一、引言

　　按COSO的定義①，企業(yè)內(nèi)部控制是一種由企業(yè)董事會(huì)、管理層和其他員工執(zhí)行，為達(dá)到財(cái)務(wù)報(bào)告的可靠性、經(jīng)營的效果和效率、符合適應(yīng)的法律和法規(guī)的目標(biāo)而提供合理保證的過程，并由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)控五個(gè)要素組成。

　　傳統(tǒng)上，企業(yè)大量的經(jīng)營活動(dòng)和信息處理活動(dòng)的記錄主要由人工完成，經(jīng)營過程的物流、資金流所形成的數(shù)據(jù)流被記載在紙介質(zhì)上。會(huì)計(jì)與審計(jì)人員在這種應(yīng)用背景下所形成的風(fēng)險(xiǎn)認(rèn)識(shí)與控制觀點(diǎn)，一直左右著企業(yè)內(nèi)部控制系統(tǒng)設(shè)計(jì)。阿妮塔。s.霍蘭德將其描述為：（1）大量使用硬拷貝文檔記錄、處理和維護(hù)交易的信息；（2）重視職責(zé)和責(zé)任分離；（3）會(huì)計(jì)數(shù)據(jù)重復(fù)記錄和重復(fù)數(shù)據(jù)的大量調(diào)整；（4）會(huì)計(jì)師的反映性要多于主動(dòng)性，檢查性要多于預(yù)防性；（5）嚴(yán)重依賴年末對(duì)財(cái)務(wù)報(bào)表的檢查；（6）避開信息技術(shù)；（7）控制的結(jié)構(gòu)基于符合性。

　　隨著經(jīng)濟(jì)全球化及市場(chǎng)競(jìng)爭(zhēng)力度的加劇，許多企業(yè)加快了信息化的步伐，以提升企業(yè)競(jìng)爭(zhēng)力。信息技術(shù)在企業(yè)的廣泛應(yīng)用，不僅改變了傳統(tǒng)手工數(shù)據(jù)處理方式，而且觸發(fā)了企業(yè)管理模式、生產(chǎn)方式、交易方式、作業(yè)流程的變革，人們的行為模式也隨著企業(yè)業(yè)務(wù)流程化、組織扁平化、作業(yè)信息化而發(fā)生變化。雖然信息技術(shù)沒有改變企業(yè)內(nèi)部控制目標(biāo)，但企業(yè)內(nèi)部所發(fā)生的變革對(duì)傳統(tǒng)的內(nèi)部控制觀點(diǎn)、控制方法產(chǎn)生很大的沖擊。因此，如何構(gòu)建基于信息技術(shù)環(huán)境下的企業(yè)內(nèi)部控制系統(tǒng)已成為目前亟待解決的問題。為此，文本試圖從信息技術(shù)對(duì)企業(yè)內(nèi)部控制要素的影響著手，分析信息技術(shù)環(huán)境下企業(yè)內(nèi)部控制呈現(xiàn)的新特點(diǎn)，探討內(nèi)部控制系統(tǒng)設(shè)計(jì)策略，以期達(dá)到充分利用信息技術(shù)來提高內(nèi)部控制質(zhì)量的目的。

　　二、信息技術(shù)對(duì)企業(yè)內(nèi)部控制要素的影響分析

　　1.改善企業(yè)控制環(huán)境

　　控制環(huán)境構(gòu)成一個(gè)單位的控制氛圍，是所有控制方式和方法賴以存在的運(yùn)行環(huán)境。它包括員工的誠實(shí)度和勝任能力、董事會(huì)或?qū)徲?jì)委員會(huì)、管理理念和經(jīng)營方式、組織結(jié)構(gòu)、授予權(quán)利和責(zé)任的方式、人力資源政策和實(shí)施。信息技術(shù)使企業(yè)內(nèi)部控制環(huán)境發(fā)生以下的變化。

