发布时间:2022-07-23 11:14:44
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了1篇的浅谈金融会计信息系统样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
摘要:近年来,随着网络信息全球化的不断创新和发展,我国金融会计网络信息化服务体系也已建成,与此同时,由于金融业对网络信息及技术的依赖程度加大,种种原因造成金融会计信息系统安全保障难度也在持续加大,给我国金融信息系统安全工作带来了新的更大的挑战,主要表现为网络侵权问题屡见不鲜,出现了网上盗窃、诈骗、知识产权侵权、抢注域名等现象;尤其是金融会计信息系统一旦受到侵害,往往会造成经济上的巨大损失。所以,构建金融会计信息系统安全体系势在必行。本文将围绕该问题展开讨论。
关键词:网络 金融 会计 安全体系 构建
电脑网络信息的高速发展,为各行各业工作效率的提高提供了巨大的方便,在某种程度上甚至可以说,不少行业和部门离开网络信息系统就无法开展工作。但网络侵权问题也随之而来,而受害最深的单位莫过于金融会计等行业,其一旦受到侵权,往往就会造成巨大的经济损失。如何建立起金融会计信息网络系统安全体系,已成为一个急需解决的重大问题。多年以来,人们往往依靠加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等来保障信息系统的安全。但实践证明,只有这些还是不够的,还有不少多变的复杂的安全威胁和安全隐患让你防不胜防。据统计,我国公安机关自2000年至2009年,共破获利用网络犯罪案件16700余起,缉捕犯罪嫌疑人19300余人,涉案总价值近95亿元。有统计报告称,将受侵权案件进行归类,发现属于管理方面的原因比重高达60%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免的。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证。在提高安全管理技术手段的同时,还要从制度和管理机制上提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。加强金融信息系统的内部安全管理措施,层层建立起组织管理系统,制定和完善内控的各项规章制度,不断改进和加强程序的操作与管理技术,是做好金融会计信息系统安全管理的根本。
一、金融会计网络信息系统面临的挑战
目前,网络信息和技术的广泛使用,给金融会计网络信息系统带来了多方面的风险和隐患,金融会计网络信息系统正面临十分严峻的形势和挑战。
(一)金融行业的管理落后于金融网络系统发展的需求
目前,我国金融业的网络信息安全管理工作还存有不少漏洞,从领导决策、内部安全制度管理到网络技术的安全管理,都还需要直一步加强。曾有金融界专家根据我国金融网络信息安全管理不佳的现状指出:“信息资产风险监管是金融监管体系的核心理念。”这里说的信息风险资产是指在网络信息化进程中,信息资产的设计、规划、服务、运用、监管以及操作等过程中产生的业务风险。从目前我国整体形势来看,金融会计系统的安全管理制度都已比较完善,但从上级机构对下级机构的监管和指导上还处于一个较低级的阶段。因为往往缺乏完整的认识,缺乏统一的监管目标,缺乏上下级之间监管的运作机制,从而造成上下级监管不到位,就不同程度地消弱了网络信息安全管理的实际效果。
(二)核心设备和技术依赖国外,造成安全隐患
目前,我国的网络信息系统所使用的操作系统、芯片、数据库等大多数还是由外国生产和提供,其中有些人为设置的软件陷井和系统漏洞,往往就会使我们防不胜防。有人在调查中发现,外国人生产设计的操作系统和数据库及一些重要网络系统中使用的信息技术产品等,都不可避免地存在着一些安全上的漏洞。这些漏洞其中有的是疏忽造成的,但也有的是有意设置的。在网络运行中,这些安全上的漏洞就有可能被人利用实施入侵,被人破坏设备程序或从中窃取机密信息和数据,实施经济犯罪。
(三)境内外网络违法犯罪活动呈快速发展趋势,金融会计网络信息系统安全将面临严峻的网络技术挑战
金融会计网络信息系统和其它重要信息系统正成为国内外不法分子进行攻击和破坏的重点目标,他们都是利用自己高尖端的网络信息系统技术进行犯罪活动,只要我们一时的疏忽和松懈,就会让坏人有机可乘,给国家和集体的财产造成很大的损失。目前,从全国的形势来看,不法份子正在利用其所拥有的高科技,在整个金融界无孔不入地从事破坏活动,已有不少金融会计信息系统受到他们的攻击,并给我们的金融业造成了巨大的危害,所以说,我国目前金融会计网络信息安全的形势十分严峻。2009年国防科技大学的一项研究表明,我国与互联网相连的网络管理中心95%都遭到过境内外黑客的攻击和侵入,其中以银行、金融和证券机构为其攻击的重点。
二、应对措施
(一)加强金融网络信息系统安全管理的行业监管和制度建设
目前,随着我国社会经济的快速发展,网络信息安全工作也已受到国家有关部门的高度重视。尤其是近几年以来,党和政府开始把金融信息系统安全工作提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,同时,各级政府还专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系,为金融会计系统网络信息的安全管理打下了一个良好的基础。具体到一个行业和部门就更应自己对加强信息系统安全管理重大意义的认识,在国家高度重视并建立防护机构的基础上,建立起自己的信息安全管理组织,联系本行业、本部门的工作实际,科学认真地制定出确保金融信息系统的安全管理措施。管理措施主要应包括领导责任、安全管理人员的职责划定以及工作人员技术管理、操作程序上的具体要求和防护策略。同时应要求将各种安全策略规范化和实用化,加强其可操作性,以保证安全管理人员在工作中具有明确的依据或参照,并便其形成一种人人都严格实施的工作制度。
