内部控制环境研究范文

【关键词】IT环境企业信息系统内部控制

一、引言

全球化市场经济使得企业之间的竞争日益加剧，为了应对激烈的竞争要求，企业应构建科学的信息系统，为企业在激烈的市场竞争中立于不败之地提供技术支持。目前建筑业信息化进程较其他行业而言相对落后，信息化水平远低于其他行业，其传统的经营与管理方法，不能适应现代信息化环境下经营管理的需要，必须构建基于IT环境下的内部控制管理模式，提高企业在信息化环境下的管理水平。本文以中国铁建集团为例对此进行研究。以期为IT环境下企业内部控制建设提供参考。

二、基于IT环境的企业内部控制比较分析

（一）IT环境下企业内部控制概述

1.IT内控目标。信息系统内部控制（简称IT内控）是针对IT风险制定一系列制度、程序和方法，实现事前防范、事中控制、事后监督和纠正的动态过程的机制。目标是合理合法地规划信息系统，避免造成信息孤岛或重复建设。利用信息技术实施有效控制，增强授权管理，减少人为操纵因素，提高企业现代化管理水平。增强信息系统的安全性、合理性和可靠性及其相关信息的保密性、完整性和可利用性的控制，为建立有效的信息与沟通机制提供技术保障。

2.IT内控控制环境。意识到IT会给企业带来新的风险；整合IT组织与企业组织；注重员工IT特殊能力的培养；IT控制会涉及第三方，特别是在项目外包过程中；可能导致IT控制的责任人不明确。

3.IT内控风险评估。企业层面上由专门组织来定义IT内部控制目标及对IT风险进行识别；活动层面上要特别针对IT运营服务、IT资产管理、IT项目，以及在变更管理活动中进行风险评估。

4.IT内控控制活动。对IT系统环境、构成要素及IT基础设施相关的控制。普遍适用于所有IT系统，为IT系统的正常运行提供安全可靠的环境。IT应用控制是指与运行业务流程相关的IT系统的控制活动，应用控制是IT内部控制的最关键要素。

5.IT内控信息与沟通。企业层面上需要设计和沟通组织机构策略、开发和沟通报告要求、财务信息的沟通；业务层面上需要设计和沟通策略目标、实现业务信息沟通、及时报告安全违例情况。

6.IT内控监控活动。企业层面上需监控计算机的运行情况、监控信息安全情况、IT内部审计审核；活动层面上需进行缺陷识别和管理、本地检测计算机运行或计算机安全、本地IT人员的监督管理。

（二）传统内部控制与IT环境下内部控制差异分析

1.控制环境的差异。传统内部控制指的是关注会计信息可靠性的内部会计控制，很少考虑与业务操作和规则遵守有关的内部控制。使得财务系统和业务系统相隔离”，财务数据只能在业务发生之后采集并经过再加工成为可用的数据，财务信息的严重滞后与业务实时控制之间存在着不可调节的矛盾。IT环境下企业信息处理和业务活动融为一体。在业务活动发生、有关数据进入数据库之前，就会对数据的准确性、完整性和合法性进行检查；其网络环境中的信息可以被有授权的人员检查，进行实时事中控制，原始业务的再现也由于环环相扣的链接关系变为可能，这种高度集成整合的信息系统是企业实现财务与业务一体化的有效保障。与传统内部控制相比，IT环境下企业内部控制存在新的风险，例如信息系统规划与建设的管理风险、信息系统内控机制漏洞风险、信息系统运行的不稳定性风险、网络安全风险等等。例如现金管理软件如果不受人为约束生成、传递与传统条件下类似的支票、本票等现金收付文件，将会给企业带来灾难性的影响。

2.风险评估的差异。与传统内部控制相比，企业应设立专门机构对IT环境下企业内部控制重新定义，并对IT风险进行识别。其信息一致性风险是指在内部信息资源整合或与外部信息资源整合过程中，由于信息或信息系统部匹配导致的系统能力降低等风险。具体还是要根据企业的业务来特别制定企业IT风险评估。

3.控制活动的差异。传统的控制活动形式一般体现为：业绩评价、信息处理、实物控制、职责分离等。IT环境下企业内部控制除包含这些外，特别强调对信息处理这方面的相关审计控制，其应用控制也是IT内控的最关键要素。

