（会计学专业论文）网络环境下会计信息系统内部控制研究 (2).pdf

3 摘要 网络技术的高速发展与广泛应用，给传统的会计带来了变革性的影响。使 得原有会计内部控制从控制环境到控制目标都发生了重大变化。尤其是近年来 互联网的迅猛发展和普及应用，给计算机会计信息系统的内部控制带来了更多 新的问题和挑战。为了维护资产的安全与完整，保证会计信息及其他信息准确、 及时和经济活动的合规、合法，促进经济效益提高、经营决策贯彻和经营目标 的实现，网络环境下会计信息系统内部控制问题将成为会计信息系统理论与实 践研究的一个重大课题。 本文在对会计信息系统内部控制的基本理论认真研究、学习和借鉴的基础 上，分析了网络环境对会计信息系统内部控制带来的变化及影响，对网络环境 下会计信息系统的内控制度存在的问题及风险进行了深入分析，探讨构建一套 较为完善的网络环境下会计信息系统内部控制措施。最后结合内部控制理论分 析了阳光集团目前的内部控制状况及对网络环境的不适应，提出了解决网络环 境下会计信息系统内部控制出现问题的措施，希望提高整个社会的会计信息的 质量，保障我国市场经济的健康有序正常发展。 【关键词】 网络环境 会计信息系统 内部控制 控制要素 4 abstract network technologies haste development and popular application influence the traditional accounting fields greatly, changing the original accounting internal control from its environment to targets as a consequence of bringing out new problems and challenges for computer accounting information system. the problems of internal in accounting information system in the network environment will be a significant research in the information system theories and practice to maintain the safety and integrity of assets, improving economic benefits a lot, implementing decisions smoothly and making the targets come trace. based on foundational theories, this paper analyzes the influence in accounting information system internal control, investigates existing problems, builds up a set of suitable information control measures in the network environment. combining with internal control theories, this paper eventually analyzes recent situations and improper network environment in yangguang group. it puts forward some effective measures in accounting system internal control in expectation of improving the quality and benefits of accounting information in the whole society to ensure that market economy develops constantly in our country. 【key words】 network environment accounting information system internal control control factor 1 山西财经大学 学位论文原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师的指导下，独立进行研究工作所取得 的成果。除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写 过的作品成果。对本文的研究所做出重要贡献的个人和集体，均已在文中以明确方式标明。 本人完全意识到本申明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日 2 山西财经大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保管、使用学位论文的规定，同意学校 保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和 借阅。