《论信息化条件下我国会计系统流程控制》-管理学论文，管理论文-论文范文参考-科学狗论文网

标题

论信息化条件下我国会计系统流程控制

范文

庄明来　刘　杰

[收稿日期] 2009-06-04

[基金项目]教育部人文社会科学研究项目(02JD90019)。

[作者简介] 庄明来(1949-),男,福建南安人,厦门大学会计发展研究中心教授、博士生导师,主要研究方向:会计信息系统、计算机审计。

[摘要] 我国会计学者对会计业务流程再造的研究由来已久,但对会计业务流程控制研究却少有涉及,面对IT环境的复杂性与ERP系统数据多元化,标准化会计系统流程之固化固然重要,但缺乏流程控制的嵌入,则可能使再造后会计流程隐患四起,险象环生。本文在回顾国外会计系统流程控制的相关理论的基础上,根据目前我国会计系统流程所存在的诸多缺陷提出改进意见与建议。

[关键词] 会计系统流程;控制;SOX法案

doi:10.3969/j.issn.1673-0194.2009.18.001

[中图分类号] F232

[文献标识码] A

[文章编号] 1673-0194(2009)18-0004-04

20世纪90年代,在以互联网为代表的信息技术革命和经济全球化的带动下,企业经营环境和运作模式发生了巨大的变化,企业业务流程再造这种管理变革思想应运而生。企业业务流程再造的诞生引发了会计实务界和学术界对会计业务流程再造的探讨,但从目前研究成果来看,较少涉及会计系统流程控制。会计业务流程再造与流程控制共生互动的特性,决定着在会计业务流程再造的同时必须考虑会计业务流程的控制问题。

一、会计系统流程控制相关理论综述

会计系统流程分类对流程实施控制具有重要意义。Ramos(2006)在将一个单位的财务报告流程划分为常规的、系统的交易处理流程和高层的财务报告流程两大类之后指出,两种活动类型控制的性质和它们相对的重要性是不同的。Kang(2008)等认为传统流程监控方法仅仅只是在语法层次上进行监控,这造成了沟通障碍,如歧义的理解和分歧的解释。为了解释这些难题,流程监控应当从语法和语义两个层次同时获得。明确会计系统的边界旨在确立系统控制范围,拉莫斯(Ramos,2006)认为,活动层面会计系统的边界可定义为交易信息得到批准和授权的那个点,并且其形式应是对会计目的而言有用的形式(即能明确应记录的借贷方)。他同时指出,系统边界必须包括控制政策和程序以确保:(1)只允许正当的、已授权的交易进入处理流程;(2)获取所有正当的、已授权的交易进行处理;(3)获取到的会计信息准确反映出了交易的条款。

会计系统要生产可靠信息,决定该系统流程控制首先要面对信息流的控制,而要实现信息流的控制,其相应的组织流程与业务流程的控制又缺一不可,三者控制相辅相成。O餋onnor(2006)等从会计的视角重新认识了业务流程再造问题,进一步强调会计必须在授权、绩效评估和激励机制之间进行平衡,并指出如何使3个组成要素互相作用以支持交易过程亟待加以深入探索。而要使交易和事项能够客观表达,以事件控制作为业务流程控制的基点无疑是一种理想的选择。Jones和Rama(2003)认为业务流程控制本质上是控制从一个事件到另一个事件的过程。由于业务流程控制运用事项的联系,将重点放在各事件的责任、事件的次序及商务活动中的信息流程,因此流程控制就可细分为职责分工、运用前一事件的信息来控制活动、后续事件、文件等预先编号、记录某一过程中内部负责人的名称、限制对资产和信息的接触,以及将记录与资产实盘数相核对等7个方面的控制。

Wells(2006)等认为,会计行业通过整合先进技术和实施业务流程再造积极回应网络和一系列技术操作和管理的复杂控制系统经常出现的无用或功能混乱的挑战。内部审计在识别新业务流程的益处和支持技术对内部控制的共同影响上必须扮演不可或缺的角色。因而,随着BPR和其他管理变革的实施,内部审计应是被予以考虑的组织因素。

