（会计学专业论文）企业会计信息化风险评价模型研究.pdf

重庆理工大学硕士学位论文 2 息化的效果，有必要对企业会计信息化风险进行理论研究。 从实践角度来看，本文研究借鉴企业风险管理思想和 it 审计相关标准，通 过建立和使用企业会计信息化风险评价模型，对企业会计信息化风险的评价由 “抽象”变为“具体” ，可以让人们对会计信息化风险的认识更加直观和清晰， 具有实际的应用价值。 1.2 国内外研究现状 1.2.2 企业信息化内涵 1963 年，日本学者在论信息产业中首次提及“信息化” ，从此信息化一 词便逐渐流行开来，并逐步形成了概念。随着信息化实践的发展，其内涵和外延 不断丰富。 chenhl（2004）等人认为企业信息化是指企业应用先进的信息技术（计算机 技术、通讯技术、自动化技术）和现代管理方法来优化产品的生命周期，包括市 场需求分析、产品定义、研发、设计、制造、服务等，信息化的目标是使制造业 企业更灵活、更强大、适应性更强，并最终获得市场竞争力。 陈守龙和刘现伟（2008）则认为企业信息化是利用计算机网络信息技术，实 现企业研发、生产、销售、服务等所有业务过程的电子化和数字化，增强企业信 息资源的流通能力和知识转化率，提高企业运营的效率和决策能力，增强企业快 速响应能力和战略柔性，并通过提升企业相关利益者对信息的使用能力，获取竞 争优势而进行的软硬件建设过程。 其他学者也从不同的视角给出了不同的定义。虽然这些定义形式各异，但本 质趋同，大多数定义包括以下几个方面：以信息技术为手段；以提高企业竞争力 为目的；以信息资源为处理对象；涉及生产制造经营管理诸多环节；需要结合先 进的管理思想。 1.2.2 企业信息化现状 20 世纪 50 年代至 80 年代，发达国家的企业完成了工作组级、部门级的计 算机应用；80 年代至 90 年代，信息技术普遍应用于企业级；从 80 年代后期开 始，发达国家的企业在生产方式高度自动化的基础上，开始了以因特网应用为主 的企业信息化技术革命。随着信息技术和网络技术的应用，国际市场竞争形态已 从企业间竞争发展成企业战略联盟间竞争，也就是供应链之间的竞争，企业战略 联盟将多层式供应链改造为扁平式供应链，集成客户关系管理、供应链管理等系 统。发达国家企业信息化已经突破了单个企业的范畴，通过网络技术扩展至产业 1 绪论 3 链信息化和供应链信息化。 我国信息化建设比国外信息化建设起步晚，但经过十几年的发展和努力，我 国企业信息化在一定程度上提高了企业获取和使用信息的水平，优化了企业流 程，改善了企业管理，提高了企业的竞争优势。 尽管我国企业信息化的建设取得了一定的成果，但从总体上看，我国企业信 息化仍处于初级阶段，其建设过程依然存在着很多薄弱环节：信息化战略规划目 标不明确；企业投资使用混乱、预算超标；信息化过程管理混乱；重视硬件的投 资建设， 轻视软件的设计应用； 业务流程划分不合理， 系统设计有悖于管理原则； 信息化建设与人才引进、培养脱节等等。据统计，我国企业信息化有 80%-90%未 达到预定目标，40%以上以失败告终或最终放弃，只有 10%-20%基本满足既定工 作目标。虽然一些发达国家的信息化水平和程度比我国成熟很多，但其企业信息 化的失败率也居高不下。据统计，美国企业信息系统建设中有 75%是失败的。美 国年营业额在 5 亿美元以上的企业中，有 90%的企业都遭遇过信息化失败。 企业信息化是一项复杂的系统工程。 在企业信息化过程中存在着很多不确定 的风险因素，这些因素往往会导致信息化偏离预定目标，甚至造成项目的失败。 企业信息化的高风险和高失败率己经引起了国内外理论界和实务界的关注， 如何 有效的识别和控制企业信息化风险已是当前迫切需要解决的问题。 1.2.2 企业信息化风险研究 目前关于企业会计信息化风险评价的模型几乎没有， 本文为了能更好的建立 企业会计信息化风险评价模型， 所以阅读了大量的企业信息化风险评价模型的文 献作为参考。对企业信息化风险评价模型的研究主要有： 徐春丽（2004）在对纺织企业信息化风险管理的研究中建立了风险三维评估 体系：对于不同的风险影响主体和风险来源建立领域维度；将成熟的项目管理理 论引入风险管理中， 建立时间维度； 考虑风险事件爆发对企业信息化的影响结果， 建立结果影响维度。 采用层次分析法和模糊评价方法对三维风险指标体系进行综 合风险评估，按照“输入处理输出”的控制原理对纺织企业信息化风险进行 控制，以期约束信息化行为，降低信息化风险，最终保证信息化目标的完成。 陈亮和王燕（2006）从企业对信息化建设需求出发，将企业信息化的风险分 为变革风险、管理风险、软件市场风险、成本风险、政策风险、信息化进度和质 量风险等， 认为企业需要对以上各风险分别加强管理才能保证企业信息化实施的 成功。 曹毅（2010）认为信息化风险依赖于信息化过程而存在，并随着信息化的进 展不断的呈现出来。他在分析企业信息化风险因子的基础上，建立了信息化风险 的评估模型、控制模型和风险管理策略模型，以期企业在信息化过程与风险管理 重庆理工大学硕士学位论文 4 之间取得平衡，使企业能够及时改善和加强对企业信息化过程的控制，降低企业 信息化风险。 