張　清　范蔚文

一、會計信息系統(tǒng)內(nèi)部控制建設(shè)對中國聯(lián)通的意義

中國聯(lián)通作為在上海、香港和美國三地上市的公司，根據(jù)薩班斯法案要求從2006年開始要嚴(yán)格遵循《索克斯法案》規(guī)定。公司管理層要披露與財務(wù)報告相關(guān)的內(nèi)控評價報告；外部審計師要對管理層披露發(fā)表驗(yàn)證報告，并對公司內(nèi)控的有效性發(fā)表獨(dú)立評價報告。這些評價結(jié)果直接影響到公司在資本市場的形象和價值，甚至影響到消費(fèi)者對公司的認(rèn)可程度。同時，公司的持續(xù)健康發(fā)展，也迫切需要建立起一整套科學(xué)、有效的內(nèi)部管理機(jī)制。

會計信息系統(tǒng)內(nèi)控是公司整體內(nèi)控的重要組成部分，是通過薩班斯法案404條款外部審計必不可少的重要內(nèi)容。會計信息系統(tǒng)就是用計算機(jī)信息技術(shù)代替了人工記賬、算賬、報賬，以及替代部分由人工完成的對會計信息的分析和判斷的過程。會計報表的完整性極大地依賴于系統(tǒng)中傳輸?shù)男畔⒌耐暾?、?zhǔn)確性和及時性。另外，財務(wù)報表認(rèn)定的自動控制直接取決于相關(guān)應(yīng)用程序以及為應(yīng)用程序提供支持的信息技術(shù)基礎(chǔ)設(shè)施的穩(wěn)定和正常運(yùn)行。因此，公司應(yīng)當(dāng)加強(qiáng)會計信息系統(tǒng)工作，并對其工作流程進(jìn)行有效控制。本文結(jié)合中國聯(lián)通依據(jù)法案的要求構(gòu)建會計信息系統(tǒng)內(nèi)控，并保證其持續(xù)健全有效，以確保財務(wù)信息真實(shí)性，從而支持CEO和CFO的承諾進(jìn)行初步探討。

二、中國聯(lián)通的會計信息系統(tǒng)的內(nèi)部控制主要內(nèi)容

1、前期工作

基于內(nèi)外部發(fā)展形勢的需要，自2004年開始，中國聯(lián)通就按照美國COSO框架的要求開始完善公司內(nèi)控制度，圍繞經(jīng)營的效益及效率性、財務(wù)信息真實(shí)性和法律法規(guī)遵循性目標(biāo)，全面實(shí)施內(nèi)控建設(shè)，切實(shí)防范和控制經(jīng)營風(fēng)險。

為實(shí)施會計信息系統(tǒng)內(nèi)部控制建設(shè)，公司首先對會計政策、業(yè)務(wù)流程進(jìn)行全面梳理，制定了統(tǒng)一的會計政策、會計制度、會計文檔，實(shí)現(xiàn)會計信息系統(tǒng)的統(tǒng)一升級，同時對報表生成、報送軟件也通過系統(tǒng)建設(shè)實(shí)現(xiàn)統(tǒng)一規(guī)范，并最終形成統(tǒng)一的會計信息系統(tǒng)內(nèi)控規(guī)范。

2、明確職責(zé)分工

公司明確規(guī)定信息化部門是系統(tǒng)的維護(hù)建設(shè)歸口管理部門，財務(wù)部門是用戶部門，在保證系統(tǒng)正常安全運(yùn)行過程中各自承擔(dān)的職責(zé)。會計信息系統(tǒng)崗位一般包括：系統(tǒng)所有者、系統(tǒng)開發(fā)/變更審批人、程序開發(fā)/變更人員、程序驗(yàn)收/上線/割接人員、安全管理員、應(yīng)用系統(tǒng)管理員、數(shù)據(jù)庫管理員/操作系統(tǒng)管理員、最終用戶。按照信息系統(tǒng)總體控制規(guī)范職責(zé)分工管理標(biāo)準(zhǔn)落實(shí)不相容崗位職責(zé)，具體如下表所示：

信息系統(tǒng)總體控制規(guī)范職責(zé)分工管理標(biāo)準(zhǔn)

×表明此兩個職責(zé)如果由同一個人執(zhí)行，就會有潛在風(fēng)險存在。

3、會計信息系統(tǒng)訪問安全控制

對會計信息系統(tǒng)操作權(quán)限和操作規(guī)范、信息使用、信息管理進(jìn)行明確規(guī)定，建立賬號審批制度，形成分工牽制的控制形式，如出納人員不得兼任電算化系統(tǒng)管理員，不得兼任記賬憑證的審核和數(shù)據(jù)錄入制單工作；數(shù)據(jù)錄入員（財務(wù)制單），不得進(jìn)行復(fù)核操作等。

