信息化環(huán)境下企業(yè)會(huì)計(jì)內(nèi)部控制體系設(shè)計(jì)

內(nèi)蒙古農(nóng)業(yè)大學(xué)職業(yè)技術(shù)學(xué)院 劉建國(guó)

在全球經(jīng)濟(jì)高度一體化的今天，企業(yè)要想在激烈的市場(chǎng)競(jìng)爭(zhēng)中脫穎而出，就必須充分利用先進(jìn)的信息與互聯(lián)網(wǎng)技術(shù)完善管理與內(nèi)控體系，借此提升管理效率，最終實(shí)現(xiàn)提升運(yùn)營(yíng)效率的目標(biāo)。隨著信息化建設(shè)程度的不斷提高，很多企業(yè)雖然建立了會(huì)計(jì)管理信息系統(tǒng)，但會(huì)計(jì)內(nèi)控體系卻仍然維持著傳統(tǒng)會(huì)計(jì)管理的模式，導(dǎo)致會(huì)計(jì)內(nèi)控失效，會(huì)計(jì)信息嚴(yán)重失真。實(shí)際上，企業(yè)應(yīng)用會(huì)計(jì)管理信息系統(tǒng)的初衷既是為了提升會(huì)計(jì)管理工作效率，也是為了提升會(huì)計(jì)信息的準(zhǔn)確性與真實(shí)性，但因?yàn)閮?nèi)控機(jī)制沒(méi)進(jìn)行相應(yīng)調(diào)整，反而令會(huì)計(jì)信息的準(zhǔn)確性與真實(shí)性有所降低，得不償失。筆者對(duì)現(xiàn)代企業(yè)應(yīng)如何構(gòu)建信息環(huán)境下的會(huì)計(jì)控制體系進(jìn)行了深入探討，以期對(duì)企業(yè)提升會(huì)計(jì)控制效率有所幫助。

一、信息化環(huán)境對(duì)企業(yè)會(huì)計(jì)內(nèi)控體系的新要求

（一）控制環(huán)境方面 由于會(huì)計(jì)信息管理系統(tǒng)具有一定的開(kāi)放性，只要得到了相應(yīng)的授權(quán)，系統(tǒng)使用人員就可以登錄系統(tǒng)調(diào)取其權(quán)限范圍內(nèi)的所有信息，但信息本身是完全開(kāi)放的，即使系統(tǒng)能夠記錄操作人員進(jìn)行的操作，也很難記錄信息是否被拷貝或者傳播了出去，所以，如果不法分子盜取了會(huì)計(jì)信息，不進(jìn)行徹查的話(huà)，是很難被發(fā)現(xiàn)的。另外，由于會(huì)計(jì)信息管理系統(tǒng)可以遠(yuǎn)程登錄，只要破譯了用戶(hù)名和密碼，任何人都可以隨意登錄系統(tǒng)，調(diào)用系統(tǒng)中的會(huì)計(jì)信息，這無(wú)疑令會(huì)計(jì)信息面臨很高的安全風(fēng)險(xiǎn)。很多企業(yè)的高管層對(duì)信息管理系統(tǒng)并不是非常了解，也不清楚應(yīng)該如何對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行有效的監(jiān)督與控制，因此，企業(yè)必須改善控制環(huán)境，增強(qiáng)全體員工的會(huì)計(jì)內(nèi)控意識(shí)，特別要做好管理層的內(nèi)控意識(shí)強(qiáng)化工作。

（二）風(fēng)險(xiǎn)評(píng)估方面 信息環(huán)境下，企業(yè)絕大部分會(huì)計(jì)管理工作都是通過(guò)信息系統(tǒng)完成的，這在提升會(huì)計(jì)信息管理效率的同時(shí)，也提升了風(fēng)險(xiǎn)評(píng)估的難度。因?yàn)閭鹘y(tǒng)會(huì)計(jì)管理模式下，每項(xiàng)工作都是由對(duì)應(yīng)的崗位員工完成的，企業(yè)只要做好人的控制就能保證會(huì)計(jì)信息的準(zhǔn)確性與真實(shí)性，但信息環(huán)境下，很多會(huì)計(jì)處理工作都是由系統(tǒng)自動(dòng)完成的，系統(tǒng)本身又具有一定的開(kāi)放性，因此，提升了風(fēng)險(xiǎn)評(píng)估的難度，主要表現(xiàn)有：

