“互聯(lián)網(wǎng)+”環(huán)境下會計控制問題探討

許莉　賀慕翔

【摘要】“互聯(lián)網(wǎng)+”環(huán)境下， 互聯(lián)網(wǎng)與傳統(tǒng)行業(yè)深度融合產(chǎn)生的創(chuàng)新成果對于會計控制產(chǎn)生了重大影響。 新環(huán)境下， 包含會計控制的內(nèi)部控制的薄弱環(huán)節(jié)逐漸顯現(xiàn)。 運用內(nèi)部控制基本理論， 借助科學技術創(chuàng)新， 分析“互聯(lián)網(wǎng)+”環(huán)境下的會計控制新情況及風險點， 探討新環(huán)境下的會計控制措施， 為提升會計控制制度的健全性和有效性提出建議。

【關鍵詞】會計控制;互聯(lián)網(wǎng)+;信息技術;內(nèi)部控制

【中圖分類號】F234? ? ? 【文獻標識碼】A? ? ? 【文章編號】1004-0994（2020）14-0072-6

一、 引言

“互聯(lián)網(wǎng)+”是在信息化、移動互聯(lián)網(wǎng)環(huán)境下形成的一種新的經(jīng)濟形態(tài)， 2015年李克強總理在十二屆全國人大三次會議上首次提出了“互聯(lián)網(wǎng)+”的行動倡議。 “互聯(lián)網(wǎng)+”的涵義簡單來說就是“互聯(lián)網(wǎng)+各傳統(tǒng)行業(yè)”， 也就是利用互聯(lián)網(wǎng)所帶來的現(xiàn)代信息技術進行資源的再優(yōu)化和再配置， 充分發(fā)揮互聯(lián)網(wǎng)在社會資源配置中的優(yōu)化和集成作用， 降低成本， 提高效率， 實現(xiàn)對數(shù)據(jù)價值的最大化利用， 最終實現(xiàn)傳統(tǒng)行業(yè)的信息化發(fā)展， 提高社會生產(chǎn)力， 形成以互聯(lián)網(wǎng)為基礎的社會發(fā)展新形態(tài)。 近年來， 區(qū)塊鏈技術的快速創(chuàng)新與發(fā)展為互聯(lián)網(wǎng)時代下的信息技術進步注入了新的活力， 其作為一個去中心化的數(shù)據(jù)庫， 為數(shù)據(jù)存儲、傳輸和加密提供了新的解決辦法。

新環(huán)境下會計業(yè)務模式和流程的轉(zhuǎn)變給會計控制帶來了新的風險點， 會計控制的發(fā)展相較于會計業(yè)務的變革存在一定滯后性， 傳統(tǒng)的會計控制模式已不適用于新的業(yè)務流程。 縱觀我國現(xiàn)行的由財政部會同證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會共同頒布的內(nèi)部控制有關規(guī)范和指引， 雖然有助于提高財務信息的相關性和可靠性， 但仍無法完全杜絕舞弊現(xiàn)象的發(fā)生。 隨著網(wǎng)絡化、信息化時代的到來， 在“互聯(lián)網(wǎng)+”環(huán)境下， 信息系統(tǒng)的使用、會計業(yè)務流程的轉(zhuǎn)變、支付方式的多樣化、賬務核對方式的轉(zhuǎn)變和科學技術的發(fā)展給傳統(tǒng)的企業(yè)會計控制帶來了一系列的風險， 因此， 對“互聯(lián)網(wǎng)+”環(huán)境下的企業(yè)會計控制措施的研究是很有必要的。

二、 會計控制的基本理論及作用機理

內(nèi)部控制的發(fā)展經(jīng)歷了從內(nèi)部牽制階段、內(nèi)部控制制度階段、內(nèi)部控制結(jié)構(gòu)階段、內(nèi)部控制整合框架階段到風險管理階段的過程， 內(nèi)部控制理論不斷拓展， 內(nèi)部控制的目標也在不斷變化。 早期的內(nèi)部牽制階段， 內(nèi)部控制的主要目標是運用各種手段來保證會計記錄的正確性和財產(chǎn)的安全性。 1988年， 美國注冊會計師協(xié)會確立了內(nèi)部控制的三要素， 以內(nèi)部控制結(jié)構(gòu)取代了內(nèi)部控制制度。 1992年， COSO委員會提出了企業(yè)內(nèi)部控制的五要素， 確立了內(nèi)部控制的整體架構(gòu)。 2004年， COSO委員會發(fā)布《企業(yè)風險管理——整合框架》， 提出內(nèi)部控制的八要素， 將內(nèi)部控制的內(nèi)涵拓展到了風險管理領域， 體現(xiàn)了對企業(yè)風險的重視。 2008年， 我國發(fā)布《企業(yè)內(nèi)部控制基本規(guī)范》， 確立了以COSO五要素為基礎的企業(yè)內(nèi)部控制的基本框架。 2010年， 我國發(fā)布《企業(yè)內(nèi)部控制配套指引》， 連同之前發(fā)布的《企業(yè)內(nèi)部控制基本規(guī)范》， 初步建立了我國企業(yè)內(nèi)部控制規(guī)范體系。 2014年， 我國開始施行《行政事業(yè)單位內(nèi)部控制基本規(guī)范（試行）》， 為行政事業(yè)單位內(nèi)部控制提供了操作規(guī)范。

