农村信用社电算化会计系统的现状及发展趋势
会计电算化系统中存在的风险及内控措施
当前应加强的内控措施及监督审记措施
内 容 摘 要
会计电算化信息系统环境下的内部控制则是内部会计控制的特殊形式。随着IT技术特别是Interent为代表的网络技术的发展和应用,电算化会计信息系统进一步向深层次发展,这些变革无疑给企业带来了巨大的效益,但同时也给内部控制带来了新的问题和挑战。
金融单位是会计电算化应用最广泛的企业之一,也是对会计电算化依赖最大的企业。因此对其会计内部监督和外部审计带来新的困难和风险。在此用桐庐县农村信用联社的实例来分析会计电算化系统中存在的风险及内控措施,通过技术、管理、审记等手段来重塑和强化系统内部控制,保证计算机处理会计信息的质量。同时提出实施的内控措施及监督审记措施。
关键字:会计电算化 风险 内控
电算化会计信息系统内部控制
随着计算机的广泛应用,越来越多的金融单位将计算机技术运用于业务数据的处理,及时准确地生成会计信息。由于这种处理手段的改变,对传统的手工会计信息系统产生了巨大的全面性的影响。从数据信息的获取、加工、存储到目标信息的生成,都发生了不同程度的改变,特别是缺乏手工会计下的业务处理轨迹,给会计内部监督和外部审计带来新的困难和风险。解决这个问题的关键在于完善并加强保证新系统正常有效运行的控制机制,即重塑电算化会计信息系统的内部控制。通过重塑和强化系统内部控制,能较好地保证计算机处理会计信息的质量;对以测试内部控制为基础的审计工作,也能以增强对内部控制的信赖程度而减少审计风险和实质性测试的工作量。现就以我工作的桐庐县农村信用社为例,浅议农村信用社电算化会计系统的内部控制。
农村信用社电算化会计系统的现状及发展趋势
农村信用合作社自五、六十年代组建以来,历经沧桑风雨,搏击改革浪涛,在激烈市场竞争的夹缝——农村,生存发展。随着社会科技的发展,计算机这一高科技产品已应用于银行业务,而且应用越来越广泛。我县农村信用社从上世纪九十年代起开始使用单机操作到现本世纪数据大集中处理,除部分服务站以外,已基本甩掉了手工记账、算盘核算的传统业务模式,实现了会计电算化。但由于在我县农村信用社其网点是其它银行机构的总和,业务特点是量大金额相对较小,每天约有上万笔业务。而且会计电算化基本单位为县联社,又为二级法人结构(即乡镇一级信用社为独立法人机构,但由县联社管理)体制组成,乡镇一级信用社会随着行政区域调整进行合并及部分合并。实现会计电算化后,其会计帐务处理相比原有的手工记账、算盘核算方式有了质的飞越。大大减少了核算时间、业务差错及工作人员的工作量。因此会计电算化系统将必然淘汰手工记账、算盘核算的传统业务模式,逐步向大型网络化、智能化方向发展。
二、会计电算化系统中存在的风险及内控措施
会计电算化所引起的损失主要有三种:第一种是由于灾害事故(如火灾、水灾、雷灾)或电源中断故障等原因所引起的会计信息处理中断和数据丢失;第二种是因电算化会计信息系统本身的错误和疏漏所引起的损失;第三种是因会计电算化舞弊而引起的损失。对前两种损失,通过借助于开发控制技术就能较好地加以解决,而对因会计电算化舞弊所引起的损失却很难解决。
会计电算化舞弊的方法主要有以下几点:
1、篡改输入。这是最简单也是最常用的计算机舞弊手法,该方法通过在经济数据录入前或加入期间对数据做手脚来达到个人目的,如:虚构业务数据、修改业务数据及删除业务数据等。
2、篡改文件。是指通过维护程序来修改或直接通过终端来修改文件中的数据。
3、篡改程序。是指通过对程序作非法改动,以便达到某种不法的目的。比如,将小量资金(比如计算中的四舍五入部分)逐笔积累起来,通过暗设程序记到自己的工资帐户中,表面上却看不出任何违规之处。
4、作法操作。指操作人员或其他人员不按操作规程或不经允许上机操作,改变计算机的执行路径。如系统人员未经批准擅自启动汇兑系统。到其它银行支取现金。
5、篡改输出。通过非法修改、销毁输出报表、将输出报表送给公司竞争对手利用终端窃取输出的机密信息等手段来达到作案的目的。
6、其它方法。如通过物理接触、电子窃听、译码、拍照、拷贝、复印等方法来舞弊。
