本站原创【摘 要 】 借鉴COSO报告,阐述电子商务对内部控制的控制环境、风险评估、控制活动、信息与沟通、监督的影响,以及从软件开发应用上进行事前和事中的控制,加强输入、输出控制,建立岗位牵制制度四方面进行完善控制.
【关 键 词 】 电子商务,内部控制,网络环境
一、内部控制的定义
目前对内部控制的定义有很多种,其中较有权威的是美国的COSO委员会1992年提出并于1994年修改的《内部控制―整体框架》中提出的内部控制整体框架概念.COSO委员会认为,内部控制广泛地被定义为由企业董事会、经理层和其他人员实施的一个过程,能为达到所关注的以下领域的目标提供合理的保证.COSO报告认为内部控制有如下目标:经营的效率和效果(基本经济目标,包括绩效、利润目标和资源、安全),财务报告的可靠性(包括从中期报告、合并财务报表中选取的数据的可靠性)和符合相应的法律法规.
COSO报告的研究结果认为内部控制由五大要素构成:(1)控制环境,指企业的核心人员以及这些人的个别属性和所处的工作环境,是其他内控组成部分的基础.(2)风险评估,是识别和分析那些妨碍实现经营管理目标因素的活动.(3)控制活动,是为了合理地保证经营管理目标的实现,指导员工实施管理口令,管理和化解风险而采取的政治和程序.(4)信息与沟通,指员工得以搜集和交换为管理和进行控制等活动所需要的信息,包括管理者对员工的工作业绩的经常性评价.(5)监督,是经营管理部门对内控的管理监督和内审监督部门对内控的再监督和与再评价活动的总称.企业内部控制体系是五大要素共同构成的整体框架结构.
二、电子商务对企业内部控制系统的冲击及影响
(一)对控制环境的影响
控制环境影响员工的控制理念,它是所有其他要素的基础,提供控制的纪律和结构.控制环境要素包括企业员工的正直诚实、价值观和能力,管理哲学和经营风格,经营者的权力分配和责任,人力资源的组织以及由董事会提供的关注和指导.可以看出在电子商务环境下,内部控制更加重了人这个因素在内部控制环境中的作用.传统会计在空间、时间和操作流程上具有一定的独立性,业务一般较单一,与其它业务联系较少.在电子商务活动中,网络环境使得会计核算简单化,整个财务成为企业业务链中的中心环节之一,会计人员必须拥有相关的管理知识和网络知识,否则财务业务流就会因此减慢,影响整个企业的效率.
由于会计人员要提供准确的成本信息等会计信息,就必须了解熟悉具体的生产过程及其工艺.如电子商务活动使得无库存生产成为可能,作业成本成为成本会计发展的方向,就要求会计人员不仅要具有会计知识,还必须掌握相应产业的基本知识.会计还面临人力资源会计的构造、信息、知识等无形资产的计价等新课题,这也要求会计人员不仅要有广博的知识,还应具有创新知识的能力,以适应网络经济发展的需要.
(二)对风险评估的影响
由于经济、行业、管理和经营条件将不断发生变化,必须有一个鉴别和处理与变化相关的应对风险的机制.风险评估是企业内部控制过程中的关键环节,是企业内部控制的主要特征.电子商务引起的风险主要包括以下几个方面:
(1)数据高度集中于电子商务系统,易导致机密的数据被不法分子拷贝,甚至可能被非法篡改而不留下任何痕迹.
(2)如果在电子商务系统设计时考虑不周,电子商务系统可能无法判断是否符合逻辑,对不合理的事项也会照样处理.
(3)电子商务系统主要以磁带,光盘等存储介质为信息载体,记录于这些存储介质上的信息是肉眼不可见的,必须借助于计算机的“翻译”,才能以可以理解的形式表现出来,同一信息可以被“解释”成不同的形式.利用磁性解释难以实现诸如签字、盖章等这些使信息证据化的操作.
(4)电子商务系统对错误的处理只有重复性和连续性.
(5)电子商务系统中许多不相容职责相对集中,加大了舞弊的风险.
(6)系统设计时可能没有考虑内控工作的需要,没有留下充分的内控线索.
(7)计算机病毒的入侵和“”对电子商务系统的故意破坏.
(三)对控制活动的影响
控制活动是帮助保证管理措施得以实现的政策和程序,它们帮助采取必要的行动去应对风险,成功达到企业的目标.控制活动发生于企业的各个层面和所有职能,范围包括审核、批准、复查、核对、运作执行的检查、资产保护和职责分工等.与财务相关的控制活动包括:交易授权、职责划分、凭证与记录控制、资产接触与记录使用、独立稽核.在电子商务前提下,控制活动必须考虑受影响的因素:
第一,会计信息的网上实时处理使原来由几个部门按预定的步骤完成的业务事项可集中在一个部门甚至一个人完成成为可能.
