重慶理工大學(xué) 毛華揚(yáng) 衛(wèi)亞杰

一、內(nèi)部控制與會(huì)計(jì)信息化

內(nèi)部控制是一種管理體系，是企業(yè)進(jìn)行有效管理的重要手段，具有權(quán)威性的COSO報(bào)告對(duì)內(nèi)部控制的定義是：內(nèi)部控制是企業(yè)董事會(huì)、經(jīng)理階層和其他員工實(shí)施的，為營(yíng)運(yùn)的效率效果、財(cái)務(wù)報(bào)告的可靠性、相關(guān)法令的遵循性等目標(biāo)的達(dá)成而提供合理保證的過程。其構(gòu)成要素應(yīng)該來源于管理階層經(jīng)營(yíng)企業(yè)的方式、并與管理的過程相結(jié)合。為了實(shí)現(xiàn)內(nèi)部控制的有效性，需要控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)督五個(gè)要素的支持。

會(huì)計(jì)信息化就是利用現(xiàn)代信息技術(shù)(計(jì)算機(jī)、網(wǎng)絡(luò)和通訊等)對(duì)傳統(tǒng)會(huì)計(jì)模式進(jìn)行重構(gòu)，并在重構(gòu)的現(xiàn)代會(huì)計(jì)模式上通過深化開發(fā)和廣泛利用會(huì)計(jì)信息資源，建立技術(shù)與會(huì)計(jì)高度融合的、開放的現(xiàn)代會(huì)計(jì)信息系統(tǒng)，以提高會(huì)計(jì)信息在優(yōu)化資源配置中的有用性，促進(jìn)經(jīng)濟(jì)發(fā)展和社會(huì)進(jìn)步的過程。

會(huì)計(jì)信息化從1979年開始在我國(guó)推行以來到現(xiàn)在已有30多年之久，如今已在我國(guó)得到了廣泛應(yīng)用，會(huì)計(jì)信息化過程勢(shì)必會(huì)影響企業(yè)的業(yè)務(wù)流程，給企業(yè)內(nèi)部控制帶來新的問題。因此，進(jìn)一步完善會(huì)計(jì)信息化環(huán)境下的內(nèi)部控制勢(shì)在必行。

二、會(huì)計(jì)信息化對(duì)內(nèi)部控制的影響

會(huì)計(jì)信息化環(huán)境下內(nèi)部控制呈現(xiàn)出了新的特點(diǎn)：一是控制方式雙重性。內(nèi)部控制方式由原來的制度控制轉(zhuǎn)變?yōu)橹贫瓤刂坪统绦蜍浖碾p重控制；二是控制范圍擴(kuò)大，控制程序更加復(fù)雜。會(huì)計(jì)信息系統(tǒng)建立和運(yùn)行的復(fù)雜性，給會(huì)計(jì)工作增加了新的工作內(nèi)容，如系統(tǒng)權(quán)限控制、口令管理程序控制、修改程序控制及網(wǎng)絡(luò)系統(tǒng)安全控制等；三是控制重點(diǎn)發(fā)生轉(zhuǎn)移。會(huì)計(jì)電算化實(shí)現(xiàn)后，數(shù)據(jù)的處理、存儲(chǔ)集中于系統(tǒng)職能部門，會(huì)計(jì)信息的處理由手工方式轉(zhuǎn)為計(jì)算機(jī)處理方式，因此，內(nèi)部控制的重點(diǎn)轉(zhuǎn)移為以職能部門和計(jì)算機(jī)數(shù)據(jù)處理部門控制。

會(huì)計(jì)信息化對(duì)內(nèi)部控制的影響是毋庸置疑的，要實(shí)現(xiàn)會(huì)計(jì)信息化環(huán)境下內(nèi)部控制的有效性，需要從構(gòu)成內(nèi)部控制過程的控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)督五要素全面地分析會(huì)計(jì)信息化新環(huán)境對(duì)內(nèi)部控制的影響。

