芻議IT環境下我國企業會計信息系統的內部控制問題

[摘 要] 企業內部控制是企業進行有效經營和管理的基礎，是實現維護資產和資源安全完整，保證會計信息的安全、完整、真實、可靠的必要手段。與此同時，信息技術應用的復雜性也帶來了與以往不同的風險。傳統的會計信息系統內部控制已經不能適應信息技術環境中的企業管理工作，迫切需要建立健全會計信息系統內部控制，以滿足對企業會計信息系統內部控制的特殊要求。本文根據當前社會企業內部控制的基本規范，從企業內部控制的五要素出發，探討IT環境下企業會計信息系統內部控制問題， 并有針對性地提出若干政策建議。

[關鍵詞] 會計信息系統；內部控制；問題；對策

doi ： 10 . 3969 / j . issn . 1673 - 0194 . 2013 . 21. 017

[中圖分類號] F232；F233 [文獻標識碼] A [文章編號] 1673 - 0194（2013）21- 0027- 03

2008 年5 月，財政部頒布了《企業內部控制基本規范》，這使我國企業內部控制規范上了一個新的臺階，此次的內控規范，增加了基于信息技術系統的內部控制政策與程序，強調了信息系統安全性。為了加強和規范企業內部控制，提高企業經營管理水平和風險防范能力，促進企業可持續發展，維護社會主義市場經濟秩序和社會公眾利益，2009 年1 月，國家財政部《關于推進我國會計信息化工作的指導意見》中提出，要積極推動會計信息系統與管理信息系統的有效集成，著力將會計準則和內部控制標準固化在信息系統中，力爭將會計師事務所內部控制制度固化在管理信息系統中。在《中國內部審計具體準則第28 號——信息系統審計》中指出：信息技術內部控制的各個層面都包括人工控制、自動控制和人工、自動相結合的控制形式，審計人員應根據不同的控制形式采取恰當的審計程序。該準則基于內部控制的五要素，從被審計單位的內部環境、風險評估過程、信息與溝通、控制活動、對內部監督5個方面來討論會計信息系統的內部控制問題。

1 會計信息系統內部控制概述

1.1 會計信息系統的含義

信息系統是一系列相互關聯的可以收集（輸入）、操作和存儲（處理）、傳播（輸出）數據和信息，并提供反饋機制以實現目標的元素或組成部分的集合。隨著計算機技術、網絡技術與通信技術的不斷發展，信息系統也獲得了迅速發展，目前主要有以下幾種類型：數據處理系統、管理信息系統、決策支持系統和專家系統。會計信息系統是管理信息系統的一個重要分支，它是利用信息技術對會計信息進行采集、存儲、處理和傳遞，完成會計核算任務，并能提供進行會計管理、分析、決策所需的輔助信息的人機系統。

1.2 會計信息系統的內部控制

會計信息系統的內部控制將組織控制、手工內部控制和計算機內部控制結合起來，實現全面控制。它隨著會計信息系統工作環境變化而變化，通過實施特定措施和機制保證會計信息系統產品質量，并在此基礎上提高企業經營效率。各級管理部門為了保護國家和企業的財產完整與安全，確保會計及其他數據的可靠，保證國家及企業所制定的各項方針政策的貫徹與執行，以及查錯防弊，加強管理，提高經濟效益所采取的一切制度、方針、措施和管理程序。在會計信息系統的內部控制中，企業通過控制所需要解決的問題和所要達到的目的進行分析。其內容包括確保系統的合規合法，保證會計數據的正確無誤，保證系統安全可靠，提高系統運行的效率性，提高系統的可維護性，增強系統的可審性。由此可見，會計信息系統和內部控制存在著相互影響、相互制約的關系。

2 企業會計信息系統內部控制存在的問題

2.1 缺乏對內部環境的管理

內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱，是實施內部控制的基礎。內部環境在企業IT領域中體現為IT 的內部控制環境，雖然企業的整體目標沒有改變，但是在IT環境下會計信息系統的實施存在著相應的組織管理等問題，其主要表現在以下兩個方面。

（1）崗位職責分工界限模糊。不相容職能分離與相應職責分工是手工會計內部控制的基礎，而在會計信息化環境中，由于會計軟件的功能集中，導致職責的集中，在某些管理不規范的企業，一些會計人員身兼數職，比如有的會計人員既從事數據輸入處理又負責數據輸出報送，這樣就會造成未經批準擅自對程序與數據庫進行修改和操作等舞弊行為。

