漏洞、數據訪問權限設置不當、關鍵數據備份不足等問題；以及系統主機、網絡線路、終端電腦、附設周邊、物化防護等老化損毀等。

（三）會計信息安全風險意識薄弱與風險評估體系缺失。當前，不少企業員工，包括部分企業管理者，其會計信息安全風險意識淡薄，認識不到企業會計信息安全風險的客觀性。實際上，企業生產經營活動中，風險是客觀存在的，它是無處不在的，也是無時不在的。通常狀況下，企業所面臨的會計信息安全風險，也與威脅企業實現其戰略目標的相關事件密切相關。因此，企業會計信息安全風險的評估，要求企業所有員工能對貫穿于企業方方面面的會計信息安全風險有一個清晰的認知。尤為突出的是，很多企業并沒有形成一套有效的會計信息安全風險評估體系來對會計信息處理系統進行風險評估。會計信息安全風險評估體系可以確定各種會計信息采集、整理、處置、披露和使用等行為的邊界，明確什么行為是可以做的，什么行為是不可以做的。如果發現有越界的行為，能夠及時發現并對其進行控制，進而使得這些越界行為造成的損失降至最低。

（四）會計信息安全監控反饋欠佳。一般來說，企業會計信息安全監控反饋機制可以分為三個步驟。一是對實際會計信息安全的衡量與評估；二是將實際衡量與評估的結果與企業設定的或標準的安全目標進行比較；三是采取必要的管控行動來糾正比較后得出的偏差與不足。顯然，會計信息安全監控反饋過程是一個連續行動的過程，其有效性歸根結蒂取決于以上的衡量、比較與糾偏三個步驟，其中任何一個步驟或者幾個步驟低效率或不作為就會影響企業會計信息安全監控反饋機制的有效性。但是，在現實的企業經營管理實際中，由于企業員工認識不到會計信息安全監控反饋機制是一個衡量、比較與糾偏的連續行動過程，而是過度強調這個監控反饋機制中的某一個步驟或某幾個步驟，沒有從整個會計信息安全監控反饋機制的全局上考慮，導致企業會計信息安全監控反饋機制運行不暢，監控反饋效果大打折扣，最終使該機制的有效性受到質疑，動搖該機制在企業會計信息安全管控體系中的地位。

（五）會計信息安全管控制度低效。會計信息化依然是個新生事物，企業對會計信息安全管控的認知還處于初級階段，相關的制度建設尚不完善，有的還處于草創階段，導致企業日常會計事務的工作制度依然處于缺失狀態，會計信息處理系統的使用和維護行為缺乏合理的引導，會計信息處理設備的濫用和誤用、會計信息的不當使用等現象時有發生，嚴重危害企業的會計信息安全。即便企業有相對健全的會計信息安全管控制度，若不能對相關執行人進行必要的激勵，也難以使相關制度得到有效執行。其原因在于任何制度都是由人來執行的，要保證制度的執行效果，就必須對執行人進行激勵。激勵的目的就是當個人的行為能促進企業目標的實現時，能得到企業提供給其相應的價值回報，把企業員工的個人行為動機與企業目標的實現密切關聯起來。事實上，很多企業在信息安全管控制度的執行過程中，并沒有設立相應的激勵指標來推動企業員工為企業信息安全目標的實現而工作。