　　首先，企業(yè)組織結(jié)構(gòu)趨于扁平化。由于計(jì)算機(jī)信息處理技術(shù)替代大量業(yè)務(wù)層和中間層的人工數(shù)據(jù)處理工作，數(shù)據(jù)以磁介質(zhì)的方式存儲(chǔ)在數(shù)據(jù)庫中，并能通過網(wǎng)絡(luò)迅速傳輸?shù)狡髽I(yè)各個(gè)角落。信息技術(shù)減少信息在傳統(tǒng)組織的信道傳輸中延遲、失真以及噪音干擾，降低信息獲取成本，擴(kuò)大信息發(fā)布范圍，增進(jìn)組織各層次人員的信息傳遞與交流。原先多人分工協(xié)作的工作被信息技術(shù)重組后只需一個(gè)人就可以完成，大量的人工控制被信息系統(tǒng)的自動(dòng)控制所取代。這種變化導(dǎo)致企業(yè)組織結(jié)構(gòu)趨于扁平化，內(nèi)部控制層次明顯減少，崗位更加精簡(jiǎn)，責(zé)任更加明確，效率更加提高。

　　其次，提高員工地位和素質(zhì)要求。隨著組織扁平化和業(yè)務(wù)流程化與信息化，企業(yè)決策層次向下移動(dòng)，基層員工獲得更多的決策機(jī)會(huì)，同時(shí)對(duì)員工素質(zhì)也提出了更高的要求。在新的信息技術(shù)平臺(tái)下，員工需要熟悉計(jì)算機(jī)信息系統(tǒng)，持有實(shí)時(shí)、積極的控制觀點(diǎn)，認(rèn)識(shí)業(yè)務(wù)發(fā)生時(shí)信息技術(shù)所能提供預(yù)防、檢查及糾正錯(cuò)誤和識(shí)別舞弊的機(jī)會(huì)，充分應(yīng)用信息技術(shù)與自己的專業(yè)知識(shí)控制企業(yè)的經(jīng)營活動(dòng)。企業(yè)人力資源管理將結(jié)合信息技術(shù)特點(diǎn)制定員工雇用、培訓(xùn)、提升和獎(jiǎng)勵(lì)政策。內(nèi)部控制設(shè)計(jì)更強(qiáng)調(diào)以人為本、人機(jī)結(jié)合的原則，通過增強(qiáng)員工識(shí)別風(fēng)險(xiǎn)能力、發(fā)現(xiàn)問題與解決問題能力、與其他業(yè)務(wù)人員協(xié)同配合能力，利用信息技術(shù)的控制能力來提高企業(yè)內(nèi)部控制質(zhì)量。

　　再次，改善信息不對(duì)稱狀況，提高對(duì)“內(nèi)部人” 的監(jiān)控水平?，F(xiàn)代企業(yè)由于所有權(quán)與經(jīng)營權(quán)分離，真實(shí)的會(huì)計(jì)信息披露對(duì)公司治理起著重要的作用。信息技術(shù)集成了業(yè)務(wù)信息處理流程與會(huì)計(jì)信息處理過程，由于數(shù)據(jù)同源并在計(jì)算機(jī)內(nèi)部連續(xù)處理，有效地提高了會(huì)計(jì)信息的實(shí)時(shí)性和準(zhǔn)確性。而投資者經(jīng)過合適權(quán)限的授權(quán)，通過計(jì)算機(jī)網(wǎng)絡(luò)就能隨時(shí)訪問企業(yè)數(shù)據(jù)庫的相關(guān)數(shù)據(jù)， 在一定程度上改善了信息不對(duì)稱性狀況，增強(qiáng)信息的透明度以及對(duì)企業(yè)經(jīng)營者的監(jiān)控能力，促使企業(yè)內(nèi)部人提高誠信度與道德觀，規(guī)范企業(yè)經(jīng)營行為。

