云會計環(huán)境下AIS內(nèi)部控制問題探析

程平 李寧

云會計環(huán)境下AIS內(nèi)部控制問題探析

程平 李寧

隨著云會計在企業(yè)應(yīng)用的不斷拓展與深入，企業(yè)愈加關(guān)注云會計環(huán)境下AIS內(nèi)部控制的合理設(shè)計與有效實施。本文從內(nèi)部控制要素視角分析了當前云會計環(huán)境下AIS內(nèi)部控制的現(xiàn)狀與問題，并提出了相應(yīng)的改進措施，為云會計環(huán)境下AIS內(nèi)部控制的設(shè)計與實施提供理論支撐。

云會計 內(nèi)部控制 AIS 問題 探析

一、引言

“云會計”的出現(xiàn)標志著云計算技術(shù)和理念在會計信息化領(lǐng)域中應(yīng)用的拓展與深入，推動了財務(wù)軟件的新變革。在云會計按需購買、集中管理的服務(wù)模式下，企業(yè)根據(jù)自身需求購買若干會計云服務(wù)，這些服務(wù)在云端無縫對接成為為企業(yè)定制的會計信息系統(tǒng)（Accounting Information System，以下簡稱AIS）。企業(yè)在利用云會計環(huán)境下AIS給企業(yè)帶來便捷和效率提升的同時，也應(yīng)當關(guān)注AIS內(nèi)部控制是否與當前使用的云會計環(huán)境下AIS相適應(yīng)。會計云服務(wù)在云端自動更新升級、動態(tài)部署、多副本容錯、高通用性與擴展性等特點提升了AIS內(nèi)部控制中自動化成分的有效性，然而AIS內(nèi)部控制的有效實施還需要依靠企業(yè)根據(jù)自身特點，對AIS內(nèi)部控制人工成分的合理設(shè)計和有效執(zhí)行。任何信息系統(tǒng)都存在風險，云會計環(huán)境下的AIS也不例外。由于管理理念、技術(shù)水平等因素，企業(yè)往往忽視AIS內(nèi)部控制在防止、發(fā)現(xiàn)、評估、應(yīng)對AIS風險的重要性，僅僅依靠事后補救無疑承擔著巨大的管控風險。因此，在使用會計云服務(wù)時，企業(yè)現(xiàn)有的AIS內(nèi)部控制存在哪些問題、應(yīng)當做出怎樣的調(diào)整、實施中關(guān)注的要點等成為云會計推廣中亟待解決的問題。

AIS越發(fā)凸顯的復雜性和高風險性使得AIS內(nèi)部控制早已引起學者們的廣泛關(guān)注。陳麗琴等分別從核算型、管理型、決策支持型AIS分析AIS內(nèi)部控制側(cè)重點。鐘紅山著眼于AIS內(nèi)部控制現(xiàn)狀，從數(shù)字簽名的角度分析探究AIS內(nèi)部控制方法。李冬梅等以兗州煤業(yè)為例，從其信息系統(tǒng)內(nèi)部控制構(gòu)建過程的角度進行闡述，并提出基于信息系統(tǒng)風險開展內(nèi)部控制活動的方法。才杰提出了網(wǎng)絡(luò)平臺下AIS內(nèi)部控制實施框架，建立健全AIS內(nèi)部控制。盧桂成等根據(jù)銀行業(yè)信息化建設(shè)的迫切需求，從信息系統(tǒng)內(nèi)部控制設(shè)計、執(zhí)行、評價和改進四個角度構(gòu)建出信息系統(tǒng)內(nèi)部控制體系。

綜觀上述文獻研究，雖已有不少AIS內(nèi)部控制的相關(guān)研究，但針對當前倍受關(guān)注的云會計環(huán)境下AIS內(nèi)部控制的研究卻較為少見。不同類型的企業(yè)有自身特點，在云會計環(huán)境下，僅依靠供應(yīng)商提供的會計云服務(wù)往往難以滿足企業(yè)經(jīng)營管理的需要。企業(yè)應(yīng)當根據(jù)所購買的會計云服務(wù)的組織形式、業(yè)務(wù)流程特點、云會計環(huán)境的安全水平以及自身財務(wù)、業(yè)務(wù)、管理層面的需求制定與云會計下AIS相適應(yīng)、符合自身特點的AIS內(nèi)部控制制度，在實施中及時調(diào)整改進，才能為云會計在企業(yè)中的應(yīng)用保駕護航，發(fā)揮出最大效用。