国际会计师联合会(IFAC,2002)将信息技术风险分为电子商务信息技术风险的一套组合,该组合包括信息技术基础设施、信息技术应用和信息技术业务流程等3类风险。

我国学者也对会计系统流程控制作了深入的研究。阎达五、张瑞君(2003)指出,会计流程远离业务流程,导致为管理者提供的信息滞后、无法满足实时控制的需求。对IT环境下实时控制方法的研究非常匮乏,使得会计只能注重核算职能,控制职能弱化,两位教授进而提出,利用信息对经营活动全过程进行实时控制。金文和张金城(2005)在COBIT的基础上,提出从信息系统生命周期出发,构建符合COBIT定义的信息技术过程和管理、控制与评价模型,并在此基础上,构建信息系统管理、控制与审计的模型。陈志斌(2005)则认为,我国的内部控制规范基本上仅对应用层面的控制进行了部分的规范,没有涉及公司层面的内部控制以及IT基础层面的内部控制。而且应用层面的控制还未健全。杨周南等(2007)提出从工程模型、工程方法、工程工具和管理过程等4个方面去完善内部控制工程物理模型的建设过程,以解决内部控制系统建设时所面临的部分问题。章铁生(2007)认为,我国IT内部控制对于部分信息集成度已经很高的企业和有关业界(如审计)实务工作的需要,应充分借鉴COBIT等IT内部控制模型,在具体规范内及时发布相关应用指南或专门研究报告,并在它们的基础上发展出我国实用的IT条件下的内部控制模型。王海林(2008)则提出IT环境下内部控制系统的四大子系统,即标准系统、风险分析系统、诊断系统和交互控制系统等。

总体上说,将内部控制定位于会计系统流程的动态过程之中,有利于随时监测风险与舞弊的发生。

二、会计流程控制实践的成功与缺失透视

会计系统担负着会计信息生产与流程控制的功能。从流程上把握会计控制,即将控制方法与手段嵌入会计系统的设计与应用之中,是保证会计控制的常规化与规范化的重要方面,同时也是产生可靠信息的有力保障。对此,SOX法案为COBIT成为管理与控制的关键框架提供了机会。同时,SOX法案也使企业会计流程控制再造成为必然。

1.SAP软件对会计系统流程控制之借鉴

SOX法案尽管没有直接规定信息技术控制,但该条款中关于上市公司应当有足够的证据表明内部控制有效性等要求,无疑使企业使用的ERP软件难以回避。SOX法案有3部分与IT紧密联系:其一,302条款要求CEO和CFO每年验证财务报表的完整性和准确性;其二,404条款要求外部审计人员鉴证管理层对财务报告内部控制有效性的评价;其三,409条款要求公司“迅速和及时地”报告其财务状况的重要变化。该法案这些条款的明显特征就是分别要求有透明的系统和企业流程,对内部流程和系统控制有一个清楚的了解,以及(近似)实时的报告,以改善公司治理和受托责任,期望防止未来出现公司治理失败和树立市场信心。

不可否认,SAP R/3软件产品在SOX法案的符合性上领先于其他软件产品和解决方案,它将该法案的诸多要求通过应用程序设计与运行得以实施。表1列示该软件依照萨班斯法案要求的对应设置。

在表1中,SAP软件将SOX 404条款中的财务报表内控有效性评估分别置于内控管理模块(MIC)、审计信息系统(AIS)和合并会计报表(BCS)之中,将SOX 409条款中的重要变更的快速披露置于各功能模块之中。在普华永道(Price Waterhouse Coopers)的最近一份调查报告中显示,正因为SAP软件对会计流程嵌入了有效的控制程序,在SOX法案的符合性要求方面领先于其他软件产品,才能保证诸多企业在美国的成功上市。

2.我国部分上市公司会计系统流程控制的成功经验

萨班斯法案要求在美国上市的公司必须严格按照其规范的控制流程加以运作,这对原有仅注重财务信息生产流程而不重视内部会计控制流程的我国企业来说,无疑是一个巨大的挑战,由此使我国某些拟在美国上市的公司望而却步。但我国的中海油、中国人寿等诸多企业却能根据萨班斯法案的要求,按照COSO模型和COBIT框架严格地进行整改,最终得以在美国成功上市。这些企业借助COBIT对IT流程的基本要求,根据萨班斯法案的条款逐一设置控制点,并将所需测试的控制点及其测试时间、测试结果置于ERP的系统之中。实践证明,遵循萨班斯法案并非一定要采购IT新设备才能实现,多数情况下它在原有系统流程再造过程中,添加人工手段完成控制点的文档收集和整理,或采用某些基本的协同工具以减少人工干预流程,抑或购买404条款法规遵从跟踪工具并将其嵌入系统流程之中等。这种通过IT系统驱动的方式,既可以成功地实现企业财务报告流程的内部控制,也进一步实现财务信息生产流程与控制流程一体化。

值得注意的是,尽管多数文档资料都以电子方式生成,许多计算机应用程序替代了手工操作,但添加必要的人工干预流程却可能使SOX法案得以有效施行。中国企业在美上市的实践表明,SOX法案所带来的重大变化之一,就是改变了以前那种以工作内容为中心的工作流程,而将其变为规范而一致的办公流程。同时,它一改过去那种上级管理者通过口头或E-mail通知形式安排工作任务的做法,将其转换为按照相关的流程,说明下达各该项工作任务的理由,并令受理该工作的员工签字接受执行,进而明确分工的责任关系。

