摘要:在ERP環境下的企業信息系統,尤其是對與業務、財務相關的會計信息系統而言,除了使內部控制的職能得以實現之外,還為企業帶來了新的問題和挑戰。具有《企業內部控制基本規范》合規需求的上市公司,設計與所依賴的會計信息系統相關的內部控制問題成為了重中之重。與會計信息系統管理與安全相關的內部控制具體包括公司層面控制、一般控制以及應用控制,本文從實務的角度對這三個方面內部控制的設計分別進行探討。
關鍵詞:會計信息系統 內部控制 設計
我國財政部、證監會、審計署、銀監會、保監會五部委于2008年5月聯合發布了《企業內部控制基本規范》,規定自2012年1月1日起,滬深兩市主板上市公司必須在一年內完成企業內部控制體系的建設和實施。在此之后又于2010年4月出臺了《企業內部控制配套指引》,該配套指引涵蓋18項《企業內部控制應用指引》、《企業內部控制評價指引》以及《企業內部控制審計指引》。對于具有合規需求的2 000余家上市公司而言,雖然內部控制實施的程度各不相同,但如何降低高昂的合規成本則成為了一個共同的難題。
一、設計會計信息系統內部控制的必要性
國內外以往的內部控制實施經驗顯示,內部控制理念與會計信息系統的結合有助于解決合規成本高昂這一難題,得到了上市公司的廣泛采納。《企業內部控制應用指引第18號——信息系統》也結合COSO框架和COBIT標準的要求,作出了相應的規定。將企業會計信息化工作與業務活動相聯系,能夠使企業利用外部資源,結合自身優勢,更快速、更高效地完成監管機構的內部控制建設和實施要求,提高內部控制管理的工作效率、節約成本;更重要的是能夠實現內部控制提供有助于決策的信息,輔助決策,提高企業經營效率的更高層面的職能。然而,在ERP環境下的企業信息系統,尤其是對業務與財務相關的會計信息系統而言,除了使內部控制的職能得以實現之外,也為企業帶來了新的問題和挑戰。因此,有合規需求的上市公司設計與所依賴的會計信息系統相關的內部控制成為了亟待解決的問題。
二、會計信息系統公司層面控制的設計
COSO內部控制框架認為,內部控制系統由控制環境、風險評估、控制活動、信息與溝通及監督構成,取決于管理層經營企業的方式,并融入管理過程本身。對會計信息系統公司層面的控制而言,應分別對這五個要素進行內部控制設計并實施。控制環境是所有其他組成要素的基礎,對信息系統具有關鍵的影響作用,在一定程度上決定著內部控制的目標能否實現。需要注意不能使信息部門脫離其他部門而獨立存在,設計應對由信息技術產生的新型風險等問題。風險評估作為控制活動的基礎,應采取信息系統管理以及優化流程等措施,使得公司管理層能夠識別、評估和應對風險。控制活動是確保風險應對計劃得以實施的方法和流程,包括授權、審批、核對、職責分離等內容。信息與溝通是整個內部控制系統中最為關鍵的環節,能夠滿足各方面提出的合理需求,同時便于職責的履行。監控便于對內部控制的設計和實施予以監督并使問題能夠得到及時的解決,也使得運行結果能夠及時的檢驗。
三、會計信息系統一般控制的設計
由于各種應用系統的IT一般控制具有共通性,所以會計信息系統一般控制的范圍主要涵蓋支持同一組IT一般控制的IT技術環境。例如涵蓋多應用系統的變更管理控制、支持多種應用系統的技術平臺以及支持多應用系統并有相同IT一般控制的數據中心等。對于計劃依賴IT一般控制的應用系統,應對滿足各IT一般控制類別的目標的IT一般控制予以考慮。如果其他會計信息系統一般控制類別的失效可能對財務報表或披露事項產生影響,也應將其納入考慮的范圍。一般控制的主要內部控制程序包括變更管理控制、邏輯訪問控制及其他IT一般控制。
(一)變更管理控制
針對變更管理內部控制的設計而言,其目標為唯有經過適當授權、測試與審批的變更,才能應用于應用系統、程序接口、數據庫與操作系統。
