精品久久久久久无码中文字幕一区,狠狠做深爱婷婷久久综合一区,国产精品-区区久久久狼

摘要：在ERP環(huán)境下的企業(yè)信息系統(tǒng)，尤其是對(duì)與業(yè)務(wù)、財(cái)務(wù)相關(guān)的會(huì)計(jì)信息系統(tǒng)而言，除了使內(nèi)部控制的職能得以實(shí)現(xiàn)之外，還為企業(yè)帶來(lái)了新的問(wèn)題和挑戰(zhàn)。具有《企業(yè)內(nèi)部控制基本規(guī)范》合規(guī)需求的上市公司，設(shè)計(jì)與所依賴的會(huì)計(jì)信息系統(tǒng)相關(guān)的內(nèi)部控制問(wèn)題成為了重中之重。與會(huì)計(jì)信息系統(tǒng)管理與安全相關(guān)的內(nèi)部控制具體包括公司層面控制、一般控制以及應(yīng)用控制，本文從實(shí)務(wù)的角度對(duì)這三個(gè)方面內(nèi)部控制的設(shè)計(jì)分別進(jìn)行探討。
關(guān)鍵詞：會(huì)計(jì)信息系統(tǒng) 內(nèi)部控制 設(shè)計(jì)


我國(guó)財(cái)政部、證監(jiān)會(huì)、審計(jì)署、銀監(jiān)會(huì)、保監(jiān)會(huì)五部委于2008年5月聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，規(guī)定自2012年1月1日起，滬深兩市主板上市公司必須在一年內(nèi)完成企業(yè)內(nèi)部控制體系的建設(shè)和實(shí)施。在此之后又于2010年4月出臺(tái)了《企業(yè)內(nèi)部控制配套指引》，該配套指引涵蓋18項(xiàng)《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評(píng)價(jià)指引》以及《企業(yè)內(nèi)部控制審計(jì)指引》。對(duì)于具有合規(guī)需求的2 000余家上市公司而言，雖然內(nèi)部控制實(shí)施的程度各不相同，但如何降低高昂的合規(guī)成本則成為了一個(gè)共同的難題。
　　一、設(shè)計(jì)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的必要性
　　國(guó)內(nèi)外以往的內(nèi)部控制實(shí)施經(jīng)驗(yàn)顯示，內(nèi)部控制理念與會(huì)計(jì)信息系統(tǒng)的結(jié)合有助于解決合規(guī)成本高昂這一難題，得到了上市公司的廣泛采納?！镀髽I(yè)內(nèi)部控制應(yīng)用指引第18號(hào)——信息系統(tǒng)》也結(jié)合COSO框架和COBIT標(biāo)準(zhǔn)的要求，作出了相應(yīng)的規(guī)定。將企業(yè)會(huì)計(jì)信息化工作與業(yè)務(wù)活動(dòng)相聯(lián)系，能夠使企業(yè)利用外部資源，結(jié)合自身優(yōu)勢(shì)，更快速、更高效地完成監(jiān)管機(jī)構(gòu)的內(nèi)部控制建設(shè)和實(shí)施要求，提高內(nèi)部控制管理的工作效率、節(jié)約成本；更重要的是能夠?qū)崿F(xiàn)內(nèi)部控制提供有助于決策的信息，輔助決策，提高企業(yè)經(jīng)營(yíng)效率的更高層面的職能。然而，在ERP環(huán)境下的企業(yè)信息系統(tǒng)，尤其是對(duì)業(yè)務(wù)與財(cái)務(wù)相關(guān)的會(huì)計(jì)信息系統(tǒng)而言，除了使內(nèi)部控制的職能得以實(shí)現(xiàn)之外，也為企業(yè)帶來(lái)了新的問(wèn)題和挑戰(zhàn)。因此，有合規(guī)需求的上市公司設(shè)計(jì)與所依賴的會(huì)計(jì)信息系統(tǒng)相關(guān)的內(nèi)部控制成為了亟待解決的問(wèn)題。
