摘要:會計信息系統(tǒng)的推廣,使得會計核算的準確性、可靠性和數(shù)據(jù)處理效率得到了極大的提高,但也為企業(yè)的內(nèi)部控制帶來了許多新問題。文章基于《企業(yè)內(nèi)部控制基本規(guī)范》,借鑒COSO報告五要素框架理論,分析探討了影響內(nèi)部會計控制制度的控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控等5個要素,并提出了與之相對應的完善會計信息系統(tǒng)內(nèi)部控制制度的建議,以期對企業(yè)有一定的借鑒意義。
關鍵詞:企業(yè)內(nèi)部控制基本規(guī)范;內(nèi)部控制;會計信息系統(tǒng)
2008年6月28日,財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了我國首部《企業(yè)內(nèi)部控制基本規(guī)范》(以下簡稱基本規(guī)范)。基本規(guī)范自2010年1月1日起首先在上市公司范圍內(nèi)實施,鼓勵非上市的其他大中型企業(yè)執(zhí)行。這意味著中國企業(yè)內(nèi)部控制規(guī)范體系建設正在向國際標準靠攏。
這套適用于中國企業(yè)的內(nèi)部控制體系,其基本規(guī)范借鑒了COSO(The Committee of Sponsoring Organization)報告五要素框架和風險管理八要素框架;具體范圍以財務報告內(nèi)部控制為主線,對與企業(yè)財務報表項目相關的、可能會對財務報告真實可靠性產(chǎn)生較大影響的經(jīng)濟業(yè)務事項以及與財務報表編報相關的業(yè)務活動提出具體的控制規(guī)范,并對為實現(xiàn)有效的財務報告內(nèi)部控制的事前、事中和事后制度支持提出控制要求。本文從IT內(nèi)部控制與IT風險管理的角度,闡述企業(yè)IT控制與會計信息系統(tǒng)內(nèi)部控制之間的關系。
一、會計信息系統(tǒng)內(nèi)部控制制度包含的五要素框架
美國COSO發(fā)布了關于內(nèi)部控制的概念界定和評價內(nèi)部控制系統(tǒng)的指導性框架的報告,這一報告被國際社會公認為可接受的內(nèi)部控制的權威性報告,對我國會計信息系統(tǒng)的內(nèi)部控制制度的建立具有重要的參考價值。COSO報告認為內(nèi)部控制系統(tǒng)包括5個組成要素:控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。相應,會計信息系統(tǒng)內(nèi)部控制框架也對應于企業(yè)內(nèi)部控制的五要素框架。因此,對會計信息系統(tǒng)內(nèi)部控制制度的探討也應從這5個方面進行。
(一)內(nèi)部環(huán)境
內(nèi)部環(huán)境是影響、制約企業(yè)內(nèi)部控制建立與執(zhí)行的各種內(nèi)部因素的總稱,是實施內(nèi)部控制的基礎。內(nèi)部環(huán)境在企業(yè)IT領域的體現(xiàn)是IT的內(nèi)部控制環(huán)境,主要包括IT治理架構、IT組織與職責,IT決策機制,IT合規(guī)與IT審計等。在IT環(huán)境下,因為企業(yè)內(nèi)部管理結(jié)構扁平化,使得內(nèi)部控制的組織結(jié)構發(fā)生改變。這要求內(nèi)部控制的方式與管理手段隨之改變。IT經(jīng)濟引導著企業(yè)組織從機械式向有機式并最終向虛擬組織發(fā)展演變,要求企業(yè)的領導階層學會在一個流動和動態(tài)的環(huán)境中發(fā)現(xiàn)內(nèi)聚力和構造組織,既要有創(chuàng)新和發(fā)展,又能在不斷磨合中加強內(nèi)部控制和向心力。IT改變企業(yè)的架構、企業(yè)文化,并影響各成員控制意識,這要求管理層樹立信息意識,更新控制觀念。
(二)風險評估
