新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

摘要：在ERP環(huán)境下的企業(yè)信息系統(tǒng)，尤其是對與業(yè)務(wù)、財務(wù)相關(guān)的會計信息系統(tǒng)而言，除了使內(nèi)部控制的職能得以實現(xiàn)之外，還為企業(yè)帶來了新的問題和挑戰(zhàn)。具有《企業(yè)內(nèi)部控制基本規(guī)范》合規(guī)需求的上市公司，設(shè)計與所依賴的會計信息系統(tǒng)相關(guān)的內(nèi)部控制問題成為了重中之重。與會計信息系統(tǒng)管理與安全相關(guān)的內(nèi)部控制具體包括公司層面控制、一般控制以及應(yīng)用控制，本文從實務(wù)的角度對這三個方面內(nèi)部控制的設(shè)計分別進行探討。
關(guān)鍵詞：會計信息系統(tǒng) 內(nèi)部控制 設(shè)計


我國財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會五部委于2008年5月聯(lián)合發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，規(guī)定自2012年1月1日起，滬深兩市主板上市公司必須在一年內(nèi)完成企業(yè)內(nèi)部控制體系的建設(shè)和實施。在此之后又于2010年4月出臺了《企業(yè)內(nèi)部控制配套指引》，該配套指引涵蓋18項《企業(yè)內(nèi)部控制應(yīng)用指引》、《企業(yè)內(nèi)部控制評價指引》以及《企業(yè)內(nèi)部控制審計指引》。對于具有合規(guī)需求的2 000余家上市公司而言，雖然內(nèi)部控制實施的程度各不相同，但如何降低高昂的合規(guī)成本則成為了一個共同的難題。
　　一、設(shè)計會計信息系統(tǒng)內(nèi)部控制的必要性
　　國內(nèi)外以往的內(nèi)部控制實施經(jīng)驗顯示，內(nèi)部控制理念與會計信息系統(tǒng)的結(jié)合有助于解決合規(guī)成本高昂這一難題，得到了上市公司的廣泛采納?！镀髽I(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》也結(jié)合COSO框架和COBIT標準的要求，作出了相應(yīng)的規(guī)定。將企業(yè)會計信息化工作與業(yè)務(wù)活動相聯(lián)系，能夠使企業(yè)利用外部資源，結(jié)合自身優(yōu)勢，更快速、更高效地完成監(jiān)管機構(gòu)的內(nèi)部控制建設(shè)和實施要求，提高內(nèi)部控制管理的工作效率、節(jié)約成本；更重要的是能夠?qū)崿F(xiàn)內(nèi)部控制提供有助于決策的信息，輔助決策，提高企業(yè)經(jīng)營效率的更高層面的職能。然而，在ERP環(huán)境下的企業(yè)信息系統(tǒng)，尤其是對業(yè)務(wù)與財務(wù)相關(guān)的會計信息系統(tǒng)而言，除了使內(nèi)部控制的職能得以實現(xiàn)之外，也為企業(yè)帶來了新的問題和挑戰(zhàn)。因此，有合規(guī)需求的上市公司設(shè)計與所依賴的會計信息系統(tǒng)相關(guān)的內(nèi)部控制成為了亟待解決的問題。
　　二、會計信息系統(tǒng)公司層面控制的設(shè)計