本人授权山西财经大学可以将本学位论文的全部或部分内容编入有关数 据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。 本学位论文属于保密，不保密。在 年解密后适用本授权书。 （请在以上方框内打“”） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 网络环境下会计信息系统内部控制研究 1 第 1 章 引言 1 . 1 研究背景与选题意义 1 . 1 . 1 研究背景 随着网络信息技术在会计信息系统中的日愈广泛应用，企业生存的环境发生了变化，同 时也给会计工作带来机遇和挑战。目前，我国许多企业管理松散、内控弱化、风险频发、资 产流失、营私舞弊、损失浪费等问题很严重。虽然我国财政部在加强会计内部控制方面作了 不少努力，1 9 9 9 年修订的会计法，第一次以法律的形式对建立健全内部控制提出原则性 要求，财政部随即连续制定发布了内部会计控制规范基本规范等 7 项内部会计控制 规范，对于加强会计内部控制，整顿和规范市场经济秩序起着一定的促进作用。但是，2 0 0 4 年至 2 0 0 5 年，创维数码董事局主席被捕事件，中航油的巨额亏损事件，对相关利益各方产生 了更重大的冲击和深远影响。因此，迫切需要进一步强化内部控制，健全风险机制，夯实基 础管理。 会计信息系统的内部控制问题，是一个既传统又现代的课题。内部控制制度，是现代企 业管理中的一个重要内容。内部控制作为公司治理的关键环节和经营管理的重要举措，在企 业发展壮大中具有举足轻重的作用。但对于网络环境下的会计信息方面的研究，还存在许多 不足之处，会计实务界和理论界对其认识研究尚处于探讨阶段，未形成共识。面对网络环境 下会计信息系统的内部控制问题，显然缺乏相关理论指导，我国现行的有关法规制度大多是 针对传统手工会计，也显得有些不合时宜了。于是，产生了对网络环境下企业会计信息系统 的内部控制进行探讨的念头。 1 . 1 . 2 研究意义 随着网络技术的飞速发展，企业的经营管理活动置身于网络环境，企业管理也必将从传 统管理转向网络条件下的信息化管理。这种变革，一方面对传统会计信息系统内部控制提出 了挑战；另一方面，也为网络环境下会计信息系统内部控制提供了机遇。只有清楚地意识到 这些变化，才能适应社会的发展，建立完备的崭新的会计体系。我认为随着现代信息技术在 网络环境下会计信息系统内部控制研究 2 企业经营过程中不断普及，企业经营环境发生较大变化，研究网络环境下会计信息系统的内 部控制具有紧迫性且具有重大理论意义和现实意义。 理论意义：会计信息系统内部控制不仅是企业所有者、经营者和各级管理者都非常关心 的问题，也是会计理论界关心的问题。我国对会计方面的控制理论研究历史非常之短，但 3 0 年来这个问题一直是会计理论界讨论的热点问题，并且是悬而未决的问题。目前，我国理论 界对会计信息系统内部控制认识还很不统一，与西方发达国家相比，我国会计信息系统内部 控制理论研究水平仍处于落后状态，不过，在今天中共中央“以信息化带动工业化”的战略 性重要思想的指导下，中国企业从传统管理向信息化管理的变革正如火如荼进行着，迫切需 要这方面的理论创新。为此，本文试图从国内外对会计信息系统内部控制理论基础上研究适 应网络环境的会计信息系统内部控制理论，促进并丰富了会计理论的建设，并以此更好地指 导实践。 现实意义：（1 ）研究网络环境下会计信息系统内部控制能使管理当局更好地保护其资产 安全，保证信息的完整与正确，促进经营管理得以有效实施，提高经营效率，控制经营风险， 防止舞弊行为发生并进而实现经营目标，以保持企业的生机和活力。（2 ）研究网络环境下会 计信息系统内部控制能向会计信息使用者提供真实有效的会计信息，以便于其据此作出有效 的决策，提高经济效益。能保证会计信息不会失真，市场信号不会失灵，政府政策的制定能 够正确地制定，并且可以使市场经济正常健康地发展。 1 . 2 国内外研究现状 1 . 2 . 1 国外研究现状 从总体来看，国外内部控制的理论研究大体经历了五个阶段：大致经历了内部牵制、内 部控制制度、内部控制结构、内部控制框架和企业风险管理与内部控制阶段五个历史阶段。 a . 内部牵制阶段（2 0 世纪 4 0 年代末之前） 内部牵制阶段理论的着眼点是职责和业务流程及其纪录的交叉检查或交叉控制。主要通 过人员的配备和职责划分、业务流程、簿记系统来完成，有效地减少了错误和舞弊行为，至 今仍发挥着重要作用。 内部控制作为一个专用名词和完整概念，直到 2 0 世纪 3 0 年代才被人们提出、认识和接 受。但在此前的人类社会发展史中，早己存在着内部控制的基本思想和初级形式，这就是内 网络环境下会计信息系统内部控制研究 3 部牵制。 内部牵制的实践作为内部控制的初级形式早在公元前 3 6 0 0 年以前的美索不达米亚文 化时期就己经出现了。后来，在古罗马时代，对会计账簿实施了“双人记账制”，即某笔经 济业务发生后，由两名记账人员同时在各自的账簿上加以登记，然后定期核对双方账簿记录， 以检查有无记账差错或舞弊行为。 随着资本主义经济的逐步发展，内部牵制也得到不断的发展并渐趋成熟。