信息化环境下企业会计内部控制体系设计

内蒙古农业大学职业技术学院 刘建国

在全球经济高度一体化的今天，企业要想在激烈的市场竞争中脱颖而出，就必须充分利用先进的信息与互联网技术完善管理与内控体系，借此提升管理效率，最终实现提升运营效率的目标。随着信息化建设程度的不断提高，很多企业虽然建立了会计管理信息系统，但会计内控体系却仍然维持着传统会计管理的模式，导致会计内控失效，会计信息严重失真。实际上，企业应用会计管理信息系统的初衷既是为了提升会计管理工作效率，也是为了提升会计信息的准确性与真实性，但因为内控机制没进行相应调整，反而令会计信息的准确性与真实性有所降低，得不偿失。笔者对现代企业应如何构建信息环境下的会计控制体系进行了深入探讨，以期对企业提升会计控制效率有所帮助。

一、信息化环境对企业会计内控体系的新要求

（一）控制环境方面 由于会计信息管理系统具有一定的开放性，只要得到了相应的授权，系统使用人员就可以登录系统调取其权限范围内的所有信息，但信息本身是完全开放的，即使系统能够记录操作人员进行的操作，也很难记录信息是否被拷贝或者传播了出去，所以，如果不法分子盗取了会计信息，不进行彻查的话，是很难被发现的。另外，由于会计信息管理系统可以远程登录，只要破译了用户名和密码，任何人都可以随意登录系统，调用系统中的会计信息，这无疑令会计信息面临很高的安全风险。很多企业的高管层对信息管理系统并不是非常了解，也不清楚应该如何对会计信息系统进行有效的监督与控制，因此，企业必须改善控制环境，增强全体员工的会计内控意识，特别要做好管理层的内控意识强化工作。

（二）风险评估方面 信息环境下，企业绝大部分会计管理工作都是通过信息系统完成的，这在提升会计信息管理效率的同时，也提升了风险评估的难度。因为传统会计管理模式下，每项工作都是由对应的岗位员工完成的，企业只要做好人的控制就能保证会计信息的准确性与真实性，但信息环境下，很多会计处理工作都是由系统自动完成的，系统本身又具有一定的开放性，因此，提升了风险评估的难度，主要表现有：

（1）原始凭证数字化产生的风险。传统会计管理模式下，原始凭证都是纸质的，而且有对应的账簿，只要进行核对都能发现会计信息是否真实准确；但信息环境下，原始凭证进行了数字化处理，变成了电子数据的形式，存储在后台数据库中，如果有人恶意篡改了这些数字化的原始凭证，那么所有的会计信息都会以这种虚假的凭证为基础，自然会导致会计信息失真，从而降低会计内控的质量。另外，数字化的原始凭证都是保存在磁性介质中的，而这类设备极易损害，如果被损坏，其中的信息也就随之消失了，增大了信息的安全风险。

（2）授权方式改变产生的风险。传统的会计管理模式下，授权审批一般都是要相关人员盖章才可以生效的；但信息环境下，授权方式则改成密码授权，这种授权模式虽然能够实现对权限的有效管理，但由于授权密码本身都是存储在系统后台数据库中的，系统管理员以及其他拥有后台数据库访问权限的人员想要获得这些密码并不困难，这无疑增加了授权审批的正规性风险。

（3）内控程序完善程度产生的风险。信息系统内控程序风险主要取决于系统本身的完善程度。假设系统本身存在安全漏洞，那么其中的数据自然就处于不安全的环境之中；假设系统本身不够稳定，就很容易在处理会计信息时有所疏漏，自然也影响会计信息的准确性与真实性。另外，如果程序的算法本身存在问题，有可能会导致同样的错误反复出现，所以，企业必须提升计算机会计内控程序的完善程度，提升程序的稳定性与可靠性。