为了进一步从根本上强化金融网络信息系统的安全管理,还应建立起跨部门的金融行业安全协调机制以及关键时期的安保工作机制,加强信息安全的检测和准入制度,层层建立起信息资产风险评估体系,切实提高信息系统安全管理水平,保证金融业的长期稳定和发展。上层金融机构要切实加强对下属中、小金融机构的监管,并加强具体指导和提供各项服务。加强对下属金融机构的业务、技术培训,提高其安全防范意识和防范技能,帮助中小金融机构规避各种风险,实现持续发展。各金融系统还应自上而下地成立行业网络信息安全领导小组,并随之建立起一系列的信息安全的报告制度、通报制度和联席会议制度,真正建立健全运转灵活的、反应灵敏的信息安全应急协调机制,及时消除隐患,快速有效地应对各类突发事件,从根本上降低和消除各类重大事故的发生,保障金融业健康有序的发展。
(二)强化网络信息的安全机制建设
在网络信息机构、制度建设的基础上,必须加强行业、部门内部的安全机制建设。这就是说,机构和制度的建立固然重要,但更为重要的是机构和制度的运作是否能够形成一个科学有效的内部管理机制,没有形成一个科学有效的管理机制,机构和制度都将形同虚设。安全机制建设的内容应包括:一是层层建立岗位安全责任制,在防患于未然的前提下,一旦发生问题,责任十分明确,谁也无法推诿,以此增强每一个领导者和每一个工作人员的责任意识;二是可进行安全区域划分,重点加强重要地区和部位的防御力量。从人力到有针对性的安全设备部署和设置,都要向重要部位实施强化,以改进和加强对重要区域的分割防护;三是增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,发现问题及时向主管领导报告或立即报警,力争将隐患和问题消灭在萌芽状态,以此来保证和提高自身的动态防御能力;四是完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。五是要强化“突发”与“应急”意识。由于灾害事件的不确定性,应急管理与保障工作必须建立在高强度的实战性基础上,使灾难应急管理真正适应“应急”的要求。六是要扩大应急预案本身的覆盖范围。应通过建立健全信息安全制度、定期组织信息安全非现场和现场检查等方式,促进金融部门做好系统加固工作,充分利用各种安全产品强化网络安全防范,加强移动存储介质管理,做好安全日志分析、预警和监测工作,防止植入木马导致信息泄漏和来自内部的安全威胁。
(三)组建网络信息安全专业组织
因金融会计网络系统安全问题事关重大,在已解决上述有关问题的前提下,组建起一支精干而专业的网络信息安全的专业组织是大有必要的。专业安全保障人员应专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑等方面的工作。在此基础上,要根据可能发生的安全问题,制定出关键设施或部位的应急预案,让每一个人都牢记在心,防患于未然;同时还要对专业安全人员进行有目的的业务和技能培训,让其真正具备应急预案中所规定的专业安全保卫人员的思想素质和各项防范技能,随时准备应对可能发生的突出事件。如上所述,多管齐下,多渠道实施综合防范,真正建立起网络信息系统的安全保障体系,实现对金融机构信息安全风险的及时、动态、全面、连续的监管,同时促进各家金融机构完善内控机制,保障运行安全。现代金融业高度依赖信息技术,所以我们就必须充分认识到金融业信息安全对整体业务和金融体系,乃至体系的影响,牢固树立风险防范意识,把不断提高信息科技能力作为风险管理的重要手段。
(四)积极应对挑战,建成安全防范体系
随着计算机网络信息运用的日益普及,网络系统侵权问题越来越引起人们的高度重视,并已经开始为此问题开展有益的广泛的探讨。在法制日益加强和完善的今天,国家应继续加强对这一事关国计民生的重大问题的立法,比如,在适当的时机,由全国人大出台“反网络侵权法”,筹划出台“信息网络传播保护条例”,以形成全国反网络侵权的合力。尽管现在用于网络安全的产品有很多,比如有防火墙、杀毒软件、入侵检测系统,但是仍然有很多黑客的非法入侵。根本原因是网络自身的安全隐患无法根除,这就使得黑客进行入侵有机可乘。虽然如此,安全防护仍然必须是慎之又慎,提高防范意识,优化操作技术,加强技术管理,尽最大可能降低黑客入侵的可能,从而保护我们的网络信息安全。金融会计网络系统安全问题是一个系统工程,实践证明单方面的努力住住效果不太显著,它需要领导阶层、具体管理阶层、网络技术操作阶层所有人的协调和配合才能收到理想的效果。要自始至终强化安全防范意识,采取全面、可行的安全防护措施,把安全风险降低到最小程度。金融业信息安全事关经济金融的稳定大局,责任重大,金融业要未雨绸缪,认真贯彻落实国家信息安全的工作要求,加快建立完备的安全防护体系,积极应对挑战。金融会计系统要以科学发展观统领金融业信息化建设全局,充分发挥科技在履行职能中的支持、保障、指导、协调作用,全面推进金融业信息化建设,为促进我国经济平稳运行发挥重要作用。
摘要:随着金融会计信息系统进入网络化时代,由于黑客病毒等因素造成各类电子信息文件篡改,严重地破坏银行会计信息系统,对金融会计信息造成安全隐患,因此构建金融会计信息系统安全体系就显得非常必要。本文从网络金融会计信息系统的含义出发,分析对网络条件下金融会计信息系统存在的主要安全隐患,提出如何建立全方位网络金融会计信息系统安全体系的框架。
