网络环境下的会计信息系统内部控制.doc

网络环境下的会计信息系统内部控制目 录摘要1Abstract1一、前言1（一）研究背景及选题意义1（二）国内外研究现状1（三）文章结构与研究方法2二、网络环境下会计信息系统内部控制的理论基础3（一）系统论3（二）控制论4（三）委托代理论5（二）信息论5三、网络环境下的会计信息系统内部控制分析6（一）网络环境下的会计信息系统内部控制的特点6（二）网络环境下的会计信息系统内部控制面临的问题7四、网络环境下加强会计信息系统内部控制的措施8（一）根据网络环境的特点制定新型的内部控制制度8（二）加强会计信息系统的安全建设与管理9（三）建立新的内部审计监督机制10（四）提高会计人员的综合素质10五、结论11致谢12参考文献13英文文献原文14英文文献译文18网络环境下的会计信息系统内部控制摘要：网络技术的高速发展与广泛应用改变了企业的生存环境与管理理念，拓宽了企业管理的范围和内容，而这一切又必定影响并改变了企业内部控制的具体内容与表现特征，并导致企业会计信息系统内部控制的内容、方法、手段等发生变化，这些迫使理论界不断研究内部控制。本文以财务内部控制理论为参照，综合运用网络环境下新型管理控制理念和系统论、控制论、信息论等理论，把企业内部控制系统作为一个开放的系统来进行研究。在研究过程中，以国内外先进内控模式为基础，根据内部控制理论最新成果评估自身内部控制建设存在的问题，对传统企业内部控制理论进行了整合和优化，最后在此基础上制定有利于企业发展的现代会计信息系统内部控制措施。关键词：网络环境 会计信息系统 内部控制The Internal Control of Accounting Information System under Network EnvironmentAbstract: The development of network technology that changed the living environment and managing idea of the enterprises and broadened their business administration range and content. All of them changed the contents and performance characteristics of controlling essential factors in the inside of enterprises, which lead to perfecting the internal control of accounting information system under network environment. This paper uses modern financial theory, system theory, control theory, network structure theory and network technology to investigation and study the internal control. The purpose of the article is to illustrate that what is the effective way for the enterprises to evaluate the focal aspects of their internal control under network environment and how to construct the systems of internal control of accounting information system under network environment which is beneficial to the enterprises themselves. It is the innovation of the article to point out the colleges should enforce the requirements of training for the network financial and internal control talents and to put forward the plan of training and system of course offered.Key words: network environment accounting information systems internal control一、 前言（一）研究背景及选题意义20世纪90年代以来，网络信息技术不断推广深入，对社会的各行各业产生了巨大的影响，不可避免也给会计工作带来了巨大的机遇和挑战。在网络环境下，企业的生存环境、经营方式和管理模式发生了很大的变化，会计系统由计算机、网络技术等新型的工具代替了传统的纸张、笔墨和算盘，这种转换不仅仅是简单的工具改变，更重要的是对传统会计理论与方法的冲击。传统的会计核算环境如核算方式、工具、业务流程等发生了巨大的变化，单纯依赖传统的会计控制已难以应对企业面对的市场风险，原有的内部控制形式满足不了新的环境需求。会计控制必须向风险控制发展，设计形成新的网络环境下会计信息系统内部控制体系；各部门之间的内控要求也有待进一步协调，以便为进行内部控制自我评估和信息交流与沟通提供平台。另外，会计信息系统内部控制的好坏，将会直接影响企业的营运与发展。同时，系统的透明度较高，而会计数据的安全性、保密性等控制对企业变得更为重要。网络一体化增强了对内部控制依赖性等等，使许多传统和管理控制方式失去了效用，需要建立一套适合网络环境的会计信息系统内部控制体系。