重慶理工大學會計學院 程 平 李 寧

一、引言

隨著云計算技術愈加成熟和在應用領域中不斷拓展和深入，“云會計”的出現(xiàn)引領了會計信息化領域的新變革。云會計是構建于互聯(lián)網上，利用云計算技術和理念構建的會計信息化基礎設施和服務的總稱。當前，云會計在企業(yè)中越來越普及，在為企業(yè)帶來高效率、低成本、易更新維護、易與外部信息系統(tǒng)協(xié)同等優(yōu)勢提升企業(yè)會計信息系統(tǒng)系統(tǒng)（Accounting Information System，以下簡稱AIS）效率與效益的同時，也給AIS內部控制帶來新的挑戰(zhàn)。AIS內部控制由于存在自動化成分而在很大程度上區(qū)別于傳統(tǒng)針對人工的內部控制，然而當今企業(yè)往往由于技術水平、經營理念、管理風格等因素忽視信息技術的運用對企業(yè)內部控制設計和運行的影響。因此在設計、運行、監(jiān)督內部控制時，應當充分考慮AIS的技術特點、業(yè)務處理與控制流程設計等因素，充分發(fā)揮云會計的信息技術優(yōu)勢，有效規(guī)避AIS內部控制不利風險，建立與AIS相適應的內部控制機制，促進企業(yè)信息安全、資產保全和經營管理目標的實現(xiàn)。

AIS內部控制由于涉及到人工控制和自動化控制兩個層面的內部控制，而越發(fā)凸顯出復雜性和高風險性，已引起學者們的廣泛關注。邱照亮從當前AIS內部控制的新特點進行分析，提出了存在的問題與解決對策。黃莉娟從內部控制五要素角度分析當前網絡環(huán)境給AIS內部控制帶來的影響，并提出了網絡環(huán)境下的會計實時控制系統(tǒng)理論模型。綜觀上述文獻研究，雖已有不少有關AIS內部控制的研究，但卻鮮有針對當前備受關注的云會計相應的內部控制研究，僅僅依靠供應商在AIS設計層面、技術層面等方面提升會計信息系統(tǒng)的性能遠不能滿足企業(yè)經營管理的需要，企業(yè)應當根據所購買的云會計產品的組織形式、業(yè)務流程特點、云會計環(huán)境的安全水平以及自身財務、業(yè)務、管理層面的需求制定與云會計下AIS相適應、符合自身特點的AIS內部控制制度，并保證其有效執(zhí)行，才能最大限度的發(fā)揮云會計的優(yōu)勢。

二、云會計環(huán)境下AIS內部控制存在的風險

云會計環(huán)境下AIS內部控制存在很多有別于傳統(tǒng)內部控制的自身特性，因此，其內部控制更應當遵循成熟完備的理論體系進行設計、運行、維護，因此，本文將從內部控制五要素角度分析云會計下AIS內部控制存在的風險。

（一）控制環(huán)境基礎薄弱 控制環(huán)境無論在手工環(huán)境下還是信息化環(huán)境下都是實施內部控制的基礎，影響企業(yè)全體員工的內部控制意識，進而引導、制約員工實施控制活動和履行控制責任的態(tài)度和行為。因此，用戶選擇云會計產品時應結合企業(yè)組織架構、發(fā)展戰(zhàn)略、人力資源、企業(yè)文化和社會責任等方面的控制環(huán)境因素選擇適合自身財務、業(yè)務、管理需求的AIS，即選擇可信的AIS。軟件的可信性評價已成為當今業(yè)界和學界關注的熱點，針對會計信息化領域，AIS可信性可以定義為AIS對會計信息的輸入、處理和輸出流程符合AIS用戶的預期，以及AIS產生的會計信息所具有的相關性和可靠性等會計信息質量特征符合企業(yè)各級管理人員、審計人員、稅務部門、投資者等會計信息使用者的預期。雖然當前已有不少關于軟件可信性評價的研究，卻難以針對云會計環(huán)境下的AIS進行有效評估。由于目前還缺乏較為科學合理的云會計下AIS可信性評價方法，用戶在選擇云會計產品時難以獲得充分的可信性證據，僅能根據品牌效應、供應商提供的產品信息、小范圍的產品使用評價等數據來選擇云會計產品。如此較為盲目的選擇云會計產品使得AIS存在難以滿足用戶對系統(tǒng)可靠性、安全性、可維護性、可審計性等可信性需求的風險，這使得內部控制中的自動化控制能力有所降低，控制環(huán)境基礎薄弱，一旦發(fā)生故障未及時察覺，由于自動化控制重復運行的特性，會使問題擴大化，即使人工控制設計和運行有效合理，整體的AIS內部控制也難以滿足企業(yè)的經營管理需要。