　　COSO內(nèi)部控制框架認為，內(nèi)部控制系統(tǒng)由控制環(huán)境、風險評估、控制活動、信息與溝通及監(jiān)督構(gòu)成，取決于管理層經(jīng)營企業(yè)的方式，并融入管理過程本身。對會計信息系統(tǒng)公司層面的控制而言，應(yīng)分別對這五個要素進行內(nèi)部控制設(shè)計并實施。控制環(huán)境是所有其他組成要素的基礎(chǔ)，對信息系統(tǒng)具有關(guān)鍵的影響作用，在一定程度上決定著內(nèi)部控制的目標能否實現(xiàn)。需要注意不能使信息部門脫離其他部門而獨立存在，設(shè)計應(yīng)對由信息技術(shù)產(chǎn)生的新型風險等問題。風險評估作為控制活動的基礎(chǔ)，應(yīng)采取信息系統(tǒng)管理以及優(yōu)化流程等措施，使得公司管理層能夠識別、評估和應(yīng)對風險。控制活動是確保風險應(yīng)對計劃得以實施的方法和流程，包括授權(quán)、審批、核對、職責分離等內(nèi)容。信息與溝通是整個內(nèi)部控制系統(tǒng)中最為關(guān)鍵的環(huán)節(jié)，能夠滿足各方面提出的合理需求，同時便于職責的履行。監(jiān)控便于對內(nèi)部控制的設(shè)計和實施予以監(jiān)督并使問題能夠得到及時的解決，也使得運行結(jié)果能夠及時的檢驗。
　　三、會計信息系統(tǒng)一般控制的設(shè)計
　　由于各種應(yīng)用系統(tǒng)的IT一般控制具有共通性，所以會計信息系統(tǒng)一般控制的范圍主要涵蓋支持同一組IT一般控制的IT技術(shù)環(huán)境。例如涵蓋多應(yīng)用系統(tǒng)的變更管理控制、支持多種應(yīng)用系統(tǒng)的技術(shù)平臺以及支持多應(yīng)用系統(tǒng)并有相同IT一般控制的數(shù)據(jù)中心等。對于計劃依賴IT一般控制的應(yīng)用系統(tǒng)，應(yīng)對滿足各IT一般控制類別的目標的IT一般控制予以考慮。如果其他會計信息系統(tǒng)一般控制類別的失效可能對財務(wù)報表或披露事項產(chǎn)生影響，也應(yīng)將其納入考慮的范圍。一般控制的主要內(nèi)部控制程序包括變更管理控制、邏輯訪問控制及其他IT一般控制。
　?。ㄒ唬┳兏芾砜刂?br /> 　　針對變更管理內(nèi)部控制的設(shè)計而言，其目標為唯有經(jīng)過適當授權(quán)、測試與審批的變更，才能應(yīng)用于應(yīng)用系統(tǒng)、程序接口、數(shù)據(jù)庫與操作系統(tǒng)。
　　1.系統(tǒng)開發(fā)。如果發(fā)生大型的系統(tǒng)開發(fā)，并涉及系統(tǒng)外包開發(fā)，則應(yīng)執(zhí)行系統(tǒng)外包開發(fā)規(guī)程。具體包括：（1）項目立項階段，有關(guān)人員應(yīng)對項目的外包內(nèi)容進行確定，并通過競標的方式選擇適合的開發(fā)商。（2）項目開發(fā)過程中，外包小組應(yīng)對項目的進展、質(zhì)量進行監(jiān)督檢查，及時糾正偏差。（3）項目開發(fā)完成后，驗收人員審查承包商應(yīng)當交付的成果，例如代碼、文檔等，確保這些成果的完整性和正確性；對待交付的產(chǎn)品進行的測試，確保產(chǎn)品符合需求后，應(yīng)將檢查結(jié)果與測試結(jié)果記錄于外包開發(fā)成果驗收報告。
