網(wǎng)絡(luò)會計內(nèi)控安全評價體系的構(gòu)建與研究

2014-08-08 20:25陳姍姍

會計之友 2014年16期

陳姍姍

【摘要】文章以傳統(tǒng)內(nèi)控體系理論及網(wǎng)絡(luò)會計內(nèi)部控制的風(fēng)險分析為基礎(chǔ)，構(gòu)建新的網(wǎng)絡(luò)會計內(nèi)部控制安全評價體系，并對其進(jìn)行了詳細(xì)描述。同時采用模糊評價法對該體系進(jìn)行績效評價，從定量角度判定其控制效果。

【關(guān)鍵詞】網(wǎng)絡(luò)會計；風(fēng)險分析；會計內(nèi)控指標(biāo)體系；模糊評價法；績效評價

中圖分類號：F232；F272.35文獻(xiàn)標(biāo)識碼：A文章編號：1004-5937（2014）16-0083-05目前，中國很多企業(yè)實施了網(wǎng)絡(luò)會計信息系統(tǒng)，但對網(wǎng)絡(luò)環(huán)境下產(chǎn)生的安全威脅不夠重視，未及時完善自身的內(nèi)控體系，增加了內(nèi)部控制的不安全性，從而影響到會計信息的安全。因此，研究網(wǎng)絡(luò)會計信息系統(tǒng)下內(nèi)部控制的安全問題，幫助企業(yè)建立一個新的、更有效的內(nèi)部控制指標(biāo)體系很有意義。

文章基于傳統(tǒng)內(nèi)部控制評價體系網(wǎng)絡(luò)化下賦予的新含義，重新構(gòu)建了網(wǎng)絡(luò)會計內(nèi)部控制的安全評價體系，以實現(xiàn)對會計內(nèi)控目標(biāo)、會計內(nèi)控環(huán)境、財務(wù)風(fēng)險監(jiān)控與管理控制、信息技術(shù)控制、財務(wù)監(jiān)督問責(zé)、信息溝通等安全控制方面的評價。

一、網(wǎng)絡(luò)會計內(nèi)部控制體系的理論基礎(chǔ)

（一）傳統(tǒng)內(nèi)部控制體系

2008年6月28日，財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會制定并印發(fā)《企業(yè)內(nèi)部控制基本規(guī)范》，要求企業(yè)建立實施的內(nèi)部控制包括下列五個要素：內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通以及內(nèi)部監(jiān)督。這五個部分也可作為評價內(nèi)部控制系統(tǒng)有效性的標(biāo)準(zhǔn)。

（二）網(wǎng)絡(luò)會計內(nèi)部控制風(fēng)險分析

內(nèi)部控制主要是控制好風(fēng)險，因此，筆者首先對網(wǎng)絡(luò)會計信息系統(tǒng)進(jìn)行安全分析，然后運用各種方法和工具找出各個流程的潛在風(fēng)險，最終建立起風(fēng)險的詳細(xì)清單，如表1所示。

二、構(gòu)建網(wǎng)絡(luò)會計內(nèi)部控制安全評價體系

處于經(jīng)濟(jì)轉(zhuǎn)型期的我國企業(yè)面臨經(jīng)營風(fēng)險及外部環(huán)境的變化，內(nèi)控體系應(yīng)及時作出相應(yīng)的調(diào)整，構(gòu)建適應(yīng)信息化環(huán)境的內(nèi)部控制框架。其中控制網(wǎng)絡(luò)會計帶來的新變化是重點，所有內(nèi)控要素都要從信息化會計系統(tǒng)的特征出發(fā)加以通盤考慮。內(nèi)部安全控制框架如圖1所示。

在網(wǎng)絡(luò)會計內(nèi)部控制體系之下，根據(jù)每一類控制因素的活動域，首先將其分解為關(guān)鍵過程域，然后將該過程域細(xì)化到具體的關(guān)鍵控制點。本文將對體系中六個控制因素的活動域，按照關(guān)鍵過程域到關(guān)鍵控制點的步驟來分別描述。

（一）會計內(nèi)控目標(biāo)

1.建立符合國內(nèi)外法律、法規(guī)，面向會計部門并結(jié)合部門內(nèi)部網(wǎng)絡(luò)會計實際情況的內(nèi)部控制體系。

2.梳理網(wǎng)絡(luò)會計下的內(nèi)部管理流程。

3.不斷完善內(nèi)部控制體系，與企業(yè)戰(zhàn)略目標(biāo)相融合，向全面風(fēng)險管理體系過渡，建立風(fēng)險管理和內(nèi)部控制長效管理機(jī)制。

