文 勇

摘要:會(huì)計(jì)信息系統(tǒng)的推廣,使得會(huì)計(jì)核算的準(zhǔn)確性、可靠性和數(shù)據(jù)處理效率得到了極大的提高,但也為企業(yè)的內(nèi)部控制帶來(lái)了許多新問(wèn)題。文章基于《企業(yè)內(nèi)部控制基本規(guī)范》,借鑒COSO報(bào)告五要素框架理論,分析探討了影響內(nèi)部會(huì)計(jì)控制制度的控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控等5個(gè)要素,并提出了與之相對(duì)應(yīng)的完善會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度的建議,以期對(duì)企業(yè)有一定的借鑒意義。

關(guān)鍵詞:企業(yè)內(nèi)部控制基本規(guī)范;內(nèi)部控制;會(huì)計(jì)信息系統(tǒng)

2008年6月28日,財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)聯(lián)合發(fā)布了我國(guó)首部《企業(yè)內(nèi)部控制基本規(guī)范》(以下簡(jiǎn)稱(chēng)基本規(guī)范)。基本規(guī)范自2010年1月1日起首先在上市公司范圍內(nèi)實(shí)施,鼓勵(lì)非上市的其他大中型企業(yè)執(zhí)行。這意味著中國(guó)企業(yè)內(nèi)部控制規(guī)范體系建設(shè)正在向國(guó)際標(biāo)準(zhǔn)靠攏。

這套適用于中國(guó)企業(yè)的內(nèi)部控制體系,其基本規(guī)范借鑒了COSO(The Committee of Sponsoring Organization)報(bào)告五要素框架和風(fēng)險(xiǎn)管理八要素框架;具體范圍以財(cái)務(wù)報(bào)告內(nèi)部控制為主線(xiàn),對(duì)與企業(yè)財(cái)務(wù)報(bào)表項(xiàng)目相關(guān)的、可能會(huì)對(duì)財(cái)務(wù)報(bào)告真實(shí)可靠性產(chǎn)生較大影響的經(jīng)濟(jì)業(yè)務(wù)事項(xiàng)以及與財(cái)務(wù)報(bào)表編報(bào)相關(guān)的業(yè)務(wù)活動(dòng)提出具體的控制規(guī)范,并對(duì)為實(shí)現(xiàn)有效的財(cái)務(wù)報(bào)告內(nèi)部控制的事前、事中和事后制度支持提出控制要求。本文從IT內(nèi)部控制與IT風(fēng)險(xiǎn)管理的角度,闡述企業(yè)IT控制與會(huì)計(jì)信息系統(tǒng)內(nèi)部控制之間的關(guān)系。

一、會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度包含的五要素框架

美國(guó)COSO發(fā)布了關(guān)于內(nèi)部控制的概念界定和評(píng)價(jià)內(nèi)部控制系統(tǒng)的指導(dǎo)性框架的報(bào)告,這一報(bào)告被國(guó)際社會(huì)公認(rèn)為可接受的內(nèi)部控制的權(quán)威性報(bào)告,對(duì)我國(guó)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制制度的建立具有重要的參考價(jià)值。COSO報(bào)告認(rèn)為內(nèi)部控制系統(tǒng)包括5個(gè)組成要素:控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控。相應(yīng),會(huì)計(jì)信息系統(tǒng)內(nèi)部控制框架也對(duì)應(yīng)于企業(yè)內(nèi)部控制的五要素框架。因此,對(duì)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度的探討也應(yīng)從這5個(gè)方面進(jìn)行。

