刘雪晶 祁双云

【摘要】 会计信息化使传统的内部控制面临严峻考验，给企业内部控制制度提出了新的挑战。因此，企业必须加强各种会计风险的防范措施，不断改进内部控制系统，建立基于信息化下的内部控制体系，以降低借助会计信息系统舞弊的可能性，保证企业各项业务活动的有效运行，保证企业经营效益和财务资料的可靠性，最终实现经营管理目标。

【关键词】 会计信息化； 内部控制； 体系构建

一、构建会计信息化环境下企业内部控制体系的背景

会计信息化使企业实现了远程账务处理、在线财务管理与事中动态会计核算、电子单据与电子货币，但同时增加了安全风险：数据被滥用、信息被恶意篡改、遭受非法访问甚至黑客或病毒的侵扰造成会计信息系统瘫痪等。据2010年全国信息网络安全调查显示，有超过70%的用户遭受网络安全风险，其中来自外部的攻击有49.4%，内外攻击的占25.5%，内部攻击占7.6%，不清楚的占17.6%。

造成以上问题的主要原因是传统的内部控制制度不能适应会计信息化条件下企业内部控制的新要求。我国财政部2009年7月1日颁布的《企业内部控制——基本规范》第四十一条明确规定：为确保会计信息系统安全稳定运行，企业应当加强对会计系统开发与维护、数据输入与输出、访问与变更、文件储存与保管、网络安全等方面的控制；2010年4月26日，财政部联合其他部委发布了《企业内部控制配套指引》，对在会计信息化背景下，企业内部控制如何实施，信息技术究竟带给内部控制怎样的影响，给出了具体指引。这些都表明我国已经开始重视该领域。因此，在企业信息化中，构建内部控制体系，加强会计信息系统的风险控制是企业信息化安全实施的保障。

二、会计信息化环境下企业风险的类型

（一）决策风险

决策风险是指企业财务软件的选择失误而造成系统实施失败的风险。其引发原因主要是企业决策层不明确企业的信息化目标，缺乏评估软件实用性的经验，没有能够结合企业实际状况选择适合本企业需要的财务信息化解决方案，特别是部分企业管理者，在选择软件时盲目跟风，致使所选购的软件质量存在缺陷，软件功能不适合企业的实际需求，从而使信息系统实施出现问题。

（二）环境风险

环境风险包括外部环境风险与内部环境风险。外部环境风险包括：企业信息化项目是否符合现行的法律法规、企业社会环境可能发生的变化、企业选用或开发的软件没有行业竞争力、企业具有竞争力产品发生变动的可能性。内部环境风险包括：企业文化对实施信息化的阻碍、企业财务对企业会计信息化的投入比例过小、企业组织形式适应信息化建设的程度不够、企业门户网站建设的水平达不到要求、企业内部各部门之间的信息沟通不顺畅等。

（三）信息安全风险

信息安全风险是指会计信息化实施中，由于财务软件开发未经过严密的可靠性测试，使隐含问题的数据结构、程序结构在系统运行中被触发或各种舞弊导致损失的可能性。信息安全风险主要包括：一是数据记录风险，二是数据维护风险，三是信息报告风险。企业信息化安全风险主要来自于技术因素和管理因素，如：网络系统本身具有的脆弱性、软件系统内部缺陷、组织内部没有建立信息安全管理制度、无控制标准与安全防范标准、使用人员缺乏相应的操作规范等。

（四）业务风险

企业会计信息化的实施过程是一个业务流程的再造过程。流程再造使得业务流程中的交易方式可能发生变化。业务风险包括：企业实施信息化业务流程重组的程度、企业业务管理信息化应用的程度、企业信息采集信息化手段覆盖率、企业网络营销应用的程度等。

（五）资产保护风险

资产保护风险是指企业资产损毁、流失、被盗等导致损失的可能性。会计信息化下，除了传统意义上的资产所包括的存货、设备、现金以外，会计信息化过程中的资产还包括信息系统、各种数据资源以及有关的文档与记录等。

三、企业内部控制体系的构建目标

《基本规范》把内部控制目标定义为保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。这些目标体系是一个完整不可分割的整体，但是就其在整个体系中的地位和作用来说，也是有差异的。结合企业管理的战略，内部控制目标具体还可以细化为以下几个目标：

