薩班斯法案下公司會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制

張　清　范蔚文

一、會(huì)計(jì)信息系統(tǒng)內(nèi)部控制建設(shè)對(duì)中國(guó)聯(lián)通的意義

中國(guó)聯(lián)通作為在上海、香港和美國(guó)三地上市的公司，根據(jù)薩班斯法案要求從2006年開(kāi)始要嚴(yán)格遵循《索克斯法案》規(guī)定。公司管理層要披露與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)控評(píng)價(jià)報(bào)告；外部審計(jì)師要對(duì)管理層披露發(fā)表驗(yàn)證報(bào)告，并對(duì)公司內(nèi)控的有效性發(fā)表獨(dú)立評(píng)價(jià)報(bào)告。這些評(píng)價(jià)結(jié)果直接影響到公司在資本市場(chǎng)的形象和價(jià)值，甚至影響到消費(fèi)者對(duì)公司的認(rèn)可程度。同時(shí)，公司的持續(xù)健康發(fā)展，也迫切需要建立起一整套科學(xué)、有效的內(nèi)部管理機(jī)制。

會(huì)計(jì)信息系統(tǒng)內(nèi)控是公司整體內(nèi)控的重要組成部分，是通過(guò)薩班斯法案404條款外部審計(jì)必不可少的重要內(nèi)容。會(huì)計(jì)信息系統(tǒng)就是用計(jì)算機(jī)信息技術(shù)代替了人工記賬、算賬、報(bào)賬，以及替代部分由人工完成的對(duì)會(huì)計(jì)信息的分析和判斷的過(guò)程。會(huì)計(jì)報(bào)表的完整性極大地依賴于系統(tǒng)中傳輸?shù)男畔⒌耐暾?、?zhǔn)確性和及時(shí)性。另外，財(cái)務(wù)報(bào)表認(rèn)定的自動(dòng)控制直接取決于相關(guān)應(yīng)用程序以及為應(yīng)用程序提供支持的信息技術(shù)基礎(chǔ)設(shè)施的穩(wěn)定和正常運(yùn)行。因此，公司應(yīng)當(dāng)加強(qiáng)會(huì)計(jì)信息系統(tǒng)工作，并對(duì)其工作流程進(jìn)行有效控制。本文結(jié)合中國(guó)聯(lián)通依據(jù)法案的要求構(gòu)建會(huì)計(jì)信息系統(tǒng)內(nèi)控，并保證其持續(xù)健全有效，以確保財(cái)務(wù)信息真實(shí)性，從而支持CEO和CFO的承諾進(jìn)行初步探討。

二、中國(guó)聯(lián)通的會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制主要內(nèi)容

1、前期工作

基于內(nèi)外部發(fā)展形勢(shì)的需要，自2004年開(kāi)始，中國(guó)聯(lián)通就按照美國(guó)COSO框架的要求開(kāi)始完善公司內(nèi)控制度，圍繞經(jīng)營(yíng)的效益及效率性、財(cái)務(wù)信息真實(shí)性和法律法規(guī)遵循性目標(biāo)，全面實(shí)施內(nèi)控建設(shè)，切實(shí)防范和控制經(jīng)營(yíng)風(fēng)險(xiǎn)。

為實(shí)施會(huì)計(jì)信息系統(tǒng)內(nèi)部控制建設(shè)，公司首先對(duì)會(huì)計(jì)政策、業(yè)務(wù)流程進(jìn)行全面梳理，制定了統(tǒng)一的會(huì)計(jì)政策、會(huì)計(jì)制度、會(huì)計(jì)文檔，實(shí)現(xiàn)會(huì)計(jì)信息系統(tǒng)的統(tǒng)一升級(jí)，同時(shí)對(duì)報(bào)表生成、報(bào)送軟件也通過(guò)系統(tǒng)建設(shè)實(shí)現(xiàn)統(tǒng)一規(guī)范，并最終形成統(tǒng)一的會(huì)計(jì)信息系統(tǒng)內(nèi)控規(guī)范。