(一)內(nèi)部環(huán)境

內(nèi)部環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱(chēng),是實(shí)施內(nèi)部控制的基礎(chǔ)。內(nèi)部環(huán)境在企業(yè)IT領(lǐng)域的體現(xiàn)是IT的內(nèi)部控制環(huán)境,主要包括IT治理架構(gòu)、IT組織與職責(zé),IT決策機(jī)制,IT合規(guī)與IT審計(jì)等。在IT環(huán)境下,因?yàn)槠髽I(yè)內(nèi)部管理結(jié)構(gòu)扁平化,使得內(nèi)部控制的組織結(jié)構(gòu)發(fā)生改變。這要求內(nèi)部控制的方式與管理手段隨之改變。IT經(jīng)濟(jì)引導(dǎo)著企業(yè)組織從機(jī)械式向有機(jī)式并最終向虛擬組織發(fā)展演變,要求企業(yè)的領(lǐng)導(dǎo)階層學(xué)會(huì)在一個(gè)流動(dòng)和動(dòng)態(tài)的環(huán)境中發(fā)現(xiàn)內(nèi)聚力和構(gòu)造組織,既要有創(chuàng)新和發(fā)展,又能在不斷磨合中加強(qiáng)內(nèi)部控制和向心力。IT改變企業(yè)的架構(gòu)、企業(yè)文化,并影響各成員控制意識(shí),這要求管理層樹(shù)立信息意識(shí),更新控制觀(guān)念。

(二)風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是及時(shí)識(shí)別、科學(xué)分析和評(píng)價(jià)影響企業(yè)內(nèi)部控制目標(biāo)實(shí)現(xiàn)的各種不確定因素并采取應(yīng)對(duì)策略的過(guò)程,是實(shí)施內(nèi)部控制的重要環(huán)節(jié),也是COSO內(nèi)部控制整體框架的獨(dú)特之處。IT手段的不斷應(yīng)用,給企業(yè)帶來(lái)競(jìng)爭(zhēng)優(yōu)勢(shì)的同時(shí)也帶來(lái)了風(fēng)險(xiǎn),在IT環(huán)境下,雖然企業(yè)的整體目標(biāo)沒(méi)有改變,但是經(jīng)濟(jì)、產(chǎn)業(yè)及管理的外部環(huán)境與內(nèi)部因素都發(fā)生了變化。伴隨業(yè)務(wù)流程的改變,系統(tǒng)的開(kāi)發(fā)性、信息的分散性、數(shù)據(jù)的共享性,使系統(tǒng)從以往封閉集中狀態(tài)走向開(kāi)放,給會(huì)計(jì)信息系統(tǒng)帶來(lái)了風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)構(gòu)成了內(nèi)部控制的新內(nèi)容,擴(kuò)大了會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的范圍,必須有效利用IT作為控制風(fēng)險(xiǎn)的工具。應(yīng)樹(shù)立信息意識(shí),更新控制觀(guān)念,改變思維定式,有效利用IT為企業(yè)服務(wù)。把IT作為防范風(fēng)險(xiǎn)的工具,與業(yè)務(wù)活動(dòng)有效結(jié)合起來(lái),建立一個(gè)控制良好的電子數(shù)據(jù)處理系統(tǒng),保證企業(yè)業(yè)務(wù)處理活動(dòng)嚴(yán)格按商業(yè)規(guī)則進(jìn)行。

(三)控制措施

控制措施是根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果、結(jié)合風(fēng)險(xiǎn)應(yīng)對(duì)策略所采取的確保企業(yè)內(nèi)部控制目標(biāo)得以實(shí)現(xiàn)的方法與手段,是實(shí)施內(nèi)部控制的具體方式,主要包括職責(zé)分工控制、授權(quán)控制、績(jī)效評(píng)估控制、財(cái)產(chǎn)保護(hù)控制、會(huì)計(jì)系統(tǒng)控制、內(nèi)部報(bào)告控制、信息技術(shù)控制等。IT的廣泛應(yīng)用,增強(qiáng)了控制手段的靈活性、高效性,加強(qiáng)了內(nèi)部控制的預(yù)防、檢查與糾正的功能,經(jīng)濟(jì)有效地實(shí)現(xiàn)內(nèi)部控制的目標(biāo)。IT環(huán)境下的會(huì)計(jì)信息系統(tǒng)控制的重點(diǎn)由對(duì)人的控制為主轉(zhuǎn)變?yōu)閷?duì)人、機(jī)共同控制為主,控制程序與計(jì)算機(jī)處理相協(xié)調(diào)適應(yīng)。隨著計(jì)算機(jī)使用范圍的擴(kuò)大,利用計(jì)算機(jī)進(jìn)行貪污、舞弊、詐騙等犯罪活動(dòng)有所增加。因此,也增加了IT環(huán)境下內(nèi)部控制的難度與復(fù)雜性。

