芻議IT環(huán)境下我國(guó)企業(yè)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制問(wèn)題

[摘 要] 企業(yè)內(nèi)部控制是企業(yè)進(jìn)行有效經(jīng)營(yíng)和管理的基礎(chǔ)，是實(shí)現(xiàn)維護(hù)資產(chǎn)和資源安全完整，保證會(huì)計(jì)信息的安全、完整、真實(shí)、可靠的必要手段。與此同時(shí)，信息技術(shù)應(yīng)用的復(fù)雜性也帶來(lái)了與以往不同的風(fēng)險(xiǎn)。傳統(tǒng)的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制已經(jīng)不能適應(yīng)信息技術(shù)環(huán)境中的企業(yè)管理工作，迫切需要建立健全會(huì)計(jì)信息系統(tǒng)內(nèi)部控制，以滿足對(duì)企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的特殊要求。本文根據(jù)當(dāng)前社會(huì)企業(yè)內(nèi)部控制的基本規(guī)范，從企業(yè)內(nèi)部控制的五要素出發(fā)，探討IT環(huán)境下企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制問(wèn)題， 并有針對(duì)性地提出若干政策建議。

[關(guān)鍵詞] 會(huì)計(jì)信息系統(tǒng)；內(nèi)部控制；問(wèn)題；對(duì)策

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 21. 017

[中圖分類號(hào)] F232；F233 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 1673 - 0194（2013）21- 0027- 03

2008 年5 月，財(cái)政部頒布了《企業(yè)內(nèi)部控制基本規(guī)范》，這使我國(guó)企業(yè)內(nèi)部控制規(guī)范上了一個(gè)新的臺(tái)階，此次的內(nèi)控規(guī)范，增加了基于信息技術(shù)系統(tǒng)的內(nèi)部控制政策與程序，強(qiáng)調(diào)了信息系統(tǒng)安全性。為了加強(qiáng)和規(guī)范企業(yè)內(nèi)部控制，提高企業(yè)經(jīng)營(yíng)管理水平和風(fēng)險(xiǎn)防范能力，促進(jìn)企業(yè)可持續(xù)發(fā)展，維護(hù)社會(huì)主義市場(chǎng)經(jīng)濟(jì)秩序和社會(huì)公眾利益，2009 年1 月，國(guó)家財(cái)政部《關(guān)于推進(jìn)我國(guó)會(huì)計(jì)信息化工作的指導(dǎo)意見(jiàn)》中提出，要積極推動(dòng)會(huì)計(jì)信息系統(tǒng)與管理信息系統(tǒng)的有效集成，著力將會(huì)計(jì)準(zhǔn)則和內(nèi)部控制標(biāo)準(zhǔn)固化在信息系統(tǒng)中，力爭(zhēng)將會(huì)計(jì)師事務(wù)所內(nèi)部控制制度固化在管理信息系統(tǒng)中。在《中國(guó)內(nèi)部審計(jì)具體準(zhǔn)則第28 號(hào)——信息系統(tǒng)審計(jì)》中指出：信息技術(shù)內(nèi)部控制的各個(gè)層面都包括人工控制、自動(dòng)控制和人工、自動(dòng)相結(jié)合的控制形式，審計(jì)人員應(yīng)根據(jù)不同的控制形式采取恰當(dāng)?shù)膶徲?jì)程序。該準(zhǔn)則基于內(nèi)部控制的五要素，從被審計(jì)單位的內(nèi)部環(huán)境、風(fēng)險(xiǎn)評(píng)估過(guò)程、信息與溝通、控制活動(dòng)、對(duì)內(nèi)部監(jiān)督5個(gè)方面來(lái)討論會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制問(wèn)題。

