云會計環境下AIS內部控制問題探析

程平 李寧

云會計環境下AIS內部控制問題探析

程平 李寧

隨著云會計在企業應用的不斷拓展與深入，企業愈加關注云會計環境下AIS內部控制的合理設計與有效實施。本文從內部控制要素視角分析了當前云會計環境下AIS內部控制的現狀與問題，并提出了相應的改進措施，為云會計環境下AIS內部控制的設計與實施提供理論支撐。

云會計 內部控制 AIS 問題 探析

一、引言

“云會計”的出現標志著云計算技術和理念在會計信息化領域中應用的拓展與深入，推動了財務軟件的新變革。在云會計按需購買、集中管理的服務模式下，企業根據自身需求購買若干會計云服務，這些服務在云端無縫對接成為為企業定制的會計信息系統（Accounting Information System，以下簡稱AIS）。企業在利用云會計環境下AIS給企業帶來便捷和效率提升的同時，也應當關注AIS內部控制是否與當前使用的云會計環境下AIS相適應。會計云服務在云端自動更新升級、動態部署、多副本容錯、高通用性與擴展性等特點提升了AIS內部控制中自動化成分的有效性，然而AIS內部控制的有效實施還需要依靠企業根據自身特點，對AIS內部控制人工成分的合理設計和有效執行。任何信息系統都存在風險，云會計環境下的AIS也不例外。由于管理理念、技術水平等因素，企業往往忽視AIS內部控制在防止、發現、評估、應對AIS風險的重要性，僅僅依靠事后補救無疑承擔著巨大的管控風險。因此，在使用會計云服務時，企業現有的AIS內部控制存在哪些問題、應當做出怎樣的調整、實施中關注的要點等成為云會計推廣中亟待解決的問題。

AIS越發凸顯的復雜性和高風險性使得AIS內部控制早已引起學者們的廣泛關注。陳麗琴等分別從核算型、管理型、決策支持型AIS分析AIS內部控制側重點。鐘紅山著眼于AIS內部控制現狀，從數字簽名的角度分析探究AIS內部控制方法。李冬梅等以兗州煤業為例，從其信息系統內部控制構建過程的角度進行闡述，并提出基于信息系統風險開展內部控制活動的方法。才杰提出了網絡平臺下AIS內部控制實施框架，建立健全AIS內部控制。盧桂成等根據銀行業信息化建設的迫切需求，從信息系統內部控制設計、執行、評價和改進四個角度構建出信息系統內部控制體系。

綜觀上述文獻研究，雖已有不少AIS內部控制的相關研究，但針對當前倍受關注的云會計環境下AIS內部控制的研究卻較為少見。不同類型的企業有自身特點，在云會計環境下，僅依靠供應商提供的會計云服務往往難以滿足企業經營管理的需要。企業應當根據所購買的會計云服務的組織形式、業務流程特點、云會計環境的安全水平以及自身財務、業務、管理層面的需求制定與云會計下AIS相適應、符合自身特點的AIS內部控制制度，在實施中及時調整改進，才能為云會計在企業中的應用保駕護航，發揮出最大效用。

二、云會計環境下AIS內部控制現狀及問題

云會計環境下AIS內部控制有別于傳統的信息系統內部控制，其內部控制應當遵循成熟完備的理論體系進行設計、運行、維護。本文從內部控制的五個要素分析云會計環境下AIS內部控制現狀及其存在的問題。

（一）控制環境與云會計要求不匹配

企業選擇了適合自身財務、業務、管理需求的會計云服務，還要考慮現有AIS控制環境與其適應程度。從AIS控制環境要素角度來看，在組織架構層面，AIS事項處理、數據存儲、更新維護地點由企業內部遷移到云端，加之云會計具有高度自動化的財務業務事項分析處理能力，使得企業能精簡信息技術人員與財會人員，優化組織架構，從而大大節約成本。但是，同時會增加過度依賴AIS自動化控制而導致控制失效風險；在發展戰略層面，企業定制的會計云服務始終處于動態變化之中，日常功能需求變更與版本升級較為頻繁，有些變更甚至對企業不可見，企業難以對AIS變更實施有效的授權審批控制，使得企業在AIS發展戰略制定與實施上處于被動局面；在人力資源層面，企業財務人員的信息化技術水平大多限于熟練操作AIS，對云會計環境及其風險不甚了解，增加了不能及時發現AIS漏洞與異常的風險。

（二）風險評估機制不完善

風險評估應當貫穿于AIS內部控制的始終，是全員、全過程、全方位的風險管理機制，然而在企業AIS內部控制設計中往往未建立起實時有效的風險評估機制，即使設計有效，在實際運營管理中也難以做到有效運行。其原因是，第一，管理層不重視風險評估。會計云服務可以在云端自動定期維護與更新升級，減輕了管理層對AIS更新與維護的關注程度，也增大了由于盲目自動更新造成AIS內部控制未能及時對更新作出相應調整，而造成設計失效風險。第二，缺乏對云會計環境下AIS及時有效的可信性評估。AIS可信性作為對AIS自動化控制和人工控制的有效性的綜合衡量標準，可以表述為AIS對會計信息的輸入、處理和輸出流程符合AIS用戶的預期，以及AIS產生的會計信息所具有的相關性和可靠性等會計信息質量特征符合會計信息使用者的預期。在動態多變的云會計環境下，限于云會計的服務模式和企業員工的信息化技術水平，業界和學界缺乏合理有效的可信性評估方法，企業難以及時準確地了解所購買的會計云服務可信性水平如何，影響風險評估的實時性、有效性。

