王鐵 王成 孟祥成

【摘 要】 會計信息安全在ERP系統(tǒng)中非常重要。文章基于ERP環(huán)境分析會計信息的本質(zhì)，建立了會計信息安全體系模型，即“1+1，智能大廈+安全大廈”，并對安全體系模型進(jìn)行應(yīng)用研究，通過此模型解決會計信息安全問題，為企業(yè)主管領(lǐng)導(dǎo)指明了會計信息安全的解決對策和思路。

【關(guān)鍵詞】 會計信息安全； ERP； 智能大廈； 安全大廈

一、引言

隨著社會信息化進(jìn)程的不斷加快，計算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)普遍應(yīng)用于企業(yè)生產(chǎn)經(jīng)營和管理實踐中，對企業(yè)的管理模式、管理體系帶來了巨大的改變。近十年來，ERP系統(tǒng)的發(fā)展尤其迅速，現(xiàn)在的ERP系統(tǒng)主要包括企業(yè)的財務(wù)管理、生產(chǎn)管理、采購管理、銷售管理、庫存管理、人力資源管理等，并且成熟的ERP系統(tǒng)可以與企業(yè)其他系統(tǒng)進(jìn)行有效和必要的集成，ERP從最初的會計電算化發(fā)展到今天，其不斷成熟與持續(xù)的擴(kuò)展應(yīng)用，在一定程度上代表了企業(yè)信息化水平和管理水平。

在企業(yè)信息化不斷提高的同時，不能回避的就是系統(tǒng)安全問題。在ERP中，財務(wù)管理是核心，而會計信息則是財務(wù)管理的基礎(chǔ)。國內(nèi)學(xué)者在研究會計信息安全時，主要是從單方面來研究，如計算機(jī)硬件安全、軟件安全、會計人員管理、規(guī)章制度等方面。這些研究取得了較好的效果，在企業(yè)里應(yīng)用較好，但在ERP領(lǐng)域，由于會計信息系統(tǒng)與其他子系統(tǒng)緊密地結(jié)合在一起，僅從單方面研究是不夠的，必須從全局和整體上研究，再到各個部門、各個子系統(tǒng)進(jìn)行細(xì)化。本文主要研究在ERP環(huán)境下，企業(yè)如何保證會計信息的安全，采取何種有效的方法來規(guī)避會計信息存在的風(fēng)險，為ERP的安全運行提供保障。

二、會計信息安全概述

（一）會計信息安全的基本概念

本文研究的會計信息安全，主要是指基于ERP環(huán)境下的安全，即企業(yè)單位的會計信息系統(tǒng)及其相應(yīng)的硬件、軟件資源受到系統(tǒng)性保護(hù)，在遇到偶然或者惡意事件時不會遭到破壞、信息不會外泄或者更改，系統(tǒng)能夠可靠、有效地運行。會計信息安全是企業(yè)的根本，在商業(yè)競爭白熱化的今天，企業(yè)必須要保證自身信息的安全。

（二）會計信息安全的本質(zhì)

會計信息安全的本質(zhì)就是數(shù)據(jù)的安全。信息處理是通過數(shù)據(jù)這個載體來實現(xiàn)的。數(shù)據(jù)是記錄客觀事物的性質(zhì)、形態(tài)、數(shù)量特征的抽象符號，例如文字、數(shù)字、圖形、曲線等。會計信息是由數(shù)據(jù)產(chǎn)生的，是對數(shù)據(jù)加工處理后得到的信息，是反映企業(yè)財務(wù)狀況的基礎(chǔ)，是企業(yè)決策的重要依據(jù)。

反映會計信息的數(shù)據(jù)，在ERP系統(tǒng)中有多種表現(xiàn)形式。主要如下：

1.基礎(chǔ)數(shù)據(jù)?；A(chǔ)數(shù)據(jù)是指反映會計信息最基礎(chǔ)的數(shù)據(jù)單元，以從銀行取款為例，會計分錄如下：

借：庫存現(xiàn)金 100

貸：銀行存款 100

在系統(tǒng)中，上述會計分錄包含的基礎(chǔ)數(shù)據(jù)的項目主要有會計科目編號、科目名稱、金額、科目方向、日期、制單人、制單日期、審核人、審核日期等。

基礎(chǔ)數(shù)據(jù)一般存于數(shù)據(jù)庫中，存在形式為電子形式，基礎(chǔ)數(shù)據(jù)是企業(yè)信息化管理的根本，也是安全保護(hù)的核心內(nèi)容。

2.賬表數(shù)據(jù)。賬表是根據(jù)企業(yè)業(yè)務(wù)需要，基于基礎(chǔ)數(shù)據(jù)生成的各種報表，如資產(chǎn)負(fù)債表、損益表、科目賬、客戶往來賬、部門輔助賬、個人往來賬、供應(yīng)商往來賬等。賬表數(shù)據(jù)存在形式主要有電子形式、普通文件形式（生成或?qū)С龅膱蟊砦募?、紙面形式（打印）等?/p>