（1）原始憑證數(shù)字化產(chǎn)生的風(fēng)險(xiǎn)。傳統(tǒng)會(huì)計(jì)管理模式下，原始憑證都是紙質(zhì)的，而且有對(duì)應(yīng)的賬簿，只要進(jìn)行核對(duì)都能發(fā)現(xiàn)會(huì)計(jì)信息是否真實(shí)準(zhǔn)確；但信息環(huán)境下，原始憑證進(jìn)行了數(shù)字化處理，變成了電子數(shù)據(jù)的形式，存儲(chǔ)在后臺(tái)數(shù)據(jù)庫(kù)中，如果有人惡意篡改了這些數(shù)字化的原始憑證，那么所有的會(huì)計(jì)信息都會(huì)以這種虛假的憑證為基礎(chǔ)，自然會(huì)導(dǎo)致會(huì)計(jì)信息失真，從而降低會(huì)計(jì)內(nèi)控的質(zhì)量。另外，數(shù)字化的原始憑證都是保存在磁性介質(zhì)中的，而這類(lèi)設(shè)備極易損害，如果被損壞，其中的信息也就隨之消失了，增大了信息的安全風(fēng)險(xiǎn)。

（2）授權(quán)方式改變產(chǎn)生的風(fēng)險(xiǎn)。傳統(tǒng)的會(huì)計(jì)管理模式下，授權(quán)審批一般都是要相關(guān)人員蓋章才可以生效的；但信息環(huán)境下，授權(quán)方式則改成密碼授權(quán)，這種授權(quán)模式雖然能夠?qū)崿F(xiàn)對(duì)權(quán)限的有效管理，但由于授權(quán)密碼本身都是存儲(chǔ)在系統(tǒng)后臺(tái)數(shù)據(jù)庫(kù)中的，系統(tǒng)管理員以及其他擁有后臺(tái)數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限的人員想要獲得這些密碼并不困難，這無(wú)疑增加了授權(quán)審批的正規(guī)性風(fēng)險(xiǎn)。

（3）內(nèi)控程序完善程度產(chǎn)生的風(fēng)險(xiǎn)。信息系統(tǒng)內(nèi)控程序風(fēng)險(xiǎn)主要取決于系統(tǒng)本身的完善程度。假設(shè)系統(tǒng)本身存在安全漏洞，那么其中的數(shù)據(jù)自然就處于不安全的環(huán)境之中；假設(shè)系統(tǒng)本身不夠穩(wěn)定，就很容易在處理會(huì)計(jì)信息時(shí)有所疏漏，自然也影響會(huì)計(jì)信息的準(zhǔn)確性與真實(shí)性。另外，如果程序的算法本身存在問(wèn)題，有可能會(huì)導(dǎo)致同樣的錯(cuò)誤反復(fù)出現(xiàn)，所以，企業(yè)必須提升計(jì)算機(jī)會(huì)計(jì)內(nèi)控程序的完善程度，提升程序的穩(wěn)定性與可靠性。

