網絡會計內控安全評價體系的構建與研究

陳姍姍

【摘要】 文章以傳統內控體系理論及網絡會計內部控制的風險分析為基礎，構建新的網絡會計內部控制安全評價體系，并對其進行了詳細描述。同時采用模糊評價法對該體系進行績效評價，從定量角度判定其控制效果。

【關鍵詞】 網絡會計； 風險分析； 會計內控指標體系； 模糊評價法； 績效評價

中圖分類號：F232；F272.35文獻標識碼：A文章編號：1004-5937（2014）16-0083-05目前，中國很多企業實施了網絡會計信息系統，但對網絡環境下產生的安全威脅不夠重視，未及時完善自身的內控體系，增加了內部控制的不安全性，從而影響到會計信息的安全。因此，研究網絡會計信息系統下內部控制的安全問題，幫助企業建立一個新的、更有效的內部控制指標體系很有意義。

文章基于傳統內部控制評價體系網絡化下賦予的新含義，重新構建了網絡會計內部控制的安全評價體系，以實現對會計內控目標、會計內控環境、財務風險監控與管理控制、信息技術控制、財務監督問責、信息溝通等安全控制方面的評價。

一、網絡會計內部控制體系的理論基礎

（一）傳統內部控制體系

2008年6月28日，財政部會同證監會、審計署、銀監會、保監會制定并印發《企業內部控制基本規范》，要求企業建立實施的內部控制包括下列五個要素：內部環境、風險評估、控制活動、信息與溝通以及內部監督。這五個部分也可作為評價內部控制系統有效性的標準。

（二）網絡會計內部控制風險分析

內部控制主要是控制好風險，因此，筆者首先對網絡會計信息系統進行安全分析，然后運用各種方法和工具找出各個流程的潛在風險，最終建立起風險的詳細清單，如表1所示。

二、構建網絡會計內部控制安全評價體系

處于經濟轉型期的我國企業面臨經營風險及外部環境的變化，內控體系應及時作出相應的調整，構建適應信息化環境的內部控制框架。其中控制網絡會計帶來的新變化是重點，所有內控要素都要從信息化會計系統的特征出發加以通盤考慮。內部安全控制框架如圖1所示。

在網絡會計內部控制體系之下，根據每一類控制因素的活動域，首先將其分解為關鍵過程域，然后將該過程域細化到具體的關鍵控制點。本文將對體系中六個控制因素的活動域，按照關鍵過程域到關鍵控制點的步驟來分別描述。

（一）會計內控目標

1.建立符合國內外法律、法規，面向會計部門并結合部門內部網絡會計實際情況的內部控制體系。

2.梳理網絡會計下的內部管理流程。

3.不斷完善內部控制體系，與企業戰略目標相融合，向全面風險管理體系過渡，建立風險管理和內部控制長效管理機制。

（二）會計內控環境

1.更新信息化觀念

為了適應網絡發展的新形勢，企業領導要樹立市場觀念、競爭觀念，重視會計信息化，同時企業要結合先進的管理理念和現代化方法，更新現有會計信息系統。

2.明確會計部門分工

財務部下應設置信息部門和業務部門。信息部門提供信息技術服務和系統運行監督；業務部門負責批準、執行業務和資產保管等。

3.提高財務人員安全意識

（1）將會計信息安全方針與安全考察方針形成書面文件；（2）與重要的會計人員簽署保密協議；（3）對會計人員進行信息安全教育與培訓。

（三）財務風險監控與管理

1.財務風險監控

（1）識別關鍵控制點；（2）更新預警模型。實時監控潛在的風險，將全方位的信息轉換成財務指標，加入到預警模型中，實現資源共享和功能集成。

2.財務風險管理

（1）適當利用自動化控制來代替手工控制；（2）可在系統外部執行部分關鍵的手工操作。

（四）信息技術控制

1.系統構建控制

（1）制定信息系統開發戰略；（2）選擇合適的系統開發方式。

2.嚴密的授權審批制度

（1）操作權限與崗位責任制；（2）重點業務環節實行“雙口令”。

3.系統操作控制

（1）數據輸入控制；（2）數據處理控制；（3）數據輸出控制。

4.會計數據安全管理

（1）會計數據備份加密；（2）會計數據傳輸加密；（3）用戶訪問控制；（4）服務器加密。

（五）財務監督與問責

主要是內部審計管理：

（1）定期審計會計資料，檢查會計信息系統賬務處理的正確性；（2）審查機內數據與書面資料的一致性；（3）監督數據保存方式的安全性和合法性，防止非法修改歷史數據；（4）審查系統運行各環節，發現并及時堵塞漏洞等。

