【摘要】隨著電子商務(wù)與信息技術(shù)的發(fā)展,傳統(tǒng)會(huì)計(jì)信息系統(tǒng)(AIS)控制的局限性日益凸顯。事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)(EDAIS)控制由于考慮到各種事件中可能包含的風(fēng)險(xiǎn)���,而成為會(huì)計(jì)信息系統(tǒng)控制的發(fā)展方向。
隨著電子商務(wù)和信息網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,AIS與企業(yè)的其他業(yè)務(wù)信息系統(tǒng)的融合越來(lái)越緊密����。AIS的控制問(wèn)題不再是一個(gè)局限于會(huì)計(jì)部門的孤立的問(wèn)題�����,而成為一個(gè)涉及到企業(yè)各項(xiàng)活動(dòng)的系統(tǒng)性問(wèn)題。AIS控制問(wèn)題也不再是信息系統(tǒng)自身的問(wèn)題���,而應(yīng)該從AIS體系結(jié)構(gòu)出發(fā)�,從根本上改變AIS控制的方法與范圍�����。AIS體系結(jié)構(gòu)是指采集���、存儲(chǔ)�、處理����、傳輸數(shù)據(jù)的步驟、方法或數(shù)據(jù)處理程序的結(jié)構(gòu)�����,F(xiàn)有學(xué)術(shù)研究成果大多是在堅(jiān)持傳統(tǒng)AIS體系結(jié)構(gòu)及其內(nèi)部控制制度與控制觀點(diǎn)的基礎(chǔ)上��,從信息技術(shù)的角度探討如何加強(qiáng)AIS的控制�。這種控制與電子商務(wù)���、企業(yè)信息化的發(fā)展極不相適應(yīng)����,并且大大限制了企業(yè)的運(yùn)行效率。筆者從事件驅(qū)動(dòng)體系結(jié)構(gòu)的角度����,分析AIS控制。
一�����、傳統(tǒng)會(huì)計(jì)信息系統(tǒng)控制的局限性
��。ㄒ唬﹤鹘y(tǒng)會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處理流程
傳統(tǒng)AIS是建立在傳統(tǒng)會(huì)計(jì)體系結(jié)構(gòu)基礎(chǔ)之上的�����。傳統(tǒng)會(huì)計(jì)體系結(jié)構(gòu)是指現(xiàn)代信息技術(shù)出現(xiàn)之前�,會(huì)計(jì)人員在處理會(huì)計(jì)數(shù)據(jù)時(shí)所采用的一系列步驟和方法,即會(huì)計(jì)循環(huán)和會(huì)計(jì)恒等式����。基于這種體系結(jié)構(gòu)的AIS采集和存儲(chǔ)的數(shù)據(jù)是有關(guān)業(yè)務(wù)事件數(shù)據(jù)的一個(gè)子集,即只采集和存儲(chǔ)那些改變企業(yè)資產(chǎn)����、負(fù)債或所有者權(quán)益構(gòu)成的會(huì)計(jì)數(shù)據(jù)。圖1反映了基于傳統(tǒng)體系結(jié)構(gòu)的AIS采集����、存儲(chǔ)和處理業(yè)務(wù)數(shù)據(jù)的流程。
����。ǘ﹤鹘y(tǒng)會(huì)計(jì)信息系統(tǒng)控制的局限性
如圖1所示,傳統(tǒng)AIS處理流程原封不動(dòng)地保存了原始的會(huì)計(jì)循環(huán)�����,只是使用信息技術(shù)去自動(dòng)化老式的會(huì)計(jì)工作流程����。傳統(tǒng)AIS控制也正是基于圖1所表示的傳統(tǒng)體系結(jié)構(gòu)而形成的。
