摘要：互聯(lián)網(wǎng)時代大大拓展了信息共享的范圍和傳遞的速度?；诰W(wǎng)絡的企業(yè)會計信息系統(tǒng)的應用為企業(yè)的發(fā)展帶來了前所未有的優(yōu)越性，同時也使企業(yè)面臨更多樣化的風險與問題。這些風險和問題嚴重影響會計信息系統(tǒng)在企業(yè)應用所帶來的價值。本文首先分析了網(wǎng)絡環(huán)境下企業(yè)會計信息系統(tǒng)存在的主要不安全因素，并應用層次分析法評估主要不安全因素的相對重要程度，據(jù)此提出安全風險的防范措施。

關鍵詞：會計信息系統(tǒng)；安全風險；層次分析法

一、引言

近年來，網(wǎng)絡技術的廣泛應用使得企業(yè)在全球范圍內(nèi)實現(xiàn)信息的交流和共享成為可能。相應的，企業(yè)的會計環(huán)境也發(fā)生了變化，由原來封閉的局域網(wǎng)會計信息系統(tǒng)進入到了互聯(lián)網(wǎng)世界。這種變化給企業(yè)帶來了前所未有的優(yōu)越性的同時，也使得企業(yè)會計信息系統(tǒng)面臨更多樣化的風險與問題。據(jù)調(diào)查顯示，美國每年因為網(wǎng)絡安全造成的經(jīng)濟損失超過 170 億美元，75%的公司報告財務損失是由于會計信息系統(tǒng)的安全問題造成的。在我國，企業(yè)為防止泄密而修補信息網(wǎng)絡安全漏洞的投入每年達 700 萬元。因此，會計信息系統(tǒng)的風險分析與評估越來越受到人們的重視（谷增軍，2009）。 運用科學的方法對會計信息系統(tǒng)進行全面、系統(tǒng)的安全風險評估，識別網(wǎng)絡環(huán)境下會計信息系統(tǒng)的主要不安全因素，了解企業(yè)的安全技術與管理現(xiàn)狀，并采取及時的風險應對措施、制定安全策略，確保會計信息系統(tǒng)的安全，對于保證企業(yè)平穩(wěn)健康的運行，保障各方的利益具有重要意義。

針對上述問題，本文首先分析了網(wǎng)絡環(huán)境下企業(yè)會計信息系統(tǒng)存在的主要不安全因素，并應用層次分析法評估主要不安全因素的相對重要程度，據(jù)此提出安全風險的防范措施，對于企業(yè)加強會計信息系統(tǒng)安全管理具有一定的指導作用。

二、網(wǎng)絡環(huán)境下企業(yè)會計信息系統(tǒng)主要不安全因素分析

網(wǎng)絡環(huán)境下的會計信息系統(tǒng)是指建立在網(wǎng)絡環(huán)境基礎上的會計信息系統(tǒng)，即在互聯(lián)網(wǎng)境下對各種交易中的會計事項進行確認、計量和披露的會計活動。其為企業(yè)與客戶、供應商之間，等部門之間建立開放、實時的雙向信息交流環(huán)境創(chuàng)造了條件，也使企業(yè)會計業(yè)務一體化處理成為現(xiàn)實。但由于互聯(lián)網(wǎng)系統(tǒng)的分布式、開放性等特點，與原有集中封閉的會計信息系統(tǒng)比較，系統(tǒng)在安全上的問題也更加突出，因此網(wǎng)絡環(huán)境下會計信息系統(tǒng)的安全性問題越來越受到人們的重視，同時和其密切相關的安全因素也成為學者們研究的重點（宋彪、常劍鋒，2010）。宋彪、常劍鋒等人在2010年通過對100名會計從業(yè)人員進行問卷調(diào)查，得到影響會計信息系統(tǒng)安全的主要因素，按照重要程度分別為會計軟件的缺陷，企業(yè)內(nèi)部控制方面的失效，操作人員的有意破壞，人為舞弊，計算機病毒，網(wǎng)絡黑客的入侵，不可預測的災害。這些要素之間存在包含關系，如操作人員的有意破壞、人為舞弊都屬于企業(yè)內(nèi)部控制方面的問題。倪江陵（2008）在其碩士論文中提到網(wǎng)絡環(huán)境下會計信息系統(tǒng)的不安全性因素有硬件系統(tǒng)的不安全因素（硬盤、存儲器、線路故障等）、軟件系統(tǒng)的不安全因素（會計軟件、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、數(shù)據(jù)中心、會計檔案）、網(wǎng)絡系統(tǒng)的不安全性（黑客攻擊、病毒、電磁波輻射）。谷增軍（2010）比較全面的描述了影響會計信息系統(tǒng)安全的因素：自身的脆弱性（系統(tǒng)硬件選配安裝不當，操作系統(tǒng)問題、傳輸、存儲介質(zhì)不安全、數(shù)據(jù)庫安全問題，軟件開發(fā)設計缺陷）、內(nèi)控的風險（會計軟件功能的濫用，授權控制下降，操作人員舞弊，系統(tǒng)管理員失職），自然界的威脅（颶風，地震、火災）和外部環(huán)境（間諜、病毒、黑客）的威脅。

