【摘要】隨著電子商務與信息技術的發(fā)展�,傳統(tǒng)會計信息系統(tǒng)(AIS)控制的局限性日益凸顯。事件驅動型會計信息系統(tǒng)(EDAIS)控制由于考慮到各種事件中可能包含的風險�,而成為會計信息系統(tǒng)控制的發(fā)展方向���。
隨著電子商務和信息網(wǎng)絡技術的迅速發(fā)展,AIS與企業(yè)的其他業(yè)務信息系統(tǒng)的融合越來越緊密����。AIS的控制問題不再是一個局限于會計部門的孤立的問題,而成為一個涉及到企業(yè)各項活動的系統(tǒng)性問題���。AIS控制問題也不再是信息系統(tǒng)自身的問題�,而應該從AIS體系結構出發(fā)����,從根本上改變AIS控制的方法與范圍。AIS體系結構是指采集�、存儲���、處理��、傳輸數(shù)據(jù)的步驟�、方法或數(shù)據(jù)處理程序的結構。現(xiàn)有學術研究成果大多是在堅持傳統(tǒng)AIS體系結構及其內(nèi)部控制制度與控制觀點的基礎上�,從信息技術的角度探討如何加強AIS的控制。這種控制與電子商務���、企業(yè)信息化的發(fā)展極不相適應����,并且大大限制了企業(yè)的運行效率�����。筆者從事件驅動體系結構的角度�����,分析AIS控制�。
一、傳統(tǒng)會計信息系統(tǒng)控制的局限性
�����。ㄒ唬﹤鹘y(tǒng)會計信息系統(tǒng)數(shù)據(jù)處理流程
傳統(tǒng)AIS是建立在傳統(tǒng)會計體系結構基礎之上的���。傳統(tǒng)會計體系結構是指現(xiàn)代信息技術出現(xiàn)之前�,會計人員在處理會計數(shù)據(jù)時所采用的一系列步驟和方法,即會計循環(huán)和會計恒等式�����;谶@種體系結構的AIS采集和存儲的數(shù)據(jù)是有關業(yè)務事件數(shù)據(jù)的一個子集�����,即只采集和存儲那些改變企業(yè)資產(chǎn)�����、負債或所有者權益構成的會計數(shù)據(jù)���。圖1反映了基于傳統(tǒng)體系結構的AIS采集、存儲和處理業(yè)務數(shù)據(jù)的流程�����。
��。ǘ﹤鹘y(tǒng)會計信息系統(tǒng)控制的局限性
如圖1所示��,傳統(tǒng)AIS處理流程原封不動地保存了原始的會計循環(huán)���,只是使用信息技術去自動化老式的會計工作流程����。傳統(tǒng)AIS控制也正是基于圖1所表示的傳統(tǒng)體系結構而形成的��。
1.從原始數(shù)據(jù)錄入到財務報表輸出�����,整個過程頻繁使用了大量的事務文件和工作文件對會計信息進行加工處理�,最終財務報表的可依賴性取決于原始數(shù)據(jù)的可靠性。雖然使用了大量的中間文件��,但這些文件內(nèi)容大多來自于同一數(shù)據(jù)源�����。例如�,應收賬款總賬及其所屬明細賬數(shù)據(jù)都來自同一銷售發(fā)票。由于存在“垃圾進���,垃圾出”現(xiàn)象�����,當業(yè)務過程發(fā)生了錯誤時�,不管記錄、維護及報告過程使用的技術如何�����,都將造成報告錯誤��。
2.分離職責和責任局限于使一個人的工作核查另外一個人的工作��,著重于事后監(jiān)督�,而忽視了事前預防。
3.沒有考慮到信息技術能夠減少業(yè)務活動中的人為錯誤���,能夠對業(yè)務與控制規(guī)則的符合程度進行監(jiān)控��,而對會計數(shù)據(jù)進行重復記錄��,對重復數(shù)據(jù)做大量調(diào)整��、核對�。這樣����,既和現(xiàn)代企業(yè)對AIS的要求不相適應��,又影響系統(tǒng)的運行效率。
4.AIS專門從事收集和處理其他部門所創(chuàng)造的數(shù)據(jù)信息的工作�,獨立于業(yè)務活動,是反映性的和糾正性的�����,無法檢查��、控制���、杜絕業(yè)務活動過程中發(fā)生的錯誤����。
5.會計人員和審計人員在指導內(nèi)部控制制度的設計�����、實現(xiàn)���、維護和評估時���,根據(jù)會計管理工作的需要而設定���,局限于會計工作的范圍���?刂瞥绦蚴蔷植啃缘�、階段性的����,沒有考慮與可能跨越幾個職能部門的業(yè)務過程有關的種種風險,無法對財務活動以外的其它活動的風險進行控制���,而其他活動的風險往往間接或直接地導致了財務風險的產(chǎn)生��。
二����、事件驅動型會計信息系統(tǒng)數(shù)據(jù)處理流程
�。ㄒ唬I(yè)務過程與事件
