【摘要】随着电子商务与信息技术的发展,传统会计信息系统(AIS)控制i局限性日益凸显。事件驱动型会计信息系统(EDAIS)控制由于考虑到各种事件中可能包含的风险,而成为会计信息系统控制的发展方向。
随着电子商务和信息网络技术的迅速发展,AIS与企业的其他业务信息系统的融合越来越紧密。AIS的控制问题不再是一个局限于会计部门的孤立的问题,而成为一个涉及到企业各项活动的系统性问题。AIS控制问题也不再是信息系统自身的问题,而应该从AIS体系结构出发,从根本上改变AIS控制的方法与范围。AIS体系结构是指采集、存储、处理、传输数据的步骤、方法或数据处理程序的结构。现有学术研究成果大多是在坚持传统AIS体系结构及其内部控制制度与控制观点的基础上,从信息技术的角度探讨如何加强AIS的控制。这种控制与电子商务、企业信息化的发展极不相适应,并且大大限制了企业的运行效率。笔者从事件驱动体系结构的角度,分析AIS控制。
一、传统会计信息系统控制的局限性
(一)传统会计信息系统数据处理流程
传统AIS是建立在传统会计体系结构基础之上的。传统会计体系结构是指现代信息技术出现之前,会计人员在处理会计数据时所采用的一系列步骤和方法,即会计循环和会计恒等式。基于这种体系结构的AIS采集和存储的数据是有关业务事件数据的一个子集,即只采集和存储那些改变企业资产、负债或所有者权益构成的会计数据。图1反映了基于传统体系结构的AIS采集、存储和处理业务数据的流程。
(二)传统会计信息系统控制的局限性
如图1所示,传统AIS处理流程原封不动地保存了原始的会计循环,只是使用信息技术去自动化老式的会计工作流程。传统AIS控制也正是基于图1所表示的传统体系结构而形成的。
1.从原始数据录入到财务报表输出,整个过程频繁使用了大量的事务文件和工作文件对会计信息进行加工处理,最终财务报表的可依赖性取决于原始数据的可靠性。虽然使用了大量的中间文件,但这些文件内容大多来自于同一数据源。例如,应收账款总账及其所属明细账数据都来自同一销售发票。由于存在“垃圾进,垃圾出”现象,当业务过程发生了错误时,不管记录、维护及报告过程使用的技术如何,都将造成报告错误。
2.分离职责和责任局限于使一个人的工作核查另外一个人的工作,着重于事后监督,而忽视了事前预防。
3.没有考虑到信息技术能够减少业务活动中的人为错误,能够对业务与控制规则的符合程度进行监控,而对会计数据进行重复记录,对重复数据做大量调整、核对。这样,既和现代企业对AIS的要求不相适应,又影响系统的运行效率。
4.AIS专门从事收集和处理其他部门所创造的数据信息的工作,独立于业务活动,是反映性的和纠正性的,无法检查、控制、杜绝业务活动过程中发生的错误。
5.会计人员和审计人员在指导内部控制制度的设计、实现、维护和评估时,根据会计管理工作的需要而设定,局限于会计工作的范围。控制程序是局部性的、阶段性的,没有考虑与可能跨越几个职能部门的业务过程有关的种种风险,无法对财务活动以外的其它活动的风险进行控制,而其他活动的风险往往间接或直接地导致了财务风险的产生。
二、事件驱动型会计信息系统数据处理流程
(一)业务过程与事件
业务过程是完成企业战略目标的一系列活动。事件是表示业务过程中的单一活动。一个企业的业务活动可分为业务事件、信息事件、决策与管理事件。业务事件是在业务过程中执行的与向顾客提供商品和服务有关的业务活动;信息事件是指对信息进行收集、加工、存储、维护、传输、报告等的处理活动;决策与管理事件是管理者或其他人在计划、控制和评价业务过程时的决策活动,包括管理资源(人力、物力及资金)和制定战略规划等。
(二)事件驱动型会计信息系统数据处理流程
事件驱动体系结构以业务过程和事件来构造系统,它以各类经济活动事项为中心组织数据,并独立于应用程序之外,业务数据输入一次,便可用于生成各种视图驱动应用所能提供的全部视图。EDAIS是建立在事件驱动体系结构的基础上,在业务发生时收集业务事件的所有数据(如时间、地点、责任人和参与者、涉及到的资源与风险等),把业务事件数据集成在数据仓库里,同时利用信息生成工具对事件数据仓库中的数据进行会计处理的。即按用户需要产生各种报告视图,如明细账、分类账和财务报表等,实现业务与会计的协同化处理。EDAIS数据处理流程如图2。
三、事件驱动型会计信息系统的风险
EDAIS的风险除了财务风险外,还有常常直接或间接地给企业带来财务损失的其他业务的风险,这些风险可概括为:业务事件风险、信息事件风险及决策与管理事件风险。每一个风险都会波及到财务部门,胬床莆穹缦铡7缦盏目刂票匦牍岽┯诟髦质录之中,而传统体系结构忽视了许多与财务资源有关的非财务风险。