（一）战略目标

战略目标是整个体系中的最高目标，其他目标都应与战略目标协调一致，都为战略目标服务。在公司高层制定总体战略目标时，要根据外部环境和内部机构的变化不断调整战略目标，确保战略目标在企业风险可控制范围之内；同时要将战略目标细化为具体经营目标，确保具体经营目标的实现；实现针对目标的资源分配，使得组织、人员、流程与基础结构相协调，促进战略目标的实施；建立可计量的基准，实现有效的绩效考核。

（二）经营目标

经营目标决定了企业营运效率和效果，在企业内部控制目标体系中发挥主导作用并占有重要的支配地位。良好的内部控制体系可以优化经营效率和效果，具体如下：可以精简组织、明确责权划分，协调各部门之间、工作环节之间的关系，充分发挥资源潜力并提高经营绩效；可以建立良好的信息和沟通体系，使得各种经济管理信息在企业内部进行有效的流动，提高企业各个层次的反应速度；可以建立有效的内部考核机制，并将考核结果实施到奖惩机制中去，实现企业对部门和员工的激励目标，提高工作效率和效果。

（三）报告目标

它是内部控制的基础目标，要求企业提供真实、可靠的财务报告及其他信息。报告目标更多的基于企业外部的需求，对于外部经营者来说，企业真实可靠的财务报告能够公允地反映企业的财务状况和经营成果，而真实可靠的财务报告是企业管理层人员对于企业内部控制的承诺，也是内部控制成果的展示。要取得真实可靠的财务报告，除了净化外部环境外，还要加强监督、完善内部审计制度、提高内部审计部门的独立性、发挥内部审计的功能。在这个过程中，会计人员要保证所有交易和事项都能够在恰当的会计期间内及时地记录于适当的账户；保证会计报表的编制符合会计准则和会计制度的规定；保证账面资产与实存资产的定期符合一致；保证所有会计记录都经过了必要的复核手续，并确定有关记录正确无误。

（四）合规目标

合规目标要求内部控制要确保企业遵循国家有关法律法规的规定，不得违法经营。在内部控制的体系中，合规目标的实现能够为企业的生存发展创造良好的客观环境，是实现其他目标的保证。

（五）资产安全目标

保护资产的安全虽然没有在COSO框架中被列为主要目标，但是一直是企业内部会计控制的一个主要目标，而且在我国这个产权多元化的国家，把保护资产安全列为内部控制的目标是具有现实意义的。为了实现保护资产的目标，资产的记录和保管一定要分工清晰；任何资产的流入和流出必须有详细的记载；要建立和完善资产管理制度，明确职责，做好相关记录；需要对资产进行定期和不定期的盘点，确保账实一致。

四、内部控制体系的内容

借鉴COSO的框架，控制体系的构建包括5大方面的内容：内部环境、风险评估、控制活动、信息与沟通、内部监督。按照这五方面的内容建立内部控制体系。

（一）内部环境体系

内部环境的要素可以归纳为6个方面，即公司治理结构、内部机构设置与职责分工、内部报告、人力资源、企业文化和法制环境。同时，企业应该指定适当的机构或成立专门机构，具体负责组织、协调内部控制的建立、实施及日常工作。

控制环境处于内部控制五大要素的首位，主要包括：治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化、经营管理的观念及方式和风格、董事会、外部影响等。

1.宏观上加强法规建设和监督力度。尽管我国已经出台了《内部控制——基本规范》，但是仍然存在一些争议和缺陷，并且缺少实践对于该法规的检验，因此可能存在很多的漏洞需要完善。

2.微观上完善公司治理结构。公司治理结构是内部治理结构，即法人治理结构，是根据权力结构、决策结构、执行机构和监督机构相互独立、权责分明、相互制衡的原则实现对公司的治理。良好的公司治理是内部控制得以顺利运行的条件，能够保证内部控制系统发挥作用，提高企业的经营效率。

3.加强内部审计的作用。随着《萨班斯—奥克斯利法案》（Sarbanes-Oxley Act of 2002，SOX）的颁布，内部控制的重要性得到强调。

4.有针对性地改变人力资源政策，强化员工的重要性。在人力资源政策中，要注意以下几个方面的监控：在招聘环节要严格审查应聘人员的专业技术素质、加强对在职员工的约束和激励、通过晋升和奖惩激励员工提高员工的工作积极性等。总之，人力资源政策的适当执行将会加强企业应对风险的能力，增强员工对于内部控制制度的执行力度，强化内部控制的作用。