業(yè)務過程是完成企業(yè)戰(zhàn)略目標的一系列活動。事件是表示業(yè)務過程中的單一活動�����。一個企業(yè)的業(yè)務活動可分為業(yè)務事件、信息事件���、決策與管理事件���。業(yè)務事件是在業(yè)務過程中執(zhí)行的與向顧客提供商品和服務有關的業(yè)務活動;信息事件是指對信息進行收集�、加工����、存儲、維護���、傳輸��、報告等的處理活動�����;決策與管理事件是管理者或其他人在計劃�、控制和評價業(yè)務過程時的決策活動�����,包括管理資源(人力、物力及資金)和制定戰(zhàn)略規(guī)劃等�����。
�。ǘ┦录寗有蜁嬓畔⑾到y(tǒng)數(shù)據(jù)處理流程
事件驅動體系結構以業(yè)務過程和事件來構造系統(tǒng),它以各類經(jīng)濟活動事項為中心組織數(shù)據(jù)����,并獨立于應用程序之外,業(yè)務數(shù)據(jù)輸入一次����,便可用于生成各種視圖驅動應用所能提供的全部視圖。EDAIS是建立在事件驅動體系結構的基礎上����,在業(yè)務發(fā)生時收集業(yè)務事件的所有數(shù)據(jù)(如時間、地點����、責任人和參與者、涉及到的資源與風險等)��,把業(yè)務事件數(shù)據(jù)集成在數(shù)據(jù)倉庫里���,同時利用信息生成工具對事件數(shù)據(jù)倉庫中的數(shù)據(jù)進行會計處理的���。即按用戶需要產(chǎn)生各種報告視圖�,如明細賬���、分類賬和財務報表等�,實現(xiàn)業(yè)務與會計的協(xié)同化處理�����。EDAIS數(shù)據(jù)處理流程如圖2��。
三����、事件驅動型會計信息系統(tǒng)的風險
EDAIS的風險除了財務風險外��,還有常常直接或間接地給企業(yè)帶來財務損失的其他業(yè)務的風險�,這些風險可概括為:業(yè)務事件風險、信息事件風險及決策與管理事件風險����。每一個風險都會波及到財務部門��,帶來財務風險����。風險的控制必須貫穿于各種事件之中��,而傳統(tǒng)體系結構忽視了許多與財務資源有關的非財務風險���。
��。ㄒ唬I(yè)務事件風險
業(yè)務事件風險包括:業(yè)務事件發(fā)生在錯誤時間和地點�;業(yè)務事件沒有適當?shù)氖跈����、操作順序錯誤、涉及錯誤的人員����;業(yè)務事件涉及錯誤的資源類型與數(shù)量等。這些業(yè)務操作風險用傳統(tǒng)體系結構AIS是很難檢測出來的����。
(二)信息事件風險
信息事件中蘊涵著信息收集���、加工����、存儲、維護����、傳輸、報告等風險��。信息收集風險是指對業(yè)務事件不能做出正確的判斷��,對數(shù)據(jù)采用了不適當?shù)谋磉_形式���,從而導致事件數(shù)據(jù)記錄不完整、不準確或無效����;信息加工風險是指不能對數(shù)據(jù)做出正確的選擇、排序��、合并��、更新���、計算等����;信息存儲風險是指存儲哪些數(shù)據(jù)、存儲多長時間�����、采用什么樣的存儲方式等發(fā)生錯誤��;維護風險是指未察覺或未記錄組織的資源��、參與者�、時間、地點的變化����;信息傳輸風險是指信息在AIS內(nèi)部子系統(tǒng)間或AIS與其他系統(tǒng)間傳輸時,發(fā)生誤傳�、盜竊、刪除���、被非法篡改等����;信息報告風險是指報告輸出數(shù)據(jù)形式不當、或匯總錯誤��,或數(shù)據(jù)提供給未經(jīng)授權的單位或個人�����,或未及時提供數(shù)據(jù)���。
���。ㄈQ策與管理事件風險
決策與管理事件風險包括:未能對未來事件做出正確的預測,致使計劃制定錯誤或不完善�;由于規(guī)章制度不完善,指揮�、協(xié)調(diào)、控制失效�����,計劃或決策方案沒有得到有效的執(zhí)行����;由于對管理對象的狀態(tài)信息及管理決策目標信息掌握不全,未能對經(jīng)營成果做出正確的評價����。
四、事件驅動型會計信息系統(tǒng)控制
EDAIS控制是根據(jù)事件驅動體系結構的特點而提出的��,它把風險的控制貫穿于企業(yè)業(yè)務過程的各個事件中�����,實現(xiàn)了業(yè)務活動��、信息處理����、IT與風險控制的集成。
�。ㄒ唬┛刂茦I(yè)務活動
