基于HACCP的AIS控制

來源:用戶上傳      作者: 王世杰

　　【摘要】 HACCP體系是一種主動的、預防性的動態過程控制體系。目前作為一種成功食品安全質量控制體系被國際公認。該體系將精益管理和系統控制結合起來，以系統論和控制論為基礎，在過程控制中取得了良好的效果。AIS作為一個系統，在開發和應用中都有著完整的過程，將引用HACCP的理論和方法進行AIS控制將有利于提高AIS控制的水平。
　　【關鍵詞】 HACCP；AIS；AIS控制模型
　　
　　一、引言
　　
　　HACCP是“Hazard Analysts and Critical Control Points”英文字母的縮寫，意為“危害分析與關鍵控制點”。它是一種科學、高效、簡便、合理而又專業性很強的質量安全控制體系，是一種控制食品質量安全風險的預防性體系。HACCP是將質量控制和危險評估等原理和方法引入食品安全控制中，將食品生產中，實際存在或潛在的危害食品安全的風險進行分析評估，確立影響產品安全的關鍵控制點（CCP），制定與可能引發風險的關鍵控制點（以下將以CCP或CCPs代替關鍵控制點）的相對監管控制措施，對關鍵控制點加以控制，消除可能出現的風險，將產品的不合格因素控制在生產過程中，消除生產和銷售不安全產品的風險。HACCP體系作為一種動態過程控制體系，在食品安全質量控制中得到了廣泛的應用并取得了良好的效果。
　　AIS（Accounting Information System），即會計信息系統，有狹義和廣義之分。廣義的會計信息系統是一種用來將一個企業或其他實體的有意義的經濟信息傳達給有關部門的信息系統，該會計信息系統即指與會計工作相關的各種因素構成的一個系統的總稱，等同于我們通常所講的會計；狹義的會計信息系統是指在基于信息技術構建的，用于會計信息處理的，由軟件、硬件、人員和制度構成的管理信息系統。兩者的區別在于廣義的將整個會計作為一個信息系統，而狹義的是指處理會計信息的基于信息技術構建的信息系統。不論廣義的還是狹義的會計信息系統，都存在很多的風險，需要加以控制用以保證會計信息的有效性和有用性。HACCP的方法和思想在傳統的會計工作中已經得到一定的應用并確定了良好的效果。而筆者以狹義的會計信息系統（在下文中以AIS表述，廣義的會計信息系統以會計信息系統表示）為研究對象，將HACCP地引入AIS控制中來，進而構建關于AIS的控制模型。
　　AIS作為一種管理信息系統，在開發和應用過程中受到軟件、硬件、人員和制度等各種因素的影響，具有很高的風險性。而會計信息作為企業重要的商業信息具有很高的價值，會計信息的可靠性、及時性、準確性，對企業的經營管理至關重要。正是這兩方面因素的作用，要求我們能夠對AIS的風險進行有效的管理和控制，以保證會計信息質量，為企業的管理活動提供有利的保障，相關的IT治理和IT審計正是基于此目的而產生的，筆者將對基于AIS對企業活動風險的應對措施稱之為AIS控制，這是對AIS所涉及風險的一個降低措施和方法。
　　
　　二、引用HACCP構建AIS控制模型
　　
　　 HACCP是一種主動的、預防性的動態過程控制方法，HACCP從提出到系統大規模的應用到食品安全領域，已經逐漸形成了一套原理和應用指南為主要內容的體系。下面將參照HACCP的基本原理和思想構建適用于AIS的控制模型。
　?。ㄒ唬〩ACCP的基本原理
　　HACCP認為結果風險是由過程導向的，如果能夠將過程誘發風險的因素提前消除，那么結果的風險將降到最低。在過程中風險的誘發因素很多，但是不同的因素所起作用是不同的，某些因素將對結果風險的發生起到重要的作用，而其他因素所起的作用是微乎其微的。
　　可見在HACCP中需首要完成的是對風險和相關誘導因素的識別。只有正確識別結果風險和界定過程誘導因素才能夠進行控制活動，如果對風險和相關誘導因素的識別錯誤將導致HACCP的整體失效。這是HACCP成功實施的基礎和保障，一切后續工作都將圍繞其展開。
　　在對基本的風險和誘導因素識別以后，將根據所涉及結果風險的重要程度和誘導因素的誘導系數，將它們進行歸納整理，根據不同的情況采取不同的控制和消除措施。
