摘要：风险同时伴随着潜在的机遇。公司财务信息系统分析与设计人员需权衡风险和机遇，只控制那些符合成本收益原则的重大风险。概率和损失额越大，风险的危害性就越大。公司财务信息系统风险及其内控措施可以发生在不同级别上：宏观经济级别、行业级别、公司整体级别、公司内业务流程级别以及信息处理级别。本文针对不同风险级别，提出相应的措施，重点提出在信息处理级别风险中，对应于COSO提出的5大控制要素展开监控与绩效评价环节。
关键词：AIS 风险 内部控制 业务流程 信息处理

　　一、引言
　　风险是指发现的任何使公司受到伤害或损失的可能性。目前主流观点认为，AIS（Accounting Information System，会计信息系统）是公司财务信息系统的一个组成部分，而公司财务信息系统又是公司整体集成管理信息系统中一个基于财务视角的剖面。有鉴于此，公司财务信息系统分析与设计人员需要识别和控制风险，但又要权衡风险和机遇、控制目的和控制成本。公司必须权衡经营效率和经营效果，使公司财务信息系统可以做到同时控制效率和效果。当今经济环境下，公司财务信息系统中内控功能的重要性越来越凸显。公司财务信息系统中控制的两个重要考虑因素是执行时间和成本。通常每种控制都能缓减某一特定风险，但各种控制措施的成本和效率不同。因此很多潜在的风险确实存在，但是要控制所有风险的代价如果超过了控制带来的收益，就会不符合成本效益原则，故不允许公司控制所有的潜在风险，只应控制那些重大风险。
　　风险的重大性取决于风险对公司的影响，以及风险实际发生的可能性阻止公司实现其目标风险的代价是巨大的，而且可能对公司的持续经营产生灾难性影响。风险的危害性是指：潜在损失的大小及其对实现公司目标的影响，以及损失发生的可能性。概率和损失额越大，风险的危害性就越大，公司管理风险的需求就越大。
　　二、风险的级别及内控措施
　　风险可以发生在不同级别或层面上：宏观经济级别、行业级别、公司整体级别、公司内业务流程级别以及信息处理级别。
　　（一）宏观经济和行业风险
公司不是在真空中经营，而是在某个行业中开展经营，行业是当地经济的一个组成部分，同时也是全球经济的一个组成部分。不考虑当地和全球经济风险以及行业风险，即使再充分应对其他风险，对公司而言往往也是徒劳无益的。经济风险包括来自战争、瘟疫、金融市场变革、恐怖袭击和诸如洪水、台风以及干旱等自然灾害。这些因素中很多都能导致全球性的经济萧条。有时经济风险能够给某些行业带来致命的打击，因此演变为行业风险。另一种类型的行业风险是成本的普遍上涨影响了某一特定行业。例如，某一行业普遍使用的原材料成本剧烈上涨，整个行业都会受到负面影响。降低的产品需求就是一种行业风险，它有时独立于价格增长。产品需求的减少可能只是源于使用趋势的转变或其他行业中更高级替代产品。
　　（二）公司风险
　　公司风险反映了公司由于自身或外部商务伙伴的行为或状况这些内、外部因素造成的潜在损失威胁。公司内部风险因素包括诸如员工道德低下，缺乏职业操守，员工不胜任工作。内部因素在很大程度上由公司的管理哲学及经营风格决定。如果管理哲学和经营风格鼓励高风险环境，那么在业务流程层面和信息处理层面也存在更高的风险。公司财务信息系统分析与设计人员确定公司风险时，可以向管理人员询问的问题如：公司是否承诺雇佣具备岗位工作所需知识和技能的胜任员工；管理层是否采用保守或理性的方法接受并列报经营成果中的业务风险；如果存在董事会，董事会中是否有公司外部代表；如果会计主体的年度财务报告需要审计，公司是否存在审计委员会来管理审计事务；公司是否存在定义良好的组织架构、合理的职责分离以及明确的报告关系，以确保重要活动得到及时计划、执行、控制和监督；员工是否理解公司的政策和实务，自己的职责以及向谁汇报；管理层是否营造强调正直和职业操守的公司文化；公司是否具备揭发渠道，以鼓励员工在工作过程中向管理层或董事会告发舞弊行为；如果公司对以上问题的回答相当肯定，该公司的控制环境可能较好。而那些没有采取以上或类似措施来鼓励正直和胜任能力的公司会面临较高程度的公司内部风险。
