一、會計信息化環境下內部控制在各要素方面的新變化
(一)在內部環境方面的變化
與傳統內部控制相比,網絡技術的引入,使會計工作環境發生了全新的變化,給會計業務處理方式和業務流程帶來了很大的變革,企業財務部門必須重新設置財務內部機構、崗位職責和業務流程,明確新的權責分配,將權利與責任落實到各個操作終端人員身上。人力資源培訓的重點也由培養會計專業人員變化為培養既懂計算機技術又懂會計專業技能和管理的復合型人才。
(二)在風險評估方面的變化
會計信息系統增加了信息安全問題和信息風險問題出現的可能性,企業需要在風險評估上增加信息技術的防御系數,建立針對計算機和網絡技術的風險應對策略,實現對網絡技術造成的信息風險的有效控制。企業要重新合理分析、準確掌握高級管理人員、關鍵崗位員工以及其他基層員工的風險偏好,采取適當的內部控制措施,避免因個人風險偏好給企業經營帶來重大損失。對于外部力量的惡意入侵和盜取要加強防范技術墻,對于內部違反職業道德的制造虛假數據或能力水平不夠造成的會計數據偏移要有一定的事前、事中控制機制。
(三)在控制活動方面的變化
企業運用的控制措施也發生了新的變化。企業要根據信息風險評估結果,建立專門的模塊明確相關部門和崗位的職責、權限,實施對會計信息訪問權限的控制及對不同系統間的連接控制等,以實現不相容職務分離控制、授權審批控制的要求。控制的重點由對人的控制為主轉變為對人、計算機和互聯網三方的控制。在會計信息系統中,除了對會計核算和業務管理的控制,信息系統本身的控制成了重中之重。
(四)在信息與溝通方面的變化
會計信息系統在信息集成與共享方面有高度的優勢,通過使用網絡技術,擴大了信息溝通的范圍,突破了時間與空間的限制,它使企業內部各部門之間,企業分部與總部之間的信息溝通非常便利,使得信息溝通能漫延到全世界的任何一個端口,也使信息溝通能發生在任何一個時間點。不僅如此,信息的范圍還包括來自外部所有與管理相關的財務與非財務信息,并且都是建立在對之有效分析的基礎上。因此企業要加強對信息系統的開發與維護、訪問與變更、數據輸入與輸出、文件儲存與保管、網絡安全等方面的控制,保證信息系統安全穩定運行。
(五)在內部監督方面的變化
企業的整個會計信息系統是一個數據庫系統,不再是以前的紙質憑證和賬本,日常的會計業務處理方面的控制,主要依靠交易授權、人員權限控制、相關業務的程序化控制來進行,這些需要加強系統功能來實現。監控的內容也發生了重大的變化, 主要包括對網絡平臺的監控、對系統整體運行情況的監控、信息傳遞過程的監控和具體業務的監控。同時給內部審計帶來了新的研究課題,審計方法、審計手段和審計工具都要有較大的調整和變化。
二、會計信息化環境下內部控制面臨的新問題
(一)會計信息系統程序化的缺陷,使得會計信息容易被人為故意修改
傳統會計業務的每一張原始單據在每一個環節都有相應治理權限的人員簽字或蓋章、領導簽字和蓋章,之后才能做入會計憑證中去,雖然工作的效率不高,卻在層層人員經手之下,有效地防止了舞弊,而基于會計信息系統使會計信息在企業公共信息平臺上成為開放的信息系統,會計人員既從事數據的輸入、處理,又負責數據的輸出、報送,這容易使他們在未經批準的情況下,對使用的程序和數據庫進行隨意修改等操作處理,一旦科目體系和對賬數據被破壞,將造成整個系統的癱瘓,而且任何人只要得到口令和密碼都可以不受限制地隨意調閱會計信息,控制會計網絡系統,這樣很容易使企業的商業機密遭到泄露和破壞。還有些不法分子可能利用計算機程序舞弊,篡改、刪除、隱匿、轉移和偽造會計數據且不留痕跡,這種虛假會計信息會給企業帶來不可估量的損失。
(二)人為非故意的差錯,易使會計信息失真呈現“幾何效應”
任何一個操作系統都不可能是完美無缺的,計算機是在公式化和相互勾稽的程序關系編程之下處理數據的,它缺乏手工環境下的人工識別糾錯能力,當輸入的原始數據有一點點偏移時,計算機系統的自動智能化、高度集成化能將這個錯誤的原始數據,傳遞到其他系列的點及面,隨著時間指數、擴散效應而被逐級放大,造成多個賬簿、會計報表以及整個會計信息系統失真的幾何效應,如果這個錯誤沒有及時發現,就會重復地產生新錯誤,數據會產生更高倍數的幾何效應,生成的不真實會計信息資料會給企業管理者帶來重大的決策失誤。
(三)計算機存儲介質的改變,給會計信息檔案的儲存與保管方式提出新要求
