論會計信息系統(tǒng)控制損失的策略

1、論會計信息系統(tǒng)控制損失的策略企業(yè)的會計信息系統(tǒng) 面臨各式風險，這些風險來自錯弊、自然災害、事故、對企 業(yè)不滿或素質(zhì)較低的員工。一、會計信息系統(tǒng)風險及控制損失的目標企業(yè)的會計信息系統(tǒng)面臨各式風險，這些風險來自錯弊、 自然災害、事故、對企業(yè)不滿或素質(zhì)較低的員工。在系統(tǒng)缺 乏控制的情況下，就會造成丟失數(shù)據(jù)資源，以及根據(jù)不正確 的數(shù)據(jù)做出決策從而導致錯誤分配資源而造成損失等后果。 所有的會計信息系統(tǒng)應(yīng)具有一定的內(nèi)在控制措施?？刂频幕?本目標包括：確保數(shù)據(jù)的完整性與可靠性，保證各種管理信 息存在、可靠與及時提供;提高系統(tǒng)應(yīng)用的效率以及有效性,并盡量減少運行中不必要的成本、費用；預防或查明錯誤和弊端的源頭

2、，為管理政策的制定尋找依據(jù);履行各種法律義 務(wù)。這些目標與消除系統(tǒng)風險目標是一致的，為實現(xiàn)這些目標, 系統(tǒng)相關(guān)者必須確保能夠辨識系統(tǒng)的風險，并且應(yīng)用適當?shù)?控制措施以消除或減小風險。二、系統(tǒng)開發(fā)設(shè)計階段的控制損失策略一般而言，運用者一般只將計算機會計信息系統(tǒng)作為一個 “黑盒”，并期望系統(tǒng)本身包含了必要的控制要素。因此, 作為商品化的軟件開發(fā)商，必須從戰(zhàn)略的角度出發(fā)，保證軟 件質(zhì)量。在開發(fā)設(shè)計中必須將系統(tǒng)控制損失目標融進來，除 了遵循開發(fā)規(guī)范如分析員及程序員生產(chǎn)控制、結(jié)構(gòu)化程序設(shè) 計等原則外，還應(yīng)考慮系統(tǒng)的可審計性及可控性。系統(tǒng)本身應(yīng)提供審計線索，提供達到審計人員詳細程度要 求的文件，并在適當?shù)?/p>

3、時間、范圍內(nèi)保存這些文件，以幫助 用戶和審計人員在系統(tǒng)內(nèi)部和系統(tǒng)之間正向或反向追蹤經(jīng) 濟業(yè)務(wù)。為加強系統(tǒng)可控性，系統(tǒng)應(yīng)能保證輸入和輸出數(shù)據(jù) 能被合理編輯與驗證，能識別用戶存取級別的合法代碼，能 對主系統(tǒng)及子系統(tǒng)之間的接口加以控制等。傳統(tǒng)上，為了保 證審計的公正性和客觀性，審計人員不參與系統(tǒng)開發(fā)，但是, 由于在系統(tǒng)實施后建立控制非常困難并使費用增加，而且隨 著現(xiàn)在因系統(tǒng)內(nèi)在控制不足而導致?lián)p失的現(xiàn)象的增多，這種 觀點正在變化，審計人員參與設(shè)計過程將成為系統(tǒng)具備可審 性和可控性的一種有力保障。隨著管理者越來越需要決策的信息，以便有效地組織和控 制資源，決策支持系統(tǒng)逐漸出現(xiàn)，這種系統(tǒng)與早期的作業(yè)型 系

4、統(tǒng)迥然不同，很多是由管理者委托開發(fā)或自行設(shè)計的。這 些應(yīng)用程序在控制方面的問題更多。首當其沖的問題就是缺 乏質(zhì)量保證，包括沒有對需求做詳細說明，軟硬件的搭配不 當，缺乏文檔數(shù)據(jù)有效性的檢驗、控制、備份和恢復，以及 缺乏數(shù)據(jù)安全性檢測等。針對含糊不清的需求問題，應(yīng)采用 原型法開發(fā)策略，原型法下，系統(tǒng)的需求定義過程是一個不 斷交流的過程，原型法是一個迭代過程，即先定義少量功能, 然后反饋、評價，再擴充功能，直至滿意為止。所以成為解 決需求定義的一種有效方法。此外，對自行開發(fā)者，用戶顧 問應(yīng)制定規(guī)章制度和步驟，引導用戶進行開發(fā)，建立選取軟 硬件的準則以防止系統(tǒng)不兼容問題。三、系統(tǒng)規(guī)劃實施階段的控制損

5、失策略規(guī)模較大的系統(tǒng)要運用起來，都需要經(jīng)過規(guī)劃實施環(huán)節(jié)。 系統(tǒng)供應(yīng)商一般都配有自己的軟件實施人員，目前，管理技 術(shù)咨詢公司也正在興起。我國企業(yè)界現(xiàn)已漸漸接受這樣的觀 點：有償借助第三方的知識性服務(wù)，作為企業(yè)“外腦”。加 之第三方在軟件選擇方面往往具有客觀公正性，而且作為專 業(yè)化服務(wù)者在系統(tǒng)實施、幫助企業(yè)提高管理水平方面往往具 有更豐富的經(jīng)驗。實施活動的質(zhì)量直接影響系統(tǒng)運用，咨詢 公司參與軟件實施可以更好地提高應(yīng)用質(zhì)量、系統(tǒng)銷售與服 務(wù)分離將成為一種趨勢。管理當局及來自外部的協(xié)作實施人員應(yīng)做好有效控制的前 期工作：設(shè)定組織系統(tǒng)體系，明確劃分不同層次的各部分, 規(guī)定各部門權(quán)責及相互協(xié)調(diào)關(guān)系。按各部

