当代会计信息系统内部控制中存在的问题

李梦芸

据测算，到2013年我国信息化市场规模将达到近40亿元人民币，2007年-2013年的市场规模复合增长率接近20%，而这种信息化就包含了会计信息化。如此快速的信息化速度必然会对包括内部控制在内的企业管理造成一定的冲击，必须科学应对才能在享受信息化的益处的同时化解信息化带来的风险。

一、会计信息化的涵义

会计信息化这一概念是2000年由深圳市财政局与深圳金蝶软件科技有限公司在深圳举办的“新形势下会计软件市场管理研讨会暨会计信息化理论专家座谈会”上提出的，是会计电算化发展到新阶段的产物。理论界对信息化的理解有不同的观点，如技术观、过程观、组成要素观等，因而对会计信息化这一概念也就有不同的阐述。我国会计信息化理论专家胡仁昱教授的定义更符合运用的现状，其表述为：会计信息化是指在企业中依据系统科学、管理科学，应用现代信息技术，整合企业的业务流程与会计处理流程，建立会计信息系统；充分开发和利用会计信息资源，及时、准确地向企业内部和外部使用者提供有用的会计信息支持，以加强会计的反映和监控作用的综合过程。从这一表述中可以看出，会计信息化是过程化的概念，它表述了这样几层含义：一是信息获取的手段是网路、通信和数据库；二是企业业务流程和会计处理流程得以重整，更能体现信息提供的时效性；三是对企业的资金流、实物流和信息流实施全程实时控制；四是会计信息的空间范围得以扩大，信息涵盖面包括货币信息和非货币信息、内部信息和外部信息等。

二、会计信息系统下内部控制的主要内容

（一）组织与管理控制

组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制，其基本目标是建立恰当的组织机构和职责分工制度，以达到相互牵制、相互制约、防止或减少舞弊发生的目的。其主要内容包括：

（1）工作站点设置。合理设置工作站点，并通过操作系统、数据库管理系统实现对各工作站的职责分工控制。

（2）内部审计制度。设立独立的部门，监督和控制各工作站的日常运行；建立相应的内部审计制度。

（3）风险管理制度。设立风险评估小组（可由系统分析员、内审人员、主要用户组成），定期对系统进行风险评估、弱点分析，以不断完善会计控制体系。

（二）系统日常操作管理控制

系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业，不得超越权限接触系统。系统应制定适当的权限标准体系，使系统不被越权操作，从而保证系统的安全。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。操作规程应明确职责、操作程序和注意事项，并形成一套电算化系统文件。

（三）系统维护控制

系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等，涉及到系统功能的调整、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录，维护过程的每一环节都必须设置必要的控制，维护的原因和性质要有书面形式的报告，经批准后才能实施修改。软件修改尤为重要，网络会计系统操作员不能参与软件的修改，所有与系统维护有关的记录都应该打印后存档。

（四）会计数据资源控制

数据库系统是整个系统控制的主要安全目标。对数据库系统安全的威胁主要来自两个方面：一是系统内外人员对数据库的非法访问；二是由于系统故障、误操作或人为破坏造成数据库的物理损坏。针对上述风险，会计数据资源控制主要可采取以下措施：（1）合理定义应用子模式。子模式是指全部数据资源中面向某一特定用户或应用项目的一个数据子集。在网络环境下，为了限制合法用户或非法访问者轻易获取全部会计数据资源，应根据不同的应用项目（功能）分别定义面向用户操作的数据界面，做到需要什么数据，用到什么数据，就开放什么数据。（2）会计数据资源授权表制度。明确定义每一用户对数据资源访问的范围和内容，并分别规定对数据库的查阅、修改、删除、插入等操作权限。（3）数据备份和恢复制度。网络环境下的数据备份和恢复远比成批集中式处理环境下要复杂，为保证系统恢复的有效性和一致性，建立业务日志文件（记录系统处理过程的文件）和检查点文件（作业内容信息能被记录下来，并可重新启动该作业的一个点）是必要的。

（五）网络的安全控制

随着网络技术快速地发展，公司应加强网络安全的控制，在技术上对整个财务网络系统的各个层次（通信平台、网络平台、操作系统平台、应用平台）都要采取安全防范措施和规则，建立综合的多层次的安全体系。网络安全性指标包括数据保密、访问控制、身份识别等。

