摘要：本文在全面分析企業(yè)會(huì)計(jì)信息安全影響因素的基礎(chǔ)上，探討其主要風(fēng)險(xiǎn)問(wèn)題，并從組織環(huán)境、信息處理、風(fēng)險(xiǎn)評(píng)估、監(jiān)控反饋和制度安排五個(gè)方面提出全面系統(tǒng)的管控建議。

關(guān)鍵詞：會(huì)計(jì)信息安全 組織環(huán)境 風(fēng)險(xiǎn)評(píng)估 監(jiān)控反饋 制度安排

中圖分類號(hào)：F23 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1002-5812（2016）03-0026-04

隨著我國(guó)企業(yè)信息化的推進(jìn)，會(huì)計(jì)信息化逐步由簡(jiǎn)單的單用戶電算化應(yīng)用向復(fù)雜的深層次網(wǎng)絡(luò)化運(yùn)用過(guò)渡，會(huì)計(jì)信息化系統(tǒng)也在一定程度上實(shí)現(xiàn)了由核算型向管理型的過(guò)渡。在企業(yè)會(huì)計(jì)信息化水平不斷提高的同時(shí)，作為企業(yè)重要資產(chǎn)的會(huì)計(jì)信息，其完整性、可用性、保密性等方面卻受到不同程度的挑戰(zhàn)和沖擊。如若企業(yè)會(huì)計(jì)信息安全不能得到有效保障，可能會(huì)引發(fā)相關(guān)商業(yè)機(jī)密的泄漏，嚴(yán)重的會(huì)導(dǎo)致企業(yè)失去客戶、市場(chǎng)，乃至核心競(jìng)爭(zhēng)力；即便是信息系統(tǒng)的故障也會(huì)造成企業(yè)的相關(guān)業(yè)務(wù)中斷，給企業(yè)帶來(lái)資產(chǎn)與聲譽(yù)的損失。因此，為了使企業(yè)能持續(xù)不斷的發(fā)展，會(huì)計(jì)信息安全成為了企業(yè)管理越來(lái)越關(guān)注的內(nèi)容之一。

一、企業(yè)會(huì)計(jì)信息安全的影響因素

企業(yè)會(huì)計(jì)信息安全是指會(huì)計(jì)信息化環(huán)境下，會(huì)計(jì)信息處于完整性、可用性、保密性和可靠性的狀態(tài)，它來(lái)自于會(huì)計(jì)數(shù)據(jù)的完整和會(huì)計(jì)數(shù)據(jù)的安全。參照國(guó)際標(biāo)準(zhǔn)化組織和美國(guó)NSTISSC委員會(huì)對(duì)信息安全的闡述，本文認(rèn)為企業(yè)會(huì)計(jì)信息安全就是為了使會(huì)計(jì)信息具有完整性、可用性、保密性和可靠性，而讓企業(yè)的會(huì)計(jì)信息和會(huì)計(jì)信息系統(tǒng)處于必要的保護(hù)之下免于未經(jīng)授權(quán)的訪問(wèn)、使用、泄漏、修改和破壞，并適當(dāng)采取相應(yīng)政策、培訓(xùn)和教育以及技術(shù)等必要手段，其實(shí)質(zhì)就是扎根于企業(yè)經(jīng)營(yíng)實(shí)踐活動(dòng)并與企業(yè)戰(zhàn)略密切聯(lián)系的業(yè)務(wù)保障和管理問(wèn)題。顯然，影響企業(yè)會(huì)計(jì)信息安全的因素必然來(lái)源于企業(yè)的生產(chǎn)經(jīng)營(yíng)實(shí)踐活動(dòng)，并與企業(yè)的經(jīng)營(yíng)管理過(guò)程結(jié)合在一起。鑒于此，本文認(rèn)為影響企業(yè)會(huì)計(jì)信息安全的因素不外乎組織環(huán)境、信息處理、風(fēng)險(xiǎn)評(píng)估、監(jiān)控反饋、制度安排五個(gè)方面內(nèi)容。

