會(huì)計(jì)信息化在提高會(huì)計(jì)信息處理的速度和準(zhǔn)確性的同時(shí)也給會(huì)計(jì)信息系統(tǒng)帶來(lái)了新的控制問(wèn)題。手工會(huì)計(jì)系統(tǒng)原有的內(nèi)部控制已不能適應(yīng)電子數(shù)據(jù)處理的新特點(diǎn)，不能有效地降低電算化會(huì)計(jì)信息系統(tǒng)特有的風(fēng)險(xiǎn)，為了系統(tǒng)的安全可靠和系統(tǒng)處理與存貯的會(huì)計(jì)信息準(zhǔn)確完整，必須依據(jù)現(xiàn)代內(nèi)部控制理論構(gòu)建電算化會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制框架。

　　1、現(xiàn)代內(nèi)部控制理論概述

　　內(nèi)部控制起源于審計(jì)和管理的需要，管理的需要及保證資產(chǎn)安全和會(huì)計(jì)信息真實(shí)是內(nèi)部控制發(fā)展的主要?jiǎng)恿Α?nèi)部控制經(jīng)歷了4個(gè)發(fā)展階段：①內(nèi)部牽制階段，以查錯(cuò)防弊為目的；②內(nèi)部控制制度階段，將內(nèi)部控制分為會(huì)計(jì)控制和管理控制；③內(nèi)部控制結(jié)構(gòu)階段，將內(nèi)部控制分為控制環(huán)境、會(huì)計(jì)系統(tǒng)、控制程序；④內(nèi)部控制整體框架階段，將內(nèi)部控制分為控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和交流、監(jiān)督5個(gè)相互聯(lián)系的部分。內(nèi)部控制理論由簡(jiǎn)單的崗位內(nèi)部牽制向結(jié)構(gòu)化的內(nèi)控機(jī)制發(fā)展，并進(jìn)一步發(fā)展成將企業(yè)環(huán)境、業(yè)務(wù)過(guò)程和管理有機(jī)結(jié)合的綜合控制系統(tǒng)，其演變過(guò)程可以說(shuō)是各方利益集團(tuán)共同作用的結(jié)果。

　　以按照美國(guó)權(quán)威審計(jì)機(jī)構(gòu)COSO為代表的現(xiàn)代內(nèi)部控制理論將內(nèi)部控制定義為“由企業(yè)董事會(huì)、管理層和其他員工制定和實(shí)施的，旨在為經(jīng)營(yíng)的效果和效率、財(cái)務(wù)報(bào)告的可靠性以及相關(guān)法律法規(guī)的遵循性等目標(biāo)提供合理保證的過(guò)程”，其整體框架由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控五項(xiàng)要素構(gòu)成。每個(gè)要素均承載三個(gè)目標(biāo)：經(jīng)營(yíng)目標(biāo)、財(cái)務(wù)報(bào)告目標(biāo)、合規(guī)性目標(biāo)。

　　企業(yè)管理人員、審計(jì)人員在經(jīng)營(yíng)管理實(shí)踐中將現(xiàn)代內(nèi)部控制理論運(yùn)用于會(huì)計(jì)信息系統(tǒng)，已經(jīng)形成了較為完善的自我監(jiān)督和行為調(diào)整的會(huì)計(jì)內(nèi)部控制框架。

　　2、電算化會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的特性

　　在電算化條件下，會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制問(wèn)題異常嚴(yán)峻：

　　2.1基于計(jì)算機(jī)存儲(chǔ)器的數(shù)據(jù)管理方式，使會(huì)計(jì)數(shù)據(jù)泄漏和損失的風(fēng)險(xiǎn)因計(jì)算機(jī)軟硬件系統(tǒng)的脆弱性而成倍放大。計(jì)算機(jī)軟硬件系統(tǒng)發(fā)生故障時(shí)，數(shù)據(jù)的完整性將取決于備份的時(shí)效；而地震、洪水、建筑物倒塌等自然災(zāi)害也將造成無(wú)法挽回的數(shù)據(jù)損失。甚至商業(yè)軟件加密卡的丟失和損壞都會(huì)給系統(tǒng)造成災(zāi)難，同時(shí)給企業(yè)帶來(lái)巨大經(jīng)濟(jì)損失。

