會計信息化風險的控制與防范研究

［摘要］ 風險的控制和防范，是實現會計信息化風險有效管理的重要環節。本文從會計信息化風險的控制與防范原則出發，構建了包括會計信息化戰略風險控制、會計信息技術應用風險控制、會計管理風險控制、人員風險控制和社會風險環境控制的會計信息化風險控制體系，并提出會計信息化風險控制與防范策略：風險回避、風險轉移、損失控制和風險自留策略。

［關鍵詞］ 會計信息化；風險；控制

doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 18. 006

［中圖分類號］ F276.6 ［文獻標識碼］A ［文章編號］1673 - 0194（2011）18- 0008- 04

0 引言

會計信息化風險控制是依據風險評估的結果，平衡成本與效益，采取合適的安全控制措施、實施控制，制訂維護計劃，減少風險事件發生的概率和降低風險損失程度，使風險控制在可承受的適度的風險程度之內。會計部門的特殊性質決定了其基本的價值傾向是追求穩定，避免影響廣泛的風險。在會計信息化的實踐上，失敗的影響比成功的影響更大，更受到社會的關注，因此風險控制顯得尤其重要。

在發展中國家，信息化的基礎較差，更容易遭受失敗的風險。而發展中國家在財力等方面比較薄弱，更難以承受失敗的直接損失，以及在現代化過程中試圖追趕發達國家的機遇上的損失。因此，規避風險是企業在會計信息化中需要特別關注的問題。當然，一味地追求保險也不可取。按照希克斯模式，沒有風險意味著沒有落差，而沒有落差也就沒有收益，也就是等于原地未動。問題不在于有沒有風險，而在于在既定的目標下使風險得到控制，在保持既定的收益的情況下盡量降低風險。如同希克斯所指出的，會計信息化中究竟多大的落差才比較合適，并沒有普遍通用的方法加以確定。

１會計信息化風險控制與防范的原則

會計信息化風險控制與防范要遵循以下原則：

１．１經濟性原則

經濟性原則是指在進行風險管理時必須考慮風險管理的成本與效益。為了防范風險的發生，組織可能會采取一些措施，付出一定的成本。組織在采取任何風險管理措施前均需要對其經濟上的可行性進行分析，因為任何經濟行為均會產生其機會成本。衡量一種風險管理措施是否恰當的標準就是其成本與效益，只有效益大于成本的措施才是可接受的措施。

從某種程度上講，風險控制是要從風險中尋找機會，開展風險控制的目的不在于完全消除風險，而是要提供更多的風險決策信息和方案，最大限度地降低風險帶給會計信息化的不確定性。風險涉及的因素很多，各種風險并發的可能性也很大，在處理風險的過程中還常常會引起繼發風險。因此，這就需要在選擇風險決策方案的時候有輕有重，有所取舍。

１．２系統性原則

系統性原則要求風險管理者把會計信息化過程中的各種風險因素、風險事件視為一個系統，作為一個整體來看待，用系統論的觀點來指導風險管理活動，將屬于各個子系統的風險統一納入到一個整體中來，將一個個獨立的風險源、風險事件、風險事故集中到一個大的框架下進行分析和處理，利于風險管理者找出會計信息系統產生風險事件和形成風險源的根源，可以更好地分配現有的風險管理資源，將有限的資源用在可以取得最大效用的地方，而將那些局部的細微風險忽略，在宏觀層面上把握住風險控制的脈絡，也有利于會計信息化風險管理水平的提高和取得更為高效的風險管理回報。

１．３動態性原則

由于企業環境和信息技術的不斷變化，新的風險不斷出現，風險控制不是一勞永逸的，而是一個持續改進和更新的過程，以應對新風險的發生。

動態性原則要求風險管理者在對會計信息化的各種風險源和風險事件采取各種管理措施時，能以動態的眼光、發展的眼光去衡量。一種風險被控制住了，但這只是暫時的，只是在現有的條件下此種風險不會再發生。一旦條件改變了，原先抑制風險事件形成的因素撤除之后，風險事件就有可能反彈，因此，會計信息化進程中的變化性迫使風險管理人員必須從動態的角度去研究和分析在會計信息化過程中出現的各種風險源和風險事件，并對其進行前瞻性的管理，防范風險事故的發生。

