IT環(huán)境下會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的研究

1、IT環(huán)境下會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的研究自20世紀(jì)80年代以來(lái),高科技浪潮席卷全球,以絡(luò)、通訊、信息處 理、人工智能和多媒體等為核心的信息技術(shù)一一IT,已成為世界經(jīng)濟(jì)和科技發(fā)展的制高點(diǎn)。IT技術(shù)一日千里的發(fā)展?fàn)顩r，劇烈地改變著的經(jīng)營(yíng)環(huán)境，沖擊著傳統(tǒng) 的管理模式。本文擬對(duì)IT環(huán)境下傳統(tǒng)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制存在的缺陷作出總 結(jié),并就彌補(bǔ)缺陷、完善IT環(huán)境下內(nèi)部會(huì)計(jì)控制制度提出對(duì)策。一、IT環(huán)境下傳統(tǒng)內(nèi)部會(huì)計(jì)控制的缺陷隨著IT技術(shù),特別是以In ternet為代表的絡(luò)技術(shù)的發(fā)展和應(yīng)用,以提供 財(cái)務(wù)信息為主的會(huì)計(jì)，正由傳統(tǒng)的手工會(huì)計(jì)系統(tǒng)向電算化會(huì)計(jì)系統(tǒng)、絡(luò)會(huì)計(jì)系統(tǒng) 方向發(fā)展,這無(wú)疑是管理手段的巨大進(jìn)步，極

2、大地促進(jìn)了會(huì)計(jì)工作效率的提高，但 同時(shí)也給內(nèi)部會(huì)計(jì)控制帶來(lái)了新的問(wèn)題和挑戰(zhàn)，具體表現(xiàn)在：（一）授權(quán)方式的改變，潛伏著巨大的控制風(fēng)險(xiǎn)授權(quán)、批準(zhǔn)，乃是一種常見(jiàn) 的內(nèi)部控制手段。在手工會(huì)計(jì)系統(tǒng)中，一項(xiàng)經(jīng)濟(jì)業(yè)務(wù)由發(fā)生到形成相應(yīng)的會(huì)計(jì)信息,其經(jīng)歷的每一個(gè)環(huán)節(jié)都應(yīng)由具有相應(yīng)管理權(quán)限的有關(guān)人員簽章；方可辦理。這種傳統(tǒng)管理方式的效率雖不高，但可有效地防止作弊。然而,在電算化會(huì)計(jì)信息系 統(tǒng)中,權(quán)限分工的主要形式是口令授權(quán)?？诹畲娣庞谟?jì)算機(jī)系統(tǒng)內(nèi)而不像印章那 樣由專人保管，一旦口令被人偷看或竊取，便會(huì)帶來(lái)巨大隱患，此種案例已發(fā)生多 起。如c會(huì)計(jì)人員被客戶收買，竊取口令,非法核銷客戶的應(yīng)收款及相關(guān)資料；銷 貨人員竊

3、得顧客訂單密碼，開(kāi)出假訂單，騙走公司產(chǎn)品等等。（二）內(nèi)部控制的程序化，有可能使同一種差錯(cuò)反復(fù)發(fā)生電算化會(huì)計(jì)、 絡(luò)會(huì) 計(jì)的內(nèi)部控制，在很大程度上取決于這些會(huì)計(jì)信息系統(tǒng)中運(yùn)行的應(yīng)用程序的質(zhì)量。一旦這些應(yīng)用程序中存在嚴(yán)重的 BUG或惡意的“后門”，便會(huì)嚴(yán)重危害系統(tǒng) 安全。畢竟,會(huì)計(jì)人員對(duì)計(jì)算機(jī)專業(yè)知識(shí)所知有限，很難及時(shí)發(fā)現(xiàn)這些漏洞。這樣 在專業(yè)人員找到或墻上這些程序漏洞之前，系統(tǒng)便會(huì)多次重復(fù)同一錯(cuò)誤。擴(kuò)大損 失，這也是手工會(huì)計(jì)系統(tǒng)不會(huì)遇到的問(wèn)題。（三）原始憑證數(shù)字化，使得會(huì)計(jì)信息易于被篡改或偽造在手工會(huì)計(jì)系統(tǒng)中，原始憑證是以紙張為載體，很難不露痕跡地加以修改 或偽造。但隨著電子商務(wù)的發(fā)展，一些單位的

