会计信息系统内部控制制度发展策略

在推进会计系统计算机化和网络化过程中,企业的传统内部控制安全受到了巨大冲击和挑战,信息技术的广泛应用使得原来基于权力制约和岗位分置的内部控制逐步发展成为以信息流为基础的信息技术内部控制[1],内部控制方式在信息技术的影响下也发生了根本性的变革。
　　
　　 一、会计信息系统内部控制的理论框架
　　
　　在信息化过程中,有关国家政府和国际性组织已考虑到了信息技术对内部控制的巨大影响,并发布了内部控制规范或模型。这些规范或模型,可为构建我国会计信息系统的内部控制框架提供借鉴和参考。
　　 (一)内部控制的理论框架
　　1. COSO的《内部控制——整合框架》
　　美国COSO委员会于1992年、1994年先后发布修订了《内部控制——整合框架》,该报告是迄今为止对内部控制最为全面的描述。报告中指出,内部控制是由控制环境、风险评价、控制活动、信息与沟通、监控等5个相互关联的要素构成的。内部控制目标、内部控制要素及内部控制主体三者之间存在直接的关系,共同构成一个理想的内部控制整体框架[2]。COSO框架关于信息技术对内部控制的影响的规范集中体现在对信息系统本身的控制,COSO框架在“控制活动”要素部分规范了对信息系统的控制,并把信息系统的控制分为一般控制和应用控制两大类。一般控制也称为总体控制,包括数据中心操作控制、系统软件控制、接触安全控制和应用信息系统开发和维护的控制;应用控制是指嵌入于各业务流程之中的借助于信息系统来实现的控制,应用控制有助于保证交易处理及授权的完整性、准确性和有效性。COSO框架包含了对信息系统更多的关注,但这个框架的建立仍基于传统的内部控制理论,比如仍依赖于岗位分置和监控等活动[1]。
　　2. 英国《Turnbull报告》
　　《Turnbull报告》提出了“四要素”论,即控制环境、控制活动、信息与沟通、监督检查。Turnbull报告是以风险控制为主导,并以原则导向制定的,这些内控规定更利于企业结合实际情况后贯彻执行,并可降低建立和执行内部控制的成本。而传统规则导向的内部控制规定很容易增加公司上市和维持上市的成本。Turnbull报告强调董事会必须对公司内部控制系统的建设负总责,尤其应关注风险管理的核心问题,如公司面临风险的性质和程度、公司承受风险的能力、风险发生的可能性、实行风险控制的成本以及从风险管理中获得的收益。
　　 (二)信息技术环境下的信息系统风险与控制框架
　　1. 国际组织的信息系统内控COBIT框架
　　20世纪90年代开始,随着互联网在世界范围的应用,各种各样的信息系统成为各种业务处理的核心。然而,互联网使信息资源在发挥巨大作用的同时,也产生了众多不安全因素,给企业带来了巨大的风险。人们越来越清楚地意识到有效管理和控制信息及相关信息技术是进入信息化社会的可靠保障,信息技术对内部控制的影响已经得到社会各方的重视[3]。在这个背景下,信息系统审计与控制基金会(ISACF)开发了信息及相关技术管理控制框架(COBIT),这个框架是信息技术管理的通用标准。它吸收了世界上信息控制领域和其他多个领域已被接受的标准,以帮助人们了解并管理与信息技术相关的风险。COBIT框架吸收了ITSEC、TCSEC、 ISO 9000、SPICE、TicklT、Common Criteria等认证标准,形成一套专供企业经营者、信息技术专家、MIS审计员强化和评估信息技术管理和控制的规范。COBIT框架由信息系统管理和控制的6个相互关联的部分——管理者摘要、框架、应用工具、管理指导、控制目标、审计指南组成[4]。在COBIT的高级控制指标中,包括信息技术评价指标、信息技术资源及信息技术过程。