信息化環境下企業會計內部控制體系設計

內蒙古農業大學職業技術學院 劉建國

在全球經濟高度一體化的今天，企業要想在激烈的市場競爭中脫穎而出，就必須充分利用先進的信息與互聯網技術完善管理與內控體系，借此提升管理效率，最終實現提升運營效率的目標。隨著信息化建設程度的不斷提高，很多企業雖然建立了會計管理信息系統，但會計內控體系卻仍然維持著傳統會計管理的模式，導致會計內控失效，會計信息嚴重失真。實際上，企業應用會計管理信息系統的初衷既是為了提升會計管理工作效率，也是為了提升會計信息的準確性與真實性，但因為內控機制沒進行相應調整，反而令會計信息的準確性與真實性有所降低，得不償失。筆者對現代企業應如何構建信息環境下的會計控制體系進行了深入探討，以期對企業提升會計控制效率有所幫助。

一、信息化環境對企業會計內控體系的新要求

（一）控制環境方面 由于會計信息管理系統具有一定的開放性，只要得到了相應的授權，系統使用人員就可以登錄系統調取其權限范圍內的所有信息，但信息本身是完全開放的，即使系統能夠記錄操作人員進行的操作，也很難記錄信息是否被拷貝或者傳播了出去，所以，如果不法分子盜取了會計信息，不進行徹查的話，是很難被發現的。另外，由于會計信息管理系統可以遠程登錄，只要破譯了用戶名和密碼，任何人都可以隨意登錄系統，調用系統中的會計信息，這無疑令會計信息面臨很高的安全風險。很多企業的高管層對信息管理系統并不是非常了解，也不清楚應該如何對會計信息系統進行有效的監督與控制，因此，企業必須改善控制環境，增強全體員工的會計內控意識，特別要做好管理層的內控意識強化工作。

（二）風險評估方面 信息環境下，企業絕大部分會計管理工作都是通過信息系統完成的，這在提升會計信息管理效率的同時，也提升了風險評估的難度。因為傳統會計管理模式下，每項工作都是由對應的崗位員工完成的，企業只要做好人的控制就能保證會計信息的準確性與真實性，但信息環境下，很多會計處理工作都是由系統自動完成的，系統本身又具有一定的開放性，因此，提升了風險評估的難度，主要表現有：

（1）原始憑證數字化產生的風險。傳統會計管理模式下，原始憑證都是紙質的，而且有對應的賬簿，只要進行核對都能發現會計信息是否真實準確；但信息環境下，原始憑證進行了數字化處理，變成了電子數據的形式，存儲在后臺數據庫中，如果有人惡意篡改了這些數字化的原始憑證，那么所有的會計信息都會以這種虛假的憑證為基礎，自然會導致會計信息失真，從而降低會計內控的質量。另外，數字化的原始憑證都是保存在磁性介質中的，而這類設備極易損害，如果被損壞，其中的信息也就隨之消失了，增大了信息的安全風險。

（2）授權方式改變產生的風險。傳統的會計管理模式下，授權審批一般都是要相關人員蓋章才可以生效的；但信息環境下，授權方式則改成密碼授權，這種授權模式雖然能夠實現對權限的有效管理，但由于授權密碼本身都是存儲在系統后臺數據庫中的，系統管理員以及其他擁有后臺數據庫訪問權限的人員想要獲得這些密碼并不困難，這無疑增加了授權審批的正規性風險。

（3）內控程序完善程度產生的風險。信息系統內控程序風險主要取決于系統本身的完善程度。假設系統本身存在安全漏洞，那么其中的數據自然就處于不安全的環境之中；假設系統本身不夠穩定，就很容易在處理會計信息時有所疏漏，自然也影響會計信息的準確性與真實性。另外，如果程序的算法本身存在問題，有可能會導致同樣的錯誤反復出現，所以，企業必須提升計算機會計內控程序的完善程度，提升程序的穩定性與可靠性。

