目 录
一、 会计电算化下企业内部控制的变化及其主要风险
二、 会计电算化下企业内部控制审计的方法及主要问题
三、 会计电算化下企业内部控制的设计及审计――以A企业为例
四、 会计电算化下企业内部控制审计的对策探讨
内 容 摘 要
在会计电算化中,内部控制由人工控制变为人和计算机共同控制,原有的内部控制已无法适应会计电算化信息系统的要求。可以说,任何一家实现电算化的企业、事业单位或其他经济组织,不论其规模大小和业务性质,不论其采取何种会计工作组织程序,在其会计业务处理中,总是不同程度、不同方面地存在着一定的内部控制问题。随着计算机技术在会计领域的应用不断深入,使得会计工作由过去简单手工帐务处理演变到现在通过电算化系统来参与企业经营管理,对企业内部会计控制产生了深远的影响。会计工作环境的变化,对企业内部会计控制提出了新的要求,原来的手工会计环境下的内部会计控制制度已经不适应电算化环境下的会计工作了。针对内部会计控制在组织形式、数据处理方式、数据记录方式以及数据保存介质等方面发生的变化,企业必须修改原有手工会计环境下的内部会计控制制度,针对电算化下会计工作特点,加强会计电算化系统下的工作人员的职业道德、业务人员组织安排与岗位授权、系统的研发与维护、系统的业务操作流程和会计系统档案管理等方面的控制,使之适应电算化下会计工作的需求,以确保电算化环境下的企业会计系统能正常、安全、有效的运行。
关键词:电算化 企业内部控制 风险 对策
会计电算化与网络化对企业内部控制的影响和对策
计算机网络,是指将地理位置不同的具有独立功能的多台计算机及其外部设备,通过通信线路连接起来,在网络操作系统,网络管理软件及网络通信协议的管理和协调下,实现资源共享和信息传递的计算机系统。
企业内部会计控制作为企业内部控制的重要组成部分,对企业的生存、发展有着至关重要的作用。而随着IT技术特别是以Internet为代表的网络技术的发展和运用,电子计算机作为一个重要的辅助工具在会计领域得到了越来越广泛的应用,促进了会计从原有的手工记账、报账向着经营管理领域的深度和广度发展,对企业的内部控制产生了深远的影响,提高了企业的运营管理效率。这些变革无疑给企业带来了巨大的效益,但由于计算机技术自身的问题以及会计人员业务水平和个人素质等原因,使得电算化下会计信息系统的应用产生了一些新的问题,这也就给内部会计控制带来了新的挑战。
一、会计电算化下企业内部控制的变化及风险
(一)企业内部会计控制的组织形式发生了变化,控制范围扩大
在传统的手工会计工作环境下,企业内部控制的原则是:职务相分离,职权不相容,不同的工作人员在各自确定的工作领域内工作,各司其职,各级主管依照相应的制度进行严格的监督。在电算化环境下,授权控制是最主要的组织原则。工作人员利用授权程序所提供的文件和密码,获得相应的权利,在电算化系统里处理授权范围内的业务。内部控制的形式已经由原来的制度控制转变为制度和程序软件的双重控制。这就意味着在新的会计工作环境下,除了固有的职务相分离,职权不相容外,加强财务软件的系统权限控制、密码管理程序控制、修改程序控制、网络系统权限控制等工作又成为内部控制的一项重要的工作。
(二)内部会计控制的数据处理方式变化引起内控防范的变化
在传统手工会计工作环境下,凭证、账簿、科目汇总表、资产负债表、借贷试算平衡以及相关的财务报表分析均需要进行人工填制或汇总计算填写,这时候,内部会计控制对相关数据要防范书写错误和事后人为手工篡改或抽、插、替换凭证、账页、报表等等。在电算化环境下,只需录入原始数据或通过外部系统转入机制凭证并在财务软件的指导下进行会计处理,通过凭证的审核、修改、确认由计算机自动完成打印输出,科目汇总、借贷平衡等工作均由计算机自动完成,同时可以根据需要生成会计报表。这时,内部会计控制相对手工环境下要侧重于防范盗取密码和非法修改硬盘、磁带中的会计数据等等。