（2）數據的采集與輸出缺乏監控。會計信息化數據雖然要求有原始單據才可以輸入，但是缺乏可靠信息的記錄或未經確認的數據也有可能被輸入，數據采集的不謹慎必然導致處理結果缺乏可信度。會計數據存儲在磁性介質上，數據刪改容易且一般不留痕跡，程序與數據都保存在計算機中，在監控不力的情況下很容易產生舞弊行為。這就需要加大對于企業內部環境的管理力度。

2.2 風險評估的范圍擴大

風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程，是實施內部控制的重要環節，也是內部控制整體框架的獨特之處。在IT環境下，雖然企業的整體目標沒有改變，但是經濟、產業及管理的外部環境與內部因素都發生了變化。系統的開放性、信息的分散性、數據的共享性，使系統從以往封閉集中狀態走向開放，給會計信息系統帶來了風險。這些風險構成了內部控制的新內容，擴大了會計信息系統內部控制的范圍，例如，會計人員的職責過度集中而計算機犯罪又具有很大的隱蔽性和危害性，所以發現計算機舞弊和犯罪的難度就更大，給企業造成的危害和損失也在擴大。此外，會計信息化使得數據高度集中，未經授權的人員有可能通過計算機和網絡下載、復制、偽造、銷毀企業重要的數據；計算機病毒感染、黑客入侵、使用人員違規操作也會造成計算機系統故障或信息系統崩潰等，都相應地給企業帶來了不同程度的風險。

2.3 會計信息系統的應用增加企業內部會計控制的難度

IT 環境下會計信息系統控制的重點由對人的控制轉變為對人、機共同控制，控制程序與計算機處理相互協調適應。隨著計算機使用范圍的擴大，利用計算機進行貪污、舞弊、詐騙等犯罪活動有所增加，如儲存在計算機磁性媒介上的數據容易被篡改，數據庫中數據高度集中，未經授權的人員有可能通過計算機和網絡瀏覽全部數據文件，復制、偽造、銷毀企業重要的數據，增加了IT 環境下內部控制的難度與復雜性。

2.4 企業信息與溝通的難度加大

信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息，并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程，是實施內部控制的重要條件。會計信息系統作為企業管理的一個子系統，與其他管理系統有緊密的聯系，會計信息系統從其他管理信息子系統和系統外界獲取信息，也將處理結果提供給有關系統，使得系統外部接口較復雜。同時因計算機不具有人所特有的職業判斷能力，使得企業在IT環境下信息與溝通難度加大。

2.5 缺乏有效的內部監督和管理

內部監督是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估，形成書面報告并做出相應處理的過程，是實施內部控制的重要保證。在IT環境下，一些內部控制被計算機程序化，并嵌入計算機應用系統內，因此內部控制具有人工控制與程序控制相結合的特點，這些程序化內部控制的有效性取決于應用程序，如果程序發生差錯或不起作用，依賴程序的思想和程序的重復操作會使得錯誤擴大化，使得失效控制長期不被發現，從而使系統在特定方面發生錯誤或違規行為的可能性較大，所以，在會計信息系統下更應注意對內部控制的監督，由適當的人員在適當的時候及時評估內部控制的設計和運行情況。

3 企業會計信息系統下內部控制的對策

由于在網絡環境下會計信息系統具有系統的開放性、信息的分散性、數據的共享性等特點，企業需要擴展系統運行范圍，從而改變了傳統會計信息系統內部控制的內容和方法。

3.1 加強對企業內部環境的管理

首先，加強企業內部控制，應規范各部門，崗位及環節的職責權限。明確規定處理各種經濟業務的職責和程序方法，資產記錄與保管的分工，保證會計憑證、會計記錄的完整性和正確性，建立計算機會計信息系統操作規范。其次，突出人的因素在內部控制中的重要地位。一方面，內部控制的好壞取決于員工素質的高低。企業必須重視對管理人員的選用，制定嚴格的招聘程序和良好的用人政策，選用有能力的人執行內部控制制度，確保內部控制制度正常發揮作用。另一方面，確定企業管理者與會計機構會計人員的制約關系，也是保證企業內部控制有效的關鍵因素。最后，企業必須充分發揮內部審計的作用。內部審計是企業強化內部控制制度的一項基本措施，內部審計不僅包括審核會計賬目，還包括稽查、評價內部控制制度及審核企業內部組織機構執行職能的效率，向企業最高管理部門提出報告，從而保證企業內部控制制度更加完善、嚴密。

