（工商管理专业论文）潍百集团会计信息系统内部控制研究.pdf

大连理工大学专业学位硕士学位论文 摘要 随着中国国际化进程的推进，国内企业面临的竞争压力越来越大，对管理水平的要 求也越来越高，企业的股东、经营者、政府、社会公众等越来越关注企业会计信息的质 量、时效。为此，许多企业通过自行开发会计软件或购买通用商品化会计软件的方式来 建立会计信息管理系统，近十多年的实践证明，相当多的企业在建立会计信息管理系统 的时候对相应内部控制体系的建设重视不够，现行内部控制体系中存在着很大风险。 本文针对这一现实，在对会计信息系统内部控制相关理论进行阐述的基础上，对手 工处理会计信息系同电算化会计信息系统进行了比较，分析了电算化会计信息系统的特 点，阐述了会计信息系统内部控制风险，比较系统地论述了防范风险的对策即会计信息 系统内部控制的具体内容：组织控制、系统开发控制、系统文件控制、工作环境控制、 系统操作控制、会计数据存取控制、数据输入控制、数据处理控制、数据输出控制等。 然后介绍了潍百集团及其会计信息系统的特点，分析了潍百集团会计信息系统内部控制 的缺陷，重点针对缺陷提出了相应的完善措施和改进方案，最后简要描述了系统改进后 的预期效果。希望通过潍百集团的例子对其它企业会计信息系统内部控制的完善和建立 有一定的指导意义和应用价值。 关键词：会计信息系统；内部控剑；控制风险 潍百集团会计信息系统内部控制研究 i n t e r n a lc o n t r o lr e s e a r c ho na c c o u n t i n gi n f o r m a t i o ns y s t e mo f w e i b a ig r o u p a b s tr a c t w i t hc h i n ap u s h i n gt h ei n t e r n a t i o n a l i z a t i o nf o r w a r d ，d o m e s t i ce n t e r p r i s e sa r ef a c i n g i n c r e a s i n g l yc o m p e t i t i v ep r e s s u r e ，a n dt h ed e m a n do ft h em a n a g e m e n tl e v e li sg e t t i n gh i g h e r a n d h i g h e r t h es h a r e h o l d e r so fe n t e r p r i s e s ，o p e r a t o r s ，g o v e r n m e n ta sw e l la sp u b l i ce n t e r p r i s e s a r ec o n c e r n e da b o u tt h ea c c o u n t i n gi n f o r m a t i o na n di t s q u a l i t y b e c a u s eo ft h i s ，m a n y e n t e r p r i s e se s t a b l i s ht h e i ra c c o u n t i n gi n f o r m a t i o nm a n a g e m e n ts y s t e mb yd e v e l o p i n gt h e i ro w n a c c o u n t i n gs o f t w a r eo rb u y i n gg e n e r i cc o m m e r c i a l i z a t i o na c c o u n t i n gs o f t w a r e o v e rt h ep a s t d e c a d ei th a ss h o w nt h a tac o n s i d e r a b l en u m b e ro fe n t e r p r i s e sh a v e nn o tp l a c e de n o u g h e m p h a s i so nt h ec o r r e s p o n d i n gs y s t e mo fi n t e r n a lc o n t r o li nt h ee s t a b l i s h m e n to fa c c o u n t i n g i n f o r m a t i o nm a n a g e m e n ts y s t e m t h e r ei sag r e a tr i s ki nt h ee x i s t i n gi n t e r n a lc o n t r o ls y s t e m i nt h i sp a p e r , t h er e a l i t yi sb a s e do na c c o u n t i n gi n f o r m a t i o ns y s t e m so nr e l e v a n tt h e o r yo f t h ei n t e r n a lc o n t r o lo fa c c o u n t i n gi