4.信息与沟通的差异。传统环境下企业部门与部门之间往往存在信息沟通不畅的问题，借助手工处理这些问题有时间差异，业务部门需要的资料要送达财务部门并经过相关数据处理再传送给其他部门，大大影响企业内部工作的效率和效果。有效的信息沟通需要企业信息的实时共享，企业信息化为其提供了可能，本企业信息系统与客户、供应商和商业伙伴信息系统之间的联系日益紧密，其数据及时传递和处理使企业管理者能够掌握企业内部和外部实时情况，及时控制企业面临的风险，优化企业内部控制。

5.监控活动的差异。在IT环境下，监控活动就是评估企业信息系统内部控制系统在一定时期内运行质量的过程。包括监控计算机的运行情况、信息系统安全情况、IT内部审计审核情况、进行缺陷识别和管理、本地IT人员的监督管理等等，这是传统内部控制不具备的，需要企业专业IT管理人才进行企业内部控制监控活动的实施。

三、基于IT环境内部控制调查分析

（一）调查问卷设计

本文采用调查法进行数据收集，主要分为访谈和问卷调查两个阶段。为了得到更为有效的数据，首先对中国铁建集团项目部技术人员、财务人员进行实地访谈，初步了解对该问题的看法，根据访谈结果按照COSO五要素设计了调查问卷。调查问卷采用了Likert五分法，分为极不同意、不同意、说不清、同意、极力同意五个级别，问卷调查采取实地分发和邮件传送两种方式。本次共发放问卷100份，收回83，其中剔除无效问卷2份，最后得到有效问卷81份，占总问卷数的81%。问卷中项目的设计均用数值表示调查对象对此项目的态度，设置了0、1、2、3、4五档数值。

（二）调查结果分析

1.控制环境。由表（2）可以看出，按公司隶属关系由高到低其评分整体趋势也是由高到低，即二级子公司总体和各项评分都最高，项目部则略低尤其是（1）、（4）、（5）这三项，项目部评分介于不同意和说不清之间，说明其整合IT组织与企业组织效率低、第三方业务中应用信息系统处理业务量少，同时若信息系统发生与业务流程相关问题时，不能及时明确责任人。在对员工进行IT业务培训方面，各级子公司差距不大，都做得令人满意。见表（2）。

2.风险评估。由表（3）可以看出，各子公司都明确制定了信息系统内部控制目标，甚至是出现了项目部得分大于二级子公司的情况，集团公司会下发相关文件为各级子公司指引，项目部IT内控目标制定实施良好。各级子公司都明确了信息系统的经营风险，在系统维护和安全措施方面投入量很大，而在信息系统合规风险这一块，主要是项目部评分在不同意以下。见表（3）。

3.控制活动。由表（4）可以看出，各项评分介于2.5-3.2之间，其信息系统控制活动整体接近同意这一评价标准。但评分随公司隶属关系由高到低分布，在实行全面控制方面二级子公司做的最好，接近于满点，可想而知安全控制影响之大使其资金投入量也加大；在职责分离、领导监督及数据有效输入控制方面项目部实施良好，与上级公司基本持平。见表（4）。

4.信息与沟通。表（5）显示，各级子公司在企业各部门信息有效沟通共享和及时报告企业安全及违例情况上差距较大，尤其是项目部，其后两项的评分低于1分，处于极不同意和不同意之间，应加强管理建设。而在财务报告和财务信息沟通方面公司格外注重，如2014年初，根据集团公司的统一部署，中国铁建十五局二公司沪昆项目部停止使用浪潮财务管理系统，中国铁建财务共享服务平台取而代之，形成以协同办公、综合项目管理、企业邮件、财务共享服务为主，QQ交流群、项目微信群为辅的4+2”项目信息化综合管理体系，为改善企业的经营管理做出巨大贡献。见表（5）。

5.监控活动。表（6）显示，各级子公司在实时监控计算机运行情况和进行信息系统内部审计方面实施情况比较好，评分近于同意。而在进行有效缺陷识别管理和实时有效的对IT人员监督管理上明显三级子公司和项目部实施效果不好，这与项目部长期以来的工作环境和施工条件密切相关，同时信息化管理人才缺乏也是造成这一现状的重要原因。见表（6）。

四、IT环境下企业内部控制建设对策

（一）设定相关人员权限控制

在信息系统控制环境部分，由调查数据可知若企业信息系统发生与业务流程相关的问题（如相关业务权限控制），能明确责任人这一项评分较低，尤其是项目部。在出现问题及时明确相关责任人，才能最大程度发挥信息系统在企业经营管理中的积极作用，这就使得相关人员权限控制显得尤为重要。