1 會(huì)計(jì)信息系統(tǒng)內(nèi)部控制概述

1.1 會(huì)計(jì)信息系統(tǒng)的含義

信息系統(tǒng)是一系列相互關(guān)聯(lián)的可以收集（輸入）、操作和存儲(chǔ)（處理）、傳播（輸出）數(shù)據(jù)和信息，并提供反饋機(jī)制以實(shí)現(xiàn)目標(biāo)的元素或組成部分的集合。隨著計(jì)算機(jī)技術(shù)、網(wǎng)絡(luò)技術(shù)與通信技術(shù)的不斷發(fā)展，信息系統(tǒng)也獲得了迅速發(fā)展，目前主要有以下幾種類型：數(shù)據(jù)處理系統(tǒng)、管理信息系統(tǒng)、決策支持系統(tǒng)和專家系統(tǒng)。會(huì)計(jì)信息系統(tǒng)是管理信息系統(tǒng)的一個(gè)重要分支，它是利用信息技術(shù)對(duì)會(huì)計(jì)信息進(jìn)行采集、存儲(chǔ)、處理和傳遞，完成會(huì)計(jì)核算任務(wù)，并能提供進(jìn)行會(huì)計(jì)管理、分析、決策所需的輔助信息的人機(jī)系統(tǒng)。

1.2 會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制

會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制將組織控制、手工內(nèi)部控制和計(jì)算機(jī)內(nèi)部控制結(jié)合起來(lái)，實(shí)現(xiàn)全面控制。它隨著會(huì)計(jì)信息系統(tǒng)工作環(huán)境變化而變化，通過(guò)實(shí)施特定措施和機(jī)制保證會(huì)計(jì)信息系統(tǒng)產(chǎn)品質(zhì)量，并在此基礎(chǔ)上提高企業(yè)經(jīng)營(yíng)效率。各級(jí)管理部門為了保護(hù)國(guó)家和企業(yè)的財(cái)產(chǎn)完整與安全，確保會(huì)計(jì)及其他數(shù)據(jù)的可靠，保證國(guó)家及企業(yè)所制定的各項(xiàng)方針政策的貫徹與執(zhí)行，以及查錯(cuò)防弊，加強(qiáng)管理，提高經(jīng)濟(jì)效益所采取的一切制度、方針、措施和管理程序。在會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制中，企業(yè)通過(guò)控制所需要解決的問(wèn)題和所要達(dá)到的目的進(jìn)行分析。其內(nèi)容包括確保系統(tǒng)的合規(guī)合法，保證會(huì)計(jì)數(shù)據(jù)的正確無(wú)誤，保證系統(tǒng)安全可靠，提高系統(tǒng)運(yùn)行的效率性，提高系統(tǒng)的可維護(hù)性，增強(qiáng)系統(tǒng)的可審性。由此可見(jiàn)，會(huì)計(jì)信息系統(tǒng)和內(nèi)部控制存在著相互影響、相互制約的關(guān)系。

2 企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制存在的問(wèn)題

2.1 缺乏對(duì)內(nèi)部環(huán)境的管理

內(nèi)部環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱，是實(shí)施內(nèi)部控制的基礎(chǔ)。內(nèi)部環(huán)境在企業(yè)IT領(lǐng)域中體現(xiàn)為IT 的內(nèi)部控制環(huán)境，雖然企業(yè)的整體目標(biāo)沒(méi)有改變，但是在IT環(huán)境下會(huì)計(jì)信息系統(tǒng)的實(shí)施存在著相應(yīng)的組織管理等問(wèn)題，其主要表現(xiàn)在以下兩個(gè)方面。

（1）崗位職責(zé)分工界限模糊。不相容職能分離與相應(yīng)職責(zé)分工是手工會(huì)計(jì)內(nèi)部控制的基礎(chǔ)，而在會(huì)計(jì)信息化環(huán)境中，由于會(huì)計(jì)軟件的功能集中，導(dǎo)致職責(zé)的集中，在某些管理不規(guī)范的企業(yè)，一些會(huì)計(jì)人員身兼數(shù)職，比如有的會(huì)計(jì)人員既從事數(shù)據(jù)輸入處理又負(fù)責(zé)數(shù)據(jù)輸出報(bào)送，這樣就會(huì)造成未經(jīng)批準(zhǔn)擅自對(duì)程序與數(shù)據(jù)庫(kù)進(jìn)行修改和操作等舞弊行為。

