精品人妻伦一二三区久久-精品一区二区三区在线观看视频-久久精品AⅤ无码中文字字幕重口-欧美成人在线视频

在推進會計系統計算機化和網絡化過程中,企業的傳統內部控制安全受到了巨大沖擊和挑戰,信息技術的廣泛應用使得原來基于權力制約和崗位分置的內部控制逐步發展成為以信息流為基礎的信息技術內部控制[1],內部控制方式在信息技術的影響下也發生了根本性的變革。
　　
　　 一、會計信息系統內部控制的理論框架
　　
　　在信息化過程中,有關國家政府和國際性組織已考慮到了信息技術對內部控制的巨大影響,并發布了內部控制規范或模型。這些規范或模型,可為構建我國會計信息系統的內部控制框架提供借鑒和參考。
　　 (一)內部控制的理論框架
　　1. COSO的《內部控制——整合框架》
　　美國COSO委員會于1992年、1994年先后發布修訂了《內部控制——整合框架》,該報告是迄今為止對內部控制最為全面的描述。報告中指出,內部控制是由控制環境、風險評價、控制活動、信息與溝通、監控等5個相互關聯的要素構成的。內部控制目標、內部控制要素及內部控制主體三者之間存在直接的關系,共同構成一個理想的內部控制整體框架[2]。COSO框架關于信息技術對內部控制的影響的規范集中體現在對信息系統本身的控制,COSO框架在“控制活動”要素部分規范了對信息系統的控制,并把信息系統的控制分為一般控制和應用控制兩大類。一般控制也稱為總體控制,包括數據中心操作控制、系統軟件控制、接觸安全控制和應用信息系統開發和維護的控制;應用控制是指嵌入于各業務流程之中的借助于信息系統來實現的控制,應用控制有助于保證交易處理及授權的完整性、準確性和有效性。COSO框架包含了對信息系統更多的關注,但這個框架的建立仍基于傳統的內部控制理論,比如仍依賴于崗位分置和監控等活動[1]。
　　2. 英國《Turnbull報告》
　　《Turnbull報告》提出了“四要素”論,即控制環境、控制活動、信息與溝通、監督檢查。Turnbull報告是以風險控制為主導,并以原則導向制定的,這些內控規定更利于企業結合實際情況后貫徹執行,并可降低建立和執行內部控制的成本。而傳統規則導向的內部控制規定很容易增加公司上市和維持上市的成本。Turnbull報告強調董事會必須對公司內部控制系統的建設負總責,尤其應關注風險管理的核心問題,如公司面臨風險的性質和程度、公司承受風險的能力、風險發生的可能性、實行風險控制的成本以及從風險管理中獲得的收益。
　　 (二)信息技術環境下的信息系統風險與控制框架
　　1. 國際組織的信息系統內控COBIT框架
　　20世紀90年代開始,隨著互聯網在世界范圍的應用,各種各樣的信息系統成為各種業務處理的核心。然而,互聯網使信息資源在發揮巨大作用的同時,也產生了眾多不安全因素,給企業帶來了巨大的風險。人們越來越清楚地意識到有效管理和控制信息及相關信息技術是進入信息化社會的可靠保障,信息技術對內部控制的影響已經得到社會各方的重視[3]。在這個背景下,信息系統審計與控制基金會(ISACF)開發了信息及相關技術管理控制框架(COBIT),這個框架是信息技術管理的通用標準。它吸收了世界上信息控制領域和其他多個領域已被接受的標準,以幫助人們了解并管理與信息技術相關的風險。COBIT框架吸收了ITSEC、TCSEC、 ISO 9000、SPICE、TicklT、Common Criteria等認證標準,形成一套專供企業經營者、信息技術專家、MIS審計員強化和評估信息技術管理和控制的規范。COBIT框架由信息系統管理和控制的6個相互關聯的部分——管理者摘要、框架、應用工具、管理指導、控制目標、審計指南組成[4]。在COBIT的高級控制指標中,包括信息技術評價指標、信息技術資源及信息技術過程。