（二）會計內(nèi)控環(huán)境

1.更新信息化觀念

為了適應(yīng)網(wǎng)絡(luò)發(fā)展的新形勢，企業(yè)領(lǐng)導(dǎo)要樹立市場觀念、競爭觀念，重視會計信息化，同時企業(yè)要結(jié)合先進(jìn)的管理理念和現(xiàn)代化方法，更新現(xiàn)有會計信息系統(tǒng)。

2.明確會計部門分工

財務(wù)部下應(yīng)設(shè)置信息部門和業(yè)務(wù)部門。信息部門提供信息技術(shù)服務(wù)和系統(tǒng)運行監(jiān)督；業(yè)務(wù)部門負(fù)責(zé)批準(zhǔn)、執(zhí)行業(yè)務(wù)和資產(chǎn)保管等。

3.提高財務(wù)人員安全意識

（1）將會計信息安全方針與安全考察方針形成書面文件；（2）與重要的會計人員簽署保密協(xié)議；（3）對會計人員進(jìn)行信息安全教育與培訓(xùn)。

（三）財務(wù)風(fēng)險監(jiān)控與管理

1.財務(wù)風(fēng)險監(jiān)控

（1）識別關(guān)鍵控制點；（2）更新預(yù)警模型。實時監(jiān)控潛在的風(fēng)險，將全方位的信息轉(zhuǎn)換成財務(wù)指標(biāo)，加入到預(yù)警模型中，實現(xiàn)資源共享和功能集成。

2.財務(wù)風(fēng)險管理

（1）適當(dāng)利用自動化控制來代替手工控制；（2）可在系統(tǒng)外部執(zhí)行部分關(guān)鍵的手工操作。

（四）信息技術(shù)控制

1.系統(tǒng)構(gòu)建控制

（1）制定信息系統(tǒng)開發(fā)戰(zhàn)略；（2）選擇合適的系統(tǒng)開發(fā)方式。

2.嚴(yán)密的授權(quán)審批制度

（1）操作權(quán)限與崗位責(zé)任制；（2）重點業(yè)務(wù)環(huán)節(jié)實行“雙口令”。

3.系統(tǒng)操作控制

（1）數(shù)據(jù)輸入控制；（2）數(shù)據(jù)處理控制；（3）數(shù)據(jù)輸出控制。

4.會計數(shù)據(jù)安全管理

（1）會計數(shù)據(jù)備份加密；（2）會計數(shù)據(jù)傳輸加密；（3）用戶訪問控制；（4）服務(wù)器加密。

（五）財務(wù)監(jiān)督與問責(zé)

主要是內(nèi)部審計管理：

（1）定期審計會計資料，檢查會計信息系統(tǒng)賬務(wù)處理的正確性；（2）審查機(jī)內(nèi)數(shù)據(jù)與書面資料的一致性；（3）監(jiān)督數(shù)據(jù)保存方式的安全性和合法性，防止非法修改歷史數(shù)據(jù)；（4）審查系統(tǒng)運行各環(huán)節(jié)，發(fā)現(xiàn)并及時堵塞漏洞等。

（六）信息溝通

會計信息的溝通與交流應(yīng)貫穿整個內(nèi)控體系中。

1.管理層重視

管理層應(yīng)高度重視及支持信息系統(tǒng)的開發(fā)工作，確保各職能部門信息系統(tǒng)在信息交流上高度耦合。

2.嚴(yán)密的組織保障

各部門通過控制系統(tǒng)識別使用者需要的信息；收集、加工和處理信息，并及時、準(zhǔn)確和經(jīng)濟(jì)地傳遞給相關(guān)人員。

3.體系化的制度保障

建立健全會計及相關(guān)信息的報告負(fù)責(zé)制度，使會計人員能清楚地知道其所承擔(dān)的責(zé)任，并及時取得和交換他們在執(zhí)行、管理和控制經(jīng)營過程中所需的信息。

三、基于模糊評價法的內(nèi)控評價體系應(yīng)用研究

網(wǎng)絡(luò)會計信息系統(tǒng)內(nèi)控體系績效評價的應(yīng)用研究主要利用成熟度模型來劃分內(nèi)部會計控制因素的等級，基于模糊評價法來進(jìn)行安全績效評價，最后得出相應(yīng)的結(jié)論。