(四)信息與溝通

信息與溝通是及時(shí)、準(zhǔn)確、完整地收集與企業(yè)經(jīng)營(yíng)管理相關(guān)的各種信息,并使這些信息以適當(dāng)?shù)姆绞皆谄髽I(yè)有關(guān)層級(jí)之間進(jìn)行及時(shí)傳遞、有效溝通和正確應(yīng)用的過(guò)程,是實(shí)施內(nèi)部控制的重要條件。IT銜接企業(yè)各職能部門(mén)實(shí)現(xiàn)了會(huì)計(jì)和業(yè)務(wù)的一體化處理,會(huì)計(jì)核算從事后的靜態(tài)核算轉(zhuǎn)變?yōu)槭轮械膭?dòng)態(tài)控制,信息需求者可以獲取實(shí)時(shí)信息,使得工作在空間和時(shí)間上的接近不再是至關(guān)重要的問(wèn)題。內(nèi)部控制由順序化向并行化發(fā)展,企業(yè)的設(shè)計(jì)、制造、銷(xiāo)售、會(huì)計(jì)等人員并肩工作,共同控制企業(yè)的物流、資金流和信息流。

(五)監(jiān)督檢查

監(jiān)督檢查是企業(yè)對(duì)其內(nèi)部控制的健全性、合理性和有效性進(jìn)行監(jiān)督檢查與評(píng)估,形成書(shū)面報(bào)告并做出相應(yīng)處理的過(guò)程,是實(shí)施內(nèi)部控制的重要保證。在IT環(huán)境下,一些內(nèi)部控制被計(jì)算機(jī)程序化并嵌入在計(jì)算機(jī)應(yīng)用系統(tǒng)內(nèi),因此內(nèi)部控制具有人工控制與程序控制相結(jié)合的特點(diǎn)。這些程序化的內(nèi)部控制的有效性取決于應(yīng)用程序,如果程序發(fā)生差錯(cuò)或計(jì)算機(jī)感染病毒,由于人們對(duì)計(jì)算機(jī)系統(tǒng)的依賴(lài)性、麻痹大意及程序運(yùn)行的重復(fù)性,使得失效控制長(zhǎng)期不被發(fā)現(xiàn),甚至導(dǎo)致系統(tǒng)在特定方面發(fā)生錯(cuò)誤或違規(guī)行為的可能性較大。所以,在IT環(huán)境下,注意對(duì)內(nèi)部控制的監(jiān)督,由適當(dāng)?shù)娜藛T,在適當(dāng)?shù)臅r(shí)候,及時(shí)評(píng)估控制的設(shè)計(jì)和運(yùn)作情況。

二、建立健全會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度的建議

鑒于會(huì)計(jì)信息系統(tǒng)的特點(diǎn),借助COSO框架,建立會(huì)計(jì)信息系統(tǒng)內(nèi)部控制制度應(yīng)考慮如下因素:

(一)完善企業(yè)內(nèi)部控制環(huán)境

1、組織結(jié)構(gòu)調(diào)整。信息技術(shù)的引入使管理幅度增大、層次減少,高聳型的組織結(jié)構(gòu)逐漸趨于扁平。同時(shí),網(wǎng)絡(luò)使內(nèi)、外部人員進(jìn)行更多的溝通,內(nèi)部控制由命令與控制向集中與協(xié)調(diào)轉(zhuǎn)變。因此,必須進(jìn)行組織結(jié)構(gòu)調(diào)整才能更好地進(jìn)行內(nèi)部控制。企業(yè)應(yīng)通過(guò)組織結(jié)構(gòu)調(diào)整、建立恰當(dāng)?shù)慕M織機(jī)構(gòu)和職責(zé)分工制度,并通過(guò)部門(mén)設(shè)置、人員分工、崗位職責(zé)的制定、權(quán)限的劃分等形式進(jìn)行控制,從而達(dá)到相互牽制、相互制約、防止或減少舞弊發(fā)生的目的。應(yīng)設(shè)立會(huì)計(jì)崗位和系統(tǒng)管理崗位。會(huì)計(jì)崗位負(fù)責(zé)基本的核算及檔案管理等工作;系統(tǒng)管理崗位負(fù)責(zé)會(huì)計(jì)信息系統(tǒng)的操作、管理、維護(hù)等工作。崗位的設(shè)置應(yīng)遵循不相容職務(wù)分離的原則,使不同崗位之間相互監(jiān)督,相互制約,以達(dá)到控制的目的。