（2）數(shù)據(jù)的采集與輸出缺乏監(jiān)控。會(huì)計(jì)信息化數(shù)據(jù)雖然要求有原始單據(jù)才可以輸入，但是缺乏可靠信息的記錄或未經(jīng)確認(rèn)的數(shù)據(jù)也有可能被輸入，數(shù)據(jù)采集的不謹(jǐn)慎必然導(dǎo)致處理結(jié)果缺乏可信度。會(huì)計(jì)數(shù)據(jù)存儲(chǔ)在磁性介質(zhì)上，數(shù)據(jù)刪改容易且一般不留痕跡，程序與數(shù)據(jù)都保存在計(jì)算機(jī)中，在監(jiān)控不力的情況下很容易產(chǎn)生舞弊行為。這就需要加大對(duì)于企業(yè)內(nèi)部環(huán)境的管理力度。

2.2 風(fēng)險(xiǎn)評(píng)估的范圍擴(kuò)大

風(fēng)險(xiǎn)評(píng)估是及時(shí)識(shí)別、科學(xué)分析和評(píng)價(jià)影響企業(yè)內(nèi)部控制目標(biāo)實(shí)現(xiàn)的各種不確定因素并采取應(yīng)對(duì)策略的過(guò)程，是實(shí)施內(nèi)部控制的重要環(huán)節(jié)，也是內(nèi)部控制整體框架的獨(dú)特之處。在IT環(huán)境下，雖然企業(yè)的整體目標(biāo)沒(méi)有改變，但是經(jīng)濟(jì)、產(chǎn)業(yè)及管理的外部環(huán)境與內(nèi)部因素都發(fā)生了變化。系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性，使系統(tǒng)從以往封閉集中狀態(tài)走向開放，給會(huì)計(jì)信息系統(tǒng)帶來(lái)了風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)構(gòu)成了內(nèi)部控制的新內(nèi)容，擴(kuò)大了會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的范圍，例如，會(huì)計(jì)人員的職責(zé)過(guò)度集中而計(jì)算機(jī)犯罪又具有很大的隱蔽性和危害性，所以發(fā)現(xiàn)計(jì)算機(jī)舞弊和犯罪的難度就更大，給企業(yè)造成的危害和損失也在擴(kuò)大。此外，會(huì)計(jì)信息化使得數(shù)據(jù)高度集中，未經(jīng)授權(quán)的人員有可能通過(guò)計(jì)算機(jī)和網(wǎng)絡(luò)下載、復(fù)制、偽造、銷毀企業(yè)重要的數(shù)據(jù)；計(jì)算機(jī)病毒感染、黑客入侵、使用人員違規(guī)操作也會(huì)造成計(jì)算機(jī)系統(tǒng)故障或信息系統(tǒng)崩潰等，都相應(yīng)地給企業(yè)帶來(lái)了不同程度的風(fēng)險(xiǎn)。

2.3 會(huì)計(jì)信息系統(tǒng)的應(yīng)用增加企業(yè)內(nèi)部會(huì)計(jì)控制的難度

IT 環(huán)境下會(huì)計(jì)信息系統(tǒng)控制的重點(diǎn)由對(duì)人的控制轉(zhuǎn)變?yōu)閷?duì)人、機(jī)共同控制，控制程序與計(jì)算機(jī)處理相互協(xié)調(diào)適應(yīng)。隨著計(jì)算機(jī)使用范圍的擴(kuò)大，利用計(jì)算機(jī)進(jìn)行貪污、舞弊、詐騙等犯罪活動(dòng)有所增加，如儲(chǔ)存在計(jì)算機(jī)磁性媒介上的數(shù)據(jù)容易被篡改，數(shù)據(jù)庫(kù)中數(shù)據(jù)高度集中，未經(jīng)授權(quán)的人員有可能通過(guò)計(jì)算機(jī)和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件，復(fù)制、偽造、銷毀企業(yè)重要的數(shù)據(jù)，增加了IT 環(huán)境下內(nèi)部控制的難度與復(fù)雜性。