计算机产生的大量会计信息只有在严格的控制下，才能保证其可靠性和准确性，也只有在样的控制下，才能预防和减少计算机犯罪的可能性。因此，深入地研究网络环境下企业内部控制的理论、方法并加以应用，将是一件很有意义和颇具现实价值的工作。本文就是基于这个目的研究网络环境下会计信息系统的内部控制。（二）国内外研究现状国内学者对现阶段我国内部控制制度的研究主要包括：朱荣恩教授认为内部控制的目标包括：保护财产安全；保证会计计录真实、合法、完整；及时提供可靠的财务信息；降低和转移风险；预防、查核和纠正错误和弊端，提高经营效率；遵循法律、规章和各项管理作业规定；减少不必要的成本、费用，以求盈利；贯彻企业经营方针，认真履行职责。刘明辉教授提出内部的整体框架由四个部分构成：一，企业治理控制；二，企业管理控制；三，信息管理系统；四，企业文化。李立志指出：会计信息系统内部控制是指对于会计工作组织或业务实施等方面所导致的会计信息失真、不合理、不合法等一系列的控制问题。徐广成首先分析了互联网对会计信息系统内部控制的影响，提出网络环境下会计信息系统所面临的风险：物理风险、保密性和完整性被破坏的风险、系统运行风险和会计信息失真风险等。创新性地提出了网络环境下会计信息系统的内部控制制度：制定和完善计算机会计信息系统相应的组织与管理控制、建立网络安全控制制度、完善网络环境下计算机信息系统的一般控制与总体控制制度。国外对内部控制制度的研究有：COSO委员会在1992年报告的基础上结合萨班斯奥克斯利法案发布了企业风险管理整合框架报告，将内部控制上升到全面风险管理的高度来认识。基于这一认识，COSO提出了八要素理论：内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控，即将风险评估细分为目标设定、事项识别、风险评估和风险应对。根据这项研究报告，内部控制的目标、要素与组织层级之间形成了一个相互作用、紧密相连的有机统一体系；同时，对内部控制要素的进一步细分和充实，使内部控制与风险管理日益融合，拓展了内部控制的内涵和外延。本框架使董事会在企业风险管理方面扮演更加重要的角色负总体责任，并且要求其变得更加警惕，企业风险管理的成功与否在很大程度上依赖于董事会。通过以上综述，可以发现目前企业信息化中的内部会计控制手段落后，理论认识没有创新，跟不上时代变化的要求。（三）文章结构与研究方法本文论述网络环境下会计信息系统内部控制，分为四部分。第一部分是对论文写作目的、现实意义、对所研究问题的认识等内容进行论述。第二部分阐述了企业会计信息系统内部控制的基本理论基础，从系统论、控制论、委托代理理论和信息论的角度说明了其对内部控制应用价值的影响。第三部分主要是对网络环境下的会计信息系统内部控制的特点和面临的问题的论述。第四部分是根据网络环境下的会计信息系统内部控制的特点和面临的问题提出的加强内部控制的措施。本文以财务内部控制理论为参照，综合运用网络环境下新型管理控制理念和系统论、控制论、信息论等理论，把企业内部控制系统作为一个开放的系统来进行研究。在研究过程中，以国内外先进内控模式为基础，根据内部控制理论最新成果评估自身内部控制建设存在的问题，对传统企业内部控制理论进行了整合和优化，最后在此基础上制定有利于企业发展的现代会计信息系统内部控制措施。在网络环境下，一些传统的内部控制方式都被计算机轻而易举地替代，但任何先进手段都是被人所指挥、所掌握，一些传统的企业内部会计控制制度仍有自身生存和发展的空间，要把新旧内部控制手段有效地结合起来，使其在网络环境这个新型的环境下及时、高效地发挥作用。二、 网络环境下会计信息系统内部控制的理论基础广义地讲，一个企业的内部控制是指企业内部管理控制系统，包括为保证企业正常经营所采取的一系列必要的管理措施。内部控制的职能不仅包括企业管理层用来授权与指挥进行采购、销售、生产等经营活动的各种方式、方法，也包括核算、审核、分析各种信息资料及报告的程序与步骤，还包括为企业经营活动进行综合计划、控制和评价而制定或设置的各种规章制度。因此，内部控制贯穿于企业经营活动的各个方面，只要存在企业经营活动和经营管理，就需要有相应的内部控制。内部控制既适用于利用手工操作会计的单位，也适用于网络环境利用计算机系统操作会计的单位。内部控制的理论基础主要有以下几种：（一）系统论系统是由相互联系、相互作用的诸要素组成的具有特定功能的有机整体。美国管理会计协会将内部控制定义为：“他是一个整体系统，由管理者建立的旨在以一种有序和有效的方式处理公司的业务，确保其与管理政策和规章相一致，保护资产和会计记录的完整性和正确性。” American Institute. If Certified Public Accountants Codification of Statements on auditing standardsAICPA,1994,(6):5660系统论的基本观点有：系统是由若干个相互联系、相互作用的要素所构成的具有特定功能的有机整体。系统内部的各要素应有序地组织在一起，形成系统的结构。每个系统都有特定的功能和既定的目标，目标决定系统运行的方向，系统的整体功能和综合行为都是为了实现系统的目标。任何一个系统，不论它的要素有多少，其结构如何，归根到底都是物质、能量和信息三大基本要素相互作用的产物。系统论强调整体与局部、局部与局部、整体与外部环境之间的有机联系。内部控制系统与其他系统一样具有整体性、相关性、目的性、层次性、环境适应性、动态性的特征。（二）控制论一切控制系统所共有的基本特性是信息的交换和反馈过程，利用这些特征可以达到对系统的认识、分析和控制的目的。从控制论角度，企业内部控制具体表现为：公司治理结构和公司管理制度。首先，企业内控制度的产生与公司治理是与生俱来的。现代企业中所有权与管理权的分离表现为一个契约控制权的授权过程，即股东作为所有者只保留了选举董事、企业兼并与发行新股的少数权利，而将大部分权利授予了董事会；董事会也只保留了聘用与解聘总经理、重大投资等战略性决策的控制权，而将日常生产、销售、人事等管理权授予公司经理层。