关键词: 会计信息系统;系统安全体系;金融会计
一、网络金融会计信息系统的含义
网络金融会计信息系统是指建立在网络环境基础上的会计信息系统网络环境,包括两部分:一是金融企业内部网络环境,即内网,通过组建金融企业内部网络结构实现内部各部门之间的信息交流和共享;二是国际网络环境,即通过互联网使金融企业同外部进行信息交流与共享,基于互联网的会计信息系统,也可以说是基于内联网的会计信息系统,即金融企业的内联网和互联网连接,为金融企业内各部门之间,金融企业与客户、税务、审计等部门之间建立开放、分布、实时的双向多媒体信息交流环境创造了条件,也使金融企业会计与业务一体化处理和实时监管成为现实,原来封闭的局域网会计信息系统被推上开放的互联网世界后,一方面给金融企业带来了前所未有的会计与业务一体化处理和实时监管的优越性,另一方面由于互联网系统的分布式、开放性等特点,其与原有集中封闭的会计信息系统比较,系统在安全上的问题也更加突出,互联网会计信息系统的风险性更大。
二、当前网络金融会计信息系统存在安全隐患
(一)金融会计信息安全组织管理体系不完善
目前,金融企业尚未建立起一套完整的计算机安全管理组织体系,金融会计信息系统的建设在安全设计方面缺乏总体考虑和统一规划部署,各系统根据自己的理解进行规划建设,技术要求不规范,技术标准各异,技术体制混乱。国家标准制定严重滞后,法律法规不能满足金融会计信息系统的安全需求,现行计算机安全法律法规不能为金融会计信息系统安全管理提供完整配套的法律依据,在一定程度上存在法律漏洞、死角和非一致性。
(二)网络金融会计信息数据不安全
网络金融会计数据是记录在各种单、证、账、表原始记录或初步加工后的会计资料,它反映企业的经营情况和经营成果,对外具有较高的保密性,连接互连网后,会计数据能迅速传播,其安全性降低,风险因素大大增加,网络金融会计的信息工作平台是互联网,在其运作过程中,正确性、有效性会受到技术障碍的限制和网络与应用软件接口的限制,如网络软件选配不合适,网络操作系统和应用软件没有及时升级,或安全配置参数不规则,网络线路故障导致工作站瘫痪、操作失误等,系统间数据的大量流动还可能使金融企业机密数据无形中向外开放,数据通过线路传输,某个环节出现微小的干扰或差错,都会导致严重的后果,互连网结构的会计信息系统,由于其分布式、开放性、远程实时处理的特点,系统的一致性、可控性降低,一旦出现故障,影响面更广,数据在国际线路上传输,数据的一致性保障更难,系统恢复处理的成本更高。
(三) 网络金融信息泄露导致金融会计信息失真
在信息技术高速发展的今天,信息己经成为金融企业的一项重要资本,甚至决定了金融企业在激烈的市场竞争中的成败。而金融会计信息的真实、完整、准确是对金融会计信息处理的基本要求。由于金融会计信息是金融企业生产经营活动的综合、全面的反映。金融会计信息的质量不仅仅关系到金融会计信息系统,还影响到金融企业管理的其他系统,目前利用高技术手段窃取金融企业机密是当今计算机犯罪的主要目的之一,也是构成金融会计信息系统安全风险的重要形式。其主要原因:一是电信网络本身安全级别低,设备可控性差,且多采用开放式操作系统,很难抵御黑客攻击;二是由于电信网络不负责对金融企业应用系统提供安全访问控制,通信系统己成为信息安全的严重漏洞,但许多金融企业对此未加以足够重视而采取有效的防护措施。由于这些原因导致了金融会计信息系统的安全受到侵害,造成了信息的泄露,使金融会计信息失真。
(四)金融会计信息系统的存在安全威胁
目前金融企业计算机已广泛联网,这是金融企业扩大业务范围,实现信息共享的必然结果。由于网络分布广,不容易集中管理,许多系统又是在存在安全漏洞与威胁的环境下工作的,不法分子可以在网上任意地点攻击,使金融企业不知不觉中被偷盗资金或泄露机密。金融企业经营的资金,不法分子作案得逞就能弄到金钱,因此其已成为犯罪分子攻击的主要目标,且作案手段繁多,方法越来越高明。作案分子有以下三类: (1)内部人员作案。金融企业内部人员熟悉金融企业业务和金融企业会计软件的薄弱环节与漏洞,若禁不住金钱的诱惑,就会铤而走险,钻制度不严的空子,利用合法身份或明或暗或用高科技手段作案,侵吞国家资产或非法转移客户存款。( 2)外部攻击。外部攻击具有作案地点广泛、案情复杂且作案手段日趋技术化、智能化等特点,给金融企业及客户造成巨大损失,跟踪与破案难度很大。(3)内外勾结作案。犯罪分子利用金融企业管理上的漏洞与松懈,内外勾结,冲破重重关卡联合作案。此类攻击后果尤为严重,风险最大。
三、构建网络金融会计信息系统安全体系思路与方法
采用现代信息系统实用安全概念、安全防护、安全检测、安全反应是构成计算机安全管理的核心环节,各个环节形成循环密切相关。构建网络金融会计信息系统安全体系关键在以下几个方面把握:
1、完善网络金融会计信息系统技术法规、标准和制度体系建设
加快标准规范和制度体系基础工作步伐,统筹规划、结合国家和行业监管部门,重点加强电子支付及信息产品与服务的测评、准入、认证等相关技术法规与标准。密切结合金融企业信息化发展实际,借鉴国内外先进经验和做法,加紧建立和不断完善集中式数据中心运营规范和制度体系,加强网络金融会计信息安全的各项规章制度建设,逐步实现一个岗位一项制度,全面落实“让标准说话,按制度办事”的信息安全管理准则。
2、金融会计信息系统的物理安全的控制
