摘要：会计信息系统的推广，使得会计核算的准确性、可靠性和数据处理效率得到了极大的提高，但也为企业的内部控制带来了许多新问题。文章基于《企业内部控制基本规范》，借鉴coso报告五要素框架理论，分析探讨了影响内部会计控制制度的控制环境、风险评估、控制活动、信息与沟通、监控等5个要素，并提出了与之相对应的完善会计信息系统内部控制制度的建议，以期对企业有一定的借鉴意义。
 
    关键词：企业内部控制基本规范；内部控制；会计信息系统
 
    2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了我国首部《企业内部控制基本规范》（以下简称基本规范）。基本规范自2010年1月1日起首先在上市公司范围内实施，鼓励非上市的其他大中型企业执行。这意味着中国企业内部控制规范体系建设正在向国际标准靠拢。
 
    这套适用于中国企业的内部控制体系，其基本规范借鉴了coso（the committee of sponsoring organization）报告五要素框架和风险管理八要素框架；具体范围以财务报告内部控制为主线，对与企业财务报表项目相关的、可能会对财务报告真实可靠性产生较大影响的经济业务事项以及与财务报表编报相关的业务活动提出具体的控制规范，并对为实现有效的财务报告内部控制的事前、事中和事后制度支持提出控制要求。本文从it内部控制与it风险管理的角度，阐述企业it控制与会计信息系统内部控制之间的关系。
 
    一、会计信息系统内部控制制度包含的五要素框架
 
    美国coso发布了关于内部控制的概念界定和评价内部控制系统的指导性框架的报告，这一报告被国际社会公认为可接受的内部控制的权威性报告，对我国会计信息系统的内部控制制度的建立具有重要的参考价值。coso报告认为内部控制系统包括5个组成要素：控制环境、风险评估、控制活动、信息与沟通、监控。相应，会计信息系统内部控制框架也对应于企业内部控制的五要素框架。因此，对会计信息系统内部控制制度的探讨也应从这5个方面进行。
 
    （一）内部环境
 
    内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称，是实施内部控制的基础。内部环境在企业it领域的体现是it的内部控制环境，主要包括it治理架构、it组织与职责，it决策机制，it合规与it审计等。在it环境下，因为企业内部管理结构扁平化，使得内部控制的组织结构发生改变。这要求内部控制的方式与管理手段随之改变。it经济引导着企业组织从机械式向有机式并最终向虚拟组织发展演变，要求企业的领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织，既要有创新和发展，又能在不断磨合中加强内部控制和向心力。it改变企业的架构、企业文化，并影响各成员控制意识，这要求管理层树立信息意识，更新控制观念。
 
    （二）风险评估
 
    风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程，是实施内部控制的重要环节，也是coso内部控制整体框架的独特之处。it手段的不断应用，给企业带来竞争优势的同时也带来了风险，在it环境下，虽然企业的整体目标没有改变，但是经济、产业及管理的外部环境与内部因素都发生了变化。伴随业务流程的改变，系统的开发性、信息的分散性、数据的共享性，使系统从以往封闭集中状态走向开放，给会计信息系统带来了风险。这些风险构成了内部控制的新内容，扩大了会计信息系统内部控制的范围，必须有效利用it作为控制风险的工具。应树立信息意识，更新控制观念，改变思维定式，有效利用it为企业服务。把it作为防范风险的工具，与业务活动有效结合起来，建立一个控制良好的电子数据处理系统，保证企业业务处理活动严格按商业规则进行。
 
    （三）控制措施
 
    控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法与手段，是实施内部控制的具体方式，主要包括职责分工控制、授权控制、绩效评估控制、财产保护控制、会计系统控制、内部报告控制、信息技术控制等。it的广泛应用，增强了控制手段的灵活性、高效性，加强了内部控制的预防、检查与纠正的功能，经济有效地实现内部控制的目标。it环境下的会计信息系统控制的重点由对人的控制为主转变为对人、机共同控制为主，控制程序与计算机处理相协调适应。随着计算机使用范围的扩大，利用计算机进行贪污、舞弊、诈骗等犯罪活动有所增加。因此，也增加了it环境下内部控制的难度与复杂性。
 
    （四）信息与沟通
 
    信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息，并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程，是实施内部控制的重要条件。it衔接企业各职能部门实现了会计和业务的一体化处理，会计核算从事后的静态核算转变为事中的动态控制，信息需求者可以获取实时信息，使得工作在空间和时间上的接近不再是至关重要的问题。内部控制由顺序化向并行化发展，企业的设计、制造、销售、会计等人员并肩工作，共同控制企业的物流、资金流和信息流。
 
    （五）监督检查
 
    监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估，形成书面报告并做出相应处理的过程，是实施内部控制的重要保证。在it环境下，一些内部控制被计算机程序化并嵌入在计算机应用系统内，因此内部控制具有人工控制与程序控制相结合的特点。这些程序化的内部控制的有效性取决于应用程序，如果程序发生差错或计算机感染病毒，由于人们对计算机系统的依赖性、麻痹大意及程序运行的重复性，使得失效控制长期不被发现，甚至导致系统在特定方面发生错误或违规行为的可能性较大。所以，在it环境下，注意对内部控制的监督，由适当的人员，在适当的时候，及时评估控制的设计和运作情况。
 
    二、建立健全会计信息系统内部控制制度的建议
 
    鉴于会计信息系统的特点，借助coso框架，建立会计信息系统内部控制制度应考虑如下因素：