基于云会计视角的会计信息系统内部控制探析

（山西大学商务学院 山西太原 030031）

一、引言

随着大数据时代的到来和云会计的深入发展，越来越多的中小企业通过向云会计服务供应商购买服务的形式构建企业的会计信息化平台。云会计的出现，加快了中小企业会计信息化建设的步伐，解决了中小企业会计信息化人才匮乏的困境，使网上报税、网上银行和网上交易等会计信息系统的辅助功能成为了可能。然而，在云会计为企业会计信息化建设带来巨大变化的同时，也对会计信息系统的内部控制带来了新的挑战。云会计环境下会计信息系统的内部控制缺乏相应的理论指导和法律法规制度，因此，我们有必要重新审视基于云会计视角的会计信息系统内部控制。

有关会计信息系统内部控制的研究，一直以来备受学术界的专家和学者广泛关注，王民治从ERP的角度阐述了会计信息系统内部控制与风险防范的措施；王鑫从网络环境下会计信息系统内部控制的有效性入手，探讨了如何建立一个有效的内部控制机制，以提高会计信息系统的安全性。肖茜以COBIT模型为基础，对会计信息系统内部控制存在的问题进行了深入剖析，并重建了会计信息系统的内部控制体系。程平从内部控制的五要素的视角，分析云会计环境下会计信息系统内部控制的问题，并提出了相应的完善措施。

从以上文献资料的研究可以看出，会计信息系统内部控制的研究由来已久，众多的学者也分别从ERP、网络环境和COBIT模型不同的角度对会计信息系统内部控制进行了研究，而近年来由于云计算运用于会计领域和会计数据进入大数据时代，有关大数据时代基于云会计的会计信息系统内部控制方面的研究相对较少。我国财政部于2010年5月颁布了《企业内部控制应用指引第18号——信息系统》，该指引包括目标控制、规划控制、开发控制、运行控制、风险控制、评价控制等六部分，每一部分都提出了主要控制点和具体的控制措施，这是我国企业会计信息系统内部控制的规范性文件。目前，随着大数据云会计时代的到来，该指引中的具体措施已不能完全适用于采用云会计进行会计核算和管理的企业了，因此，我们有必要对基于云会计视角的会计信息系统内部控制进行深入探讨。

二、 云会计对会计信息系统内部控制的影响

（一）内部控制环境复杂化

由五部委联合对外发布的《企业内部控制基本规范》明确规定了内部环境包含的内容。根据云会计的概念和特征，内部环境应侧重对机构设置及权责分配、内部审计和人力资源方面的探讨。在机构设置及权责分配方面，由于云会计是通过购买软件服务、数据服务和基础架构服务搭建企业会计信息系统的，会计数据的处理和存储从企业的内部移到了互联网，加之大数据时代，会计数据可通过网络从云计算平台随时提取和处理，传统的会计信息系统需要大量的会计信息化专业人员对系统进行维护和管理，在云会计环境下，企业的软硬件资源都由云会计供应商进行统一的管理和维护，因此，企业的组织结构设置和权责分配已不能适用于云会计环境，企业可优化组织结构设置和精简财务信息化人员，如信息中心部门的机房和设备管理员、系统维护和开发人员、数据库管理人员等岗位的设立就值得商榷了。在内部审计机构设置和人员配置方面，应充分考虑云会计对内部审计的影响，云会计的应用改变了内部审计的内容和方法，内部审计的重点不再是信息系统的审计，而应注重云会计供应商提供的软件服务和数据服务的审计。在人力资源方面，目前大多数财务人员还停留在网络环境下会计信息系统的操作，对云会计这一新兴事物的应用还相对匮乏，这就使得财务信息化人员不能及时了解和发现云会计环境下会计信息系统的漏洞，从而带来巨大的内部控制风险。

（二）会计信息安全新风险

会计信息的安全主要指会计信息的存储、传输和处理的安全，目前，阻碍云会计发展的主要因素就是会计信息的存储、传输和处理的安全。在云会计环境下，会计信息的存储不再是企业内部的硬盘和光盘等磁性介质，其所在的存储位置出现了空间上的分离，这就使得企业在云会计环境下进行会计核算和管理的过程中，涉及到大量会计信息的存储、传输和处理。尽管目前国内的云会计服务供应商也推出了相应的安全管理机制，但在数据高度集中处理的大数据时代，也很难保证会计信息的绝对安全。

