1、 現(xiàn)代內(nèi)部控制理論概述

　　內(nèi)部控制起源于審計和管理的需要，管理的需要及保證資產(chǎn)安全和會計信息真實是內(nèi)部控制發(fā)展的主要動力。內(nèi)部控制經(jīng)歷了4個發(fā)展階段：①內(nèi)部牽制階段，以查錯防弊為目的；②內(nèi)部控制制度階段，將內(nèi)部控制分為會計控制和管理控制；③內(nèi)部控制結(jié)構(gòu)階段，將內(nèi)部控制分為控制環(huán)境、會計系統(tǒng)、控制程序；④內(nèi)部控制整體框架階段，將內(nèi)部控制分為控制環(huán)境、風險評估、控制活動、信息和交流、監(jiān)督5個相互聯(lián)系的部分。內(nèi)部控制理論由簡單的崗位內(nèi)部牽制向結(jié)構(gòu)化的內(nèi)控機制發(fā)展，并進一步發(fā)展成將企業(yè)環(huán)境、業(yè)務過程和管理有機結(jié)合的綜合控制系統(tǒng)，其演變過程可以說是各方利益集團共同作用的結(jié)果。

　　以按照美國權(quán)威審計機構(gòu)COSO為代表的現(xiàn)代內(nèi)部控制理論將內(nèi)部控制定義為“由企業(yè)董事會、管理層和其他員工制定和實施的，旨在為經(jīng)營的效果和效率、財務報告的可靠性以及相關法律法規(guī)的遵循性等目標提供合理保證的過程”，其整體框架由控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控五項要素構(gòu)成。每個要素均承載三個目標：經(jīng)營目標、財務報告目標、合規(guī)性目標。

　　企業(yè)管理人員、審計人員在經(jīng)營管理實踐中將現(xiàn)代內(nèi)部控制理論運用于會計信息系統(tǒng)，已經(jīng)形成了較為完善的自我監(jiān)督和行為調(diào)整的會計內(nèi)部控制框架。

　　2、 電算化會計信息系統(tǒng)內(nèi)部控制的特性

　　在電算化條件下，會計信息系統(tǒng)的內(nèi)部控制問題異常嚴峻：

　　2.1 基于計算機存儲器的數(shù)據(jù)管理方式，使會計數(shù)據(jù)泄漏和損失的風險因計算機軟硬件系統(tǒng)的脆弱性而成倍放大。計算機軟硬件系統(tǒng)發(fā)生故障時，數(shù)據(jù)的完整性將取決于備份的時效；而地震、洪水、建筑物倒塌等自然災害也將造成無法挽回的數(shù)據(jù)損失。甚至商業(yè)軟件加密卡的丟失和損壞都會給系統(tǒng)造成災難，同時給企業(yè)帶來巨大經(jīng)濟損失。

　　2.2 信息化常常使業(yè)務流程和財務流程整合在軟件系統(tǒng)中，包含許多不成文規(guī)則的手工方式的權(quán)限控制就必須重新分配。如果電算化下的控制模式?jīng)]有充分挖掘出手工方式下諸多的隱含規(guī)則，將造成電算化會計信息系統(tǒng)內(nèi)部控制的漏洞。

　　2.3 電算化條件下，技術(shù)人員尤其是系統(tǒng)管理人員的控制問題變得非常突出。極端情況下，系統(tǒng)管理人員可能造成極其毀壞或者全部系統(tǒng)崩潰的危險。

　　2.4 操作權(quán)限劃分和登陸密碼保護尤其重要。各級操作權(quán)限的隨意設定，密碼的泄露以及忘記，都會造成損失。

　　由此可見，隨著會計信息化的進程，手工會計系統(tǒng)原有的內(nèi)部控制已不能適應電子數(shù)據(jù)處理的新特點，不能有效地降低電算化會計信息系統(tǒng)特有的風險，為了系統(tǒng)的安全可靠和系統(tǒng)處理與存貯的會計信息準確完整，必須研究建立電算化會計信息系統(tǒng)的內(nèi)部控制框架。

　　3、 電算化會計信息系統(tǒng)的內(nèi)部控制框架

　　按照現(xiàn)代內(nèi)部控制理論，電算化會計信息系統(tǒng)的內(nèi)部控制框架由控制環(huán)境、風險評估、控制活動、信息和交流、監(jiān)督5個相互聯(lián)系的部分組成。

　　3.1 控制環(huán)境

　　內(nèi)部控制的環(huán)境是控制系統(tǒng)中其他要素的基礎，控制環(huán)境是各種因素共同作用的結(jié)果，可以增加或減少具體控制政策和程序的實施效果。換言之，控制環(huán)境決定著組織的整體風格，左右著組織中各成員的控制意識。

　　控制環(huán)境具體包含以下因素：誠信的原則和道德價值觀、雇員品質(zhì)和能力保證、管理哲學和經(jīng)營風格、組織結(jié)構(gòu)、董事會和審計委員會、責任分配與授權(quán)、人力資源政策和程序。