　　二、會(huì)計(jì)信息系統(tǒng)公司層面控制的設(shè)計(jì)
　　COSO內(nèi)部控制框架認(rèn)為，內(nèi)部控制系統(tǒng)由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通及監(jiān)督構(gòu)成，取決于管理層經(jīng)營(yíng)企業(yè)的方式，并融入管理過(guò)程本身。對(duì)會(huì)計(jì)信息系統(tǒng)公司層面的控制而言，應(yīng)分別對(duì)這五個(gè)要素進(jìn)行內(nèi)部控制設(shè)計(jì)并實(shí)施。控制環(huán)境是所有其他組成要素的基礎(chǔ)，對(duì)信息系統(tǒng)具有關(guān)鍵的影響作用，在一定程度上決定著內(nèi)部控制的目標(biāo)能否實(shí)現(xiàn)。需要注意不能使信息部門(mén)脫離其他部門(mén)而獨(dú)立存在，設(shè)計(jì)應(yīng)對(duì)由信息技術(shù)產(chǎn)生的新型風(fēng)險(xiǎn)等問(wèn)題。風(fēng)險(xiǎn)評(píng)估作為控制活動(dòng)的基礎(chǔ)，應(yīng)采取信息系統(tǒng)管理以及優(yōu)化流程等措施，使得公司管理層能夠識(shí)別、評(píng)估和應(yīng)對(duì)風(fēng)險(xiǎn)?？刂苹顒?dòng)是確保風(fēng)險(xiǎn)應(yīng)對(duì)計(jì)劃得以實(shí)施的方法和流程，包括授權(quán)、審批、核對(duì)、職責(zé)分離等內(nèi)容。信息與溝通是整個(gè)內(nèi)部控制系統(tǒng)中最為關(guān)鍵的環(huán)節(jié)，能夠滿足各方面提出的合理需求，同時(shí)便于職責(zé)的履行。監(jiān)控便于對(duì)內(nèi)部控制的設(shè)計(jì)和實(shí)施予以監(jiān)督并使問(wèn)題能夠得到及時(shí)的解決，也使得運(yùn)行結(jié)果能夠及時(shí)的檢驗(yàn)。
　　三、會(huì)計(jì)信息系統(tǒng)一般控制的設(shè)計(jì)
　　由于各種應(yīng)用系統(tǒng)的IT一般控制具有共通性，所以會(huì)計(jì)信息系統(tǒng)一般控制的范圍主要涵蓋支持同一組IT一般控制的IT技術(shù)環(huán)境。例如涵蓋多應(yīng)用系統(tǒng)的變更管理控制、支持多種應(yīng)用系統(tǒng)的技術(shù)平臺(tái)以及支持多應(yīng)用系統(tǒng)并有相同IT一般控制的數(shù)據(jù)中心等。對(duì)于計(jì)劃依賴IT一般控制的應(yīng)用系統(tǒng)，應(yīng)對(duì)滿足各IT一般控制類(lèi)別的目標(biāo)的IT一般控制予以考慮。如果其他會(huì)計(jì)信息系統(tǒng)一般控制類(lèi)別的失效可能對(duì)財(cái)務(wù)報(bào)表或披露事項(xiàng)產(chǎn)生影響，也應(yīng)將其納入考慮的范圍。一般控制的主要內(nèi)部控制程序包括變更管理控制、邏輯訪問(wèn)控制及其他IT一般控制。
　?。ㄒ唬┳兏芾砜刂?br /> 　　針對(duì)變更管理內(nèi)部控制的設(shè)計(jì)而言，其目標(biāo)為唯有經(jīng)過(guò)適當(dāng)授權(quán)、測(cè)試與審批的變更，才能應(yīng)用于應(yīng)用系統(tǒng)、程序接口、數(shù)據(jù)庫(kù)與操作系統(tǒng)。
