1、刍议 IT 环境下我国企业会计信息系统的内部控制问题摘 要 企业内部控制是企业进行有效经营和管理的基础,是实现维护资产和资源安全完整,保证会计信息的安全、完整、真实、可靠的必要手段。与此同时,信息技术应用的复杂性也带来了与以往不同的风险。传统的会计信息系统内部控制已经不能适应信息技术环境中的企业管理工作,迫切需要建立健全会计信息系统内部控制,以满足对企业会计信息系统内部控制的特殊要求。本文根据当前社会企业内部控制的基本规范,从企业内部控制的五要素出发,探讨 IT 环境下企业会计信息系统内部控制问题, 并有针对性地提出若干政策建议。 关键词 会计信息系统;内部控制;问题;对策 doi : 10
2、. 3969 / j . issn . 1673 - 0194 . 2013 . 21. 017 中图分类号 F232;F233 文献标识码 A 文章编号 1673 - 0194(2013)21- 0027- 03 2008 年 5 月,财政部颁布了企业内部控制基本规范 ,这使我国企业内部控制规范上了一个新的台阶,此次的内控规范,增加了基于信息技术系统的内部控制政策与程序,强调了信息系统安全性。为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,2009 年 1 月,国家财政部关于推进我国会计信息化工作的指导意见中提出,要
3、积极推动会计信息系统与管理信息系统的有效集成,着力将会计准则和内部控制标准固化在信息系统中,力争将会计师事务所内部控制制度固化在管理信息系统中。在中国内部审计具体准则第 28 号信息系统审计中指出:信息技术内部控制的各个层面都包括人工控制、自动控制和人工、自动相结合的控制形式,审计人员应根据不同的控制形式采取恰当的审计程序。该准则基于内部控制的五要素,从被审计单位的内部环境、风险评估过程、信息与沟通、控制活动、对内部监督 5 个方面来讨论会计信息系统的内部控制问题。 1 会计信息系统内部控制概述 1.1 会计信息系统的含义 信息系统是一系列相互关联的可以收集(输入) 、操作和存储(处理)、传播
4、(输出)数据和信息,并提供反馈机制以实现目标的元素或组成部分的集合。随着计算机技术、网络技术与通信技术的不断发展,信息系统也获得了迅速发展,目前主要有以下几种类型:数据处理系统、管理信息系统、决策支持系统和专家系统。会计信息系统是管理信息系统的一个重要分支,它是利用信息技术对会计信息进行采集、存储、处理和传递,完成会计核算任务,并能提供进行会计管理、分析、决策所需的辅助信息的人机系统。 1.2 会计信息系统的内部控制 会计信息系统的内部控制将组织控制、手工内部控制和计算机内部控制结合起来,实现全面控制。它随着会计信息系统工作环境变化而变化,通过实施特定措施和机制保证会计信息系统产品质量,并在此
5、基础上提高企业经营效率。各级管理部门为了保护国家和企业的财产完整与安全,确保会计及其他数据的可靠,保证国家及企业所制定的各项方针政策的贯彻与执行,以及查错防弊,加强管理,提高经济效益所采取的一切制度、方针、措施和管理程序。在会计信息系统的内部控制中,企业通过控制所需要解决的问题和所要达到的目的进行分析。其内容包括确保系统的合规合法,保证会计数据的正确无误,保证系统安全可靠,提高系统运行的效率性,提高系统的可维护性,增强系统的可审性。由此可见,会计信息系统和内部控制存在着相互影响、相互制约的关系。 2 企业会计信息系统内部控制存在的问题 2.1 缺乏对内部环境的管理 内部环境是影响、制约企业内部
6、控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境在企业 IT 领域中体现为 IT 的内部控制环境,虽然企业的整体目标没有改变,但是在 IT 环境下会计信息系统的实施存在着相应的组织管理等问题,其主要表现在以下两个方面。 (1)岗位职责分工界限模糊。不相容职能分离与相应职责分工是手工会计内部控制的基础,而在会计信息化环境中,由于会计软件的功能集中,导致职责的集中,在某些管理不规范的企业,一些会计人员身兼数职,比如有的会计人员既从事数据输入处理又负责数据输出报送,这样就会造成未经批准擅自对程序与数据库进行修改和操作等舞弊行为。 (2)数据的采集与输出缺乏监控。会计信息化数据虽然要