（4）網絡會計產生的安全風險。信息化環境下，很多會計數據都是通過網絡傳輸的，會計信息系統用戶登錄之后，可以通過網絡遠程調用會計信息，這無疑會產生一定的安全風險。第一，信息化環境下，企業的會計信息通過網絡傳輸，而網絡本身具有一定的開放性，如果這些會計信息被不法分子截獲，無疑會對企業造成沉重的打擊；第二，會計信息系統通過互聯網連通，因此，極易受到黑客的攻擊，會計信息面對很高的安全風險；第三，計算機病毒的快速傳播增大了會計信息管理系統本身的風險，會計信息系統在連通互聯網之后，很容易通過電子郵件以及下載的文件染毒，病毒很有可能會破壞系統中的數據，嚴重時甚至可能導致系統癱瘓。

（三）控制活動方面 對于現代企業來說，信息化環境下的會計控制活動較過去也發生了很大的變化。傳統的會計內控基本上都是以紙質記錄為中心的，但信息化環境下的會計內控則是以會計管理信息系統為中心的。當前，計算機在我國的普及率非常高，其在一定程度上提升了企業的會計管理水平，但同時也令會計信息面臨著很高的安全風險，黑客很容易通過破譯系統的用戶名和密碼盜用或者篡改后臺數據中的會計信息，有時甚至會刪除數據庫中的會計信息，導致企業的會計管理系統癱瘓。可管理信息系統本身是一種無形的東西，企業很難按照傳統的內控方式對其進行控制，必須改變具體的內控活動。

（四）監控方面 企業要保證會計內控的有效性，就必須對會計管理活動進行有效監控。但信息化環境下，會計活動的監控對象發生了變化，已經不再是傳統的紙質賬簿與憑證，而是電子化的會計信息與原始憑證。雖然這種監控活動同樣具有有效性，但畢竟監控的信息都是電子化的，不像傳統紙質文件那樣具有不變性，即使當前監控的會計信息沒有問題，但如果之后被人為改動，企業沒有進行徹底核查的話，是很難發現這些變化的，監控自然也就喪失了原本的意義。因此，信息化環境下企業必須改變對會計管理活動的監控方式，提升監控水平，只有這樣才能保證監控的有效性，保證會計信息的真實性與準確性。

二、信息化環境下企業會計內控體系構建

信息化環境下，企業在構建內控體系時，需要將會計信息管理系統存在的風險與相應的控制納入其中。筆者認為企業可以推行IT治理的內控模式，這樣不但可以保證整個系統的穩定性，還能保證會計信息真實。筆者基于IT治理的思想，構建了信息化環境下企業的內控體系，該體系不僅綜合考慮了會計信息系統本身的控制，也考慮了互聯網可能滋生的安全性風險，從源頭上保證了會計內控的有效性，因此，具有很好的現實應用意義。本文構建的企業會計內控體系與一般的會計內控體系之間存在本質的區別，筆者構建的是滿足企業信息化會計管理環境的會計內控體系，符合現代企業的發展要求。具體的會計內控體系架構如圖1所示。

圖1 信息化環境下企業會計內控體系基本架構

通過圖1可知，筆者構建的企業會計內控體系較之一般的會計內控多出了IT控制的部分。很顯然，信息化環境下，企業絕大部分會計管理工作都是通過會計管理信息系統完成的，因此，想要提升會計內控質量必須做好IT系統的控制工作。IT系統本身具有開放性與不穩定性等特點，再加上其通過互聯網進行數據傳輸，因此，做好IT控制能夠從根本上提升企業會計內控的效率，提升會計信息的真實性。下文將對基本架構中的各組成部分做詳細說明。

（一）內部環境 內部環境是構建會計內控體系的基礎，企業只有創造良好的內部環境，才能為會計內控體系運行提供必要條件，才能保證各項會計內控制度得到有力的執行。實際工作中，企業應認識到內部環境對提升會計內控效率的重要性，按圖2所示的要素創造良好的IT管理內部環境，從而提升信息化環境下的會計內控效率。

圖2 IT管理內部環境

（二）控制目標 企業應明確控制目標，可以將控制目標分為兩部分：第一部分，業務目標。這個目標主要關注的是會計業務的控制，不但控制會計業務的合規性與合理性，還要控制會計業務流程的有效性；第二部分，IT目標。這個目標主要關注的是會計管理信息系統的控制，不但控制會計管理信息系統的安全性與穩定性，還要控制系統數據的真實性與可審計性，畢竟內審與外審是對內控體系有效性的最有效檢驗手段，只有系統數據具有良好的可審計性，才能保證審計的質量，從而真實反映出企業的會計內控效率。