王欣（2010）提出了一种新的研究思考模式企业信息化风险“钻石模型” ， 该模型把企业信息化风险的影响因素主要归为以下几类:来自服务提供商的风 险；来自组织及变革的风险；来自管理及变革的风险；来自技术及变革的风险； 来自外界环境的风险，以及其他一些无法确定的风险。他认为这四类主要风险并 不是孤立存在的，它们彼此联系，相互影响。 通过阅读相关文献，觉得企业信息化风险的研究主要存在如下问题：首先缺 乏系统的信息化风险控制框架。因此，在企业信息化过程中，无法有效地对企业 信息化风险进行预测和评价，不能及时发现和预警风险因素，从而导致不能及时 采取有效的控制手段，减少企业信息化的风险，避免企业信息化风险成为真正的 损失。其次缺乏有效的控制手段。有些研究描述了企业信息化中可能出现的各种 风险，但是对这些风险的分析和评价脱离于实际，不能与风险依存的企业流程中 的实体相关联，不能及时准确找到风险环节以及相关的控制关键点。 1.3 研究内容与研究方法 1.3.1 主要研究内容 结合企业信息化风险的研究现状，因此确定本文的主要研究内容如下： 第一部分“绪论” ，讲述研究背景及意义，研究现状，概述本文的研究内容、 研究方法及创新点。 第二部分“相关理论概述” ，对企业风险管理、会计信息化的相关理论和 it 审计理论进行简要介绍，为本文的研究奠定理论基础。it 审计作为一种强化内 部控制和风险管理的重要手段，成为企业识别、计量、管理和防范 it 风险，保 障信息系统安全的有力措施。因此，借鉴企业风险管理思想以及 it 审计标准和 方法，并将其应用于会计信息化风险的研究中，对于识别和评价企业会计信息化 的风险具有重大意义。 第三部分“企业会计信息化风险指标体系构建” ，对目前研究中提到的各种 会计信息化风险影响因素进行整合， 力求从一种较为科学的分类入手， 用系统的、 清晰的思路去审视企业会计信息化的风险， 增强理论研究的系统性和实际应用的 可行性。 第四部分“企业会计信息化风险评价模型” ，借助于矩阵评价法，建立企业 会计信息化风险评价模型， 该模型以企业会计信息化风险指标体系和这些指标的 控制水平为两个不同维度， 旨在研究不同的风险因素在不同的控制水平下会产生 1 绪论 5 怎样的风险。另外，对风险评价模型的应用进行探讨，并结合建模过程简单的提 出企业会计信息化风险的防范思路。 第五部分“企业会计信息化风险评价系统的设计与开发” ，基于本文建立的 企业会计信息化评价模型，设计开发辅助系统，为企业识别和控制会计信息化风 险提供信息化手段。 第六部分“结论” ，对本文的研究成果和有待进一步研究的内容进行总结。 1.3.2 研究方法 理论指导：企业风险管理、it 审计、会计信息化相关理论 研究方法：规范研究发方法、矩阵评价法、系统分析设计法、软件开发技术 1.3.3 研究创新点 本文在大量相关文献对企业会计信息化风险分析认识的基础上， 力图在以下 两个方面做出探索和尝试： 1. 结合目前企业会计信息化的研究，融合企业风险管理理念，参考 it 审计 的相关标准，建立了企业会计信息化风险指标体系，在此基础上，基于矩阵评价 方法建立了企业会计信息化风险评价模型， 实现对企业会计信息化风险模型库的 组建和风险的评价。 2. 设计和开发了基于企业会计信息化风险评价模型的计算机辅助系统，为 企业识别和控制企业会计信息化风险提供了信息化手段。 2 相关理论概论 7 2 相关理论概述 2.1 企业会计信息化相关理论 2.1.1 会计信息化的内涵 会计界对于会计信息化的概念有不同的理解， 如何准确把握其内涵是目前会 计界一直在探讨的课题。其中比较有代表性的观点如下： 杨周南教授在其 2003 年发表的会计管理信息化的 isca一文中认为“会 计电算化”应该改称为“会计管理信息化” ，简称“会计信息化” 。她提出了会计 管理信息化的 isca(information system control and auditing)模型，认为会计管理 信息化的体系结构应由三部分构成： 建立和实施现代化信息技术或计算机环境下 的会计信息系统(ais)；为确保 ais 安全有效地运作，为会计管理工作提供高质 量的信息服务，必须建立健全会计信息系统内部控制制度；为审查和确保内部控 制制度的有效执行，必须开展对 ais 和内部控制制度的审计，以最终达到对 ais(会计信息系统)安全、可靠、有效和高效地运用。由上可见，杨周南教授认 为会计管理信息化的目标不仅是建立现代的会计信息系统， 还包括建立会计信息 系统的内部控制制度，以实现对上述系统与内控制度的有别于常规意义上的审 计。 中国会计学会会计信息化专业委员会出版的辉煌历程中国会计信息化 30 年一书中认为“会计信息化是企业信息化的一个重要子集，会计信息化的 核心内涵应界定为：在会计行业和组织或企业会计活动中普遍采用现代信息技 术、有效开发和利用会计信息资源，使会计信息资源成为全社会的共享财富，以 推动会计信息资源产业发展的历史过程。会计信息化的战略目标是促进会计行 业、组织或企业的会计管理活动和会计业务的变革，以推动会计事业的发展。 ” 其实由上不难看出，会计信息化通过采用现代信息技术，对传统的会计模式 进行了重整，并在此基础上建立了信息技术与会计高度融合的、充分开放的现代 会计信息系统。它的应用可以使会计业务处理高度自动化，信息高度共享。