总第 682 期
【作 者】
陈 旭(教授) 刘志婕
【作者单位】
(重庆理工大学会计学院 重庆 400054)
【摘 要】
【摘要】本文从防呆的内涵入手,分析了信息化环境下内部控制引入防呆机制的必要性、“防呆”机制在信息系统中应用的可能性,并提出了信息化环境下内部控制体系引入“防呆”机制的建议。
【关键词】防呆机制 Poka-yoke 内部控制 信息化环境
一、防呆机制的内涵
防呆是一个源自于日本围棋与将棋的术语,是由日本丰田公司新乡重夫最早提出的,应用在日本丰田汽车的生产方式,之后随着工业品质管理的推展传播至全世界。英语取其音译为“Poka-yoke”,意译则为“Fool-proof
-ing”。中文译为防呆法或愚巧法。
防呆法的观点是从根本解决问题。其基本原理为:用一套设备或方法使作业者在作业时直接可以明显发现缺陷或是操作失误后不产生缺陷。作业人员通过Poka-yoke完成自我检查,失误会明显易见,同时,Poka-yoke也保证了必须满足其设定要求,操作才可完成。
二、信息化环境下内部控制体系引入“防呆”机制的必要性
先让我们看几个因内控失误而损失惨重的例子:2005年12月8日,日本瑞穗证券一名经纪人在下单时,将卖价和卖出数量输反,令瑞穗蒙受了407亿日元的损失,相当于其一年的营业利润。2010年5月6日,一名花旗交易员在沽股票时误将百万(M)打成十亿(B),以致道琼斯指数一度下挫998.5点,创下历史第二大单日跌幅,仅8分钟时间,道指市值蒸发7 000亿美元。2013年8月16日,光大证券订单生成系统和订单执行系统的缺陷导致生成巨量市价委托订单,引发股市剧烈波动,使众多的投资者受到了损失。
这些事件根本原因应该说是内部控制机制不完善造成的,可见,在信息化环境下对内部控制体系进行改革创新是十分有必要的。引入“防呆”机制是信息化环境下内部控制体系改革创新的新方向,对进一步完善风险控制机制有着不可小觑的作用。
随着信息技术的发展和广泛应用,企业信息化的程度越来越高,一些企业已经成长为“信息系统依赖型”企业和“信息资产密集型”企业。在此背景下,企业的生产经营与信息技术的高度融合,使得业务人员的操作越来越简单化、“傻瓜”化。企业对信息系统的依赖度越高,信息系统的缺陷给企业乃至整个经济造成伤害的严重性也越高。法国兴业银行的“内鬼”利用信息系统几乎导致百年企业破产;光大证券的套利策略系统缺陷直接导致光大证券当日盯市损失约为1.94亿元,其对公司造成的最终损失还可能随着市场情况发生变化;安然公司利用信息系统创造“发展神话”,但最终酿成整个社会的信用危机。这些无不说明了企业与信息技术之间的关系也越来越复杂。
目前,已交付使用的信息系统或多或少地都会存在着各种缺陷,某些缺陷可能会成为致命隐患,这些缺陷流出时就有可能给企业带来难以估量的损失。当前市场,程序化交易已经成为主流,企业信息化的未来发展方向不可能违逆大势,因此将“防呆”机制引入内部控制是市场和信息技术发展的客观要求。
三、“防呆”机制在信息系统中的应用
根据中国注册会计师协会的《独立审计具体准则第20号——计算机信息系统环境下的审计》可知,计算机信息系统环境下的内部控制包括一般控制和应用控制。一般控制包括组织与管理控制、应用系统开发和维护控制、计算机操作控制、系统软件控制、数据和程序控制。应用控制包括输入/源头控制、处理和存储控制、输出控制等。笔者拟分析信息系统应用控制层面中防呆机制的应用,希望能引起更多的同行对防呆法在信息系统中应用的关注。
1. 输入/源头控制。如果信息系统的数据源头出错,以后的处理环节再正确,也无法获取正确的信息。因此,必须严把数据输入质量关,保证未经批准的业务不能进入系统;保证经批准的业务无一遗漏、完整准确地输入系统;保证被系统拒绝的错误数据能在改正后重新向系统提交。
在输入/源头控制中可能的防呆应用如下:①限定数据格式,可减少数据输入过程的错误。在设计输入格式时,要尽量减少填写项目,输入画面的设计尽可能与实际凭证相似。②二次输入法。为保证录入的正确、完整,同一数据先后两次录入或同时由两人分别录入,由计算机按事先编制的程序自动校验。③符号校验。如职工身高、年龄、工龄等字段应永远为正,如果被误输入为负数,则可通过符号检验加以控制。④数据类型校验。如“出生日期”应为日期型字段,“商品单价”应为数值型字段,“供应商名称”应为字符型字段。通过数据类型校验可以防止操作员疏忽将字段类型输错。⑤限制校验。如在销售管理系统中,为防止出错,如果销售订单中的销售数量大于企业现有库存,系统将不予接受,并提示操作员库存不足。