建立金融会计信息物理安全控制,主要有三种关键技术:第一种是防火墙技术。防火墙是一组基于互联网和金融企业内联网之间的访问控制系统,它充当屏障作用,保护金融企业信息系统(内联网)免受来自互联网的攻击。防火墙由软件系统和硬件设备组合而成,它执行安全管理措施,记录所有可疑事件。防火墙产品主要包括过滤型和应用网关型两种类型。所有互联网与金融企业内联网之间的信息流都必须经过防火墙,通过条件审查确定哪些内容允许外部访问,哪些外部服务可由内部人员访问。因此,防火墙以限制金融会计信息的自由流动为代价来实现网络访问的安全性。第二种是反病毒技术。在金融会计信息系统的运行与维护过程中,应高度重视计算机病毒的防范及相应的技术手段与措施。如采用基于服务器的网络杀毒软件进行实时监控、追踪病毒等等。第三种是备份技术。备份是防止网络环境下金融会计信息系统意外事故最基本、最有效的手段,它包括硬件备份、系统备份、会计软件系统备份和数据备份四个层次。
3、构建金融会计信息保密的安全体系
(1)建立用户分类安全控制体系。在金融企业内部,不同的信息使用者,由于他们的身份不同,以及他们对获取的会计信息要求也不同,因而有必要对这些用户进行分类,以保证不同身份的用户获取与其身份及要求相符的会计信息。对用户分类是通过对用户授予不同的数据管理权限来实现的,一般将权限分为三类即数据库登录权限、资源管理权限和数据库管理员权限等。只有获得了数据库登录权限的用户才能进入数据库管理系统,才有可能进行数据的查询,以获取自己所需的金融会计数据或金融会计信息,但其不能对数据进行修改。而拥有数据管理权限的用户除了拥有上述数据访问权限之外,还可拥有数据库的创建、索引及职责范围内的修改权限等。至于拥有数据库管理员权限的用户他将有数据库管理的一切权限,包括访问其他用户的数据,授予或收回其他用户的各种权限,完成数据的备份、装入与重组以及进行系统的审计等工作。但这类用户一般仅限于极少数的用户,其工作带有全局性和谨慎性,对于金融会计信息系统而言,会计主管就可能是一个数据库管理员。
(2)建立金融会计数据分类安全体系。虽然对用户进行了分类,但并不等于一定能保证用户都根据自己的职责范围访问相关金融会计数据,这是因为同一权限内的用户对数据的管理和使用的范围是不同的,如金融会计工作中的凭证录入员与凭证的审核人员,他们的职责范围就明显地限定了其对数据的使用权限。因此,数据库管理员就必须根据数据库管理系统所提供的数据分类功能,将各个作为可查询的金融会计数据逻辑归并起来,建立一个或多个视图,并赋予相应的名称,并把该视图的查询权限授予相应的用户,从而保证各个用户所访问的是自己职责范围内的会计数据。
(3)建立会计数据加密安全体系。普通的保密技术能够满足一般系统的应用要求,只是通过密码技术对信息加密,是安全的手段。信息加密的核心是密钥,密钥是用来对数据进行编码和解码的一种算法。根据密钥的不同,可将加密技术分为对称加密体制、非对称加密体制和不可逆加密体制三种。对一般数据库来说是较为有效的,但是对金融会计信息系统来说,仅靠普通的保密技术是难以确保金融会计数据安全的。为了防止其他用户对会计数据的非法窃取或篡改,为防止非法用户窃取机密信息和非授权用户越权操作数据,在系统的客户端和服务器之间传输的所有数据都进行双层加密。即第一层加密采用标准SSL协议,该协议能够有效地防破译、防篡改,是一种安全可靠的加密协议;第二层加密采用私有的加密协议,该协议不公开、不采用公算法并且有非常高的加密强度。两层加密确保了会计信息的传输安全,从而保证金融会计信息的安全性。
4、建立网络金融会计信息系统应急预案
制订应急预案的目的是为了确保金融企业正常的金融服务和金融秩序,提高金融企业应对突发事件的能力,在网络金融会计信息系统故障时,将系统中断时间、故障损失和社会影响降到最低,应急预案的核心是建立应急模式下的业务处理流程,详细阐述应急模式的操作步骤,建立相应的事后数据补录和稽核制度,网络金融会计信息系统安全应急预案规定:系统应用部门发现信息系统故障,应及时通知部门负责人;部门负责人应立即通知计算机中心;计算机中心应立即着手查明故障原因,预计系统修复时间,并通知相应部门负责人;若暂时不能修复(超过15分钟),应向安全领导小组报告,由金融企业领导确定是否启动紧急预案;紧急预案启动后,计算机中心应通知各相关部门,启动紧急预案中相关的应急措施;在故障消除后,计算机中心应立即通知各应用部门,并报告安全领导小组,请求结束应急预案的实施;事后计算机中心应将详细的故障原因和处理结果报有关领导。
建立健全网络金融会计信息安全检查机制,加大监督检查工作力度。依据业已确立的技术法规、标准与制度,定期开展信息安全检查工作,确保信息安全保障工作落到实处。建立责任通报制度,对检查中发现的违规行为,按规定处罚相关责任人,对检查中发现的安全问题和隐患,明确责任部门和责任人,限期整改。在开展合规性检查的同时,应综合运用检测工具,明确安全控制目标,加强深度的专项安全检查工作,保证检查工作的针对性、深入性和时效性。
总之,网络金融会计信息系统所面临的外部和内部侵害,使得我们必须采取切实可行的安全对策,以确保系统具有信息保密性、身份的确定性、不可否认性、不可篡改性、可验证性和可控制性。
(作者单位:福建省海洋技术学校)
摘要:金融会计信息系统的目标是:以节约整个金融企业内部的财务资源为出发点,以充分实现整个金融企业内部的、全面及时的管理以及金融企业与外部环境的无缝连接,从而使金融企业实现管理信息化。这就需要一个良好的、规范的经济环境与市场环境,需要金融企业内、外部各方面的支持。
关键词:金融会计信息系统;市场环境;财务资源;管理信息化
金融会计信息系统是以节约整个金融企业内部的财务资源为出发点,以充分实现整个金融企业内部的、全面及时的管理以及金融企业与外部环境的无缝连接为目标,从而使金融企业实现管理信息化的电算化系统。但是,要实施这样一个系统需要一个良好的、规范的经济环境与市场环境,需要金融企业内、外部各方面的支持。
