一、云会计环境下AIS内部控制现状及问题
云会计环境下AIS内部控制有别于传统的信息系统内部控制,其内部控制应当遵循成熟完备的理论体系进行设计、运行、维护。本文从内部控制的五个要素分析云会计环境下AIS内部控制现状及其存在的问题。
(一)控制环境与云会计要求不匹配
企业选择了适合自身财务、业务、管理需求的会计云服务,还要考虑现有AIS控制环境与其适应程度。从AIS控制环境要素角度来看,在组织架构层面,AIS事项处理、数据存储、更新维护地点由企业内部迁移到云端,加之云会计具有高度自动化的财务业务事项分析处理能力,使得企业能精简信息技术人员与财会人员,优化组织架构,从而大大节约成本。但是,同时会增加过度依赖AIS自动化控制而导致控制失效风险;在发展战略层面,企业定制的会计云服务始终处于动态变化之中,日常功能需求变更与版本升级较为频繁,有些变更甚至对企业不可见,企业难以对AIS变更实施有效的授权审批控制,使得企业在AIS发展战略制定与实施上处于被动局面;在人力资源层面,企业财务人员的信息化技术水平大多限于熟练操作AIS,对云会计环境及其风险不甚了解,增加了不能及时发现AIS漏洞与异常的风险。
(二)风险评估机制不完善
风险评估应当贯穿于AIS内部控制的始终,是全员、全过程、全方位的风险管理机制,然而在企业AIS内部控制设计中往往未建立起实时有效的风险评估机制,即使设计有效,在实际运营管理中也难以做到有效运行。其原因是,第一,管理层不重视风险评估。会计云服务可以在云端自动定期维护与更新升级,减轻了管理层对AIS更新与维护的关注程度,也增大了由于盲目自动更新造成AIS内部控制未能及时对更新作出相应调整,而造成设计失效风险。第二,缺乏对云会计环境下AIS及时有效的可信性评估。AIS可信性作为对AIS自动化控制和人工控制的有效性的综合衡量标准,可以表述为AIS对会计信息的输入、处理和输出流程符合AIS用户的预期,以及AIS产生的会计信息所具有的相关性和可靠性等会计信息质量特征符合会计信息使用者的预期。在动态多变的云会计环境下,限于云会计的服务模式和企业员工的信息化技术水平,业界和学界缺乏合理有效的可信性评估方法,企业难以及时准确地了解所购买的会计云服务可信性水平如何,影响风险评估的实时性、有效性。
(三)控制活动风险变化适应不够
云会计业务模块复杂调用与数据传输、企业使用的服务和存储的数据存在于云端大资源池内等新情况的出现,使得相比传统AIS,开放动态的云会计环境下企业AIS控制活动风险点发生变化。企业集团和其下属子公司分别根据其自身业务范围选择购买会计云服务,免去统一配置AIS造成的信息化资源浪费,然而又增加了各个云会计服务模块之间数据传输、业务处理的复杂性,从整个集团的视角来看,控制活动路径更长。因此,集团层面控制管理成为云会计下AIS控制活动风险关注要点。众多使用会计云服务的企业数据在云端交互、存储,构成了大数据资源,经由数据挖掘等技术处理后可以支撑企业预测、决策、财务预警等关键控制活动,然而这些数据的取得需征得数据源企业同意,其可用性、可靠性也成为控制活动关键风险点。
(四)信息与沟通效率不高
云会计环境下,AIS的安全性成为企业选择云会计产品时关注的要点。在系统层面,企业购买的各个会计云服务模块功能相互勾稽,数据大量传递,安全性水平不仅取决于模块内部信息处理,还取决于模块之间信息沟通网络结构的优良程度和联通程度,以及模块内、模块间信息沟通的有效性。在数据层面,企业将大量财务数据与业务数据集中存储于云端存储设备中,数据、指令等重要信息与云端服务器进行交互,这些数据在开放动态的云会计环境下的安全性水平直接影响AIS内部控制信息沟通效果。
(五)缺乏对控制及时有效的监督
会计云服务通过动态定制模式整合,复杂多变的AIS服务模块组织等增加了AIS可信性的不确定性,从而提升了AIS内部控制的监督与评价风险。在动态定制模式下,服务模块、服务功能处于动态变化之中,而AIS内部控制监督反应相对滞后,难以及时做出相应调整以根据当前风险点进行有针对性的监督。同时,在监督策略方面,企业缺乏合理有效的可信性评估方法,也少见可信性第三方评估机制,不便于企业实时了解AIS可信性状况,以对AIS内部控制设计和运行的有效性及时监督和改进。
二、云会计环境下AIS内部控制完善措施
(一)控制环境要符合云会计的要求
