【摘要】隨著電子商務(wù)與信息技術(shù)的發(fā)展��,傳統(tǒng)會計信息系統(tǒng)(AIS)控制的局限性日益凸顯�。事件驅(qū)動型會計信息系統(tǒng)(EDAIS)控制由于考慮到各種事件中可能包含的風險,而成為會計信息系統(tǒng)控制的發(fā)展方向。
隨著電子商務(wù)和信息網(wǎng)絡(luò)技術(shù)的迅速發(fā)展��,AIS與企業(yè)的其他業(yè)務(wù)信息系統(tǒng)的融合越來越緊密����。AIS的控制問題不再是一個局限于會計部門的孤立的問題,而成為一個涉及到企業(yè)各項活動的系統(tǒng)性問題����。AIS控制問題也不再是信息系統(tǒng)自身的問題,而應(yīng)該從AIS體系結(jié)構(gòu)出發(fā)�����,從根本上改變AIS控制的方法與范圍�����。AIS體系結(jié)構(gòu)是指采集�、存儲��、處理��、傳輸數(shù)據(jù)的步驟��、方法或數(shù)據(jù)處理程序的結(jié)構(gòu)。現(xiàn)有學術(shù)研究成果大多是在堅持傳統(tǒng)AIS體系結(jié)構(gòu)及其內(nèi)部控制制度與控制觀點的基礎(chǔ)上���,從信息技術(shù)的角度探討如何加強AIS的控制�����。這種控制與電子商務(wù)�����、企業(yè)信息化的發(fā)展極不相適應(yīng)��,并且大大限制了企業(yè)的運行效率���。筆者從事件驅(qū)動體系結(jié)構(gòu)的角度,分析AIS控制��。
一���、傳統(tǒng)會計信息系統(tǒng)控制的局限性
�����。ㄒ唬﹤鹘y(tǒng)會計信息系統(tǒng)數(shù)據(jù)處理流程
傳統(tǒng)AIS是建立在傳統(tǒng)會計體系結(jié)構(gòu)基礎(chǔ)之上的����。傳統(tǒng)會計體系結(jié)構(gòu)是指現(xiàn)代信息技術(shù)出現(xiàn)之前,會計人員在處理會計數(shù)據(jù)時所采用的一系列步驟和方法�����,即會計循環(huán)和會計恒等式������;谶@種體系結(jié)構(gòu)的AIS采集和存儲的數(shù)據(jù)是有關(guān)業(yè)務(wù)事件數(shù)據(jù)的一個子集,即只采集和存儲那些改變企業(yè)資產(chǎn)���、負債或所有者權(quán)益構(gòu)成的會計數(shù)據(jù)。圖1反映了基于傳統(tǒng)體系結(jié)構(gòu)的AIS采集���、存儲和處理業(yè)務(wù)數(shù)據(jù)的流程��。
�����。ǘ﹤鹘y(tǒng)會計信息系統(tǒng)控制的局限性
如圖1所示��,傳統(tǒng)AIS處理流程原封不動地保存了原始的會計循環(huán)����,只是使用信息技術(shù)去自動化老式的會計工作流程。傳統(tǒng)AIS控制也正是基于圖1所表示的傳統(tǒng)體系結(jié)構(gòu)而形成的����。
1.從原始數(shù)據(jù)錄入到財務(wù)報表輸出,整個過程頻繁使用了大量的事務(wù)文件和工作文件對會計信息進行加工處理����,最終財務(wù)報表的可依賴性取決于原始數(shù)據(jù)的可靠性。雖然使用了大量的中間文件����,但這些文件內(nèi)容大多來自于同一數(shù)據(jù)源。例如�����,應(yīng)收賬款總賬及其所屬明細賬數(shù)據(jù)都來自同一銷售發(fā)票����。由于存在“垃圾進,垃圾出”現(xiàn)象����,當業(yè)務(wù)過程發(fā)生了錯誤時�����,不管記錄�����、維護及報告過程使用的技術(shù)如何��,都將造成報告錯誤���。
2.分離職責和責任局限于使一個人的工作核查另外一個人的工作,著重于事后監(jiān)督��,而忽視了事前預(yù)防��。