　　2.程序變更及補丁升級。應(yīng)建立系統(tǒng)外包開發(fā)、程序變更上線制度，規(guī)范程序變更及補丁升級的管理流程。具體包括：（1）需求部門提出系統(tǒng)變更需求，并將變更需求整理成系統(tǒng)變更申請表，由部門負責人審批后提交給系統(tǒng)管理員。（2）系統(tǒng)管理員負責接受需求并上報給信息部門主管進行需求分析并提出系統(tǒng)變更建議，信息技術(shù)部經(jīng)理根據(jù)變更建議對申請表進行審批。（3）系統(tǒng)根據(jù)自行開發(fā)、合作開發(fā)和外包開發(fā)的不同要求組織實現(xiàn)系統(tǒng)變更需求，應(yīng)將需求提交至內(nèi)部開發(fā)人員、合作開發(fā)商或外包開發(fā)商，編寫供發(fā)布的程序。（4）系統(tǒng)管理員組織業(yè)務(wù)部門的最終用戶對系統(tǒng)程序變更進行測試，并撰寫用戶測試報告，提交業(yè)務(wù)部門負責人和信息技術(shù)部主管領(lǐng)導(dǎo)簽字確認。（5）在系統(tǒng)變更完成后，應(yīng)由系統(tǒng)管理員和業(yè)務(wù)部門的最終用戶共同撰寫程序變更驗收報告，經(jīng)業(yè)務(wù)部門負責人簽字驗收后，報送信息部門經(jīng)理審批。補丁升級也適用于程序變更的內(nèi)部控制流程。
　　3.緊急變更。應(yīng)建立系統(tǒng)外包開發(fā)、程序變更上線制度，對緊急變更的管理流程予以規(guī)范。具體包括：（1）如果有緊急變更的需要，應(yīng)由需求部門通過電子郵件或傳真等書面形式提出申請，信息部門根據(jù)重要性和緊迫性做出判斷，確定優(yōu)先級和影響程度，并進行相應(yīng)處理。（2）緊急變更過程中應(yīng)使用專設(shè)的系統(tǒng)用戶賬號，由負責部門或人員啟動緊急變更程序。信息部門應(yīng)對緊急變更的處理進行規(guī)范的文檔記錄。（3）在緊急事件處理完成后，必須在一定時間內(nèi)補辦正式、完整的文檔。其中包括問題發(fā)現(xiàn)人填寫的緊急變更申請、問題發(fā)現(xiàn)人所在部門負責人對該申請的審批、需求部門或信息部門經(jīng)過確認的測試記錄。
　　4.數(shù)據(jù)修改。應(yīng)建立關(guān)鍵業(yè)務(wù)系統(tǒng)數(shù)據(jù)管理制度來規(guī)范后臺數(shù)據(jù)修改流程。后臺數(shù)據(jù)修改指信息部門指定的IT人員應(yīng)數(shù)據(jù)擁有部門要求，對公司信息系統(tǒng)中的數(shù)據(jù)在后臺數(shù)據(jù)庫中進行的修改。具體包括：（1）數(shù)據(jù)擁有部門提交數(shù)據(jù)導(dǎo)入/修改申請表，表中需要具體描述導(dǎo)入/修改的原因和內(nèi)容且需要數(shù)據(jù)擁有部門負責人審批。（2）數(shù)據(jù)庫超級用戶收到申請表后，應(yīng)再次與申請部門核對申請表的內(nèi)容，分析導(dǎo)入/修改可行性及后果并將分析結(jié)果提交IT系統(tǒng)主管審批。（3）如需測試，應(yīng)在測試環(huán)境下進行方案測試。系統(tǒng)管理員需在數(shù)據(jù)導(dǎo)入/修改之前對所影響的數(shù)據(jù)進行備份。（4）數(shù)據(jù)導(dǎo)入/修改操作完畢后，系統(tǒng)管理員通知申請人檢查數(shù)據(jù)導(dǎo)入/修改結(jié)果是否與需求一致。若符合要求，應(yīng)由申請人填寫驗收結(jié)論；否則應(yīng)由系統(tǒng)管理員重新檢查和修改數(shù)據(jù)導(dǎo)入方案，經(jīng)主管部門負責人審批后，進行下一步工作。