　　公司风险也来源于诸如行业内其他公司竞争加剧、公司声誉及品牌质量损失、导致业务中断的意外事项、涉及一家或多家公司外部商务伙伴的危机，以及公司兼并之类的外部因素。公司间竞争的加剧会降低公司的市场份额，导致品牌质量或公司声誉降低的事项会给公司带来长期的负面影响；公司会面临一些由于诸如火灾、洪水、龙卷风、断电或技术失败等意外事项，导致业务中断的风险；公司会面临一家或多家外部商务伙伴公司的业务中断事故，从而对本公司造成威胁。
　　（三）业务流程风险
　　本文将业务流程风险定义为与实际业务流程目标（包括资源、事项、参与者以及这三者之间关系）相关的风险。公司常见的资源包括存货、产品、营运资产和资金，包括与失窃、过时、浪费、故意或非故意损毁而造成损失的威胁都可称为业务流程风险。事项可以分为宣传事项、相互承诺事项和经济交换事项。与这些类型事项相关的风险包括该发生却没发生的事项、事项执行得过早或过晚等。
　　大多数风险不涉及单独的资源或事项，但却涉及资源、事项或参与者的结合体。连接资源和事项的关系可分成提议、预留、资源流关系。与“资源——事项”关系相关的风险包括事项执行了错误的资源类型或资源项目、错误的资源数量，或资源的成本或售价错误。
　　资源与资源之间的链接关系是BOM（Bill Of Materials，物料清单）的一种表达方式。与“资源——资源”关系相关的风险包括一种资源与另一种资源之间的关系确定错误。例如，完工产品存货类型的BOM中描述了原材料种类或数量上的错误。
　　与“事项——事项”关系相关的风险是事项间关系确立的错误。例如，业务流程政策要求所有销售的现金折扣最多可达到售价的50%。一种风险是没有按折扣政策收款。同样，在没有确认存货实际验收的情况下支付了货款。
　　“事项——参与者”之间的关系表现为连接公司内外部参与者与事项的参与关系。“事项——参与者”关系相关的风险包括未经授权的公司外部参与者（如不存在的客户）或未经授权的内部参与者执行了事项（如仓管员执行付款）。“资源——参与者”关系反映了诸如内部参与者管理存货类型职责的托管设置。与“资源——参与者”关系相关的风险包括未经授权的参与者托管了资源。检查单一关系有助于识别风险，完整的风险分析却要求同时检查多种关系。例如，查询可以被定义为评估相关的采购订单、采购事项和付款事项是否都连接到同一家供应商。如果没有连接到同一家供应商，就说明可能存在需要进一步调查的数据录入错误或不规范。
　　（四）信息处理风险
　　首先，公司财务信息系统也是一种资源，其接触应当受到严格控制。诸如文件服务器之类的关键系统硬件应当锁放在限制区域。其他网络信息系统的组成部分需要由经过授权的人员进入并完成业务和信息的处理。未经授权的进入系统对公司而言是重大风险，因此防止未经授权进入系统很重要。进入控制在系统具备联网、实时交易处理能力时特别重要。任何一台连接到因特网的计算机都很容易受到攻击。系统接触控制涉及密码和登录控制矩阵的使用。密码是一种较弱的保护形式。登录控制矩阵表明了可以登录系统的各个用户，以及每个用户登录后可以接触的数据和程序。一些用户只允许读数据，另一些用户则可读、可更新数据。