3.沒有考慮到信息技術(shù)能夠減少業(yè)務(wù)活動中的人為錯誤�,能夠?qū)I(yè)務(wù)與控制規(guī)則的符合程度進行監(jiān)控�,而對會計數(shù)據(jù)進行重復(fù)記錄,對重復(fù)數(shù)據(jù)做大量調(diào)整��、核對��。這樣,既和現(xiàn)代企業(yè)對AIS的要求不相適應(yīng)��,又影響系統(tǒng)的運行效率����。
4.AIS專門從事收集和處理其他部門所創(chuàng)造的數(shù)據(jù)信息的工作,獨立于業(yè)務(wù)活動����,是反映性的和糾正性的,無法檢查����、控制、杜絕業(yè)務(wù)活動過程中發(fā)生的錯誤���。
5.會計人員和審計人員在指導內(nèi)部控制制度的設(shè)計�����、實現(xiàn)�、維護和評估時��,根據(jù)會計管理工作的需要而設(shè)定�����,局限于會計工作的范圍�?刂瞥绦蚴蔷植啃缘摹㈦A段性的���,沒有考慮與可能跨越幾個職能部門的業(yè)務(wù)過程有關(guān)的種種風險�,無法對財務(wù)活動以外的其它活動的風險進行控制�����,而其他活動的風險往往間接或直接地導致了財務(wù)風險的產(chǎn)生����。
二、事件驅(qū)動型會計信息系統(tǒng)數(shù)據(jù)處理流程
���。ㄒ唬I(yè)務(wù)過程與事件
業(yè)務(wù)過程是完成企業(yè)戰(zhàn)略目標的一系列活動����。事件是表示業(yè)務(wù)過程中的單一活動���。一個企業(yè)的業(yè)務(wù)活動可分為業(yè)務(wù)事件����、信息事件��、決策與管理事件���。業(yè)務(wù)事件是在業(yè)務(wù)過程中執(zhí)行的與向顧客提供商品和服務(wù)有關(guān)的業(yè)務(wù)活動��;信息事件是指對信息進行收集���、加工、存儲���、維護�、傳輸�����、報告等的處理活動�;決策與管理事件是管理者或其他人在計劃、控制和評價業(yè)務(wù)過程時的決策活動���,包括管理資源(人力���、物力及資金)和制定戰(zhàn)略規(guī)劃等�����。
�。ǘ┦录(qū)動型會計信息系統(tǒng)數(shù)據(jù)處理流程
事件驅(qū)動體系結(jié)構(gòu)以業(yè)務(wù)過程和事件來構(gòu)造系統(tǒng)�����,它以各類經(jīng)濟活動事項為中心組織數(shù)據(jù)����,并獨立于應(yīng)用程序之外,業(yè)務(wù)數(shù)據(jù)輸入一次�����,便可用于生成各種視圖驅(qū)動應(yīng)用所能提供的全部視圖�。EDAIS是建立在事件驅(qū)動體系結(jié)構(gòu)的基礎(chǔ)上,在業(yè)務(wù)發(fā)生時收集業(yè)務(wù)事件的所有數(shù)據(jù)(如時間���、地點�����、責任人和參與者���、涉及到的資源與風險等),把業(yè)務(wù)事件數(shù)據(jù)集成在數(shù)據(jù)倉庫里�,同時利用信息生成工具對事件數(shù)據(jù)倉庫中的數(shù)據(jù)進行會計處理的。即按用戶需要產(chǎn)生各種報告視圖����,如明細賬、分類賬和財務(wù)報表等����,實現(xiàn)業(yè)務(wù)與會計的協(xié)同化處理。EDAIS數(shù)據(jù)處理流程如圖2��。
三�����、事件驅(qū)動型會計信息系統(tǒng)的風險
EDAIS的風險除了財務(wù)風險外����,還有常常直接或間接地給企業(yè)帶來財務(wù)損失的其他業(yè)務(wù)的風險,這些風險可概括為:業(yè)務(wù)事件風險、信息事件風險及決策與管理事件風險�����。每一個風險都會波及到財務(wù)部門��,帶來財務(wù)風險�����。風險的控制必須貫穿于各種事件之中���,而傳統(tǒng)體系結(jié)構(gòu)忽視了許多與財務(wù)資源有關(guān)的非財務(wù)風險����。