（三）風險管理 企業必須增強風險管理意識，雖然傳統會計管理模式下，企業也需要做好會計風險的管理，但信息化環境下的會計風險變得更加多樣、更加復雜，因此，企業必須做好風險的識別、評估與應對工作，從而保證會計活動的合規性，進而降低運營過程中的會計風險。由于企業使用的會計管理信息系統本身會存在這樣或那樣的安全漏洞，而這些漏洞很容易成為不法分子的攻擊對象；再加上會計信息系統是通過網絡傳輸數據的，而網絡具有一定的開放性，提升了數據的安全性風險。基于此，筆者建議企業做好技術風險的管理工作并將其納入會計內控體系之中，借此提升會計信息的安全性與準確性。

（四）控制活動 由于設置的控制目標分為業務目標與IT目標兩部分，因此，企業采取的具體內控活動也應該分為業務控制活動與IT控制活動兩種類型。很顯然，業務控制活動主要是為了提升會計業務操作的規范性與會計信息的真實性，而IT控制活動則是保證會計管理信息系統的實用性。為了提升控制活動的有效性，筆者引用了COBIT4.1模型，基于企業的基本會計業務設計了相應的IT控制活動。具體的控制活動分為以下四個步驟：

（1）規劃與組織。企業在進行IT控制之前，要結合自身的運營情況與會計管理信息系統特點進行規劃與組織，從而保證制定的IT控制方案可行有效。這項工作能夠幫助企業了解IT控制的重點與難點，從而制定針對性的控制方案，進而提升控制質量。需要說明的是，企業在規劃與組織IT控制活動時，必須充分考慮自身的運營實際與內部組織結構特點，不能盲目照搬其他企業的成功經驗，只有這樣才能保證制定的控制方案符合自身發展要求。

（2）獲取與實施。如果條件允許，企業可以自行開發IT控制系統，雖然開發成本較購買現成的系統要高一些，但能夠提升IT控制系統與企業運營的貼合性。筆者建議企業在實施過程中做好以下幾方面工作：首先，在開發系統之前，要科學評估系統應有的可行性與經濟性；其次，在正式使用系統之前，必須驗證系統的合法性與合規性，并復核系統的開發流程，同時做好系統測試，及時修正存在的問題；第三，做好系統使用員工的培訓工作，除了讓他們熟練掌握系統的操作流程之外，還要讓他們大致了解系統的后臺運算原理；第四，制定嚴格的系統變更審批制度，只有得到有效授權審批的系統變更才可以實施。

（3）交付與支持。企業應通過IT控制系統對會計信息管理進行內控，除了監控經濟業務操作的規范性之外，還應監控會計信息管理系統的安全性與穩定性，并將獲得的信息及時反饋給相關部門。

（4）監控與評價。這是整個IT控制系統的信息傳輸中心，可以綜合分析與處理會計信息系統的監控信息，并對這些信息反映出的內控問題進行評價，為相關部門管理者完善內控機制提供有力支撐。

（五）內部監督 企業構建信息化環境下會計內控體系的過程中，還應重視內控監督功能的實現。對于現代企業來說，會計內控是提升會計管理效率的有效手段，但會計內控的有效性如何則需要通過內部監督來評價。基于此，筆者建議企業組建專門的內審部門，對會計管理活動進行監督與審計，必要時還可以聘請業內專家加入內審團隊，以提升內審的有效性。當然，由于內審是企業內部的行為，所以，難免會受到一些人為因素的干擾，企業應盡量提升內審流程的規范程度，明確相關人員的工作職能，從而降低人為因素對內審結果的影響，提升內審結果的準確性，為制定后續的會計管理決策指明方向。

［1］章鐵生：《信息技術條件下的內部控制規范：國際實踐與啟示》，《會計研究》2007年第7期。

［2］黃莉娟：《網絡環境下會計信息系統的內部控制創新》，《財會月刊》2012年第26期。