3.2 提高企業風險管理水平

風險時刻威脅著企業內部控制的有效性，風險來自于企業內部和外部兩個方面，對這些風險企業必須加以評估，風險評估就是分析和辨認實現企業目標可能發生的風險。辨識和分析風險的過程是持續的、反復的過程，也是有效的內部控制的關鍵組成要素，企業管理層應該十分謹慎地注意各個部門的風險，并且采取必要的風險管理措施。首先，企業在設計會計信息系統程序時應建立預警系統，提供預警功能，系統能夠自動檢測并生成預警信息，自動通過網絡傳給相關責任人。其次，信息化會計檔案管理的控制。會計檔案管理的目標是要做到任何情況下數據都不丟失、不損毀、不泄露。通常采用的控制包括接觸控制、丟失數據的恢復與重建等，而數據的備份則是數據恢復與重建的基礎，是一種常見的數據控制手段，采用磁性介質保存會計檔案要定期進行檢查和備份，防止由于磁性介質損壞而使會計檔案丟失。

3.3 完善IT內部控制措施

企業的控制活動是企業為了保證指令得到實施而制定并執行的控制政策和程序，是針對實現組織目標所涉及的風險而采取的必要的防范或減少損失的措施。在會計信息系統方面需要實施具體的IT 控制措施，包括IT管理類控制措施和IT技術類控制措施。會計信息技術的廣泛應用增強了控制手段的多樣性、靈活性、高效性，加強了內部控制的預防檢查與糾正的功能，可以使企業擺脫人員與資源的限制，經濟有效地實現內部控制的目標。例如，提高在IT環境下數據的加密技術是保護信息通過公共網絡傳輸和防止電子竊聽的首選方法。

3.4 加強企業內部的信息和溝通

會計信息系統的主要目的是記錄、處理、存儲、歸納和交流信息，任何交易必須能夠追蹤其從發生到終止的過程，所有交易必須在系統中留下審計線索，為內部控制提供保證。一個良好的信息與溝通系統可以使企業管理層及時掌握整個企業營運的狀況和組織中發生的事情。在會計信息系統下，數據經過處理生成的內部信息，有助于企業各部門做生產經營決策。首先，所有人員都要了解應該提供哪些信息，在會計信息系統中所處的位置，形成各部門、各管理級次之間的信息溝通及反饋渠道，形成信息控制體系。其次，加強信息化建設，實現內部信息的強制流通，還要建立內部信息報告反饋制度。

3.5 加強宏觀監督管理控制

整個內部控制的過程必須施以恰當的監督檢查，通過監督檢查活動在必要時對其加以修正。財政部門和主管部門應針對實施會計信息化的企業制定會計信息系統應用工作指南，對企業會計信息化工作提出指導和建議，使企業具有良好的內部控制。對商品化的會計軟件要做好評審工作。對于會計從業人員進行崗前、崗中培訓，提高會計人員的自身素質和職業道德修養。建立嚴格的監督審查機制，對違規操作、弄虛作假、恣意隱瞞的單位給予嚴肅處理。

注：本文系集美大學誠毅學院大學生創新性實驗計劃項目“IT環境下企業會計信息系統的風險管理問題研究”的階段性成果。

主要參考文獻

[1]企業內部課題研究組.企業內部控制基本規范解讀及應用指南[M].北京：中國商業出版社，2009.

[2]李玉周，李佳，柯可. 基于COBIT的企業會計信息系統內部控制分析與重建[J]. 財會通訊，2009（7）.

[3]胡仁昱 .會計信息系統[M].北京：清華大學出版社，2008.

[4]任家華.會計信息系統內部控制的理論框架和發展策略[J].中國管理信息化，2010（1）.

[5]閆萍.會計信息化對內部控制的影響及對策研究[J].會計師，2009（6）.

[6]房卉. 基于CMM模型的會計信息系統內部控制研究[D]. 太原：山西財經大學，2012.2