2.4 企業(yè)信息與溝通的難度加大

信息與溝通是及時(shí)、準(zhǔn)確、完整地收集與企業(yè)經(jīng)營(yíng)管理相關(guān)的各種信息，并使這些信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級(jí)之間進(jìn)行及時(shí)傳遞、有效溝通和正確應(yīng)用的過(guò)程，是實(shí)施內(nèi)部控制的重要條件。會(huì)計(jì)信息系統(tǒng)作為企業(yè)管理的一個(gè)子系統(tǒng)，與其他管理系統(tǒng)有緊密的聯(lián)系，會(huì)計(jì)信息系統(tǒng)從其他管理信息子系統(tǒng)和系統(tǒng)外界獲取信息，也將處理結(jié)果提供給有關(guān)系統(tǒng)，使得系統(tǒng)外部接口較復(fù)雜。同時(shí)因計(jì)算機(jī)不具有人所特有的職業(yè)判斷能力，使得企業(yè)在IT環(huán)境下信息與溝通難度加大。

2.5 缺乏有效的內(nèi)部監(jiān)督和管理

內(nèi)部監(jiān)督是企業(yè)對(duì)其內(nèi)部控制的健全性、合理性和有效性進(jìn)行監(jiān)督檢查與評(píng)估，形成書面報(bào)告并做出相應(yīng)處理的過(guò)程，是實(shí)施內(nèi)部控制的重要保證。在IT環(huán)境下，一些內(nèi)部控制被計(jì)算機(jī)程序化，并嵌入計(jì)算機(jī)應(yīng)用系統(tǒng)內(nèi)，因此內(nèi)部控制具有人工控制與程序控制相結(jié)合的特點(diǎn)，這些程序化內(nèi)部控制的有效性取決于應(yīng)用程序，如果程序發(fā)生差錯(cuò)或不起作用，依賴程序的思想和程序的重復(fù)操作會(huì)使得錯(cuò)誤擴(kuò)大化，使得失效控制長(zhǎng)期不被發(fā)現(xiàn)，從而使系統(tǒng)在特定方面發(fā)生錯(cuò)誤或違規(guī)行為的可能性較大，所以，在會(huì)計(jì)信息系統(tǒng)下更應(yīng)注意對(duì)內(nèi)部控制的監(jiān)督，由適當(dāng)?shù)娜藛T在適當(dāng)?shù)臅r(shí)候及時(shí)評(píng)估內(nèi)部控制的設(shè)計(jì)和運(yùn)行情況。

3 企業(yè)會(huì)計(jì)信息系統(tǒng)下內(nèi)部控制的對(duì)策

由于在網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)具有系統(tǒng)的開放性、信息的分散性、數(shù)據(jù)的共享性等特點(diǎn)，企業(yè)需要擴(kuò)展系統(tǒng)運(yùn)行范圍，從而改變了傳統(tǒng)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的內(nèi)容和方法。

