摘要：世界各國(guó)審計(jì)機(jī)關(guān)對(duì)計(jì)算機(jī)處理環(huán)境的內(nèi)部控制問(wèn)題都有相當(dāng)?shù)闹匾?，?dāng)前對(duì)內(nèi)部控制的研究存在三個(gè)問(wèn)題：一是對(duì)廣域網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)系統(tǒng)的內(nèi)部控制缺乏研究；二是對(duì)內(nèi)部控制的分類欠妥；三是不少控制措施以及對(duì)內(nèi)部控制的符合性測(cè)試方法脫離實(shí)際。本文針對(duì)這些問(wèn)題展開(kāi)討論并提出了內(nèi)部控制及審計(jì)措施。

　　關(guān)鍵詞：會(huì)計(jì)電算化；內(nèi)部控制；審計(jì)

　　進(jìn)入21世紀(jì)以來(lái)，世界各國(guó)審計(jì)機(jī)關(guān)對(duì)計(jì)算機(jī)處理環(huán)境的內(nèi)部控制問(wèn)題都更加重視，進(jìn)行了非常深入的研究。既肯定了計(jì)算機(jī)處理環(huán)境對(duì)內(nèi)部控制的影響，又研究了加強(qiáng)控制的措施，還探討了審計(jì)內(nèi)部控制的方法。但是，隨著計(jì)算機(jī)技術(shù)的日新月異，尤其是商務(wù)和財(cái)務(wù)的出現(xiàn)，前述的這些研究已經(jīng)顯得蒼白。我們認(rèn)為，當(dāng)前對(duì)內(nèi)部控制的研究存在三個(gè)問(wèn)題：一是對(duì)廣域網(wǎng)絡(luò)環(huán)境下會(huì)計(jì)系統(tǒng)的內(nèi)部控制缺乏研究，二是對(duì)內(nèi)部控制的分類欠，三是不少控制措施以及對(duì)內(nèi)部控制的符合性測(cè)試方法脫離實(shí)際。下面將就這些問(wèn)題展開(kāi)討論。

　　一、網(wǎng)絡(luò)會(huì)計(jì)給內(nèi)部控制提出了新課題

　　網(wǎng)絡(luò)財(cái)務(wù)戰(zhàn)略一經(jīng)提出就獲得的普遍認(rèn)同，成為業(yè)界關(guān)注的焦點(diǎn)，引發(fā)人們對(duì)網(wǎng)絡(luò)環(huán)境下財(cái)務(wù)與管理的思考。網(wǎng)絡(luò)財(cái)務(wù)的最閃光之處是通過(guò)Internet實(shí)現(xiàn)多種遠(yuǎn)程處理和支持電子商務(wù)，而這恰恰給會(huì)計(jì)內(nèi)部控制出了難題。

　　我們知道，電子商務(wù)和遠(yuǎn)程處理必然要求會(huì)計(jì)系統(tǒng)的進(jìn)一步開(kāi)放與數(shù)據(jù)共享，而開(kāi)放與共享將增加安全控制的難度，信息安全、資金安全都將成為內(nèi)部控制的焦點(diǎn)。安全威脅既來(lái)自企業(yè)內(nèi)部工作漫不經(jīng)心的員工，也來(lái)自心懷不滿的職員、外部黑客以及競(jìng)爭(zhēng)對(duì)手。因?yàn)榫W(wǎng)上交易公開(kāi)化程度較高，操作人員和信息使用者干預(yù)系統(tǒng)的機(jī)會(huì)增大，再加上使用的是公用通訊線路，系統(tǒng)面臨的安全隱患也必然增多，從而增大企業(yè)經(jīng)營(yíng)的風(fēng)險(xiǎn)。例如，不法之徒可能利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子賬號(hào)，冒充合法用戶作案，篡改數(shù)據(jù)庫(kù)內(nèi)容以竊取資產(chǎn)；利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財(cái)，或利用網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒以破壞會(huì)計(jì)信息系統(tǒng)，甚至摧毀網(wǎng)絡(luò)節(jié)點(diǎn)；此外，由于電子商務(wù)處理業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞，不法之徒通過(guò)改變電子貨幣賬單、銀行結(jié)算單等，就有可能轉(zhuǎn)移財(cái)產(chǎn)的所有權(quán)。