n f o r m a t i o ns y s t e m s oi ti su p o nt h em a n u a lp r o c e s s i n go f a c c o u n t i n gi n f o r m a t i o no ft h ed e p a r t m e n to fc o m p u t e r i z e da c c o u n t i n gi n f o r m a t i o ns y s t e mw i t h a c o m p a r a t i v ea n a l y s i s o f c o m p u t e r i z e da c c o u n t i n g i n f o r m a t i o n s y s t e m a b o u tt h e c h a r a c t e r i s t i c sa n dt h ea c c o u n t i n gi n f o r m a t i o ns y s t e mo fi n t e r n a lc o n t r o lr i s k s t h ea r t i c l e d i s c u s s e dm e a s u r e ss y s t e m a t i c a l l yt og u a r da g a i n s tt h er i s ki nt h ea c c o u n t i n gi n f o r m a t i o n s y s t e mo ft h es p e c i f i cc o n t e n to ft h ei n t e r n a lc o n t r o l ：o r g a n i z a t i o n a lc o n t r o l ，c o n t r o ls y s t e m d e v e l o p m e n t ，c o n t r o lo fs y s t e md o c u m e n t ，c o n t r o lo fw o r k i n ge n v i r o n m e n t ，s y s t e mc o n t r o l ， c o n t r o lo f a c c o u n t i n g ，d a t aa c c e s s ，d a t ai n p u tc o n t r o l s ，d a t a - p r o c e s s i n gc o n t r o l ，a n dc o n t r o lo f d a t ao u t p u t a n di tt h e n b r i e f l yi n t r o d u c e da c c o u n t i n g i n f o r m a t i o n s y s t e m sa n d i t s c h a r a c t e r i s t i c si nw e i b a ig r o u p i ta l s oa n a l y s e dw e i b a ia c c o u n t i n gi n f o r m a t i o ns y s t e mi nt h e i n t e r n a lc o n t r o ld e f i c i e n c i e s ，f o c u s i n go nd e f i c i e n c i e si nt h ec o r r e s p o n d i n gm e a s u r e st o i m p r o v et h ep r o g r a m a n df i n a l l yab r i e fd e s c r i p t i o no ft h es y s t e mi se x p e c t e dt oi m p r o v et h e a f t e re f f e c t ih o p et h a tt h ec a s eo fw e i b a ig r o u pt a i lo f f e ro t h e rc o r p o r a t ea c c o u n t i n g i n f o r m a t i o ns y s t e m sac e r t a i nd e g r e eo fg u i d a n c et ot h em e a n i n ga n da p p l i c a t i o nv a l u et o i m p r o v et h e i ri n t e r n a lc o n t r o ia n de s t a b l i s h m e n t k e yw o r d s ：a c c o u n t i n gi n f o r m a t i o ns y s t e m s ；i n t e r n a lc o n t r o l ；c o n t r o lr i s k i i 大连理工大学学位论文独创性声明 作者郑重声明：+ 所呈交的学位论文，是本人在导师的指导下迸行研究 工作所取得的成果。