蒙哥馬利認為， 內(nèi)部控制就是相互牽制， 即不相容職務分離、重點環(huán)節(jié)控制、流程控制， 其目的是保護企業(yè)資產(chǎn)、檢查會計數(shù)據(jù)的準確性和可靠性， 提高經(jīng)營效率， 促使有關人員遵循既定的管理方針[1] 。 1992年COSO報告指出， 內(nèi)部控制是由主體的各層次實施旨在為實現(xiàn)其主要目標提供合理保證的過程。

閻達五、楊有紅[2] 認為保護資產(chǎn)安全和會計信息真實是內(nèi)部控制發(fā)展的主線， 會計控制是企業(yè)內(nèi)部控制的核心。 楊雄勝[3] 認為計算機網(wǎng)絡系統(tǒng)的建立將滯后信息變?yōu)閷崟r信息， 原本意義上實體、財務、信息三分離的情況已經(jīng)不復存在， 實體活動、財務收支、信息反映幾乎同時完成， 信息對實體與財務的反映能力達到了一定水平， 這時內(nèi)部控制所面臨的根本問題是如何切實反映并改善經(jīng)濟活動。 李心合[4] 認為應當確立以風險防控為目標、以運營管理層為主體、以內(nèi)部牽制為核心機制的內(nèi)部控制體系， 關注內(nèi)部牽制機制及其實現(xiàn)形式的健全與優(yōu)化， 重啟內(nèi)部牽制機制。 陸賽江、許莉[5] 認為對于金融機構(gòu)的內(nèi)部控制應立足于防范系統(tǒng)性金融風險， 建立風險治理與內(nèi)部控制運作模式， 在風險識別與風險評估的基礎上進行內(nèi)部控制設計。

會計控制屬于COSO框架中的控制活動， 是企業(yè)內(nèi)部控制的重要組成部分， 關乎企業(yè)資金活動、采購業(yè)務、資產(chǎn)管理和銷售業(yè)務等方面， 其有效性對企業(yè)的財務和資金安全以及風險管理和信息安全均會產(chǎn)生重大影響。 從內(nèi)部控制到會計控制的研究路徑如圖所示。 本文主要關注企業(yè)會計控制中對于關鍵點和業(yè)務流程的控制， 評價其控制的健全性和有效性， 提出可行性建議， 幫助企業(yè)完善內(nèi)部控制。

三、 “互聯(lián)網(wǎng)+”環(huán)境下會計控制風險點分析

21世紀以來， 隨著互聯(lián)網(wǎng)技術的不斷發(fā)展， 會計控制環(huán)境也發(fā)生了重大變化， 我國企業(yè)開始進入真正的“互聯(lián)網(wǎng)+會計”階段。 新環(huán)境下， 公司業(yè)務模式和業(yè)務流程發(fā)生變化， 傳統(tǒng)控制措施漸漸失效。 在此基礎上新制度的建立不夠及時、有效， 覆蓋的業(yè)務范圍不夠全面， 暴露出一系列企業(yè)會計控制風險。

（一）“互聯(lián)網(wǎng)+”環(huán)境下的系統(tǒng)設計風險

本文的系統(tǒng)性風險， 是指企業(yè)在進行包括數(shù)據(jù)處理系統(tǒng)、管理信息系統(tǒng)、決策支持系統(tǒng)等在內(nèi)的信息系統(tǒng)選擇、系統(tǒng)設計、系統(tǒng)控制時產(chǎn)生的信息系統(tǒng)風險。 在“互聯(lián)網(wǎng)+”環(huán)境下， 系統(tǒng)設計存在一定缺陷， 對新環(huán)境下的薄弱環(huán)節(jié)、重點控制點， 沒有做相應技術設計。 傳統(tǒng)的企業(yè)會計控制基于《蒙哥馬利審計學》提出的控制環(huán)節(jié)、控制流程的相互牽制思想， 遵從“雙線核算”原則， 但現(xiàn)在信息化環(huán)境下傳統(tǒng)的“雙線”控制已經(jīng)轉(zhuǎn)變?yōu)镋RP系統(tǒng)控制[1] 。 ERP系統(tǒng)， 即企業(yè)信息管理系統(tǒng)， 可以在信息技術的基礎上， 以系統(tǒng)化的思維為企業(yè)管理層提供決策建議。 在“互聯(lián)網(wǎng)+”環(huán)境下， ERP系統(tǒng)的應用越來越普遍， 以供應鏈思維進行企業(yè)信息管理固然具有一定的優(yōu)勢（如實現(xiàn)了管理層對于信息的實時控制、集成了物流和資金流等）， 但企業(yè)通過ERP系統(tǒng)進行會計處理仍存在一些問題。

