龔艷林 楊毅

【摘要】 目前有越來越多的企業(yè)啟用了以ERP為代表的會計信息系統(tǒng)，使得工作效率得到提高，也讓會計信息化步入了新的發(fā)展階段，與之相對應的企業(yè)會計內(nèi)部控制的內(nèi)容逐步演變?yōu)闀嬓畔⒒h(huán)境下的內(nèi)部控制，如何加強會計信息化環(huán)境下的內(nèi)部控制成為企業(yè)要解決的首要問題。文章比較了會計信息化環(huán)境下的內(nèi)部控制與傳統(tǒng)內(nèi)部控制在各要素方面的新變化，提出了加強和完善會計信息化環(huán)境下內(nèi)部控制的新思路。

【關(guān)鍵詞】 會計信息系統(tǒng)；內(nèi)部控制；新思路

一、會計信息化環(huán)境下內(nèi)部控制在各要素方面的新變化

（一）在內(nèi)部環(huán)境方面的變化

與傳統(tǒng)內(nèi)部控制相比，網(wǎng)絡技術(shù)的引入，使會計工作環(huán)境發(fā)生了全新的變化，給會計業(yè)務處理方式和業(yè)務流程帶來了很大的變革，企業(yè)財務部門必須重新設置財務內(nèi)部機構(gòu)、崗位職責和業(yè)務流程，明確新的權(quán)責分配，將權(quán)利與責任落實到各個操作終端人員身上。人力資源培訓的重點也由培養(yǎng)會計專業(yè)人員變化為培養(yǎng)既懂計算機技術(shù)又懂會計專業(yè)技能和管理的復合型人才。

（二）在風險評估方面的變化

會計信息系統(tǒng)增加了信息安全問題和信息風險問題出現(xiàn)的可能性，企業(yè)需要在風險評估上增加信息技術(shù)的防御系數(shù)，建立針對計算機和網(wǎng)絡技術(shù)的風險應對策略，實現(xiàn)對網(wǎng)絡技術(shù)造成的信息風險的有效控制。企業(yè)要重新合理分析、準確掌握高級管理人員、關(guān)鍵崗位員工以及其他基層員工的風險偏好，采取適當?shù)膬?nèi)部控制措施，避免因個人風險偏好給企業(yè)經(jīng)營帶來重大損失。對于外部力量的惡意入侵和盜取要加強防范技術(shù)墻，對于內(nèi)部違反職業(yè)道德的制造虛假數(shù)據(jù)或能力水平不夠造成的會計數(shù)據(jù)偏移要有一定的事前、事中控制機制。

（三）在控制活動方面的變化

企業(yè)運用的控制措施也發(fā)生了新的變化。企業(yè)要根據(jù)信息風險評估結(jié)果，建立專門的模塊明確相關(guān)部門和崗位的職責、權(quán)限，實施對會計信息訪問權(quán)限的控制及對不同系統(tǒng)間的連接控制等，以實現(xiàn)不相容職務分離控制、授權(quán)審批控制的要求?？刂频闹攸c由對人的控制為主轉(zhuǎn)變?yōu)閷θ恕⒂嬎銠C和互聯(lián)網(wǎng)三方的控制。在會計信息系統(tǒng)中，除了對會計核算和業(yè)務管理的控制，信息系統(tǒng)本身的控制成了重中之重。

（四）在信息與溝通方面的變化

會計信息系統(tǒng)在信息集成與共享方面有高度的優(yōu)勢，通過使用網(wǎng)絡技術(shù)，擴大了信息溝通的范圍，突破了時間與空間的限制，它使企業(yè)內(nèi)部各部門之間，企業(yè)分部與總部之間的信息溝通非常便利，使得信息溝通能漫延到全世界的任何一個端口，也使信息溝通能發(fā)生在任何一個時間點。不僅如此，信息的范圍還包括來自外部所有與管理相關(guān)的財務與非財務信息，并且都是建立在對之有效分析的基礎上。因此企業(yè)要加強對信息系統(tǒng)的開發(fā)與維護、訪問與變更、數(shù)據(jù)輸入與輸出、文件儲存與保管、網(wǎng)絡安全等方面的控制，保證信息系統(tǒng)安全穩(wěn)定運行。