　　1.系統(tǒng)開(kāi)發(fā)。如果發(fā)生大型的系統(tǒng)開(kāi)發(fā)，并涉及系統(tǒng)外包開(kāi)發(fā)，則應(yīng)執(zhí)行系統(tǒng)外包開(kāi)發(fā)規(guī)程。具體包括：（1）項(xiàng)目立項(xiàng)階段，有關(guān)人員應(yīng)對(duì)項(xiàng)目的外包內(nèi)容進(jìn)行確定，并通過(guò)競(jìng)標(biāo)的方式選擇適合的開(kāi)發(fā)商。（2）項(xiàng)目開(kāi)發(fā)過(guò)程中，外包小組應(yīng)對(duì)項(xiàng)目的進(jìn)展、質(zhì)量進(jìn)行監(jiān)督檢查，及時(shí)糾正偏差。（3）項(xiàng)目開(kāi)發(fā)完成后，驗(yàn)收人員審查承包商應(yīng)當(dāng)交付的成果，例如代碼、文檔等，確保這些成果的完整性和正確性；對(duì)待交付的產(chǎn)品進(jìn)行的測(cè)試，確保產(chǎn)品符合需求后，應(yīng)將檢查結(jié)果與測(cè)試結(jié)果記錄于外包開(kāi)發(fā)成果驗(yàn)收?qǐng)?bào)告。
　　2.程序變更及補(bǔ)丁升級(jí)。應(yīng)建立系統(tǒng)外包開(kāi)發(fā)、程序變更上線制度，規(guī)范程序變更及補(bǔ)丁升級(jí)的管理流程。具體包括：（1）需求部門(mén)提出系統(tǒng)變更需求，并將變更需求整理成系統(tǒng)變更申請(qǐng)表，由部門(mén)負(fù)責(zé)人審批后提交給系統(tǒng)管理員。（2）系統(tǒng)管理員負(fù)責(zé)接受需求并上報(bào)給信息部門(mén)主管進(jìn)行需求分析并提出系統(tǒng)變更建議，信息技術(shù)部經(jīng)理根據(jù)變更建議對(duì)申請(qǐng)表進(jìn)行審批。（3）系統(tǒng)根據(jù)自行開(kāi)發(fā)、合作開(kāi)發(fā)和外包開(kāi)發(fā)的不同要求組織實(shí)現(xiàn)系統(tǒng)變更需求，應(yīng)將需求提交至內(nèi)部開(kāi)發(fā)人員、合作開(kāi)發(fā)商或外包開(kāi)發(fā)商，編寫(xiě)供發(fā)布的程序。（4）系統(tǒng)管理員組織業(yè)務(wù)部門(mén)的最終用戶對(duì)系統(tǒng)程序變更進(jìn)行測(cè)試，并撰寫(xiě)用戶測(cè)試報(bào)告，提交業(yè)務(wù)部門(mén)負(fù)責(zé)人和信息技術(shù)部主管領(lǐng)導(dǎo)簽字確認(rèn)。（5）在系統(tǒng)變更完成后，應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門(mén)的最終用戶共同撰寫(xiě)程序變更驗(yàn)收?qǐng)?bào)告，經(jīng)業(yè)務(wù)部門(mén)負(fù)責(zé)人簽字驗(yàn)收后，報(bào)送信息部門(mén)經(jīng)理審批。補(bǔ)丁升級(jí)也適用于程序變更的內(nèi)部控制流程。
　　3.緊急變更。應(yīng)建立系統(tǒng)外包開(kāi)發(fā)、程序變更上線制度，對(duì)緊急變更的管理流程予以規(guī)范。具體包括：（1）如果有緊急變更的需要，應(yīng)由需求部門(mén)通過(guò)電子郵件或傳真等書(shū)面形式提出申請(qǐng)，信息部門(mén)根據(jù)重要性和緊迫性做出判斷，確定優(yōu)先級(jí)和影響程度，并進(jìn)行相應(yīng)處理。（2）緊急變更過(guò)程中應(yīng)使用專設(shè)的系統(tǒng)用戶賬號(hào)，由負(fù)責(zé)部門(mén)或人員啟動(dòng)緊急變更程序。信息部門(mén)應(yīng)對(duì)緊急變更的處理進(jìn)行規(guī)范的文檔記錄。（3）在緊急事件處理完成后，必須在一定時(shí)間內(nèi)補(bǔ)辦正式、完整的文檔。其中包括問(wèn)題發(fā)現(xiàn)人填寫(xiě)的緊急變更申請(qǐng)、問(wèn)題發(fā)現(xiàn)人所在部門(mén)負(fù)責(zé)人對(duì)該申請(qǐng)的審批、需求部門(mén)或信息部門(mén)經(jīng)過(guò)確認(rèn)的測(cè)試記錄。