　　在完成識別和控制措施以后，還不能消除的風險將重新進行識別，直至風險和誘發因素被降到最低或可接受程度。在整個控制過程中將根據對選擇的重要誘導因素的關鍵控制點進行必要的監控，以實時檢測控制情況，根據控制情況確定該風險是否已經完全控制，后續過程無需控制，還是要補充控制。從而實現的過程的動態控制，實現結果的安全。以下將分析AIS的過程和特點，結合HACCP基本原理構建AIS控制體系。
　?。ǘ〢IS過程分析
　　AIS控制的對象是AIS，AIS風險誘發因素是AIS的相關組成因素，因而對AIS控制過程的分析和整理，實際上是對AIS開發和應用過程的分析和整理。依據軟件工程和信息工程的基本理論將AIS生命周期分為開發實施階段和運行應用階段兩部分。
　　在系統開發實施階段，AIS的過程是一個軟件產品的開發過程，最終目的是提供一個可用性強、安全性高的一個產品，這與食品產品的開發過程十分類似。在這個過程中包括以下幾個步驟：AIS的定位、可行性分析、具體需求分析、系統總體設計、系統詳細設計、系統編碼及單元測試、綜合測試和系統實施等八個步驟。系統定位解決的是關于AIS系統整個環境和需求的一個概要分析。可行性分析主要解決AIS系統在整個過程中可能出現的問題以及問題能否解決，整個AIS的實施是否具有可行性。AIS具體需求分析要搞清楚實現AIS系統需要功能。總體設計重在整體上解決怎么實現目標系統的問題。詳細設計則側重具體怎么實現這個系統。系統編碼及單元測試是對系統的實現過程。系統綜合測試是系統編碼完成以后對系統整體功能測試。系統實施則是在系統開發完成后在應用單位的實施，為應用單位的應用提供保障。具體情況見圖1：
　　
　　在系統運行應用階段， AIS系統運行主要是對會計信息的處理。而根據信息傳遞過程由：信源、編碼、信號、解碼、信宿等五個過程組成，而在AIS系統中主要處理的是編碼、信號、解碼三個過程，即一般認為的數據輸入、數據處理、數據輸出。筆者以此作為AIS中數據傳遞過程。使用AIS以處理會計信息為直接目的，可以將會計信息的傳遞過程作為AIS運行的過程。具體見圖2：
　　
　　綜上，AIS可以作為由兩個相互銜接的過程組成的一個系統。對于AIS來說，在開發實施階段，更多的是對過程的人工控制，而運行應用階段則是自動控制和人工控制相結合。而且第一階段的控制將對第二階段的控制起著決定性的作用，如果第一階段的控制工作完善且有效，將極大的減少第二階段的工作量。
　?。ㄈ嫿ˋIS的控制體系
　　根據HACCP的基本原理，在食品安全控制領域已經建立起了基于HACCP的控制方法。下面將根據AIS的特點和HACCP的基本原理構建AIS的控制體系。
　　1.風險識別：根據AIS的目標和過程，識別可能出現的風險。對這些風險進行分析找到可能的誘發因素。對于AIS常見的風險有信息處理風險、系統故障風險、業務處理風險、技術風險和安全風險等。在不同的會計信息系統中可能這些風險的側重點有所不同但是這都屬于風險的一部分。進行對AIS全生命周期中的兩個階段進行詳細分析。在開發實施階段其主要目的是開發出可用性強、安全性高的AIS系統。這一過程實施的優劣將關系到AIS整個生命周期的成敗。對于該階段分析的AIS的具體情況，找到對該AIS每個階段中，可能存在的風險，對這些可能存在的風險提出應對預案。

　　 2.分析潛在誘導因素：風險是由誘導因素誘發的，當存在誘導因素時就可能存在風險。需要按照系統全過程，根據系統的具體要求進行分析找到誘發因素。比如對于信息處理風險表現為信息的輸入輸出和處理中的錯誤。而這些風險除了輸入系統的原始數據監控重點在運行應用階段，而其他的風險誘導因素都集中在開發實施階段。要在設計系統的時候，遵守相關的法律法規、適應企業的要求。在系統分析的時候要把系統所能提供的基本功能和擴展功能進行詳細的劃分和界定，以保證信息處理的正確性和合規性。
　　 3.確定CCPs：識別誘導因素以后，根據誘導因素引發風險的大小和風險發生的可能性。確定進行風險控制的關鍵控制點。這些關鍵控制點是誘導因素中誘發風險的主要因素。比如信息處理風險中，如果系統分析時沒有考慮合規合法性的問題將導致產生非法數據，這對于AIS來說是絕對不允許的。所以對于AIS設計時，合規合法性的監控就是一個重要的關鍵點。這些關鍵點對于AIS來說是基本相似的。
