财务网络安全风险防范措施范例(3篇)
财务网络安全风险防范措施范文篇1
一、互联网金融理财行业现状
(一)互联网理财快速发展的原因
要了解互联网金融理财行业的现状,首先应要知晓互联网理财能快速发展的原因。第一,从互联网的本身特点来看,互联网的便捷性降低了理财品管理及运营成本,并快速地打通了资金链,互联网能快速聚合个人用户的零散资金,既提高了互联网理财运营商在商业谈判中的地位,也使得个人零散资金获得更高的收益回报。第二,从用户需求来看,互联网理财产品具有的低门槛、高收益和高流动性特点,贴合大众理财需求。一元起购,按天计算收益,部分产品还具有当天赎回模式,同时收益率高出银行活期储蓄收益数倍,拥有压倒性优势。
(二)互联网理财当下现状及优势
目前在行业中互联网理财主要有以下五大类型(1)集支付、收益、资金周转于一身的理财产品,例如余额宝。(2)与知名互联网公司合作的理财产品,例如百度百发,是百度理财与华夏基金强强联手诞生的互联网金融产品。(3)通过P2P平台交易的理财。(4)基金公司在自己的直销平台上推广的产品。(5)银行自己发行银行端现金管理工具,例如民生银行的如意宝。虽然种类繁多,但是他们的共同特点是具有网络理财优势:费率高、门槛低。网上理财足不出户,认购、申购、赎回、转换等一系列操作总共只需要几分钟时间。费率方面,网上购买理财产品可为投资者节省一笔不菲的费用。由于过去商业银行基本垄断了理财产品的销售渠道,收取较高的费用。同一款基金的销售,在银行购买基金的标准申购费率为1.5%,通过网上购买基金的申购费率为0.6%。除此之外,通过互联网渠道购买基金起点更低,周期更短。在银行购买短期理财产品的投资起点一般为5万元,这对于中小投资者而言仍是一个较高的门槛,网络理财产品将门槛放到更低,用一元钱的低价迎合了投资者的心理,吸引了数百万客户加盟;在周期上,以一个月、一周,甚至一天为周期的理财计划“崭露头角”,可以为愿意投资股票和债券的投资者提供极大的便利。在收益率上,包括余额宝在内的理财产品不仅能够提供高收益,同时支持网上购物、资金转账等多种功能。但是互联网理财存在便利条件的同时,相较于传统渠道的理财也存在不小的安全隐患及投资风险。
二、互联网金融理财安全问题
目前,我国互联网金融理财存在的问题主要包括以下几个方面:
(一)业务上的安全问题,包括违约、违法等法律安全问题。目前我国对互联网金融没有明确的法律界定,现有法律框架也缺乏可供借鉴的相关制度,一旦出现法律纠纷,交易双方的权利都难以得到有效保护。例如,央行曾明确提出“非法集资和非法吸收公众存款是互联网金融绝不能触碰的两条红线”。但是在《最高人民法院关于审理非法集资刑事案件具体应用法律若干问题的解释》第三条中提出“非法吸收或者变相吸收公众存款,主要用于正常的生产经营活动,能够及时清退所吸收资金,可以免予刑事处罚”。可见,现有法律对极易发生上述行为的P2P网贷平台仅限于事后案件监管,不能形成有效制裁。
(二)用户信息安全问题。互联网虽然信息透明度比较高,但同时带来了个人隐私泄露的隐患,用户的各种信息在信息主体不知情的情况下就已经被收集并作为一种默认的信息来源被使用。而一些互联网企业内控制度不健全,并不注重对客户信息安全的保护,现有法律也未明确互联网公司有保护客户身份信息和交易信息的责任,未对信息的合法合规流转和使用进行规范。这些保障措施的不健全使信息主体的合法权益得不到有效保护,信息被泄漏、盗用和滥用的风险隐患增加。
(三)网络本身存在的风险漏洞导致资金安全风险。互联网金融理财依靠于网络技术的发展,而网络平台相较于传统理财渠道具有较强的不稳定性,并且因为第三方支付平台的账号安全性要较银行账户低,被盗风险大,存在由网络安全问题造成资金损失的风险。例如即使像余额宝这种依托强大的阿里巴巴集团的产品,依然存在许多用户资金被盗案件。