風險評估是及時識別、科學分析和評價影響企業(yè)內(nèi)部控制目標實現(xiàn)的各種不確定因素并采取應對策略的過程,是實施內(nèi)部控制的重要環(huán)節(jié),也是COSO內(nèi)部控制整體框架的獨特之處。IT手段的不斷應用,給企業(yè)帶來競爭優(yōu)勢的同時也帶來了風險,在IT環(huán)境下,雖然企業(yè)的整體目標沒有改變,但是經(jīng)濟、產(chǎn)業(yè)及管理的外部環(huán)境與內(nèi)部因素都發(fā)生了變化。伴隨業(yè)務流程的改變,系統(tǒng)的開發(fā)性、信息的分散性、數(shù)據(jù)的共享性,使系統(tǒng)從以往封閉集中狀態(tài)走向開放,給會計信息系統(tǒng)帶來了風險。這些風險構成了內(nèi)部控制的新內(nèi)容,擴大了會計信息系統(tǒng)內(nèi)部控制的范圍,必須有效利用IT作為控制風險的工具。應樹立信息意識,更新控制觀念,改變思維定式,有效利用IT為企業(yè)服務。把IT作為防范風險的工具,與業(yè)務活動有效結(jié)合起來,建立一個控制良好的電子數(shù)據(jù)處理系統(tǒng),保證企業(yè)業(yè)務處理活動嚴格按商業(yè)規(guī)則進行。
(三)控制措施
控制措施是根據(jù)風險評估結(jié)果、結(jié)合風險應對策略所采取的確保企業(yè)內(nèi)部控制目標得以實現(xiàn)的方法與手段,是實施內(nèi)部控制的具體方式,主要包括職責分工控制、授權控制、績效評估控制、財產(chǎn)保護控制、會計系統(tǒng)控制、內(nèi)部報告控制、信息技術控制等。IT的廣泛應用,增強了控制手段的靈活性、高效性,加強了內(nèi)部控制的預防、檢查與糾正的功能,經(jīng)濟有效地實現(xiàn)內(nèi)部控制的目標。IT環(huán)境下的會計信息系統(tǒng)控制的重點由對人的控制為主轉(zhuǎn)變?yōu)閷θ恕C共同控制為主,控制程序與計算機處理相協(xié)調(diào)適應。隨著計算機使用范圍的擴大,利用計算機進行貪污、舞弊、詐騙等犯罪活動有所增加。因此,也增加了IT環(huán)境下內(nèi)部控制的難度與復雜性。
(四)信息與溝通
信息與溝通是及時、準確、完整地收集與企業(yè)經(jīng)營管理相關的各種信息,并使這些信息以適當?shù)姆绞皆谄髽I(yè)有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內(nèi)部控制的重要條件。IT銜接企業(yè)各職能部門實現(xiàn)了會計和業(yè)務的一體化處理,會計核算從事后的靜態(tài)核算轉(zhuǎn)變?yōu)槭轮械膭討B(tài)控制,信息需求者可以獲取實時信息,使得工作在空間和時間上的接近不再是至關重要的問題。內(nèi)部控制由順序化向并行化發(fā)展,企業(yè)的設計、制造、銷售、會計等人員并肩工作,共同控制企業(yè)的物流、資金流和信息流。
(五)監(jiān)督檢查
監(jiān)督檢查是企業(yè)對其內(nèi)部控制的健全性、合理性和有效性進行監(jiān)督檢查與評估,形成書面報告并做出相應處理的過程,是實施內(nèi)部控制的重要保證。在IT環(huán)境下,一些內(nèi)部控制被計算機程序化并嵌入在計算機應用系統(tǒng)內(nèi),因此內(nèi)部控制具有人工控制與程序控制相結(jié)合的特點。這些程序化的內(nèi)部控制的有效性取決于應用程序,如果程序發(fā)生差錯或計算機感染病毒,由于人們對計算機系統(tǒng)的依賴性、麻痹大意及程序運行的重復性,使得失效控制長期不被發(fā)現(xiàn),甚至導致系統(tǒng)在特定方面發(fā)生錯誤或違規(guī)行為的可能性較大。所以,在IT環(huán)境下,注意對內(nèi)部控制的監(jiān)督,由適當?shù)娜藛T,在適當?shù)臅r候,及時評估控制的設計和運作情況。