　　2.2信息化常常使業(yè)務(wù)流程和財(cái)務(wù)流程整合在軟件系統(tǒng)中，包含許多不成文規(guī)則的手工方式的權(quán)限控制就必須重新分配。如果電算化下的控制模式?jīng)]有充分挖掘出手工方式下諸多的隱含規(guī)則，將造成電算化會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的漏洞。

　　2.3電算化條件下，技術(shù)人員尤其是系統(tǒng)管理人員的控制問(wèn)題變得非常突出。極端情況下，系統(tǒng)管理人員可能造成極其毀壞或者全部系統(tǒng)崩潰的危險(xiǎn)。

　　2.4操作權(quán)限劃分和登陸密碼保護(hù)尤其重要。各級(jí)操作權(quán)限的隨意設(shè)定，密碼的泄露以及忘記，都會(huì)造成損失。

　　由此可見，隨著會(huì)計(jì)信息化的進(jìn)程，手工會(huì)計(jì)系統(tǒng)原有的內(nèi)部控制已不能適應(yīng)電子數(shù)據(jù)處理的新特點(diǎn)，不能有效地降低電算化會(huì)計(jì)信息系統(tǒng)特有的風(fēng)險(xiǎn)，為了系統(tǒng)的安全可靠和系統(tǒng)處理與存貯的會(huì)計(jì)信息準(zhǔn)確完整，必須研究建立電算化會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制框架。

　　3、電算化會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制框架

　　按照現(xiàn)代內(nèi)部控制理論，電算化會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制框架由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和交流、監(jiān)督5個(gè)相互聯(lián)系的部分組成。

　　3.1控制環(huán)境

　　內(nèi)部控制的環(huán)境是控制系統(tǒng)中其他要素的基礎(chǔ)，控制環(huán)境是各種因素共同作用的結(jié)果，可以增加或減少具體控制政策和程序的實(shí)施效果。換言之，控制環(huán)境決定著組織的整體風(fēng)格，左右著組織中各成員的控制意識(shí)。

　　控制環(huán)境具體包含以下因素：誠(chéng)信的原則和道德價(jià)值觀、雇員品質(zhì)和能力保證、管理哲學(xué)和經(jīng)營(yíng)風(fēng)格、組織結(jié)構(gòu)、董事會(huì)和審計(jì)委員會(huì)、責(zé)任分配與授權(quán)、人力資源政策和程序。

　　現(xiàn)實(shí)中會(huì)計(jì)信息造假案此起彼伏，股市人氣渙散，造成這類事件的原因很多，而內(nèi)部控制環(huán)境的缺陷是每個(gè)事件的共性原因。會(huì)計(jì)信息化（電算化）帶來(lái)了會(huì)計(jì)工作方式和業(yè)務(wù)處理流程的改變，也可能引起會(huì)計(jì)內(nèi)部控制環(huán)境各因素的變化。因此，企業(yè)必須在開展會(huì)計(jì)信息化工作的同時(shí)重視內(nèi)部控制環(huán)境建設(shè)，優(yōu)化企業(yè)紀(jì)律與架構(gòu)，塑造企業(yè)文化，提高企業(yè)職工的控制意識(shí)。

　　3.2風(fēng)險(xiǎn)評(píng)估

　　每個(gè)企業(yè)都面臨著來(lái)自內(nèi)部和外部的不同奉獻(xiàn)，這些風(fēng)險(xiǎn)都必須加以評(píng)估。風(fēng)險(xiǎn)評(píng)估的先決條件是制定目標(biāo)。風(fēng)險(xiǎn)評(píng)估就是一個(gè)確認(rèn)、分析和管理企業(yè)實(shí)現(xiàn)目標(biāo)過(guò)程中可能發(fā)生的風(fēng)險(xiǎn)的過(guò)程。會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估應(yīng)該包括三個(gè)步驟：

