1、企业会计信息化的风险与管理策略研究摘要本文在对当前企业会计信息化进行定义的基础上,分析了信分离失去作用 ;另一方面.计算机系统的应用精要企业分离新的职责。息化造成企业风险变化的房、因,据此总结了企业会计信息化的四类风险传统上,企业通过将同一个业务活动的授权、执行、记录、保管等职以及风险管理要素,并提出了企业会计信息化,风险管理的基本策略。责分开来防止在正常工作过程中发生的人为错误或舞弊,降低或消除业务活动的风险。但是在 IT 环境下,情况发生了变化,很多职责改由计企业信息化是指企业组织中或组织间发生和发展的,依据现代管理理算机系统负责,此时职责分离的重点在于信息系统和业务职能的相五念 .应用现
2、代信息技术.整合企业的生产、经营、设计、制造、管理等流程,及时、独立。以某些应用 POS 系统的超市为例,收银台的收款员在计算机系准确地向企业各层管理提供充分和有用的信息支持,以便对企业内外需求做统的辅助下一个人就可以完成执行、授权、记录和保管工作,其中的授出快速、有效反应等一系列过程的总称。随着信息技术的广泛应用,企业信息权、记录和保管职责可以由计算机系统实现:当顾客购买商品时,收歉化已经成为大多数企业生存和发展中不能忽视的工作。在很多经济和管理领员扫描商品的条形码,由计算机系统自动读取商品价格 s 计算数量,然域,信息技术的应用已经渗透在整个企业甚至全行业的业务活动之中。后打印销售及收款票
3、据。在收款员收取现金后 .计算机系统自动更新销企业会计信息化是企业信息化的一部分,它是指在会计管理部门售收入余额和存货余额。如果发现存货余额低于最低数量,计算机系统中,依据会计管理理念,应用现代信息技术.整合会计部门的各会计业还可以自动向供应商发出定单。在没有应用计算机系统之前,完成以上务流程,或整合企业业务流程、会计业务流程、信息流程,及时、准确地工作需要三个人,销售人员负责接待客户、开票、输入单价,收银员检查向企业各层管理提供充分和有用的会计信息支持,以便对企业内外会禀据、收取现金,上货员负责随时检查存货数量和在必要时订货。计信息糟求做出快速、有效反应的一系列过程的总称。而整合企业业二)随
4、着信息化过程的不断深入,信息处理的集成度越来越高,对务流程、会计业务流程、信息流程是会计信息化的趋势之一。本文将从凤险的产生造成一定的影响这一趋势出发探讨会计信息化的风险问题。以往的很多看法认为,信息系统集成度越高,给企业带来的风险越由于信息技术的专业性和复杂性,在会计信息化过程中,企业的经多、凤险程度也越高,这实际上是对信息系统不了解而得出的印象。事营和管理工作面临着与以往不同的风险,需要企业采取与手工环境不实上恰恰相反,如果能够适当地熟悉和利用信息技术,高度集成的信息同的管理策略。一系统的风险程度反而更低。在信怠化应用初期,集成度较低的电子数据处理系统的做法是:每-、造成凤险变化的原因笔交
5、易部保留手工的原始凭证.很多中间处理结果也要打印出来,但是风险是企业遭受损失或伤害的可能性。会计信息化使得企业的风险发生随着数据量的增大和系统复杂性的提高,系统的使用成本大大增加,数变化,有些手工环境下的凤脸消失了,同时又产生了新的只险。主要原因是:据重复地在计算机系统和手工系统中交替记录和维护,使得数据的不(一会计信息化过程影响企业原有的职责分工一致性程度增大,反而增加了固有风险和控制风险。对于很多存在信息应用信息技术后,计算机系统中交易的授权、记录、执行、保管等权孤岛的应用来说,也存在着同样的风险;然而.在目前很多业务、财务一责划分与手工系统存在差异。主要表现在:一方面,手工环境下的职责体
6、化的应用中,由于很好地利用了信息系统和信息技术提供的管理方、三二吃飞!:.亨、豆:;!.兰 J 斗;俨电丘;.石、左二二;,亨、巳志也;,;.、:;.:主、;二.、艺;,;、;-尘、,!.飞;.巳;:;,-;:可曰;, ,!:;:;可二二;.i;企:;:;:;,吧乒.=平 :=;:;:;在马,!;:;.:;入心:;、乞 5 元;扣也二二、.;:-亨、-、本流转的程度和广度来看,地球正在变小,企相关的一些专业知识的学习和积累。例如.通供法律诉讼服务活动中形成的一个概念,在国外,业之间的国际竞争将日趋激烈。 过学习有关税收、金融、财政、管理、国际贸易、尤其是美国非常普遍。电子商务尽管给经济主体 5