二、建立健全會計信息系統(tǒng)內(nèi)部控制制度的建議
鑒于會計信息系統(tǒng)的特點,借助COSO框架,建立會計信息系統(tǒng)內(nèi)部控制制度應考慮如下因素:
(一)完善企業(yè)內(nèi)部控制環(huán)境
1、組織結(jié)構調(diào)整。信息技術的引入使管理幅度增大、層次減少,高聳型的組織結(jié)構逐漸趨于扁平。同時,網(wǎng)絡使內(nèi)、外部人員進行更多的溝通,內(nèi)部控制由命令與控制向集中與協(xié)調(diào)轉(zhuǎn)變。因此,必須進行組織結(jié)構調(diào)整才能更好地進行內(nèi)部控制。企業(yè)應通過組織結(jié)構調(diào)整、建立恰當?shù)慕M織機構和職責分工制度,并通過部門設置、人員分工、崗位職責的制定、權限的劃分等形式進行控制,從而達到相互牽制、相互制約、防止或減少舞弊發(fā)生的目的。應設立會計崗位和系統(tǒng)管理崗位。會計崗位負責基本的核算及檔案管理等工作;系統(tǒng)管理崗位負責會計信息系統(tǒng)的操作、管理、維護等工作。崗位的設置應遵循不相容職務分離的原則,使不同崗位之間相互監(jiān)督,相互制約,以達到控制的目的。
2、培養(yǎng)管理人員的內(nèi)部控制觀念和信息觀念。管理者的觀念在很大程度上決定了企業(yè)的內(nèi)部控制制度能否順利實施,也大大影響著內(nèi)部控制的效率和效果。在會計信息化條件下,應該注重培養(yǎng)管理人員的內(nèi)控觀念和信息觀念,理解企業(yè)信息化建設、內(nèi)部控制和企業(yè)發(fā)展的關系。隨著企業(yè)流程重組和組織結(jié)構變革,管理人員必須更新觀念,有效實施內(nèi)部控制制度,注重管理實效,對企業(yè)進行現(xiàn)代化管理。
3、加強董事會的建設,發(fā)揮董事會的作用和職能。企業(yè)應當以董事會作為內(nèi)部控制系統(tǒng)的核心,加強董事會建設,發(fā)揮董事會的作用和職能,完全履行其監(jiān)控、引導和監(jiān)督的責任,消除內(nèi)部人控制現(xiàn)象,完善內(nèi)部控制環(huán)境,保證內(nèi)部控制的有效運行。
(二)正確地進行風險評估和風險分析
會計信息化后,由于會計信息系統(tǒng)自身的特點,增加了會計工作的風險。主要包括:第一,開發(fā)和設計中存在的風險。由于系統(tǒng)研發(fā)人員對會計工作的不了解或者考慮問題不全面,致使實際工作中的情況不能與系統(tǒng)相吻合,容易出現(xiàn)差錯,從而導致的風險。第二,操作不規(guī)范和玩忽職守造成的風險。第三,計算機維護不當造成的風險。會計信息都儲存在磁介質(zhì)中,如果計算機維護不當,容易使會計信息丟失或被刪改。第四,不可控制的風險。如突然斷電、自然災害、病毒攻擊、黑客侵入等。這些都是會計信息化所帶來的風險。管理者必須對這些風險進行正確的評估和分析,才能防患于未然,有效地進行內(nèi)部控制。
1、系統(tǒng)操作控制。由于操作系統(tǒng)的用戶較多,加上自身的缺陷,系統(tǒng)面臨著來自各方面的潛在威脅。因此,必須對系統(tǒng)操作進行嚴格的控制。首先,要明確規(guī)定每個用戶的安全級別和身份標識,并分別定義具體的訪問對象。每個崗位的人員只能按照所授予的權限對系統(tǒng)進行操作,不能越權使用。其次,要對進出機房的人員進行登記,對運行系統(tǒng)的事件類型、用戶身份、操作時間、系統(tǒng)參數(shù)和狀態(tài)以及系統(tǒng)敏感資源進行實時監(jiān)視和記錄,并對日志文件定期進行安全檢查和評估。由于企業(yè)實行會計信息化后內(nèi)部控制重點的轉(zhuǎn)變,企業(yè)必須對會計數(shù)據(jù)的輸入、輸出和處理過程進行嚴格的控制。在會計核算軟件中,對輸入過程的控制,首先是授權控制,輸入的數(shù)據(jù)必須經(jīng)過授權,沒有經(jīng)過授權的輸入應當是無效的。