通过对会计电算化舞弊的分析研究,并结合我县信用联社已经进入网络化,下属所有网点前置机全部集中到联社中心机房,数据集中到浙江省信用社数据中心进行存取的实际情况。认为应从以下几方面进行控制:
1、对物理环境控制。计算机及网络设备对运行环境要求非常高。特别是数据集中模式下的中心机房,其负担全县的数据汇聚、转发功能。因此要健全并严格执行机房管理制度,及对供配电系统、UPS系统、空调系统、机房装修是否符合技术要求;是否有防火、防水、防鼠、防静电、防电击、防盗、防电磁干扰等防护措施,机房环境条件(温度、湿度、清洁度)是否符合要求,是否坚持了卫生制度;机房内不得有危险性、腐蚀性、有毒性和强磁性物品等等进行具体要求。
2、对网络环境下系统会计电算化的控制。随着信用社业务的不断扩大,集中化会计核算已成为必然趋势,因此金融机构计算机网络化应用非常广泛,目前正向着高可靠性及高带宽方向发展。但我认为农村信用社应把握如下几个方面:
(1)电脑系统。电脑系统是会计电算化的核心之一,其选择也是非常重要的。①网络构架:目前金融系统大多采用DDN(Digital Data Network)线路作为业务通讯线路,拨号或VPN(Virtual Private Network)作为备份线路。DDN数据安全性高,但带宽窄,VPN是建立在公网上的虚拟网络,安全性不高,如作为主线路则应加密传输。因此,网络线路发展的方向应是裸光纤及MSTP(Multi Service Transport Platform),其安全性及可扩展性非常好。桐庐县信用联社目前正在逐步采用裸光纤及MSTP来进行网络系统改造。②主机系统:金融系统对主机系统安全性要求较高,且能多用户、多进程,因此电脑系统大多采用UNIX操作系统,操作介面都为字符型。对主机系统的内部控制应从以下几几方面入手。首先,开发系统应当和业务系统分离,程序员职能在开发系统工作。业务用机不得用于项目开发,不得含有源程序、编译工具、连接工具等工具软件,不使用与业务无关的任何存贮介质。其次,对业务主机系统进行控制,如超级用户只能从主控台登录;终端不能进行命令行状态等。③建立完善的日志系统,对系统运行的各种操作都在日志中与以记录,以备后查。
(2)操作运行。①开机与日终处理检查。每天营业前和营业后的日终处理,是计算机业务处理的主要内容。应安排既懂业务又懂操作的人,定期到各上机点检查此类操作。检查的内容应根据各自系统的情况而定,通过检查可防止作弊行为和减少由误操作而带来的损失。②操作运行合法性、准确性的检查。业务操作无论作弊和失误,都必然与计算机操作密切相关,非法的操作势必会引起事故的发生。为此,应临时随机检查业务操作的合法性、准确性和有无非法更改作业文件。在这里可以采用计算机对计算机检查的方法有:第一,利用运行中的应用程序,在修改分户账、总帐、计息帐号、利率、利息区分等信息的程序中加上复写修改前后内容至某文件(审计文件)的功能。则在运行这些修改信息程序时,其修改前后内容就自动记录至该审计文件中,这个文件就是审计检查的依据。第二,开发与原程序进行比较的审计文件,它反映系统的整个运行过程。该文件可以将非正常业务和正常业务作业的异常结果编辑打印,并能自动记录下人为修改帐务信息的经过和变化部分,以备检查,还能自动检查作业运行过程是否合法。第三,在程序内编制使用系统资源的限制,以限制使用某程序、某设备的范围。
(3)日常管理工作。①执行规章制度的内控。对信用社执行规章制度情况进行检查,主要是检查信用社应用计算机后各项规章制度的执行情况,建立完善机房的各项管理制度等情况。包括岗位责任制是否严格分工、互相制约;控制制度是否健全以及能否有效执行等;是否遵守上机规则,严格执行操作规程和各项规章制度。如:是否坚持双人双锁管理机房,是否做到人走时退出操作画面,操作员是否在自己的工号下工作,有无在别人的工号下操作等违规现象。②档案管理的内控。对信用社计算机档案管理情况进行检查,保证档案资料的完好性,应检查每天日终处理按规定复制的文件副本、拷贝的磁盘、磁带和各种打印帐表的正确完善;并检查是否按要求专人负责、异地保管,且保管条件是否符合要求。③保密措施的内控。对信用社计算机应用保密措施进行审计,主要检查计算机系统的安全保密性,上机人员是否遵守保密规定,认真保管好自己的代码和密码,并依情况不定期地变动密码,以防密码泄露;是否执行业务处理的保密制度,未经允许是否按规定不向他人公开数据文件和程序。同时还要检查是否按规定进行软件管理,按规定临柜作业机器中不允许装有业务处理源程序等。