其中,信息技術評價指標主要從質量、成本、時間、資源利用率、系統效率、保密性、完整性、可用性等方面來保證信息的安全性、可靠性、有效性;信息技術資源主要包括人、應用系統、技術、設施及數據等與信息相關的資源,這是信息技術處理過程的主要對象;信息技術過程則從信息技術的規劃與組織、采集與實施、交付與支持、監控等4個方面確定了34個信息技術處理過程,每一個處理過程是一系列關聯的信息技術活動或任務。由此可以看出,與COSO框架不同的是,COBIT框架的重點集中于利用信息技術來達到企業的目標和實施內部控制,這是對COSO等傳統的內部控制框架的補充和發展。這個框架通過應用中強調信息技術和企業目標一致、信息技術幫助企業運營和最大化收益、信息技術資源被負責地運用以及信息技術風險被適當地管理來實現信息技術治理。COBIT將企業的內部控制和信息技術的應用融為一體,對于我們建設有關信息技術條件下的內部控制規范極具參考價值[5]。因此,COBIT從體系化、標準化的高度,構建了關于信息系統投資、建設、評估、風險控制的知識框架,超越了傳統的產品與服務的概念,是會計信息化事業與內部控制新的發展思路。
　2 . OECD的信息系統安全指導方針
　　過去有關信息安全的研究,大多側重于確保信息安全技術的應用,然而信息安全的維護不能僅靠應用信息安全技術,建立相應的管理政策、健全信息系統的內部控制將更為有效。信息安全管理系統(ISMS)就是在信息安全的強烈需求下應運而生的。1992年11月OECD的24個會員國決議采用信息、計算機與通訊政策組織(ICCP)訂立的“信息系統安全指導方針”。進而在2002年第1 037次理事會會議上發布了新的信息系統安全指導方針,將信息安全提升到了文化高度,涵蓋了從安全認知到安全職責等9個方面的內容,其中包括意識、責任、響應、道德、民主、風險評估、安全設計和實施、安全管理以及再評估等[4]。
　　3. 《電子系統保證與控制》(eSAC)
　　針對企業信息系統內部控制問題,在1994年的《系統可審計性與控制》所建立的第一個與信息技術業有關的SAC內部控制框架的基礎上,美國內部審計協會(IIA)于2001年根據信息系統領域發生的新變化構建了一個更為現代化的信息系統控制框架——電子系統保證與控制框架(eSAC),整個框架包括控制環境、人工控制系統和自動控制系統、把控制融入系統的控制程序等三部分[4]。eSAC為有效的技術風險管理設置了一個平臺,為評估電子商務控制環境提供了一個框架;也有助于對客戶、管制者、管理當局和董事會理解和管理信息技術風險提供保證,為管理層和審計師理解、評估與減輕技術風險提供了新的框架。
　　eSAC報告提出,傳統的控制觀點在現行的電子信息系統和網絡的環境下已經不再適用了,因為現在需要將基礎設施和商業應用過程聯系起來考慮,在這樣的環境下對于控制過程可以分為一般控制及應用控制,一般控制包括保護數據的安全性和保密性、項目和記錄的安全性以及物理安全性;應用控制包括授權的交易被完整的記錄、所有的交易只被系統處理一次、交易處理和記錄的準確性等。雖然eSAC模型的出發點是針對電子系統的控制,但為我們發展信息技術條件下內部控制模型,將重點放在控制環境、一般控制和應用控制上提供了參考[1]。

　　4. TrustServices框架
