云会计环境下AIS内部控制风险与对策*

重庆理工大学会计学院 程 平 李 宁

一、引言

随着云计算技术愈加成熟和在应用领域中不断拓展和深入，“云会计”的出现引领了会计信息化领域的新变革。云会计是构建于互联网上，利用云计算技术和理念构建的会计信息化基础设施和服务的总称。当前，云会计在企业中越来越普及，在为企业带来高效率、低成本、易更新维护、易与外部信息系统协同等优势提升企业会计信息系统系统（Accounting Information System，以下简称AIS）效率与效益的同时，也给AIS内部控制带来新的挑战。AIS内部控制由于存在自动化成分而在很大程度上区别于传统针对人工的内部控制，然而当今企业往往由于技术水平、经营理念、管理风格等因素忽视信息技术的运用对企业内部控制设计和运行的影响。因此在设计、运行、监督内部控制时，应当充分考虑AIS的技术特点、业务处理与控制流程设计等因素，充分发挥云会计的信息技术优势，有效规避AIS内部控制不利风险，建立与AIS相适应的内部控制机制，促进企业信息安全、资产保全和经营管理目标的实现。

AIS内部控制由于涉及到人工控制和自动化控制两个层面的内部控制，而越发凸显出复杂性和高风险性，已引起学者们的广泛关注。邱照亮从当前AIS内部控制的新特点进行分析，提出了存在的问题与解决对策。黄莉娟从内部控制五要素角度分析当前网络环境给AIS内部控制带来的影响，并提出了网络环境下的会计实时控制系统理论模型。综观上述文献研究，虽已有不少有关AIS内部控制的研究，但却鲜有针对当前备受关注的云会计相应的内部控制研究，仅仅依靠供应商在AIS设计层面、技术层面等方面提升会计信息系统的性能远不能满足企业经营管理的需要，企业应当根据所购买的云会计产品的组织形式、业务流程特点、云会计环境的安全水平以及自身财务、业务、管理层面的需求制定与云会计下AIS相适应、符合自身特点的AIS内部控制制度，并保证其有效执行，才能最大限度的发挥云会计的优势。

二、云会计环境下AIS内部控制存在的风险

云会计环境下AIS内部控制存在很多有别于传统内部控制的自身特性，因此，其内部控制更应当遵循成熟完备的理论体系进行设计、运行、维护，因此，本文将从内部控制五要素角度分析云会计下AIS内部控制存在的风险。

（一）控制环境基础薄弱 控制环境无论在手工环境下还是信息化环境下都是实施内部控制的基础，影响企业全体员工的内部控制意识，进而引导、制约员工实施控制活动和履行控制责任的态度和行为。因此，用户选择云会计产品时应结合企业组织架构、发展战略、人力资源、企业文化和社会责任等方面的控制环境因素选择适合自身财务、业务、管理需求的AIS，即选择可信的AIS。软件的可信性评价已成为当今业界和学界关注的热点，针对会计信息化领域，AIS可信性可以定义为AIS对会计信息的输入、处理和输出流程符合AIS用户的预期，以及AIS产生的会计信息所具有的相关性和可靠性等会计信息质量特征符合企业各级管理人员、审计人员、税务部门、投资者等会计信息使用者的预期。虽然当前已有不少关于软件可信性评价的研究，却难以针对云会计环境下的AIS进行有效评估。由于目前还缺乏较为科学合理的云会计下AIS可信性评价方法，用户在选择云会计产品时难以获得充分的可信性证据，仅能根据品牌效应、供应商提供的产品信息、小范围的产品使用评价等数据来选择云会计产品。如此较为盲目的选择云会计产品使得AIS存在难以满足用户对系统可靠性、安全性、可维护性、可审计性等可信性需求的风险，这使得内部控制中的自动化控制能力有所降低，控制环境基础薄弱，一旦发生故障未及时察觉，由于自动化控制重复运行的特性，会使问题扩大化，即使人工控制设计和运行有效合理，整体的AIS内部控制也难以满足企业的经营管理需要。