(四)监管不到位引发的安全问题。互联网金融从事的是金融业务,在我国凡是从事金融业务都必具有金融业从业许可证,但目前仅有第三方支付机构由央行下发营业执照,91金融超市、易宝金融获得由金融监管部门共同核准的金融信息服务牌照;而其他大多数机构注册的是“网络信息服务公司”和“咨询类公司”,在工商局注册即可开展业务,准入门槛低。这种情况下很容易出现很多不规范的网贷平台,例如当下的P2P网贷平台运营过程中,没有监管部门要求其披露各项经营指标,平台的资金进出、项目结算、坏账率等数据,用户也无法便捷地实施查询投资进度和拥有的资产状况;经营者不负责对借款人身份真实性的核查义务,甚至有的平台出现集资后便跑路的现象,这些都加大了投资者的风险,以致造成安全问题。这些问题若不及时解决,相信随着互联网金融的快速发展,这些问题必将对这行业的可持续发展造成巨大的阻碍与灾难。
因此,为使我国互联网金融理财能够切实良好地发展,必须结合行业具体状况,提出切实可行的举措以完善促进互联网金融理财行业发展。
三、完善促进互联网金融理财的措施建议
针对我国当下互联网金融理财行业所存在的风险和安全问题,本文结合行业的具体情况并借鉴国外先进管理经验,认为以下措施能够有效帮助完善我国互联网金融理财行业的发展。
(一)针对业务上的违约、违法问题。国家应该加快完善相关法律法规的步伐。完善立法,促进互联网金融的合法化、规范化发展。从西方发达国家探索出的先进经验做法看,各国普遍重视将互联网金融纳入已有的法律框架下,并强调互联网平台必须严格遵守已有的各类法律法规。而目前我国现行的《商业银行法》、《证券法》、《保险法》均无法单独对互联网金融形成约束,建议国家立法机关应考虑与时俱进地修改上述法规以及《刑法》、《公司法》等法规中的部分法律条款,并出台有关司法解释,依法严厉打击互联网金融违法犯罪行为,为互联网金融创造宽松的法律环境。此外,在条件成熟的情况下,可适时研究出台针对互联网金融业务的新法规,以立法的形式进一步明确互联网金融中交易双方的权利和义务,为交易纠纷仲裁提供法律依据。
(二)针对用户信息安全问题。对于国家而言,虽然我国现行的《宪法》第三十八条、《刑法修正案(七)》、《侵权责任法》、《信息安全技术公共及商用服务信息系统个人信息保护指南》等法律法规有涉及个人信息安全保护,但是没有一部专门明确保护互联网个人信息的法律,所以政府应尽快出台相关法律,立法保护个人信息安全不仅彰显以人为本的理念,回应和谐社会权利有序化诉求,还可促使网络运营有序化,推动网络金融健康发展。对于互联网企业而言,应借鉴银行对客户个人信息安全的保护措施,并加强行业自律,增强商业道德观念。(下转第30页)
(上接第28/页)尊重用户的隐私,保护用户个人信息是企业的责任和应尽的义务。除非在事先征得用户同意或为用户提供所需服务的情况下,企业不得向任何人出售用户个人资料给第三方,以供商业目的使用。企业还应采取必要的技术手段,制定严格的管理措施,对用户个人信息进行严密的保护,防止丢失、被盗或遭篡改。同时用户个人也应要强化个人信息安全意识。要充分认识到个人信息泄漏可能带来的严重后果,不抱着无所谓的态度,不能有任何麻痹思想和侥幸心理。在使用网络的过程中,尽量不要暴露个人身份。同时加强个人资料管理。在传输、交易等环节上要进行加密处理,注重对账户、密码的保护及时清除操作记录和上网痕迹。最后要提高个人计算机的安全性。个人信息安全与计算机系统安全是唇齿相依的关系,其他任何加强系统安全的措施都会有助于保护个人信息安全,反之,计算机系统中的其他任何不安全因素都有可能威胁到个人信息安全。
(三)针对网络技术安全问题。互联网企业应加强网络安全方面的防范工作,提高相关网络安全人员的专业素养或者外聘专业机构来进行平台网络安全的管理。全面规划网络平台的安全策略,制定网络安全的管理措施,尽可能记录网络上的一切活动,注意对网络设备的物理保护,检验网络平台系统的脆弱性,建立可靠的识别和鉴别机制,并不断完善系统安全设备诸如防火墙、VPN、入侵检测系统、防病毒系统、认证系统等的性能以预防黑客的恶意攻击和盗取用户信息与资金。并且做好日常的数据备份工作,以防因系统及电子设备故障而导致的数据丢失等存在安全隐患的问题。