由于职业管理者取代业主控制企业经营产生的内部人控制问题，使得公司治理机制表现为股东、董事会、总经理之间的责、权、利安排和相互制衡机制，这是企业内控制度的第一层次。企业管理当局为实现董事会赋予的目标而建立起一系列政策、规则和组织程序，形成了企业内控制度的第二层次。其主要目标就是使企业达到合规与提高效益性，从而实现所有者资本保值增值目标。在企业内控制度的不同层次中，通过对企业控制总目标的分解，企业内控制度形成了一个层次复杂的大系统。每个层次都只控制下一级的活动，而不越权去直接控制更下一级的活动，只有最下一级的子系统才直接控制系统的运行，上级层次的系统起到协调器的作用。（三）委托代理理论委托代理理论的性质决定了委托代理关系中存在着不确定性、信息不对称性。美国经济学家奈特将不确定性定义为事前完全不可预测的事件 F H. Knight. Risk, Uncertainty and ProfitU.S.: Houghton Mifflin Company,1921,102105 。现代委托代理理论认为，不确定性是产生道德风险的根本原因之一，而道德风险又是委托代理关系中的主要问题之一。信息不对称性是指契约关系的一方（如代理人）在某些方面掌握着私人信息，这些信息只有他自己最了解，另一方则不了解。造成信息不对称的原因是不确定性以及社会劳动的分工和专业化的发展。委托代理关系中存在的基本问题，实质上是激励相容的信息机制问题：委托人为了使代理人在其不能观察的行为中采取与其自身利益最大化的目标一致的个人行为，需要设计一种能够达到委托人目的，且代理人愿意接受的合同契约，这就是激励相容的信息机制。现代企业的一个最重要特点就是经营权与所有权分离。企业中存在的基本的委托代理关系是所有者和经营者之间的关系。没有内部控制，经营者既无法实现经营目标，当然也就谈不上履行受托经济责任了。而且，内部控制能够协调所有者与经营者之间的利益冲突，使控制双方建立起相互信任的关系。企业的所有者和经营者处于不对等的控制地位，有不同的控制目标，尤其在信息需求和利用方面存在不对称性和外部性，借助于内部控制能够起到约束双方行为，并对未来进行合理运筹的作用。所以，内部控制是改善委托代理关系的有效途径。（四）信息论现代化管理的一个重要特点是管理过程信息化。控制和信息是不可分的，任何信息的传递和处理都是过程控制和信息管理的两位一体。信息是控制的依据和基础，控制离不开信息的交换和反馈，没有信息，控制就失去有效性。在整个企业活动中，存在着物流、资金流和信息流等三种不同的运动过程，信息流随物流和资金流而产生，同时通过信息流又可以调节物流和资金流的数量、方向和速度，使其沿着预定的目标运行。三、 网络环境下的会计信息系统内部控制分析（一）网络环境下的会计信息系统内部控制的特点1、内部控制的主体不同在传统的环境下，内部控制的主体是由会计人员和财务管理人员组成。从内部控制制度的制定，内部控制措施的实施，以及内部控制的监督，内部控制的不断改进和发展，整个过程都由与企业经济管理相关的人员组成 甄阜铭网络环境下会计信息系统内部控制的探讨财会通讯，2001，5。在网络环境下，内部控制人员还包括计算机专业人才，特别是精通网络技术，能将网络技术与会计、管理等相关学科结合的高级人才的参与。在这样的情况下，如果不通过控制操作人员的职能加强内部控制，就会使某些计算机操作人员直接对使用中的程序和数据进行修改，操纵处理结果，从而加大出现错误和舞弊的风险。2、内部控制内容的储存介质不同在传统手工会计环境下，账本、凭证、发票、出库单等各种票据都是内部控制中的主要检查对象，也是各种内部控制数据的主要储存介质，且由此引起的各项会计业务工作也与各种票据紧密地联系在一起。在电算化环境下，各种会计业务主要是通过各种电子数据的输入与确认，而各种数据的储存是以优盘、硬盘、光盘等磁性介质的形式保存的。会计电算化对会计档案的形成提出了更高的要求，不仅要保持纸质会计核算资料，而且要保存、保管好以磁性介质方式储存的各种会计数据和计算机程序，以及系统开发运行中编制的各种文档和其他会计资料。3、内部控制的风险较大在网络环境下随着计算机适用范围的扩大，利用计算机进行的贪污、舞弊、诈骗等犯罪活动也有所增加，储存在计算机磁性介质上的数据容易被篡改，有时甚至能不留痕迹地篡改，数据库技术的提高使数据高度集中，未经授权的人员有可能通过计算机和网络浏览全部数据文件，复制、伪造、销毁企业重要的数据。随着计算机在会计工作中的普遍应用，管理部门对由计算机产生的各种数据、报表等会计信息的依赖越来越大，这些会计信息的产生只有在严格的控制下，才能保证其可靠性和准确性。同时也只有在严格的控制下，才能预防和减少计算机犯罪的可能性。4、内部控制对工作人员的素质要求更高传统的内部控制只要求控制人员掌握相关的专业知识，以便于对企业内部控制工作的有序、健康发展做出贡献。网络环境下内部控制人员不但要对相关的专业知识较好地掌握，对于计算机技术也要求很高的造诣。因为，会计信息系统要求确保原始数据输入的准确性。一旦原始数据在输入中发生错误，计算机将无法识别，只能将错就错地进行工作，导致所有记账、分析及编制会计报表等工作均在程序的控制下自动进行错误运算。（二）网络环境下的会计信息系统内部控制面临的问题1、企业数据的安全性、保密性难以保证在网络环境下，企业内部控制的环境发生了变化，电子商务将对企业内部控制产生重大影响。企业的各项数据都将以数字格式存储在处于联网状态的客户机的磁盘上，极易被篡改或恶意破坏，同时磁盘等软硬件也可能由于质量问题或病毒侵扰及黑客非法入侵而发生故障，破坏企业的数据和各种信息，使企业的会计数据的安全性受到威胁，安全系数降低，加剧了管理信息的失真。由于经济业务发生所取得的原始凭证也将以电子凭证的格式在网上传递，因而增加了企业对网上公证机构的依赖。但直到目前为止，相应的技术和法规还远没有达到完善，从而对系统的内部控制造成困难。