會(huì)計(jì)信息化的實(shí)施不僅是一場(chǎng)技術(shù)革命，更是管理理論和管理思想的革命。基于會(huì)計(jì)信息化的企業(yè)內(nèi)部控制優(yōu)化已成為國(guó)內(nèi)外理論和實(shí)務(wù)界的研究熱點(diǎn)。在會(huì)計(jì)信息化背景下，企業(yè)只有不斷優(yōu)化和完善與之適應(yīng)的內(nèi)部控制，才能提高經(jīng)濟(jì)效益，才能在激烈的市場(chǎng)競(jìng)爭(zhēng)中占得一席之地。
    企業(yè)會(huì)計(jì)信息系統(tǒng)的穩(wěn)定運(yùn)行依賴于對(duì)內(nèi)部控制的不斷優(yōu)化和完善，而高質(zhì)量的內(nèi)部控制可以保障會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)的準(zhǔn)確性、安全性和可靠性。筆者以企業(yè)會(huì)計(jì)信息化為立足點(diǎn)，以內(nèi)部控制優(yōu)化為主線，在此基礎(chǔ)上提出會(huì)計(jì)信息化環(huán)境下構(gòu)建內(nèi)部控制體系的新思路。
    以ERMF和COBIT4.1
為框架構(gòu)建信息化內(nèi)部控制體系
    2004年，美國(guó)Treadway委員會(huì)（反財(cái)務(wù)舞弊委員會(huì)）頒布了一份新的COSO報(bào)告—— —《企業(yè)風(fēng)險(xiǎn)管理整合框架》（ERMF）。
    ERMF總結(jié)了COSO報(bào)告發(fā)布十年來(lái)的成果，把內(nèi)部控制從“過程觀”提升到了“風(fēng)險(xiǎn)觀”，將內(nèi)部控制納入到風(fēng)險(xiǎn)管理，成為企業(yè)經(jīng)營(yíng)管理過程的重要組成部分。
    《信息及相關(guān)技術(shù)控制目標(biāo)》(CO鄄BIT)由信息系統(tǒng)審計(jì)與控制協(xié)會(huì)    在1996年公布，目前已經(jīng)更新至4.1版。COBIT是國(guó)際上目前普遍采用的信息技術(shù)治理框架。它為企業(yè)信息化提供了一套權(quán)威的、國(guó)際通用的公認(rèn)標(biāo)準(zhǔn)。其目的是規(guī)范并提高信息化治理水平，有效防范控制風(fēng)險(xiǎn)及增加管理層對(duì)控制的感知等。
    ERMF和COBIT都是以內(nèi)部控制理論為基礎(chǔ)建立起來(lái)的，是內(nèi)部控制框架的自然延伸、發(fā)展和完善。二者均注重監(jiān)督與評(píng)價(jià)企業(yè)內(nèi)部控制活動(dòng)，突出有效性、可靠性、相關(guān)法規(guī)的遵循性以及強(qiáng)調(diào)風(fēng)險(xiǎn)評(píng)估、人力資源管理的重要性等。以ERMF為代表的業(yè)務(wù)控制框架，主要是從受托責(zé)任方面來(lái)考慮一般控制的價(jià)值，是針對(duì)所有企業(yè)提出的內(nèi)部控制新框架，缺少對(duì)信息化控制的闡述和說(shuō)明。而COBIT4.1控制框架主要針對(duì)政府或企業(yè)范圍內(nèi)的信息系統(tǒng)的應(yīng)用，側(cè)重于對(duì)技術(shù)進(jìn)行控制。此外，前者的理論性較強(qiáng)，后者的實(shí)踐性和可操作性較突出。企業(yè)應(yīng)結(jié)合自身實(shí)際情況，將二者有效融合，構(gòu)建適應(yīng)會(huì)計(jì)信息化的內(nèi)部控制體系。
    
基于角色進(jìn)行人員崗位權(quán)限設(shè)置
    在內(nèi)部控制體系中，建立責(zé)權(quán)清晰的崗位分工體系可以實(shí)現(xiàn)各崗位相互牽制、相互制約、防止或減少舞弊及錯(cuò)誤的發(fā)生?；?nbsp;   角色的權(quán)限控制方案是通過設(shè)置角色來(lái)完成用戶權(quán)限的授予、修改和取消。系統(tǒng)管理人員先根據(jù)需要定義各種角色，并設(shè)置功能權(quán)限。而后，用戶根據(jù)其權(quán)、責(zé)、利被指定為不同的角色。同一角色可對(duì)應(yīng)多個(gè)用戶，同一用戶也可根據(jù)需要被定義多個(gè)角色。整個(gè)崗位權(quán)限控制過程分成兩個(gè)部分，即功能權(quán)限與角色相關(guān)聯(lián)。角色再與用戶關(guān)聯(lián)，從而實(shí)現(xiàn)了用戶與功能權(quán)限的邏輯分離，使得權(quán)限分配和管理更加方便和有效。
    
健全會(huì)計(jì)信息化檔案管理制度
      會(huì)計(jì)信息化下，會(huì)計(jì)檔案采用以磁（光）介質(zhì)為主、紙介質(zhì)為輔的存儲(chǔ)方式。為此，首先應(yīng)對(duì)信息化檔案管理制度加以完善，對(duì)檔案的保管方式、保管條件以及保管人員的工作職責(zé)做出明確的    規(guī)定，并嚴(yán)格按要求執(zhí)行，形成有效的約束機(jī)制。要注意定期對(duì)會(huì)計(jì)檔案進(jìn)行備份，可制作兩個(gè)以上備份，并盡量存于不同空間，可增加檔案的安全性。如911911事件中，摩根史坦利的金融財(cái)務(wù)數(shù)據(jù)就是因?yàn)槊刻靷鞯?00公里外的電信數(shù)據(jù)中心備份，所以事故后不久就能恢復(fù)業(yè)務(wù)。
    
完善軟件功能強(qiáng)化網(wǎng)絡(luò)安全控制
    在軟件方面，使用前必須進(jìn)行嚴(yán)格的檢查和測(cè)試，查看該軟件是否具有容錯(cuò)能力、數(shù)據(jù)庫(kù)是否具有安全保障能力等，以確定信息系統(tǒng)是否合法、合規(guī)、合格，是否安全健壯。
    在使用過程中，企業(yè)要定期進(jìn)行系統(tǒng)的維護(hù)和管理，包括檢查系統(tǒng)文件的完整性，保證不被非法修改和刪除；識(shí)別并糾正程序中的錯(cuò)誤，改進(jìn)系統(tǒng)性能；排除軟件故障，提高系統(tǒng)的運(yùn)行效率；定期進(jìn)行系統(tǒng)數(shù)據(jù)代碼的備份等。
    另外，網(wǎng)絡(luò)安全也是信息化下內(nèi)部控制要重點(diǎn)解決的問題。
    隨著網(wǎng)絡(luò)技術(shù)快速發(fā)展，企業(yè)應(yīng)在技術(shù)方面加強(qiáng)對(duì)整個(gè)財(cái)務(wù)網(wǎng)絡(luò)系統(tǒng)的各個(gè)層次的安全防范措施，如采用授權(quán)控制、認(rèn)證控制、身份識(shí)別、數(shù)據(jù)加密等安全技術(shù)。
    制定完善的網(wǎng)絡(luò)安全操作制度等，建立綜合的多層次的網(wǎng)絡(luò)安全體系。