（4）网络会计产生的安全风险。信息化环境下，很多会计数据都是通过网络传输的，会计信息系统用户登录之后，可以通过网络远程调用会计信息，这无疑会产生一定的安全风险。第一，信息化环境下，企业的会计信息通过网络传输，而网络本身具有一定的开放性，如果这些会计信息被不法分子截获，无疑会对企业造成沉重的打击；第二，会计信息系统通过互联网连通，因此，极易受到黑客的攻击，会计信息面对很高的安全风险；第三，计算机病毒的快速传播增大了会计信息管理系统本身的风险，会计信息系统在连通互联网之后，很容易通过电子邮件以及下载的文件染毒，病毒很有可能会破坏系统中的数据，严重时甚至可能导致系统瘫痪。

（三）控制活动方面 对于现代企业来说，信息化环境下的会计控制活动较过去也发生了很大的变化。传统的会计内控基本上都是以纸质记录为中心的，但信息化环境下的会计内控则是以会计管理信息系统为中心的。当前，计算机在我国的普及率非常高，其在一定程度上提升了企业的会计管理水平，但同时也令会计信息面临着很高的安全风险，黑客很容易通过破译系统的用户名和密码盗用或者篡改后台数据中的会计信息，有时甚至会删除数据库中的会计信息，导致企业的会计管理系统瘫痪。可管理信息系统本身是一种无形的东西，企业很难按照传统的内控方式对其进行控制，必须改变具体的内控活动。

（四）监控方面 企业要保证会计内控的有效性，就必须对会计管理活动进行有效监控。但信息化环境下，会计活动的监控对象发生了变化，已经不再是传统的纸质账簿与凭证，而是电子化的会计信息与原始凭证。虽然这种监控活动同样具有有效性，但毕竟监控的信息都是电子化的，不像传统纸质文件那样具有不变性，即使当前监控的会计信息没有问题，但如果之后被人为改动，企业没有进行彻底核查的话，是很难发现这些变化的，监控自然也就丧失了原本的意义。因此，信息化环境下企业必须改变对会计管理活动的监控方式，提升监控水平，只有这样才能保证监控的有效性，保证会计信息的真实性与准确性。

二、信息化环境下企业会计内控体系构建

信息化环境下，企业在构建内控体系时，需要将会计信息管理系统存在的风险与相应的控制纳入其中。笔者认为企业可以推行IT治理的内控模式，这样不但可以保证整个系统的稳定性，还能保证会计信息真实。笔者基于IT治理的思想，构建了信息化环境下企业的内控体系，该体系不仅综合考虑了会计信息系统本身的控制，也考虑了互联网可能滋生的安全性风险，从源头上保证了会计内控的有效性，因此，具有很好的现实应用意义。本文构建的企业会计内控体系与一般的会计内控体系之间存在本质的区别，笔者构建的是满足企业信息化会计管理环境的会计内控体系，符合现代企业的发展要求。具体的会计内控体系架构如图1所示。

图1 信息化环境下企业会计内控体系基本架构

通过图1可知，笔者构建的企业会计内控体系较之一般的会计内控多出了IT控制的部分。很显然，信息化环境下，企业绝大部分会计管理工作都是通过会计管理信息系统完成的，因此，想要提升会计内控质量必须做好IT系统的控制工作。IT系统本身具有开放性与不稳定性等特点，再加上其通过互联网进行数据传输，因此，做好IT控制能够从根本上提升企业会计内控的效率，提升会计信息的真实性。下文将对基本架构中的各组成部分做详细说明。

（一）内部环境 内部环境是构建会计内控体系的基础，企业只有创造良好的内部环境，才能为会计内控体系运行提供必要条件，才能保证各项会计内控制度得到有力的执行。实际工作中，企业应认识到内部环境对提升会计内控效率的重要性，按图2所示的要素创造良好的IT管理内部环境，从而提升信息化环境下的会计内控效率。

图2 IT管理内部环境

（二）控制目标 企业应明确控制目标，可以将控制目标分为两部分：第一部分，业务目标。这个目标主要关注的是会计业务的控制，不但控制会计业务的合规性与合理性，还要控制会计业务流程的有效性；第二部分，IT目标。这个目标主要关注的是会计管理信息系统的控制，不但控制会计管理信息系统的安全性与稳定性，还要控制系统数据的真实性与可审计性，毕竟内审与外审是对内控体系有效性的最有效检验手段，只有系统数据具有良好的可审计性，才能保证审计的质量，从而真实反映出企业的会计内控效率。