竞争对手也可以通过互联网登陆企业的网站。了解企业的信息，使企业数据信息的保密性难以保证 仇肖军谈谈对企业内部控制的认识广东会计，2001，8。2、风险评估难度加大由于网络的开放性、信息的分散性、数据的共享性，以及企业业务流程的改变，极大地改变了以往封闭集中状态下的运行环境，同时也改变了传统的风险控制的内容和方法。强大、复杂的计算机网络系统增加了企业潜在的风险，因为人们的主观判断被忽略，数据处理过于集中，存储的数据可以被不留痕迹地篡改和删除，数据的存放形式增加了数据再现的难度，数据处理过程无法观测等，使得风险评估的难度加大。这些新的风险点构成了内部控制的新内容。3、内控难度与复杂性增加在网络环境下，控制手段更具多样性、灵活性和高效性，加强了内部控制的预防、检查与纠正的功能，使企业摆脱人员与资源的限制，经济有效地实现内部控制的目标。但随着计算机使用范围的扩大，利用计算机进行的贪污、舞弊、诈骗等犯罪活动有所增加。如存储在计算机磁性媒介上的数据容易被篡改；数据库技术的提高使数据高度集中，未经授权的人员有可能通过计算机和网络浏览全部数据文件，复制、伪造、销毁企业重要的数据，使得计算机犯罪有很大的隐蔽性和危害性，从而扩大了内容控制活动的范围，进而增加了内部控制的难度与复杂性。4、信息真实度受质疑开放的网络环境无疑提高了信息的传递速度和共享度，但很难避免非法侵扰，企业管理信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。同时，在网络环境下财务信息的传递借助于网络完成，电子符号代替了会计数据，磁性介质代替了纸张，财务数据流动过程中签字盖章等传统交易手段不再存在，从而使网络信息的真实性受到质疑。5、发生错误或违规行为的可能性变大由于网络的应用，使得内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序。如果程序发生差错或不起作用，由于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性，使得失效控制长期不被发现，从而使系统在特定方面发生错误或违规行为的可能性变大。四、 网络环境下加强会计信息系统内部控制的措施（一）根据网络环境的特点制定新型的内部控制制度1、严格岗位设置，进行有效的职责分离在网络会计系统中，由于计算机具有自动高效的特点，许多不相容的工作都会并到一起由计算机统一执行，这样很容易形成内部隐患。为了强化系统的内部控制，一个比较有效的方法就是在网络会计系统中分别设置系统设计、系统操作、数据录入、数据审核、系统监控、系统维护等岗位，各个岗位之间相互联系、相互监督、相互牵制。在一般情况下，处理每一项经济业务的全过程，或者在全过程的某几个重要环节都规定要由两个部门或两个以上部门、两名或两名以上工作人员分工负责，起到相互制约的作用。同时还应对每一笔业务进行多方备份。当会计人员利用电算化系统进行账务处理时，其操作和数据也被同步记录在监控人员的机器上，并由监控人员进行及时备份，定期审查。重要的会计资料、会计报表都应采用书面纸化形式保管。2、实行严格的网络会计系统授权制度系统软件应设置有关操作人员的姓名、操作权限、相应人员的密码和电子签名。对一些需严格控制操作的环节，设“双口令，“双口令”同时到位才能进行该操作。“双口令”由分管该权限的两个人各自按照规定设置，不得告知他人。对“双口令”进行“并钥”处理后，方可执行相应的操作。同时要按操作权限严格控制系统软件的安装和修改。为了防止非法修改软件，必须对软件的修改建立严格的审批制度 崔菲论网络会计系统的内部控制现代财经，2003，8。（二）加强会计信息系统的安全建设与管理1、建立完善的网络会计信息安全预警报告制度会计主管部门应尽快建立一套完善的网络会计信息安全预警报告制度，依托国家反计算机入侵和防病毒研究中心及各大杀毒软件公司雄厚的实力，及时发布网络会计信息安全问题及计算机病毒疫情，从而切实有效地防范网络会计信息安全事件的发生。2、充分利用先进的网络技术，提高信息的安全性为了解决动态会计信息在传输中被截取等问题，防止非法入侵者窃取会计信息和非授权者越权操作数据，应采用有效的安全密钥技术，将客户端和服务器之间传输的所有数据都进行加密；使用防火墙技术，执行安全管理措施；使内部网和公众访问网（Internet）分开，既保护内部网络敏感的数据不被偷窃和破坏，又可实时记录网内外通讯的有关状态信息；做好经常性的病毒检测工作，进行杀毒、护理和动态的防范。创造一个安全的环境，抵抗来自系统内外的各种干扰和威胁，做到该开放的放开共享，该封闭的要让黑客无奈。3、加强网络安全意识，切实做好网络会计信息安全防范工作针对目前企业和财务人员安全意识薄弱，对网络安全重视不够，安全措施不落实的现状，开展多层次、多方位的信息网络安全宣传和培训，并加大网络安全防范措施检查的力度，以真正提高用户的网络安全意识和防范能力。尤其应避免密码的泄露，防止非法用户以假冒身份对网络进行破坏，并定期对系统软件进行安全性检查。4、形成网上公证由第三方牵制的安全机制网络环境下原始凭证用数字方式进行存储，应利用网络所特有的实时传输功能和日益丰富的互联网服务项目，实现原始交易凭证的第三方监控（网上公证）。（三）建立新的内部审计监督机制在网络经济下，内审部门要对网络会计系统各职能部门的工作进行有效的监督和检查，协调好各级管理部门的关系，使其有效地履行职责，保证网络会计系统的正常运行。内审人员要根据网络经营与网络财会的特点，改进和创新审计程序和方法。另外，内部审计人员要积极更新知识结构，除了精通会计、审计、经济、管理、法律等方面的知识外，还应掌握计算机、网络、信息系统和电子商务等方面的知识和技能。只有这样，内部审计才能在新的环境下，及时发现内部控制存在的各种问题，充分发挥其监督职能，更好的为单位服务。