会计 信息化不仅仅是信息技术运用于会计上的变革， 更代表一种与现代信息技术环境 相适应的新的会计思想，它变传统会计的事后静态核算为高度实时的动态核算， 使会计的事前计划、事中控制职能得以有效发挥。 2.1.2 会计信息化的发展 自 1978 年党的十一届三中全会以来，我国改革开放已经走过了三十多年的 重庆理工大学硕士学位论文 8 路程。这些年来，我国一系列财会制度的改革使财会工作由简单的收支核算发展 到如今的成本核算，由原来的计划成本发展到现如今的全面预算管理。会计核算 工具也从古老的算盘变为财务软件，财务人员终于从繁琐的记账、算账中解脱出 来，投入到单位的财务管理工作中，工作效率有了极大的提高。 从 20 世纪 70 年代末开始，我国会计电算化经历了尝试阶段、自发发展阶段 和有组织、有计划地稳步发展阶段，到目前已发展成为管理型会计软件阶段。在 这个发展过程中，我国会计电算化保持了一种高速发展的态势，商品化、通用化 的财务软件得到了广泛的应用。 会计信息化是在当今经济社会一体化、数字化、网络化的条件下，在会计电 算化的基础上发展起来的，不仅具有核算功能，更具有控制和管理功能。因此与 会计电算化相比，在内部控制方面也发生了很多变化，主要体现在： （1）内部控制控制方式发生转变 会计信息化系统是按照计算机及网络数据处理系统组织起来的， 记账、 算账、 报账全部由计算机自动完成，主要处理过程不须人工干预，而传统的会计方式是 通过职能的划分与人员的分工来形成有效的内部控制。 这种数据处理的集中性使 传统的组织控制功能相对减弱。为了与会计信息化相适应，会计部门常常划分成 数据收集组、凭证编审组、数据处理组、财务管理组、系统维护组等。 （2）内部控制范围扩大，重点发生变化 传统的内部控制主要局限于企业内部的查错与防弊，而会计信息化条件下， 企业面对的不再是一个独立的、封闭的环境，其内部控制的范围也不再局限于企 业内部，具体包括对系统开发过程的控制、数据编码的控制以及对调用和修改程 序的控制等。因此，要有效地实现企业内部控制的目标，保证企业会计活动正常 有效的进行，不仅要规范企业的内部网，还要对企业内部网以外的系统空间进行 控制，以实现企业内部控制的外部化、宏观化。同时，内部控制的重点将从职位 牵制、审核等控制转变为对网络安全、原始数据输入、会计信息的输出、人机交 互处理、计算机系统之间的连接等几个方面的控制。 （3）内部控制环境发生改变，时效性加强 企业使用计算机处理会计和财务数据后，会计核算的环境发生了很大的变 化。会计部门的组成人员从原来由财务、会计专业人员组成，转变为由财会专业 人员和计算机系统的管理人员及计算机专家组成。 会计部门不仅能利用计算机完 成基本的会计业务， 还能利用计算机完成各种原先没有或由其他部门完成的更为 复杂的业务活动。 随着远程通信技术的发展， 会计信息的网上实时处理成为可能。 原先应由会计人员处理的有关业务事项， 现在可能由其他业务人员在终端机上一 次完成；原先应由几个部门按预定的步骤完成的业务事项，现在可能集中在一个 2 相关理论概论 9 部门甚至一个人完成，缩短了业务完成时间。同时信息化环境下经营信息的高度 共享，使企业的决策者能随时了解经营情况并及时做出反应。各部门管理人员也 可以随时监控系统运行情况， 在收到系统发出的错误报告或异常情况时快速做出 处理，从而达到及时控制风险和减少损失的目的，提高内部控制的时效性。 2.2 企业风险管理整合框架 2.2.1 框架概述 在内部控制和风险管理的演进过程中，coso 的突出贡献是举世公认的。它 在 1992 年发布并于 1994 年作出局部修正的内部控制整合框架 ，已经成为 世界通行的内部控制权威文献，被国际和各国审计准则指定机构、银行监管机构 和其他方面所采纳。但是随着经济环境的改变和企业的实践的不断深入，理论界 和实务界纷纷强调内部控制的建立健全应与企业的风险管理相融合，在此背景 下，coso 委员会于 2004 年在内部控制整合框架的基础上结合萨班斯 奥克斯利法案的要求以及实务界的需求，发布了企业风险管理整合框架 （enterprise risk management framework 简称 ermf） 。 企业风险管理是以一种全局的风险组合观来看待风险， 是一套更加全面的过 程化管理模式，力求实现主体在战略、经营、报告、合规四个目标上关注企业风 险管理的不同层面。 coso 希望该框架能成为企业董事会和管理者衡量企业的管 理团队处理风险的能力的一个有用工具和衡量企业风险管理有效性的标准。 2.2.2 风险管理的定义 ermf 给出了企业风险管理的定义： “企业风险管理是一个过程，它由一个 主体的董事会、管理当局和其他人员实施、应用于战略制定并贯穿于企业之中， 旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之 内，并为主体目标的实现提供合理保证。 ” 该定义明确了公司和其他组织风险管理的关键概念，为不同经济体、不同行 业、不同规模的企业在研究讨论企业风险管理时提供了一个共同的平台。它直接 关注特定主体既定目标的实现，为衡量企业风险管理的有效性提供了依据。