王铁 王成 孟祥成

【摘 要】 会计信息安全在ERP系统中非常重要。文章基于ERP环境分析会计信息的本质，建立了会计信息安全体系模型，即“1+1，智能大厦+安全大厦”，并对安全体系模型进行应用研究，通过此模型解决会计信息安全问题，为企业主管领导指明了会计信息安全的解决对策和思路。

【关键词】 会计信息安全； ERP； 智能大厦； 安全大厦

一、引言

随着社会信息化进程的不断加快，计算机技术和网络技术普遍应用于企业生产经营和管理实践中，对企业的管理模式、管理体系带来了巨大的改变。近十年来，ERP系统的发展尤其迅速，现在的ERP系统主要包括企业的财务管理、生产管理、采购管理、销售管理、库存管理、人力资源管理等，并且成熟的ERP系统可以与企业其他系统进行有效和必要的集成，ERP从最初的会计电算化发展到今天，其不断成熟与持续的扩展应用，在一定程度上代表了企业信息化水平和管理水平。

在企业信息化不断提高的同时，不能回避的就是系统安全问题。在ERP中，财务管理是核心，而会计信息则是财务管理的基础。国内学者在研究会计信息安全时，主要是从单方面来研究，如计算机硬件安全、软件安全、会计人员管理、规章制度等方面。这些研究取得了较好的效果，在企业里应用较好，但在ERP领域，由于会计信息系统与其他子系统紧密地结合在一起，仅从单方面研究是不够的，必须从全局和整体上研究，再到各个部门、各个子系统进行细化。本文主要研究在ERP环境下，企业如何保证会计信息的安全，采取何种有效的方法来规避会计信息存在的风险，为ERP的安全运行提供保障。

二、会计信息安全概述

（一）会计信息安全的基本概念

本文研究的会计信息安全，主要是指基于ERP环境下的安全，即企业单位的会计信息系统及其相应的硬件、软件资源受到系统性保护，在遇到偶然或者恶意事件时不会遭到破坏、信息不会外泄或者更改，系统能够可靠、有效地运行。会计信息安全是企业的根本，在商业竞争白热化的今天，企业必须要保证自身信息的安全。

（二）会计信息安全的本质

会计信息安全的本质就是数据的安全。信息处理是通过数据这个载体来实现的。数据是记录客观事物的性质、形态、数量特征的抽象符号，例如文字、数字、图形、曲线等。会计信息是由数据产生的，是对数据加工处理后得到的信息，是反映企业财务状况的基础，是企业决策的重要依据。

反映会计信息的数据，在ERP系统中有多种表现形式。主要如下：

1.基础数据。基础数据是指反映会计信息最基础的数据单元，以从银行取款为例，会计分录如下：

借：库存现金 100

贷：银行存款 100

在系统中，上述会计分录包含的基础数据的项目主要有会计科目编号、科目名称、金额、科目方向、日期、制单人、制单日期、审核人、审核日期等。

基础数据一般存于数据库中，存在形式为电子形式，基础数据是企业信息化管理的根本，也是安全保护的核心内容。

2.账表数据。账表是根据企业业务需要，基于基础数据生成的各种报表，如资产负债表、损益表、科目账、客户往来账、部门辅助账、个人往来账、供应商往来账等。账表数据存在形式主要有电子形式、普通文件形式（生成或导出的报表文件）、纸面形式（打印）等。

3.存档数据。根据会计工作的需要，有些历史数据或者往年数据需要存档，即为存档数据。存档数据存在形式主要有电子形式、文件形式等。

4.流动数据。ERP的运行必须依托于计算机网络，数据从客户端到服务器端，中间的传递要经过计算机网络，在计算机网络中传递的数据都属于流动数据。流动数据的存在形式是电子形式。

5.备份数据。为了防止信息系统受到意外破坏，一般要对数据库及其相关数据进行必要的备份，形成备份数据。数据备份可以以天、星期、月、年为单位完成，备份时间间隔越短，形成的数据量越大。备份数据的存在形式为电子形式、文件形式（在计算机中存储）、光盘（刻录）等。