１．４“抓大放小”原則

在會計信息化進程中會識別出各種各樣的風險源、風險事件，這些風險源、風險事件經過進一步積累導致發生風險事故的概率不同；即使形成了風險事故，其造成的損失大小和影響范圍也各不相同。故風險管理者需要根據項目組織的風險承受能力、各種資源狀況對可能采取的風險管理措施進行取舍，即抓住重要的、可能造成大的風險損失的風險源或風險事件，對其進行嚴格的管理，采取有效的防范措施；而對那些在暫時看來還不至于造成較大影響的則無需采取任何措施，只需繼續跟蹤觀察，及時掌握其變化動態。這個原則對于會計信息化來說尤其重要，因為信息化過程涉及的人、財、物非常廣泛，不僅關乎財務系統內部，同時還與其他部門、企業的利益相關者等方面有著密切的關聯，風險源分布范圍廣，風險管理者無法也不應該面面俱到，而是應將有限的資源用于重點風險的管理上。

１．５ 集成思想

會計信息化建設周期較長，內、外部環境持續多變使得執行中的不確定性日趨增加，缺乏協調的風險組織機構，孤立的、分散的風險管理方式，缺少系統性的項目實施辦法，已經不能滿足會計信息化管理的新要求。因此，需要以集成的思想進行風險的實時動態管理，對信息化的內部外部環境進行集成，達到信息的無縫連接，避免由于信息孤島而導致的信息屏障和信息失真。同時，風險管理的集成還體現在同信息化管理的結合上。應該說，風險管理的各項活動相互依托，相互補充，共同構成了一個有機的整體。

２ 會計信息化風險控制機制

在以上構建原則的指導下，本文進一步確定了會計信息化風險控制與防范體系的架構，如圖1所示。從會計信息化風險系統整體的視角來說，會計信息化風險控制是一個復雜的控制系統，研究認為構建會計信息化風險控制與防范體系需要從戰略規劃控制、技術控制、管理控制、人員控制、環境控制5個方面開展，它們之間相互影響、相互作用、相互制約，成為有機聯系的整體。

２．１ 戰略規劃控制是會計信息化風險控制的源動力

戰略規劃控制是會計信息化風險的源動力。有效的會計信息化戰略規劃控制是保證會計信息化成功的重要因素，因此，對于會計信息化戰略規劃風險的控制十分重要；由于戰略規劃風險在整個會計信息化風險中是主要因素，因此戰略規劃控制成為會計信息化風險控制的源動力。

在會計信息化風險控制中，要使會計信息化戰略符合企業發展的總體戰略，成立專門的規劃小組，并由企業一把手負責，并且要實時動態地調整其信息化戰略規劃。

２．２ 技術控制是會計信息化風險控制的技術基礎

技術控制是會計信息化風險控制的基礎，在人員行為很難控制的地方，強制的技術控制和ＩＴ治理可以保證安全策略的實現。國際上普遍遵循的計算機信息系統互聯標準ＩＳＯ ７４９８－２，包括了五大類安全服務和提供這些服務所需要的八大類安全機制。五大類安全服務，即鑒別、訪問控制、數據保密性、數據完整性、不可否認。八大類安全機制，即加密、數字簽名、訪問控制、數據完整性、鑒別交換、業務填充、路由控制和公證機制。本文從保護信息資產、滿足組織業務目標和成本收益的角度，對最基本的安全技術控制如身份鑒別技術、訪問控制、機密性完整性、監控與審計、備份恢復、物理安全等方面的安全技術進行分析研究。

２．３管理控制是會計信息化風險控制的推動力

管理控制是在組織中實施風險控制而采用的正式的、基于信息的例行程序和步驟，是實現會計信息化風險控制的推動力。所涉及的主要是在會計信息化運行過程中的控制與約束，管理控制的主體一般包括決策層、管理層、審計人員、一般員工。

