會計信息系統控制
前言:本站為你精心整理了會計信息系統控制范文,希望能為你的創作提供參考價值,我們的客服老師可以幫助你提供個性化的參考范文,歡迎咨詢。
【摘要】隨著電子商務與信息技術的發展,傳統會計信息系統(AIS)控制的局限性日益凸顯。事件驅動型會計信息系統(EDAIS)控制由于考慮到各種事件中可能包含的風險,而成為會計信息系統控制的發展方向。
隨著電子商務和信息網絡技術的迅速發展,AIS與企業的其他業務信息系統的融合越來越緊密。AIS的控制問題不再是一個局限于會計部門的孤立的問題,而成為一個涉及到企業各項活動的系統性問題。AIS控制問題也不再是信息系統自身的問題,而應該從AIS體系結構出發,從根本上改變AIS控制的方法與范圍。AIS體系結構是指采集、存儲、處理、傳輸數據的步驟、方法或數據處理程序的結構。現有學術研究成果大多是在堅持傳統AIS體系結構及其內部控制制度與控制觀點的基礎上,從信息技術的角度探討如何加強AIS的控制。這種控制與電子商務、企業信息化的發展極不相適應,并且大大限制了企業的運行效率。筆者從事件驅動體系結構的角度,分析AIS控制。
一、傳統會計信息系統控制的局限性
(一)傳統會計信息系統數據處理流程
傳統AIS是建立在傳統會計體系結構基礎之上的。傳統會計體系結構是指現代信息技術出現之前,會計人員在處理會計數據時所采用的一系列步驟和方法,即會計循環和會計恒等式。基于這種體系結構的AIS采集和存儲的數據是有關業務事件數據的一個子集,即只采集和存儲那些改變企業資產、負債或所有者權益構成的會計數據。圖1反映了基于傳統體系結構的AIS采集、存儲和處理業務數據的流程。
(二)傳統會計信息系統控制的局限性
如圖1所示,傳統AIS處理流程原封不動地保存了原始的會計循環,只是使用信息技術去自動化老式的會計工作流程。傳統AIS控制也正是基于圖1所表示的傳統體系結構而形成的。
1.從原始數據錄入到財務報表輸出,整個過程頻繁使用了大量的事務文件和工作文件對會計信息進行加工處理,最終財務報表的可依賴性取決于原始數據的可靠性。雖然使用了大量的中間文件,但這些文件內容大多來自于同一數據源。例如,應收賬款總賬及其所屬明細賬數據都來自同一銷售發票。由于存在“垃圾進,垃圾出”現象,當業務過程發生了錯誤時,不管記錄、維護及報告過程使用的技術如何,都將造成報告錯誤。
2.分離職責和責任局限于使一個人的工作核查另外一個人的工作,著重于事后監督,而忽視了事前預防。
3.沒有考慮到信息技術能夠減少業務活動中的人為錯誤,能夠對業務與控制規則的符合程度進行監控,而對會計數據進行重復記錄,對重復數據做大量調整、核對。這樣,既和現代企業對AIS的要求不相適應,又影響系統的運行效率。
4.AIS專門從事收集和處理其他部門所創造的數據信息的工作,獨立于業務活動,是反映性的和糾正性的,無法檢查、控制、杜絕業務活動過程中發生的錯誤。
5.會計人員和審計人員在指導內部控制制度的設計、實現、維護和評估時,根據會計管理工作的需要而設定,局限于會計工作的范圍。控制程序是局部性的、階段性的,沒有考慮與可能跨越幾個職能部門的業務過程有關的種種風險,無法對財務活動以外的其它活動的風險進行控制,而其他活動的風險往往間接或直接地導致了財務風險的產生。
二、事件驅動型會計信息系統數據處理流程
(一)業務過程與事件
業務過程是完成企業戰略目標的一系列活動。事件是表示業務過程中的單一活動。一個企業的業務活動可分為業務事件、信息事件、決策與管理事件。業務事件是在業務過程中執行的與向顧客提供商品和服務有關的業務活動;信息事件是指對信息進行收集、加工、存儲、維護、傳輸、報告等的處理活動;決策與管理事件是管理者或其他人在計劃、控制和評價業務過程時的決策活動,包括管理資源(人力、物力及資金)和制定戰略規劃等。(二)事件驅動型會計信息系統數據處理流程
事件驅動體系結構以業務過程和事件來構造系統,它以各類經濟活動事項為中心組織數據,并獨立于應用程序之外,業務數據輸入一次,便可用于生成各種視圖驅動應用所能提供的全部視圖。EDAIS是建立在事件驅動體系結構的基礎上,在業務發生時收集業務事件的所有數據(如時間、地點、責任人和參與者、涉及到的資源與風險等),把業務事件數據集成在數據倉庫里,同時利用信息生成工具對事件數據倉庫中的數據進行會計處理的。即按用戶需要產生各種報告視圖,如明細賬、分類賬和財務報表等,實現業務與會計的協同化處理。EDAIS數據處理流程如圖2。
三、事件驅動型會計信息系統的風險
EDAIS的風險除了財務風險外,還有常常直接或間接地給企業帶來財務損失的其他業務的風險,這些風險可概括為:業務事件風險、信息事件風險及決策與管理事件風險。每一個風險都會波及到財務部門,帶來財務風險。風險的控制必須貫穿于各種事件之中,而傳統體系結構忽視了許多與財務資源有關的非財務風險。
