1、云会计的风险识别与应对 周文娟 遵义师范学院 摘 要: “互联网+”的广泛应用使会计与云计算的有机融合成为大势所趋, 云会计也以其高效的信息共享和高扩展性而受到企业的青睐。然而实际推广中由于互联网的开放性等特殊原因, 也暴露出了诸如云服务选择困惑、服务等级协议迷惑、信息数据丢失毁损、系统违规操作和合法合规性不足等问题和风险, 成为阻碍我国会计信息化进程的瓶颈。本文以企业应用云会计过程中财务信息的传输、存储和使用风险为研究对象, 在识别、确认和评估上述风险因素的基础上提出了应对策略。关键词: 云平台; 云会计; 风险管理; 一、引言随着互联网经济的迅猛发展和“互联网+”的广泛应用, 以云计算与会
2、计深度融合为标志的“互联网+会计”成为会计信息化发展的主流趋势, 云会计也以其低成本高效率、不受物理硬盘限制的高扩展性、易于与外部机构交互协同等应用优势而越来越受到企业决策层的青睐。与此同时, 越来越多的互联网云计算服务提供商也适时抓住云会计服务的商机, 相继推出了“金蝶云会计服务”、“中兴通讯财务共享服务中心”、“中铁建财务共享服务中心”等云会计平台, 来满足云会计市场日益增长的企业应用需求。然而在云会计的大范围应用推广中也必然引发和衍生牵涉财务信息存储传输安全、单位专职人员调整和财会内部管理控制等方面的问题和风险, 一旦防控不慎或处置不当极有可能妨害企业经营效益的提高, 对于大数据云计算在
3、会计领域的整体推进产生的负面影响。本文从云会计推广实施的企业内部环境分析入手, 合理设定基于企业战略导向的云会计实施目标, 选用德尔菲法有效识别出云会计应用过程中存在的六类主要风险, 并有针对性地逐一提出了应对策略。二、云会计的风险识别(一) 推广实施云会计的企业内部环境识别和管控云会计风险的前提条件是充分分析考量云会计运行的企业内部环境。比较而言, 中小企业由于人员和内部机构较少, 其内部环境相对单纯简单, 但是处于初创阶段的中小企业往往不太重视财务管理, 负责记账的会计和收付现金的出纳由企业所有者亲信人员一人担任的现象屡见不鲜, 难以实现不相容职务的绝对分离。云会计刚好在这方面进行了约束要
4、求, 以财物管理操作权限赋予的分散性保证企业资金的安全性, 对于提升中小企业的财务管理风险防控意识很有助益;反观大型企业的财务共享中心则相对复杂、庞大且正规, 集团化管理之下的公司内部组织结构呈现偏平化趋势, 对于风险的防控意识和识别处理能力也会更强。(二) 设定推广实施云会计的目标(1) 风险分析目标设定。提前设定云会计风险分析的目标, 有助于企业管理人员比对预期愿景与现实结果, 从而厘清和确认风险因素的主次地位, 更有针对性地制定风险管理方案。影响风险分析目标设定的因素一般有以下四方面:一是企业自身的战略发展规划;二是基于战略发展规划的企业内部部门组织之间的相互关系;三是企业对于风险的总体
5、态度是偏好风险挑战还是趋于追求保守稳定;四是企业对于财务突发事件和意外状况的应对和承受能力。(2) 实施云会计的目标设定。一是云会计服务的选择目标。根据企业战略导向、发展实际和管理层意愿, 来确定云会计服务类型的选择方向, 既可以选择公有云也可以采用私有云或者混和云平台。二是具体细节评估。应考量实施云会计应用的具体成本、财务管理运营效率的提高程度、是否可以清晰确认计量等具体关键环节和因素。三是定位企业可以接受的风险范围和程度以及决策顶层的态度倾向。企业文化总体趋于保守稳重的, 可以划定选择风险概率较小的云会计范畴;企业文化总体崇尚创新挑战的, 可以划定选择风险挑战较大但可能给企业带来更多附加价
6、值的云会计范畴。(三) 云会计推广实施的风险识别方法及过程(1) 方法及选择。云会计风险识别常用方法有三种:一是头脑风暴法。在不设前提制约与框架束缚的情况下, 以讨论组或专题会议的形式, 凭借专门人才现场的思维碰撞和相互沟通启发, 通过前瞻性思维模式的拓展对即将发生的事件的潜在风险进行直观预判和推定并得出相关结论的一种识别方法。二是德尔菲法。通过反复向云会计风险研究方面的多位专家进行直接函询, 最后采纳他们意见趋同的建议共识, 并以此作为最终的云会计风险预判和识别依据的一种识别方法。三是流程图法。在对云会计实施方案作分析研究的基础上, 按照各元素及流程的逻辑因果关系绘制出流程图, 然后采用自下