尽我所知，除文中已经注明引用内容和致谢的地方外， 本论文不包含其他个人或集体已经发表的研究成果，也不包含其他已申请 学位或其他用途使用过的成果。与我一同工作的同志对本研究所做的贡献 均已在论文中做了明确的说明并表示了谢意。 若有不实之处，本人愿意承担相关法律责任。 学位论文题目：连互篡团金i 土焦! 壑丕统凼壑控剑珏究 作者签名：j 咎丸l 日期卑年月卫日 大连理工大学专业学位硕士学位论文 大连理工大学学位论文版权使用授权书 本人完全了解学校有关学位论文知识产权的规定，在校攻读学位期间 论文工作的知识产权属于大连理工大学，允许论文被查阅和借阅。学校有 权保留论文并向国家有关部门或机构送交论文的复印件和电子版，可以将 本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、 缩印、或扫描等复制手段保存和汇编本学位论文。 学位论文题目：连互篡国金i 土焦! 垦丕统囱叠控剑盈究 作者签名： 边 乏兰臣丕 日期：上竺芝乙年生月笪日 导师签名： 盏l 杰垒三盏日期：狻童年月笪日 导师签名： 型l 盏垒三聋 日期： 狻卫年月生日 大连理工大学专业学位硕士学位论文 1 绪论 1 1问题的提出 随着计算机和现代信息技术在会计中的广泛应用，会计工作经历了从手工会计到会 计电算化再到网络会计这一发展过程，会计数据处理的工具也从算盘( 或计算器) 发展到 计算机单机和计算机网络，会计数据处理的流程也随之发生了变化。作为电算化会计信 息系统重要组成部分的内部控制，在电算化会计信息系统环境下，其作用不是削弱而是 加强了，其控制手段呈多元化趋势，对控制本身的要求更加严格，控制的范围也更为扩 大。会计信息系统进一步向深层次发展，这些变革无疑给企业带来了巨大的效益，但同 时也给内部控制带来了新的问题和挑战。 由于传统的分工控制在电子数据处理系统中大部分失去了作用，对会计处理过程中 的错误与舞弊的防止和揭露变得更加困难，会计系统处理结果的正确性更多地依赖于内 部控制制度的完善。因而，信息化环境下的内部控制，应该把组织结构和管理控制列为 重点。在电算化会计信息系统中内部控制之所以重要，基本原因在于：第一，管理部门 对会计信息系统所产生的结果的依赖性越来越大，而这些结果的准确性和可靠性在数据 处理中涉及控制的职能；第二，电算化会计信息系统所产生的信息日益增多，为确保这 些信息得到有效利用，必然需要完善的控制过程；第三，在会计信息系统中，存在很多 潜在的控制问题，相应地会导致有关风险；第四，有关法律法规也要求建立会计电算化 内部管理制度，增加了管理部门在有效设计和执行内部控制制度方面的责任。 潍百集团作为全国商业零售企业5 0 强之一的集团公司，会计信息管理系统在其企 业运营及内部管理中的地位和作用可想而知，是企业运营和管理的基础，如果会计信息 管理系统出现问题，企业将会面临巨大的风险。为了保证企业会计信息系统的正常运行， 内部控制是其采取的最重要的防范风险的措施。因而本文以潍百集团会计信息系统的内 部控制为研究对象，结合内部控制理论具体分析了其存在的缺陷，并提出了相应的完善 措施和改进方案，希望对潍百集团会计信息系统控制措施的改善有一定的借鉴和提升。 1 2 国内外文献综述 1 9 9 2 年，美国c o s o 委员会在进行专门研究后提出专题报告内部控制一整体架构， 也称c o s o 报告n 1 。经过两年的修改，1 9 9 4 年c o s o 委员会提出对外报告的修改篇，扩大了 内部控制涵盖范围，增加了与保障资产安全有关的控制，得到了美国审计署( g e n e r a l a c c o u n t i n go f f i c e ，g a o ) 的认可。与此同时，a i c p a 则全面接受c o s o 报告的内容，于1 9 9 5 年据以发布了审计准则公告第7 8 号( s a sn o 7 8 ) ，并自1 9 9 7 年1 月起取代了审计准 潍百集团会计信息系统内部控制研究 则公告第5 号。c o s o 报告指出：内部控制是一个过程，受企业董事会、管理当局和其 他员工影响，旨在保证财务会计报告的可靠性、经营的效果和效率以及现行法规的遵循。 它认为内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五 项要素构成。 信息控制目标及其相关技术( c o n t r o lo b j e c t i v e sf o ri n f o r m a t i o na n dr e l a t e d t e c h n o l o g y ，以下简称c o b i t ) 乜1 ，由国际电脑稽核协会所属的信息系统审计与控制基金 会于2 0 0 年7 月修改完成。c o b i t 是一个i t 风险管理与i t 控制的综合性分析框架，由覆盖 信息化生命周期的4 个域、3 4 个控制目标、3 1 8 个详细控制目标组成。c o b i t 也涉及企业 经营、合法合规等方面的控制。因此，该框架可作为制定i t 控制目标、审计、管理和执 行方针的依据。c o b i t 框架可以作为最佳实践指南的来源之一。 c o b i t 提供了一个框架，这个框架能帮助我们区分在计算机信息系统内部控制问题 中以下二者的不同：其一是与信息系统相关的具体的信息控制系统；其二是信息系统的 管理和控制的特点，这些特点是我们可能获得的与详细的信息控制系统有关的保证。