一、营造良好的资金结算服务环境和物流管理服务环境
资金结算服务环境是金融会计信息处理电子单据的重要来源之一。企业与金融机构合作建立的结算账户托管制和清算汇划体系等服务能否实现方便快捷、安全畅通,是金融会计发展重要的环境制约。
物流管理服务环境是金融会计处理电子单据的另一个重要来源。网络金融会计要发展,就必须改善物流管理环境,对商品实行统一的标准化物流管理,包括入库、质检、出库等。
二、网络经济的崛起及电子商务的迅速发展与普及
网络经济作为建立在计算机网络基础上并由此产生的一切经济活动的总和。统计资料表明,网络经济作为一种有高技术含量的经济形态,有别于传统金融与房地产经济,尽管有时可能在账面上出现巨额亏损,却同时在为社会创造巨大的效益和财富。比如,1997-1998年,美国GDP增长了4%,但能源消耗几乎没有什么增长,这说明了信息技术和网络经济发展有助于节约能源。正因为如此,网络经济正处于规模效益递增时期,形成了资源、资金、人才向网络经济的转移,进而产生了使网络经济规模效益增长加速、再加速的效应。这便是网络时代的“梅特卡夫规律”――网络经济的收益与网络上的节点数的平方成正比。这就是说,当传统经济以匀速增长的时候,网络经济正在加速增长,其形成的规模效益远远超过传统经济。
网络经济是从以产品为中心到以客户为中心的服务经济,是端到端的、开放的、网络化的直接经济模式,它将导致市场与行业的重构。网络经济中将会有更多的网上企业、网际企业以及虚拟企业的出现,在网络经济下,电子商务将成为企业的基本运作模式。由于电子商务需要企业有基于网络的财务系统,即采用网络财务来经营管理,因此,电子商务的迅速普及必然推动网络会计信息系统的出现和发展。
三、企业管理的信息化
长期以来,由于技术水平的限制,财务上有一个一直困扰财政主管部门、会计和企业界的难题,即如何加强企业整体的内部会计控制和实现有效管理。特别对于那些子公司和下属机构多,并且子公司和下属机构从事多样化行业的集团企业来说,更是一个突出问题,所以迫切需要能解决诸如合并会计报表、分析财务状况等这些具有处理远程数据、分析存储数据功能的财务系统。此外,现代企业的管理,各部门之间、各种业务之间在分工上进一步细致的同时,相互之间的关联却是越来越紧密,运作也是更加精密,企业管理系统正向着对企业“人、财、物、时间、空间”各个方面综合的方向发展。而企业管理信息化建设往往将财务作为切入点,因为财务部门是金融企业的“心脏”,财务信息化程度完善了,才能带动其他部门顺利地实现信息化。但要实现网络化会计信息系统,就要求网络技术不能单独片面地针对于各个单一部门,即金融企业所选择的网络方案中财务系统能和其他各业务部门管理系统做到“无缝连接”,以实现金融企业财务、业务的一体化。这是金融企业选择网络方案的基本前提。网络金融会计的发展首先有赖于金融企业信息化程度的提高。
四、质量可靠、具有国际竞争实力的软件及软件商
财会软件是实施网络化会计信息系统的基本构件,也是实施的关键所在。因为作为网络化财会软件具有投资大、风险大的特点,一旦系统运行不畅,将使金融企业在经济上遭受损失;另外,网络化财务是通过网络对金融企业各部门、各环节进行全面细致的管理,将金融企业整合成一个密不可分的整体,如果软件质量性能不可靠或不稳定,将影响电子商务的正常运作,甚至会使整个金融企业运营陷入瘫痪,给金融企业带来巨大损失。考虑到软件产品更新换代迅速和可靠性的问题,软件维护工作是非常有必要的,这就对软件商的售后服务提出了较高的要求。
五、培养一批高素质的应用人才
新的环境对应用人才提出了新要求。首先,网络化会计信息的传递与处理均要通过对计算机的操作来完成,这就要求会计人员既是一名出色的计算机操作员,又是一名高水准的会计师并能熟练掌握各种会计软件的操作;此外,Internet上的公司多数是国际企业间的相互合作,涉及不同的语言、商务、会计处理方法和社会文化背景,这同样要求网络会计人员必须熟悉国际会计和商务惯例,并具有较为广博的国际社会文化背景知识。其次,网络化会计信息系统的实施需要管理人员具备更高的管理水平和技术水平,管理人员的素质决定了网络会计信息系统应用的质量和效率,为此,金融企业应培养自己的软件开发和维护力量,使应用系统更加适合本企业的实际情况,并使之更趋完善,也使企业可以在应用网络系统中不过分依赖软件商。网络会计人才是复合型人才,要求既懂会计又懂管理:既有原则性,又有创造性、灵活性;既熟悉会计电算化知识,又熟悉网络知识;既会会计业务操作,又能解决实际工作中存在的种种问题。而目前相当一部分会计人员的专业知识薄弱,文化程度偏低,视野偏窄,尚不能适应网络会计的发展要求。因此,会计人员的素质不高问题是网络会计发展中面临的最大困难。要适应未来发展的需要,银行必须加大复合型会计人才的培养力度,在信息时代,具有创新能力的复合型人才是保证银行在激烈的市场竞争中制胜的关键所在。
六、完善金融会计制度
从制度经济学角度来看,制度选择和制度变革的产生,依赖于整个社会各利益集团对于制度变迁的强大需求,也就是说,利益集团的制度需求是决定制度变迁的重要变量,在制度需求不足的情形下,制度主体就难以成功推行制度变迁。而金融机构对会计信息市场的改革就处于这种典型的“制度需求不足”状态中。由于监管机构、商业银行改革的制度需求明显不足,这就决定了金融会计信息市场的改革不可能采取“休克疗法”的模式,而只能采取渐进改革的方式,在市场结构和产权结构上逐步改善。