（一）組織環(huán)境。企業(yè)組織環(huán)境是指能對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)和決策產(chǎn)生直接影響并與企業(yè)戰(zhàn)略目標(biāo)實(shí)現(xiàn)密切相關(guān)的因素。企業(yè)會(huì)計(jì)信息安全及相關(guān)會(huì)計(jì)信息系統(tǒng)的運(yùn)行都必須基于既有的企業(yè)組織環(huán)境。一般來(lái)說(shuō)，企業(yè)組織環(huán)境包括企業(yè)愿景、企業(yè)戰(zhàn)略、企業(yè)文化、組織結(jié)構(gòu)、員工勝任能力以及管理者素質(zhì)、管理風(fēng)格、管理哲學(xué)等。企業(yè)組織環(huán)境對(duì)企業(yè)會(huì)計(jì)信息安全的影響作用在很大程度上取決于企業(yè)高層管理者。其原因在于，根據(jù)企業(yè)高層管理者的管理哲學(xué)與管理風(fēng)格以及由其演繹而成的組織結(jié)構(gòu)和企業(yè)文化形成了企業(yè)會(huì)計(jì)信息安全環(huán)境，并以此構(gòu)建相應(yīng)的會(huì)計(jì)信息安全管控框架，進(jìn)而形成相應(yīng)的會(huì)計(jì)信息安全策略。此外，相關(guān)的企業(yè)會(huì)計(jì)信息安全管控策略若要能在企業(yè)內(nèi)部得到有效的持續(xù)的實(shí)施，也需要企業(yè)內(nèi)所有管理者和員工的共同參與，更是與管理者和員工的安全意識(shí)和職業(yè)素養(yǎng)密切相關(guān)。高層管理者負(fù)責(zé)制訂與企業(yè)組織發(fā)展方向相關(guān)以及影響整個(gè)企業(yè)戰(zhàn)略的會(huì)計(jì)信息安全管控決策；中層管理者負(fù)責(zé)將高層管理者所制訂的會(huì)計(jì)信息安全管控決策目標(biāo)轉(zhuǎn)換成為基層管理者可執(zhí)行的會(huì)計(jì)信息安全管控具體目標(biāo)；基層管理者則負(fù)責(zé)直接指揮從事具體業(yè)務(wù)的相關(guān)員工進(jìn)行日常業(yè)務(wù)作業(yè)。

（二）信息處理。企業(yè)會(huì)計(jì)信息處理是一個(gè)比較復(fù)雜的系統(tǒng)，在這個(gè)系統(tǒng)中應(yīng)該能完整、可靠、安全地采集與企業(yè)經(jīng)營(yíng)管理相關(guān)的各種會(huì)計(jì)信息，并使這些會(huì)計(jì)信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級(jí)及經(jīng)過(guò)適當(dāng)授權(quán)的客戶之間進(jìn)行有效傳遞和正確使用。因此，在會(huì)計(jì)信息化環(huán)境下為達(dá)到上述要求，企業(yè)需要為會(huì)計(jì)信息處理系統(tǒng)配置適當(dāng)?shù)能浻布Y源。在這種情況下，企業(yè)會(huì)計(jì)信息安全問(wèn)題就集中于物理硬件的可靠性和支持軟件的有效性。物理硬件通常由系統(tǒng)主機(jī)、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護(hù)等組成，譬如給數(shù)據(jù)加密的專用設(shè)備，添加專用防火墻的服務(wù)器，具有加密算法和多數(shù)位加密的路由等。支持軟件則主要由能實(shí)現(xiàn)會(huì)計(jì)信息采集、整理、加工、傳送、使用等功能的會(huì)計(jì)信息管理軟件構(gòu)成，當(dāng)然還包括操作系統(tǒng)、網(wǎng)絡(luò)協(xié)議、壓縮、加密算法、防病毒等相關(guān)軟件。

（三）風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估就是分析、識(shí)別和控制相關(guān)影響會(huì)計(jì)信息安全目標(biāo)實(shí)現(xiàn)的各種風(fēng)險(xiǎn)的過(guò)程，它主要由會(huì)計(jì)信息安全的目標(biāo)設(shè)定、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)識(shí)別和風(fēng)險(xiǎn)控制等方面構(gòu)成。企業(yè)要確保其會(huì)計(jì)信息安全，則必須清楚且能應(yīng)對(duì)各種可能對(duì)其會(huì)計(jì)信息安全產(chǎn)生影響的風(fēng)險(xiǎn)，在不斷變化的企業(yè)經(jīng)營(yíng)環(huán)境中進(jìn)行認(rèn)真分析，識(shí)別并把握其變化規(guī)律，制訂相關(guān)的應(yīng)對(duì)措施，依據(jù)會(huì)計(jì)信息安全面臨的問(wèn)題適時(shí)調(diào)整企業(yè)會(huì)計(jì)信息安全管控策略和方法。這就要求企業(yè)的會(huì)計(jì)信息安全管控策略要有更長(zhǎng)遠(yuǎn)的時(shí)間和更廣闊的視野來(lái)關(guān)注風(fēng)險(xiǎn)，將風(fēng)險(xiǎn)意識(shí)貫穿于企業(yè)會(huì)計(jì)信息安全管控的始終，不斷完善包括企業(yè)經(jīng)營(yíng)理念、管理方式、管理風(fēng)格在內(nèi)的控制風(fēng)險(xiǎn)環(huán)境。為此，企業(yè)還需要制訂相關(guān)的會(huì)計(jì)信息安全目標(biāo)，并將這一目標(biāo)與企業(yè)的供應(yīng)、生產(chǎn)、銷售等經(jīng)營(yíng)活動(dòng)進(jìn)行整合。唯有如此，才能實(shí)現(xiàn)整個(gè)企業(yè)經(jīng)營(yíng)管理的協(xié)調(diào)一致。