�����。ㄒ唬I(yè)務(wù)事件風險
業(yè)務(wù)事件風險包括:業(yè)務(wù)事件發(fā)生在錯誤時間和地點����;業(yè)務(wù)事件沒有適當?shù)氖跈?quán)、操作順序錯誤�、涉及錯誤的人員����;業(yè)務(wù)事件涉及錯誤的資源類型與數(shù)量等���。這些業(yè)務(wù)操作風險用傳統(tǒng)體系結(jié)構(gòu)AIS是很難檢測出來的�����。
(二)信息事件風險
信息事件中蘊涵著信息收集����、加工、存儲�����、維護��、傳輸��、報告等風險�。信息收集風險是指對業(yè)務(wù)事件不能做出正確的判斷,對數(shù)據(jù)采用了不適當?shù)谋磉_形式�,從而導致事件數(shù)據(jù)記錄不完整����、不準確或無效�����;信息加工風險是指不能對數(shù)據(jù)做出正確的選擇���、排序�����、合并�����、更新�、計算等���;信息存儲風險是指存儲哪些數(shù)據(jù)���、存儲多長時間、采用什么樣的存儲方式等發(fā)生錯誤����;維護風險是指未察覺或未記錄組織的資源�����、參與者���、時間、地點的變化�;信息傳輸風險是指信息在AIS內(nèi)部子系統(tǒng)間或AIS與其他系統(tǒng)間傳輸時,發(fā)生誤傳�����、盜竊�����、刪除�����、被非法篡改等��;信息報告風險是指報告輸出數(shù)據(jù)形式不當����、或匯總錯誤,或數(shù)據(jù)提供給未經(jīng)授權(quán)的單位或個人����,或未及時提供數(shù)據(jù)。
�。ㄈQ策與管理事件風險
決策與管理事件風險包括:未能對未來事件做出正確的預(yù)測,致使計劃制定錯誤或不完善�����;由于規(guī)章制度不完善�����,指揮��、協(xié)調(diào)�、控制失效,計劃或決策方案沒有得到有效的執(zhí)行���;由于對管理對象的狀態(tài)信息及管理決策目標信息掌握不全�,未能對經(jīng)營成果做出正確的評價�����。
四、事件驅(qū)動型會計信息系統(tǒng)控制
EDAIS控制是根據(jù)事件驅(qū)動體系結(jié)構(gòu)的特點而提出的��,它把風險的控制貫穿于企業(yè)業(yè)務(wù)過程的各個事件中����,實現(xiàn)了業(yè)務(wù)活動、信息處理���、IT與風險控制的集成�����。
��。ㄒ唬┛刂茦I(yè)務(wù)活動
1.控制交易風險。建立在傳統(tǒng)體系結(jié)構(gòu)上的AIS只能被動地接收各業(yè)務(wù)部門產(chǎn)生的數(shù)據(jù)����,是反映性的。一旦業(yè)務(wù)部門的業(yè)務(wù)操作出現(xiàn)問題而沒有被發(fā)現(xiàn)�,必然要把錯誤的數(shù)據(jù)帶入AIS,而傳統(tǒng)AIS卻無法發(fā)現(xiàn)這些錯誤����;EDAIS基于業(yè)務(wù)活動構(gòu)建系統(tǒng)����,針對業(yè)務(wù)事件的各種可能風險���,設(shè)計交易授權(quán)�、操作規(guī)程和業(yè)務(wù)執(zhí)行過程的控制規(guī)則�。明確規(guī)定哪些人允許執(zhí)行哪些活動,接觸哪些資源�,哪些事件應(yīng)在什么時間發(fā)生在何處。這樣�,在業(yè)務(wù)發(fā)生之前便評估其風險,從會計信息的源頭上控制風險�����,防止業(yè)務(wù)事件�����、信息事件和決策與管理事件的錯誤和舞弊���。