1.從原始數(shù)據(jù)錄入到財(cái)務(wù)報(bào)表輸出�����,整個(gè)過(guò)程頻繁使用了大量的事務(wù)文件和工作文件對(duì)會(huì)計(jì)信息進(jìn)行加工處理���,最終財(cái)務(wù)報(bào)表的可依賴性取決于原始數(shù)據(jù)的可靠性��。雖然使用了大量的中間文件�,但這些文件內(nèi)容大多來(lái)自于同一數(shù)據(jù)源�����。例如�,應(yīng)收賬款總賬及其所屬明細(xì)賬數(shù)據(jù)都來(lái)自同一銷售發(fā)票。由于存在“垃圾進(jìn)��,垃圾出”現(xiàn)象����,當(dāng)業(yè)務(wù)過(guò)程發(fā)生了錯(cuò)誤時(shí),不管記錄����、維護(hù)及報(bào)告過(guò)程使用的技術(shù)如何,都將造成報(bào)告錯(cuò)誤�。
2.分離職責(zé)和責(zé)任局限于使一個(gè)人的工作核查另外一個(gè)人的工作,著重于事后監(jiān)督���,而忽視了事前預(yù)防��。
3.沒(méi)有考慮到信息技術(shù)能夠減少業(yè)務(wù)活動(dòng)中的人為錯(cuò)誤����,能夠?qū)I(yè)務(wù)與控制規(guī)則的符合程度進(jìn)行監(jiān)控,而對(duì)會(huì)計(jì)數(shù)據(jù)進(jìn)行重復(fù)記錄���,對(duì)重復(fù)數(shù)據(jù)做大量調(diào)整�、核對(duì)���。這樣�����,既和現(xiàn)代企業(yè)對(duì)AIS的要求不相適應(yīng)�����,又影響系統(tǒng)的運(yùn)行效率�����。
4.AIS專門從事收集和處理其他部門所創(chuàng)造的數(shù)據(jù)信息的工作��,獨(dú)立于業(yè)務(wù)活動(dòng)��,是反映性的和糾正性的����,無(wú)法檢查�����、控制�、杜絕業(yè)務(wù)活動(dòng)過(guò)程中發(fā)生的錯(cuò)誤。
5.會(huì)計(jì)人員和審計(jì)人員在指導(dǎo)內(nèi)部控制制度的設(shè)計(jì)�����、實(shí)現(xiàn)�、維護(hù)和評(píng)估時(shí),根據(jù)會(huì)計(jì)管理工作的需要而設(shè)定�����,局限于會(huì)計(jì)工作的范圍�������?刂瞥绦蚴蔷植啃缘摹㈦A段性的���,沒(méi)有考慮與可能跨越幾個(gè)職能部門的業(yè)務(wù)過(guò)程有關(guān)的種種風(fēng)險(xiǎn)����,無(wú)法對(duì)財(cái)務(wù)活動(dòng)以外的其它活動(dòng)的風(fēng)險(xiǎn)進(jìn)行控制�����,而其他活動(dòng)的風(fēng)險(xiǎn)往往間接或直接地導(dǎo)致了財(cái)務(wù)風(fēng)險(xiǎn)的產(chǎn)生����。
二、事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處理流程
�����。ㄒ唬I(yè)務(wù)過(guò)程與事件
業(yè)務(wù)過(guò)程是完成企業(yè)戰(zhàn)略目標(biāo)的一系列活動(dòng)�。事件是表示業(yè)務(wù)過(guò)程中的單一活動(dòng)。一個(gè)企業(yè)的業(yè)務(wù)活動(dòng)可分為業(yè)務(wù)事件��、信息事件����、決策與管理事件�。業(yè)務(wù)事件是在業(yè)務(wù)過(guò)程中執(zhí)行的與向顧客提供商品和服務(wù)有關(guān)的業(yè)務(wù)活動(dòng)��;信息事件是指對(duì)信息進(jìn)行收集���、加工�、存儲(chǔ)���、維護(hù)、傳輸����、報(bào)告等的處理活動(dòng);決策與管理事件是管理者或其他人在計(jì)劃����、控制和評(píng)價(jià)業(yè)務(wù)過(guò)程時(shí)的決策活動(dòng),包括管理資源(人力�、物力及資金)和制定戰(zhàn)略規(guī)劃等。
����。ǘ┦录(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處理流程