3.存檔數(shù)據(jù)。根據(jù)會計工作的需要，有些歷史數(shù)據(jù)或者往年數(shù)據(jù)需要存檔，即為存檔數(shù)據(jù)。存檔數(shù)據(jù)存在形式主要有電子形式、文件形式等。

4.流動數(shù)據(jù)。ERP的運行必須依托于計算機(jī)網(wǎng)絡(luò)，數(shù)據(jù)從客戶端到服務(wù)器端，中間的傳遞要經(jīng)過計算機(jī)網(wǎng)絡(luò)，在計算機(jī)網(wǎng)絡(luò)中傳遞的數(shù)據(jù)都屬于流動數(shù)據(jù)。流動數(shù)據(jù)的存在形式是電子形式。

5.備份數(shù)據(jù)。為了防止信息系統(tǒng)受到意外破壞，一般要對數(shù)據(jù)庫及其相關(guān)數(shù)據(jù)進(jìn)行必要的備份，形成備份數(shù)據(jù)。數(shù)據(jù)備份可以以天、星期、月、年為單位完成，備份時間間隔越短，形成的數(shù)據(jù)量越大。備份數(shù)據(jù)的存在形式為電子形式、文件形式（在計算機(jī)中存儲）、光盤（刻錄）等。

（三）影響會計信息安全的因素

影響會計信息安全的因素較多，主要因素總結(jié)如表1所示。

三、會計信息安全風(fēng)險分析

ERP系統(tǒng)的生命周期一般要經(jīng)歷選型與實施、應(yīng)用與維護(hù)及切換等漫長的周期，在每個階段，企業(yè)應(yīng)用都會面臨一些風(fēng)險。筆者根據(jù)多年來從事ERP系統(tǒng)實施及維護(hù)的經(jīng)驗，基于會計信息安全角度分析其風(fēng)險。

（一）ERP選型與實施

企業(yè)在ERP選型過程中，一般要與多家軟件供應(yīng)商進(jìn)行接觸，最后選擇3至5家比較適合自身企業(yè)實際情況的軟件供應(yīng)商進(jìn)行進(jìn)一步的考察，同時軟件供應(yīng)商也會深入到企業(yè)進(jìn)行調(diào)研，在此過程中，軟件供應(yīng)商一般會接觸企業(yè)宏觀的一些業(yè)務(wù)，具體的業(yè)務(wù)細(xì)節(jié)涉及較小，因此安全風(fēng)險小。

在企業(yè)成功選型后，即進(jìn)入ERP項目實施階段，從目前軟件市場來看，除非是企業(yè)自身研制的ERP系統(tǒng)，使用其他公司ERP產(chǎn)品時，都會涉及到實施。在實施過程中，軟件廠商或者代理商的工作人員會深入到企業(yè)進(jìn)行詳細(xì)的業(yè)務(wù)調(diào)研，了解企業(yè)生產(chǎn)經(jīng)營的流程、數(shù)據(jù)流動特點、業(yè)務(wù)邏輯規(guī)則等詳細(xì)內(nèi)容，為企業(yè)進(jìn)行ERP實施。系統(tǒng)實施過程長短不一，一般小型企業(yè)系統(tǒng)實施在三至六個月即可完成，大型企業(yè)時間較長。在此過程中，由于制度的不健全、軟件的不穩(wěn)定、人員變更頻繁等綜合原因，會計信息風(fēng)險較大，但由于企業(yè)的數(shù)據(jù)量不大，有些是演示數(shù)據(jù)或者是并行數(shù)據(jù)，對企業(yè)的影響較小。

（二）ERP應(yīng)用

ERP系統(tǒng)在應(yīng)用過程中，會計信息不安全的風(fēng)險因素多，在上述信息風(fēng)險范圍之內(nèi)的所有風(fēng)險都可能會遇到，風(fēng)險較大。一般存在的風(fēng)險主要包括以下項目：會計信息被竊??；會計信息不一致；數(shù)據(jù)被非法篡改；數(shù)據(jù)丟失。

（三）ERP維護(hù)

ERP系統(tǒng)維護(hù)一般是指系統(tǒng)出現(xiàn)軟件錯誤或者邏輯錯誤、模塊修改、軟件升級等，由軟件公司出人負(fù)責(zé)對系統(tǒng)進(jìn)行維護(hù)，使系統(tǒng)符合企業(yè)的實際需要。在現(xiàn)行的軟件管理技術(shù)手段中，軟件公司對ERP維護(hù)一般包括三種方式：電話或者電子郵件指導(dǎo)（由企業(yè)自身人員完成維護(hù)工作）、現(xiàn)場維護(hù)、遠(yuǎn)程維護(hù)等。在維護(hù)過程中，軟件公司人員可以看到企業(yè)的數(shù)據(jù)，要嚴(yán)格控制風(fēng)險，防止企業(yè)工作人員“趁火打劫”，對信息進(jìn)行竊取或者破壞并將責(zé)任推給他人。