（4）網(wǎng)絡(luò)會(huì)計(jì)產(chǎn)生的安全風(fēng)險(xiǎn)。信息化環(huán)境下，很多會(huì)計(jì)數(shù)據(jù)都是通過(guò)網(wǎng)絡(luò)傳輸?shù)模瑫?huì)計(jì)信息系統(tǒng)用戶(hù)登錄之后，可以通過(guò)網(wǎng)絡(luò)遠(yuǎn)程調(diào)用會(huì)計(jì)信息，這無(wú)疑會(huì)產(chǎn)生一定的安全風(fēng)險(xiǎn)。第一，信息化環(huán)境下，企業(yè)的會(huì)計(jì)信息通過(guò)網(wǎng)絡(luò)傳輸，而網(wǎng)絡(luò)本身具有一定的開(kāi)放性，如果這些會(huì)計(jì)信息被不法分子截獲，無(wú)疑會(huì)對(duì)企業(yè)造成沉重的打擊；第二，會(huì)計(jì)信息系統(tǒng)通過(guò)互聯(lián)網(wǎng)連通，因此，極易受到黑客的攻擊，會(huì)計(jì)信息面對(duì)很高的安全風(fēng)險(xiǎn)；第三，計(jì)算機(jī)病毒的快速傳播增大了會(huì)計(jì)信息管理系統(tǒng)本身的風(fēng)險(xiǎn)，會(huì)計(jì)信息系統(tǒng)在連通互聯(lián)網(wǎng)之后，很容易通過(guò)電子郵件以及下載的文件染毒，病毒很有可能會(huì)破壞系統(tǒng)中的數(shù)據(jù)，嚴(yán)重時(shí)甚至可能導(dǎo)致系統(tǒng)癱瘓。

（三）控制活動(dòng)方面 對(duì)于現(xiàn)代企業(yè)來(lái)說(shuō)，信息化環(huán)境下的會(huì)計(jì)控制活動(dòng)較過(guò)去也發(fā)生了很大的變化。傳統(tǒng)的會(huì)計(jì)內(nèi)控基本上都是以紙質(zhì)記錄為中心的，但信息化環(huán)境下的會(huì)計(jì)內(nèi)控則是以會(huì)計(jì)管理信息系統(tǒng)為中心的。當(dāng)前，計(jì)算機(jī)在我國(guó)的普及率非常高，其在一定程度上提升了企業(yè)的會(huì)計(jì)管理水平，但同時(shí)也令會(huì)計(jì)信息面臨著很高的安全風(fēng)險(xiǎn)，黑客很容易通過(guò)破譯系統(tǒng)的用戶(hù)名和密碼盜用或者篡改后臺(tái)數(shù)據(jù)中的會(huì)計(jì)信息，有時(shí)甚至?xí)h除數(shù)據(jù)庫(kù)中的會(huì)計(jì)信息，導(dǎo)致企業(yè)的會(huì)計(jì)管理系統(tǒng)癱瘓。可管理信息系統(tǒng)本身是一種無(wú)形的東西，企業(yè)很難按照傳統(tǒng)的內(nèi)控方式對(duì)其進(jìn)行控制，必須改變具體的內(nèi)控活動(dòng)。

（四）監(jiān)控方面 企業(yè)要保證會(huì)計(jì)內(nèi)控的有效性，就必須對(duì)會(huì)計(jì)管理活動(dòng)進(jìn)行有效監(jiān)控。但信息化環(huán)境下，會(huì)計(jì)活動(dòng)的監(jiān)控對(duì)象發(fā)生了變化，已經(jīng)不再是傳統(tǒng)的紙質(zhì)賬簿與憑證，而是電子化的會(huì)計(jì)信息與原始憑證。雖然這種監(jiān)控活動(dòng)同樣具有有效性，但畢竟監(jiān)控的信息都是電子化的，不像傳統(tǒng)紙質(zhì)文件那樣具有不變性，即使當(dāng)前監(jiān)控的會(huì)計(jì)信息沒(méi)有問(wèn)題，但如果之后被人為改動(dòng)，企業(yè)沒(méi)有進(jìn)行徹底核查的話(huà)，是很難發(fā)現(xiàn)這些變化的，監(jiān)控自然也就喪失了原本的意義。因此，信息化環(huán)境下企業(yè)必須改變對(duì)會(huì)計(jì)管理活動(dòng)的監(jiān)控方式，提升監(jiān)控水平，只有這樣才能保證監(jiān)控的有效性，保證會(huì)計(jì)信息的真實(shí)性與準(zhǔn)確性。