　　（二）邏輯存取
　　針對邏輯存取內(nèi)部控制的設(shè)計而言，其目標為只允許授權(quán)人員訪問數(shù)據(jù)和應(yīng)用程序，并且這些人員只能執(zhí)行明確授權(quán)的功能。具體包括：（1）系統(tǒng)安全設(shè)置和密碼設(shè)置。應(yīng)建立信息系統(tǒng)賬號管理制度對用戶賬號密碼管理進行規(guī)范。（2）特權(quán)用戶賬號管理。應(yīng)將應(yīng)用系統(tǒng)層面、操作系統(tǒng)層面和數(shù)據(jù)庫層面的超級賬號分配給不同使用者并基于工作職責進行分工。（3）關(guān)鍵系統(tǒng)資源和工具安全。只有特定賬號擁有系統(tǒng)文件的訪問權(quán)限。（4）用戶賬號的管理。應(yīng)制定信息系統(tǒng)用戶賬號管理制度對用戶賬號管理進行規(guī)范，其中包括用戶賬號的創(chuàng)建、修改和刪除以及賬號的定期審閱。（5）用戶訪問控制。應(yīng)制定信息系統(tǒng)用戶賬號管理制度，對用戶賬號管理進行規(guī)范，特別是對于特權(quán)賬號和超級用戶賬號管理規(guī)定，應(yīng)由信息部門定期查看系統(tǒng)日志，監(jiān)督特權(quán)賬號和超級用戶賬號使用情況，并填寫系統(tǒng)日志審閱表。（6）物理安全。應(yīng)建立機房管理制度來規(guī)范機房的日常管理。
　　需要注意的是，一方面，未能規(guī)范的特權(quán)用戶賬號定期審閱管理，將難以保證會計信息系統(tǒng)中擁有較高權(quán)限的賬號是在經(jīng)過審批和授權(quán)的情況下被使用。另一方面，主要應(yīng)用系統(tǒng)的安全性及其數(shù)據(jù)庫中財務(wù)及業(yè)務(wù)數(shù)據(jù)的完整性和可靠性，均在很大程度上依賴于對用戶賬號及權(quán)限的管理。如果未能定期對用戶賬號的使用情況和權(quán)限進行審閱，未能及時對崗位變化的員工的權(quán)限進行調(diào)整，不及時刪除或鎖定離職員工的賬號，或者出現(xiàn)一人同時擁有多個賬號的情況，便有可能出現(xiàn)對財務(wù)及業(yè)務(wù)數(shù)據(jù)進行非法修改，甚至刪除的操作。
　?。ㄈ┢渌鸌T一般控制
　　針對其他IT一般控制的設(shè)計而言，其具體目標為有關(guān)財務(wù)信息的系統(tǒng)數(shù)據(jù)應(yīng)進行備份，以在系統(tǒng)發(fā)生故障或數(shù)據(jù)完整性遭到破壞時能夠準確而完整地恢復(fù)數(shù)據(jù)。批處理程序均按計劃執(zhí)行，任何與計劃執(zhí)行結(jié)果的偏差都應(yīng)被及時識別并解決。會計信息系統(tǒng)運行中發(fā)生的問題或事件應(yīng)被及時識別、解決、復(fù)核與分析。其他IT一般控制的設(shè)計主要針對相關(guān)控制失效可能對財務(wù)報表與披露事項產(chǎn)生影響的情況下。
　　需要注意的是，關(guān)鍵業(yè)務(wù)及財務(wù)系統(tǒng)數(shù)據(jù)對于公司業(yè)務(wù)運行而言至關(guān)重要。如果未能對數(shù)據(jù)備份狀態(tài)的檢查結(jié)果進行記錄，將難以保證數(shù)據(jù)備份結(jié)果的監(jiān)督被有效的執(zhí)行，也無法保證發(fā)生備份失敗的情況時，失敗的備份操作被及時的匯報與跟進。
　?。ㄋ模┞氊煼蛛x