1.系統開發。如果發生大型的系統開發,并涉及系統外包開發,則應執行系統外包開發規程。具體包括:(1)項目立項階段,有關人員應對項目的外包內容進行確定,并通過競標的方式選擇適合的開發商。(2)項目開發過程中,外包小組應對項目的進展、質量進行監督檢查,及時糾正偏差。(3)項目開發完成后,驗收人員審查承包商應當交付的成果,例如代碼、文檔等,確保這些成果的完整性和正確性;對待交付的產品進行的測試,確保產品符合需求后,應將檢查結果與測試結果記錄于外包開發成果驗收報告。
2.程序變更及補丁升級。應建立系統外包開發、程序變更上線制度,規范程序變更及補丁升級的管理流程。具體包括:(1)需求部門提出系統變更需求,并將變更需求整理成系統變更申請表,由部門負責人審批后提交給系統管理員。(2)系統管理員負責接受需求并上報給信息部門主管進行需求分析并提出系統變更建議,信息技術部經理根據變更建議對申請表進行審批。(3)系統根據自行開發、合作開發和外包開發的不同要求組織實現系統變更需求,應將需求提交至內部開發人員、合作開發商或外包開發商,編寫供發布的程序。(4)系統管理員組織業務部門的最終用戶對系統程序變更進行測試,并撰寫用戶測試報告,提交業務部門負責人和信息技術部主管領導簽字確認。(5)在系統變更完成后,應由系統管理員和業務部門的最終用戶共同撰寫程序變更驗收報告,經業務部門負責人簽字驗收后,報送信息部門經理審批。補丁升級也適用于程序變更的內部控制流程。
3.緊急變更。應建立系統外包開發、程序變更上線制度,對緊急變更的管理流程予以規范。具體包括:(1)如果有緊急變更的需要,應由需求部門通過電子郵件或傳真等書面形式提出申請,信息部門根據重要性和緊迫性做出判斷,確定優先級和影響程度,并進行相應處理。(2)緊急變更過程中應使用專設的系統用戶賬號,由負責部門或人員啟動緊急變更程序。信息部門應對緊急變更的處理進行規范的文檔記錄。(3)在緊急事件處理完成后,必須在一定時間內補辦正式、完整的文檔。其中包括問題發現人填寫的緊急變更申請、問題發現人所在部門負責人對該申請的審批、需求部門或信息部門經過確認的測試記錄。
4.數據修改。應建立關鍵業務系統數據管理制度來規范后臺數據修改流程。后臺數據修改指信息部門指定的IT人員應數據擁有部門要求,對公司信息系統中的數據在后臺數據庫中進行的修改。具體包括:(1)數據擁有部門提交數據導入/修改申請表,表中需要具體描述導入/修改的原因和內容且需要數據擁有部門負責人審批。(2)數據庫超級用戶收到申請表后,應再次與申請部門核對申請表的內容,分析導入/修改可行性及后果并將分析結果提交IT系統主管審批。(3)如需測試,應在測試環境下進行方案測試。系統管理員需在數據導入/修改之前對所影響的數據進行備份。(4)數據導入/修改操作完畢后,系統管理員通知申請人檢查數據導入/修改結果是否與需求一致。若符合要求,應由申請人填寫驗收結論;否則應由系統管理員重新檢查和修改數據導入方案,經主管部門負責人審批后,進行下一步工作。
(二)邏輯存取
針對邏輯存取內部控制的設計而言,其目標為只允許授權人員訪問數據和應用程序,并且這些人員只能執行明確授權的功能。具體包括:(1)系統安全設置和密碼設置。應建立信息系統賬號管理制度對用戶賬號密碼管理進行規范。(2)特權用戶賬號管理。應將應用系統層面、操作系統層面和數據庫層面的超級賬號分配給不同使用者并基于工作職責進行分工。(3)關鍵系統資源和工具安全。只有特定賬號擁有系統文件的訪問權限。(4)用戶賬號的管理。應制定信息系統用戶賬號管理制度對用戶賬號管理進行規范,其中包括用戶賬號的創建、修改和刪除以及賬號的定期審閱。(5)用戶訪問控制。應制定信息系統用戶賬號管理制度,對用戶賬號管理進行規范,特別是對于特權賬號和超級用戶賬號管理規定,應由信息部門定期查看系統日志,監督特權賬號和超級用戶賬號使用情況,并填寫系統日志審閱表。(6)物理安全。應建立機房管理制度來規范機房的日常管理。
