在現(xiàn)代信息技術(shù)出現(xiàn)的早期，已有許多人意識(shí)到信息技術(shù)將對(duì)會(huì)計(jì)行業(yè)產(chǎn)生深刻的影響。畢馬威會(huì)計(jì)公司的合伙人鮑勃埃利奧特的論著，開篇就是“IT正在改變一切”。在信息技術(shù)環(huán)境下，會(huì)計(jì)的內(nèi)部控制發(fā)生了很大的變化。

一、計(jì)算機(jī)應(yīng)用對(duì)內(nèi)部控制的影響

1.內(nèi)部控制重點(diǎn)發(fā)生變化。在傳統(tǒng)的手工會(huì)計(jì)系統(tǒng)中，企業(yè)會(huì)計(jì)內(nèi)部控制的對(duì)象是處理會(huì)計(jì)業(yè)務(wù)的財(cái)務(wù)人員，內(nèi)部控制的重點(diǎn)就在人員之間的相互牽制上。計(jì)算機(jī)應(yīng)用后，會(huì)計(jì)數(shù)據(jù)一般都集中由計(jì)算機(jī)數(shù)據(jù)處理部門進(jìn)行處理，而財(cái)務(wù)部門人員往往只負(fù)責(zé)原始數(shù)據(jù)的收集、審核和編碼，并對(duì)計(jì)算機(jī)輸出的各種會(huì)計(jì)報(bào)表進(jìn)行分析。這使得內(nèi)部控制的重點(diǎn)由對(duì)人的控制轉(zhuǎn)變?yōu)閷?duì)人和計(jì)算機(jī)的控制。

2.內(nèi)部控制的方式發(fā)生變化。如原來(lái)手工下的編制科目匯總表、憑證匯總表等試算平衡的檢查，總賬、明細(xì)賬的核對(duì)，在應(yīng)用計(jì)算機(jī)后就不會(huì)發(fā)生失誤，就沒有了存在的必要性。而憑證的借貸關(guān)系校驗(yàn)、余額、發(fā)生額平衡的檢查等相應(yīng)地轉(zhuǎn)移到計(jì)算機(jī)系統(tǒng)內(nèi)，由財(cái)務(wù)軟件來(lái)實(shí)現(xiàn)。內(nèi)部控制由手工會(huì)計(jì)系統(tǒng)下的單一人工控制轉(zhuǎn)變?yōu)槿斯た刂坪统绦蚩刂啤?/p>

3.存儲(chǔ)介質(zhì)的變化。在手工會(huì)計(jì)環(huán)境下，原始憑證、記賬憑證、會(huì)計(jì)賬簿和會(huì)計(jì)報(bào)表，其法律效用是被廣泛承認(rèn)的，一旦出現(xiàn)錯(cuò)誤進(jìn)行修改時(shí)，都會(huì)留有修改的痕跡。但計(jì)算機(jī)應(yīng)用以后，原來(lái)紙質(zhì)的會(huì)計(jì)數(shù)據(jù)被直接記錄到磁盤或光盤等磁介質(zhì)上，不易實(shí)現(xiàn)簽字、蓋章，而且很容易被刪除或篡改。另外，電磁介質(zhì)易受損壞，會(huì)計(jì)信息也存在丟失或毀壞的危險(xiǎn)。

4.交易授權(quán)的變化。手工環(huán)境下，在內(nèi)部控制制度中明確規(guī)定某項(xiàng)交易的授權(quán)；而信息技術(shù)環(huán)境下，對(duì)交易的授權(quán)在系統(tǒng)設(shè)計(jì)或初始化時(shí)就已完成，管理者難以適時(shí)評(píng)價(jià)授權(quán)是否符合當(dāng)前目標(biāo)，控制的失效只能在較大的失誤發(fā)生后才能被察覺，所以管理者對(duì)交易授權(quán)的關(guān)注應(yīng)轉(zhuǎn)移到對(duì)相關(guān)計(jì)算機(jī)程序的正確性和可靠性測(cè)試上來(lái)。

