一、會計信息系統風險及控制損失的目標

　　企業的會計信息系統面臨各式風險，這些風險來自錯弊、自然災害、事故、對企業不滿或素質較低的員工。在系統缺乏控制的情況下，就會造成丟失數據資源，以及根據不正確的數據做出決策從而導致錯誤分配資源而造成損失等后果。所有的會計信息系統應具有一定的內在控制措施。控制的基本目標包括：確保數據的完整性與可靠性，保證各種管理信息存在、可靠與及時提供；提高系統應用的效率以及有效性，并盡量減少運行中不必要的成本、費用；預防或查明錯誤和弊端的源頭，為管理政策的制定尋找依據；履行各種法律義務。

　　這些目標與消除系統風險目標是一致的，為實現這些目標，系統相關者必須確保能夠辨識系統的風險，并且應用適當的控制措施以消除或減小風險。

　　二、系統開發設計階段的控制損失策略

　　一般而言，運用者一般只將計算機會計信息系統作為一個“黑盒”，并期望系統本身包含了必要的控制要素。因此，作為商品化的軟件開發商，必須從戰略的角度出發，保證軟件質量。在開發設計中必須將系統控制損失目標融進來，除了遵循開發規范如分析員及程序員生產控制、結構化程序設計等原則外，還應考慮系統的可審計性及可控性。

　　系統本身應提供審計線索，提供達到審計人員詳細程度要求的文件，并在適當的時間、范圍內保存這些文件，以幫助用戶和審計人員在系統內部和系統之間正向或反向追蹤經濟業務。為加強系統可控性，系統應能保證輸入和輸出數據能被合理編輯與驗證，能識別用戶存取級別的合法代碼，能對主系統及子系統之間的接口加以控制等。傳統上，為了保證審計的公正性和客觀性，審計人員不參與系統開發，但是，由于在系統實施后建立控制非常困難并使費用增加，而且隨著現在因系統內在控制不足而導致損失的現象的增多，這種觀點正在變化，審計人員參與設計過程將成為系統具備可審性和可控性的一種有力保障。

　　隨著管理者越來越需要決策的信息，以便有效地組織和控制資源，決策支持系統逐漸出現，這種系統與早期的作業型系統迥然不同，很多是由管理者委托開發或自行設計的。這些應用程序在控制方面的問題更多。首當其沖的問題就是缺乏質量保證，包括沒有對需求做詳細說明，軟硬件的搭配不當，缺乏文檔數據有效性的檢驗、控制、備份和恢復，以及缺乏數據安全性檢測等。針對含糊不清的需求問題，應采用原型法開發策略，原型法下，系統的需求定義過程是一個不斷交流的過程，原型法是一個迭代過程，即先定義少量功能，然后反饋、評價，再擴充功能，直至滿意為止。所以成為解決需求定義的一種有效方法。此外，對自行開發者，用戶顧問應制定規章制度和步驟，引導用戶進行開發，建立選取軟硬件的準則以防止系統不兼容問題。

　　三、系統規劃實施階段的控制損失策略

　　規模較大的系統要運用起來，都需要經過規劃實施環節。系統供應商一般都配有自己的軟件實施人員，目前，管理技術咨詢公司也正在興起。我國企業界現已漸漸接受這樣的觀點：有償借助第三方的知識性服務，作為企業“外腦”。加之第三方在軟件選擇方面往往具有客觀公正性，而且作為專業化服務者在系統實施、幫助企業提高管理水平方面往往具有更豐富的經驗。實施活動的質量直接影響系統運用，咨詢公司參與軟件實施可以更好地提高應用質量、系統銷售與服務分離將成為一種趨勢。

　　管理當局及來自外部的協作實施人員應做好有效控制的前期工作：設定組織系統體系，明確劃分不同層次的各部分，規定各部門權責及相互協調關系。按各部門職責，研討其權責內的各種作業方式、性質和特征，并說明正常情況與特殊情況下的各種問題。擬定各種作業細則或手冊，分別按各種主要業務擬定各種作業處理辦法或手冊。擬定內部控制作業程序，根據作業調查研究結果和組織體系結構，制訂作業程序草案，并與有關部門或人員討論，征求意見，進行修改，直到完善。