（二）明确信息系统合规风险

通过风险评估评分表可知，信息系统合规风险相对目标设定和经营风险来说评分比较低。说明企业对风险评估中合规风险控制不到位，尤其是底层项目部。中国有句古话说没有规矩，不成方圆。”意思是缺少了制度的约束，人的行为就会进入混乱。信息系统代替手工，使得审批流程简介方便，但是在这过程中也有合规风险出现，例如发票报销，不必像以前一样拿着发票找经理主管签字，有的甚至根本没有签字就可生成账单，如果对信息系统合规风险控制不当，则很容易给企业带来巨大损失。

（三）加强对软、硬件系统控制

硬件是实时信息系统的先决条件，而软件则是决定信息系统命脉的决定因素。在信息化时代，软硬件更新速度日新月异，只有紧跟时代潮流才能在信息化进程中找到适合企业发展和生存的契机，有效利用信息化改善企业经营管理。在中国铁建集团官网上查询可了解其财务软件更新过程，1992年，初始实现电算化，还是当时还是账务单板机，不联网；2002年，开始使用U8系统做账；2005年NC的使用，才使得基层项目实现了网上做账；到2007年，更新为浪潮GS3.5，并在其基础上进行二次开发，使其更加适合单位生产经营需要；2013年底，又更换成中国铁建财务共享服务平台，真正实现了财务交流无障碍。

（四）增强信息沟通与共享

中国铁建集团子公司众多，遍布海内外，如果不能及时信息沟通有效共享，可能会错失很多项目，同时也会给公司预算、采购、人工上浪费很多资源。以尼泊尔马兰奇引水项目为例，在尼泊尔信息很落后，其网络很不稳定，通信也极不发达，公司安排专人定期和网络公司联系，督促检查网络信号，同时搭建内部信息平台，为每位员工配备了一张G网和一张C网手机卡，双卡互补，确保信息交流基本畅通。

（五）加强缺陷识别与管理

信息系统一直在更新换代，以不断适应企业业务需求和管理需要，在信息系统有缺陷时能及时识别和管理，会使企业信息系统实时修善，为企业经营管理提供更好的服务，提高公司运行效益和市场竞争力。

参考文献：

[1]梁晟耀.企业内部控制基本规范（第2版）[M].北京：电子工业出版社，2013.

[2]财政部.企业内部控制应用指引第18号——信息系统[D].2010.

[3]杨青峰.业务高管信息化领导力的16项修炼[M].北京：电子工业出版社，2010.

[4]李晓慧，何玉润.内部控制与风险管理[M].北京：中国人民大学出版社，2012.

[5]柯新生.企业信息资源规划理论与方法研究[M].北京：电子工业出版社，2013.

[6]戴欣.企业信息化水平的系统动力理论[M].北京：电子工业出版社，2010.

[7]严小丽，吴清.施工企业信息化绩效评价[M].北京：中国建筑工业出版社，2013.

[8]陈建斌.IT能力与企业信息化[M].北京：电子工业出版社，2010.

[9]王宏，蒋占华，等.中国上市公司内部控制指数研究[M].北京：人民出版社，2011.

[10]周常发.企业内部控制实施细则手册[M].2版.人民邮电出版社，2012.

[11]梁晟耀.企业内部控制基本规范——合规职务指南[M].北京：电子工业出版社，2010.

[12]张文贤，孙琳.内部控制会计制度设计[M].上海：立信会计出版社，2004.

[13]孙永尧.内部控制案例分析[M].北京：中国时代经济出版社，2007.

[14]艾文国，唐思思.信息化环境下基于风险管理的内部控制研究[J].哈尔滨商业大学学报（社会科学版），2009（1）.

[15]张小颖，马广奇.基于COSO报告的企业内部控制体系评述[J].陕西科技大学学报，2008（6）.