三、企業會計信息安全的管控建議

針對以上風險問題，企業應該在影響會計信息安全因素的組織環境、信息處理、風險評估、監控反饋、制度安排等方面強化作為。

（一）加強會計信息安全管控組織環境建設。一方面，要強化企業會計信息安全文化建設，在企業內部形成全體員工共同遵循的會計信息安全的信念、價值、意識以及經營哲學等，以此為基礎設計相應的企業會計信息安全管控制度，并提供理念支持。還可以在企業文化建設過程中，不斷強化企業會計信息安全的重要性和相關會計信息安全管制制度設計的員工參與度，以實現更加公平透明和執行有效的企業會計信息安全管控文化。另一方面，要充分重視人的因素，加強企業員工的職業道德教育和業務素質培養，提高全體員工的職業勝任能力，充分發揮每個員工在完善企業會計信息安全管控制度方面的主觀能動性。企業還可以依據員工的工作性質和職位安排，適宜安排企業會計信息安全教育與培訓。對企業管理者，強化會計信息安全核心知識、技術手段、風險管理等方面的教育與培訓；對企業普通員工，則結合其所在部門的業務特點加強會計信息安全技術手段、風險意識等方面的教育與培訓。這樣，就可以在企業內部營造企業會計信息安全文化氛圍，最大程度地減少人為因素對企業會計信息安全的危害。

（二）適時更新會計信息處理系統安全技術。企業要遵循會計信息安全需求的動態變化規律，對會計信息安全管控方案放棄“投資一次，受用終身”的觀念，適時更新會計信息系統處理安全技術，按照“適度防御”的原則，選擇合適的安全技術與產品，形成企業適用的安全技術防線。首先，適時更新會計信息處理的安全技術。在企業會計信息處理系統中提供包括用戶名、口令等在內的多種身份驗證機制，必要時還需嵌入支持雙因素認證和具備登錄控制模塊，同時在會計信息處理的日常作業不受影響的情況下，控制相應員工的訪問權限，減少可能的越權操作，保障會計信息處理系統的安全。其次，適時更新會計數據的安全技術。企業應通過適時更新加密等技術手段保護會計信息處理系統中數據的保密性和完整性，提高會計信息數據訪問的抗依賴性。此外，還需加強相關會計信息數據的異地崩潰或者災難恢復機制，通過實現本地會計信息數據能夠異地備份和復制，避免本地會計信息處理系統由于崩潰或者災難等而導致會計信息數據遺失。再次，適時更新網絡安全技術。不但要適時更新系統掃描技術并對會計信息處理系統和操作系統層設備進行智能化檢測，幫助企業網絡管理人員高效完成定期檢測和操作系統的漏洞修復，還要適時更新系統實時入侵探測技術來監控主機系統事件，檢測可疑特征并給予響應和處置。此外，還要適時更新在企業內外部部署的網絡和信息安全設施，強化會計信息處理系統的物理實體管理，同時加強對漏洞掃描系統和入侵檢測系統的更新，以實現會計信息處理系統受到內外部誤操作或各種攻擊時的實時保護。最后，適時完善物理設備的安全防護技術。不但要采取全面可靠的防火墻技術和防病毒系統，還要針對環境的物理災害、人為蓄意破壞甚至自然災害采取有效的物化防護技術，保障相關物理設備的安全。

（三）形成會計信息安全風險評估體系。任何企業管理機制的構建都是一個系統工程，能否構建成功且在以后的運行中有效，關鍵是相關風險的評估。正如管理大師德魯克所說，沒有評估就沒有管理。同樣的道理，沒有評估就不可能實現管理機制的構建與施行。對會計信息安全管制機制的構建亦是如此。為此，企業為了構建有效的會計信息安全管理機制，就需對可能的損害企業會計信息安全的風險進行歸集與分類，形成會計信息安全風險評估體系。具體做法，可以采用以下三步。第一步，構建適應企業經營實踐和企業會計信息安全要求的會計信息安全風險評估目標體系。既要根據會計信息的完整性、可用性、保密性和可靠性設置會計信息安全的一般目標，又要根據會計信息安全管控環節設置具體目標，譬如會計信息安全管控業務執行的有效性、及時性、正確性等。第二步，按照會計信息處理的授權管理、崗位牽制、資源接觸等安全管控類型，分析并得出會計信息處理業務流程和各部門的關鍵風險控制點和一般風險控制點。最后，根據上述風險控制點設置相應的會計信息安全管控評估指標，并對每個指標進行具體說明，且給出這些指標的評估方法和評分標準。