7、而上追溯问题根源的办法查找风险所在的一种识别方法。鉴于目前对于云会计风险问题的理论研究体系尚未完全成型, 实务界的实践探索也尚处于积累经验的初始阶段, 本文决定选择德尔菲法作为识别云会计风险的主要方法。(2) 识别过程简述。研究中先是通过海量文献资料查找归纳出云会计推广实施中所面临的普遍风险问题, 然后从云会计服务供应商的选择和云会计平台应用两个方面进行追溯探析, 通过德尔菲法专家函询、问卷调查结合实证分析, 进一步筛选总结出云会计推广实施主要在“应用云服务选择决策”、“服务等级协议了解”、“信息数据”、“组织变革及人员变动”、“系统操作”和“合法合规性”六方面存在风险。(四) 云会计推广实施
8、的风险识别具体内容(1) 应用云会计服务选择决策风险。该类风险主要是指在决定是否选择应用云服务商提供的云会计服务以及决定应用后的平台选择过程中潜在的风险。选择应用云会计服务之前应对网络云会计服务商进行分类比较, 大致了解其雷同点和差异性, 然后根据企业的自身特点进行选择决策, 尽量避免毫无计划性的盲目抉择。比如大型企业集团应重点关注选择中兴通讯财务共享服务中心等基于中国电信公有云平台的私有云会计服务平台;中小企业则应重点关注选择金蝶友商网、金蝶云财务、用友伟库网等针对中小企业量身定制的标准化云平台软件。在云平台服务内容方面, 大企业由于自身技术实力雄厚, 一般对云会计服务提供商的及时快捷性关注
9、更多;中小企业则更在乎成本支出的可控性和基本业务需要的对口性。因此, 对云会计应用环境和服务提供商进行充分评估, 可以有效掌握云平台服务提供商的服务内容、水平及服务承诺兑现度, 对于提高云会计风险的识别防控具有重要意义。选择决策过程中的主要风险如表 1 所示:表 1 应用云会计服务决策风险 下载原表 (2) 服务等级协议理解风险。服务等级协议 (SLA) 一般包含“服务等级目标”、“违约处理条款”和“规则例外说明”三部分, 是对云会计服务商所提供服务的具体细节和相应资费的说明。如果对 SLA 了解把握不够, 就难以洞悉云会计服务协议中可能存在的陷阱和服务提供商的风险规避趋向, 难免给企业未来的
10、云会计应用实施带来不应有的障碍和风险。对 SLA 理解把握过程中的主要风险如表 2 所示。(3) 信息数据丢失毁损风险。由于信息数据在云会计应用企业和服务提供商之间传输、存储和处理使用的过程中均存在丢失毁损的潜在风险, 加之信息数据需在云平台资源池中存储处理, 中间可能出现因病毒感染、黑客入侵等不可控因素而导致的信息泄露问题, 且由于信息处理与使用的完全隔离导致一旦出现问题后企业不具有修复弥补的主动权。因此, 对该类风险的提早识别防控势在必行。该类风险具体如表 3 所示:表 2 对服务等级协议理解把握不充分的风险 下载原表 表 3 信息数据丢失毁损风险 下载原表 (4) 组织变革及人员变动风险
11、。企业在实施应用云会计之后, 由于企业内部组织结构变革和人事调动等因素所带来的部门职能重新划分、员工职位轮换等, 必然会对财务工作产生影响, 进而使云会计的应用面临一定的风险。云会计的大范围大规模应用对于应用单位各部门各管理人员之间的协调配合要求较高, 必须提早对相关人员的培训投入作好评估规划。主要风险如表 4 所示:表 4 组织变革及人员变动风险 下载原表 (5) 系统操作风险。企业在实施应用云会计后, 无论管理层、执行层还是一线财务人员都存在一个适应期, 期间难免发生操作人员因不熟悉新规则程序, 加之主管领导监管不力的违规越权操作行为, 可能给企业云会计模式下的财务管理带来一定的问题和风险
12、。这方面的主要风险如表 5 所示。(6) 合法合规性风险。一方面, 企业实施应用云会计开展业务处理存在是否合法合规的问题;另一方面, 云会计完全依托互联网, 外部政府监管机构存在联合公安电信网监等部门进行突袭式检查的技术条件和可能。因此, 源自外部环境的法律风险还是存在于企业应用云会计的全过程。具体如表 6 所示:表 5 系统操作风险 下载原表 表 6 合法合规性风险 下载原表 三、云会计的风险应对策略(一) 选择决策方面(1) 科学规划, 审慎决策。一是切实提高应用云会计的风险防控意识。企业决策管理层在决定应用云会计服务之处, 就应该对其潜在风险的多发性保持足够清醒的认识, 立足防范, 未雨
