事件驱动型会计信息系统控制

事件驱动型会计信息系统控制【摘要】随着电子商务与信息技术的发展，传统会计信息系统（AIS）控制的局限性日益凸显。事件驱动型会计信息系统（EDAIS）控制由于考虑到各种事件中可能包含的风险，而成为会计信息系统控制的发展方向。

随着电子商务和信息网络技术的迅速发展，AIS与企业的其他业务信息系统的融合越来越紧密。AIS的控制问题不再是一个局限于会计部门的孤立的问题，而成为一个涉及到企业各项活动的系统性问题。AIS控制问题也不再是信息系统自身的问题，而应该从AIS体系结构出发，从根本上改变AIS控制的方法与范围。AIS体系结构是指采集、存储、处理、传输数据的步骤、方法或数据处理程序的结构。现有学术研究成果大多是在坚持传统AIS体系结构及其内部控制制度与控制观点的基础上，从信息技术的角度探讨如何加强AIS的控制。这种控制与电子商务、企业信息化的发展极不相适应，并且大大限制了企业的运行效率。笔者从事件驱动体系结构的角度，分析AIS控制。

一、传统会计信息系统控制的局限性

（一）传统会计信息系统数据处理流程

传统AIS是建立在传统会计体系结构基础之上的。传统会计体系结构是指现代信息技术出现之前，会计人员在处理会计数据时所采用的一系列步骤和方法，即会计循环和会计恒等式。基于这种体系结构的AIS采集和存储的数据是有关业务事件数据的一个子集，即只采集和存储那些改变企业资产、负债或所有者权益构成的会计数据。图1

反映了基于传统体系结构的AIS采集、存储和处理业务数据的流程。

（二）传统会计信息系统控制的局限性

如图1所示，传统AIS处理流程原封不动地保存了原始的会计循环，只是使用信息技术去自动化老式的会计工作流程。传统AIS控制也正是基于图1所表示的传统体系结构而形成的。

1.从原始数据录入到财务报表输出，整个过程频繁使用了大量的事务文件和工作文件对会计信息进行加工处理，最终财务报表的可依赖性取决于原始数据的可靠性。虽然使用了大量的中间文件，但这些文件内容大多来自于同一数据源。例如，应收账款总账及其所属明细账数据都来自同一销售发票。由于存在“垃圾进，垃圾出”现象，当业务过程发生了错误时，不管记录、维护及报告过程使用的技术如何，都将造成报告错误。

2.分离职责和责任局限于使一个人的工作核查另外一个人的工作，着重于事后监督，而忽视了事前预防。

3.没有考虑到信息技术能够减少业务活动中的人为错误，能够对业务与控制规则的符合程度进行监控，而对会计数据进行重复记录，对重复数据做大量调整、核对。这样，既和现代企业对AIS的要求不相适应，又影响系统的运行效率。

4.AIS专门从事收集和处理其他部门所创造的数据信息的工作，独立于业务活动，是反映性的和纠正性的，无法检查、控制、杜绝业务活动过程中发生的错误。

5.会计人员和审计人员在指导内部控制制度的设计、实现、维护

和评估时，根据会计管理工作的需要而设定，局限于会计工作的范围。控制程序是局部性的、阶段性的，没有考虑与可能跨越几个职能部门的业务过程有关的种种风险，无法对财务活动以外的其它活动的风险进行控制，而其他活动的风险往往间接或直接地导致了财务风险的产生。

二、事件驱动型会计信息系统数据处理流程

（一）业务过程与事件

业务过程是完成企业战略目标的一系列活动。事件是表示业务过程中的单一活动。一个企业的业务活动可分为业务事件、信息事件、决策与管理事件。业务事件是在业务过程中执行的与向顾客提供商品和服务有关的业务活动；信息事件是指对信息进行收集、加工、存储、维护、传输、报告等的处理活动；决策与管理事件是管理者或其他人在计划、控制和评价业务过程时的决策活动，包括管理资源（人力、物力及资金）和制定战略规划等。

（二）事件驱动型会计信息系统数据处理流程

事件驱动体系结构以业务过程和事件来构造系统，它以各类经济活动事项为中心组织数据，并独立于应用程序之外，业务数据输入一次，便可用于生成各种视图驱动应用所能提供的全部视图。EDAIS是建立在事件驱动体系结构的基础上，在业务发生时收集业务事件的所有数据（如时间、地点、责任人和参与者、涉及到的资源与风险等），把业务事件数据集成在数据仓库里，同时利用信息生成工具对事件数据仓库中的数据进行会计处理的。即按用户需要产生各种报告视图，

如明细账、分类账和财务报表等，实现业务与会计的协同化处理。EDAIS 数据处理流程如图2。

三、事件驱动型会计信息系统的风险

EDAIS的风险除了财务风险外，还有常常直接或间接地给企业带来财务损失的其他业务的风险，这些风险可概括为：业务事件风险、信息事件风险及决策与管理事件风险。每一个风险都会波及到财务部门，带来财务风险。风险的控制必须贯穿于各种事件之中，而传统体系结构忽视了许多与财务资源有关的非财务风险。

（一）业务事件风险

业务事件风险包括：业务事件发生在错误时间和地点；业务事件没有适当的授权、操作顺序错误、涉及错误的人员；业务事件涉及错误的资源类型与数量等。这些业务操作风险用传统体系结构AIS是很难检测出来的。

（二）信息事件风险

信息事件中蕴涵着信息收集、加工、存储、维护、传输、报告等风险。信息收集风险是指对业务事件不能做出正确的判断，对数据采用了不适当的表达形式，从而导致事件数据记录不完整、不准确或无效；信息加工风险是指不能对数据做出正确的选择、排序、合并、更新、计算等；信息存储风险是指存储哪些数据、存储多长时间、采用什么样的存储方式等发生错误；维护风险是指未察觉或未记录组织的资源、参与者、时间、地点的变化；信息传输风险是指信息在AIS内部子系统间或AIS与其他系统间传输时，发生误传、盗窃、删除、被

非法篡改等；信息报告风险是指报告输出数据形式不当、或汇总错误，或数据提供给未经授权的单位或个人，或未及时提供数据。

（三）决策与管理事件风险

决策与管理事件风险包括：未能对未来事件做出正确的预测，致使计划制定错误或不完善；由于规章制度不完善，指挥、协调、控制失效，计划或决策方案没有得到有效的执行；由于对管理对象的状态信息及管理决策目标信息掌握不全，未能对经营成果做出正确的评价。

四、事件驱动型会计信息系统控制

EDAIS控制是根据事件驱动体系结构的特点而提出的，它把风险的控制贯穿于企业业务过程的各个事件中，实现了业务活动、信息处理、IT与风险控制的集成。

（一）控制业务活动

1.控制交易风险。建立在传统体系结构上的AIS只能被动地接收各业务部门产生的数据，是反映性的。一旦业务部门的业务操作出现问题而没有被发现，必然要把错误的数据带入AIS，而传统AIS却无法发现这些错误；EDAIS基于业务活动构建系统，针对业务事件的各种可能风险，设计交易授权、操作规程和业务执行过程的控制规则。明确规定哪些人允许执行哪些活动，接触哪些资源，哪些事件应在什么时间发生在何处。这样，在业务发生之前便评估其风险，从会计信息的源头上控制风险，防止业务事件、信息事件和决策与管理事件的错误和舞弊。

2.职责分离。EDAIS职责分离除了维持传统的监督与检查功能外，