會計信息化視角下的企業內部控制體系研究

劉雪晶 祁雙云

【摘要】 會計信息化使傳統的內部控制面臨嚴峻考驗，給企業內部控制制度提出了新的挑戰。因此，企業必須加強各種會計風險的防范措施，不斷改進內部控制系統，建立基于信息化下的內部控制體系，以降低借助會計信息系統舞弊的可能性，保證企業各項業務活動的有效運行，保證企業經營效益和財務資料的可靠性，最終實現經營管理目標。

【關鍵詞】 會計信息化； 內部控制； 體系構建

一、構建會計信息化環境下企業內部控制體系的背景

會計信息化使企業實現了遠程賬務處理、在線財務管理與事中動態會計核算、電子單據與電子貨幣，但同時增加了安全風險：數據被濫用、信息被惡意篡改、遭受非法訪問甚至黑客或病毒的侵擾造成會計信息系統癱瘓等。據2010年全國信息網絡安全調查顯示，有超過70%的用戶遭受網絡安全風險，其中來自外部的攻擊有49.4%，內外攻擊的占25.5%，內部攻擊占7.6%，不清楚的占17.6%。

造成以上問題的主要原因是傳統的內部控制制度不能適應會計信息化條件下企業內部控制的新要求。我國財政部2009年7月1日頒布的《企業內部控制——基本規范》第四十一條明確規定：為確保會計信息系統安全穩定運行，企業應當加強對會計系統開發與維護、數據輸入與輸出、訪問與變更、文件儲存與保管、網絡安全等方面的控制；2010年4月26日，財政部聯合其他部委發布了《企業內部控制配套指引》，對在會計信息化背景下，企業內部控制如何實施，信息技術究竟帶給內部控制怎樣的影響，給出了具體指引。這些都表明我國已經開始重視該領域。因此，在企業信息化中，構建內部控制體系，加強會計信息系統的風險控制是企業信息化安全實施的保障。

二、會計信息化環境下企業風險的類型

（一）決策風險

決策風險是指企業財務軟件的選擇失誤而造成系統實施失敗的風險。其引發原因主要是企業決策層不明確企業的信息化目標，缺乏評估軟件實用性的經驗，沒有能夠結合企業實際狀況選擇適合本企業需要的財務信息化解決方案，特別是部分企業管理者，在選擇軟件時盲目跟風，致使所選購的軟件質量存在缺陷，軟件功能不適合企業的實際需求，從而使信息系統實施出現問題。

（二）環境風險

環境風險包括外部環境風險與內部環境風險。外部環境風險包括：企業信息化項目是否符合現行的法律法規、企業社會環境可能發生的變化、企業選用或開發的軟件沒有行業競爭力、企業具有競爭力產品發生變動的可能性。內部環境風險包括：企業文化對實施信息化的阻礙、企業財務對企業會計信息化的投入比例過小、企業組織形式適應信息化建設的程度不夠、企業門戶網站建設的水平達不到要求、企業內部各部門之間的信息溝通不順暢等。

（三）信息安全風險

信息安全風險是指會計信息化實施中，由于財務軟件開發未經過嚴密的可靠性測試，使隱含問題的數據結構、程序結構在系統運行中被觸發或各種舞弊導致損失的可能性。信息安全風險主要包括：一是數據記錄風險，二是數據維護風險，三是信息報告風險。企業信息化安全風險主要來自于技術因素和管理因素，如：網絡系統本身具有的脆弱性、軟件系統內部缺陷、組織內部沒有建立信息安全管理制度、無控制標準與安全防范標準、使用人員缺乏相應的操作規范等。

（四）業務風險

企業會計信息化的實施過程是一個業務流程的再造過程。流程再造使得業務流程中的交易方式可能發生變化。業務風險包括：企業實施信息化業務流程重組的程度、企業業務管理信息化應用的程度、企業信息采集信息化手段覆蓋率、企業網絡營銷應用的程度等。

（五）資產保護風險

資產保護風險是指企業資產損毀、流失、被盜等導致損失的可能性。會計信息化下，除了傳統意義上的資產所包括的存貨、設備、現金以外，會計信息化過程中的資產還包括信息系統、各種數據資源以及有關的文檔與記錄等。

三、企業內部控制體系的構建目標

《基本規范》把內部控制目標定義為保證企業經營管理合法合規、資產安全、財務報告及相關信息真實完整，提高經營效率和效果，促進企業實現發展戰略。這些目標體系是一個完整不可分割的整體，但是就其在整個體系中的地位和作用來說，也是有差異的。結合企業管理的戰略，內部控制目標具體還可以細化為以下幾個目標：