1. 系統(tǒng)的適配性及選擇問題。 企業(yè)在選擇ERP系統(tǒng)時， 應根據(jù)企業(yè)的產(chǎn)業(yè)結(jié)構(gòu)、業(yè)務流程進行選擇。 但受限于企業(yè)經(jīng)濟實力， 中小企業(yè)一般沒有針對自身企業(yè)設計專用的ERP系統(tǒng)。 國際通用ERP系統(tǒng)對于我國企業(yè)的實際需求不夠了解， 其與我國企業(yè)會計業(yè)務的適配程度不高， 不能有效發(fā)揮ERP系統(tǒng)的作用。

2. 系統(tǒng)設計中的事中控制已轉(zhuǎn)化為事前審核與事后多方位復核相結(jié)合的模式。 在ERP系統(tǒng)會計控制中， 在系統(tǒng)內(nèi)錄入會計信息后， 系統(tǒng)會自動生成分戶賬和總賬， 所以無論初始數(shù)據(jù)正確與否， 系統(tǒng)內(nèi)分戶賬和總賬的賬面一定相符， 已經(jīng)沒有“總分核對”的控制功能。 數(shù)據(jù)的準確性主要依靠對初始數(shù)據(jù)錄入的復核、企業(yè)賬務與銀行賬務的核對， 以及通過區(qū)塊鏈技術利用多方位數(shù)據(jù)來進行復核。 這種設計在技術上、理論上可以防范風險， 但也存在一定缺陷， 如：會計信息錄入系統(tǒng)時， 財務人員單人進行原始憑證的錄入工作， 失去了有效牽制， 員工的職業(yè)素質(zhì)和職業(yè)操守受到考驗， 此時存在較大會計信息失真風險; 企業(yè)對于原始憑證的整理、審核工作成為會計控制中的重要環(huán)節(jié)， 現(xiàn)有制度對于原始憑證的審核工作控制不足， 對于錄入系統(tǒng)內(nèi)數(shù)據(jù)的復核工作有待加強; 基于ERP系統(tǒng)的事后復核工作對于財務人員素質(zhì)要求較高， 財務人員對于ERP系統(tǒng)不夠了解， 對于操作流程和操作方式不夠熟練， 不便于ERP系統(tǒng)發(fā)揮其管理優(yōu)勢; 傳統(tǒng)的會計控制大多通過財務部門內(nèi)部的“賬賬核對”來進行賬務核對， 從而忽視了與銀行對賬的重要性， 且企業(yè)內(nèi)容易出現(xiàn)記賬、收取對賬單、寄回對賬單為同一人的情況， 不便于不相容崗位分離。 不難看出， 由于傳統(tǒng)的會計業(yè)務流程發(fā)生了變化， 原有的會計控制措施失效， 新業(yè)務環(huán)節(jié)的會計控制制度沒有及時做出修改， 導致會計控制系統(tǒng)性風險的產(chǎn)生。

（二）系統(tǒng)設計缺陷帶來財務操作風險

新環(huán)境下， 由于會計控制制度存在不足， 會計控制的重點并沒有在財務制度的設計中得以體現(xiàn)， 有的財務人員在工作過程中利用企業(yè)信息系統(tǒng)漏洞牟取私利， 加大了企業(yè)財務風險。

1. 初始錄入數(shù)據(jù)的修改風險。 管理信息系統(tǒng)中嵌入的財務管理功能在于分析會計核算數(shù)據(jù)， 并支持財務決策， 因此會計數(shù)據(jù)的真實性對于信息系統(tǒng)至關重要。 系統(tǒng)內(nèi)數(shù)據(jù)錄入完成后應重點控制數(shù)據(jù)修改行為的審批和授權， 防止數(shù)據(jù)被隨意篡改， 如果系統(tǒng)控制力度不足， 容易出現(xiàn)系統(tǒng)內(nèi)數(shù)據(jù)被隨意篡改甚至是財務造假的情況。 在會計數(shù)據(jù)錄入時， 財務人員擁有進入信息系統(tǒng)的權限， 但企業(yè)只對數(shù)據(jù)錄入人員是否可以進入系統(tǒng)進行控制， 卻未對這項權限的使用進行控制， 例如何時允許進入系統(tǒng)、是否有權修改已錄入數(shù)據(jù)、可以查看何種級別財務數(shù)據(jù)等方面的控制。 由于企業(yè)對于數(shù)據(jù)修改行為的授權設計不足， 數(shù)據(jù)錄入人員利用系統(tǒng)權限可以隨時進入系統(tǒng)對數(shù)據(jù)進行修改。 財務人員不僅可以對其負責錄入的數(shù)據(jù)進行修改， 還可以對其他人錄入的財務數(shù)據(jù)進行修改， 如果不加以控制， 容易給企業(yè)造成巨大的財務風險。