　　有鑒于此，網(wǎng)絡(luò)財(cái)務(wù)必須實(shí)現(xiàn)以下控制目標(biāo)：1.對(duì)遠(yuǎn)程操作的控制，即實(shí)現(xiàn)對(duì)遠(yuǎn)程記賬、報(bào)賬、查賬、制表、審計(jì)以及網(wǎng)上報(bào)稅等操作的安全控制。

　　2.對(duì)網(wǎng)上支付的控制，即保證支付信息的機(jī)密、支付過(guò)程的完整、交易雙方的合法身份以及互操作性，實(shí)現(xiàn)安全支付。

　　3.對(duì)電子憑證的控制，即控制電子憑證的正確收發(fā)、真?zhèn)未_認(rèn)、安全傳遞和格式轉(zhuǎn)換等問(wèn)題。

　　以上控制既涉及技術(shù)層面，也涉及政府立法和企業(yè)內(nèi)部的制度建設(shè)。在技術(shù)上要采用公開(kāi)密匙加密、電子數(shù)字簽名、電子信封、電子證書(shū)等技術(shù)，加強(qiáng)對(duì)網(wǎng)上輸入、輸出和傳輸信息的合法性、正確性控制，在企業(yè)內(nèi)部網(wǎng)與外部公共網(wǎng)之間建立防火墻，對(duì)外部訪問(wèn)實(shí)行多層認(rèn)證。在上建立電子商務(wù)法律法規(guī)，規(guī)范網(wǎng)上交易、支付、核算行為，并制定網(wǎng)絡(luò)財(cái)務(wù)準(zhǔn)則和相應(yīng)的內(nèi)部控制制度。沒(méi)有網(wǎng)絡(luò)安全，就沒(méi)有網(wǎng)絡(luò)財(cái)務(wù)。

　　二、關(guān)于內(nèi)部控制的分類

　　美國(guó)執(zhí)業(yè)會(huì)計(jì)師協(xié)會(huì)第3號(hào)《審計(jì)準(zhǔn)則公告》、《國(guó)際審計(jì)準(zhǔn)則》第20號(hào)以及我國(guó)《獨(dú)立審計(jì)具體準(zhǔn)則第20號(hào)》，都把計(jì)算機(jī)會(huì)計(jì)內(nèi)部控制分為一般控制（General controls）和應(yīng)用控制（Application controls）兩大類，并將前者定義為：（1）電子數(shù)據(jù)處理的組織和操作的計(jì)劃；（2）對(duì)系統(tǒng)或程序的設(shè)計(jì)、開(kāi)發(fā)和變動(dòng)的記錄、審核、測(cè)試和批準(zhǔn)；（3）由制造商在設(shè)備內(nèi)部所設(shè)置的控制；（4）對(duì)接觸設(shè)備和數(shù)據(jù)文件的控制；（5）對(duì)系統(tǒng)的運(yùn)行有影響的其他數(shù)據(jù)和指令程序的控制。公告把應(yīng)用控制定義為輸入控制、數(shù)據(jù)處理控制和輸出控制。