云会计是将会计信息通过互联网存储在远程服务器上，俗称为云端，云计算采用的是大规模和分布式的存储方式，这种存储方式导致企业根本不清楚会计信息到底存放在何处，云会计供应商很可能拥有特殊的权利对数据库进行访问，而企业却浑然不知。加之互联网的开放性，不可避免地会受到黑客或非法人员通过计算机病毒或间谍软件入侵数据库系统，财务人员缺乏云会计的专业技术知识，企业通常全权委托云会计供应商进行数据管理，这就导致云会计供应商需要为大量的企业用户管理提供数据加密保证，随之管理的难度加大，这将对存储在云端的会计信息安全带来隐患。此外，随着云会计的逐步深入发展，企业可通过云会计平台与税务、银行、工商等管理部门实现业务对接，云会计信息呈现出动态调整的特征，加之目前又缺乏云会计服务的质量评价标准，对云会计服务提供商提供的会计信息质量无法进行评估，不能确保会计信息的完整性、保密性和安全性。

（三）内部控制的关键点发生变化

传统会计信息系统内部控制主要包含一般控制和应用控制，即侧重于系统开发控制、系统安全控制、输入控制、处理控制和输出控制。与传统会计信息系统内部控制相比，云会计环境下会计信息系统内部控制的关键点发生了变化。云会计环境下，企业免去了会计信息系统的开发和维护，也不必构建会计信息化平台所需的硬件资源和网络资源等基础设施。另外，所有使用云会计服务的企业在云端进行处理和存储，共享一个资源池，通过数据挖掘技术的处理获取的财务预测、决策和分析等信息为各企业所用，这些数据的可靠性和可用性成为关键控制点，同时，增加了在云端各业务模块之间数据的传递和处理的监控。

（四）缺少云会计下内部控制的监管机制

《企业内部控制应用指引第18号——信息系统》为企业会计信息系统内部控制的实施提供了指导。然而，在大数据云会计时代，企业不再参与会计信息系统的开发和维护，企业实施会计信息化的软件和基础设施全部由云会计服务供应商构建，企业基于虚拟化的基础设施，通过虚拟机获取动态的计算资源，实现会计实时动态处理。因此，该指引中的信息系统的开发和信息系统的运行与维护等有关内容已无法适应云会计下的内部控制，这就迫切需要政府相关部门尽早出台基于云会计视角的会计信息系统内部控制的法律法规，以保障云会计环境下会计信息系统内部控制的有效实施。

三、构建云会计视角的会计信息系统内部控制框架

（一）建立与云会计相适应的控制环境

在云会计环境下，企业需根据云会计的特征和云服务模式，对原有的组织机构设置进行重新调整。在精简组织机构时，应充分考虑企业的特征、经营模式和规模大小等因素，同时结合成本效益原则，合理规划和设置组织结构，使之符合大数据云会计时代的要求。在动态化的云会计服务模式下，软件版本的升级和更新维护变得更加不可见，对于信息化技术水平薄弱的企业，应高度重视云会计产品服务的选择，避免企业购买的云会计产品无法适应内部控制环境的情况。在合理设置组织机构的基础上，按照不相容职务相互分离的原则，企业还需进行合理的权责分配，制定合理完整的云会计环境下的授权审批制度。为了适应云会计环境下的会计核算和管理的需要，企业可引进先进的云会计专业技术人才，同时对企业现有的信息化技术人员应加强培训，逐步掌握云会计运行模式和关键技术，及时发现云会计环境下会计信息系统的纰漏和风险，并第一时间反馈给云会计产品供应商，以避免风险，减少损失。

（二）加强云会计信息安全的监管

首先，加强云会计信息安全技术的开发。由于云会计环境下会计信息存放在互联网上，而并非企业内部的服务器上，这就使得企业失去了会计信息的物理控制，因此，加强云会计信息安全技术的开发就显得尤为重要。企业应对访问云会计平台的操作员进行身份认证，保证登录云会计平台的用户安全性，解决会计信息在云端的有效隔离技术，确保不同企业用户的会计信息在云端的物理隔离，为企业提供虚拟化的物理隔离会计信息化环境。