會計信息系統下的會計檔案,其產生與保管發生了根本性的變化,原來手工記賬中連續的紙質憑證和檔案基本上被電子憑證和數字檔案所取代,因此如何保證會計信息化檔案的安全與完整,將成為會計信息系統一個亟需解決的問題。首先,隨著計算機技術的發展,存儲介質材料在短短幾十年內發生了巨大的變化,如軟盤、光盤、DVD、硬盤、U盤、閃存等,都屬于存儲介質,會計信息系統檔案也要隨著時代的變化不斷改進存儲介質的材料;其次,會計檔案儲存的環境要求很高,水、火、磁場、灰塵都會影響存儲介質的質量,對濕度、溫度也有一定的要求;最后,存儲在一定介質上的會計檔案需要一定的軟硬件環境才可以使用,會計信息系統的軟件和操作系統可能根據政策變化或時代變化而不斷更新,重新調用以前的會計資料則需要使用符合以前軟硬件環境的系統才能成功,所以會計信息檔案不僅要保存歷史的會計資料和信息,還要記錄這些資料與信息的使用環境、還原方法、相關的數據庫信息和會計軟件及版本信息、操作系統信息等。
(四)計算機的脆弱性,給會計信息系統安全帶來新的風險
網絡技術將會計信息系統放入到一個整合、開放的環境中來,互聯網往往處于一個無組織狀態,大量的會計信息通過開放的互聯網傳遞,方便的可訪問性使單位及個人的敏感性信息極易受到侵入。黑客會利用系統的漏洞和弱點,人為惡意攻擊會計信息系統,非法竊取企業的商業機密;計算機病毒猖獗,其隱蔽性、潛伏性以及破壞性會對計算機網絡安全造成巨大的破壞,這些病毒的存在對網絡會計信息安全而言是一顆定時炸彈;有些不法分子會利用工具或通過編寫計算機程序突破計算機網絡的訪問權限,侵入他人電腦進行操作,通過修改或冒充他人的IP 地址進行信息的攔截、竊取和篡改。這些外來的“侵犯者”會使企業會計信息系統面臨嚴重的安全威脅,給企業會計信息系統安全提出了嚴峻的挑戰。
(五)網絡化會計信息系統業務的不斷更新,使會計人員面臨知識結構轉型的新要求
傳統會計業務比較單一,會計人員只要掌握會計專業知識,熟悉會計業務流程即可以勝任工作。網絡環境使得會計核算方式簡便化,財務工作已融入企業業務鏈中的各環節,會計人員原有的專業知識已跟不上信息時代的要求,業務高度集成化要求會計人員在具備會計專業知識的同時,還要兼備財務管理及網絡信息技術知識,能熟識其他業務的基本經濟知識,而且會計信息系統的使用及維護可能都需要會計人員來完成,會計信息系統不斷地更新換代也要求會計人員加強學習,加快知識結構由單一向復合轉型。
(六)企業內部控制在網絡環境中審核機制功能被削弱,稽核難度不斷加大
在傳統會計中,會計控制是通過紙質的會計記錄及傳統內部控制方法來保障傳統會計信息的真實與完整以及經濟責任的明確。在會計信息系統中,會計信息的處理和存儲集中于網絡系統,企業的原始憑證將成為數字格式,同時大量不同的會計業務交叉在一起,加上信息資源的共享,財務信息復雜程度提高,交叉速度加快,手工會計中制單、復核、記賬等不相容崗位相互牽制制度的效力逐步削弱,稽核必須運用更復雜的審核技術,會計人員必須培訓并具備復雜電腦資料處理能力,才能勝任此項工作。
三、加強和完善會計信息化環境下內部控制的新思路
(一)會計信息系統開發與維護的控制
會計信息系統開發控制是一種事前預防性的控制,這種控制在會計軟件系統開發過程中是要執行的。一是軟件開發前要進行有效的可行性研究,總體框架的設計要定位在公司的實際業務需求上,建立有企業自身特色,整合企業所有經濟資源的會計信息系統。二是系統的使用周期要長,要有不斷更新、升級擴充的能力,要賦予企業自己修改軟件的能力,以順應時代的變遷。三是要保留審計線索,以方便日后審計工作尋找審計軌跡,這需要企業的政策性規定才容易提上日程。四是系統崩潰后,具備自我恢復能力,遇上自然性不可抗力的災害也有應急的自我備份能力。目前對于系統維護的控制更多的是事前預防和事后彌補、修補,應該加強對系統的實時控制、事中監控,越早發現問題越能最大限度地減少損失。
(二)網絡信息安全控制
網絡信息安全控制的重點是對網絡系統運行環境的一種控制。首先要改善網絡系統的設計,克服計算機網絡系統存在的弱點,主要建立入網訪問控制功能模塊。用戶入網訪問控制可分為三步驟:用戶名的識別與驗證;用戶口令的識別與驗證;用戶賬號的檢查。三步驟中任意一個不對也不能通過,系統應將其視為非法用戶,不能訪問該網絡。其次,網絡操作系統要經常更新,保證其完整性和安全性。網絡操作系統應具備完善的存取控制功能,防止用戶越權存取信息;操作系統應具備良好的存儲保護功能,防止用戶作業在指定范圍以外的存儲區域進行操作;還應具備較完善的管理能力,以記錄系統的運行情況,監測對數據文件的存取。最后,建立防火墻控制,加強病毒防殺技術,設置訪問權限、給文件加密,這樣層層保護,才能建立完整可靠的安全防線,保證會計信息系統的安全運行。