二、信息化環(huán)境下企業(yè)會(huì)計(jì)內(nèi)控體系構(gòu)建

信息化環(huán)境下，企業(yè)在構(gòu)建內(nèi)控體系時(shí)，需要將會(huì)計(jì)信息管理系統(tǒng)存在的風(fēng)險(xiǎn)與相應(yīng)的控制納入其中。筆者認(rèn)為企業(yè)可以推行IT治理的內(nèi)控模式，這樣不但可以保證整個(gè)系統(tǒng)的穩(wěn)定性，還能保證會(huì)計(jì)信息真實(shí)。筆者基于IT治理的思想，構(gòu)建了信息化環(huán)境下企業(yè)的內(nèi)控體系，該體系不僅綜合考慮了會(huì)計(jì)信息系統(tǒng)本身的控制，也考慮了互聯(lián)網(wǎng)可能滋生的安全性風(fēng)險(xiǎn)，從源頭上保證了會(huì)計(jì)內(nèi)控的有效性，因此，具有很好的現(xiàn)實(shí)應(yīng)用意義。本文構(gòu)建的企業(yè)會(huì)計(jì)內(nèi)控體系與一般的會(huì)計(jì)內(nèi)控體系之間存在本質(zhì)的區(qū)別，筆者構(gòu)建的是滿(mǎn)足企業(yè)信息化會(huì)計(jì)管理環(huán)境的會(huì)計(jì)內(nèi)控體系，符合現(xiàn)代企業(yè)的發(fā)展要求。具體的會(huì)計(jì)內(nèi)控體系架構(gòu)如圖1所示。

圖1 信息化環(huán)境下企業(yè)會(huì)計(jì)內(nèi)控體系基本架構(gòu)

通過(guò)圖1可知，筆者構(gòu)建的企業(yè)會(huì)計(jì)內(nèi)控體系較之一般的會(huì)計(jì)內(nèi)控多出了IT控制的部分。很顯然，信息化環(huán)境下，企業(yè)絕大部分會(huì)計(jì)管理工作都是通過(guò)會(huì)計(jì)管理信息系統(tǒng)完成的，因此，想要提升會(huì)計(jì)內(nèi)控質(zhì)量必須做好IT系統(tǒng)的控制工作。IT系統(tǒng)本身具有開(kāi)放性與不穩(wěn)定性等特點(diǎn)，再加上其通過(guò)互聯(lián)網(wǎng)進(jìn)行數(shù)據(jù)傳輸，因此，做好IT控制能夠從根本上提升企業(yè)會(huì)計(jì)內(nèi)控的效率，提升會(huì)計(jì)信息的真實(shí)性。下文將對(duì)基本架構(gòu)中的各組成部分做詳細(xì)說(shuō)明。

（一）內(nèi)部環(huán)境 內(nèi)部環(huán)境是構(gòu)建會(huì)計(jì)內(nèi)控體系的基礎(chǔ)，企業(yè)只有創(chuàng)造良好的內(nèi)部環(huán)境，才能為會(huì)計(jì)內(nèi)控體系運(yùn)行提供必要條件，才能保證各項(xiàng)會(huì)計(jì)內(nèi)控制度得到有力的執(zhí)行。實(shí)際工作中，企業(yè)應(yīng)認(rèn)識(shí)到內(nèi)部環(huán)境對(duì)提升會(huì)計(jì)內(nèi)控效率的重要性，按圖2所示的要素創(chuàng)造良好的IT管理內(nèi)部環(huán)境，從而提升信息化環(huán)境下的會(huì)計(jì)內(nèi)控效率。

圖2 IT管理內(nèi)部環(huán)境

（二）控制目標(biāo) 企業(yè)應(yīng)明確控制目標(biāo)，可以將控制目標(biāo)分為兩部分：第一部分，業(yè)務(wù)目標(biāo)。這個(gè)目標(biāo)主要關(guān)注的是會(huì)計(jì)業(yè)務(wù)的控制，不但控制會(huì)計(jì)業(yè)務(wù)的合規(guī)性與合理性，還要控制會(huì)計(jì)業(yè)務(wù)流程的有效性；第二部分，IT目標(biāo)。這個(gè)目標(biāo)主要關(guān)注的是會(huì)計(jì)管理信息系統(tǒng)的控制，不但控制會(huì)計(jì)管理信息系統(tǒng)的安全性與穩(wěn)定性，還要控制系統(tǒng)數(shù)據(jù)的真實(shí)性與可審計(jì)性，畢竟內(nèi)審與外審是對(duì)內(nèi)控體系有效性的最有效檢驗(yàn)手段，只有系統(tǒng)數(shù)據(jù)具有良好的可審計(jì)性，才能保證審計(jì)的質(zhì)量，從而真實(shí)反映出企業(yè)的會(huì)計(jì)內(nèi)控效率。

