丁 晶 甘卓霞

如果把企业比喻为盘根错杂的大树,会计信息系统则是负责维持养分收集与运作的树干。

在经济全球化的大背景下,管理滞后、会计信息风险控制不力导致风险加剧,往往是企业在危机中倒下的共因。后金融危机时代,伴随着信息化的发展,会计信息系统风险控制日益成为人们关注的焦点。

主题要素

现代企业中,科学的管理决策、有效的风险管理与控制、高效的监管,都需要会计信息做支撑。然而,如果只是利用计算机技术提高业务处理的速度,而不采用先进的风险管理方式,反而会因为新技术的使用增加了原手工操作并不存在的风险。因此,企业会计信息系统风险控制的主题是:安全与价值。主题分以下两个层面:

第一是基础层面。基于信息安全内涵,COBIT(信息及相关技术控制目标)包括了信息的七大标准:效果、效率、保密、完整、可用、可靠、一致性。如果把企业比喻为盘根错杂的大树,会计信息系统则是负责维持养分收集与运作的树干。若其七大标准执行不力,则会造成企业脆弱性泛滥,进而引发业务瘫痪乃至崩溃,因此安全性是风控考量的首位要务。

第二是延伸层面。会计信息的最终产品是财务报表,财务报表价值的提升体现在信息系统能否为会计更真实完整地反映企业内涵价值,提供有利的客观条件。会计信息系统是一项由人、流程、信息、IT基础架构所组成的系统工程,无法用手工复制,开发和运行需要专门的技术与方法,系统内部处理无法以可见的方式跟踪,使用者对于程序并不精通,计算机病毒与黑客对在线实时系统的攻击不容小视,其影响比手工系统大得多,往往会造成大量记录的破坏或丢失。

根据会计信息系统的特点,安全风险主要表现在会计信息失真、资产损失、重要商业机密泄露、系统无法正常运行,通过风险薄弱点分析可总结为以下四大风险要素:

1.资产。资产对威胁的防护性较低,与会计信息及信息技术相关的资产包括信息和数据、硬件、软件、服务、文档和人员,任何一项受到损害对系统产生的风险都很大。

2.威胁。会计信息系统因其复杂的特点,在组织资产、系统及处理过程中,会面临各种不同类型的威胁,主要有不可控制的自然灾害、非预期及不正常的程序结束操作造成的故障、错误、用户非法破坏、盗窃、欺诈等。这就需要对威胁产生的风险根据经验值或是历史数据进行综合评估,评估发生概率及产生的危害。

3.薄弱点。信息流程中的薄弱点在通讯过程中暴露得较为明显。在人机对话中,用户缺乏必要的安全知识、系统维护安全措施不到位或缺失、无保护的数据传输、命令口令及个人密码单一且未做到定时更新等,都是薄弱的环节。

4.影响。当风险实际发生时,企业不可避免地会发生损失,包括直接经济损失、商业机会的损失、企业利益相关者决策的失误、企业名誉受损等等。

设计思路

接下来,笔者以广西物资集团总公司的运作方案为例,重点剖析方案部署思路及工作流程。

广西物资集团总公司是我国大型一类流通企业,现有全资子公司、控股公司21家,集团业务复杂且行业布局广。截至2009年12月,资产总额为22.13亿元。随着业务快速发展,集团急需通过会计信息化管理提升企业财务管理水平,加强内部资源整合,从而提高集团财务管控能力,会计信息系统的风险控制,也同样成为信息工作的重点和难点。

会计信息渗透至企业经济活动的各个神经末梢,甚至涉及整个价值链。因此,公司将信息安全升级为信息风险问题。风险控制方案的核心思想定位于,在成本效益原则指导下合理地防范四大风险要素,为保证IT治理和会计信息真实完整,在COBIT的基础上引入COSO-ERM框架,而COSO-ERM涵盖了企业组织活动的所有风险,在四目标、八要素中,将内部控制的控制对象定义为风险,将风险的控制转变为管理。在实际工作中,广西物资集团总公司把八大要素与会计信息系统的有机结合(见表1),本质上完善了会计信息系统风控的体系。

方案实施

会计信息系统的风险控制是范围大、控制程序复杂的综合性控制,是人工控制和计算机自动控制相结合的多方位控制。结合集团公司的特点和经营管理实际情况,以核心思想和工作思路为准绳,将工作分四个阶段进行具体实施。

第一阶段制定风险控制工作计划

全面评估集团信息系统所存在的风险要素,确定开展控制的范围,统一全公司信息系统风险识别及测评方法,规范工作底稿,做好风险控制的准备工作。工作步骤如下:

1.设立项目进度表,专人负责项目推进。集团公司高层十分重视风险控制项目的实施,为确保项目的顺利推进,设立项目实施及进度推进表,每一个任务内容落实到人,订时到日。

2.加强员工培训,规范业务流程的操作。为减少会计信息系统人为的操作失误,与财务软件公司合作,加强培训相关岗位员工,培训内容包括道德素质教育、软硬件使用要求、安全维护等。集团制定并下发了《广西物资集团总公司会计核算软件系统管理办法》,从岗位设置、操作要求、数据管理等方面进行规范,为员工具体操作信息系统提供了操作的行为准则。

3.开展全面的风险评估。COSO-ERM的实施,不可能脱离其赖以生存的环境和内外部各种风险因素。为了加强对风险的控制,必须合理评估公司整体信息化过程,对事件进行识别,对风险发生可能性的高低和风险对目标影响程度,进行定量和定性分析(见表2),排查重点和优先控制的风险,确定风险控制的关键控制点,为达到年度风险管理目标提供依据。

4.确定测试的组织方式。测试分为集团公司总部层面和子公司层面。总部层面委托会计师事务所进行测试,子公司层面采用由总部组织专业人员直接到现场测试的方式进行。

第二阶段风险控制的实施

1.针对资产、威胁、薄弱点及影响这四大风险要素,筛选风险控制的关键点。例如,资产保护的关键控制人员在于系统管理员、操作员、维护员,该风险控制的控制实施凭证是运行日志表,各个岗位手工记录每天计算机运行状况,详细写明遇到的问题,定期检查服务器、计算机、系统运行及维护情况。按所有在用的计算机体系检查样本总体,以确保计算机使用的可靠安全。

2.样本抽取的实施。样本抽取的频率与程度直接影响风险控制工作的质量,因此抽取的技巧在于明确该关键控制点的风险评估、样本事件发生的频率、实施控制的复杂程度。当控制不定期发生时,可先计算一定时期内经济业务发生的次数,然后计算出可操作的频率,并根据长期观察进行调整。此外,样本需具有代表性,实行完全随机抽取。

3.保持沟通以提高控制效果。风险控制项目组应认真检查各个关键控制点的执行情况,及时与上级主管领导、被检单位沟通,还可与会计师事务所建立交流机制,探讨如何结合集团所处行业特点,加强和改善风险控制,对制度的建设和执行进行适时的调整。

第三阶段风险控制的评价

集团风控项目组通过总体目标、组织人员、一般控制、应用控制、硬件安全等五方面内容的调查问卷,对所控制部门及岗位逐一测评。通过控制凭证的收集和整理,结合调查问卷得出的执行效果,做出每月风险控制执行报告,使高层管理者可直观发现制度设计是否达到了风险控制的要求,关键控制点的执行是否有效,是否达到了预期目标。

第四阶段风险控制整改考核

为强化管理效果,集团公司要求对出现的问题及时解决,对于已整改的问题还应关注后续是否出现新的问题,未整改的问题则应分清是主观原因还是客观原因,以便区别对待。方案要在执行中逐步完善,并建立配套的奖惩制度,项目组定期向公司考核部门提出奖罚意见,对执行好的给予奖励,对不执行或执行不力的予以处罚。

要点启示

首先,塑造全员风险控制的企业文化。企业文化是一种现存的无形力量,影响企业所有人员的思维方法和行为方式。会计信息系统涉及集团所有经济活动,只有全员积极参与,才能把风险消灭在萌芽状态,或控制到企业能接受的最小状态。

其次,风控过程专人落实。为确保风控过程不走过场,集团成立了专门的组织机构,全面领导和组织项目实施工作。要求项目组织机构认真履行职责,各部门密切配合,保证该项目圆满成功,并在实施中不断优化管理程序和组织结构。同时,开展定期培训,致力于长期打造一支熟悉业务且敢于管理的队伍,为集团长远发展打好坚实的基础。

再次,风险控制应注意后续跟进。COSO-ERM事关集团经营安危大局,在执行上要克服“重非经常性发生事项控制,轻经常性发生事项控制”的倾向。会计信息系统除定期排查问题外,还应不定期地跟进每个风险问题的改进情况或进展的难点,及时发现问题、解决问题。

最后,刚性原则与柔性管理相结合。风险控制与绩效考核紧密挂钩,不可避免地会影响到某些部门或人员的利益,在应用过程中产生冲突,导致对项目产生抵制情绪,最终会影响项目实施进程。因此在考核机制执行上应注意避免重程序、轻“内部人”的现象,要不定期召开工作协调会,对项目实施统一认识,明确目标,如有必要还需高层领导从公司整体利益上给予仲裁。

(作者丁晶供职于广西机电工业学校,甘卓霞供职于广西物资集团总公司财务部)