2、培養(yǎng)管理人員的內(nèi)部控制觀(guān)念和信息觀(guān)念。管理者的觀(guān)念在很大程度上決定了企業(yè)的內(nèi)部控制制度能否順利實(shí)施,也大大影響著內(nèi)部控制的效率和效果。在會(huì)計(jì)信息化條件下,應(yīng)該注重培養(yǎng)管理人員的內(nèi)控觀(guān)念和信息觀(guān)念,理解企業(yè)信息化建設(shè)、內(nèi)部控制和企業(yè)發(fā)展的關(guān)系。隨著企業(yè)流程重組和組織結(jié)構(gòu)變革,管理人員必須更新觀(guān)念,有效實(shí)施內(nèi)部控制制度,注重管理實(shí)效,對(duì)企業(yè)進(jìn)行現(xiàn)代化管理。

3、加強(qiáng)董事會(huì)的建設(shè),發(fā)揮董事會(huì)的作用和職能。企業(yè)應(yīng)當(dāng)以董事會(huì)作為內(nèi)部控制系統(tǒng)的核心,加強(qiáng)董事會(huì)建設(shè),發(fā)揮董事會(huì)的作用和職能,完全履行其監(jiān)控、引導(dǎo)和監(jiān)督的責(zé)任,消除內(nèi)部人控制現(xiàn)象,完善內(nèi)部控制環(huán)境,保證內(nèi)部控制的有效運(yùn)行。

(二)正確地進(jìn)行風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)分析

會(huì)計(jì)信息化后,由于會(huì)計(jì)信息系統(tǒng)自身的特點(diǎn),增加了會(huì)計(jì)工作的風(fēng)險(xiǎn)。主要包括:第一,開(kāi)發(fā)和設(shè)計(jì)中存在的風(fēng)險(xiǎn)。由于系統(tǒng)研發(fā)人員對(duì)會(huì)計(jì)工作的不了解或者考慮問(wèn)題不全面,致使實(shí)際工作中的情況不能與系統(tǒng)相吻合,容易出現(xiàn)差錯(cuò),從而導(dǎo)致的風(fēng)險(xiǎn)。第二,操作不規(guī)范和玩忽職守造成的風(fēng)險(xiǎn)。第三,計(jì)算機(jī)維護(hù)不當(dāng)造成的風(fēng)險(xiǎn)。會(huì)計(jì)信息都儲(chǔ)存在磁介質(zhì)中,如果計(jì)算機(jī)維護(hù)不當(dāng),容易使會(huì)計(jì)信息丟失或被刪改。第四,不可控制的風(fēng)險(xiǎn)。如突然斷電、自然災(zāi)害、病毒攻擊、黑客侵入等。這些都是會(huì)計(jì)信息化所帶來(lái)的風(fēng)險(xiǎn)。管理者必須對(duì)這些風(fēng)險(xiǎn)進(jìn)行正確的評(píng)估和分析,才能防患于未然,有效地進(jìn)行內(nèi)部控制。