2. 初始數(shù)據(jù)自動登記總賬， 分戶賬串戶很難及時發(fā)現(xiàn)。 以企業(yè)發(fā)放工資或勞務費為例：傳統(tǒng)的發(fā)放流程是財務部門造表清點現(xiàn)金， 員工拿到現(xiàn)金和勞務清單核對無誤后簽字確認， 當現(xiàn)金多于或少于勞務發(fā)放清單上的數(shù)額時能即刻發(fā)現(xiàn)錯誤， 以實現(xiàn)對財務部門的反向監(jiān)督。 現(xiàn)在企業(yè)大多委托銀行代發(fā)工資， 發(fā)放工資時員工能收到一條銀行的入賬信息， 雖然只有總金額， 但由于月工資數(shù)額基本不變， 一般也沒有太大風險。 但在企業(yè)發(fā)放勞務費時， 若事先沒有簽訂協(xié)議或員工不清楚自己應得的具體收入數(shù)額， 每次勞務費用的金額又不固定， 支付頻次也不確定， 企業(yè)依然轉(zhuǎn)賬發(fā)放而又不讓員工簽字對表， 則很容易出現(xiàn)少發(fā)或串戶的風險。 有的企業(yè)事先沒有簽訂勞務契約， 企業(yè)發(fā)放勞務費用時也不要求收款人簽字， 收款人無法判斷入賬金額是否正確， 甚至有的企業(yè)還通過財務人員個人的微信賬戶或支付寶賬戶再劃轉(zhuǎn)， 導致付款行為出現(xiàn)許多不確定性， 有的財務人員就會利用這些漏洞在付款過程中套取應付款， 造成收款人損失的同時也導致公司的資金流失， 產(chǎn)生一系列的企業(yè)財務風險。

例如甲員工的勞務收入為5000元， 有的財務人員只通過銀行向其發(fā)放3000元， 另2000元轉(zhuǎn)給他人， 勞務收入不需要做成工資條發(fā)給員工， 甲員工在并不清楚勞務收入的準確金額的情況下， 很難發(fā)現(xiàn)另有2000元收入被轉(zhuǎn)入他人賬戶的情況， 其他財務人員核對時只關注5000元勞務費用的支出， 也很難發(fā)現(xiàn)串戶的情況。 又如在付款過程中， 甲公司和乙先生約定業(yè)務金額為10000元， 但是并沒有簽訂勞務合同說明付款金額是稅前金額還是稅后金額， 有的財務人員謊稱幫其交納個人所得稅， 將應支付給乙先生的稅后金額10000元截留一部分匯入其個人賬戶， 將剩余部分支付給乙先生， 也不要求乙先生在收據(jù)上簽字， 財務部門以約定金額10000元記賬， 不僅造成公司財務風險也影響到了公司的聲譽。

3. 當記賬、收取對賬單、寄回對賬單為同一人時， 容易出現(xiàn)舞弊行為。 在賬務核對環(huán)節(jié)中， 傳統(tǒng)的賬務核對方式是通過核對分戶賬和總賬來進行“賬賬核對”。 由于記賬方式發(fā)生轉(zhuǎn)變， 在ERP系統(tǒng)下分戶賬和總賬必然相符， 所以“賬賬核對”已經(jīng)失效， 轉(zhuǎn)變?yōu)槠髽I(yè)與銀行之間通過銀行對賬單進行內(nèi)外賬務核對， 財務核對的控制重點從企業(yè)內(nèi)部核對轉(zhuǎn)移至企業(yè)與銀行核對， 但會計控制卻未做出相應的調(diào)整。 在這種情況下， 當記賬、收取對賬單、寄回對賬單為同一人時， 企業(yè)與銀行之間的內(nèi)外賬務核對工作由同一人完成， 有的財務人員利用職務便利串通出納人員將公司賬戶里的錢挪作他用， 并在記賬過程中將其違規(guī)行為掩蓋， 在“賬賬核對”失效的情況下， 企業(yè)只能通過銀行對賬單來發(fā)現(xiàn)其舞弊行為; 當記賬人員同時負責收取和寄回銀行對賬單時， 企業(yè)內(nèi)外賬務核對功能失效， 也沒有其他途徑對其違規(guī)行為進行核查， 其違規(guī)操作就很難被發(fā)現(xiàn)。 甚至有的財務人員在違規(guī)轉(zhuǎn)出企業(yè)銀行賬戶存款后利用職務便利收取對賬單， 私自蓋章后寄回對賬單， 謊稱公司賬目與銀行賬目已對平， 引發(fā)公司財務風險。