二、云會計環(huán)境下AIS內(nèi)部控制現(xiàn)狀及問題

云會計環(huán)境下AIS內(nèi)部控制有別于傳統(tǒng)的信息系統(tǒng)內(nèi)部控制，其內(nèi)部控制應(yīng)當遵循成熟完備的理論體系進行設(shè)計、運行、維護。本文從內(nèi)部控制的五個要素分析云會計環(huán)境下AIS內(nèi)部控制現(xiàn)狀及其存在的問題。

（一）控制環(huán)境與云會計要求不匹配

企業(yè)選擇了適合自身財務(wù)、業(yè)務(wù)、管理需求的會計云服務(wù)，還要考慮現(xiàn)有AIS控制環(huán)境與其適應(yīng)程度。從AIS控制環(huán)境要素角度來看，在組織架構(gòu)層面，AIS事項處理、數(shù)據(jù)存儲、更新維護地點由企業(yè)內(nèi)部遷移到云端，加之云會計具有高度自動化的財務(wù)業(yè)務(wù)事項分析處理能力，使得企業(yè)能精簡信息技術(shù)人員與財會人員，優(yōu)化組織架構(gòu)，從而大大節(jié)約成本。但是，同時會增加過度依賴AIS自動化控制而導致控制失效風險；在發(fā)展戰(zhàn)略層面，企業(yè)定制的會計云服務(wù)始終處于動態(tài)變化之中，日常功能需求變更與版本升級較為頻繁，有些變更甚至對企業(yè)不可見，企業(yè)難以對AIS變更實施有效的授權(quán)審批控制，使得企業(yè)在AIS發(fā)展戰(zhàn)略制定與實施上處于被動局面；在人力資源層面，企業(yè)財務(wù)人員的信息化技術(shù)水平大多限于熟練操作AIS，對云會計環(huán)境及其風險不甚了解，增加了不能及時發(fā)現(xiàn)AIS漏洞與異常的風險。

（二）風險評估機制不完善

風險評估應(yīng)當貫穿于AIS內(nèi)部控制的始終，是全員、全過程、全方位的風險管理機制，然而在企業(yè)AIS內(nèi)部控制設(shè)計中往往未建立起實時有效的風險評估機制，即使設(shè)計有效，在實際運營管理中也難以做到有效運行。其原因是，第一，管理層不重視風險評估。會計云服務(wù)可以在云端自動定期維護與更新升級，減輕了管理層對AIS更新與維護的關(guān)注程度，也增大了由于盲目自動更新造成AIS內(nèi)部控制未能及時對更新作出相應(yīng)調(diào)整，而造成設(shè)計失效風險。第二，缺乏對云會計環(huán)境下AIS及時有效的可信性評估。AIS可信性作為對AIS自動化控制和人工控制的有效性的綜合衡量標準，可以表述為AIS對會計信息的輸入、處理和輸出流程符合AIS用戶的預期，以及AIS產(chǎn)生的會計信息所具有的相關(guān)性和可靠性等會計信息質(zhì)量特征符合會計信息使用者的預期。在動態(tài)多變的云會計環(huán)境下，限于云會計的服務(wù)模式和企業(yè)員工的信息化技術(shù)水平，業(yè)界和學界缺乏合理有效的可信性評估方法，企業(yè)難以及時準確地了解所購買的會計云服務(wù)可信性水平如何，影響風險評估的實時性、有效性。

（三）控制活動風險變化適應(yīng)不夠

云會計業(yè)務(wù)模塊復雜調(diào)用與數(shù)據(jù)傳輸、企業(yè)使用的服務(wù)和存儲的數(shù)據(jù)存在于云端大資源池內(nèi)等新情況的出現(xiàn)，使得相比傳統(tǒng)AIS，開放動態(tài)的云會計環(huán)境下企業(yè)AIS控制活動風險點發(fā)生變化。企業(yè)集團和其下屬子公司分別根據(jù)其自身業(yè)務(wù)范圍選擇購買會計云服務(wù)，免去統(tǒng)一配置AIS造成的信息化資源浪費，然而又增加了各個云會計服務(wù)模塊之間數(shù)據(jù)傳輸、業(yè)務(wù)處理的復雜性，從整個集團的視角來看，控制活動路徑更長。因此，集團層面控制管理成為云會計下AIS控制活動風險關(guān)注要點。眾多使用會計云服務(wù)的企業(yè)數(shù)據(jù)在云端交互、存儲，構(gòu)成了大數(shù)據(jù)資源，經(jīng)由數(shù)據(jù)挖掘等技術(shù)處理后可以支撐企業(yè)預測、決策、財務(wù)預警等關(guān)鍵控制活動，然而這些數(shù)據(jù)的取得需征得數(shù)據(jù)源企業(yè)同意，其可用性、可靠性也成為控制活動關(guān)鍵風險點。