(一)业务事件风险
业务事件风险包括:业务事件发生在错误时间和地点;业务事件没有适当的授权、操作顺序错误、涉及错误的人员;业务事件涉及错误的资源类型与数量等。这些业务操作风险用传统体系结构AIS是很难检测出来的。
(二)信息事件风险
信息事件中蕴涵着信息收集、加工、存储、维护、传输、报告等风险。信息收集风险是指对业务事件不能做出正确的判断,对数据采用了不适当的表达形式,从而导致事件数据记录不完整、不准确或无效;信息加工风险是指不能对数据做出正确的选择、排序、合并、更新、计算等;信息存储风险是指存储哪些数据、存储多长时间、采用什么样的存储方式等发生错误;维护风险是指未察觉或未记录组织的资源、参与者、时间、地点的变化;信息传输风险是指信息在AIS内部子系统间或AIS与其他系统间传输时,发生误传、盗窃、删除、被非法篡改等;信息报告风险是指报告输出数据形式不当、或汇总错误,或数据提供给未经授权的单位或个人,或未及时提供数据。
(三)决策与管理事件风险
决策与管理事件风险包括:未能对未来事件做出正确的预测,致使计划制定错误或不完善;由于规章制度不完善,指挥、协调、控制失效,计划或决策方案没有得到有效的执行;由于对管理对象的状态信息及管理决策目标信息掌握不全,未能对经营成果做出正确的评价。
四、事件驱动型会计信息系统控制
EDAIS控制是根据事件驱动体系结构的特点而提出的,它把风险的控制贯穿于企业业务过程的各个事件中,实现了业务活动、信息处理、IT与风险控制的集成。
(一)控制业务活动
1.控制交易风险。建立在传统体系结构上的AIS只能被动地接收各业务部门产生的数据,是反映性的。一旦业务部门的业务操作出现问题而没有被发现,必然要把错误的数据带入AIS,而传统AIS却无法发现这些错误;EDAIS基于业务活动构建系统,针对业务事件的各种可能风险,设计交易授权、操作规程和业务执行过程的控制规则。明确规定哪些人允许执行哪些活动,接触哪些资源,哪些事件应在什么时间发生在何处。这样,在业务发生之前便评估其风险,从会计信息的源头上控制风险,防止业务事件、信息事件和决策与管理事件的错误和舞弊。
2.职责分离。EDAIS职责分离除了维持传统的监督与检查功能外,更注重提高效率与预防错误的发生。它能够通过共同数据仓库整合、连接与协调各类平衡的活动,实现相关业务事件的相互牵制与自动核对。例如,当销售业务发生时,可以把其数据直接输入到数据仓库,并直接与收款业务数据进行自动核对,确保无误后,再进行会计处理,而不必像传统AIS那样,由会计部门分别接收各业务活动数据,并进行核对与处理,这样,既提高了组织运行的效率和有效性,又提高了系统控制的质量。
(二)把控制嵌入事件中,实现实时控制
传统AIS作为收集与处理其他业务部门业务数据的一个独立系统而存在,控制范围局限于会计部门,控制时间滞后于业务事件sEDAIS将业务事件与信息事件进行整合,能把控制规则嵌入到系统的记录过程、维护过程和报告过程中,使控制程序和规则成为业务过程及信息过程中不可分割的职能,防止发生错误或舞弊。在信息处理时,检查和管理与事件相关的处理规则、控制程序和政策,实现对业务与信息处理的实时控制。但是,为了实现系统控制的适应性,控制程序和规则要随企业战略、组织结构、业务过程和使用的信息技术的变化而改变。
(三)审计监督
传统AIS是从手工AIS中发展而来的,仅仅收集业务事件的财务数据,还有一些重要的非财务数据被分割后,保存在各业务部门的子系统中。这样,作为审计线索的业务事件数据通常被分割存放在组织的各个不同的职能领域。审计与会计人员进行审计监督时,要到各业务子系统查找信息,然后在数量巨大的电子凭证和电子文件之间进行拼凑。这种事后的审计与监督工作,难度大,可信度低;在EDAIS中,每一个业务事件的有关资源、事件、参与者和地点的数据元素都通过记录过程收集在数据仓库里。采用并行审计技术在AIS中嵌入审计模块,从数据仓库中获取业务事件的全息数据,既可测试系统数据和业务规则的符合性,又可为审计与会计人员提供追踪与监督业务过程的全面、详细的电子审计线索,而且,还可允许使用各种详细的联机数据来进行审计分析和评估。
(四)简化中间处理步骤,降低控制难度
由图1可知,传统AIS中间处理步骤和物理文件多,而且与企业其他系统间的耦合度低,系统间协调性差,数据传输难度大;EDAIS收集描述业务活动的各种多维数据并存储在数据仓库中,按照信息需求,建立信息报告工具,直接输出各种信息报表,大大减少了中间的处理步骤和物理文件数量。既减少了物理文件被非法篡改、盗用、攻击、删除的机会,又降低了AIS与其它信息系统间数据的传递频率,从而降媪丝刂颇讯取