纵观该时期的 内部牵制，它基本是以查错防弊为目的，以职务分离和账目核对为手法，以钱、账、物等会 计事项为主要控制对象。其概念为“为提供有效的组织和经营，并防止错误和其他非法业务 发生而制定的业务流程。”其主要特点是以任何个人或部门不能单独控制任何一项或一部分 业务权利的方式进行组织上的责任分工，每项业务通过正常发挥其他个人或部门的功能来进 行交叉检查或交叉控制。内部牵制的执行大致分为以下四类：实物牵制。比如把保险柜的 钥匙交给两个以上的工作人员保管，而只有同时使用这两把以上的钥匙时，保险柜才能打开。 机械牵制。例如保险柜的大门若不按正确程序操作就打不开。体制牵制。采用双重控制 预防错误和舞弊的发生。簿记牵制。如定期将明细账与总账进行核对。内部牵制有效地减 少了错误和舞弊行为，因此在现代内部控制理论中，内部牵制仍占有重要的地位，成为有关 组织机构控制、职务分离控制的基础。 b . 内部控制制度阶段（2 0 世纪 4 0 年代末- - - 7 0 年代） “内部控制制度”阶段的最大贡献是将内部控制“制度二分法”，划分为内部会计控制 和管理控制，丰富了内部控制的内容。 1 9 3 6 年美国会计师协会发布的注册会计师对财务报表的审查文告，以及 1 9 4 7 年审 计准则暂行公告，出于改进审计方式的需要，提出了以内部控制为基础的审计程序。但这 期间，无论在审计文献中还是在其他管理著作中，均没有关于内部控制概念的权威性定义。 为了赋予内部控制一个准确完整的定义，1 9 5 8 年 1 0 月，美国注册会计师协会审计程序委员 会发布了审计程序公告第 1 9 号，对内部控制作了如下划分：“广义地说，内部控制按其 要点可以划分为会计控制和管理控制。”1 9 7 2 年，美国审计准则委员会遵循着证券交易法 的路线进行研究和讨论，对管理控制和会计控制提出并通过了今天广为人知的定义，即会计 控制是由组织计划以及与保护资产和保证财务资料可靠性有关的程序和记录构成。会计控制 旨在保证经济业务的执行符合管理部门的一般授权或特殊授权的要求；经济业务的记录必须 有利于按照一般公认会计原则或其它有关标准编制财务报表，以及落实资产责任；只有在得 到管理部门批准的情况下才能接触资产；按照适当的间隔期限，将资产的账面记录与实物资 网络环境下会计信息系统内部控制研究 4 产进行对比，一经发现差异应采取相应的补救措施。内部管理控制包括但不限于组织计划以 及与管理部门授权办理经济业务的决策过程有关的程序及其记录。这种授权活动是管理部门 的职责，它直接与管理部门执行该组织的经营目标有关，是对经济业务进行会计控制的起点。 c . 内部控制结构阶段（2 0 世纪 8 0 年代- - - 9 0 年代） “内部控制结构”阶段不再划分“制度二分法”，将控制环境纳入内部控制的范畴，内 部控制结构由控制环境、会计制度、控制程序三个要素组成。1 9 8 8 年 4 月美国注册会计师协 会发布审计准则公告第 5 5 号，规定从 1 9 9 0 年 1 月起以该公告取代 1 9 7 2 年发布的审计 准则公告第 1 号。该公告首次以内部控制结构一词取代原有的内部控制一词，而且公告提 出的内部控制内容比以前更为实在，条理更加清楚。内部控制结构思想认为“企业的内部控 制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序”。具体内容如下： 控制环境。所谓控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。 具体包括：管理者的思想和经营作风；企业组织结构；董事会及其所属委员会，特别是审计 委员会发挥的职能；确定职权和责任的方法；管理者监控和检查工作时所用的控制方法，包 括经营计划、预算、预测、利润计划、责任会计和内部审计；人事工作方针及其执行、影响 本企业业务的各种外部关系。会计系统。会计系统规定各项经济业务的鉴定、分析、归类、 登记和编报的方法，明确各项资产和负债的经营管理责任。健全的会计系统应实现下列目标： 鉴定和登记一切合法的经济业务；对各项经济业务按时进行适当分类，作为编制财务报表的 依据；将各项经济业务按适当的货币价值计价，以便列入财务报表；确定经济业务发生的日 期，以便按照会计期间进行记录；在财务报表中恰当地表述经济业务以及对有关内容进行揭 示。控制程序。控制程序指管理当局所制定的用于保证达到一定目的的方针和程序。它包 括下列内容：经济业务和经济活动的批准权；明确各个人员的职责分工，包括指派不同人员 分别承担批准业务、记录业务和保管财产的职责；凭证和账单的设置和使用，应保证业务和 活动得到正确的记载；对财产及其记录的接触和使用要有保护措施；对己登记的业务及其计 价要进行复核。 上述内部控制结构的定义与 1 9 7 2 年颁布的内部控制定义相比有两个明显的变 动：一是正式将内部控制环境纳入内部控制范畴；二是不再区分会计控制和管理控制，这是 因为西方学术界在对会计控制与管理控制进行研究时，逐步发现这两者往往是不可分割的， 是相互关联的。这些改变反映了 7 0 年代后期以来内部控制实务操作和理论研究的一个新动 向。 d . 