（一）模糊綜合評價法的應(yīng)用

模糊綜合評價法是以模糊數(shù)學(xué)為基礎(chǔ)，將一些不易定量的因素定量化，從多個因素對被評價事物隸屬等級狀況進(jìn)行綜合性評價。

一是對網(wǎng)絡(luò)會計內(nèi)控體系進(jìn)行成熟度劃分。

二是依據(jù)成熟度模型來確定評價因素和評價等級。設(shè)：U=｛?滋1，?滋2，?滋3，…，?滋m｝為被評價對象的m個評價指標(biāo)V=｛v1，v2，v3，…，vn｝；為每一個因素所處的狀態(tài)的n種等級。

三是確定權(quán)重分配。

四是進(jìn)行全面的調(diào)查訪問，并建立評價表。

五是建立模糊評價矩陣，得出多級模糊的綜合等級。

六是得出關(guān)鍵控制點的評級表。

七是得出評價結(jié)果。

（二）模糊綜合評價法的應(yīng)用

本節(jié)針對上述內(nèi)控體系中的信息技術(shù)控制因素，對其應(yīng)用模糊評價法來進(jìn)行分析，其他控制因素的評價方法與此例相同。

1.成熟度評價標(biāo)準(zhǔn)

借鑒能力成熟度模型（CMM），同時考慮網(wǎng)絡(luò)會計信息系統(tǒng)的特點，將內(nèi)控流程評價標(biāo)準(zhǔn)劃分為六級：不存在級、初始級、已認(rèn)識級、已定義級、已管理級、優(yōu)化級。完善后的內(nèi)部會計控制成熟度評價標(biāo)準(zhǔn)如表2所示。

表2中等級的劃分是針對會計信息系統(tǒng)內(nèi)部控制體系總體情況而言。具體到網(wǎng)絡(luò)會計內(nèi)部控制的每一級指標(biāo)建立成熟度模型時，各個流程也分為以上六個等級。

2.成熟度模型

建立了成熟度評價標(biāo)準(zhǔn)之后，便可根據(jù)網(wǎng)絡(luò)會計內(nèi)部控制體系列出控制內(nèi)容、關(guān)鍵過程域及關(guān)鍵控制點。本文以信息技術(shù)控制為例建立具體模型，該控制因素的成熟度模型如表3所示。

3.權(quán)重分配

我國學(xué)者辛金國、范煒采用德爾菲法，通過問卷調(diào)查的方式得到傳統(tǒng)內(nèi)部控制五要素中控制環(huán)境權(quán)重為30%、風(fēng)險評估為12.9%、控制活動為25.2%、信息與溝通為28%、監(jiān)督為3.9%。

本文賦權(quán)采用德爾菲法，并結(jié)合網(wǎng)絡(luò)會計的特點，控制內(nèi)容的權(quán)重分配如表4、表5所示。

4.評價表

建立起三級的指標(biāo)體系結(jié)構(gòu)之后，分別對審計機(jī)構(gòu)、信息安全機(jī)構(gòu)、公司管理層及普通員工四個方面進(jìn)行調(diào)查。每一類對象都挑選10人（總共40人）進(jìn)行調(diào)查訪問，每位專家、管理者及員工分別運用實地觀察法、流程圖法、專業(yè)判斷法或工作經(jīng)驗法，按照指標(biāo)執(zhí)行情況，對每一項關(guān)鍵控制點依照成熟度模型賦予安全等級分值，表格的內(nèi)容代表選擇該等級的人數(shù)，整理后得出評價表，如表6所示。

endprint

5.模糊評價矩陣

首先，用表6中每個級別的分值除以總?cè)藬?shù)40，得出的評價結(jié)果構(gòu)成關(guān)鍵過程域的模糊評價矩陣R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，進(jìn)行關(guān)鍵控制域模糊矩陣運算，B4j=A4j·R4j

B41=［0.5 0.5］·R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，計算控制內(nèi)容的模糊矩陣運算，Vi=Ai·Bi

V4=［0.2 0.3 0.25 0.25］·B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，計算信息技術(shù)控制的綜合得分G4=V4· ［0 1 2 3 4 5］T=2.78875。