　　TrustServices是AICPA和CICA在2003年4月發布的評價網絡信任服務和系統信任服務的原則框架。它將信息系統控制的標準分為5個:安全性、可獲得性、過程完整性、隱私安全性和保密性,并將其標準和原則歸入了4個方面進行評價:政策、溝通、程序和監督。TrustServices框架是用來識別信息技術給企業帶來的風險和機會,并且可以評價企業信息系統控制有效性的,它可以定義一個在特定的時間和環境條件下無實質性錯誤進行運營的比較可靠的系統,所以用它的標準來設立信息技術條件下的內部控制關鍵點,從而發展相應的信息技術內部控制模型很有價值[1]。TrustServices框架比COBIT框架相對狹義,但它將基礎設施和商業應用過程聯系起來考慮,在這樣的環境下對于控制過程可以分為一般控制及應用控制,一般控制包括保護數據的安全性和保密性、項目和記錄的安全性以及物理安全性,應用控制包括授權的交易被完整地記錄、所有的交易只被系統處理一次、交易處理和記錄的準確性等。
　　5. 日本的《財務報告內部控制的評價和監督準則》
　　日本也高度重視信息技術對內部控制的影響,其特色是直接將“對信息技術的應用”作為內部控制的一個基本組成部分。在日本的《財務報告內部控制的評價和監督準則》中指出,內部控制由6個基本部分組成:控制環境、風險評估與應對、 控制活動、 信息與溝通, 監控和對信息技術的應用[1]。這個框架很類似COSO框架,但將對信息技術的應用單獨作為內控框架的一部分,在控制環境、監控等方面也強調了信息技術的影響。
　　根據以上初步探討,會計信息系統內部控制的理論分析框架如圖1所示。
　　
　　
　　 二、構建中國會計信息系統內部控制框架的理論與規范
　　
　　我國理論界也密切注意著信息技術環境下企業內部控制制度的變化,有的學者進一步探討了信息系統環境下企業內部控制制度的構建,試圖建立一種“數據—系統—網絡”的內部控制體系,以適應信息技術應用的特點[2];有的學者研究利用信息技術改善控制程序、增強控制手段,將信息技術有效地集成到業務和信息過程中,借助于信息技術來防范與控制經營風險[3,6,7] ;許永斌(2000)在對互聯網會計信息系統的風險進行分析的基礎上,提出相應的解決措施:在企業內部實現操作系統控制、會計數據資源控制、系統維護控制、應用控制、計算中心控制、組織控制和工作站點控制;在企業外部實現周界控制、大眾訪問控制、電子商務控制、遠程處理控制等[8]。這些研究推動了我國新經濟下內部控制制度的發展與創新。由于信息技術控制存在的技術風險會影響所有(或大部分)財務報表的可靠性,甚至影響企業的生存[9]。因此,多數學者的研究仍然是以技術層面為主,尚未深入探討過信息時代內部控制框架發生怎樣的深刻變化。 　　2007年3月,財政部內部控制標準委員會頒布了《企業內部控制規范》(征求意見稿),使我國企業內部控制規范上了一個臺階。此次的內控規范,增加了基于信息技術系統的內部控制政策與程序,強調了信息系統安全性。我國新的內部控制規范明確且有條理地將內部控制呈現在企業面前,這一標準將為企業會計信息系統內部控制提供一個很好的引導。2009年1月,國家財政部關于推進我國會計信息化工作的指導意見(征求意見稿)中提出,要積極推動會計信息系統與管理信息系統的有效集成,著力將會計準則和內部控制標準固化在信息系統中,力爭將會計師事務所內部控制制度固化在管理信息系統中。在2009年1月1日起施行的《中國內部審計具體準則第28號——信息系統審計》中指出:信息技術內部控制的各個層面都包括人工控制、自動控制和人工、自動相結合的控制形式,審計人員應根據不同的控制形式采取恰當的審計程序。該準則基于COSO框架的評價方法,從被審計單位的控制環境、風險評估過程、信息系統和溝通、控制活動、對控制活動的監督等5個方面評價內部控制系統,但是諸多內容基本上是原則性的。監控活動可以分為3類:領導型監控、職能型監控和獨立型監控。前兩者應該完全嵌入管理信息系統,后者則可相對獨立,即要建立相對獨立的信息化的審計系統,包括審計管理系統和審計實施系統。對于大型組織而言,可能也需要向集成化、聯網化方向發展。
　　
　　 三、會計信息系統內部控制的發展策略
