一、会计信息系统风险及控制损失的目标

企业的会计信息系统面临各式风险，这些风险来自错弊、自然灾害、事故、对企业不满或素质较低的员工。在系统缺乏控制的情况下，就会造成丢失数据资源，以及根据不正确的数据做出决策从而导致错误分配资源而造成损失等后果。所有的会计信息系统应具有一定的内在控制措施。控制的基本目标包括：确保数据的完整性与可靠性，保证各种管理信息存在、可靠与及时提供；提高系统应用的效率以及有效性，并尽量减少运行中不必要的成本、费用；预防或查明错误和弊端的源头，为管理政策的制定寻找依据；履行各种法律义务。

这些目标与消除系统风险目标是一致的，为实现这些目标，系统相关者必须确保能够辨识系统的风险，并且应用适当的控制措施以消除或减小风险。

二、系统开发设计阶段的控制损失策略

一般而言，运用者一般只将计算机会计信息系统作为一个“黑盒”，并期望系统本身包含了必要的控制要素。因此，作为商品化的软件开发商，必须从战略的角度出发，保证软件质量。在开发设计中必须将系统控制损失目标融进来，除了遵循开发规范如分析员及程序员生产控制、结构化程序设计等原则外，还应考虑系统的可审计性及可控性。

系统本身应提供审计线索，提供达到审计人员详细程度要求的文件，并在适当的时间、范围内保存这些文件，以帮助用户和审计人员在系统内部和系统之间正向或反向追踪经济业务。为加强系统可控性，系统应能保证输入和输出数据能被合理编辑与验证，能识别用户存取级别的合法代码，能对主系统及子系统之间的接口加以控制等。传统上，为了保证审计的公正性和客观性，审计人员不参与系统开发，但是，由于在系统实施后建立控制非常困难并使费用增加，而且随着现在因系统内在控制不足而导致损失的现象的增多，这种观点正在变化，审计人员参与设计过程将成为系统具备可审性和可控性的一种有力保障。

随着管理者越来越需要决策的信息，以便有效地组织和控制资源，决策支持系统逐渐出现，这种系统与早期的作业型系统迥然不同，很多是由管理者委托开发或自行设计的。这些应用程序在控制方面的问题更多。首当其冲的问题就是缺乏质量保证，包括没有对需求做详细说明，软硬件的搭配不当，缺乏文档数据有效性的检验、控制、备份和恢复，以及缺乏数据安全性检测等。针对含糊不清的需求问题，应采用原型法开发策略，原型法下，系统的需求定义过程是一个不断交流的过程，原型法是一个迭代过程，即先定义少量功能，然后反馈、评价，再扩充功能，直至满意为止。所以成为解决需求定义的一种有效方法。此外，对自行开发者，用户顾问应制定规章制度和步骤，引导用户进行开发，建立选取软硬件的准则以防止系统不兼容问题。

三、系统规划实施阶段的控制损失策略

规模较大的系统要运用起来，都需要经过规划实施环节。系统供应商一般都配有自己的软件实施人员，目前，管理技术咨询公司也正在兴起。我国企业界现已渐渐接受这样的观点：有偿借助第三方的知识性服务，作为企业“外脑”。加之第三方在软件选择方面往往具有客观公正性，而且作为专业化服务者在系统实施、帮助企业提高管理水平方面往往具有更丰富的经验。实施活动的质量直接影响系统运用，咨询公司参与软件实施可以更好地提高应用质量、系统销售与服务分离将成为一种趋势。

管理当局及来自外部的协作实施人员应做好有效控制的前期工作：设定组织系统体系，明确划分不同层次的各部分，规定各部门权责及相互协调关系。按各部门职责，研讨其权责内的各种作业方式、性质和特征，并说明正常情况与特殊情况下的各种问题。拟定各种作业细则或手册，分别按各种主要业务拟定各种作业处理办法或手册。拟定内部控制作业程序，根据作业调查研究结果和组织体系结构，制订作业程序草案，并与有关部门或人员讨论，征求意见，进行修改，直到完善。