（五）在內(nèi)部監(jiān)督方面的變化

企業(yè)的整個會計信息系統(tǒng)是一個數(shù)據(jù)庫系統(tǒng)，不再是以前的紙質(zhì)憑證和賬本，日常的會計業(yè)務處理方面的控制，主要依靠交易授權(quán)、人員權(quán)限控制、相關(guān)業(yè)務的程序化控制來進行，這些需要加強系統(tǒng)功能來實現(xiàn)。監(jiān)控的內(nèi)容也發(fā)生了重大的變化， 主要包括對網(wǎng)絡平臺的監(jiān)控、對系統(tǒng)整體運行情況的監(jiān)控、信息傳遞過程的監(jiān)控和具體業(yè)務的監(jiān)控。同時給內(nèi)部審計帶來了新的研究課題，審計方法、審計手段和審計工具都要有較大的調(diào)整和變化。

二、會計信息化環(huán)境下內(nèi)部控制面臨的新問題

（一）會計信息系統(tǒng)程序化的缺陷，使得會計信息容易被人為故意修改

傳統(tǒng)會計業(yè)務的每一張原始單據(jù)在每一個環(huán)節(jié)都有相應治理權(quán)限的人員簽字或蓋章、領(lǐng)導簽字和蓋章，之后才能做入會計憑證中去，雖然工作的效率不高，卻在層層人員經(jīng)手之下，有效地防止了舞弊，而基于會計信息系統(tǒng)使會計信息在企業(yè)公共信息平臺上成為開放的信息系統(tǒng)，會計人員既從事數(shù)據(jù)的輸入、處理，又負責數(shù)據(jù)的輸出、報送，這容易使他們在未經(jīng)批準的情況下，對使用的程序和數(shù)據(jù)庫進行隨意修改等操作處理，一旦科目體系和對賬數(shù)據(jù)被破壞，將造成整個系統(tǒng)的癱瘓，而且任何人只要得到口令和密碼都可以不受限制地隨意調(diào)閱會計信息，控制會計網(wǎng)絡系統(tǒng)，這樣很容易使企業(yè)的商業(yè)機密遭到泄露和破壞。還有些不法分子可能利用計算機程序舞弊，篡改、刪除、隱匿、轉(zhuǎn)移和偽造會計數(shù)據(jù)且不留痕跡，這種虛假會計信息會給企業(yè)帶來不可估量的損失。

（二）人為非故意的差錯，易使會計信息失真呈現(xiàn)“幾何效應”

任何一個操作系統(tǒng)都不可能是完美無缺的，計算機是在公式化和相互勾稽的程序關(guān)系編程之下處理數(shù)據(jù)的，它缺乏手工環(huán)境下的人工識別糾錯能力，當輸入的原始數(shù)據(jù)有一點點偏移時，計算機系統(tǒng)的自動智能化、高度集成化能將這個錯誤的原始數(shù)據(jù)，傳遞到其他系列的點及面，隨著時間指數(shù)、擴散效應而被逐級放大，造成多個賬簿、會計報表以及整個會計信息系統(tǒng)失真的幾何效應，如果這個錯誤沒有及時發(fā)現(xiàn)，就會重復地產(chǎn)生新錯誤，數(shù)據(jù)會產(chǎn)生更高倍數(shù)的幾何效應，生成的不真實會計信息資料會給企業(yè)管理者帶來重大的決策失誤。

（三）計算機存儲介質(zhì)的改變，給會計信息檔案的儲存與保管方式提出新要求

會計信息系統(tǒng)下的會計檔案，其產(chǎn)生與保管發(fā)生了根本性的變化，原來手工記賬中連續(xù)的紙質(zhì)憑證和檔案基本上被電子憑證和數(shù)字檔案所取代，因此如何保證會計信息化檔案的安全與完整，將成為會計信息系統(tǒng)一個亟需解決的問題。首先，隨著計算機技術(shù)的發(fā)展，存儲介質(zhì)材料在短短幾十年內(nèi)發(fā)生了巨大的變化，如軟盤、光盤、DVD、硬盤、U盤、閃存等，都屬于存儲介質(zhì)，會計信息系統(tǒng)檔案也要隨著時代的變化不斷改進存儲介質(zhì)的材料；其次，會計檔案儲存的環(huán)境要求很高，水、火、磁場、灰塵都會影響存儲介質(zhì)的質(zhì)量，對濕度、溫度也有一定的要求；最后，存儲在一定介質(zhì)上的會計檔案需要一定的軟硬件環(huán)境才可以使用，會計信息系統(tǒng)的軟件和操作系統(tǒng)可能根據(jù)政策變化或時代變化而不斷更新，重新調(diào)用以前的會計資料則需要使用符合以前軟硬件環(huán)境的系統(tǒng)才能成功，所以會計信息檔案不僅要保存歷史的會計資料和信息，還要記錄這些資料與信息的使用環(huán)境、還原方法、相關(guān)的數(shù)據(jù)庫信息和會計軟件及版本信息、操作系統(tǒng)信息等。