内部控制环境研究范文

［关键词］erp；采购；内部控制

一、研究综述

企业内部控制制度体系是企业内部为了有效地进行经营管理而制定的一系列相互联系、相互制约、相互监督的制度、措施和方法的总称。企业资源计划（erp）系统在企业中的应用，一方面可对企业内部供应链上的所有环节如订单、采购、库存、计划、生产制造等有效地进行管理，但另一方面也给企业内部控制体系带来了新的挑战。

不论是工业企业还是商业企业，采购与付款业务都是企业经营活动的首要环节，采购成本的高低对企业最终的利润是有直接影响的，同时，与采购业务相关的应付账款或预付账款的管理对企业来说也是至关重要的。鉴于此，本文探讨在erp环境下如何加强采购模块的控制，使企业建立完善的采购业务内部控制制度，确保采购事项的真实性、合理性、合法性，及时准确地提供采购业务的会计信息，保证采购付款业务循环有效运转，以确保企业会计信息系统能够正常、安全地运行。

二、采购业务的控制环节

（一）采购业务处理流程

从物流的角度看，最初的采购流程运行的成功与否将直接影响到企业生产、销售最终产品的定价情况和整个供应链的最终获利情况。换言之，企业采购流程的“龙头”作用不可轻视。具体处理流程如图1所示。

（二）采购业务的控制点

采购系统实际是由采购管理和应付账款两个子系统构成的，它们是企业信息系统中比较复杂的子系统。在这个子系统中存在物流和资金流两条线，如何保证这两条线相互联系，正确形成与供应商的往来账，是这个系统的关键。同时，根据目前企业管理的要求，采购系统不但完成采购活动的事中管理、事后核算，同时完成采购计划的产生和采购资金需求的预测。尽管对于不同的企业采购与应付业务管理的目的是相同的，但不同的企业在管理模式上和业务流程上有一定的区别，本文介绍比较常规的一种处理模式。具体来说，有以下几个关键的业务处理环节和控制点：

1．授权

企业必须按要求设定涉及采购流程的每一个人员对erp系统的操作权限，例如，对供应商信息的录入须得到对数据库的操作授权，订单输入后的修改必须得到操作授权，采购人员必须在授权范围内签订采购合同。

2．审批

审批程序是采购业务中非常重要的一个环节。审批的目的有两个：一是对请购活动审核，二是明确请购和采购活动的有关责任。通过各部门和人员之间相互审查、核对和制衡，避免一个人控制一项交易的各个环节，以此防止员工的舞弊行为。而各个部门和各个级别的审批程序的目的又有所差别，例如请购部门负责人审批的目的是保证请购商品的品种、质量满足经营活动的需要；采购部门审批的目的是防止重复采购和控制采购成本。

3．供应商管理

对于采购业务来说，供应商和采购部门的关系是较容易出现问题的环节。公司要对供应商建立完善的档案，及时掌握各供应商的信誉等情况。如果由询价人员进行供应商的选择，就有可能产生舞弊行为，因此这一环节关键是要做到信息公开，选择的过程要公平、公正，其中价格是选择供应商的重要因素。另外，供应商的品质和信誉管理制度以及生产能力都会影响采购业务及以后生产销售环节的运行。

4．采购结算

采购是企业经营的首要环节，控制材料采购成本对一个企业提升经营业绩是很重要的。由于材料成本占生产成本的比例比较高，因此降低材料采购成本可以增加企业的利润，从而增强企业的竞争力。

5．付款结算

付款业务是采购业务不可分割的组成部分，其主要内容建立在采购业务基础之上，是将企业的资金支付给采购商品供应商。付款涉及资金使用，因此是内部会计控制的重点。付款业务控制的关键点主要包括应付账款业务控制和资金支付控制。

三、erp环境下加强采购模块内部控制的具体措施

（一）权限的控制

单位应当对采购与付款业务建立严格的授权批准制度，明确授权批准方式、权限、程序、责任和相关控制措施，规定经办人办理采购与付款业务的职责范围和工作要求。对各类不同的物资请购，企业应建立完善的责任授权体系。部门物资需求由部门资产主管人负责；特殊请购计划的制订必须由公司计划部、营销部等相关部门综合讨论决定，与战略相关的大宗支出还必须取得高层领导的同意。同时，为了保证权责对等，企业应建立适当的考核体系，真正做到谁拥有权利谁承担责任。例如，某公司账套主管是李明，采购部业务员王丽向公司上级主管提出请购键盘计划，请购数量为10只，业务员据此填制请购单。此时就必须需要账套主管李明登录系统，启动采购管理系统，执行“采购选项”、“业务及权限控制命令”，在“权限控制”下，选中“检查业务员权限和检查操作员权限”复选框。如果账套主管没有赋予业务员王丽操作权限，则在王丽录入请购单时会弹出“对不起，您没有录入该部门的权限”窗口。