由定 义可以看出，企业风险管理着重强调了以下几个方面： （1）企业风险管理本身不是一个结果，而是实现结果的一种方式。企业的 风险管理是渗透于企业各项活动中的一系列行动， 需要内置于企业的日常管理过 程中，作为一种常规运行的机制进行建设，不能当作如制度文件、技术模型等某 种静态的东西，也不是如检查评估等单独或额外的活动。 重庆理工大学硕士学位论文 10 （2）企业风险管理是全员参与的过程，适用于企业的每个层次和部门。企 业风险管理明确指出是由企业董事会、 管理层以及其他人员共同参与实施并担任 不同的角色与职责，与此同时，应考虑组织内所有层面的活动，从企业总体的活 动到业务部门的活动，再到业务流程。 （3）企业风险管理能够为实现企业的目标提供合理保证。企业风险管理的 目标有四类，其中报告类目标、经营类目标和遵循类目标这三类目标与内部控制 相重合，但其中企业风险管理的报告类目标的内容有所扩展，不仅要求企业财务 报告准确，还要求对内对外发布的所有非财务类报告准确。除此之外，企业风险 管理增加了与企业远景或使命相关的战略目标类。 这意味着风险管理不仅要确保 企业经营的效率与效果，而且要介入企业战略的制定过程。企业的战略目标是企 业最高层次的目标，它与企业的预期和任务相联系并支持预期和任务的实现。因 此管理者在制定战略时应考虑与战略相关联的不同的风险。 即使建立风险管理框 架，也只能提供合理保证，其原因在于人们在进行决策判断时可能出错，对风险 反应的决策和建立的控制需要考虑相关的成本和效益等， 这些限制使得董事会和 管理者无法得到企业目标实现的绝对保证。 2.2.3 风险管理的要素 根据 ermf，企业风险管理的构成要素有八个，即内部环境、目标制定、事 项识别、风险评估、风险反应、控制活动、信息与沟通、监督。它们源于管理者 经营企业的方式，并与管理的过程整合在一起。这八个要素的具体内容如下： 1.内部环境 内部环境是其他风险管理要素的基础。 企业的内部环境不仅影响着企业战略 目标的制定、业务活动的组织、风险的识别评估与反应，还影响着企业的控制活 动、信息和沟通以及监控活动的设计和执行。内部环境受到主体的道德价值观、 管理当局风险管理的理念、员工的胜任能力以及权力和职责的分配的影响。 2.目标制定 目标制定能够指导管理当局识别那些影响目标实现的潜在事项。 管理者制定 企业的战略目标，进而确定其他三个相关目标即经营目标、报告目标和合法性目 标，明确各部门的职责和权利，并将目标在企业内层层分解和落实。企业风险管 理能使管理当局采取恰当的程序去设定目标， 确保其制定的目标符合该主体的使 命，并与它的风险容量一致。 3.事项识别 识别那些可能对主体产生影响的潜在事项。 事项识别涉及到影响企业目标实 现的内部或外部环境中存在的潜在事项，包括区分风险和机会的事项，或者可能 二者兼有的事项。潜在的产生负面影响的事项被视同为企业的风险,需要管理者 2 相关理论概论 11 对其进行评估并做出相应的反应， 而机会则被反馈到管理当局战略目标的制订过 程中并加以利用。 4.风险评估 对识别出的风险进行分析以确定如何对它们进行管理。 风险与可能被影响的 目标相关联， 所以应从企业战略和目标的角度对企业的固有风险和剩余风险分别 进行评估，并且要考虑到风险的可能性和风险产生的影响。固有风险，是指在不 考虑内部控制的前提下，因为企业内部因素和客观环境的影响而存在的风险，如 企业的账户和财务报表发生重大错误的风险。 而剩余风险是指在运用了所有的控 制和风险管理手段后遗留下来的未被控制的风险。 5.风险反应 员工对识别出的风险和可能的风险的评价所做出的反应，包括风险回避、风 险承担、风险降低和风险分担。对每一个重要的风险，企业都应该考虑所有的风 险反应方案，为选择风险方案提供广泛的空间。最终要的是管理当局应制定一系 列的措施使风险与主体的风险容限和风险容量相协调。 6.控制活动 控制活动是企业为保证风险反应方案得到有效实施而制定并执行的控制政 策和程序。控制活动存在于企业的各层面和各部门，是针对实现组织目标所涉及 的风险而采取的必要防范或减少损失的控制措施，通常包括两个要素：应该做什 么的政策和影响该政策的一系列活动程序。 7.信息与沟通 信息是沟通的基础，而沟通必须满足不同的团体和个人的期望。企业产生的 信息须以一定的方式进行确认和传递,从而保证员工职责的有效执行和风险管理 活动的正确运行。随着 it 技术的发展及其在企业应用中的深入，企业的信息系 统与客户和供应商之间存在千丝万缕的关系， 而且它们之间的界限也变得越来越 模糊，多个主体可以同时进行数据的处理和数据的管理。信息与沟通要求企业信 息系统的构造必须足够灵敏，这样才能保证企业和关联方的高效、及时地沟通。 8.监控 对企业风险的管理要全面监控，根据条件要求的变化动态反应，必要时加以 修正。目前监督方式有两种即持续监督如日常管理、监督和核对等和个别评估如 内部审计。监控通过持续的管理活动和企业风险管理的个别评价相结合来实现。 重庆理工大学硕士学位论文 12 2.3 it 审计相关理论 2.3.1 it 审计的概念 it 审计也即信息系统审计。目前比较有代表性的定义如下： 国际信息系统审计领域的权威专家 ron a.weber 认为信息系统审计是审计 人员接受授权或委托，收集并评估证据，从而判断信息系统是否有效地保护资产 的安全、维护数据的完整并有效地完成组织目标的活动过程。 