（六）信息溝通

會計信息的溝通與交流應貫穿整個內控體系中。

1.管理層重視

管理層應高度重視及支持信息系統的開發工作，確保各職能部門信息系統在信息交流上高度耦合。

2.嚴密的組織保障

各部門通過控制系統識別使用者需要的信息；收集、加工和處理信息，并及時、準確和經濟地傳遞給相關人員。

3.體系化的制度保障

建立健全會計及相關信息的報告負責制度，使會計人員能清楚地知道其所承擔的責任，并及時取得和交換他們在執行、管理和控制經營過程中所需的信息。

三、基于模糊評價法的內控評價體系應用 研究

網絡會計信息系統內控體系績效評價的應用研究主要利用成熟度模型來劃分內部會計控制因素的等級，基于模糊評價法來進行安全績效評價，最后得出相應的結論。

（一）模糊綜合評價法的應用

模糊綜合評價法是以模糊數學為基礎，將一些不易定量的因素定量化，從多個因素對被評價事物隸屬等級狀況進行綜合性評價。

一是對網絡會計內控體系進行成熟度劃分。

二是依據成熟度模型來確定評價因素和評價等級。設：U=｛?滋1，?滋2，?滋3，…，?滋m｝為被評價對象的m個評價指標V=｛v1，v2，v3，…，vn｝；為每一個因素所處的狀態的n種等級。

三是確定權重分配。

四是進行全面的調查訪問，并建立評價表。

五是建立模糊評價矩陣，得出多級模糊的綜合等級。

六是得出關鍵控制點的評級表。

七是得出評價結果。

（二）模糊綜合評價法的應用

本節針對上述內控體系中的信息技術控制因素，對其應用模糊評價法來進行分析，其他控制因素的評價方法與此例相同。

1.成熟度評價標準

借鑒能力成熟度模型（CMM），同時考慮網絡會計信息系統的特點，將內控流程評價標準劃分為六級：不存在級、初始級、已認識級、已定義級、已管理級、優化級。完善后的內部會計控制成熟度評價標準如表2所示。

表2中等級的劃分是針對會計信息系統內部控制體系總體情況而言。具體到網絡會計內部控制的每一級指標建立成熟度模型時，各個流程也分為以上六個等級。

2.成熟度模型

建立了成熟度評價標準之后，便可根據網絡會計內部控制體系列出控制內容、關鍵過程域及關鍵控制點。本文以信息技術控制為例建立具體模型，該控制因素的成熟度模型如表3所示。

3.權重分配

我國學者辛金國、范煒采用德爾菲法，通過問卷調查的方式得到傳統內部控制五要素中控制環境權重為30%、風險評估為12.9%、控制活動為25.2%、信息與溝通為28%、監督為3.9%。

本文賦權采用德爾菲法，并結合網絡會計的特點，控制內容的權重分配如表4、表5所示。

4.評價表

建立起三級的指標體系結構之后，分別對審計機構、信息安全機構、公司管理層及普通員工四個方面進行調查。每一類對象都挑選10人（總共40人）進行調查訪問，每位專家、管理者及員工分別運用實地觀察法、流程圖法、專業判斷法或工作經驗法，按照指標執行情況，對每一項關鍵控制點依照成熟度模型賦予安全等級分值，表格的內容代表選擇該等級的人數，整理后得出評價表，如表6所示。

endprint

5.模糊評價矩陣

首先，用表6中每個級別的分值除以總人數40，得出的評價結果構成關鍵過程域的模糊評價矩陣R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，進行關鍵控制域模糊矩陣運算，B4j=A4j·R4j