對于發(fā)生崗位變化或離崗的用戶，及時調(diào)整其在系統(tǒng)中的訪問權(quán)限。財務(wù)負(fù)責(zé)人或經(jīng)授權(quán)的人員需定期對系統(tǒng)中的賬號進(jìn)行審閱，避免有授權(quán)不當(dāng)或冗余賬號存在。利用系統(tǒng)自身提供的安全性能，設(shè)置安全參數(shù)，以加強(qiáng)系統(tǒng)訪問安全。定期檢測系統(tǒng)運(yùn)行情況，及時進(jìn)行計算機(jī)病毒的預(yù)防檢查工作。按照信息安全管理規(guī)范中數(shù)據(jù)密級分類標(biāo)準(zhǔn)對數(shù)據(jù)密級進(jìn)行分類設(shè)定，明確涉密崗位人員名單。要求操作人員在權(quán)限范圍內(nèi)進(jìn)行操作，不得利用他人的口令和密碼進(jìn)入系統(tǒng)。更換操作人員或密碼泄密后，須及時更改密碼，每3個月必須對密碼進(jìn)行更換。操作人員離開工作現(xiàn)場，必須退出已運(yùn)行的程序，防止其他人員越權(quán)操作。

4、硬件管理

會計信息系統(tǒng)硬件設(shè)備統(tǒng)一放置在信息化部機(jī)房管理，指定專人負(fù)責(zé)管理和檢查，其他任何人未經(jīng)授權(quán)不得接觸系統(tǒng)硬件設(shè)備。硬件設(shè)備的更新、擴(kuò)充、修復(fù)等工作需由相關(guān)人員提出申請，報上級主管負(fù)責(zé)人審批。未經(jīng)允許，不得擅自拆裝硬件設(shè)備。

5、會計信息系統(tǒng)開發(fā)、變更和維護(hù)控制

公司指定信息化部門對會計信息系統(tǒng)實(shí)施歸口管理，負(fù)責(zé)系統(tǒng)開發(fā)、變更、運(yùn)行、維護(hù)等工作。開發(fā)系統(tǒng)時考慮業(yè)務(wù)和信息的集成性，優(yōu)化流程，將相應(yīng)的處理規(guī)則嵌入到系統(tǒng)程序中，以預(yù)防、檢查、糾正錯誤和舞弊行為，確保會計信息系統(tǒng)數(shù)據(jù)的真實(shí)性、合規(guī)性。倡導(dǎo)全體財務(wù)人員積極參與系統(tǒng)建設(shè)，正確理解和使用系統(tǒng)，提高系統(tǒng)運(yùn)作效率。

對涉及新舊會計信息系統(tǒng)切換的情形，在上線計劃中明確系統(tǒng)回退計劃，保證新系統(tǒng)一旦失效，能夠順利回退到原來的系統(tǒng)狀態(tài)；如涉及數(shù)據(jù)遷移，需制定詳細(xì)的遷移計劃，財務(wù)部門積極參與數(shù)據(jù)遷移過程，對數(shù)據(jù)遷移結(jié)果進(jìn)行測試并簽署測試報告。系統(tǒng)在投入使用前應(yīng)至少完成整體測試和用戶驗(yàn)收測試，以確保系統(tǒng)的正常運(yùn)轉(zhuǎn)。上線后發(fā)生的系統(tǒng)源代碼等方面的變更，應(yīng)參照系統(tǒng)開發(fā)的審批和上線程序執(zhí)行。對正在使用的會計信息系統(tǒng)進(jìn)行修改、升級和對硬件進(jìn)行更換時，需通過書面審批流程，并采取替代性措施確保會計數(shù)據(jù)的連續(xù)性。

6、會計信息系統(tǒng)的會計檔案管理

會計信息系統(tǒng)的會計檔案主要是存儲在計算機(jī)硬盤或其他磁性介質(zhì)或光盤存儲和打印出來的書面等形式的會計數(shù)據(jù)，包括記賬憑證、會計賬簿、會計報表等數(shù)據(jù)。公司指定專人負(fù)責(zé)電算化會計檔案的管理，做好防消磁、防火、防潮和防塵等工作；建立數(shù)據(jù)信息定期備份制度和數(shù)據(jù)批處理或?qū)崟r處理的處理前自動備份制度（交易日志）。對磁性介質(zhì)存放的數(shù)據(jù)進(jìn)行雙備份，在遠(yuǎn)離計算機(jī)設(shè)備和操作的地方保存一套備份和交易日志。

