【摘要】隨著電子商務(wù)與信息技術(shù)的發(fā)展,傳統(tǒng)會(huì)計(jì)信息系統(tǒng)(AIS)控制的局限性日益凸顯�����。事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)(EDAIS)控制由于考慮到各種事件中可能包含的風(fēng)險(xiǎn)�����,而成為會(huì)計(jì)信息系統(tǒng)控制的發(fā)展方向�。
隨著電子商務(wù)和信息網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,AIS與企業(yè)的其他業(yè)務(wù)信息系統(tǒng)的融合越來(lái)越緊密����。AIS的控制問(wèn)題不再是一個(gè)局限于會(huì)計(jì)部門(mén)的孤立的問(wèn)題,而成為一個(gè)涉及到企業(yè)各項(xiàng)活動(dòng)的系統(tǒng)性問(wèn)題�。AIS控制問(wèn)題也不再是信息系統(tǒng)自身的問(wèn)題���,而應(yīng)該從AIS體系結(jié)構(gòu)出發(fā),從根本上改變AIS控制的方法與范圍���。AIS體系結(jié)構(gòu)是指采集���、存儲(chǔ)、處理��、傳輸數(shù)據(jù)的步驟�����、方法或數(shù)據(jù)處理程序的結(jié)構(gòu)���,F(xiàn)有學(xué)術(shù)研究成果大多是在堅(jiān)持傳統(tǒng)AIS體系結(jié)構(gòu)及其內(nèi)部控制制度與控制觀(guān)點(diǎn)的基礎(chǔ)上�,從信息技術(shù)的角度探討如何加強(qiáng)AIS的控制�����。這種控制與電子商務(wù)��、企業(yè)信息化的發(fā)展極不相適應(yīng)�����,并且大大限制了企業(yè)的運(yùn)行效率。筆者從事件驅(qū)動(dòng)體系結(jié)構(gòu)的角度�����,分析AIS控制����。
一、傳統(tǒng)會(huì)計(jì)信息系統(tǒng)控制的局限性
�����。ㄒ唬﹤鹘y(tǒng)會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處理流程
傳統(tǒng)AIS是建立在傳統(tǒng)會(huì)計(jì)體系結(jié)構(gòu)基礎(chǔ)之上的���。傳統(tǒng)會(huì)計(jì)體系結(jié)構(gòu)是指現(xiàn)代信息技術(shù)出現(xiàn)之前,會(huì)計(jì)人員在處理會(huì)計(jì)數(shù)據(jù)時(shí)所采用的一系列步驟和方法����,即會(huì)計(jì)循環(huán)和會(huì)計(jì)恒等式����;谶@種體系結(jié)構(gòu)的AIS采集和存儲(chǔ)的數(shù)據(jù)是有關(guān)業(yè)務(wù)事件數(shù)據(jù)的一個(gè)子集��,即只采集和存儲(chǔ)那些改變企業(yè)資產(chǎn)�、負(fù)債或所有者權(quán)益構(gòu)成的會(huì)計(jì)數(shù)據(jù)��。圖1反映了基于傳統(tǒng)體系結(jié)構(gòu)的AIS采集����、存儲(chǔ)和處理業(yè)務(wù)數(shù)據(jù)的流程。
�����。ǘ﹤鹘y(tǒng)會(huì)計(jì)信息系統(tǒng)控制的局限性
如圖1所示���,傳統(tǒng)AIS處理流程原封不動(dòng)地保存了原始的會(huì)計(jì)循環(huán)�,只是使用信息技術(shù)去自動(dòng)化老式的會(huì)計(jì)工作流程�����。傳統(tǒng)AIS控制也正是基于圖1所表示的傳統(tǒng)體系結(jié)構(gòu)而形成的���。