其次要保證輸入數(shù)據(jù)的正確性,通過各種手段對輸入過程進行控制。一般的軟件在研發(fā)時就對相應數(shù)據(jù)的輸入格式和類型進行了規(guī)定,但是為了保證數(shù)據(jù)的正確性,需要采用重復輸入校驗的手段進行控制,可以是同一人多次輸入,也可以是不同的人各自輸入進行校驗。輸出控制的目的是保證結(jié)果的完整性和正確性。輸出的數(shù)據(jù)同樣也應有授權,如對用戶進行訪問范圍控制等,并對發(fā)送對象已經(jīng)發(fā)送的數(shù)量有明確的規(guī)定和記錄。對于數(shù)據(jù)在傳輸過程中的控制可以采用順序編碼的方式,并對數(shù)據(jù)發(fā)送和接收的時間進行記錄,便于日后查詢。
2、系統(tǒng)維護控制。系統(tǒng)的維護是指日常為保障系統(tǒng)正常運行而對系統(tǒng)硬軟件進行的安裝、修正、更新、擴展、備份等方面的工作,包括硬件維護和軟件維護。硬件維護主要包括定期進行檢查并做好記錄;在系統(tǒng)運行過程中出現(xiàn)硬件故障要及時進行故障分析并做好記錄。而軟件維護包括正確性維護、適應性維護和完善性維護。在軟件修改、升級和硬件更換過程中,要保證實際會計數(shù)據(jù)的連續(xù)和安全,并由有關人員進行監(jiān)督。
3、信息化會計檔案管理的控制。會計檔案管理的目標是要做到任何情況下數(shù)據(jù)都不丟失、不損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數(shù)據(jù)的恢復與重建等,而數(shù)據(jù)的備份則是數(shù)據(jù)恢復與重建的基礎,是一種常見的數(shù)據(jù)控制手段,采用磁性介質(zhì)保存會計檔案要定期進行檢查和定期復制,防止由于磁性介質(zhì)損壞而使會計檔案丟失。網(wǎng)絡中利用兩個服務器進行雙機鏡像映射備份是備份的先進形式。
(三)完善IT控制措施
針對風險評估的結(jié)果,在會計信息系統(tǒng)方面需要實施具體的IT控制措施,包括IT管理類控制措施,如開發(fā)管理、項目管理、變更管理、安全管理、運營管理、職責分離,授權審批等,以及IT技術類控制措施,如數(shù)據(jù)加密、訪問控制、數(shù)字簽名、隧道(VPN)、防病毒、入侵檢測、身份管理、權限管理等。下面將以網(wǎng)絡會計信息系統(tǒng)中較為先進的數(shù)據(jù)加密技術和數(shù)字簽名技術為例進行介紹。
數(shù)據(jù)加密技術是保護信息通過公共網(wǎng)絡傳輸和防止電子竊聽的首選方法。現(xiàn)代加密技術分為對稱加密(專用密鑰,private key)和非對稱加密(公開密鑰,public key)兩大類。對稱加密法是最傳統(tǒng)的方式,其特點是關聯(lián)雙方共享一把專用密鑰進行加密和解密運算,專用密鑰法面臨的最大難題是密鑰網(wǎng)上分發(fā)的安全性問題。非對稱加密法1976年問世,它將密鑰一分為二,即一把公鑰和一把私鑰,具有加密鑰不同于解密鑰、并且在計算上不能由加密鑰推出解密鑰的特點,有效解決了密鑰分發(fā)的管理問題,特別適合計算機網(wǎng)絡的應用環(huán)境。譬如總公司對下屬企業(yè)公開其“密鑰對”中的公鑰,下屬企業(yè)可以用公鑰對上報的報表信息加密,安全地傳送給總公司,然后由總公司用其保留的私鑰進行解密。
