IT環(huán)境下內(nèi)部控制的機(jī)遇和挑戰(zhàn)

湯 巖,陳慶海

(集美大學(xué) 工商管理學(xué)院，福建 廈門 361021)

IT環(huán)境下內(nèi)部控制的機(jī)遇和挑戰(zhàn)

湯 巖,陳慶海

(集美大學(xué) 工商管理學(xué)院，福建 廈門 361021)

IT環(huán)境對內(nèi)部控制的變革既帶來了機(jī)遇，也帶來了挑戰(zhàn)。這些挑戰(zhàn)主要存在于輸入口控制、技術(shù)端防范和內(nèi)部控制頂層規(guī)范等方面，相應(yīng)的解決策略也應(yīng)從這三個(gè)方面入手。雖然IT環(huán)境下內(nèi)部控制還存在很多問題，但I(xiàn)T環(huán)境的沖擊是促進(jìn)內(nèi)部控制理論成熟和發(fā)展的良好契機(jī)。

IT環(huán)境；內(nèi)部控制；COSO報(bào)告

IT環(huán)境的應(yīng)用是一個(gè)不可逆轉(zhuǎn)的趨勢，它雖然對傳統(tǒng)的內(nèi)部控制理論和實(shí)踐提出了挑戰(zhàn)，但也給內(nèi)部控制理論的成熟和發(fā)展提供了非常好的契機(jī)。正如陳志斌指出的那樣，“信息化生態(tài)環(huán)境是知識經(jīng)濟(jì)社會(huì)企業(yè)所共處的生態(tài)環(huán)境，如何完善信息化生態(tài)環(huán)境中企業(yè)內(nèi)控機(jī)制應(yīng)是內(nèi)部控制研究和法規(guī)建設(shè)在新時(shí)期的重要使命”[1]。

一、 IT環(huán)境給內(nèi)部控制帶來的機(jī)遇

傳統(tǒng)的內(nèi)部控制數(shù)據(jù)缺少共享，特別是財(cái)務(wù)數(shù)據(jù)和業(yè)務(wù)數(shù)據(jù)的分離，容易造成財(cái)務(wù)人員的誤判，如對于價(jià)格嚴(yán)重失真的材料采購發(fā)票，財(cái)務(wù)人員只能從財(cái)務(wù)的角度(如相應(yīng)的單據(jù)是否齊全，有無相關(guān)領(lǐng)導(dǎo)簽字，簽字有無仿造和篡改的痕跡等)判斷單據(jù)是否可以入賬，由于沒有業(yè)務(wù)環(huán)境的數(shù)據(jù)支持，所以財(cái)務(wù)人員很難了解各種材料不斷變化的價(jià)格，盡管會(huì)有疑問，往往也是簡單詢問后就按發(fā)票付款和入賬。網(wǎng)絡(luò)環(huán)境出現(xiàn)后，很多企業(yè)通過ERP實(shí)現(xiàn)了財(cái)務(wù)和業(yè)務(wù)一體化，通過SCM實(shí)現(xiàn)了上下游廠商的信息實(shí)時(shí)溝通，這樣各種數(shù)據(jù)就可以實(shí)時(shí)順暢地反饋到財(cái)務(wù)人員那里，使以上問題得到解決。作為ERP 軟件的頂級廠商，SAP公司的mysAP ERP軟件充分發(fā)揮了財(cái)務(wù)業(yè)務(wù)一體化對內(nèi)部控制的作用，它的功能模塊幾乎涵蓋了管理業(yè)務(wù)的各個(gè)方面，財(cái)務(wù)模塊和業(yè)務(wù)模塊之間高度集成和關(guān)聯(lián)，數(shù)據(jù)可以實(shí)現(xiàn)自動(dòng)實(shí)時(shí)更新，從而避免了無效和垃圾數(shù)據(jù)的干擾，如 “物料發(fā)票接收”事件可自動(dòng)觸發(fā)供應(yīng)商賬戶余額、費(fèi)用或成本賬戶及相應(yīng)成本中心的數(shù)據(jù)實(shí)時(shí)更新。

二、 IT環(huán)境給內(nèi)部控制帶來的挑戰(zhàn)

(一)會(huì)計(jì)崗位合并帶來的潛在風(fēng)險(xiǎn)