第二,在网络环境下,过去以计算机为中心的“保险箱”式的安全措施已不适用,大量的会计信息通过开放的Inter传递,途经若干个国家与地区,置身于开放的网络中,存在被取、篡改、泄漏机密等安全风险,很难保证其真实性与完整性.
第三,由于互联网的开放性,给一些非善意访问者以可乘之机,网络会计系统面临着巨大的安全风险.
第四,计算机病毒的猖獗,也为互联网系统带来更大的风险.
(四)对信息与沟通的影响
有关的信息必须被鉴别、记载并以一定形式和适当的时间在完成它们职责的人员之间交流,信息系统包括来自经营、财务和有关部门的信息报告.它不仅涉及内部产生的信息,有关外部活动、行为和条件的信息也必须提供给企业.有效的沟通同样必须在广阔的领域发生,所有的人都必须收到来自最高层关于控制责任必须被严肃对待的清晰的信息.由于在传统企业所处的环境中,信息计量和传输的成本很高,有关经营决策过程及其影响的信息不可能实现实时同步反映,总是具有汇总性和事后反映的特性.
随着电子商务信息技术的发展及其在企业中的广泛应用,信息计量和传输的成本大大降低,有关经营决策的信息已经能够实现实时、充分、同步反映,企业中的任何经营决策的个人或部门的垄断信息成为整个企业的共享信息.在网络环境下的企业,传统的不对称程度已大大降低,信息的实时传输已成为企业内部控制的一项基本特征.实时同步的信息反映,决定了网络环境下的企业对经营决策过程的控制活动必然是一个实时同步的过程,这种同步控制活动在经营决策活动发生时就能有效的发现并纠正任何可能存在的问题.网络开放的环境很难避免非法的侵扰,会计信息系统很有可能遭受非法的访问甚至或者病毒的侵扰,增加了内部控制的难度和复杂度.
(五)对监督的影响
内部控制系统必须受到监督,这是内控系统对过去时期执行质量的测试,它通过不断的监督活动、独立的评价、或两者都进行来完成:持续的监督活动发生于经营的过程中要确保内部控制制度被切实的执行且执行的效果良好,必须有良好的监督约束机制.在手工会计系统中,设置有相关牵制和制约的会计岗位,对于一项经济业务的每个环节,都要经过某些具有相应权限的人员的审核和签章,且会计信息原原本本留存于纸介质上,任何对会计凭证和账簿的增删和修改均可从笔迹和印章上判明.
实施电子商务以后,会计业务只要由计算机系统来处理,电算化功能的强化和运算的高度集中,使会计人员在职能划分和业务权限上发生了很大的变化,会计人员的主要职能将逐渐由核算型向管理型过渡.有些操作人员即可以负责数据的输入,又可以负责数据的输出和报送.网络的应用使内部控制具有人工控制与程序控制相结合的特点,如果程序发生错误或不起作用,由于人们对计算机系统的依赖性、麻痹大意以及程序运行的重复性,导致失效控制长期不被人发现,使系统在特定方面发生错误或违规行为的损失较大.
三、加强企业内部控制制度的措施
(一)在软件开发及应用上进行事前控制和事中控制
1.事前控制.财务软件的开发必须遵循国家有关部门制定的标准和规范:(1)在财务系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制定有效的内部控制方案,并将制定的控制方案在系统中实现.(2)在系统测试运行阶段,要加强监督与管理,严格按照各种标准进行,系统应用控制是指具体应用系统中用来预防、检测和更正错误,以防止不法行为的内部控制措施.
2.事中控制.指系统维护控制,系统维护包括软件修改,代码结构修改和计算机硬件与通信设备的维修等,涉及到系统功能的调整、扩充和完善.对网络系统进行维护必须经过周密计划和严格记录,维护过程的每一个环节都必须设置必要的控制,维护的原因和性质要有书面形式的报告,经批准后才能实施.软件个性修改尤其重要,系统操作员不能参与软件的修改,所有与系统维护有关的记录都应该打印存档.
(二)加强输入、输出控制
1.在输入控制中,要求输入的数据应经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验.
2.在处理控制中,对数据进行有效性控制和文件控制,有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等,文件控制包括检查文件长度、标识和是否感染病毒等.
3.在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息,二要确保输出结果能够发送到合法的输出对象,文件传输安全正确.
(三)建立岗位牵制制度
传统的手工系统下的牵制手段已不能适应电算化会计系统的要求,必须找到能够充分利用网络实时高效的特点的方法.一个比较有效的方法是在电算化系统内分出操作与监控两个岗位,对每一笔业务处理时进行多方备份.当会计人员进行财务处理时,其操作和数据也被同步记录在监控人员的机器上,由监控人员进行即时或者定期审查,一旦出现数据不一致便进行深入调查,这样明确了岗位的划分,实现了有效的牵制,但目前的财务软件尚未完全做到这一点.
总之,随着网络技术的逐渐成熟与完善,内部控制体系将发生深刻的变化,只有意识到这些变化,建立完善,有效的内部控制制度体系,才能适应社会经济的发展需要.