5.財(cái)務(wù)網(wǎng)絡(luò)化帶來(lái)新的問(wèn)題。網(wǎng)絡(luò)技術(shù)無(wú)疑是目前IT發(fā)展的方向，會(huì)計(jì)信息系統(tǒng)也不可避免受到其深遠(yuǎn)的影響，特別是Internet在財(cái)務(wù)軟件中的應(yīng)用對(duì)會(huì)計(jì)信息系統(tǒng)的影響將是革命性的。目前財(cái)務(wù)軟件的網(wǎng)絡(luò)功能主要包括遠(yuǎn)程報(bào)賬、遠(yuǎn)程報(bào)表、遠(yuǎn)程審計(jì)、網(wǎng)上支付、網(wǎng)上催賬、網(wǎng)上報(bào)稅、網(wǎng)上采購(gòu)、網(wǎng)上銷售、網(wǎng)上銀行等，實(shí)現(xiàn)這些功能就必須有相應(yīng)的控制，從而為會(huì)計(jì)信息系統(tǒng)內(nèi)部控制帶來(lái)新問(wèn)題。

二、加強(qiáng)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制方法

會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制是指企業(yè)為了保證會(huì)計(jì)信息系統(tǒng)的效率、安全性和完整一致性而采取的控制措施，包括一系列控制制度和控制技術(shù)。

1．加強(qiáng)環(huán)境控制。（1）加強(qiáng)組織控制。組織控制的目的主要是減少信息部門的錯(cuò)誤及舞弊行為發(fā)生的可能性。企業(yè)應(yīng)當(dāng)建立會(huì)計(jì)信息系統(tǒng)崗位責(zé)任制。計(jì)算機(jī)信息系統(tǒng)崗位一般應(yīng)包括系統(tǒng)分析、編程、計(jì)算機(jī)操作、數(shù)據(jù)庫(kù)管理、信息系統(tǒng)庫(kù)管理、數(shù)據(jù)控制和終端等。而且所有由會(huì)計(jì)信息系統(tǒng)處理的業(yè)務(wù)都應(yīng)經(jīng)過(guò)授權(quán)管理，不是由會(huì)計(jì)信息系統(tǒng)生成的業(yè)務(wù)，都要在計(jì)算機(jī)處理之前通過(guò)審核與批準(zhǔn)。重大事項(xiàng)必須經(jīng)由董事會(huì)或類似的決策、治理機(jī)構(gòu)審批通過(guò)后，方可實(shí)施。

（2）加強(qiáng)信息系統(tǒng)開發(fā)、變更與維護(hù)控制。企業(yè)應(yīng)當(dāng)成立項(xiàng)目管理小組，負(fù)責(zé)信息系統(tǒng)的開發(fā)，對(duì)項(xiàng)目整個(gè)過(guò)程實(shí)施監(jiān)控。制定詳細(xì)的信息系統(tǒng)上線計(jì)劃，應(yīng)在系統(tǒng)轉(zhuǎn)換之際做好各項(xiàng)轉(zhuǎn)換的準(zhǔn)備工作，如舊系統(tǒng)的結(jié)算、匯總；人員的重新配置；新系統(tǒng)初始數(shù)據(jù)的安全導(dǎo)入等。而且還應(yīng)明確系統(tǒng)回退計(jì)劃，保證新系統(tǒng)一旦失效，能夠順利回退到原來(lái)的系統(tǒng)狀態(tài)。系統(tǒng)在運(yùn)行過(guò)程中，企業(yè)應(yīng)及時(shí)對(duì)信息系統(tǒng)進(jìn)行維護(hù)，使得信息系統(tǒng)隨時(shí)能滿足其發(fā)展要求。