（二）不重视风险评估 云会计环境下AIS具有开放性和动态演化性会给企业带来信息化层面的风险，特别是外部法律法规、监管及经营环境变化、企业从原有传统AIS转换为云会计下AIS、云端云会计服务更新升级等情况发生时，如果会计人员的素质难以适应政策变化与技术更新，AIS内部控制也没有做出相应的调整和完善，就可能影响风险评估与防控。例如在使用云会计某些通用、简易的业务处理模块如特殊业务、例外事项、不合理事项等情况时，由于人工控制较为松懈或AIS未能识别出该项业务对企业来说是异常等原因，将特殊业务“通融”为正常业务进行处理而不被察觉。由于AIS内部控制不健全未能及时识别、评估、应对风险，不仅可能使企业遭受未能及时发现人工成分或自动化成分存在的漏洞导致的舞弊、财务信息失真、影响决策和战略制定以及经营失败等威胁，还可能使企业未能把握有利因素而错失发展良机。

（三）控制活动缺乏灵活性 在开放动态的云会计环境下，会计业务流程是根据国家法律法规政策、行业状况、市场情况以及用户特定需求及时在云端自动更新维护，促使会计流程再造，而企业的内部控制制度可能因为缺少科学合理的设计以及未根据企业财务、业务、管理的需求进行及时相应的调整，控制活动缺乏灵活性而带来AIS内部控制风险。例如作为内部控制基础性控制手段的授权控制，传统AIS内部控制只关注口令和电子签章方式的授权，采取相互牵制与监督、合理安排岗位职责和权限等组织控制防范口令泄密带来的风险，却未能将新兴授权方式如优盾、手机短信验证等考虑在内，当企业出现这些技术革新时也没有及时考量风险、完善内控，给舞弊、高新技术犯罪造成可乘之机；又如，当云端服务升级或业务流程演化时，企业缺乏灵活应变的AIS内部控制制度与之相适应，面对高度集成化的会计处理功能，合并执行的业务处理、弱化的职责分离，使得不相容岗位相对集中，出现少量流程变动时未做风险防范与内部控制调整，可能会影响处理效率、或出现未察觉的内部控制缺陷，会带来巨大的安全隐患，给公司造成经济或其他利益的损失。

（四）信息系统沟通不畅 AIS内部控制的信息系统不仅包括AIS自动化信息系统，还包括人工信息系统，用来记录、处理和报告交易、事项，目的是保证会计信息质量以便财务信息使用者和利益相关者获取真实合理、有利于经营决策的信息。云会计下的AIS，企业将大量财务数据与非财务数据集中存储于云端存储设备中，此外，企业在进行交易业务处理时，大量数据、指令等重要信息与云端服务器进行交互，这些数据在开放动态的云会计环境下的安全性如何，会影响会计信息可靠性和相关性这两个会计信息基本要求，进而影响会计信息质量。硬件和网络基础设施发生断电或死机、核心财务数据遭黑客盗窃、供应商有意无意泄露信息等情况的出现使得内部信息传递不通畅、不及时，可能导致企业决策失误、相关政策难以落实。云会计的发展必然促进网上交易的开展，原始凭证数字化的程度增加，然而数字化的原始凭证相对于传统的纸质原始凭证存在易被篡改、伪造的缺点，外来单据的可靠性必将成为内部控制的关键点，使得内部控制风险防范及规避难度增大，对AIS内部控制提出了更高的要求。