（四）信息與溝通效率不高

云會計環(huán)境下，AIS的安全性成為企業(yè)選擇云會計產(chǎn)品時關(guān)注的要點。在系統(tǒng)層面，企業(yè)購買的各個會計云服務(wù)模塊功能相互勾稽，數(shù)據(jù)大量傳遞，安全性水平不僅取決于模塊內(nèi)部信息處理，還取決于模塊之間信息溝通網(wǎng)絡(luò)結(jié)構(gòu)的優(yōu)良程度和聯(lián)通程度，以及模塊內(nèi)、模塊間信息溝通的有效性。在數(shù)據(jù)層面，企業(yè)將大量財務(wù)數(shù)據(jù)與業(yè)務(wù)數(shù)據(jù)集中存儲于云端存儲設(shè)備中，數(shù)據(jù)、指令等重要信息與云端服務(wù)器進行交互，這些數(shù)據(jù)在開放動態(tài)的云會計環(huán)境下的安全性水平直接影響AIS內(nèi)部控制信息溝通效果。

（五）缺乏對控制及時有效的監(jiān)督

會計云服務(wù)通過動態(tài)定制模式整合，復雜多變的AIS服務(wù)模塊組織等增加了AIS可信性的不確定性，從而提升了AIS內(nèi)部控制的監(jiān)督與評價風險。在動態(tài)定制模式下，服務(wù)模塊、服務(wù)功能處于動態(tài)變化之中，而AIS內(nèi)部控制監(jiān)督反應(yīng)相對滯后，難以及時做出相應(yīng)調(diào)整以根據(jù)當前風險點進行有針對性的監(jiān)督。同時，在監(jiān)督策略方面，企業(yè)缺乏合理有效的可信性評估方法，也少見可信性第三方評估機制，不便于企業(yè)實時了解AIS可信性狀況，以對AIS內(nèi)部控制設(shè)計和運行的有效性及時監(jiān)督和改進。

三、云會計環(huán)境下AIS內(nèi)部控制完善措施

（一）控制環(huán)境要符合云會計的要求

企業(yè)選擇云會計產(chǎn)品時應(yīng)當關(guān)注其與當前AIS控制環(huán)境的適應(yīng)程度，如果企業(yè)通過調(diào)整控制環(huán)境仍未能達到AIS對控制環(huán)境的要求，則不予考慮購買該云會計產(chǎn)品。例如對于信息技術(shù)水平較低的企業(yè)，應(yīng)選擇服務(wù)穩(wěn)定性高、程序變更對用戶透明度高、重要變更提交用戶審核的云會計產(chǎn)品，便于企業(yè)及時調(diào)整AIS內(nèi)部控制以適應(yīng)該變更，把握AIS發(fā)展戰(zhàn)略制定與實施的主動權(quán)。在數(shù)據(jù)處理高度集中的云會計下，雖可以精簡人員、機構(gòu)，但要嚴格做到不相容崗位相互分離，明確崗位職責權(quán)限，將分級管理與授權(quán)審批相結(jié)合。同時，應(yīng)注意對財務(wù)人員信息技術(shù)技能方面的培訓，使其具備信息管理、應(yīng)對突發(fā)事件、對交易處理復雜數(shù)據(jù)的核查等能力，及時發(fā)現(xiàn)AIS故障和弊端，向云端反饋以將損失降到最低。

