丁 晶 甘卓霞

如果把企業(yè)比喻為盤(pán)根錯(cuò)雜的大樹(shù),會(huì)計(jì)信息系統(tǒng)則是負(fù)責(zé)維持養(yǎng)分收集與運(yùn)作的樹(shù)干。

在經(jīng)濟(jì)全球化的大背景下,管理滯后、會(huì)計(jì)信息風(fēng)險(xiǎn)控制不力導(dǎo)致風(fēng)險(xiǎn)加劇,往往是企業(yè)在危機(jī)中倒下的共因。后金融危機(jī)時(shí)代,伴隨著信息化的發(fā)展,會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)控制日益成為人們關(guān)注的焦點(diǎn)。

主題要素

現(xiàn)代企業(yè)中,科學(xué)的管理決策、有效的風(fēng)險(xiǎn)管理與控制、高效的監(jiān)管,都需要會(huì)計(jì)信息做支撐。然而,如果只是利用計(jì)算機(jī)技術(shù)提高業(yè)務(wù)處理的速度,而不采用先進(jìn)的風(fēng)險(xiǎn)管理方式,反而會(huì)因?yàn)樾录夹g(shù)的使用增加了原手工操作并不存在的風(fēng)險(xiǎn)。因此,企業(yè)會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)控制的主題是:安全與價(jià)值。主題分以下兩個(gè)層面:

第一是基礎(chǔ)層面?；谛畔踩珒?nèi)涵,COBIT(信息及相關(guān)技術(shù)控制目標(biāo))包括了信息的七大標(biāo)準(zhǔn):效果、效率、保密、完整、可用、可靠、一致性。如果把企業(yè)比喻為盤(pán)根錯(cuò)雜的大樹(shù),會(huì)計(jì)信息系統(tǒng)則是負(fù)責(zé)維持養(yǎng)分收集與運(yùn)作的樹(shù)干。若其七大標(biāo)準(zhǔn)執(zhí)行不力,則會(huì)造成企業(yè)脆弱性泛濫,進(jìn)而引發(fā)業(yè)務(wù)癱瘓乃至崩潰,因此安全性是風(fēng)控考量的首位要?jiǎng)?wù)。

第二是延伸層面。會(huì)計(jì)信息的最終產(chǎn)品是財(cái)務(wù)報(bào)表,財(cái)務(wù)報(bào)表價(jià)值的提升體現(xiàn)在信息系統(tǒng)能否為會(huì)計(jì)更真實(shí)完整地反映企業(yè)內(nèi)涵價(jià)值,提供有利的客觀條件。會(huì)計(jì)信息系統(tǒng)是一項(xiàng)由人、流程、信息、IT基礎(chǔ)架構(gòu)所組成的系統(tǒng)工程,無(wú)法用手工復(fù)制,開(kāi)發(fā)和運(yùn)行需要專門(mén)的技術(shù)與方法,系統(tǒng)內(nèi)部處理無(wú)法以可見(jiàn)的方式跟蹤,使用者對(duì)于程序并不精通,計(jì)算機(jī)病毒與黑客對(duì)在線實(shí)時(shí)系統(tǒng)的攻擊不容小視,其影響比手工系統(tǒng)大得多,往往會(huì)造成大量記錄的破壞或丟失。

根據(jù)會(huì)計(jì)信息系統(tǒng)的特點(diǎn),安全風(fēng)險(xiǎn)主要表現(xiàn)在會(huì)計(jì)信息失真、資產(chǎn)損失、重要商業(yè)機(jī)密泄露、系統(tǒng)無(wú)法正常運(yùn)行,通過(guò)風(fēng)險(xiǎn)薄弱點(diǎn)分析可總結(jié)為以下四大風(fēng)險(xiǎn)要素:

1.資產(chǎn)。資產(chǎn)對(duì)威脅的防護(hù)性較低,與會(huì)計(jì)信息及信息技術(shù)相關(guān)的資產(chǎn)包括信息和數(shù)據(jù)、硬件、軟件、服務(wù)、文檔和人員,任何一項(xiàng)受到損害對(duì)系統(tǒng)產(chǎn)生的風(fēng)險(xiǎn)都很大。

2.威脅。會(huì)計(jì)信息系統(tǒng)因其復(fù)雜的特點(diǎn),在組織資產(chǎn)、系統(tǒng)及處理過(guò)程中,會(huì)面臨各種不同類型的威脅,主要有不可控制的自然災(zāi)害、非預(yù)期及不正常的程序結(jié)束操作造成的故障、錯(cuò)誤、用戶非法破壞、盜竊、欺詐等。這就需要對(duì)威脅產(chǎn)生的風(fēng)險(xiǎn)根據(jù)經(jīng)驗(yàn)值或是歷史數(shù)據(jù)進(jìn)行綜合評(píng)估,評(píng)估發(fā)生概率及產(chǎn)生的危害。