B41=［0.5 0.5］·R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，計算控制內容的模糊矩陣運算，Vi=Ai·Bi

V4=［0.2 0.3 0.25 0.25］·B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，計算信息技術控制的綜合得分G4=V4· ［0 1 2 3 4 5］T=2.78875。

6.評級表

對各關鍵控制點的分值進行加權平均計算，根據得出的數所靠近的級別，從而判斷其成熟度級別，公式是：

單項關鍵控制點評價得分=Σ（該關鍵控制點的分值×對應的等級數）÷40

每一項關鍵控制點通過上述公式計算得出的評級表如表7所示。

依據內控流程的成熟度，對照單項關鍵控制點的評級，賦予其合適的等級區間。

7.評價結果

根據模糊矩陣法運算出的信息技術控制的綜合評分為2.78875，在2—已認識級與3—已定義級之間，接近3—已定義級。

根據表7，可以針對公司的信息技術控制關鍵控制點的績效作出如下評價：

公司在適當的信息系統開發方式、操作權限與崗位責任制、操作控制以及會計數據存儲加密中做得較好，評級基本在3—已定義級以上。

公司在內部會計控制中的信息系統開發的戰略規劃、重點業務環節的安全控制、會計數據安全管理、對外來人員的訪問控制、對內部服務器的安全管理均需要進一步加強。

四、結語

網絡會計具有開放性、及時性、分散性與共享性的特點，根據其特點，本文建立了信息化內部會計控制體系，主要包含會計內控目標、會計內控環境、財務風險監控與管理、信息技術控制、財務監督問責、信息溝通六個方面。在安全分析過程中，列出了風險清單，讓財務部門負責人更全面地了解到面臨的各級風險。發現風險是第一步，第二步便是管理風險，公司應分別從內部會計控制的六個方面進行體系化的控制，其中最重要的便是利用信息技術控制來保障網絡會計信息系統的內部安全和計算機網絡安全。最后，本文運用模糊評價法，對網絡會計信息系統內部控制評價體系進行應用研究，以信息技術控制為例，對其安全內控體系進行了評價及實證分析。●

【參考文獻】

［1］ 王曉玲.基于風險管理的內部控制建設［M］.北京：電子工業出版社，2010：100-102.

［2］ 陳志斌.信息化生態環境下企業內部控制框架研究［J］.會計研究，2007（1）：30-37.

［3］ 杜洪濤.網絡環境下會計電算化信息系統安全探討［J］.計算機光盤軟件與應用，2010（9）：37-38.

［4］ 宮雪冰.基于內部控制的網絡會計信息系統安全問題的控制［J］.中國管理信息化，2010，13（15）：2-3.

［5］ 李河君.會計信息系統風險控制體系研究［D］.首都經濟貿易大學碩士學位論文，2010.

［6］ 財政部會計司.《企業內部控制應用指引第18號—信息系統》解讀［J］.財務與會計，2011（6）：57-62.

［7］ 艾文國，王亞鳴.企業會計信息化內部控制問題研究［J］.中國管理信息化，2008，11（15）：14-16.

［8］ 張繼德,劉盼盼. 會計信息系統安全性現狀及應對策略探討［J］. 中國管理信息化，2010，13（6）：3-5.

［9］ 陳秀偉.網絡環境下會計信息系統的內部控制探析［J］.中國管理信息化，2011，14（5）：7-8.

［10］ 梁麗瑾，房卉.基于COBIT的企業信息化內部控制績效評價［J］.經濟問題，2012（2）：114-119.