2. 处理控制。处理是信息系统按程序指令执行的内部功能。处理是将企业生产经营中各项活动数字化、程序化、智能化的关键。在信息系统运动过程中,很可能出现程序逻辑错误、模块调用错误、事务触发错误等情况,因此,还必须设置处理控制措施。
在处理控制中可能的防呆应用如下:①数据有效性检验。企业生产经营程序化的正确性和可靠性要求应用程序所处理的数据是正确的,有效性检验是用于检测及保证应用程序读出正确的文件和文件的记录,并且所处理的业务与主文件所包含的业务相配。②处理权限控制。业务人员经批准后才能执行相应的处理操作。如销售订单的输入只有经批准的销售人员才能输入。③处理条件检验。如在会计信息系统中,输入的原始凭证必须经过审核之后才能记账,在结账之前系统中的原始凭证必须全部记账。④处理有效性检验。处理错误的产生根源于应用程序的逻辑错误或硬件和系统软件的错误。例如,损益类科目期末结账后应无余额,但是到期末时处理结果竟然有余额,这就表明处理过程发生了错误。
3. 输出控制。输出控制的目的就是要保证经应用程序处理后的数据能够准确可靠地反映在各种存储介质上。在输出控制中可能的防呆应用如下:
一是控制总数核对。输入、处理和输出总数核对相符才能保证数据的完整性和输出的正确性。例如,在现金支付业务处理中,一天输入到计算机的现金支付金额的总和,应等于输出到现金日记账当天支付金额的总和,也应等于记入现金总分类账的支付金额。如果输入、处理和输出的控制总数平衡了,就能有效地保证输出的准确、完整。
二是勾稽关系检验。例如,在输出的财务报表中,资产总额=流动资产总额+非流动资产总额。在报表输出前,可以由相应的控制模块检查报表间应有的勾稽关系是否满足。
三是对输出资料的审视检查与合理性检验。审视检查就是对打印输出的文件由人工用肉眼进行检查,以发现由于机器的故障或操作的疏忽带来的打印输出的错漏。例如,打印机打印的错位或漏打,重要的、敏感的输出,要逐一审视,与原始输入文件核对,保证输出的正确。合理性检验可发现由于不正确的处理或由于有人篡改了系统的应用程序或数据文件,使系统打印输出了不合理的结果。
四、信息化环境下内部控制体系引入“防呆”机制的建议
1. 完善我国信息化环境下的企业内部控制框架。目前,国外先进的信息系统内部控制框架主要有国际组织的信息系统内部控制COBIT框架、OECD的信息系统安全指导方针、英国的BS7799框架、电子系统确认及控制框架(eSAC)、ITSM领域的ITIL框架和项目管理PRNCE2模型。综合信息化和内部控制的角度来看,我国并没有形成一个成熟的信息系统内部控制框架。我们可以借鉴以上先进的信息系统内部控制框架,以此为基础完善我国信息化环境下企业的内部控制框架。
2. 实施业务流程重组。任一作业或交易过程均可通过预先设计时加入防呆措施而防止人为失误。因此,笔者认为可通过对企业现行的业务流程进行梳理,结合企业历史经营数据,找出容易发生疏忽和错误的环节,分析该环节容易产生失误的原因从而建立防呆措施。
3. 加强信息系统控制。在信息化环境下,信息系统控制的有效性和完整性是企业生产经营活动正常开展的前提和保障。我们必须分析企业现有的信息系统,结合COBIT对34个信息技术处理过程的控制目标和检查方针,引入“防呆”机制,强化有关环节的控制。
整体层面改进信息系统的基本思想是:将现有数据与行业数据、历史数据进行对比分析,如果超出常规数据的波动区间,就应当提交相关人员分析确认。防呆的区间可以通过历史数据分析设定或根据实际情况设定。引入“防呆”机制后,就是非专业人员也能根据预设的防呆模型进行分析,实现智能化监控。
4. 建立软件缺陷管理系统。随着信息系统规模和复杂度的增加,其质量变得越来越难以控制。目前,已交付使用的信息系统中,或多或少地都会存在着各种缺陷,某些存在的缺陷流出时可能给企业甚至整个社会经济造成严重的危害。因此,建立软件缺陷管理系统,采集和统计分析信息系统的缺陷数据信息,根据缺陷分析结果,不断地改进信息系统的内部控制,提高信息系统的整体功能十分有必要。
主要参考文献
胡俞越,朱鹤.光大证券“乌龙”事件敲响风控警钟.期货日报,2013-08-20