　　2.擴(kuò)大風(fēng)險(xiǎn)評(píng)估范圍

　　信息技術(shù)應(yīng)用改變企業(yè)傳統(tǒng)營運(yùn)模式，也帶來業(yè)務(wù)流程和信息系統(tǒng)的新風(fēng)險(xiǎn)。例如企業(yè)在信息技術(shù)平臺(tái)上運(yùn)行ERP系統(tǒng)、電子商務(wù)、供應(yīng)鏈管理系統(tǒng)、客戶關(guān)系管理系統(tǒng)，通過企業(yè)之間、企業(yè)內(nèi)部的信息傳遞實(shí)現(xiàn)協(xié)同合作、優(yōu)化資源配置。企業(yè)物流和資金流的流量、流速均由計(jì)算機(jī)精密排程，與聯(lián)盟企業(yè)、市場(chǎng)情況環(huán)環(huán)相扣，以求最低成本、最快速度、最好質(zhì)量組織企業(yè)經(jīng)營活動(dòng)。因此，供應(yīng)鏈的任何環(huán)節(jié)出現(xiàn)突發(fā)事件都會(huì)波及企業(yè)的正常運(yùn)行，給企業(yè)帶來損失。此外，由于企業(yè)所有數(shù)據(jù)存放在數(shù)據(jù)庫服務(wù)器內(nèi)，網(wǎng)絡(luò)開放性、數(shù)據(jù)共享性必將增加信息系統(tǒng)的風(fēng)險(xiǎn)，如數(shù)據(jù)可能被非授權(quán)人員拷貝、刪除、修改，破壞；計(jì)算機(jī)病毒感染、黑客入侵、使用人員違規(guī)操作也會(huì)造成計(jì)算機(jī)系統(tǒng)故障或信息系統(tǒng)崩潰。企業(yè)風(fēng)險(xiǎn)識(shí)別、評(píng)估與防范，不僅要考慮內(nèi)外部環(huán)境，而且要考慮業(yè)務(wù)流程與信息流程的耦合度、協(xié)作企業(yè)的關(guān)聯(lián)度、信息系統(tǒng)的依賴度等因素，規(guī)避供應(yīng)鏈作業(yè)流程和信息系統(tǒng)的新風(fēng)險(xiǎn)給企業(yè)帶來的危害。

　　3.業(yè)務(wù)流程控制與信息系統(tǒng)控制成為控制活動(dòng)的一項(xiàng)重要內(nèi)容

　　在信息技術(shù)平臺(tái)上，企業(yè)運(yùn)行的ERP系統(tǒng)實(shí)行流程化管理。企業(yè)戰(zhàn)略遠(yuǎn)景的實(shí)現(xiàn)、信息系統(tǒng)的導(dǎo)入、企業(yè)文化價(jià)值觀的具體呈現(xiàn)，最終落實(shí)到企業(yè)的業(yè)務(wù)作業(yè)流程。

　　信息技術(shù)應(yīng)用使傳統(tǒng)人工控制形式演變?yōu)槿藱C(jī)系統(tǒng)控制，控制重心將集中在作業(yè)流程的人機(jī)控制與信息系統(tǒng)控制。一些傳統(tǒng)的內(nèi)部控制規(guī)則和程序在新的技術(shù)環(huán)境下失去存在的意義，新的控制規(guī)則和程序建立在充分利用信息技術(shù)、用最少的資源達(dá)到更佳控制目標(biāo)的基礎(chǔ)上。

　　圍繞業(yè)務(wù)流程，企業(yè)會(huì)計(jì)、審計(jì)人員與業(yè)務(wù)人員將密切協(xié)作，共同分析信息技術(shù)環(huán)境下的企業(yè)訂單、采購、庫存、計(jì)劃、生產(chǎn)制造、質(zhì)量控制、運(yùn)輸、分銷、財(cái)務(wù)會(huì)計(jì)、人事管理等環(huán)節(jié)的作業(yè)過程、管理過程和信息過程的新特點(diǎn)，制定對(duì)應(yīng)控制規(guī)則，設(shè)計(jì)企業(yè)預(yù)算控制、成本費(fèi)用控制、資金控制、投資控制、信息記錄控制、計(jì)算機(jī)信息系統(tǒng)控制、業(yè)績(jī)?cè)u(píng)價(jià)等控制制度和控制程序，并將這些控制程序和控制參數(shù)輸入到計(jì)算機(jī)信息系統(tǒng)內(nèi)部，形成完整、嚴(yán)密的面向流程的人機(jī)內(nèi)部控制系統(tǒng)。這樣，企業(yè)員工可以根據(jù)信息系統(tǒng)反映的信息流及時(shí)監(jiān)控業(yè)務(wù)過程的物流、資金流、作業(yè)流，通過反饋信息與控制參數(shù)的比較，制定決策、預(yù)防風(fēng)險(xiǎn)、修正作業(yè)錯(cuò)誤，防范業(yè)務(wù)舞弊。另外，在計(jì)算機(jī)信息系統(tǒng)內(nèi)部建立嚴(yán)格的人員訪問授權(quán)、數(shù)據(jù)接觸控制、操作流程規(guī)則和職責(zé)體系，以避免信息系統(tǒng)故障，保留IT審計(jì)線索，杜絕利用信息技術(shù)進(jìn)行貪污、舞弊的行為。