（四）監(jiān)控反饋。企業(yè)必須制定監(jiān)控反饋的政策與程序，才能確保既定會(huì)計(jì)信息安全目標(biāo)和必要改進(jìn)措施的有效實(shí)施。一方面，企業(yè)經(jīng)營(yíng)環(huán)境是不斷發(fā)生變化的，企業(yè)經(jīng)營(yíng)活動(dòng)也隨之不斷變化。在這種情況下，唯有對(duì)企業(yè)會(huì)計(jì)信息安全管控系統(tǒng)進(jìn)行必要的監(jiān)控，并在必要時(shí)加以修訂與調(diào)整，管控系統(tǒng)及相關(guān)的政策與程序才能反應(yīng)自如。另一方面，企業(yè)會(huì)計(jì)信息處理系統(tǒng)自身也會(huì)由于物理硬件或支持軟件方面的不確定因素而導(dǎo)致會(huì)計(jì)信息處理的延誤或失效。這樣，企業(yè)也需適時(shí)地對(duì)企業(yè)會(huì)計(jì)信息處理系統(tǒng)進(jìn)行監(jiān)控，排除不確定因素，維護(hù)會(huì)計(jì)信息處理系統(tǒng)的有效和安全。此外，還應(yīng)考慮制定怎樣的監(jiān)控反饋政策與程序。通常，過(guò)于集權(quán)的監(jiān)控政策會(huì)導(dǎo)致因信息缺乏而引起的成本，過(guò)于分權(quán)的監(jiān)控政策則會(huì)出現(xiàn)因目標(biāo)不一致而引起的成本。鑒于此，企業(yè)對(duì)會(huì)計(jì)信息安全的監(jiān)控反饋政策與程序的選擇應(yīng)該是權(quán)衡這兩類成本，使成本之和最小。

（五）制度安排。企業(yè)會(huì)計(jì)信息安全還與企業(yè)制度安排密切相關(guān)。好的政策制度，能有效協(xié)調(diào)和激勵(lì)合意的行為，約束和懲罰不合意的行為，從而帶來(lái)良好的經(jīng)濟(jì)績(jī)效；差的政策制度，則會(huì)產(chǎn)生相反的結(jié)果。因此，企業(yè)在進(jìn)行會(huì)計(jì)信息安全方面的制度安排時(shí)，需要依據(jù)會(huì)計(jì)信息安全的目標(biāo)，設(shè)計(jì)出良好的管控制度，做到能有效地協(xié)調(diào)和激勵(lì)符合企業(yè)會(huì)計(jì)信息安全的行為，并能夠約束和懲罰不符合企業(yè)會(huì)計(jì)信息安全的行為，進(jìn)而為企業(yè)帶來(lái)良好的會(huì)計(jì)信息安全管控效果。需要關(guān)注的是，制度安排的效果，還要與其實(shí)施的環(huán)境密切關(guān)聯(lián)。因?yàn)橹贫葘?shí)施的環(huán)境發(fā)生了變化，就有可能使得原先實(shí)施效果很好的制度不再那么有效，甚至失效。

二、企業(yè)會(huì)計(jì)信息安全的主要風(fēng)險(xiǎn)問(wèn)題

通過(guò)上文的分析可知，企業(yè)會(huì)計(jì)信息安全受到?jīng)_擊和挑戰(zhàn)的原因很多，具體表現(xiàn)出來(lái)的風(fēng)險(xiǎn)問(wèn)題也是多樣的。但是，具體到企業(yè)管理實(shí)踐中，會(huì)計(jì)信息安全的風(fēng)險(xiǎn)問(wèn)題基本上集中于員工的會(huì)計(jì)信息安全認(rèn)知、會(huì)計(jì)信息處理系統(tǒng)、風(fēng)險(xiǎn)評(píng)估與監(jiān)控反饋的認(rèn)識(shí)以及對(duì)會(huì)計(jì)信息安全管控制度的執(zhí)行等幾個(gè)方面。