企业选择云会计产品时应当关注其与当前AIS控制环境的适应程度,如果企业通过调整控制环境仍未能达到AIS对控制环境的要求,则不予考虑购买该云会计产品。例如对于信息技术水平较低的企业,应选择服务稳定性高、程序变更对用户透明度高、重要变更提交用户审核的云会计产品,便于企业及时调整AIS内部控制以适应该变更,把握AIS发展战略制定与实施的主动权。在数据处理高度集中的云会计下,虽可以精简人员、机构,但要严格做到不相容岗位相互分离,明确岗位职责权限,将分级管理与授权审批相结合。同时,应注意对财务人员信息技术技能方面的培训,使其具备信息管理、应对突发事件、对交易处理复杂数据的核查等能力,及时发现AIS故障和弊端,向云端反馈以将损失降到最低。
(二)建立基于可信性评价的风险评估机制
业界与学界应加快与云会计相适应的可信性评价方法研究,充分考虑云会计自身特点和其应用领域的行业特性,有针对性地对AIS进行可信性评价。及时有效的可信性评价结果可以为企业AIS风险评估提供强有力的支持证据,弥补当前AIS风险评估中量化标准较少、可比性差等不足。建立起基于可信性评价的风险评估机制,企业风险管理部门应定期向可信的第三方评估机构获取当前AIS可信性状况的评价报告。当企业内部管理流程、组织架构、AIS程序面临较大变更时,也应获取该时点的AIS可信性评价报告,以分析判断当前AIS内部控制设计和运行的有效性,确定风险敞口大小是否超过或将可能超过风险容限,并及时制定应对措施,形成AIS风险报告并汇报给风险管理委员会,供董事会和股东大会决策。
(三)控制活动重点关注云会计下新增控制点
传统的控制活动风险点如授权、职责分离等仍是云会计下AIS控制活动应关注的控制要点,企业根据自身AIS内部控制健全程度选择相应可信等级的云会计产品,可信性等级越高,AIS自动化控制层面的内部控制越完善,降低由于人工控制设计不合理、人员素质不高等因素导致控制运行失效的风险。例如符合基本可信属性的AIS对相关业务的会计和税务处理要符合会计法、税法、会计行政法规和国家统一的会计制度等要求,即满足合规性。在基本可信属性的基础上,满足关键可信属性如风险可控性、决策支持性,如果还能满足增强可信属性如可审计性和税收可稽查性等,AIS就具有很高的可信性水平。集团层面控制管理应关注在动态定制模式下,企业信息资源的有效整合分析,以及总部对分子公司财务、业务状况的分析管控是集团层面应用云会计的关键控制点,企业应当选择当分子公司定制不同服务时,能够提供集团管控层面解决方案的会计云服务组合。云会计下,企业的数据中心与网络运营均位于云端资源池中,这些信息对其他云会计用户的可见性关系到企业的信息安全,供应商不得在未征得企业授权的情况下使用、泄露企业信息。如果云端所有用户都不愿将自身数据用以数据分析,也就不存在云端大数据分析的数据来源,造成了数据资源的浪费。因此,企业应适当将非敏感数据授权给供应商进行大数据分析,而不是让其他企业直接使用自己的原始数据,这样就对云会计供应商的诚信与可靠性提出了更高要求。
(四)提高信息沟通的效率和有效性
企业选择云会计产品应当关注该服务的动态部署和模块间信息沟通能力。例如,会计云服务在动态组合时是否能建立抗攻击性强的模块网络拓扑结构,模块之间信息沟通是否有标准化的数据接口对接,AIS的设计是否满足相关财务软件规范文件要求,更换服务或供应商时数据的可迁移性以及迁移和转换成本等。同时应特别关注信息与沟通中的数据安全,自动化控制层面应当确保指令、数据等关键信息在传输、处理、存储过程中处于安全环境下,避免核心财务数据遭黑客盗窃、供应商有意无意泄露信息等情况的出现;人工控制层面建立与AIS相适应的权限与职责分工,保证通畅有效的信息沟通与信息的真实可靠性。
(五)强化内部稽核、内部审计等监督机制
各个业务流程部门的业务处理均应当在AIS中留有可以作为审计线索的运行轨迹,如对操作过程和结果记录、业务流程数据统计数据、内部稽核数据等,使得各个业务流程部门的审计线索相互关联,运行轨迹数据能够相互勾稽、印证。审计委员会从公司总体层面和业务流程层面分析AIS提供的审计线索与审计数据,对AIS内部控制运行的有效性进行评价与校验,及时发现AIS、内部控制系统、财务信息等方面的异常,将风险与损失降到最低。为使得AIS输出的信息真实可信,有据可查,有线索可审,应在AIS中内设通用内部审计稽查功能,并预留出便于调用的可供审计、稽查的标准化数据接口,在提供给稽查、监督人员的用户手册中提供业务处理核算的控制流程、表单结构与勾稽关系等系统信息,便于不同类型、不同信息化水平的企业建立适合自身内部流程的AIS内部控制监督机制。
作者:程平 李宁
相关专题:创新5.1 食品质量安全管理制度