金融会计制度的制定模式的选择理应遵循交易费用最低原则。政府和市场行为在制定会计制度的权利安排上均有其优缺点。根据科斯的交易费用理论,某一种安排方式任何费用都最低的情况是不存在的,理想的安排方式是寻找政府与市场结合与协调的均衡点。中国目前的金融会计制度的制定模式是纯政府模式,是由政府直接颁布的,而不是从中国会计实践中推导而来,它是一种通过“逆向生成”的演绎法完成的纯政府制定模式。中国金融会计制度的制定模式必须朝着“以政府为导向,引入市场规则”的模式发展,之所以如此,不仅因为中国没有顺向生成的土壤,而且还在于如果随意作出制度性变迁和转移,其变迁和转移成本将是惊人的,所得出的金融会计制度将与经济运行背道而驰。政府模式有其固有的缺陷,不能成为理想的制定模式,目前存在的假账林立就是一个很好的明证。逐渐完善的市场机制,使引入的市场规则更有助于金融会计制度的完善,可防止金融会计制度因市场不完善而走样。我国金融会计制度的制定模式应以政府模式为基调,适当引入市场规则,使金融会计制度的博弈体现“公平、公开、公正”的游戏规则,使出台的金融会计制度逼近帕累托最优状态。
七、有效界定金融信息产权
金融信息产权,是利益相关者所共同接受的由金融信息的存在(供给和使用)引起的利益相关者彼此之间的行为准则。金融信息的产权界定和安排低成本地规定了利益相关者彼此发生利益关系尤其是利益冲突时必须遵守的和与金融信息有关的行为准则。金融信息产权的内涵正在于其作为金融企业产出的替代变量和分配规则共同发生作用,影响金融企业利益相关者对金融企业产出的分享结果和导致资源的不同配置结果。从金融信息的特征进行理解,金融信息产权不能够独立存在,它依附于金融企业的所有权和金融企业利益相关者对金融企业产出的产权,但是金融信息产权会与逻辑上的金融企业产出的产权发生背离。金融企业产出的分配是一个复杂的过程,当存在委托关系时,金融信息在这个过程中的作用至关重要。首先,分配的前提是必须存在一个总量,这是进行金融企业产出分配的基础。金融信息的存在至少可以反映可供分配的总量。其次,分配应该存在一种社会公认的规则。金融信息虽然并不直接体现分配的规则,但是毫无疑问,不同的金融信息揭示的内容将直接影响到最终的分配结果,因此可以认为其影响了分配的过程。金融信息作为金融企业产出的替代变量,必然存在着作为替代变量是否具有充分性的问题。对于金融信息及其意欲反映的关于金融产出的耦合度,出于效率的考虑,投资者并不追求完全的100%的耦合,而只追求进行决策所需的具有“充分含量”的会计信息。但金融信息的充分含量是一个动态的变迁过程,它取决于以下几项因素:投资者的决策模型;决策偏好;环境的不确定性程度和金融企业经济活动的复杂程度。尽管如此,若将满足投资者进行决策所需的金融信息的充分含量作为契约性部分,那么与金融企业产出100%耦合的金融信息含量和“充分含量”之间的部分就可以看作剩余(residual)部分。因此,金融信息产权的界定就可以表述为“在金融信息的契约部分和剩余部分之间找到一个均衡的过程”,不容忽视的是,由于交易费用的制约,金融信息产权并不旨在消除金融信息的剩余部分,尽管一些投资者对金融信息的需求具有“贪婪性”并希翼获取越来越多的金融信息。金融信息的契约性部分是否最佳?是否能够确保投资者的决策和利益?或者契约性部分和剩余部分的均衡是否具有稳定性?如果回答是否定的,如何恰当地进行调整,以使之向最佳逼近。这些问题的解决,都最终归因到金融信息产权问题。
八、建立信息披露监督与激励机制
在问题存在的情况下,为了避免问题,降低成本,除了对管理当局进行适当的监督外,应对管理当局进行恰当的激励,诱使管理当局的效用函数尽可能和委托方的效用函数趋于一致,降低管理当局以牺牲委托方利益为代价来追求个人私利的道德风险。从一般意义上讲,剩余索取权是委托方进行监督的动力源泉,而监督的效率如何,则取决于委托方对金融企业剩余控制权的拥有程度。即所谓:监督与剩余控制权相对应,监督的有效性取决于信息和激励(张维迎,1999,P.132),监督需要信息,而信息的搜寻、获取、消化、转化为知识都需要成本,并在某种情况下十分昂贵,但激励机制的存在可以促使管理当局披露信息。由此分析可以得出,金融信息位于“监督和激励”、“剩余控制权和剩余索取权”的中间环节(剩余控制权――监督――金融信息――激励――剩余索取权),金融信息应该是衡量剩余索取权和剩余控制权是否相匹配、监督和激励机制是否相容的一种机制,是现代企业治理结构的机制之一。
需要注意的是,监督与剩余控制权相对应,而激励与剩余索取权相对应。对管理当局的激励意味着管理当局分享了部分剩余索取权。之所以如此,是因为监督是需要权威(authority)的(coase, 1937),而监督的权威来自于剩余控制权(张维迎,1999,P.103),如果对管理当局进行激励,如允许管理当局对剩余索取权进行分享(sharing),即激励与剩余索取权相对应,管理当局在拥有剩余索取权后,遵循剩余索取权和剩余控制权对应的逻辑,管理当局同时也拥有剩余控制权。如此通过剩余索取权和剩余控制权相匹配以实现使管理当局和股东趋于一致的目的。
九、金融信息的完善以有效市场为依托