(一)業務事件風險
業務事件風險包括:業務事件發生在錯誤時間和地點;業務事件沒有適當的授權、操作順序錯誤、涉及錯誤的人員;業務事件涉及錯誤的資源類型與數量等。這些業務操作風險用傳統體系結構AIS是很難檢測出來的。
(二)信息事件風險
信息事件中蘊涵著信息收集、加工、存儲、維護、傳輸、報告等風險。信息收集風險是指對業務事件不能做出正確的判斷,對數據采用了不適當的表達形式,從而導致事件數據記錄不完整、不準確或無效;信息加工風險是指不能對數據做出正確的選擇、排序、合并、更新、計算等;信息存儲風險是指存儲哪些數據、存儲多長時間、采用什么樣的存儲方式等發生錯誤;維護風險是指未察覺或未記錄組織的資源、參與者、時間、地點的變化;信息傳輸風險是指信息在AIS內部子系統間或AIS與其他系統間傳輸時,發生誤傳、盜竊、刪除、被非法篡改等;信息報告風險是指報告輸出數據形式不當、或匯總錯誤,或數據提供給未經授權的單位或個人,或未及時提供數據。
(三)決策與管理事件風險
決策與管理事件風險包括:未能對未來事件做出正確的預測,致使計劃制定錯誤或不完善;由于規章制度不完善,指揮、協調、控制失效,計劃或決策方案沒有得到有效的執行;由于對管理對象的狀態信息及管理決策目標信息掌握不全,未能對經營成果做出正確的評價。
四、事件驅動型會計信息系統控制
EDAIS控制是根據事件驅動體系結構的特點而提出的,它把風險的控制貫穿于企業業務過程的各個事件中,實現了業務活動、信息處理、IT與風險控制的集成。
(一)控制業務活動
1.控制交易風險。建立在傳統體系結構上的AIS只能被動地接收各業務部門產生的數據,是反映性的。一旦業務部門的業務操作出現問題而沒有被發現,必然要把錯誤的數據帶入AIS,而傳統AIS卻無法發現這些錯誤;EDAIS基于業務活動構建系統,針對業務事件的各種可能風險,設計交易授權、操作規程和業務執行過程的控制規則。明確規定哪些人允許執行哪些活動,接觸哪些資源,哪些事件應在什么時間發生在何處。這樣,在業務發生之前便評估其風險,從會計信息的源頭上控制風險,防止業務事件、信息事件和決策與管理事件的錯誤和舞弊。
2.職責分離。EDAIS職責分離除了維持傳統的監督與檢查功能外,更注重提高效率與預防錯誤的發生。它能夠通過共同數據倉庫整合、連接與協調各類平衡的活動,實現相關業務事件的相互牽制與自動核對。例如,當銷售業務發生時,可以把其數據直接輸入到數據倉庫,并直接與收款業務數據進行自動核對,確保無誤后,再進行會計處理,而不必像傳統AIS那樣,由會計部門分別接收各業務活動數據,并進行核對與處理,這樣,既提高了組織運行的效率和有效性,又提高了系統控制的質量。
(二)把控制嵌入事件中,實現實時控制
傳統AIS作為收集與處理其他業務部門業務數據的一個獨立系統而存在,控制范圍局限于會計部門,控制時間滯后于業務事件;EDAIS將業務事件與信息事件進行整合,能把控制規則嵌入到系統的記錄過程、維護過程和報告過程中,使控制程序和規則成為業務過程及信息過程中不可分割的職能,防止發生錯誤或舞弊。在信息處理時,檢查和管理與事件相關的處理規則、控制程序和政策,實現對業務與信息處理的實時控制。但是,為了實現系統控制的適應性,控制程序和規則要隨企業戰略、組織結構、業務過程和使用的信息技術的變化而改變。
(三)審計監督
傳統AIS是從手工AIS中發展而來的,僅僅收集業務事件的財務數據,還有一些重要的非財務數據被分割后,保存在各業務部門的子系統中。這樣,作為審計線索的業務事件數據通常被分割存放在組織的各個不同的職能領域。審計與會計人員進行審計監督時,要到各業務子系統查找信息,然后在數量巨大的電子憑證和電子文件之間進行拼湊。這種事后的審計與監督工作,難度大,可信度低;在EDAIS中,每一個業務事件的有關資源、事件、參與者和地點的數據元素都通過記錄過程收集在數據倉庫里。采用并行審計技術在AIS中嵌入審計模塊,從數據倉庫中獲取業務事件的全息數據,既可測試系統數據和業務規則的符合性,又可為審計與會計人員提供追蹤與監督業務過程的全面、詳細的電子審計線索,而且,還可允許使用各種詳細的聯機數據來進行審計分析和評估。
(四)簡化中間處理步驟,降低控制難度
由圖1可知,傳統AIS中間處理步驟和物理文件多,而且與企業其他系統間的耦合度低,系統間協調性差,數據傳輸難度大;EDAIS收集描述業務活動的各種多維數據并存儲在數據倉庫中,按照信息需求,建立信息報告工具,直接輸出各種信息報表,大大減少了中間的處理步驟和物理文件數量。既減少了物理文件被非法篡改、盜用、攻擊、刪除的機會,又降低了AIS與其它信息系統間數據的傳遞頻率,從而降低了控制難度。