數(shù)字簽名是指在Internet環(huán)境下,電子符號代替了會計數(shù)據(jù),磁介質(zhì)代替了紙介質(zhì),財務數(shù)據(jù)流動過程中的簽字蓋章等傳統(tǒng)手段將完全改變,為驗證對方身份、保證數(shù)據(jù)真實性和完整性,在計算機通信中采用數(shù)字簽名這一安全控制手段。基于數(shù)字簽名還可建立不可否認機制,也就是說,只要用戶或應用程序已執(zhí)行某一動作,就不能否認其行動。數(shù)字簽名是上述公開密鑰密碼技術的另一類應用。它的主要方式如:會計信息的披露方從信息文本中通過一種信息摘要算法產(chǎn)生一固定長度(如128位)的摘要值,用自己的私鑰對摘要值加密,來形成披露方的數(shù)字簽名,連同原文一起發(fā)出;關聯(lián)方首先用同樣的摘要算法對報文計算摘要值,接著再用披露方一同發(fā)來的公鑰對數(shù)字簽名解密,如果兩個摘要值相同,證明信息在發(fā)送途中未被篡改,而且報文確定來自所稱的披露方。財務系統(tǒng)中遠程處理時可用數(shù)字簽名技術代替簽字蓋章的傳統(tǒng)確認手段,當然這得是在國家有相應的財務制度許可的條件下。
(四)建立信息與溝通機制
企業(yè)建立健全了規(guī)章制度和業(yè)務流程之后,如何貫徹落實?這就需要企業(yè)有相應的信息和溝通機制,它是整個內(nèi)部控制系統(tǒng)的生命線,為管理層監(jiān)督各項活動和在必要時采取糾正措施提供了保證,包括信息發(fā)布渠道和反饋機制。如:企業(yè)領導層的政策方針要通過信息發(fā)布渠道下達給企業(yè)員工,這是一個是自上而下逐步灌輸?shù)倪^程。還要有一個自下而上的反饋機制,企業(yè)員工發(fā)現(xiàn)風險,發(fā)現(xiàn)問題,要通過匯報機制逐層匯報給上級部門,這樣就能避免很多問題的發(fā)生。作為內(nèi)部控制的重要組成部分的會計信息系統(tǒng)內(nèi)部控制也是如此,會計信息系統(tǒng)的主要目的是記錄、處理、存儲、歸納和交流信息,任何交易必須能夠追蹤其從發(fā)生到終止的過程,所有交易必須在系統(tǒng)中留下審計線索,為內(nèi)部控制提供保證。
(五)建立健全監(jiān)督檢查機制
整個內(nèi)部控制的過程必須施以恰當?shù)谋O(jiān)督檢查,通過監(jiān)督檢查活動在必要時對其加以修正。這里所指的監(jiān)督檢查主要包括4個方面:職業(yè)道德的約束,公司應成立由董事長、財務總監(jiān)、首席法律顧問等組成的“職業(yè)道德遵行委員會,負責調(diào)查違反行為準則的人員;通過外部審計,檢查和確認財務報告的合法性、公允性和一貫性;通過內(nèi)部審計,對內(nèi)部各部門的財務、管理、效益進行審計;加強集團對分部的監(jiān)控和分部的內(nèi)部控制狀況。
其中,內(nèi)部審計是監(jiān)督檢查最常用的途徑。企業(yè)應該設立內(nèi)部審計部門,并定期或不定期地對企業(yè)的會計信息系統(tǒng)進行審計。內(nèi)部審計應包括:對會計資料定期進行審計,會計信息化系統(tǒng)賬務處理是否正確;審查機內(nèi)數(shù)據(jù)與書面資料的一致性;監(jiān)督數(shù)據(jù)保存方式的安全、合法性,防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象;對系統(tǒng)運行各環(huán)節(jié)進行審查,防止存在漏洞等。
三、結(jié)束語
《企業(yè)內(nèi)部控制基本規(guī)范》的頒布實施將對我國企業(yè)的內(nèi)部控制發(fā)展產(chǎn)生重大影響,實施會計信息化的單位應該結(jié)合信息化內(nèi)部會計控制的目標和特點,提出更高的控制要求,擴大有效的控制范圍,采取更好的控制方式,重新構建一套較為完善的內(nèi)部會計控制體系,從而規(guī)范單位的會計行為,提高會計信息的可靠性、有用性,保證其對單位內(nèi)部管理與外部信息服務的作用,以增強企業(yè)的競爭能力和生存能力,從而進一步發(fā)揮會計信息化的優(yōu)勢。
參考文獻:
1、企業(yè)內(nèi)部控制課題研究組.企業(yè)內(nèi)部控制基本規(guī)范解讀及應用指南[M].中國商業(yè)出版社,2009.
2、薛劍虹.基于信息技術的會計信息系統(tǒng)內(nèi)部控制問題研究[J].中國管理信息化,2007(8).