（三）控制活動風險變化適應不夠

云會計業務模塊復雜調用與數據傳輸、企業使用的服務和存儲的數據存在于云端大資源池內等新情況的出現，使得相比傳統AIS，開放動態的云會計環境下企業AIS控制活動風險點發生變化。企業集團和其下屬子公司分別根據其自身業務范圍選擇購買會計云服務，免去統一配置AIS造成的信息化資源浪費，然而又增加了各個云會計服務模塊之間數據傳輸、業務處理的復雜性，從整個集團的視角來看，控制活動路徑更長。因此，集團層面控制管理成為云會計下AIS控制活動風險關注要點。眾多使用會計云服務的企業數據在云端交互、存儲，構成了大數據資源，經由數據挖掘等技術處理后可以支撐企業預測、決策、財務預警等關鍵控制活動，然而這些數據的取得需征得數據源企業同意，其可用性、可靠性也成為控制活動關鍵風險點。

（四）信息與溝通效率不高

云會計環境下，AIS的安全性成為企業選擇云會計產品時關注的要點。在系統層面，企業購買的各個會計云服務模塊功能相互勾稽，數據大量傳遞，安全性水平不僅取決于模塊內部信息處理，還取決于模塊之間信息溝通網絡結構的優良程度和聯通程度，以及模塊內、模塊間信息溝通的有效性。在數據層面，企業將大量財務數據與業務數據集中存儲于云端存儲設備中，數據、指令等重要信息與云端服務器進行交互，這些數據在開放動態的云會計環境下的安全性水平直接影響AIS內部控制信息溝通效果。

（五）缺乏對控制及時有效的監督

會計云服務通過動態定制模式整合，復雜多變的AIS服務模塊組織等增加了AIS可信性的不確定性，從而提升了AIS內部控制的監督與評價風險。在動態定制模式下，服務模塊、服務功能處于動態變化之中，而AIS內部控制監督反應相對滯后，難以及時做出相應調整以根據當前風險點進行有針對性的監督。同時，在監督策略方面，企業缺乏合理有效的可信性評估方法，也少見可信性第三方評估機制，不便于企業實時了解AIS可信性狀況，以對AIS內部控制設計和運行的有效性及時監督和改進。

三、云會計環境下AIS內部控制完善措施

（一）控制環境要符合云會計的要求

企業選擇云會計產品時應當關注其與當前AIS控制環境的適應程度，如果企業通過調整控制環境仍未能達到AIS對控制環境的要求，則不予考慮購買該云會計產品。例如對于信息技術水平較低的企業，應選擇服務穩定性高、程序變更對用戶透明度高、重要變更提交用戶審核的云會計產品，便于企業及時調整AIS內部控制以適應該變更，把握AIS發展戰略制定與實施的主動權。在數據處理高度集中的云會計下，雖可以精簡人員、機構，但要嚴格做到不相容崗位相互分離，明確崗位職責權限，將分級管理與授權審批相結合。同時，應注意對財務人員信息技術技能方面的培訓，使其具備信息管理、應對突發事件、對交易處理復雜數據的核查等能力，及時發現AIS故障和弊端，向云端反饋以將損失降到最低。

（二）建立基于可信性評價的風險評估機制

業界與學界應加快與云會計相適應的可信性評價方法研究，充分考慮云會計自身特點和其應用領域的行業特性，有針對性地對AIS進行可信性評價。及時有效的可信性評價結果可以為企業AIS風險評估提供強有力的支持證據，彌補當前AIS風險評估中量化標準較少、可比性差等不足。建立起基于可信性評價的風險評估機制，企業風險管理部門應定期向可信的第三方評估機構獲取當前AIS可信性狀況的評價報告。當企業內部管理流程、組織架構、AIS程序面臨較大變更時，也應獲取該時點的AIS可信性評價報告，以分析判斷當前AIS內部控制設計和運行的有效性，確定風險敞口大小是否超過或將可能超過風險容限，并及時制定應對措施，形成AIS風險報告并匯報給風險管理委員會，供董事會和股東大會決策。

（三）控制活動重點關注云會計下新增控制點

傳統的控制活動風險點如授權、職責分離等仍是云會計下AIS控制活動應關注的控制要點，企業根據自身AIS內部控制健全程度選擇相應可信等級的云會計產品，可信性等級越高，AIS自動化控制層面的內部控制越完善，降低由于人工控制設計不合理、人員素質不高等因素導致控制運行失效的風險。例如符合基本可信屬性的AIS對相關業務的會計和稅務處理要符合會計法、稅法、會計行政法規和國家統一的會計制度等要求，即滿足合規性。在基本可信屬性的基礎上，滿足關鍵可信屬性如風險可控性、決策支持性，如果還能滿足增強可信屬性如可審計性和稅收可稽查性等，AIS就具有很高的可信性水平。集團層面控制管理應關注在動態定制模式下，企業信息資源的有效整合分析，以及總部對分子公司財務、業務狀況的分析管控是集團層面應用云會計的關鍵控制點，企業應當選擇當分子公司定制不同服務時，能夠提供集團管控層面解決方案的會計云服務組合。