在市场经济环境下,资本市场是资源配置的一个重要场所。与资本市场相配套的还有一个经理劳务市场,或者称为职业经理市场。金融信息市场是资本市场、职业经理市场的信息媒介,所有这些市场的有效运作,离不开金融信息的信号传递功能。金融信息市场本身涉及的是金融企业管理当局与外部集团之间的信息交换,这种信息交换行为的背后实际上隐含着不同集团的利益冲突与矛盾,以及通过金融信息的交换最终达到妥协的过程。首先,金融企业为了生存与经营上的需要,必须从资本市场上获得营运资金,而金融信息传递金融企业管理经营效益、发展前景和预期投资报酬等信息。资本市场上的投资者通过这种信息和自己的风险承担态度来综合制定投资决策,通过市场机制使社会资源得以有效配置,没有金融信息的交换,投资者的决策行为必然是盲目的,资源配置也将是无序和混乱的。其次,金融企业管理当局为了体现自身的利益,包括既得工资和长远利益,必将努力提高金融企业的价值,这种利益趋向与投资者乃至于整个社会的目标是一致的。金融企业管理当局的利益是通过金融信息的市场交换而实现的,任何关于偷懒和欺诈的行为均可以从金融信息中得到反映,也可以从金融信息交换中得以监督和控制。
十、金融会计信息市场主体的塑造
从目前中国会计信息市场的发展情况来看,从金融会计信息市场的会计信息披露的历史溯源可以看出,现代银行所有者和经营者的两权分离,导致了委托关系的产生,由此又产生了会计的报告责任,从产权经济学的角度出发,这种报告责任实际上就是界定和保护产权。委托关系的存在和发展,促进了经理人才市场的产生,这使得经营者不得不重视所有者的利益,并努力尽职尽责,形成了金融机构自动披露会计信息的内在机制。同时,委托关系的出现使金融会计信息的提供者与使用者分离,造成了信息的非对称性,也使金融机构会计的报告责任拓展扩大为披露责任,即使金融机构在界定和保护产权的职能以外,还担负起为信息使用者提供相关决策信息的任务。“报告”与“披露”的区别在于前者是特定的群体,后者则是信息的一种公开,随着金融业务的不断发展与创新,使金融机构的投资人、债权人等相关主体不断增多,委托人的过分分散成为必然。根据有效市场理论,当金融会计信息披露的社会边际成本等于社会边际收益时,此时的金融会计信息披露将是最优的。但由于信息的非对称性,以及由此引起的外部性和搭便车、逆向选择和道德风险会导致市场失灵,因此金融会计信息披露要通过立法、会计准则制定等强制性措施来监督,即需要市场的监管。我国目前正处于市场经济发展阶段,金融会计信息市场主体意识尚未形成。在金融会计信息提供者方面,由于受“商业秘密”观念的影响,如果没有政府的干预,一般是不会对外提供金融会计信息的。但事实上,在现代市场经济中,市场竞争实际上是一种实力的竞争,与金融会计信息是否披露几乎没有直接的联系。在金融会计信息需求者方面,虽然绝大部分需求者了解金融会计信息的重要性,但在进行经济决策时还很少有愿意花费代价来取得外部金融会计信息的。因此,在塑造金融会计信息市场主体时,可以尝试设立金融会计信息中心,将金融会计信息的无偿提供改变为有偿提供,采用经济手段引导金融会计信息供应主体入市。
[摘要]随着金融会计信息系统进入网络化时代,由于黑客病毒等因素造成各类电子信息文件篡改,严重地破坏银行金融会计信息系统,对金融会计信息造成安全隐患,因此构建金融会计信息系统安全体系就显得非常必要。
[关键词]会计信息系统
系统安全体系 金融会计
网络金融会计信息系统是指建立在网络环境基础上的会计信息系统网络环境,包括两部分:一是金融企业内部网络环境,即内网,通过组建金融企业内部网络结构实现内部各部门之间的信息交流和共享;二是国际网络环境,即通过互联网使金融企业同外部进行信息交流与共享,基于互联网的会计信息系统,也可以说是基于内联网的会计信息系统,即金融企业的内联网和互联网连接,为金融企业内各部门之间,金融企业与客户、税务、审计等部门之间建立开放、分布、实时的双向多媒体信息交流环境创造了条件,也使金融企业会计与业务一体化处理和实时监管成为现实。
一、网络金融会计信息系统的安全风险主要表现
金融会计信息系统是一种特殊的信息系统,它除了一般信息系统的安全特征外,还具有自身的一些安全特点。金融会计信息系统的安全风险是指由于人为的或非人为的因素使金融会计信息系统保护安全的能力的减弱,从而产生系统的信息失真、失窃,使单位的财产遭受损失,系统的硬件、软件无法正常运行等结果发生的可能性。金融会计信息系统的安全风险主要表现在以下几个方面:
(一)金融会计信息的真实性、可靠性。开放性的网络金融会计环境下,存在信息失真的风险。尽管信息传递的无纸化可以有效避免一些由于人为原因而导致金融会计失真的现象,但仍不能排除电子凭证、电子账簿可能被随意修改而不留痕迹的行为。传统的依靠鉴章确保凭证有效性和明确经济责任的手段不复存在。由于缺乏有效的确认标识,信息接受方有理由怀疑所获取财务数据的真实性;同样,作为信息发送方,也有类似的担心,即传递的信息能否被接受方正确识别并下载。
(二)企业重要的数据泄密。在信息技术高速发展的今天,信息在企业的经营管理中变得尤为重要,它已经成为企业的一项重要资本,甚至决定了企业的激烈的市场竞争中的成败,企业的财务数据属重大商业机密,在网络传递过程中,有可能被竞争对手非法截取,导致造成不可估量的损失。因此,保证财务数据的安全亦不容忽视。
(三)金融会计信息是否被篡改。金融会计信息在网上传递过程中,随时可能被网络黑客或竞争对手非法截取并恶意篡改,同时,病毒也会影响信息的安全性和真实性,这些都是亟待解决的问题。
(四)网络系统的安全性。网络是一把双刃剑,它使企业在利用Internet网寻找潜在贸易伙伴、完成网上交易的同时,也将自己暴露于风险之中。这些风险来自于:①泄密。未授权人员非法侵入企业信息系统,窃取企业的商业机密,从而侵吞企业财产或出卖商业机密换取钱财。②恶意攻击。网络黑客的蓄意破坏或者病毒的感染,将可能使整个系统陷于瘫痪。
二、当前网络金融会计信息系统存在安全隐患
(一)金融会计信息安全组织管理体系不完善