为 了对公司详细控制的有效性评价，我们首先应该考虑评价信息系统监管的有效性，其次 我们要关注信息系统的监管机构。 我国理论界对内部控制的研究起步较晚，但是在最近几年我国学者对企业内部控制 的理论研究已经取得了较大的进展。 早期对内部控制的研究是以内部会计控制为核心的，基本上没有涉及管理控制等非 会计控制领域，甚至没有包括审计方面的内容，其中典型的代表如我国目前已发布的内 部控制法律法规。我国很多学者认为内部控制的核心应该是保证会计信息的真实性，会 计控制应该成为内部控制的重点所在口1 ，从此基点出发，张俊民( 2 0 0 1 ) h 1 探讨了企业内 部会计控制的目标构造及其分层设计的基本思想，他认为企业产权关系、治理结构中管 理权责安排结构及企业经济管理要求的多样性是构造企业内部会计控制目标的基础。朱 荣恩等( 2 0 0 4 ) 晦1 通过问卷调查分析了中国企业内部会计控制的实施情况，得出了一些有 价值的结论和建议。 杨有红等( 2 0 0 4 ) 阳1 则从审计的角度对内部控制进行了研究，其研究主要集中于审计 程序与方法的应用、审计成本的节约、审计效率的提高和审计风险的控制。 对公司治理结构与企业内部控制的关注在近年来也逐渐成为研究热点。阎达五等 ( 2 0 0 0 ) 口1 明确指出内部控制目标随公司治理机制的完善呈多元化趋势，内部控制框架与 公司治理机制的关系是内部管理监控系统与制度环境的关系。冯均科( 2 0 0 1 ) 例从产权结 构特征出发，认为内部控制效率的提高应当针对不同的公司治理结构采取相应的对策。 大连理工大学专业学位硕士学位论文 程新生( 2 0 0 6 ) 嘲、杨有红等( 2 0 0 4 ) n 们和李连华( 2 0 0 4 ) n ”则探讨了内部控制与公司治理结 构的连接与互动关系，为提高企业内部控制效率寻求一些新的发现。 随着c o s o 报告在中国影响的日益增强，我国学者对内部控制的认识也逐渐超越了内 部会计控制的界限。吴水澎等( 2 0 0 0 ) n 明在国内较早地介绍了该报告的主要内容、框架及 进展，并以此为基础对中国企业内部控制的发展提出了一些建设性的建议。通过对部分 企业内部控制失效案例的分析，他们建议由权威部门制定内部控制的标准体系，并对企 业内部控制的审计做出强制性安排，做n - 者并举。方红星( 2 0 0 2 ) 把内部控制与审计 联结起来，认为内部控制是在审计目标定位主导下发展的，内部控制和审计的历史渊源 和逻辑联系，完全可以从“组织效率”角度做出科学的分析和解释。他们的研究成果对 我国内部控制法律规范忽视审计的作用提供了有益的借鉴。 目前国内外学者对于电算化会计信息系统内部控制理论总体研究较多，但是对单位 如何建立和完善电算化会计信息系统内部控制的实务研究较少，已有的理论主要是对电 算化会计信息系统与传统手工会计信息系统的差异进行比较分析，从而总结出会计电算 化对内部控制的新要求，另有学者对会计信息系统内部控制的原则做了研究。 1 3 本文的研究思路及方法 由于会计电算化不断普及，会计处理方式发生变化，原先会计内部控制所使用的由 职能部室监督、会计人员相互牵制岗位设置等人工控制方法已不再适用。为满足网络环 境下会计内控制度的要求，适应新形势下的需要，确保企业利益不受损害，使管理人员 能够利用会计数据得到更充分的有价值的信息，提高决策效率和质量，本文从潍百集团 目前会计信息系统内部控制的现状分析其存在的问题，通过发现的问题找出内部控制关 键点，通过网络会计信息系统的研发、功能控制、数据保密等方面，利用管理学原理， 对会计事项分别进行事前、事中、事后的控制，建立系统内部控制制度、设置新的流程， 对企业提高工作效率，降低企业控制风险，增强核心竞争能力，具有一定的现实意义。 本文以会计信息系统内部控制管理方面的科学思想为指导，运用企业内部控制理论 和会计信息化管理理论为基础和方法，对企业强化会计信息内部控制做出比较系统的分 析，阐述企业会计信息系统内部控制的方法、思路和经验，为其他企业进一步完善企业 的内部控制提供参考。 通过详细地调查取证，对潍百集团及其会计信息系统进行了全面的了解，对其会计 信息系统的内部控制缺陷进行了分析阐述，然后对其内部控制提出了完善措施和改进方 案，最后对改进后的潍百集团会计信息系统内部控制的预期效果进行了描述。 特色和预期达到的成果和水平： 一3 一 潍百集团会计信息系统内部控制研究 第一，本文根据信息控制目标及其相关技术一框架( c o b i t ) 、c o s o 的企业风 险管理一整合框架报告，并结合萨班斯法案中对内部控制的要求，阐明如何在计算机 会计信息系统环境下建立行之有效的内部控制制度。 第二，信息技术的高速发展与广泛应用，彻底改变了企业传统的手工数据处理方式 下的内部控制体制，信息流程和业务流程的有效整合有效提高了公司内部控制的效率、 增强了内部控制效果。 第三，公司内部审计可以成为公司内部控制的有效的补充。内部审计的主要目的是 评价组织控制，它既对内部控制的健全和有效进行评价，以确保揭露组织潜在的风险和 运行达到组织的目标，其本身又是内部控制的重要组成部分。内部审计如何成为会计信 息系统内部控制关键点也是本文将讨论的创新点。 - 4 - 大连理工大学专业学位硕士学位论文 2 会计信息系统内部控制相关理论 2 1 c o s o 风险管理及内部控制理论 2 1 1 风险概念 市场经济条件下，一切经济活动只要有不确定因素存在，都会存在风险。风险管理 是管理学可行性研究中不可或缺的内容。在国外，风险管理已经成为独立学科，在国内 也在迅速发展中，风险管理的相关理论在指导实践中起着重要的作用。 目前，对于“风险 没有一个公认的权威性定义，仍是百家争鸣。对相关文献进行 归纳，从界定和全面理解风险内涵的角度出发，得出有关风险含义的主要观点如下n 钔： ( 1 ) 风险是损失的不确定性，风险概念可以分为狭义和广义，狭义风险即为损失的 不确定性，而广义风险概念不仅包含损失的不确定性，而且还包括盈利的不确定性，即 风险既可以给主体带来威胁，也可能带来机会。 ( 2 ) 风险是实际结果与预期的偏离风险是在特定情况下，在确定的时段内，由于客 观条件的不确定性而引起的可能后果与预期目标而发生的偏离。 ( 3 ) 风险是各基本构成要素相互作用的结果，风险因素、风险事件和风险结果是风 险的基本构成要素。风险因素是风险形成的必要条件，是风险产生和存在的前提。风险 事件是外界环境变量发生预料未及的变动从而导致风险结果的事件，它是风险存在的充 分条件，在整个风险中占据核心地位。风险事件是连接风险因素与风险结果的桥梁，是 风险由可能性转化为现实性的媒介n 朝。 综上所述，本文认为风险是客观存在的，是由众多风险因素所组成的，而这些风险 因素依据其程度大小可以通过一些方法加以衡量和控制。 2 1 2c o s o 内部控制体系概要 美国c o s o 委员会根据内部控制一整体架构，经过两年的修改，于1 9 9 4 年提出的 c o s o 报告，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制，并得到了美 国审计署( g e n e r a la c c o u n t i n go f f i c e ，g a o ) 的认可。此外，a i c p a 也全面接受c o s o 报 告的内容，于1 9 9 5 年据以发布了审计准则公告第7 8 号( s a sn o 7 8 ) ，并自1 9 9 7 年1 月 起取代了审计准则公告第5 号。 c o s o 报告n 3 指出：内部控制是一个过程，受企业董事会、管理当局和其他员工影响， 旨在保证财务会计报告的可靠性、经营的效果和效率以及现行法规的遵循。它认为内部 控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成： 一5 一 潍百集团会计信息系统内部控制研究 ( 1 ) 控制环境，其主要内容有管理者的经营风格和经营理念、董事会及审计委员会、 组织结构与权责分派体系、员工的品行与素质、人力资源政策及执行、管理控制方法、 外部影响。 ( 2 ) 风险评估，包括外部风险评估和内部风险评估。企业外部的风险主要包括政治、 经济、社会、文化与自然等方面，如环境的变化、新技术的应用等；内部风险主要来自 决策失误、执行不力、生产故障等。 任何企业都时刻面临着来自组织内部和外部的各种风险。在实施计划的过程中，企 业内、外部的相关因素可能发生变化，甚至发生重大变化，风险处处存在并威胁着企业 组织目标的实现。因而，企业必须面对各种风险并据此确定内部控制的重点。环境和风 险评估是提高企业内部控制效率和效果的关键，这是知识经济信息社会所带来的必然影 响。 ( 3 ) 控制活动，包括交易授权、职责划分与职务分离、业务流程与操作规程、业务 记录、规章制度、控制标准( 计划、定额、指标、标准等) 、独立检查等。 ( 4 ) 信息与沟通，将计划执行情况及时反馈给管理者，以便管理者对已达到的目标 水平与预期目标进行比较分析。这种信息反馈的速度、准确性如何，直接影响到内部控 制指令的正确性和纠偏措施的准确性。其形式包括确认记录有效的经济业务、采用恰当 的货币价值计量、在财务报告中恰当揭示。 ( 5 ) 监控，即评价期间内部控制业绩质量的进程，它是对企业内部控制整体框架及 其运行情况的跟踪、监测和调节，以自始至终确保其有效性。监控包括自我控制与内部 审计。 内部控制五要素中，各个要素有其不同的功能；内部控制并非五个要素的简单相加， 而是由这些相互联系、相互制约、相辅相成的要素，按照一定的结构组成的完整的、能 对变化的环境做出反应的系统。他们之间的关系是： 控制环境是整个内控系统的基石，支撑和决定着风险评估、控制活动、信息传递和 监督，是建立所有事项的基础；实施风险评估进而管理风险是建立控制活动的重点；控 制活动是内部控制的主要组成部分；信息传递贯穿上下，将整个结构凝聚在一起，是内 部控制的实质；监督位于顶端的重要位置，是内控系统的特殊构成要素，它独立于各项 生产经营活动之外，是对其他内部控制的一种再控制。 企业必须评估所面临的内部和外部的风险。风险评估是管理层识别、分析实现目标 过程中所面临的风险，从而制定决定如何管理风险的制度基础。它随经济、行业、监管 和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。风险评估的前提条 一6 一 大连理工大学专业学位硕士学位论文 件是在各个管理层次上制定协调一致的目标。