摘要：世界各國審計機關對計算機處理環境的內部控制問題都有相當的重視，當前對內部控制的研究存在三個問題：一是對廣域網絡環境下會計系統的內部控制缺乏研究；二是對內部控制的分類欠妥；三是不少控制措施以及對內部控制的符合性測試方法脫離實際。本文針對這些問題展開討論并提出了內部控制及審計措施。

　　關鍵詞：會計電算化；內部控制；審計

　　進入21世紀以來，世界各國審計機關對計算機處理環境的內部控制問題都更加重視，進行了非常深入的研究。既肯定了計算機處理環境對內部控制的影響，又研究了加強控制的措施，還探討了審計內部控制的方法。但是，隨著計算機技術的日新月異，尤其是商務和財務的出現，前述的這些研究已經顯得蒼白。我們認為，當前對內部控制的研究存在三個問題：一是對廣域網絡環境下會計系統的內部控制缺乏研究，二是對內部控制的分類欠，三是不少控制措施以及對內部控制的符合性測試方法脫離實際。下面將就這些問題展開討論。

　　一、網絡會計給內部控制提出了新課題

　　網絡財務戰略一經提出就獲得的普遍認同，成為業界關注的焦點，引發人們對網絡環境下財務與管理的思考。網絡財務的最閃光之處是通過Internet實現多種遠程處理和支持電子商務，而這恰恰給會計內部控制出了難題。

　　我們知道，電子商務和遠程處理必然要求會計系統的進一步開放與數據共享，而開放與共享將增加安全控制的難度，信息安全、資金安全都將成為內部控制的焦點。安全威脅既來自企業內部工作漫不經心的員工，也來自心懷不滿的職員、外部黑客以及競爭對手。因為網上交易公開化程度較高，操作人員和信息使用者干預系統的機會增大，再加上使用的是公用通訊線路，系統面臨的安全隱患也必然增多，從而增大企業經營的風險。例如，不法之徒可能利用網絡及安全管理的漏洞窺探用戶口令或電子賬號，冒充合法用戶作案，篡改數據庫內容以竊取資產；利用網絡遠距離竊取企業的商業秘密以換取錢財，或利用網絡傳播計算機病毒以破壞會計信息系統，甚至摧毀網絡節點；此外，由于電子商務處理業務的原始記錄以電子憑證的方式存在和傳遞，不法之徒通過改變電子貨幣賬單、銀行結算單等，就有可能轉移財產的所有權。

　　有鑒于此，網絡財務必須實現以下控制目標：1.對遠程操作的控制，即實現對遠程記賬、報賬、查賬、制表、審計以及網上報稅等操作的安全控制。

　　2.對網上支付的控制，即保證支付信息的機密、支付過程的完整、交易雙方的合法身份以及互操作性，實現安全支付。

　　3.對電子憑證的控制，即控制電子憑證的正確收發、真偽確認、安全傳遞和格式轉換等問題。

　　以上控制既涉及技術層面，也涉及政府立法和企業內部的制度建設。在技術上要采用公開密匙加密、電子數字簽名、電子信封、電子證書等技術，加強對網上輸入、輸出和傳輸信息的合法性、正確性控制，在企業內部網與外部公共網之間建立防火墻，對外部訪問實行多層認證。在上建立電子商務法律法規，規范網上交易、支付、核算行為，并制定網絡財務準則和相應的內部控制制度。沒有網絡安全，就沒有網絡財務。

　　二、關于內部控制的分類

　　美國執業會計師協會第3號《審計準則公告》、《國際審計準則》第20號以及我國《獨立審計具體準則第20號》，都把計算機會計內部控制分為一般控制（General controls）和應用控制（Application controls）兩大類，并將前者定義為：（1）電子數據處理的組織和操作的計劃；（2）對系統或程序的設計、開發和變動的記錄、審核、測試和批準；（3）由制造商在設備內部所設置的控制；（4）對接觸設備和數據文件的控制；（5）對系統的運行有影響的其他數據和指令程序的控制。公告把應用控制定義為輸入控制、數據處理控制和輸出控制。