　　4.組織成員之間信息交流和溝通更加便利

　　信息與溝通是指企業(yè)在其經(jīng)營過程中識(shí)別企業(yè)內(nèi)、外部信息，并在組織內(nèi)溝通，以便員工了解、執(zhí)行其職責(zé)。

　　信息技術(shù)應(yīng)用改變企業(yè)信息孤島的狀況，大量的企業(yè)環(huán)境信息、政策信息、經(jīng)營信息、財(cái)務(wù)會(huì)計(jì)信息、作業(yè)信息集中存儲(chǔ)在企業(yè)數(shù)據(jù)庫系統(tǒng)內(nèi)，并不斷被實(shí)時(shí)更新?；诨ヂ?lián)網(wǎng)、企業(yè)網(wǎng)、數(shù)據(jù)庫技術(shù)的客戶/服務(wù)器（C/S）和瀏覽器/WEB服務(wù)器（B/S）混合結(jié)構(gòu)的網(wǎng)絡(luò)平臺(tái)為企業(yè)成員提供了很好的溝通條件。在這個(gè)平臺(tái)上，員工可以十分便捷地從計(jì)算機(jī)數(shù)據(jù)庫中查閱有關(guān)的政策和法規(guī)，獲取與其職責(zé)相關(guān)的控制信息，明確各自的權(quán)利與責(zé)任，了解自己的活動(dòng)如何與他人的工作相關(guān)以及例外情況如何報(bào)告或處理的途徑。另外，企業(yè)在網(wǎng)絡(luò)平臺(tái)上構(gòu)建與利益相關(guān)者聯(lián)系的機(jī)制，使組織的相關(guān)成員可以實(shí)時(shí)獲取經(jīng)營信息與財(cái)務(wù)會(huì)計(jì)信息，及時(shí)進(jìn)行溝通，達(dá)到最佳協(xié)同合作和利益共享。

　　5.監(jiān)控更注意更新信息系統(tǒng)內(nèi)部設(shè)置的控制參數(shù)與控制程序

　　監(jiān)控是評(píng)價(jià)一段時(shí)間的內(nèi)部控制質(zhì)量過程，包括及時(shí)評(píng)估控制制度的設(shè)計(jì)和運(yùn)行，以及在必要的時(shí)候采取的行動(dòng)。在信息技術(shù)環(huán)境下，內(nèi)部控制是基于一種人機(jī)結(jié)合的控制模式，許多控制程序、控制指標(biāo)、控制方法被設(shè)置在計(jì)算機(jī)信息系統(tǒng)內(nèi)部，。因此監(jiān)控的一項(xiàng)重要內(nèi)容就是要及時(shí)了解原來設(shè)置在信息系統(tǒng)內(nèi)的控制程序、控制參數(shù)是否過時(shí)，并針對(duì)企業(yè)經(jīng)營環(huán)境變化情況，及時(shí)評(píng)估業(yè)務(wù)流程控制點(diǎn)的運(yùn)行狀態(tài)，重新調(diào)整或更改設(shè)置在信息系統(tǒng)的控制參數(shù)或程序。

　　三、基于信息技術(shù)的企業(yè)內(nèi)部控制系統(tǒng)設(shè)計(jì)策略

　　針對(duì)上述分析，企業(yè)在進(jìn)行內(nèi)部控制系統(tǒng)設(shè)計(jì)時(shí)，應(yīng)綜合考慮內(nèi)部控制要素的新特點(diǎn)，從組織控制、流程控制、信息系統(tǒng)控制三方面制定對(duì)應(yīng)設(shè)計(jì)策略。

