浅议会计信息化环境下的企业内部控制风险与对策.doc

浅议会计信息化环境下的企业内部控制风险与对策 HYPERLINK 期刊门户-中国期刊网2008-12-23来源:《中小企业管理与科技》供稿文/郭妍 [导读]随着信息技术的发展，电算化被会计行业广泛应用 摘要：随着信息技术的发展，电算化被会计行业广泛应用，在会计信息化环境下，构建新的企业内部控制体系，防范与控制风险，已成为亟待解决的问题。本文运用现代内部控制理论，探讨会计信息化环境下的企业内部控制风险与对策，以期引导国内企业建立起完善的会计信息化环境下的系统内部控制体系，降低威胁电算化会计信息系统的各种风险。关键词：内部控制? 会计信息化? 内控风险? 防范风险? 风险与对策 应用层面 引言随着信息技术的发展，电算化被会计行业广泛应用，从而大大提高了会计信息处理的速度和准确性，但不可否认的是，传统的手工会计系统原有的内部控制已不能适应电算化数据处理的新特点。在会计信息化环境下，构建新的企业内部控制体系，防范与控制风险已势在必行，刻不容缓。1 企业内部控制概述按照美国权威审计机构COSO为代表的现代内部控制理论，将内部控制定义为“由企业董事会、管理层和其他员工制定和实施的，旨在为经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程”，由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八项要素构成，从而将内部控制上升至了全面风险管理的高度，由企业管理人员、审计人员通过经营管理实践，将现代内部控制理论运用于会计信息系统，逐步形成较为完善的自我监督和行为调整的会计内部控制整合框架。2 我国企业会计信息化内部控制的现状我国企业会计信息化整体起步较晚。目前，企业对会计软件应用最多的模块是会计核算、报表生成模块，应用较少的是成本核算、纳税申报等模块。许多大中型企业会计管理的信息化程度并不高，对内控的理解还有偏颇，内部控制制度尚不完善，控制环境薄弱，风险意识淡漠，对内部控制的重要性和风险认识不足，基本上还处于会计核算信息化阶段。其他业务部门很少采用信息化管理，与会计部门之间几乎没有数据传递。只有少数企业在由核算型会计软件向管理型软件或ERP系统方面转变，但使用效果不是很好。从内部控制的角度看，企业会计信息化环境下的内部控制还处于初级的人机共同控制阶段。3 会计信息环境下的企业内控风险3.1 权限控制风险 信息技术人员（系统程序人员、操作人员、管理人员、维护人员）都可能获得超越其履行职责以外的数据访问权限，篡改系统程序软件和应用程序。甚至在极端情况下，系统管理人员可能造成极其毁坏或者全部系统崩溃的危险。因此，信息技术人员的权限控制问题变得非常突出；同时，内部人员（会计人员、管理人员）也可能在未得到授权的情况下访问数据，改变主文档的数据，从而导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；所有这些都会给会计信息系统带来很大的风险。3.2 数据安全风险 首先，由于电算化系统的数据处理与存储呈现高度集中的特点和趋势,储存在计算机磁性介质上的数据容易被篡改、盗取、损坏、拷贝、删除，而且很难留下痕迹；未经授权的人员可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据等,使数据安全性降低。其次，基于计算机存储器的数据管理方式，会计数据泄漏和损失的风险加大。由于企业所有信息都集中到一起，一旦计算机软硬件系统发生故障、系统被病毒攻击、发生自然灾害等情况，都将造成给企业造成无法挽回的数据损失。再次，商业软件加密卡的丢失和损坏，信息技术人员有意泄露数据等都会给系统造成灾难，同时给企业带来巨大经济损失。3.3 人为干预风险 手工会计系统下，人员构成只包括财务、会计专业人员,而会计信息环境下，人员构成扩大为财务、会计专业人员、计算机专业人员、计算机数据处理系统的管理人员和相关管理人员，使原有的会计内控主体范围扩大,责任延伸。 而信息化常常使业务流程和财务流程整合在软件系统中。系统和程序更可能受到来自信息技术人员不恰当的人为干预，使得系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况同时并存。此外，某些会计人员，特别是高级管理人员也可能篡改自动过入总分类账和财务报告系统的数据资料，给内部控制带来风险。3.4 环境复杂化风险 随着电子商务的发展传统和企业信息化进程的加快, 财务软件的网络功能扩展为：远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等。尤其是ERP理念及系统的运用,使得计算机、网络不再是工具,而是内控的对象,内控不仅仅是会计信息,而是整个企业的物流、资金流、信息流的集合。以上功能的实现必将促使会计内控的链条发散、延长,由此引起内控范围的扩大和复杂化。传统的手工会计