由于不安全因素錯綜復雜，學者們在評估會計信息系統(tǒng)的安全風險時，所關注的重點也有所不同。不過，通過對文獻的梳理發(fā)現(xiàn)，學者們對于以下安全風險因素達成共識：1、技術方面，包括硬件安裝不當、軟件開發(fā)設計或選配不當、傳輸、存儲介質(zhì)不安全（潘婧，2008；羅紅，2011；王恒輝，2010等）。2、內(nèi)部控制風險，包括操作人員舞弊、系統(tǒng)操作不規(guī)范、數(shù)據(jù)交易不安全、身份認證安全隱患、授權控制下降（谷增軍，2010；宋彪、常劍鋒，2010；倪江陵，2008等）3、意外因素帶來的風險，如自然災害，如地震、臺風、病毒、黑客入侵（谷增軍，2010；宋彪、常劍鋒，2010；朱海英，2010；程琳，2006等）

三、基于層次分析法的安全風險評估指標體系

層次分析法（Analytic Hierarchy Process）簡稱AHP方法，是20世紀70年代由美國運籌學家T. L. Satty提出的。層次分析法作為一種定性分析與定量分析相結合的評估分析方法，適用于有多種屬性、多個目標或多重準則系統(tǒng)的問題（羅鑫，2010）。鑒于網(wǎng)絡環(huán)境下會計信息系統(tǒng)的安全風險分析問題指標具有層次性、定性與定量指標并存、并且指標數(shù)據(jù)不易獲得的特點，本文采用層次分析法評估主要不安全因素的相對重要程度，找到主要文獻因素和次要風險因素，為企業(yè)有針對性的采取規(guī)避措施提供科學的依據(jù)。

在第二部分我們分析了會計信息系統(tǒng)主要的不安全因素，根據(jù)層次分析法的要求，建立安全風險評估的三層結構：目標層（A層）、一級指標（B層）、二級指標（C層），如表1所示。

四、指標體系權重分析、檢驗及排序

1、構造判斷矩陣

本研究邀請了從業(yè)經(jīng)驗5年以上的會計工作者6名，吉林大學管理學院會計系副教授職稱以上教師4名，企業(yè)管理中層領導干部2名對各層次的評價指標按照其發(fā)生的可能性、發(fā)生后后果的嚴重性等對其重要性予以比較。在綜合了12名專家的意見后，獲得了各指標在本層的比較得分。本研究采用Satty的1-9標度方法構建兩兩比較矩陣。表2展示的是準則層（B層）對于目標層（A層）的判斷矩陣及相對權重。

2、一致性檢驗

一般當CR<0.1時，認定判斷矩陣的不一致性在允許的范圍內(nèi)，具有滿意的一致性，即判斷矩陣通過了一致性檢驗；否則要對加以調(diào)整，重新構造判斷矩陣。經(jīng)過計算，CR=0.0080<0.1，矩陣一致性可以接受。