4、原始憑證也如同記賬憑證、會(huì)計(jì)賬 簿或報(bào)表一樣，已實(shí)現(xiàn)數(shù)字化、電子化，即以數(shù)字形式存儲(chǔ)在磁（光）性介質(zhì)上，這 種無(wú)紙憑證極易被篡改或偽造而不留任何痕跡，它弱化了紙質(zhì)原始憑證所具有的 較強(qiáng)的控制功能，給內(nèi)部會(huì)計(jì)控制帶來(lái)了新的難題。另外，磁（光）性介質(zhì)容易損壞， 一旦受損,又很難修復(fù),這更使數(shù)字化的會(huì)計(jì)信息丟失或毀壞的風(fēng)險(xiǎn)加大。（四）絡(luò)環(huán)境的開(kāi)放性加劇了會(huì)計(jì)信息失真的風(fēng)險(xiǎn)絡(luò)技術(shù)無(wú)疑是目前IT發(fā)展的方向,特別是In ternet在財(cái)務(wù)軟件中的應(yīng)用 對(duì)電算化會(huì)計(jì)信息系統(tǒng)的影響將是革命性的。但絡(luò)環(huán)境具有開(kāi)放性的特點(diǎn)，這就給會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制帶來(lái)了許多新問(wèn)題。如在絡(luò)環(huán)境下，信息來(lái)源的多樣 性,有可能導(dǎo)致

5、審計(jì)線索紊亂；大量會(huì)計(jì)信息通過(guò)絡(luò)通訊線路傳輸，有可能被非法 攔截、竊取甚至篡改；絡(luò)會(huì)計(jì)信息系統(tǒng)遭受“病毒”入侵或“黑客”攻擊的可能 性更大，等等?？傊j(luò)環(huán)境的開(kāi)放性和動(dòng)態(tài)性，加劇了絡(luò)會(huì)計(jì)信息失真的風(fēng)險(xiǎn)， 加大了絡(luò)會(huì)計(jì)內(nèi)部控制的難度。二、IT環(huán)境下會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的完善IT技術(shù)在會(huì)計(jì)信息系統(tǒng)中的運(yùn)用加大了內(nèi)部會(huì)計(jì)控制潛在的風(fēng)險(xiǎn)，但同時(shí),IT技術(shù)與業(yè)務(wù)流程的結(jié)合，也給帶來(lái)了控制風(fēng)險(xiǎn)的機(jī)會(huì)與工具。（-）上公證的形成可有效地預(yù)防數(shù)字化的原始憑證被修改或偽造所謂上公證，就是利用絡(luò)的實(shí)時(shí)傳輸功能和日益豐富的互聯(lián)服務(wù)項(xiàng)目，實(shí)現(xiàn)原始交易憑證的第三方監(jiān)控。比如，每一家都在互聯(lián)認(rèn)證機(jī)構(gòu)申領(lǐng)數(shù)字簽名和 私有密

6、鑰，當(dāng)交易發(fā)生時(shí)，交易雙方將單據(jù)或有關(guān)證明均傳到認(rèn)證機(jī)構(gòu)，由認(rèn)證機(jī) 構(gòu)核對(duì)確認(rèn)，進(jìn)行數(shù)字簽名并予以加密，然后將已加密憑證和未加密憑證同時(shí)轉(zhuǎn) 發(fā)給雙方,這樣就完成了一筆交易雙方認(rèn)可并經(jīng)互聯(lián)認(rèn)證機(jī)構(gòu)公證的交易。在這 種交易中，交易一方因無(wú)法獲得另一方的數(shù)字簽名和私有密鑰，很難偽造或篡改交易憑證。主管人員或?qū)徲?jì)人員一旦對(duì)某筆業(yè)務(wù)產(chǎn)生懷疑，只需將加密憑證提交 客戶和認(rèn)證機(jī)構(gòu)解密，將其結(jié)果與未加密憑證相對(duì)照，問(wèn)題便迎刃而解。（二）在線測(cè)試的實(shí)現(xiàn)可及時(shí)地解決應(yīng)用軟件自身存在的問(wèn)題IT環(huán)境下,會(huì)計(jì)信息系統(tǒng)使用的應(yīng)用軟件存在這樣或那樣的問(wèn)題有時(shí)是 難免的,解決問(wèn)題的辦法無(wú)非這樣兩個(gè)：一是在軟件開(kāi)發(fā)過(guò)程中加強(qiáng)交