（二）建立基于可信性評價的風險評估機制

業(yè)界與學界應(yīng)加快與云會計相適應(yīng)的可信性評價方法研究，充分考慮云會計自身特點和其應(yīng)用領(lǐng)域的行業(yè)特性，有針對性地對AIS進行可信性評價。及時有效的可信性評價結(jié)果可以為企業(yè)AIS風險評估提供強有力的支持證據(jù)，彌補當前AIS風險評估中量化標準較少、可比性差等不足。建立起基于可信性評價的風險評估機制，企業(yè)風險管理部門應(yīng)定期向可信的第三方評估機構(gòu)獲取當前AIS可信性狀況的評價報告。當企業(yè)內(nèi)部管理流程、組織架構(gòu)、AIS程序面臨較大變更時，也應(yīng)獲取該時點的AIS可信性評價報告，以分析判斷當前AIS內(nèi)部控制設(shè)計和運行的有效性，確定風險敞口大小是否超過或?qū)⒖赡艹^風險容限，并及時制定應(yīng)對措施，形成AIS風險報告并匯報給風險管理委員會，供董事會和股東大會決策。

（三）控制活動重點關(guān)注云會計下新增控制點

傳統(tǒng)的控制活動風險點如授權(quán)、職責分離等仍是云會計下AIS控制活動應(yīng)關(guān)注的控制要點，企業(yè)根據(jù)自身AIS內(nèi)部控制健全程度選擇相應(yīng)可信等級的云會計產(chǎn)品，可信性等級越高，AIS自動化控制層面的內(nèi)部控制越完善，降低由于人工控制設(shè)計不合理、人員素質(zhì)不高等因素導致控制運行失效的風險。例如符合基本可信屬性的AIS對相關(guān)業(yè)務(wù)的會計和稅務(wù)處理要符合會計法、稅法、會計行政法規(guī)和國家統(tǒng)一的會計制度等要求，即滿足合規(guī)性。在基本可信屬性的基礎(chǔ)上，滿足關(guān)鍵可信屬性如風險可控性、決策支持性，如果還能滿足增強可信屬性如可審計性和稅收可稽查性等，AIS就具有很高的可信性水平。集團層面控制管理應(yīng)關(guān)注在動態(tài)定制模式下，企業(yè)信息資源的有效整合分析，以及總部對分子公司財務(wù)、業(yè)務(wù)狀況的分析管控是集團層面應(yīng)用云會計的關(guān)鍵控制點，企業(yè)應(yīng)當選擇當分子公司定制不同服務(wù)時，能夠提供集團管控層面解決方案的會計云服務(wù)組合。

云會計下，企業(yè)的數(shù)據(jù)中心與網(wǎng)絡(luò)運營均位于云端資源池中，這些信息對其他云會計用戶的可見性關(guān)系到企業(yè)的信息安全，供應(yīng)商不得在未征得企業(yè)授權(quán)的情況下使用、泄露企業(yè)信息。如果云端所有用戶都不愿將自身數(shù)據(jù)用以數(shù)據(jù)分析，也就不存在云端大數(shù)據(jù)分析的數(shù)據(jù)來源，造成了數(shù)據(jù)資源的浪費。因此，企業(yè)應(yīng)適當將非敏感數(shù)據(jù)授權(quán)給供應(yīng)商進行大數(shù)據(jù)分析，而不是讓其他企業(yè)直接使用自己的原始數(shù)據(jù)，這樣就對云會計供應(yīng)商的誠信與可靠性提出了更高要求。

（四）提高信息溝通的效率和有效性

企業(yè)選擇云會計產(chǎn)品應(yīng)當關(guān)注該服務(wù)的動態(tài)部署和模塊間信息溝通能力。例如，會計云服務(wù)在動態(tài)組合時是否能建立抗攻擊性強的模塊網(wǎng)絡(luò)拓撲結(jié)構(gòu)，模塊之間信息溝通是否有標準化的數(shù)據(jù)接口對接，AIS的設(shè)計是否滿足相關(guān)財務(wù)軟件規(guī)范文件要求，更換服務(wù)或供應(yīng)商時數(shù)據(jù)的可遷移性以及遷移和轉(zhuǎn)換成本等。同時應(yīng)特別關(guān)注信息與溝通中的數(shù)據(jù)安全，自動化控制層面應(yīng)當確保指令、數(shù)據(jù)等關(guān)鍵信息在傳輸、處理、存儲過程中處于安全環(huán)境下，避免核心財務(wù)數(shù)據(jù)遭黑客盜竊、供應(yīng)商有意無意泄露信息等情況的出現(xiàn)；人工控制層面建立與AIS相適應(yīng)的權(quán)限與職責分工，保證通暢有效的信息溝通與信息的真實可靠性。