7、 关于电子商务环境下的会计电子数据市场营销等现代管理科学和社会科学方面的带来新生的发展契机.但由于它处于不断发展阶法律效力问题。在法律能否接收计算机记录的知识,进一步加深对本专业知识内涵的认识和段.有很多方面并不完善。因而,经济主体问容易无纸化数据作为有效数据时,这个问题已成为理解,使自己的知识结构更趋合理。可以说,在发生经济纠纷,而诉讼会计正是针对这一问题出国际讨论的问题。在无纸化电子数据能否作为网络时代能否熟练地掌握财会专业知识和所现的,客观存在把会 i 十知只与法律知识有机结合审计和税务审查的有效证据时,是会计面临的必需的计算机方面的知识,将成为衡量一名财起来,运用专门的程序与方法,对当
8、事人财务收支最严峻的问题。会人员是否称职的重要标志。及相关经济活动作出正确、合理、合法的评价,并 l 二)建立和实施有效的会计内部控制系统收集有关会讯蹄,确定当事人的经济责任.为财三、电子商务环辘l企业会计发属的基本基于电子商务下的会计系统,由于其系统务报告需求者提供出最完美的财务报告,同时保思路的开放性,处理的分散性,数据的共享性等方面障电子商务活动在合法化的环境下进行。针对上述问题,根据笔者的多方咨询和参大大超过了以往类型的系统,极大地改变了计(四企业要建立信任机制考,现提出几点对策和解决思路.为企业未来算机系统的应用模式,扩展了系统运行的内容这主要指企业应取得用户认可,并让用户会计发展作
9、参考。和方法。因此,企业实施信息化过程时,如何将觉得电子商务安全可行,给人以亲切、方便的(一)企业应重视电子商务会计人员的培养各种控制过程嵌入业务流和信息流是极其重要感觉。在知识经济时代,企业知识资本的时间、的。建立健全的会计系统内部控制制度是保证(五)加大电子商务会计软件的开发力度空间范围将比财务资本宽广得多,会计人员要电子商务环境下会计系统正常运行的基础。电子商务会计软件是电子商务会计实现跟上这种要求,就必须拓宽自己的视野.拓展(三)大力发展诉讼会计的基本环节,对于软件开发公司来说,要加大自己的专业知识菌,必须关注与会计专业密切诉讼会计是会计专业人员在为其当事人提对会计软件的开发,审核.验
10、收环节的监控。.?回?偏?叏?法和控制措施,反而极大地降低了上述风险。在实施会计信息化的企业,很多业务由计算机系统自动处理.因此三)交易处理轨迹发生了变化相应的业务执行风险也应由计算机系统承担,比如提供商品或服务未手工环境下,纸质单据或凭证体现着交易的处理过程,并起到了消经授权的风险可以通过在计算机系统中的一些设置来降低或消除。除或降低风险的作用。f9!J 如,采购定单及其附件在企业中的流转可以体二)信息处理风险,是指自信息处理过程导致的损失的可能性。信现出采购业务的处理过程(图 1)。在收到供应商发票后,应付账款部门患处理过程也称为信息流程或信息过程,可以分为三个环节:记录、维复查有关的凭证
11、,批准对发票的付款,并确认相应的负债。为了降低风护、报告。根据信息处理的环节来看,信息处理风险主要包括三种:险,企业须复查三张凭证:采购定单,用来确认是经采购部门授权的采 1.数据记录只险:是指不能完整、准确、真实地记录业务活动数据造购;验收单.用来确认商品已验收;供应商发票,用来确认供应商发票计成损失的可能性。比如在销售活动中记录客户订货信息时,漏记了客户算的正确性。如果发出请购的部门将请购单的一联交给应付账款部门.信用信息或错记了客户收货地点等。还须复查第四张凭证一一请购单。如果订购的项目与实际验收的项目 2 数据维护风险:是指数据或信息维护过程中发生损失的可能性。之间存在差异,应与供应商
12、沟通。在复查之后,由应付账款人员确认相比如未能及时反映客户地址、信用情况的变化,或者未能及时反映存货关的负债,把要支付的发票记为会计记录。在上述业务执行和信息处理的变化导致缺货情况的发生等。过程中,复查不同来源的已经确认的单据起到了降低风险的作用。3 信息报告风险:是指在信息报告过程中发生损失的可能性。比如有未经授权的人进行信息报告,或报告提供给了未经授权的人,或者未能及存货控制部门时提供管理所需的报告,像存货状态报告、缺货情况报告、盘点报告等等。吁 3三)资产保护风险。是指企业资产损毁、被盗等导致损失的可能性。会计信息化过程中的资产除了传统意义上的存货、设备、现金等之外,还皮包括信息系统、系