其次，提高云会计信息系统的可信度。阻碍云会计发展的关键因素就是云会计下的会计信息安全问题建设，云会计服务的供应商和用户应共同努力解决这一难题，云会计服务的供应商应及时做好会计信息的备份工作，在信息系统正常的自动备份计划之余，增加会计信息的异地备份，以防止系统出现异常时，及时恢复备份数据，保证会计信息的安全性和准确性，为用户会计信息的安全提供保障；此外，提供云会计服务的供应商也应加大资金的投入，对云会计专业技术和保障信息系统安全性的关键技术进行深入研究，借鉴国外知名云会计公司的成熟技术经验，进一步研发可信度较高的云会计平台，尽可能消除用户对信息系统安全问题的担忧。为了确保云会计环境下会计信息的安全，云会计服务的使用者即企业用户也应当建立和健全企业的内部控制安全管理机制，通过设置云会计用户认证口令、严格授权审批制度和对会计数据进行加密处理等技术手段保证云会计信息的安全性，用户认证口令和会计信息密钥都必须由企业进行严格管理。

（三）重点关注云会计环境下新增控制点

云会计环境下新增控制点成为云会计环境下会计信息系统内部控制的重点。云会计环境下企业的数据库和网络中心都被置于云端，这些会计数据对其他云会计用户的可见性直接关系到企业会计数据的安全性，云会计服务供应商严禁在企业未允许的情况下随意使用企业的数据资源，必须要征得云会计用户的许可。企业自身也需加强数据的加密控制，财务人员不得随意将密钥透露给云会计服务供应商。在进行大数据分析时，企业可适当将非敏感数据授权给云会计服务供应商，这就对供应商的可信性提出了新的要求，企业可建立供应商可信性风险评价机制，定期对供应商的可信性进行评估，减少云会计服务供应商随意透露企业信息的可能性。

（四）完善云会计下会计信息系统内部控制法律法规

云会计是近年来会计领域出现的新兴事物，目前在我国刚刚起步，其相对应的一系列法律法规、标准和工作规范尚不完善，2014年10月31日在北京召开的第五届中国信息安全法律大会上，由中国云计算安全政策与法律工作组编写的《2014中国云计算安全政策与法律蓝皮书》在大会同步发布，该蓝皮书为企业采用云会计实施会计信息化提供了法律模式，帮助企业正确认识了我国缺乏云会计信息安全法律法规的事实。因此相关部门应进一步完善云会计法律法规，尽快将云会计信息的安全管理制度和法规纳入到《企业会计信息化工作规范》和《企业内部控制基本规范》，完善云会计环境下会计信息的安全建设规范。在完善法律法规体系的同时还应建立云会计服务供应商的质量评价标准，建立合理的行业标准，筛选出技术水平先进、可信度高的云会计服务供应商，为云会计的竞争市场创造良好的环境，成立云会计信息安全的第三方监管机构，定期对云会计服务供应商进行评估，对发现的问题及时整改，对于不合格的供应商取消其云会计服务资质，确保云会计信息的安全。

四、结论

云会计的出现，为企业实施会计信息化提供了保障，节约了企业会计信息化建设的投入成本，企业可通过其强大的数据处理和计算能力实时获取财务分析数据，为企业管理者或相关利益团体和机构及时提供财务预测和决策信息，从而提高工作效率。但是，企业用户对云会计环境下会计信息安全问题的担忧，加之会计信息系统内部控制管理机制的缺失，成为云会计发展的关键难题，本文从云会计的概念出发，分析了云会计对会计信息系统内部控制的影响，并提出建立与云会计相适应的控制环境、加强云会计信息安全的监管、重点关注云会计环境下新增控制点和完善云会计下会计信息系统内部控制法律法规四个解决措施。我们坚信，随着大数据云会计的逐步深入发展和云会计信息安全政策法规的确立，云会计环境下会计信息系统内部控制风险将迎刃而解。