例如乙公司銀行賬戶有1000萬元， 財務部門丙員工利用職務便利串通出納人員轉(zhuǎn)出500萬元到其他賬戶， 但由于記賬、收取對賬單、寄回對賬單都由丙員工一人經(jīng)辦， 丙員工便可以在對賬過程中謊稱銀行存款賬目已與銀行賬目對平， 公司審核蓋章后由其寄回對賬單， 使得500萬元銀行存款不翼而飛卻無人知曉， 給公司帶來巨大的財務風險。

4. 業(yè)務授權簽字過程常常被忽略， 導致重要控制環(huán)節(jié)失靈。 新環(huán)境下的業(yè)務授權新增了指紋識別等身份驗證模式， 我國銀行業(yè)也大多采用這種方式， 由于銀行的安保措施嚴密， 清晰的銀行監(jiān)控錄像可以反映操作人員的全部操作行為， 保證授權環(huán)節(jié)的安全規(guī)范; 但在企業(yè)授權環(huán)節(jié)中， 由于缺乏對授權環(huán)節(jié)的執(zhí)行控制， 有的企業(yè)也沒有監(jiān)控錄像來記錄授權過程， 財務主管密鑰泄露給其他財務人員的情況時有發(fā)生， 授權環(huán)節(jié)流于表面， 沒有發(fā)揮其應有的控制作用， 導致財務人員利用指紋膜或財務主管密鑰進入財務系統(tǒng)篡改數(shù)據(jù)或獲取公司財務信息的事件發(fā)生。 有的公司由于業(yè)務范圍廣， 財務經(jīng)理經(jīng)常出差， 需要財務經(jīng)理授權審批的業(yè)務往往不能及時處理， 財務經(jīng)理就將業(yè)務審批權限臨時委托給財務主管， 卻沒有考慮到不相容職務互相分離的要求。 在這種情況下， 沒有人對財務部門的業(yè)務行為進行審核， 財務主管就有機會在公司財務行為中以權謀私， 增加公司財務風險。

（三）科技風險

在“互聯(lián)網(wǎng)+”環(huán)境下， 人工智能、大數(shù)據(jù)、云計算、區(qū)塊鏈等高科技技術與企業(yè)會計業(yè)務創(chuàng)新深度融合， 科技已經(jīng)漸漸融入企業(yè)會計處理流程之中， 與之相關的科技風險也逐漸顯露。

1. 黑客的攻擊給企業(yè)信息安全帶來科技風險。 網(wǎng)絡與計算機并不是萬無一失的， 信息和數(shù)據(jù)的過于集中讓各大銀行和企業(yè)成了不法分子進行信息化攻擊的主要目標， 層出不窮的攻擊手段嚴重威脅著公司的信息安全。 2016年4月， 黑客入侵孟加拉國央行在紐約聯(lián)邦儲備銀行的賬戶， 盜走了8100萬美元。 在新環(huán)境下， 企業(yè)在享有科技便利的同時也要更加注意科學技術發(fā)展給企業(yè)經(jīng)營帶來的科技風險。 如今一些中小企業(yè)受限于經(jīng)濟實力， 對于信息安全重視程度不高， 也沒有做好安全防護措施， 信息管理人員的業(yè)務能力不足， 不能有效地保護企業(yè)信息安全， 由此導致企業(yè)會計信息泄露， 甚至是商業(yè)機密泄露， 造成嚴重后果。

2. 銀行系統(tǒng)故障給企業(yè)財務安全帶來科技風險。 企業(yè)的資金業(yè)務往來大多通過銀行賬戶交易， 而銀行的業(yè)務運行又依賴于銀行信息系統(tǒng)， 所以當銀行信息系統(tǒng)的運行出現(xiàn)問題時， 就可能導致銀行的業(yè)務系統(tǒng)失靈、業(yè)務指令延遲、結(jié)算系統(tǒng)故障等問題， 企業(yè)下達的業(yè)務指令無法正常執(zhí)行， 嚴重的可能還會延誤商機， 給企業(yè)帶來損失。 例如， 德意志銀行代發(fā)蘋果公司的開發(fā)費用給開發(fā)者， 但2019年9月開發(fā)者們收到的費用卻是應收金額的六七倍之多， 最終發(fā)現(xiàn)， 問題的根源是和蘋果公司合作的德意志銀行的結(jié)算系統(tǒng)出現(xiàn)問題， 錯將應該支付的人民幣金額以美元匯入了開發(fā)者的賬戶， 導致這次烏龍事件的發(fā)生， 也給蘋果公司帶來了重大的科技風險。 這說明在新環(huán)境下， 企業(yè)在信任銀行系統(tǒng)的同時， 也應采取相應的控制措施來監(jiān)督銀行以避免出現(xiàn)類似的問題， 并且一旦出現(xiàn)問題要能及時發(fā)現(xiàn)、快速應對。

