當代會計信息系統內部控制中存在的問題

李夢蕓

據測算，到2013年我國信息化市場規模將達到近40億元人民幣，2007年-2013年的市場規模復合增長率接近20%，而這種信息化就包含了會計信息化。如此快速的信息化速度必然會對包括內部控制在內的企業管理造成一定的沖擊，必須科學應對才能在享受信息化的益處的同時化解信息化帶來的風險。

一、會計信息化的涵義

會計信息化這一概念是2000年由深圳市財政局與深圳金蝶軟件科技有限公司在深圳舉辦的“新形勢下會計軟件市場管理研討會暨會計信息化理論專家座談會”上提出的，是會計電算化發展到新階段的產物。理論界對信息化的理解有不同的觀點，如技術觀、過程觀、組成要素觀等，因而對會計信息化這一概念也就有不同的闡述。我國會計信息化理論專家胡仁昱教授的定義更符合運用的現狀，其表述為：會計信息化是指在企業中依據系統科學、管理科學，應用現代信息技術，整合企業的業務流程與會計處理流程，建立會計信息系統；充分開發和利用會計信息資源，及時、準確地向企業內部和外部使用者提供有用的會計信息支持，以加強會計的反映和監控作用的綜合過程。從這一表述中可以看出，會計信息化是過程化的概念，它表述了這樣幾層含義：一是信息獲取的手段是網路、通信和數據庫；二是企業業務流程和會計處理流程得以重整，更能體現信息提供的時效性；三是對企業的資金流、實物流和信息流實施全程實時控制；四是會計信息的空間范圍得以擴大，信息涵蓋面包括貨幣信息和非貨幣信息、內部信息和外部信息等。

二、會計信息系統下內部控制的主要內容

（一）組織與管理控制

組織與管理控制是指通過部門的設置、人員的分工、崗位職責的制定、權限的劃分等形式進行的控制，其基本目標是建立恰當的組織機構和職責分工制度，以達到相互牽制、相互制約、防止或減少舞弊發生的目的。其主要內容包括：

（1）工作站點設置。合理設置工作站點，并通過操作系統、數據庫管理系統實現對各工作站的職責分工控制。

（2）內部審計制度。設立獨立的部門，監督和控制各工作站的日常運行；建立相應的內部審計制度。

（3）風險管理制度。設立風險評估小組（可由系統分析員、內審人員、主要用戶組成），定期對系統進行風險評估、弱點分析，以不斷完善會計控制體系。

（二）系統日常操作管理控制

系統操作控制主要表現為操作權限控制和操作規程控制兩個方面。操作權限控制是指每個崗位的人員只能按照所授予的權限對系統進行作業，不得超越權限接觸系統。系統應制定適當的權限標準體系，使系統不被越權操作，從而保證系統的安全。操作規程控制是指系統操作必須遵循一定的標準操作規程進行。操作規程應明確職責、操作程序和注意事項，并形成一套電算化系統文件。

（三）系統維護控制

系統維護包括軟件修改、代碼結構修改和計算機硬件與通訊設備的維修等，涉及到系統功能的調整、擴充和完善。對網絡會計系統進行維護必須經過周密計劃和嚴格記錄，維護過程的每一環節都必須設置必要的控制，維護的原因和性質要有書面形式的報告，經批準后才能實施修改。軟件修改尤為重要，網絡會計系統操作員不能參與軟件的修改，所有與系統維護有關的記錄都應該打印后存檔。

（四）會計數據資源控制

數據庫系統是整個系統控制的主要安全目標。對數據庫系統安全的威脅主要來自兩個方面：一是系統內外人員對數據庫的非法訪問；二是由于系統故障、誤操作或人為破壞造成數據庫的物理損壞。針對上述風險，會計數據資源控制主要可采取以下措施：（1）合理定義應用子模式。子模式是指全部數據資源中面向某一特定用戶或應用項目的一個數據子集。在網絡環境下，為了限制合法用戶或非法訪問者輕易獲取全部會計數據資源，應根據不同的應用項目（功能）分別定義面向用戶操作的數據界面，做到需要什么數據，用到什么數據，就開放什么數據。（2）會計數據資源授權表制度。明確定義每一用戶對數據資源訪問的范圍和內容，并分別規定對數據庫的查閱、修改、刪除、插入等操作權限。（3）數據備份和恢復制度。網絡環境下的數據備份和恢復遠比成批集中式處理環境下要復雜，為保證系統恢復的有效性和一致性，建立業務日志文件（記錄系統處理過程的文件）和檢查點文件（作業內容信息能被記錄下來，并可重新啟動該作業的一個點）是必要的。

（五）網絡的安全控制

隨著網絡技術快速地發展，公司應加強網絡安全的控制，在技術上對整個財務網絡系統的各個層次（通信平臺、網絡平臺、操作系統平臺、應用平臺）都要采取安全防范措施和規則，建立綜合的多層次的安全體系。網絡安全性指標包括數據保密、訪問控制、身份識別等。