在管理当局找出风险并采取必要措施之 前，首先要确定目标。内部控制在这方面的目标主要是，在整个组织内部制定协调一致 的目标，并找出关键性的成功因素。确定和分析风险的过程是一个持续的过程，它是有 效内部控制的一个关键性因素。内部控制系统需要监控。监控是由适当的人员，在适当 及时的基础下，评估控制的设计和运作情况的过程。不同评价的范围和步骤取决于风险 的评估和执行中的监控程序的有效性。监控活动由持续监控和个别评估组成，它为企业 内部控制的持续有效运作提供保证。持续的监控活动在营运过程中发生，包括例行的管 理和监控活动，以及其他员工为履行其职务所采取的行动。尽管持续监控程序可以有效 的评价内部控制体系，但企业有时需要组织个别评估以直接监视控制系统的有效性，这 种做法还可对持续性监控程序加以评估。 c o s o 报告认为，企业内部每一成员在实施内部控制方面都扮演着一定的角色，对内 部控制也都负有一定的责任，报告也对企业中各层次人员的控制职责做出如下具体设 计：管理层、c e o 对整个控制系统负责；管理层对董事会负责，由董事会设计治理结构， 指导监管的进行；内部审计师对评价控制系统的有效性具有重要作用，对公司的治理结 构行使着监管的职能；应明确其他内部人员的职责，积极主动参与、配合内部控制制度 的实施；由于公司的外部人员相对独立于企业，对于保证控制目标的实现更具有可靠性。 2 2 信息控制目标及相关技术一框架 信息控制目标及其相关技术( 简称c o b i t ) 乜1 ，是一个i t 风险管理与i t 控制的综合 性分析框架，由覆盖信息化生命周期的4 个域、3 4 个i t 控制目标、3 1 8 个详细控制目标组 成。c o b i t 也涉及企业经营、合法合规等方面的控制。因此，该框架可作为制定i t 控制 目标、审计、管理和执行方针的依据。c o b i t 框架可以作为最佳实践指南的来源之一。 c o b i t 提供了一个框架，这个框架能帮助我们区分在计算机信息系统内部控制问题 中以下二者的不同：其一是与信息系统相关的具体的信息控制系统；其二是信息系统的 管理和控制的特点，这些特点是可能获得的与详细的信息控制系统有关的保证。为了对 公司详细控制的有效性评价，首先应该考虑评价信息系统监管的有效性，其次要关注信 息系统的监管机构。 c o b i t 框架认为“管理层的责任就是让企业所有资产保值增值。为了履行这份责任 并且完成预期目标，管理层必须建立起一套切实有效的内部控制体系。”与c o s o 报告略 有不同，c o b i t 把控制定义为“被设计的策划、程序、实践和组织结构，用来保证商务 目的的实现，并保证不需要的事将被禁止或被检测出来并更正。 潍百集团会计信息系统内部控制研究 每一项信息系统都可以分为一般控制与一般及运用控制。一般控制影响并操纵着所 有信息系统：一般及运用控制包括总体性信息系统控制和详细信息系统控制。c o b i t 为 信息系统管理环境提供了一套详实的内部控制技术和方法。 在一个组织内运行的详细信息系统控制的有效性受到在一个总体组织内运行的信 息系统的监管的有效性的约束。当信息系统环境中的一般控制在财务系统中的运用控制 的影响被认识到时，这一点就会在财务审计的指导方针中经常显现出来。 c o b i t 框架把信息系统控制过程划分为四个区域：规划与组织、获得与实施、交付 与支持、监控与评估。在获得与实施区域和交付与支持区域中控制的有效性受到在规划 和监控与评估区域中有效性的影响，管理层不充分的计划、组织、监督暗示着对于取得、 执行、服务、交付与支持的控制将会无效。相反地，强有力的计划、监控能够识别并纠 正对于获取、执行、交付、支持的控制。 整合运用c o b i t 与c o s o 作为构建i t 控制的框架，将两种国际公认框架进行优势互补， 从而为企业内部控制框架的构建提供理论基础。c o b i t 对评估计算机会计信息环境下的 内部控制特别有效，c o b i t 的全部控制目标又为审计人员寻求实施萨班斯法案4 0 4 条款内 部控制评审提供了强大的支持。虽然c o b i t 的重点仍然在于i t ，但是所有的相关人员包 括审计人员都要研究c o b i t 框架，并将其用于帮助实现萨班斯法案的合规性要求。笔者 将c o b i t 、c o s o 结合萨班斯法案中对内部控制的要求，共同组成一个i t 环境下的内部控 制构建和评价框架的立体模型，模型如图2 1 所示。 图2 1c o b i t 内控构建模型 f i 9 2 1 c o b i ti n t e r n a lc o n t r o lc o n s t r u c t i o nm o d e l 一8 一 大连理工大学专业学位硕士学位论文 萨班斯法案n 羽第3 0 2 条款一公司对财务报告的责任：要求建立、评价和报告关于财 务报告披露的内部控制。 萨班斯法案第4 0 4 条款一管理层对内部控制的评价强调公司管理层建立和维护内部 控制制度及相应控制程序充分有效的责任：以及上市公司管理层最近财政年度末对内部 控制制度及控制程序有效性的评价，并规定年报中应包括一份“内部控制报告”该报告 应明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程 序所负有的责任，并且该报告应包含管理层在财务年度期末对与公司财务报告相关内部 控制体系及程序的有效性的评估。