(四)针对监管不到位的问题。应建立监管协调机制与分类监管机制相结合的监管框架,提高监管的针对性和有效性。探索建立互联网金融监督管理委员会,应考虑由央行牵头,银监会、证监会、保监会、财政部、国务院法制办、工信部等部门参与,联合组建一家全国互联网金融监督管理委员会,全面负责互联网金融行业的监管,出台互联网金融业务相关监管规定,确保监管的专业性和全面性,并且要建立稳定的交流合作机制和信息共享机制,防止系统性金融风险的发生。充分发挥行业自律的引领作用,中国支付清算协会互联网金融专业委员会应在互联网金融发展过程中积极发挥引领作用,参与自律组织的机构要加强内控建设,不断提升防范风险和安全经营能力,在自律组织中明确自己的职责,以此促进行业的规范发展。建立分类监管机制,建议可参考针对比特币的监管办法,对互联网金融涉及的其他业务采取不同的监管措施。如,涉及民间借贷行为的,要求互联网企业针对资金来源、资金运用、资金担保、风险处置等作明确规定;针对理财行为可按符合客户利益和风险承受能力的原则,制定《互联网金融理财条例》进行监管;针对P2P行业要尽快出台独立具体的监管细则,成立专门的部门或组织独立负责。
四、结束语
互联网金融是近几年我国金融业兴起的大浪,互联网金融一直是社会各界讨论的热点话题,国家对互联网金融的关注力度也十分巨大,而伴之而来的互联网金融理财也成为大众关注的热点,互联网金融理财正改变着整个理财环境,并且还会继续以势不可挡的态势发展,而要使互联网金融理财行业能够健康稳定地发展,离不开相关的各界人士与组织机构的共同努力,我们希望互联网金融监管的专门法律法规能够尽早出台,以改变当前互联网金融争议不断却无法可依的现状,让我国互联网金融的监管不再成为大难题。我们更希望,即将出台的互联网金融监管法案法规,能够尽快促使我国互联网金融形成"既防范风险,又鼓励创新;既倒逼传统金融改革,又切实维护消费者权益"的氛围。互联网金融时代才刚刚开启,这股浪潮才刚刚袭来,未来会风险、机遇、挑战并存,还有很远的路要走!
财务网络安全风险防范措施范文
关键词:网络环境;会计信息安全;技术控制
中图分类号:F232文献标识码:A文章编号:1009-2374(2009)10-0101-02
在现代科技高速发展,信息技术广泛应用的今天,会计信息处理适时化、便捷化和无纸化,大大加快了会计信息流通的效率。但在网络环境下会计信息存在安全问题,而仅凭安装杀毒软件是不可能完全解决的,因此,要对会计信息进行深入研究,采取有效的技术控制措施,以确保会计信息的安全。
一、会计信息安全
ISO17799从不同的角度给出信息安全的定义。从功能的角度:信息安全就是保护信息免受各种威胁的损害,以确保业务连续性,使业务风险最小化,并使投资回报和商业机遇最大化。从实现方式的角度:信息安全通过实施一组适当的控制措施而达到,包括策略、过程、规程、组织结构以及软件和硬件功能。在必要的位置,需要建立、实施、监视、审核和改进这些控制措施,以确保满足该组织的特定安全和业务目标,这些工作应与其他业务管理过程结合起来进行。
然而目前,我国对会计信息安全还没有统一的定义。一般来说,会计信息安全是指会计信息具有可靠性、稳定性、保密性、完整性和准确性的状态,它来自于会计数据的完整和会计数据的安全,为会计信息的提供者以及投资者、债权人提供良好的信息传递渠道。
二、网络环境下会计信息的威胁
网络是把双刃剑,它既为信息使用者传递信息提供便利条件,又给攻击者(如:敌对国家、黑客、、有组织犯罪、商业竞争对手、心怀不满的员工等)提供盗取、篡改、损坏机密会计信息的途径。有时粗心或缺乏训练的员工也给会计信息造成威胁。网络环境下会计信息的威胁归纳为如下:
(一)攻击者的动机
攻击者的动机分为恶意动机和非恶意动机。
恶意的动机:为获取商业、军事或个人情报,跟踪或监视目标系统的运行,扰乱目标的运行,窃取钱财或服务,免费使用资源,打败安全机制的技术挑战。