傳統(tǒng)的會(huì)計(jì)內(nèi)部控制的主要思想就是不相容業(yè)務(wù)職責(zé)分離，傳統(tǒng)經(jīng)濟(jì)業(yè)務(wù)從發(fā)生到完成所經(jīng)歷的每一個(gè)環(huán)節(jié)都是由相應(yīng)治理權(quán)限的人員簽章后，方可辦理。這種相互制約和相互監(jiān)督的內(nèi)部控制方式雖然效率不高，手續(xù)煩瑣，數(shù)據(jù)冗余重復(fù)，但可有效地防止作弊。

然而，在網(wǎng)絡(luò)會(huì)計(jì)中，由于計(jì)算機(jī)代替了大量的人工勞動(dòng)，企業(yè)無須那么多會(huì)計(jì)人員，企業(yè)出于成本考慮，對會(huì)計(jì)崗位進(jìn)行合并，從而造成一些傳統(tǒng)的制衡手段流于形式，這就大大增加了內(nèi)部控制的風(fēng)險(xiǎn)。

(二)會(huì)計(jì)信息易于被竊取、偽造和篡改

在傳統(tǒng)的會(huì)計(jì)系統(tǒng)中，原始憑證是以紙張為載體的，多聯(lián)復(fù)寫具有相互牽制性。原始憑證上的筆跡具有可辨認(rèn)性，很難非法修改。但在網(wǎng)絡(luò)會(huì)計(jì)中，各種單據(jù)都以電子形式存在，這種電子數(shù)據(jù)通過各種手段被篡改或偽造時(shí)，一般不留任何痕跡，很難被發(fā)現(xiàn)，這給內(nèi)部控制帶來了新的難題。網(wǎng)絡(luò)環(huán)境的開放性，也大大增加了黑客竊取、篡改和偽造數(shù)據(jù)的可能性。

三、 應(yīng)對風(fēng)險(xiǎn)的措施

IT是把雙刃劍，它在給我們帶來便利的同時(shí)，也帶來了風(fēng)險(xiǎn)。針對其風(fēng)險(xiǎn)，應(yīng)結(jié)合IT自身的特點(diǎn)予以解決。

(一)從輸入口端防范風(fēng)險(xiǎn)

以網(wǎng)絡(luò)為代表的IT環(huán)境改變了手工會(huì)計(jì)的流程。計(jì)算機(jī)憑借其高效的運(yùn)算和復(fù)制速度、高速的數(shù)據(jù)傳輸能力、基于既定規(guī)則的邏輯判斷能力，改變了手工會(huì)計(jì)的流程，緩解了使用者的勞動(dòng)強(qiáng)度。我們在享受計(jì)算機(jī)帶來的便捷時(shí)，也要認(rèn)識到計(jì)算機(jī)其實(shí)是沒有智力的，對于錯(cuò)誤的數(shù)據(jù)輸入很難有較好的判斷，充其量也就是停留在數(shù)據(jù)的完整性和基本邏輯判斷上。所謂“垃圾進(jìn)垃圾出”，就是指對垃圾數(shù)據(jù)處理得再完美，得到的還是垃圾信息。因此，對輸入端的控制至關(guān)重要。當(dāng)數(shù)據(jù)進(jìn)入輸入端后，都交由計(jì)算機(jī)進(jìn)行處理，如果不是惡意的攻擊和篡改，一般而言，如處理程序沒有問題，數(shù)據(jù)的安全性和準(zhǔn)確性是可以得到保障的。

為了保證輸入端數(shù)據(jù)的正確性，一方面要從會(huì)計(jì)制度上進(jìn)行管理，即單據(jù)錄入人員和審核人員的權(quán)限職責(zé)要分開，不能由同一人擔(dān)任；另一方面要利用計(jì)算機(jī)的邏輯判斷能力，通過網(wǎng)絡(luò)數(shù)據(jù)共享，在豐富數(shù)據(jù)的支持下，通過計(jì)算機(jī)程序?qū)﹀e(cuò)誤的單據(jù)進(jìn)行判斷和提示。程序化控制體現(xiàn)了實(shí)時(shí)控制的思想，閻達(dá)五、張瑞君充分肯定了這種思想。他們認(rèn)為，會(huì)計(jì)實(shí)時(shí)控制觀是體現(xiàn)信息時(shí)代特征的一種新的控制觀，它不僅僅是會(huì)計(jì)控制內(nèi)涵和外延的擴(kuò)充，而且是對傳統(tǒng)控制觀的發(fā)展和創(chuàng)新。[2]在實(shí)踐方面，比較著名的例子就是福特公司采用實(shí)時(shí)控制的思想，成功高效地實(shí)現(xiàn)了對采購、付款過程中的風(fēng)險(xiǎn)進(jìn)行控制。我國的聯(lián)想公司在員工報(bào)銷流程中也成功應(yīng)用了這種實(shí)時(shí)控制的思想。