　　職責分離是內(nèi)部控制設(shè)計和實施時的一個不容忽視的問題。對于變更管理中的職責分離，應(yīng)規(guī)定進行程序升級或變更的執(zhí)行人員，不能進行審批、將程序移植進出生產(chǎn)環(huán)境以及程序升級和變更相關(guān)的監(jiān)督工作；負責程序升級和變更相關(guān)的監(jiān)督控制人員，不能負責審批程序升級和變更，也不能負責程序升級和變更的實施工作以及將程序移植進出生產(chǎn)環(huán)境。對于應(yīng)用層面的超級用戶和相關(guān)的系統(tǒng)平臺管理員的職責分離，應(yīng)規(guī)定不能由同一員工擁有信息系統(tǒng)應(yīng)用層面、操作系統(tǒng)、數(shù)據(jù)庫三個層面中兩個或兩個以上的超級用戶權(quán)限；需對系統(tǒng)管理員等特權(quán)用戶的操作進行必要的監(jiān)督，否則將增加未經(jīng)授權(quán)而對信息系統(tǒng)進行訪問或修改的可能性，對信息系統(tǒng)和數(shù)據(jù)庫的整體安全性構(gòu)成威脅。
　　四、會計信息系統(tǒng)應(yīng)用控制的設(shè)計
　　會計信息系統(tǒng)應(yīng)用控制指利用會計信息系統(tǒng)對業(yè)務(wù)處理實施的控制。與會計信息系統(tǒng)一般控制不同的是，應(yīng)用控制與具體的業(yè)務(wù)相聯(lián)系，對不同應(yīng)用系統(tǒng)而言其相應(yīng)的應(yīng)用控制有可能不一致。在此以某上市公司會計信息系統(tǒng)為例，對具體的應(yīng)用控制的設(shè)計進行探討。
　　例如，在會計信息系統(tǒng)的財務(wù)模塊中，采購環(huán)節(jié)系統(tǒng)配置供應(yīng)商主數(shù)據(jù)的統(tǒng)馭科目為必輸項，以保證客戶明細賬數(shù)據(jù)自動過賬到總賬；在物料管理模塊，在系統(tǒng)中進行收貨入庫操作后，系統(tǒng)根據(jù)收貨入庫信息自動準確生成會計憑證，借記“原材料”科目，貸記“應(yīng)付賬款”以及“材料采購差異”科目；執(zhí)行發(fā)票校驗時，不可人工修改采購訂單、供應(yīng)商及物料等基本信息等。在財務(wù)模塊中，銷售環(huán)節(jié)系統(tǒng)配置客戶主數(shù)據(jù)的統(tǒng)馭科目為必輸項，以保證客戶明細賬數(shù)據(jù)自動過賬到總賬；在銷售與分銷模塊中，在系統(tǒng)中發(fā)貨出庫后確認后，系統(tǒng)根據(jù)收貨出庫信息自動準確生成會計憑證，借記“發(fā)出商品”科目，貸記“庫存商品”科目；在系統(tǒng)中出具系統(tǒng)發(fā)票后，系統(tǒng)自動生成確認收入的會計憑證，借記“應(yīng)收賬款”科目，貸記“主營業(yè)務(wù)收入”及“應(yīng)交稅費”科目，同時自動生成結(jié)轉(zhuǎn)成本的會計憑證，借記“主營業(yè)務(wù)成本”科目，貸記“發(fā)出商品”科目；在財務(wù)模塊中，在系統(tǒng)中針對同一個外向交貨單，不能重復(fù)開據(jù)系統(tǒng)發(fā)票等。X



參考文獻：
　　1.安廣實，陶蕓輝.IT審計風險成因及其防范對策思考［J］.中國鄉(xiāng)鎮(zhèn)企業(yè)會計，2012，（8）.
　　2.杰普·布勒姆.SOX環(huán)境下的信息技術(shù)治理［M］.大連：東北財經(jīng)大學出版社，2008.
　　3.林斌，覃東，吳炎太.信息技術(shù)內(nèi)部控制操作指引與典型案例研究［M］.大連：大連出版社，2010.