　　根據風險的誘導因素以后。確定對風險有重大影響的CCPs，并對CCPs提出控制措施，CCPs將分布在AIS不同時期的不同階段上。
　　4.控制CCPs：確定CCPs以后根據不同的CCPs采用合適的方法進行控制，確定能夠通過對這些CCPs的控制，減少誘導因素，降低AIS風險。比如對于合規性關鍵控制點的主要控制在系統設計過程中，是系統的整體設計和數據處理過程合乎相關法律法規的要求。同時關于信息處理風險中的信息要及時且具有準確性，在分析階段實現合規合法以后，在設計階段要實現編碼的優化，以保證信息處理的高效和正確。那么在編碼階段優化編碼就是一個關鍵控制點。對于這個控制點的控制就是對保證數據正確性的情況下。盡量是數據處理更加高效。
　　5.風險降低測試：根據CCPs的控制，確定采取相關的控制活動以后，由于消除了CCPs這一類的關鍵風險誘導因素，是否已經將風險消除或者降低到可接受水平。對于控制措施失效的部分才有其他方法進行控制或者在以后的過程中進行控制，以確保對風險控制的有效性。
　　6.記錄控制信息：把所有的活動，風險、誘導因素、CCPs、風險降低測試和控制行動等信息進行記錄，以供內、外部稽核用，為跟蹤和分析提供依據。
　　
　　7.審核：對風險識別、CCPs確認、控制措施采取和相關工作進行審核。確定這些工作中的執行者和監督者。以及風險識別者和控制實施者不能為同一人。從而保證該方法已采用控制措施和方法的有效性，提高AIS控制水平。類似于信息系統審計。
　?。ㄋ模┙⒒贖ACCP的AIS控制模型
　　根據以上AIS控制體系可以建立基于HACCP的AIS控制模型，見圖3，該模型以HACCP原理為基礎，實現對AIS控制的持續控制，以提高AIS的控制水平，降低企業應用AIS的風險。
　　該模型以HACCP控制體系統為基礎，將會計準則和企業管理要求作為出發點，以企業會計信息要求為導向，結合有效的記錄及保存體系，依據HACCP基本原理的實施流程建立起HACCP體系，實現對AIS的有效控制。并在以上四個要素相互作用的基礎上對HACCP進行持續改進，以實現AIS控制的長期有效性和環境適應性。
　　
　　三、基于HACCP的AIS控制模型應用
　　
　　基于HACCP的AIS模型作為一個動態過程控制體系，根據不同系統采取不同具體措施。其目的是把控制的重點放在對關鍵控制點上，通過對可能誘發風險的關鍵控制點的控制來降低風險。如果認定了存在且必須得到控制的風險而沒有找到CCPs，則該體系應考慮重新設計。
　　下面對該模型的應用進行簡要舉例介紹。圖4所示是該模型實施過程：
　　首先在組建AIS實施小組的同時建立AIS控制實施小組，該小組應該包括AIS分析人員、AIS開發人員、AIS使用人員、AIS審計人員、會計信息使用者、高層管理者。由該小組在AIS全生命周期內對AIS控制進行組織、規劃和領導。該小組的主要任務是進行風險識別、分析誘導因素、確定CCPs、確定CCPs控制措施和進行風險測試。對這些問題進行識別，組織實施。AIS控制小組是AIS控制模型實施成敗的關鍵。在每個AIS控制過程中AIS控制小組的組成都是相似的，要保證在整個AIS各個過程參與者和功能使用者的要求都能夠在這個控制小組內得到體現。在此以零售企業為例，在零售企業中信息及時性要求比較突出。同時由于原始信息來源廣等特點。在這一類企業中要組建至少有會計主管、AIS使用人員、AIS分析開發人員和企業高層在內的AIS小組。
　　建立AIS控制小組以后，該小組要全面參與到AIS定位、可行性分析、具體需求分析、系統總體設計的過程中來，對AIS的目標和設計要求有清晰的認識。特別是AIS定位和可行性分析中，不同于AIS實施小組，AIS控制小組的主要側重點在于系統要求和可能存在的風險以及誘導因素的分析上。這個過程主要就是對完成目標對象的分析。從風險控制的角度對AIS進行全面分析。
　　在對AIS進行全面分析以后，根據企業的要求結合AIS控制模型制定企業實施AIS控制的計劃，該計劃主要包括控制小組的職責和行動指南，及對于控制每一個階段可能遇見問題的處理預案。