事件驅(qū)動(dòng)體系結(jié)構(gòu)以業(yè)務(wù)過(guò)程和事件來(lái)構(gòu)造系統(tǒng),它以各類經(jīng)濟(jì)活動(dòng)事項(xiàng)為中心組織數(shù)據(jù)��,并獨(dú)立于應(yīng)用程序之外,業(yè)務(wù)數(shù)據(jù)輸入一次��,便可用于生成各種視圖驅(qū)動(dòng)應(yīng)用所能提供的全部視圖�。EDAIS是建立在事件驅(qū)動(dòng)體系結(jié)構(gòu)的基礎(chǔ)上,在業(yè)務(wù)發(fā)生時(shí)收集業(yè)務(wù)事件的所有數(shù)據(jù)(如時(shí)間����、地點(diǎn)、責(zé)任人和參與者���、涉及到的資源與風(fēng)險(xiǎn)等)�,把業(yè)務(wù)事件數(shù)據(jù)集成在數(shù)據(jù)倉(cāng)庫(kù)里����,同時(shí)利用信息生成工具對(duì)事件數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)進(jìn)行會(huì)計(jì)處理的。即按用戶需要產(chǎn)生各種報(bào)告視圖�����,如明細(xì)賬�����、分類賬和財(cái)務(wù)報(bào)表等,實(shí)現(xiàn)業(yè)務(wù)與會(huì)計(jì)的協(xié)同化處理����。EDAIS數(shù)據(jù)處理流程如圖2。
三����、事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)
EDAIS的風(fēng)險(xiǎn)除了財(cái)務(wù)風(fēng)險(xiǎn)外,還有常常直接或間接地給企業(yè)帶來(lái)財(cái)務(wù)損失的其他業(yè)務(wù)的風(fēng)險(xiǎn)�,這些風(fēng)險(xiǎn)可概括為:業(yè)務(wù)事件風(fēng)險(xiǎn)、信息事件風(fēng)險(xiǎn)及決策與管理事件風(fēng)險(xiǎn)����。每一個(gè)風(fēng)險(xiǎn)都會(huì)波及到財(cái)務(wù)部門,帶來(lái)財(cái)務(wù)風(fēng)險(xiǎn)����。風(fēng)險(xiǎn)的控制必須貫穿于各種事件之中�����,而傳統(tǒng)體系結(jié)構(gòu)忽視了許多與財(cái)務(wù)資源有關(guān)的非財(cái)務(wù)風(fēng)險(xiǎn)����。
(一)業(yè)務(wù)事件風(fēng)險(xiǎn)
業(yè)務(wù)事件風(fēng)險(xiǎn)包括:業(yè)務(wù)事件發(fā)生在錯(cuò)誤時(shí)間和地點(diǎn);業(yè)務(wù)事件沒(méi)有適當(dāng)?shù)氖跈?quán)�、操作順序錯(cuò)誤、涉及錯(cuò)誤的人員���;業(yè)務(wù)事件涉及錯(cuò)誤的資源類型與數(shù)量等����。這些業(yè)務(wù)操作風(fēng)險(xiǎn)用傳統(tǒng)體系結(jié)構(gòu)AIS是很難檢測(cè)出來(lái)的����。
(二)信息事件風(fēng)險(xiǎn)
信息事件中蘊(yùn)涵著信息收集�、加工、存儲(chǔ)�����、維護(hù)��、傳輸�����、報(bào)告等風(fēng)險(xiǎn)�。信息收集風(fēng)險(xiǎn)是指對(duì)業(yè)務(wù)事件不能做出正確的判斷,對(duì)數(shù)據(jù)采用了不適當(dāng)?shù)谋磉_(dá)形式,從而導(dǎo)致事件數(shù)據(jù)記錄不完整��、不準(zhǔn)確或無(wú)效��;信息加工風(fēng)險(xiǎn)是指不能對(duì)數(shù)據(jù)做出正確的選擇��、排序����、合并、更新����、計(jì)算等;信息存儲(chǔ)風(fēng)險(xiǎn)是指存儲(chǔ)哪些數(shù)據(jù)�����、存儲(chǔ)多長(zhǎng)時(shí)間�����、采用什么樣的存儲(chǔ)方式等發(fā)生錯(cuò)誤��;維護(hù)風(fēng)險(xiǎn)是指未察覺(jué)或未記錄組織的資源���、參與者�����、時(shí)間�����、地點(diǎn)的變化�;信息傳輸風(fēng)險(xiǎn)是指信息在AIS內(nèi)部子系統(tǒng)間或AIS與其他系統(tǒng)間傳輸時(shí)�����,發(fā)生誤傳��、盜竊�����、刪除����、被非法篡改等;信息報(bào)告風(fēng)險(xiǎn)是指報(bào)告輸出數(shù)據(jù)形式不當(dāng)��、或匯總錯(cuò)誤,或數(shù)據(jù)提供給未經(jīng)授權(quán)的單位或個(gè)人�����,或未及時(shí)提供數(shù)據(jù)����。