（五）缺乏对控制及时有效的监督 对控制的监督是保障控制持续有效运行的有力保障。内部控制系统应根据环境的变化及时做出评估和调整，但是作为确保内部控制有效运行的内部审计工作在信息化进程中却呈现出明显滞后性，传统的审计方式在信息处理技术、审计流程方法、审计制度等方面不适应当前高度信息化、集成化的企业业务处理与管理控制，大大增加了审计人员对内部控制评价的难度。云会计下许多不相容岗位相对集中，增加了人为舞弊的可能性；此外以电子数据形式储存的信息不仅因为易被篡改而可靠性降低，而且大多数据由AIS根据预先设定的程序处理财务业务数据、自动生成数据处理结果，这些对审计工作至关重要的处理过程对审计人员是半可见甚至是不可见的，增加了审计稽查的难度。与此同时，内部稽查、审计人员信息加工处理能力不足，未能针对本企业的业务特点制定内部稽查、审计流程与方法，难以胜任大量复杂的业务数据处理与稽查，造成了AIS内部控制监督缺陷。

三、云会计环境下AIS内部控制完善措施

针对云会计下AIS内部控制存在的风险，本文从AIS可信性评价、会计组织结构、提高信息质量、强化监督机制、建立预警机制、提高人员素质、完善法律法规体系建设等七个方面提出了云会计下AIS的内部控制完善措施。

（一）选择高可信性的云会计产品 在云会计迅速发展与普及的今天，业界与学界应加快与云会计相适应的可信性评价方法研究，及早制定出科学合理且符合企业特定需求的可信性评价体系，并将其推广普及到云会计市场中，加快建立起云会计产品开发、服务、评价、定价、监管标准，进行分类管理的行业标准，促使云会计供应商建立起以可信性为导向的云会计产品质量管理制度，不断提高云会计产品的可信性水平以便于企业根据成本效益原则选择符合其自身信息化需求特定可信性水平的云会计产品，充分发挥云会计及时更新升级、修补漏洞、便于维护的特性，尽可能完善AIS程序控制层面的内部控制，可以大幅度减少因人工控制设计不合理、人员素质不高等因素导致的控制运行失效的风险。

（二）优化会计组织结构 与云会计相适应的企业组织结构有利于最大限度的发挥云会计带来的信息技术优势，并有效降低信息化的控制风险。云会计越是高效便捷、节约信息化建设的人力物力成本，企业越应当意识到由于岗位人员精简带来的权限过于集中的AIS内部控制风险。因此应当将分级管理与授权审批相结合，明确岗位职责权限，严格做到不相容岗位相互分离，对口令、数字签名使用现代加密技术提高其可靠性与机密性，并进行不定期更换，防止被不法分子获知破坏云端服务或企业数据。此外，对需要严格控制的关键操作环节应采用“并钥”方式授权，设置专门的岗位对其进行监督等方式建立完善的内部控制组织体系，强化日常操作与监督控制。在高度信息化存储的云会计环境下，纸质档案作为AIS的辅助信息记录表达方式，其保管保密工作仍应受到足够的重视。

（三）实行第三方交易认证机制 云会计环境下原始凭证仍沿用数字方式，但不像手工方式那样可对每一张凭证做痕迹检验。可以根据三方牵制原理设置云端交易认证机构，企业在认证机构领取数字签名认证或私有密钥，发生业务时，交易凭证开出方将单据传到云端认证机构，由认证机构根据统一识别的属性信息进行认证并将经过加密后的凭证转发给交易凭证接收方。这样利用云会计的数据处理优势进行简易便捷的交易认证处理，降低了由于原始凭证数字化而引起的会计信息失真、虚构交易事项、盗用转移企业资产、隐瞒或虚增利润、偷税漏税等行为发生的风险。

（四）强化内部稽核、内部审计等监督机制 云会计供应商在设计云会计产品时应考虑到企业的会计、内部审计人员信息化技术水平，预留出便于调用的可供审计、稽查的标准化数据接口，在提供给稽查、监督人员的用户手册中提供业务处理核算的控制流程、表单结构与勾稽关系等有利于对控制进行及时有效监督的措施。各个业务流程部门的业务处理均应当在AIS中留有可以作为审计线索的运行轨迹，如：对操作过程和结果记录、业务流程数据统计数据、内部稽核数据等，使得各个业务流程部门的审计线索相互关联，运行轨迹数据能够相互勾稽、印证。及时进行内部稽核、内部审计工作，核对相关业务数据，对AIS内部控制运行的有效性进行评价与校验，及时发现AIS、内部控制系统、财务信息等方面的异常，将风险与损失降到最低。