同时要求注册会计师在“内部控制报告”中出具意见。 2 3 会计信息系统对内部控制的影响 信息系统是实施内部控制的重要手段，综合内部控制体系需要与之相适应的技术条 件，现代企业在应用价值链进行内部控制和经营管理时，就更需要高度集成化的信息系 统。同时，企业集成化内部控制信息系统的实施，还从根本上改变了内部控制的模式、 形式和内容【l 。 在内部控制体系的五个组成部分上，信息系统都对其产生了重要影响。可以说，内 部控制体系能否很好的实施，信息系统起到了关键性的作用。 控制环境：信息系统改变了组织结构或组织提供信息流的能力；改变了职权和责 任的分配；改变了对工作和角色的描述：改变了员工知识和技能结构；改变了管理层对 数据处理和会计职能的态度；改变了企业与外部环境的相互联系的紧密程度。 风险评估：在建立信息系统之前，企业的内部控制制度往往是一堆文件和手册， 执行过程也只能是定期地检查和评估。信息系统使得动态和实时控制成为可能，内部控 制也由以事后的监督检查为主变为事前和事中控制模式，更好地体现出基于预测和预防 的风险评估机制。 控制活动：信息系统带来了丰富的控制手段，如图2 2 所示。 信息沟通：信息系统最大程度地改变了信息和沟通的模式。信息系统对数据的及 时性、准确性、完整性和有效性提供了有效的保障。 监控：信息系统全天候、全方位的自动监控与电信业务全程全网的运营特点相呼 应，对信息做出全面、及时和真实的保障，并有效地支撑内审和外审。 潍百集团会计信息系统内部控制研究 l - 黼捌 l 信息系删 i 挣删l - o - _ t _ - _ _ - - - - - _ - - - - - o _ - b 图2 2 信息系统带来的控制手段 f i 9 2 2t h ec o n t r o lm e a n so fi n f o r m a t i o ns y s t e m 2 4 会计信息系统内部控制内容 2 4 1电算化会计信息系统的一般控制 一般控制影响到计算机应用的成败。它是应用控制的基础，为数据处理提供了良好 的处理环境。一般认为它主要是对电算化系统中组织、操作、开发、安全等系统运行环 境方面所进行的控制。 ( 1 ) 组织控制 组织结构作为内部控制的客观基础，其变迁直接影响内部控制的程序和方法。在信 息技术成熟以前，组织结构一般为金字塔形n 引。随着信息技术的进一步发展，组织中通 信和协调的成本进一步降低，大型企业纷纷开始将很多决策权下放到部门、战略业务单 位，取消了一些中间管理部门并增加了其他部门的控制范围，以实现组织结构的“扁平 化 。 组织控制的目的主要是减少电算化部门发生错误及舞弊的可能性。电算化系统中控 制的某些内容在原理上同手工系统的控制并没有多少区别，如职责分工、适当分权、职 位轮换等。组织控制的基本原则是不相容的职责由不同的人员或部门来承担。组织控制 的主要内容又可分为以下三方面： 电算化部门( 也可称作电子数据处理部门) 与用户部门的职责分离。电算化部门 是指对数据进行处理和控制的部门或人员，用户部门是指产生原始数据或使用计算机处 理所得信息的部门或人员，两者之间应尽可能保持不相容职责的分离。电算化部门不能 大连理工大学专业学位硕士学位论文 负责业务的批准与执行，而只能执行业务记录的职能；用户部门负责业务批准、执行和 保管，而无权执行业务的记录。 电算化部门内部的职责分离。电算化系统从建立到运行的整个生存周期中，根 据职能不同划分为两大部门即系统开发部门和系统应用部门。系统开发部门主要承担系 统的开发研制以及系统的维护等工作，系统应用部门主要负责日常会计处理工作n 引。系 统开发人员和系统应用人员要严格分工，因为系统开发人员对系统本身很熟悉，如果让 他们输入数据并接触系统，就很难保证数据处理过程的安全性，同理，也不应让操作人 员熟悉数据处理的详尽过程。 业务授权。所有由会计信息系统处理的业务都应经过授权管理，不是由会计信 息系统生成的业务，要在计算机处理之前通过审核与批准。这样，可以减少错误的发生 和舞弊的可能性。 ( 2 ) 操作控制 为了保证数据处理的准确性和安全性，必须制定和执行各种标准的操作规程。例如， 建立完备的机房管理制度，明确哪些人能上机操作，操作次序如何，严禁无关人员进入 电算化机房；建立上机日志记录，上机日志记录可以提供检查线索，是计算机审计取证 的主要对象；程序员不得参与操作，操作员不得接触参与程序设计，不得随意更换计算 机所配置的系统参数及所安装的软件等。 通过操作控制可以确保：系统仅用于经过批准的目的；仅限于经过批准的人员 进行操作：仅使用批准的程序；查出并更正计算机处理的失误，减少差错的发生和 未经批准使用数据和程序的机会。 ( 3 ) 系统开发与维护控制 系统开发控制是为了保证会计信息系统开发过程中各项活动的合法性和有效进行 而设计的控制啪1 。开发系统前，要进行有效的可行性研究，使系统的每项设计都能满足 企业的会计工作及发展前景的要求。系统开发过程中还要留下审计线索，以满足日后审 计工作的需要。另外，会计信息系统正式投入运行前，根据具体情况可能还要手工会计 工作并行一段时间，以会计控制与信息系统证明新系统的合理合法性，并经过有关主管 部门和财政部门的评审验收等。 