1、系統(tǒng)操作控制。由于操作系統(tǒng)的用戶(hù)較多,加上自身的缺陷,系統(tǒng)面臨著來(lái)自各方面的潛在威脅。因此,必須對(duì)系統(tǒng)操作進(jìn)行嚴(yán)格的控制。首先,要明確規(guī)定每個(gè)用戶(hù)的安全級(jí)別和身份標(biāo)識(shí),并分別定義具體的訪(fǎng)問(wèn)對(duì)象。每個(gè)崗位的人員只能按照所授予的權(quán)限對(duì)系統(tǒng)進(jìn)行操作,不能越權(quán)使用。其次,要對(duì)進(jìn)出機(jī)房的人員進(jìn)行登記,對(duì)運(yùn)行系統(tǒng)的事件類(lèi)型、用戶(hù)身份、操作時(shí)間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進(jìn)行實(shí)時(shí)監(jiān)視和記錄,并對(duì)日志文件定期進(jìn)行安全檢查和評(píng)估。由于企業(yè)實(shí)行會(huì)計(jì)信息化后內(nèi)部控制重點(diǎn)的轉(zhuǎn)變,企業(yè)必須對(duì)會(huì)計(jì)數(shù)據(jù)的輸入、輸出和處理過(guò)程進(jìn)行嚴(yán)格的控制。在會(huì)計(jì)核算軟件中,對(duì)輸入過(guò)程的控制,首先是授權(quán)控制,輸入的數(shù)據(jù)必須經(jīng)過(guò)授權(quán),沒(méi)有經(jīng)過(guò)授權(quán)的輸入應(yīng)當(dāng)是無(wú)效的。其次要保證輸入數(shù)據(jù)的正確性,通過(guò)各種手段對(duì)輸入過(guò)程進(jìn)行控制。一般的軟件在研發(fā)時(shí)就對(duì)相應(yīng)數(shù)據(jù)的輸入格式和類(lèi)型進(jìn)行了規(guī)定,但是為了保證數(shù)據(jù)的正確性,需要采用重復(fù)輸入校驗(yàn)的手段進(jìn)行控制,可以是同一人多次輸入,也可以是不同的人各自輸入進(jìn)行校驗(yàn)。輸出控制的目的是保證結(jié)果的完整性和正確性。輸出的數(shù)據(jù)同樣也應(yīng)有授權(quán),如對(duì)用戶(hù)進(jìn)行訪(fǎng)問(wèn)范圍控制等,并對(duì)發(fā)送對(duì)象已經(jīng)發(fā)送的數(shù)量有明確的規(guī)定和記錄。對(duì)于數(shù)據(jù)在傳輸過(guò)程中的控制可以采用順序編碼的方式,并對(duì)數(shù)據(jù)發(fā)送和接收的時(shí)間進(jìn)行記錄,便于日后查詢(xún)。

2、系統(tǒng)維護(hù)控制。系統(tǒng)的維護(hù)是指日常為保障系統(tǒng)正常運(yùn)行而對(duì)系統(tǒng)硬軟件進(jìn)行的安裝、修正、更新、擴(kuò)展、備份等方面的工作,包括硬件維護(hù)和軟件維護(hù)。硬件維護(hù)主要包括定期進(jìn)行檢查并做好記錄;在系統(tǒng)運(yùn)行過(guò)程中出現(xiàn)硬件故障要及時(shí)進(jìn)行故障分析并做好記錄。而軟件維護(hù)包括正確性維護(hù)、適應(yīng)性維護(hù)和完善性維護(hù)。在軟件修改、升級(jí)和硬件更換過(guò)程中,要保證實(shí)際會(huì)計(jì)數(shù)據(jù)的連續(xù)和安全,并由有關(guān)人員進(jìn)行監(jiān)督。

3、信息化會(huì)計(jì)檔案管理的控制。會(huì)計(jì)檔案管理的目標(biāo)是要做到任何情況下數(shù)據(jù)都不丟失、不損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數(shù)據(jù)的恢復(fù)與重建等,而數(shù)據(jù)的備份則是數(shù)據(jù)恢復(fù)與重建的基礎(chǔ),是一種常見(jiàn)的數(shù)據(jù)控制手段,采用磁性介質(zhì)保存會(huì)計(jì)檔案要定期進(jìn)行檢查和定期復(fù)制,防止由于磁性介質(zhì)損壞而使會(huì)計(jì)檔案丟失。網(wǎng)絡(luò)中利用兩個(gè)服務(wù)器進(jìn)行雙機(jī)鏡像映射備份是備份的先進(jìn)形式。

(三)完善IT控制措施

針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果,在會(huì)計(jì)信息系統(tǒng)方面需要實(shí)施具體的IT控制措施,包括IT管理類(lèi)控制措施,如開(kāi)發(fā)管理、項(xiàng)目管理、變更管理、安全管理、運(yùn)營(yíng)管理、職責(zé)分離,授權(quán)審批等,以及IT技術(shù)類(lèi)控制措施,如數(shù)據(jù)加密、訪(fǎng)問(wèn)控制、數(shù)字簽名、隧道(VPN)、防病毒、入侵檢測(cè)、身份管理、權(quán)限管理等。下面將以網(wǎng)絡(luò)會(huì)計(jì)信息系統(tǒng)中較為先進(jìn)的數(shù)據(jù)加密技術(shù)和數(shù)字簽名技術(shù)為例進(jìn)行介紹。