2.職責分離����。EDAIS職責分離除了維持傳統(tǒng)的監(jiān)督與檢查功能外,更注重提高效率與預(yù)防錯誤的發(fā)生�。它能夠通過共同數(shù)據(jù)倉庫整合、連接與協(xié)調(diào)各類平衡的活動���,實現(xiàn)相關(guān)業(yè)務(wù)事件的相互牽制與自動核對��。例如�,當銷售業(yè)務(wù)發(fā)生時���,可以把其數(shù)據(jù)直接輸入到數(shù)據(jù)倉庫��,并直接與收款業(yè)務(wù)數(shù)據(jù)進行自動核對����,確保無誤后����,再進行會計處理��,而不必像傳統(tǒng)AIS那樣,由會計部門分別接收各業(yè)務(wù)活動數(shù)據(jù)���,并進行核對與處理��,這樣�,既提高了組織運行的效率和有效性����,又提高了系統(tǒng)控制的質(zhì)量。
�����。ǘ┌芽刂魄度胧录����,實現(xiàn)實時控制
傳統(tǒng)AIS作為收集與處理其他業(yè)務(wù)部門業(yè)務(wù)數(shù)據(jù)的一個獨立系統(tǒng)而存在,控制范圍局限于會計部門��,控制時間滯后于業(yè)務(wù)事件��;EDAIS將業(yè)務(wù)事件與信息事件進行整合�����,能把控制規(guī)則嵌入到系統(tǒng)的記錄過程、維護過程和報告過程中�,使控制程序和規(guī)則成為業(yè)務(wù)過程及信息過程中不可分割的職能,防止發(fā)生錯誤或舞弊����。在信息處理時,檢查和管理與事件相關(guān)的處理規(guī)則��、控制程序和政策��,實現(xiàn)對業(yè)務(wù)與信息處理的實時控制����。但是,為了實現(xiàn)系統(tǒng)控制的適應(yīng)性�,控制程序和規(guī)則要隨企業(yè)戰(zhàn)略、組織結(jié)構(gòu)��、業(yè)務(wù)過程和使用的信息技術(shù)的變化而改變����。
(三)審計監(jiān)督
傳統(tǒng)AIS是從手工AIS中發(fā)展而來的���,僅僅收集業(yè)務(wù)事件的財務(wù)數(shù)據(jù)�,還有一些重要的非財務(wù)數(shù)據(jù)被分割后����,保存在各業(yè)務(wù)部門的子系統(tǒng)中。這樣�����,作為審計線索的業(yè)務(wù)事件數(shù)據(jù)通常被分割存放在組織的各個不同的職能領(lǐng)域����。審計與會計人員進行審計監(jiān)督時,要到各業(yè)務(wù)子系統(tǒng)查找信息���,然后在數(shù)量巨大的電子憑證和電子文件之間進行拼湊����。這種事后的審計與監(jiān)督工作����,難度大,可信度低���;在EDAIS中��,每一個業(yè)務(wù)事件的有關(guān)資源��、事件�����、參與者和地點的數(shù)據(jù)元素都通過記錄過程收集在數(shù)據(jù)倉庫里�。采用并行審計技術(shù)在AIS中嵌入審計模塊,從數(shù)據(jù)倉庫中獲取業(yè)務(wù)事件的全息數(shù)據(jù)�����,既可測試系統(tǒng)數(shù)據(jù)和業(yè)務(wù)規(guī)則的符合性����,又可為審計與會計人員提供追蹤與監(jiān)督業(yè)務(wù)過程的全面、詳細的電子審計線索�,而且,還可允許使用各種詳細的聯(lián)機數(shù)據(jù)來進行審計分析和評估�����。
�。ㄋ模┖喕虚g處理步驟,降低控制難度
由圖1可知��,傳統(tǒng)AIS中間處理步驟和物理文件多,而且與企業(yè)其他系統(tǒng)間的耦合度低����,系統(tǒng)間協(xié)調(diào)性差�,數(shù)據(jù)傳輸難度大;EDAIS收集描述業(yè)務(wù)活動的各種多維數(shù)據(jù)并存儲在數(shù)據(jù)倉庫中�����,按照信息需求����,建立信息報告工具,直接輸出各種信息報表�����,大大減少了中間的處理步驟和物理文件數(shù)量����。既減少了物理文件被非法篡改、盜用��、攻擊�、刪除的機會�,又降低了AIS與其它信息系統(tǒng)間數(shù)據(jù)的傳遞頻率����,從而降低了控制難度。
責任編輯:冠