1.從原始數(shù)據(jù)錄入到財(cái)務(wù)報(bào)表輸出����,整個(gè)過(guò)程頻繁使用了大量的事務(wù)文件和工作文件對(duì)會(huì)計(jì)信息進(jìn)行加工處理,最終財(cái)務(wù)報(bào)表的可依賴(lài)性取決于原始數(shù)據(jù)的可靠性��。雖然使用了大量的中間文件��,但這些文件內(nèi)容大多來(lái)自于同一數(shù)據(jù)源����。例如,應(yīng)收賬款總賬及其所屬明細(xì)賬數(shù)據(jù)都來(lái)自同一銷(xiāo)售發(fā)票����。由于存在“垃圾進(jìn),垃圾出”現(xiàn)象����,當(dāng)業(yè)務(wù)過(guò)程發(fā)生了錯(cuò)誤時(shí),不管記錄�����、維護(hù)及報(bào)告過(guò)程使用的技術(shù)如何�����,都將造成報(bào)告錯(cuò)誤����。
2.分離職責(zé)和責(zé)任局限于使一個(gè)人的工作核查另外一個(gè)人的工作,著重于事后監(jiān)督�����,而忽視了事前預(yù)防�。
3.沒(méi)有考慮到信息技術(shù)能夠減少業(yè)務(wù)活動(dòng)中的人為錯(cuò)誤,能夠?qū)I(yè)務(wù)與控制規(guī)則的符合程度進(jìn)行監(jiān)控�����,而對(duì)會(huì)計(jì)數(shù)據(jù)進(jìn)行重復(fù)記錄�����,對(duì)重復(fù)數(shù)據(jù)做大量調(diào)整���、核對(duì)��。這樣����,既和現(xiàn)代企業(yè)對(duì)AIS的要求不相適應(yīng),又影響系統(tǒng)的運(yùn)行效率����。
4.AIS專(zhuān)門(mén)從事收集和處理其他部門(mén)所創(chuàng)造的數(shù)據(jù)信息的工作,獨(dú)立于業(yè)務(wù)活動(dòng)����,是反映性的和糾正性的,無(wú)法檢查�����、控制���、杜絕業(yè)務(wù)活動(dòng)過(guò)程中發(fā)生的錯(cuò)誤�。
5.會(huì)計(jì)人員和審計(jì)人員在指導(dǎo)內(nèi)部控制制度的設(shè)計(jì)���、實(shí)現(xiàn)�、維護(hù)和評(píng)估時(shí)�����,根據(jù)會(huì)計(jì)管理工作的需要而設(shè)定�����,局限于會(huì)計(jì)工作的范圍�������?刂瞥绦蚴蔷植啃缘����、階段性的,沒(méi)有考慮與可能跨越幾個(gè)職能部門(mén)的業(yè)務(wù)過(guò)程有關(guān)的種種風(fēng)險(xiǎn)���,無(wú)法對(duì)財(cái)務(wù)活動(dòng)以外的其它活動(dòng)的風(fēng)險(xiǎn)進(jìn)行控制��,而其他活動(dòng)的風(fēng)險(xiǎn)往往間接或直接地導(dǎo)致了財(cái)務(wù)風(fēng)險(xiǎn)的產(chǎn)生���。
二、事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處理流程
���。ㄒ唬I(yè)務(wù)過(guò)程與事件
業(yè)務(wù)過(guò)程是完成企業(yè)戰(zhàn)略目標(biāo)的一系列活動(dòng)�。事件是表示業(yè)務(wù)過(guò)程中的單一活動(dòng)����。一個(gè)企業(yè)的業(yè)務(wù)活動(dòng)可分為業(yè)務(wù)事件��、信息事件�����、決策與管理事件��。業(yè)務(wù)事件是在業(yè)務(wù)過(guò)程中執(zhí)行的與向顧客提供商品和服務(wù)有關(guān)的業(yè)務(wù)活動(dòng)����;信息事件是指對(duì)信息進(jìn)行收集�、加工、存儲(chǔ)�、維護(hù)、傳輸���、報(bào)告等的處理活動(dòng)�����;決策與管理事件是管理者或其他人在計(jì)劃��、控制和評(píng)價(jià)業(yè)務(wù)過(guò)程時(shí)的決策活動(dòng)����,包括管理資源(人力��、物力及資金)和制定戰(zhàn)略規(guī)劃等����。
(二)事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)處理流程