（六）应用控制

应用控制是指具体的应用系统中用来预防、检测和更正错误，以及防止不法行为的内部控制措施。（1）在输入控制中，要求输入的数据应经过必要的授权，并经有关内部控制部门检查，还要采用各种技术手段对输入数据的准确性进行校验；（2）在处理控制中，对数据进行有效性控制和文件控制，有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等，文件控制包括检查文件长度、标识和是否染毒等；（3）在输出控制中，一要验证输出结果是否正确和是否处于最新状态，以便用户随时得到最新准确的会计信息，二要确保输出结果能够发送到合法的输出对象，文件传输安全正确。

三、企业会计信息化环境下内部控制制度存在的问题

（一）管理控制方面

1.职责分离执行不力

实行信息化会计后，企业财务工作人员的岗位职责制度分配不明确，在权限分配不详尽的情况下可能出现越权。

2.身份识别与权限控制难度增加

在手工会计系统中，任何一项经济业务从发生到形成相对应的会计信息，所经历的每个环节都要求具有相应管理权限的人员签字或盖章，有效地防止了伪造、篡改会计数据等作弊行为。会计实现信息化后，部分转为人与计算机系统间的联系，身份识别与权限控制增大了难度。原先的签名或盖章转化为授权文件和口令，口令存放于计算机系统内而不像印章那样由专人保管，一旦口令被人窃取或破译，便会带来巨大隐患，有可能造成企业机密泄漏和会计数据的丢失。

3.系统中审计过程不完善

没有监督就等于没有控制。监督是对整个内部控制系统的再控制，主要由审计部门实施。程序控制思路仅涉及各个环节的牵制问题，难以顾及监督因素。

4.维护过程中存在风险

企业系统日常维护，主要解决在日常操作中计算机硬件、软件一些简单故障。在对日常维护过程中，常常是出了问题就由工作人员直接通知维护人员进行维护，没有严格的申报和测试验收制度，维护过程中也没有相应的记录。

（二）系统控制方面

1.会计信息系统缺乏兼容性，系统内部衔接性差

目前，会计信息系统很难在不同制造商的会计系统和其他管理系统上实现完全的数据共享。会计软件虽然比较成熟，但对于管理型财务软件开发力度尚小，存在的问题依然较多，系统内部衔接性也较差。

2.数据保密性、安全性差

企业在会计信息化进程中主要存在的问题是数据的安全保密性差，这也是企业内控制度中最薄弱的环节。在手工会计系统中，原始凭证以纸张作为载体，有签章并留有文字记录，数据一旦被修改就会留下痕迹和线索，修改或伪造的难度很高。企业实施信息化后，企业内部控制的环境发生了变化，内部控制的重点也由对人的控制转变为对人、计算机、网络等信息设备和环境的控制。在会计信息化系统中，会计信息以各种数据文件的形式记录在磁性存储介质上，这种无纸化的会计资料极易被增删、篡改、伪造或恶意破坏而不留任何痕迹，它弱化了纸质原始凭证所具有的较强的控制能力，为日后会计的跟踪增加了难度。

3.各核算模块缺乏衔接致使内部控制难度加大

往来模块、固定资产、工资、报表等模块功能设置过于死板，不能处理特殊业务数据，从而影响了辅助模块与总账系统的数据转换的正确度。

4.软件已有的功能不符合内部控制的要求

软件提供的取消、复核、反过账、反结账等功能，这些功能的提供造成许多会计数据经处理后反而更灵活可变了，使得复核、登账后能直接修改有关凭证、账簿内容；结账后不能再输入、修改该月的凭证、账簿等控制完全失效。单位领导、会计人员可以据此功能，适当调整某些会计数据。

5.软件缺乏必要的审计接口

会计型软件必须具有充分的保留和提供审计线索的功能。但是，我国的商品化会计软件设计与开发似乎尚未给予足够的重视。会计软件缺少审计接口，从而给信息化后的审计工作带来新问题，也影响了会计信息化系统内部控制发挥应有的作用。

（三）财务网络化带来的新问题

近年来，随着计算机技术和网络通讯技术的发展，网络化会计信息系统日趋普及。目前财务软件的网络功能主要包括远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等，实现这些功能就必须有相应的控制，从而加大了会计系统安全控制的难度。网络中出现用户非法读取、执行、修改、删除、扩充和迁移各种数据、索引模式、子模式和程序等，从而使数据遭到破坏、篡改或泄露；甚至利用计算机舞弊和犯罪，或使计算机病毒侵入等。