6.評級表

對各關(guān)鍵控制點的分值進(jìn)行加權(quán)平均計算，根據(jù)得出的數(shù)所靠近的級別，從而判斷其成熟度級別，公式是：

單項關(guān)鍵控制點評價得分=Σ（該關(guān)鍵控制點的分值×對應(yīng)的等級數(shù)）÷40

每一項關(guān)鍵控制點通過上述公式計算得出的評級表如表7所示。

依據(jù)內(nèi)控流程的成熟度，對照單項關(guān)鍵控制點的評級，賦予其合適的等級區(qū)間。

7.評價結(jié)果

根據(jù)模糊矩陣法運算出的信息技術(shù)控制的綜合評分為2.78875，在2—已認(rèn)識級與3—已定義級之間，接近3—已定義級。

根據(jù)表7，可以針對公司的信息技術(shù)控制關(guān)鍵控制點的績效作出如下評價：

公司在適當(dāng)?shù)男畔⑾到y(tǒng)開發(fā)方式、操作權(quán)限與崗位責(zé)任制、操作控制以及會計數(shù)據(jù)存儲加密中做得較好，評級基本在3—已定義級以上。

公司在內(nèi)部會計控制中的信息系統(tǒng)開發(fā)的戰(zhàn)略規(guī)劃、重點業(yè)務(wù)環(huán)節(jié)的安全控制、會計數(shù)據(jù)安全管理、對外來人員的訪問控制、對內(nèi)部服務(wù)器的安全管理均需要進(jìn)一步加強(qiáng)。

四、結(jié)語

網(wǎng)絡(luò)會計具有開放性、及時性、分散性與共享性的特點，根據(jù)其特點，本文建立了信息化內(nèi)部會計控制體系，主要包含會計內(nèi)控目標(biāo)、會計內(nèi)控環(huán)境、財務(wù)風(fēng)險監(jiān)控與管理、信息技術(shù)控制、財務(wù)監(jiān)督問責(zé)、信息溝通六個方面。在安全分析過程中，列出了風(fēng)險清單，讓財務(wù)部門負(fù)責(zé)人更全面地了解到面臨的各級風(fēng)險。發(fā)現(xiàn)風(fēng)險是第一步，第二步便是管理風(fēng)險，公司應(yīng)分別從內(nèi)部會計控制的六個方面進(jìn)行體系化的控制，其中最重要的便是利用信息技術(shù)控制來保障網(wǎng)絡(luò)會計信息系統(tǒng)的內(nèi)部安全和計算機(jī)網(wǎng)絡(luò)安全。最后，本文運用模糊評價法，對網(wǎng)絡(luò)會計信息系統(tǒng)內(nèi)部控制評價體系進(jìn)行應(yīng)用研究，以信息技術(shù)控制為例，對其安全內(nèi)控體系進(jìn)行了評價及實證分析?！?/p>

【參考文獻(xiàn)】

［1］王曉玲.基于風(fēng)險管理的內(nèi)部控制建設(shè)［M］.北京：電子工業(yè)出版社，2010：100-102.

［2］陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究［J］.會計研究，2007（1）：30-37.

［3］杜洪濤.網(wǎng)絡(luò)環(huán)境下會計電算化信息系統(tǒng)安全探討［J］.計算機(jī)光盤軟件與應(yīng)用，2010（9）：37-38.

［4］宮雪冰.基于內(nèi)部控制的網(wǎng)絡(luò)會計信息系統(tǒng)安全問題的控制［J］.中國管理信息化，2010，13（15）：2-3.

［5］李河君.會計信息系統(tǒng)風(fēng)險控制體系研究［D］.首都經(jīng)濟(jì)貿(mào)易大學(xué)碩士學(xué)位論文，2010.

［6］財政部會計司.《企業(yè)內(nèi)部控制應(yīng)用指引第18號—信息系統(tǒng)》解讀［J］.財務(wù)與會計，2011（6）：57-62.

［7］艾文國，王亞鳴.企業(yè)會計信息化內(nèi)部控制問題研究［J］.中國管理信息化，2008，11（15）：14-16.

［8］張繼德,劉盼盼. 會計信息系統(tǒng)安全性現(xiàn)狀及應(yīng)對策略探討［J］. 中國管理信息化，2010，13（6）：3-5.

［9］陳秀偉.網(wǎng)絡(luò)環(huán)境下會計信息系統(tǒng)的內(nèi)部控制探析［J］.中國管理信息化，2011，14（5）：7-8.

［10］梁麗瑾，房卉.基于COBIT的企業(yè)信息化內(nèi)部控制績效評價［J］.經(jīng)濟(jì)問題，2012（2）：114-119.

［11］王偉.基于COSO框架下建設(shè)項目內(nèi)部控制評價指標(biāo)體系的構(gòu)建與應(yīng)用研究［D］.湘潭大學(xué)碩士學(xué)位論文，2011.