（四）計算機的脆弱性，給會計信息系統(tǒng)安全帶來新的風險

網(wǎng)絡技術(shù)將會計信息系統(tǒng)放入到一個整合、開放的環(huán)境中來，互聯(lián)網(wǎng)往往處于一個無組織狀態(tài)，大量的會計信息通過開放的互聯(lián)網(wǎng)傳遞，方便的可訪問性使單位及個人的敏感性信息極易受到侵入。黑客會利用系統(tǒng)的漏洞和弱點，人為惡意攻擊會計信息系統(tǒng)，非法竊取企業(yè)的商業(yè)機密；計算機病毒猖獗，其隱蔽性、潛伏性以及破壞性會對計算機網(wǎng)絡安全造成巨大的破壞，這些病毒的存在對網(wǎng)絡會計信息安全而言是一顆定時炸彈；有些不法分子會利用工具或通過編寫計算機程序突破計算機網(wǎng)絡的訪問權(quán)限，侵入他人電腦進行操作，通過修改或冒充他人的IP 地址進行信息的攔截、竊取和篡改。這些外來的“侵犯者”會使企業(yè)會計信息系統(tǒng)面臨嚴重的安全威脅，給企業(yè)會計信息系統(tǒng)安全提出了嚴峻的挑戰(zhàn)。

（五）網(wǎng)絡化會計信息系統(tǒng)業(yè)務的不斷更新，使會計人員面臨知識結(jié)構(gòu)轉(zhuǎn)型的新要求

傳統(tǒng)會計業(yè)務比較單一，會計人員只要掌握會計專業(yè)知識，熟悉會計業(yè)務流程即可以勝任工作。網(wǎng)絡環(huán)境使得會計核算方式簡便化，財務工作已融入企業(yè)業(yè)務鏈中的各環(huán)節(jié)，會計人員原有的專業(yè)知識已跟不上信息時代的要求，業(yè)務高度集成化要求會計人員在具備會計專業(yè)知識的同時，還要兼?zhèn)湄攧展芾砑熬W(wǎng)絡信息技術(shù)知識，能熟識其他業(yè)務的基本經(jīng)濟知識，而且會計信息系統(tǒng)的使用及維護可能都需要會計人員來完成，會計信息系統(tǒng)不斷地更新?lián)Q代也要求會計人員加強學習，加快知識結(jié)構(gòu)由單一向復合轉(zhuǎn)型。

（六）企業(yè)內(nèi)部控制在網(wǎng)絡環(huán)境中審核機制功能被削弱，稽核難度不斷加大

在傳統(tǒng)會計中，會計控制是通過紙質(zhì)的會計記錄及傳統(tǒng)內(nèi)部控制方法來保障傳統(tǒng)會計信息的真實與完整以及經(jīng)濟責任的明確。在會計信息系統(tǒng)中，會計信息的處理和存儲集中于網(wǎng)絡系統(tǒng)，企業(yè)的原始憑證將成為數(shù)字格式，同時大量不同的會計業(yè)務交叉在一起，加上信息資源的共享，財務信息復雜程度提高，交叉速度加快，手工會計中制單、復核、記賬等不相容崗位相互牽制制度的效力逐步削弱，稽核必須運用更復雜的審核技術(shù)，會計人員必須培訓并具備復雜電腦資料處理能力，才能勝任此項工作。

三、加強和完善會計信息化環(huán)境下內(nèi)部控制的新思路

（一）會計信息系統(tǒng)開發(fā)與維護的控制

會計信息系統(tǒng)開發(fā)控制是一種事前預防性的控制，這種控制在會計軟件系統(tǒng)開發(fā)過程中是要執(zhí)行的。一是軟件開發(fā)前要進行有效的可行性研究，總體框架的設計要定位在公司的實際業(yè)務需求上，建立有企業(yè)自身特色，整合企業(yè)所有經(jīng)濟資源的會計信息系統(tǒng)。二是系統(tǒng)的使用周期要長，要有不斷更新、升級擴充的能力，要賦予企業(yè)自己修改軟件的能力，以順應時代的變遷。三是要保留審計線索，以方便日后審計工作尋找審計軌跡，這需要企業(yè)的政策性規(guī)定才容易提上日程。四是系統(tǒng)崩潰后，具備自我恢復能力，遇上自然性不可抗力的災害也有應急的自我備份能力。目前對于系統(tǒng)維護的控制更多的是事前預防和事后彌補、修補，應該加強對系統(tǒng)的實時控制、事中監(jiān)控，越早發(fā)現(xiàn)問題越能最大限度地減少損失。

