会计信息系统的内部控制

三、会计信息系统的内部控制

（一）会计信息系统内部控制的概念

1．内部控制的概念及其组成要素

企业内部控制是企业管理的重要组成部分。目前人们普遍认同的企业内部控制概念，是1992年美国COSO委员会在《内部控制——整体框架》报告中对其进行的阐释。该报告认为：内部控制应是由企业董事会、经理阶层和其他员工实施的，为公司资产的保护、公司运营效率的提高，以及保证财务报告的准确可靠性和相关法令的遵循性等目标的达成而提供合理保证的过程。

从以上解释可以看出，企业内部控制的有效执行必须要有企业董事会、经理阶层和其他员工的共同参与，应该为企业某些目标的达成提供合理保证。内部控制的目标包括合理保证财务报告的可靠性、合理保证营运的效率和效果，以及合理保证对相关法令的遵循等等。

企业内部控制实施的过程也是企业管理的过程，因此，企业内部控制的构成要素自然应与企业管理的过程相融合。它具体包括以下5个方面：

（1）了解与控制有关的环境要素。与控制有关的环境要素确定了一个组织的氛围，并对管理层和雇员的控制意识产生影响。这些环境内容包括：管理层的道德价值观、管理哲学和经营风格，企业的业绩评定方法；企业的组织结构；员工的职业道德和能力；董事会和审计委员会的参与程度；人力资源的管理政策和实务；责任分配和授权的程序，等等。控制的环境要素是企业内部控制其他要素产生作用的基础。

（2）对组织中各种风险进行评估。即对组织中风险进行分析、确认和管理。它是提高内部控制效率和效果的关键。企业应建立相关的风险评估机制，以随时了解自身面临的风险，并适时加以处理。在风险评估时，应考虑到各种环境因素对风险所造成的影响。一般来说，风险会随多种环境因素而产生或变化。如经营环境或经营方式发生了变化、岗位分工发生了变化，开发了新的产品或使用了新的技术等等，都会引起风险发生变化或产生新的风险。

（3）实施控制活动。即为减少有关风险和损失所采取的一系列适当的、必要的控制措施、政策、程序和行动。按用途，可以将控制活动分为以下3种：一是预防性控制。它主要用于防止错误和舞弊的发生；二是检查性控制。它主要用于在错误和舞弊发生时对其进行识别，即一旦差错和舞弊发生，就能自动发出信号并实施检查；三是纠正性控制。它主要用于在错误和舞弊发生时，能自动根据发生的情况采取措施进行状态调整，从错误和舞弊所带来的后果中修复损害，从而尽可能地减少损失。控制活动的实施将贯穿于企业内部的各个阶层和各职能部门，其手段包括交易授权、职责划分、业务流程与操作规程制订、业务记录、信息处理控制、规章制度制订和进行独立检查等等。

（4）信息的反馈与沟通。会计信息系统产生的信息质量会直接影响到管理层采取措施和制定决策的能力。组织可以利用会计信息系统取得在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。一个完善的信息系统必须能有效地传输或沟通各种信息。有效的沟通包括：所有的员工都应能清楚地获得需谨慎承担责任的信息；所有的员工都应能理解内部控制的各个角色及责任，以及每个员工的活动对他人工作所造成的影响；当特殊情况发生时，必须具有向组织上层、顾客、供应商、政府主管机关和股东等的有效沟通渠道和方法。信息的反馈和沟通是组织在实现其目标过程中必不可少的内容。

（5）监督。即是对内部控制的机制及其运行情况进行的跟踪、监测和调节。它是内部控制过程的重要组成部分。监督可以通过日常的监控活动来完成，也可通过执行独立的监督活动（如内部审计和外部审计等）或二者结合来实现。监督应该贯穿于整个内部控制的全过程，通过监督活动可以实现在必要时对内部控制加以修正的目的。

2．会计信息系统内部控制的概念及其控制目标

按照以上对企业内部控制概念的解释和分析，我们可以为企业会计信息系统的内部控制的含义进行限定：即企业会计信息系统的内部控制就是指为了保证会计信息系统的正确性、可靠性和安全性，提高会计信息系统的运营效率，确保会计信息的准确可靠，利用各种技术和手段对会计信息系统实施管理和控制的过程。会计信息系统内部控制是以信息系统本身为控制对象的。会计信息系统由计算机硬件和软件、应用系统、数据和相关人员等要素构成；会计信息系统内部控制的根本目的就是在信息系统风险分析基础上，消除或降低系统风险所带来的危害。其控制的目标主要有以下几个方面：

（1）保证系统的合法性。系统的合法性包含两层含义，一是指设计的会计信息系统是合法的，即遵循当前会计法规和财经制度的有关规定，并且符合财政部颁布的有关会计软件开发的有关规定；二是指会计信息系统所处理的经济业务是合法的，即符合企业既定的会计政策，符合公认的会计准则、法律和法规等。因此在会计信息系统的设计和运行阶段，都要建立严格的内部控制制度和措施，以确保系统及其所处理经济业务的合法性。