（一）戰略目標

戰略目標是整個體系中的最高目標，其他目標都應與戰略目標協調一致，都為戰略目標服務。在公司高層制定總體戰略目標時，要根據外部環境和內部機構的變化不斷調整戰略目標，確保戰略目標在企業風險可控制范圍之內；同時要將戰略目標細化為具體經營目標，確保具體經營目標的實現；實現針對目標的資源分配，使得組織、人員、流程與基礎結構相協調，促進戰略目標的實施；建立可計量的基準，實現有效的績效考核。

（二）經營目標

經營目標決定了企業營運效率和效果，在企業內部控制目標體系中發揮主導作用并占有重要的支配地位。良好的內部控制體系可以優化經營效率和效果，具體如下：可以精簡組織、明確責權劃分，協調各部門之間、工作環節之間的關系，充分發揮資源潛力并提高經營績效；可以建立良好的信息和溝通體系，使得各種經濟管理信息在企業內部進行有效的流動，提高企業各個層次的反應速度；可以建立有效的內部考核機制，并將考核結果實施到獎懲機制中去，實現企業對部門和員工的激勵目標，提高工作效率和效果。

（三）報告目標

它是內部控制的基礎目標，要求企業提供真實、可靠的財務報告及其他信息。報告目標更多的基于企業外部的需求，對于外部經營者來說，企業真實可靠的財務報告能夠公允地反映企業的財務狀況和經營成果，而真實可靠的財務報告是企業管理層人員對于企業內部控制的承諾，也是內部控制成果的展示。要取得真實可靠的財務報告，除了凈化外部環境外，還要加強監督、完善內部審計制度、提高內部審計部門的獨立性、發揮內部審計的功能。在這個過程中，會計人員要保證所有交易和事項都能夠在恰當的會計期間內及時地記錄于適當的賬戶；保證會計報表的編制符合會計準則和會計制度的規定；保證賬面資產與實存資產的定期符合一致；保證所有會計記錄都經過了必要的復核手續，并確定有關記錄正確無誤。

（四）合規目標

合規目標要求內部控制要確保企業遵循國家有關法律法規的規定，不得違法經營。在內部控制的體系中，合規目標的實現能夠為企業的生存發展創造良好的客觀環境，是實現其他目標的保證。

（五）資產安全目標

保護資產的安全雖然沒有在COSO框架中被列為主要目標，但是一直是企業內部會計控制的一個主要目標，而且在我國這個產權多元化的國家，把保護資產安全列為內部控制的目標是具有現實意義的。為了實現保護資產的目標，資產的記錄和保管一定要分工清晰；任何資產的流入和流出必須有詳細的記載；要建立和完善資產管理制度，明確職責，做好相關記錄；需要對資產進行定期和不定期的盤點，確保賬實一致。

四、內部控制體系的內容

借鑒COSO的框架，控制體系的構建包括5大方面的內容：內部環境、風險評估、控制活動、信息與溝通、內部監督。按照這五方面的內容建立內部控制體系。

（一）內部環境體系

內部環境的要素可以歸納為6個方面，即公司治理結構、內部機構設置與職責分工、內部報告、人力資源、企業文化和法制環境。同時，企業應該指定適當的機構或成立專門機構，具體負責組織、協調內部控制的建立、實施及日常工作。

控制環境處于內部控制五大要素的首位，主要包括：治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化、經營管理的觀念及方式和風格、董事會、外部影響等。

1.宏觀上加強法規建設和監督力度。盡管我國已經出臺了《內部控制——基本規范》，但是仍然存在一些爭議和缺陷，并且缺少實踐對于該法規的檢驗，因此可能存在很多的漏洞需要完善。

2.微觀上完善公司治理結構。公司治理結構是內部治理結構，即法人治理結構，是根據權力結構、決策結構、執行機構和監督機構相互獨立、權責分明、相互制衡的原則實現對公司的治理。良好的公司治理是內部控制得以順利運行的條件，能夠保證內部控制系統發揮作用，提高企業的經營效率。

3.加強內部審計的作用。隨著《薩班斯—奧克斯利法案》（Sarbanes-Oxley Act of 2002，SOX）的頒布，內部控制的重要性得到強調。

4.有針對性地改變人力資源政策，強化員工的重要性。在人力資源政策中，要注意以下幾個方面的監控：在招聘環節要嚴格審查應聘人員的專業技術素質、加強對在職員工的約束和激勵、通過晉升和獎懲激勵員工提高員工的工作積極性等。總之，人力資源政策的適當執行將會加強企業應對風險的能力，增強員工對于內部控制制度的執行力度，強化內部控制的作用。

