IT環(huán)境下內(nèi)部控制的機遇和挑戰(zhàn)

湯 巖,陳慶海

(集美大學(xué) 工商管理學(xué)院，福建 廈門 361021)

IT環(huán)境下內(nèi)部控制的機遇和挑戰(zhàn)

湯 巖,陳慶海

(集美大學(xué) 工商管理學(xué)院，福建 廈門 361021)

IT環(huán)境對內(nèi)部控制的變革既帶來了機遇，也帶來了挑戰(zhàn)。這些挑戰(zhàn)主要存在于輸入口控制、技術(shù)端防范和內(nèi)部控制頂層規(guī)范等方面，相應(yīng)的解決策略也應(yīng)從這三個方面入手。雖然IT環(huán)境下內(nèi)部控制還存在很多問題，但IT環(huán)境的沖擊是促進內(nèi)部控制理論成熟和發(fā)展的良好契機。

IT環(huán)境；內(nèi)部控制；COSO報告

IT環(huán)境的應(yīng)用是一個不可逆轉(zhuǎn)的趨勢，它雖然對傳統(tǒng)的內(nèi)部控制理論和實踐提出了挑戰(zhàn)，但也給內(nèi)部控制理論的成熟和發(fā)展提供了非常好的契機。正如陳志斌指出的那樣，“信息化生態(tài)環(huán)境是知識經(jīng)濟社會企業(yè)所共處的生態(tài)環(huán)境，如何完善信息化生態(tài)環(huán)境中企業(yè)內(nèi)控機制應(yīng)是內(nèi)部控制研究和法規(guī)建設(shè)在新時期的重要使命”[1]。

一、 IT環(huán)境給內(nèi)部控制帶來的機遇

傳統(tǒng)的內(nèi)部控制數(shù)據(jù)缺少共享，特別是財務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)的分離，容易造成財務(wù)人員的誤判，如對于價格嚴(yán)重失真的材料采購發(fā)票，財務(wù)人員只能從財務(wù)的角度(如相應(yīng)的單據(jù)是否齊全，有無相關(guān)領(lǐng)導(dǎo)簽字，簽字有無仿造和篡改的痕跡等)判斷單據(jù)是否可以入賬，由于沒有業(yè)務(wù)環(huán)境的數(shù)據(jù)支持，所以財務(wù)人員很難了解各種材料不斷變化的價格，盡管會有疑問，往往也是簡單詢問后就按發(fā)票付款和入賬。網(wǎng)絡(luò)環(huán)境出現(xiàn)后，很多企業(yè)通過ERP實現(xiàn)了財務(wù)和業(yè)務(wù)一體化，通過SCM實現(xiàn)了上下游廠商的信息實時溝通，這樣各種數(shù)據(jù)就可以實時順暢地反饋到財務(wù)人員那里，使以上問題得到解決。作為ERP 軟件的頂級廠商，SAP公司的mysAP ERP軟件充分發(fā)揮了財務(wù)業(yè)務(wù)一體化對內(nèi)部控制的作用，它的功能模塊幾乎涵蓋了管理業(yè)務(wù)的各個方面，財務(wù)模塊和業(yè)務(wù)模塊之間高度集成和關(guān)聯(lián)，數(shù)據(jù)可以實現(xiàn)自動實時更新，從而避免了無效和垃圾數(shù)據(jù)的干擾，如 “物料發(fā)票接收”事件可自動觸發(fā)供應(yīng)商賬戶余額、費用或成本賬戶及相應(yīng)成本中心的數(shù)據(jù)實時更新。

二、 IT環(huán)境給內(nèi)部控制帶來的挑戰(zhàn)

(一)會計崗位合并帶來的潛在風(fēng)險

傳統(tǒng)的會計內(nèi)部控制的主要思想就是不相容業(yè)務(wù)職責(zé)分離，傳統(tǒng)經(jīng)濟業(yè)務(wù)從發(fā)生到完成所經(jīng)歷的每一個環(huán)節(jié)都是由相應(yīng)治理權(quán)限的人員簽章后，方可辦理。這種相互制約和相互監(jiān)督的內(nèi)部控制方式雖然效率不高，手續(xù)煩瑣，數(shù)據(jù)冗余重復(fù)，但可有效地防止作弊。

然而，在網(wǎng)絡(luò)會計中，由于計算機代替了大量的人工勞動，企業(yè)無須那么多會計人員，企業(yè)出于成本考慮，對會計崗位進行合并，從而造成一些傳統(tǒng)的制衡手段流于形式，這就大大增加了內(nèi)部控制的風(fēng)險。