（四）ERP廢除和新系統(tǒng)的建立

在企業(yè)正常運營情況下，如果目前使用的ERP系統(tǒng)不能滿足企業(yè)發(fā)展的需要，企業(yè)會廢除當(dāng)前使用的ERP系統(tǒng)，更換新的系統(tǒng)，即系統(tǒng)切換。系統(tǒng)切換周期較長，一般會進(jìn)行ERP系統(tǒng)的選型和實施工作，將有新人參與到系統(tǒng)切換工作中進(jìn)行業(yè)務(wù)調(diào)研和業(yè)務(wù)梳理。由于對系統(tǒng)進(jìn)行大規(guī)模的調(diào)整，風(fēng)險較大。

四、安全體系的建立

企業(yè)在應(yīng)用ERP系統(tǒng)時，必須保證系統(tǒng)的安全，前文分析了信息安全風(fēng)險，由于影響的因素較多，因此需要建立一套完善的安全體系。企業(yè)的ERP系統(tǒng)與現(xiàn)代的高樓大廈十分相似，由底層向上依次為硬件系統(tǒng)、系統(tǒng)軟件、應(yīng)用軟件等，在建設(shè)和維護(hù)ERP時，與建樓和對樓的維護(hù)相似，本文設(shè)計了“1+1”的會計信息安全模型，即“安全大廈+智能大廈”，模型如圖1所示。

對模型的若干說明：

（一）內(nèi)層

內(nèi)層是ERP系統(tǒng)的核心部分，是核心架構(gòu)模型，是ERP軟件級別的安全模型，其中包括數(shù)據(jù)庫管理系統(tǒng)和ERP應(yīng)用軟件及ERP系統(tǒng)運行過程中的各種數(shù)據(jù)和各類人員。在內(nèi)層中，ERP系統(tǒng)本身會提供應(yīng)用級別的安全控制體系，包括各類操作人員和各種數(shù)據(jù)的安全保護(hù)，使ERP系統(tǒng)能夠正常運行，保證數(shù)據(jù)不丟失、不被破壞和數(shù)據(jù)的完整性等。

（二）安全防護(hù)層

安全防護(hù)層是企業(yè)為了保證信息系統(tǒng)安全運行采取的安全保護(hù)措施，是企業(yè)級別的安全模型，包括底層硬件平臺、系統(tǒng)軟件平臺、數(shù)據(jù)庫管理系統(tǒng)等。執(zhí)行人員為企業(yè)的主管領(lǐng)導(dǎo)和網(wǎng)絡(luò)管理人員。

（三）智能報警防護(hù)層

智能報警防護(hù)層是指當(dāng)數(shù)據(jù)或者業(yè)務(wù)違反了預(yù)先設(shè)計的規(guī)則，由系統(tǒng)主動向企業(yè)管理人員發(fā)送預(yù)警信息，相關(guān)人員根據(jù)信息安全級別進(jìn)行響應(yīng)。智能報警防護(hù)層是智能級別的安全模型。

（四）信息安全監(jiān)控

信息安全監(jiān)控是指從企業(yè)信息系統(tǒng)運行整體情況出發(fā)，由企業(yè)網(wǎng)絡(luò)管理人員和部門主管主動發(fā)現(xiàn)網(wǎng)絡(luò)異常、數(shù)據(jù)異常等，并進(jìn)行處理。信息安全監(jiān)控是自主級別的安全模型。

（五）安全中心

安全中心是企業(yè)為了保證ERP系統(tǒng)安全運行建立的行政部門，一般與信息部門合并，共同行使職責(zé)。

五、模型應(yīng)用

（一）“安全大廈”的建立

“安全大廈”的建立指ERP系統(tǒng)的實施階段。在實施階段，會計信息處于規(guī)劃、整理和初始化狀態(tài)，企業(yè)應(yīng)用ERP中的模塊越多，會計信息越復(fù)雜。在此階段，會計信息安全主要指基礎(chǔ)數(shù)據(jù)的安全，包括會計分錄設(shè)置、客戶資料、供應(yīng)商資料、期初余額等。此過程涉及的人員主要包括ERP軟件方實施人員、企業(yè)的會計或者賬務(wù)主管、企業(yè)會計人員及相關(guān)模塊的操作人員。安全模型圖如圖2所示。