（一）員工的會(huì)計(jì)信息安全認(rèn)知不足?；诮M織環(huán)境方面的會(huì)計(jì)信息安全風(fēng)險(xiǎn)問(wèn)題多源于企業(yè)的員工對(duì)會(huì)計(jì)信息安全認(rèn)知的不足。其原因在于，與安全有關(guān)的問(wèn)題都離不開(kāi)“人”這個(gè)主體因素。一方面，許多企業(yè)管理者的會(huì)計(jì)信息安全意識(shí)、安全知識(shí)和安全管理等方面存在不足。譬如，在確定企業(yè)會(huì)計(jì)信息安全管控方案時(shí)沒(méi)有對(duì)企業(yè)進(jìn)行全面的自我診斷，僅是對(duì)企業(yè)的基本狀況做了一個(gè)大概了解，就直接在企業(yè)內(nèi)部實(shí)施現(xiàn)有的標(biāo)準(zhǔn)或者其他企業(yè)或組織的成功方案。由于企業(yè)既沒(méi)有充分挖掘會(huì)計(jì)信息安全現(xiàn)狀和對(duì)會(huì)計(jì)信息安全的內(nèi)在需求，也沒(méi)有全面考慮利益相關(guān)者的利益安全需求，必然會(huì)導(dǎo)致企業(yè)對(duì)會(huì)計(jì)信息安全的實(shí)際需求與其能提供的安全管控之間存在差距。更有甚者，企業(yè)管理者對(duì)會(huì)計(jì)信息安全的支持和重視不足，導(dǎo)致企業(yè)內(nèi)部會(huì)計(jì)信息安全文化缺失和普通員工會(huì)計(jì)信息安全意識(shí)淡薄。另一方面，企業(yè)信息化的發(fā)展，使得越來(lái)越多的非財(cái)會(huì)相關(guān)崗位的普通員工也被包含到企業(yè)會(huì)計(jì)信息安全體系之中。這些員工，甚至一些財(cái)會(huì)崗位的員工，要么不完全理解會(huì)計(jì)信息安全的重要性，要么過(guò)度信賴企業(yè)會(huì)計(jì)信息安全管控方案，而不愿意把自己的精力和資源放在會(huì)計(jì)信息安全防護(hù)上，或者從根本上就認(rèn)為即便對(duì)會(huì)計(jì)信息不采取安全防護(hù)措施也不一定會(huì)造成損失。當(dāng)然，也存在一些員工由于缺少必要的會(huì)計(jì)信息安全教育和培訓(xùn)，根本不知道自己不遵守和執(zhí)行相關(guān)的會(huì)計(jì)信息安全管控方案會(huì)對(duì)企業(yè)帶來(lái)怎樣的不利影響。

（二）會(huì)計(jì)信息處理系統(tǒng)安全技術(shù)滯后。企業(yè)會(huì)計(jì)信息安全需求是隨著企業(yè)的生產(chǎn)經(jīng)營(yíng)活動(dòng)和企業(yè)所處的內(nèi)外部環(huán)境的變化而變化的。但是，很多企業(yè)并沒(méi)有意識(shí)到企業(yè)會(huì)計(jì)信息安全需求的動(dòng)態(tài)變化規(guī)律，對(duì)會(huì)計(jì)信息安全管控方案依然秉承“投資一次，受用終身”的觀念，抱陳守舊。這種投資觀直接導(dǎo)致企業(yè)會(huì)計(jì)信息處理系統(tǒng)安全技術(shù)跟不上企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)和企業(yè)所處的內(nèi)外部環(huán)境的變化。具體體現(xiàn)在企業(yè)使用的會(huì)計(jì)信息處理軟件本身設(shè)計(jì)存在缺陷或技術(shù)漏洞得不到及時(shí)的完善以及殺毒軟件、防火墻等相關(guān)支持軟件不能得到及時(shí)更新；沒(méi)有隨著企業(yè)業(yè)務(wù)和環(huán)境的變化更新會(huì)計(jì)信息處理系統(tǒng)導(dǎo)致業(yè)務(wù)流程描述錯(cuò)誤或漏洞、數(shù)據(jù)訪問(wèn)權(quán)限設(shè)置不當(dāng)、關(guān)鍵數(shù)據(jù)備份不足等問(wèn)題；以及系統(tǒng)主機(jī)、網(wǎng)絡(luò)線路、終端電腦、附設(shè)周邊、物化防護(hù)等老化損毀等。

（三）會(huì)計(jì)信息安全風(fēng)險(xiǎn)意識(shí)薄弱與風(fēng)險(xiǎn)評(píng)估體系缺失。當(dāng)前，不少企業(yè)員工，包括部分企業(yè)管理者，其會(huì)計(jì)信息安全風(fēng)險(xiǎn)意識(shí)淡薄，認(rèn)識(shí)不到企業(yè)會(huì)計(jì)信息安全風(fēng)險(xiǎn)的客觀性。實(shí)際上，企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)中，風(fēng)險(xiǎn)是客觀存在的，它是無(wú)處不在的，也是無(wú)時(shí)不在的。通常狀況下，企業(yè)所面臨的會(huì)計(jì)信息安全風(fēng)險(xiǎn)，也與威脅企業(yè)實(shí)現(xiàn)其戰(zhàn)略目標(biāo)的相關(guān)事件密切相關(guān)。因此，企業(yè)會(huì)計(jì)信息安全風(fēng)險(xiǎn)的評(píng)估，要求企業(yè)所有員工能對(duì)貫穿于企業(yè)方方面面的會(huì)計(jì)信息安全風(fēng)險(xiǎn)有一個(gè)清晰的認(rèn)知。尤為突出的是，很多企業(yè)并沒(méi)有形成一套有效的會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估體系來(lái)對(duì)會(huì)計(jì)信息處理系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估體系可以確定各種會(huì)計(jì)信息采集、整理、處置、披露和使用等行為的邊界，明確什么行為是可以做的，什么行為是不可以做的。如果發(fā)現(xiàn)有越界的行為，能夠及時(shí)發(fā)現(xiàn)并對(duì)其進(jìn)行控制，進(jìn)而使得這些越界行為造成的損失降至最低。