［11］ 王偉.基于COSO框架下建設項目內部控制評價指標體系的構建與應用研究［D］.湘潭大學碩士學位論文，2011.

endprint

5.模糊評價矩陣

首先，用表6中每個級別的分值除以總人數40，得出的評價結果構成關鍵過程域的模糊評價矩陣R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，進行關鍵控制域模糊矩陣運算，B4j=A4j·R4j

B41=［0.5 0.5］·R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，計算控制內容的模糊矩陣運算，Vi=Ai·Bi

V4=［0.2 0.3 0.25 0.25］·B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，計算信息技術控制的綜合得分G4=V4· ［0 1 2 3 4 5］T=2.78875。

6.評級表

對各關鍵控制點的分值進行加權平均計算，根據得出的數所靠近的級別，從而判斷其成熟度級別，公式是：

單項關鍵控制點評價得分=Σ（該關鍵控制點的分值×對應的等級數）÷40

每一項關鍵控制點通過上述公式計算得出的評級表如表7所示。

依據內控流程的成熟度，對照單項關鍵控制點的評級，賦予其合適的等級區間。

7.評價結果

根據模糊矩陣法運算出的信息技術控制的綜合評分為2.78875，在2—已認識級與3—已定義級之間，接近3—已定義級。

根據表7，可以針對公司的信息技術控制關鍵控制點的績效作出如下評價：

公司在適當的信息系統開發方式、操作權限與崗位責任制、操作控制以及會計數據存儲加密中做得較好，評級基本在3—已定義級以上。

公司在內部會計控制中的信息系統開發的戰略規劃、重點業務環節的安全控制、會計數據安全管理、對外來人員的訪問控制、對內部服務器的安全管理均需要進一步加強。

四、結語

網絡會計具有開放性、及時性、分散性與共享性的特點，根據其特點，本文建立了信息化內部會計控制體系，主要包含會計內控目標、會計內控環境、財務風險監控與管理、信息技術控制、財務監督問責、信息溝通六個方面。在安全分析過程中，列出了風險清單，讓財務部門負責人更全面地了解到面臨的各級風險。發現風險是第一步，第二步便是管理風險，公司應分別從內部會計控制的六個方面進行體系化的控制，其中最重要的便是利用信息技術控制來保障網絡會計信息系統的內部安全和計算機網絡安全。最后，本文運用模糊評價法，對網絡會計信息系統內部控制評價體系進行應用研究，以信息技術控制為例，對其安全內控體系進行了評價及實證分析。●

【參考文獻】

［1］ 王曉玲.基于風險管理的內部控制建設［M］.北京：電子工業出版社，2010：100-102.

［2］ 陳志斌.信息化生態環境下企業內部控制框架研究［J］.會計研究，2007（1）：30-37.

［3］ 杜洪濤.網絡環境下會計電算化信息系統安全探討［J］.計算機光盤軟件與應用，2010（9）：37-38.

［4］ 宮雪冰.基于內部控制的網絡會計信息系統安全問題的控制［J］.中國管理信息化，2010，13（15）：2-3.

［5］ 李河君.會計信息系統風險控制體系研究［D］.首都經濟貿易大學碩士學位論文，2010.

［6］ 財政部會計司.《企業內部控制應用指引第18號—信息系統》解讀［J］.財務與會計，2011（6）：57-62.

［7］ 艾文國，王亞鳴.企業會計信息化內部控制問題研究［J］.中國管理信息化，2008，11（15）：14-16.

［8］ 張繼德,劉盼盼. 會計信息系統安全性現狀及應對策略探討［J］. 中國管理信息化，2010，13（6）：3-5.

［9］ 陳秀偉.網絡環境下會計信息系統的內部控制探析［J］.中國管理信息化，2011，14（5）：7-8.

［10］ 梁麗瑾，房卉.基于COBIT的企業信息化內部控制績效評價［J］.經濟問題，2012（2）：114-119.

［11］ 王偉.基于COSO框架下建設項目內部控制評價指標體系的構建與應用研究［D］.湘潭大學碩士學位論文，2011.