3.1 加強(qiáng)對(duì)企業(yè)內(nèi)部環(huán)境的管理

首先，加強(qiáng)企業(yè)內(nèi)部控制，應(yīng)規(guī)范各部門，崗位及環(huán)節(jié)的職責(zé)權(quán)限。明確規(guī)定處理各種經(jīng)濟(jì)業(yè)務(wù)的職責(zé)和程序方法，資產(chǎn)記錄與保管的分工，保證會(huì)計(jì)憑證、會(huì)計(jì)記錄的完整性和正確性，建立計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)操作規(guī)范。其次，突出人的因素在內(nèi)部控制中的重要地位。一方面，內(nèi)部控制的好壞取決于員工素質(zhì)的高低。企業(yè)必須重視對(duì)管理人員的選用，制定嚴(yán)格的招聘程序和良好的用人政策，選用有能力的人執(zhí)行內(nèi)部控制制度，確保內(nèi)部控制制度正常發(fā)揮作用。另一方面，確定企業(yè)管理者與會(huì)計(jì)機(jī)構(gòu)會(huì)計(jì)人員的制約關(guān)系，也是保證企業(yè)內(nèi)部控制有效的關(guān)鍵因素。最后，企業(yè)必須充分發(fā)揮內(nèi)部審計(jì)的作用。內(nèi)部審計(jì)是企業(yè)強(qiáng)化內(nèi)部控制制度的一項(xiàng)基本措施，內(nèi)部審計(jì)不僅包括審核會(huì)計(jì)賬目，還包括稽查、評(píng)價(jià)內(nèi)部控制制度及審核企業(yè)內(nèi)部組織機(jī)構(gòu)執(zhí)行職能的效率，向企業(yè)最高管理部門提出報(bào)告，從而保證企業(yè)內(nèi)部控制制度更加完善、嚴(yán)密。

3.2 提高企業(yè)風(fēng)險(xiǎn)管理水平

風(fēng)險(xiǎn)時(shí)刻威脅著企業(yè)內(nèi)部控制的有效性，風(fēng)險(xiǎn)來(lái)自于企業(yè)內(nèi)部和外部?jī)蓚€(gè)方面，對(duì)這些風(fēng)險(xiǎn)企業(yè)必須加以評(píng)估，風(fēng)險(xiǎn)評(píng)估就是分析和辨認(rèn)實(shí)現(xiàn)企業(yè)目標(biāo)可能發(fā)生的風(fēng)險(xiǎn)。辨識(shí)和分析風(fēng)險(xiǎn)的過(guò)程是持續(xù)的、反復(fù)的過(guò)程，也是有效的內(nèi)部控制的關(guān)鍵組成要素，企業(yè)管理層應(yīng)該十分謹(jǐn)慎地注意各個(gè)部門的風(fēng)險(xiǎn)，并且采取必要的風(fēng)險(xiǎn)管理措施。首先，企業(yè)在設(shè)計(jì)會(huì)計(jì)信息系統(tǒng)程序時(shí)應(yīng)建立預(yù)警系統(tǒng)，提供預(yù)警功能，系統(tǒng)能夠自動(dòng)檢測(cè)并生成預(yù)警信息，自動(dòng)通過(guò)網(wǎng)絡(luò)傳給相關(guān)責(zé)任人。其次，信息化會(huì)計(jì)檔案管理的控制。會(huì)計(jì)檔案管理的目標(biāo)是要做到任何情況下數(shù)據(jù)都不丟失、不損毀、不泄露。通常采用的控制包括接觸控制、丟失數(shù)據(jù)的恢復(fù)與重建等，而數(shù)據(jù)的備份則是數(shù)據(jù)恢復(fù)與重建的基礎(chǔ)，是一種常見(jiàn)的數(shù)據(jù)控制手段，采用磁性介質(zhì)保存會(huì)計(jì)檔案要定期進(jìn)行檢查和備份，防止由于磁性介質(zhì)損壞而使會(huì)計(jì)檔案丟失。

3.3 完善IT內(nèi)部控制措施

企業(yè)的控制活動(dòng)是企業(yè)為了保證指令得到實(shí)施而制定并執(zhí)行的控制政策和程序，是針對(duì)實(shí)現(xiàn)組織目標(biāo)所涉及的風(fēng)險(xiǎn)而采取的必要的防范或減少損失的措施。在會(huì)計(jì)信息系統(tǒng)方面需要實(shí)施具體的IT 控制措施，包括IT管理類控制措施和IT技術(shù)類控制措施。會(huì)計(jì)信息技術(shù)的廣泛應(yīng)用增強(qiáng)了控制手段的多樣性、靈活性、高效性，加強(qiáng)了內(nèi)部控制的預(yù)防檢查與糾正的功能，可以使企業(yè)擺脫人員與資源的限制，經(jīng)濟(jì)有效地實(shí)現(xiàn)內(nèi)部控制的目標(biāo)。例如，提高在IT環(huán)境下數(shù)據(jù)的加密技術(shù)是保護(hù)信息通過(guò)公共網(wǎng)絡(luò)傳輸和防止電子竊聽(tīng)的首選方法。