目前,金融企业尚未建立起一套完整的计算机安全管理组织体系,金融会计信息系统的建设在安全设计方面缺乏总体考虑和统一规划部署,各系统根据自己的理解进行规划建设,技术要求不规范,技术标准各异,技术体制混乱。国家标准制定严重滞后,法律法规不能满足金融会计信息系统的安全需求,现行计算机安全法律法规不能为金融会计信息系统安全管理提供完整配套的法律依据,在一定程度上存在法律漏洞、死角和非一致性。
(二)网络金融会计信息数据不安全
网络金融会计数据是记录在各种单、证、账、表原始记录或初步加工后的会计资料,它反映企业的经营情况和经营成果,对外具有较高的保密性,连接互连网后,会计数据能迅速传播,其安全性降低,风险因素大大增加,网络金融会计的信息工作平台是互联网,在其运作过程中,正确性、有效性会受到技术障碍的限制和网络与应用软件接口的限制,如网络软件选配不合适,网络操作系统和应用软件没有及时升级,或安全配置参数不规则,网络线路故障导致工作站瘫痪、操作失误等,系统间数据的大量流动还可能使金融企业机密数据无形中向外开放,数据通过线路传输,某个环节出现微小的干扰或差错,都会导致严重的后果,互连网结构的会计信息系统,由于其分布式、开放性、远程实时处理的特点,系统的一致性、可控性降低,一旦出现故障,影响面更广,数据在国际线路上传输,数据的一致性保障更难,系统恢复处理的成本更高。
(三)网络金融信息泄露导致金融会计信息失真
在信息技术高速发展的今天,信息己经成为金融企业的一项重要资本,甚至决定了金融企业在激烈的市场竞争中的成败。而金融会计信息的真实、完整、准确是对金融会计信息处理的基本要求。由于金融会计信息是金融企业生产经营活动的综合、全面的反映。金融会计信息的质量不仅仅关系到金融会计信息系统,还影响到金融企业管理的其他系统,目前利用高技术手段窃取金融企业机密是当今计算机犯罪的主要目的之一,也是构成金融会计信息系统安全风险的重要形式。
(四)金融会计信息系统的存在安全威胁
目前金融企业计算机已广泛联网,这是金融企业扩大业务范围,实现信息共享的必然结果。由于网络分布广,不容易集中管理,许多系统又是在存在安全漏洞与威胁的环境下工作的,不法分子可以在网上任意地点攻击,使金融企业不知不觉中被偷盗资金或泄露机密。金融企业经营的资金,不法分子作案得逞就能弄到金钱,因此其已成为犯罪分子攻击的主要目标,且作案手段繁多,方法越来越高明。
三、解决金融会计信息系统安全问题的几点建议
为防范和解决金融会计信息系统工作中的安全问题,确保会计工作在信息系统条件下安全、高效地开展,笔者特建议如下:
(一)程序设计、开发阶段加强系统安全技术措施的运用。首先,要求业务部门谋划系统业务需求时,要充分考虑到诸多安全因素,对系统安全提出明确、具体的业务需求,一改过去重功能轻安全的做法;其次,在软件系统设计开发阶段,软件编辑人员应选用安全性能高的数据库、运用严密的编程语言开发软件,尽量减少程序上的安全“BUG”;再次,在硬件选型时,要尽量采用安全性能高、运行质量好的设备,减少硬件安全隐患;四是建议有关部门,尽快制定出金融系统软件开发规范和硬件选型标准,尤其明确安全规范。
(二)会计计算机系统应用阶段安全防范。
1 建议各银行对会计系统内计算机房建设情况进行一次安全大检查,对于不符合《中华人民共和国计算机房、站、场地安全要求》的责令立即进行整改。
2 各家银行有必要对自家先投入使用的会计计算机系统进行一次自我分析,目的是发现和解决系统设计、开发阶段遗留的安全隐患,并在此基础上对旧版本软件进行换版升级。
3 加强计算机安全教育,提高操作人员和管理人员的计算机安全意识。金融会计信息系统的安全防范措施最基本的还是人的
因素。因此,需要尽更大的努力去提高人们对计算机安全的认识,尤其对会计系统安全的认识,各级教育部门和业务管理部门在这方面应做更多的教育工作。
4 将金融会计网络安全作为今后研究和防范的重点。目前金融计算机网络已走进我们身边,无论是集中结算体系的运转、电子联行通汇还是新兴的银行卡清算系统、网上银行和其他网上会计服务项目的开通,都离不开网络,而金融会计信息系统安全也逐渐以网络的安全防范为重点,因为网络的安全直接关系到整个金融业的稳定,关系到国家和社会经济的安全。我们认为目前列入会计网络安全工作议事日程的就是尽快制定出金融会计系统网络建设规范,并逐级成立管理机构,负责网络工程项目的安全性能验收和负责日常网络安全工作,如定期的安全检查,提出安全管理建议和修改网络规范的建议等。在今年3月召开的“全国银行系统第一届安全信息交流会”上,人民银行聘请包括多名院士在内的计算机安全专家作为人民银行计算机安全顾问的做法,值得基层银行借鉴。
(三)加快金融会计信息系统的制度和法规建设,改变制度和法规滞后信息系统发展的现状。我们认为,有关管理部门首先应认真分析目前金融会计信息系统工作中存在诸多法规问题,要在征求有关计算机专家意见,并认真分析借鉴国外金融会计信息系统发展经验的基础上,对今后一定时期内可能出现的金融会计系统法规性问题做出预测,从而尽快制定出切实可行的金融会计计算机安全规范和有关法规。其次,我们今后在利用计算机开发新的会计业务种类时,采取“试点一规范一推广”的模式制定金融会计领域的计算机安全规章,这样可以最大限度地避免制度的滞后现象。事实证明此种做法是成功的,比如我国积极吸取欧洲等国外银行在IC卡业务发展的经验教训,在IC卡试用初期,就由人民银行牵头有组织地搞IC卡应用规范和IC卡机具规范,并推动联合发展,为我国IC卡业务的安全、规范发展起到了重要作用。再次,我们要善于根据我国金融会计信息系统发展的不同阶段状况,及时完善和修改已有的会计信息系统法规。
总之,网络金融会计信息系统所面临的外部和内部侵害,使得我们必须采取切实可行的安全对策,以确保系统具有信息保密性、身份的确定性、不可否认性、不可篡改性、可验证性和可控制性。