基于會計信息化環境的內部控制探討

重慶理工大學 毛華揚 衛亞杰

一、內部控制與會計信息化

內部控制是一種管理體系，是企業進行有效管理的重要手段，具有權威性的COSO報告對內部控制的定義是：內部控制是企業董事會、經理階層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。其構成要素應該來源于管理階層經營企業的方式、并與管理的過程相結合。為了實現內部控制的有效性，需要控制環境、風險評估、控制活動、信息和溝通、監督五個要素的支持。

會計信息化就是利用現代信息技術(計算機、網絡和通訊等)對傳統會計模式進行重構，并在重構的現代會計模式上通過深化開發和廣泛利用會計信息資源，建立技術與會計高度融合的、開放的現代會計信息系統，以提高會計信息在優化資源配置中的有用性，促進經濟發展和社會進步的過程。

會計信息化從1979年開始在我國推行以來到現在已有30多年之久，如今已在我國得到了廣泛應用，會計信息化過程勢必會影響企業的業務流程，給企業內部控制帶來新的問題。因此，進一步完善會計信息化環境下的內部控制勢在必行。

二、會計信息化對內部控制的影響

會計信息化環境下內部控制呈現出了新的特點：一是控制方式雙重性。內部控制方式由原來的制度控制轉變為制度控制和程序軟件的雙重控制；二是控制范圍擴大，控制程序更加復雜。會計信息系統建立和運行的復雜性，給會計工作增加了新的工作內容，如系統權限控制、口令管理程序控制、修改程序控制及網絡系統安全控制等；三是控制重點發生轉移。會計電算化實現后，數據的處理、存儲集中于系統職能部門，會計信息的處理由手工方式轉為計算機處理方式，因此，內部控制的重點轉移為以職能部門和計算機數據處理部門控制。

會計信息化對內部控制的影響是毋庸置疑的，要實現會計信息化環境下內部控制的有效性，需要從構成內部控制過程的控制環境、風險評估、控制活動、信息與溝通和監督五要素全面地分析會計信息化新環境對內部控制的影響。

控制環境更加復雜。控制環境是指職員履行其控制職責、開展業務活動所處的環境，包括職員的品性（如操守、價值觀和勝任能力）和經營環境，它是推動企業發展的動力。信息技術的廣泛應用，使得企業組織結構趨向扁平化成為可能。組織結構扁平化也存在不足，它降低了企業的集權性和規范性，削弱組織的穩定性等。會計人員結構變為由會計人員和計算機操作員、網絡系統維護員等組成。這些都增加了企業管理的復雜性。

風險評估難度加大。風險評估是指對影響作業目標實現的相關風險的辨認和分析。會計信息化過程中，企業原有的業務流程發生了很大改變，會計信息系統在組織內的范圍和重要性日益增加，信息成為重要資源。會計信息化下業務記錄和授權環節存在安全隱患，信息系統本身也存在不安全因素。風險評估除了包括傳統的評估對象外，還要對信息系統的可靠性和安全性進行評估，這些工作還需要不同專業背景的人員協作才能完成，并且對信息系統風險很難進行定量分析，這增加了風險評估的難度和復雜度。

控制活動存在缺陷。控制活動是指企業制定并予以執行的程序，以幫助確保其用于處理影響目標實現的風險管理人員指令得到落實。會計系統信息化后功能集中，導致職責分離執行不力，不能很好地避免執行人員串通舞弊現象，使越權操縱成為可能。

信息溝通不暢。信息與溝通是指以一定形式和時間結構辨認、獲得的，為企業員工在執行、管理和控制作業過程所需的信息，以及信息的交換和傳遞。據統計，會計信息系統應用中存在的最大問題就是“信息孤島”問題。當前國內財務軟件眾多，且自成體系，不同的會計信息系統間缺乏兼容性，很難在不同的系統上實現數據共享，系統內部銜接性也比較差。

內部監督不完善。監督是指評估內部控制運作質量的過程，包括持續監控和個別評估。企業內部監督包括內部稽核、內部審計、授權審批控制、財產保全控制等多方面的內容，會計信息化的實現也要求內部監督更加全面和完善，如定期稽核會計信息、審核賬務處理的合法合規性、監督企業內部授權審批制度和財產保全控制的執行情況等，但會計信息化下企業內部控制很少考慮審計工作的需要，財務軟件缺乏必要的審計接口，很難為企業內外部審計保留和提供充分的審計線索，影響了會計信息化系統內部控制發揮應有的作用，加大了稽核與審計的難度。

三、會計信息化環境下內部控制完善對策

COSO報告認為內部控制系統包括五個組成要素：控制環境、風險評估，控制活動、信息與溝通、監控。其中風險評估和信息與溝通是傳統內控理論所沒有的，對控制環境的重要性的強調也是前所未有的。在前面分析了會計信息化環境下內部控制在這五方面存在的問題的基礎上提出以下對策。