（四）會(huì)計(jì)信息安全監(jiān)控反饋欠佳。一般來(lái)說(shuō)，企業(yè)會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制可以分為三個(gè)步驟。一是對(duì)實(shí)際會(huì)計(jì)信息安全的衡量與評(píng)估；二是將實(shí)際衡量與評(píng)估的結(jié)果與企業(yè)設(shè)定的或標(biāo)準(zhǔn)的安全目標(biāo)進(jìn)行比較；三是采取必要的管控行動(dòng)來(lái)糾正比較后得出的偏差與不足。顯然，會(huì)計(jì)信息安全監(jiān)控反饋過(guò)程是一個(gè)連續(xù)行動(dòng)的過(guò)程，其有效性歸根結(jié)蒂取決于以上的衡量、比較與糾偏三個(gè)步驟，其中任何一個(gè)步驟或者幾個(gè)步驟低效率或不作為就會(huì)影響企業(yè)會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制的有效性。但是，在現(xiàn)實(shí)的企業(yè)經(jīng)營(yíng)管理實(shí)際中，由于企業(yè)員工認(rèn)識(shí)不到會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制是一個(gè)衡量、比較與糾偏的連續(xù)行動(dòng)過(guò)程，而是過(guò)度強(qiáng)調(diào)這個(gè)監(jiān)控反饋機(jī)制中的某一個(gè)步驟或某幾個(gè)步驟，沒(méi)有從整個(gè)會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制的全局上考慮，導(dǎo)致企業(yè)會(huì)計(jì)信息安全監(jiān)控反饋機(jī)制運(yùn)行不暢，監(jiān)控反饋效果大打折扣，最終使該機(jī)制的有效性受到質(zhì)疑，動(dòng)搖該機(jī)制在企業(yè)會(huì)計(jì)信息安全管控體系中的地位。

（五）會(huì)計(jì)信息安全管控制度低效。會(huì)計(jì)信息化依然是個(gè)新生事物，企業(yè)對(duì)會(huì)計(jì)信息安全管控的認(rèn)知還處于初級(jí)階段，相關(guān)的制度建設(shè)尚不完善，有的還處于草創(chuàng)階段，導(dǎo)致企業(yè)日常會(huì)計(jì)事務(wù)的工作制度依然處于缺失狀態(tài)，會(huì)計(jì)信息處理系統(tǒng)的使用和維護(hù)行為缺乏合理的引導(dǎo)，會(huì)計(jì)信息處理設(shè)備的濫用和誤用、會(huì)計(jì)信息的不當(dāng)使用等現(xiàn)象時(shí)有發(fā)生，嚴(yán)重危害企業(yè)的會(huì)計(jì)信息安全。即便企業(yè)有相對(duì)健全的會(huì)計(jì)信息安全管控制度，若不能對(duì)相關(guān)執(zhí)行人進(jìn)行必要的激勵(lì)，也難以使相關(guān)制度得到有效執(zhí)行。其原因在于任何制度都是由人來(lái)執(zhí)行的，要保證制度的執(zhí)行效果，就必須對(duì)執(zhí)行人進(jìn)行激勵(lì)。激勵(lì)的目的就是當(dāng)個(gè)人的行為能促進(jìn)企業(yè)目標(biāo)的實(shí)現(xiàn)時(shí)，能得到企業(yè)提供給其相應(yīng)的價(jià)值回報(bào)，把企業(yè)員工的個(gè)人行為動(dòng)機(jī)與企業(yè)目標(biāo)的實(shí)現(xiàn)密切關(guān)聯(lián)起來(lái)。事實(shí)上，很多企業(yè)在信息安全管控制度的執(zhí)行過(guò)程中，并沒(méi)有設(shè)立相應(yīng)的激勵(lì)指標(biāo)來(lái)推動(dòng)企業(yè)員工為企業(yè)信息安全目標(biāo)的實(shí)現(xiàn)而工作。

三、企業(yè)會(huì)計(jì)信息安全的管控建議

針對(duì)以上風(fēng)險(xiǎn)問(wèn)題，企業(yè)應(yīng)該在影響會(huì)計(jì)信息安全因素的組織環(huán)境、信息處理、風(fēng)險(xiǎn)評(píng)估、監(jiān)控反饋、制度安排等方面強(qiáng)化作為。