其中,信息技术评价指标主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性;信息技术资源主要包括人、应用系统、技术、设施及数据等与信息相关的资源,这是信息技术处理过程的主要对象;信息技术过程则从信息技术的规划与组织、采集与实施、交付与支持、监控等4个方面确定了34个信息技术处理过程,每一个处理过程是一系列关联的信息技术活动或任务。由此可以看出,与COSO框架不同的是,COBIT框架的重点集中于利用信息技术来达到企业的目标和实施内部控制,这是对COSO等传统的内部控制框架的补充和发展。这个框架通过应用中强调信息技术和企业目标一致、信息技术帮助企业运营和最大化收益、信息技术资源被负责地运用以及信息技术风险被适当地管理来实现信息技术治理。COBIT将企业的内部控制和信息技术的应用融为一体,对于我们建设有关信息技术条件下的内部控制规范极具参考价值[5]。因此,COBIT从体系化、标准化的高度,构建了关于信息系统投资、建设、评估、风险控制的知识框架,超越了传统的产品与服务的概念,是会计信息化事业与内部控制新的发展思路。
　2 . OECD的信息系统安全指导方针
　　过去有关信息安全的研究,大多侧重于确保信息安全技术的应用,然而信息安全的维护不能仅靠应用信息安全技术,建立相应的管理政策、健全信息系统的内部控制将更为有效。信息安全管理系统(ISMS)就是在信息安全的强烈需求下应运而生的。1992年11月OECD的24个会员国决议采用信息、计算机与通讯政策组织(ICCP)订立的“信息系统安全指导方针”。进而在2002年第1 037次理事会会议上发布了新的信息系统安全指导方针,将信息安全提升到了文化高度,涵盖了从安全认知到安全职责等9个方面的内容,其中包括意识、责任、响应、道德、民主、风险评估、安全设计和实施、安全管理以及再评估等[4]。
　　3. 《电子系统保证与控制》(eSAC)
　　针对企业信息系统内部控制问题,在1994年的《系统可审计性与控制》所建立的 论文检测天使-免费论文检测软件http://www.jiancetianshi.com
第一个与信息技术业有关的SAC内部控制框架的基础上,美国内部审计协会(IIA)于2001年根据信息系统领域发生的新变化构建了一个更为现代化的信息系统控制框架——电子系统保证与控制框架(eSAC),整个框架包括控制环境、人工控制系统和自动控制系统、把控制融入系统的控制程序等三部分[4]。eSAC为有效的技术风险管理设置了一个平台,为评估电子商务控制环境提供了一个框架;也有助于对客户、管制者、管理当局和董事会理解和管理信息技术风险提供保证,为管理层和审计师理解、评估与减轻技术风险提供了新的框架。
　　eSAC报告提出,传统的控制观点在现行的电子信息系统和网络的环境下已经不再适用了,因为现在需要将基础设施和商业应用过程联系起来考虑,在这样的环境下对于控制过程可以分为一般控制及应用控制,一般控制包括保护数据的安全性和保密性、项目和记录的安全性以及物理安全性;应用控制包括授权的交易被完整的记录、所有的交易只被系统处理一次、交易处理和记录的准确性等。虽然eSAC模型的出发点是针对电子系统的控制,但为我们发展信息技术条件下内部控制模型,将重点放在控制环境、一般控制和应用控制上提供了参考[1]。

　　4. TrustServices框架
　　TrustServices是AICPA和CICA在2003年4月发布的评价网络信任服务和系统信任服务的原则框架。它将信息系统控制的标准分为5个:安全性、可获得性、过程完整性、隐私安全性和保密性,并将其标准和原则归入了4个方面进行评价:政策、沟通、程序和监督。TrustServices框架是用来识别信息技术给企业带来的风险和机会,并且可以评价企业信息系统控制有效性的,它可以定义一个在特定的时间和环境条件下无实质性错误进行运营的比较可靠的系统,所以用它的标准来设立信息技术条件下的内部控制关键点,从而发展相应的信息技术内部控制模型很有价值[1]。TrustServices框架比COBIT框架相对狭义,但它将基础设施和商业应用过程联系起来考虑,在这样的环境下对于控制过程可以分为一般控制及应用控制,一般控制包括保护数据的安全性和保密性、项目和记录的安全性以及物理安全性,应用控制包括授权的交易被完整地记录、所有的交易只被系统处理一次、交易处理和记录的准确性等。