（二）不重視風險評估 云會計環(huán)境下AIS具有開放性和動態(tài)演化性會給企業(yè)帶來信息化層面的風險，特別是外部法律法規(guī)、監(jiān)管及經營環(huán)境變化、企業(yè)從原有傳統(tǒng)AIS轉換為云會計下AIS、云端云會計服務更新升級等情況發(fā)生時，如果會計人員的素質難以適應政策變化與技術更新，AIS內部控制也沒有做出相應的調整和完善，就可能影響風險評估與防控。例如在使用云會計某些通用、簡易的業(yè)務處理模塊如特殊業(yè)務、例外事項、不合理事項等情況時，由于人工控制較為松懈或AIS未能識別出該項業(yè)務對企業(yè)來說是異常等原因，將特殊業(yè)務“通融”為正常業(yè)務進行處理而不被察覺。由于AIS內部控制不健全未能及時識別、評估、應對風險，不僅可能使企業(yè)遭受未能及時發(fā)現(xiàn)人工成分或自動化成分存在的漏洞導致的舞弊、財務信息失真、影響決策和戰(zhàn)略制定以及經營失敗等威脅，還可能使企業(yè)未能把握有利因素而錯失發(fā)展良機。

（三）控制活動缺乏靈活性 在開放動態(tài)的云會計環(huán)境下，會計業(yè)務流程是根據國家法律法規(guī)政策、行業(yè)狀況、市場情況以及用戶特定需求及時在云端自動更新維護，促使會計流程再造，而企業(yè)的內部控制制度可能因為缺少科學合理的設計以及未根據企業(yè)財務、業(yè)務、管理的需求進行及時相應的調整，控制活動缺乏靈活性而帶來AIS內部控制風險。例如作為內部控制基礎性控制手段的授權控制，傳統(tǒng)AIS內部控制只關注口令和電子簽章方式的授權，采取相互牽制與監(jiān)督、合理安排崗位職責和權限等組織控制防范口令泄密帶來的風險，卻未能將新興授權方式如優(yōu)盾、手機短信驗證等考慮在內，當企業(yè)出現(xiàn)這些技術革新時也沒有及時考量風險、完善內控，給舞弊、高新技術犯罪造成可乘之機；又如，當云端服務升級或業(yè)務流程演化時，企業(yè)缺乏靈活應變的AIS內部控制制度與之相適應，面對高度集成化的會計處理功能，合并執(zhí)行的業(yè)務處理、弱化的職責分離，使得不相容崗位相對集中，出現(xiàn)少量流程變動時未做風險防范與內部控制調整，可能會影響處理效率、或出現(xiàn)未察覺的內部控制缺陷，會帶來巨大的安全隱患，給公司造成經濟或其他利益的損失。

（四）信息系統(tǒng)溝通不暢 AIS內部控制的信息系統(tǒng)不僅包括AIS自動化信息系統(tǒng)，還包括人工信息系統(tǒng)，用來記錄、處理和報告交易、事項，目的是保證會計信息質量以便財務信息使用者和利益相關者獲取真實合理、有利于經營決策的信息。云會計下的AIS，企業(yè)將大量財務數據與非財務數據集中存儲于云端存儲設備中，此外，企業(yè)在進行交易業(yè)務處理時，大量數據、指令等重要信息與云端服務器進行交互，這些數據在開放動態(tài)的云會計環(huán)境下的安全性如何，會影響會計信息可靠性和相關性這兩個會計信息基本要求，進而影響會計信息質量。硬件和網絡基礎設施發(fā)生斷電或死機、核心財務數據遭黑客盜竊、供應商有意無意泄露信息等情況的出現(xiàn)使得內部信息傳遞不通暢、不及時，可能導致企業(yè)決策失誤、相關政策難以落實。云會計的發(fā)展必然促進網上交易的開展，原始憑證數字化的程度增加，然而數字化的原始憑證相對于傳統(tǒng)的紙質原始憑證存在易被篡改、偽造的缺點，外來單據的可靠性必將成為內部控制的關鍵點，使得內部控制風險防范及規(guī)避難度增大，對AIS內部控制提出了更高的要求。