（一）加強(qiáng)會(huì)計(jì)信息安全管控組織環(huán)境建設(shè)。一方面，要強(qiáng)化企業(yè)會(huì)計(jì)信息安全文化建設(shè)，在企業(yè)內(nèi)部形成全體員工共同遵循的會(huì)計(jì)信息安全的信念、價(jià)值、意識(shí)以及經(jīng)營(yíng)哲學(xué)等，以此為基礎(chǔ)設(shè)計(jì)相應(yīng)的企業(yè)會(huì)計(jì)信息安全管控制度，并提供理念支持。還可以在企業(yè)文化建設(shè)過(guò)程中，不斷強(qiáng)化企業(yè)會(huì)計(jì)信息安全的重要性和相關(guān)會(huì)計(jì)信息安全管制制度設(shè)計(jì)的員工參與度，以實(shí)現(xiàn)更加公平透明和執(zhí)行有效的企業(yè)會(huì)計(jì)信息安全管控文化。另一方面，要充分重視人的因素，加強(qiáng)企業(yè)員工的職業(yè)道德教育和業(yè)務(wù)素質(zhì)培養(yǎng)，提高全體員工的職業(yè)勝任能力，充分發(fā)揮每個(gè)員工在完善企業(yè)會(huì)計(jì)信息安全管控制度方面的主觀能動(dòng)性。企業(yè)還可以依據(jù)員工的工作性質(zhì)和職位安排，適宜安排企業(yè)會(huì)計(jì)信息安全教育與培訓(xùn)。對(duì)企業(yè)管理者，強(qiáng)化會(huì)計(jì)信息安全核心知識(shí)、技術(shù)手段、風(fēng)險(xiǎn)管理等方面的教育與培訓(xùn)；對(duì)企業(yè)普通員工，則結(jié)合其所在部門(mén)的業(yè)務(wù)特點(diǎn)加強(qiáng)會(huì)計(jì)信息安全技術(shù)手段、風(fēng)險(xiǎn)意識(shí)等方面的教育與培訓(xùn)。這樣，就可以在企業(yè)內(nèi)部營(yíng)造企業(yè)會(huì)計(jì)信息安全文化氛圍，最大程度地減少人為因素對(duì)企業(yè)會(huì)計(jì)信息安全的危害。

（二）適時(shí)更新會(huì)計(jì)信息處理系統(tǒng)安全技術(shù)。企業(yè)要遵循會(huì)計(jì)信息安全需求的動(dòng)態(tài)變化規(guī)律，對(duì)會(huì)計(jì)信息安全管控方案放棄“投資一次，受用終身”的觀念，適時(shí)更新會(huì)計(jì)信息系統(tǒng)處理安全技術(shù)，按照“適度防御”的原則，選擇合適的安全技術(shù)與產(chǎn)品，形成企業(yè)適用的安全技術(shù)防線。首先，適時(shí)更新會(huì)計(jì)信息處理的安全技術(shù)。在企業(yè)會(huì)計(jì)信息處理系統(tǒng)中提供包括用戶名、口令等在內(nèi)的多種身份驗(yàn)證機(jī)制，必要時(shí)還需嵌入支持雙因素認(rèn)證和具備登錄控制模塊，同時(shí)在會(huì)計(jì)信息處理的日常作業(yè)不受影響的情況下，控制相應(yīng)員工的訪問(wèn)權(quán)限，減少可能的越權(quán)操作，保障會(huì)計(jì)信息處理系統(tǒng)的安全。其次，適時(shí)更新會(huì)計(jì)數(shù)據(jù)的安全技術(shù)。企業(yè)應(yīng)通過(guò)適時(shí)更新加密等技術(shù)手段保護(hù)會(huì)計(jì)信息處理系統(tǒng)中數(shù)據(jù)的保密性和完整性，提高會(huì)計(jì)信息數(shù)據(jù)訪問(wèn)的抗依賴性。此外，還需加強(qiáng)相關(guān)會(huì)計(jì)信息數(shù)據(jù)的異地崩潰或者災(zāi)難恢復(fù)機(jī)制，通過(guò)實(shí)現(xiàn)本地會(huì)計(jì)信息數(shù)據(jù)能夠異地備份和復(fù)制，避免本地會(huì)計(jì)信息處理系統(tǒng)由于崩潰或者災(zāi)難等而導(dǎo)致會(huì)計(jì)信息數(shù)據(jù)遺失。再次，適時(shí)更新網(wǎng)絡(luò)安全技術(shù)。不但要適時(shí)更新系統(tǒng)掃描技術(shù)并對(duì)會(huì)計(jì)信息處理系統(tǒng)和操作系統(tǒng)層設(shè)備進(jìn)行智能化檢測(cè)，幫助企業(yè)網(wǎng)絡(luò)管理人員高效完成定期檢測(cè)和操作系統(tǒng)的漏洞修復(fù)，還要適時(shí)更新系統(tǒng)實(shí)時(shí)入侵探測(cè)技術(shù)來(lái)監(jiān)控主機(jī)系統(tǒng)事件，檢測(cè)可疑特征并給予響應(yīng)和處置。此外，還要適時(shí)更新在企業(yè)內(nèi)外部部署的網(wǎng)絡(luò)和信息安全設(shè)施，強(qiáng)化會(huì)計(jì)信息處理系統(tǒng)的物理實(shí)體管理，同時(shí)加強(qiáng)對(duì)漏洞掃描系統(tǒng)和入侵檢測(cè)系統(tǒng)的更新，以實(shí)現(xiàn)會(huì)計(jì)信息處理系統(tǒng)受到內(nèi)外部誤操作或各種攻擊時(shí)的實(shí)時(shí)保護(hù)。最后，適時(shí)完善物理設(shè)備的安全防護(hù)技術(shù)。不但要采取全面可靠的防火墻技術(shù)和防病毒系統(tǒng)，還要針對(duì)環(huán)境的物理災(zāi)害、人為蓄意破壞甚至自然災(zāi)害采取有效的物化防護(hù)技術(shù)，保障相關(guān)物理設(shè)備的安全。