數(shù)據(jù)加密技術(shù)是保護(hù)信息通過(guò)公共網(wǎng)絡(luò)傳輸和防止電子竊聽(tīng)的首選方法?，F(xiàn)代加密技術(shù)分為對(duì)稱(chēng)加密(專(zhuān)用密鑰,private key)和非對(duì)稱(chēng)加密(公開(kāi)密鑰,public key)兩大類(lèi)。對(duì)稱(chēng)加密法是最傳統(tǒng)的方式,其特點(diǎn)是關(guān)聯(lián)雙方共享一把專(zhuān)用密鑰進(jìn)行加密和解密運(yùn)算,專(zhuān)用密鑰法面臨的最大難題是密鑰網(wǎng)上分發(fā)的安全性問(wèn)題。非對(duì)稱(chēng)加密法1976年問(wèn)世,它將密鑰一分為二,即一把公鑰和一把私鑰,具有加密鑰不同于解密鑰、并且在計(jì)算上不能由加密鑰推出解密鑰的特點(diǎn),有效解決了密鑰分發(fā)的管理問(wèn)題,特別適合計(jì)算機(jī)網(wǎng)絡(luò)的應(yīng)用環(huán)境。譬如總公司對(duì)下屬企業(yè)公開(kāi)其“密鑰對(duì)”中的公鑰,下屬企業(yè)可以用公鑰對(duì)上報(bào)的報(bào)表信息加密,安全地傳送給總公司,然后由總公司用其保留的私鑰進(jìn)行解密。

數(shù)字簽名是指在Internet環(huán)境下,電子符號(hào)代替了會(huì)計(jì)數(shù)據(jù),磁介質(zhì)代替了紙介質(zhì),財(cái)務(wù)數(shù)據(jù)流動(dòng)過(guò)程中的簽字蓋章等傳統(tǒng)手段將完全改變,為驗(yàn)證對(duì)方身份、保證數(shù)據(jù)真實(shí)性和完整性,在計(jì)算機(jī)通信中采用數(shù)字簽名這一安全控制手段?；跀?shù)字簽名還可建立不可否認(rèn)機(jī)制,也就是說(shuō),只要用戶(hù)或應(yīng)用程序已執(zhí)行某一動(dòng)作,就不能否認(rèn)其行動(dòng)。數(shù)字簽名是上述公開(kāi)密鑰密碼技術(shù)的另一類(lèi)應(yīng)用。它的主要方式如:會(huì)計(jì)信息的披露方從信息文本中通過(guò)一種信息摘要算法產(chǎn)生一固定長(zhǎng)度(如128位)的摘要值,用自己的私鑰對(duì)摘要值加密,來(lái)形成披露方的數(shù)字簽名,連同原文一起發(fā)出;關(guān)聯(lián)方首先用同樣的摘要算法對(duì)報(bào)文計(jì)算摘要值,接著再用披露方一同發(fā)來(lái)的公鑰對(duì)數(shù)字簽名解密,如果兩個(gè)摘要值相同,證明信息在發(fā)送途中未被篡改,而且報(bào)文確定來(lái)自所稱(chēng)的披露方。財(cái)務(wù)系統(tǒng)中遠(yuǎn)程處理時(shí)可用數(shù)字簽名技術(shù)代替簽字蓋章的傳統(tǒng)確認(rèn)手段,當(dāng)然這得是在國(guó)家有相應(yīng)的財(cái)務(wù)制度許可的條件下。