控制環(huán)境更加復(fù)雜。控制環(huán)境是指職員履行其控制職責(zé)、開展業(yè)務(wù)活動(dòng)所處的環(huán)境，包括職員的品性（如操守、價(jià)值觀和勝任能力）和經(jīng)營(yíng)環(huán)境，它是推動(dòng)企業(yè)發(fā)展的動(dòng)力。信息技術(shù)的廣泛應(yīng)用，使得企業(yè)組織結(jié)構(gòu)趨向扁平化成為可能。組織結(jié)構(gòu)扁平化也存在不足，它降低了企業(yè)的集權(quán)性和規(guī)范性，削弱組織的穩(wěn)定性等。會(huì)計(jì)人員結(jié)構(gòu)變?yōu)橛蓵?huì)計(jì)人員和計(jì)算機(jī)操作員、網(wǎng)絡(luò)系統(tǒng)維護(hù)員等組成。這些都增加了企業(yè)管理的復(fù)雜性。

風(fēng)險(xiǎn)評(píng)估難度加大。風(fēng)險(xiǎn)評(píng)估是指對(duì)影響作業(yè)目標(biāo)實(shí)現(xiàn)的相關(guān)風(fēng)險(xiǎn)的辨認(rèn)和分析。會(huì)計(jì)信息化過程中，企業(yè)原有的業(yè)務(wù)流程發(fā)生了很大改變，會(huì)計(jì)信息系統(tǒng)在組織內(nèi)的范圍和重要性日益增加，信息成為重要資源。會(huì)計(jì)信息化下業(yè)務(wù)記錄和授權(quán)環(huán)節(jié)存在安全隱患，信息系統(tǒng)本身也存在不安全因素。風(fēng)險(xiǎn)評(píng)估除了包括傳統(tǒng)的評(píng)估對(duì)象外，還要對(duì)信息系統(tǒng)的可靠性和安全性進(jìn)行評(píng)估，這些工作還需要不同專業(yè)背景的人員協(xié)作才能完成，并且對(duì)信息系統(tǒng)風(fēng)險(xiǎn)很難進(jìn)行定量分析，這增加了風(fēng)險(xiǎn)評(píng)估的難度和復(fù)雜度。

控制活動(dòng)存在缺陷。控制活動(dòng)是指企業(yè)制定并予以執(zhí)行的程序，以幫助確保其用于處理影響目標(biāo)實(shí)現(xiàn)的風(fēng)險(xiǎn)管理人員指令得到落實(shí)。會(huì)計(jì)系統(tǒng)信息化后功能集中，導(dǎo)致職責(zé)分離執(zhí)行不力，不能很好地避免執(zhí)行人員串通舞弊現(xiàn)象，使越權(quán)操縱成為可能。

信息溝通不暢。信息與溝通是指以一定形式和時(shí)間結(jié)構(gòu)辨認(rèn)、獲得的，為企業(yè)員工在執(zhí)行、管理和控制作業(yè)過程所需的信息，以及信息的交換和傳遞。據(jù)統(tǒng)計(jì)，會(huì)計(jì)信息系統(tǒng)應(yīng)用中存在的最大問題就是“信息孤島”問題。當(dāng)前國(guó)內(nèi)財(cái)務(wù)軟件眾多，且自成體系，不同的會(huì)計(jì)信息系統(tǒng)間缺乏兼容性，很難在不同的系統(tǒng)上實(shí)現(xiàn)數(shù)據(jù)共享，系統(tǒng)內(nèi)部銜接性也比較差。

內(nèi)部監(jiān)督不完善。監(jiān)督是指評(píng)估內(nèi)部控制運(yùn)作質(zhì)量的過程，包括持續(xù)監(jiān)控和個(gè)別評(píng)估。企業(yè)內(nèi)部監(jiān)督包括內(nèi)部稽核、內(nèi)部審計(jì)、授權(quán)審批控制、財(cái)產(chǎn)保全控制等多方面的內(nèi)容，會(huì)計(jì)信息化的實(shí)現(xiàn)也要求內(nèi)部監(jiān)督更加全面和完善，如定期稽核會(huì)計(jì)信息、審核賬務(wù)處理的合法合規(guī)性、監(jiān)督企業(yè)內(nèi)部授權(quán)審批制度和財(cái)產(chǎn)保全控制的執(zhí)行情況等，但會(huì)計(jì)信息化下企業(yè)內(nèi)部控制很少考慮審計(jì)工作的需要，財(cái)務(wù)軟件缺乏必要的審計(jì)接口，很難為企業(yè)內(nèi)外部審計(jì)保留和提供充分的審計(jì)線索，影響了會(huì)計(jì)信息化系統(tǒng)內(nèi)部控制發(fā)揮應(yīng)有的作用，加大了稽核與審計(jì)的難度。