日本通产省情报处理开发协会 it 审计委员会认为信息系统审计是由与审计 对象无关联的 it 审计师处于第二方的客观立场，为确保信息系统的安全、可靠 和有效，对以计算机应用为核心的信息系统的综合检查与评价，并根据评价结果 向 it 审计对象的高层领导提出问题和建议的一系列活动。 it 审计是根据公认的标准和指导规范，对信息系统及其业务应用的效能、 效率和安全的监测、评估和控制的过程，目的是确保预期的业务目标能够实现。 其实，it 审计就是以企业或政府等组织的信息系统及其相关业务为审计对象， 结合 it 管理理论和现代的审计理论，针对信息资产的安全保护、数据的完整以 及系统的有效可靠等方面， 对信息系统的整个生命周期过程进行全面的审查与评 价，确定其是否能够有效地达到组织的战略目标，同时为提高和健全组织对信息 系统的控制而提出建议的过程。 2.3.2 it 审计的内容 随着网络的普及和信息技术与企业管理的不断融合， 与信息系统有关的业务 范围越来越广，把 it 审计只理解为对硬件与软件的审计是远远不够的，必须与 相关的信息系统环境和与此相关的业务结合起来。进行 it 审计时，必须熟悉 it 审计对象的业务内容，并明确 it 审计的各个项目及其衡量标准。有关 it 审计业 务内容及其之间的关系如图 2.1 所示。 2 相关理论概论 13 计算机资源管理的审计 硬件、软件等获 取审计 应用系统开发 审计 系统维护审计 数据完整性审计 操作审计 安全审计程序审计 系统软件审计 系统开发审计 图 2.1 it 审计业务内容关系图 it 审计的主要内容如下： 1.信息系统开发过程的审计 信息系统的开发过程主要包括系统的分析、 设计、 实施及运行与维护等活动。 it 审计人员需要对此过程中的各项活动进行审核和评价，确认其是否符合相关 的法规政策、系统的规划和企业内部控制的要求，过程中形成的文档是否符合一 定的标准等，从而保证信息系统的可靠性和可维护性、内部控制的适当性及系统 的可审性。信息系统开发过程审计的重点在于对各阶段控制问题的分析与研究， 并对如何加强内部控制提出意见，供系统分析、设计人员参考。 2.信息系统内部控制的审计 信息系统的内部控制根据控制实施的范围的不同，分为一般控制和应用控 制。一般控制指与多个应用系统相关的政策和程序，目的在于确保信息系统持续 恰当地运行，通常包括数据中心和网络运行的控制，系统软件的购置、修改及维 护的控制，接触或访问权限的控制，应用系统的购置、开发及维护的控制。应用 控制指对信息系统中数据处理的具体功能的控制，目的在于确保系统能完整、准 确地完成数据处理。 3.信息系统应用程序的审计 程序是信息系统的核心，其质量对信息系统的应用水平起着决定性的作用。 事实证明，程序是差错和舞弊最容易发生的地方。因此，应用程序的审计也是 it 审计的重要内容。只有对应用程序进行了相应的审计，才能公正的评价信息系统 的正确性和可靠性。 对应用程序的审计一般包括审查程序对数据处理和控制的及 时性、正确性和可靠性，以及程序的纠错能力和自身的容错能力。 重庆理工大学硕士学位论文 14 4.信息系统数据文件的审计 信息系统的数据文件有两种形式， 即打印输出的文本和存贮在磁性介质上的 电子版本。只有对信息系统数据文件进行了审计，才能评价信息系统输出信息是 否真实、正确和合法。数据文件的审计的内容包括其一般控制和应用控制的健全 与有效和内容是否真实与正确。 it 审计作为一种强化内部控制和风险管理的重要手段，已成为企业识别、 计量、管理和防范 it 风险，保障信息系统安全的有力措施。因此，借鉴企业风 险管理思想以及 it 审计的标准和方法，并将其应用于企业会计信息化建设中， 对于防范和降低企业会计信息化的风险具有重大意义。 3 企业会计信息化风险指标体系构建 15 3 企业会计信息化风险指标体系构建 企业会计信息化的建设具有周期长、投资高、系统复杂、意义重大等特点， 其建设过程中风险众多。如果能对引起风险的因素及其作用有清晰的了解，就能 有效的防范风险的出现或对风险进行有效的控制， 因此制定企业会计信息化风险 指标体系具有非常重要的意义。 面对企业会计信息化风险的错综复杂，本章力求从一种较为科学的分类入 手，对目前研究中提到的各种风险影响因素进行整合，用一种系统的、清晰的思 路去审视企业会计信息化风险，增强理论研究的系统性和实际应用的可行性。 3.1 风险指标选取范围 不同的风险处理对象有不同的思想表现方法，由于客体对象的复杂多变，所 以确定风险指标的选择范围不是一件容易的事。 本文从企业会计信息化的内涵出 发，确定风险因素的选取范围。 企业会计信息化是一个由人、计算机系统和网络系统等有机结合的应用系 统，不仅具有核算功能，更具有控制功能和管理功能，不再是一个简单的模拟手 工方式的傻瓜型系统，而是一个人机交互作用的智能型系统。会计信息化重整了 传统的会计组织和业务处理流程，可以支持虚拟企业、数据银行等新的组织形式 和管理模式，从而实现了企业内部和外部的信息及其过程的集成，同时还可以支 持企业现存的业务流程模型以及企业的持续改进和动态建模。 