（3）加強(qiáng)信息系統(tǒng)訪問(wèn)安全控制。會(huì)計(jì)信息系統(tǒng)是一個(gè)開放的系統(tǒng)，系統(tǒng)內(nèi)部和系統(tǒng)外部都可能存在威脅。企業(yè)應(yīng)當(dāng)對(duì)信息系統(tǒng)操作人員的上機(jī)、密碼和使用權(quán)限進(jìn)行嚴(yán)格規(guī)范，建立相應(yīng)的操作管理制度。未經(jīng)上機(jī)培訓(xùn)的人員不得作為操作人員。而信息系統(tǒng)操作人員不得擅自進(jìn)行系統(tǒng)軟件的刪除、拷貝、修改等操作，不得擅自升級(jí)、改變系統(tǒng)軟件版本或更換系統(tǒng)軟件，不得擅自改變軟件系統(tǒng)環(huán)境配置，應(yīng)當(dāng)在權(quán)限范圍內(nèi)進(jìn)行操作，不得利用他人的口令和密碼進(jìn)入軟件系統(tǒng)。操作員口令和操作日志應(yīng)采用密碼的形式存儲(chǔ)，并只能允許系統(tǒng)管理員隨時(shí)和定期打印輸出。操作人員如果離開工作現(xiàn)場(chǎng)，必須在離開前鎖定或退出已經(jīng)運(yùn)行的程序，防止其他人員越權(quán)操作或散發(fā)不當(dāng)信息。如果企業(yè)更換操作人員或密碼泄密后，必須及時(shí)更改密碼。企業(yè)應(yīng)當(dāng)建立數(shù)據(jù)信息定期備份制度和數(shù)據(jù)批處理或?qū)崟r(shí)處理的處理前自動(dòng)備份制度（交易日志），在遠(yuǎn)離計(jì)算機(jī)設(shè)備和操作的地方至少應(yīng)當(dāng)保存一套備份和交易日志，以備丟失或損壞時(shí)重建。

在IT環(huán)境下，要有效地實(shí)現(xiàn)企業(yè)內(nèi)部控制的目標(biāo)，必須對(duì)企業(yè)內(nèi)聯(lián)網(wǎng)以外的系統(tǒng)空間進(jìn)行控制。企業(yè)可以建立網(wǎng)絡(luò)防火墻；設(shè)置外部訪問(wèn)區(qū)域，防止“黑客”及非法入侵；建立周邊監(jiān)控系統(tǒng)。針對(duì)大眾訪問(wèn)（如文件傳遞、電子郵件、網(wǎng)上會(huì)計(jì)信息查詢等），企業(yè)主要是在系統(tǒng)的外部訪問(wèn)區(qū)域內(nèi)采取防護(hù)控制措施。例如在網(wǎng)絡(luò)會(huì)計(jì)系統(tǒng)中設(shè)置多重口令，對(duì)用戶的登錄名和口令的合法性進(jìn)行檢查；對(duì)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)監(jiān)視、跟蹤與審計(jì)，找出并解決威脅網(wǎng)絡(luò)安全的問(wèn)題。在系統(tǒng)的運(yùn)行與維護(hù)過(guò)程中尤其要重視計(jì)算機(jī)病毒的防范及相應(yīng)的技術(shù)手段與措施。企業(yè)應(yīng)當(dāng)定期檢測(cè)信息系統(tǒng)運(yùn)行情況，及時(shí)進(jìn)行計(jì)算機(jī)病毒的預(yù)防、檢查工作，禁止用戶私自安裝非法軟件和卸載企業(yè)要求安裝的防病毒軟件。一經(jīng)發(fā)現(xiàn)潛在危險(xiǎn)，應(yīng)當(dāng)及時(shí)通知操作人員隔離受病毒侵襲的系統(tǒng)部分，盡快處理。如有必要，可以暫時(shí)終止系統(tǒng)運(yùn)行。

（4）加強(qiáng)硬件控制。會(huì)計(jì)信息系統(tǒng)投入使用后，應(yīng)加強(qiáng)硬件的控制。企業(yè)應(yīng)當(dāng)將計(jì)算機(jī)硬件設(shè)備放置在合適的物理環(huán)境中，由專人負(fù)責(zé)管理和檢查，其他任何人未經(jīng)授權(quán)不得接觸計(jì)算機(jī)信息系統(tǒng)硬件設(shè)備。