2、明確職責(zé)分工

公司明確規(guī)定信息化部門是系統(tǒng)的維護(hù)建設(shè)歸口管理部門，財(cái)務(wù)部門是用戶部門，在保證系統(tǒng)正常安全運(yùn)行過(guò)程中各自承擔(dān)的職責(zé)。會(huì)計(jì)信息系統(tǒng)崗位一般包括：系統(tǒng)所有者、系統(tǒng)開(kāi)發(fā)/變更審批人、程序開(kāi)發(fā)/變更人員、程序驗(yàn)收/上線/割接人員、安全管理員、應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫(kù)管理員/操作系統(tǒng)管理員、最終用戶。按照信息系統(tǒng)總體控制規(guī)范職責(zé)分工管理標(biāo)準(zhǔn)落實(shí)不相容崗位職責(zé)，具體如下表所示：

信息系統(tǒng)總體控制規(guī)范職責(zé)分工管理標(biāo)準(zhǔn)

×表明此兩個(gè)職責(zé)如果由同一個(gè)人執(zhí)行，就會(huì)有潛在風(fēng)險(xiǎn)存在。

3、會(huì)計(jì)信息系統(tǒng)訪問(wèn)安全控制

對(duì)會(huì)計(jì)信息系統(tǒng)操作權(quán)限和操作規(guī)范、信息使用、信息管理進(jìn)行明確規(guī)定，建立賬號(hào)審批制度，形成分工牽制的控制形式，如出納人員不得兼任電算化系統(tǒng)管理員，不得兼任記賬憑證的審核和數(shù)據(jù)錄入制單工作；數(shù)據(jù)錄入員（財(cái)務(wù)制單），不得進(jìn)行復(fù)核操作等。

對(duì)于發(fā)生崗位變化或離崗的用戶，及時(shí)調(diào)整其在系統(tǒng)中的訪問(wèn)權(quán)限。財(cái)務(wù)負(fù)責(zé)人或經(jīng)授權(quán)的人員需定期對(duì)系統(tǒng)中的賬號(hào)進(jìn)行審閱，避免有授權(quán)不當(dāng)或冗余賬號(hào)存在。利用系統(tǒng)自身提供的安全性能，設(shè)置安全參數(shù)，以加強(qiáng)系統(tǒng)訪問(wèn)安全。定期檢測(cè)系統(tǒng)運(yùn)行情況，及時(shí)進(jìn)行計(jì)算機(jī)病毒的預(yù)防檢查工作。按照信息安全管理規(guī)范中數(shù)據(jù)密級(jí)分類標(biāo)準(zhǔn)對(duì)數(shù)據(jù)密級(jí)進(jìn)行分類設(shè)定，明確涉密崗位人員名單。要求操作人員在權(quán)限范圍內(nèi)進(jìn)行操作，不得利用他人的口令和密碼進(jìn)入系統(tǒng)。更換操作人員或密碼泄密后，須及時(shí)更改密碼，每3個(gè)月必須對(duì)密碼進(jìn)行更換。操作人員離開(kāi)工作現(xiàn)場(chǎng)，必須退出已運(yùn)行的程序，防止其他人員越權(quán)操作。

4、硬件管理

會(huì)計(jì)信息系統(tǒng)硬件設(shè)備統(tǒng)一放置在信息化部機(jī)房管理，指定專人負(fù)責(zé)管理和檢查，其他任何人未經(jīng)授權(quán)不得接觸系統(tǒng)硬件設(shè)備。硬件設(shè)備的更新、擴(kuò)充、修復(fù)等工作需由相關(guān)人員提出申請(qǐng)，報(bào)上級(jí)主管負(fù)責(zé)人審批。未經(jīng)允許，不得擅自拆裝硬件設(shè)備。

5、會(huì)計(jì)信息系統(tǒng)開(kāi)發(fā)、變更和維護(hù)控制

公司指定信息化部門對(duì)會(huì)計(jì)信息系統(tǒng)實(shí)施歸口管理，負(fù)責(zé)系統(tǒng)開(kāi)發(fā)、變更、運(yùn)行、維護(hù)等工作。開(kāi)發(fā)系統(tǒng)時(shí)考慮業(yè)務(wù)和信息的集成性，優(yōu)化流程，將相應(yīng)的處理規(guī)則嵌入到系統(tǒng)程序中，以預(yù)防、檢查、糾正錯(cuò)誤和舞弊行為，確保會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)的真實(shí)性、合規(guī)性。倡導(dǎo)全體財(cái)務(wù)人員積極參與系統(tǒng)建設(shè)，正確理解和使用系統(tǒng)，提高系統(tǒng)運(yùn)作效率。