（三）形成會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估體系。任何企業(yè)管理機(jī)制的構(gòu)建都是一個(gè)系統(tǒng)工程，能否構(gòu)建成功且在以后的運(yùn)行中有效，關(guān)鍵是相關(guān)風(fēng)險(xiǎn)的評(píng)估。正如管理大師德魯克所說(shuō)，沒(méi)有評(píng)估就沒(méi)有管理。同樣的道理，沒(méi)有評(píng)估就不可能實(shí)現(xiàn)管理機(jī)制的構(gòu)建與施行。對(duì)會(huì)計(jì)信息安全管制機(jī)制的構(gòu)建亦是如此。為此，企業(yè)為了構(gòu)建有效的會(huì)計(jì)信息安全管理機(jī)制，就需對(duì)可能的損害企業(yè)會(huì)計(jì)信息安全的風(fēng)險(xiǎn)進(jìn)行歸集與分類，形成會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估體系。具體做法，可以采用以下三步。第一步，構(gòu)建適應(yīng)企業(yè)經(jīng)營(yíng)實(shí)踐和企業(yè)會(huì)計(jì)信息安全要求的會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估目標(biāo)體系。既要根據(jù)會(huì)計(jì)信息的完整性、可用性、保密性和可靠性設(shè)置會(huì)計(jì)信息安全的一般目標(biāo)，又要根據(jù)會(huì)計(jì)信息安全管控環(huán)節(jié)設(shè)置具體目標(biāo)，譬如會(huì)計(jì)信息安全管控業(yè)務(wù)執(zhí)行的有效性、及時(shí)性、正確性等。第二步，按照會(huì)計(jì)信息處理的授權(quán)管理、崗位牽制、資源接觸等安全管控類型，分析并得出會(huì)計(jì)信息處理業(yè)務(wù)流程和各部門(mén)的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)和一般風(fēng)險(xiǎn)控制點(diǎn)。最后，根據(jù)上述風(fēng)險(xiǎn)控制點(diǎn)設(shè)置相應(yīng)的會(huì)計(jì)信息安全管控評(píng)估指標(biāo)，并對(duì)每個(gè)指標(biāo)進(jìn)行具體說(shuō)明，且給出這些指標(biāo)的評(píng)估方法和評(píng)分標(biāo)準(zhǔn)。

（四）推行企業(yè)全面信息安全監(jiān)控反饋機(jī)制。會(huì)計(jì)信息安全管控不應(yīng)該僅僅是涉及到會(huì)計(jì)信息這樣一個(gè)狹小的范疇，而應(yīng)該是一個(gè)綜合的概念，要把企業(yè)的經(jīng)營(yíng)環(huán)境、愿景理念、組織領(lǐng)導(dǎo)、戰(zhàn)略計(jì)劃等綜合起來(lái)考慮。既要認(rèn)識(shí)到現(xiàn)代企業(yè)中會(huì)計(jì)信息安全管控的重要性，也要能從會(huì)計(jì)信息安全的管控上升到企業(yè)信息安全管控，推行企業(yè)全面信息安全監(jiān)控反饋機(jī)制，實(shí)現(xiàn)企業(yè)全面信息安全管控，并使之成為企業(yè)的管理哲學(xué)。首先，要做到內(nèi)容方式的全面性。不僅要著眼于會(huì)計(jì)信息安全的管控，還要能從企業(yè)戰(zhàn)略的高度審視和評(píng)估會(huì)計(jì)信息安全管控，更要注重各種安全技術(shù)和方法的綜合使用，確保能實(shí)現(xiàn)從單純的會(huì)計(jì)信息安全管控向企業(yè)全面信息安全管控轉(zhuǎn)變。其次，要做到管控過(guò)程的全面性。要把會(huì)計(jì)信息安全管控作為核心貫穿到整個(gè)企業(yè)經(jīng)營(yíng)過(guò)程中，即從市場(chǎng)調(diào)查、產(chǎn)品開(kāi)發(fā)、生產(chǎn)銷售等環(huán)節(jié)延續(xù)到產(chǎn)品售后都要實(shí)行相應(yīng)的會(huì)計(jì)信息安全管控，確保會(huì)計(jì)信息從靜態(tài)安全管控向動(dòng)態(tài)安全管控轉(zhuǎn)變，進(jìn)而實(shí)現(xiàn)會(huì)計(jì)信息的保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)協(xié)調(diào)一致。最后，要做到管控人員的全面性。即要求包括企業(yè)高管、其他管理人員、工程技術(shù)人員和普通員工在內(nèi)的全體員工都要參與到全面信息安全管控中，各司其職，對(duì)會(huì)計(jì)信息安全負(fù)責(zé)。