3.薄弱點(diǎn)。信息流程中的薄弱點(diǎn)在通訊過(guò)程中暴露得較為明顯。在人機(jī)對(duì)話中,用戶缺乏必要的安全知識(shí)、系統(tǒng)維護(hù)安全措施不到位或缺失、無(wú)保護(hù)的數(shù)據(jù)傳輸、命令口令及個(gè)人密碼單一且未做到定時(shí)更新等,都是薄弱的環(huán)節(jié)。

4.影響。當(dāng)風(fēng)險(xiǎn)實(shí)際發(fā)生時(shí),企業(yè)不可避免地會(huì)發(fā)生損失,包括直接經(jīng)濟(jì)損失、商業(yè)機(jī)會(huì)的損失、企業(yè)利益相關(guān)者決策的失誤、企業(yè)名譽(yù)受損等等。

設(shè)計(jì)思路

接下來(lái),筆者以廣西物資集團(tuán)總公司的運(yùn)作方案為例,重點(diǎn)剖析方案部署思路及工作流程。

廣西物資集團(tuán)總公司是我國(guó)大型一類流通企業(yè),現(xiàn)有全資子公司、控股公司21家,集團(tuán)業(yè)務(wù)復(fù)雜且行業(yè)布局廣。截至2009年12月,資產(chǎn)總額為22.13億元。隨著業(yè)務(wù)快速發(fā)展,集團(tuán)急需通過(guò)會(huì)計(jì)信息化管理提升企業(yè)財(cái)務(wù)管理水平,加強(qiáng)內(nèi)部資源整合,從而提高集團(tuán)財(cái)務(wù)管控能力,會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)控制,也同樣成為信息工作的重點(diǎn)和難點(diǎn)。

會(huì)計(jì)信息滲透至企業(yè)經(jīng)濟(jì)活動(dòng)的各個(gè)神經(jīng)末梢,甚至涉及整個(gè)價(jià)值鏈。因此,公司將信息安全升級(jí)為信息風(fēng)險(xiǎn)問(wèn)題。風(fēng)險(xiǎn)控制方案的核心思想定位于,在成本效益原則指導(dǎo)下合理地防范四大風(fēng)險(xiǎn)要素,為保證IT治理和會(huì)計(jì)信息真實(shí)完整,在COBIT的基礎(chǔ)上引入COSO-ERM框架,而COSO-ERM涵蓋了企業(yè)組織活動(dòng)的所有風(fēng)險(xiǎn),在四目標(biāo)、八要素中,將內(nèi)部控制的控制對(duì)象定義為風(fēng)險(xiǎn),將風(fēng)險(xiǎn)的控制轉(zhuǎn)變?yōu)楣芾怼Ｔ趯?shí)際工作中,廣西物資集團(tuán)總公司把八大要素與會(huì)計(jì)信息系統(tǒng)的有機(jī)結(jié)合(見(jiàn)表1),本質(zhì)上完善了會(huì)計(jì)信息系統(tǒng)風(fēng)控的體系。

方案實(shí)施

會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)控制是范圍大、控制程序復(fù)雜的綜合性控制,是人工控制和計(jì)算機(jī)自動(dòng)控制相結(jié)合的多方位控制。結(jié)合集團(tuán)公司的特點(diǎn)和經(jīng)營(yíng)管理實(shí)際情況,以核心思想和工作思路為準(zhǔn)繩,將工作分四個(gè)階段進(jìn)行具體實(shí)施。

第一階段制定風(fēng)險(xiǎn)控制工作計(jì)劃

全面評(píng)估集團(tuán)信息系統(tǒng)所存在的風(fēng)險(xiǎn)要素,確定開(kāi)展控制的范圍,統(tǒng)一全公司信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別及測(cè)評(píng)方法,規(guī)范工作底稿,做好風(fēng)險(xiǎn)控制的準(zhǔn)備工作。工作步驟如下:

1.設(shè)立項(xiàng)目進(jìn)度表,專人負(fù)責(zé)項(xiàng)目推進(jìn)。集團(tuán)公司高層十分重視風(fēng)險(xiǎn)控制項(xiàng)目的實(shí)施,為確保項(xiàng)目的順利推進(jìn),設(shè)立項(xiàng)目實(shí)施及進(jìn)度推進(jìn)表,每一個(gè)任務(wù)內(nèi)容落實(shí)到人,訂時(shí)到日。