　　4.數(shù)據(jù)修改。應(yīng)建立關(guān)鍵業(yè)務(wù)系統(tǒng)數(shù)據(jù)管理制度來(lái)規(guī)范后臺(tái)數(shù)據(jù)修改流程。后臺(tái)數(shù)據(jù)修改指信息部門(mén)指定的IT人員應(yīng)數(shù)據(jù)擁有部門(mén)要求，對(duì)公司信息系統(tǒng)中的數(shù)據(jù)在后臺(tái)數(shù)據(jù)庫(kù)中進(jìn)行的修改。具體包括：（1）數(shù)據(jù)擁有部門(mén)提交數(shù)據(jù)導(dǎo)入/修改申請(qǐng)表，表中需要具體描述導(dǎo)入/修改的原因和內(nèi)容且需要數(shù)據(jù)擁有部門(mén)負(fù)責(zé)人審批。（2）數(shù)據(jù)庫(kù)超級(jí)用戶收到申請(qǐng)表后，應(yīng)再次與申請(qǐng)部門(mén)核對(duì)申請(qǐng)表的內(nèi)容，分析導(dǎo)入/修改可行性及后果并將分析結(jié)果提交IT系統(tǒng)主管審批。（3）如需測(cè)試，應(yīng)在測(cè)試環(huán)境下進(jìn)行方案測(cè)試。系統(tǒng)管理員需在數(shù)據(jù)導(dǎo)入/修改之前對(duì)所影響的數(shù)據(jù)進(jìn)行備份。（4）數(shù)據(jù)導(dǎo)入/修改操作完畢后，系統(tǒng)管理員通知申請(qǐng)人檢查數(shù)據(jù)導(dǎo)入/修改結(jié)果是否與需求一致。若符合要求，應(yīng)由申請(qǐng)人填寫(xiě)驗(yàn)收結(jié)論；否則應(yīng)由系統(tǒng)管理員重新檢查和修改數(shù)據(jù)導(dǎo)入方案，經(jīng)主管部門(mén)負(fù)責(zé)人審批后，進(jìn)行下一步工作。
　?。ǘ┻壿嫶嫒?br /> 　　針對(duì)邏輯存取內(nèi)部控制的設(shè)計(jì)而言，其目標(biāo)為只允許授權(quán)人員訪問(wèn)數(shù)據(jù)和應(yīng)用程序，并且這些人員只能執(zhí)行明確授權(quán)的功能。具體包括：（1）系統(tǒng)安全設(shè)置和密碼設(shè)置。應(yīng)建立信息系統(tǒng)賬號(hào)管理制度對(duì)用戶賬號(hào)密碼管理進(jìn)行規(guī)范。（2）特權(quán)用戶賬號(hào)管理。應(yīng)將應(yīng)用系統(tǒng)層面、操作系統(tǒng)層面和數(shù)據(jù)庫(kù)層面的超級(jí)賬號(hào)分配給不同使用者并基于工作職責(zé)進(jìn)行分工。（3）關(guān)鍵系統(tǒng)資源和工具安全。只有特定賬號(hào)擁有系統(tǒng)文件的訪問(wèn)權(quán)限。（4）用戶賬號(hào)的管理。應(yīng)制定信息系統(tǒng)用戶賬號(hào)管理制度對(duì)用戶賬號(hào)管理進(jìn)行規(guī)范，其中包括用戶賬號(hào)的創(chuàng)建、修改和刪除以及賬號(hào)的定期審閱。（5）用戶訪問(wèn)控制。應(yīng)制定信息系統(tǒng)用戶賬號(hào)管理制度，對(duì)用戶賬號(hào)管理進(jìn)行規(guī)范，特別是對(duì)于特權(quán)賬號(hào)和超級(jí)用戶賬號(hào)管理規(guī)定，應(yīng)由信息部門(mén)定期查看系統(tǒng)日志，監(jiān)督特權(quán)賬號(hào)和超級(jí)用戶賬號(hào)使用情況，并填寫(xiě)系統(tǒng)日志審閱表。（6）物理安全。應(yīng)建立機(jī)房管理制度來(lái)規(guī)范機(jī)房的日常管理。