事件驅(qū)動(dòng)體系結(jié)構(gòu)以業(yè)務(wù)過(guò)程和事件來(lái)構(gòu)造系統(tǒng)����,它以各類(lèi)經(jīng)濟(jì)活動(dòng)事項(xiàng)為中心組織數(shù)據(jù),并獨(dú)立于應(yīng)用程序之外�,業(yè)務(wù)數(shù)據(jù)輸入一次,便可用于生成各種視圖驅(qū)動(dòng)應(yīng)用所能提供的全部視圖����。EDAIS是建立在事件驅(qū)動(dòng)體系結(jié)構(gòu)的基礎(chǔ)上,在業(yè)務(wù)發(fā)生時(shí)收集業(yè)務(wù)事件的所有數(shù)據(jù)(如時(shí)間�、地點(diǎn)、責(zé)任人和參與者����、涉及到的資源與風(fēng)險(xiǎn)等),把業(yè)務(wù)事件數(shù)據(jù)集成在數(shù)據(jù)倉(cāng)庫(kù)里�����,同時(shí)利用信息生成工具對(duì)事件數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)進(jìn)行會(huì)計(jì)處理的。即按用戶(hù)需要產(chǎn)生各種報(bào)告視圖���,如明細(xì)賬�����、分類(lèi)賬和財(cái)務(wù)報(bào)表等����,實(shí)現(xiàn)業(yè)務(wù)與會(huì)計(jì)的協(xié)同化處理����。EDAIS數(shù)據(jù)處理流程如圖2。
三��、事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)
EDAIS的風(fēng)險(xiǎn)除了財(cái)務(wù)風(fēng)險(xiǎn)外�,還有常常直接或間接地給企業(yè)帶來(lái)財(cái)務(wù)損失的其他業(yè)務(wù)的風(fēng)險(xiǎn),這些風(fēng)險(xiǎn)可概括為:業(yè)務(wù)事件風(fēng)險(xiǎn)����、信息事件風(fēng)險(xiǎn)及決策與管理事件風(fēng)險(xiǎn)。每一個(gè)風(fēng)險(xiǎn)都會(huì)波及到財(cái)務(wù)部門(mén)�,帶來(lái)財(cái)務(wù)風(fēng)險(xiǎn)�����。風(fēng)險(xiǎn)的控制必須貫穿于各種事件之中����,而傳統(tǒng)體系結(jié)構(gòu)忽視了許多與財(cái)務(wù)資源有關(guān)的非財(cái)務(wù)風(fēng)險(xiǎn)����。
��。ㄒ唬I(yè)務(wù)事件風(fēng)險(xiǎn)
業(yè)務(wù)事件風(fēng)險(xiǎn)包括:業(yè)務(wù)事件發(fā)生在錯(cuò)誤時(shí)間和地點(diǎn)���;業(yè)務(wù)事件沒(méi)有適當(dāng)?shù)氖跈?quán)���、操作順序錯(cuò)誤、涉及錯(cuò)誤的人員�;業(yè)務(wù)事件涉及錯(cuò)誤的資源類(lèi)型與數(shù)量等。這些業(yè)務(wù)操作風(fēng)險(xiǎn)用傳統(tǒng)體系結(jié)構(gòu)AIS是很難檢測(cè)出來(lái)的�。
(二)信息事件風(fēng)險(xiǎn)
信息事件中蘊(yùn)涵著信息收集��、加工�、存儲(chǔ)����、維護(hù)�����、傳輸����、報(bào)告等風(fēng)險(xiǎn)。信息收集風(fēng)險(xiǎn)是指對(duì)業(yè)務(wù)事件不能做出正確的判斷��,對(duì)數(shù)據(jù)采用了不適當(dāng)?shù)谋磉_(dá)形式���,從而導(dǎo)致事件數(shù)據(jù)記錄不完整����、不準(zhǔn)確或無(wú)效�����;信息加工風(fēng)險(xiǎn)是指不能對(duì)數(shù)據(jù)做出正確的選擇�����、排序、合并���、更新��、計(jì)算等��;信息存儲(chǔ)風(fēng)險(xiǎn)是指存儲(chǔ)哪些數(shù)據(jù)���、存儲(chǔ)多長(zhǎng)時(shí)間�����、采用什么樣的存儲(chǔ)方式等發(fā)生錯(cuò)誤���;維護(hù)風(fēng)險(xiǎn)是指未察覺(jué)或未記錄組織的資源�����、參與者���、時(shí)間、地點(diǎn)的變化�����;信息傳輸風(fēng)險(xiǎn)是指信息在A(yíng)IS內(nèi)部子系統(tǒng)間或AIS與其他系統(tǒng)間傳輸時(shí),發(fā)生誤傳��、盜竊�����、刪除����、被非法篡改等;信息報(bào)告風(fēng)險(xiǎn)是指報(bào)告輸出數(shù)據(jù)形式不當(dāng)���、或匯總錯(cuò)誤���,或數(shù)據(jù)提供給未經(jīng)授權(quán)的單位或個(gè)人,或未及時(shí)提供數(shù)據(jù)����。
