基于信息技術的會計信息系統內部控制問題研究

摘要計算機會計信息系統的推廣使得會計核算的準確性、可靠性和數據處理效率得到了極大的提高， 但是， 也為企業的內部控制帶來了許多前所未有的新問題， 各國都在探索建立一套適應計算機會計信息系統的內部控制制度。由于美國對內部控制的極為重視，相關組織較早地提出了一系列內部控制制度框架，我國可以借助這些基本框架建立適應我國的計算機會計信息系統內部控制制度，從管理上、技術上等多角度入手，加強內部控制措施的建立。

關鍵詞 計算機會計信息系統 內部控制 制度

一引言

隨著我國經濟的發展、信息技術應用的普及，整個社會越來越依賴計算機會計信息系統，這種越來越多的依賴和計算機會計信息系統本身的復雜性會給企業內部控制帶來新的風險，目前我國的計算機會計信息系統的內部控制還很薄弱，建立一整套適合我國計算機會計信息系統的內部控制制度就顯得尤為重要。

二基于信息技術的會計信息系統內部控制的必要性

1．危及會計信息系統安全的因素

計算機會計信息系統與其它計算機信息系統一樣都會面臨如下幾個方面的威脅[1]：

（1）自然災害和政治因素

像火災、洪水、地震、颶風、恐怖分子的襲擊以及戰爭， 很多已發生的事實像911恐怖分子的襲擊，一些地區的洪水、地震等摧毀了許多信息系統。

（2）軟件錯誤和硬件功能故障

沒有百分之百正確的軟件，應用軟件和系統軟件都可能因為其本身的錯誤導致系統崩潰；硬件、軟件、網絡本身出現故障， 導致系統數據丟失甚至癱瘓的風險。

（3）蓄意或者人工操作失誤

在會計信息系統中， 由于其分布式、開放性、遠程實時處理的特點， 系統很容易遭受外界干擾與破壞， 系統的一致性、可控性降低。由于系統相關人員的操作失誤、缺乏訓練又監控不力導致操作人員不遵守操作規則和操作過程也會給系統帶來災難性后果。

（4）內部人員本身道德因素

內部人員道德因素可以歸納到第三點，但是由于會計工作本身的特點，內部人員的道德因素對計算機會計信息系統的安全因素的影響是非常大的。企業內部人員對會計數據的非法訪問、篡改、泄密和破壞等都會引發安全問題。

2．網絡時代對會計信息系統的威脅有不斷加大的趨勢

由于信息技術已經步入網絡時代，大量的client/server系統代替了以前的單機系統，局域網和client/server 系統使過去集中處理的數據信息分布到多個用戶，這種分布式處理與中央主機的集中式數據處理相比前者更加難以控制；另外，廣域網的普及應用我客戶和供應商訪問相關系統和信息帶來極大的方便，但同時也使數據信息的保密性難以控制，如果沒有有效的內部控制系統，會計信息系統中的重要數據被竊取或篡改，勢必給企業帶來巨大的損失。

三國外可借鑒的內部控制政策和措施

美國COSO(The Committee of Sponsoring Organizations)發布了關于內部控制的概念界定，并且提供了評價內部控制系統的指導性框架的報告，這一報告被國際社會公認為可接受的內部控制的權威性報告，對我國會計信息系統的內部控制制度的建立具有重要的參考價值。

COSO的內部控制模型含有五個關鍵元素。

1．控制環境（Control environment）

人是所有企業組織的核心，個人的屬性包括誠信、道德價值觀、競爭力以及人所工作的環境，這些都是企業發展的驅動力和所有其他因素的基礎。控制環境還包括管理者的管理哲學以及管理風格；組織結構；權限與責任的分配方法；人力資源政策及其實施；董事會的審計委員會的工作情況以及外部環境的影響。其中審計委員會必須是由非本企業董事擔任。

2．控制活動(Control activities)

控制活動為企業的政策和規則的貫徹執行并達到企業的目標提供保障，包括授權、績效評估、資產保護、文檔資料以及交易記錄的設計和使用、職責分離等。

3．風險評估(Risk assessment)

任何企業都必須有為其所可能面臨的風險進行評估的能力，這些風險包括在企業活動的各個環節，諸如銷售、產品、市場營銷和財務等其他活動。企業須建立一套機制來辨認和處理相應的風險。

4．信息和交流(Information and communication)

控制活動離不開信息和交流系統。會計信息系統的主要目的是記錄、處理、存儲、歸納和交流信息，任何交易必須能夠追蹤到其發生到終止的過程，所有交易必須在系統中留下審計索引。為內部控制提供保證。

5．監控(Monitoring)

