时间:2020-04-08 作者:谌灿霞 (作者单位:中国电力科学研究院)
[大]
[中]
[小]
摘要:
会计信息化对提高会计工作效率、节约社会资源发挥了巨大作用,同时因其具有数据修改无痕性、存储介质可复制性、网络应用开放性等特点,如果管理不规范使得会计软件及其运行所依赖的软硬件环境遭到破坏,也可能会造成用户机密信息泄露、资金被盗、数据被篡改甚至系统瘫痪等重大安全事件。因此,通过法律规范会计信息化的使用与安全监管至关重要。然而,现行《会计法》中有关会计信息化的条款仅有两处,分别体现在第十三条“使用电子计算机进行会计核算的,其软件及其生成的会计凭证、会计账簿、财务会计报告和其他会计资料,也必须符合国家统一的会计制度的规定。”以及第十五条“使用电子计算机进行会计核算的,其会计账簿的登记、更正,应当符合国家统一的会计制度的规定。”上述规定的共同点是仅对会计核算信息化所生成的各类会计资料进行规范,规范面较窄且操作标准比较模糊,未涉及对会计信息化的其他内容(如会计信息系统的构建、会计信息资源的开发与利用、会计信息资源的共享、会计信息资源产业的发展等)的标准规范,而这些内容已深度融入我国当前会计基础工作的各方面,其规范性直接影响会计信息系统的安全使用与监管,亟需《会计法》从法律的层面,在会计核算、...
会计信息化对提高会计工作效率、节约社会资源发挥了巨大作用,同时因其具有数据修改无痕性、存储介质可复制性、网络应用开放性等特点,如果管理不规范使得会计软件及其运行所依赖的软硬件环境遭到破坏,也可能会造成用户机密信息泄露、资金被盗、数据被篡改甚至系统瘫痪等重大安全事件。因此,通过法律规范会计信息化的使用与安全监管至关重要。然而,现行《会计法》中有关会计信息化的条款仅有两处,分别体现在第十三条“使用电子计算机进行会计核算的,其软件及其生成的会计凭证、会计账簿、财务会计报告和其他会计资料,也必须符合国家统一的会计制度的规定。”以及第十五条“使用电子计算机进行会计核算的,其会计账簿的登记、更正,应当符合国家统一的会计制度的规定。”上述规定的共同点是仅对会计核算信息化所生成的各类会计资料进行规范,规范面较窄且操作标准比较模糊,未涉及对会计信息化的其他内容(如会计信息系统的构建、会计信息资源的开发与利用、会计信息资源的共享、会计信息资源产业的发展等)的标准规范,而这些内容已深度融入我国当前会计基础工作的各方面,其规范性直接影响会计信息系统的安全使用与监管,亟需《会计法》从法律的层面,在会计核算、会计监督、会计机构和会计人员、法律责任等方面,做出更全面、操作性更强的指导、规范。
一、增加对会计信息系统的安全认证、检测、风险评估内容
会计信息系统的开发、建设、运行和维护,一般都通过会计软件供应商及相关咨询服务机构,结合用户需求,来实现对会计信息资源的利用和共享。无论对会计信息系统的使用者还是开发者、建设者、运行维护者,系统的安全性、稳定性、实用性都是首先要考虑的因素,也是会计信息资源产业健康发展的前提,而会计核算的信息化则是会计信息化最基础、核心的部分。所以,笔者建议应在《会计法》中“会计核算”这一章节增加对会计信息系统的安全保护条款。
首先,考虑到现代信息化环境下的会计,尤其是ERP系统里的会计核算模块,和企业管理的人力资源、物资供应等信息模块紧密相连,其电子数据常常直接从ERP系统中的业务模块抓取,如果电子数据和纸质资料不一致(比如工资发放的电子名单与人力资源部门备案的纸质版花名册不相符;物料采购的电子分类与物资部门备案的纸质版专业分类误差较大等),就很可能造成资金错付、折旧误提等资产流失风险。因此,笔者建议,应在第十七条补充规定:“会计信息系统输出的电子数据和依据信息化流程取得的业务前端数据,应与其相关专业的纸质资料一致。”如果考虑未来电子发票普及且与各企事业单位会计信息系统联网等情况,还可适当增加对会计信息系统与税务信息系统相关资料的符合性规定。
其次,会计软件是形成、传输、读取电子会计档案的重要平台,在信息化环境下对实现会计业务控制起着不可替代的作用。会计软件产品的操作功能、修改维护、改型升级质量直接影响着会计档案真实、完整的程度,尤其在系统灾难发生时关键数据的恢复、信息系统整体升级换代方面,其作用更是非常明显。目前,虽然《会计档案管理办法》在此方面有所规范,但同样亟需通过《会计法》的最新修订来提升规范电子会计档案安全的法律地位,进一步确保会计信息的安全。鉴于此,笔者建议应在第二十三条补充对会计软件资料及其运行日志的建档规范要求。可参照《银行会计档案管理办法》,将会计软件开发和修改的文档资料作为会计档案管理,保管期限为该软件停止使用或有重大修改后5年;软件系统安装程序、各功能模块运行程序的存储介质如果是磁介质,应具备防磁条件,必要时做双备份且分开保管;将会计软件在计算机应用系统上的运行日志视同会计档案管理,保管时间为3年。