（六）應用控制

應用控制是指具體的應用系統中用來預防、檢測和更正錯誤，以及防止不法行為的內部控制措施。（1）在輸入控制中，要求輸入的數據應經過必要的授權，并經有關內部控制部門檢查，還要采用各種技術手段對輸入數據的準確性進行校驗；（2）在處理控制中，對數據進行有效性控制和文件控制，有效性控制包括數字的核對、字段和記錄長度檢查、代碼和數值有效范圍的檢查、記錄總數的檢查等，文件控制包括檢查文件長度、標識和是否染毒等；（3）在輸出控制中，一要驗證輸出結果是否正確和是否處于最新狀態，以便用戶隨時得到最新準確的會計信息，二要確保輸出結果能夠發送到合法的輸出對象，文件傳輸安全正確。

三、企業會計信息化環境下內部控制制度存在的問題

（一）管理控制方面

1.職責分離執行不力

實行信息化會計后，企業財務工作人員的崗位職責制度分配不明確，在權限分配不詳盡的情況下可能出現越權。

2.身份識別與權限控制難度增加

在手工會計系統中，任何一項經濟業務從發生到形成相對應的會計信息，所經歷的每個環節都要求具有相應管理權限的人員簽字或蓋章，有效地防止了偽造、篡改會計數據等作弊行為。會計實現信息化后，部分轉為人與計算機系統間的聯系，身份識別與權限控制增大了難度。原先的簽名或蓋章轉化為授權文件和口令，口令存放于計算機系統內而不像印章那樣由專人保管，一旦口令被人竊取或破譯，便會帶來巨大隱患，有可能造成企業機密泄漏和會計數據的丟失。

3.系統中審計過程不完善

沒有監督就等于沒有控制。監督是對整個內部控制系統的再控制，主要由審計部門實施。程序控制思路僅涉及各個環節的牽制問題，難以顧及監督因素。

4.維護過程中存在風險

企業系統日常維護，主要解決在日常操作中計算機硬件、軟件一些簡單故障。在對日常維護過程中，常常是出了問題就由工作人員直接通知維護人員進行維護，沒有嚴格的申報和測試驗收制度，維護過程中也沒有相應的記錄。

（二）系統控制方面

1.會計信息系統缺乏兼容性，系統內部銜接性差

目前，會計信息系統很難在不同制造商的會計系統和其他管理系統上實現完全的數據共享。會計軟件雖然比較成熟，但對于管理型財務軟件開發力度尚小，存在的問題依然較多，系統內部銜接性也較差。

2.數據保密性、安全性差

企業在會計信息化進程中主要存在的問題是數據的安全保密性差，這也是企業內控制度中最薄弱的環節。在手工會計系統中，原始憑證以紙張作為載體，有簽章并留有文字記錄，數據一旦被修改就會留下痕跡和線索，修改或偽造的難度很高。企業實施信息化后，企業內部控制的環境發生了變化，內部控制的重點也由對人的控制轉變為對人、計算機、網絡等信息設備和環境的控制。在會計信息化系統中，會計信息以各種數據文件的形式記錄在磁性存儲介質上，這種無紙化的會計資料極易被增刪、篡改、偽造或惡意破壞而不留任何痕跡，它弱化了紙質原始憑證所具有的較強的控制能力，為日后會計的跟蹤增加了難度。

3.各核算模塊缺乏銜接致使內部控制難度加大

往來模塊、固定資產、工資、報表等模塊功能設置過于死板，不能處理特殊業務數據，從而影響了輔助模塊與總賬系統的數據轉換的正確度。

4.軟件已有的功能不符合內部控制的要求

軟件提供的取消、復核、反過賬、反結賬等功能，這些功能的提供造成許多會計數據經處理后反而更靈活可變了，使得復核、登賬后能直接修改有關憑證、賬簿內容；結賬后不能再輸入、修改該月的憑證、賬簿等控制完全失效。單位領導、會計人員可以據此功能，適當調整某些會計數據。

5.軟件缺乏必要的審計接口

會計型軟件必須具有充分的保留和提供審計線索的功能。但是，我國的商品化會計軟件設計與開發似乎尚未給予足夠的重視。會計軟件缺少審計接口，從而給信息化后的審計工作帶來新問題，也影響了會計信息化系統內部控制發揮應有的作用。

（三）財務網絡化帶來的新問題

近年來，隨著計算機技術和網絡通訊技術的發展，網絡化會計信息系統日趨普及。目前財務軟件的網絡功能主要包括遠程報賬、遠程報表、遠程審計、網上支付、網上催賬、網上報稅、網上采購、網上銷售、網上銀行等，實現這些功能就必須有相應的控制，從而加大了會計系統安全控制的難度。網絡中出現用戶非法讀取、執行、修改、刪除、擴充和遷移各種數據、索引模式、子模式和程序等，從而使數據遭到破壞、篡改或泄露；甚至利用計算機舞弊和犯罪，或使計算機病毒侵入等。