需要注意的是,一方面,未能規范的特權用戶賬號定期審閱管理,將難以保證會計信息系統中擁有較高權限的賬號是在經過審批和授權的情況下被使用。另一方面,主要應用系統的安全性及其數據庫中財務及業務數據的完整性和可靠性,均在很大程度上依賴于對用戶賬號及權限的管理。如果未能定期對用戶賬號的使用情況和權限進行審閱,未能及時對崗位變化的員工的權限進行調整,不及時刪除或鎖定離職員工的賬號,或者出現一人同時擁有多個賬號的情況,便有可能出現對財務及業務數據進行非法修改,甚至刪除的操作。
(三)其他IT一般控制
針對其他IT一般控制的設計而言,其具體目標為有關財務信息的系統數據應進行備份,以在系統發生故障或數據完整性遭到破壞時能夠準確而完整地恢復數據。批處理程序均按計劃執行,任何與計劃執行結果的偏差都應被及時識別并解決。會計信息系統運行中發生的問題或事件應被及時識別、解決、復核與分析。其他IT一般控制的設計主要針對相關控制失效可能對財務報表與披露事項產生影響的情況下。
需要注意的是,關鍵業務及財務系統數據對于公司業務運行而言至關重要。如果未能對數據備份狀態的檢查結果進行記錄,將難以保證數據備份結果的監督被有效的執行,也無法保證發生備份失敗的情況時,失敗的備份操作被及時的匯報與跟進。
(四)職責分離
職責分離是內部控制設計和實施時的一個不容忽視的問題。對于變更管理中的職責分離,應規定進行程序升級或變更的執行人員,不能進行審批、將程序移植進出生產環境以及程序升級和變更相關的監督工作;負責程序升級和變更相關的監督控制人員,不能負責審批程序升級和變更,也不能負責程序升級和變更的實施工作以及將程序移植進出生產環境。對于應用層面的超級用戶和相關的系統平臺管理員的職責分離,應規定不能由同一員工擁有信息系統應用層面、操作系統、數據庫三個層面中兩個或兩個以上的超級用戶權限;需對系統管理員等特權用戶的操作進行必要的監督,否則將增加未經授權而對信息系統進行訪問或修改的可能性,對信息系統和數據庫的整體安全性構成威脅。
四、會計信息系統應用控制的設計
會計信息系統應用控制指利用會計信息系統對業務處理實施的控制。與會計信息系統一般控制不同的是,應用控制與具體的業務相聯系,對不同應用系統而言其相應的應用控制有可能不一致。在此以某上市公司會計信息系統為例,對具體的應用控制的設計進行探討。
例如,在會計信息系統的財務模塊中,采購環節系統配置供應商主數據的統馭科目為必輸項,以保證客戶明細賬數據自動過賬到總賬;在物料管理模塊,在系統中進行收貨入庫操作后,系統根據收貨入庫信息自動準確生成會計憑證,借記“原材料”科目,貸記“應付賬款”以及“材料采購差異”科目;執行發票校驗時,不可人工修改采購訂單、供應商及物料等基本信息等。在財務模塊中,銷售環節系統配置客戶主數據的統馭科目為必輸項,以保證客戶明細賬數據自動過賬到總賬;在銷售與分銷模塊中,在系統中發貨出庫后確認后,系統根據收貨出庫信息自動準確生成會計憑證,借記“發出商品”科目,貸記“庫存商品”科目;在系統中出具系統發票后,系統自動生成確認收入的會計憑證,借記“應收賬款”科目,貸記“主營業務收入”及“應交稅費”科目,同時自動生成結轉成本的會計憑證,借記“主營業務成本”科目,貸記“發出商品”科目;在財務模塊中,在系統中針對同一個外向交貨單,不能重復開據系統發票等。X
參考文獻:
1.安廣實,陶蕓輝.IT審計風險成因及其防范對策思考[J].中國鄉鎮企業會計,2012,(8).
2.杰普·布勒姆.SOX環境下的信息技術治理[M].大連:東北財經大學出版社,2008.
3.林斌,覃東,吳炎太.信息技術內部控制操作指引與典型案例研究[M].大連:大連出版社,2010.