会计流程控制的一个重要方面还在于,从流程上对系统数据加以集中管理,以直接保证控制的有效性。企业的信息技术部门不仅要立足于服务,还应当按照萨班斯法案的要求,加大对分公司信息系统、系统建设、运行维护、数据等集中管理的力度,降低分散管理隐含的风险,如此,才能使公司总部从数据层面掌控所有资源,把管理风险从分散各处完全集中到总部可控范围之中。

3.我国企业会计系统流程控制的缺失分析

我国目前会计系统控制流程缺失表现在许多方面,主要有:面向核算而非面向管理致使流程控制偏向价值控制,业务流程沿用传统方法而使账簿记录与实物核对难度增加。因此,如何协调IT环境下采购、生产、销售等各循环与总账系统下的业务流程与信息流程的联系与控制,尽可能通过自动化的方式确保数据的可靠与相关,是我国会计系统流程控制的努力方向。而在当前,研究如何在会计系统流程再造的过程中做到信息生产与流程控制紧密结合,借助严密的控制保证财务数据采集、处理和输出信息的可靠,是我国会计系统流程控制所面临的首要问题。

在网络化和无纸化的条件下,数据真实性和可靠性的确认至关重要,由于原始凭证的电子化,致使会计人员难以凭借自己的经验对其真伪加以判定。因此,在会计业务流程实施跟踪监控,将虚假凭证拒绝于会计系统之外,也就成为会计业务流程控制的重中之重。

大中型企业通过管理软件所固化了的流程实现财务与业务一体化,另一方面,诸多小型企业仍然使用会计软件而非管理软件,致使会计流程远离企业业务流程,进而影响信息采集的实时性;众多企业的上述两种迥然不同的信息流程,使我们不能采取不同的控制流程和节点与之相适应。

同时我们也应该清醒地看到,无论是上市公司还是一般企业,公司的内部控制总体情况不容乐观。与国际信息系统审计与控制协会(ISACA)发布的信息和相关技术控制目标(COBIT)要求仍有较大的差距,在我国,COBIT目前只在电信、金融行业等信息化程度非常高的企业得以实施,这些行业依据COBIT设置的控制体系,无疑为其他行业的流程控制树立了榜样。

三、信息化条件下我国会计系统流程控制的构想

财政部等部委联合发布的《企业内部控制基本规范》文件中指出,企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。而在企业识别各项内部风险过程中,要求关注业务流程的管理和信息技术运用的自主创新因素。可见,运用信息技术,将流程控制嵌入信息系统之中已经成为企业内部控制的重要组成部分。而制定符合我国国情的会计系统标准流程控制体系并使其得以实施刻不容缓。

1.制定符合我国国情的会计系统标准流程控制体系

COBIT在技术上看并不是“风险导向”或“以风险为中心”的评估框架,但它是能够用于IT风险管理与控制的极好的参考指南。从国外成功的案例来看,尽管COSO与COBIT均是保证完全达到SOX 404的要求的框架与工具,但对大型企业而言,则多使用COBIT作为其流程控制设计的主要标准与规范,而对于中小型企业来说,使用COSO框架作为其制定流程控标准与规范的则比COBIT更多一些。鉴于COBIT框架的实施比COSO难度更大,并结合我国企业流程控制存在的问题,笔者认为,可根据企业规模大小与不同行业制定符合我国国情的会计系统标准流程控制体系,以期收到事半功倍的效果。

在制定符合我国国情的会计系统标准流程控制体系之际,应当留给企业一定的灵活空间,COBIT作为一个国际标准,比较强调其通用性,因而难以顾及企业的具体情况。故应当让企业结合自身特点和实际情况有一定的选择空间。使企业在具体运用过程中,结合信息系统生命周期各个阶段的不同特点,有选择、分阶段地来实施COBIT中所要求的内容。同时,基于企业业务与财务一体化的发展趋势,在制定符合我国国情的会计系统标准流程控制体系之际,还应当充分考虑会计系统流程控制与企业业务流程控制间的联系。

2.开发符合会计系统标准流程控制体系的样板软件鉴于本文所探讨的对象是会计系统,故在文中所指的会计软件,也泛指ERP软件中的会计信息子系统。

历经30年开发与应用的我国会计软件,其信息生产流程已臻成熟,但却因基本沿袭手工会计流程而未能高效地实行流程控制,与COBIT的要求相去甚远。为此,在建立符合我国国情的会计系统标准流程控制体系之后,必须立足于该体系的具体实施,开发相应的融信息生产与流程控制于一体的会计软件。