　　我們認為內部控制的分類既要概念清晰，又要區分控制的主體，以便明確責任。為此，建議將內部控制分為管理制度控制和程序系統控制兩大類。其中程序系統指機軟硬件系統，主要是系統和軟件。程序系統控制主要是靠軟件本身功能來實現的內部控制機制，以實現系統的自我保護，主要包括數據輸入、內部處理、信息輸出、數據傳輸和系統安全保護控制。程序系統控制的責任者是軟件開發部門，用戶不應負有責任。而管理制度控制一般是以管理制度的形式實行的，主要包括組織、操作、維護和資料保管等方面。我們也可以進一步將管理制度控制分為環境控制（或基礎控制）和操作控制（或控制）兩類，組織、維護和資料保管都屬于環境控制的范疇。顯然制度的制訂和執行與計算機程序系統無關，而是會計軟件使用單位的責任。這種分類法的優點是分類標準明確，容易理解，而且實現控制的措施和控制的主體是一致的，責任分明，方面容易清楚自己應該怎么辦。

　　三、關于內部控制措施及審計

　　目前我們接觸到的具體控制措施以及內部控制的審計時往往脫離實際，形式繁瑣，又不突出控制重點，主要存在以下：

　　1.無法實現或不合理的控制措施在對內部控制措施的羅列中，有許多是無法實現或者是不合理的要求。例如，要求在會計軟件中“安裝一個聯機審機控制器，用來收集審計人員感興趣的資料”，要求在程序中設置斷點以控制“主文件金額數、記錄計數、前一程序指令序號”“每一個操作運行結束后應有一份打印輸出”，通過使用“雙重運算、逆運算法”檢查錯誤等等，都是不合理的甚至根本就無法實現的措施。又如對會計軟件系統的開發控制和審計是否合理，也是值得商榷的。

　　2.無需過問的控制措施有許多控制措施是計算機系統的最基本的功能，并非為會計所設置，審計人員是無需過問的。例如，硬件的冗余檢驗、奇偶校驗、回聲檢驗，操作系統的錯誤處置、程序保護、文件保護，這些控制都是計算機系統所必備的功能，不應該將它們納入會計內部控制的范疇，也不應該成為審計的。其實對許多系統保護措施審計人員也無從了解，更談不上審計。

　　3.對內部控制的審計內容繁瑣許多文獻對內部控制審計方法的介紹不僅內容空洞繁瑣，而且空談許多無法實現的審計方法，嚴重脫離實際，使審計人員不得要領，抓不住審計的重點。例如，對系統軟件的測試是完全沒有必要的，因為系統軟件一般都比較可靠，而且不會對會計軟件系統的安全造成威脅。此外，對會計軟件的測試方法中許多方法從技術上看是不可行的，從成本效益原則上看也是不合算的。例如，程序流程圖檢驗法、程序代碼檢查法都要求審計人員去閱讀程序代碼以確定會計軟件的控制措施是否滿足，這確實是一種天方夜譚的設想。又如所謂圖示法要求“利用監督程序來測定被測試程序中哪些指令執行過，哪些指令未曾動用”，也是很不現實的方法。

　　鑒于以上原因，我們認為當前應該全面檢討內部控制的措施一方面通過制訂《會計軟件基本功能規范》進一步明確會計軟件公司的責任，規范會計軟件產品的程序系統在數據輸入、處理、輸出、傳輸和安全保護的控制功能；另一方面則應通過制訂會計基礎工作規范，明確推行會計電算化的單位的控制責任，規范必要和切實可行的控制措施。

　　四、應該重視對內部控制的審計

　　在相當長的時間里由于人們對計算機會計系統比較陌生，內部控制措施不明確，審計方法不得要領，所以審計人員只得沿用對手工會計的審計方法，很少能夠對內部控制進行有效的審計，漏洞較多，不足以確保會計系統的安全。因此，提高對內部控制的認識，加強對其內涵和技術的，重視對內部控制的審計，仍是當前會計電算化和審計領域的一個關鍵課題。一般情況下審計人員的責任主要不是審計計算機和會計軟件系統的內部控制措施，而是審計應用單位制訂的內部控制制度是否健全和真正有效執行。計算機硬件和系統軟件無需審計人員去審計，而會計軟件系統的輸入、處理、輸出和安全控制功能則應由專家去評審。我國過去對會計核算軟件的兩級評審制度，其實質就是對會計軟件內部控制功能的審計。

　　參考文獻

　　[1]鄧春華。財務會計風險防范[M].中國財政經濟出版社，2001

　　 [2]劉國常。企業內部會計控制及其評審[M].2中國財政經濟出版社，003

　　 [3]常勛。財務會計四大難題[M].中國財政經濟出版社，2005

　　[4]王春峰。金融市場風險管理[M].天津大學出版社，2001