（四）提高会计人员的综合素质1、在教育领域应加强复合型人才的培养，促进网络化进程我国各级各类教育机构要结合经济发展要求，及时调整办学思路，设置科学合理的课程，加大高层次会计人员的培养数量，从数量结构和知识层次方面提高我国会计人员的整体知识素质。2、多途径提高会计人员的业务素质可通过对会计人员在职培训、鼓励会计人员自学、加强会计人员的继续教育工作以及实行岗位轮换制度等措施帮助他们提高素质、积累经验、更新知识，使他们不仅具有较深的会计理论功底和娴熟的会计业务技能，而且还能掌握现代网络技术，熟知商务知识和法律法规，能从容应对知识的快速更新和经济活动的网络化、数字化，适应网络会计核算、管理的要求。3、加强会计人员思想和职业道德教育职业道德教育是职业道德建设的重要一环，应贯穿于会计人员整个职业生涯的始终。因此，各级财政部门及有关单位应把职业道德教育作为一项长期的任务，有组织、有计划地进行，同时还应制定相应的检查考核具体方法及奖惩制度，以提高会计人员的职业操守。4、加强会计人员法制教育，增强法制观念各单位必须采取强有力的措施，组织会计人员认真学习国家财经方针、政策及会计法等相关法律法规和制度，深刻领会、全面掌握有关知识，使会计人员严格以财经纪律和有关法律法规要求自己的执业行为，增强法制观念，远离犯罪。五、 结论网络环境下会计信息集中控制能够解决传统会计信息管理模式中许多原来无法逾越的困难，但也带来了许多新的问题。因此，我们要研究如何解决网络信息技术与财务管理相结合，改善企业的会计信息系统管理，要充分利用信息技术，设计好符合本单位的会计信息系统内部控制模式，开展内部控制的创新工作，满足企业内控的需要，为企业带来更大的价值。当然，因为网络技术还未成熟，并且内部控制不是一项制度或一个机械的规定，它会随着企业经营管理环境的变化而变化，所以加强网络环境下的会计信息的内部控制工作不是一朝一夕的事情，内部控制是动态的，是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程，需要会计理论界不断深入研究，需要企业界强化认识，予以重视，在传统的控制观念基础上充分利用网络信息技术开展内部控制的创新工作，建立与时代相适应的内部控制制度，满足企业管理的需要，为企业带来更大的价值。致谢四年的大学学习随着论文终稿的完成也即将结束。回首昨日，感慨颇多。山西财经大学是我的一个人生驿站，在这里，我实现了许多梦想。有幸师从崔哲敏老师，对我的学业和论文给予了精心指导。借此机会真诚表达我衷心的谢意！在山西财经大学求学期间，得到了许多老师的指导和帮助。我的同窗以及关心我的朋友在学习和生活中给予我很大的支持和帮助，在此一并表达我的诚恳谢意！在此，更要感谢我的家人，他们的鼓励与支持将是我继续前进的动力！最后，向所有本文引用的文献的作者表示感谢！参考文献1朱荣恩内部控制案例审计与内部控制系列上海：复旦大学出版社，2005892刘明辉独立审计学大连：东北财经大学出版社，2004493李立志会计信息系统内部控制特点的演变经济经纬，2002，（1）：25274徐广成网络环境下会计电算化信息系统内部控制创新研究会计之友，2006，（8）：62635American Institute. If Certified Public Accountants Codification of Statements on auditing standardsAICPA,1994,(6):56606F H Knight RiskUncertainty and ProfitU.S.: Houghton Mifflin Company, 1921, 1021057甄阜铭网络环境下会计信息系统内部控制的探讨财会通讯，2001，58仇肖军谈谈对企业内部控制的认识广东会计，2001，89崔菲论网络会计系统的内部控制现代财经，2003，810张英明IT环境会计信息系统内部控制研究中国会计电算化，2002，（1）：202111许永斌基于互联网的会计信息系统控制会计研究，2000，（8）：363912财政部内部会计控制规范基本规范北京：财政经济出版社，2001252813林朝华，唐予华内部会计控制若干理念剖析上海会计，2002，（9）：353714陈关亭，沈宵电子商务系统的内部控制审计研究，2001，（4）：454615CIAInternal Control - Integrated Framework(Executive Summary)EB/OL/html, 1992/2009-04Internal Control - Integrated Framework (Executive Summary) CIAInternal Control - Integrated Framework (Executive Summary)EB/OL/html, 1992/2009-04What Internal Control IsInternal control means different things to different people. This causes confusion among businesspeople, legislators, regulators and others. Resulting miscommunication and different expectations cause problems within an enterprise. Problems are compounded when the term, if not clearly defined, is written into law, regulation or rule.The first category addresses an entitys basic businessobjectives, including performance and profitability goals and safeguarding