在进行物理装备时，应保证计算机房具有防火、防水、防风的能力，需要有灭火器、排烟检测器、排水装置和挡风设备。在事故发生时能及时断电，正常断电时又能提供后援电源。有及时提供备用的机器设备。应提供对磁性介质进行严格保护的存贮设备。预先设置灾难及故障恢复系统。程序测试时要考虑到内部控制方面的内容，包括职责分工、人员管理、运行过程、最大负载情况、存贮分配、运行时间、系统恢复、安全保护、数据录入、处理和输出。在测试过程中应仔细考虑可能发生的各类错误和不正当行为，以确定防止这些错误和不正当行为的内部控制规程，对系统潜在的缺陷作出评价，并分析估计这些缺陷所产生的影响及能够采取的避免措施。

四、系统运用维护阶段控制损失的策略

系统运用维护阶段的内部控制按常规一般分为：管理控制、一般控制和应用控制，这是从作业方面采取的控制措施，本文主要从战略方面来考察如何减少并消除控制损失的策略，并不对作业方面的控制措施进行探讨。

在考察对发生故意错弊行为的意图进行控制的策略方面，可以考虑增加施行这种行为的难度，增加被逮住或结果失败的可能性，并加大对此类行为的惩罚力度。实施这一策略的两种有代表性的方法就是实行职责轮流制和内部审计制度。除部分组织程序有特别规定以及不能实行职责轮流制的岗位外，员工应该轮换工作。内部审计是控制损失的独立系统，加强内部审计能检查出发生的错误，打消试图作弊或意欲犯罪的意图，内审人员应定期规则地检查与计算机有关的控制目标、过程以及遵照情况，核实数据和程序的完整性。

针对串通舞弊及人为错误的策略：不相容职责的恰当分离可以为避免单独一人从事和隐瞒不合规行为提供合理的保证，但是，合伙即可避开这类控制，况且控制措施发挥作用的有效程度关键还要取决于执行人员的实际动作，员工的粗心大意、精力分散、理解错误、判断失误、曲解指令等都会造成控制失效。这就需要强调人力资源管理，应选择具备适当的能力和责任感的员工，并将赋予他们的责任清晰化。此外，应建立完善的检查规范，正确地监督他们，并定期检查其胜任能力，在分派人员时，应考虑员工的道德责任，特别是分派具有高度风险的敏感性位置时，应考虑进行附加调查（比如查找档案材料或以前的工作记录或有关评价）。应建立并贯彻执行合理公正的业绩评价体系，将与系统有关员工的工作质量和效率指标化，并与业绩评价及收入水平挂钩。

企业已有的控制措施一般都是为重复发生的业务类型而设计的，因此会对不正常的或未能预料到的业务类型失去控制的能力。企业处在经常变化的环境之中，这就会导致原有的控制程序对新增的内容失去控制作用，在变化过程中可能会发生差错和不合规行为。控制今天能有效发挥作用，但不能保证该控制明天或明年仍然有效。所以，应建立作为一种例行过程的反馈机制，监督控制的功能，没有反馈机制，就无法监督控制的有效性，还应对反馈机制提供的信息进行分析，以决定控制是否需要调整或变更，从而达到增强控制有效性的目的。

此外，控制所寻求的保证水平有必要根据其成本而定，一般来说，控制程序的成本不能超过风险或错误可能造成的损失和浪费，否则，再好的控制措施和方法也将失去其降低成本的意义。当避免损失的努力不符合成本效益原则时，商业保险是免遭过大损失或者是可能性小的及发生不频繁损失的最好方式。购买承保保险总额大小取决于管理者偏好以及企业能够承受系统风险所引起损失的大小。保险并不针对普通操作上的薄弱点，但是，它能保护系统因破坏者、自然灾害、盗窃文件者、盗用者、能接近系统的员工以及因失去文件、软硬件或数据中断所引起的收入损失。