四、会计信息化条件下加强企业内部控制的建议

（一）政府宏观环境的塑造

1.以法律为基础，以科技和管理进步为导向，营造适应企业发展和管理需要的外环境。一是要进一步完善修订会计法规，制订会计信息管理标准，特别是XBRL的标准等，以便企业制定自己的内部控制的手段和策略。二是要进一步完善现代企业制度，真正实现产权明晰、权责清楚、管理科学、政企分开，加速国有企业改革的步伐，从产权制度上保证内部控制制度的有效实施，使所有者能有效行使职权，加强对全体管理者所实施的监控。三是针对管理信息化的趋势，要使管理者明确自己在新条件下的职责与角色，进一步强化对生产经营管理过程的监督与控制。通过外部环境的完善，促使企业积极主动地去实施内部会计控制。

2.加强对会计信息化系统研发的监控。会计信息化系统的研发，既涉及到诸多学科，也还涉及到各方面的利益及管理上的问题。因而，省以上的财政部门在组织商品化会计信息软件的评审时，在强调其提供各种需要的信息功能的同时，应强调其在内部会计控制方面是否符合要求，制定会计信息标准。目前财政部门评审财务软件的依据是《会计电算化管理办法》、《商品化会计核算软件评审规则》、《会计核算软件基本功能规范》等法规，但显然已经不适应今后信息化条件下的要求。今后的相关政策法规、技术标准要适应信息化发展的需要，应重视对软件内部会计控制的检查，在明确软件公司的责任的条件下，强化用户在数据输入、处理、输出、传输和安全保护等方面的责任。

3.以法规的形式明确企业会计信息化的管理制度。主要包括以下内容：（1）各种人员的岗位责任制。（2）安全保密制度。制定口令密码的使用和管理办法，机房、保卫、数据资料安全等方面应遵循的制度。（3）机器操作管理制度。（4）数据管理制度。规定输入、输出、存储、查询、使用数据应遵守的制度。（5）会计档案管理制度。（6）系统维护管理制度。规定系统维护的申请、审批和应完成的任务。（7）会计信息的网络管理制度。规定原始数据、会计信息的网络传输、发布的管理制度。

（二）行业组织的自律

1.研制包括会计信息系统在内的企业管理信息系统的软件企业应当成立其行业自律组织，并根据适时的相关法律、法规，制定相应的行业自律制度。通过制定行业管理规范、产品质量标准、行业职业道德等进行自我管理、自我控制，最终目的是通过内行来管理内行。

2.实行会计信息化管理的企业，也应成立会计行业信息管理方面的自律组织，形成一个互相监督、交互管理的行业管理制度。既包括对其使用会计信息系统是否合规进行管理，也包括对其使用、职位的分工、信息传递流程等是否合法合规进行监督，还包括对其产生的信息质量进行控制。最终目的是通过竞争来形成监督。

（三）企业内部管理控制的健全

企业应当根据《会计法》及相关法规制度，建立起一整套内部控制制度。具体而言，就是要根据不兼容权限必须分离原则、相互制约原则、安全、保密原则、内部防范原则，加强和完善对计算机会计系统的各部门和人员的管理和控制，包括组织机构的设置、责任划分、监督管理、档案管理等。

1.组织架构。在会计信息化条件下，应对原有的组织机构进行适当的调整，以适应计算机网络基础上的会计信息系统的要求。企业可以按会计数据的不同形态，划分为网络管理组、数据收集输入组、数据处理组和会计信息分析组、系统安全组；也可按会计岗位和工作职责划分为计算机会计主管、软件操作、审核记账、电算维护、电算审查、数据分析等岗位。组织机构的设置必须适合企业的实际规模、管理水平及企业的总体经营目标。

2.职责划分。内部控制的关键点就在于不相容职务的分离；会计信息系统对每一项可能引起舞弊或欺诈的经济业务，都不能由一个人或一个部门经手到底，必须分别由几个人或几个部门承担。

（四）加大对“复合型”会计信息化人才的培养

企业信息化环境下，内部控制条件、环境等都有了革命性的变化，因此，要建立有效的企业内部控制制度，就必须培养会计信息化专业人才。从未来发展的要求看，应在高校着手培养具有会计、管理等专业知识，同时具有信息化技能的复合型专业人才；从连续性要求看，应对现有的电算化管理人员的经常性进行信息化知识及会计理论的培训，提高其信息化条件下的专业技能，以形成新、老结合，高、中、低结合的会计信息化人才队伍。

[1]李立志.会计信息系统内部控制特点的演变20111003.

[2]艾文国，王亚鸣。企业会计信息化内部控制问题研究[J].中国管理信息化，2010（15）：15.

[3]黄莉娟.会计信息系统内部控制分析[J].合作经济与科技，2009（8）：88.