　　需要注意的是，一方面，未能規(guī)范的特權(quán)用戶賬號(hào)定期審閱管理，將難以保證會(huì)計(jì)信息系統(tǒng)中擁有較高權(quán)限的賬號(hào)是在經(jīng)過(guò)審批和授權(quán)的情況下被使用。另一方面，主要應(yīng)用系統(tǒng)的安全性及其數(shù)據(jù)庫(kù)中財(cái)務(wù)及業(yè)務(wù)數(shù)據(jù)的完整性和可靠性，均在很大程度上依賴于對(duì)用戶賬號(hào)及權(quán)限的管理。如果未能定期對(duì)用戶賬號(hào)的使用情況和權(quán)限進(jìn)行審閱，未能及時(shí)對(duì)崗位變化的員工的權(quán)限進(jìn)行調(diào)整，不及時(shí)刪除或鎖定離職員工的賬號(hào)，或者出現(xiàn)一人同時(shí)擁有多個(gè)賬號(hào)的情況，便有可能出現(xiàn)對(duì)財(cái)務(wù)及業(yè)務(wù)數(shù)據(jù)進(jìn)行非法修改，甚至刪除的操作。
　　（三）其他IT一般控制
　　針對(duì)其他IT一般控制的設(shè)計(jì)而言，其具體目標(biāo)為有關(guān)財(cái)務(wù)信息的系統(tǒng)數(shù)據(jù)應(yīng)進(jìn)行備份，以在系統(tǒng)發(fā)生故障或數(shù)據(jù)完整性遭到破壞時(shí)能夠準(zhǔn)確而完整地恢復(fù)數(shù)據(jù)。批處理程序均按計(jì)劃執(zhí)行，任何與計(jì)劃執(zhí)行結(jié)果的偏差都應(yīng)被及時(shí)識(shí)別并解決。會(huì)計(jì)信息系統(tǒng)運(yùn)行中發(fā)生的問(wèn)題或事件應(yīng)被及時(shí)識(shí)別、解決、復(fù)核與分析。其他IT一般控制的設(shè)計(jì)主要針對(duì)相關(guān)控制失效可能對(duì)財(cái)務(wù)報(bào)表與披露事項(xiàng)產(chǎn)生影響的情況下。
　　需要注意的是，關(guān)鍵業(yè)務(wù)及財(cái)務(wù)系統(tǒng)數(shù)據(jù)對(duì)于公司業(yè)務(wù)運(yùn)行而言至關(guān)重要。如果未能對(duì)數(shù)據(jù)備份狀態(tài)的檢查結(jié)果進(jìn)行記錄，將難以保證數(shù)據(jù)備份結(jié)果的監(jiān)督被有效的執(zhí)行，也無(wú)法保證發(fā)生備份失敗的情況時(shí)，失敗的備份操作被及時(shí)的匯報(bào)與跟進(jìn)。
　　（四）職責(zé)分離
　　職責(zé)分離是內(nèi)部控制設(shè)計(jì)和實(shí)施時(shí)的一個(gè)不容忽視的問(wèn)題。對(duì)于變更管理中的職責(zé)分離，應(yīng)規(guī)定進(jìn)行程序升級(jí)或變更的執(zhí)行人員，不能進(jìn)行審批、將程序移植進(jìn)出生產(chǎn)環(huán)境以及程序升級(jí)和變更相關(guān)的監(jiān)督工作；負(fù)責(zé)程序升級(jí)和變更相關(guān)的監(jiān)督控制人員，不能負(fù)責(zé)審批程序升級(jí)和變更，也不能負(fù)責(zé)程序升級(jí)和變更的實(shí)施工作以及將程序移植進(jìn)出生產(chǎn)環(huán)境。對(duì)于應(yīng)用層面的超級(jí)用戶和相關(guān)的系統(tǒng)平臺(tái)管理員的職責(zé)分離，應(yīng)規(guī)定不能由同一員工擁有信息系統(tǒng)應(yīng)用層面、操作系統(tǒng)、數(shù)據(jù)庫(kù)三個(gè)層面中兩個(gè)或兩個(gè)以上的超級(jí)用戶權(quán)限；需對(duì)系統(tǒng)管理員等特權(quán)用戶的操作進(jìn)行必要的監(jiān)督，否則將增加未經(jīng)授權(quán)而對(duì)信息系統(tǒng)進(jìn)行訪問(wèn)或修改的可能性，對(duì)信息系統(tǒng)和數(shù)據(jù)庫(kù)的整體安全性構(gòu)成威脅。