　　1.組織控制設(shè)計(jì)策略

　　組織控制是為實(shí)現(xiàn)組織的目標(biāo)而進(jìn)行的組織結(jié)構(gòu)設(shè)計(jì)、權(quán)責(zé)安排和制度設(shè)計(jì)。在信息技術(shù)環(huán)境下，流程決定企業(yè)組織結(jié)構(gòu)。因此，組織結(jié)構(gòu)設(shè)計(jì)應(yīng)以產(chǎn)出為中心，結(jié)合企業(yè)流程特點(diǎn)、信息化程度、人員素質(zhì)、風(fēng)險(xiǎn)類型與大小進(jìn)行全盤考慮；圍繞產(chǎn)出目標(biāo)，重新審視原先組織的職能界限與任務(wù)劃分，盡可能將跨越不同職能部門并由不同專業(yè)人員完成的工作環(huán)節(jié)集合起來，形成適應(yīng)流程管理與控制的企業(yè)組織結(jié)構(gòu)，使企業(yè)組織設(shè)計(jì)能保障決策點(diǎn)、控制點(diǎn)位于工作執(zhí)行地方，能將信息處理工作納入產(chǎn)生這些信息的實(shí)際工作中，并與員工信息的使用權(quán)、決策權(quán)相匹配，與切合流程職位的控制信息需求和成功運(yùn)用這些信息相匹配。

　　組織控制設(shè)計(jì)的一項(xiàng)重要任務(wù)是權(quán)責(zé)分派與不相容職務(wù)分離。傳統(tǒng)設(shè)計(jì)方法建立在執(zhí)行者、監(jiān)控者、決策者分離的基礎(chǔ)上，并通過層層授權(quán)與審批手續(xù)來監(jiān)督員工作業(yè)。在信息技術(shù)應(yīng)用條件下，企業(yè)組織的權(quán)責(zé)范圍遵循以流程為核心的原則。首先將企業(yè)主要業(yè)務(wù)分解為產(chǎn)品流程、質(zhì)量流程、服務(wù)流程、物流流程等，并在這些流程層面上重新定義企業(yè)各部門在業(yè)務(wù)流程中的職責(zé)以及它們之間的協(xié)調(diào)關(guān)系。然后再進(jìn)一步將這些流程分解為一系列相關(guān)作業(yè)集合，并結(jié)合業(yè)務(wù)的信息化程度來定義企業(yè)作業(yè)崗位以及對(duì)應(yīng)的崗位責(zé)任制度。作業(yè)崗位權(quán)責(zé)分派應(yīng)體現(xiàn)以人為本，崗位職責(zé)的授權(quán)、績(jī)效評(píng)估考核等控制設(shè)計(jì)應(yīng)能最大限度地發(fā)揮每個(gè)員工的主觀能動(dòng)性和潛能。不相容職務(wù)分離設(shè)計(jì)應(yīng)結(jié)合重組后的業(yè)務(wù)特點(diǎn)和人機(jī)系統(tǒng)的控制功能，通過計(jì)算機(jī)應(yīng)用軟件功能使用權(quán)限設(shè)置、應(yīng)用軟件的作業(yè)流程邏輯順序的設(shè)置、業(yè)務(wù)控制參數(shù)的設(shè)置，充分發(fā)揮計(jì)算機(jī)系統(tǒng)內(nèi)部監(jiān)控能力，實(shí)現(xiàn)信息化環(huán)境下業(yè)務(wù)流程不相容職務(wù)分離的制度安排。

　　組織控制的制度設(shè)計(jì)要充分考慮信息技術(shù)在公司治理中的作用。對(duì)內(nèi)，信息系統(tǒng)應(yīng)與企業(yè)的崗位職責(zé)、內(nèi)部牽制以及責(zé)任中心控制、預(yù)算控制、企業(yè)財(cái)產(chǎn)管理控制、業(yè)績(jī)?cè)u(píng)價(jià)等控制制度融合為一體，保障資產(chǎn)安全、會(huì)計(jì)信息真實(shí)及效益提高。對(duì)外，建立企業(yè)門戶，采取推拉式服務(wù)來加強(qiáng)與外部利益相關(guān)者的聯(lián)系。通過信息在組織內(nèi)外的傳遞，改善企業(yè)監(jiān)督體系與公司治理結(jié)構(gòu)。