6、門職責，研討其權(quán) 責內(nèi)的各種作業(yè)方式、性質(zhì)和特征，并說明正常情況與特殊 情況下的各種問題。擬定各種作業(yè)細則或手冊，分別按各種 主要業(yè)務(wù)擬定各種作業(yè)處理辦法或手冊。擬定內(nèi)部控制作業(yè) 程序，根據(jù)作業(yè)調(diào)查研究結(jié)果和組織體系結(jié)構(gòu)，制訂作業(yè)程 序草案，并與有關(guān)部門或人員討論，征求意見，進行修改, 直到完善。在進行物理裝備時，應(yīng)保證計算機房具有防火、防水、防 風的能力，需要有滅火器、排煙檢測器、排水裝置和擋風設(shè) 備。在事故發(fā)生時能及時斷電，正常斷電時又能提供后援電 源。有及時提供備用的機器設(shè)備。應(yīng)提供對磁性介質(zhì)進行嚴 格保護的存貯設(shè)備。預先設(shè)置災難及故障恢復系統(tǒng)。程序測 試時要考慮到內(nèi)部控制方面的內(nèi)容，包

7、括職責分工、人員管 理、運行過程、最大負載情況、存貯分配、運行時間、系統(tǒng) 恢復、安全保護、數(shù)據(jù)錄入、處理和輸出。在測試過程中應(yīng) 仔細考慮可能發(fā)生的各類錯誤和不正當行為，以確定防止這 些錯誤和不正當行為的內(nèi)部控制規(guī)程，對系統(tǒng)潛在的缺陷作 出評價，并分析估計這些缺陷所產(chǎn)生的影響及能夠采取的避 免措施。四、系統(tǒng)運用維護階段控制損失的策略系統(tǒng)運用維護階段的內(nèi)部控制按常規(guī)一般分為：管理控制、 一般控制和應(yīng)用控制，這是從作業(yè)方面采取的控制措施，本 文主要從戰(zhàn)略方面來考察如何減少并消除控制損失的策略, 并不對作業(yè)方面的控制措施進行探討。在考察對發(fā)生故意錯弊行為的意圖進行控制的策略方面， 可以考慮增加施行這種

8、行為的難度，增加被逮住或結(jié)果失敗 的可能性，并加大對此類行為的懲罰力度。實施這一策略的 兩種有代表性的方法就是實行職責輪流制和內(nèi)部審計制度。 除部分組織程序有特別規(guī)定以及不能實行職責輪流制的崗 位外，員工應(yīng)該輪換工作。內(nèi)部審計是控制損失的獨立系統(tǒng),加強內(nèi)部審計能檢查出發(fā)生的錯誤，打消試圖作弊或意欲犯 罪的意圖，內(nèi)審人員應(yīng)定期規(guī)則地檢查與計算機有關(guān)的控制 目標、過程以及遵照情況，核實數(shù)據(jù)和程序的完整性。針對串通舞弊及人為錯誤的策略：不相容職責的恰當分離 可以為避免單獨一人從事和隱瞞不合規(guī)行為提供合理的保 證，但是，合伙即可避開這類控制，況且控制措施發(fā)揮作用 的有效程度關(guān)鍵還要取決于執(zhí)行人員的實際

9、動作，員工的粗 心大意、精力分散、理解錯誤、判斷失誤、曲解指令等都會 造成控制失效。這就需要強調(diào)人力資源管理，應(yīng)選擇具備適 當?shù)哪芰拓熑胃械膯T工，并將賦予他們的責任清晰化。此 外，應(yīng)建立完善的檢查規(guī)范，正確地監(jiān)督他們，并定期檢查 其勝任能力，在分派人員時，應(yīng)考慮員工的道德責任，特別 是分派具有高度風險的敏感性位置時，應(yīng)考慮進行附加調(diào)查 （比如查找檔案材料或以前的工作記錄或有關(guān)評價）o應(yīng)建立 并貫徹執(zhí)行合理公正的業(yè)績評價體系，將與系統(tǒng)有關(guān)員工的 工作質(zhì)量和效率指標化，并與業(yè)績評價及收入水平掛鉤。企業(yè)已有的控制措施一般都是為重復發(fā)生的業(yè)務(wù)類型而設(shè) 計的，因此會對不正常的或未能預料到的業(yè)務(wù)類型失去

10、控制 的能力。企業(yè)處在經(jīng)常變化的環(huán)境之中，這就會導致原有的 控制程序?qū)π略龅膬?nèi)容失去控制作用，在變化過程中可能會 發(fā)生差錯和不合規(guī)行為?？刂平裉炷苡行Оl(fā)揮作用，但不能 保證該控制明天或明年仍然有效。所以，應(yīng)建立作為一種例 行過程的反饋機制，監(jiān)督控制的功能，沒有反饋機制，就無 法監(jiān)督控制的有效性，還應(yīng)對反饋機制提供的信息進行分析, 以決定控制是否需要調(diào)整或變更，從而達到增強控制有效性 的目的。此外，控制所尋求的保證水平有必要根據(jù)其成本而定，一 般來說，控制程序的成本不能超過風險或錯誤可能造成的損 失和浪費，否則，再好的控制措施和方法也將失去其降低成 本的意義。當避免損失的努力不符合成本效益原則時，商業(yè) 保險是免遭過大損失或者是可能性小的及發(fā)生不頻繁損失