在ERP系統(tǒng)實施開始時，一般要與軟件公司簽訂《實施安全協(xié)議》，同時為了方便實施操作，軟件公司經(jīng)常采用遠(yuǎn)程管理的方式對企業(yè)數(shù)據(jù)進(jìn)行維護(hù)，在開通遠(yuǎn)程操作時，應(yīng)與軟件公司簽訂《遠(yuǎn)程許可協(xié)議》，保證基礎(chǔ)數(shù)據(jù)的安全。在企業(yè)內(nèi)部，制定《規(guī)章制度》，規(guī)范人員操作，加強(qiáng)對數(shù)據(jù)的安全保護(hù)。

（二）“安全大廈”的維護(hù)

實施成功后，即進(jìn)入“安全大廈”的維護(hù)階段，這是企業(yè)日常運營及管理階段，也是企業(yè)會計信息安全保護(hù)的主要階段。會計信息安全主要在于“安全防護(hù)層”，包括硬件、軟件、人員、法規(guī)等。在硬件和法規(guī)上，管理較簡單，本文從軟件和人員兩方面進(jìn)行分析。

從信息技術(shù)上講，安全管理的人員為企業(yè)的網(wǎng)絡(luò)管理人員，主要保護(hù)手段要通過第三方安全軟件實現(xiàn)，如防火墻、殺毒軟件，另外管理人員的經(jīng)驗也是必不可少的。維護(hù)階段會計信息安全的子模型如圖3所示。

（三）“智能大廈”的應(yīng)用

“智能大廈”主要體現(xiàn)在整套系統(tǒng)的智能報警子系統(tǒng)上，即建立會“說話”的安全系統(tǒng)。智能報警需要建立報警規(guī)則，主要通過以下幾方面實現(xiàn)：

1.應(yīng)用軟件報警。完備的ERP系統(tǒng)會提供關(guān)鍵數(shù)據(jù)報警功能，如會計人員越權(quán)使用系統(tǒng)、票據(jù)的金額過大或過小而超過許可范圍等。

2.數(shù)據(jù)庫報警。現(xiàn)代大型數(shù)據(jù)庫一般提供警報功能，通過在后臺管理進(jìn)行詳細(xì)設(shè)置報警規(guī)則，當(dāng)某些敏感數(shù)據(jù)違反規(guī)則時，將報警信息發(fā)送給相關(guān)人員進(jìn)行處理。

3.網(wǎng)絡(luò)報警。網(wǎng)絡(luò)報警一般通過路由器來實現(xiàn)，通過路由器可以監(jiān)控企業(yè)網(wǎng)絡(luò)流量、非法修改網(wǎng)絡(luò)參數(shù)、網(wǎng)絡(luò)運行異常狀況等。

報警信息一般可以通過手機(jī)短信、電子郵件或者其他媒介來接收，保證報警信息的有效性，以提高會計信息安全。

（四）“安全大廈”的轉(zhuǎn)移

在我國，由于ERP應(yīng)用時間較短，極少企業(yè)涉及“安全大廈”轉(zhuǎn)移?！鞍踩髲B”轉(zhuǎn)移即系統(tǒng)切換。在ERP系統(tǒng)進(jìn)行切換時，對原始電子數(shù)據(jù)有兩種處理方法，一種是完整的備份，待將來業(yè)務(wù)需要時進(jìn)行查詢；另外一種是將數(shù)據(jù)直接轉(zhuǎn)移到新系統(tǒng)中，銷毀舊系統(tǒng)，今后所有的歷史數(shù)據(jù)查詢都在新系統(tǒng)中實現(xiàn)。一般說來，當(dāng)數(shù)據(jù)量較小時，使用后一種方法處理較為合適，但如果數(shù)據(jù)量大時，使用備份的方法較為可行。

六、結(jié)束語

在ERP環(huán)境下，企業(yè)會計信息安全更為重要，本文基于ERP的生命周期，設(shè)計了會計信息安全的“1+1”模型，即“安全大廈+智能大廈”模型，并對模型進(jìn)行了應(yīng)用研究，以期對企業(yè)領(lǐng)導(dǎo)管理企業(yè)、維護(hù)信息系統(tǒng)安全起到關(guān)鍵作用。

【主要參考文獻(xiàn)】

［1］ 林茂.ERP軟件財務(wù)會計系統(tǒng)安全風(fēng)險防范［J］.財會月刊，2010（12）：60-61.

［2］ 吳占坤.基于網(wǎng)絡(luò)環(huán)境的會計信息系統(tǒng)安全體系建設(shè)研究［J］.財會通訊，2009（9）：119-120.

［3］ 何日勝.論信息環(huán)境下企業(yè)會計信息安全體系［J］.會計之友，2011（7）：124-125.

［4］ 羅紅.網(wǎng)絡(luò)會計信息系統(tǒng)安全問題研究［J］.財會通訊，2011（7）：33-35.