由于采用了现代信息技术，会计数据一旦发生，都将存入相应的服务器，并 及时送到会计信息系统中等待处理。而会计数据一经输入系统，就会立即触发相 应的处理模块，对数据进行分类、计算、汇总、分析等一系列操作，实现会计信 息发布、传输和利用的实时化、动态化，从而可以使会计信息的使用者及时地了 解企业组织的财务状况和经营成果，做出正确的管理决策。 企业要发展适合自身的会计信息化，需要着重考虑以下问题：根据企业会计 信息化的要求是否需要进行业务重组；组织之间的沟通是否顺畅；人员是否具备 相应的技能适应会计信息化业务的操作； 会计信息系统的功能是否符合业务流程 的需要；会计信息系统是否能和其他业务系统方便快速地集成；系统是否对信息 的输入输出及处理进行了自动控制以保证其正确性； 企业内部和外部网络的建设 及安全性能否符合会计信息化的要求，相关的控制措施是否完善等等。如果这些 问题没有得到很好的处理或者控制，都会不同程度的引起会计信息化风险。 重庆理工大学硕士学位论文 16 综上分析， 本文将从以下四个方面来评价企业会计信息化的风险： 环境支持、 人员管理、 系统建设和安全控制。 需要指出的是， 这四个部分并不是孤立存在的， 它们彼此联系，相互影响，须从整体把握。 3.2 风险指标选取原则 为了全面建立公正、合理、高效的风险识别体系，本文将按照以下的原则进 行风险指标的选取： 1.全面性原则 会计信息系统是由人、管理、及信息技术相结合的系统，系统各个组成部分 需要相互协调才能发挥作用。我们在建立指标体系时，要把企业会计信息化作为 一个系统进行分析，全面透彻的认识它的结构和特点，将各个评价指标与系统的 总体目标有机地联系起来，组成一个层次分明的整体。 2.科学性原则 任何指标体系都应该建立在一定的理论基础之上， 科学性是制定指标体系的 最基本的原则。 企业会计信息化风险指标体系依据的是企业信息化和会计信息化 的内涵及其关系、企业风险管理理论及 it 审计的有关标准。选取风险指标时要 符合基本的思维逻辑，而不是简单的罗列、集合或叠加，应能准确的反映会计信 息化风险的实际情况，筛选出来的指标应能够简化那些反映复杂现象的信息，具 有相对明确的含义，可以较准确地描述所要表达的内容，客观反映问题。 3.发展性原则 风险评价指标体系不可能完全反映所有的风险情况， 所以指标体系应具有足 够的灵活性，以使企业能根据自己的特点以及实际情况，对指标灵活运用，用户 可以根据不同的要求对指标体系进行适当的修改、增加和删除，并根据具体情况 将评价指标体系内容进一步具体化。 3.3 风险指标体系内容 3.3.1 环境支持风险指标 任何项目的建设都需要具备一定的环境支持，企业会计信息化也不例外。众 所周知，企业会计信息化建设投资大、周期长，又涉及企业内部机构的调整、管 理程序的变更等许多敏感的问题，如果没有企业领导的足够重视、资金的大力支 持、制度的规范控制和组织的配合，很容易会出现问题。因此本文对企业会计信 息化环境支持风险将从战略定位、投资管理、制度建设、it 组织建设四个方面 3 企业会计信息化风险指标体系构建 17 进行分析。 1.战略定位 目前会计信息化的建设中存在的最为严重的问题是企业的领导对会计信息 化的认识不到位，没有充分认识到实施会计信息化对改善企业管理、提升企业竞 争力的重大意义， 甚至很大一部分企业领导认为会计信息化就是利用计算机对会 计数据的简单处理，只注重技术的开发管理而忽视领导的支持。因此，虽然企业 进行了会计信息化建设，但其管理水平仍止步不前。事实上，会计信息化绝不是 一个单纯的技术问题，它的本质是企业是在管理思想、管理理念上的全新变革。 它涉及到企业的业务流程重组、部门职责和权力的重新分配、组织结构的调整等 一系列的问题。如果企业领导不了解会计信息化，那么会直接导致企业会计信息 化的目标定位不准确，其它随之相关的一系列的措施都会出现偏差，最后以会计 信息化失败而告终，给企业造成重大损失。 因此企业在进行会计信息化战略规划时应需注意以问题： （1）听取企业内部从领导层到主要业务工作人员的意见和建议，必要时聘 请相关的专家或管理咨询公司对企业管理存在的问题、 想要达到的目的进行充分 地分析论证，便于制定出符合企业实际需要的会计信息化规划。 （2）研究企业所在行业的现状、发展趋势、发展动力以及信息技术在其中 的作用、主要竞争对手信息化技术的应用情况等。因为了解行业现状发展趋势和 竞争对手的情况，能够充分吸取相应的经验教训，占据领先地位。 （3）了解信息技术的发展趋势，以保证选择的软硬件尤其是操作系统的先 进性。 综上分析，战略定位方面的风险指标制定如下： 表 3.1 战略定位风险指标 一级 二级 指标含义及要求 高层对会计信息化的认识 企业高层领导对会计信息化的管理理念及技术要求以 及其重要性和迫切性的认识 会计信息化目标的高度 结合企业的实际情况对会计信息化目标的定位 会计信息化规划的参与人员 确定会计信息化规划的参与人员，使会计信息化规划 涉及企业的业务、管理和技术等各层次并具有可行性 会计信息化规划与企业经营 目标的匹配度 会计信息化规划的制定是否结合企业经营目标的要 求，并能支持经营业务目标的实现 战略 定位 会计信息化规划的前瞻性 在不脱离企业当前情况的前提下，会计信息化的规划 能否立足长远，跟踪信息化的主流以适应不断发展变 化的环境 重庆理工大学硕士学位论文 18 会计信息化规划反馈和调整 机制的有效性 企业是否具备正式和有效的监控程序，针对企业的各 层组织及人员对会计信息化规划的理解、执行情况进 行检查，使企业领导能够及时获取足够的反馈信息对 会计信息化规划进行适时适当的调整 2.