内部控制整体框架阶段（2 0 世纪 9 0 年代） 网络环境下会计信息系统内部控制研究 5 “内部控制整体框架”阶段的标志是 1 9 9 2 年 9 月，由美国注册会计师协会与美国会计学 会、财务执行官协会、国际内部审计师协会和管理会计师协会共同组成的资助组织委员会（科 索委员会）发布了指导内部控制实践的纲领性文件内部控制- - - 整体框架，也就是 c o s o 报告，1 9 9 6 年末，美国注册会计师协会所属的审计程序委员会又以第 7 8 号说明书对审计 准则公告第 5 5 号中内部控制的定义和描述进行了确认，并作 3 了重要修订，内部控制定义 为：“内部控制是由董事会、经理阶层以及其他员工实施的为财务报告的可靠性、经营活动 的效率和效率、相干法律法规的遵循性等目标的实现提供合理保证的过程。”该报告提出了 内部控制构成的概念，即：“内部控制整体框架”，具体包括环境控制、风险评估、控制活 动、信息与沟通、监控五项要素。 控制环境( c o n t r o l e n v i r o n m e n t ) 。是整个内部控制系统的基础，支撑和决定着其他要 素。内部控制深受企业内部和外部环境的影响，环境影响企业控制目标的制定与实施。任何 企业的核心是企业中的人及其活动。人的活动在环境中进行，人的品性包括操守、价值观和 能力等，它们既是构成环境的重要要素，又与环境相互影响，相互作用。 风险评估( r i s k a s s e s s m e n t ) 。是及时找出风险，进而采取措施来管理风险。企业必须 制定目标，该目标必须和销售、生产、采购、财务等作业相结合。为此，企业必须设立可辨 认、分析和管理相关风险的机制，以了解自身所面临的风险，并适时加以处理。 控制活动( c o n t r o l a c t i v i t i e s ) 。是具体的控制方法. 企业必须制定控制的政策及程 序，并予以执行，以帮助管理层保证“为实现其控制目标的实现，其用以辨认并用以处理风 险所必须采取的行动业已有效落实. 信息和沟通( i n f o r m a t i o n a n d c o m m u n i c a t i o n ) 。是控制过程的实质，各类系统都是借 助信息反馈进行自我控制。围绕在控制活动周围的是信息与沟通系统。这些系统使企业内部 的员工能取得他们在执行、管理和控制企业经营过程中所需的信息，并交换这些信息。 监督( m o n i t o r i n g ) 。是对内部控制系统的运行质量不断进行评价，并将内部控制系统 的缺陷和改进意见反馈给有关管理部门，它是对其他内部控制的一种再控制。整个内部控制 的过程必须施以恰当的监督, 通过监督活动在必要时对其加以修正。 内部控制整体框架为内部控制提供了一个普遍认可、内涵统一的内部控制概念。c o s o 报 告的特点有：明确内部控制的责任；强调人的重要性；强调风险意识；强调内部控制的分类 及目标。c o s o 报告单独对内部控制的目标进行了解析和阐释，目标的设定是管理过程的一个 网络环境下会计信息系统内部控制研究 6 重要部分，是内部控制的先决条件。c o s o 将内部控制的目标分为三类与营运有关的目标、与 财务报告有关的目标、与法令遵循有关的目标。 e . 企业管理与内部控制阶段（2 0 世纪 9 0 年代末至今） “企业管理与内部控制” 阶段的标志性成果是科索委员会 2 0 0 4 年 9 月科索委员会发布的 企业风险管理- - - 整合框架研究报告，提出了八要素理论：内部环境、目标设定、事项识 别、风险评估、风险应对、控制活动、信息与沟通、监控。将内部控制上升至全面风险管理 的认识高度。使内部控制的目标、要素与组织层次之间形成了一个相互作用、精密联系的有 机统一体系；同时对内部控制的进一步细分和充实，将内部控制与风险管理日益融合，拓展 了内部控制的内涵和外延。 内部环境。它为主体内的人员如何认识和对待风险设定了基础，包括风险管理理念和 风险容量、诚信和道德价值观，以及他们所处的经营环境。 目标设定。必须先有目标，管理当局才能识别影响目标实现的潜在事项。企业风险管 理确保管理当局采取适当的程序去设定目标，确保所选定的目标支持和切合该主体的使命， 并且与它的风险容量相符。 事项识别。必须识别影响主体目标实现的内部和外部事项，区分风险和机会。机会被 反馈到管理当局的战略或目标制订过程中。 风险评估。通过考虑风险的可能性和影响来对其加以分析，并以此作为决定如何进行 管理的依据。风险评估应立足于固有风险和剩余风险。 风险应对。管理当局选择风险应对回避、承受、降低或者分担风险采取一系列行 动以便把风险控制在主体的风险容限与风险容量以内。 控制活动。制订和执行政策与程序以帮助确保风险应对得以有效实施。 信息与沟通。相关的信息以确保员工履行其职责的方式和时机予以识别、获取和沟通。 有效沟通的含义比较广泛，包括信息在主体中的向下、平行和向上流动。 监控。对企业风险管理进行全面监控，必要时加以修正。监控可以通过持续的管理活 动、个别评价或者两者结合来完成。 1 . 2 . 2 国内研究现状 我国理论界密切关注网络环境下企业内部控制制度的变化， 利用信息技术改善控制程序、 增强控制手段，提出网络财务系统安全性技术措施，有的学者进一步探讨了信息系统环境下 网络环境下会计信息系统内部控制研究 7 企业内部控制制度的构建，试图建立一种数据、系统、网络的内部控制体系。这些研究推动 了我国新经济下内部控制制度的发展与创新。