（五）缺乏對控制及時有效的監(jiān)督 對控制的監(jiān)督是保障控制持續(xù)有效運行的有力保障。內部控制系統(tǒng)應根據環(huán)境的變化及時做出評估和調整，但是作為確保內部控制有效運行的內部審計工作在信息化進程中卻呈現(xiàn)出明顯滯后性，傳統(tǒng)的審計方式在信息處理技術、審計流程方法、審計制度等方面不適應當前高度信息化、集成化的企業(yè)業(yè)務處理與管理控制，大大增加了審計人員對內部控制評價的難度。云會計下許多不相容崗位相對集中，增加了人為舞弊的可能性；此外以電子數據形式儲存的信息不僅因為易被篡改而可靠性降低，而且大多數據由AIS根據預先設定的程序處理財務業(yè)務數據、自動生成數據處理結果，這些對審計工作至關重要的處理過程對審計人員是半可見甚至是不可見的，增加了審計稽查的難度。與此同時，內部稽查、審計人員信息加工處理能力不足，未能針對本企業(yè)的業(yè)務特點制定內部稽查、審計流程與方法，難以勝任大量復雜的業(yè)務數據處理與稽查，造成了AIS內部控制監(jiān)督缺陷。

三、云會計環(huán)境下AIS內部控制完善措施

針對云會計下AIS內部控制存在的風險，本文從AIS可信性評價、會計組織結構、提高信息質量、強化監(jiān)督機制、建立預警機制、提高人員素質、完善法律法規(guī)體系建設等七個方面提出了云會計下AIS的內部控制完善措施。

（一）選擇高可信性的云會計產品 在云會計迅速發(fā)展與普及的今天，業(yè)界與學界應加快與云會計相適應的可信性評價方法研究，及早制定出科學合理且符合企業(yè)特定需求的可信性評價體系，并將其推廣普及到云會計市場中，加快建立起云會計產品開發(fā)、服務、評價、定價、監(jiān)管標準，進行分類管理的行業(yè)標準，促使云會計供應商建立起以可信性為導向的云會計產品質量管理制度，不斷提高云會計產品的可信性水平以便于企業(yè)根據成本效益原則選擇符合其自身信息化需求特定可信性水平的云會計產品，充分發(fā)揮云會計及時更新升級、修補漏洞、便于維護的特性，盡可能完善AIS程序控制層面的內部控制，可以大幅度減少因人工控制設計不合理、人員素質不高等因素導致的控制運行失效的風險。

（二）優(yōu)化會計組織結構 與云會計相適應的企業(yè)組織結構有利于最大限度的發(fā)揮云會計帶來的信息技術優(yōu)勢，并有效降低信息化的控制風險。云會計越是高效便捷、節(jié)約信息化建設的人力物力成本，企業(yè)越應當意識到由于崗位人員精簡帶來的權限過于集中的AIS內部控制風險。因此應當將分級管理與授權審批相結合，明確崗位職責權限，嚴格做到不相容崗位相互分離，對口令、數字簽名使用現(xiàn)代加密技術提高其可靠性與機密性，并進行不定期更換，防止被不法分子獲知破壞云端服務或企業(yè)數據。此外，對需要嚴格控制的關鍵操作環(huán)節(jié)應采用“并鑰”方式授權，設置專門的崗位對其進行監(jiān)督等方式建立完善的內部控制組織體系，強化日常操作與監(jiān)督控制。在高度信息化存儲的云會計環(huán)境下，紙質檔案作為AIS的輔助信息記錄表達方式，其保管保密工作仍應受到足夠的重視。

（三）實行第三方交易認證機制 云會計環(huán)境下原始憑證仍沿用數字方式，但不像手工方式那樣可對每一張憑證做痕跡檢驗?？梢愿鶕綘恐圃碓O置云端交易認證機構，企業(yè)在認證機構領取數字簽名認證或私有密鑰，發(fā)生業(yè)務時，交易憑證開出方將單據傳到云端認證機構，由認證機構根據統(tǒng)一識別的屬性信息進行認證并將經過加密后的憑證轉發(fā)給交易憑證接收方。這樣利用云會計的數據處理優(yōu)勢進行簡易便捷的交易認證處理，降低了由于原始憑證數字化而引起的會計信息失真、虛構交易事項、盜用轉移企業(yè)資產、隱瞞或虛增利潤、偷稅漏稅等行為發(fā)生的風險。

（四）強化內部稽核、內部審計等監(jiān)督機制 云會計供應商在設計云會計產品時應考慮到企業(yè)的會計、內部審計人員信息化技術水平，預留出便于調用的可供審計、稽查的標準化數據接口，在提供給稽查、監(jiān)督人員的用戶手冊中提供業(yè)務處理核算的控制流程、表單結構與勾稽關系等有利于對控制進行及時有效監(jiān)督的措施。各個業(yè)務流程部門的業(yè)務處理均應當在AIS中留有可以作為審計線索的運行軌跡，如：對操作過程和結果記錄、業(yè)務流程數據統(tǒng)計數據、內部稽核數據等，使得各個業(yè)務流程部門的審計線索相互關聯(lián)，運行軌跡數據能夠相互勾稽、印證。及時進行內部稽核、內部審計工作，核對相關業(yè)務數據，對AIS內部控制運行的有效性進行評價與校驗，及時發(fā)現(xiàn)AIS、內部控制系統(tǒng)、財務信息等方面的異常，將風險與損失降到最低。