5.加强企业文化建设。企业文化的建设将会增强公司的凝聚力，增强员工的责任感和使命感，进而影响员工的工作态度、价值观念，提高员工的诚信水平和职业道德水平，这些都将直接或者间接地增强企业内部控制能力。

6.完善组织结构控制。会计信息化导致的组织扁平化在一定程度上会影响企业内部控制的效果，并且扁平化的组织结构有其固有的缺陷和不足，因此企业要选择适合企业自身的组织结构，只有适合的才是最好的。

（二）风险评估

风险评估是指企业要根据设定的控制目标，结合实际情况，全面、系统、持续地收集相关信息，及时进行风险评估。风险评估的要素可以归纳为4个方面，即确定风险承受度、识别风险（包括内部和外部风险）、风险分析和风险应对。

1.选择适合企业的风险识别机制。风险识别机制的建立将有力地解决会计信息化关于风险发生原因、影响因素及其风险识别方案方面的问题。风险识别要注意引起风险的因素来自内部还是外部，然后选择相对应的解决方案。

2.建立企业自身的风险成本分析体系。在风险识别的基础上，按照一些固有的指标对风险进行定性和定量的分析，以确定企业需要优先关注和防范的风险。在分析完毕之后，建立一个完善的风险成本分析体系，依照成本分析体系的分析结果来确定采用何种应对策略。具体而言，在会计信息化环境下，企业要预防两方面的风险，即会计信息系统的风险和人为的风险。

（三）控制活动

会计信息化条件下，传统的内部控制活动已经不能适应内部控制的需要。控制活动可以概括为以下7个方面：会计系统控制、授权审批控制、不相容职务分离控制、预算控制、财产保护控制、运营分析控制和绩效考评控制。同时企业应该建立重大风险预警机制以及突发事件应急处理机制，对可能发生的重大风险或突发事件，制定应急预案、规范处理程序、明确责任人员，确保突发事件得到及时妥善的处理。

（四）信息与沟通

主要围绕内部和外部信息的收集、信息在内部和外部相关者间的传递、信息技术平台、反舞弊机制、举报投诉制度和举报人保护制度等方面展开。

针对会计信息化条件下会计信息查询的便利以及组织扁平化可能引起的会计沟通问题，可以从以下几方面加强内控：第一，企业的内部应该协调一致，坚决杜绝部门分离、各自为政的现象出现，这也要求管理层对会计信息要高度重视，并给予相关支持；第二，与会计核算相关的信息要及时输入会计信息系统，使会计信息系统操作人员能够及时快捷地完成对数据的处理，提高数据处理效率；第三，要建立针对会计信息系统内外结合的反舞弊机制，建立会计信息责任制度。

（五）内部监督的类型与方式、内部自我评价和缺陷认定机制、内控记录制度等都在基本规范中有规定

1.加强网站审计和社会审计力度。作为会计信息化发展最早最快的国家，美国于1997年底由AICPA和CICA从三个方面（商业实务揭露、信息保护、交易完整）发布了网站审计所遵循的规范，目的是确保内审人员能够发表合理的审计意见。而目前我国急需解决的问题是如何在网站审计相对落后的情况下建立符合我国国情的网站审计规范，完善会计信息化条件下监督管理机制。在进行社会审计时，可以借鉴一些先进国家的方法，要求注册会计师审计企业出具的内部控制报告，并出具规范的审计报告，这样不仅能够增强企业管理者和注册会计师的责任感，也可以加强公司治理，降低运营风险，很好地保护中小投资者的利益。

2.加强审计法规建设，提高审计技能。现有的法律法规相对会计信息化来说呈现滞后性；同时，审计人员的知识储备不足，审计技能准备不足，这些都导致注册会计师在对会计信息系统进行审计时可能会利用法规的漏洞，严重威胁审计结果的可信性。

【参考文献】

［1］ 财政部等五部委.企业内部控制配套指引［S］.2010.

［2］ 宋建波.企业内部控制［M］.北京：中国人民大学出版社，2004：75.

［3］ 王立彦，张继东.企业内部控制［M］.北京：机械工业出版社，2007.

［4］ 陈吉东，余家健.会计信息化环境下内部控制成本研究［J］.财会通讯·学术版，2010（2）：159.

［5］ 池国华.内部控制学［M］.北京大学出版社，2010.