　　5. 日本的《财务报告内部控制的评价和监督准则》
　　日本也高度重视信息技术对内部控制的影响,其特色是直接将“对信息技术的应用”作为内部控制的一个基本组成部分。在日本的《财务报告内部控制的评价和监督准则》中指出,内部控制由6个基本部分组成:控制环境、风险评估与应对、 控制活动、 信息与沟通, 监控和对信息技术的应用[1]。这个框架很类似COSO框架,但将对信息技术的应用单独作为内控框架的一部分,在控制环境、监控等方面也强调了信息技术的影响。
　　根据以上初步探讨,会计信息系统内部控制的理论分析框架如图1所示。
　　
　　
　　
　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/fontbr二、构建中国会计信息系统内部控制框架的理论与规范
　　
　　我国理论界也密切注意着信息技术环境下企业内部控制制度的变化,有的学者进一步探讨了信息系统环境下企业内部控制制度的构建,试图建立一种“数据—系统—网络”的内部控制体系,以适应信息技术应用的特点[2];有的学者研究利用信息技术改善控制程序、增强控制手段,将信息技术有效地集成到业务和信息过程中,借助于信息技术来防范与控制经营风险[3,6,7] ;许永斌(2000)在对互联网会计信息系统的风险进行分析的基础上,提出相应的解决措施:在企业内部实现操作系统控制、会计数据资源控制、系统维护控制、应用控制、计算中心控制、组织控制和工作站点控制;在企业外部实现周界控制、大众访问控制、电子商务控制、远程处理控制等[8]。这些研究推动了我国新经济下内部控制制度的发展与创新。由于信息技术控制存在的技术风险会影响所有(或大部分)财务报表的可靠性,甚至影响企业的生存[9]。因此,多数学者的研究仍然是以技术层面为主,尚未深入探讨过信息时代内部控制框架发生怎样的深刻变化。 　　2007年3月,财政部内部控制标准委员会颁布了《企业内部控制规范》(征求意见稿),使我国企业内部控制规范上了一个台阶。此次的内控规范,增加了基于信息技术系统的内部控制政策与程序,强调了信息系统安全性。我国新的内部控制规范明确且有条理地将内部控制呈现在企业面前,这一标准将为企业会计信息系统内部控制提供一个很好的引导。2009年1月,国家财政部关于推进我国会计信息化工作的指导意见(征求意见稿)中提出,要积极推动会计信息系统与管理信息系统的有效集成,着力将会计准则和内部控制标准固化在信息系统中,力争将会计师事务所内部控制制度固化在管理信息系统中。在2009年1月1日起施行的《中国内部审计具体准则第28号——信息系统审计》中指出:信息技术内部控制的各个层面都包括人工控制、自动控制和人工、自动相结合的控制形式,审计人员应根据不同的控制形式采取恰当的审计程序。该准则基于COSO框架的评价方法,从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、对控制活动的监督等5个方面评价内部控制系统,但是诸多内容基本上是原则性的。监控活动可以分为3类:领导型监控、职能型监控和独立型监控。前两者应该完全嵌入管理信息系统,后者则可相对独立,即要建立相对独立的信息化的审计系统,包括审计管理系统和审计实施系统。对于大型组织而言,可能也需要向集成化、联网化方向发展。
　　
　　 三、会计信息系统内部控制的发展策略
　　