(三)決策與管理事件風(fēng)險(xiǎn)
決策與管理事件風(fēng)險(xiǎn)包括:未能對(duì)未來(lái)事件做出正確的預(yù)測(cè)���,致使計(jì)劃制定錯(cuò)誤或不完善����;由于規(guī)章制度不完善,指揮����、協(xié)調(diào)、控制失效�����,計(jì)劃或決策方案沒(méi)有得到有效的執(zhí)行�;由于對(duì)管理對(duì)象的狀態(tài)信息及管理決策目標(biāo)信息掌握不全,未能對(duì)經(jīng)營(yíng)成果做出正確的評(píng)價(jià)�����。
四、事件驅(qū)動(dòng)型會(huì)計(jì)信息系統(tǒng)控制
EDAIS控制是根據(jù)事件驅(qū)動(dòng)體系結(jié)構(gòu)的特點(diǎn)而提出的���,它把風(fēng)險(xiǎn)的控制貫穿于企業(yè)業(yè)務(wù)過(guò)程的各個(gè)事件中���,實(shí)現(xiàn)了業(yè)務(wù)活動(dòng)、信息處理、IT與風(fēng)險(xiǎn)控制的集成��。
�。ㄒ唬┛刂茦I(yè)務(wù)活動(dòng)
1.控制交易風(fēng)險(xiǎn)。建立在傳統(tǒng)體系結(jié)構(gòu)上的AIS只能被動(dòng)地接收各業(yè)務(wù)部門(mén)產(chǎn)生的數(shù)據(jù)�����,是反映性的���。一旦業(yè)務(wù)部門(mén)的業(yè)務(wù)操作出現(xiàn)問(wèn)題而沒(méi)有被發(fā)現(xiàn)�����,必然要把錯(cuò)誤的數(shù)據(jù)帶入AIS����,而傳統(tǒng)AIS卻無(wú)法發(fā)現(xiàn)這些錯(cuò)誤�����;EDAIS基于業(yè)務(wù)活動(dòng)構(gòu)建系統(tǒng)���,針對(duì)業(yè)務(wù)事件的各種可能風(fēng)險(xiǎn)�,設(shè)計(jì)交易授權(quán)、操作規(guī)程和業(yè)務(wù)執(zhí)行過(guò)程的控制規(guī)則�����。明確規(guī)定哪些人允許執(zhí)行哪些活動(dòng)�,接觸哪些資源,哪些事件應(yīng)在什么時(shí)間發(fā)生在何處����。這樣,在業(yè)務(wù)發(fā)生之前便評(píng)估其風(fēng)險(xiǎn)���,從會(huì)計(jì)信息的源頭上控制風(fēng)險(xiǎn)�����,防止業(yè)務(wù)事件���、信息事件和決策與管理事件的錯(cuò)誤和舞弊�����。
2.職責(zé)分離�����。EDAIS職責(zé)分離除了維持傳統(tǒng)的監(jiān)督與檢查功能外,更注重提高效率與預(yù)防錯(cuò)誤的發(fā)生��。它能夠通過(guò)共同數(shù)據(jù)倉(cāng)庫(kù)整合�����、連接與協(xié)調(diào)各類(lèi)平衡的活動(dòng)�,實(shí)現(xiàn)相關(guān)業(yè)務(wù)事件的相互牽制與自動(dòng)核對(duì)。例如����,當(dāng)銷(xiāo)售業(yè)務(wù)發(fā)生時(shí),可以把其數(shù)據(jù)直接輸入到數(shù)據(jù)倉(cāng)庫(kù)���,并直接與收款業(yè)務(wù)數(shù)據(jù)進(jìn)行自動(dòng)核對(duì)���,確保無(wú)誤后,再進(jìn)行會(huì)計(jì)處理����,而不必像傳統(tǒng)AIS那樣,由會(huì)計(jì)部門(mén)分別接收各業(yè)務(wù)活動(dòng)數(shù)據(jù)�,并進(jìn)行核對(duì)與處理���,這樣,既提高了組織運(yùn)行的效率和有效性�����,又提高了系統(tǒng)控制的質(zhì)量��。