of resources. The second relates to the preparation of reliable published financial statements, including interim and condensed financial statements and selected financial data derived from such statements, such as earnings releases, reported publicly. The third deals with complying with those laws and regulations to which the entity is subject. These distinct but overlapping categories address different needs and allow a directed focus to meet the separate needs.Internal control consists of five interrelated components. These are derived from the way management runs a business, and are integrated with the management process. Although the components apply to all entities, small and mid-size companies may implement them differently than large ones. Its controls may be less formal and less structured, yet a small company can still have effective internal control. The components are:Control Environment The control environment sets the tone of an organization, influencing the control consciousness of its people. It is the foundation for all other components of internal control, providing discipline and structure. Control environment factors include the integrity, ethical values and competence of the entitys people; managements philosophy and operating style; the way management assigns authority and responsibility, andorganizes and develops its people; and the attention and direction provided by the board of directors.Risk Assessment Every entity faces a variety of risks from external and internal sources that must be assessed. A precondition to risk assessment is establishment of objectives, linked at different levels and internally consistent. Risk assessment is the identification and analysis of relevant risks to achievement of the objectives, forming a basis for determining how the risks should be managed. Because economic, industry, regulatory and operating conditions will continue to change, mechanisms are needed to identify and deal with the special risks associated with change.Control ActivitiesControl activities are the policies and procedures that help ensure management directives are carried out. They help ensure that necessary actions are taken to address risks to achievement of the entitys objectives. Control activities occur throughout the organization, at all levels and in all functions. They include a range of activities as diverse as approvals, authorizations, verifications, reconciliations, reviews of operating performance, security of