筑牢信息化防火墻

丁 晶 甘卓霞

如果把企業比喻為盤根錯雜的大樹,會計信息系統則是負責維持養分收集與運作的樹干。

在經濟全球化的大背景下,管理滯后、會計信息風險控制不力導致風險加劇,往往是企業在危機中倒下的共因。后金融危機時代,伴隨著信息化的發展,會計信息系統風險控制日益成為人們關注的焦點。

主題要素

現代企業中,科學的管理決策、有效的風險管理與控制、高效的監管,都需要會計信息做支撐。然而,如果只是利用計算機技術提高業務處理的速度,而不采用先進的風險管理方式,反而會因為新技術的使用增加了原手工操作并不存在的風險。因此,企業會計信息系統風險控制的主題是:安全與價值。主題分以下兩個層面:

第一是基礎層面。基于信息安全內涵,COBIT(信息及相關技術控制目標)包括了信息的七大標準:效果、效率、保密、完整、可用、可靠、一致性。如果把企業比喻為盤根錯雜的大樹,會計信息系統則是負責維持養分收集與運作的樹干。若其七大標準執行不力,則會造成企業脆弱性泛濫,進而引發業務癱瘓乃至崩潰,因此安全性是風控考量的首位要務。

第二是延伸層面。會計信息的最終產品是財務報表,財務報表價值的提升體現在信息系統能否為會計更真實完整地反映企業內涵價值,提供有利的客觀條件。會計信息系統是一項由人、流程、信息、IT基礎架構所組成的系統工程,無法用手工復制,開發和運行需要專門的技術與方法,系統內部處理無法以可見的方式跟蹤,使用者對于程序并不精通,計算機病毒與黑客對在線實時系統的攻擊不容小視,其影響比手工系統大得多,往往會造成大量記錄的破壞或丟失。

根據會計信息系統的特點,安全風險主要表現在會計信息失真、資產損失、重要商業機密泄露、系統無法正常運行,通過風險薄弱點分析可總結為以下四大風險要素:

1.資產。資產對威脅的防護性較低,與會計信息及信息技術相關的資產包括信息和數據、硬件、軟件、服務、文檔和人員,任何一項受到損害對系統產生的風險都很大。

2.威脅。會計信息系統因其復雜的特點,在組織資產、系統及處理過程中,會面臨各種不同類型的威脅,主要有不可控制的自然災害、非預期及不正常的程序結束操作造成的故障、錯誤、用戶非法破壞、盜竊、欺詐等。這就需要對威脅產生的風險根據經驗值或是歷史數據進行綜合評估,評估發生概率及產生的危害。

3.薄弱點。信息流程中的薄弱點在通訊過程中暴露得較為明顯。在人機對話中,用戶缺乏必要的安全知識、系統維護安全措施不到位或缺失、無保護的數據傳輸、命令口令及個人密碼單一且未做到定時更新等,都是薄弱的環節。

4.影響。當風險實際發生時,企業不可避免地會發生損失,包括直接經濟損失、商業機會的損失、企業利益相關者決策的失誤、企業名譽受損等等。

設計思路

接下來,筆者以廣西物資集團總公司的運作方案為例,重點剖析方案部署思路及工作流程。

廣西物資集團總公司是我國大型一類流通企業,現有全資子公司、控股公司21家,集團業務復雜且行業布局廣。截至2009年12月,資產總額為22.13億元。隨著業務快速發展,集團急需通過會計信息化管理提升企業財務管理水平,加強內部資源整合,從而提高集團財務管控能力,會計信息系統的風險控制,也同樣成為信息工作的重點和難點。

會計信息滲透至企業經濟活動的各個神經末梢,甚至涉及整個價值鏈。因此,公司將信息安全升級為信息風險問題。風險控制方案的核心思想定位于,在成本效益原則指導下合理地防范四大風險要素,為保證IT治理和會計信息真實完整,在COBIT的基礎上引入COSO-ERM框架,而COSO-ERM涵蓋了企業組織活動的所有風險,在四目標、八要素中,將內部控制的控制對象定義為風險,將風險的控制轉變為管理。在實際工作中,廣西物資集團總公司把八大要素與會計信息系統的有機結合(見表1),本質上完善了會計信息系統風控的體系。

方案實施

會計信息系統的風險控制是范圍大、控制程序復雜的綜合性控制,是人工控制和計算機自動控制相結合的多方位控制。結合集團公司的特點和經營管理實際情況,以核心思想和工作思路為準繩,將工作分四個階段進行具體實施。

第一階段制定風險控制工作計劃

全面評估集團信息系統所存在的風險要素,確定開展控制的范圍,統一全公司信息系統風險識別及測評方法,規范工作底稿,做好風險控制的準備工作。工作步驟如下:

1.設立項目進度表,專人負責項目推進。集團公司高層十分重視風險控制項目的實施,為確保項目的順利推進,設立項目實施及進度推進表,每一個任務內容落實到人,訂時到日。

2.加強員工培訓,規范業務流程的操作。為減少會計信息系統人為的操作失誤,與財務軟件公司合作,加強培訓相關崗位員工,培訓內容包括道德素質教育、軟硬件使用要求、安全維護等。集團制定并下發了《廣西物資集團總公司會計核算軟件系統管理辦法》,從崗位設置、操作要求、數據管理等方面進行規范,為員工具體操作信息系統提供了操作的行為準則。

3.開展全面的風險評估。COSO-ERM的實施,不可能脫離其賴以生存的環境和內外部各種風險因素。為了加強對風險的控制,必須合理評估公司整體信息化過程,對事件進行識別,對風險發生可能性的高低和風險對目標影響程度,進行定量和定性分析(見表2),排查重點和優先控制的風險,確定風險控制的關鍵控制點,為達到年度風險管理目標提供依據。

4.確定測試的組織方式。測試分為集團公司總部層面和子公司層面。總部層面委托會計師事務所進行測試,子公司層面采用由總部組織專業人員直接到現場測試的方式進行。

第二階段風險控制的實施

1.針對資產、威脅、薄弱點及影響這四大風險要素,篩選風險控制的關鍵點。例如,資產保護的關鍵控制人員在于系統管理員、操作員、維護員,該風險控制的控制實施憑證是運行日志表,各個崗位手工記錄每天計算機運行狀況,詳細寫明遇到的問題,定期檢查服務器、計算機、系統運行及維護情況。按所有在用的計算機體系檢查樣本總體,以確保計算機使用的可靠安全。

2.樣本抽取的實施。樣本抽取的頻率與程度直接影響風險控制工作的質量,因此抽取的技巧在于明確該關鍵控制點的風險評估、樣本事件發生的頻率、實施控制的復雜程度。當控制不定期發生時,可先計算一定時期內經濟業務發生的次數,然后計算出可操作的頻率,并根據長期觀察進行調整。此外,樣本需具有代表性,實行完全隨機抽取。

3.保持溝通以提高控制效果。風險控制項目組應認真檢查各個關鍵控制點的執行情況,及時與上級主管領導、被檢單位溝通,還可與會計師事務所建立交流機制,探討如何結合集團所處行業特點,加強和改善風險控制,對制度的建設和執行進行適時的調整。

第三階段風險控制的評價

集團風控項目組通過總體目標、組織人員、一般控制、應用控制、硬件安全等五方面內容的調查問卷,對所控制部門及崗位逐一測評。通過控制憑證的收集和整理,結合調查問卷得出的執行效果,做出每月風險控制執行報告,使高層管理者可直觀發現制度設計是否達到了風險控制的要求,關鍵控制點的執行是否有效,是否達到了預期目標。

第四階段風險控制整改考核

為強化管理效果,集團公司要求對出現的問題及時解決,對于已整改的問題還應關注后續是否出現新的問題,未整改的問題則應分清是主觀原因還是客觀原因,以便區別對待。方案要在執行中逐步完善,并建立配套的獎懲制度,項目組定期向公司考核部門提出獎罰意見,對執行好的給予獎勵,對不執行或執行不力的予以處罰。

要點啟示

首先,塑造全員風險控制的企業文化。企業文化是一種現存的無形力量,影響企業所有人員的思維方法和行為方式。會計信息系統涉及集團所有經濟活動,只有全員積極參與,才能把風險消滅在萌芽狀態,或控制到企業能接受的最小狀態。

其次,風控過程專人落實。為確保風控過程不走過場,集團成立了專門的組織機構,全面領導和組織項目實施工作。要求項目組織機構認真履行職責,各部門密切配合,保證該項目圓滿成功,并在實施中不斷優化管理程序和組織結構。同時,開展定期培訓,致力于長期打造一支熟悉業務且敢于管理的隊伍,為集團長遠發展打好堅實的基礎。

再次,風險控制應注意后續跟進。COSO-ERM事關集團經營安危大局,在執行上要克服“重非經常性發生事項控制,輕經常性發生事項控制”的傾向。會計信息系統除定期排查問題外,還應不定期地跟進每個風險問題的改進情況或進展的難點,及時發現問題、解決問題。

最后,剛性原則與柔性管理相結合。風險控制與績效考核緊密掛鉤,不可避免地會影響到某些部門或人員的利益,在應用過程中產生沖突,導致對項目產生抵制情緒,最終會影響項目實施進程。因此在考核機制執行上應注意避免重程序、輕“內部人”的現象,要不定期召開工作協調會,對項目實施統一認識,明確目標,如有必要還需高層領導從公司整體利益上給予仲裁。

(作者丁晶供職于廣西機電工業學校,甘卓霞供職于廣西物資集團總公司財務部)