3.4 加強(qiáng)企業(yè)內(nèi)部的信息和溝通

會(huì)計(jì)信息系統(tǒng)的主要目的是記錄、處理、存儲(chǔ)、歸納和交流信息，任何交易必須能夠追蹤其從發(fā)生到終止的過(guò)程，所有交易必須在系統(tǒng)中留下審計(jì)線索，為內(nèi)部控制提供保證。一個(gè)良好的信息與溝通系統(tǒng)可以使企業(yè)管理層及時(shí)掌握整個(gè)企業(yè)營(yíng)運(yùn)的狀況和組織中發(fā)生的事情。在會(huì)計(jì)信息系統(tǒng)下，數(shù)據(jù)經(jīng)過(guò)處理生成的內(nèi)部信息，有助于企業(yè)各部門做生產(chǎn)經(jīng)營(yíng)決策。首先，所有人員都要了解應(yīng)該提供哪些信息，在會(huì)計(jì)信息系統(tǒng)中所處的位置，形成各部門、各管理級(jí)次之間的信息溝通及反饋渠道，形成信息控制體系。其次，加強(qiáng)信息化建設(shè)，實(shí)現(xiàn)內(nèi)部信息的強(qiáng)制流通，還要建立內(nèi)部信息報(bào)告反饋制度。

3.5 加強(qiáng)宏觀監(jiān)督管理控制

整個(gè)內(nèi)部控制的過(guò)程必須施以恰當(dāng)?shù)谋O(jiān)督檢查，通過(guò)監(jiān)督檢查活動(dòng)在必要時(shí)對(duì)其加以修正。財(cái)政部門和主管部門應(yīng)針對(duì)實(shí)施會(huì)計(jì)信息化的企業(yè)制定會(huì)計(jì)信息系統(tǒng)應(yīng)用工作指南，對(duì)企業(yè)會(huì)計(jì)信息化工作提出指導(dǎo)和建議，使企業(yè)具有良好的內(nèi)部控制。對(duì)商品化的會(huì)計(jì)軟件要做好評(píng)審工作。對(duì)于會(huì)計(jì)從業(yè)人員進(jìn)行崗前、崗中培訓(xùn)，提高會(huì)計(jì)人員的自身素質(zhì)和職業(yè)道德修養(yǎng)。建立嚴(yán)格的監(jiān)督審查機(jī)制，對(duì)違規(guī)操作、弄虛作假、恣意隱瞞的單位給予嚴(yán)肅處理。

注：本文系集美大學(xué)誠(chéng)毅學(xué)院大學(xué)生創(chuàng)新性實(shí)驗(yàn)計(jì)劃項(xiàng)目“IT環(huán)境下企業(yè)會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)管理問(wèn)題研究”的階段性成果。

主要參考文獻(xiàn)

[1]企業(yè)內(nèi)部課題研究組.企業(yè)內(nèi)部控制基本規(guī)范解讀及應(yīng)用指南[M].北京：中國(guó)商業(yè)出版社，2009.

[2]李玉周，李佳，柯可. 基于COBIT的企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制分析與重建[J]. 財(cái)會(huì)通訊，2009（7）.

[3]胡仁昱 .會(huì)計(jì)信息系統(tǒng)[M].北京：清華大學(xué)出版社，2008.

[4]任家華.會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的理論框架和發(fā)展策略[J].中國(guó)管理信息化，2010（1）.

[5]閆萍.會(huì)計(jì)信息化對(duì)內(nèi)部控制的影響及對(duì)策研究[J].會(huì)計(jì)師，2009（6）.

[6]房卉. 基于CMM模型的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制研究[D]. 太原：山西財(cái)經(jīng)大學(xué)，2012.2