(4)业务核算管理工作。①检查输入、输出数据是否正确可靠,处理是否完整。检查帐务核算的准确性和完整一致性,检查事后监督能否正常发挥作用,特别是对计算机处理的结果要进行必要的核对。②检查凡要求输入计算机进行业务处理的会计业务事项,是否均有合法的会计凭证或者根据经业务主管人员盖章的书面通知办理,是否存在输入无凭证的数据及非法操作,以及凭电话或口头通知进行输入数据的情况,严防违法行为,以维护信用社信誉。检查时应注意通知开销户、增减利息积数、调整利率、冲正错账、修改计息帐号等涉及修改帐户信息的业务,是否经会计主管人员签字盖章后输入机器进行处理。所有会计凭证是否坚持按序时记帐的原则输入计算机。③对冲正存、贷款记帐串户的凭证,应检查原误记帐户是否对应相符,计息的存、贷款帐户的串户冲正,是否相应调整了计息积数,误记帐户的原因除看错外是否还有别的原因。④检查凭证数量是否与电脑系统相同,有否及时进行登记。⑤检查业务处理的整体性,未经允许是否存在擅自修改数据和程序的现象,以防止信息破坏,防止操作失误,保护磁存贮设备中的数据和程序,防止复制资料和非法输入数据。
当前应加强的内控措施及监督审记措施
1、提高领导者的认识。加强计算机安全管理工作的组织领导和学习,改变基层信用社领导者“重经营,重效益,轻管理”的思想,提高其对计算机安全管理的认识。在基层信用社,成立计算机安全领导小组,对计算机安全管理,要实行“一把手”负责制,甚至可以是“一票否决制”。计算机安全领导小组成员要定期或不定期带领全体信用社成员组织学习计算机信息系统安全保护条例和安全管理保护办法、银行计算机信息系统要害人员管理制度,学习上级制定的各项计算机安全管理制度或各地新发生的计算机案件等等。要大力提高从业人员的计算机安全防范意识,强化计算机的组织领导,做到警钟常鸣。
2、重要岗位实行定期轮岗制。对内部计算机的重要工作岗位实行定期轮岗制。定期轮岗有利于极早发现问题或发现出现问题的苗头,把问题扼杀在萌芽状态,避免发生不必要的资金损失。
3、完善操作规程和管理制度。各种规范从业人员行为的计算机安全管理措施必须贯彻执行到位。对计算机操作人员必须加大教育和培训,并坚持严格纪律、严格管理、严格分工的原则。对计算机操作中的各种违规现象,要晓以利害,使其从思想上加强对计算机安全的认识,从本身上要求自己严格按照计算机操作规程操作,不做违规操作。
4、加大检查、监督力度。要对基层信用社定期或不定期开展计算机安全检查,督促其严格按照计算机操作规程操作,强化制度执行。在计算机安全领导小组的领导下,各信用社要切实抓紧抓好计算机安全制度的落实,及时发现情况,纠正问题。随着计算机在金融行业的应用和普及,利用计算机进行高智能犯罪的问题愈来愈突出,我们信用社从上到下都要树立现代金融风险意识,把计算机安全工作作为防范和化解金融风险,加强内部管理的核心工作来抓。
5、积极研发、普及使用稽核辅助软件。目前,我们要借鉴其它商业银行的经验,结合我们信用社目前电子化发展的状况,计算机安全管理工作的重点要放在规范人员行为和健全内部制约制度,建立和完善要害岗位人员管理制度、业务应用系统安全管理制度、安全运行制度,及时应用、普及计算机稽核辅助软件。高效质、大范围自动化稽核业务操作的合法性、正确性。做到,及时发现问题,解决问题,最大程度的降低案件的发生率,量化存在的问题。及时监督业务操作的合法性及正确性,为农信事业的健康发展提供安全保障,让计算机稽核辅助软件全天候为农信事业值勤。
会计2003届
洪华
参 考 文 献
陈静:《银行计算机信息系统安全技术规范》,电子工业出版社,2001年。
杜治龙:《分组交换工程》,人民邮电出版社,1999年。
龚方乐:《中国信用合作问题的研究》,中国经济出版社,2000年。
桐庐县农村信用联社:《内部控制制度建设》,2002年。