（三）影响会计信息安全的因素

影响会计信息安全的因素较多，主要因素总结如表1所示。

三、会计信息安全风险分析

ERP系统的生命周期一般要经历选型与实施、应用与维护及切换等漫长的周期，在每个阶段，企业应用都会面临一些风险。笔者根据多年来从事ERP系统实施及维护的经验，基于会计信息安全角度分析其风险。

（一）ERP选型与实施

企业在ERP选型过程中，一般要与多家软件供应商进行接触，最后选择3至5家比较适合自身企业实际情况的软件供应商进行进一步的考察，同时软件供应商也会深入到企业进行调研，在此过程中，软件供应商一般会接触企业宏观的一些业务，具体的业务细节涉及较小，因此安全风险小。

在企业成功选型后，即进入ERP项目实施阶段，从目前软件市场来看，除非是企业自身研制的ERP系统，使用其他公司ERP产品时，都会涉及到实施。在实施过程中，软件厂商或者代理商的工作人员会深入到企业进行详细的业务调研，了解企业生产经营的流程、数据流动特点、业务逻辑规则等详细内容，为企业进行ERP实施。系统实施过程长短不一，一般小型企业系统实施在三至六个月即可完成，大型企业时间较长。在此过程中，由于制度的不健全、软件的不稳定、人员变更频繁等综合原因，会计信息风险较大，但由于企业的数据量不大，有些是演示数据或者是并行数据，对企业的影响较小。

（二）ERP应用

ERP系统在应用过程中，会计信息不安全的风险因素多，在上述信息风险范围之内的所有风险都可能会遇到，风险较大。一般存在的风险主要包括以下项目：会计信息被窃取；会计信息不一致；数据被非法篡改；数据丢失。

（三）ERP维护

ERP系统维护一般是指系统出现软件错误或者逻辑错误、模块修改、软件升级等，由软件公司出人负责对系统进行维护，使系统符合企业的实际需要。在现行的软件管理技术手段中，软件公司对ERP维护一般包括三种方式：电话或者电子邮件指导（由企业自身人员完成维护工作）、现场维护、远程维护等。在维护过程中，软件公司人员可以看到企业的数据，要严格控制风险，防止企业工作人员“趁火打劫”，对信息进行窃取或者破坏并将责任推给他人。

（四）ERP废除和新系统的建立

在企业正常运营情况下，如果目前使用的ERP系统不能满足企业发展的需要，企业会废除当前使用的ERP系统，更换新的系统，即系统切换。系统切换周期较长，一般会进行ERP系统的选型和实施工作，将有新人参与到系统切换工作中进行业务调研和业务梳理。由于对系统进行大规模的调整，风险较大。

四、安全体系的建立

企业在应用ERP系统时，必须保证系统的安全，前文分析了信息安全风险，由于影响的因素较多，因此需要建立一套完善的安全体系。企业的ERP系统与现代的高楼大厦十分相似，由底层向上依次为硬件系统、系统软件、应用软件等，在建设和维护ERP时，与建楼和对楼的维护相似，本文设计了“1+1”的会计信息安全模型，即“安全大厦+智能大厦”，模型如图1所示。

对模型的若干说明：

（一）内层

内层是ERP系统的核心部分，是核心架构模型，是ERP软件级别的安全模型，其中包括数据库管理系统和ERP应用软件及ERP系统运行过程中的各种数据和各类人员。在内层中，ERP系统本身会提供应用级别的安全控制体系，包括各类操作人员和各种数据的安全保护，使ERP系统能够正常运行，保证数据不丢失、不被破坏和数据的完整性等。

（二）安全防护层

安全防护层是企业为了保证信息系统安全运行采取的安全保护措施，是企业级别的安全模型，包括底层硬件平台、系统软件平台、数据库管理系统等。执行人员为企业的主管领导和网络管理人员。

（三）智能报警防护层

智能报警防护层是指当数据或者业务违反了预先设计的规则，由系统主动向企业管理人员发送预警信息，相关人员根据信息安全级别进行响应。智能报警防护层是智能级别的安全模型。