1.控制交易風險。建立在傳統(tǒng)體系結構上的AIS只能被動地接收各業(yè)務部門產(chǎn)生的數(shù)據(jù)���,是反映性的�����。一旦業(yè)務部門的業(yè)務操作出現(xiàn)問題而沒有被發(fā)現(xiàn)�����,必然要把錯誤的數(shù)據(jù)帶入AIS���,而傳統(tǒng)AIS卻無法發(fā)現(xiàn)這些錯誤�����;EDAIS基于業(yè)務活動構建系統(tǒng)�,針對業(yè)務事件的各種可能風險�,設計交易授權、操作規(guī)程和業(yè)務執(zhí)行過程的控制規(guī)則��。明確規(guī)定哪些人允許執(zhí)行哪些活動���,接觸哪些資源�,哪些事件應在什么時間發(fā)生在何處����。這樣,在業(yè)務發(fā)生之前便評估其風險���,從會計信息的源頭上控制風險,防止業(yè)務事件、信息事件和決策與管理事件的錯誤和舞弊�。
2.職責分離。EDAIS職責分離除了維持傳統(tǒng)的監(jiān)督與檢查功能外����,更注重提高效率與預防錯誤的發(fā)生。它能夠通過共同數(shù)據(jù)倉庫整合��、連接與協(xié)調(diào)各類平衡的活動��,實現(xiàn)相關業(yè)務事件的相互牽制與自動核對����。例如,當銷售業(yè)務發(fā)生時���,可以把其數(shù)據(jù)直接輸入到數(shù)據(jù)倉庫�,并直接與收款業(yè)務數(shù)據(jù)進行自動核對�,確保無誤后,再進行會計處理�����,而不必像傳統(tǒng)AIS那樣����,由會計部門分別接收各業(yè)務活動數(shù)據(jù)���,并進行核對與處理,這樣����,既提高了組織運行的效率和有效性,又提高了系統(tǒng)控制的質(zhì)量�。
(二)把控制嵌入事件中�����,實現(xiàn)實時控制
傳統(tǒng)AIS作為收集與處理其他業(yè)務部門業(yè)務數(shù)據(jù)的一個獨立系統(tǒng)而存在���,控制范圍局限于會計部門�����,控制時間滯后于業(yè)務事件�;EDAIS將業(yè)務事件與信息事件進行整合�,能把控制規(guī)則嵌入到系統(tǒng)的記錄過程、維護過程和報告過程中�,使控制程序和規(guī)則成為業(yè)務過程及信息過程中不可分割的職能��,防止發(fā)生錯誤或舞弊���。在信息處理時���,檢查和管理與事件相關的處理規(guī)則��、控制程序和政策�����,實現(xiàn)對業(yè)務與信息處理的實時控制����。但是�����,為了實現(xiàn)系統(tǒng)控制的適應性�����,控制程序和規(guī)則要隨企業(yè)戰(zhàn)略�����、組織結構、業(yè)務過程和使用的信息技術的變化而改變����。
(三)審計監(jiān)督
傳統(tǒng)AIS是從手工AIS中發(fā)展而來的����,僅僅收集業(yè)務事件的財務數(shù)據(jù),還有一些重要的非財務數(shù)據(jù)被分割后��,保存在各業(yè)務部門的子系統(tǒng)中�����。這樣���,作為審計線索的業(yè)務事件數(shù)據(jù)通常被分割存放在組織的各個不同的職能領域�。審計與會計人員進行審計監(jiān)督時����,要到各業(yè)務子系統(tǒng)查找信息,然后在數(shù)量巨大的電子憑證和電子文件之間進行拼湊�����。這種事后的審計與監(jiān)督工作,難度大�����,可信度低�����;在EDAIS中����,每一個業(yè)務事件的有關資源�����、事件���、參與者和地點的數(shù)據(jù)元素都通過記錄過程收集在數(shù)據(jù)倉庫里���。采用并行審計技術在AIS中嵌入審計模塊,從數(shù)據(jù)倉庫中獲取業(yè)務事件的全息數(shù)據(jù)��,既可測試系統(tǒng)數(shù)據(jù)和業(yè)務規(guī)則的符合性,又可為審計與會計人員提供追蹤與監(jiān)督業(yè)務過程的全面�、詳細的電子審計線索,而且�����,還可允許使用各種詳細的聯(lián)機數(shù)據(jù)來進行審計分析和評估�����。
�。ㄋ模┖喕虚g處理步驟,降低控制難度
由圖1可知��,傳統(tǒng)AIS中間處理步驟和物理文件多����,而且與企業(yè)其他系統(tǒng)間的耦合度低,系統(tǒng)間協(xié)調(diào)性差�����,數(shù)據(jù)傳輸難度大���;EDAIS收集描述業(yè)務活動的各種多維數(shù)據(jù)并存儲在數(shù)據(jù)倉庫中�,按照信息需求,建立信息報告工具�����,直接輸出各種信息報表�,大大減少了中間的處理步驟和物理文件數(shù)量。既減少了物理文件被非法篡改�����、盜用�����、攻擊�����、刪除的機會�,又降低了AIS與其它信息系統(tǒng)間數(shù)據(jù)的傳遞頻率��,從而降低了控制難度���。
責任編輯:冠