（三）風(fēng)險(xiǎn)管理 企業(yè)必須增強(qiáng)風(fēng)險(xiǎn)管理意識(shí)，雖然傳統(tǒng)會(huì)計(jì)管理模式下，企業(yè)也需要做好會(huì)計(jì)風(fēng)險(xiǎn)的管理，但信息化環(huán)境下的會(huì)計(jì)風(fēng)險(xiǎn)變得更加多樣、更加復(fù)雜，因此，企業(yè)必須做好風(fēng)險(xiǎn)的識(shí)別、評(píng)估與應(yīng)對(duì)工作，從而保證會(huì)計(jì)活動(dòng)的合規(guī)性，進(jìn)而降低運(yùn)營(yíng)過(guò)程中的會(huì)計(jì)風(fēng)險(xiǎn)。由于企業(yè)使用的會(huì)計(jì)管理信息系統(tǒng)本身會(huì)存在這樣或那樣的安全漏洞，而這些漏洞很容易成為不法分子的攻擊對(duì)象；再加上會(huì)計(jì)信息系統(tǒng)是通過(guò)網(wǎng)絡(luò)傳輸數(shù)據(jù)的，而網(wǎng)絡(luò)具有一定的開(kāi)放性，提升了數(shù)據(jù)的安全性風(fēng)險(xiǎn)。基于此，筆者建議企業(yè)做好技術(shù)風(fēng)險(xiǎn)的管理工作并將其納入會(huì)計(jì)內(nèi)控體系之中，借此提升會(huì)計(jì)信息的安全性與準(zhǔn)確性。

（四）控制活動(dòng) 由于設(shè)置的控制目標(biāo)分為業(yè)務(wù)目標(biāo)與IT目標(biāo)兩部分，因此，企業(yè)采取的具體內(nèi)控活動(dòng)也應(yīng)該分為業(yè)務(wù)控制活動(dòng)與IT控制活動(dòng)兩種類(lèi)型。很顯然，業(yè)務(wù)控制活動(dòng)主要是為了提升會(huì)計(jì)業(yè)務(wù)操作的規(guī)范性與會(huì)計(jì)信息的真實(shí)性，而IT控制活動(dòng)則是保證會(huì)計(jì)管理信息系統(tǒng)的實(shí)用性。為了提升控制活動(dòng)的有效性，筆者引用了COBIT4.1模型，基于企業(yè)的基本會(huì)計(jì)業(yè)務(wù)設(shè)計(jì)了相應(yīng)的IT控制活動(dòng)。具體的控制活動(dòng)分為以下四個(gè)步驟：

（1）規(guī)劃與組織。企業(yè)在進(jìn)行IT控制之前，要結(jié)合自身的運(yùn)營(yíng)情況與會(huì)計(jì)管理信息系統(tǒng)特點(diǎn)進(jìn)行規(guī)劃與組織，從而保證制定的IT控制方案可行有效。這項(xiàng)工作能夠幫助企業(yè)了解IT控制的重點(diǎn)與難點(diǎn)，從而制定針對(duì)性的控制方案，進(jìn)而提升控制質(zhì)量。需要說(shuō)明的是，企業(yè)在規(guī)劃與組織IT控制活動(dòng)時(shí)，必須充分考慮自身的運(yùn)營(yíng)實(shí)際與內(nèi)部組織結(jié)構(gòu)特點(diǎn)，不能盲目照搬其他企業(yè)的成功經(jīng)驗(yàn)，只有這樣才能保證制定的控制方案符合自身發(fā)展要求。

