一、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)及控制損失的目標(biāo)
企業(yè)的會(huì)計(jì)信息系統(tǒng)面臨各式風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)來(lái)自錯(cuò)弊、自然災(zāi)害、事故、對(duì)企業(yè)不滿或素質(zhì)較低的員工。在系統(tǒng)缺乏控制的情況下,就會(huì)造成丟失數(shù)據(jù)資源,以及根據(jù)不正確的數(shù)據(jù)做出決策從而導(dǎo)致錯(cuò)誤分配資源而造成損失等后果。所有的會(huì)計(jì)信息系統(tǒng)應(yīng)具有一定的內(nèi)在控制措施。控制的基本目標(biāo)包括:確保數(shù)據(jù)的完整性與可靠性,保證各種管理信息存在、可靠與及時(shí)提供;提高系統(tǒng)應(yīng)用的效率以及有效性,并盡量減少運(yùn)行中不必要的成本、費(fèi)用;預(yù)防或查明錯(cuò)誤和弊端的源頭,為管理政策的制定尋找依據(jù);履行各種法律義務(wù)。
這些目標(biāo)與消除系統(tǒng)風(fēng)險(xiǎn)目標(biāo)是一致的,為實(shí)現(xiàn)這些目標(biāo),系統(tǒng)相關(guān)者必須確保能夠辨識(shí)系統(tǒng)的風(fēng)險(xiǎn),并且應(yīng)用適當(dāng)?shù)目刂拼胧┮韵驕p小風(fēng)險(xiǎn)。
二、系統(tǒng)開(kāi)發(fā)設(shè)計(jì)階段的控制損失策略
一般而言,運(yùn)用者一般只將計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)作為一個(gè)“黑盒”,并期望系統(tǒng)本身包含了必要的控制要素。因此,作為商品化的軟件開(kāi)發(fā)商,必須從戰(zhàn)略的角度出發(fā),保證軟件質(zhì)量。在開(kāi)發(fā)設(shè)計(jì)中必須將系統(tǒng)控制損失目標(biāo)融進(jìn)來(lái),除了遵循開(kāi)發(fā)規(guī)范如分析員及程序員生產(chǎn)控制、結(jié)構(gòu)化程序設(shè)計(jì)等原則外,還應(yīng)考慮系統(tǒng)的可審計(jì)性及可控性。
系統(tǒng)本身應(yīng)提供審計(jì)線索,提供達(dá)到審計(jì)人員詳細(xì)程度要求的文件,并在適當(dāng)?shù)臅r(shí)間、范圍內(nèi)保存這些文件,以幫助用戶和審計(jì)人員在系統(tǒng)內(nèi)部和系統(tǒng)之間正向或反向追蹤經(jīng)濟(jì)業(yè)務(wù)。為加強(qiáng)系統(tǒng)可控性,系統(tǒng)應(yīng)能保證輸入和輸出數(shù)據(jù)能被合理編輯與驗(yàn)證,能識(shí)別用戶存取級(jí)別的合法代碼,能對(duì)主系統(tǒng)及子系統(tǒng)之間的接口加以控制等。傳統(tǒng)上,為了保證審計(jì)的公正性和客觀性,審計(jì)人員不參與系統(tǒng)開(kāi)發(fā),但是,由于在系統(tǒng)實(shí)施后建立控制非常困難并使費(fèi)用增加,而且隨著現(xiàn)在因系統(tǒng)內(nèi)在控制不足而導(dǎo)致?lián)p失的現(xiàn)象的增多,這種觀點(diǎn)正在變化,審計(jì)人員參與設(shè)計(jì)過(guò)程將成為系統(tǒng)具備可審性和可控性的一種有力保障。
隨著管理者越來(lái)越需要決策的信息,以便有效地組織和控制資源,決策支持系統(tǒng)逐漸出現(xiàn),這種系統(tǒng)與早期的作業(yè)型系統(tǒng)迥然不同,很多是由管理者委托開(kāi)發(fā)或自行設(shè)計(jì)的。這些應(yīng)用程序在控制方面的問(wèn)題更多。首當(dāng)其沖的問(wèn)題就是缺乏質(zhì)量保證,包括沒(méi)有對(duì)需求做詳細(xì)說(shuō)明,軟硬件的搭配不當(dāng),缺乏文檔數(shù)據(jù)有效性的檢驗(yàn)、控制、備份和恢復(fù),以及缺乏數(shù)據(jù)安全性檢測(cè)等。針對(duì)含糊不清的需求問(wèn)題,應(yīng)采用原型法開(kāi)發(fā)策略,原型法下,系統(tǒng)的需求定義過(guò)程是一個(gè)不斷交流的過(guò)程,原型法是一個(gè)迭代過(guò)程,即先定義少量功能,然后反饋、評(píng)價(jià),再擴(kuò)充功能,直至滿意為止。所以成為解決需求定義的一種有效方法。此外,對(duì)自行開(kāi)發(fā)者,用戶顧問(wèn)應(yīng)制定規(guī)章制度和步驟,引導(dǎo)用戶進(jìn)行開(kāi)發(fā),建立選取軟硬件的準(zhǔn)則以防止系統(tǒng)不兼容問(wèn)題。
