筑牢信息化防火墻

丁 晶 甘卓霞

如果把企業(yè)比喻為盤根錯雜的大樹,會計信息系統(tǒng)則是負(fù)責(zé)維持養(yǎng)分收集與運(yùn)作的樹干。

在經(jīng)濟(jì)全球化的大背景下,管理滯后、會計信息風(fēng)險控制不力導(dǎo)致風(fēng)險加劇,往往是企業(yè)在危機(jī)中倒下的共因。后金融危機(jī)時代,伴隨著信息化的發(fā)展,會計信息系統(tǒng)風(fēng)險控制日益成為人們關(guān)注的焦點。

主題要素

現(xiàn)代企業(yè)中,科學(xué)的管理決策、有效的風(fēng)險管理與控制、高效的監(jiān)管,都需要會計信息做支撐。然而,如果只是利用計算機(jī)技術(shù)提高業(yè)務(wù)處理的速度,而不采用先進(jìn)的風(fēng)險管理方式,反而會因為新技術(shù)的使用增加了原手工操作并不存在的風(fēng)險。因此,企業(yè)會計信息系統(tǒng)風(fēng)險控制的主題是:安全與價值。主題分以下兩個層面:

第一是基礎(chǔ)層面。基于信息安全內(nèi)涵,COBIT(信息及相關(guān)技術(shù)控制目標(biāo))包括了信息的七大標(biāo)準(zhǔn):效果、效率、保密、完整、可用、可靠、一致性。如果把企業(yè)比喻為盤根錯雜的大樹,會計信息系統(tǒng)則是負(fù)責(zé)維持養(yǎng)分收集與運(yùn)作的樹干。若其七大標(biāo)準(zhǔn)執(zhí)行不力,則會造成企業(yè)脆弱性泛濫,進(jìn)而引發(fā)業(yè)務(wù)癱瘓乃至崩潰,因此安全性是風(fēng)控考量的首位要務(wù)。

第二是延伸層面。會計信息的最終產(chǎn)品是財務(wù)報表,財務(wù)報表價值的提升體現(xiàn)在信息系統(tǒng)能否為會計更真實完整地反映企業(yè)內(nèi)涵價值,提供有利的客觀條件。會計信息系統(tǒng)是一項由人、流程、信息、IT基礎(chǔ)架構(gòu)所組成的系統(tǒng)工程,無法用手工復(fù)制,開發(fā)和運(yùn)行需要專門的技術(shù)與方法,系統(tǒng)內(nèi)部處理無法以可見的方式跟蹤,使用者對于程序并不精通,計算機(jī)病毒與黑客對在線實時系統(tǒng)的攻擊不容小視,其影響比手工系統(tǒng)大得多,往往會造成大量記錄的破壞或丟失。

根據(jù)會計信息系統(tǒng)的特點,安全風(fēng)險主要表現(xiàn)在會計信息失真、資產(chǎn)損失、重要商業(yè)機(jī)密泄露、系統(tǒng)無法正常運(yùn)行,通過風(fēng)險薄弱點分析可總結(jié)為以下四大風(fēng)險要素:

1.資產(chǎn)。資產(chǎn)對威脅的防護(hù)性較低,與會計信息及信息技術(shù)相關(guān)的資產(chǎn)包括信息和數(shù)據(jù)、硬件、軟件、服務(wù)、文檔和人員,任何一項受到損害對系統(tǒng)產(chǎn)生的風(fēng)險都很大。

2.威脅。會計信息系統(tǒng)因其復(fù)雜的特點,在組織資產(chǎn)、系統(tǒng)及處理過程中,會面臨各種不同類型的威脅,主要有不可控制的自然災(zāi)害、非預(yù)期及不正常的程序結(jié)束操作造成的故障、錯誤、用戶非法破壞、盜竊、欺詐等。這就需要對威脅產(chǎn)生的風(fēng)險根據(jù)經(jīng)驗值或是歷史數(shù)據(jù)進(jìn)行綜合評估,評估發(fā)生概率及產(chǎn)生的危害。

3.薄弱點。信息流程中的薄弱點在通訊過程中暴露得較為明顯。在人機(jī)對話中,用戶缺乏必要的安全知識、系統(tǒng)維護(hù)安全措施不到位或缺失、無保護(hù)的數(shù)據(jù)傳輸、命令口令及個人密碼單一且未做到定時更新等,都是薄弱的環(huán)節(jié)。

4.影響。當(dāng)風(fēng)險實際發(fā)生時,企業(yè)不可避免地會發(fā)生損失,包括直接經(jīng)濟(jì)損失、商業(yè)機(jī)會的損失、企業(yè)利益相關(guān)者決策的失誤、企業(yè)名譽(yù)受損等等。