(二)會計信息易于被竊取、偽造和篡改

在傳統(tǒng)的會計系統(tǒng)中，原始憑證是以紙張為載體的，多聯(lián)復(fù)寫具有相互牽制性。原始憑證上的筆跡具有可辨認(rèn)性，很難非法修改。但在網(wǎng)絡(luò)會計中，各種單據(jù)都以電子形式存在，這種電子數(shù)據(jù)通過各種手段被篡改或偽造時，一般不留任何痕跡，很難被發(fā)現(xiàn)，這給內(nèi)部控制帶來了新的難題。網(wǎng)絡(luò)環(huán)境的開放性，也大大增加了黑客竊取、篡改和偽造數(shù)據(jù)的可能性。

三、 應(yīng)對風(fēng)險的措施

IT是把雙刃劍，它在給我們帶來便利的同時，也帶來了風(fēng)險。針對其風(fēng)險，應(yīng)結(jié)合IT自身的特點予以解決。

(一)從輸入口端防范風(fēng)險

以網(wǎng)絡(luò)為代表的IT環(huán)境改變了手工會計的流程。計算機憑借其高效的運算和復(fù)制速度、高速的數(shù)據(jù)傳輸能力、基于既定規(guī)則的邏輯判斷能力，改變了手工會計的流程，緩解了使用者的勞動強度。我們在享受計算機帶來的便捷時，也要認(rèn)識到計算機其實是沒有智力的，對于錯誤的數(shù)據(jù)輸入很難有較好的判斷，充其量也就是停留在數(shù)據(jù)的完整性和基本邏輯判斷上。所謂“垃圾進垃圾出”，就是指對垃圾數(shù)據(jù)處理得再完美，得到的還是垃圾信息。因此，對輸入端的控制至關(guān)重要。當(dāng)數(shù)據(jù)進入輸入端后，都交由計算機進行處理，如果不是惡意的攻擊和篡改，一般而言，如處理程序沒有問題，數(shù)據(jù)的安全性和準(zhǔn)確性是可以得到保障的。

為了保證輸入端數(shù)據(jù)的正確性，一方面要從會計制度上進行管理，即單據(jù)錄入人員和審核人員的權(quán)限職責(zé)要分開，不能由同一人擔(dān)任；另一方面要利用計算機的邏輯判斷能力，通過網(wǎng)絡(luò)數(shù)據(jù)共享，在豐富數(shù)據(jù)的支持下，通過計算機程序?qū)﹀e誤的單據(jù)進行判斷和提示。程序化控制體現(xiàn)了實時控制的思想，閻達(dá)五、張瑞君充分肯定了這種思想。他們認(rèn)為，會計實時控制觀是體現(xiàn)信息時代特征的一種新的控制觀，它不僅僅是會計控制內(nèi)涵和外延的擴充，而且是對傳統(tǒng)控制觀的發(fā)展和創(chuàng)新。[2]在實踐方面，比較著名的例子就是福特公司采用實時控制的思想，成功高效地實現(xiàn)了對采購、付款過程中的風(fēng)險進行控制。我國的聯(lián)想公司在員工報銷流程中也成功應(yīng)用了這種實時控制的思想。

這種思想的實現(xiàn)是以數(shù)據(jù)的集成和共享為前提的。很難想象，沒有業(yè)務(wù)數(shù)據(jù)的支持，實時控制的思想能得以實現(xiàn)。《企業(yè)內(nèi)部控制基本規(guī)范》明確指出集成的業(yè)務(wù)數(shù)據(jù)支持在內(nèi)部控制中的重要性，其第七條規(guī)定：“企業(yè)應(yīng)當(dāng)運用信息技術(shù)加強內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進內(nèi)部控制流程與信息系統(tǒng)的有機結(jié)合，實現(xiàn)對業(yè)務(wù)和事項的自動控制，減少或消除人為操縱因素。”[3]第四十一條規(guī)定：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用。”[3]目前，國產(chǎn)軟件在這方面還存在不足。以用友軟件為例，許多模塊在數(shù)據(jù)的集成和共享上存在欠缺，內(nèi)部控制流程無法與業(yè)務(wù)流程和會計處理流程集成在統(tǒng)一的軟件平臺上。另外，用友軟件的設(shè)計思想以面向核算功能為主導(dǎo)，注重核算模塊的功能實現(xiàn)。用戶根據(jù)需要購買模塊，即使一些用戶購買所有的模塊，但使用較少的模塊也很難保證較好的數(shù)據(jù)維護，這就導(dǎo)致系統(tǒng)中的數(shù)據(jù)不能很好地集成，造成流程的中斷和傳遞數(shù)據(jù)的滯后，部分內(nèi)部控制難以實施，企業(yè)經(jīng)常不得不采用手工方式進行內(nèi)部控制，而前面提及的mysAP ERP軟件財務(wù)業(yè)務(wù)一體化的高度集成則使實時控制的思想得到了很好的貫徹，正如霍蘭德提出的那樣，“如果高度集成的系統(tǒng)結(jié)構(gòu)適當(dāng)，并且內(nèi)置正確的控制，其風(fēng)險性可能更低”[4]。