（三）风险管理 企业必须增强风险管理意识，虽然传统会计管理模式下，企业也需要做好会计风险的管理，但信息化环境下的会计风险变得更加多样、更加复杂，因此，企业必须做好风险的识别、评估与应对工作，从而保证会计活动的合规性，进而降低运营过程中的会计风险。由于企业使用的会计管理信息系统本身会存在这样或那样的安全漏洞，而这些漏洞很容易成为不法分子的攻击对象；再加上会计信息系统是通过网络传输数据的，而网络具有一定的开放性，提升了数据的安全性风险。基于此，笔者建议企业做好技术风险的管理工作并将其纳入会计内控体系之中，借此提升会计信息的安全性与准确性。

（四）控制活动 由于设置的控制目标分为业务目标与IT目标两部分，因此，企业采取的具体内控活动也应该分为业务控制活动与IT控制活动两种类型。很显然，业务控制活动主要是为了提升会计业务操作的规范性与会计信息的真实性，而IT控制活动则是保证会计管理信息系统的实用性。为了提升控制活动的有效性，笔者引用了COBIT4.1模型，基于企业的基本会计业务设计了相应的IT控制活动。具体的控制活动分为以下四个步骤：

（1）规划与组织。企业在进行IT控制之前，要结合自身的运营情况与会计管理信息系统特点进行规划与组织，从而保证制定的IT控制方案可行有效。这项工作能够帮助企业了解IT控制的重点与难点，从而制定针对性的控制方案，进而提升控制质量。需要说明的是，企业在规划与组织IT控制活动时，必须充分考虑自身的运营实际与内部组织结构特点，不能盲目照搬其他企业的成功经验，只有这样才能保证制定的控制方案符合自身发展要求。

（2）获取与实施。如果条件允许，企业可以自行开发IT控制系统，虽然开发成本较购买现成的系统要高一些，但能够提升IT控制系统与企业运营的贴合性。笔者建议企业在实施过程中做好以下几方面工作：首先，在开发系统之前，要科学评估系统应有的可行性与经济性；其次，在正式使用系统之前，必须验证系统的合法性与合规性，并复核系统的开发流程，同时做好系统测试，及时修正存在的问题；第三，做好系统使用员工的培训工作，除了让他们熟练掌握系统的操作流程之外，还要让他们大致了解系统的后台运算原理；第四，制定严格的系统变更审批制度，只有得到有效授权审批的系统变更才可以实施。

（3）交付与支持。企业应通过IT控制系统对会计信息管理进行内控，除了监控经济业务操作的规范性之外，还应监控会计信息管理系统的安全性与稳定性，并将获得的信息及时反馈给相关部门。

（4）监控与评价。这是整个IT控制系统的信息传输中心，可以综合分析与处理会计信息系统的监控信息，并对这些信息反映出的内控问题进行评价，为相关部门管理者完善内控机制提供有力支撑。

（五）内部监督 企业构建信息化环境下会计内控体系的过程中，还应重视内控监督功能的实现。对于现代企业来说，会计内控是提升会计管理效率的有效手段，但会计内控的有效性如何则需要通过内部监督来评价。基于此，笔者建议企业组建专门的内审部门，对会计管理活动进行监督与审计，必要时还可以聘请业内专家加入内审团队，以提升内审的有效性。当然，由于内审是企业内部的行为，所以，难免会受到一些人为因素的干扰，企业应尽量提升内审流程的规范程度，明确相关人员的工作职能，从而降低人为因素对内审结果的影响，提升内审结果的准确性，为制定后续的会计管理决策指明方向。

［1］章铁生：《信息技术条件下的内部控制规范：国际实践与启示》，《会计研究》2007年第7期。

［2］黄莉娟：《网络环境下会计信息系统的内部控制创新》，《财会月刊》2012年第26期。