（五）強化內(nèi)部稽核、內(nèi)部審計等監(jiān)督機制

各個業(yè)務(wù)流程部門的業(yè)務(wù)處理均應(yīng)當在AIS中留有可以作為審計線索的運行軌跡，如對操作過程和結(jié)果記錄、業(yè)務(wù)流程數(shù)據(jù)統(tǒng)計數(shù)據(jù)、內(nèi)部稽核數(shù)據(jù)等，使得各個業(yè)務(wù)流程部門的審計線索相互關(guān)聯(lián)，運行軌跡數(shù)據(jù)能夠相互勾稽、印證。審計委員會從公司總體層面和業(yè)務(wù)流程層面分析AIS提供的審計線索與審計數(shù)據(jù)，對AIS內(nèi)部控制運行的有效性進行評價與校驗，及時發(fā)現(xiàn)AIS、內(nèi)部控制系統(tǒng)、財務(wù)信息等方面的異常，將風險與損失降到最低。為使得AIS輸出的信息真實可信，有據(jù)可查，有線索可審，應(yīng)在AIS中內(nèi)設(shè)通用內(nèi)部審計稽查功能，并預留出便于調(diào)用的可供審計、稽查的標準化數(shù)據(jù)接口，在提供給稽查、監(jiān)督人員的用戶手冊中提供業(yè)務(wù)處理核算的控制流程、表單結(jié)構(gòu)與勾稽關(guān)系等系統(tǒng)信息，便于不同類型、不同信息化水平的企業(yè)建立適合自身內(nèi)部流程的AIS內(nèi)部控制監(jiān)督機制。

作者單位：重慶理工大學

主要參考文獻

1.程平，何雪峰.“云會計”在中小企業(yè)會計信息化中的應(yīng)用.重慶理工大學學報（社會科學）.2011（1）

2.吳炎太，林斌，孫燁. 基于生命周期的信息系統(tǒng)內(nèi)部控制風險管理研究.審計研究.2009（6）

3.陳麗琴，王琰. 會計信息系統(tǒng)不同發(fā)展階段的內(nèi)部控制研究.財政監(jiān)督.2014（5）

4.鐘紅山. 會計信息系統(tǒng)內(nèi)部控制方法研究. 商業(yè)時代.2014（18）

5.李冬梅，趙文革，曹志德. 兗州煤業(yè)信息系統(tǒng)內(nèi)部控制的實踐與啟示.財務(wù)與會計.2013（1）

6.才杰. 如何進行網(wǎng)絡(luò)平臺下財務(wù)信息系統(tǒng)內(nèi)部控制實施.中國鄉(xiāng)鎮(zhèn)企業(yè)會計.2014（2）

7.盧桂成，張同建. 我國銀行業(yè)信息系統(tǒng)內(nèi)部控制體系解析.財會通訊.2012（35）

8.杜美杰. 信息系統(tǒng)內(nèi)部控制:過程控制和環(huán)境控制的結(jié)合——解讀《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》.財務(wù)與會計（理財版）.2010（12）

9.程平，溫艷好. 基于云會計的AIS可信性層次結(jié)構(gòu)模型.重慶理工大學學報: 社會科學.2014（2）

10.周勇，顧聰越，程春田.基于云模型的可信性評估模型.計算機應(yīng)用研究.2012（2）

11.莫家慶，胡忠望，葉雪琳.基于模糊理論的可信計算信任評估方法研究.計算機應(yīng)用.2013（1）

12.鄧瑩. 淺析網(wǎng)絡(luò)會計內(nèi)部控制.財會通訊.2011（1）

13.程平，李寧. 云會計環(huán)境下基于ANP的AIS可信性評估.計算機工程.2014（11）

14.程平，李寧. 云會計產(chǎn)品可信性評價指標體系與等級模型.會計之友.2014（18）

15.劉媛媛. 基于公司信息透明度的IT內(nèi)部控制體系的建設(shè)——兼述我國通信運營企業(yè)的經(jīng)驗.財務(wù)與會計.2012（6）

16.王凡林.會計信息系統(tǒng)規(guī)劃特征與可信性關(guān)系研究.會計研究.2010（11）

國家自然科學基金青年項目（批準號：71201179）；教育部人文社會科學基金青年項目（批準號：12YJC630025）；重慶市教委科學技術(shù)研究項目資助（批準號：KJ1400905）；重慶理工大學研究生創(chuàng)新基金項目（批準號：YCX2014104）