薩班斯法案下公司會計信息系統的內部控制

張　清　范蔚文

一、會計信息系統內部控制建設對中國聯通的意義

中國聯通作為在上海、香港和美國三地上市的公司，根據薩班斯法案要求從2006年開始要嚴格遵循《索克斯法案》規定。公司管理層要披露與財務報告相關的內控評價報告；外部審計師要對管理層披露發表驗證報告，并對公司內控的有效性發表獨立評價報告。這些評價結果直接影響到公司在資本市場的形象和價值，甚至影響到消費者對公司的認可程度。同時，公司的持續健康發展，也迫切需要建立起一整套科學、有效的內部管理機制。

會計信息系統內控是公司整體內控的重要組成部分，是通過薩班斯法案404條款外部審計必不可少的重要內容。會計信息系統就是用計算機信息技術代替了人工記賬、算賬、報賬，以及替代部分由人工完成的對會計信息的分析和判斷的過程。會計報表的完整性極大地依賴于系統中傳輸的信息的完整性、準確性和及時性。另外，財務報表認定的自動控制直接取決于相關應用程序以及為應用程序提供支持的信息技術基礎設施的穩定和正常運行。因此，公司應當加強會計信息系統工作，并對其工作流程進行有效控制。本文結合中國聯通依據法案的要求構建會計信息系統內控，并保證其持續健全有效，以確保財務信息真實性，從而支持CEO和CFO的承諾進行初步探討。

二、中國聯通的會計信息系統的內部控制主要內容

1、前期工作

基于內外部發展形勢的需要，自2004年開始，中國聯通就按照美國COSO框架的要求開始完善公司內控制度，圍繞經營的效益及效率性、財務信息真實性和法律法規遵循性目標，全面實施內控建設，切實防范和控制經營風險。

為實施會計信息系統內部控制建設，公司首先對會計政策、業務流程進行全面梳理，制定了統一的會計政策、會計制度、會計文檔，實現會計信息系統的統一升級，同時對報表生成、報送軟件也通過系統建設實現統一規范，并最終形成統一的會計信息系統內控規范。

2、明確職責分工

公司明確規定信息化部門是系統的維護建設歸口管理部門，財務部門是用戶部門，在保證系統正常安全運行過程中各自承擔的職責。會計信息系統崗位一般包括：系統所有者、系統開發/變更審批人、程序開發/變更人員、程序驗收/上線/割接人員、安全管理員、應用系統管理員、數據庫管理員/操作系統管理員、最終用戶。按照信息系統總體控制規范職責分工管理標準落實不相容崗位職責，具體如下表所示：

信息系統總體控制規范職責分工管理標準

×表明此兩個職責如果由同一個人執行，就會有潛在風險存在。

3、會計信息系統訪問安全控制

對會計信息系統操作權限和操作規范、信息使用、信息管理進行明確規定，建立賬號審批制度，形成分工牽制的控制形式，如出納人員不得兼任電算化系統管理員，不得兼任記賬憑證的審核和數據錄入制單工作；數據錄入員（財務制單），不得進行復核操作等。

對于發生崗位變化或離崗的用戶，及時調整其在系統中的訪問權限。財務負責人或經授權的人員需定期對系統中的賬號進行審閱，避免有授權不當或冗余賬號存在。利用系統自身提供的安全性能，設置安全參數，以加強系統訪問安全。定期檢測系統運行情況，及時進行計算機病毒的預防檢查工作。按照信息安全管理規范中數據密級分類標準對數據密級進行分類設定，明確涉密崗位人員名單。要求操作人員在權限范圍內進行操作，不得利用他人的口令和密碼進入系統。更換操作人員或密碼泄密后，須及時更改密碼，每3個月必須對密碼進行更換。操作人員離開工作現場，必須退出已運行的程序，防止其他人員越權操作。

4、硬件管理

會計信息系統硬件設備統一放置在信息化部機房管理，指定專人負責管理和檢查，其他任何人未經授權不得接觸系統硬件設備。硬件設備的更新、擴充、修復等工作需由相關人員提出申請，報上級主管負責人審批。未經允許，不得擅自拆裝硬件設備。

5、會計信息系統開發、變更和維護控制

公司指定信息化部門對會計信息系統實施歸口管理，負責系統開發、變更、運行、維護等工作。開發系統時考慮業務和信息的集成性，優化流程，將相應的處理規則嵌入到系統程序中，以預防、檢查、糾正錯誤和舞弊行為，確保會計信息系統數據的真實性、合規性。倡導全體財務人員積極參與系統建設，正確理解和使用系統，提高系統運作效率。