7、流，充分測(cè) 試；二是在軟件運(yùn)用過(guò)程中注意監(jiān)控，及時(shí)發(fā)現(xiàn)問(wèn)題并予以解決。但在單機(jī)系統(tǒng)下, 用戶與軟件供應(yīng)商之間因空間的阻隔往往很難充分交流，發(fā)現(xiàn)并解決問(wèn)題費(fèi)時(shí)費(fèi)力。到了絡(luò)時(shí)代，情況就大不一樣了，互聯(lián)提供的實(shí)時(shí)高質(zhì)的通訊傳輸手段，可使 用戶和軟件商之間在幾秒鐘內(nèi)建立連接，這就給解決上述問(wèn)題帶來(lái)了方便。比如， 在軟件開(kāi)發(fā)過(guò)程中，用戶可通過(guò)絡(luò)隨時(shí)向開(kāi)發(fā)商提出要求或建議，開(kāi)發(fā)商也可以把已開(kāi)發(fā)完成的軟件及時(shí)傳送給用戶進(jìn)行測(cè)試；在軟件使用過(guò)程中，開(kāi)發(fā)商可通 過(guò)絡(luò)對(duì)用戶的系統(tǒng)進(jìn)行定期的在線測(cè)試，一旦發(fā)現(xiàn)問(wèn)題可及時(shí)通知用戶并進(jìn)行在 線升級(jí),把BUG勺存在時(shí)間控制在最短，提高系統(tǒng)的安全性。（三）監(jiān)控與操作的職責(zé)分

8、離可進(jìn)一步強(qiáng)化系統(tǒng)內(nèi)部的相互牽制職責(zé)分離是內(nèi)部控制的一個(gè)重要組成部分。 在手工會(huì)計(jì)系統(tǒng)中，通過(guò)把不 相容的工作分派給不同的人員擔(dān)當(dāng)以達(dá)到相互牽制。但在電算化會(huì)計(jì)系統(tǒng)中，由于計(jì)算機(jī)的自動(dòng)高效的特點(diǎn)，許多不相容的工作（如制單與審核）都已合并到一起 由計(jì)算機(jī)統(tǒng)一執(zhí)行，這就形成內(nèi)控隱患。為了強(qiáng)化系統(tǒng)的內(nèi)部控制，一個(gè)比較有效 的辦法是在電算化系統(tǒng)內(nèi)分設(shè)操作與監(jiān)控兩個(gè)崗位，對(duì)每一筆業(yè)務(wù)同時(shí)進(jìn)行多方 備份。當(dāng)會(huì)計(jì)人員利用電算化系統(tǒng)進(jìn)行賬務(wù)處理時(shí)，其操作和數(shù)據(jù)也被同步記錄在監(jiān)控人員的機(jī)器上，并由監(jiān)控人員進(jìn)行及時(shí)備份、定期審查。一旦主管部門或 審計(jì)人員對(duì)某些數(shù)據(jù)產(chǎn)生懷疑時(shí)，可利用監(jiān)控人員備份的原始記錄進(jìn)行分析調(diào)

9、 查、辨明真?zhèn)?，這樣就強(qiáng)化了電算化系統(tǒng)內(nèi)部的相互牽制，有效地預(yù)防作弊。（四）采用加密碼的電子簽名，可增強(qiáng)電子化原始數(shù)據(jù)的防偽功能在無(wú)紙化的會(huì)計(jì)信息系統(tǒng)環(huán)境中，如果應(yīng)用軟件正確無(wú)誤，系統(tǒng)傳輸安全 可靠,則會(huì)計(jì)信息系統(tǒng)中派生數(shù)據(jù)（包括電子化的記賬憑證、賬簿數(shù)據(jù)和會(huì)計(jì)報(bào)表） 的正確性、真實(shí)性和完整性完全取決于電子原始數(shù)據(jù)。反之，如果不精確、不完整、不合法的原始數(shù)據(jù)被記錄和維護(hù)，將會(huì)影響以后所有的會(huì)計(jì)處理，導(dǎo)致一系列 派生數(shù)據(jù)的失真。因此，電子化的原始數(shù)據(jù)的審核和確認(rèn)顯得尤為重要、在手工 會(huì)計(jì)系統(tǒng)中，原始憑證的審核是通過(guò)對(duì)紙質(zhì)原始憑證上有關(guān)責(zé)任人簽名的辨別和 相關(guān)憑證內(nèi)容的相互核對(duì)來(lái)完成的。電子化原始