　　第一，明確系統(tǒng)目標(biāo)。電算化會(huì)計(jì)信息系統(tǒng)的目標(biāo)服務(wù)于企業(yè)整體目標(biāo)，包括營(yíng)運(yùn)目標(biāo)—包括績(jī)效和獲利目標(biāo)及資產(chǎn)保全目標(biāo)；財(cái)務(wù)報(bào)告目標(biāo)—防止報(bào)送不真實(shí)的財(cái)務(wù)報(bào)告；合規(guī)性目標(biāo)—企業(yè)經(jīng)營(yíng)活動(dòng)應(yīng)遵循國(guó)家相關(guān)的法律法規(guī)。

　　第二，辨識(shí)和分析風(fēng)險(xiǎn)。電算化會(huì)計(jì)信息系統(tǒng)面臨的風(fēng)險(xiǎn)，既有內(nèi)部因素也有外部因素。管理層必須謹(jǐn)慎注意各種風(fēng)險(xiǎn)，并采取必要管理措施。辨識(shí)和分析風(fēng)險(xiǎn)的過(guò)程是一種持續(xù)并反復(fù)的過(guò)程。電算化會(huì)計(jì)信息系統(tǒng)的風(fēng)險(xiǎn)分析必須結(jié)合系統(tǒng)的外部環(huán)境以及系統(tǒng)內(nèi)部要素（硬件、軟件、人員、規(guī)程、數(shù)據(jù)）來(lái)進(jìn)行。分析風(fēng)險(xiǎn)通常要考慮以下內(nèi)容：系統(tǒng)面臨的威脅和易受到的攻擊；這些威脅對(duì)系統(tǒng)的影響程度；威脅發(fā)生的可能性；風(fēng)險(xiǎn)的性質(zhì)。

　　第三，環(huán)境變化后的應(yīng)對(duì)。系統(tǒng)外部經(jīng)濟(jì)、產(chǎn)業(yè)以及管理等控制環(huán)境隨時(shí)都會(huì)發(fā)生變化，系統(tǒng)內(nèi)部軟件、硬件、人員等要素也后發(fā)生變化，當(dāng)這些變化發(fā)生時(shí)，會(huì)計(jì)信息系統(tǒng)的活動(dòng)應(yīng)隨之進(jìn)行改變。因此，風(fēng)險(xiǎn)評(píng)估中最關(guān)鍵的步驟就是確認(rèn)內(nèi)部和外部變化的情況，并及時(shí)采取必要的行動(dòng)。

　　3.3控制活動(dòng)

　　控制活動(dòng)是為了確保管理層的指令被執(zhí)行而建立的政策和步驟。電算化會(huì)計(jì)信息系統(tǒng)中常見的控制活動(dòng)包括：

　　職責(zé)分工：職責(zé)分工是防止某個(gè)員工在他的正常職責(zé)范圍內(nèi)產(chǎn)生（或隱瞞）錯(cuò)誤或違規(guī)行為必要且有效的措施。職責(zé)分工的原則是將交易授權(quán)、交易記錄和資產(chǎn)監(jiān)管三種權(quán)限必須分配給不同的人或部門。

　　適當(dāng)?shù)奈臋n和記錄：在會(huì)計(jì)信息系統(tǒng)中應(yīng)設(shè)計(jì)和使用適當(dāng)?shù)奈臋n和記錄，以確保交易和事件的適當(dāng)記錄。比如，文檔或記錄中的項(xiàng)目應(yīng)當(dāng)按次序?qū)崿F(xiàn)編號(hào)，項(xiàng)目應(yīng)能夠被使用者方便地使用和理解，表格應(yīng)提供特定的欄目以指明必要的授權(quán)和責(zé)任確認(rèn)。