陈关亭提出电子商务系统各阶段的内部控制程 序和政策：第一阶段是规划和组织阶段，第二阶段是获得和建设阶段，第三阶段是交付和运 营阶段。张英明认为在网络环境下企业传统的内部控制会面临一些问题，比如授权方式的改 变潜伏着巨大的控制风险，内部控制的程序化会使错误重复发生，原始凭证的数字化会使会 计信息易于被篡改或伪造，网络环境的开放性加剧了会计信息失真的风险；他同时提出了完 善网络环境下会计信息系统的措施，如网上公证可有效地预防原始凭证被修改或伪造，在线 测试可及时解决应用软件自身存在的问题，监控与操作的职责分离可强化系统内部的相互牵 制，利用现代的网络技术可增强网络会计系统的安全等。许永斌在对互联网会计信息系统的 风险进行分析的基础上，提出相应的解决措施：在企业内部实现操作系统控制、会计数据资 源控制、系统维护控制、应用控制、计算中心控制、组织控制和工作站点控制；在企业外部 实现周界控制、大众访问控制、电子商务控制、远程处理控制等。徐广成首先分析了互联网 对会计信息系统内部控制的影响，提出网络环境下会计信息系统所面临的风险：物理风险、 保密性和完整性被破坏的风险、系统运行风险和会计信息失真风险等。创新性地提出了网络 环境下会计信息系统的内部控制制度：制定和完善计算机会计信息系统相应的组织与管理控 制、建立网络安全控制制度、完善网络环境下计算机会计信息系统的一般控制与总体控制制 度。 1 . 3 研究思路与方法 本文将在对会计信息系统内部控制理论认真研究、学习、借鉴的基础上，运用理论联系 实际的方法和对比分析的方法，以内部控制的基本原则为指导，分析网络环境下会计信息系 统内部控制活动面临的风险和存在的问题，就如何完善网络环境下会计信息系统的内部控制 进行有益的探讨。构建一套网络环境下会计信息系统内部控制体系。 本文用 6 个章节来阐释研究内容: 第一章，引言，介绍研究背景和意义，简述论文思路及框架； 第二章，概述会计信息系统和内部控制定义的演变，对本文所认可使用的内部控制定义 作一界定； 第三章，阐述了网络环境下，会计信息系统内部控制的变化，和存在的问题；并由此展 开分析了会计信息系统内部控制面临的几个问题。 网络环境下会计信息系统内部控制研究 8 第四章，分别阐述了网络环境下，会计信息系统内部控制出现问题的解决措施。 第五章，以前述理论为指导，以阳光集团为例，分析阳光集团现有信息化建设的成果和 存在的问题，探讨阳光集团公司内部控制的存在的总理，据以进行阳光集团会计信息系统内 部控制的设计； 第六章，本文结论。 网络环境下会计信息系统内部控制研究 9 第 2 章 会计信息系统及内部控制的相关概念 2 . 1 会计信息系统的概念 会计信息系统的含义可以从不同角度进行认识，目前理论界比较有代表性的观点有以下 方面。 我国著名会计学者杨周南教授指出：会计信息系统是一个面向价值信息的信息系统，是 从对其组织中的价值运动进行反映和监督的角度提出信息需求的信息系统，即利用信息技术 对会计信息进行采集、存储和处理，完成会计核算任务，并能提供为进行会计管理、分析、 决策用的辅助信息的系统。在信息社会，会计工作中常规的可以程序化的任务将由会计信息 系统处理，同时会计信息系统还将辅助会计人员完成其他管理与决策任务。 刘中华指出：会计信息系统是企业管理信息系统中一个重要子系统。它通过收集、存储、 加工、传输和利用会计信息，对经济活动进行反映和控制。该定义强调会计信息系统的职能 定位并指出会计信息系统完成自身职能的工作程序，没有强调会计信息系统的工具。 付得一指出：会计信息系统是以信息技术为手段、由会计业务流程、会计组织、内控制 度、系统评价和改进、计算机软硬件组成的集合体。该定义只是指出了会计信息系统的手段 和组成部分，会计信息系统的属性和功能并未阐述。 通过比较以上三种观点，可以发现两位学者认为会计信息系统主要特征是采用信息技术 进行会计信息处理。客观说现代会计信息系统确实采用了信息技术，并且信息技术成为现代 会计信息系统不可或缺的组成部分，但上述定义抹杀了会计信息系统的本质属性。我们认为 会计信息系统本质上是一个信息系统，以提供反映财务状况、经营成果以及管理决策信息为 主要职能，通过设定相应业务流程、业务规则以及内控制度保证上述职能的实现。仅仅将会 计信息系统工具作为定义会计信息系统的标准缺乏合理性。 2 . 2 内部控制的概念 内部控制，其实由来已久，引起关注是因为近代审计发展的需要。近年来，随着现代管 理科学的不断完善，内部控制尤其成为会计乃至管理理论界和实务界广为关注的热点。但到 目前为止，人们对内部控制的认识还远未达成共识，其中一些重大问题仍有继续深入讨论的 必要。 网络环境下会计信息系统内部控制研究 10 美国注册会计师协会对内部控制的概念有一个权威的定义：“内部控制包括组织机构的 设计和企业内部采取的所有相互协调的方法和措施。 这些方法和措施都用于保护企业的财产， 检查企业会计信息的准确性和可靠性，提高经营效率，推动企业坚持执行既定的管理方针。 我国独立审计具体准则第 9 号内部控制与审计风险对内部控制的定义是“单位为 了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误和舞弊，保证 会计资料真实、合法和完整而制定和实施的政策与程序”。