非恶意的动机:意外损坏网络。
(二)会计信息受到攻击的方式以及造成的后果
1.恶意代码。(1)人为发起的越权和入侵类。许多系统都有这样那样的安全漏洞,攻击者没被授权利用系统的漏洞闯入会计信息系统对会计信息进行修改、删除等操作使得会计信息真实性和完整性受到威胁;(2)计算机病毒传播类。计算机病毒是可存储、可直接或间接执行、可隐藏在可执行程序和数据文件中而不被人发现,触发后可获取系统控制的一段可执行程序。病毒可以使计算机和计算机网络系统瘫痪、数据和文件丢失,具体的有蠕虫、特洛伊木马、发起的拒绝服务攻击等。
2.违规操作。由于会计人员误操作或操作人员的概念模糊,将有价值的会计信息会被更改、丢失甚至销毁。
3.物理问题。(1)设备故障:计算机系统、网络服务器、打印机等硬件实体和通信链路出现故障导致会计信息出错,甚至丢失;(2)自然灾害、环境事故:据有关方面调查,我国不少计算机机房没有防震、防火、防水、避雷、防电磁泄漏或干扰等措施,接地系统疏于周到考虑,抵御自然灾害和意外事故的能力较差,因断电而造成设备损坏、会计数据丢失的现象屡见不鲜。
为解决会计信息面临的攻击和威胁,全面安全地解决会计信息安全问题是非常重要的。因此,需要制定有关技术性安全措施,包括构建适应网络发展的会计信息安全体系,对会计信息系统风险的评估,制定事件应急处理体系等。
三、技术控制措施
(一)常规的会计信息安全控制技术
1.针对恶意代码的技术防范。会计信息加密的目的是保护系统内的会计数据、文件、口令和控制信息,保护网上传输的数据。通过加密,不但可以防止非授权用户的搭线窃听和进入,而且也是对付假冒、篡改和恶意攻击行为的有效方法。
防火墙是保护企业网络会计信息安全的主要机制。它能对流经的网络通信进行扫描,过滤掉一些攻击。防火墙是架构在本地网络与外界网络之间的通信控制设施,对双向的访问数据流实施逐一检查,允许符合企业安全政策的访问,拦截可能危害企业网络安全的访问,从而对企业内部网上敏感数据资源或服务加以保护。
防火墙虽然能抵御网络外部安全威胁,但对网络内部发起的攻击无能为力,这时企业要依靠入侵检测系统(如IDS),动态地监测网络内部活动并做出及时的响应。攻击者在入侵时常常会扫描你的计算机端口,如果安装了端口监视程序(如Netwatch),该监视程序则会有警告提示。修补系统漏洞对会计信息系统的安全同样起着重要作用,操作系统本身存在的漏洞极容易引起黑客的攻击,从而导致系统的崩溃和数据的丢失,因此要及时修补系统漏洞。
2.针对违规操作的安全措施。企业应定期进行安全审计,其目的是发现系统或用户行为中的入侵或异常行为,系统可以创建用户在系统中活动的事件记录,通过这些记录检查不平常或可疑的行为。计算机审计要求内部审计人员和注册会计师审计人员不仅了解会计信息舞弊原理还要懂得企业信息系统的运行机制,慎用共享软件。
3.针对物理问题的安全措施。由于计算机物理问题导致会计信息存在安全隐患不容忽视,为确保会计信息安全,笔者提出以下建议:(1)确保物理网络安全,做好数据的备份工作防止信息丢失造成的损失。企业应当建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度。并在备份完毕后,将备份介质异地保存;(2)为防范因为物理介质、信号辐射等造成的安全风险,采用防火墙、IDS等设备对网络安全进行防护;(3)企业应当将计算机硬件设备放置在合适的物理环境中,由专人负责管理和检查,其他任何人未经授权不得接触计算机信息系统硬件设备。对于主要系统服务器应当配备不中断电源供给设备。另外,企业应编制完整、具体的灾难恢复计划。同时应当定期检测、及时修正该计划;(4)企业应当指定专人负责信息化会计档案的管理,做好防消磁、防火、防潮和防尘等工作。对于存储介质保存的会计档案,应当定期检查,防止由于介质损坏而使会计档案丢失。
(二)构建基于网络环境下的会计信息安全体系