四、會計信息化條件下加強企業內部控制的建議

（一）政府宏觀環境的塑造

1.以法律為基礎，以科技和管理進步為導向，營造適應企業發展和管理需要的外環境。一是要進一步完善修訂會計法規，制訂會計信息管理標準，特別是XBRL的標準等，以便企業制定自己的內部控制的手段和策略。二是要進一步完善現代企業制度，真正實現產權明晰、權責清楚、管理科學、政企分開，加速國有企業改革的步伐，從產權制度上保證內部控制制度的有效實施，使所有者能有效行使職權，加強對全體管理者所實施的監控。三是針對管理信息化的趨勢，要使管理者明確自己在新條件下的職責與角色，進一步強化對生產經營管理過程的監督與控制。通過外部環境的完善，促使企業積極主動地去實施內部會計控制。

2.加強對會計信息化系統研發的監控。會計信息化系統的研發，既涉及到諸多學科，也還涉及到各方面的利益及管理上的問題。因而，省以上的財政部門在組織商品化會計信息軟件的評審時，在強調其提供各種需要的信息功能的同時，應強調其在內部會計控制方面是否符合要求，制定會計信息標準。目前財政部門評審財務軟件的依據是《會計電算化管理辦法》、《商品化會計核算軟件評審規則》、《會計核算軟件基本功能規范》等法規，但顯然已經不適應今后信息化條件下的要求。今后的相關政策法規、技術標準要適應信息化發展的需要，應重視對軟件內部會計控制的檢查，在明確軟件公司的責任的條件下，強化用戶在數據輸入、處理、輸出、傳輸和安全保護等方面的責任。

3.以法規的形式明確企業會計信息化的管理制度。主要包括以下內容：（1）各種人員的崗位責任制。（2）安全保密制度。制定口令密碼的使用和管理辦法，機房、保衛、數據資料安全等方面應遵循的制度。（3）機器操作管理制度。（4）數據管理制度。規定輸入、輸出、存儲、查詢、使用數據應遵守的制度。（5）會計檔案管理制度。（6）系統維護管理制度。規定系統維護的申請、審批和應完成的任務。（7）會計信息的網絡管理制度。規定原始數據、會計信息的網絡傳輸、發布的管理制度。

（二）行業組織的自律

1.研制包括會計信息系統在內的企業管理信息系統的軟件企業應當成立其行業自律組織，并根據適時的相關法律、法規，制定相應的行業自律制度。通過制定行業管理規范、產品質量標準、行業職業道德等進行自我管理、自我控制，最終目的是通過內行來管理內行。

2.實行會計信息化管理的企業，也應成立會計行業信息管理方面的自律組織，形成一個互相監督、交互管理的行業管理制度。既包括對其使用會計信息系統是否合規進行管理，也包括對其使用、職位的分工、信息傳遞流程等是否合法合規進行監督，還包括對其產生的信息質量進行控制。最終目的是通過競爭來形成監督。

（三）企業內部管理控制的健全

企業應當根據《會計法》及相關法規制度，建立起一整套內部控制制度。具體而言，就是要根據不兼容權限必須分離原則、相互制約原則、安全、保密原則、內部防范原則，加強和完善對計算機會計系統的各部門和人員的管理和控制，包括組織機構的設置、責任劃分、監督管理、檔案管理等。

1.組織架構。在會計信息化條件下，應對原有的組織機構進行適當的調整，以適應計算機網絡基礎上的會計信息系統的要求。企業可以按會計數據的不同形態，劃分為網絡管理組、數據收集輸入組、數據處理組和會計信息分析組、系統安全組；也可按會計崗位和工作職責劃分為計算機會計主管、軟件操作、審核記賬、電算維護、電算審查、數據分析等崗位。組織機構的設置必須適合企業的實際規模、管理水平及企業的總體經營目標。

2.職責劃分。內部控制的關鍵點就在于不相容職務的分離；會計信息系統對每一項可能引起舞弊或欺詐的經濟業務，都不能由一個人或一個部門經手到底，必須分別由幾個人或幾個部門承擔。

（四）加大對“復合型”會計信息化人才的培養

企業信息化環境下，內部控制條件、環境等都有了革命性的變化，因此，要建立有效的企業內部控制制度，就必須培養會計信息化專業人才。從未來發展的要求看，應在高校著手培養具有會計、管理等專業知識，同時具有信息化技能的復合型專業人才；從連續性要求看，應對現有的電算化管理人員的經常性進行信息化知識及會計理論的培訓，提高其信息化條件下的專業技能，以形成新、老結合，高、中、低結合的會計信息化人才隊伍。

[1]李立志.會計信息系統內部控制特點的演變20111003.

[2]艾文國，王亞鳴。企業會計信息化內部控制問題研究[J].中國管理信息化，2010（15）：15.

[3]黃莉娟.會計信息系統內部控制分析[J].合作經濟與科技，2009（8）：88.