7、求有原始单据才可以输入,但是缺乏可靠信息的记录或未经确认的数据也有可能被输入,数据采集的不谨慎必然导致处理结果缺乏可信度。会计数据存储在磁性介质上,数据删改容易且一般不留痕迹,程序与数据都保存在计算机中,在监控不力的情况下很容易产生舞弊行为。这就需要加大对于企业内部环境的管理力度。 2.2 风险评估的范围扩大 风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节,也是内部控制整体框架的独特之处。在 IT 环境下,虽然企业的整体目标没有改变,但是经济、产业及管理的外部环境与内部因素都发生了变化。系统的开放性、信息的分散性、数据的
8、共享性,使系统从以往封闭集中状态走向开放,给会计信息系统带来了风险。这些风险构成了内部控制的新内容,扩大了会计信息系统内部控制的范围,例如,会计人员的职责过度集中而计算机犯罪又具有很大的隐蔽性和危害性,所以发现计算机舞弊和犯罪的难度就更大,给企业造成的危害和损失也在扩大。此外,会计信息化使得数据高度集中,未经授权的人员有可能通过计算机和网络下载、复制、伪造、销毁企业重要的数据;计算机病毒感染、黑客入侵、使用人员违规操作也会造成计算机系统故障或信息系统崩溃等,都相应地给企业带来了不同程度的风险。 2.3 会计信息系统的应用增加企业内部会计控制的难度 IT 环境下会计信息系统控制的重点由对人的控制
9、转变为对人、机共同控制,控制程序与计算机处理相互协调适应。随着计算机使用范围的扩大,利用计算机进行贪污、舞弊、诈骗等犯罪活动有所增加,如储存在计算机磁性媒介上的数据容易被篡改,数据库中数据高度集中,未经授权的人员有可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据,增加了 IT 环境下内部控制的难度与复杂性。 2.4 企业信息与沟通的难度加大 信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。会计信息系统作为企业管理的一个子系统,与其他管理系统有紧密的联系
10、,会计信息系统从其他管理信息子系统和系统外界获取信息,也将处理结果提供给有关系统,使得系统外部接口较复杂。同时因计算机不具有人所特有的职业判断能力,使得企业在 IT 环境下信息与沟通难度加大。 2.5 缺乏有效的内部监督和管理 内部监督是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。在 IT 环境下,一些内部控制被计算机程序化,并嵌入计算机应用系统内,因此内部控制具有人工控制与程序控制相结合的特点,这些程序化内部控制的有效性取决于应用程序,如果程序发生差错或不起作用,依赖程序的思想和程序的重复操作会使得错误扩大化,使得失
11、效控制长期不被发现,从而使系统在特定方面发生错误或违规行为的可能性较大,所以,在会计信息系统下更应注意对内部控制的监督,由适当的人员在适当的时候及时评估内部控制的设计和运行情况。 3 企业会计信息系统下内部控制的对策 由于在网络环境下会计信息系统具有系统的开放性、信息的分散性、数据的共享性等特点,企业需要扩展系统运行范围,从而改变了传统会计信息系统内部控制的内容和方法。 3.1 加强对企业内部环境的管理 首先,加强企业内部控制,应规范各部门,岗位及环节的职责权限。明确规定处理各种经济业务的职责和程序方法,资产记录与保管的分工,保证会计凭证、会计记录的完整性和正确性,建立计算机会计信息系统操作规
