重庆理工大学 毛华扬 卫亚杰

一、内部控制与会计信息化

内部控制是一种管理体系，是企业进行有效管理的重要手段，具有权威性的COSO报告对内部控制的定义是：内部控制是企业董事会、经理阶层和其他员工实施的，为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。其构成要素应该来源于管理阶层经营企业的方式、并与管理的过程相结合。为了实现内部控制的有效性，需要控制环境、风险评估、控制活动、信息和沟通、监督五个要素的支持。

会计信息化就是利用现代信息技术(计算机、网络和通讯等)对传统会计模式进行重构，并在重构的现代会计模式上通过深化开发和广泛利用会计信息资源，建立技术与会计高度融合的、开放的现代会计信息系统，以提高会计信息在优化资源配置中的有用性，促进经济发展和社会进步的过程。

会计信息化从1979年开始在我国推行以来到现在已有30多年之久，如今已在我国得到了广泛应用，会计信息化过程势必会影响企业的业务流程，给企业内部控制带来新的问题。因此，进一步完善会计信息化环境下的内部控制势在必行。

二、会计信息化对内部控制的影响

会计信息化环境下内部控制呈现出了新的特点：一是控制方式双重性。内部控制方式由原来的制度控制转变为制度控制和程序软件的双重控制；二是控制范围扩大，控制程序更加复杂。会计信息系统建立和运行的复杂性，给会计工作增加了新的工作内容，如系统权限控制、口令管理程序控制、修改程序控制及网络系统安全控制等；三是控制重点发生转移。会计电算化实现后，数据的处理、存储集中于系统职能部门，会计信息的处理由手工方式转为计算机处理方式，因此，内部控制的重点转移为以职能部门和计算机数据处理部门控制。

会计信息化对内部控制的影响是毋庸置疑的，要实现会计信息化环境下内部控制的有效性，需要从构成内部控制过程的控制环境、风险评估、控制活动、信息与沟通和监督五要素全面地分析会计信息化新环境对内部控制的影响。

控制环境更加复杂。控制环境是指职员履行其控制职责、开展业务活动所处的环境，包括职员的品性（如操守、价值观和胜任能力）和经营环境，它是推动企业发展的动力。信息技术的广泛应用，使得企业组织结构趋向扁平化成为可能。组织结构扁平化也存在不足，它降低了企业的集权性和规范性，削弱组织的稳定性等。会计人员结构变为由会计人员和计算机操作员、网络系统维护员等组成。这些都增加了企业管理的复杂性。

风险评估难度加大。风险评估是指对影响作业目标实现的相关风险的辨认和分析。会计信息化过程中，企业原有的业务流程发生了很大改变，会计信息系统在组织内的范围和重要性日益增加，信息成为重要资源。会计信息化下业务记录和授权环节存在安全隐患，信息系统本身也存在不安全因素。风险评估除了包括传统的评估对象外，还要对信息系统的可靠性和安全性进行评估，这些工作还需要不同专业背景的人员协作才能完成，并且对信息系统风险很难进行定量分析，这增加了风险评估的难度和复杂度。

控制活动存在缺陷。控制活动是指企业制定并予以执行的程序，以帮助确保其用于处理影响目标实现的风险管理人员指令得到落实。会计系统信息化后功能集中，导致职责分离执行不力，不能很好地避免执行人员串通舞弊现象，使越权操纵成为可能。

信息沟通不畅。信息与沟通是指以一定形式和时间结构辨认、获得的，为企业员工在执行、管理和控制作业过程所需的信息，以及信息的交换和传递。据统计，会计信息系统应用中存在的最大问题就是“信息孤岛”问题。当前国内财务软件众多，且自成体系，不同的会计信息系统间缺乏兼容性，很难在不同的系统上实现数据共享，系统内部衔接性也比较差。

内部监督不完善。监督是指评估内部控制运作质量的过程，包括持续监控和个别评估。企业内部监督包括内部稽核、内部审计、授权审批控制、财产保全控制等多方面的内容，会计信息化的实现也要求内部监督更加全面和完善，如定期稽核会计信息、审核账务处理的合法合规性、监督企业内部授权审批制度和财产保全控制的执行情况等，但会计信息化下企业内部控制很少考虑审计工作的需要，财务软件缺乏必要的审计接口，很难为企业内外部审计保留和提供充分的审计线索，影响了会计信息化系统内部控制发挥应有的作用，加大了稽核与审计的难度。

三、会计信息化环境下内部控制完善对策

COSO报告认为内部控制系统包括五个组成要素：控制环境、风险评估，控制活动、信息与沟通、监控。其中风险评估和信息与沟通是传统内控理论所没有的，对控制环境的重要性的强调也是前所未有的。在前面分析了会计信息化环境下内部控制在这五方面存在的问题的基础上提出以下对策。