　　我們認(rèn)為內(nèi)部控制的分類既要概念清晰，又要區(qū)分控制的主體，以便明確責(zé)任。為此，建議將內(nèi)部控制分為管理制度控制和程序系統(tǒng)控制兩大類。其中程序系統(tǒng)指機(jī)軟硬件系統(tǒng)，主要是系統(tǒng)和軟件。程序系統(tǒng)控制主要是靠軟件本身功能來(lái)實(shí)現(xiàn)的內(nèi)部控制機(jī)制，以實(shí)現(xiàn)系統(tǒng)的自我保護(hù)，主要包括數(shù)據(jù)輸入、內(nèi)部處理、信息輸出、數(shù)據(jù)傳輸和系統(tǒng)安全保護(hù)控制。程序系統(tǒng)控制的責(zé)任者是軟件開(kāi)發(fā)部門，用戶不應(yīng)負(fù)有責(zé)任。而管理制度控制一般是以管理制度的形式實(shí)行的，主要包括組織、操作、維護(hù)和資料保管等方面。我們也可以進(jìn)一步將管理制度控制分為環(huán)境控制（或基礎(chǔ)控制）和操作控制（或控制）兩類，組織、維護(hù)和資料保管都屬于環(huán)境控制的范疇。顯然制度的制訂和執(zhí)行與計(jì)算機(jī)程序系統(tǒng)無(wú)關(guān)，而是會(huì)計(jì)軟件使用單位的責(zé)任。這種分類法的優(yōu)點(diǎn)是分類標(biāo)準(zhǔn)明確，容易理解，而且實(shí)現(xiàn)控制的措施和控制的主體是一致的，責(zé)任分明，方面容易清楚自己應(yīng)該怎么辦。

　　三、關(guān)于內(nèi)部控制措施及審計(jì)

　　目前我們接觸到的具體控制措施以及內(nèi)部控制的審計(jì)時(shí)往往脫離實(shí)際，形式繁瑣，又不突出控制重點(diǎn)，主要存在以下：

　　1.無(wú)法實(shí)現(xiàn)或不合理的控制措施在對(duì)內(nèi)部控制措施的羅列中，有許多是無(wú)法實(shí)現(xiàn)或者是不合理的要求。例如，要求在會(huì)計(jì)軟件中“安裝一個(gè)聯(lián)機(jī)審機(jī)控制器，用來(lái)收集審計(jì)人員感興趣的資料”，要求在程序中設(shè)置斷點(diǎn)以控制“主文件金額數(shù)、記錄計(jì)數(shù)、前一程序指令序號(hào)”“每一個(gè)操作運(yùn)行結(jié)束后應(yīng)有一份打印輸出”，通過(guò)使用“雙重運(yùn)算、逆運(yùn)算法”檢查錯(cuò)誤等等，都是不合理的甚至根本就無(wú)法實(shí)現(xiàn)的措施。又如對(duì)會(huì)計(jì)軟件系統(tǒng)的開(kāi)發(fā)控制和審計(jì)是否合理，也是值得商榷的。

　　2.無(wú)需過(guò)問(wèn)的控制措施有許多控制措施是計(jì)算機(jī)系統(tǒng)的最基本的功能，并非為會(huì)計(jì)所設(shè)置，審計(jì)人員是無(wú)需過(guò)問(wèn)的。例如，硬件的冗余檢驗(yàn)、奇偶校驗(yàn)、回聲檢驗(yàn)，操作系統(tǒng)的錯(cuò)誤處置、程序保護(hù)、文件保護(hù)，這些控制都是計(jì)算機(jī)系統(tǒng)所必備的功能，不應(yīng)該將它們納入會(huì)計(jì)內(nèi)部控制的范疇，也不應(yīng)該成為審計(jì)的。其實(shí)對(duì)許多系統(tǒng)保護(hù)措施審計(jì)人員也無(wú)從了解，更談不上審計(jì)。

　　3.對(duì)內(nèi)部控制的審計(jì)內(nèi)容繁瑣許多文獻(xiàn)對(duì)內(nèi)部控制審計(jì)方法的介紹不僅內(nèi)容空洞繁瑣，而且空談許多無(wú)法實(shí)現(xiàn)的審計(jì)方法，嚴(yán)重脫離實(shí)際，使審計(jì)人員不得要領(lǐng)，抓不住審計(jì)的重點(diǎn)。例如，對(duì)系統(tǒng)軟件的測(cè)試是完全沒(méi)有必要的，因?yàn)橄到y(tǒng)軟件一般都比較可靠，而且不會(huì)對(duì)會(huì)計(jì)軟件系統(tǒng)的安全造成威脅。此外，對(duì)會(huì)計(jì)軟件的測(cè)試方法中許多方法從技術(shù)上看是不可行的，從成本效益原則上看也是不合算的。例如，程序流程圖檢驗(yàn)法、程序代碼檢查法都要求審計(jì)人員去閱讀程序代碼以確定會(huì)計(jì)軟件的控制措施是否滿足，這確實(shí)是一種天方夜譚的設(shè)想。又如所謂圖示法要求“利用監(jiān)督程序來(lái)測(cè)定被測(cè)試程序中哪些指令執(zhí)行過(guò)，哪些指令未曾動(dòng)用”，也是很不現(xiàn)實(shí)的方法。