assets and segregation of duties.Information and Communication Pertinent information must be identified, captured and communicated in a form and timeframe that enable people to carry out their responsibilities. Information systems produce reports, containing operational, financial and compliance-related information, that make it possible to run and control the business. They deal not only with internally generated data, but also information about external events, activities and conditions necessary to informed business decision-making and external reporting. Effective communication also must occur in a broader sense, flowing down, across and up the organization. All personnel must receive a clear message from top management that control responsibilities must be taken seriously. They must understand their own role in the internal control system, as well as how individual activities relate to the work of others. They must have a means of communicating significant information upstream. There also needs to be effective communication with external parties, such as customers, suppliers, regulators and shareholders.MonitoringInternal control systems need to be monitored-a process that assesses the quality of the systems performance over time. This is accomplished through ongoing monitoring activities, separate evaluations or a combination of the two. Ongoing monitoring occurs in the course of operations. It includes regular management and supervisory activities, and other actions personnel take in performing their duties. The scope and frequency of separate evaluations will depend primarily on an assessment of risks and the effectiveness of ongoing monitoring procedures. Internal control deficiencies should be reported upstream, with serious matters reported to top management and the board.There is synergy and linkage among these components, forming an integrated system that reacts dynamically to changing conditions. The internal control system is intertwined with the entitys operating activities and exists for fundamental business reasons. Internal control is most effective when controls are built into the entitys infrastructure and are a part of the essence of the enterprise. Built in controls support quality and empowerment initiatives, avoid unnecessary costs and enable quick response to changing conditions.There is a direct relationship between the three categories of objectives, which are what an entity strives to achieve, and components, which represent what