設(shè)計思路

接下來,筆者以廣西物資集團(tuán)總公司的運(yùn)作方案為例,重點剖析方案部署思路及工作流程。

廣西物資集團(tuán)總公司是我國大型一類流通企業(yè),現(xiàn)有全資子公司、控股公司21家,集團(tuán)業(yè)務(wù)復(fù)雜且行業(yè)布局廣。截至2009年12月,資產(chǎn)總額為22.13億元。隨著業(yè)務(wù)快速發(fā)展,集團(tuán)急需通過會計信息化管理提升企業(yè)財務(wù)管理水平,加強(qiáng)內(nèi)部資源整合,從而提高集團(tuán)財務(wù)管控能力,會計信息系統(tǒng)的風(fēng)險控制,也同樣成為信息工作的重點和難點。

會計信息滲透至企業(yè)經(jīng)濟(jì)活動的各個神經(jīng)末梢,甚至涉及整個價值鏈。因此,公司將信息安全升級為信息風(fēng)險問題。風(fēng)險控制方案的核心思想定位于,在成本效益原則指導(dǎo)下合理地防范四大風(fēng)險要素,為保證IT治理和會計信息真實完整,在COBIT的基礎(chǔ)上引入COSO-ERM框架,而COSO-ERM涵蓋了企業(yè)組織活動的所有風(fēng)險,在四目標(biāo)、八要素中,將內(nèi)部控制的控制對象定義為風(fēng)險,將風(fēng)險的控制轉(zhuǎn)變?yōu)楣芾?。在實際工作中,廣西物資集團(tuán)總公司把八大要素與會計信息系統(tǒng)的有機(jī)結(jié)合(見表1),本質(zhì)上完善了會計信息系統(tǒng)風(fēng)控的體系。

方案實施

會計信息系統(tǒng)的風(fēng)險控制是范圍大、控制程序復(fù)雜的綜合性控制,是人工控制和計算機(jī)自動控制相結(jié)合的多方位控制。結(jié)合集團(tuán)公司的特點和經(jīng)營管理實際情況,以核心思想和工作思路為準(zhǔn)繩,將工作分四個階段進(jìn)行具體實施。

第一階段制定風(fēng)險控制工作計劃

全面評估集團(tuán)信息系統(tǒng)所存在的風(fēng)險要素,確定開展控制的范圍,統(tǒng)一全公司信息系統(tǒng)風(fēng)險識別及測評方法,規(guī)范工作底稿,做好風(fēng)險控制的準(zhǔn)備工作。工作步驟如下:

1.設(shè)立項目進(jìn)度表,專人負(fù)責(zé)項目推進(jìn)。集團(tuán)公司高層十分重視風(fēng)險控制項目的實施,為確保項目的順利推進(jìn),設(shè)立項目實施及進(jìn)度推進(jìn)表,每一個任務(wù)內(nèi)容落實到人,訂時到日。

2.加強(qiáng)員工培訓(xùn),規(guī)范業(yè)務(wù)流程的操作。為減少會計信息系統(tǒng)人為的操作失誤,與財務(wù)軟件公司合作,加強(qiáng)培訓(xùn)相關(guān)崗位員工,培訓(xùn)內(nèi)容包括道德素質(zhì)教育、軟硬件使用要求、安全維護(hù)等。集團(tuán)制定并下發(fā)了《廣西物資集團(tuán)總公司會計核算軟件系統(tǒng)管理辦法》,從崗位設(shè)置、操作要求、數(shù)據(jù)管理等方面進(jìn)行規(guī)范,為員工具體操作信息系統(tǒng)提供了操作的行為準(zhǔn)則。

3.開展全面的風(fēng)險評估。COSO-ERM的實施,不可能脫離其賴以生存的環(huán)境和內(nèi)外部各種風(fēng)險因素。為了加強(qiáng)對風(fēng)險的控制,必須合理評估公司整體信息化過程,對事件進(jìn)行識別,對風(fēng)險發(fā)生可能性的高低和風(fēng)險對目標(biāo)影響程度,進(jìn)行定量和定性分析(見表2),排查重點和優(yōu)先控制的風(fēng)險,確定風(fēng)險控制的關(guān)鍵控制點,為達(dá)到年度風(fēng)險管理目標(biāo)提供依據(jù)。

4.確定測試的組織方式。測試分為集團(tuán)公司總部層面和子公司層面?？偛繉用嫖袝嫀熓聞?wù)所進(jìn)行測試,子公司層面采用由總部組織專業(yè)人員直接到現(xiàn)場測試的方式進(jìn)行。

第二階段風(fēng)險控制的實施

1.針對資產(chǎn)、威脅、薄弱點及影響這四大風(fēng)險要素,篩選風(fēng)險控制的關(guān)鍵點。例如,資產(chǎn)保護(hù)的關(guān)鍵控制人員在于系統(tǒng)管理員、操作員、維護(hù)員,該風(fēng)險控制的控制實施憑證是運(yùn)行日志表,各個崗位手工記錄每天計算機(jī)運(yùn)行狀況,詳細(xì)寫明遇到的問題,定期檢查服務(wù)器、計算機(jī)、系統(tǒng)運(yùn)行及維護(hù)情況。按所有在用的計算機(jī)體系檢查樣本總體,以確保計算機(jī)使用的可靠安全。