网络环境下的会计信息系统,是在互联网环境下对各种交易中的会计事项进行确认、计量和披露的会计活动,能够实现企业财务与业务的协同、远程报账、查账、报送报表、审计、网上交易等远程处理,支持电子单据与电子货币,实现动态会计核算。
1.基于网络环境下的会计信息系统安全体系的框架。通常情况下的会计信息系统结构如下图所示:
构建基于网络环境下的会计信息系统,需要在会计信息源、内网与外网数据传输之间、会计信息输出等环节确保安全。有如下几种具体实施方案:(1)在会计信息输入环节,由于要将纸质凭证进行电子化处理,需要根据企业的实际情况制定一套规范准则对纸质凭证电子化处理,同时还要在进入输入节点前加上识别的功能,保证输入源的会计信息准确无误;(2)通过外网将会计信息传递到内网环节,需要在保证正确的同时防止信息的披露,还需要对会计信息输入人员进行培训与监督,以防人为故意破坏或输入虚假错误的会计信息,因此有必要制定一个严格完善的会计信息安全管理制度;(3)企业内部会计信息系统的安全处理。由于其承载的大量企业内部重要数据,需要对日常业务信息进行全称追踪,对涉及金额大的业务单独处理,建立严格的复核制度,保证数据安全处理并对其过程及结果进行安全备份;(4)会计信息的输出。网络环境下的会计信息输出形式有了更多的选择。一方面可以采用传统的纸质文件形式进行输出,另一方面通过网络进行。但都需要对其安全性进行审查,以防涉及企业机密信息通过网络泄露。
2.会计信息系统安全体系的风险评估。会计信息系统风险的评估概括起来说共有三种评估方法:定量的风险评估方法、定性的风险评估方法、定性与定量相结合的风险评估方法。
定量风险评估方法运用数量指标来对风险进行评估。用因子分析法、聚类分析法、时序模型、回归模型、等风险图法、决策树法等。
定性风险评估方法依据研究者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。主要以与调查对象的深入访谈做出个案记录为基本资料,通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。典型的分析方法有因素分析法、逻辑分析法、历史比较法、德尔斐法。
定性与定量相结合的风险评估方法是一个复杂的过程,考虑的因素较多,定性分析是定量分析的基础和前提,定量分析应建立在定性分析的基础上才能揭示客观事物的内在规律。
通过技术手段(如漏洞扫描、入侵检测)来维护会计信息系统的安全常见的风险评估工具有:(1)SAFESuite套件,它由Internet扫描器、系统扫描器、数据库扫描器、实时监控和SAFESuite套件决策软件构成,是一个完整的信息系统评估系统;(2)WebTrendsSecurityAnalyzer套件主要针对Web站点安全的检测和分析软件;(3)Cobra是进行风险分析的工具软件,其中也包括促进安全策略执行、外部安全标准评定的功能模块。
3.会计事件管理体系、应急处理体系。会计事件管理体系、应急处理体系是对评估结果后对系统的改进,对会计信息安全遭到破坏后的及时应对方案等。
目前常用的事件管理体系、应急体系有:可信认证方法、口令字认证协议、基于动态一次性口令协议、基于预共享秘密的挑战应答协议、基于公钥体制的认证协议、基于地址的认证机制、基于个人特征的认证机制、互认证协议和维持认证等。
总之,网络环境下会计信息的安全问题日益受到人们的关注,本文仅粗略地发表阶段性见解,会计信息安全的技术控制措施还需要更加深入的研究。
参考文献
[1]祁玉峡.网络环境下会计信息系统的安全问题及管理措施[J].科学理财,2007,(2).
[2]程楠.网络会计信息系统安全问题与对策[J].科技资讯,2006,(2).
[3]潘婧.网络会计信息系统的安全风险及防范措施[J].财会研究,2008,(2).
[4]陈克非,黄征.信息安全技术导论[M].电子工业出版社,2007.
[5]辽宁省财政厅.关于征求《企业内部控制评价指引》等配套文件意见的通知.辽财会函[2008]293号.