　　在進行物理裝備時，應保證計算機房具有防火、防水、防風的能力，需要有滅火器、排煙檢測器、排水裝置和擋風設備。在事故發生時能及時斷電，正常斷電時又能提供后援電源。有及時提供備用的機器設備。應提供對磁性介質進行嚴格保護的存貯設備。預先設置災難及故障恢復系統。程序測試時要考慮到內部控制方面的內容，包括職責分工、人員管理、運行過程、最大負載情況、存貯分配、運行時間、系統恢復、安全保護、數據錄入、處理和輸出。在測試過程中應仔細考慮可能發生的各類錯誤和不正當行為，以確定防止這些錯誤和不正當行為的內部控制規程，對系統潛在的缺陷作出評價，并分析估計這些缺陷所產生的影響及能夠采取的避免措施。

　　四、系統運用維護階段控制損失的策略

　　系統運用維護階段的內部控制按常規一般分為：管理控制、一般控制和應用控制，這是從作業方面采取的控制措施，本文主要從戰略方面來考察如何減少并消除控制損失的策略，并不對作業方面的控制措施進行探討。

　　在考察對發生故意錯弊行為的意圖進行控制的策略方面，可以考慮增加施行這種行為的難度，增加被逮住或結果失敗的可能性，并加大對此類行為的懲罰力度。實施這一策略的兩種有代表性的方法就是實行職責輪流制和內部審計制度。除部分組織程序有特別規定以及不能實行職責輪流制的崗位外，員工應該輪換工作。內部審計是控制損失的獨立系統，加強內部審計能檢查出發生的錯誤，打消試圖作弊或意欲犯罪的意圖，內審人員應定期規則地檢查與計算機有關的控制目標、過程以及遵照情況，核實數據和程序的完整性。

　　針對串通舞弊及人為錯誤的策略：不相容職責的恰當分離可以為避免單獨一人從事和隱瞞不合規行為提供合理的保證，但是，合伙即可避開這類控制，況且控制措施發揮作用的有效程度關鍵還要取決于執行人員的實際動作，員工的粗心大意、精力分散、理解錯誤、判斷失誤、曲解指令等都會造成控制失效。這就需要強調人力資源管理，應選擇具備適當的能力和責任感的員工，并將賦予他們的責任清晰化。此外，應建立完善的檢查規范，正確地監督他們，并定期檢查其勝任能力，在分派人員時，應考慮員工的道德責任，特別是分派具有高度風險的敏感性位置時，應考慮進行附加調查(比如查找檔案材料或以前的工作記錄或有關評價)。應建立并貫徹執行合理公正的業績評價體系，將與系統有關員工的工作質量和效率指標化，并與業績評價及收入水平掛鉤。

　　企業已有的控制措施一般都是為重復發生的業務類型而設計的，因此會對不正常的或未能預料到的業務類型失去控制的能力。企業處在經常變化的環境之中，這就會導致原有的控制程序對新增的內容失去控制作用，在變化過程中可能會發生差錯和不合規行為。控制今天能有效發揮作用，但不能保證該控制明天或明年仍然有效。所以，應建立作為一種例行過程的反饋機制，監督控制的功能，沒有反饋機制，就無法監督控制的有效性，還應對反饋機制提供的信息進行分析，以決定控制是否需要調整或變更，從而達到增強控制有效性的目的。

　　此外，控制所尋求的保證水平有必要根據其成本而定，一般來說，控制程序的成本不能超過風險或錯誤可能造成的損失和浪費，否則，再好的控制措施和方法也將失去其降低成本的意義。當避免損失的努力不符合成本效益原則時，商業保險是免遭過大損失或者是可能性小的及發生不頻繁損失的最好方式。購買承保保險總額大小取決于管理者偏好以及企業能夠承受系統風險所引起損失的大小。保險并不針對普通操作上的薄弱點，但是，它能保護系統因破壞者、自然災害、盜竊文件者、盜用者、能接近系統的員工以及因失去文件、軟硬件或數據中斷所引起的收入損失。