由上述这些定义可以看出，内部 控制首先是一项管理活动，而不仅仅是会计系统的一个组成部分，它是对企业生产经营活动 进行整体全面管理的一系列规章、制度、手段、方法等的集合，既有对具体活动的控制，也 有对活动成果的控制，既有直接的控制，也有间接的控制。内部控制一方面是内部控制思想 在企业实际工作中的具体表现，另一方面又是一个具有自我组织、自我调节，具有目标性和 层次性的功能系统，其主要目的是领导、组织、协调、监督组织内的各项生产经营管理活动， 促成企业生产经营目标的实现。 归结上述文献，本文将内部控制界定为: 是为合理保证单位经营活动的效益性、财务报告 的可靠性和法律法规的遵循性，而自行检查、制约和调整内部业务活动的自律系统。它贯穿 于经营活动的全部过程，包括控制环境、风险评估、控制活动、信息与沟通，监督等要素， 并受企业董事会、管理阶层及其他人员影响。 2 . 3 会计信息系统内部控制的目标与原理 2 . 3 . 1 会计信息系统内部控制的目标 内部控制目标是企业管理部门通过控制所要达到的目的，是内部控制潜在作用的表现。 现代企业内部控制目标涉及企业的各个方面，成为企业控制权结构的具体体现。企业内部控 制的目标主要包括: 一是保证国家财经法规的贯彻执行， 这是内部控制为了适应外部法规强制 性环境要求而提出，即合法性目标; 二是增强各种信息输出和财务会计信息的准确可靠、保护 财产物资的安全完整，这是内部控制最初也是首要的目标，为了实现经营方针与经营目标， 对于其他经营管理活动方面信息的可靠性也是内部控制所要考虑的， 即可靠性目标; 三是保证 企业经营管理方针、政策和指令的贯彻执行，促进生产经营活动效率的提高、保证经营目标 的实现，这是内部控制的终期目标或更高层次的目标，也即是效益性目标。会计信息系统作 为企业一个重要的信息系统，其内部控制目标与企业内部控制相一致，具体目标按层次划分， 网络环境下会计信息系统内部控制研究 11 大致包括如下内容: 内部控制制度科学合理、查错防弊及时准确、财产安全完整、业务活动健 康运行、风险控制系统有效、会计信息资料真实完整、会计信息及时有用、管理制度健全完 善、管理效率真实高效、国家法规贯彻执行、经济效益不断提高、职业道德完善升华等。这 些内部会计控制目标呈相互联系、相互依存的递进层次关系，通常表现为前者是后者的基础 和条件，这是信息化环境下会计信息系统内部控制的理想境地。为了实现会计信息系统的控 制目标，必须设置各种手段。此外，因为现代企业面临经营环境的不确定性、政府政策修订、 市场竞争与信息技术的发展等各种外部因素可能导致经营活动发生不可预测的变化，加上行 为因素也会影响控制系统的效用。所以，实现控制目标并非易事，需要统筹规划、分清主次、 掌握原则、全面实施。 2 . 3 . 2 会计信息系统内部控制的原理 分工作为内部控制的基本原理，一直为传统会计管理所采纳，人员分工和牵制一直是会 计控制所采用的重要措施之一。所谓分工，是指在企业中没有一个员工或者部门能够从头至 尾包办一项业务，每一个员工所做的工作都要经由一个或一个以上的其他员工的核对。具体 来说，在会计信息系统环境下，可以从以下几个角度进行分工。 a . 业务流程的分工 每一项业务均需要经过授权、批准、执行和记录这 4 个步骤，每一个步骤分别由不同的 员工负责。 b . 业务执行中各个不同阶段的分工 在业务进行的各个不同阶段，均需要由不同的员工或者部门负责。 c . 记录的分工 业务的记录主要是会计部门的工作，在会计部门需要进行适当的分工。 d . 资产的保管 负责保管资产或者有机会接近资产的员工，不能兼任该项资产的记录工作，否则可能会 造成编造假的资产记录来掩盖挪用或侵吞资产的行为。 网络环境下会计信息系统内部控制研究 12 第 3 章 网络环境下会计信息系统内部控制分析 3 . 1 手工处理会计信息系统的内部控制 手工作业条件下，企业财务部门一般主要从以下两个方面实施内部控制： 一是从组织形式上，将财务部门按经济业务的性质分为几个不同的职能组，诸如出纳组、 资金组、资产组、成本组等，并且各职能组的人员只能负责一个选定的业务领域，记录、审 核、处理和报告其领域内的经济业务。在这种组织形式下，不同的人员严格按照财务制度及 各自的岗位责任制完成不同的工作，并在各职能组主管的监督下，彼此构成一个内部牵制网， 因而不容易出现错漏和舞弊现象。且一旦出现问题也可以通过核对记录，查出问题的责任者， 以起到内部控制作用。 二是在会计账务处理的组织程序上，除了要保证凭证、账簿、报表按一定的程序分别且 由不同的人记录和编制外，还要做到账账核对、账实核对、账表核对、账物核对，并保证其 一致性。会计主管和各职能组负责人随时可以通过审查凭证、账簿和报表，检查经济业务处 理的合理性、合法性。这种核对审查制度，也在一定程序上保证了会计信息的质量。 3 . 2 网络环境下会计信息系统内部控制的变化 网络环境改变了会计信息系统的工作方式与方法，内部控制也随着发生变化，与手工会 计相比较，网络环境下的会计信息系统内部控制综合性增强、控制范围加大、控制程序更复 杂，它是以职能部门和会计信息处理部门并重的全面控制，是人工控制和计算机自动控制相 结合的多方位控制。 3 . 2 . 