（四）信息安全监控

信息安全监控是指从企业信息系统运行整体情况出发，由企业网络管理人员和部门主管主动发现网络异常、数据异常等，并进行处理。信息安全监控是自主级别的安全模型。

（五）安全中心

安全中心是企业为了保证ERP系统安全运行建立的行政部门，一般与信息部门合并，共同行使职责。

五、模型应用

（一）“安全大厦”的建立

“安全大厦”的建立指ERP系统的实施阶段。在实施阶段，会计信息处于规划、整理和初始化状态，企业应用ERP中的模块越多，会计信息越复杂。在此阶段，会计信息安全主要指基础数据的安全，包括会计分录设置、客户资料、供应商资料、期初余额等。此过程涉及的人员主要包括ERP软件方实施人员、企业的会计或者账务主管、企业会计人员及相关模块的操作人员。安全模型图如图2所示。

在ERP系统实施开始时，一般要与软件公司签订《实施安全协议》，同时为了方便实施操作，软件公司经常采用远程管理的方式对企业数据进行维护，在开通远程操作时，应与软件公司签订《远程许可协议》，保证基础数据的安全。在企业内部，制定《规章制度》，规范人员操作，加强对数据的安全保护。

（二）“安全大厦”的维护

实施成功后，即进入“安全大厦”的维护阶段，这是企业日常运营及管理阶段，也是企业会计信息安全保护的主要阶段。会计信息安全主要在于“安全防护层”，包括硬件、软件、人员、法规等。在硬件和法规上，管理较简单，本文从软件和人员两方面进行分析。

从信息技术上讲，安全管理的人员为企业的网络管理人员，主要保护手段要通过第三方安全软件实现，如防火墙、杀毒软件，另外管理人员的经验也是必不可少的。维护阶段会计信息安全的子模型如图3所示。

（三）“智能大厦”的应用

“智能大厦”主要体现在整套系统的智能报警子系统上，即建立会“说话”的安全系统。智能报警需要建立报警规则，主要通过以下几方面实现：

1.应用软件报警。完备的ERP系统会提供关键数据报警功能，如会计人员越权使用系统、票据的金额过大或过小而超过许可范围等。

2.数据库报警。现代大型数据库一般提供警报功能，通过在后台管理进行详细设置报警规则，当某些敏感数据违反规则时，将报警信息发送给相关人员进行处理。

3.网络报警。网络报警一般通过路由器来实现，通过路由器可以监控企业网络流量、非法修改网络参数、网络运行异常状况等。

报警信息一般可以通过手机短信、电子邮件或者其他媒介来接收，保证报警信息的有效性，以提高会计信息安全。

（四）“安全大厦”的转移

在我国，由于ERP应用时间较短，极少企业涉及“安全大厦”转移。“安全大厦”转移即系统切换。在ERP系统进行切换时，对原始电子数据有两种处理方法，一种是完整的备份，待将来业务需要时进行查询；另外一种是将数据直接转移到新系统中，销毁旧系统，今后所有的历史数据查询都在新系统中实现。一般说来，当数据量较小时，使用后一种方法处理较为合适，但如果数据量大时，使用备份的方法较为可行。

六、结束语

在ERP环境下，企业会计信息安全更为重要，本文基于ERP的生命周期，设计了会计信息安全的“1+1”模型，即“安全大厦+智能大厦”模型，并对模型进行了应用研究，以期对企业领导管理企业、维护信息系统安全起到关键作用。

【主要参考文献】

［1］ 林茂.ERP软件财务会计系统安全风险防范［J］.财会月刊，2010（12）：60-61.

［2］ 吴占坤.基于网络环境的会计信息系统安全体系建设研究［J］.财会通讯，2009（9）：119-120.

［3］ 何日胜.论信息环境下企业会计信息安全体系［J］.会计之友，2011（7）：124-125.

［4］ 罗红.网络会计信息系统安全问题研究［J］.财会通讯，2011（7）：33-35.