會計信息化風險管理控制主要包括制定會計信息化建設中的規章制度、各種政策，如會計信息化項目外包制度、會計信息化監督與評價制度、組織決策的科學化控制以及信息在不同主體之間如何實現協同。

２．４ 人員控制是會計信息化風險控制的保證力

人員控制是信息安全風險控制的保證力。會計信息化風險管理也就是對人及其效能的管理，如果缺乏具有良好的風險意識和技術能力的安全人員，技術控制的實施和維護也會大打折扣，因此人員的技能和知識需要通過教育和培訓不斷的發掘、提高和更新，使他們能勝任工作并承擔相應的責任。

２．５環境控制是會計信息化風險控制的約束力

環境控制是會計信息化風險控制的約束力。會計信息化是處于一定社會環境之中的，由于它要受到社會政治環境、政策法規、經濟波動、社會文化、意外事故的影響，因此環境就成為會計信息化風險的約束條件，要盡量保證環境的穩定性。

環境控制要求信息化風險管理人員要認清所面臨的環境風險，要積極地去適應環境，并且盡量減少環境風險帶來的損失。信息化風險管理人員就是要盡量保持一個有利于會計信息化發展的相對穩定的環境，包括政治、經濟、社會的穩定；另外還要盡量采取一些控制手段，減少一些意外事故如火災、水災等的發生給會計信息化帶來的風險。

３會計信息化風險控制策略

以上會計信息化風險控制與防范體系的構建都是風險控制和回避的有效措施。除此之外，對于無法避免和難以控制的風險還可以采取相應的風險處理策略來最大限度地降低會計信息化風險帶來的損失。常用的風險處理策略和方法很多，總的來說可以分為風險回避（Ｒｉｓｋ Ａｖｏｉｄａｎｃｅ）、風險轉移（Ｒｉｓｋ Ｔｒａｎｓｆｅｒ）、風險控制（Ｒｉｓｋ Ｃｏｎｔｒｏｌ）和風險自留（Ｒｉｓｋ Ｓｅｌｆ－ｒｅｔｅｎｔｉｏｎ）四大類。風險控制實踐活動中，風險回避、風險轉移、風險控制和風險自留應相互結合，相互補充，減少風險發生的可能性和損失。下面結合會計信息化的特點來具體討論這4種策略的適用環境和應用方式。

３．１ 風險回避

風險回避是一種事前控制，通過事前對風險因素識別、分析估計風險發生的可能性，決定放棄或改變計劃和行動，它是一種徹底的、消極的消除風險影響的方法，但同時也不會為組織帶來收益。

風險回避策略多用于會計信息化風險的啟動和規劃階段。它是指考慮到風險事件的存在和發生的可能性，主動放棄或拒絕實施可能導致風險損失的方案。會計信息化在啟動和規劃階段，會對信息化所面臨的各種風險因素進行綜合考察，對于那些風險損失發生頻率較高、損失較大，而采用其他風險策略的成本和效益的預期值不理想的信息化計劃和方案，可采用風險回避的策略。通過回避風險，可以在風險事件發生之前完全、徹底地消除某一特定風險可能造成的種種損失，而不僅僅是減少損失的影響程度。

風險回避策略，是對所有可能發生的風險盡可能地規避，因而可以直接消除風險損失，具有簡單、易行、全面徹底的優點。但應當注意的是，在使用該策略之前要對相應的風險有足夠的認識，從而確保“回避”是有意義的；同時，并非所有的風險都可以采用回避的策略，對于一些難以估計或由不可抗力造成的風險（如地震、洪災、臺風、雪災等自然災害）則應考慮其他的風險策略；另外，回避風險只是在特定范圍內及特定的角度上才有效，所以在使用過程中有可能出現避免了某種風險而又導致產生另一種風險的情況，因此選用風險回避策略要慎重。