對涉及新舊會計信息系統切換的情形，在上線計劃中明確系統回退計劃，保證新系統一旦失效，能夠順利回退到原來的系統狀態；如涉及數據遷移，需制定詳細的遷移計劃，財務部門積極參與數據遷移過程，對數據遷移結果進行測試并簽署測試報告。系統在投入使用前應至少完成整體測試和用戶驗收測試，以確保系統的正常運轉。上線后發生的系統源代碼等方面的變更，應參照系統開發的審批和上線程序執行。對正在使用的會計信息系統進行修改、升級和對硬件進行更換時，需通過書面審批流程，并采取替代性措施確保會計數據的連續性。

6、會計信息系統的會計檔案管理

會計信息系統的會計檔案主要是存儲在計算機硬盤或其他磁性介質或光盤存儲和打印出來的書面等形式的會計數據，包括記賬憑證、會計賬簿、會計報表等數據。公司指定專人負責電算化會計檔案的管理，做好防消磁、防火、防潮和防塵等工作；建立數據信息定期備份制度和數據批處理或實時處理的處理前自動備份制度（交易日志）。對磁性介質存放的數據進行雙備份，在遠離計算機設備和操作的地方保存一套備份和交易日志。

三、會計信息系統內部控制持續有效的保障機制

要滿足薩班斯法案要求，實現長效機制，在做好會計信息系統內部控制建設的同時，還必須落實好后續的維護保障機制，這樣才能真正構建一套系統化、標準化、可審計、可持續改進的會計信息系統內部控制體系。

1、建立良好的內部控制環境

建立反舞弊機制和加強職業道德行為規范教育，防止個人與公司經濟利益沖突，防止不正確業績觀驅使虛假報告。提高全體員工的風險識別和控制能力，建立和維護安全可靠的財務信息系統控制，培養和考核員工自覺履行內控職責的工作勝任能力。

2、建立風險評估機制

設立風險評估組織（委員會）和日常管理機構，定期（中期、年度）組織對現有風險管理狀況進行評估，分析其剩余風險、控制缺陷既預見的未來風險揭示將有哪些風險，根據評估揭示的風險，針對不同風險分別設計出相關控制措施和可接受的風險控制目標，組織制度的完善和按設計的控制措施監督實施。

3、建立良好的信息溝通環境

在廣泛的范圍內進行有效的溝通，包括自上而下、機構內部及自上而下的溝通。管理層必須清楚的告知所有員工他們必須嚴格執行的各自內控職責。員工必須理解他們在內控系統中的職責以及他們自身的活動與其他人的工作之間的互動關系，并使得員工能夠各行其責。

4、加強會計信息系統內控的內部審計監督

內部審計既是公司內部控制系統的重要組成部分，也是強化內控監督的制度安排。根據薩班斯法案相關的條款要求有足夠的證據證明內部控制的有效性，通過內部審計檢查企業是否有完善的內部控制流程及審計軌跡，在控制發揮作用的同時是否形成相應的文檔記錄（如財務系統賬號申請審批表、系統帳號權限檢查表等）。通過對會計資料定期進行內部審計，審查會計信息系統賬務處理是否正確，是否遵照《會計法》及有關法律、法規的規定，審核費用簽字是否符合有關內控制度，憑證附件是否規范完整等；審查電子數據與書面資料的一致性，對不妥或錯誤的賬表處理應及時調整并有書面記錄；監督數據保存方式的安全、合法性，防止發生非法修改歷史數據的現象；對系統運行各環節進行審查，防止存在漏洞。

五、結束語

隨著中國企業會計準則及內部控制規范的國際趨同，建立完備的符合國際標準的內部控制將是國內廣大企業適應現代企業制度建設和經濟全球化對會計工作的新要求，同時也是企業面對市場風險與挑戰，自身從根本上確保持續、穩定、健康發展的需求。作為企業整體內部控制的重要組成部分，會計信息系統內部控制將隨著會計信息系統的廣泛應用，在保障廣大企業經營的效益及效率性、財務信息真實性和法律法規遵循性方面發揮有效的作用。

（作者單位：南昌大學MBA中心、南昌大學信工學院）