3. 生物識別等科技創(chuàng)新給支付及授權行為帶來科技風險。 人工智能的快速發(fā)展為企業(yè)支付及授權行為帶來了新的變革， 新環(huán)境下支付和授權行為不僅可以通過密碼來完成， 也可以通過生物識別來完成， 例如指紋識別、人臉識別等。 雖然生物識別的方式在一定程度上保障了公司授權或支付業(yè)務僅能由指定人員確認執(zhí)行， 避免了財務人員均知道密碼的情況， 但近年來關于生物識別漏洞的報道不絕于耳， 容易出現(xiàn)類似于指紋信息泄露的問題。 一旦出現(xiàn)這種情況， 就會給公司的信息安全、財務安全、支付安全帶來科技風險。

四、 “互聯(lián)網(wǎng)+”環(huán)境下會計控制措施建議

（一）運用內(nèi)部控制先進理念， 指導新環(huán)境下的會計控制

蒙哥馬利認為， 內(nèi)部控制包括兩方面內(nèi)容， 即內(nèi)部會計控制和業(yè)務控制。 內(nèi)部會計控制的目標是保證會計數(shù)據(jù)的完整性、有效性和準確性， 以及會計數(shù)據(jù)和單位資產(chǎn)的妥善管理[1] 。 COSO框架中將內(nèi)部控制按照作用分為內(nèi)部會計控制和內(nèi)部管理控制。 內(nèi)部會計控制范圍包括所有的會計業(yè)務， 主要是指為了防止職務侵占和其他違法行為的發(fā)生， 以及保護企業(yè)財產(chǎn)安全所制定的各種會計處理程序和控制措施。

2016年COSO《企業(yè)風險管理框架》的頒布， 突顯了內(nèi)部控制理論發(fā)展與企業(yè)全面風險管理的結(jié)合， 強調(diào)了風險管理對企業(yè)價值創(chuàng)造的貢獻， 以及從更加宏觀的層面來進行內(nèi)部控制。 2019年國資委印發(fā)《關于加強中央企業(yè)內(nèi)部控制體系建設與監(jiān)督工作的實施意見》， 將完善中央企業(yè)風險防控機制作為首要目標， 將信息化建設作為加強內(nèi)部控制體系剛性約束的重要手段， 推進信息系統(tǒng)間的集成共享。 企業(yè)要在不斷完善的內(nèi)部控制理論和規(guī)范指引下， 將企業(yè)全面風險管理與會計業(yè)務流程相結(jié)合， 發(fā)現(xiàn)新環(huán)境下會計控制的關鍵點和薄弱環(huán)節(jié)， 尋找行之有效的控制手段， 運用信息化手段來實現(xiàn)內(nèi)部控制目標， 推動企業(yè)會計控制制度不斷完善， 發(fā)揮會計控制制度的重要作用。

（二）優(yōu)化信息系統(tǒng)內(nèi)部控制設計， 強化系統(tǒng)重點環(huán)節(jié)控制

企業(yè)在開發(fā)信息系統(tǒng)時， 根據(jù)內(nèi)部控制的全面性原則和重要性原則， 應當將生產(chǎn)經(jīng)營的全部業(yè)務流程、關鍵控制點和處理規(guī)則嵌入系統(tǒng)程序， 在覆蓋手工環(huán)境下的控制功能的基礎上拓展控制功能。 企業(yè)在選擇適合自身業(yè)務特色的ERP系統(tǒng)的基礎上， 還應該根據(jù)企業(yè)業(yè)務流程來設計ERP系統(tǒng)具體操作流程， 并對員工進行業(yè)務培訓， 讓員工了解系統(tǒng)設置、系統(tǒng)操作及其職責權限和各模塊之間的聯(lián)系， 確保ERP系統(tǒng)的主要功能能夠最大限度地發(fā)揮作用。 對于原有會計制度的關鍵控制環(huán)節(jié)應該在系統(tǒng)設計中有所體現(xiàn)， 不能因為轉(zhuǎn)為ERP系統(tǒng)記賬而忽視原有風險點， 而應該在原有風險點的基礎上發(fā)現(xiàn)ERP系統(tǒng)所帶來的新的風險點并加以控制。