财务网络安全风险防范措施范文
企业会计信息所面对的网络环境包括两部分,一是企业的外部网络环境,即通过国际互联网与外界进行信息交流和共享;另一个是企业内部网络环境,这其中包括财务部门财务运行局域网环境,即通过组建企业内部网络实现企业内部信息的共享和流通。由于网络的开放性,它在给企业的经营管理带来质的飞跃的同时,也使得企业会计信息面临前所未有的挑战。会计信息失真,这个在传统会计信息系统中本难解决的在网络条件下将变得更加复杂。对网络会计信息失真的风险进行,并采取有针对性的措施,无疑对建立企业制度,进一步加强企业的经营管理,增强企业的竞争力,保障各方的利益,促进国民健康、快速发展有着极其重要的现实意义。
1网络会计信息失真的风险
在网络会计环境下,存在更为隐秘的会计信息失真的风险。一方面,企业通过防火墙等安全措施实现与外界的隔离,另一方面,网络使企业的会计信息延伸到企业的外部,与相关企业、银行、客户和政府机构相连构成完整的信息系统。因此,在外部和内部的各种攻击的威胁下,会计信息失真的风险增大。商品交易“无纸化”,电子票据、电子凭证和电子帐册的出现,使传统的会计帐务处理自动完成,商品交割和资金给付同时完成,避免了人为的疏漏造成的会计信息失真,但也使对电子票据、电子凭证和电子帐册的修改不留痕迹。同时,网络会计对会计信息进行实时处理,改变了传统会计的顺序化处理模式,减少了中间环节,减轻了财会人员的工作量,避免了环节过多造成的信息失真,但会计信息通过计算机程序在网络中处理,不为人所掌握,使风险更加隐蔽。另外,网络会计信息采用分布式输入,信息来源多样化,使会计信息在一定范围共享和流通,能够使监督和操作分离,但同时又使会计信息作假更加方便,失真的会计信息更具有迷惑性,反过来弱化了会计信息的来源,进一步增大了会计信息失真的风险。具体来说,网络会计信息失真的风险主要有技术风险、风险、业务风险和管理风险。
1.1技术风险
网络会计是建立在计算机网络技术和安全技术等信息技术的基础之上的,会计信息是在遵循一定的信息交换协议,以足够的安全技术为保障,以一定的计算机硬件为支撑,在相应的软件管理下在网络中流通、存储和处理,并最终以人们需要的形式变现出来。因此,计算机网络技术和安全技术等信息技术的安全性成为网络会计信息失真的技术风险。
1)计算机网络中软硬件的脆弱性
计算机网络由计算机、网络设备和对应的软件组成。计算机网络中硬件配置不当或硬件故障,会网络信息的流通,严重时会导致网络瘫痪,威胁传输的信息的完整性,甚至使信息丢失,造成不可估量的损失。软件本身鲁棒性不足和软件缺陷、财务软件相对滞后于财务制度,也使网络会计信息失真成为可能。
2)计算机病毒和黑客攻击的影响
随着计算机网络和计算机技术的发展,计算机病毒呈现多样化、传播速度快、破坏力强、传播途径多和难以防范等特点,严重威胁计算机网络和网上信息的安全。计算机病毒的入侵使合法的用户不能正常访问网络资源,有严格要求的网络服务不能得到正常的响应,甚至篡改和毁坏数据,造成会计信息失真。网络会计依据的是Internet/Intranet体系使用的TCP/IP开放式协议,信息以广播的形式进行传播。计算机黑客利用网络的漏洞,采用线路监听、信息截获、口令试探、身份仿冒和插入假信息等手段,对信息安全的各个层面进行攻击,网络会计信息将面临被截取、窃听、仿冒和破坏的风险。而且,在网络的环境下,只要有不法之徒想窃取、截获和破坏信息,当数据通过线路传输时,可以很容易实现。
3)数据加密等安全技术的安全性的影响
在网络上传输的会计信息使用一定的加密算法,以密文的形式进行传输;为了鉴别源点、防抵赖常在信息中插入发送、接受方信息和发送时间等信息,采用数字签名技术;为了保证信息的正常识别,使用一定的传输协议。这些技术的采用保证了信息的可靠性和有效性,但安全是相对的,这些算法和协议的安全缺陷反过来又成为会计信息失真的潜在风险。
4)信息污染