３．２ 風險轉移

風險轉移是把風險應對的權利和責任轉移給第三方承擔的風險控制方法。風險轉移不同于風險回避，它不是放棄或改變計劃或活動，而是通過購買保險、履行與供應商的合同或外包等方式將風險轉移由其他方承擔。風險轉移是組織為了避免承擔較大的損失或付出巨大的控制成本，以一定的成本將風險轉移出去，風險承接方為了獲取由此帶來的收益而愿意承擔可能的損失。在風險轉移過程中，對承接方的資質選擇和合同如果不能很好地加以控制和管理，或是承接方不能履行合同條款，容易引入第三方風險，或者引發法律糾紛。

風險轉移，是目前會計信息化風險管理過程中經常使用的一種策略，它是指為避免承擔風險的責任以及由此產生的損失，有意識地將風險導致的損失或與損失相關的財務型后果，通過合同或協議的方式轉移給項目外的第三方。

可以通過會計信息化外包，轉讓方通過分包合同，將其認為項目風險較大的部分轉移給非保險業的其他單位。對于會計信息化中技術相對復雜、風險相對較高的子工程，會計信息化主管部門可以將其分包給具有專業人才、專用設備的科研機構和具有豐富經驗的技術隊伍共同承擔。

以上是風險轉移策略幾種主要的實現形式。雖然，風險的轉移只是將風險在風險承擔者之間進行轉移，而并沒有消除該風險或從數量上減少風險，但這種將風險暫時剝離項目主體的方式最直接、最有效地減少了會計信息化管理人員的風險壓力。因此，風險轉移策略從某種角度上講，是最能夠提高會計信息化風險管理效率，同時實現項目利益最大化的主動策略，也是提高會計信息化水平的重要方法，值得會計信息化風險控制人員進一步深入研究和實踐應用。

３．３損失控制

損失控制包含兩方面的含義：一是指損失發生前消除損失發生的根源，減少損失事件的概率；二是在風險事件發生后減少損失的程度。也就是說，損失控制的基本點在于消除風險因素和減少風險損失。。

３．４風險自留

風險自留，是到目前為止會計信息化風險處理過程中采用比較多的方法。它是指有能力承擔或出于某種目的而不得不承擔風險的處理方法。會計信息化采用這種方法，一是因為會計信息化設計之初已經過多方的慎重考慮，因而會計信息化具有較強的抗風險性，可以采取風險自留的策略；二是因為會計信息化的性質和現行的運作方式限制了其他風險策略的選擇，而只能依靠采取多種風險自留方式來處理項目風險；三是因為會計信息化風險研究開展較晚，可供選擇的風險策略較少，會計信息化執行機構的風險意識相對薄弱，因而造成了現行的會計信息化無形中被迫選擇了風險自留的策略。

會計信息化風險自留策略的實現可以通過兩種形式來完成：自保自留和非自保自留。所謂自保自留是指，會計信息化在規劃階段就對信息化可能存在的各種風險因素進行合理的預測和評估，并根據項目資金狀況預先提取一定比例的資金作為風險基金，當風險發生時用于減少風險帶來的危害或彌補風險造成的損失，它是一種主動的風險承擔方法。非自保自留是指在會計信息化實施過程中通過建立風險準備金、現收現付等方式對風險造成的損失進行一定的補償，它是一種相對被動的風險承擔方法。

主要參考文獻

［１］薛淑萍．財務信息化中ＩＴ風險控制目標探討［Ｊ］．經濟師，２００７（１０）.

［２］劉鈞．風險管理概論［Ｍ］．第２版．北京：清華大學出版社，２００８．

［３］魏春波．高校財務信息化風險管理探析［Ｊ］．沈陽建筑大學學報：社會科學版，２００７（4）.

［４］蘆文偉．企業集團財務信息化過程中的風險分析與規避［Ｊ］．交通財會，２００９（３）．

［５］劉雪晶．企業會計信息化風險控制體系探討［Ｊ］．財會通訊：綜合版，２００８（８）.