10、數(shù)據(jù)的審核可采取類似的方法：一要注意相關(guān)業(yè)務(wù)不同數(shù)據(jù)記錄之間的相互核對(duì)；二要關(guān)注經(jīng)辦人、批準(zhǔn)人等相 關(guān)人員的電子簽名。電子簽名不同于手工簽章 ，會(huì)計(jì)如何確認(rèn)這種電子簽名的有 效性是一個(gè)不容忽視的問(wèn)題。目前的多數(shù)會(huì)計(jì)核算軟件中，電子簽名廣泛采用普通漢字或字母代碼填寫，很容易被摹仿或偽造，為了克服這一缺點(diǎn)，增強(qiáng)電子原始 數(shù)據(jù)的防偽功能，宜采用加密碼進(jìn)行電子簽名，使其不容易被篡改或偽造。（五）充分利用現(xiàn)代IT技術(shù),增強(qiáng)絡(luò)會(huì)計(jì)系統(tǒng)的安全控制絡(luò)技術(shù)在會(huì)計(jì)信息系統(tǒng)中的應(yīng)用，極大地豐富了會(huì)計(jì)信息系統(tǒng)的功能，促 進(jìn)了會(huì)計(jì)工作效率的提高。但絡(luò)安全問(wèn)題若不能有效地得到解決，必將限制絡(luò)會(huì) 計(jì)系統(tǒng)的發(fā)展與應(yīng)用。絡(luò)會(huì)計(jì)

11、系統(tǒng)安全控制的途徑主要包括 ：1. 系統(tǒng)軟件安全控制要按操作權(quán)限嚴(yán)格控制系統(tǒng)軟件的安裝與修改，接操作規(guī)程定期對(duì)系統(tǒng) 軟件進(jìn)行安全性檢查。當(dāng)系統(tǒng)被破壞時(shí)，要求系統(tǒng)軟件具備緊急響應(yīng)、強(qiáng)制備份、 快速重構(gòu)和快速恢復(fù)等功能。2. 數(shù)據(jù)資源安全控制數(shù)據(jù)庫(kù)系統(tǒng)是整個(gè)絡(luò)會(huì)計(jì)系統(tǒng)安全控制的核心，數(shù)據(jù)庫(kù)的安全威脅主要 來(lái)自兩個(gè)方面：一是系統(tǒng)內(nèi)外人員對(duì)數(shù)據(jù)庫(kù)的非法訪問(wèn)；二是系統(tǒng)故障。誤操作或 人為破壞造成數(shù)據(jù)庫(kù)的物理?yè)p毀。為此，可采取以下措施:（1）合理定義、應(yīng)用數(shù)據(jù)子模式。即根據(jù)不同類別的用戶或應(yīng)用項(xiàng)目分別定義不同的數(shù)據(jù)于集，針對(duì)特定類型的用戶開(kāi)放，以限制合法用戶或非法訪問(wèn)者輕易獲取全部會(huì)計(jì)數(shù)據(jù)資源；(2)建立

12、數(shù)據(jù)備份和恢復(fù)制度。數(shù)據(jù)備份是數(shù) 據(jù)恢復(fù)與重建的基礎(chǔ)，是一種常見(jiàn)的數(shù)據(jù)控制手段，絡(luò)中利用兩個(gè)服務(wù)器進(jìn)行雙 機(jī)鏡像映射備份是數(shù)據(jù)備份的先進(jìn)形式。3. 系統(tǒng)入侵防范控制為了防止非法用戶對(duì)絡(luò)會(huì)計(jì)系統(tǒng)的入侵，可采取以下措施:(1)設(shè)置外部 訪問(wèn)區(qū)域。訪問(wèn)區(qū)域是系統(tǒng)接待外界(關(guān)聯(lián)方、社會(huì)公眾)上訪問(wèn)。與外界進(jìn)行會(huì) 計(jì)數(shù)據(jù)交換的邏輯區(qū)域。在建立內(nèi)聯(lián)時(shí)，要對(duì)絡(luò)的服務(wù)功能和結(jié)構(gòu)布局進(jìn)行詳細(xì) 分析,通過(guò)專用軟件、硬件和管理措施，實(shí)現(xiàn)會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的 嚴(yán)密的數(shù)據(jù)隔離。(2)建立防火墻。防火墻是建立在被保護(hù)絡(luò)周邊的、分隔被保 護(hù)絡(luò)與外部絡(luò)的一種技術(shù)系統(tǒng)。為了有效地防范非法用戶對(duì)絡(luò)會(huì)計(jì)系統(tǒng)的入侵，可設(shè)