云會計下，企業的數據中心與網絡運營均位于云端資源池中，這些信息對其他云會計用戶的可見性關系到企業的信息安全，供應商不得在未征得企業授權的情況下使用、泄露企業信息。如果云端所有用戶都不愿將自身數據用以數據分析，也就不存在云端大數據分析的數據來源，造成了數據資源的浪費。因此，企業應適當將非敏感數據授權給供應商進行大數據分析，而不是讓其他企業直接使用自己的原始數據，這樣就對云會計供應商的誠信與可靠性提出了更高要求。

（四）提高信息溝通的效率和有效性

企業選擇云會計產品應當關注該服務的動態部署和模塊間信息溝通能力。例如，會計云服務在動態組合時是否能建立抗攻擊性強的模塊網絡拓撲結構，模塊之間信息溝通是否有標準化的數據接口對接，AIS的設計是否滿足相關財務軟件規范文件要求，更換服務或供應商時數據的可遷移性以及遷移和轉換成本等。同時應特別關注信息與溝通中的數據安全，自動化控制層面應當確保指令、數據等關鍵信息在傳輸、處理、存儲過程中處于安全環境下，避免核心財務數據遭黑客盜竊、供應商有意無意泄露信息等情況的出現；人工控制層面建立與AIS相適應的權限與職責分工，保證通暢有效的信息溝通與信息的真實可靠性。

（五）強化內部稽核、內部審計等監督機制

各個業務流程部門的業務處理均應當在AIS中留有可以作為審計線索的運行軌跡，如對操作過程和結果記錄、業務流程數據統計數據、內部稽核數據等，使得各個業務流程部門的審計線索相互關聯，運行軌跡數據能夠相互勾稽、印證。審計委員會從公司總體層面和業務流程層面分析AIS提供的審計線索與審計數據，對AIS內部控制運行的有效性進行評價與校驗，及時發現AIS、內部控制系統、財務信息等方面的異常，將風險與損失降到最低。為使得AIS輸出的信息真實可信，有據可查，有線索可審，應在AIS中內設通用內部審計稽查功能，并預留出便于調用的可供審計、稽查的標準化數據接口，在提供給稽查、監督人員的用戶手冊中提供業務處理核算的控制流程、表單結構與勾稽關系等系統信息，便于不同類型、不同信息化水平的企業建立適合自身內部流程的AIS內部控制監督機制。

作者單位：重慶理工大學

主要參考文獻

1.程平，何雪峰.“云會計”在中小企業會計信息化中的應用.重慶理工大學學報（社會科學）.2011（1）

2.吳炎太，林斌，孫燁. 基于生命周期的信息系統內部控制風險管理研究.審計研究.2009（6）

3.陳麗琴，王琰. 會計信息系統不同發展階段的內部控制研究.財政監督.2014（5）

4.鐘紅山. 會計信息系統內部控制方法研究. 商業時代.2014（18）

5.李冬梅，趙文革，曹志德. 兗州煤業信息系統內部控制的實踐與啟示.財務與會計.2013（1）

6.才杰. 如何進行網絡平臺下財務信息系統內部控制實施.中國鄉鎮企業會計.2014（2）

7.盧桂成，張同建. 我國銀行業信息系統內部控制體系解析.財會通訊.2012（35）

8.杜美杰. 信息系統內部控制:過程控制和環境控制的結合——解讀《企業內部控制應用指引第18號——信息系統》.財務與會計（理財版）.2010（12）

9.程平，溫艷好. 基于云會計的AIS可信性層次結構模型.重慶理工大學學報: 社會科學.2014（2）

10.周勇，顧聰越，程春田.基于云模型的可信性評估模型.計算機應用研究.2012（2）

11.莫家慶，胡忠望，葉雪琳.基于模糊理論的可信計算信任評估方法研究.計算機應用.2013（1）

12.鄧瑩. 淺析網絡會計內部控制.財會通訊.2011（1）

13.程平，李寧. 云會計環境下基于ANP的AIS可信性評估.計算機工程.2014（11）

14.程平，李寧. 云會計產品可信性評價指標體系與等級模型.會計之友.2014（18）

15.劉媛媛. 基于公司信息透明度的IT內部控制體系的建設——兼述我國通信運營企業的經驗.財務與會計.2012（6）

16.王凡林.會計信息系統規劃特征與可信性關系研究.會計研究.2010（11）

國家自然科學基金青年項目（批準號：71201179）；教育部人文社會科學基金青年項目（批準號：12YJC630025）；重慶市教委科學技術研究項目資助（批準號：KJ1400905）；重慶理工大學研究生創新基金項目（批準號：YCX2014104）