　　2.流程控制設(shè)計(jì)策略

　　以往企業(yè)內(nèi)部控制主要側(cè)重于事后控制，即通過期末會(huì)計(jì)資料的檢查或?qū)徲?jì)來識(shí)別業(yè)務(wù)錯(cuò)誤或舞弊。由于信息技術(shù)使企業(yè)業(yè)務(wù)流程與信息流程融合在一起，并與企業(yè)上下游建立了密切聯(lián)系，業(yè)務(wù)流程控制與信息流程控制成為企業(yè)內(nèi)部控制系統(tǒng)設(shè)計(jì)的重要內(nèi)容，控制重心也從適時(shí)控制向事前控制、實(shí)時(shí)控制轉(zhuǎn)移，控制的順序先是以預(yù)防為主，然后是檢查、糾正錯(cuò)誤和舞弊。因此，在企業(yè)流程控制的設(shè)計(jì)中，專業(yè)人員的首要任務(wù)是熟悉企業(yè)業(yè)務(wù)過程和信息過程以及它們之間的聯(lián)系，并針對(duì)組織內(nèi)部控制目標(biāo)的要求，對(duì)業(yè)務(wù)流程和信息流程的各類風(fēng)險(xiǎn)進(jìn)行評(píng)估，確定風(fēng)險(xiǎn)重要程度。其次為業(yè)務(wù)過程和信息過程制定規(guī)則和程序，作為控制策略的一部分。具體的規(guī)則依賴于企業(yè)的各種因素，如環(huán)境、組織規(guī)模、使用技術(shù)、員工素質(zhì)等，并在此基礎(chǔ)上建立企業(yè)作業(yè)的預(yù)算制度、作業(yè)操作制度、業(yè)績(jī)?cè)u(píng)價(jià)制度、供應(yīng)鏈績(jī)效評(píng)價(jià)制度。最后依據(jù)風(fēng)險(xiǎn)的重要程度確定業(yè)務(wù)流程與信息流程的關(guān)鍵控制點(diǎn)、建立控制模型，設(shè)定控制參數(shù)與控制程序，并將其嵌入到信息系統(tǒng)中， 形成人機(jī)結(jié)合、業(yè)務(wù)活動(dòng)與信息處理集合的內(nèi)部控制系統(tǒng)。這樣，在企業(yè)經(jīng)營過程中，信息系統(tǒng)就能動(dòng)態(tài)跟蹤業(yè)務(wù)活動(dòng)的信息，自動(dòng)監(jiān)控這些活動(dòng)所產(chǎn)生的數(shù)據(jù)是否在控制范圍內(nèi)，預(yù)測(cè)發(fā)展趨勢(shì)，實(shí)時(shí)輸出預(yù)警信號(hào)。組織成員也能依據(jù)這些作業(yè)點(diǎn)的反饋信號(hào)及時(shí)制定正確決策，有效控制企業(yè)的經(jīng)營活動(dòng)過程。