同樣的，表2至表5分別列出了技術風險、內(nèi)部控制風險和意外因素風險的判斷矩陣和相對權重。

除意外因素風險下只有兩個因素不需要一致性檢驗外，其他判斷矩陣均通過一致性檢驗。

3、指標合成權重的計算及排序

合成權重Wk可以由二級指標各權重及其對應的一級指標相乘獲得。見表6。

五、風險防范策略

由層次分析法得出的各指標的權重實際上表示指標相對于目標層的重要程度。從表6中可以看出，造成會計信息系統(tǒng)安全風險的主要因素有：軟件開發(fā)設計或選配不當、系統(tǒng)硬件安裝不當、數(shù)據(jù)交易不安全、病毒、黑客入侵和操作人員舞弊。這五個因素占據(jù)不安全因素累積權重的80%以上，為主要因素，必須予以重視。針對上述因素，本文提出以下幾點防范措施，幫助企業(yè)最大限度的減少會計信息系統(tǒng)的安全性風險。

1、軟件開發(fā)設計或選配不當

通過運用層次分析法對會計信息系統(tǒng)的不安全因素按照其重要程度進行排序，軟件開發(fā)設計或選配不當成為影響會計信息系統(tǒng)安全性的最主要問題。一般來講，企業(yè)應用的會計信息系統(tǒng)主要是通過外包或者是直接從軟件公司購買兩種方式獲得的。如果是通過外包的形式開發(fā)，企業(yè)應積極安排會計人員與委托開發(fā)公司進行充分的溝通，使需求分析的結果盡可能的反應真實的要求。另外，委托公司的所使用的開發(fā)工具要與企業(yè)實際狀況匹配，以數(shù)據(jù)庫為例，SQL server、Oracle、Sybase等主要適用于大型系統(tǒng)；Acess、FoxPro等則主要適用于小型系統(tǒng)。如果企業(yè)從軟件公司直接購買已完成開發(fā)的軟件，由于現(xiàn)成的系統(tǒng)不可能完全支持企業(yè)的現(xiàn)有業(yè)務，因此在選擇軟件時，應充分了解企業(yè)的財務經(jīng)營流程，全面掌握備選軟件的操作流程，在充分比較后謹慎選擇。

2、硬件方面

計算機硬件包括硬盤、磁盤、存儲器等，是會計信息系統(tǒng)的物質(zhì)基礎。如果硬件方面出現(xiàn)故障，會影響整個運營的效率，甚至導致巨大的災難。為了保證會計信息系統(tǒng)硬件的安全性，企業(yè)在采購硬件時應全面掌握相關信息，了解品牌、產(chǎn)品型號及供應商的信譽等，硬件采購后要進行試運行，在確保其安全性后再投入到企業(yè)的實際應用中。同時，要排除由于安裝不當而導致的安全隱患。

3、數(shù)據(jù)交易不安全

網(wǎng)絡環(huán)境下，交易數(shù)據(jù)的處理都依托于網(wǎng)絡，計算速度加快，信息資源的共享性和財務復雜程度的增加，許多會計業(yè)務交叉進行，如果系統(tǒng)中權限劃分不明確、內(nèi)部控制不嚴密，就非常容易造成信息的泄露，數(shù)據(jù)交易的不安全性增加。企業(yè)要要保證數(shù)據(jù)的安全，一方面需要借助法律、政策及相關規(guī)章制度的約束，另一方面又必須依賴企業(yè)管理人員制定有效的管理制度，同時還必須有嚴格的監(jiān)督與管理手段。會計數(shù)據(jù)的安全控制一般分為以下幾個方面：1.依據(jù)相關的法律規(guī)章制度建立嚴格的內(nèi)部管理制度。2.利用數(shù)字簽名技術進行數(shù)據(jù)確認。3. 加強監(jiān)控與審計