具体的设想是,可以采用分步走的策略:第一步,可先由用友、金蝶等软件公司开发出符合会计系统标准流程控制体系的会计软件,并将其在部分企业用户中试行,在取得经验之后再对所有的用户全面应用。由于这些软件公司在国内市场上占有较大的份额,采用以点带面的方式估计能够收到较好的效果。第二步,要求各软件开发公司根据国家制定的会计系统标准流程控制体系,参考用友、金蝶等公司已经开发应用的样板软件,对各自的软件进行修改更新,并及时推广应用至各个用户。第三步,在全国范围内广泛宣传上述优秀软件的控制功能,使广大的开发商和会计人员认识开发使用标准流程控制软件的重要性,推动企业用户购买符

合标准流程控制的会计软件。

3.对会计系统流程的运行实施实时监控

COBIT作为一个IT治理的通用标准和信息系统审计的框架体系,其适用用户中也包括审计师, COBIT就如何进行信息系统审计,提供了较为详尽的指导性建议。为此,我们可根据这些指导性建议,在开发会计标准流程控制软件之际,采用嵌入式审计模块法(Embedded Audit Module,EAM),将审计模块嵌入该软件的应用程序之中,借以对各控制点以实施动态跟踪审计。一般地说,这些跟踪控制可分为两类:一类是在重要的控制点上对系统的处理进行实时监控的程序,只要该会计系统一启动,这类审计程序就在特定的处理环节对系统进行连续监控,即凡是出现满足指定条件的情况将被写进特定的审计文件之中,以便审计人员进行分析;另一类是审计人员在需要审计时调用的程序,调用时,令该程序执行即可获取该执行结果。

4.注重流程控制与数据治理的互动,保证信息输出的可靠与相关

流程控制与数据治理密不可分,它们都是企业内部控制的重要组成部分。流程控制与数据治理休戚相关,前者旨在使数据处理的结果可靠与相关,而后者则必须依赖于前者才能保证其治理的有效性与生成信息的高质量。在信息系统之中,无论是对流程的控制,还是对数据的治理,其目标都是对系统进行动态监控。数据治理本身也面临着由业务流程改变、业务规则修改和业务实体不断丰富所产生的实践挑战。为了保证财务与业务一体化,首先应当在ERP系统中对各业务子系统的业务数据的准入实施筛选控制;其次是对进入会计系统的电子数据源,即来自于由经济业务组成的业务事件库的数据,必须在会计系统输入流程中严加控制。

主要参考文献

[1] [美] 迈克尔?拉莫斯.如何遵循SOX 404条款——评估内部控制的效果[M].第2版.李海风,译.北京:中国时代出版社,2007.

[2] Dongwoo Kang,Sunjae Lee,Kwangsoo Kim,Jae Yeol Lee.An OWL-based Semantic Business Process Monitoring Framework[J].Expert Systems with Applications,2009,36(4):7576-7580.

[3] Neale G OConnor,Maris G Martinsons.Management of Information Systems: Insights from Accounting Research[J].Information & ㎝anagement,2006,43(8):1014-1024.

[4] [美] 弗雷德里克?L?琼斯,达萨拉撒?V?拉玛.会计信息系统:商务过程方法[M].甄阜铭,译.北京:经济科学出版社,2006.

[5] Jean T Wells,Hubert D Glover.Technology and The Loss of Internal Controls[J].Internal Auditing,2006,22(1).

[6] [英] Emie Jordan,Luke Silcock.IT风险:基于IT治理的风险管理之道[M].汤大马,译.北京:清华大学出版社,2006.

[7] 阎达五,张瑞君.会计控制新论——会计实时控制研究[J].会计研究,2003(4).

[8] 金文,张金城.基于COBIT的信息系统管理、控制与审计的模型构建研究[J].审计研究,2005(4).

[9] 陈志斌.内控规范的嵌入与超越[J].会计研究,2005(11).

[10] 杨周南,吴鑫.内部控制工程学研究[J].会计研究,2007(3).

[11] 章铁生.信息技术条件下的内部控制规范: 国际实践与启示[J].会计研究,2007(7).

[12] 王海林.IT环境下企业内部控制模式探讨[J].会计研究,2008(11).

[13] 王纹,孙健.SAP财务管理大全[M].北京:清华大学出版社,2005.

[14] 陈淑娟,凡晓芝.萨班斯法:IT难以承受之重[J].计算机世界报,2007(28).

随便看

科学优质学术资源、百科知识分享平台，免费提供知识科普、生活经验分享、中外学术论文、各类范文、学术文献、教学资料、学术期刊、会议、报纸、杂志、工具书等各类资源检索、在线阅读和软件app下载服务。