三、系統(tǒng)規(guī)劃實(shí)施階段的控制損失策略
規(guī)模較大的系統(tǒng)要運(yùn)用起來(lái),都需要經(jīng)過(guò)規(guī)劃實(shí)施環(huán)節(jié)。系統(tǒng)供應(yīng)商一般都配有自己的軟件實(shí)施人員,目前,管理技術(shù)咨詢(xún)公司也正在興起。我國(guó)企業(yè)界現(xiàn)已漸漸接受這樣的觀點(diǎn):有償借助第三方的知識(shí)性服務(wù),作為企業(yè)“外腦”。加之第三方在軟件選擇方面往往具有客觀公正性,而且作為專(zhuān)業(yè)化服務(wù)者在系統(tǒng)實(shí)施、幫助企業(yè)提高管理水平方面往往具有更豐富的經(jīng)驗(yàn)。實(shí)施活動(dòng)的質(zhì)量直接影響系統(tǒng)運(yùn)用,咨詢(xún)公司參與軟件實(shí)施可以更好地提高應(yīng)用質(zhì)量、系統(tǒng)銷(xiāo)售與服務(wù)分離將成為一種趨勢(shì)。
管理當(dāng)局及來(lái)自外部的協(xié)作實(shí)施人員應(yīng)做好有效控制的前期工作:設(shè)定組織系統(tǒng)體系,明確劃分不同層次的各部分,規(guī)定各部門(mén)權(quán)責(zé)及相互協(xié)調(diào)關(guān)系。按各部門(mén)職責(zé),研討其權(quán)責(zé)內(nèi)的各種作業(yè)方式、性質(zhì)和特征,并說(shuō)明正常情況與特殊情況下的各種問(wèn)題。擬定各種作業(yè)細(xì)則或手冊(cè),分別按各種主要業(yè)務(wù)擬定各種作業(yè)處理辦法或手冊(cè)。擬定內(nèi)部控制作業(yè)程序,根據(jù)作業(yè)調(diào)查研究結(jié)果和組織體系結(jié)構(gòu),制訂作業(yè)程序草案,并與有關(guān)部門(mén)或人員討論,征求意見(jiàn),進(jìn)行修改,直到完善。
在進(jìn)行物理裝備時(shí),應(yīng)保證計(jì)算機(jī)房具有防火、防水、防風(fēng)的能力,需要有滅火器、排煙檢測(cè)器、排水裝置和擋風(fēng)設(shè)備。在事故發(fā)生時(shí)能及時(shí)斷電,正常斷電時(shí)又能提供后援電源。有及時(shí)提供備用的機(jī)器設(shè)備。應(yīng)提供對(duì)磁性介質(zhì)進(jìn)行嚴(yán)格保護(hù)的存貯設(shè)備。預(yù)先設(shè)置災(zāi)難及故障恢復(fù)系統(tǒng)。程序測(cè)試時(shí)要考慮到內(nèi)部控制方面的內(nèi)容,包括職責(zé)分工、人員管理、運(yùn)行過(guò)程、最大負(fù)載情況、存貯分配、運(yùn)行時(shí)間、系統(tǒng)恢復(fù)、安全保護(hù)、數(shù)據(jù)錄入、處理和輸出。在測(cè)試過(guò)程中應(yīng)仔細(xì)考慮可能發(fā)生的各類(lèi)錯(cuò)誤和不正當(dāng)行為,以確定防止這些錯(cuò)誤和不正當(dāng)行為的內(nèi)部控制規(guī)程,對(duì)系統(tǒng)潛在的缺陷作出評(píng)價(jià),并分析估計(jì)這些缺陷所產(chǎn)生的影響及能夠采取的避免措施。
四、系統(tǒng)運(yùn)用維護(hù)階段控制損失的策略
系統(tǒng)運(yùn)用維護(hù)階段的內(nèi)部控制按常規(guī)一般分為:管理控制、一般控制和應(yīng)用控制,這是從作業(yè)方面采取的控制措施,本文主要從戰(zhàn)略方面來(lái)考察如何減少并消除控制損失的策略,并不對(duì)作業(yè)方面的控制措施進(jìn)行探討。