由于网络的开放性,大量无序信息和网络垃圾占据了宝贵的网络资源,加重了网络的负担,影响了网络会计信息的传输效率,严重时诱发网络广播风暴。这些信息污染如同污染一样存在着巨大的风险。
1.2理论风险
,基于网络的会计系统的构建还处于探索和发展阶段,网络会计理论体系尚未建立健全,传统会计理论和存在很多局限性,传统会计理论不适用于网络实际,迫切需要作出相应的变更。这成为网络会计信息失真的理论风险。
1)会计目标变更
传统的企业会计目标是定期编制以成本计量属性为基础的财务会计报表,反映企业过去经营期间的数量化、货币化财务会计信息,以满足报表使用者的财务会计信息需求。在网络条件下,会计信息可以在网上披露,可以以现行市价计量属性取代历史成本计量属性,可以以现金流动信息代替单一的盈利数字,更重视交易与事项的经济实质,选定不同的需求对象披露相关的会计信息,从而满足不同使用者使用网络获取所需会计信息的不同需求。信息需求方和信息供给方的理解差异、信息披露和获取时间的差异等无疑会带来会计信息失真的风险。
2)会计基本前提变更
传统的会计基本前提包括会计主体、持续经营、会计分期和货币计量。在网络条件下,虚拟企业无资金、人员,只有名称和订单,而且以交易作为生存期,分和迅速,从而使会计主体具有可变性,造成会计主体认定困难,会计核算的空间处于模糊状态。同时,需要将交易期间作为会计期间,使用面临解散假设替代持续经营假设,使用货币和非货币信息如企业创新能力、客户满意程度、市场占有率和虚拟企业的创新速度等全面反映企业未来的获利能力。会计基本前提具有更大的不确定性、计量标准的模糊和不准确性。
3)会计要素变更
传统的会计理论将会计要素分为资产、负债、所有者权益、收入、费用、利润六大要素。虚拟企业以通信等信息技术和声誉为物质基础,资本和固定资产的比例较低,人力资本和知识储备是其最重要的资产,是企业利润形成的主要来源。如何衡量企业的人力和知识价值,同时在报表中为使用者利用并反映出来将是一个值得探讨的课题。
4)会计原则、程序和处理方法变更
由于虚拟企业的生存期短、只有一个会计期间,传统的会计原则如历史成本原则、权责发生制失去存在的基础,有必要以现行价值、可变现价值取代历史成本价值,以收付实现制替代权责发生制。而且,由于交易无纸化,交易信息网络传递,信息的输入到报表的生成是同步的,大大减少了人工干预,处理程序得到简化,也使会计信息失真风险性增大。
1.3业务风险
现阶段,在上流动的信息既有传统的信息,又有新型虚拟企业的会计信息,而且信息获得方和披露方信息严重不对称,这些都是网络会计信息失真的业务风险。同时,信息真实程度的判定是建立在对信息披露方的信誉判定的基础之上,对其信誉判定的风险客观上成为信息失真的风险。网络会计的实施需要大批既熟谙机网络知识和财会知识,又同时掌握商务知识和法规的人才,财会人员在会计选择、会计信息披露、网络技术、会计职业规范和道德规范等方方面面面临遵守和选择的,因此,财会人员的专业和道德水准成为会计信息失真的又一风险来源。
1.4管理风险
在网络条件下,会计流程发生了变化,大量的数据直接从企业内部或企业外部其他系统获得,企业将实现信息集中管理,会计信息的传递方式将由附层型转为水平型,矩阵式结构将取代金字塔形的组织结构,企业采购、销售等部门在将信息存储在中央数据库的同时,也可以随时随地获取授权信息,获得授权的企业外部人员也可以获取相应的会计信息。由于信息来源复杂、接触信息的部门和人员增多,传统的内部控制制度显然不能符合要求,相关的制度和管理体系需要作出调整。同时,管理层对软件开发的管理、相关技术方案的选择、各种信息使用权限的划分,客观上成为会计信息失真的风险成因。
2网络会计信息失真的防范对策
2.1强化技术安全
网络会计信息在网上的防护,包括两个:静态数据安全和动态安全。前者指网络中存储在中央数据库和各分布式数据库中数据的安全,后者指数据在通信过程中对完整性、保密性、有效性和真实性的保证。因此涉及到三个内容:系统的防护技术,将安全和系统管理进行有机结合;系统保护技术,包括数据备份、异地存储和远程控制等;数据加密算法和数字签名技术。通过采用安全的数据通信协议,采用安全性强的数据加密算法、利用过程密钥、使用一次一密、安全锁定等,建立有效的计算机病毒防范体系和网络漏洞监测和攻击防范系统,建立计算机安全应急机制,使用安全的财务软件平台等先进技术,从技术确保会计信息的安全。