　　四、會(huì)計(jì)信息系統(tǒng)應(yīng)用控制的設(shè)計(jì)
　　會(huì)計(jì)信息系統(tǒng)應(yīng)用控制指利用會(huì)計(jì)信息系統(tǒng)對(duì)業(yè)務(wù)處理實(shí)施的控制。與會(huì)計(jì)信息系統(tǒng)一般控制不同的是，應(yīng)用控制與具體的業(yè)務(wù)相聯(lián)系，對(duì)不同應(yīng)用系統(tǒng)而言其相應(yīng)的應(yīng)用控制有可能不一致。在此以某上市公司會(huì)計(jì)信息系統(tǒng)為例，對(duì)具體的應(yīng)用控制的設(shè)計(jì)進(jìn)行探討。
　　例如，在會(huì)計(jì)信息系統(tǒng)的財(cái)務(wù)模塊中，采購(gòu)環(huán)節(jié)系統(tǒng)配置供應(yīng)商主數(shù)據(jù)的統(tǒng)馭科目為必輸項(xiàng)，以保證客戶明細(xì)賬數(shù)據(jù)自動(dòng)過(guò)賬到總賬；在物料管理模塊，在系統(tǒng)中進(jìn)行收貨入庫(kù)操作后，系統(tǒng)根據(jù)收貨入庫(kù)信息自動(dòng)準(zhǔn)確生成會(huì)計(jì)憑證，借記“原材料”科目，貸記“應(yīng)付賬款”以及“材料采購(gòu)差異”科目；執(zhí)行發(fā)票校驗(yàn)時(shí)，不可人工修改采購(gòu)訂單、供應(yīng)商及物料等基本信息等。在財(cái)務(wù)模塊中，銷(xiāo)售環(huán)節(jié)系統(tǒng)配置客戶主數(shù)據(jù)的統(tǒng)馭科目為必輸項(xiàng)，以保證客戶明細(xì)賬數(shù)據(jù)自動(dòng)過(guò)賬到總賬；在銷(xiāo)售與分銷(xiāo)模塊中，在系統(tǒng)中發(fā)貨出庫(kù)后確認(rèn)后，系統(tǒng)根據(jù)收貨出庫(kù)信息自動(dòng)準(zhǔn)確生成會(huì)計(jì)憑證，借記“發(fā)出商品”科目，貸記“庫(kù)存商品”科目；在系統(tǒng)中出具系統(tǒng)發(fā)票后，系統(tǒng)自動(dòng)生成確認(rèn)收入的會(huì)計(jì)憑證，借記“應(yīng)收賬款”科目，貸記“主營(yíng)業(yè)務(wù)收入”及“應(yīng)交稅費(fèi)”科目，同時(shí)自動(dòng)生成結(jié)轉(zhuǎn)成本的會(huì)計(jì)憑證，借記“主營(yíng)業(yè)務(wù)成本”科目，貸記“發(fā)出商品”科目；在財(cái)務(wù)模塊中，在系統(tǒng)中針對(duì)同一個(gè)外向交貨單，不能重復(fù)開(kāi)據(jù)系統(tǒng)發(fā)票等。X



參考文獻(xiàn)：
　　1.安廣實(shí)，陶蕓輝.IT審計(jì)風(fēng)險(xiǎn)成因及其防范對(duì)策思考［J］.中國(guó)鄉(xiāng)鎮(zhèn)企業(yè)會(huì)計(jì)，2012，（8）.
　　2.杰普·布勒姆.SOX環(huán)境下的信息技術(shù)治理［M］.大連：東北財(cái)經(jīng)大學(xué)出版社，2008.
　　3.林斌，覃東，吳炎太.信息技術(shù)內(nèi)部控制操作指引與典型案例研究［M］.大連：大連出版社，2010.