2.加強(qiáng)員工培訓(xùn),規(guī)范業(yè)務(wù)流程的操作。為減少會(huì)計(jì)信息系統(tǒng)人為的操作失誤,與財(cái)務(wù)軟件公司合作,加強(qiáng)培訓(xùn)相關(guān)崗位員工,培訓(xùn)內(nèi)容包括道德素質(zhì)教育、軟硬件使用要求、安全維護(hù)等。集團(tuán)制定并下發(fā)了《廣西物資集團(tuán)總公司會(huì)計(jì)核算軟件系統(tǒng)管理辦法》,從崗位設(shè)置、操作要求、數(shù)據(jù)管理等方面進(jìn)行規(guī)范,為員工具體操作信息系統(tǒng)提供了操作的行為準(zhǔn)則。

3.開(kāi)展全面的風(fēng)險(xiǎn)評(píng)估。COSO-ERM的實(shí)施,不可能脫離其賴以生存的環(huán)境和內(nèi)外部各種風(fēng)險(xiǎn)因素。為了加強(qiáng)對(duì)風(fēng)險(xiǎn)的控制,必須合理評(píng)估公司整體信息化過(guò)程,對(duì)事件進(jìn)行識(shí)別,對(duì)風(fēng)險(xiǎn)發(fā)生可能性的高低和風(fēng)險(xiǎn)對(duì)目標(biāo)影響程度,進(jìn)行定量和定性分析(見(jiàn)表2),排查重點(diǎn)和優(yōu)先控制的風(fēng)險(xiǎn),確定風(fēng)險(xiǎn)控制的關(guān)鍵控制點(diǎn),為達(dá)到年度風(fēng)險(xiǎn)管理目標(biāo)提供依據(jù)。

4.確定測(cè)試的組織方式。測(cè)試分為集團(tuán)公司總部層面和子公司層面?？偛繉用嫖袝?huì)計(jì)師事務(wù)所進(jìn)行測(cè)試,子公司層面采用由總部組織專業(yè)人員直接到現(xiàn)場(chǎng)測(cè)試的方式進(jìn)行。

第二階段風(fēng)險(xiǎn)控制的實(shí)施

1.針對(duì)資產(chǎn)、威脅、薄弱點(diǎn)及影響這四大風(fēng)險(xiǎn)要素,篩選風(fēng)險(xiǎn)控制的關(guān)鍵點(diǎn)。例如,資產(chǎn)保護(hù)的關(guān)鍵控制人員在于系統(tǒng)管理員、操作員、維護(hù)員,該風(fēng)險(xiǎn)控制的控制實(shí)施憑證是運(yùn)行日志表,各個(gè)崗位手工記錄每天計(jì)算機(jī)運(yùn)行狀況,詳細(xì)寫(xiě)明遇到的問(wèn)題,定期檢查服務(wù)器、計(jì)算機(jī)、系統(tǒng)運(yùn)行及維護(hù)情況。按所有在用的計(jì)算機(jī)體系檢查樣本總體,以確保計(jì)算機(jī)使用的可靠安全。

2.樣本抽取的實(shí)施。樣本抽取的頻率與程度直接影響風(fēng)險(xiǎn)控制工作的質(zhì)量,因此抽取的技巧在于明確該關(guān)鍵控制點(diǎn)的風(fēng)險(xiǎn)評(píng)估、樣本事件發(fā)生的頻率、實(shí)施控制的復(fù)雜程度。當(dāng)控制不定期發(fā)生時(shí),可先計(jì)算一定時(shí)期內(nèi)經(jīng)濟(jì)業(yè)務(wù)發(fā)生的次數(shù),然后計(jì)算出可操作的頻率,并根據(jù)長(zhǎng)期觀察進(jìn)行調(diào)整。此外,樣本需具有代表性,實(shí)行完全隨機(jī)抽取。

3.保持溝通以提高控制效果。風(fēng)險(xiǎn)控制項(xiàng)目組應(yīng)認(rèn)真檢查各個(gè)關(guān)鍵控制點(diǎn)的執(zhí)行情況,及時(shí)與上級(jí)主管領(lǐng)導(dǎo)、被檢單位溝通,還可與會(huì)計(jì)師事務(wù)所建立交流機(jī)制,探討如何結(jié)合集團(tuán)所處行業(yè)特點(diǎn),加強(qiáng)和改善風(fēng)險(xiǎn)控制,對(duì)制度的建設(shè)和執(zhí)行進(jìn)行適時(shí)的調(diào)整。

第三階段風(fēng)險(xiǎn)控制的評(píng)價(jià)