1 内部控制环境的变化 企业计算机处理使用会计和财务数据后，企业的会计核算环境发生了很大的变化，会计 部门的组成人员从原来由财务、会计专业人员组成，转变为由财务、会计专业人员和计算机 数据处理系统的管理人员及计算机专家组成。 会计部门不仅利用计算机完成基本的会计业务， 还能利用计算机完成各种原先没有的或由其他部门完成的更为复杂的业务活动， 如销售预测、 人力资源规划等。因此，要保证企业财产物资的安全完整、保证会计系统对企业经济活动反 网络环境下会计信息系统内部控制研究 13 映的正确和可靠、达到企业管理的目标，企业内部控制制度的建立和完善就显得更为重要， 内部控制制度的范围和控制程序较之手工会计系统更加广泛、更加复杂。 3 . 2 . 2 内部控制目标的变化 在传统的工业经济环境下，企业的董事会、管理层和全体员工通过一系列的控制活动可 实现企业战略、提高经营的效率和效果、保证财务报告及管理信息的真实、可靠和完整、保 护资产的安全完整，遵循国家法律和有关监管要求；在网络环境下，企业会计信息系统内部 控制除了实现以上目标外，还需确保系统合规合法、保证系统处理的数据正确无误、保证系 统安全可靠、提高系统运行的效率、提高系统的可维护性、增强系统的可审性。 3 . 2 . 3 内部控制内容的变化 计算机和网络技术的引入给会计工作增加了新的工作内容，同时增加了新的控制措施， 例如计算机硬件及软件分析编程维护人员与计算机操作人员的内部牵制，计算机会计信息的 安全保护计算机病毒防治计算机操作人员网络系统管理员网络系统维护人员的授权与岗位责 任等问题， 手工会计系统的内部控制主要针对交易处理，而网络技术环境下，由于系统建立和运行的 复杂性，内部控制的范围相应的扩大，包含了传统手工系统所没有的控制，如网络系统安全 的控制、系统权限的控制、修改程序的控制等，以及磁盘内会计信息安全保护、计算机病毒 防治、计算机操作管理、系统管理员和系统维护人员的岗位责任制度等。传统内部控制对象 是处理会计业务的财务人员，只要制定了相应的岗位责任制和内部牵制制度，就可以保证会 计信息的正确性和企业资产的安全完整。而在网络环境下，还需增设对网络系统开发员、网 络系统维护员和网络系统管理员的控制。例如，计算机硬件及软件分析、编程、维护人员与计 算机操作人员的内部牵制，计算机会计信息的安全保护，计算机病毒防治；计算机操作人员、 网络系统管理员、网络系统维护人员的授权与岗位责任等问题。 3 . 2 . 4 内部控制组织的变化 与传统的电子数据处理系统相比，网络使各个子系统之间数据直接以电子数据的形式进 行，企业的会计核算都集中在一个数据处理系统内，提高了企业内各核算部门间数据的一致 性程度和数据的传输速度。保证会计信息的正确性，需要采用一些新的控制组织方式，网络 网络环境下会计信息系统内部控制研究 14 环境下，会计内部控制由原来的职能部门为主，转移为职能部门和计算机数据处理部门控制 为主，将控制重点放在原始数据输入计算机的控制、会计信息的输出控制、人机交互处理的 控制、计算机系统之间连接的控制等方面。 3 . 2 . 5 内部控制形式的变化 网络会计采用高度电子化的交易方式，对数据的正确性、交易及其轨迹均带来新的变化。 原始凭证在网络业务交易时自动产生并存入计算机，交易的全过程均在电子媒介上建立、运 算与维护，不再存在传统的原始凭证，而且大量的数据录入和交易驱动发生在企业外部。会 计电算化的第一阶段促进了介质的改变，从帐本到磁盘文件；网络会计使会计介质继续发生 变化，不仅是帐表，更多的介质将电子化，出现各种电子单据（如各种发票、结算单据）。 存贮形式主要以网络页面数据存贮，网页数据只能在计算机及相应的程序中阅读，原来在核 算过程中进行的各种必要的核对、审核等工作大部分由计算机及网络自动完成。因此，网络 环境下的内部控制由人工控制转变为由人、计算机和网络的共同控制。 由上可见，网络环境下由于信息技术的广泛应用使得内部控制框架的内部构成产生了新 的变化，这些变化给企业带来了新的机会，同时也加大了潜在的风险。网络环境下的内部控 制制度与手工环境下的内部控制制度相比较，控制范围有所扩大、控制程序更加灵活多样， 是控制的重点为职能部门和计算数据处理部门并重的全面控制，是人工控制、计算机自动控 制和网络控制相结合的多方位控制。计算机和网络技术越发展，计算机自动控制和网络控制 应用的程度就越高。可以想象，当全社会都用计算机网络连接起来以后，就可将规范、标准 的原始凭证扫描进计算机进行自动识别，甚至完全可以采用电子数据网络传输，以尽量减少 人为因素，内部控制功能便将大为增强。 3 . 3 网络环境下会计信息系统内部控制面临的问题 前面提到，c o s o 报告提出内部控制整体架构由五要素组成。在网络环境下，企业内部控 制系统仍是由上述五个基本要素构成，框架体系并未发生实质性的改变。但是，每项基本要 素的内部构成却呈现出新的内容，表现出新的特征，也随之带来了内部控制中新的问题。 网络环境下会计信息系统内部控制研究 15 3 . 3 . 1 控制环境 网络技术的发展，给企业带来了机遇，同时又带来了巨大的挑战，竞争变得更加激烈， 经营规则不断更新，传统管理机构和管理模式已经无法适应时代发展的需要。随着企业的扩 张，其管理层次和机构也在发展，结果是组织结构越来越臃肿，管理流程越来越复杂。面对 当今瞬息万变的市场，需要企业在第一时间内做出反应，满足顾客的需求。