论电算化会计信息系统的内部控制框架

　　会计信息化在提高会计信息处理的速度和准确性的同时也给会计信息系统带来了新的控制问题。手工会计系统原有的内部控制已不能适应电子数据处理的新特点，不能有效地降低电算化会计信息系统特有的风险，为了系统的安全可靠和系统处理与存贮的会计信息准确完整，必须依据现代内部控制理论构建电算化会计信息系统的内部控制框架。

　　1、现代内部控制理论概述

　　内部控制起源于审计和管理的需要，管理的需要及保证资产安全和会计信息真实是内部控制发展的主要动力。内部控制经历了4个发展阶段：①内部牵制阶段，以查错防弊为目的；②内部控制制度阶段，将内部控制分为会计控制和管理控制；③内部控制结构阶段，将内部控制分为控制环境、会计系统、控制程序；④内部控制整体框架阶段，将内部控制分为控制环境、风险评估、控制活动、信息和交流、监督5个相互联系的部分。内部控制理论由简单的岗位内部牵制向结构化的内控机制发展，并进一步发展成将企业环境、业务过程和管理有机结合的综合控制系统，其演变过程可以说是各方利益集团共同作用的结果。

　　以按照美国权威审计机构COSO为代表的现代内部控制理论将内部控制定义为“由企业董事会、管理层和其他员工制定和实施的，旨在为经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程”，其整体框架由控制环境、风险评估、控制活动、信息与沟通、监控五项要素构成。每个要素均承载三个目标：经营目标、财务报告目标、合规性目标。

　　企业管理人员、审计人员在经营管理实践中将现代内部控制理论运用于会计信息系统，已经形成了较为完善的自我监督和行为调整的会计内部控制框架。

　　2、电算化会计信息系统内部控制的特性

　　在电算化条件下，会计信息系统的内部控制问题异常严峻：

　　2.1基于计算机存储器的数据管理方式，使会计数据泄漏和损失的风险因计算机软硬件系统的脆弱性而成倍放大。计算机软硬件系统发生故障时，数据的完整性将取决于备份的时效；而地震、洪水、建筑物倒塌等自然灾害也将造成无法挽回的数据损失。甚至商业软件加密卡的丢失和损坏都会给系统造成灾难，同时给企业带来巨大经济损失。

　　2.2信息化常常使业务流程和财务流程整合在软件系统中，包含许多不成文规则的手工方式的权限控制就必须重新分配。如果电算化下的控制模式没有充分挖掘出手工方式下诸多的隐含规则，将造成电算化会计信息系统内部控制的漏洞。

　　2.3电算化条件下，技术人员尤其是系统管理人员的控制问题变得非常突出。极端情况下，系统管理人员可能造成极其毁坏或者全部系统崩溃的危险。

　　2.4操作权限划分和登陆密码保护尤其重要。各级操作权限的随意设定，密码的泄露以及忘记，都会造成损失。

　　由此可见，随着会计信息化的进程，手工会计系统原有的内部控制已不能适应电子数据处理的新特点，不能有效地降低电算化会计信息系统特有的风险，为了系统的安全可靠和系统处理与存贮的会计信息准确完整，必须研究建立电算化会计信息系统的内部控制框架。

　　3、电算化会计信息系统的内部控制框架

　　按照现代内部控制理论，电算化会计信息系统的内部控制框架由控制环境、风险评估、控制活动、信息和交流、监督5个相互联系的部分组成。

　　3.1控制环境

　　内部控制的环境是控制系统中其他要素的基础，控制环境是各种因素共同作用的结果，可以增加或减少具体控制政策和程序的实施效果。换言之，控制环境决定着组织的整体风格，左右着组织中各成员的控制意识。

　　控制环境具体包含以下因素：诚信的原则和道德价值观、雇员品质和能力保证、管理哲学和经营风格、组织结构、董事会和审计委员会、责任分配与授权、人力资源政策和程序。

　　现实中会计信息造假案此起彼伏，股市人气涣散，造成这类事件的原因很多，而内部控制环境的缺陷是每个事件的共性原因。会计信息化（电算化）带来了会计工作方式和业务处理流程的改变，也可能引起会计内部控制环境各因素的变化。因此，企业必须在开展会计信息化工作的同时重视内部控制环境建设，优化企业纪律与架构，塑造企业文化，提高企业职工的控制意识。

　　3.2风险评估

　　每个企业都面临着来自内部和外部的不同奉献，这些风险都必须加以评估。风险评估的先决条件是制定目标。风险评估就是一个确认、分析和管理企业实现目标过程中可能发生的风险的过程。会计信息系统的风险评估应该包括三个步骤：

　　第一，明确系统目标。电算化会计信息系统的目标服务于企业整体目标，包括营运目标—包括绩效和获利目标及资产保全目标；财务报告目标—防止报送不真实的财务报告；合规性目标—企业经营活动应遵循国家相关的法律法规。

　　第二，辨识和分析风险。电算化会计信息系统面临的风险，既有内部因素也有外部因素。管理层必须谨慎注意各种风险，并采取必要管理措施。辨识和分析风险的过程是一种持续并反复的过程。电算化会计信息系统的风险分析必须结合系统的外部环境以及系统内部要素（硬件、软件、人员、规程、数据）来进行。分析风险通常要考虑以下内容：系统面临的威胁和易受到的攻击；这些威胁对系统的影响程度；威胁发生的可能性；风险的性质。

　　第三，环境变化后的应对。系统外部经济、产业以及管理等控制环境随时都会发生变化，系统内部软件、硬件、人员等要素也后发生变化，当这些变化发生时，会计信息系统的活动应随之进行改变。因此，风险评估中最关键的步骤就是确认内部和外部变化的情况，并及时采取必要的行动。

　　3.3控制活动

　　控制活动是为了确保管理层的指令被执行而建立的政策和步骤。电算化会计信息系统中常见的控制活动包括：

　　职责分工：职责分工是防止某个员工在他的正常职责范围内产生（或隐瞒）错误或违规行为必要且有效的措施。职责分工的原则是将交易授权、交易记录和资产监管三种权限必须分配给不同的人或部门。

　　适当的文档和记录：在会计信息系统中应设计和使用适当的文档和记录，以确保交易和事件的适当记录。比如，文档或记录中的项目应当按次序实现编号，项目应能够被使用者方便地使用和理解，表格应提供特定的栏目以指明必要的授权和责任确认。[page]