　　在控制計劃完成以后，開始進入控制的實施階段。而進行控制的基礎都建立在風險的識別上。識別的過程是相似的，但是具體風險不同的企業有著不同的側重。金融行業可能更側重于及時性和安全性、制造行業可能更側重于系統的使用性和個性化設計、而對于零售行業及時性和準確性可能更重要。
　　在識別了系統的風險以后，要對引起相關風險的潛在因素進行分析，找出關鍵影響因素確定為CPPs，然后根據不同的情況對這些關鍵控制點實施控制。對于零售行業以數據處理的正確性風險為例，對于該風險貫穿于系統的整個生命周期。在開發分析階段，最初在分析設計時就要實施控制，如果企業在銷售過程中不允許賒銷，那么就可以在設計的過程中不允許系統處理賒銷的現象，這樣可以保證這類錯誤數據產生?？梢娫O計分析階段對于數據的需求分析和處理設計應該作為一個CCP進行控制。在運行應用階段，對于經營商品信息的分析可以找到一些規律性、經常性的數據，對于這類數據進行分析。在系統設計的過程中，對于不符合條件的異常數據進行報警處理，設計異常數據處理模塊。在應用中將異常數據作為一個CCP，可以在實際操作過程中，對異常數據進行二次確認或者重點審核。從而將錯誤數據進入系統的可能性降低在可控的水平。從而為信息處理的正確性提供保證，降低和控制數據處理風險。
　　
　　在確定了系統風險伴隨著系統開發的過程，對需要有系統提供控制手段的控制方法。在系統開發過程中融入到系統中，作為一個獨立的模塊或者集成在處理那部分功能中，對于異常數據的確認，系統設計是根據實際情況設計默認數據，在系統應用過程中，按照一定的方法根據情況進行及時修改。對于人工控制則依靠制度設計。在異常數據處理中就可以設置專門的處理異常數據的權限。
　　在采取各種控制措施以后，檢查此時系統風險是否已經降低或者徹底消除。如果沒有則重新確認和分析系統目標，根據實際情況降低系統對風險控制的要求或者加強控制。是AIS風險控制在可接受的水平。例如異常數據處理要求不高可以不設計，這樣可以減少開發的工作量，也可以減少使用過程中的操作程序和系統負擔。但是如果企業在這方面有很強的要求就可以多設置一些異常數據的處理點。
　　在整個實施的過程中，要對實施的情況進行詳細的記錄。比如對于數據處理風險企業要求的控制程度、對于該風險的潛在誘導因素、確認為CCP的誘導因素、對CCPs的控制措施、控制效果、控制的實施者等都要做好詳細的記錄。對于這些記錄和實施的效果要進行經常性的審核，確定實施控制的效果、必要性和改進措施，比如異常數據的處理，如果經過一段時間的運行，系統中異常數據幾率企業可以接受，就可以取消異常數據監控模塊。通過這種審核工作使得AIS更加安全和適用。
　　
　　四、總結
　　
　　以上從HACCP體系基本原理和AIS控制過程為出發點，建立了基于HACCP的AIS控制模型，將HACCP的方法和原理引入到AIS控制中來，對于提高AIS的控制水平，降低AIS存在的風險具有重要意義。將一種成功的方法引入到亟待解決的問題中，具有重要的理論價值，但理論價值是否能夠接受實踐的檢驗，有待在實際問題中得到檢驗。只有經過實踐檢驗并產生實踐價值的理論才具有真正的理論價值。應該在不斷發展和完善HACCP模型的基礎上，將HACCP應用到實際工作中來，用實踐應用的成功與否檢驗方法的可行性，以期解決現實的問題。
　　
　　【參考文獻】
　?。?］ 常仁亮.HACCP體系及其應用指南［J］.海洋漁業，1999（2）.
　?。?］ 朱會軍，丁元文.過程方法在HACCP體系中的應用介紹［J］.肉類研究，2006（1）.
　?。?］ Sidney Davidson， Roman L. Weil，Handbook of Modern Accounting［M］.McGraw-Hill Companies，1983.
　?。?］ （美）赫特等.會計信息系統：基本概念和當前問題［M］.東北財經大學出版社，2009.
　?。?］ 何曄.現代會計信息系統風險管理淺析［J］.商場現代化，2007（17）.

轉載注明來源:http://www.hailuomaifang.com/3/view-768187.htm