這種思想的實(shí)現(xiàn)是以數(shù)據(jù)的集成和共享為前提的。很難想象，沒有業(yè)務(wù)數(shù)據(jù)的支持，實(shí)時(shí)控制的思想能得以實(shí)現(xiàn)?！镀髽I(yè)內(nèi)部控制基本規(guī)范》明確指出集成的業(yè)務(wù)數(shù)據(jù)支持在內(nèi)部控制中的重要性，其第七條規(guī)定：“企業(yè)應(yīng)當(dāng)運(yùn)用信息技術(shù)加強(qiáng)內(nèi)部控制，建立與經(jīng)營管理相適應(yīng)的信息系統(tǒng)，促進(jìn)內(nèi)部控制流程與信息系統(tǒng)的有機(jī)結(jié)合，實(shí)現(xiàn)對業(yè)務(wù)和事項(xiàng)的自動(dòng)控制，減少或消除人為操縱因素。”[3]第四十一條規(guī)定：“企業(yè)應(yīng)當(dāng)利用信息技術(shù)促進(jìn)信息的集成與共享，充分發(fā)揮信息技術(shù)在信息與溝通中的作用?！盵3]目前，國產(chǎn)軟件在這方面還存在不足。以用友軟件為例，許多模塊在數(shù)據(jù)的集成和共享上存在欠缺，內(nèi)部控制流程無法與業(yè)務(wù)流程和會(huì)計(jì)處理流程集成在統(tǒng)一的軟件平臺上。另外，用友軟件的設(shè)計(jì)思想以面向核算功能為主導(dǎo)，注重核算模塊的功能實(shí)現(xiàn)。用戶根據(jù)需要購買模塊，即使一些用戶購買所有的模塊，但使用較少的模塊也很難保證較好的數(shù)據(jù)維護(hù)，這就導(dǎo)致系統(tǒng)中的數(shù)據(jù)不能很好地集成，造成流程的中斷和傳遞數(shù)據(jù)的滯后，部分內(nèi)部控制難以實(shí)施，企業(yè)經(jīng)常不得不采用手工方式進(jìn)行內(nèi)部控制，而前面提及的mysAP ERP軟件財(cái)務(wù)業(yè)務(wù)一體化的高度集成則使實(shí)時(shí)控制的思想得到了很好的貫徹，正如霍蘭德提出的那樣，“如果高度集成的系統(tǒng)結(jié)構(gòu)適當(dāng)，并且內(nèi)置正確的控制，其風(fēng)險(xiǎn)性可能更低”[4]。

(二) 從技術(shù)端防范內(nèi)部控制風(fēng)險(xiǎn)

1． 權(quán)限的管理和控制

傳統(tǒng)的不相容職責(zé)分離是內(nèi)部控制的基本原則，這在IT環(huán)境下同樣適用。在操作中，應(yīng)規(guī)定每個(gè)用戶的安全等級和身份驗(yàn)證的方式，明確每個(gè)操作人員的具體權(quán)限，如對數(shù)據(jù)庫的查閱、修改、增加、刪除等操作權(quán)限。各個(gè)崗位之間互相監(jiān)督和牽制，并對授權(quán)的權(quán)限嚴(yán)格管理，確保不會(huì)出現(xiàn)權(quán)責(zé)不清的情況。為了更好地對操作人員的操作進(jìn)行管理，應(yīng)實(shí)時(shí)監(jiān)控和記錄運(yùn)行系統(tǒng)的用戶身份、操作時(shí)點(diǎn)，其操作和數(shù)據(jù)也被同步記錄在鏡像數(shù)據(jù)庫中。當(dāng)出現(xiàn)系統(tǒng)故障、錯(cuò)誤操作、人為破壞和非法訪問時(shí)，可以回滾(Rollback)為之前的狀態(tài)，同時(shí)也可根據(jù)日志記錄，追究相關(guān)人員的責(zé)任。一般的大型數(shù)據(jù)庫從技術(shù)上均可以支持這種回滾功能和日志功能。

