一、会计电算化内部控制中存在的问题
二、会计电算化内部控制制度建设 三、保障实施会计电算化内部控制的两点建议
内 容 摘 要
文章以企业实施会计电算化后其内部控制中存在的问题为基础,探讨会计电算化内部控制制度建设问题,提出将会计电算化内部控制分为对系统使用者的控制和对系统开发者的控制两大类,分别制定相应的控制制度的构想,以及当前保障实施会计电算化内部控制的两点建议:坚持以人为本和强化内部审计
试论会计电算化内部控制
文章以企业实施会计电算化后其内部控制中存在的问题为基础,探讨会计电算化内部控制制度建设问题,提出将会计电算化内部控制分为对系统使用者的控制和对系统开发者的控制两大类,分别制定相应的控制制度的构想,以及当前保障实施会计电算化内部控制的两点建议:坚持以人为本和强化内部审计。
关键词: 会计电算化; 内部控制; 制度建设; 以人为本; 内部审计
会计电算化内部控制是内部会计控制的特殊形式。财政部2001年6月颁布的《内部会计控制规范基本规范(试行)》中指出“电子信息技术控制要求运用电子信息技术建立内部会计控制系统,减少和消除人为操纵因素,确保内部会计控制的有效实施。”从制度上说明了加强会计电算化内部控制的必要性。 随着会计电算化进一步向深层次发展,特别是IT技术的发展,一些措施已难以发挥其应有的作用,现有的控制制度建设有待完善。本文试图从微观的层面,以企业实施会计电算化后内部会计控制中存在的问题为基础探讨关于电算化会计信息系统环境下的内部控制建设问题,以确保企业实行会计电算化后,系统能够正常、安全、有效地运行。 一、会计电算化内部控制中存在的问题 与传统的手工账务系统相比,电算化条件下会计信息处理方式和流程发生了变化,使会计工作机制发生了质的变化。两种条件下,会计信息处理工作流程如下: 传统手工账工作流程: 原始凭证→授权批准→财务审核→制单→经财务分工后登记日记账、明细账、总账→手工账试算平衡→报表编制→账证表核对与控制 会计电算化工作流程: 原始凭证→授权批准→财务审核→对合格凭证进行凭证输入(制单)→电算审核→计算机系统处理→账表输出 从以上工作流程可以看出,手工会计处理方式条件下,会计工作的组织形式是以经济业务性质来划分不同的核算职能。其内部控制主要通过组织控制和账簿控制来实现。首先,企业依据不相容职务相分离这一基本原则,建立各种会计岗位与机构,制定各级财务制度与职责,不同人员限制在各自特定的业务领域内,各级主管依制度实行严密监督。其次,企业通过对会计业务的多重反映或者相互稽核关系进行控制。比如,总账、明细账、日记账分别记录,结果相互验证;通过账证核对、账账核对,保证记账的正确。企业通过核对记录可以追溯到任何一个环节所出现的问题。未经授权,任何人员都难以操纵全部会计环节或获取全部会计资料,由此形成了手工条件下会计系统组织制度上的内部牵制网。 在电算化条件下,会计信息系统是按计算机数据处理系统组织起来的,除原始数据的收集、审核、编码、输入由会计人员操作外,经济业务的记录和加工、会计报表的生成和查询等工作都可以通过计算机完成,这种数据处理的集中性使得传统组织控制功能减弱。同时,由于会计信息系统是将输入的数据集中存储于一个数据库文件中,根据程序设定的方式进行多重处理,多层次输出所需要的会计信息,因此会计信息系统中不区分总账和明细账、日记账,这虽然使数据处理流程大为简捷,但也使账簿间的相互控制不复存在,使账证核对、账账核对失去作用。因此手工条件下行之有效的内部牵制网,在电算化条件下已难以发挥其作用,会计电算化内部控制出现了很多新问题,表现为: 1.数据处理方式变化带来的问题 (1)因数据输入操作不当而导致的控制问题。一旦输入操作不当,将会引发明细账、总账乃至会计报表等一系列错误,造成输出信息的失真。这就是计算机数据处理的一条重要规律“输入的是垃圾,输出的也必将是垃圾。”因而数据输入不当的控制问题成为内部控制中最重要的控制环节; (2)责任高度集中于电算化软件系统,企业面临巨大的系统风险问题。一旦系统数据被非法修改、拷贝或是系统程序控制失效,就会影响系统运行的稳定性和安全性,严重的可能会导致系统的崩溃,给企业造成不可估量的损失。系统风险问题成为内部控制的主要风险; (3)一些职责的高度集中违背了不相容职务分离和授权、批准控制的原则。由于数据处理集中进行,导致职责合并严重,会计人员大大减少,从而使一些不相容职务得不到分离,如有些会计人员既从事数据的输入、输出工作,又负责数据的报送,这增加了他们在未经授权批准的情况下直接对使用中的数据和程序进行修改等操作的可能性,从而使会计数据的准确和安全性受到威胁。 2.会计信息磁性化带来的问题 手工条件下,会计数据和信息记录在纸介质的单、证、账、表上,修改困难,修改会留有明显痕迹,从而便于查证、控制。