2．加強(qiáng)應(yīng)用控制。應(yīng)用控制和具體的應(yīng)用系統(tǒng)有關(guān)，是為確保數(shù)據(jù)處理完整、正確而實(shí)施的控制，涉及到各種類型的業(yè)務(wù)。

（1）加強(qiáng)輸入控制。美國(guó)學(xué)者阿蘭的一項(xiàng)研究表明，在156項(xiàng)計(jì)算機(jī)犯罪案例中，有108項(xiàng)案例涉及罪犯對(duì)輸入業(yè)務(wù)的非法改動(dòng)。由此可見，輸入控制是應(yīng)用控制中最為關(guān)鍵的環(huán)節(jié)。

輸入控制就是要保證輸入會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)的有效可靠。常用的控制方法包括：建立科目名稱與代碼對(duì)照文件，以防止會(huì)計(jì)科目輸錯(cuò)；設(shè)計(jì)科目代碼校驗(yàn)，以保證會(huì)計(jì)科目代碼輸入的正確性；設(shè)立對(duì)應(yīng)關(guān)系參照文件，用來(lái)判斷對(duì)應(yīng)賬戶是否發(fā)生錯(cuò)誤；試算平衡控制，對(duì)每筆分錄和借貸方進(jìn)行平衡校驗(yàn)，防止輸入金額出錯(cuò)；順序檢查法，防止憑證編號(hào)重復(fù)；二次輸入法，將數(shù)據(jù)先后兩次輸入或同時(shí)由兩個(gè)人分別輸入，由程序?qū)纱屋斎脒M(jìn)行一一核對(duì)，凡不一致的則拒絕接受并強(qiáng)制修改等。

（2）加強(qiáng)處理控制。處理控制的主要目的是保證數(shù)據(jù)計(jì)算的準(zhǔn)確性、數(shù)據(jù)傳輸?shù)暮戏ㄐ砸约氨ＷC會(huì)計(jì)處理流程的正確性和有效性。這種控制往往是通過(guò)預(yù)先編好的計(jì)算機(jī)程序?qū)崿F(xiàn)的。最常見的數(shù)據(jù)處理控制有勾稽關(guān)系控制、文件標(biāo)簽控制、數(shù)據(jù)合理性控制、修改權(quán)限與修改痕跡控制以及防錯(cuò)、糾錯(cuò)控制等。

（3）加強(qiáng)輸出控制。輸出數(shù)據(jù)控制一般應(yīng)設(shè)立專人（審核員）審核所有輸出資料，檢查輸出數(shù)據(jù)是否與輸入數(shù)據(jù)相一致，輸出數(shù)據(jù)是否完整，輸出結(jié)果是否正確；應(yīng)設(shè)置輸出權(quán)限，信息系統(tǒng)的輸出可以用寫入存儲(chǔ)器輸出、屏幕顯示輸出或打印輸出，任何一種輸出方式都要設(shè)立相應(yīng)的權(quán)限控制，任何人未經(jīng)批準(zhǔn)授權(quán)，不得執(zhí)行輸出指令或接觸相關(guān)機(jī)密文件；另外，文件傳輸應(yīng)安全正確，對(duì)數(shù)據(jù)的發(fā)送對(duì)象、份數(shù)應(yīng)有明確的規(guī)定，以確保輸出結(jié)果能送發(fā)到合法的輸出對(duì)象；由專人負(fù)責(zé)收集、登記、分發(fā)、核對(duì)和保管輸出的紙介質(zhì)的會(huì)計(jì)資料，檢查其完整性、正確性、打印的賬簿和報(bào)表號(hào)是否連續(xù)、有無(wú)缺漏或重疊現(xiàn)象，采用各種技術(shù)手段保證數(shù)據(jù)在傳輸過(guò)程中的準(zhǔn)確、安全、可靠。

（作者單位：安徽財(cái)經(jīng)大學(xué)會(huì)計(jì)學(xué)院）