　　
　　1. 關注信息集成環境下的內部控制。近些年來,一些管理信息系統正在向集成化、聯網化方向發展,目前,比較流行的管理信息系統有企業資源計劃系統(ERP )、供應鏈管理系統(SCM)等。例如ERP系統集成了大量的子系統,具有財務、銷售、生產、人力資源、質量、決策支持等管理控制功能。因此,未來需要著重研究的是信息集成環境下的內部控制框架如何構建,比如信息集成對內部控制具體的影響和沖擊,利用信息技術進行控制與對信息技術的控制的關系等,這些問題將會影響到信息集成環境下的內部控制規范,是值得我們著力突破的研究方向[1]。
　　2. 加強系統控制管理。系統控制是指與程序設計、運行維護、數據處理過程、硬件設備等相關的可靠性控制制度。根據信息技術應用下的企業內部控制中新的控制風險,企業應加強在這幾方面的控制力度。它包括一般控制與應用控制。一般控制幫助管理層確保系統能持續、適當地運轉,具體含有應用系統開發、建立和維護控制、系統軟件與操作控制、數據和程序控制、存取安全控制、網絡安全控制等;應用控制是對會計信息系統中具體的數據處理活動所進行的控制,包括應用軟件中的電算化步驟及相關的人工程序,劃分為輸入控制、計算機處理與數據文件控制和輸出控制[2]。
　　3. 遵循五要素原則。五要素原則的內容在各個框架中都能融合,具有廣泛的適用性。控制環境、風險評估、控制活動、信息與溝通、監督五要素是一個相互聯系、綜合作用的有機控制整體,使單純的控制活動與企業環境、管理目標及控制風險相結合,形成一套不斷改進、自我完善的內部控制機制[10]。更有利于企業董事會、經理層和其他員工共同實施,為營運的效率效果、財務報告的可靠性及相關法令的遵循性等目標的達成提供合理保證。
　　4. 企業的內控環境應包括企業價值觀,企業文化、理念和使命,企業道德與誠信等,應先行建設公司信息系統控制的制度與文化環境。如董事會的一些政策,比如商業行為的政策、關于欺詐行為的政策,還有關于公司內部組織結構安排的政策。另一方面是高層人員的道德情況表現,以及他們對各種各樣錯誤所作出反應的一致性。
　　5. 循序漸進,分步實施,設計一定的過渡期。會計信息內部控制是一個系統工程,涉及企業信息技術應用與安全、業務流程再造、機構與人員的重整,需要投入大量的人、財、物,僅靠外部力量推動是不能達到效果的。
　　6. 建議按信息活動流程來確定信息系統內部控制規范。在復雜的系統和發展的信息技術的條件下,準則可能會滯后于實務的發展,按信息活動流程來實施管理,可避免內部控制人員在面臨新問題、新情況時無所適從、無法可依。
　　
　　主要參考文獻
　　[1] 章鐵生. 信息技術條件下的內部控制規范 [J].會計研究,2007(7).
　　[2] 劉志遠,劉潔.信息技術條件下的企業內部控制[J].會計研究,2001(12).
　　[3] 駱良彬,張白.企業信息化過程中內部控制問題研究[J].會計研究,2008(5).
　　[4] 陳志斌.信息化生態環境下企業內部控制框架研究[J].會計研究,2007(1).
　　[5] 陳志斌,何忠蓮.內部控制執行機制分析框架構建[J].會計研究,2007(10).
　　[6] 歐陽電平,陳彥.信息技術環境下企業會計信息系統發展中的關系研究[J]. 財會通訊:學術版,2008(10).
　　[7] 鄭海英. 上市公司內部控制環境研究[J].會計研究,2004(12).
　　[8] 許永斌. 基于互聯網的會計信息系統控制[J]. 會計研究,2000(8). [9] 唐志豪,計春陽,胡克瑾. 信息技術治理研究述評[J].會計研究,2008(5).
　　[10] 財政部會計司考察團.英國和法國企業內部控制考察報告[J]. 會計研究,2007(9).