　　文檔和記錄作為存儲(chǔ)信息的物質(zhì)媒介，根據(jù)控制的需要有著各種不同的格式和內(nèi)容，如銷售訂單、出庫(kù)單、付款單、采購(gòu)訂單、入庫(kù)單、驗(yàn)收單、收款單等等；其存儲(chǔ)介質(zhì)可能表現(xiàn)為傳統(tǒng)的紙質(zhì)文檔，也可以是磁盤、光盤等用計(jì)算機(jī)讀寫的磁性或光學(xué)介質(zhì)。電算化并不排斥紙質(zhì)文檔和記錄。

　　適當(dāng)?shù)奈臋n和記錄，在種類、內(nèi)容、格式、形式、副本量等方面的設(shè)計(jì)上都考慮了控制的要求和管理效率的兼顧，從而在實(shí)際應(yīng)用中存儲(chǔ)和傳遞數(shù)據(jù)的同時(shí)還以權(quán)利和責(zé)任的傳遞推進(jìn)著經(jīng)營(yíng)的運(yùn)作，以其標(biāo)準(zhǔn)化的格式和內(nèi)容確保經(jīng)營(yíng)管理的規(guī)范化，最終提高系統(tǒng)的自動(dòng)化水平。

　　限制接近資產(chǎn)：任何人只有在與所授權(quán)限一致的情況下才能接近資產(chǎn)。這就需要對(duì)接觸和使用資產(chǎn)的行為以及針對(duì)這種行為的記錄進(jìn)行充分的實(shí)物上的控制和保衛(wèi)。有很多實(shí)物控制的手段可選：現(xiàn)金登記簿、保險(xiǎn)柜、鎖、保險(xiǎn)庫(kù)、禁區(qū)、保安人員、監(jiān)控?cái)z像設(shè)備、警報(bào)系統(tǒng)等。必須注意，實(shí)物控制的有效性在很大程度上依賴于保證它們正常使用的相關(guān)措施，而不僅僅是設(shè)備的存在。

　　會(huì)計(jì)責(zé)任檢查和執(zhí)行情況復(fù)查：由授權(quán)人（或由授權(quán)人委托的人）、記錄人和資產(chǎn)監(jiān)管人在適當(dāng)?shù)娜掌趯①Y產(chǎn)的帳面記錄與實(shí)物進(jìn)行比較，對(duì)二者之間的差異進(jìn)行調(diào)查與糾正。還要定期或不定期地對(duì)經(jīng)營(yíng)管理行為的記錄和效果進(jìn)行合法性與合理性評(píng)估。

　　3.4信息和交流

　　這里的信息是指員工能夠獲得的其工作中所需要的信息，包括用來(lái)確認(rèn)、收集、分析、分類、記錄和報(bào)告組織的交易以及為相關(guān)資產(chǎn)和負(fù)債進(jìn)行會(huì)計(jì)處理的方法和記錄。溝通是指信息向上的、向下的、橫向的、在組織內(nèi)外自由的流動(dòng)。會(huì)計(jì)信息系統(tǒng)不僅處理組織內(nèi)部所產(chǎn)生的信息，同時(shí)也處理與外部的事項(xiàng)、活動(dòng)及環(huán)境等有關(guān)的信息。所有員工必須從最高管理層清楚地獲取控制責(zé)任的信息，而且必須有向上級(jí)部門溝通重要信息的方法和渠道，并與外界顧客、供應(yīng)商、政府只管機(jī)關(guān)和股東等作有效的溝通。

　　信息的文檔化為會(huì)計(jì)信息系統(tǒng)中高效率的信息交流提供了條件，因此，信息和交流是會(huì)計(jì)信息系統(tǒng)內(nèi)部控制框架的重要組成部分。

　　3.5監(jiān)督

　　內(nèi)部控制的質(zhì)量可能會(huì)在很多方面受到不利影響，包括缺乏遵從性、情況發(fā)生變化，甚至控制本身受到懷疑和誤解。為了確保會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制被切實(shí)執(zhí)行，產(chǎn)生良好效果，并能夠隨時(shí)適應(yīng)新情況，內(nèi)部控制本身必須被監(jiān)督。