2． 網(wǎng)絡(luò)方面的管理和控制

一方面，由于企業(yè)的數(shù)據(jù)庫和外網(wǎng)連接，所以在網(wǎng)絡(luò)接口處設(shè)置防火墻至關(guān)重要。一般可以安裝應(yīng)用網(wǎng)關(guān)防火墻，它具有包過濾防火墻和代理服務(wù)器防火墻兩方面的優(yōu)點(diǎn)，可以防止外部的非法訪問和內(nèi)部的非法攻擊。另外，實(shí)時(shí)的殺毒軟件監(jiān)控也是保證數(shù)據(jù)安全所必備的。另一方面，網(wǎng)絡(luò)帶來的數(shù)據(jù)高速傳送突破了時(shí)空的限制，但也使數(shù)據(jù)在傳輸途中存在泄密的風(fēng)險(xiǎn)，而多層加密技術(shù)和數(shù)據(jù)簽名技術(shù)可以防范這種網(wǎng)絡(luò)時(shí)代常見的風(fēng)險(xiǎn)。

(三)加強(qiáng)內(nèi)部控制的頂層框架設(shè)計(jì)

除了實(shí)踐中探索之外，頂層的框架設(shè)計(jì)更加重要。國外的COSO、COSO-ERM、CobiT雖然都對IT予以關(guān)注，但一般都是僅說明了“IT應(yīng)該做到什么”，較少涉及具體操作。我國借鑒了COSO報(bào)告的五要素框架，在2008年發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》。該規(guī)范在形式上借鑒了COSO報(bào)告五要素框架，在內(nèi)容上體現(xiàn)了風(fēng)險(xiǎn)管理八要素框架的實(shí)質(zhì)?！镀髽I(yè)內(nèi)部控制基本規(guī)范》在風(fēng)險(xiǎn)評估、控制活動(dòng)、信息與溝通三個(gè)部分都對IT有所涉及，但該規(guī)范仍是一個(gè)高度抽象的概念框架，多是原則性的表述。因此，實(shí)踐上的探索是完善頂層框架設(shè)計(jì)所必需的，它有助于提高規(guī)范的可操作性，使理論思想得到驗(yàn)證，而規(guī)范的框架設(shè)計(jì)可以促使內(nèi)部控制在實(shí)踐上更嚴(yán)密和科學(xué)，兩者應(yīng)相互促進(jìn)，相互配合。

[1]陳志斌.信息化生態(tài)環(huán)境下企業(yè)內(nèi)部控制框架研究[J].會(huì)計(jì)研究，2007(1)：30-33.

[2]閻達(dá)五，張瑞君.會(huì)計(jì)控制新論——會(huì)計(jì)實(shí)時(shí)控制研究[J].會(huì)計(jì)研究，2003(4)：3-5.

[3]樊行健，肖光紅.關(guān)于企業(yè)內(nèi)部控制的本質(zhì)與概念的理論反思[J].會(huì)計(jì)研究，2014(2)：4-11，94.

[4]陶黎娟.IT環(huán)境下我國財(cái)務(wù)報(bào)告內(nèi)部控制研究[D].廈門：廈門大學(xué)，2009.

Abstract:IT environment brings about opportunities as well as challenges for changes of internal control. These challenges mainly lie in the input port control, technical side guard and the top-level specification of internal control and so on, the corresponding solutions should be put forward from these three aspects. Although there are still a lot of problems of internal control under the IT environment, we should realize that the impact of the IT environment brings about very good opportunities to promote the internal control theory.

Key words:IT environment；internal control; COSO report

Opportunity and Challenge of Internal Control Under IT Environment

TANG Yan， CHEN Qinghai

(SchoolofBusinessandManagementofJimeiUniversity，Xiamen361000，China)

2015-09-08

福建省社會(huì)科學(xué)規(guī)劃項(xiàng)目(2014B089)，集美大學(xué)博士啟動(dòng)基金(C611007)

湯 巖(1974-)，男，江蘇淮安人，集美大學(xué)工商管理學(xué)院副教授，博士，研究方向?yàn)闀?huì)計(jì)信息系統(tǒng)和計(jì)算機(jī)財(cái)務(wù)管理。

F275

A

1674-3318(2015)04-0022-02