13、统内的信息或数据资源以及有关的文档、记录等。比如,有未经授权的人接触信息系统或记录、对敏感信息缺乏必采购部门存档要的保密机制、对信息系统资产缺乏灾难恢复措施等。应收账款部门(四)效益风险。是指由于未能有效地实现业务目标而造成损失的可能性。比如,在销售业务中,每个销售环节如客户订单处理、装运、开票、收款等都一一正确执行了,但是却不能达到企业制定的销售目标如预计的销售收入、成本、利润等指标),这就是一种效益风险。通常效益风险与业务执行风险是相关的,也就是说,业务执行过程中,业务执图 1 采购定单的处理行风险和效益风险往往同时存在。企业不仅考虑业务执行是否无误,也然而在信息化后,大部分交易几乎没有直
14、接的纸质;痕迹;。单据之关注业务执行是否有效益。间的核对也与手工环境中的做法不同。此外,计算机系统中的信息在舰 COSO( Committee of Sponsoring Organizations of the Treadway 除或篡改时有可能不会留下痕迹。因此,原来的控制措施可能失去效用。Commission)在 1992 茸制定的内部控制框架的基础上.于 24 王军正是基于以上这些原因,企业在会计信息化过程中应重新评估有 9 月发布了企业风险管理框架)(Enterprise Risk Management 关的风险,才能减少信息化的损失,达到信息化的目标。Framework),将对企业
15、的风险管理提高到战略地位,认为风险管理是一个过程,并贯穿于从企业战略制定直到企业的各项业务活动。该框架二、企业会计俯息化的凤险与风险管理中,在原来的 3 个内部控制目标(报告、业务操作、符合性)的基础上增目前,已经有越来越多的企业出现业务与信息技术不断融合的趋势,加了战略目标,成为 4 个企业风险管理目标;原有的 5 个内部控制要素在这种情况下,信息化的风险会贯穿于企业的各项活动之中,因此,对企业控制环境、风险评估、控制活动、信息与沟通、监控)改进为 8 个凤险管会计信息化的凤险不能单独考虑,而应全面分析在信息技术和信息系统环理要素,分别是内部环境、吕标设定、事件识别、风险评估、风险响应、控境
16、中企业业务活动的风险。或者说,本文所讨论的会 i 村言息化风险是指在制活动、信息与沟通、监控;而管理实体也从原来的职能和单元两部分考虑到会计信息化的影响后企业业务活动商|陆的风险。可以分为囚类:扩展为子公司、业务单元、分支机构、实体层四部分(图 2)0一)业务执行风险.是指业务的具体执行过程中的失误带来损失的可能性。以销售业务执行过程为例,舰也务执行风险见和即表 1 销售业务执行过程中常见的业务执行风险销售业务主要环节业务执行风险提供商品或服务未经授权 a.jOdIr. sot6oc 有未经授权的雇员提供商品或服务 I!.-tl . 矗 odoa 已授权的提供或服务未能按时执行、未能执行或无意
17、中。.回 国由提供商品重复执行 Itiok_四回圃和服务提供了错误的商品或服务种类IU.ldt_ 提供或服务的数量、质量、价格有误 c白,.1量 商品或服务提供给错误的客户或地址 IJ 曲回幽幽睡 c.翩翩圃由. 商品或服务提供给未经授权(如信用检查)的客户噩幅画自未能按时收取款项或未收到销售款图 coso 企业风险管理框架收取的款项金额不正确对于企业的具体应用来说,控制活动仍然是其中需要重点关注的收取销售款有未经授权的雇员收取款项内容。将收到的款项存入错误的银行账户控制是降低或消除风险的活动,是针对风险而设立的,贯穿于整个收到的款项与实际付款的客户不符企业内部的各个阶层。因此,应该在风险评估
18、的基础上制定和实施相应?噩?噩?噩?噩噩幽噩噩疆酷-回?潦印佲瑨?剩?捯?呲?潮条猃湡?沲? 匰浭慭?獯?敡?獯湉来?敷?摷?穑浥?慹?潭獩潲?涌莹湴?浉殡?潮? 瑴? 敥?瑥?犸?的控制活动。表 2 是一个餐馆的部分风险和相应的控制活动的例子。计信息化不仅使得业务处理和会计处理实现自动化或半自动化,对应的管理技术和控制活动也应尽量集成或嵌入在信息系统中。对于很多表 2 某餐馆的部分风险和相应的控制示例中国企业来说,这种将业务处理和控制活动甚至审计方法集成在一起风险控制活动的信息化应用有更好的应用效果,并能由此获得更多的收益。因为传统厨师可以在没有菜单的情|厨师只能根据服务员签字的菜单做菜。即