（五）強(qiáng)化會(huì)計(jì)信息安全管控制度安排。強(qiáng)化企業(yè)會(huì)計(jì)信息安全管控制度建設(shè)，不外乎制度本身的完善和既有制度的有效執(zhí)行。會(huì)計(jì)信息安全管控制度的完善，就是建立一套完善的會(huì)計(jì)信息安全管控制度。這既是會(huì)計(jì)信息本身安全的基礎(chǔ)，也是會(huì)計(jì)信息安全管控的前提。完善的會(huì)計(jì)信息安全管控制度至少應(yīng)該包括會(huì)計(jì)信息處理系統(tǒng)的開(kāi)發(fā)或選購(gòu)、使用、維護(hù)和應(yīng)急制度，以及機(jī)房和終端等會(huì)計(jì)信息處理系統(tǒng)物理實(shí)體管理制度、會(huì)計(jì)信息數(shù)據(jù)的使用制度、會(huì)計(jì)信息數(shù)據(jù)備份制度、會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估制度、會(huì)計(jì)信息安全審計(jì)制度等，實(shí)現(xiàn)從會(huì)計(jì)信息數(shù)據(jù)采集整理到會(huì)計(jì)信息數(shù)據(jù)使用備份的會(huì)計(jì)信息處理全程制度無(wú)縫構(gòu)建，并隨著企業(yè)經(jīng)營(yíng)環(huán)境的變化適時(shí)更新和完善。而既有會(huì)計(jì)信息安全管控制度的有效執(zhí)行，則需充分重視企業(yè)員工績(jī)效考核制度。恰當(dāng)在企業(yè)員工的績(jī)效考核中納入企業(yè)會(huì)計(jì)信息安全評(píng)估的內(nèi)容，使其獲得報(bào)酬的變量和風(fēng)險(xiǎn)密切關(guān)聯(lián)于企業(yè)會(huì)計(jì)信息安全。這樣就可以保證企業(yè)員工在會(huì)計(jì)信息安全管控制度的執(zhí)行方面上，能夠基于企業(yè)的長(zhǎng)期利益，而不是其個(gè)人利益，進(jìn)而實(shí)現(xiàn)既有會(huì)計(jì)信息安全制度的有效執(zhí)行。

四、結(jié)束語(yǔ)

企業(yè)會(huì)計(jì)信息安全對(duì)企業(yè)生產(chǎn)經(jīng)營(yíng)活動(dòng)的可持續(xù)發(fā)展以及對(duì)市場(chǎng)經(jīng)濟(jì)的建立健全等方面的作用是不容置疑的。但是，也要看到我國(guó)關(guān)于企業(yè)會(huì)計(jì)信息安全乃至整個(gè)企業(yè)信息安全管控實(shí)踐和研究的起步較晚，與發(fā)達(dá)市場(chǎng)經(jīng)濟(jì)國(guó)家在初始條件和實(shí)踐能力方面還存在一定程度的差距。這是我國(guó)企業(yè)在進(jìn)行會(huì)計(jì)信息安全管控時(shí)所必須要考慮到的一個(gè)基本現(xiàn)實(shí)。因此，本文認(rèn)為企業(yè)會(huì)計(jì)信息化安全管控，既是一個(gè)不斷發(fā)現(xiàn)問(wèn)題和解決問(wèn)題的過(guò)程，也是一個(gè)不斷迎接挑戰(zhàn)和接受沖擊的過(guò)程。

參考文獻(xiàn)：

[1]張紅旗，王新昌，楊英杰等.信息安全管理[M].北京：人民郵電出版社，2007.

[2]胡英松.信息化會(huì)計(jì)信息安全問(wèn)題研究[J].哈爾濱商業(yè)大學(xué)學(xué)報(bào)（社會(huì)科學(xué)版），2009，（4）：83-85.

[3]ISO.ISO/IEC27002：2005[EB/OL].[2015-08-17].https：//www.iso.org/obp/ui/#iso：std：iso-iec：27002：ed-1：v1：en.

[4]NSTISSC.Trusted Computer System Evaluation Criteria[EB/OL].[2015-08-17].Available online，http：//csrc.nist.ov/publications/history/dod85.pdf

[5]梅雨.企業(yè)財(cái)務(wù)監(jiān)控問(wèn)題解析[J].中國(guó)管理信息化，2009，（9）：48-50.

[6]Schultz E.The Human Factor in Security[J].Computers and Security，2005，24（6）：425-426.

[7]朱麗明.簡(jiǎn)析信息化環(huán)境下影響會(huì)計(jì)信息安全的因素及應(yīng)對(duì)措施[J].新經(jīng)濟(jì)，2014，（5）：106-107.

[8]雷萬(wàn)云.信息安全保衛(wèi)戰(zhàn)：企業(yè)信息安全建設(shè)策略與實(shí)踐[M].北京：清華大學(xué)出版社，2013.