（二）审批的控制

企业的各个部门都应该力求使采购申请业务制度化，即明确不同类型、不同级别的请购业务审批流程，保证所有的采购申请业务都经过规定的审批程序。对于采购申请、采购订单、外协加工订单等，必须经过某一个人的审核才能接着处理下一流程。对于不同的部门可能会指定不同的审核人。不正确的业务更正与删除，待解报单的处理等都必须严格按规定进行，严格执行复核制度，充分保证计算机账务处理不错不乱。无论是静态审核，还是动态审核，都要仔细核对输出的账务凭证与实际发生的经济业务是否一致。另外，制定相应的上机守则与操作规程，是操作控制制度化的具体体现。比如固定资产的审核归口到设备管理部门；计算机等it设备的采购归口到it主管部门；预算审核归口到财务主管部门；不同级别的人员又分别有不同金额的限制，超过之后必须由更高级别的人审核。

（三）业务执行控制

1．到货数量控制

控制到货的数量是否允许超过订单数量。对采购数量进行控制，采购部门首先应当对每一份请购单审查其请购数量是否在控制限额的范围内，其次是检查使用物品或获得劳务的部门主管是否在采购单上签字同意。对于大宗采购必须做各种采购数量对成本影响的分析。内部会计控制制度必须对这些成本分析做出强制性的规定，并指定专人对成本分析是否实施进行监督。将各种请购项目进行有效的分类，然后利用经济批量法测算出成本；对于请购数量不大或者零星请购的物品，采购批量的成本分析控制可参照资金预算来执行。采购量越多，价格相对越低，但并不是采购越多越好，资金周转率、仓库储存的成本等都会直接影响采购成本，应根据资金周转率、储存成本物料需求计划等综合计算出最经济的采购量。因此必须事先确定好采购量。使存货总成本最低的订购量被称为经济订购量。

2．到货成本控制

控制到货成本是否允许超过订单或合同成本。比如，设置了某一货物的采购入库成本不能超过订单的10％，系统就不允许录入成本超过订单10％的采购入库。从成本的角度来说，采购原材料或待售商品的价格和采购行为本身的成本构成了产品成本中相当大的一部分，因此，采购作业对企业盈利能力和财务流动性有着显著影响。采购作业和存货管理有着密切的关系，可以说，企业采购作业的成本在很大程度上取决于存货管理的质量。科学的、精确的存货管理会在保证正常生产的基础上，最大程度地降低采购作业的成本。

3.储存成本

当企业有存货时就会有保管费用的发生，这一费用包括占用在存货中的资金不能再投资的机会成本及场地租金、保险费等与储存有关的费用。因此，为了节约储存成本，企业应尽量减少库存量。对于这类成本，理想的状况是降低到零，这就是及时采购的主要思想。可以通过以下措施来解决这一问题：①减少供应商数目，这样就减少了谈判的时间；②调用供应商档案，选择信誉好的供应商，以降低检验和质量成本。

（四）付款控制

付款控制应该属于应付账款系统，但是实际引发的原因在采购系统。控制付款可以通过以下办法来进行控制：

（1）财务部门在办理付款业务时，应当对购货发票、供应商发票、结算凭证、订购单、验收单以及入库单等资料的真实性、完整性、一致性、合法性进行严格审核。对于未经核准的款项不能支付，对于上述资料不全的款项，应要求补齐资料后，才能支付。

（2）会计人员要及时核销已经完成了付款程序的采购业务，并对应付账款、预付账款等重要账户进行严格管理。

（3）更改供应商设置，控制对该供应商的应付账款。

（4）企业也可在系统内设置预警。公司设立请款控制，由财务人员对部门预算和付款要求核实后给予批准；出纳依据erp中的供应商信息，银行转账付款或签发票据。这里供应商账号信息的维护是企业需要关注的重点。会计人员依据付款单制单，为了确保业务的准确，建立企业与银行间、企业与供应商间的对账机制也是很有必要的。

四、小结

erp系统具有实时控制的思想，对各业务中的关键控制点的控制方法使企业从传统的发现问题、事后补救，发展成为现在的事前预防和事中控制。严格的内控制度必然会改变会计机构和人员的分工，优化会计组织结构，有助于防止违法行为的发生，提高会计工作效率和质量，促进会计工作职能的转变，推动会计理论和会计技术的进步，提高会计工作水平，大幅度增加企业的经济效益，严格的内部控制制度是计算机环境下会计信息真实可靠的保证。建立完善的采购业务内部控制制度，可以保证采购付款业务循环有效运行，确保采购事项的真实性、合理性、合法性，防止欺诈和舞弊行为，保证会计信息系统正常、有效运行。

主要参考文献

［1］蒋素英．浅谈采购业务内部控制制度设计［j］．经济师，2009（1）.