4、病毒、黑客入侵

網(wǎng)絡傳輸中由于黑客， 病毒， 木馬入侵， 造成非法訪問、信息泄露、非法拷貝、盜竊以及非法監(jiān)視、監(jiān)聽等風險（潘婧，2008）。應對病毒、黑客入侵會計信息系統(tǒng)的主要措施有：（1）定期殺毒。盡管目前卻沒有一款殺毒軟件能夠應對一切病毒，但是定期進行殺毒是防治病毒入侵最直接有效的辦法。對于企業(yè)網(wǎng)等比較復雜的網(wǎng)絡環(huán)境，建議采用網(wǎng)絡殺毒軟件進行殺毒。網(wǎng)絡病毒防治系統(tǒng)可以通過對局域網(wǎng)進行遠程集中安全管理、通過賬號和口令設置來達到一定的網(wǎng)絡病毒防治效果。（2）定期備份財務數(shù)據(jù)。財務數(shù)據(jù)作為企業(yè)經(jīng)營狀況的直接指標，是企業(yè)制定經(jīng)營決策的主要依據(jù)。備份財務數(shù)據(jù)的意義在于通過將財務數(shù)據(jù)復制到不同的介質(zhì)中保存來防止財務數(shù)據(jù)的丟失。一旦會計信息系統(tǒng)遭到病毒或者黑客的入侵，數(shù)據(jù)備份可以及時的恢復丟失數(shù)據(jù)，支持會計信息系統(tǒng)的正常運行。（3）制度保障。企業(yè)應出臺相應制度，限制運行會計信息系統(tǒng)的計算機的其他上網(wǎng)行為；謹慎使用U盤和移動硬盤；設置 Office 軟件的宏安全級別等。

5、操作人員舞弊

個別操作人員由于專業(yè)素養(yǎng)不夠，對會計信息系統(tǒng)的操作不夠規(guī)范，對整個系統(tǒng)的安全造成了很大的威脅。究其原因，隨著企業(yè)的擴大和發(fā)展，利益相關者的范圍也在逐漸擴大，經(jīng)營活動也更加廣泛，網(wǎng)絡會計信息系統(tǒng)相關人員面對了更多的誘惑和威脅，這可能會動搖相關人員遵守職業(yè)道德的決心，從而引發(fā)道德風險。安然、世界通訊等重大的舞弊案件的發(fā)生迫使企業(yè)重視人員舞弊的不安全因素。企業(yè)應關注會計信息系統(tǒng)建設中的人員因素，加強人員的培訓， 通過會計培訓使財會人員不斷汲取新知識， 不僅掌握現(xiàn)代網(wǎng)絡技術， 而且充分認識到會計人員的職業(yè)道德的重要性， 自覺抵制各種誘惑， 切實遵守各項規(guī)章制度。與此同時，要對財務人員的崗位職責進行定期的審計。近年來，國家也相應的出臺了一系列的法律法規(guī)和職業(yè)道德規(guī)范來規(guī)范會計人員的職業(yè)道德素質(zhì)，要求會計人員誠信、保密、獨立等（王恒輝，2010）。（作者單位：大連隆銘會計師事務所有限公司）

參考文獻

[1]潘婧.網(wǎng)絡會計信息系統(tǒng)的安全風險及防范措施[J].財會研究，2008，（2）：48-52.

[2]羅紅.網(wǎng)絡會計信息系統(tǒng)安全問題研究[J].財會通訊，2011，（7）：33-35.

[3]宋彪，常劍峰.網(wǎng)絡環(huán)境下會計信息系統(tǒng)安全性研究[C].上海： 第九屆全國會計信息化年會，2010.174-180.

[4]胡玉可.淺析網(wǎng)絡環(huán)境下會計信息系統(tǒng)安全控制的實現(xiàn)[J].會計之友，2009，（11）：44-45.

[5]韓娜.企業(yè)會計信息系統(tǒng)風險評估方法研究[D].2006.

[6]張繼德，劉盼盼. 會計信息系統(tǒng)安全性現(xiàn)狀及應對策略探討[J].中國管理信息化，2010，13（6）：3-5.

[7]王恒輝.網(wǎng)絡環(huán)境下會計信息系統(tǒng)安全性探析[D].2010.

[8]倪江陵. 網(wǎng)絡環(huán)境下會計信息系統(tǒng)安全問題防范對策研究[D].2008.

[9]谷曾軍.會計信息系統(tǒng)安全風險評估初探[J].財會通訊，2010，（12）：124-125.

[10]羅鑫. 基于AHP方法的評估分析[J].科協(xié)論壇，2010，（8）：144-145.