　　監(jiān)督是由適當(dāng)?shù)娜藛T，在適當(dāng)及時(shí)的條件下，評(píng)估控制的設(shè)計(jì)和運(yùn)作情況的過(guò)程。監(jiān)督通過(guò)持續(xù)監(jiān)督、個(gè)別評(píng)估或者二者的組合來(lái)確保會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制能夠持續(xù)有效地運(yùn)作。在內(nèi)部控制的監(jiān)督過(guò)程中，組織中有兩項(xiàng)職能非常重要，即內(nèi)部審計(jì)和控制自我監(jiān)督。

　　內(nèi)部審計(jì)。電算化會(huì)計(jì)信息系統(tǒng)完善、健全的內(nèi)部控制框架中，必須有完善、嚴(yán)密的內(nèi)部審計(jì)制度、獨(dú)立有效的內(nèi)部審計(jì)機(jī)構(gòu)和高素質(zhì)、高責(zé)任心的內(nèi)部審計(jì)人員。它既是內(nèi)部控制框架的重要組成部分，又是實(shí)現(xiàn)內(nèi)部控制目標(biāo)的重要手段。

　　控制自我評(píng)估。控制自我評(píng)估是組織的管理部門和職員共同進(jìn)行定期或不定期對(duì)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制進(jìn)行評(píng)估，評(píng)估內(nèi)部控制的有效性及其實(shí)施的效率效果，以期能更好地達(dá)成內(nèi)部控制的目標(biāo)?？刂谱晕以u(píng)估是為提高組織內(nèi)部控制的自我意識(shí)所作的努力，這種活動(dòng)經(jīng)常以研討會(huì)的形式進(jìn)行。

　　企業(yè)應(yīng)當(dāng)重視內(nèi)部控制的監(jiān)督檢查工作，建立和完善內(nèi)部審計(jì)監(jiān)督體系，并由專門機(jī)構(gòu)或者指定專門人員具體負(fù)責(zé)內(nèi)部控制執(zhí)行情況的監(jiān)督檢查。同時(shí)，為確保內(nèi)部審計(jì)監(jiān)督作用的發(fā)揮，促進(jìn)內(nèi)部控制的嚴(yán)格執(zhí)行，必須加強(qiáng)對(duì)內(nèi)部審計(jì)機(jī)構(gòu)和人員的管理，提高審計(jì)人員的素質(zhì)，并賦予他們一定的獨(dú)立權(quán)限，以確保審計(jì)的獨(dú)立性、客觀性。

　　4、結(jié)語(yǔ)

　　綜上所述，電算化會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制是一個(gè)多要素的立體框架。然而，國(guó)內(nèi)企業(yè)并沒(méi)有全面理解內(nèi)部控制，有關(guān)電算化會(huì)計(jì)信息系統(tǒng)內(nèi)部控制文章都局限于電算化會(huì)計(jì)信息系統(tǒng)中內(nèi)部控制的必要性和特殊性的分析，以及一般控制和應(yīng)用控制的討論。因此，國(guó)內(nèi)許多企業(yè)電算化會(huì)計(jì)系統(tǒng)的內(nèi)部控制存在以下問(wèn)題：控制環(huán)境薄弱、風(fēng)險(xiǎn)意識(shí)差，內(nèi)部壓力不足、缺乏適當(dāng)?shù)目刂苹顒?dòng)、信息流通不暢，職責(zé)不清，責(zé)任不明、內(nèi)控機(jī)制不健全，控制乏力等問(wèn)題。本文運(yùn)用現(xiàn)代內(nèi)部控制框架理論，探討電算化會(huì)計(jì)信息系統(tǒng)內(nèi)部控制框架的構(gòu)建，以期引導(dǎo)國(guó)內(nèi)企業(yè)建立起完善的電算化會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系，降低威脅電算化會(huì)計(jì)信息系統(tǒng)的各種風(fēng)險(xiǎn)。