第一，完善內部控制環境。控制環境包括組織實行內部控制的各種影響因素，其中包括員工的充實和職業道德、人員勝任能力、管理哲學和經營作風、董事會及審計委員會、組織機構、職權劃分、人力資源政策及執行。

加強企業的組織控制。信息技術的引入使企業的組織結構逐漸趨于扁平，因此，必須進行組織結構調整才能更好地進行內部控制。企業應通過組織結構調整，建立恰當的組織機構和職責分工制度，并通過部門設置、人員分工、崗位職責的制定、權限的劃分等形式進行控制，從而達到相互牽制、相互制約、防止或減少舞弊發生的目的。應設立會計崗位和系統管理崗位，崗位的設置應遵循不相容職務分離的原則，使不同崗位之間相互監督，相互制約，以達到控制的目的。

關注員工的培養和教育，創造內部控制良好氛圍。內部控制是受人的因素影響，重視人才的選擇和培養，是內部控制建設中的重要內容。首先應加強員工的誠實守信和電算化培訓教育，樹立良好的職業道德，提高業務素質；其次，培養管理人員的內部控制觀念和信息觀念。隨著會計信息技術的引入，管理人員必須理解信息化建設、內部控制和企業發展的關系，有效實施內部控制制度；再次加強內部考核力度，以此促使會計人員對內部控制的執行。

第二，進行全面的風險評估和風險分析。由前面的分析可以看出，會計信息化后，由于會計信息系統自身的特點，增加了會計工作的風險，要保證會計信息系統的有效運行，就要進行全面的風險評估和風險分析。

風險評估方法和工具。風險評估可以采用傳統的風險評估方法，也可以采用基于神經網絡和專家系統的評估方法或者運用層次分析方法進行風險評估。通過這些方法可以獲得影響會計信息系統安全的各種攻擊方式的權重，了解到影響系統安全的各個因素,針對各種攻擊方式的權重有針對性地擬定相應的防護措施,從而達到有效地維護系統安全的目的。信息系統將接受評估工具的檢測和調查,評估工具的好壞直接影響到評估的效果，要選擇比較好的評估工具。被評估的對象包括網絡架構、應用系統、運行與安全管理、人員、安全策略等，評估的結果將反映信息系統在各個方面的威脅和脆弱性。

評估信息智能化處理階段。需要對評估工具所得出的原始評估數據進行深入挖掘,一方面,這些數據復雜、多樣,而且會不斷增加,因此需要按照統一的標準進行管理；另一方面,這些數據內在的聯系需要通過數據挖掘進行歸納分析和綜合分析。

第三，完善控制活動。針對風險評估的結果，制定相應的控制活動，包括管理類控制措施，如安全管理、職責分離、授權審批、信息化會計檔案管理等，以及系統類管理措施，如數據備份、數據加密、權限管理、防病毒等。

建立必要的內部控制和管理制度。禁止非電腦人員操作財務專用電腦、設置操作權限控制、操作人員身份的密碼控制等，防止內部會計人員的惡意行為及工作人員的無意行為造成的會計信息的不安全性，從源頭上阻止系統安全問題的發生。

第四，加強信息溝通。一是建立相應的信息和溝通機制。企業領導層的政策方針要及時下達給企業員工，同時企業員工要將發現的問題及時反饋給上級部門。會計信息系統主要是記錄、處理、存儲、歸納和交流信息，所有交易必須在系統中留下審計線索，為內部控制提供保證。二是建立會計核算軟件數據接口標準，解決“信息孤島”問題。只要符合會計數據接口標準，實現會計信息化的單位就很容易將歷年會計數據導出，建立數據倉庫。這不僅可以使不同的會計信息系統間具有兼容性，有利于企業財務數據的集中管理，實現數據共享，而且有利于降低政府和行業主管部門監管成本、提高監管質量。

第五，加強企業內部監督。對內部控制實施過程必須進行恰當的監督檢查，其中內部審計是監督檢查最常用的方法。在會計信息化環境下，由于是“人機”對話的特殊形態,因而對內部審計提出了更高、更嚴格的要求。內部審計除了傳統環境下審計的范圍外，還必須包括以下幾個方面：檢查對信息化環境下制定的各項控制制度是否做到有效執行；對會計資料進行審計，檢查會計信息化系統賬務處理是否正確；監督數據保存方式的安全、合法性，防止發生非法修改歷史數據的現象；對信息系統進行全面的、系統的、獨立的檢測，防止存在漏洞，確保系統安全運行。

［1］譚志剛：《企業信息化環境下內部控制的思考》，《財會通訊》2004年第2期。