會計信息化的實施不僅是一場技術(shù)革命，更是管理理論和管理思想的革命?；跁嬓畔⒒钠髽I(yè)內(nèi)部控制優(yōu)化已成為國內(nèi)外理論和實務(wù)界的研究熱點。在會計信息化背景下，企業(yè)只有不斷優(yōu)化和完善與之適應(yīng)的內(nèi)部控制，才能提高經(jīng)濟效益，才能在激烈的市場競爭中占得一席之地。
    企業(yè)會計信息系統(tǒng)的穩(wěn)定運行依賴于對內(nèi)部控制的不斷優(yōu)化和完善，而高質(zhì)量的內(nèi)部控制可以保障會計信息系統(tǒng)數(shù)據(jù)的準確性、安全性和可靠性。筆者以企業(yè)會計信息化為立足點，以內(nèi)部控制優(yōu)化為主線，在此基礎(chǔ)上提出會計信息化環(huán)境下構(gòu)建內(nèi)部控制體系的新思路。
    以ERMF和COBIT4.1
為框架構(gòu)建信息化內(nèi)部控制體系
    2004年，美國Treadway委員會（反財務(wù)舞弊委員會）頒布了一份新的COSO報告—— —《企業(yè)風險管理整合框架》（ERMF）。
    ERMF總結(jié)了COSO報告發(fā)布十年來的成果，把內(nèi)部控制從“過程觀”提升到了“風險觀”，將內(nèi)部控制納入到風險管理，成為企業(yè)經(jīng)營管理過程的重要組成部分。
    《信息及相關(guān)技術(shù)控制目標》(CO鄄BIT)由信息系統(tǒng)審計與控制協(xié)會    在1996年公布，目前已經(jīng)更新至4.1版。COBIT是國際上目前普遍采用的信息技術(shù)治理框架。它為企業(yè)信息化提供了一套權(quán)威的、國際通用的公認標準。其目的是規(guī)范并提高信息化治理水平，有效防范控制風險及增加管理層對控制的感知等。
    ERMF和COBIT都是以內(nèi)部控制理論為基礎(chǔ)建立起來的，是內(nèi)部控制框架的自然延伸、發(fā)展和完善。二者均注重監(jiān)督與評價企業(yè)內(nèi)部控制活動，突出有效性、可靠性、相關(guān)法規(guī)的遵循性以及強調(diào)風險評估、人力資源管理的重要性等。以ERMF為代表的業(yè)務(wù)控制框架，主要是從受托責任方面來考慮一般控制的價值，是針對所有企業(yè)提出的內(nèi)部控制新框架，缺少對信息化控制的闡述和說明。而COBIT4.1控制框架主要針對政府或企業(yè)范圍內(nèi)的信息系統(tǒng)的應(yīng)用，側(cè)重于對技術(shù)進行控制。此外，前者的理論性較強，后者的實踐性和可操作性較突出。企業(yè)應(yīng)結(jié)合自身實際情況，將二者有效融合，構(gòu)建適應(yīng)會計信息化的內(nèi)部控制體系。
    
基于角色進行人員崗位權(quán)限設(shè)置
    在內(nèi)部控制體系中，建立責權(quán)清晰的崗位分工體系可以實現(xiàn)各崗位相互牽制、相互制約、防止或減少舞弊及錯誤的發(fā)生。基于    角色的權(quán)限控制方案是通過設(shè)置角色來完成用戶權(quán)限的授予、修改和取消。系統(tǒng)管理人員先根據(jù)需要定義各種角色，并設(shè)置功能權(quán)限。而后，用戶根據(jù)其權(quán)、責、利被指定為不同的角色。同一角色可對應(yīng)多個用戶，同一用戶也可根據(jù)需要被定義多個角色。整個崗位權(quán)限控制過程分成兩個部分，即功能權(quán)限與角色相關(guān)聯(lián)。角色再與用戶關(guān)聯(lián)，從而實現(xiàn)了用戶與功能權(quán)限的邏輯分離，使得權(quán)限分配和管理更加方便和有效。
    
健全會計信息化檔案管理制度
      會計信息化下，會計檔案采用以磁（光）介質(zhì)為主、紙介質(zhì)為輔的存儲方式。為此，首先應(yīng)對信息化檔案管理制度加以完善，對檔案的保管方式、保管條件以及保管人員的工作職責做出明確的    規(guī)定，并嚴格按要求執(zhí)行，形成有效的約束機制。要注意定期對會計檔案進行備份，可制作兩個以上備份，并盡量存于不同空間，可增加檔案的安全性。如911911事件中，摩根史坦利的金融財務(wù)數(shù)據(jù)就是因為每天傳到100公里外的電信數(shù)據(jù)中心備份，所以事故后不久就能恢復(fù)業(yè)務(wù)。
    
完善軟件功能強化網(wǎng)絡(luò)安全控制
    在軟件方面，使用前必須進行嚴格的檢查和測試，查看該軟件是否具有容錯能力、數(shù)據(jù)庫是否具有安全保障能力等，以確定信息系統(tǒng)是否合法、合規(guī)、合格，是否安全健壯。
    在使用過程中，企業(yè)要定期進行系統(tǒng)的維護和管理，包括檢查系統(tǒng)文件的完整性，保證不被非法修改和刪除；識別并糾正程序中的錯誤，改進系統(tǒng)性能；排除軟件故障，提高系統(tǒng)的運行效率；定期進行系統(tǒng)數(shù)據(jù)代碼的備份等。
    另外，網(wǎng)絡(luò)安全也是信息化下內(nèi)部控制要重點解決的問題。
    隨著網(wǎng)絡(luò)技術(shù)快速發(fā)展，企業(yè)應(yīng)在技術(shù)方面加強對整個財務(wù)網(wǎng)絡(luò)系統(tǒng)的各個層次的安全防范措施，如采用授權(quán)控制、認證控制、身份識別、數(shù)據(jù)加密等安全技術(shù)。
    制定完善的網(wǎng)絡(luò)安全操作制度等，建立綜合的多層次的網(wǎng)絡(luò)安全體系。