endprint

5.模糊評價矩陣

首先，用表6中每個級別的分值除以總人數40，得出的評價結果構成關鍵過程域的模糊評價矩陣R4j：

R41=0.7 0.2 0.1 000000.1 0.3 0.50.1

R42=00 00.20.7 0.100.10.6 0.20.1 0

R43=000.1 0.2 0.6 0.10000.1 0.3 0.600000.2 0.8

R44=000.20.7 0.1 00.8 0.2 00000.2 0.6 0.20000 0.30.50.200

其次，進行關鍵控制域模糊矩陣運算，B4j=A4j·R4j

B41=［0.5 0.5］·R41=［0.35 0.1 0.1 0.15 0.25 0.05］

B42=［0 0.05 0.3 0.2 0.4 0.05］

B43=［0 0 0.033 0.1 0.366 0.501］

B44=［0.25 0.275 0.225 0.225 0.025 0］

然后，計算控制內容的模糊矩陣運算，Vi=Ai·Bi

V4=［0.2 0.3 0.25 0.25］·B4=［0.1325 0.10375 0.1745 0.17125 0.26775 0.15025］

最后，計算信息技術控制的綜合得分G4=V4· ［0 1 2 3 4 5］T=2.78875。

6.評級表

對各關鍵控制點的分值進行加權平均計算，根據得出的數所靠近的級別，從而判斷其成熟度級別，公式是：

單項關鍵控制點評價得分=Σ（該關鍵控制點的分值×對應的等級數）÷40

每一項關鍵控制點通過上述公式計算得出的評級表如表7所示。

依據內控流程的成熟度，對照單項關鍵控制點的評級，賦予其合適的等級區間。

7.評價結果

根據模糊矩陣法運算出的信息技術控制的綜合評分為2.78875，在2—已認識級與3—已定義級之間，接近3—已定義級。

根據表7，可以針對公司的信息技術控制關鍵控制點的績效作出如下評價：

公司在適當的信息系統開發方式、操作權限與崗位責任制、操作控制以及會計數據存儲加密中做得較好，評級基本在3—已定義級以上。

公司在內部會計控制中的信息系統開發的戰略規劃、重點業務環節的安全控制、會計數據安全管理、對外來人員的訪問控制、對內部服務器的安全管理均需要進一步加強。

四、結語

網絡會計具有開放性、及時性、分散性與共享性的特點，根據其特點，本文建立了信息化內部會計控制體系，主要包含會計內控目標、會計內控環境、財務風險監控與管理、信息技術控制、財務監督問責、信息溝通六個方面。在安全分析過程中，列出了風險清單，讓財務部門負責人更全面地了解到面臨的各級風險。發現風險是第一步，第二步便是管理風險，公司應分別從內部會計控制的六個方面進行體系化的控制，其中最重要的便是利用信息技術控制來保障網絡會計信息系統的內部安全和計算機網絡安全。最后，本文運用模糊評價法，對網絡會計信息系統內部控制評價體系進行應用研究，以信息技術控制為例，對其安全內控體系進行了評價及實證分析。●

【參考文獻】

［1］ 王曉玲.基于風險管理的內部控制建設［M］.北京：電子工業出版社，2010：100-102.

［2］ 陳志斌.信息化生態環境下企業內部控制框架研究［J］.會計研究，2007（1）：30-37.

［3］ 杜洪濤.網絡環境下會計電算化信息系統安全探討［J］.計算機光盤軟件與應用，2010（9）：37-38.

［4］ 宮雪冰.基于內部控制的網絡會計信息系統安全問題的控制［J］.中國管理信息化，2010，13（15）：2-3.

［5］ 李河君.會計信息系統風險控制體系研究［D］.首都經濟貿易大學碩士學位論文，2010.

［6］ 財政部會計司.《企業內部控制應用指引第18號—信息系統》解讀［J］.財務與會計，2011（6）：57-62.

［7］ 艾文國，王亞鳴.企業會計信息化內部控制問題研究［J］.中國管理信息化，2008，11（15）：14-16.

［8］ 張繼德,劉盼盼. 會計信息系統安全性現狀及應對策略探討［J］. 中國管理信息化，2010，13（6）：3-5.

［9］ 陳秀偉.網絡環境下會計信息系統的內部控制探析［J］.中國管理信息化，2011，14（5）：7-8.

［10］ 梁麗瑾，房卉.基于COBIT的企業信息化內部控制績效評價［J］.經濟問題，2012（2）：114-119.

［11］ 王偉.基于COSO框架下建設項目內部控制評價指標體系的構建與應用研究［D］.湘潭大學碩士學位論文，2011.

endprint