13、置內(nèi)外兩層防火墻，外層防火墻主要用來(lái)限制外界對(duì)主機(jī)操作系統(tǒng)的訪問(wèn)，內(nèi)層防火墻主要用來(lái)邏輯隔離會(huì)計(jì)應(yīng)用系統(tǒng)與外部訪問(wèn)區(qū)域之間的，限制外界穿過(guò)訪問(wèn)區(qū)域?qū)?nèi)聯(lián)，尤其是對(duì)會(huì)計(jì)數(shù)據(jù)庫(kù)系統(tǒng)的非法訪問(wèn)。三、IT環(huán)境下會(huì)計(jì)信息系統(tǒng)內(nèi)部控制面臨的新問(wèn)題高速發(fā)展的IT技術(shù),在給會(huì)計(jì)信息系統(tǒng)增強(qiáng)內(nèi)部控制提供手段的同時(shí)，也給其安全帶來(lái)了許多新問(wèn)題，應(yīng)當(dāng)引起重視。(-)絡(luò)會(huì)計(jì)系統(tǒng)的開(kāi)放性，使之很難避免非法侵?jǐn)_絡(luò)是一個(gè)開(kāi)放的環(huán)境，置于該環(huán)境中的各種服務(wù)器上的信息在理論上都 是可以被訪問(wèn)到的，除非它們?cè)谖锢砩蠑嚅_(kāi)連接、脫離絡(luò)環(huán)境。因此,絡(luò)會(huì)計(jì)信息 系統(tǒng)很難完全避免非法訪問(wèn)者的侵?jǐn)_。尤其是當(dāng)系統(tǒng)程序存在嚴(yán)重的BUG系統(tǒng)安全控

14、制能力較差而系統(tǒng)管理人員尚不自知時(shí)，很難保證系統(tǒng)的信息資源不會(huì)被 竊取或篡改。這種情況一旦發(fā)生，將會(huì)給單位造成巨大的損失。為此，需根據(jù)IT 技術(shù)的最新發(fā)展，定期評(píng)估系統(tǒng)的安全性和內(nèi)部控制能力，努力把新技術(shù)給老系 統(tǒng)帶來(lái)的風(fēng)險(xiǎn)降到最低。,使得稽核與審計(jì)的難度加大軟件、操作人員和各種規(guī)程構(gòu)成的復(fù)雜的系統(tǒng),加大了舞弊的風(fēng)險(xiǎn)；系統(tǒng)信息以電子數(shù)據(jù)的(二)絡(luò)會(huì)計(jì)系統(tǒng)的復(fù)雜性絡(luò)是一個(gè)由計(jì)算機(jī)硬件、 該系統(tǒng)將許多不相容職責(zé)相對(duì)集中 形式存儲(chǔ),易被修改、刪除、隱匿或偽造且不留痕跡；系統(tǒng)對(duì)錯(cuò)誤的處理具有重復(fù) 性和連續(xù)性；系統(tǒng)設(shè)計(jì)主要強(qiáng)調(diào)會(huì)計(jì)核算的要求，很少考慮審計(jì)工作的需要，這些 往往導(dǎo)致系統(tǒng)留下的審計(jì)線索很少，

15、稽核與審計(jì)必須運(yùn)用更復(fù)雜的查核技術(shù)，且 要花費(fèi)更多的時(shí)間和更高的代價(jià)。 會(huì)計(jì)師必須經(jīng)過(guò)專業(yè)培訓(xùn)、具備復(fù)雜電腦資料 的處理能力，方能勝任此項(xiàng)工作，這無(wú)疑將加大稽核與審計(jì)的難度和成本。（三）電子商務(wù)的普及，將給內(nèi)部會(huì)計(jì)控制帶來(lái)前所未有的挑戰(zhàn)隨著IT技術(shù)的迅猛發(fā)展，上交易愈加普遍，電子商務(wù)將逐步普及。電子商 務(wù)一方面極大地提高了商務(wù)活動(dòng)的效率，給帶來(lái)了無(wú)限的生機(jī)，另一方面給絡(luò)會(huì) 計(jì)系統(tǒng)的內(nèi)部控制也帶來(lái)了新的挑戰(zhàn)?；陔娮由虅?wù)的單據(jù)電子化、貨幣電子化、 上銀行和上結(jié)算等，雖然可加快資金周轉(zhuǎn)速度，但給會(huì)計(jì)信息系統(tǒng)帶來(lái)的風(fēng)險(xiǎn)將 是空前的。可以想象，在不久的將來(lái)，一旦全部原始憑證都采用數(shù)字格式，實(shí)現(xiàn)了 電子化,勢(shì)必要加強(qiáng)對(duì)上公證機(jī)構(gòu)的依賴，電