（2）保证系统的安全性。会计信息系统的安全可靠是其正常运行的前提和基础。因此在系统设计及正式投入运行之前，就应充分考虑到可能对系统安全构成威胁的各种因素，并通过建立严密完善的硬件、软件和数据安全措施来减少和消除这些因素带来的安全隐患。

（3）保证系统处理数据的真实性和准确性。会计数据真实和准确是会计工作最基本的要求。为保证系统处理数据的准确、完整和安全，以及财务报告信息的真实可靠，应将系统内部控制重点放在软件开发质量和人员行为规范控制上，应充分发挥内部审计的监督作用。在系统设计过程中，可将一些控制措施嵌入到程序中，如授权控制、数据处理控制、数据准确性控制、数据安全性控制、业务发生与各种预算监控控制、主要数据处理步骤留有痕迹控制、监控系统设置以及重要数据文件和重要程序文件被非法修改控制等；在系统运行过程中，应通过建立有效的组织管理制度，加强对输入数据的控制，确保输入数据的准确性和真实性。

（4）保护企业的资产和资源。会计信息系统所产生的会计信息是对企业资产、资源不同方面的价值反映。所以对会计信息系统的内部控制，必然会影响到对企业资产和资源的保护方面问题。

（5）提高系统的效率和效益。企业经营管理决策，离不开及时、有效、真实、完整的会计信息支持。因此系统的效率和效益必然会影响到企业管理层的决策，进而影响到企业的竞争力和企业经营目标的实现。

需要说明的是，对会计信息系统内部控制的作用，必须要有一个客观和正确的认识。要充分认识到内部控制的实施所存在的局限性，这种局限性主要表现在以下几个方面：一是在设计内部控制措施时，如果要建立或实施某项控制措施的成本过大，而取得的效益相对较小，那么这样的控制措施就应该放弃；二是内部控制措施的设计，一般只是针对经常发生的事项而设置，而通常要忽略掉那些偶然发生的事项；三是即使很有效的控制措施，也可能会因为执行人错误的理解、粗心大意、疲劳或其他人为因素而导致失效；四是即使很有效的控制措施，如果不相容职务的用户相互勾结，串通舞弊，或用户判断错误，也会导致失效；五是如果系统管理者越权或滥用职权，那么同样会使系统的内部控制措施形同虚设；六是系统内部控制措施的实施与控制执行的环境和条件息息相关，如果系统运行的环境或条件发生了变化，那么设计再精巧的控制措施也会失效。

（二）信息技术对会计信息系统内部控制的影响

计算机及网络通信技术的应用，尽管不会改变会计内部控制的目标和原则，但由于会计数据处理方式及会计工作组织方式等方面的变化，使会计信息系统内部控制的方法和措施也会受到极大的影响，它会使在手工环境下长期形成的一整套完善的内部控制方法和措施失去作用。具体来说，表现在以下几个方面：

（1）内部控制手段和形式的变化。一是相互牵制和制约手段的变化。前面已说过，手工环境下不同岗位和功能之间的相互牵制和制约是通过手工签名甚至是口头约定来实现的，但在计算机环境下则要靠严谨的密码授权手段来完成；二是计算机环境下的岗位设置与传统手工有很大不同，有些手工环境下的职能和岗位，可能在计算机环境下已不复存在，但却又会衍生许多新的职能、功能和岗位。这些新的职能、功能或岗位之间，它们的相互牵制和制约关系，可能不像手工会计那样直白和简单，人们需要不断实践甚至需要经历许多教训，才能逐渐认识到它。这实际上就增加了内部控制体系设计的难度；三是在传统手工会计实务中的一些常规控制措施，在计算机环境下可能已变得不再有用或有效。如通过科目汇总表或凭证汇总表来进行试算平衡检查，通过账簿平行登记、账账核对、账证核对来进行记账检查等。

（2）内部控制内容的变化。在传统手工会计中，控制实施的主要对象是人，因此，在会计中所设计的所有控制点几乎都是围绕人这一对象展开的；而在计算机会计信息系统中，除了人的因素外，还有硬件和软件组成的计算机系统，人们需要同时考虑对这一机器系统对象实施有效的内部控制。

（3）内部控制重点的变化。在手工环境下，所有的业务处理都是业务人员通过手工完成的，内部控制的重点就是人及其所处理的业务；但在计算机环境下，业务处理过程包括了人工处理、信息系统处理和人机交互处理几个环节，因此，内部控制的重点除了人及其所处理的业务外，还包括了计算机系统处理、人机交互处理，以及不同系统之间信息传递的过程。这就需要根据不同的情况设置不同的控制点，以形成完善有效的内部控制体系。