第一，完善内部控制环境。控制环境包括组织实行内部控制的各种影响因素，其中包括员工的充实和职业道德、人员胜任能力、管理哲学和经营作风、董事会及审计委员会、组织机构、职权划分、人力资源政策及执行。

加强企业的组织控制。信息技术的引入使企业的组织结构逐渐趋于扁平，因此，必须进行组织结构调整才能更好地进行内部控制。企业应通过组织结构调整，建立恰当的组织机构和职责分工制度，并通过部门设置、人员分工、岗位职责的制定、权限的划分等形式进行控制，从而达到相互牵制、相互制约、防止或减少舞弊发生的目的。应设立会计岗位和系统管理岗位，岗位的设置应遵循不相容职务分离的原则，使不同岗位之间相互监督，相互制约，以达到控制的目的。

关注员工的培养和教育，创造内部控制良好氛围。内部控制是受人的因素影响，重视人才的选择和培养，是内部控制建设中的重要内容。首先应加强员工的诚实守信和电算化培训教育，树立良好的职业道德，提高业务素质；其次，培养管理人员的内部控制观念和信息观念。随着会计信息技术的引入，管理人员必须理解信息化建设、内部控制和企业发展的关系，有效实施内部控制制度；再次加强内部考核力度，以此促使会计人员对内部控制的执行。

第二，进行全面的风险评估和风险分析。由前面的分析可以看出，会计信息化后，由于会计信息系统自身的特点，增加了会计工作的风险，要保证会计信息系统的有效运行，就要进行全面的风险评估和风险分析。

风险评估方法和工具。风险评估可以采用传统的风险评估方法，也可以采用基于神经网络和专家系统的评估方法或者运用层次分析方法进行风险评估。通过这些方法可以获得影响会计信息系统安全的各种攻击方式的权重，了解到影响系统安全的各个因素,针对各种攻击方式的权重有针对性地拟定相应的防护措施,从而达到有效地维护系统安全的目的。信息系统将接受评估工具的检测和调查,评估工具的好坏直接影响到评估的效果，要选择比较好的评估工具。被评估的对象包括网络架构、应用系统、运行与安全管理、人员、安全策略等，评估的结果将反映信息系统在各个方面的威胁和脆弱性。

评估信息智能化处理阶段。需要对评估工具所得出的原始评估数据进行深入挖掘,一方面,这些数据复杂、多样,而且会不断增加,因此需要按照统一的标准进行管理；另一方面,这些数据内在的联系需要通过数据挖掘进行归纳分析和综合分析。

第三，完善控制活动。针对风险评估的结果，制定相应的控制活动，包括管理类控制措施，如安全管理、职责分离、授权审批、信息化会计档案管理等，以及系统类管理措施，如数据备份、数据加密、权限管理、防病毒等。

建立必要的内部控制和管理制度。禁止非电脑人员操作财务专用电脑、设置操作权限控制、操作人员身份的密码控制等，防止内部会计人员的恶意行为及工作人员的无意行为造成的会计信息的不安全性，从源头上阻止系统安全问题的发生。

第四，加强信息沟通。一是建立相应的信息和沟通机制。企业领导层的政策方针要及时下达给企业员工，同时企业员工要将发现的问题及时反馈给上级部门。会计信息系统主要是记录、处理、存储、归纳和交流信息，所有交易必须在系统中留下审计线索，为内部控制提供保证。二是建立会计核算软件数据接口标准，解决“信息孤岛”问题。只要符合会计数据接口标准，实现会计信息化的单位就很容易将历年会计数据导出，建立数据仓库。这不仅可以使不同的会计信息系统间具有兼容性，有利于企业财务数据的集中管理，实现数据共享，而且有利于降低政府和行业主管部门监管成本、提高监管质量。

第五，加强企业内部监督。对内部控制实施过程必须进行恰当的监督检查，其中内部审计是监督检查最常用的方法。在会计信息化环境下，由于是“人机”对话的特殊形态,因而对内部审计提出了更高、更严格的要求。内部审计除了传统环境下审计的范围外，还必须包括以下几个方面：检查对信息化环境下制定的各项控制制度是否做到有效执行；对会计资料进行审计，检查会计信息化系统账务处理是否正确；监督数据保存方式的安全、合法性，防止发生非法修改历史数据的现象；对信息系统进行全面的、系统的、独立的检测，防止存在漏洞，确保系统安全运行。

［1］谭志刚：《企业信息化环境下内部控制的思考》，《财会通讯》2004年第2期。