信息化環境下企業內部控制系統的優化

摘 要 會計信息化環境下的企業內部控制是針對企業經營管理活動實施實時動態的監督控制過程，對企業來說極其重要。本文通過描述信息化環境中內部控制系統如何實施，和以往相比有什么不同的地方，以及這些不同而導致的問題，提出優化策略。關鍵詞 內部控制系統 信息化 優化策略 內部審計中圖分類號：F270.7

文獻標識碼：A一、內部控制概述

內部控制，是指一個單位為了實現其經營目標，保護資產的安全完整，保證會計信息資料的正確可靠，確保經營方針的貫徹執行，保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。內部控制包括控制環境、風險評估、控制活動、信息與溝通、監控等五個相互聯系的要素。

企業的內部控制體系主要可以分為事前防范，事中控制和事后監督三個環節。 內部控制包括五大目標：合理保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。二、信息化環境對企業內部控制造成的影響

企業實施會計信息化的過程也是一個業務流程再造的過程，為企業帶來一種無紙化、無場所化的新興管理模式。會計信息化給企業內部控制帶來的新變化，卻也同時加大了企業內部控制風險，降低了企業內部控制的效能。

（一）加大了系統的控制風險。

業務記錄環節存在安全隱患。在信息技術環境下，會計人員只需錄入原始的數據，其他程序由計算機完成，各項業務記錄被存儲于數據庫和操作日志中，業務記錄的載體由紙質轉變為磁質，紙質的交易軌跡不復存在，網絡開放性、數據共享性使得對數據的修改或刪除變得更加容易，導致操作員對交易軌跡負責的法律效力被減弱，使得事后的內部稽核和內部審計控制難以發現必要的線索，使得數據的安全性問題成為內部控制中一個非常重要的問題。

系統的授權批準環節存在安全隱患。傳統的會計操作系統，企業內部會計控制主要是內部牽制，通過設置相互制約的會計崗位、對會計業務的多重反映進行相互稽核牽制，設置一系列相互聯系的授權批準程序，其授權的每個環節都有相應人員的簽名或印章。但信息化系統下權限分工的主要形式是口令授權，口令存放于計算機系統內，易被竊取且不易被發現，這將給企業帶來巨大的風險和損失。

信息系統存在安全隱患。會計信息化的應用使大量的會計信息置身于開放的網絡中，計算機病毒感染、黑客入侵、使用人員違規操作都可能使會計信息面臨被截取、篡改、泄漏的安全風險，也會造成計算機系統故障或信息系統崩潰。

（二）企業內部控制效能降低。

由于信息系統操作的無形化致使數據的輸入、輸出與處理均處于信息系統的自動控制狀態，大大減少了人工干預的機會，也在一定程度上降低了企業內部控制的效能。

1、管理控制方面。由于會計系統信息化后功能的集中，導致職責的集中，職責分離執行不力，無法避免執行人員的串通舞弊現象，使越權操作成為可能，如果高層管理人員違規操作，那么再嚴密的內部控制也不能產生應有的效果，加大了出現錯誤和舞弊的風險。

2、系統控制方面。會計信息系統很難在不同制造商的會計系統和其他管理系統上實現完全的數據共享，且不同品牌的財務軟件沒有統一的數據接口，會計信息系統間缺乏兼容性，系統內部銜接性差，在內部會計控制上做法不一致，很難在不同系統上實現數據共享。財務軟件缺乏必要的審計接口， 很難為企業內外部審計保留和提供充分的審計線索，影響了會計信息化系統內部控制發揮應有的作用。

3、內部監督方面。企業內部監督包括內部稽核、內部審計、授權審批控制、財產保全控制等多方面的內容，會計信息化的實現也要求內部監督更加全面和完善，如定期稽核會計信息、審核賬務處理的合法合規性、監督企業內部授權審批制度和財產保全控制的執行情況等，但會計信息化下企業內部控制很少考慮審計工作的需要，加大了稽核與審計的難度。三、信息化環境下企業內部控制系統的優化策略

會計信息化系統的內部控制是企業經營管理的重要環節，提高會計信息化下企業內部控制的科學管理水平是建立現代企業制度的內在要求，也是提高企業競爭能力的重要途徑。

（一）優化企業內部控制環境。

制定企業內部操作管理制度。企業應制定并嚴格執行企業內部控制管理制度， 加強會計數據的輸入及輸出管理、信息處理管理、信息化會計檔案管理。企業應加強對輸入、輸出數據的控制，在程序內設置多道審核，對業務的不同層面分別進行審核，嚴格控制和檢驗會計信息的錄入過程，力求在取得原始信息的同時，有效控制信息傳遞損耗和人為操作錯漏；對不同崗位人員規定不同的輸出權限，以保證輸出信息的正確、可靠、保密。對一切數據的處理方法和過程都必須規范化，會計信息化技術的引入使管理幅度增大、層次減少，企業必須進行組織結構調整，建立恰當的組織機構和職責分工制度，并通過部門設置、人員分工、崗位職責的制定、權限的劃分等形式控制對信息的處理過程，防止非法或越權操作，保障會計信息的真實、完整，如會計部門負責記錄業務的職能便不可再兼具執行業務、保管資產等職能。為了保證會計信息質量，企業應制定上機守則與操作規程和注意事項，操作人員必須嚴格遵守上機守則與操作規程，建立操作日志制度，對所有操作留有記錄，對已記賬和已結賬業務不可修改或逆操作程序，要修改必須通過編制記賬憑證沖正或補充登記來更正。會計信息系統各種檔案均應安排專人管理，通過定期檢查和備份系統運行過程中生成的各種賬簿、報表、憑證，定期對磁性介質進行防磁和防病毒工作，防止由于存儲介質的損壞使會計信息泄漏或丟失。企業還應對輸出的磁介質的會計資料及時貼上外部標簽，以便調用、更新和檢索，以便業務人員或審計人員查詢或跟蹤檢查。企業應加強對授權審批活動的控制，如可從業務范圍出發，將整個網絡信息系統分級管理，層層負責，對各種數據的讀、寫、修改權限進行嚴格限制；通過密碼設置和分組管理，各項業務的授權、執行、記錄以及資產保管等只能授予不同崗位的用戶，每一用戶按照自己的用戶身份和密碼進入系統，以強化內部牽制。企業應建立完善的上機操作規范，實施多級口令控制，定期更換密碼，防止數據被篡改。企業應采用三層式客戶機/服務器模式組建企業內部網，利用中間代理服務器隔離客戶與數據庫服務器的聯系，從而保證數據的一致性；應在系統與互聯網之間安裝防火墻，系統內部安裝防病毒軟件，以阻止外界病毒及“黑客”的入侵，保障系統的安全運行；應通過設置外部訪問區域，實現企業應用系統與外界的隔離。

