浅析IT环境下会计内部控制改革思路与实施.docVIP

浅析IT环境下会计内部控制改革思路与实施 　　摘要：随着计算机和现代信息技术在会计中的广泛应用，会计系统处理结果的正确性更多地依赖于内部控制制度的完善。信息环境对会计信息系统的内部控制要求更加严格，控制的范围也更为广泛。为了确保信息环境下会计内部控制的有效实施，本文从IT的视角及对传统的控制观点进行改革，并从人、机两方面入手，初步探讨了程序化及制度化的内部控制的实施手段。 　　关键词：内部控制；信息环境；SOX-404；CIO 　　中图分类号：F232　文献标识码：A　文章编号：1005-0892(2008)04-0117-03 　　 　　计算机的出现和使用对传统会计和审计来说不啻于一场革命。它改变了会计控制的性质，改变了会计信息存放、传输及加工处理的技术基础。随着会计信息系统在企业中发展的日趋成熟，控制环境发生变化，内部控制也呈现出新的特征。 　　 　　一、从IT的视角更新控制观点 　　 　　尽管会计首先大量使用计算机，使会计处理自动化，但会计师们在开发IT的应用能力方面却落在了后面。会计师和审计师的控制观点没有考虑IT对业务运行、对规则的符合程度和信息过程相关的风险的影响，已经对帮助企业识别和控制业务过程的风险感到力不从心。因此，我们需要建立起一种新的控制观念，让IT有效地集成到业务和信息过程中，把保护企业和促进企业有机结合起来。 　　 　　1　扩大控制的范围强调第三方监督。传统上会计师和审计师常常采用标准驱动的观点，这在独立外部审计中更为明显。大部分审计活动和审计标准主要在年末检查财务错误和舞弊。审计师对财务报表的公允性及其是否符合会计原则进行检查时，只关注发表审计意见所必要的控制。但事实上，大部分针对业务操作和规章遵守情况的控制与财务报表的独立审计并没有关系。因此，在建立内部控制制度时，会计师们应该打破这种独立的、反映的和检查性的模式，以一种复杂的、积极的业务观点来帮助设计和实现业务的规则，在更广泛的环境中来看待业务，强调预防、业务操作和对规章的遵守情况。COBIT模型对企业实践具有重要指导意义，它增强了IT控制在企业日常运营过程中的可操作性。然而企业的控制漏洞依然存在，上市公司财务丑闻始终不断，原因究竟何在?笔者认为，独立第三方监督的缺失是企业内部控制屡屡失败的根源。企业IT控制的有效实施同样需要一个统一的衡量标准，且该标准的制定方必须保持中立。显然作为IT控制的实施者和受益者――企业以及企业IT控制的重要参与者――会计师事务所等咨询公司都不应该成为标准的制定方。事实表明，完全独立于企业经济利益的政府及其相关部门是执行企业内部控制(包括IT控制)监督职能的最佳人选。在这方面可以借鉴由美国政府出台SOX法案，其中SOX-404、SOX-302法案的苛刻内控要求隐含了对企业IT控制的控制要求。其制定的SOX-404影响深远而广泛，是衡量企业IT控制是否有效的事实标准。IT控制是企业管理信息化下内部控制的新构成，SOX-404在对企业内部控制提出要求的同时，必然对其IT控制做出相应的要求，且企业有效的IT控制是其内部控制体系的整体有效实施并通过SOX-404测试的前提基于IT控制和企业整体内部控制的关系。针对SOX-404的控制需求，作者认为要实效的IT控制，就要首先理解公司的总体SOX合规计划，然后制定一项有关IT控制的计划，并做到IT控制计划与公司总体SOX合规计划的合理集成。 　　2　特定控制程序新析。通常情况下，职责分离是传统内部控制的一个重要组成部分。在传统职责分离中，控制程序将下列责任分派给不同的人，将活动划分为一定的结构：(1)交易授权；(2)在会计记录中记录交易；(3)维护和保管资产。实施这种程序是为了防止雇员在正常工作中发生错误和舞弊并将其隐藏。在手工环境下，分离这些职责(保管、记录和授权)是非常有用的。但IT应用的介入使有些情形发生了改变。如，传统的职责分离概念是让执行业务事件的人记录所有的相关的业务事件数据。而现在很可能几个部门同时由一个人在执行业务事件时实时地记录一个业务事件数据。自动控制处理代替了分离的人的角色，消除了一个人执行两项不相容活动的风险。在IT环境下，信息技术取代了人的作用，其监控能力更强。职责分离仍然是形成内部控制观点的重要概念。但它的适用方式发生了变化。这时，我们需要分离新的职责(保管、授权、操纵数据和信息)，以反映用来设计和运行系统的手段的更新。 　　 　　3　强调预防。一般来说，内部控制制度是预防、检测和纠正风险的程序的集合。由于审计本身的性质，审计师一般主要关注检查性控制。审计的主要目的是对前一段时间的财务报表的公允性发表意见。而审计的这种思想也影响了会计。许多会计系统并没有与业务过程的执行相结合。因此，当数据最后到达会计系统时，及时预防甚至检查