　　鑒于以上原因，我們認(rèn)為當(dāng)前應(yīng)該全面檢討內(nèi)部控制的措施一方面通過(guò)制訂《會(huì)計(jì)軟件基本功能規(guī)范》進(jìn)一步明確會(huì)計(jì)軟件公司的責(zé)任，規(guī)范會(huì)計(jì)軟件產(chǎn)品的程序系統(tǒng)在數(shù)據(jù)輸入、處理、輸出、傳輸和安全保護(hù)的控制功能；另一方面則應(yīng)通過(guò)制訂會(huì)計(jì)基礎(chǔ)工作規(guī)范，明確推行會(huì)計(jì)電算化的單位的控制責(zé)任，規(guī)范必要和切實(shí)可行的控制措施。

　　四、應(yīng)該重視對(duì)內(nèi)部控制的審計(jì)

　　在相當(dāng)長(zhǎng)的時(shí)間里由于人們對(duì)計(jì)算機(jī)會(huì)計(jì)系統(tǒng)比較陌生，內(nèi)部控制措施不明確，審計(jì)方法不得要領(lǐng)，所以審計(jì)人員只得沿用對(duì)手工會(huì)計(jì)的審計(jì)方法，很少能夠?qū)?nèi)部控制進(jìn)行有效的審計(jì)，漏洞較多，不足以確保會(huì)計(jì)系統(tǒng)的安全。因此，提高對(duì)內(nèi)部控制的認(rèn)識(shí)，加強(qiáng)對(duì)其內(nèi)涵和技術(shù)的，重視對(duì)內(nèi)部控制的審計(jì)，仍是當(dāng)前會(huì)計(jì)電算化和審計(jì)領(lǐng)域的一個(gè)關(guān)鍵課題。一般情況下審計(jì)人員的責(zé)任主要不是審計(jì)計(jì)算機(jī)和會(huì)計(jì)軟件系統(tǒng)的內(nèi)部控制措施，而是審計(jì)應(yīng)用單位制訂的內(nèi)部控制制度是否健全和真正有效執(zhí)行。計(jì)算機(jī)硬件和系統(tǒng)軟件無(wú)需審計(jì)人員去審計(jì)，而會(huì)計(jì)軟件系統(tǒng)的輸入、處理、輸出和安全控制功能則應(yīng)由專家去評(píng)審。我國(guó)過(guò)去對(duì)會(huì)計(jì)核算軟件的兩級(jí)評(píng)審制度，其實(shí)質(zhì)就是對(duì)會(huì)計(jì)軟件內(nèi)部控制功能的審計(jì)。

　　參考文獻(xiàn)

　　[1]鄧春華。財(cái)務(wù)會(huì)計(jì)風(fēng)險(xiǎn)防范[M].中國(guó)財(cái)政經(jīng)濟(jì)出版社，2001

　　 [2]劉國(guó)常。企業(yè)內(nèi)部會(huì)計(jì)控制及其評(píng)審[M].2中國(guó)財(cái)政經(jīng)濟(jì)出版社，003

　　 [3]常勛。財(cái)務(wù)會(huì)計(jì)四大難題[M].中國(guó)財(cái)政經(jīng)濟(jì)出版社，2005

　　[4]王春峰。金融市場(chǎng)風(fēng)險(xiǎn)管理[M].天津大學(xué)出版社，2001