企業(yè)還應當加強對信息系統(tǒng)訪問與權限變更、數(shù)據(jù)輸入與輸出、文件儲存與保管等方面的控制， 保證信息系統(tǒng)中數(shù)據(jù)的真實性和可靠性。 在企業(yè)ERP系統(tǒng)進行會計數(shù)據(jù)錄入的過程中， 對于錄入系統(tǒng)的原始憑證要安排專人對原始憑證的真實性進行審核; 在數(shù)據(jù)錄入時， 企業(yè)應安排專人將錄入系統(tǒng)的數(shù)據(jù)與審核后的原始憑證進行核對， 保證數(shù)據(jù)準確性的同時也可以監(jiān)督錄入人員是否合規(guī)操作; 數(shù)據(jù)錄入工作完成后， 嚴格控制數(shù)據(jù)錄入人員的訪問權限， 不允許錄入人員再次進入系統(tǒng)對數(shù)據(jù)進行修改， 若數(shù)據(jù)確需修改， 則需要財務主管或管理人員審核同意并授權后方可修改; 對于系統(tǒng)的訪問， 要進行嚴格的權責劃分， 根據(jù)職務建立不同等級的授權審批制度， 保證系統(tǒng)內(nèi)不同等級信息的訪問權限只授予對應崗位的責任人， 防止企業(yè)核心技術與信息的泄露。

企業(yè)還可以利用區(qū)塊鏈技術來改進ERP系統(tǒng)， 在數(shù)據(jù)錄入過程中運用“分布式賬本”， 多人共同參與記賬和監(jiān)督， 防止單一記賬人員記假賬的現(xiàn)象發(fā)生; 通過區(qū)塊鏈技術保障錄入系統(tǒng)的數(shù)據(jù)“不可偽造”， 即除非“分布式賬本”內(nèi)所有節(jié)點均被破壞， 否則賬目就不會丟失或被偽造; 對于訪問系統(tǒng)的人員和進行的操作“全程留痕”， 即何人何時登錄系統(tǒng)自動進行記錄， 其訪問足跡也會記錄在案; 對于系統(tǒng)內(nèi)數(shù)據(jù)的修改做到“可以追溯”， 修改前數(shù)據(jù)及之前所有數(shù)據(jù)都可以追溯并找回， 防止數(shù)據(jù)被篡改。 總而言之， 就是要利用區(qū)塊鏈技術實現(xiàn)信息系統(tǒng)數(shù)據(jù)可控制、可追溯、可檢查， 有效降低人為違規(guī)操縱數(shù)據(jù)導致的財務造假風險。

（三）優(yōu)化財務核算流程， 避免財務風險

企業(yè)辦理資金支付業(yè)務， 應當明確支出款項的用途、金額、支付方式等內(nèi)容， 并附原始單據(jù)或相關證明， 在賬務核對工作中， 對于資金支出后的去向也要核查， 有問題及時反饋。

1. 事前控制。 在企業(yè)支付勞務費用前， 為了防止勞務費用模糊造成串戶的情況發(fā)生， 企業(yè)應當在事前與勞務人員簽訂明確的勞務合同， 明確勞務費用金額與稅費情況， 財務人員完全遵循合同支付款項; 收款人在明確勞務費用金額后， 也可以反向監(jiān)督財務人員勞務費發(fā)放行為， 避免因為金額不明造成收款人財產(chǎn)損失的情況出現(xiàn)。

2. 事中控制。 在企業(yè)付款過程中， 為避免付款環(huán)節(jié)的財務風險， 企業(yè)應當重點控制款項支付證明：一方面是財務人員的付款證明， 即財務人員通過銀行轉(zhuǎn)賬或個人微信支付寶賬戶轉(zhuǎn)賬時， 要核查銀行轉(zhuǎn)賬單和手機支付記錄， 如微信或支付寶支付成功頁面截圖等， 保證向員工支付的款項金額準確無誤。 另一方面則是收款人的收款證明， 無論財務人員使用何種方式付款， 收款人都應該保留收款證明備查。 在財務人員支付款項后， 如果是當面付款， 財務人員應要求收款人在寫明收款金額和收款方式的收款證明上簽字確認; 如果是采用移動支付， 也應要求收款人通過語音信息或其他方式對金額和款項到賬情況進行確認。

3. 事后控制。 企業(yè)在進行財務復核時， 復核人員除檢查賬面金額是否準確外， 還要對財務人員付款證明和收款人的收款證明進行核對， 重點檢查款項金額和支付方式是否一致， 盡可能降低付款過程中的財務風險。

（四）不相容職務分離， 科學設置程序分段控制

蒙哥馬利認為， 對資產(chǎn)的保管以及會計程序和有關會計控制程序的執(zhí)行進行職責分工， 可以減少員工財務舞弊或出現(xiàn)差錯的風險[1] 。 企業(yè)在確定職權和崗位分工過程中， 應當嚴格遵循不相容職務相互分離的要求。 不相容職務可以實行分段控制， 即重要業(yè)務流程由多人完成， 每人負責部分業(yè)務流程， 以此實現(xiàn)內(nèi)部牽制， 降低財務舞弊的可能性。 對銀行對賬環(huán)節(jié)進行業(yè)務分段控制， 企業(yè)記賬人員與收取對賬單人員要分離開來， 防止記賬人員根據(jù)對賬單金額調(diào)整公司賬目的情況發(fā)生; 收取對賬單和寄回對賬單的人員也要分離， 防止財務人員私自蓋章寄回對賬單的情況發(fā)生。 為了避免財務部門內(nèi)部舞弊， 可以安排人力資源管理部門或其他行政部門來負責銀行對賬單的收取和寄回工作， 在進行賬務核對的同時也可以監(jiān)督財務部門的工作， 以此加強企業(yè)銀行賬戶的管理。