投资管理 会计信息化的实施需要强大的资金支持。 但目前企业最为常见的现象是为了 一味的追求会计信息化的先进性而不顾企业的经济实力盲目进行投资。 其次是投 资预算不准确，往往在会计信息化实施中途结束时已大大超过预算，企业出现资 金使用困难，陷入进退两难的境地，迫使会计信息化建设中断，影响企业正常运 营。其实在很多情况下，企业只重视软件和硬件的投资，忽视了培训费用、实施 咨询费用、维护费用等，而大量的事实告诉我们后三项费用的合计往往超过前两 项费用之和。因此企业投资预算考虑不全面，不能合理估算各项费用并将其控制 在计划之内，企业会计信息化的实施过程就会发生“金融危机” 。 因此在企业会计信息化的过程中，需要根据企业的发展目标、经营现状和战 略规划为企业会计信息化进行适当的投资并配以合理的预算。 企业要对会计信息 化投资的使用进行监控和评估，及时向企业管理层反馈投资使用情况，通过对信 息化投资在层次和类别上进行细分，使各层次组织都能了解和控制投资的使用， 从而增加会计信息化投资的可控度和有效性。 综上分析，投资管理方面的风险指标制定如下： 表 3.2 投资管理风险指标 一级 二级 指标含义及要求 会计信息化的投资范围 结合会计信息化的规划确定投资范围及具体对象 会计信息化的资金投入水平 结合企业经济情况和对投资的统计分析报告，确定会 计信息化资金的投入水平，不能不重视投资也不能为 了一味追求技术和设备的先进性忽视企业的实际情况 和经济能力 会计信息化投资的预算 通过对投资范围和对象费用的分析，制定详细的投资 预算表，保证投资分配合理并为投资的使用提供依据 投资 管理 会计信息化投资使用的监控 对投资的使用、变动和管理进行分层并进行监控，比 较实际成本和预算的差异，并进行适时适当的调整， 确保关键环节资金到位 3.制度建设 3 企业会计信息化风险指标体系构建 19 企业会计信息化的建设是一项长期工程，必须要有一套完整、有效的规章制 度对其加以规范。建立制度的目的是为了让企业适应会计信息化的环境，从而稳 健运行。企业进行会计信息化的建设时如果没有健全的管理制度，其发展空间是 非常狭隘的。我们知道会计信息化的实施给企业业务处理带了很大的变化，之前 的制度在很大程度都需要进行相应的调整。例如，会计信息化后凭证输入计算机 一经审核，将自动完成记账、结账和编制报表等各项工作，相比传统会计的账务 处理程序，凭证的传递、审核环节等工作都需进行调整，都需相应的制度来控制 操作的规范性。因此，企业在会计信息化的建设中除了要建立先进的管理制度和 管理机制来适应现代管理思想的应用软件之外， 还要制定适合企业自身特点的激 励制度、协调制度和相应的约束制度等。企业的管理制度能否与会计信息系统协 调运作并对企业员工起到应有的激励和约束作用，这无疑也隐藏着风险。 综上分析，制度建设方面的风险指标制定如下： 表 3.3 制度建设风险指标 一级 二级 指标含义及要求 涉及范围的全面性 通过分析会计信息化后企业因业务重组带来的变化， 对受影响 的原有制度进行重新制定或调整， 保证对企业各方面管理到位 制度内容的规范性 对制度涉及到的每个环节、 每个流程都有相应的详细清晰的标 准和要求，便于执行和检查 制度发布的有效性 选择适合企业的制度发布方式， 让员工了解并能认同制度的规 定，从而保证制度的有效执行 制度 建设 制度执行过程的监控 对制度执行的情况进行监控，注重与企业部门和人员的沟通， 并将沟通结果及时反馈，确保制度的合理性和有效性 4.it 组织建设 it 组织也即会计信息化组织，它的建立能够为企业会计信息化的实施和业 务运营提供有效的指导和充分的控制。如果 it 组织建设与企业会计信息化建设 不匹配，组织结构不合理，就不能保证业务的有效处理，成为企业会计信息化建 设的最大障碍。企业应该通过分析企业会计的关键业务和流程，调整和优化业务 流程和组织结构，定义组织的权责分配、相互关系等，为企业会计信息化的实施 提供组织和技术保证。因此 it 组织建设方面的风险指标制定如下： 重庆理工大学硕士学位论文 20 表 3.4 it 组织风险指标 一级 二级 指标含义及要求 it 工作领导小组的建立 由企业主要负责人和信息化各项目负责人组成对企 业会计信息化工作起到决策层次上的领导责任 it 项目实施小组的建立 由相关的业务部门主要领导、 业务骨干和技术负责人 组成，对会计信息化具体项目的建设负领导责任 it 组织结构的合理性 it 组织结构能否有效的促进组织间信息沟通与共 享，能否支持企业信息化工作的顺利进行 it 组织结构与企业经营目标的 匹配度 组织结构和关系是否能促进企业经营目标的实现， 通 过调查分析根据需要对组织进行相应的调整和优化 it 组织任务和职责分配的合理 性 给各级组织分配明确的工作任务、清晰的职责权限， 划分组织之间的工作界限和接口流程 it 组 织 it 组织绩效评估的监控 建立组织绩效评估体系， 定期或不定期的对组织绩效 进行评估， 根据评估结果对组织目标和执行程序进行 不断的优化调整 3.3.2 人员管理风险指标 人是现代企业的战略性资源，也是企业发展的最关键的因素。