内部控制环境研究范文篇3

【关键词】会计电算化；内部控制；会计信息系统

会计电算化内部控制是内部会计控制的特殊形式。财政部2001年6月颁布的《内部会计控制规范基本规范（试行）》中指出“电子信息技术控制要求运用电子信息技术建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施。”从制度上说明了加强会计电算化内部控制的必要性。

自20世纪80年代以来，IT技术迅猛的发展状况，剧烈地改变着企业的经营环境，冲击着传统的企业管理模式。本文拟对IT环境下传统会计电算化内部控制存在的问题做出总结，并就完善IT环境下企业内部会计控制制度提出对策。

一、IT环境下会计电算化对内部控制的影响

随着IT技术，特别是以Internet为代表的网络技术的发展和应用，以提供财务信息为主的会计，正由传统的手工会计系统向电算化会计系统、网络会计系统方向发展。这无疑是企业管理手段的巨大进步，极大地促进了会计工作效率的提高，但同时也给企业内部会计控制带来了新的问题和挑战，具体表现在：

（一）授权方式的改变，潜伏着巨大的控制风险

授权、批准，乃是一种常见的内部控制手段。在手工会计系统中，一项经济业务由发生到形成相应的会计信息，其经历的每一个环节都应由具有相应管理权限的有关人员签章，方可办理。自然形成了层层复核、道道把关，严格的审核复查机制。这种传统管理方式的效率虽不高，但可有效地防止作弊。但在电算化会计信息系统中，大部分处理由计算机完成，审查、复核等控制被削弱，甚至消失了。在电算化会计信息系统中，权限分工的主要形式是口令授权。口令存放于计算机系统内而不像印章那样由专人保管，一旦口令被人偷看或窃取，便会带来巨大隐患。

（二）会计岗位发生变化，会计业务缺乏有效牵制

由于会计电算化的工作自动化、程序的控制化，各种手续都由计算机自动处理统一执行，会计基础数据的来源和处理方式、会计管理操作形式等都发生了很大的变化。与此相适应，会计工作的分工、岗位职责、权限也发生了变化，使传统职责分割的控制作用近于消失，信息载体的改变及其共享程度的提高，又使手工系统以记账规则为核心的控制体系失败，如不及时调整将形成内部控制隐患。

（三）原始凭证数字化，使得会计信息易于被篡改或伪造

在手工会计系统中，原始凭证是以纸张为载体，很难不露痕迹地加以修改或伪造。但随着电子商务的发展，一些单位的原始凭证也如同记账凭证、会计账簿或报表一样，已实现数字化、电子化，即以数字形式存储在磁（光）性介质上，这种无纸凭证极易被篡改或伪造而不留任何痕迹，它弱化了纸质原始凭证所具有的较强的控制功能，给内部会计控制带来了新的难题。另外，磁（光）性介质容易损坏，一旦受损，又很难修复，这更使数字化的会计信息丢失或毁坏的风险加大。

（四）网络环境的开放性加剧了会计信息失真的风险

网络技术无疑是目前IT发展的方向，特别是Internet在财务软件中的应用对电算化会计信息系统的影响将是革命性的。但网络环境具有开放性的特点，这就给会计信息系统的内部控制带来了许多新问题。如在网络环境下，信息来源的多样性，有可能导致审计线索紊乱；大量会计信息通过网络通讯线路传输，有可能被非法拦截、窃取甚至篡改；网络会计信息系统遭受“病毒”入侵或“黑客”攻击的可能性更大等等。总之，网络环境的开放性和动态性，加剧了网络会计信息失真的风险，加大了网络会计内部控制的难度。

二、IT环境下企业会计信息系统的内部控制程序

（一）组织与管理控制

组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制，其基本目标是建立恰当的组织机构和职责分工制度，以达到相互牵制、相互制约、防止或减少舞弊发生的目的。在进行会计分工和职责划分时，重要的一点是不相容职务的分离，计算机会计系统与手工会计系统一样，对每一项可能引起舞弊或欺诈的经济业务，都不能由一个人或一个部门经手到底，必须分别由几个人或几个部门承担。