根據(jù)授權控制原則， 企業(yè)應當編制常規(guī)授權的權限指引， 嚴格執(zhí)行授權審批制度， 避免制度流于形式。 要提高管理層和員工對于授權審批制度的重視程度， 對于制度安排中需要授權審批的環(huán)節(jié)， 一定要擁有相應權限的人授權審批， 一旦出現(xiàn)問題， 授權審批人要承擔連帶承擔， 以此來約束授權人的行為， 提高授權人的風險意識， 防止出現(xiàn)財務人員均知道授權口令或利用授權人指紋膜隨意授權的情況。 對于特別授權和臨時授權， 也要考慮不相容職務分離的要求， 當授權人不在現(xiàn)場時， 可以利用信息系統(tǒng)進行遠程授權， 避免臨時授權的風險， 可以有效防止臨時授權人濫用職權。

（五）加強信息安全防護， 不斷進行內(nèi)部控制科技創(chuàng)新

企業(yè)應當對網(wǎng)絡安全加強保障， 重視信息安全， 建立信息安全防護機制， 防范來自外部的黑客攻擊和內(nèi)部的系統(tǒng)問題。 對于涉及互聯(lián)網(wǎng)科技的環(huán)節(jié)都應建立監(jiān)控機制和應急處置機制， 企業(yè)可以利用區(qū)塊鏈技術， 對于系統(tǒng)內(nèi)的關鍵信息去中心化， 定期備份， 當網(wǎng)絡或軟件系統(tǒng)出現(xiàn)問題時可以第一時間進行防護和修復， 或者通過非科技手段進行彌補; 對于服務器等硬件設備應妥善保管并建立定期檢查機制， 嚴禁任何人在未經(jīng)授權的情況下接觸計算機硬件， 防止因為硬件設備故障造成系統(tǒng)故障; 在系統(tǒng)關鍵授權環(huán)節(jié)采用多重驗證手段， 例如指紋加密碼同時驗證通過才可以進入系統(tǒng)， 降低生物識別漏洞可能造成的影響， 同時提高系統(tǒng)的安全性; 企業(yè)可以充分運用計算機技術和網(wǎng)絡技術， 在線上對于可能出現(xiàn)的風險進行預防控制， 在網(wǎng)絡失靈或出現(xiàn)系統(tǒng)故障時， 通過線下操作來對可能出現(xiàn)的風險進行補充控制， 利用線上線下共同控制的手段， 保障企業(yè)信息安全。

飛速發(fā)展的科學技術對企業(yè)內(nèi)部控制設計提出了更高的要求， 企業(yè)應當根據(jù)自身發(fā)展狀況、機構(gòu)設置、業(yè)務流程， 結(jié)合科技發(fā)展帶來的新技術、新方法為企業(yè)內(nèi)部控制的設計找尋新方向、新手段， 利用科技創(chuàng)新完善內(nèi)部控制制度設計。 德勤會計師事務所在“互聯(lián)網(wǎng)+”環(huán)境下利用科技創(chuàng)新建立多個共享中心， 包括函證中心、報銷中心等， 提高了業(yè)務處理效率。 報銷中心負責所有的報銷業(yè)務， 以前依靠人工完成的項目核算和報銷業(yè)務現(xiàn)在全部可以通過系統(tǒng)掃描來完成， 降低了人工差錯導致的財務風險。 函證中心負責完成所有的函證業(yè)務， 既可以使函證過程中較少受到主觀因素的影響， 又可以保證函證的準確性， 還可以節(jié)省大量的人力物力成本。

【 主 要 參 考 文 獻 】

[ 1 ]? ?文森特·M.奧賴利等.蒙哥馬利審計學[M].北京：中信出版社，2007：N/A.

[ 2 ]? ?閻達五，楊有紅.內(nèi)部控制框架的構(gòu)建[ J].會計研究，2001（2）：9 ～ 14.

[ 3 ]? ?楊雄勝.正確認識信息技術對內(nèi)部控制的深刻影響[ J].財務與會計，2007（18）：1.

[ 4 ]? ?李心合.內(nèi)部控制研究的困惑與思考[ J].會計研究，2013（6）：54 ～ 61.

[ 5 ]? ?陸賽江，許莉.基于2016版ERM框架的商業(yè)銀行內(nèi)部控制[ J].現(xiàn)代企業(yè)，2018（3）：60 ～ 61.