美国管理学教 授劳伦斯.s.克需曼曾经说过： “人是一切企业竞争、发展的控制因素。 ” 会计信息化是一个人机结合并不断协调的过程， 人的劳动贯穿于系统的整个 过程。虽然会计信息化在很多环节实现了系统的自动控制，但信息数据的录入、 统计分析、系统的开发维护等仍离不开人的参与，而且稍有差错都会引起风险。 人员管理要努力做到最大限度地开发与管理组织内外的人力资源， 提高人力资源 的素质，充分调动劳动者的积极性，加强人与人之间的沟通，协助企业建立长远 竞争优势，使之在组织活动的各个环节发挥最大效用。因此本文对人员管理的风 险将从人员招聘、 岗位设置、 教育培训、 人才培养和绩效考核五个方面进行分析。 1.人员招聘 人员招聘在企业的人力资源管理中占有首要地位， 是人力资源管理的基础工 作，是有效地进行人力资源管理的前提和关键环节。但是如果企业对自身人员需 求方面的信息收集不完全，对岗位设置不清楚，那么招聘到的人员也必然不适合 岗位要求。可能需要重新招聘或培训，导致招聘成本和企业培训成本的增大。招 聘风险会影响企业的生产效率和发展，给企业造成很大的损失。因此人员招聘方 面的风险指标制定如下： 3 企业会计信息化风险指标体系构建 21 表 3.5 人员招聘风险指标 一级 二级 指标含义及要求 人员需求与供应的匹配度 根据企业对人员需求和供给的分析，通过招聘达到 企业人员的平衡，避免片面追求人员数量或者质量 人员专业能力的把关 对招聘职位要求的专业能力给出明确定义，核实招 聘对象是否具备这些能力 人员 招聘 人员职业道德的把关 确保雇佣的人员具备基本的职业道德避如诚实 2.岗位设置 企业在做好人才招聘的同时，为更好地发挥人才的作用，挖掘人才的潜能为 企业服务，应注重人才与岗位的合理匹配，用不同层次的人才来完成不同层次的 工作任务。合理科学的人才匹配，既可以做到人尽其用，又使人才发挥专长，激 发人才工作兴趣，增强人才工作信心，使其以积极和热情的态度投入工作，以高 质量地完成本职工作实现企业目标，也满足员工自我价值实现的需求。另外要保 证不相容职务相分离，合理设置会计及相关工作岗位，明确职责权限，形成相互 制衡的机制，避免推卸责任、越权操作行为的发生。因此岗位设置方面的风险指 标制定如下： 表 3.6 岗位设置风险指标 一级 二级 指标含义及要求 岗位责任制的建立 建立重要岗位权利制衡制度，确保不相容岗位相分 离、制约和监督，主要包括授权批准、业务经办、会 计记录、财产保管和稽核检查等职责 职务说明书的规范性 通过对工作岗位的分析，明确所有岗位的主要职责、 资历、经验要求等并进行详细的阐述 关键 it 职位及人员的识别 识别和确定各级组织的关键 it 职位和关键人员，便 于对这些职位和人员进行区重点控制 岗位 设置 对关键人员的依赖程度 在关键技术和关键环节上对个人的依赖程度 3.教育培训 企业会计信息化涉及到软件工程、信息技术、管理技术等以前没有或不用重 视的技术，这就要求企业员工必须具备相应的知识和技能。会计信息化的教育培 训需要贯穿于整个建设过程，内容包括：项目启动之前对领导信息化认识与知识 提高的启发性培训； 信息化知识普及、 信息化精神传达的培训； 需求调研的培训； 业务流程优化的培训； 数据准备与系统测试的培训； 系统切换前后的相关培训等。 重庆理工大学硕士学位论文 22 除了以上侧重于对会计信息化操作技能的培训外，还需要对员工有企业文化、职 业道德、岗位入职、安全意识等方面的基本培训。培训的同时企业应对人才进行 职业生涯规划，设立其职业生涯目标，为员工制定发展计划，协助员工开发各种 知识、技能，可以使员工清楚地看到，个人职业生涯设计能兼顾员工自身的发展 要求，明确员工在企业的发展方向，向员工提供实现个人专长的契机，形成员工 与企业的互动，增强员工的归属感。 如果缺乏相关培训，不仅会影响会计信息化实施的进程，而且会导致企业信 息化缺乏内在动力，在实施过程中只能处于被动地位。因此企业需要在项目实施 之初就进行规划与设计，以保证信息化培训在组织、实施、监控与管理等方面有 一个总体的安排，从而保证信息化培训的效果，最终保证信息化项目在人的因素 方面得到最有效的支撑。 综上所述，教育培训方面的风险指标制定如下： 表 3.7 教育培训风险指标 一级 二级 指标含义及要求 培训计划与总目标的匹配度 培训计划是否根据会计信息化建设的需求进行制 度，能否有效的配合会计信息化的建设 培训内容覆盖的范围 明确企业需要对哪些员工进行哪些方面的培训， 确 保员工具备会计信息化所需要的知识和技能 培训考核体系的完善性 建立适当的考核体系， 定期或不定期的核实员工的 能力是否达到培训要求 教育 培训 培训执行过程的监控 对培训计划执行的进度和质量进行监控和反馈， 不 断调整和优化培训的实施，确保培训的有效性 4.人才培养 开展会计信息化工作，人才是关键。如果企业缺少相关方面的人才，那么会 计信息化将成为空谈。企业应从实际出发，通过各种途径，加强对高、中级管理 人员、it