三、會(huì)計(jì)信息化環(huán)境下內(nèi)部控制完善對(duì)策

COSO報(bào)告認(rèn)為內(nèi)部控制系統(tǒng)包括五個(gè)組成要素：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估，控制活動(dòng)、信息與溝通、監(jiān)控。其中風(fēng)險(xiǎn)評(píng)估和信息與溝通是傳統(tǒng)內(nèi)控理論所沒有的，對(duì)控制環(huán)境的重要性的強(qiáng)調(diào)也是前所未有的。在前面分析了會(huì)計(jì)信息化環(huán)境下內(nèi)部控制在這五方面存在的問題的基礎(chǔ)上提出以下對(duì)策。

第一，完善內(nèi)部控制環(huán)境?？刂骗h(huán)境包括組織實(shí)行內(nèi)部控制的各種影響因素，其中包括員工的充實(shí)和職業(yè)道德、人員勝任能力、管理哲學(xué)和經(jīng)營(yíng)作風(fēng)、董事會(huì)及審計(jì)委員會(huì)、組織機(jī)構(gòu)、職權(quán)劃分、人力資源政策及執(zhí)行。

加強(qiáng)企業(yè)的組織控制。信息技術(shù)的引入使企業(yè)的組織結(jié)構(gòu)逐漸趨于扁平，因此，必須進(jìn)行組織結(jié)構(gòu)調(diào)整才能更好地進(jìn)行內(nèi)部控制。企業(yè)應(yīng)通過組織結(jié)構(gòu)調(diào)整，建立恰當(dāng)?shù)慕M織機(jī)構(gòu)和職責(zé)分工制度，并通過部門設(shè)置、人員分工、崗位職責(zé)的制定、權(quán)限的劃分等形式進(jìn)行控制，從而達(dá)到相互牽制、相互制約、防止或減少舞弊發(fā)生的目的。應(yīng)設(shè)立會(huì)計(jì)崗位和系統(tǒng)管理崗位，崗位的設(shè)置應(yīng)遵循不相容職務(wù)分離的原則，使不同崗位之間相互監(jiān)督，相互制約，以達(dá)到控制的目的。

關(guān)注員工的培養(yǎng)和教育，創(chuàng)造內(nèi)部控制良好氛圍。內(nèi)部控制是受人的因素影響，重視人才的選擇和培養(yǎng)，是內(nèi)部控制建設(shè)中的重要內(nèi)容。首先應(yīng)加強(qiáng)員工的誠(chéng)實(shí)守信和電算化培訓(xùn)教育，樹立良好的職業(yè)道德，提高業(yè)務(wù)素質(zhì)；其次，培養(yǎng)管理人員的內(nèi)部控制觀念和信息觀念。隨著會(huì)計(jì)信息技術(shù)的引入，管理人員必須理解信息化建設(shè)、內(nèi)部控制和企業(yè)發(fā)展的關(guān)系，有效實(shí)施內(nèi)部控制制度；再次加強(qiáng)內(nèi)部考核力度，以此促使會(huì)計(jì)人員對(duì)內(nèi)部控制的執(zhí)行。

第二，進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析。由前面的分析可以看出，會(huì)計(jì)信息化后，由于會(huì)計(jì)信息系統(tǒng)自身的特點(diǎn)，增加了會(huì)計(jì)工作的風(fēng)險(xiǎn)，要保證會(huì)計(jì)信息系統(tǒng)的有效運(yùn)行，就要進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析。

風(fēng)險(xiǎn)評(píng)估方法和工具。風(fēng)險(xiǎn)評(píng)估可以采用傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估方法，也可以采用基于神經(jīng)網(wǎng)絡(luò)和專家系統(tǒng)的評(píng)估方法或者運(yùn)用層次分析方法進(jìn)行風(fēng)險(xiǎn)評(píng)估。通過這些方法可以獲得影響會(huì)計(jì)信息系統(tǒng)安全的各種攻擊方式的權(quán)重，了解到影響系統(tǒng)安全的各個(gè)因素,針對(duì)各種攻擊方式的權(quán)重有針對(duì)性地?cái)M定相應(yīng)的防護(hù)措施,從而達(dá)到有效地維護(hù)系統(tǒng)安全的目的。信息系統(tǒng)將接受評(píng)估工具的檢測(cè)和調(diào)查,評(píng)估工具的好壞直接影響到評(píng)估的效果，要選擇比較好的評(píng)估工具。被評(píng)估的對(duì)象包括網(wǎng)絡(luò)架構(gòu)、應(yīng)用系統(tǒng)、運(yùn)行與安全管理、人員、安全策略等，評(píng)估的結(jié)果將反映信息系統(tǒng)在各個(gè)方面的威脅和脆弱性。