（二）系统日常操作管理控制

系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业，不得超越权限接触系统。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。操作规程应明确职责、操作程序和注意事项，并形成一套电算化系统文件，如对进入机房内的人员进行严格审查；规定交接班手续和登记运行日志；规定数据备份及机器的使用规范；规定软盘专用以防病毒感染；规定不准在计算机上玩电脑游戏等等。标准操作规程包括：软硬件操作规程，作业运行规程，上机时间记录规程等。

（三）系统维护控制

系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作。系统维护控制就是针对这些工作而实施的控制。系统维护包括硬件维护和软件维护。硬件维护主要包括定期进行检查并做好记录；在系统运行过程中出现硬件故障要及时进行故障分析并做好记录。而软件维护包括正确性维护、适应性维护和完善性维护。在软件修改、升级和硬件更换过程中，要保证实际会计数据的连续和安全，并由有关人员进行监督。

（四）数据和程序控制

数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行，而数据的安全与否关系到财务信息的完整性和保密性。数据控制的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等。程序的安全控制是要保证程序不被修改、不损毁、不被病毒感染。常用的控制包括接触控制、程序备份等。

三、充分利用现代IT技术，增强网络会计系统的安全控制

（一）网上公证的形成可有效地预防数字化的原始凭证被修改或伪造

所谓网上公证，就是利用网络的实时传输功能和日益丰富的互联网服务项目，实现原始交易凭证的第三方监控。比如，每一家企业都在互联网认证机构申领数字签名和私有密钥，当交易发生时，交易双方将单据或有关证明均传到认证机构，由认证机构核对确认，进行数字签名并予以加密，然后将已加密凭证和未加密凭证同时转发给双方，这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这种交易中，交易一方因无法获得另一方的数字签名和私有密钥，很难伪造或篡改交易凭证。主管人员或审计人员一旦对某笔业务产生怀疑，只需将加密凭证提交客户和认证机构解密，将其结果与未加密凭证相对照，问题便迎刃而解。

（二）采用加密码的电子签名，可增强电子化原始数据的防伪功能

在无纸化的会计信息系统环境中，如果应用软件正确无误，系统传输安全可靠，则会计信息系统中派生数据（包括电子化的记账凭证、账簿数据和会计报表）的正确性、真实性和完整性完全取决于电子原始数据。因此，电子化的原始数据的审核和确认显得尤为重要。电子化原始数据的审核可采取类似的方法：一要注意相关业务不同数据记录之间的相互核对；二要关注经办人、批准人等相关人员的电子签名。电子签名不同于手工签章，会计如何确认这种电子签名的有效性是一个不容忽视的问题。目前的多数会计核算软件中，电子签名广泛采用普通汉字或字母代码填写，很容易被摹仿或伪造，为了克服这一缺点，增强电子原始数据的防伪功能，宜采用加密码进行电子签名，使其不容易被篡改或伪造。

（三）通过物理隔离和逻辑隔离手段进行系统入侵防范控制

为了防止非法用户对网络会计系统的入侵，可采取以下措施：1.设置外部访问区域。访问区域是系统接待外界（关联方、社会公众）网上访问。与外界进行会计数据交换的逻辑区域。企业在建立内联网时，要对网络的服务功能和结构布局进行详细分析，通过专用软件、硬件和管理措施，实现会计应用系统与外部访问区域之间严密的数据隔离。2.建立防火墙。防火墙是建立在被保护网络周边的、分隔被保护网络与外部网络的一种技术系统。为了有效地防范非法用户对网络会计系统的入侵，可设置内外两层防火墙。外层防火墙主要用来限制外界对主机操作系统的访问；内层防火墙主要用来逻辑隔离会计应用系统与外部访问区域之间的联系，限制外界穿过访问区域对内联网，尤其是对会计数据库系统的非法访问。

总之，IT技术正在改变着社会，会计信息系统的内部控制体系因此将要发生深刻的变化。会计职业界只有深刻地认识到这种变化，主动地适应这种变化，才能建立与时代相适应的、更有效的内部会计控制制度，满足企业管理的需要。

【参考文献】

[1]阎达五，等.内部控制框架的构建[J].会计研究，2001，（2）.

[2]朱荣恩，杨蕙璇.内部控制评价[M].北京：中国时代经济出版社，2002.

[3]财政部.内部会计控制规范――基本规范（试行）[S].2001.