(三)會計信息系統檔案的管理控制
做好會計信息系統檔案的管理工作,是會計工作連續進行的保障,是保證整個會計信息系統資料完整的關鍵環節。具體涉及以下幾方面工作:一是使用權限的管理,指定專門的人進行檔案的管理操作,資料借閱人員和系統操作員不能兼任,檔案管理員可以維護檔案,但不能修改程序;二是操作日志管理,任何人都必須進行操作登記,這樣有助于檔案管理員監督和控制,也有助于及時發現錯誤,便于對錯誤的修復;三是借閱修改手續管理,檔案的修改必須有嚴格的審批制度,完善借閱手續,嚴防商業秘密的泄露;四是會計檔案軟件版本的兼容性,要注意信息化檔案與對應財務軟件版本的一致性,保存會計歷史資料的同時,也要保存其存儲的軟件系統、數據庫信息及會計軟件版本和相關信息;五是軟、硬件的管理,會計信息檔案軟件應當使用加密技術,防止他在沒被批準的情況下遭到人為修改。計算機的存儲環境要符合要求,避免存儲環境不當而造成不必要的儲存成本,采用“AB備份法”進行數據的備份,最好異地存放,關鍵性的硬件建立雙系統備份,以防意外和人為錯誤造成丟失,還要經常檢查,定期復制,以便再利用或發生意外時能及時恢復數據到最近狀態。
(四)會計信息系統的組織結構控制和人員職能控制
會計信息系統的實施,使得整個會計組織機構需要重建,需要設置會計信息系統的操作崗位、計算機安全與維護崗位、會計檔案管理崗位、系統監督崗位等。而人員的職能也要重新授權,數據的采集輸入、會計檔案和系統監管三種權限必須分配給不同的人或部門,對每個崗位進行系統功能的授權,并通過落實他們的責任和權限,防止員工利用自己的職權進行舞弊。通過進行內部職責分工,以補救不相容職能集中化的不足,從而體現各部門間及部門內部相互牽制和相互監督的作用。對于數據文件也要有相應授權,只讀數據、修改數據、維護數據、調用數據、數據備份都要有相應的分明的權利與責任規定,以確保數據的準確性和安全性。
(五)建立健全網絡內部監督機制,加強內部審計
加強企業內部監督,可以提高內部控制的質量,使內部控制持續有效。首先,要經常性地進行風險評估。每個崗位都有它最易出現問題的風險點,要找出這些崗位的關鍵控制點,經常性地進行評估檢查,隨時更新。這個方面側重于實現事前預防的目的。其次,對財務的日常監督,主要是對日常系統操作的監督、修改數據的審批,還要對各個崗位的職能履行情況進行監督等,日常的監督有助于實現事中控制的功能。最后,加強內部審計稽查的工作,會計信息系統的審計重點由原來的對紙質憑證和會計資料的審計轉變為對會計軟件系統的輸入、處理、輸出和安全控制功能的審計和評價。根據軟件開發時就留好的審計線索,審計要對每個主要會計循環的控制進行檢查,確定每一個控制的信賴程度,確定日常會計工作關鍵控制點的準確性及修改、更改審批關鍵控制點的可行性等等,而且應建立內部審計準則,如會計信息系統內部控制審計準則、網絡系統安全可靠性評價標準、網絡審計人員的要求等,為內部審計工作提供公認的質量標準。
(六)加強對企業內部控制現狀的診斷,完善全面風險管理體系的評價
企業建立起來的內部控制制度,不是一成不變的,而是隨著企業發展戰略目標變化而不斷改進更新的內部控制制度,企業要經常性地對企業內部控制現狀進行診斷,建立全面的風險評價體系,經常性地進行風險管理體系的評價:公司是否建立了相應合理的治理結構,是否形成清晰的企業風險管理文化,要評價目前機構運行是否順暢,是否與企業戰略目標相匹配;企業是否有足夠的整體風險意識,高層人員是否具備對重大風險的識別能力和風險管理能力,其他層次的企業員工是否具備與自己崗位相應的風險判斷能力;企業是否建立了與企業戰略相匹配的人才引進、培訓、激勵、薪酬、績效與考核等完善的人力資源體系,企業人才梯隊是否符合企業戰略發展的要求,關鍵崗位的專業能力和經驗是否符合其相應崗位的要求,企業人力資源體系是否隨著企業戰略規劃的變化而相應調整;企業是否具備全面風險識別能力、風險實時監控能力、風險管理專業能力、事前和事中防范各種風險能力,全面風險信息收集能力、風險管理報告撰寫能力與審核能力;面對企業出現的問題,企業是否具備審計與紀檢監察專業能力,事后風險管理能力,事后排查整改能力;企業風險管理報告是否定期報告,是否具備足夠的專業性,風險評估方法是否先進,風險分析是否全面,風險應對策略是否與企業整體戰略相匹配,企業內部控制有效性評價報告是否符合《企業內部控制基本規范》、《企業內部控制指引》的要求。