2.2建立合理的网络财务会计体系
1)确立网络会计核算前提
实施相对开放的会计主体假设,进一步扩大会计确认的范围,增强信息的相关性;将会计分期假设并入持续经营假设,不同时点的财务状况和不同时期的经营成果实时生成,提高决策的有用性;采用多样化的计量手段,全面反映货币和非货币、财务和非财务信息,提高信息的完整性。
2)完善会计公认原则
采用公允价值、现行价值和价值并存,客观确认公司资产的拥有和控制情况;确定配比原则、权责发生制的范围,实现收付实现制和权责发生制相结合,更真实地反映企业的财务状况和经营成果。
3)采用科学合理的会计核算方法,确立网络财务报告的基本框架
计算机网络的实时处理功能,便于采用多种会计核算方法。在此基础上,重振报告要素,将资产划分为有形资产和信息资产,确立产权要素,使股东权益、人力资源和知识资本产权化,体现信息的完整性;进一步拓展网络财务信息报告的信息范围;利用网络的实时性,将历史信息变为现行信息、定期固定信息变为随时可选信息。
4)开展远程审计、实施实时多方监督
审计人员利用网络,随时随地调用企业的会计信息,实施网络在线审计,大大减少主观因素的;同时管理人员也可以随时多方调用会计信息,进行监督,提高监督的有效性。
2.3建立科学有效的制度保障机制
建立科学有效的制度保障机制是防止会计信息失真,防范和化解风险的重要手段和有效途径。要求每一项技术应用都有相应的安全防范制度出台,做到技术开展和制度建设及并举、技术应用和制度保障同步;做到制度建设为业务开展保驾护航、制度建设和业务创新相适应,在技术创新的同时不断补充和完善各项制度,使制度更加科学和规范化。重点在完善内部控制制度和建立以安全审计为核心的风险评估和应急处理机制上下功夫。内部控制制度主要包括组织控制制度,主要是通过内部分工,实现互相牵制;开发和维护控制制度,主要是体现全程控制的思想,从网络组建伊始,开始实施安全控制,确保给定控制功能的实现;数据访问权限控制和重要数据备份制度,在对数据划分重要性前提下,确定各类人员对不同数据的访问权限,确保数据的准确性和保密性;应用控制制度,包括输入、输出和处理控制制度,以便检测、预防和更正错误;日常管理制度,包括机房管理、并发控制和安全锁定等制度。
安全审计是专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对网络会计的相关活动或行为进行全面的、系统的、独立的检查验证,并对网络会计系统的安全状况作出相应的评价。它包括安全控制目标审核、安全漏洞评估、安全控制措施检验和安全性测试等四个方面。通过安全测试可以全面评估网络会计系统的安全状况,预测会计信息失真的风险,并有针对性地指导企业完善相应的安全措施,建立应急处理机制。同时,安全审计结果可以作为会计信息披露方信息真实性的一个重要依据,便于信息接受方获取有效信息。
2.4加强财会人员的培训和
在科学技术飞速的今天,人的素质显得特别重要。一方面要通过教育,提高财会人员的思想认识,提高安全防范意识和职业道德水准,严格执行各项规章制度;另一方面要加强专业知识的的和培训,不断提高财会人员的计算机网络和安全防范手段应用水平,在对网上会计信息进行有效过滤的同时,注意保护本企业的会计信息,防止非法访问和恶意攻击。只有这样,才有可能从根本上防范会计信息失真。
3结束语
会计信息失真的风险的防范将是一个长期的过程。网络条件下会计信息失真的风险更加隐秘,风险成因更加复杂,只有认真其来源,有针对性的综合采取各种措施,才有可能最大限度地减小会计失真的风险,把会计信息失真造成的影响和损失控制在最小程度。
:
[1]刘豆山。网络对传统会计的挑战,经济师[J].2002(3):92~93.