(三)決策與管理事件風(fēng)險(xiǎn)
決策與管理事件風(fēng)險(xiǎn)包括:未能對(duì)未來(lái)事件做出正確的預(yù)測(cè)�����,致使計(jì)劃制定錯(cuò)誤或不完善�����;由于規(guī)章制度不完善�����,指揮�����、協(xié)調(diào)����、控制失效,計(jì)劃或決策方案沒(méi)有得到有效的執(zhí)行���;由于對(duì)管理對(duì)象的狀態(tài)信息及管理決策目標(biāo)信息掌握不全�,未能對(duì)經(jīng)營(yíng)成果做出正確的評(píng)價(jià)��。
四�、事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)控制
EDAIS控制是根據(jù)事件驅(qū)動(dòng)體系結(jié)構(gòu)的特點(diǎn)而提出的,它把風(fēng)險(xiǎn)的控制貫穿于企業(yè)業(yè)務(wù)過(guò)程的各個(gè)事件中�����,實(shí)現(xiàn)了業(yè)務(wù)活動(dòng)�、信息處理、IT與風(fēng)險(xiǎn)控制的集成�。
(一)控制業(yè)務(wù)活動(dòng)
1.控制交易風(fēng)險(xiǎn)�����。建立在傳統(tǒng)體系結(jié)構(gòu)上的AIS只能被動(dòng)地接收各業(yè)務(wù)部門產(chǎn)生的數(shù)據(jù)�,是反映性的。一旦業(yè)務(wù)部門的業(yè)務(wù)操作出現(xiàn)問(wèn)題而沒(méi)有被發(fā)現(xiàn)���,必然要把錯(cuò)誤的數(shù)據(jù)帶入AIS���,而傳統(tǒng)AIS卻無(wú)法發(fā)現(xiàn)這些錯(cuò)誤��;EDAIS基于業(yè)務(wù)活動(dòng)構(gòu)建系統(tǒng)��,針對(duì)業(yè)務(wù)事件的各種可能風(fēng)險(xiǎn)�,設(shè)計(jì)交易授權(quán)��、操作規(guī)程和業(yè)務(wù)執(zhí)行過(guò)程的控制規(guī)則����。明確規(guī)定哪些人允許執(zhí)行哪些活動(dòng),接觸哪些資源���,哪些事件應(yīng)在什么時(shí)間發(fā)生在何處����。這樣����,在業(yè)務(wù)發(fā)生之前便評(píng)估其風(fēng)險(xiǎn),從會(huì)計(jì)信息的源頭上控制風(fēng)險(xiǎn)�,防止業(yè)務(wù)事件���、信息事件和決策與管理事件的錯(cuò)誤和舞弊�。
2.職責(zé)分離。EDAIS職責(zé)分離除了維持傳統(tǒng)的監(jiān)督與檢查功能外��,更注重提高效率與預(yù)防錯(cuò)誤的發(fā)生����。它能夠通過(guò)共同數(shù)據(jù)倉(cāng)庫(kù)整合、連接與協(xié)調(diào)各類平衡的活動(dòng)�,實(shí)現(xiàn)相關(guān)業(yè)務(wù)事件的相互牽制與自動(dòng)核對(duì)。例如���,當(dāng)銷售業(yè)務(wù)發(fā)生時(shí)���,可以把其數(shù)據(jù)直接輸入到數(shù)據(jù)倉(cāng)庫(kù),并直接與收款業(yè)務(wù)數(shù)據(jù)進(jìn)行自動(dòng)核對(duì)�,確保無(wú)誤后,再進(jìn)行會(huì)計(jì)處理��,而不必像傳統(tǒng)AIS那樣���,由會(huì)計(jì)部門分別接收各業(yè)務(wù)活動(dòng)數(shù)據(jù)�����,并進(jìn)行核對(duì)與處理�����,這樣��,既提高了組織運(yùn)行的效率和有效性���,又提高了系統(tǒng)控制的質(zhì)量����。