（五）建立風險預警機制，定期評估AIS內部控制風險建立實時風險預警機制，打破傳統(tǒng)上獨立的、被動反應的和檢查性的內部控制模式，構建實時控制。從風險的角度考量內部控制的設計和執(zhí)行情況，通過設置會計信息系統(tǒng)的關鍵風險點，制定相應的風險管理與內部控制措施；將云會計結合大數據進行行業(yè)狀況、市場環(huán)境、經營效果、預測決策、戰(zhàn)略制定等方面的風險識別預警機制，定期評估AIS內部控制風險，從傳統(tǒng)的出現(xiàn)問題事后補救的管理方式轉換成強調事前事中控制，使企業(yè)在激烈的市場競爭中對可能的風險點做出迅速的調整，進行及時恰當的風險控制以規(guī)避風險，立于不敗之地。

（六）提升會計人員素質 會計信息化是企業(yè)財務業(yè)務管理的必然發(fā)展方向，云會計以其與先進的云計算技術和理念相結合的優(yōu)勢在會計信息化領域獨占鰲頭。然而機遇與挑戰(zhàn)并存，開放動態(tài)的云會計環(huán)境也存在著固有風險，需要結合人工控制來克服操作集中處理、數據集中存儲等方式帶來的弊端，會計人員的素質成為制約人工控制能否發(fā)揮有效性的關鍵一環(huán)。首先應當提高會計人員的信息化操作管理素質，通過培訓、繼續(xù)教育等方式培養(yǎng)出精通會計知識、信息技術，同時具備管理才能的復合型人才?；鶎拥臅嬋藛T如果具備了信息管理、應對突發(fā)事件、對交易處理復雜數據的核查等能力，往往能在第一時間發(fā)現(xiàn)云會計處理、存儲等方面的故障和弊端，及時向云端反饋便能將給本企業(yè)以及使用該功能的其他企業(yè)帶來的損失降到最低。其次，加強AIS安全宣傳教育，提高會計人員職業(yè)道德修養(yǎng)，在云會計數據高度集中處理的情況下，如果熟悉AIS技術會計人員利用職權或越權操作，設法繞過系統(tǒng)和人工監(jiān)控對數據和系統(tǒng)進行非法操作，相對于手工會計處理更加難以察覺，會給企業(yè)帶來不可估量的損失。除內部控制對會計人員的監(jiān)控和制衡外，還應設立積極的業(yè)績評價與激勵機制，使得會計人員建立起主人翁意識，遵守職業(yè)道德、合規(guī)處理、及時發(fā)現(xiàn)、報告、處理AIS及其內控的錯誤與漏洞。

（七）加快云會計相關法律法規(guī)標準體系建設 目前，我國關于云會計下的AIS內部控制、數據安全等方面的相關法律法規(guī)還相對較少，由于法規(guī)的不健全使得會計犯罪的很難控制，因此，國家應加緊有關標準的制定和法規(guī)立法，頒布相關的法律法規(guī)，從宏觀上加強AIS內部控制，以推進我國云會計產業(yè)的發(fā)展進程。對企業(yè)而言，也應根據新的會計環(huán)境，將信息化與企業(yè)業(yè)務需求結合，加大力度研究與云會計相適應的內部控制制度來促進云會計發(fā)揮其更大的使用價值。

四、結論

建立與云會計相適應的內部控制制度對云會計的推廣和使用至關重要。本文從內部控制要素角度結合云會計的特性展開分析當前企業(yè)AIS內部控制存在的風險，并針對內部控制風險提出了云會計下AIS內部控制完善措施，為企業(yè)建立適應云會計下AIS的各個層次、各個管理方面的內部控制以促使企業(yè)在規(guī)避云會計技術、環(huán)境層面帶來的固有風險的同時，充分利用云會計高效處理、實時更新維護、大數據分析決策等優(yōu)勢給企業(yè)帶來的便捷與機遇。

［1］王凡林：《會計信息系統(tǒng)規(guī)劃特征與可信性關系研究》，《會計研究》2010年第11期。

［2］程平、何雪峰：《“云會計”在中小企業(yè)會計信息化中的應用》，《重慶理工大學學報》（社會科學）2011年第1期。

［3］劉克、單志廣、王戟等：《“可信軟件基礎研究”重大研究計劃綜述》，《中國科學基金》2008年第3期。

［4］程平：《不要讓數據安全成為云會計的“絆腳石”》，《中國會計報》2011年6月17日。

［5］鄧瑩：《淺析網絡會計內部控制》，《財會通訊》（綜合·上）2011年第1期。