网络环境带来的 信息技术的广泛应用，使得企业组织结构趋向扁平化。在这种组织结构下，无论信息处于何 处，企业内外部人员都能够容易地获得，领导不再是组织等级的上层，而成为行动的中心， 这样使得决策者和执行者能够快速沟通，真正做到向管理要效益，既有利于创造、革新、加 快发展速度，又能在不断磨合中加强内部控制和向心力。 3 . 3 . 2 风险评估 风险评估是指对组织风险的分析、确认和管理，它是提高内部控制效率和效果的关键。 在新的网络环境下，企业存在的主要风险主要有： a . 授权方式的改变引发的风险。在传统手工环境中，一项经济业务的各个环节一般都要 经过某些具有相应权限的人员签章。但在信息技术环境下，权限分工的主要形式是口令或密 码，业务人员可利用特殊的授权口令，获得某种权利并通过运行特定程序进行业务处理。口 令存放于信息系统内，一旦泄露或窃取，势必造成网络系统管理混乱，从而给网络环境下会 计信息带来风险。 b . 原始凭证数字化缺乏可视痕迹。随着电子商务的发展，计算机的存储方式实现数字化 电子化即以数字形式存储在磁光性介质上，在信息技术环境下这种无纸凭证极易被篡改或伪 造而不留任何痕迹，它弱化了纸质原始凭证所具有较强的控制功能。部分交易的“了无痕迹” 给控制带来了一定难度，也给一些不法行为提供了机会，给内部会计控制带来了新的难题。 另外，磁性介质容易损坏，一旦受损又很难修复。这更使数字化的信息丢失或毁坏的风险加 大。 c . 网络会计的开放性加大了安全风险。由于网络具有开放性、互联性和联接形式多样性 等特征，给一些非善意访问者以可乘之机，网络下的会计信息系统很有可能遭受非法访问甚 至黑客或病毒的侵扰，这种攻击可能来自于系统外部也可能来自系统内部，而且一旦发生将 造成巨大的损失，因而有效地防治计算机病毒对保障网络系统的安全性至关重要。 网络环境下会计信息系统内部控制研究 16 d . 系统整合集成加大信息风险。在网络环境下，内部控制在很大程度上依赖于信息系统， 如果信息系统失灵或崩溃，重要信息被窃，都将给企业带来不可估量的损失。因此，企业应 当作好有关信息资产和信息系统方面的风险评估，建立良好的 i t 治理机制，减少灾难的发生 以及灾难发生时的损失。 3 . 3 . 3 控制活动 控制活动是企业为了保证指令得到实施而制定并执行的控制政策和程序，是针对实现组 织目标所涉及的风险而采取的必要防范或减少损失的措施。网络环境下的内部控制活动可具 体分为： a . 网络信息技术的应用增强了控制手段的多样性、灵活性、高效性，加强了内部控制的 预防、检查与纠正的功能。控制的重点由对人的控制为主转变为对人、机共同控制为主，控 制程序也应当与业务流程相适应。 b . 随着计算机使用范围的扩大，利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增 加。如储存在计算机磁性媒介上的数据容易被篡改; 数据库技术的提高使数据高度集中，未经 授权的人员有可能通过计算机和网络浏览全部数据文件，复制、伪造、销毁企业重要的数据， 使得计算机犯罪具有很大的隐蔽性和危害性，因此，也增加了信息技术环境下内部控制的难 度与复杂性。 3 . 3 . 4 信息与沟通 企业在其经营与控制的过程中， 需要按某种形式辨识并取得来自企业内部及外部的信息， 并在组织内部进行沟通，以使员工清楚地获取有关其控制责任的信息，履行其责任。 a . 网络衔接企业各职能部门，实现财务和业务的一体化处理，使会计核算从事后的静态 核算转变为事中的动态核算，信息需求者可以获取实时信息，内部控制由顺序化向并行化发 展。企业的制造、采购、销售、财务等人员并肩工作，共同控制企业的物流、资金流和信息 流， b . 开放的信息系统为内部员工、管理者以及客户、供应商等外部团体提供了开放的沟通 管道，有利于内部沟通与外部沟通的进行，使得组织内的员工清楚了解内部控制制度的规定 以及各自的责任；管理者随时掌握内部控制制度的执行与生效情况，并可以从外部信息中获 悉关于本企业内部控制功能的重要信息。 网络环境下会计信息系统内部控制研究 17 c . 网络开放的环境很难避免非法侵扰，会计信息系统很有可能遭受非法访问甚至黑客或 病毒的侵扰。同时，我们还应注意新环境下信息系统的信息品质。在网络环境下，财务信息 的传递借助于网络完成，电子符号代替了会计数据，磁性介质代替了纸张，财务数据流动过 程中签字盖章等传统交易授权手段不再存在，从而使网络信息的真实性受到质疑，这都给内 部控制提出了新的问题。 3 . 3 . 5 监控 在网络环境下，内部控制具有人工控制、程序控制和网络控制相结合的特点，这些程序 化的内部控制的有效性取决于应用程序，如果程序发生错误或不起作用，由于人们对系统的 依赖性以及程序运行的重复性，将使失效控制长期不被发现，并被多次重复，从而使系统在 特定方面发生错误或违规行为的可能性更大、问题更严重。所以，在网络环境下，会计信息 系统监控难度加大。 网络环境下会计信息系统内部控制研究 18 第 4 章 网络环境下会计信息系统内部控制的重建 4 . 1 完善控制环境 控制环境是指对企业内部控制系统建立、加强或削弱的特定政策、程序及其效率产生重 大影响的各种因素的总称。影响控制的因素有管理哲学、组织结构、董事会或审计委