此外,考虑到资金安全和信息安全是评价会计信息系统安全性、稳定性、实用性的关键指标,笔者建议,应在《会计法》中“会计核算”章节补充对会计信息系统的安全保障体系和可能存在的风险定期(每年至少一次)开展认证、检测、评估并提出应急预案、定期演练的规定,特别是国有和国有控股或占主导地位的大、中型企业,可以参照《网络安全法》,实行会计信息化安全等级保护制度,建立灾难数据备份系统。或者可在国家信息安全的相关法律法规基础上,建立会计信息服务运营商特别是云会计的资质规范,成立信息安全的第三方监管机构和信息技术安全后续教育机构,定期审查资质规范,发现问题及时整改,不合格的则予以取消资质。同时,定期(每年至少一次)组织对会计信息服务运营商和用户双方的信息技术安全风险教育,通过建立适当的行业准入制度和市场运行规则,创造良好的会计信息服务运营竞争市场环境,提供优质的信息化服务,保障用户的资金安全和信息安全。
二、增加对会计信息系统的内部控制措施
会计信息系统往往与用户单位的组织内外信息系统有机融合,呈现出实时化、动态化、多元化、个性化等特征,与此同时,其操作流程也日趋细化,功能模块日趋完整、复杂,与数据的输入、输出相关的岗位也越来越多,
如信息化主管、系统管理员、运行维护人员、各功能模块的操作人员、程序设计人员等。而现行《会计法》中的会计监督措施仍仅限于传统的会计岗位与流程内控,未涉及信息化方面,因此笔者建议应在“会计监督”章节中增加针对信息系统安全的内控措施。
具体来说,可在第二十七条补充对会计信息化环境中的不相容岗位应设置相应的账套权限、功能权限、操作时限等的规定,包括:基本会计岗位和会计信息化岗位不得兼任,软件的开发和维护人员不能兼任信息系统的操作员,存储操作系统程序的介质与存储输入输出数据的介质分开保管;按规定(如银行业用户)需双备份的会计档案应异地分别存放;明确单位内部各层级组织机构对会计信息系统的供应商和运维商服务质量进行监督的分工与责任;开展面向会计信息系统运行情况的专项审计,检查其数据输入、输出和安全控制的合法有效性,程序设计和操作控制的规范性,会计处理控制的合法合规性。此外,可在第三十二条补充财政部门的监督内容,增加对会计软件及运行环境是否符合规定的监督。
三、增加会计信息化相关岗位人员的设置和信息化资料及存储介质的交接内容
会计信息系统的规范使用和安全监管离不开会计机构和会计人员的充分参与。笔者建议,应在《会计法》“会计机构和会计人员”章节第三十六条补充“各单位应配置负责会计信息化工作的专门机构,或从事会计信息化安全管理的负责人和信息系统运维关键岗位人员(如系统管理员),对国计民生、公共利益有重大影响的企事业单位,还应对该负责人和信息系统的关键岗位人员开展安全背景审查。”在第四十一条应补充规定:“交接手续的办理应包含电子资料、存储介质的交接;会计信息系统的各级操作人员调动工作或离职时,不仅应按照现有规定办理传统会计人员的交接工作,还应对操作人员用户名称、密码数据文件进行备份,并采取措施防止用户名和密码被盗用,其中特别要重视资金管理岗位人员交接时的数字证书管理与密钥制作、双因素身份认证等确保资金安全的防护措施。”
四、增加对会计信息化相关人员违法行为的处罚条款
现行《会计法》的法律责任条款中并没有规定信息化条件下企业会计存在的会计违法违规行为的法律责任。鉴于此,笔者建议,可参照2017年施行的《网络安全法》有关规定进行补充,尤其是对会计软件及其运行所依赖的软硬件环境的运维开展安全认证、检测、风险评估等活动中的违法行为,可单独补充条款明确其法律责任。例如,对会计信息服务运营商、软件供应商、信息化关键岗位人员等不履行本法规定的信息安全保护义务的,其法律责任可参照《网络安全法》第五十九条、第六十二条、第六十三条制定,加大对其相关违法行为的处罚力度;对证券市场出现的利用网络信息技术做出虚假会计陈述、恶意篡改会计数据等违法犯罪行为的,因危害相对较大,涉及的利益相关者(特别是投资者)众多,应同时借鉴《证券法》和《网络安全法》,明确细化会计的行政处罚与刑事处罚界限,并追究对利益相关者造成损失的民事赔偿责任(包括认定标准、归责事由、损失认定)。
责任编辑 李卓
相关推荐