2.樣本抽取的實施。樣本抽取的頻率與程度直接影響風(fēng)險控制工作的質(zhì)量,因此抽取的技巧在于明確該關(guān)鍵控制點的風(fēng)險評估、樣本事件發(fā)生的頻率、實施控制的復(fù)雜程度。當(dāng)控制不定期發(fā)生時,可先計算一定時期內(nèi)經(jīng)濟(jì)業(yè)務(wù)發(fā)生的次數(shù),然后計算出可操作的頻率,并根據(jù)長期觀察進(jìn)行調(diào)整。此外,樣本需具有代表性,實行完全隨機(jī)抽取。

3.保持溝通以提高控制效果。風(fēng)險控制項目組應(yīng)認(rèn)真檢查各個關(guān)鍵控制點的執(zhí)行情況,及時與上級主管領(lǐng)導(dǎo)、被檢單位溝通,還可與會計師事務(wù)所建立交流機(jī)制,探討如何結(jié)合集團(tuán)所處行業(yè)特點,加強(qiáng)和改善風(fēng)險控制,對制度的建設(shè)和執(zhí)行進(jìn)行適時的調(diào)整。

第三階段風(fēng)險控制的評價

集團(tuán)風(fēng)控項目組通過總體目標(biāo)、組織人員、一般控制、應(yīng)用控制、硬件安全等五方面內(nèi)容的調(diào)查問卷,對所控制部門及崗位逐一測評。通過控制憑證的收集和整理,結(jié)合調(diào)查問卷得出的執(zhí)行效果,做出每月風(fēng)險控制執(zhí)行報告,使高層管理者可直觀發(fā)現(xiàn)制度設(shè)計是否達(dá)到了風(fēng)險控制的要求,關(guān)鍵控制點的執(zhí)行是否有效,是否達(dá)到了預(yù)期目標(biāo)。

第四階段風(fēng)險控制整改考核

為強(qiáng)化管理效果,集團(tuán)公司要求對出現(xiàn)的問題及時解決,對于已整改的問題還應(yīng)關(guān)注后續(xù)是否出現(xiàn)新的問題,未整改的問題則應(yīng)分清是主觀原因還是客觀原因,以便區(qū)別對待。方案要在執(zhí)行中逐步完善,并建立配套的獎懲制度,項目組定期向公司考核部門提出獎罰意見,對執(zhí)行好的給予獎勵,對不執(zhí)行或執(zhí)行不力的予以處罰。

要點啟示

首先,塑造全員風(fēng)險控制的企業(yè)文化。企業(yè)文化是一種現(xiàn)存的無形力量,影響企業(yè)所有人員的思維方法和行為方式。會計信息系統(tǒng)涉及集團(tuán)所有經(jīng)濟(jì)活動,只有全員積極參與,才能把風(fēng)險消滅在萌芽狀態(tài),或控制到企業(yè)能接受的最小狀態(tài)。

其次,風(fēng)控過程專人落實。為確保風(fēng)控過程不走過場,集團(tuán)成立了專門的組織機(jī)構(gòu),全面領(lǐng)導(dǎo)和組織項目實施工作。要求項目組織機(jī)構(gòu)認(rèn)真履行職責(zé),各部門密切配合,保證該項目圓滿成功,并在實施中不斷優(yōu)化管理程序和組織結(jié)構(gòu)。同時,開展定期培訓(xùn),致力于長期打造一支熟悉業(yè)務(wù)且敢于管理的隊伍,為集團(tuán)長遠(yuǎn)發(fā)展打好堅實的基礎(chǔ)。

再次,風(fēng)險控制應(yīng)注意后續(xù)跟進(jìn)。COSO-ERM事關(guān)集團(tuán)經(jīng)營安危大局,在執(zhí)行上要克服“重非經(jīng)常性發(fā)生事項控制,輕經(jīng)常性發(fā)生事項控制”的傾向。會計信息系統(tǒng)除定期排查問題外,還應(yīng)不定期地跟進(jìn)每個風(fēng)險問題的改進(jìn)情況或進(jìn)展的難點,及時發(fā)現(xiàn)問題、解決問題。

最后,剛性原則與柔性管理相結(jié)合。風(fēng)險控制與績效考核緊密掛鉤,不可避免地會影響到某些部門或人員的利益,在應(yīng)用過程中產(chǎn)生沖突,導(dǎo)致對項目產(chǎn)生抵制情緒,最終會影響項目實施進(jìn)程。因此在考核機(jī)制執(zhí)行上應(yīng)注意避免重程序、輕“內(nèi)部人”的現(xiàn)象,要不定期召開工作協(xié)調(diào)會,對項目實施統(tǒng)一認(rèn)識,明確目標(biāo),如有必要還需高層領(lǐng)導(dǎo)從公司整體利益上給予仲裁。

(作者丁晶供職于廣西機(jī)電工業(yè)學(xué)校,甘卓霞供職于廣西物資集團(tuán)總公司財務(wù)部)