　　現(xiàn)實中會計信息造假案此起彼伏，股市人氣渙散，造成這類事件的原因很多，而內(nèi)部控制環(huán)境的缺陷是每個事件的共性原因。會計信息化（電算化）帶來了會計工作方式和業(yè)務處理流程的改變，也可能引起會計內(nèi)部控制環(huán)境各因素的變化。因此，企業(yè)必須在開展會計信息化工作的同時重視內(nèi)部控制環(huán)境建設，優(yōu)化企業(yè)紀律與架構(gòu)，塑造企業(yè)文化，提高企業(yè)職工的控制意識。

　　3.2 風險評估

　　每個企業(yè)都面臨著來自內(nèi)部和外部的不同奉獻，這些風險都必須加以評估。風險評估的先決條件是制定目標。風險評估就是一個確認、分析和管理企業(yè)實現(xiàn)目標過程中可能發(fā)生的風險的過程。會計信息系統(tǒng)的風險評估應該包括三個步驟：

　　第一， 明確系統(tǒng)目標。電算化會計信息系統(tǒng)的目標服務于企業(yè)整體目標，包括營運目標—包括績效和獲利目標及資產(chǎn)保全目標；財務報告目標—防止報送不真實的財務報告；合規(guī)性目標—企業(yè)經(jīng)營活動應遵循國家相關的法律法規(guī)。

　　第二， 辨識和分析風險。電算化會計信息系統(tǒng)面臨的風險，既有內(nèi)部因素也有外部因素。管理層必須謹慎注意各種風險，并采取必要管理措施。辨識和分析風險的過程是一種持續(xù)并反復的過程。電算化會計信息系統(tǒng)的風險分析必須結(jié)合系統(tǒng)的外部環(huán)境以及系統(tǒng)內(nèi)部要素（硬件、軟件、人員、規(guī)程、數(shù)據(jù)）來進行。分析風險通常要考慮以下內(nèi)容：系統(tǒng)面臨的威脅和易受到的攻擊；這些威脅對系統(tǒng)的影響程度；威脅發(fā)生的可能性；風險的性質(zhì)。

　　第三， 環(huán)境變化后的應對。系統(tǒng)外部經(jīng)濟、產(chǎn)業(yè)以及管理等控制環(huán)境隨時都會發(fā)生變化，系統(tǒng)內(nèi)部軟件、硬件、人員等要素也后發(fā)生變化，當這些變化發(fā)生時，會計信息系統(tǒng)的活動應隨之進行改變。因此，風險評估中最關鍵的步驟就是確認內(nèi)部和外部變化的情況，并及時采取必要的行動。

　　3.3 控制活動

　　控制活動是為了確保管理層的指令被執(zhí)行而建立的政策和步驟。電算化會計信息系統(tǒng)中常見的控制活動包括：

　　職責分工：職責分工是防止某個員工在他的正常職責范圍內(nèi)產(chǎn)生（或隱瞞）錯誤或違規(guī)行為必要且有效的措施。職責分工的原則是將交易授權(quán)、交易記錄和資產(chǎn)監(jiān)管三種權(quán)限必須分配給不同的人或部門。

　　適當?shù)奈臋n和記錄：在會計信息系統(tǒng)中應設計和使用適當?shù)奈臋n和記錄，以確保交易和事件的適當記錄。比如，文檔或記錄中的項目應當按次序?qū)崿F(xiàn)編號，項目應能夠被使用者方便地使用和理解，表格應提供特定的欄目以指明必要的授權(quán)和責任確認。

　　文檔和記錄作為存儲信息的物質(zhì)媒介，根據(jù)控制的需要有著各種不同的格式和內(nèi)容，如銷售訂單、出庫單、付款單、采購訂單、入庫單、驗收單、收款單等等；其存儲介質(zhì)可能表現(xiàn)為傳統(tǒng)的紙質(zhì)文檔，也可以是磁盤、光盤等用計算機讀寫的磁性或光學介質(zhì)。電算化并不排斥紙質(zhì)文檔和記錄。

　　適當?shù)奈臋n和記錄，在種類、內(nèi)容、格式、形式、副本量等方面的設計上都考慮了控制的要求和管理效率的兼顧，從而在實際應用中存儲和傳遞數(shù)據(jù)的同時還以權(quán)利和責任的傳遞推進著經(jīng)營的運作，以其標準化的格式和內(nèi)容確保經(jīng)營管理的規(guī)范化，最終提高系統(tǒng)的自動化水平。

　　限制接近資產(chǎn)：任何人只有在與所授權(quán)限一致的情況下才能接近資產(chǎn)。這就需要對接觸和使用資產(chǎn)的行為以及針對這種行為的記錄進行充分的實物上的控制和保衛(wèi)。有很多實物控制的手段可選：現(xiàn)金登記簿、保險柜、鎖、保險庫、禁區(qū)、保安人員、監(jiān)控攝像設備、警報系統(tǒng)等。必須注意，實物控制的有效性在很大程度上依賴于保證它們正常使用的相關措施，而不僅僅是設備的存在。