13、绸缪, 力求采取有效防控措施将风险牢牢掌握在可控范围。二是以详尽周密的计划准备和科学谨慎的高层决策抵御云会计应用风险的隐蔽性和突发性。既可以按照实施应用云会计的时间次序来制定详尽的计划方案, 又可以依据选择云平台的类别拿出针对性强的规划预案。比如按时间顺序可以依次确定“成立云会计专门风控管理团队”、“提升相应部门的职权和地位”、“事前风险防控”和“事中风险防控”等重点工作事项;依据所选择云平台的种类不同, 可以在与云会计提供商平等协商的基础上, 先期保留企业传统会计软件的使用, 在云会计应用试运行期采用两种方式双管齐下, 给云会计服务应用企业和提供商双方都预留充足的适应期和磨合期, 以确保未来
14、云会计应用的安全高效。(2) 充分了解, 适宜选择。既要全面了解拟合作云服务商的技术、声誉等方面的真实情况, 又要吃透企业自身应用云会计的内部环境。尽可能选择那些规模较大、声望较高、客户较多的云平台, 以确保它们有足够雄厚的资金和技术实力来落实各项抵御入侵、监控风险的必备措施。在云平台类别选择方面要遵循“只选对的不选贵的”的原则, 真正把企业自身主营业务的需求, 与云平台的服务特性紧密结合起来通盘决策考量, 最终选定最适宜企业战略导向和发展实际的云会计供应商。(二) 服务等级协议理解方面(1) 应用企业在签订服务等级协议时应选择最适合自身的服务内容和水平。服务等级协议是供需双方有关在线传输及关
15、联服务品质的具有一定法律约束力的合约保证, 是界定明晰双方责权利关系的重要文件凭据, 必须充分理解、高度重视。对于选定的服务内容和等级应在条款中表述清楚, 不能因模棱两可存有歧义而为之后的纠纷埋下隐患。服务内容的选择主要依企业业务需求而定, 服务等级则类似银行的 VIP 客户, 等级越高在网络拥堵时会被安排优先服务位次。通常来说, 大型企业集团对于服务等级的要求会更高, 而中小企业由于财务信息处理量相对较小, 只需能够满足基本信息安全和服务通道畅通的标准级服务等级即可。(2) 强化对中小企业云会计应用的立法保护。毋庸讳言中小企业在云会计服务应用市场中明显处于弱势地位, 政府监管部门应与时俱进地
16、加快有关云平台云会计方面的立法进程, 通过制定出台相关法律条文和政策法规, 明确云服务供应商所应当承担的责任和义务, 督促应用企业高度重视和全面理解服务等级协议, 有效避免因云服务中断、数据丢失毁损等风险而给中小企业造成的意外损失, 从立法高度切实保障应用云会计中小企业的合法权益。(三) 数据信息丢失毁损方面(1) 利用技术手段强化数据信息的加密安防措施。运用多种方式、不同功能的计算机信息技术来加强财务信息的数据加密和安全防护, 对于财会信息的访问权限设置要力求复杂稳妥, 对于来历不明的钓鱼软件要具备自动防御和拒绝安装的功能, 对于企业重要的财务信息数据要及时另存备份。比如对于企业财务信息的访
17、问读取应采取数据加密形式, 借助类似银行 U 盾的专门外插硬件才可以有效进入, 还可以与应用企业专职人员的手机进行绑定, 通过发送手机信息认证码的形式提高安防能力和等级。(2) 有效实施动态云端监控。对于海量信息存储的云平台资源共享池, 要实施24 小时不间断动态实时监控以确保万无一失。一是构建运行可靠的云安全体系, 快速识别隔离异常程序和木马病毒, 提早预防和即时处理非法入侵;二是对日常业务处理实施督导反馈, 对于违规操作和操作失败等情况及时进行确认、诊断、报告和反馈。(3) 建立健全内控机制。应用云会计服务企业在付费获得接入权限后, 也要特别加强对于操作使用权限的内控管理:一是运用人脸和指
18、纹识别技术把好资源共享池的登录权限入口关;二是实行不相容职位彻底分离制度, 确保单一个体无法独立完成业务交易;三是进一步完善规范操作流程, 并不断强化操作流程的监督执行。(四) 组织变革和人员变动方面(1) 营造氛围, 凝聚人心。做好云会计应用的宣传造势和原有信息技术人员的心理安抚工作, 避免因对云会计的心理抵触和恐慌而发生不正常的人员离职。通过一对一面谈辅导、集中培训等形式, 让大家知晓云服务的优势和便利, 提高工作人员适应云会计模式的能力, 提振相关重点岗位人员的士气。(2) 以实施应用云会计为契机加快财务和业务一体化进程。随着基于大数据云计算的云会计的实施应用, 企业的会计重点也将实现由