而在电算化条件下,会计电算的资料如证、账、表都是通过计算机处理系统完成的,资料的表现形式主要是打印的账表和存储在计算机软硬盘和其他存储介质中的会计数据,这些存放在磁性介质中的会计档案,可以方便地被不留痕迹地加以修改,很容易遭到损坏和破坏,影响会计信息的真实可靠性。 3.计算机网络发展带来的问题 网络的迅猛发展及其在财务工作中的进一步应用带来了层出不穷的新问题。网络环境具有开放性和动态性的特点,这给会计信息系统内部控制带来了许多新问题,如大量会计信息通过网络通信线路传输,有可能被非法拦截,窃取甚至篡改;网络会计信息系统遭受“病毒”入侵或“黑客”攻击的可能性更大等等。总之网络环境的开发性和动态性加剧了会计信息失真的风险,甚至威胁到企业财产的安全性,对会计内部控制提出了严峻的挑战。 此外,由于会计电算化涉及会计和计算机两种专业知识,对会计人员提出了较高要求,而目前会计人员大多只具备会计专业知识,实际操作能力难以适应电算化环境下对内控的要求,给实施内控制度带来困难。 二、会计电算化内部控制制度建设 设计并建立周密的内部控制体系是解决上述及其他一系列问题的有效途径。我们认为,由于目前大多数企业不是自行开发系统软件,而是购买商品化软件,将内部控制分为一般控制和应用控制而采取相应控制措施的设计方法,混淆了执行控制的主体———因而这种内部控制制度设计不够完善,内部控制的分类应既要概念清晰,又要区分控制的主体,以便明确责任,为此,建议将内部控制划分为对系统使用者的控制和对系统开发者的控制两大类,分别制定相应的控制制度,具体措施如下: 1.对系统使用者的控制 企业可在保持传统内部控制合理部分的基础上,结合计算机系统的特点,制定相应的控制制度,包括组织控制、企业内部操作管理控制、计算机硬件和软件管理控制、会计档案控制制度等等。 (1)组织控制。组织控制是指将系统中不相容的职责进行分离,即将系统中的各类人员进行分工,并以相应的管理规章与之配套。其目的在于通过设立一种相互稽核、相互监督、相互制约的机制来保障会计信息的真实、可靠,减少发生错误和舞弊的可能性。企业实现了会计电算化后,应对原有的组织机构进行适当的调整,以适应计算机会计系统的要求。企业可以将会计组织机构按会计数据的不同形态,划分为数据收集输入组、数据处理组和会计信息分析组等组室;也可以按会计岗位和工作职责划分为计算机会计主管、软件操作、审核记账、电算维护、电算审查、数据分析等岗位。同时规定各自的操作权限,操作权限(密级)的分配,应由财务负责人统一专管,以达到相互控制的目的,明确各自的责任。 在进行会计分工和职责划分时,重要的一点是不相容职务的分离,计算机会计系统与手工会计系统一样,对每一项可能引起舞弊或欺诈的经济业务,都不能由一个人或一个部门经手到底,必须分别由几个人或几个部门承担。在计算机会计系统中,不相容的职务主要有:数据维护管理职务与电算审核职务;数据录入职务与审核记账职务;系统操作的职务与系统档案管理职务等。 (2)企业内部操作管理控制。包括:防止数据输入不当的控制。如对使用计算机的数据输入人员加以控制,规定原始凭证必须经有关审核人员审核并签章后才能输入计算机,确保经济业务处理之前已经过适当的授权和审批,防止操作人员对未经授权和审批的经济业务进行处理。在网络环境下对数据输入进行实时控制,在系统内分出操作与监控两个岗位,对每一笔业务同时进行多方备份,当会计人员进行账务处理时,其操作和数据也被同步记录在监控人员的机器上,由监控人员进行即时或定期审查,一旦出现数据不一致便进行深入调查;对输出内容进行检查控制。如在检查中将输出信息与输入信息的有关数据进行核对,对关键性数据进行人工复核,确保输出数据的可靠性。将输出文件中的有关数字与实物核对,进行合理性分析,研究输出中是否存在问题;建立必要的上机操作记录制度,如规定用操作日记的形式记录每天的上机操作内容等。 (3)计算机硬件和软件管理控制。对于拥有计算机的单位,无论是否用于会计核算,一般都要求制定软硬件管理制度。通常包括:保证机房设备安全的措施,如机房防火规定等;保证计算机正常运行措施,如机房防潮、防磁及恒温等方面的规定等;会计数据、会计软件安全保密措施,如数据备份等规定,修改会计核算软件的审批和监督制度,如规定会计核算软件的修改需报单位总会计师批准等。 网络环境下尤为重要的是防病毒控制,可以采用如下控制措施:对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒;对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;及时升级本系统的防病毒产品等。 (4)会计档案控制。在实行会计电算化之后,随着存储介质的改变,对会计档案管理的要求也比较严格,对会计档案的概念也有所发展。