（二）網(wǎng)絡信息安全控制

網(wǎng)絡信息安全控制的重點是對網(wǎng)絡系統(tǒng)運行環(huán)境的一種控制。首先要改善網(wǎng)絡系統(tǒng)的設計，克服計算機網(wǎng)絡系統(tǒng)存在的弱點，主要建立入網(wǎng)訪問控制功能模塊。用戶入網(wǎng)訪問控制可分為三步驟：用戶名的識別與驗證；用戶口令的識別與驗證；用戶賬號的檢查。三步驟中任意一個不對也不能通過，系統(tǒng)應將其視為非法用戶，不能訪問該網(wǎng)絡。其次，網(wǎng)絡操作系統(tǒng)要經(jīng)常更新，保證其完整性和安全性。網(wǎng)絡操作系統(tǒng)應具備完善的存取控制功能，防止用戶越權(quán)存取信息；操作系統(tǒng)應具備良好的存儲保護功能，防止用戶作業(yè)在指定范圍以外的存儲區(qū)域進行操作；還應具備較完善的管理能力，以記錄系統(tǒng)的運行情況，監(jiān)測對數(shù)據(jù)文件的存取。最后，建立防火墻控制，加強病毒防殺技術(shù)，設置訪問權(quán)限、給文件加密，這樣層層保護，才能建立完整可靠的安全防線，保證會計信息系統(tǒng)的安全運行。

（三）會計信息系統(tǒng)檔案的管理控制

做好會計信息系統(tǒng)檔案的管理工作，是會計工作連續(xù)進行的保障，是保證整個會計信息系統(tǒng)資料完整的關(guān)鍵環(huán)節(jié)。具體涉及以下幾方面工作：一是使用權(quán)限的管理，指定專門的人進行檔案的管理操作，資料借閱人員和系統(tǒng)操作員不能兼任，檔案管理員可以維護檔案，但不能修改程序；二是操作日志管理，任何人都必須進行操作登記，這樣有助于檔案管理員監(jiān)督和控制，也有助于及時發(fā)現(xiàn)錯誤，便于對錯誤的修復；三是借閱修改手續(xù)管理，檔案的修改必須有嚴格的審批制度，完善借閱手續(xù)，嚴防商業(yè)秘密的泄露；四是會計檔案軟件版本的兼容性，要注意信息化檔案與對應財務軟件版本的一致性，保存會計歷史資料的同時，也要保存其存儲的軟件系統(tǒng)、數(shù)據(jù)庫信息及會計軟件版本和相關(guān)信息；五是軟、硬件的管理，會計信息檔案軟件應當使用加密技術(shù)，防止他在沒被批準的情況下遭到人為修改。計算機的存儲環(huán)境要符合要求，避免存儲環(huán)境不當而造成不必要的儲存成本，采用“AB備份法”進行數(shù)據(jù)的備份，最好異地存放，關(guān)鍵性的硬件建立雙系統(tǒng)備份，以防意外和人為錯誤造成丟失，還要經(jīng)常檢查，定期復制，以便再利用或發(fā)生意外時能及時恢復數(shù)據(jù)到最近狀態(tài)。

（四）會計信息系統(tǒng)的組織結(jié)構(gòu)控制和人員職能控制

會計信息系統(tǒng)的實施，使得整個會計組織機構(gòu)需要重建，需要設置會計信息系統(tǒng)的操作崗位、計算機安全與維護崗位、會計檔案管理崗位、系統(tǒng)監(jiān)督崗位等。而人員的職能也要重新授權(quán)，數(shù)據(jù)的采集輸入、會計檔案和系統(tǒng)監(jiān)管三種權(quán)限必須分配給不同的人或部門，對每個崗位進行系統(tǒng)功能的授權(quán)，并通過落實他們的責任和權(quán)限，防止員工利用自己的職權(quán)進行舞弊。通過進行內(nèi)部職責分工，以補救不相容職能集中化的不足，從而體現(xiàn)各部門間及部門內(nèi)部相互牽制和相互監(jiān)督的作用。對于數(shù)據(jù)文件也要有相應授權(quán)，只讀數(shù)據(jù)、修改數(shù)據(jù)、維護數(shù)據(jù)、調(diào)用數(shù)據(jù)、數(shù)據(jù)備份都要有相應的分明的權(quán)利與責任規(guī)定，以確保數(shù)據(jù)的準確性和安全性。