三、會計信息系統(tǒng)內(nèi)部控制持續(xù)有效的保障機(jī)制

要滿足薩班斯法案要求，實(shí)現(xiàn)長效機(jī)制，在做好會計信息系統(tǒng)內(nèi)部控制建設(shè)的同時，還必須落實(shí)好后續(xù)的維護(hù)保障機(jī)制，這樣才能真正構(gòu)建一套系統(tǒng)化、標(biāo)準(zhǔn)化、可審計、可持續(xù)改進(jìn)的會計信息系統(tǒng)內(nèi)部控制體系。

1、建立良好的內(nèi)部控制環(huán)境

建立反舞弊機(jī)制和加強(qiáng)職業(yè)道德行為規(guī)范教育，防止個人與公司經(jīng)濟(jì)利益沖突，防止不正確業(yè)績觀驅(qū)使虛假報告。提高全體員工的風(fēng)險識別和控制能力，建立和維護(hù)安全可靠的財務(wù)信息系統(tǒng)控制，培養(yǎng)和考核員工自覺履行內(nèi)控職責(zé)的工作勝任能力。

2、建立風(fēng)險評估機(jī)制

設(shè)立風(fēng)險評估組織（委員會）和日常管理機(jī)構(gòu)，定期（中期、年度）組織對現(xiàn)有風(fēng)險管理狀況進(jìn)行評估，分析其剩余風(fēng)險、控制缺陷既預(yù)見的未來風(fēng)險揭示將有哪些風(fēng)險，根據(jù)評估揭示的風(fēng)險，針對不同風(fēng)險分別設(shè)計出相關(guān)控制措施和可接受的風(fēng)險控制目標(biāo)，組織制度的完善和按設(shè)計的控制措施監(jiān)督實(shí)施。

3、建立良好的信息溝通環(huán)境

在廣泛的范圍內(nèi)進(jìn)行有效的溝通，包括自上而下、機(jī)構(gòu)內(nèi)部及自上而下的溝通。管理層必須清楚的告知所有員工他們必須嚴(yán)格執(zhí)行的各自內(nèi)控職責(zé)。員工必須理解他們在內(nèi)控系統(tǒng)中的職責(zé)以及他們自身的活動與其他人的工作之間的互動關(guān)系，并使得員工能夠各行其責(zé)。

4、加強(qiáng)會計信息系統(tǒng)內(nèi)控的內(nèi)部審計監(jiān)督

內(nèi)部審計既是公司內(nèi)部控制系統(tǒng)的重要組成部分，也是強(qiáng)化內(nèi)控監(jiān)督的制度安排。根據(jù)薩班斯法案相關(guān)的條款要求有足夠的證據(jù)證明內(nèi)部控制的有效性，通過內(nèi)部審計檢查企業(yè)是否有完善的內(nèi)部控制流程及審計軌跡，在控制發(fā)揮作用的同時是否形成相應(yīng)的文檔記錄（如財務(wù)系統(tǒng)賬號申請審批表、系統(tǒng)帳號權(quán)限檢查表等）。通過對會計資料定期進(jìn)行內(nèi)部審計，審查會計信息系統(tǒng)賬務(wù)處理是否正確，是否遵照《會計法》及有關(guān)法律、法規(guī)的規(guī)定，審核費(fèi)用簽字是否符合有關(guān)內(nèi)控制度，憑證附件是否規(guī)范完整等；審查電子數(shù)據(jù)與書面資料的一致性，對不妥或錯誤的賬表處理應(yīng)及時調(diào)整并有書面記錄；監(jiān)督數(shù)據(jù)保存方式的安全、合法性，防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象；對系統(tǒng)運(yùn)行各環(huán)節(jié)進(jìn)行審查，防止存在漏洞。

五、結(jié)束語

隨著中國企業(yè)會計準(zhǔn)則及內(nèi)部控制規(guī)范的國際趨同，建立完備的符合國際標(biāo)準(zhǔn)的內(nèi)部控制將是國內(nèi)廣大企業(yè)適應(yīng)現(xiàn)代企業(yè)制度建設(shè)和經(jīng)濟(jì)全球化對會計工作的新要求，同時也是企業(yè)面對市場風(fēng)險與挑戰(zhàn)，自身從根本上確保持續(xù)、穩(wěn)定、健康發(fā)展的需求。作為企業(yè)整體內(nèi)部控制的重要組成部分，會計信息系統(tǒng)內(nèi)部控制將隨著會計信息系統(tǒng)的廣泛應(yīng)用，在保障廣大企業(yè)經(jīng)營的效益及效率性、財務(wù)信息真實(shí)性和法律法規(guī)遵循性方面發(fā)揮有效的作用。

（作者單位：南昌大學(xué)MBA中心、南昌大學(xué)信工學(xué)院）