　　3.信息系統(tǒng)控制設(shè)計(jì)策略

　　信息系統(tǒng)控制包括信息系統(tǒng)建設(shè)的過程和使用過程的控制。對(duì)企業(yè)而言，由于信息系統(tǒng)的建設(shè)涉及大量的投資，而且信息系統(tǒng)的質(zhì)量關(guān)系到企業(yè)經(jīng)營活動(dòng)的效益，信息系統(tǒng)的風(fēng)險(xiǎn)控制成為企業(yè)所有者與管理者日益關(guān)注的重要問題。因此，在信息系統(tǒng)建設(shè)過程中，為保證信息系統(tǒng)開發(fā)質(zhì)量、規(guī)避信息系統(tǒng)建設(shè)風(fēng)險(xiǎn)，具體的控制設(shè)計(jì)策略應(yīng)包括認(rèn)真進(jìn)行系統(tǒng)開發(fā)前期的可行性研究；加強(qiáng)對(duì)開發(fā)商的資質(zhì)驗(yàn)證；對(duì)其已開發(fā)的項(xiàng)目進(jìn)行調(diào)查分析；通過公開招標(biāo)、答辯等方式選擇適合企業(yè)營運(yùn)環(huán)境的計(jì)算機(jī)信息系統(tǒng)軟、硬件與開發(fā)商。在項(xiàng)目實(shí)施過程中，應(yīng)加強(qiáng)對(duì)IT項(xiàng)目管理，完善信息系統(tǒng)實(shí)施的組織工作，明確人員分工安排以及在項(xiàng)目實(shí)施各階段所承擔(dān)的責(zé)任，建立嚴(yán)密進(jìn)度控制和質(zhì)量控制機(jī)制、驗(yàn)收程序及第三方監(jiān)理和審計(jì)的控制，保障信息系統(tǒng)質(zhì)量。

　　信息系統(tǒng)使用過程控制設(shè)計(jì)包括操作權(quán)限與操作規(guī)程控制設(shè)計(jì)、信息安全與數(shù)據(jù)處理流程控制設(shè)計(jì)。操作權(quán)限控制是指作業(yè)崗位的人員只能按照所授予的權(quán)限進(jìn)行計(jì)算機(jī)作業(yè)。設(shè)計(jì)策略主要包括通過對(duì)系統(tǒng)資源進(jìn)行分類管理、員工作業(yè)權(quán)限程序化方式，在計(jì)算機(jī)系統(tǒng)定義用戶具體訪問對(duì)象，限制超越權(quán)限的非法接觸和訪問。

　　操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標(biāo)準(zhǔn)操作規(guī)程進(jìn)行。主要通過制定軟硬件操作規(guī)程、作業(yè)運(yùn)行規(guī)程，規(guī)范計(jì)算機(jī)用戶的操作行為。信息安全控制包括數(shù)據(jù)和程序安全控制、網(wǎng)絡(luò)安全控制，通過數(shù)據(jù)保密、訪問控制、身份識(shí)別、數(shù)據(jù)備份等措施保障計(jì)算機(jī)信息資源的安全。

　　數(shù)據(jù)處理流程控制設(shè)計(jì)包括數(shù)據(jù)輸入、處理、輸出的控制。例如在計(jì)算機(jī)系統(tǒng)的數(shù)據(jù)輸入窗口設(shè)置各類有效的檢測(cè)方法，最大限度地減少操作人員在數(shù)據(jù)輸入過程中出錯(cuò)的可能性，保障未經(jīng)批準(zhǔn)的業(yè)務(wù)不能輸入計(jì)算機(jī)內(nèi)；進(jìn)行嚴(yán)格的系統(tǒng)測(cè)試，糾正隱含在軟件內(nèi)的程序處理邏輯錯(cuò)誤與計(jì)算錯(cuò)誤；檢測(cè)計(jì)算機(jī)系統(tǒng)輸出的數(shù)據(jù)是否合理，能否符合勾稽關(guān)系等，以提高計(jì)算機(jī)數(shù)據(jù)處理質(zhì)量。

　　注釋：

　?、賲⒁奀OSO委員會(huì)1992年、1994年修訂的《內(nèi)部控制一整體框架》（COSO）報(bào)告。

　　[參考文獻(xiàn)]

　　[1]朱榮恩。內(nèi)部控制評(píng)價(jià)[M].北京：中國時(shí)代出版社，2002.

　　[2]閻達(dá)五，宋建波。雙元控制主體框架下現(xiàn)代企業(yè)會(huì)計(jì)控制新思考[J].會(huì)計(jì)研究，2002.

　　[3]王田英。基于價(jià)值鏈的企業(yè)流程再造與信息集成[M].北京：清華大學(xué)出版社，2002.

　　[4]阿妮塔。S.霍蘭德?，F(xiàn)代會(huì)計(jì)信息系統(tǒng)[M].北京：經(jīng)濟(jì)科學(xué)出版社，1999.