集團(tuán)風(fēng)控項(xiàng)目組通過(guò)總體目標(biāo)、組織人員、一般控制、應(yīng)用控制、硬件安全等五方面內(nèi)容的調(diào)查問(wèn)卷,對(duì)所控制部門(mén)及崗位逐一測(cè)評(píng)。通過(guò)控制憑證的收集和整理,結(jié)合調(diào)查問(wèn)卷得出的執(zhí)行效果,做出每月風(fēng)險(xiǎn)控制執(zhí)行報(bào)告,使高層管理者可直觀發(fā)現(xiàn)制度設(shè)計(jì)是否達(dá)到了風(fēng)險(xiǎn)控制的要求,關(guān)鍵控制點(diǎn)的執(zhí)行是否有效,是否達(dá)到了預(yù)期目標(biāo)。

第四階段風(fēng)險(xiǎn)控制整改考核

為強(qiáng)化管理效果,集團(tuán)公司要求對(duì)出現(xiàn)的問(wèn)題及時(shí)解決,對(duì)于已整改的問(wèn)題還應(yīng)關(guān)注后續(xù)是否出現(xiàn)新的問(wèn)題,未整改的問(wèn)題則應(yīng)分清是主觀原因還是客觀原因,以便區(qū)別對(duì)待。方案要在執(zhí)行中逐步完善,并建立配套的獎(jiǎng)懲制度,項(xiàng)目組定期向公司考核部門(mén)提出獎(jiǎng)罰意見(jiàn),對(duì)執(zhí)行好的給予獎(jiǎng)勵(lì),對(duì)不執(zhí)行或執(zhí)行不力的予以處罰。

要點(diǎn)啟示

首先,塑造全員風(fēng)險(xiǎn)控制的企業(yè)文化。企業(yè)文化是一種現(xiàn)存的無(wú)形力量,影響企業(yè)所有人員的思維方法和行為方式。會(huì)計(jì)信息系統(tǒng)涉及集團(tuán)所有經(jīng)濟(jì)活動(dòng),只有全員積極參與,才能把風(fēng)險(xiǎn)消滅在萌芽狀態(tài),或控制到企業(yè)能接受的最小狀態(tài)。

其次,風(fēng)控過(guò)程專人落實(shí)。為確保風(fēng)控過(guò)程不走過(guò)場(chǎng),集團(tuán)成立了專門(mén)的組織機(jī)構(gòu),全面領(lǐng)導(dǎo)和組織項(xiàng)目實(shí)施工作。要求項(xiàng)目組織機(jī)構(gòu)認(rèn)真履行職責(zé),各部門(mén)密切配合,保證該項(xiàng)目圓滿成功,并在實(shí)施中不斷優(yōu)化管理程序和組織結(jié)構(gòu)。同時(shí),開(kāi)展定期培訓(xùn),致力于長(zhǎng)期打造一支熟悉業(yè)務(wù)且敢于管理的隊(duì)伍,為集團(tuán)長(zhǎng)遠(yuǎn)發(fā)展打好堅(jiān)實(shí)的基礎(chǔ)。

再次,風(fēng)險(xiǎn)控制應(yīng)注意后續(xù)跟進(jìn)。COSO-ERM事關(guān)集團(tuán)經(jīng)營(yíng)安危大局,在執(zhí)行上要克服“重非經(jīng)常性發(fā)生事項(xiàng)控制,輕經(jīng)常性發(fā)生事項(xiàng)控制”的傾向。會(huì)計(jì)信息系統(tǒng)除定期排查問(wèn)題外,還應(yīng)不定期地跟進(jìn)每個(gè)風(fēng)險(xiǎn)問(wèn)題的改進(jìn)情況或進(jìn)展的難點(diǎn),及時(shí)發(fā)現(xiàn)問(wèn)題、解決問(wèn)題。

最后,剛性原則與柔性管理相結(jié)合。風(fēng)險(xiǎn)控制與績(jī)效考核緊密掛鉤,不可避免地會(huì)影響到某些部門(mén)或人員的利益,在應(yīng)用過(guò)程中產(chǎn)生沖突,導(dǎo)致對(duì)項(xiàng)目產(chǎn)生抵制情緒,最終會(huì)影響項(xiàng)目實(shí)施進(jìn)程。因此在考核機(jī)制執(zhí)行上應(yīng)注意避免重程序、輕“內(nèi)部人”的現(xiàn)象,要不定期召開(kāi)工作協(xié)調(diào)會(huì),對(duì)項(xiàng)目實(shí)施統(tǒng)一認(rèn)識(shí),明確目標(biāo),如有必要還需高層領(lǐng)導(dǎo)從公司整體利益上給予仲裁。

(作者丁晶供職于廣西機(jī)電工業(yè)學(xué)校,甘卓霞供職于廣西物資集團(tuán)總公司財(cái)務(wù)部)