對(duì)涉及新舊會(huì)計(jì)信息系統(tǒng)切換的情形，在上線計(jì)劃中明確系統(tǒng)回退計(jì)劃，保證新系統(tǒng)一旦失效，能夠順利回退到原來(lái)的系統(tǒng)狀態(tài)；如涉及數(shù)據(jù)遷移，需制定詳細(xì)的遷移計(jì)劃，財(cái)務(wù)部門積極參與數(shù)據(jù)遷移過(guò)程，對(duì)數(shù)據(jù)遷移結(jié)果進(jìn)行測(cè)試并簽署測(cè)試報(bào)告。系統(tǒng)在投入使用前應(yīng)至少完成整體測(cè)試和用戶驗(yàn)收測(cè)試，以確保系統(tǒng)的正常運(yùn)轉(zhuǎn)。上線后發(fā)生的系統(tǒng)源代碼等方面的變更，應(yīng)參照系統(tǒng)開(kāi)發(fā)的審批和上線程序執(zhí)行。對(duì)正在使用的會(huì)計(jì)信息系統(tǒng)進(jìn)行修改、升級(jí)和對(duì)硬件進(jìn)行更換時(shí)，需通過(guò)書(shū)面審批流程，并采取替代性措施確保會(huì)計(jì)數(shù)據(jù)的連續(xù)性。

6、會(huì)計(jì)信息系統(tǒng)的會(huì)計(jì)檔案管理

會(huì)計(jì)信息系統(tǒng)的會(huì)計(jì)檔案主要是存儲(chǔ)在計(jì)算機(jī)硬盤或其他磁性介質(zhì)或光盤存儲(chǔ)和打印出來(lái)的書(shū)面等形式的會(huì)計(jì)數(shù)據(jù)，包括記賬憑證、會(huì)計(jì)賬簿、會(huì)計(jì)報(bào)表等數(shù)據(jù)。公司指定專人負(fù)責(zé)電算化會(huì)計(jì)檔案的管理，做好防消磁、防火、防潮和防塵等工作；建立數(shù)據(jù)信息定期備份制度和數(shù)據(jù)批處理或?qū)崟r(shí)處理的處理前自動(dòng)備份制度（交易日志）。對(duì)磁性介質(zhì)存放的數(shù)據(jù)進(jìn)行雙備份，在遠(yuǎn)離計(jì)算機(jī)設(shè)備和操作的地方保存一套備份和交易日志。

三、會(huì)計(jì)信息系統(tǒng)內(nèi)部控制持續(xù)有效的保障機(jī)制

要滿足薩班斯法案要求，實(shí)現(xiàn)長(zhǎng)效機(jī)制，在做好會(huì)計(jì)信息系統(tǒng)內(nèi)部控制建設(shè)的同時(shí)，還必須落實(shí)好后續(xù)的維護(hù)保障機(jī)制，這樣才能真正構(gòu)建一套系統(tǒng)化、標(biāo)準(zhǔn)化、可審計(jì)、可持續(xù)改進(jìn)的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制體系。

1、建立良好的內(nèi)部控制環(huán)境

建立反舞弊機(jī)制和加強(qiáng)職業(yè)道德行為規(guī)范教育，防止個(gè)人與公司經(jīng)濟(jì)利益沖突，防止不正確業(yè)績(jī)觀驅(qū)使虛假報(bào)告。提高全體員工的風(fēng)險(xiǎn)識(shí)別和控制能力，建立和維護(hù)安全可靠的財(cái)務(wù)信息系統(tǒng)控制，培養(yǎng)和考核員工自覺(jué)履行內(nèi)控職責(zé)的工作勝任能力。