（二）利用信息化技術優化會計信息系統。

企業應當根據發展戰略和業務需要進行信息系統建設，首先要確立系統建設目標，根據目標進行系統建設戰略規劃，再將規劃細化為項目建設方案。企業開展信息系統建設，可以根據實際情況，采取自行開發、外購調試或業務外包等方式。選擇外購調試或業務外包方式的，應當采用公開招標等形式擇優選擇供應商或開發單位。選擇自行開發信息系統的，信息系統歸口管理部門應當組織企業內部相關業務部門進行需求分析，合理配置人員，明確系統設計、編程、安裝調試、驗收、上線等全過程的管理要求。企業信息系統歸口管理部門應當加強信息系統開發全過程的跟蹤管理，增進開發單位與企業內部業務部門的日常溝通和協調，組織獨立于開發單位的專業機構對開發完成的信息系統進行檢查驗收，并組織系統上線運行。

企業必須制定信息系統開發的戰略規劃和中長期發展計劃，并在每年制定經營計劃的同時制定年度信息系統建設計劃，促進經營管理活動與信息系統的協調統一。第二，企業在制定信息化戰略過程中，要充分調動和發揮信息系統歸口管理部門與業務部門的積極性，使各部門廣泛參與，充分溝通，提高戰略規劃的科學性、前瞻性和適應性。第三，信息系統戰略規劃要與企業的組織架構、業務范圍、地域分布、技術能力等相匹配，避免相互脫節。

系統設計負責部門應當就總體設計方案與業務部門進行溝通和討論，說明方案對用戶需求的覆蓋情況；存在備選方案的，應當詳細說明各方案在成本、建設時間和用戶需求響應上的差異；信息系統歸口管理部門和業務部門應當對選定的設計方案予以書面確認。在系統設計時應當充分考慮信息系統建成后的控制環境，將生產經營管理業務流程、關鍵控制點和處理規程嵌入系統程序，實現手工環境下難以實現的控制功能，例如：對于某一財務軟件，當輸入支出憑證時，可以讓計算機自動檢查銀行存款余額，防止透支。應充分考慮信息系統環境下的新的控制風險，比如要通過信息系統中的權限管理功能控制用戶的操作權限，避免將不相容職務的處理權限授予同一用戶。應當針對不同的數據輸入方式，強化對進入系統數據的檢查和校驗功能。比如，憑證的自動平衡校對。系統設計時應當考慮在信息系統中設置操作日志功能，確保操作的可審計性。對異常的或者違背內部控制要求的交易和數據，應當設計由系統自動報告并設置跟蹤處理機制。并且要預留必要的后臺操作通道，對于必需的后臺操作，應當加強管理，建立規范的操作流程，確保足夠的日志記錄，保證對后臺操作的可監控性。

（三）加強內部審計。

重新定位內部審計，為內部審計的有效進行創建良好的環境。企業領導要加強對內部審計的認識，擺正內部審計的位置，為審計人員創造良好的內部審計環境。從某種意義上講， 內部審計人員實際上就是站在企業第一線捍衛企業制度，并與違反制度的部門和人員進行斗爭的衛士，是為企業經營管理者分憂。因此，企業經營管理者不僅要自律，切實履行法律賦予的職責，以身作則，帶頭執法，更應該始終如一地支持內部審計人員審計工作，重視內部審計人員的工作成果，在單位內部為審計人員實行有內部審計創造一個良好的工作環境。

設立內部審計部門定期或不定期地對企業的會計信息系統進行審計。會計信息化的應用給內部審計提出了更高的要求。內部審計應包括：檢查對信息化環境下制定的各項控制制度是否做到有效執行;審查機內數據與書面資料的一致性，如查看賬冊內容，做到賬表相符，對不妥或錯誤的賬表處理應及時調整;監督數據保存方式的安全性、合法性，防止發生非法修改歷史數據的現象;對系統運行個環節進行審查，防止存在漏洞。□參考文獻：[1]葉小玲.基于風險管理的ERP內部會計實時控制.財會通訊.2009（16）[2]宋潔.基于ERP的企業內部控制優化.財會通訊.2009（14）[3]陳志斌.信息化生態環境下企業內部控制框架研究.會計研究.2007（01）[4]章鐵生.信息技術條件下的內部控制規范：國際實踐與啟示.會計研究.2007（07）[5]楊雄勝.內部控制理論面臨的困境以及出路.會計研究.2006（02）[6]陳默、涂友余、梅磊.會計信息化對企業內部控制的影響及對策.財會通訊.2006（11）