評(píng)估信息智能化處理階段。需要對(duì)評(píng)估工具所得出的原始評(píng)估數(shù)據(jù)進(jìn)行深入挖掘,一方面,這些數(shù)據(jù)復(fù)雜、多樣,而且會(huì)不斷增加,因此需要按照統(tǒng)一的標(biāo)準(zhǔn)進(jìn)行管理；另一方面,這些數(shù)據(jù)內(nèi)在的聯(lián)系需要通過數(shù)據(jù)挖掘進(jìn)行歸納分析和綜合分析。

第三，完善控制活動(dòng)。針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果，制定相應(yīng)的控制活動(dòng)，包括管理類控制措施，如安全管理、職責(zé)分離、授權(quán)審批、信息化會(huì)計(jì)檔案管理等，以及系統(tǒng)類管理措施，如數(shù)據(jù)備份、數(shù)據(jù)加密、權(quán)限管理、防病毒等。

建立必要的內(nèi)部控制和管理制度。禁止非電腦人員操作財(cái)務(wù)專用電腦、設(shè)置操作權(quán)限控制、操作人員身份的密碼控制等，防止內(nèi)部會(huì)計(jì)人員的惡意行為及工作人員的無意行為造成的會(huì)計(jì)信息的不安全性，從源頭上阻止系統(tǒng)安全問題的發(fā)生。

第四，加強(qiáng)信息溝通。一是建立相應(yīng)的信息和溝通機(jī)制。企業(yè)領(lǐng)導(dǎo)層的政策方針要及時(shí)下達(dá)給企業(yè)員工，同時(shí)企業(yè)員工要將發(fā)現(xiàn)的問題及時(shí)反饋給上級(jí)部門。會(huì)計(jì)信息系統(tǒng)主要是記錄、處理、存儲(chǔ)、歸納和交流信息，所有交易必須在系統(tǒng)中留下審計(jì)線索，為內(nèi)部控制提供保證。二是建立會(huì)計(jì)核算軟件數(shù)據(jù)接口標(biāo)準(zhǔn)，解決“信息孤島”問題。只要符合會(huì)計(jì)數(shù)據(jù)接口標(biāo)準(zhǔn)，實(shí)現(xiàn)會(huì)計(jì)信息化的單位就很容易將歷年會(huì)計(jì)數(shù)據(jù)導(dǎo)出，建立數(shù)據(jù)倉(cāng)庫(kù)。這不僅可以使不同的會(huì)計(jì)信息系統(tǒng)間具有兼容性，有利于企業(yè)財(cái)務(wù)數(shù)據(jù)的集中管理，實(shí)現(xiàn)數(shù)據(jù)共享，而且有利于降低政府和行業(yè)主管部門監(jiān)管成本、提高監(jiān)管質(zhì)量。

第五，加強(qiáng)企業(yè)內(nèi)部監(jiān)督。對(duì)內(nèi)部控制實(shí)施過程必須進(jìn)行恰當(dāng)?shù)谋O(jiān)督檢查，其中內(nèi)部審計(jì)是監(jiān)督檢查最常用的方法。在會(huì)計(jì)信息化環(huán)境下，由于是“人機(jī)”對(duì)話的特殊形態(tài),因而對(duì)內(nèi)部審計(jì)提出了更高、更嚴(yán)格的要求。內(nèi)部審計(jì)除了傳統(tǒng)環(huán)境下審計(jì)的范圍外，還必須包括以下幾個(gè)方面：檢查對(duì)信息化環(huán)境下制定的各項(xiàng)控制制度是否做到有效執(zhí)行；對(duì)會(huì)計(jì)資料進(jìn)行審計(jì)，檢查會(huì)計(jì)信息化系統(tǒng)賬務(wù)處理是否正確；監(jiān)督數(shù)據(jù)保存方式的安全、合法性，防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象；對(duì)信息系統(tǒng)進(jìn)行全面的、系統(tǒng)的、獨(dú)立的檢測(cè)，防止存在漏洞，確保系統(tǒng)安全運(yùn)行。

［1］譚志剛：《企業(yè)信息化環(huán)境下內(nèi)部控制的思考》，《財(cái)會(huì)通訊》2004年第2期。