　　其次，信息处理风险与记录、维护和报告与资源、事项、参与者以及三者之间关系的信息相关。表面上，这类风险与业务流程风险十分类似，但实际上，业务流程风险必须与事项的实际执行、实际存在的资源和参与者有关。信息处理风险必须与进行记录、维护和报告以上对象的信息相关。例如，如果向不存在的客户销售产品是一个业务流程错误，但如果是向公司认可的客户销售产品，但数据录入错误导致这笔销售看起来像是向不存在的客户销售了产品，这就是一个信息处理错误。
　　信息处理风险包括记录、维护或报告的信息不完整、不准确或不合法。不完整的信息反映了对于资源、事项、参与者或关系信息在记录、维护和报告中存在错误。不准确的信息反映了数据的记录、维护和报告不正确地表达了客观事实。不合法的信息反映了记录、维护和报告了不存在的资源、事项、参与者或关系。这些类型的信息处理风险都需要得到控制。
　　COSO的内部控制集成框架讨论了内部控制系统的五大组成要素：控制环境、风险评估、控制活动、信息和沟通、监控。COSO报告中推荐对公司内部控制的评价首先从风险识别开始。接着确定应对风险的控制活动，最终进行内部控制测试，以确保控制是否有效运行。COSO推荐的、萨班斯法案要求的、越来越多的监控和关于内部控制的鉴定通过业务流程和AIS设计来实现。业务流程和支持业务流程的公司财务信息系统同样关注风险识别、开发符合成本效益原则的缓减控制措施，他们可以设计并实施控制。
　　财务信息系统的控制活动通常包括记录、维护和报告会计主体事项，同时维护相关资产、负债和权益问责性的方法和记录。其信息质量影响着公司管理层在管理和控制会计主体经营活动以及准备财务报告方面进行正确决策的能力。系统必须做到以下每一条，以便在信息系统中提供准确完整的信息来正确报告公司经营成果：1.及时确认和记录所有的业务事项；2.对每项业务事项的描述足够详尽；3.正确计量每笔业务的金额；4.在财务报告中正确描述和披露业务。沟通要素是针对现有岗位分工及对应内控职责的理解。员工应当理解他们的工作如何与其他员工的工作相连接，并且例外情况如何向高层管理人员报告。开放沟通渠道有助于例外情况的报告和采取行动。沟通也包括制度手册、会计手册和财务报告守则等。
　　监控是随时评价内部控制完成情况的过程。由于多数公司经常改变其经营活动以适应新的市场需求以及投资机遇，于是监控变得尤为重要。监控涉及以时间为基础的控制机制设计和运行的评价，以及所需的修正行动。管理层一旦发现报告明显偏离他们对公司经营的了解时，就可采取持续的质询活动。内部审计人员或系统评价者也可以通过定期的检查内控活动、评价其效果、汇报结果，以及提供改进建议来完成监控。来自外部会计主体的信息同样对内部控制的监控很有价值。客户或供应商关于运输或付款的投诉，各政府机构的检查，以及外部审计报告都提供了内部控制充分性及其改进的信息。
　　绩效检查是对提供某种方式监控的公司绩效的任何检查，比较常见的检查有：事先计划数据与实际数据，经营数据和财务数据，甚至包括隶属关系或公司职能领域间的对比等。绩效检查的实例还可以比较实际发生的生产成本和上一会计期间生产成本，以发现差异。任何明显偏离去年的成本项目都应追踪调查，明确原因。另一个绩效检查的例子是比较同一区域内的销售利润率及运往该地区的存货数量，以确定各地区间的销售利润率是否大体相等。如果某一地区的销售利润率明显低于其他地区，就必须调查原因，诸如存货有可能存在偷窃、毁损、过时或其他原因。Z





参考文献：
　　1.C.L.Dunn，J.O.Cherrington and A.S.Hollander.Enterprise Information Systems.3rd edition. New York，NY：McGraw-Hill Irwin，2005.
　　2. 周梅，会计信息系统中销售流程的应用控制［J］.商业会计，2011，（31）.