有效的監測包括對員工績效的有效監督、及時糾正錯誤行為保證資產的安全以及企業內部審計。

四建立我國計算機會計信息系統內部控制制度的幾點建議

鑒于會計信息系統的特點，借助COSO框架，建立我國的計算機會計信息系統內部控制制度應考慮如下因素：

1．完善的組織與管理控制制度

組織與管理控制制度可以確保合理設置崗位， 實行操作人員分級授權管理；保證交易數據有據可查；確保交易檔案文件的安全和軟硬件設施的安全。

（1）合理分工，明確職責

會計信息系統電算化后， 應對原有的組織機構進行適當調整， 以適應計算機會計系統的要求。應設置的崗位有電算化主管、系統管理員、系統維護員、電腦審核員、會計檔案管理員等。同時應建立崗位責任制， 明確職責， 責任到人。在分工時， 應做到相互牽制、互相制約， 防止出現舞弊和欺詐行為。絕對避免由某一個人完全控制一項交易活動完成的全過程，這樣既可以避免舞弊行為，又不至于使相關業務活動完全依賴一個人。

（2）交易數據有據可查

計算機會計信息系統與手工會計信息系統的區別之一是后者可以有紙質文檔資料追蹤、記錄提供給審計人員，而計算機信息系統的電子存儲媒介如果沒有適當的措施沒有什么文檔資料記錄交易數據的變化，并且手工系統可以根據筆記追查到相關數據錄入和修改人員，計算機系統在這一方面也無法與手工系統相比，這就很難確定誰是責任人。因此計算機會計信息系統必須采取一定的措施保證交易數據的有據可查，為內部審計提供依據。相應的措施包括完備的計算機操作日志、嚴格的系統操作人員控制，還應建立崗位輪換制。對設置的崗位應該建立權限控制制度， 用密碼加以控制， 防止非法操作和越權操作。

（3）保證軟硬件設施的安全

軟件要做好備份，交易數據要保證有異地安全備份；硬件設施不僅是系統信息處理的重要設施，也是企業的重要資產，當系統受到自然災害或者人為因素的破壞時，要有應急備份系統在短時間內恢復系統的正常運行。

2．健全系統開發控制制度

系統開發控制制度具體應包括

（1）管理層自始至終的參與。從系統開發前的需求分析、可行性分析研究、系統開發的預算以及開發過程中的績效管理等都應該有管理層的參與。否則系統開發是一個很大的工程，沒有管理層的參與控制，沒有科學的項目管理方法，很難保證不超出預算和按時完成系統的開發。

（2）建立標準文檔資料。建立標準齊全的文檔資料，這不僅有利于系統的升級維護，也便于審計人員了解系統，方便系統的審計工作。

（3）全面的系統測試。系統測試可以確保新系統盡可能少的錯誤。當然軟件無論如何測試都會有錯誤存在，所以在用新系統代替舊系統時可以讓兩個系統并行運行一段時間，要有嚴格的驗收程序。

3．嚴密的操作控制制度

系統操作控制是系統日常使用過程中極為重要的內部控制。日常的操作控制可以確保系統的正常運行，確保會計數據的安全，不會因為數據的人為篡改使企業資產蒙受損失。它應包括：

（1）輸入控制[3]

輸入控制是系統操作控制的重點。輸入控制就是在保證原始數據真實、準確的前提下， 采取措施保證會計數據在編碼、填制記賬憑證及輸入過程中能及時發現可能出現的差錯并糾正。輸入控制的措施除了要不斷加強操作人員的責任心和提高技術水平外， 還要采取如下控制方法: (1) 建立科目對照檢查; (2) 借、貸平衡檢查; (3) 邏輯性檢查; (4) 人工檢查。

（2） 處理控制

數據輸入系統后，進入處理階段，處理控制的目的是保證處理步驟的正確性、可靠性和適應性。因此， 電算化會計系統應具備處理過程的時序控制。由于審計人員不能觀察到有關數據的處理過程， 所以， 對處理控制應特別重視。要建立系統運行錯誤日志和交易日志。錯誤日志包括數據處理過程中所出現的所有錯誤；交易日志包括所有涉及到的交易數據、數據來源和相關人員，為系統審計提供方便和可以追蹤的數據處理索引。

(3) 輸出結果控制

輸出結果控制的目的是保證輸出信息的完整、準確、可靠和及時。輸出結果包括屏幕輸出、打印機輸出和輸出保存在存儲介質中。輸出結果控制的措施有打印日志控制、打印預覽控制、打印時間及序號控制、存儲介質中的文件數據控制等。存儲介質中的數據文件必須要有修改權限的限制，這樣可以確保數據不能被非法篡改和有意無意的刪改。即使授權修改也要留有數據修改日志和文檔資料，所有的交易數據要有定期備份并保存在安全地方，以備應急使用。

總之，計算機會計信息系統與人工系統不同，它的普及應用勢必帶來一系列新的問題，以前人工系統所具備的內部控制制度無法解決由于信息技術的使用所引起的新的問題，所以必須建立適用于計算機會計信息系統的內部控制制度，從管理上、技術上等多個角度加以控制以保證會計系統少出錯甚至不出錯。

參考文獻

[1] Romney page 190

[2] 吳艷，基于COSO報告構會計信息系統內部控制制度，軟件導刊 2005 第22期

[3] 周崇清 Dec. 2005 Journal of Shengli Oilfield Teachers College Vo l. 19No. 4