(二) 從技術(shù)端防范內(nèi)部控制風(fēng)險

1． 權(quán)限的管理和控制

傳統(tǒng)的不相容職責(zé)分離是內(nèi)部控制的基本原則，這在IT環(huán)境下同樣適用。在操作中，應(yīng)規(guī)定每個用戶的安全等級和身份驗證的方式，明確每個操作人員的具體權(quán)限，如對數(shù)據(jù)庫的查閱、修改、增加、刪除等操作權(quán)限。各個崗位之間互相監(jiān)督和牽制，并對授權(quán)的權(quán)限嚴(yán)格管理，確保不會出現(xiàn)權(quán)責(zé)不清的情況。為了更好地對操作人員的操作進行管理，應(yīng)實時監(jiān)控和記錄運行系統(tǒng)的用戶身份、操作時點，其操作和數(shù)據(jù)也被同步記錄在鏡像數(shù)據(jù)庫中。當(dāng)出現(xiàn)系統(tǒng)故障、錯誤操作、人為破壞和非法訪問時，可以回滾(Rollback)為之前的狀態(tài)，同時也可根據(jù)日志記錄，追究相關(guān)人員的責(zé)任。一般的大型數(shù)據(jù)庫從技術(shù)上均可以支持這種回滾功能和日志功能。

2． 網(wǎng)絡(luò)方面的管理和控制

一方面，由于企業(yè)的數(shù)據(jù)庫和外網(wǎng)連接，所以在網(wǎng)絡(luò)接口處設(shè)置防火墻至關(guān)重要。一般可以安裝應(yīng)用網(wǎng)關(guān)防火墻，它具有包過濾防火墻和代理服務(wù)器防火墻兩方面的優(yōu)點，可以防止外部的非法訪問和內(nèi)部的非法攻擊。另外，實時的殺毒軟件監(jiān)控也是保證數(shù)據(jù)安全所必備的。另一方面，網(wǎng)絡(luò)帶來的數(shù)據(jù)高速傳送突破了時空的限制，但也使數(shù)據(jù)在傳輸途中存在泄密的風(fēng)險，而多層加密技術(shù)和數(shù)據(jù)簽名技術(shù)可以防范這種網(wǎng)絡(luò)時代常見的風(fēng)險。

(三)加強內(nèi)部控制的頂層框架設(shè)計

除了實踐中探索之外，頂層的框架設(shè)計更加重要。國外的COSO、COSO-ERM、CobiT雖然都對IT予以關(guān)注，但一般都是僅說明了“IT應(yīng)該做到什么”，較少涉及具體操作。我國借鑒了COSO報告的五要素框架，在2008年發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》。該規(guī)范在形式上借鑒了COSO報告五要素框架，在內(nèi)容上體現(xiàn)了風(fēng)險管理八要素框架的實質(zhì)。《企業(yè)內(nèi)部控制基本規(guī)范》在風(fēng)險評估、控制活動、信息與溝通三個部分都對IT有所涉及，但該規(guī)范仍是一個高度抽象的概念框架，多是原則性的表述。因此，實踐上的探索是完善頂層框架設(shè)計所必需的，它有助于提高規(guī)范的可操作性，使理論思想得到驗證，而規(guī)范的框架設(shè)計可以促使內(nèi)部控制在實踐上更嚴(yán)密和科學(xué)，兩者應(yīng)相互促進，相互配合。

[1]陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J].會計研究，2007(1)：30-33.

[2]閻達(dá)五，張瑞君.會計控制新論——會計實時控制研究[J].會計研究，2003(4)：3-5.

[3]樊行健，肖光紅.關(guān)于企業(yè)內(nèi)部控制的本質(zhì)與概念的理論反思[J].會計研究，2014(2)：4-11，94.

[4]陶黎娟.IT環(huán)境下我國財務(wù)報告內(nèi)部控制研究[D].廈門：廈門大學(xué)，2009.

Abstract:IT environment brings about opportunities as well as challenges for changes of internal control. These challenges mainly lie in the input port control, technical side guard and the top-level specification of internal control and so on, the corresponding solutions should be put forward from these three aspects. Although there are still a lot of problems of internal control under the IT environment, we should realize that the impact of the IT environment brings about very good opportunities to promote the internal control theory.

Key words:IT environment；internal control; COSO report

Opportunity and Challenge of Internal Control Under IT Environment

TANG Yan， CHEN Qinghai

(SchoolofBusinessandManagementofJimeiUniversity，Xiamen361000，China)

2015-09-08

福建省社會科學(xué)規(guī)劃項目(2014B089)，集美大學(xué)博士啟動基金(C611007)

湯 巖(1974-)，男，江蘇淮安人，集美大學(xué)工商管理學(xué)院副教授，博士，研究方向為會計信息系統(tǒng)和計算機財務(wù)管理。

F275

A

1674-3318(2015)04-0022-02