5.加強企業文化建設。企業文化的建設將會增強公司的凝聚力，增強員工的責任感和使命感，進而影響員工的工作態度、價值觀念，提高員工的誠信水平和職業道德水平，這些都將直接或者間接地增強企業內部控制能力。

6.完善組織結構控制。會計信息化導致的組織扁平化在一定程度上會影響企業內部控制的效果，并且扁平化的組織結構有其固有的缺陷和不足，因此企業要選擇適合企業自身的組織結構，只有適合的才是最好的。

（二）風險評估

風險評估是指企業要根據設定的控制目標，結合實際情況，全面、系統、持續地收集相關信息，及時進行風險評估。風險評估的要素可以歸納為4個方面，即確定風險承受度、識別風險（包括內部和外部風險）、風險分析和風險應對。

1.選擇適合企業的風險識別機制。風險識別機制的建立將有力地解決會計信息化關于風險發生原因、影響因素及其風險識別方案方面的問題。風險識別要注意引起風險的因素來自內部還是外部，然后選擇相對應的解決方案。

2.建立企業自身的風險成本分析體系。在風險識別的基礎上，按照一些固有的指標對風險進行定性和定量的分析，以確定企業需要優先關注和防范的風險。在分析完畢之后，建立一個完善的風險成本分析體系，依照成本分析體系的分析結果來確定采用何種應對策略。具體而言，在會計信息化環境下，企業要預防兩方面的風險，即會計信息系統的風險和人為的風險。

（三）控制活動

會計信息化條件下，傳統的內部控制活動已經不能適應內部控制的需要。控制活動可以概括為以下7個方面：會計系統控制、授權審批控制、不相容職務分離控制、預算控制、財產保護控制、運營分析控制和績效考評控制。同時企業應該建立重大風險預警機制以及突發事件應急處理機制，對可能發生的重大風險或突發事件，制定應急預案、規范處理程序、明確責任人員，確保突發事件得到及時妥善的處理。

（四）信息與溝通

主要圍繞內部和外部信息的收集、信息在內部和外部相關者間的傳遞、信息技術平臺、反舞弊機制、舉報投訴制度和舉報人保護制度等方面展開。

針對會計信息化條件下會計信息查詢的便利以及組織扁平化可能引起的會計溝通問題，可以從以下幾方面加強內控：第一，企業的內部應該協調一致，堅決杜絕部門分離、各自為政的現象出現，這也要求管理層對會計信息要高度重視，并給予相關支持；第二，與會計核算相關的信息要及時輸入會計信息系統，使會計信息系統操作人員能夠及時快捷地完成對數據的處理，提高數據處理效率；第三，要建立針對會計信息系統內外結合的反舞弊機制，建立會計信息責任制度。

（五）內部監督的類型與方式、內部自我評價和缺陷認定機制、內控記錄制度等都在基本規范中有規定

1.加強網站審計和社會審計力度。作為會計信息化發展最早最快的國家，美國于1997年底由AICPA和CICA從三個方面（商業實務揭露、信息保護、交易完整）發布了網站審計所遵循的規范，目的是確保內審人員能夠發表合理的審計意見。而目前我國急需解決的問題是如何在網站審計相對落后的情況下建立符合我國國情的網站審計規范，完善會計信息化條件下監督管理機制。在進行社會審計時，可以借鑒一些先進國家的方法，要求注冊會計師審計企業出具的內部控制報告，并出具規范的審計報告，這樣不僅能夠增強企業管理者和注冊會計師的責任感，也可以加強公司治理，降低運營風險，很好地保護中小投資者的利益。

2.加強審計法規建設，提高審計技能。現有的法律法規相對會計信息化來說呈現滯后性；同時，審計人員的知識儲備不足，審計技能準備不足，這些都導致注冊會計師在對會計信息系統進行審計時可能會利用法規的漏洞，嚴重威脅審計結果的可信性。

【參考文獻】

［1］ 財政部等五部委.企業內部控制配套指引［S］.2010.

［2］ 宋建波.企業內部控制［M］.北京：中國人民大學出版社，2004：75.

［3］ 王立彥，張繼東.企業內部控制［M］.北京：機械工業出版社，2007.

［4］ 陳吉東，余家健.會計信息化環境下內部控制成本研究［J］.財會通訊·學術版，2010（2）：159.

［5］ 池國華.內部控制學［M］.北京大學出版社，2010.