在过去封闭式的会计信息系统环境下，传统的会计控制措施尚能发挥作用，因此系 统开发者主要关心如何实现业务功能。网络环境下的会计信息系统则不同，会计和审计 人员在系统设计和开发准备阶段就要积极介入，这样不仅有利于内部控制制度的建立与 健全，对于内部审计和外部审计也有很大的参考价值。 潍百集团会计信息系统内部控制研究 系统在运行过程中，难免会出现这样或那样的问题，并且环境也可能会发生或多或 少的变化，所以应及时对信息系统进行维护，使得信息系统随时能满足企业的发展要求。 ( 4 ) 系统安全控制 系统安全控制是防止影响系统安全的要素危及系统的安全，发现系统中的安全问 题，并解决这些问题使系统恢复正常的措施昭。系统安全控制包括以下内容：。 系统硬件、软件安全控制。要制定计算机设备管理制度，严格限制无关人员接 触计算机系统；要按操作权限严格控制软件的安装与修改，按操作规定定期对系统进行 安全性检查。 数据资源安全控制。数据库系统是整个网络会计系统安全控制的核心。为此， 可采取以下措施堙刳：合理定义、应用数据子模式，即建立授权制度，根据不同类型的用 户或应用项目分别定义不同的数据子集，针对特定类型的用户开放，以保证数据的完整 与安全；建立数据备份和恢复制度，数据备份是一种常用的数据控制手段，是数据恢复 和重建的基础。 系统入侵防范控制。技术的进步使得建立健全系统入侵防范制度成为现实，在 实际工作中一定要树立防范意识。 ( 5 ) 内部审计 内部审计是指由企业内部相对独立的审计机构和审计人员对本企业的财务收支、经 营管理活动及其经济效益进行审核和评价，查明其真实性、准确性、合法性、合规性和 有效性，提出意见和建议的一种专职经济监督活动1 。在手工会计系统中，它在保证会 计工作人员正确、有效地完成会计核算工作，并最终产生有用的会计信息的过程中有着 不可替代的作用。同样，在电算化会计系统中，它对于电算化会计系统的正常、可靠地 运行也具有同等重要的作用。 内部审计是保障内部控制名副其实的最重要的手段之一。通过内部审计，可以了解 现有的内部控制是否满足保证系统提供准确可靠信息的需要，以及这些控制能否有效地 运作并达到预期的效果。 从系统开发到系统日常运行的各个阶段，都离不开内部审计。在系统开发阶段，内 部审计人员不仅要参与开发，指出现存控制措施的不足，提出改进意见，还要对开发工 作本身进行审核和评价。据此，内部审计人员既可从对系统的开发过程进行监督和审查， 又可以了解到电算化系统内部控制的各个方面瞳钔。在电算化系统的日常运行阶段，内部 审计人员要检查电算化部门的各项规章是否符合整个企业的基本政策和规定，同时还负 大连理工大学专业学位硕士学位论文 责对业务处理、记录保存、报告产生和环境安全及相关的控制进行评价和验证，并利用 计算机辅助技术对计算机程序进行测试，以检验业务处理过程是否正确可靠。 2 4 2电算化会计信息系统的应用控制 会计信息系统的应用控制是为适应会计处理的特殊要求而建立的控制措施。应用控 制是一般控制的深化，可以在一般控制的基础上，直接深入到具体的业务数据处理，为 数据处理的准确性、完整性和可靠性提供最后的保证。 应用控制的具体目标嘶1 为：所有经允许处理的数据均应转到介质上并加以处理，并 且处理的结果可通过适当的方式加以输出；所有输入、转换、处理和输出均应在正常的 时间里准确地进行；所有系统的输出均应反映为经批准的有效的经济业务。应用控制包 括三方面的内容：输入控制、处理控制、输出控制。 ( 1 ) 输入控制 输入控制的目标是确保网络环境下数据采集的合法性、准确性和完整性。只有输入 正确的数据，才能进行正确的处理汹1 。输入控制用以确保以下几方面：经济业务在由 计算机处理之前经过批准；经济业务没有被遗漏、添加、重复或不正当地更换：经 济业务被准确地转换为机器可读的形式并记录在数据文件中；拒绝、改正不适当的经 济业务，必要时，及时重新补救。 传统的数据输入一般是将原始凭证或记账凭证中的相关内容输入到会计信息系统 中，然而，在电子商务环境下，数据输入不仅仅涉及财务部门，还可能涉及生产部门、 销售部门，甚至本企业之外的其他经济组织，输入的数据也不局限于传统的货币性的信 息，所以和传统的输入控制相比，范围更广，重点也发生了转移由原来的对人工输 入的控制转变为对网上电子数据合法性、准确性和完整性的控制，包括对电子数据的审 查、对电子数据与电子签名的一致性的检查等。 根据事项会计法的原理，经济事项发生后要形成标准的源数据项进人数据库，但是 具体应如何进行操作目前还没有相关的依据。相信随着相关研究的增多，以后会形成相 关的理论和具体的实践操作。 ( 2 ) 处理控制 处理控制的目标是确保数据处理过程的正确性、可靠性，包括处理正确性控制、数 据一致性控制、预留审计线索控制等1 。处理控制用于确保：经济业务由计算机准确 地处理；经济业务没有丢失或不恰当地增加、改动；计算机处理的错误被及时地鉴 别并改正。数据输入计算机后，按照预定的程序进行加工处理，在数据处理过程中极少 有人工干预，一般控制和输入控制对保证数据处理的正确性和可靠性起着非常重要的作 潍百集团会计信息系统内部控制研究 用。但是，针对计算机错误、用错文件、用错程序、输人数据错误在输入过程中没有检 查出来等