2、建立風(fēng)險(xiǎn)評(píng)估機(jī)制

設(shè)立風(fēng)險(xiǎn)評(píng)估組織（委員會(huì)）和日常管理機(jī)構(gòu)，定期（中期、年度）組織對(duì)現(xiàn)有風(fēng)險(xiǎn)管理狀況進(jìn)行評(píng)估，分析其剩余風(fēng)險(xiǎn)、控制缺陷既預(yù)見(jiàn)的未來(lái)風(fēng)險(xiǎn)揭示將有哪些風(fēng)險(xiǎn)，根據(jù)評(píng)估揭示的風(fēng)險(xiǎn)，針對(duì)不同風(fēng)險(xiǎn)分別設(shè)計(jì)出相關(guān)控制措施和可接受的風(fēng)險(xiǎn)控制目標(biāo)，組織制度的完善和按設(shè)計(jì)的控制措施監(jiān)督實(shí)施。

3、建立良好的信息溝通環(huán)境

在廣泛的范圍內(nèi)進(jìn)行有效的溝通，包括自上而下、機(jī)構(gòu)內(nèi)部及自上而下的溝通。管理層必須清楚的告知所有員工他們必須嚴(yán)格執(zhí)行的各自內(nèi)控職責(zé)。員工必須理解他們?cè)趦?nèi)控系統(tǒng)中的職責(zé)以及他們自身的活動(dòng)與其他人的工作之間的互動(dòng)關(guān)系，并使得員工能夠各行其責(zé)。

4、加強(qiáng)會(huì)計(jì)信息系統(tǒng)內(nèi)控的內(nèi)部審計(jì)監(jiān)督

內(nèi)部審計(jì)既是公司內(nèi)部控制系統(tǒng)的重要組成部分，也是強(qiáng)化內(nèi)控監(jiān)督的制度安排。根據(jù)薩班斯法案相關(guān)的條款要求有足夠的證據(jù)證明內(nèi)部控制的有效性，通過(guò)內(nèi)部審計(jì)檢查企業(yè)是否有完善的內(nèi)部控制流程及審計(jì)軌跡，在控制發(fā)揮作用的同時(shí)是否形成相應(yīng)的文檔記錄（如財(cái)務(wù)系統(tǒng)賬號(hào)申請(qǐng)審批表、系統(tǒng)帳號(hào)權(quán)限檢查表等）。通過(guò)對(duì)會(huì)計(jì)資料定期進(jìn)行內(nèi)部審計(jì)，審查會(huì)計(jì)信息系統(tǒng)賬務(wù)處理是否正確，是否遵照《會(huì)計(jì)法》及有關(guān)法律、法規(guī)的規(guī)定，審核費(fèi)用簽字是否符合有關(guān)內(nèi)控制度，憑證附件是否規(guī)范完整等；審查電子數(shù)據(jù)與書(shū)面資料的一致性，對(duì)不妥或錯(cuò)誤的賬表處理應(yīng)及時(shí)調(diào)整并有書(shū)面記錄；監(jiān)督數(shù)據(jù)保存方式的安全、合法性，防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象；對(duì)系統(tǒng)運(yùn)行各環(huán)節(jié)進(jìn)行審查，防止存在漏洞。

五、結(jié)束語(yǔ)

隨著中國(guó)企業(yè)會(huì)計(jì)準(zhǔn)則及內(nèi)部控制規(guī)范的國(guó)際趨同，建立完備的符合國(guó)際標(biāo)準(zhǔn)的內(nèi)部控制將是國(guó)內(nèi)廣大企業(yè)適應(yīng)現(xiàn)代企業(yè)制度建設(shè)和經(jīng)濟(jì)全球化對(duì)會(huì)計(jì)工作的新要求，同時(shí)也是企業(yè)面對(duì)市場(chǎng)風(fēng)險(xiǎn)與挑戰(zhàn)，自身從根本上確保持續(xù)、穩(wěn)定、健康發(fā)展的需求。作為企業(yè)整體內(nèi)部控制的重要組成部分，會(huì)計(jì)信息系統(tǒng)內(nèi)部控制將隨著會(huì)計(jì)信息系統(tǒng)的廣泛應(yīng)用，在保障廣大企業(yè)經(jīng)營(yíng)的效益及效率性、財(cái)務(wù)信息真實(shí)性和法律法規(guī)遵循性方面發(fā)揮有效的作用。

（作者單位：南昌大學(xué)MBA中心、南昌大學(xué)信工學(xué)院）