（四）推行企業全面信息安全監控反饋機制。會計信息安全管控不應該僅僅是涉及到會計信息這樣一個狹小的范疇，而應該是一個綜合的概念，要把企業的經營環境、愿景理念、組織領導、戰略計劃等綜合起來考慮。既要認識到現代企業中會計信息安全管控的重要性，也要能從會計信息安全的管控上升到企業信息安全管控，推行企業全面信息安全監控反饋機制，實現企業全面信息安全管控，并使之成為企業的管理哲學。首先，要做到內容方式的全面性。不僅要著眼于會計信息安全的管控，還要能從企業戰略的高度審視和評估會計信息安全管控，更要注重各種安全技術和方法的綜合使用，確保能實現從單純的會計信息安全管控向企業全面信息安全管控轉變。其次，要做到管控過程的全面性。要把會計信息安全管控作為核心貫穿到整個企業經營過程中，即從市場調查、產品開發、生產銷售等環節延續到產品售后都要實行相應的會計信息安全管控，確保會計信息從靜態安全管控向動態安全管控轉變，進而實現會計信息的保護、檢測、反應和恢復協調一致。最后，要做到管控人員的全面性。即要求包括企業高管、其他管理人員、工程技術人員和普通員工在內的全體員工都要參與到全面信息安全管控中，各司其職，對會計信息安全負責。

（五）強化會計信息安全管控制度安排。強化企業會計信息安全管控制度建設，不外乎制度本身的完善和既有制度的有效執行。會計信息安全管控制度的完善，就是建立一套完善的會計信息安全管控制度。這既是會計信息本身安全的基礎，也是會計信息安全管控的前提。完善的會計信息安全管控制度至少應該包括會計信息處理系統的開發或選購、使用、維護和應急制度，以及機房和終端等會計信息處理系統物理實體管理制度、會計信息數據的使用制度、會計信息數據備份制度、會計信息安全風險評估制度、會計信息安全審計制度等，實現從會計信息數據采集整理到會計信息數據使用備份的會計信息處理全程制度無縫構建，并隨著企業經營環境的變化適時更新和完善。而既有會計信息安全管控制度的有效執行，則需充分重視企業員工績效考核制度。恰當在企業員工的績效考核中納入企業會計信息安全評估的內容，使其獲得報酬的變量和風險密切關聯于企業會計信息安全。這樣就可以保證企業員工在會計信息安全管控制度的執行方面上，能夠基于企業的長期利益，而不是其個人利益，進而實現既有會計信息安全制度的有效執行。

四、結束語

企業會計信息安全對企業生產經營活動的可持續發展以及對市場經濟的建立健全等方面的作用是不容置疑的。但是，也要看到我國關于企業會計信息安全乃至整個企業信息安全管控實踐和研究的起步較晚，與發達市場經濟國家在初始條件和實踐能力方面還存在一定程度的差距。這是我國企業在進行會計信息安全管控時所必須要考慮到的一個基本現實。因此，本文認為企業會計信息化安全管控，既是一個不斷發現問題和解決問題的過程，也是一個不斷迎接挑戰和接受沖擊的過程。

參考文獻：

[1]張紅旗，王新昌，楊英杰等.信息安全管理[M].北京：人民郵電出版社，2007.

[2]胡英松.信息化會計信息安全問題研究[J].哈爾濱商業大學學報（社會科學版），2009，（4）：83-85.

[3]ISO.ISO/IEC27002：2005[EB/OL].[2015-08-17].https：//www.iso.org/obp/ui/#iso：std：iso-iec：27002：ed-1：v1：en.

[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online，http：//csrc.nist.ov/publications/history/dod85.pdf

[5]梅雨.企業財務監控問題解析[J].中國管理信息化，2009，（9）：48-50.

[6]Schultz E.The Human Factor in Security[J].Computers and Security，2005，24（6）：425-426.

[7]朱麗明.簡析信息化環境下影響會計信息安全的因素及應對措施[J].新經濟，2014，（5）：106-107.

[8]雷萬云.信息安全保衛戰：企業信息安全建設策略與實踐[M].北京：清華大學出版社，2013.