19、.对于上,很多企业出于人员、成本等因素,管理上比较模糊,制度规定不够细况下给向己的朋友做菜|做菜活动.厨师只有执行职责,没有技权职责致,有些不相容职责没有分离和控制。比如北京小白羊超市连锁总店,|厨师只能根据服务员签字的菜单做菜。从而避免在采用新的信息系统之前,商品的采购、订货、验收、结款等职责都由采厨师可以按照未经服务员|出现由于做错菜而浪费食物,或厨师私自拿走食购员一人负责,难以实施有效的采购管理,很容易出现舞弊、成本过高签字的菜单做菜物的行为等情况。采用新的连锁管理和物流配送中心管理信息系统之后,重新组有时,服务员可以代替收款!收款机只能由经过授权的收款员接触。从而消除织了采购业务,在明
20、确不同业务权限的基础上,通过合理地利用信息技员收款其他人员接触现金的风险术和信息系统.将管理方法和控制措施集成到信息系统中.交给信息系在每天打炸时,有时会出现l 控制 1:对菜单和收据采用预先连续编号| 统自动履行和控制,从而以较小的代价达到好的管理效果。因此,好的收款机中现金与菜单上所|控制 2:有授权的人复查菜单、收据和收款机中|风险管理策略不仅可以加强管理,还能降低管理成本。记金额不符的情况|的现金三)注意强化会计人员在信息化管理中的作用,加强各类员工的在实际操作中,每一项确定的风险往往有多种控制措施可供选择,信息化相关培训 11 工作。信息化过程中,会计人员的一个重要职责应是负而各种控
21、制措施的效果和成本备不相同。一般情况下,组织不可能也不责企业整个业务的风险分析和控制咨询。传统上.会计人员在财务风险必要控制所有的风险。所以应该主要控制重要的风险。风险的重要性取分析和内部会计控制中发挥着重要作用。由于会计部门通常都是企业决于以下因素:中最早开始信息化的部门,这使得会计人员最早熟悉信息技术和信息 1 造成组织损失的可能性。系统,了解到它们带来的风险,并掌握到一些信息化管理和控制的基本 2 可能造成的损失的大小及其对组织的潜在影响。原理和方法。这就为会计人员提供了进一步发挥会计管理职能的基础。发生损失的可能性越大,或造成的损失越大时,风险的重要性也越随着信息化应用的逐步深入,会计
22、人员的工作重点将集中在如何更好离。通常,管理人员可以忽略一些影响很小、发生概率低的风险。而将重地利用信息系统为企业管理提供决策有用的信息,以及分析、识别和控点放在控制影响重大、发生概率高的风险上,而旦控制风险的收益应该制企业在信息化过程中面临的风险。大于控制风险的成本。同时,会计信息化使得企业的业务活动不断改进,也要求员工的业控制活动按照其用途可以分成三类:预防性控制,主要用于预防风务素质相应地改进。根据我们在一些企业的信息化所做的调研情况看,险,如分离不相容的职责就属于预防性控制;检查性控制,主要用于检很多信息报告不准确、不及时或业务执行中的错误都是因为员工不具查风险,即在风险发生时识别它们
23、,比如记账时检查原始交易记录,以备信息化后新的业务技能造成的。因此,加强员工不同领域不同业务技验证该交易是否经过授权 i 纠正性控制,主要用于从风险发生所带来的能的培训应该成为企业风险管理的重要策略之一。后果中恢复或修复损害,以及减轻损失,如根据实际成本和标准成本之只有良好的、适当的风险分析和评价以及配备具有相应技能的员间的差异分析来确定业务的改进方向。工,才能有效降低各种业务风险或杜绝风险的发生。(四)在风险管理过程中,应尽可能利用信息系统进行实时控制或预防三、企业会计笛息化凤险管理的策略性控制,而不是事后的纠正或补救。很多信息系统可以提供一些实时控制不少刚开始展开会计信息化工作的企业,认为
24、买来一个会计软件,自己手段来控制业务按事先确定的处理规则执行。以采购活动为例,在形咸菜置相应的硬件、系统软件等开始使用,就是信息化了。实际上,信息化并不购订单时,必须由经过授权的员工处理,同时只能向符合规定的供应商发是一个简单的项目,因为项目会结束,但是信息化的过程是不会停止的:出订单,这些规则都可以事先定义在信息系统中,如果采购订单形成过程一方面,企业因为所处环境的变化和业务的变化,一定会提出新的信息化中出现违反规则的情况,当前的处理就会暂时中断,转入其他处理流程,比需求,比如某些业务外包,或者与关系企业整合了物流,业务变了,信息化如对员工重新授权或更新供应商信息等。这也符合 COSO 对于内部控制的需求可能随之改变,支持业务执行的信息系统也会发生变化;另一方的看法:肉部控制不应被看作是添加在企业正常运营之上的东西,而是融面,总会有新的版本、新的平台、新技术出现,使得业务与信息系统之间进合在企业的业务之中的,此时,企业才有可能以最小的代价获得更好的控行一次又一次的整合