12、范。其次,突出人的因素在内部控制中的重要地位。一方面,内部控制的好坏取决于员工素质的高低。企业必须重视对管理人员的选用,制定严格的招聘程序和良好的用人政策,选用有能力的人执行内部控制制度,确保内部控制制度正常发挥作用。另一方面,确定企业管理者与会计机构会计人员的制约关系,也是保证企业内部控制有效的关键因素。最后,企业必须充分发挥内部审计的作用。内部审计是企业强化内部控制制度的一项基本措施,内部审计不仅包括审核会计账目,还包括稽查、评价内部控制制度及审核企业内部组织机构执行职能的效率,向企业最高管理部门提出报告,从而保证企业内部控制制度更加完善、严密。 3.2 提高企业风险管理水平 风险时刻威胁
13、着企业内部控制的有效性,风险来自于企业内部和外部两个方面,对这些风险企业必须加以评估,风险评估就是分析和辨认实现企业目标可能发生的风险。辨识和分析风险的过程是持续的、反复的过程,也是有效的内部控制的关键组成要素,企业管理层应该十分谨慎地注意各个部门的风险,并且采取必要的风险管理措施。首先,企业在设计会计信息系统程序时应建立预警系统,提供预警功能,系统能够自动检测并生成预警信息,自动通过网络传给相关责任人。其次,信息化会计档案管理的控制。会计档案管理的目标是要做到任何情况下数据都不丢失、不损毁、不泄露。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一
14、种常见的数据控制手段,采用磁性介质保存会计档案要定期进行检查和备份,防止由于磁性介质损坏而使会计档案丢失。 3.3 完善 IT 内部控制措施 企业的控制活动是企业为了保证指令得到实施而制定并执行的控制政策和程序,是针对实现组织目标所涉及的风险而采取的必要的防范或减少损失的措施。在会计信息系统方面需要实施具体的 IT 控制措施,包括 IT 管理类控制措施和 IT 技术类控制措施。会计信息技术的广泛应用增强了控制手段的多样性、灵活性、高效性,加强了内部控制的预防检查与纠正的功能,可以使企业摆脱人员与资源的限制,经济有效地实现内部控制的目标。例如,提高在 IT 环境下数据的加密技术是保护信息通过公共
15、网络传输和防止电子窃听的首选方法。 3.4 加强企业内部的信息和沟通 会计信息系统的主要目的是记录、处理、存储、归纳和交流信息,任何交易必须能够追踪其从发生到终止的过程,所有交易必须在系统中留下审计线索,为内部控制提供保证。一个良好的信息与沟通系统可以使企业管理层及时掌握整个企业营运的状况和组织中发生的事情。在会计信息系统下,数据经过处理生成的内部信息,有助于企业各部门做生产经营决策。首先,所有人员都要了解应该提供哪些信息,在会计信息系统中所处的位置,形成各部门、各管理级次之间的信息沟通及反馈渠道,形成信息控制体系。其次,加强信息化建设,实现内部信息的强制流通,还要建立内部信息报告反馈制度。
16、3.5 加强宏观监督管理控制 整个内部控制的过程必须施以恰当的监督检查,通过监督检查活动在必要时对其加以修正。财政部门和主管部门应针对实施会计信息化的企业制定会计信息系统应用工作指南,对企业会计信息化工作提出指导和建议,使企业具有良好的内部控制。对商品化的会计软件要做好评审工作。对于会计从业人员进行岗前、岗中培训,提高会计人员的自身素质和职业道德修养。建立严格的监督审查机制,对违规操作、弄虚作假、恣意隐瞒的单位给予严肃处理。 注:本文系集美大学诚毅学院大学生创新性实验计划项目“IT 环境下企业会计信息系统的风险管理问题研究”的阶段性成果。 主要参考文献 1企业内部课题研究组.企业内部控制基本规范解读及应用指南M.北京:中国商业出版社,2009. 2李玉周,李佳,柯可. 基于 COBIT 的企业会计信息系统内部控制分析与重建J. 财会通讯,2009(7). 3胡仁昱 .会计信息系统M.北京:清华大学出版社,2008. 4任家华.会计信息系统内部控制的理论框架和发展策略J.中国管理信息化,2010(1). 5闫萍.会计信息化对内部控制的影响及对策研究J.会计师,2009(6). 6房卉. 基于 CMM 模型的会计信息系统内部控制研究D. 太原:山西财经大学,2012.2