（2）獲取與實(shí)施。如果條件允許，企業(yè)可以自行開(kāi)發(fā)IT控制系統(tǒng)，雖然開(kāi)發(fā)成本較購(gòu)買(mǎi)現(xiàn)成的系統(tǒng)要高一些，但能夠提升IT控制系統(tǒng)與企業(yè)運(yùn)營(yíng)的貼合性。筆者建議企業(yè)在實(shí)施過(guò)程中做好以下幾方面工作：首先，在開(kāi)發(fā)系統(tǒng)之前，要科學(xué)評(píng)估系統(tǒng)應(yīng)有的可行性與經(jīng)濟(jì)性；其次，在正式使用系統(tǒng)之前，必須驗(yàn)證系統(tǒng)的合法性與合規(guī)性，并復(fù)核系統(tǒng)的開(kāi)發(fā)流程，同時(shí)做好系統(tǒng)測(cè)試，及時(shí)修正存在的問(wèn)題；第三，做好系統(tǒng)使用員工的培訓(xùn)工作，除了讓他們熟練掌握系統(tǒng)的操作流程之外，還要讓他們大致了解系統(tǒng)的后臺(tái)運(yùn)算原理；第四，制定嚴(yán)格的系統(tǒng)變更審批制度，只有得到有效授權(quán)審批的系統(tǒng)變更才可以實(shí)施。

（3）交付與支持。企業(yè)應(yīng)通過(guò)IT控制系統(tǒng)對(duì)會(huì)計(jì)信息管理進(jìn)行內(nèi)控，除了監(jiān)控經(jīng)濟(jì)業(yè)務(wù)操作的規(guī)范性之外，還應(yīng)監(jiān)控會(huì)計(jì)信息管理系統(tǒng)的安全性與穩(wěn)定性，并將獲得的信息及時(shí)反饋給相關(guān)部門(mén)。

（4）監(jiān)控與評(píng)價(jià)。這是整個(gè)IT控制系統(tǒng)的信息傳輸中心，可以綜合分析與處理會(huì)計(jì)信息系統(tǒng)的監(jiān)控信息，并對(duì)這些信息反映出的內(nèi)控問(wèn)題進(jìn)行評(píng)價(jià)，為相關(guān)部門(mén)管理者完善內(nèi)控機(jī)制提供有力支撐。

（五）內(nèi)部監(jiān)督 企業(yè)構(gòu)建信息化環(huán)境下會(huì)計(jì)內(nèi)控體系的過(guò)程中，還應(yīng)重視內(nèi)控監(jiān)督功能的實(shí)現(xiàn)。對(duì)于現(xiàn)代企業(yè)來(lái)說(shuō)，會(huì)計(jì)內(nèi)控是提升會(huì)計(jì)管理效率的有效手段，但會(huì)計(jì)內(nèi)控的有效性如何則需要通過(guò)內(nèi)部監(jiān)督來(lái)評(píng)價(jià)?；诖?，筆者建議企業(yè)組建專(zhuān)門(mén)的內(nèi)審部門(mén)，對(duì)會(huì)計(jì)管理活動(dòng)進(jìn)行監(jiān)督與審計(jì)，必要時(shí)還可以聘請(qǐng)業(yè)內(nèi)專(zhuān)家加入內(nèi)審團(tuán)隊(duì)，以提升內(nèi)審的有效性。當(dāng)然，由于內(nèi)審是企業(yè)內(nèi)部的行為，所以，難免會(huì)受到一些人為因素的干擾，企業(yè)應(yīng)盡量提升內(nèi)審流程的規(guī)范程度，明確相關(guān)人員的工作職能，從而降低人為因素對(duì)內(nèi)審結(jié)果的影響，提升內(nèi)審結(jié)果的準(zhǔn)確性，為制定后續(xù)的會(huì)計(jì)管理決策指明方向。

［1］章鐵生：《信息技術(shù)條件下的內(nèi)部控制規(guī)范：國(guó)際實(shí)踐與啟示》，《會(huì)計(jì)研究》2007年第7期。

［2］黃莉娟：《網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制創(chuàng)新》，《財(cái)會(huì)月刊》2012年第26期。