19、传统基础核算向宏观财务分析与决策的战略性转移。因此, 应用云会计企业也应及时作出应对策略的调整:一是对原有财务人员进行调配使用。保留负责财务决策的人员继续原岗履职, 将更多财务骨干大胆安排到一线业务部门担当重责, 将其财务知识素养更好地融入和发挥到成本控制、流程优化和风险识别管控等企业管理运营的关键环节;二是扩大财务管理人员的选材用材视野。吸收管理人员和业务人员参加以云会计应用为主要内容的培训教育, 让更多业务骨干精英同时掌握云会计和财务分析知识, 以适应云会计模式下企业经营管理的变化。(3) 以实施应用云会计为契机加快推行全面预算管理。除了前文提到的会计重点由基础核算向财务分析决策转变外,
20、企业实施应用云会计后的财务功能还将发生由资金控制向整体管理的转变。因此, 要全面提升管理人员的综合素质, 要求他们具备能够读懂和分析企业财务报表的能力, 相应地对于企业的全面预算编制和执行管理也提出了更高要求, 特别是预算编制应更加及时科学, 以便企业在应用云会计后财务数据更趋虚拟化的背景条件下, 能够具有一个可以量化的具体项目收支比对标准, 在日趋激烈的市场竞争中以此防范和降低经营风险。(五) 系统操作方面(1) 加强人员培训的针对性。信息技术革命和互联网时代的最大特点就是信息存储处理数量的日益庞大和更新变化的不断加速, 基于信息技术和网络的云会计也概莫能外。由于云会计平台会不断根据会计准则
21、和企业用户主体的业务需求变化, 更新调整云会计系统运行规则和业务处理的方法, 应用云会计企业人员如果不能及时了解掌握这些更新变化, 依旧按照惯性沿用旧有方式方法, 就可能造成重大偏差和失误, 给企业带来难以挽回的经济损失。因此, 云平台应及时将更新变动讯息告知用户企业, 并采用线上远程教育为主结合线下培训为辅的方式, 有针对性地就更新后的规则和模式开展对企业员工的辅导。(2) 强化内部控制的有效性。正如传统会计操作中记账会计与现金出纳必须分开一样, 云会计模式下类似业务处理的录入和审核这种不相容职位也必须实现完全分离;对于已提交会计信息的修改必须履行严苛的审核程序, 便于发生重大风险问题后查找
22、源头线索、分清事故责任;为避免数据修改时发生重复混乱现象, 系统应设置数据修改的锁闭功能, 待确定修改完毕后再恢复开放权限访问。(六) 合法合规性方面(1) 建议尽早制定出台针对云会计信息安全的专门法律法规和政策文件。国家现行的信息安全法和新近出台的网络安全法在规范对象上还是显得过于笼统, 目前尚无专门针对云会计的法律法规和司法解释, 立法规范明显落后于我国云服务云会计市场迅猛发展的形势需要。建议政府相关部门在做好云会计专项市场调研和广泛听取社会各界意见的基础上, 尽早草拟、制定和出台专门的法律法规和配套实施细则, 维护和推进云会计市场健康良好的发展势头。(2) 进一步建立和完善企业风险管控机
23、制。鉴于云会计模式下国家审计监管部门可以在特定条件下直接向云服务商调取企业财务信息数据, 应用云会计企业应放弃任何违背法律法规行为能够擦边过关的侥幸心理, 通过树立风险防范意识和健全内控管理制度来最大限度地预防和降低各类风险。(3) 明晰界定合同合约中的责权利关系。对于服务等级协议、业务合同甚至包括双方的合作备忘录, 在正式签订之前必须逐项了解把握具体条款内容, 特别是牵涉到双方责权利关系和义务履行分配的, 更要做到清清楚楚、明明白白, 切实避免因界定不清楚、理解不到位而造成的云会计风险。参考文献1翟淑婷:大数据下云会计的探索与应用, 现代商业2015 年第 3 期。 2蔡立新、王垒垒:云会计
24、服务的 SWOT 分析, 商业会计2015 年第 3期。 3谌英:云会计在中小企业会计信息化应用中的 SWOT 分析, 交通财会2015 年第 11 期。 4蒋丽霞:“云会计”在中小企业会计信息化中的实际运用, 电信工程技术与标准化2015 年第 11 期。 5杨继杰、张林:互联网+会计的应用研究, 经济研究2015 年第 10 期。6杨竑:会计信息系统“云化”研究, 金融会计2015 年第 11 期。 7尚维珊:云会计对审计的影响和对策探析, 北极光2015 年第 10 期。8程平、温艳好:基于云会计的 AIS 可信性层次结构模型, 重庆理工大学学报 (社会科学) 2014 年第 2 期。 9汤长胜:会计信息系统对会计信息质量的影响分析, 商业会计2012年第 9 期。