��。ǘ┌芽刂魄度胧录��,實(shí)現(xiàn)實(shí)時(shí)控制
傳統(tǒng)AIS作為收集與處理其他業(yè)務(wù)部門業(yè)務(wù)數(shù)據(jù)的一個(gè)獨(dú)立系統(tǒng)而存在��,控制范圍局限于會(huì)計(jì)部門����,控制時(shí)間滯后于業(yè)務(wù)事件;EDAIS將業(yè)務(wù)事件與信息事件進(jìn)行整合,能把控制規(guī)則嵌入到系統(tǒng)的記錄過(guò)程���、維護(hù)過(guò)程和報(bào)告過(guò)程中��,使控制程序和規(guī)則成為業(yè)務(wù)過(guò)程及信息過(guò)程中不可分割的職能�,防止發(fā)生錯(cuò)誤或舞弊��。在信息處理時(shí)���,檢查和管理與事件相關(guān)的處理規(guī)則、控制程序和政策���,實(shí)現(xiàn)對(duì)業(yè)務(wù)與信息處理的實(shí)時(shí)控制���。但是,為了實(shí)現(xiàn)系統(tǒng)控制的適應(yīng)性�,控制程序和規(guī)則要隨企業(yè)戰(zhàn)略、組織結(jié)構(gòu)�、業(yè)務(wù)過(guò)程和使用的信息技術(shù)的變化而改變。
�����。ㄈ⿲徲(jì)監(jiān)督
傳統(tǒng)AIS是從手工AIS中發(fā)展而來(lái)的,僅僅收集業(yè)務(wù)事件的財(cái)務(wù)數(shù)據(jù)��,還有一些重要的非財(cái)務(wù)數(shù)據(jù)被分割后�����,保存在各業(yè)務(wù)部門的子系統(tǒng)中��。這樣����,作為審計(jì)線索的業(yè)務(wù)事件數(shù)據(jù)通常被分割存放在組織的各個(gè)不同的職能領(lǐng)域。審計(jì)與會(huì)計(jì)人員進(jìn)行審計(jì)監(jiān)督時(shí)����,要到各業(yè)務(wù)子系統(tǒng)查找信息,然后在數(shù)量巨大的電子憑證和電子文件之間進(jìn)行拼湊�����。這種事后的審計(jì)與監(jiān)督工作�,難度大,可信度低�;在EDAIS中,每一個(gè)業(yè)務(wù)事件的有關(guān)資源��、事件、參與者和地點(diǎn)的數(shù)據(jù)元素都通過(guò)記錄過(guò)程收集在數(shù)據(jù)倉(cāng)庫(kù)里���。采用并行審計(jì)技術(shù)在AIS中嵌入審計(jì)模塊�����,從數(shù)據(jù)倉(cāng)庫(kù)中獲取業(yè)務(wù)事件的全息數(shù)據(jù)�,既可測(cè)試系統(tǒng)數(shù)據(jù)和業(yè)務(wù)規(guī)則的符合性�,又可為審計(jì)與會(huì)計(jì)人員提供追蹤與監(jiān)督業(yè)務(wù)過(guò)程的全面、詳細(xì)的電子審計(jì)線索�����,而且�,還可允許使用各種詳細(xì)的聯(lián)機(jī)數(shù)據(jù)來(lái)進(jìn)行審計(jì)分析和評(píng)估���。
�。ㄋ模┖(jiǎn)化中間處理步驟��,降低控制難度
由圖1可知����,傳統(tǒng)AIS中間處理步驟和物理文件多,而且與企業(yè)其他系統(tǒng)間的耦合度低,系統(tǒng)間協(xié)調(diào)性差��,數(shù)據(jù)傳輸難度大����;EDAIS收集描述業(yè)務(wù)活動(dòng)的各種多維數(shù)據(jù)并存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)中,按照信息需求�,建立信息報(bào)告工具,直接輸出各種信息報(bào)表����,大大減少了中間的處理步驟和物理文件數(shù)量。既減少了物理文件被非法篡改����、盜用、攻擊�、刪除的機(jī)會(huì),又降低了AIS與其它信息系統(tǒng)間數(shù)據(jù)的傳遞頻率����,從而降低了控制難度。
責(zé)任編輯:冠