（五）建立风险预警机制，定期评估AIS内部控制风险建立实时风险预警机制，打破传统上独立的、被动反应的和检查性的内部控制模式，构建实时控制。从风险的角度考量内部控制的设计和执行情况，通过设置会计信息系统的关键风险点，制定相应的风险管理与内部控制措施；将云会计结合大数据进行行业状况、市场环境、经营效果、预测决策、战略制定等方面的风险识别预警机制，定期评估AIS内部控制风险，从传统的出现问题事后补救的管理方式转换成强调事前事中控制，使企业在激烈的市场竞争中对可能的风险点做出迅速的调整，进行及时恰当的风险控制以规避风险，立于不败之地。

（六）提升会计人员素质 会计信息化是企业财务业务管理的必然发展方向，云会计以其与先进的云计算技术和理念相结合的优势在会计信息化领域独占鳌头。然而机遇与挑战并存，开放动态的云会计环境也存在着固有风险，需要结合人工控制来克服操作集中处理、数据集中存储等方式带来的弊端，会计人员的素质成为制约人工控制能否发挥有效性的关键一环。首先应当提高会计人员的信息化操作管理素质，通过培训、继续教育等方式培养出精通会计知识、信息技术，同时具备管理才能的复合型人才。基层的会计人员如果具备了信息管理、应对突发事件、对交易处理复杂数据的核查等能力，往往能在第一时间发现云会计处理、存储等方面的故障和弊端，及时向云端反馈便能将给本企业以及使用该功能的其他企业带来的损失降到最低。其次，加强AIS安全宣传教育，提高会计人员职业道德修养，在云会计数据高度集中处理的情况下，如果熟悉AIS技术会计人员利用职权或越权操作，设法绕过系统和人工监控对数据和系统进行非法操作，相对于手工会计处理更加难以察觉，会给企业带来不可估量的损失。除内部控制对会计人员的监控和制衡外，还应设立积极的业绩评价与激励机制，使得会计人员建立起主人翁意识，遵守职业道德、合规处理、及时发现、报告、处理AIS及其内控的错误与漏洞。

（七）加快云会计相关法律法规标准体系建设 目前，我国关于云会计下的AIS内部控制、数据安全等方面的相关法律法规还相对较少，由于法规的不健全使得会计犯罪的很难控制，因此，国家应加紧有关标准的制定和法规立法，颁布相关的法律法规，从宏观上加强AIS内部控制，以推进我国云会计产业的发展进程。对企业而言，也应根据新的会计环境，将信息化与企业业务需求结合，加大力度研究与云会计相适应的内部控制制度来促进云会计发挥其更大的使用价值。

四、结论

建立与云会计相适应的内部控制制度对云会计的推广和使用至关重要。本文从内部控制要素角度结合云会计的特性展开分析当前企业AIS内部控制存在的风险，并针对内部控制风险提出了云会计下AIS内部控制完善措施，为企业建立适应云会计下AIS的各个层次、各个管理方面的内部控制以促使企业在规避云会计技术、环境层面带来的固有风险的同时，充分利用云会计高效处理、实时更新维护、大数据分析决策等优势给企业带来的便捷与机遇。

［1］王凡林：《会计信息系统规划特征与可信性关系研究》，《会计研究》2010年第11期。

［2］程平、何雪峰：《“云会计”在中小企业会计信息化中的应用》，《重庆理工大学学报》（社会科学）2011年第1期。

［3］刘克、单志广、王戟等：《“可信软件基础研究”重大研究计划综述》，《中国科学基金》2008年第3期。

［4］程平：《不要让数据安全成为云会计的“绊脚石”》，《中国会计报》2011年6月17日。

［5］邓莹：《浅析网络会计内部控制》，《财会通讯》（综合·上）2011年第1期。