（五）建立健全網(wǎng)絡內(nèi)部監(jiān)督機制，加強內(nèi)部審計

加強企業(yè)內(nèi)部監(jiān)督，可以提高內(nèi)部控制的質(zhì)量，使內(nèi)部控制持續(xù)有效。首先，要經(jīng)常性地進行風險評估。每個崗位都有它最易出現(xiàn)問題的風險點，要找出這些崗位的關(guān)鍵控制點，經(jīng)常性地進行評估檢查，隨時更新。這個方面?zhèn)戎赜趯崿F(xiàn)事前預防的目的。其次，對財務的日常監(jiān)督，主要是對日常系統(tǒng)操作的監(jiān)督、修改數(shù)據(jù)的審批，還要對各個崗位的職能履行情況進行監(jiān)督等，日常的監(jiān)督有助于實現(xiàn)事中控制的功能。最后，加強內(nèi)部審計稽查的工作，會計信息系統(tǒng)的審計重點由原來的對紙質(zhì)憑證和會計資料的審計轉(zhuǎn)變?yōu)閷嬡浖到y(tǒng)的輸入、處理、輸出和安全控制功能的審計和評價。根據(jù)軟件開發(fā)時就留好的審計線索，審計要對每個主要會計循環(huán)的控制進行檢查，確定每一個控制的信賴程度，確定日常會計工作關(guān)鍵控制點的準確性及修改、更改審批關(guān)鍵控制點的可行性等等，而且應建立內(nèi)部審計準則，如會計信息系統(tǒng)內(nèi)部控制審計準則、網(wǎng)絡系統(tǒng)安全可靠性評價標準、網(wǎng)絡審計人員的要求等，為內(nèi)部審計工作提供公認的質(zhì)量標準。

（六）加強對企業(yè)內(nèi)部控制現(xiàn)狀的診斷，完善全面風險管理體系的評價

企業(yè)建立起來的內(nèi)部控制制度，不是一成不變的，而是隨著企業(yè)發(fā)展戰(zhàn)略目標變化而不斷改進更新的內(nèi)部控制制度，企業(yè)要經(jīng)常性地對企業(yè)內(nèi)部控制現(xiàn)狀進行診斷，建立全面的風險評價體系，經(jīng)常性地進行風險管理體系的評價：公司是否建立了相應合理的治理結(jié)構(gòu)，是否形成清晰的企業(yè)風險管理文化，要評價目前機構(gòu)運行是否順暢，是否與企業(yè)戰(zhàn)略目標相匹配；企業(yè)是否有足夠的整體風險意識，高層人員是否具備對重大風險的識別能力和風險管理能力，其他層次的企業(yè)員工是否具備與自己崗位相應的風險判斷能力；企業(yè)是否建立了與企業(yè)戰(zhàn)略相匹配的人才引進、培訓、激勵、薪酬、績效與考核等完善的人力資源體系，企業(yè)人才梯隊是否符合企業(yè)戰(zhàn)略發(fā)展的要求，關(guān)鍵崗位的專業(yè)能力和經(jīng)驗是否符合其相應崗位的要求，企業(yè)人力資源體系是否隨著企業(yè)戰(zhàn)略規(guī)劃的變化而相應調(diào)整；企業(yè)是否具備全面風險識別能力、風險實時監(jiān)控能力、風險管理專業(yè)能力、事前和事中防范各種風險能力，全面風險信息收集能力、風險管理報告撰寫能力與審核能力；面對企業(yè)出現(xiàn)的問題，企業(yè)是否具備審計與紀檢監(jiān)察專業(yè)能力，事后風險管理能力，事后排查整改能力；企業(yè)風險管理報告是否定期報告，是否具備足夠的專業(yè)性，風險評估方法是否先進，風險分析是否全面，風險應對策略是否與企業(yè)整體戰(zhàn)略相匹配，企業(yè)內(nèi)部控制有效性評價報告是否符合《企業(yè)內(nèi)部控制基本規(guī)范》、《企業(yè)內(nèi)部控制指引》的要求。

【參考文獻】

［1］ 楊濤.網(wǎng)絡化會計信息系統(tǒng)內(nèi)部控制研究——以CD大學為例［D］.重慶大學，2007.

［2］ 孫晶瑋.網(wǎng)絡會計環(huán)境下內(nèi)部控制的研究［D］.首都經(jīng)濟貿(mào)易大學，2010.

［3］ 劉雪晶，焦崧源.淺析會計信息化檔案安全與維護［J］.財會通訊綜合版，2008（12）.

［4］ 李天祥，李軒明.淺析計算機網(wǎng)絡安全缺陷與防范［J］. 電腦知識與技術(shù)，2011（17）.