　　1. 关注信息集成环境下的内部控制。近些年来,一些管理信息系统正在向集成化、联网化方向发展,目前,比较流行的管理信息系统有企业资源计划系统(ERP )、供应链管理系统(SCM)等。例如ERP系统集成了大量的子系统,具有财务、销售、生产、人力资源、质量、决策支持等管理控制功能。因此,未来需要着重研究的是信息集成环境下的内部控制框架如何构建,比如信息集成对内部控制具体的影响和冲击,利用信息技术进行控制与对信息技术的控制的关系等,这些问题将会影响到信息集成环境下的内部控制规范,是值得我们着力突破的研究方向[1]。
　　2. 加强系统控制管理。系统控制是指与程序设计、运行维护、数据处理过程、硬件设备等相关的可靠性控制制度。根据信息技术应用下的企业内部控制中新的控制风险,企业应加强在这几方面的控制力度。它包括一般控制与应用控制。一般控制帮助管理层确保系统能持续、适当地运转,具体含有应用系统开发、建立和维护控制、系统软件与操作控制、数据和程序控制、存取安全控制、网络安全控制等;应用控制是对会计信息系统中具体的数据处理活动所进行的控制,包括应用软件中的电算化步骤及相关的人工程序,划分为输入控制、计算机处理与数据文件控制和输出控制[2]。
　　3. 遵循五要素原则。五要素原则的内容在各个框架中都能融合,具有广泛的适用性。控制环境、风险评估、控制活动、信息与沟通、监督五要素是一个相互联系、综合作用的有机控制整体,使单纯的控制活动与企业环境、管理目标及控制风险相结合,形成一套不断改进、自我完善的内部控制机制[10]。更有利于企业董事会、经理层和其他员工共同实施,为营运的效率效果、财务报告的可靠性及相关法令的遵循性等目标的达成提供合理保证。
　　4. 企业的内控环境应包括企业价值观,企业文化、理念和使命,企业道德与诚信等,应先行建设公司信息系统控制的制度与文化环境。如董事会的一些政策,比如商业行为的政策、关于欺诈行为的政策,还有关于公司内部组织结构安排的政策。另一方面是高层人员的道德情况表现,以及他们对各种各样错误所作出反应的一致性。
　　5. 循序渐进,分步实施,设计一定的过渡期。会计信息内部控制是一个系统工程,涉及企业信息技术应用与安全、业务流程再造、机构与人员的重整,需要投入大量的人、财、物,仅靠外部力量推动是不能达到效果的。
　　6. 建议按信息活动流程来确定信息系统内部控制规范。在复杂的系统和发展的信息技术的条件下,准则可能会滞后于实务的发展,按信息活动流程来实施管理,可避免内部控制人员在面临新问题、新情况时无所适从、无法可依。
　　
　　主要【参考文献】
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/br
[1]论文检测天使-论文免费检测软件[EB/OL]. /d/file/p/2024/0425/shu.html />　　[1] 章铁生. 信息技术条件下的内部控制规范 [J].会计研究,2007(7).
　　[2] 刘志远,刘洁.信息技术条件下的企业内部控制[J].会计研究,2001(12).
　　[3] 骆良彬,张白.企业信息化过程中内部控制问题研究[J].会计研究,2008(5).
　　[4] 陈志斌.信息化生态环境下企业内部控制框架研究[J].会计研究,2007(1).
　　[5] 陈志斌,何忠莲.内部控制执行机制分析框架构建[J].会计研究,2007(10).
　　[6] 欧阳电平,陈彦.信息技术环境下企业会计信息系统发展中的关系研究[J]. 财会通讯:学术版,2008(10).
　　[7] 郑海英. 上市公司内部控制环境研究[J].会计研究,2004(12).
　　[8] 许永斌. 基于互联网的会计信息系统控制[J]. 会计研究,2000(8). [9] 唐志豪,计春阳,胡克瑾. 信息技术治理研究述评[J].会计研究,2008(5).
　　[10] 财政部会计司考察团.英国和法国企业内部控制考察报告[J]. 会计研究,2007(9).