　　會計責任檢查和執(zhí)行情況復查：由授權(quán)人（或由授權(quán)人委托的人）、記錄人和資產(chǎn)監(jiān)管人在適當?shù)娜掌趯①Y產(chǎn)的帳面記錄與實物進行比較，對二者之間的差異進行調(diào)查與糾正。還要定期或不定期地對經(jīng)營管理行為的記錄和效果進行合法性與合理性評估。

　　3.4 信息和交流

　　這里的信息是指員工能夠獲得的其工作中所需要的信息，包括用來確認、收集、分析、分類、記錄和報告組織的交易以及為相關資產(chǎn)和負債進行會計處理的方法和記錄。溝通是指信息向上的、向下的、橫向的、在組織內(nèi)外自由的流動。會計信息系統(tǒng)不僅處理組織內(nèi)部所產(chǎn)生的信息，同時也處理與外部的事項、活動及環(huán)境等有關的信息。所有員工必須從最高管理層清楚地獲取控制責任的信息，而且必須有向上級部門溝通重要信息的方法和渠道，并與外界顧客、供應商、政府只管機關和股東等作有效的溝通。

　　信息的文檔化為會計信息系統(tǒng)中高效率的信息交流提供了條件，因此，信息和交流是會計信息系統(tǒng)內(nèi)部控制框架的重要組成部分。

　　3.5 監(jiān)督

　　內(nèi)部控制的質(zhì)量可能會在很多方面受到不利影響，包括缺乏遵從性、情況發(fā)生變化，甚至控制本身受到懷疑和誤解。為了確保會計信息系統(tǒng)的內(nèi)部控制被切實執(zhí)行，產(chǎn)生良好效果，并能夠隨時適應新情況，內(nèi)部控制本身必須被監(jiān)督。

　　監(jiān)督是由適當?shù)娜藛T，在適當及時的條件下，評估控制的設計和運作情況的過程。監(jiān)督通過持續(xù)監(jiān)督、個別評估或者二者的組合來確保會計信息系統(tǒng)的內(nèi)部控制能夠持續(xù)有效地運作。在內(nèi)部控制的監(jiān)督過程中，組織中有兩項職能非常重要，即內(nèi)部審計和控制自我監(jiān)督。

　　內(nèi)部審計。電算化會計信息系統(tǒng)完善、健全的內(nèi)部控制框架中，必須有完善、嚴密的內(nèi)部審計制度、獨立有效的內(nèi)部審計機構(gòu)和高素質(zhì)、高責任心的內(nèi)部審計人員。它既是內(nèi)部控制框架的重要組成部分，又是實現(xiàn)內(nèi)部控制目標的重要手段。

　　控制自我評估。控制自我評估是組織的管理部門和職員共同進行定期或不定期對會計信息系統(tǒng)的內(nèi)部控制進行評估，評估內(nèi)部控制的有效性及其實施的效率效果，以期能更好地達成內(nèi)部控制的目標。控制自我評估是為提高組織內(nèi)部控制的自我意識所作的努力，這種活動經(jīng)常以研討會的形式進行。

　　企業(yè)應當重視內(nèi)部控制的監(jiān)督檢查工作，建立和完善內(nèi)部審計監(jiān)督體系，并由專門機構(gòu)或者指定專門人員具體負責內(nèi)部控制執(zhí)行情況的監(jiān)督檢查。同時，為確保內(nèi)部審計監(jiān)督作用的發(fā)揮，促進內(nèi)部控制的嚴格執(zhí)行，必須加強對內(nèi)部審計機構(gòu)和人員的管理，提高審計人員的素質(zhì)，并賦予他們一定的獨立權(quán)限，以確保審計的獨立性、客觀性。

　　4、 結(jié)語

　　綜上所述，電算化會計信息系統(tǒng)的內(nèi)部控制是一個多要素的立體框架。然而，國內(nèi)企業(yè)并沒有全面理解內(nèi)部控制，有關電算化會計信息系統(tǒng)內(nèi)部控制文章都局限于電算化會計信息系統(tǒng)中內(nèi)部控制的必要性和特殊性的分析，以及一般控制和應用控制的討論。因此，國內(nèi)許多企業(yè)電算化會計系統(tǒng)的內(nèi)部控制存在以下問題： 控制環(huán)境薄弱、風險意識差，內(nèi)部壓力不足、缺乏適當?shù)目刂苹顒印⑿畔⒘魍ú粫常氊煵磺澹熑尾幻鳌?nèi)控機制不健全，控制乏力等問題。本文運用現(xiàn)代內(nèi)部控制框架理論，探討電算化會計信息系統(tǒng)內(nèi)部控制框架的構(gòu)建，以期引導國內(nèi)企業(yè)建立起完善的電算化會計信息系統(tǒng)內(nèi)部控制體系，降低威脅電算化會計信息系統(tǒng)的各種風險。