对会计档案的管理制度应涵盖对打印输出的证、账、表和存储会计数据和程序的存储介质以及系统开发文档的存档、安全保管和保密工作,管理制度一般包括:存档的手续必须有会计主管和系统管理员的签章才能存档保管;各种安全保证措施,如备份软盘应贴上保护标签,应存放在安全、洁净、防潮的地方;采用磁性介质保存的会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。 2.对系统开发者的控制 这项控制不在企业内部,而体现在对软件的要求之中,主要包括: (1)系统应符合相关的政策规定,包括《会计电算化管理办法》、《会计电算化工作规范》、《会计核算软件的具备功能规范》、《会计法》以及《内部会计控制规范基本规范(试行)》等等 (2)系统程序控制设置合理,满足企业业务处理的需要。程序控制是对系统中具体的数据处理功能的控制。它一般包括输入控制、处理过程控制和输出控制三个方面。 输入控制包括:确保输入的授权控制,采用程序密码或运行口令,只有通过授权密码或口令的人员才能进行数据输入;在计算机内设置控制功能,退回和改正不正确的输入记录;设置责任控制,系统通过登记日志文件,留下审核、修改的痕迹等。 处理过程控制,这种控制是指对电算化系统进行数据处理的有效性和可靠性进行的控制,通过运行有关程序,可以对输入系统的数据进行检验、计算、分类、排序、合并等。控制措施包括:登账条件检验,即系统要有确认数据经复核后才能登账的控制能力;修改权限和修改痕迹控制,即对已入账的凭证与账簿,系统只能提供留有痕迹的更改功能,对已结账的凭证与账簿以及已生成的报表数据,系统不提供更改功能;系统间的核对控制,即系统不但应自动生成规定的报表、账簿数据,而且还能提供与其他系统的核对功能,通过系统间的校验控制能够更加充分地保证系统的可靠性和有效性;业务时序控制,即系统应能满足会计业务处理程序的要求。在会计处理中,受会计循环规律制约,业务处理程序一环扣一环,某一处理过程的运行结果往往取决于若干相关条件过程的完成,若颠倒了处理过程中的业务顺序,必然导致数据处理的混乱,因此系统应设置明确的业务处理时序;数据合理性控制,即系统程序应根据单位各种业务的正常变动范围,规定各种业务数据变化极限,一旦数据超出限值,计算机就会给出错误提示;防止重大误操作的控制,一般的误操作可以通过重新编制修改分录进行调整,但如果错用了对数据库有重大影响的指令,则会产生重大的后果,因此系统应具备提示或警示这种误操作的功能等。 输出控制,输出资料时系统应能自动记录操作人员的姓名、输出时间、文件名称、数量等等。 三、保障实施会计电算化内部控制的两点建议 1.坚持以人为本的原则,有效实施内部控制 人是制度的实施主体,再完善的制度,如果得不到人有效地实施,仍然只是形式,发挥不了其应有的作用。因此企业建立了良好的内部控制制度后,应充分重视人在内部控制中的主导作用,坚持以人为本的原则,有效实施内部控制。对财务人员而言,应做到:首先,控制是会计的基本职能之一,财务人员应充分发挥控制作用。对于在软件程序运行中无法自动执行的例外事项的控制,如对原始凭证的审核等,仍需要财务人员进行必要的控制和监督,因此财务人员应充分认识在内部控制中的作用,加强工作责任心,对能够予以控制的经济业务实施严密控制,确保内部控制目标的实现;其次,财务人员应注重加强自身的职业道德教育和技能培训,努力使自己成为兼具会计专业知识和计算机知识的复合型人才,以适应电算化系统实施人机控制的要求。财务人员应在充分考虑成本效益原则的基础上,加强对系统的管理与维护,使系统得以安全、高效地运行。 2.充分发挥内部审计的作用,不断完善会计电算化内部控制 内部审计是企业自我独立评价的一种活动,它可通过检查、评价内部控制的健全、有效程度,来促成建立好的控制环境,还能为改进内部控制提供建设性的意见,所以内部审计可以说是对内部控制的再控制。由于电算化会计系统内部控制存在极大的风险,一旦系统失控,将会对企业造成不可估量的危害。同时,从控制的成本效益上看,一些理想的内部控制往往因成本过高而不为企业所采用,因而内部控制制度只能为企业提供一种合理而不是绝对的保证。鉴于以上原因,我们认为企业应充分重视内部审计的作用,利用内部审计对会计电算化内部控制进行有效的监控。企业应保证内审人员工作的独立性和定期的专业培训,使内审人员能够应对会计工作变化给内审工作带来的新问题。内审人员要定期检测电算化系统的工作情况,对内部控制系统的健全性、适用性、可靠性进行评价和考核,看其是否能够有效发挥控制作用,并针对其薄弱环节,提出改进意见,使之得以不断完善。
参 考 文 献
[1]李殿富.会计制度设计.北京:中央广播电视大学出版社,2002. [2]贾宗武,康永智.浅谈会计电算化的内部控制.陕西经贸学院学报,2000,(8). [3]梁玉国.电算化会计信息系统内部控制.西南民族学院学报,2002,(4). [4]李立志.会计信息系统内部控制特点的演变.经济经纬,2002,(1). .[5]会计电算化工作环境下企业内控制度研究.上海会计,2003,(3).