(四)建立信息與溝通機(jī)制

企業(yè)建立健全了規(guī)章制度和業(yè)務(wù)流程之后,如何貫徹落實(shí)?這就需要企業(yè)有相應(yīng)的信息和溝通機(jī)制,它是整個(gè)內(nèi)部控制系統(tǒng)的生命線(xiàn),為管理層監(jiān)督各項(xiàng)活動(dòng)和在必要時(shí)采取糾正措施提供了保證,包括信息發(fā)布渠道和反饋機(jī)制。如:企業(yè)領(lǐng)導(dǎo)層的政策方針要通過(guò)信息發(fā)布渠道下達(dá)給企業(yè)員工,這是一個(gè)是自上而下逐步灌輸?shù)倪^(guò)程。還要有一個(gè)自下而上的反饋機(jī)制,企業(yè)員工發(fā)現(xiàn)風(fēng)險(xiǎn),發(fā)現(xiàn)問(wèn)題,要通過(guò)匯報(bào)機(jī)制逐層匯報(bào)給上級(jí)部門(mén),這樣就能避免很多問(wèn)題的發(fā)生。作為內(nèi)部控制的重要組成部分的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制也是如此,會(huì)計(jì)信息系統(tǒng)的主要目的是記錄、處理、存儲(chǔ)、歸納和交流信息,任何交易必須能夠追蹤其從發(fā)生到終止的過(guò)程,所有交易必須在系統(tǒng)中留下審計(jì)線(xiàn)索,為內(nèi)部控制提供保證。

(五)建立健全監(jiān)督檢查機(jī)制

整個(gè)內(nèi)部控制的過(guò)程必須施以恰當(dāng)?shù)谋O(jiān)督檢查,通過(guò)監(jiān)督檢查活動(dòng)在必要時(shí)對(duì)其加以修正。這里所指的監(jiān)督檢查主要包括4個(gè)方面:職業(yè)道德的約束,公司應(yīng)成立由董事長(zhǎng)、財(cái)務(wù)總監(jiān)、首席法律顧問(wèn)等組成的“職業(yè)道德遵行委員會(huì),負(fù)責(zé)調(diào)查違反行為準(zhǔn)則的人員;通過(guò)外部審計(jì),檢查和確認(rèn)財(cái)務(wù)報(bào)告的合法性、公允性和一貫性;通過(guò)內(nèi)部審計(jì),對(duì)內(nèi)部各部門(mén)的財(cái)務(wù)、管理、效益進(jìn)行審計(jì);加強(qiáng)集團(tuán)對(duì)分部的監(jiān)控和分部的內(nèi)部控制狀況。

其中,內(nèi)部審計(jì)是監(jiān)督檢查最常用的途徑。企業(yè)應(yīng)該設(shè)立內(nèi)部審計(jì)部門(mén),并定期或不定期地對(duì)企業(yè)的會(huì)計(jì)信息系統(tǒng)進(jìn)行審計(jì)。內(nèi)部審計(jì)應(yīng)包括:對(duì)會(huì)計(jì)資料定期進(jìn)行審計(jì),會(huì)計(jì)信息化系統(tǒng)賬務(wù)處理是否正確;審查機(jī)內(nèi)數(shù)據(jù)與書(shū)面資料的一致性;監(jiān)督數(shù)據(jù)保存方式的安全、合法性,防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象;對(duì)系統(tǒng)運(yùn)行各環(huán)節(jié)進(jìn)行審查,防止存在漏洞等。

三、結(jié)束語(yǔ)

《企業(yè)內(nèi)部控制基本規(guī)范》的頒布實(shí)施將對(duì)我國(guó)企業(yè)的內(nèi)部控制發(fā)展產(chǎn)生重大影響,實(shí)施會(huì)計(jì)信息化的單位應(yīng)該結(jié)合信息化內(nèi)部會(huì)計(jì)控制的目標(biāo)和特點(diǎn),提出更高的控制要求,擴(kuò)大有效的控制范圍,采取更好的控制方式,重新構(gòu)建一套較為完善的內(nèi)部會(huì)計(jì)控制體系,從而規(guī)范單位的會(huì)計(jì)行為,提高會(huì)計(jì)信息的可靠性、有用性,保證其對(duì)單位內(nèi)部管理與外部信息服務(wù)的作用,以增強(qiáng)企業(yè)的競(jìng)爭(zhēng)能力和生存能力,從而進(jìn)一步發(fā)揮會(huì)計(jì)信息化的優(yōu)勢(shì)。

參考文獻(xiàn):

1、企業(yè)內(nèi)部控制課題研究組.企業(yè)內(nèi)部控制基本規(guī)范解讀及應(yīng)用指南[M].中國(guó)商業(yè)出版社,2009.

2、薛劍虹.基于信息技術(shù)的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制問(wèn)題研究[J].中國(guó)管理信息化,2007(8).

(作者單位:東莞南博職業(yè)技術(shù)學(xué)院。作者為會(huì)計(jì)師)