����。ǘ┌芽刂魄度胧录校瑢(shí)現(xiàn)實(shí)時(shí)控制
傳統(tǒng)AIS作為收集與處理其他業(yè)務(wù)部門(mén)業(yè)務(wù)數(shù)據(jù)的一個(gè)獨(dú)立系統(tǒng)而存在�����,控制范圍局限于會(huì)計(jì)部門(mén)���,控制時(shí)間滯后于業(yè)務(wù)事件����;EDAIS將業(yè)務(wù)事件與信息事件進(jìn)行整合�����,能把控制規(guī)則嵌入到系統(tǒng)的記錄過(guò)程���、維護(hù)過(guò)程和報(bào)告過(guò)程中�,使控制程序和規(guī)則成為業(yè)務(wù)過(guò)程及信息過(guò)程中不可分割的職能����,防止發(fā)生錯(cuò)誤或舞弊。在信息處理時(shí)�����,檢查和管理與事件相關(guān)的處理規(guī)則��、控制程序和政策��,實(shí)現(xiàn)對(duì)業(yè)務(wù)與信息處理的實(shí)時(shí)控制��。但是���,為了實(shí)現(xiàn)系統(tǒng)控制的適應(yīng)性���,控制程序和規(guī)則要隨企業(yè)戰(zhàn)略、組織結(jié)構(gòu)�����、業(yè)務(wù)過(guò)程和使用的信息技術(shù)的變化而改變。
��。ㄈ⿲徲(jì)監(jiān)督
傳統(tǒng)AIS是從手工AIS中發(fā)展而來(lái)的�,僅僅收集業(yè)務(wù)事件的財(cái)務(wù)數(shù)據(jù),還有一些重要的非財(cái)務(wù)數(shù)據(jù)被分割后�����,保存在各業(yè)務(wù)部門(mén)的子系統(tǒng)中����。這樣,作為審計(jì)線(xiàn)索的業(yè)務(wù)事件數(shù)據(jù)通常被分割存放在組織的各個(gè)不同的職能領(lǐng)域���。審計(jì)與會(huì)計(jì)人員進(jìn)行審計(jì)監(jiān)督時(shí)�,要到各業(yè)務(wù)子系統(tǒng)查找信息���,然后在數(shù)量巨大的電子憑證和電子文件之間進(jìn)行拼湊��。這種事后的審計(jì)與監(jiān)督工作����,難度大,可信度低����;在EDAIS中��,每一個(gè)業(yè)務(wù)事件的有關(guān)資源�、事件、參與者和地點(diǎn)的數(shù)據(jù)元素都通過(guò)記錄過(guò)程收集在數(shù)據(jù)倉(cāng)庫(kù)里�����。采用并行審計(jì)技術(shù)在A(yíng)IS中嵌入審計(jì)模塊���,從數(shù)據(jù)倉(cāng)庫(kù)中獲取業(yè)務(wù)事件的全息數(shù)據(jù)���,既可測(cè)試系統(tǒng)數(shù)據(jù)和業(yè)務(wù)規(guī)則的符合性,又可為審計(jì)與會(huì)計(jì)人員提供追蹤與監(jiān)督業(yè)務(wù)過(guò)程的全面�����、詳細(xì)的電子審計(jì)線(xiàn)索�,而且,還可允許使用各種詳細(xì)的聯(lián)機(jī)數(shù)據(jù)來(lái)進(jìn)行審計(jì)分析和評(píng)估�����。
(四)簡(jiǎn)化中間處理步驟���,降低控制難度
由圖1可知���,傳統(tǒng)AIS中間處理步驟和物理文件多,而且與企業(yè)其他系統(tǒng)間的耦合度低����,系統(tǒng)間協(xié)調(diào)性差,數(shù)據(jù)傳輸難度大�����;EDAIS收集描述業(yè)務(wù)活動(dòng)的各種多維數(shù)據(jù)并存儲(chǔ)在數(shù)據(jù)倉(cāng)庫(kù)中��,按照信息需求���,建立信息報(bào)告工具�,直接輸出各種信息報(bào)表����,大大減少了中間的處理步驟和物理文件數(shù)量�。既減少了物理文件被非法篡改����、盜用、攻擊��、刪除的機(jī)會(huì)�,又降低了AIS與其它信息系統(tǒng)間數(shù)據(jù)的傳遞頻率�,從而降低了控制難度。
責(zé)任編輯:冠