在考察對(duì)發(fā)生故意錯(cuò)弊行為的意圖進(jìn)行控制的策略方面,可以考慮增加施行這種行為的難度,增加被逮住或結(jié)果失敗的可能性,并加大對(duì)此類(lèi)行為的懲罰力度。實(shí)施這一策略的兩種有代表性的方法就是實(shí)行職責(zé)輪流制和內(nèi)部審計(jì)制度。除部分組織程序有特別規(guī)定以及不能實(shí)行職責(zé)輪流制的崗位外,員工應(yīng)該輪換工作。內(nèi)部審計(jì)是控制損失的獨(dú)立系統(tǒng),加強(qiáng)內(nèi)部審計(jì)能檢查出發(fā)生的錯(cuò)誤,打消試圖作弊或意欲犯罪的意圖,內(nèi)審人員應(yīng)定期規(guī)則地檢查與計(jì)算機(jī)有關(guān)的控制目標(biāo)、過(guò)程以及遵照情況,核實(shí)數(shù)據(jù)和程序的完整性。
針對(duì)串通舞弊及人為錯(cuò)誤的策略:不相容職責(zé)的恰當(dāng)分離可以為避免單獨(dú)一人從事和隱瞞不合規(guī)行為提供合理的保證,但是,合伙即可避開(kāi)這類(lèi)控制,況且控制措施發(fā)揮作用的有效程度關(guān)鍵還要取決于執(zhí)行人員的實(shí)際動(dòng)作,員工的粗心大意、精力分散、理解錯(cuò)誤、判斷失誤、曲解指令等都會(huì)造成控制失效。這就需要強(qiáng)調(diào)人力資源管理,應(yīng)選擇具備適當(dāng)?shù)哪芰拓?zé)任感的員工,并將賦予他們的責(zé)任清晰化。此外,應(yīng)建立完善的檢查規(guī)范,正確地監(jiān)督他們,并定期檢查其勝任能力,在分派人員時(shí),應(yīng)考慮員工的道德責(zé)任,特別是分派具有高度風(fēng)險(xiǎn)的敏感性位置時(shí),應(yīng)考慮進(jìn)行附加調(diào)查(比如查找檔案材料或以前的工作記錄或有關(guān)評(píng)價(jià))。應(yīng)建立并貫徹執(zhí)行合理公正的業(yè)績(jī)?cè)u(píng)價(jià)體系,將與系統(tǒng)有關(guān)員工的工作質(zhì)量和效率指標(biāo)化,并與業(yè)績(jī)?cè)u(píng)價(jià)及收入水平掛鉤。
企業(yè)已有的控制措施一般都是為重復(fù)發(fā)生的業(yè)務(wù)類(lèi)型而設(shè)計(jì)的,因此會(huì)對(duì)不正常的或未能預(yù)料到的業(yè)務(wù)類(lèi)型失去控制的能力。企業(yè)處在經(jīng)常變化的環(huán)境之中,這就會(huì)導(dǎo)致原有的控制程序?qū)π略龅膬?nèi)容失去控制作用,在變化過(guò)程中可能會(huì)發(fā)生差錯(cuò)和不合規(guī)行為?刂平裉炷苡行Оl(fā)揮作用,但不能保證該控制明天或明年仍然有效。所以,應(yīng)建立作為一種例行過(guò)程的反饋機(jī)制,監(jiān)督控制的功能,沒(méi)有反饋機(jī)制,就無(wú)法監(jiān)督控制的有效性,還應(yīng)對(duì)反饋機(jī)制提供的信息進(jìn)行分析,以決定控制是否需要調(diào)整或變更,從而達(dá)到增強(qiáng)控制有效性的目的。
此外,控制所尋求的保證水平有必要根據(jù)其成本而定,一般來(lái)說(shuō),控制程序的成本不能超過(guò)風(fēng)險(xiǎn)或錯(cuò)誤可能造成的損失和浪費(fèi),否則,再好的控制措施和方法也將失去其降低成本的意義。當(dāng)避免損失的努力不符合成本效益原則時(shí),商業(yè)保險(xiǎn)是免遭過(guò)大損失或者是可能性小的及發(fā)生不頻繁損失的最好方式。購(gòu)買(mǎi)承保保險(xiǎn)總額大小取決于管理者偏好以及企業(yè)能夠承受系統(tǒng)風(fēng)險(xiǎn)所引起損失的大小。保險(xiǎn)并不針對(duì)普通操作上的薄弱點(diǎn),但是,它能保護(hù)系統(tǒng)因破壞者、自然災(zāi)害、盜竊文件者、盜用者、能接近系統(tǒng)的員工以及因失去文件、軟硬件或數(shù)據(jù)中斷所引起的收入損失。
會(huì)計(jì)信息系統(tǒng)控制損失的策略
- 發(fā)表評(píng)論
- 我要糾錯(cuò)