(三)数据记录方式和保存介质的变化带动内部会计控制的变化
手工会计方式下,数据记录主要依靠工作人员的手工记录,出现记录错误的可能性较大,而且同一类数据可能会重复多次记录。数据以人可以直观查看形式保存下来,保存介质是纸,保存这些介质需要占用很大的空间,还需进行防火、防潮、防盗等工作。在电算化会计工作环境下,数据以人无法直观查看的机器代码形式保存,保存介质是硬盘、光盘、磁带等。这样做大大地节约了数据的保存空间,也使数据的保存、查询非常的方便,同时通过数据拷贝、转入等方法避免了手工记录中出现重复记录的现象。
(四)会计信息安全存在一定隐患
在会计电算化系统环境下,电子符号代替了会计数据,磁性介质代替了纸介质,从而使会计信息安全易受到威胁。具体表现在:一是内部人员对原始信息进行非法篡改或泄密,造成会计信息虚假。二是磁性介质易受损坏,信息和数据存在丢失或毁坏的危险。三是电算化系统遭破坏,如硬件故障、软件故障、非法操作、计算机病毒等可能导致电算化系统陷入瘫痪,使会计信息质量受到影响。电算化信息系统中,这种人员之间的联系部分地转变为人与计算机的联系,操作员身份的识别及授权控制等都有别于手工会计信息系统,给会计信息的安全带来一定的挑战。
(五)使用电算化软件存在的风险
目前,市场上开发出售的会计软件都有一套相对完整的授权、审批、用户身份识别、操作权限控制等功能,以充分发挥电算化会计中岗位互相牵制、监督,有效保护会计系统的作用。但许多单位在实际使用软件的过程中,软件的这些保护功能却形同虚设,系统密码成为公开的秘密,这是非常危险的做法。一旦该单位会计信息网络化公开,不但任何人都可以通过系统用户无限制地浏览会计信息、控制会计网络系统,更严重的会破坏账务参数设置及科目体系、修改数据库,使系统陷入瘫痪;另一种情况就是各终端用户为了便于工作,相互公开密码,导致会计信息丢失、信息被篡改等严重后果。更有甚者,某些单位违犯规定,或受人员限制,一人兼多个不相容岗位,既授权、作账,又复核、结账。当然,除了操作制度不完善、内部岗位分工不科学、管理权限不严格外,工作人员的不当操作和玩忽职守也是电算化会计实际使用中面临风险的重要原因。
二、会计电算化下企业内部控制审计的方法及主要问题
(一)积极探索审计方法的创新
审计环境的变化,客观上要求审计方法也要创新,审计过程中所产生的信息流如同审计基本程序一样,要有条不紊,秩序井然。在审计过程中,既有计算机数据,也有纸质的账册、凭证。由于内审人员都是企业内部人员,对于经营情况比较熟悉,因此可以采用计算机抽样或者建立数据模型来辅助审计。电算化对于抽样和取数与手工相比,具有相当大的优势。这样就可以使审计人员从简单的重复劳动中解放出来,通过现代手段,找到审计的关键点和线索。通过计算机的海量搜寻,可以进一步扩大和延伸审计范围,从而可以抽取足够多的样本。国家审计总署推行的“金审工程”,即从单一的事后审计转变为事后审计与事中审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计相结合,这也是企业内部审计结合信息化技术后需要达到的目标。特别是在信息技术渗透到企业经营的每个环节后,给审计的方法创新提供了可能,要充分运用数学方法、统计方法、会计方法、控制方法等多学科来交叉进行,从而达到发现问题、分析问题和解决问题的目的。
(二)会计电算化下企业内部控制存在的主要问题
会计电算化下企业内部控制是内部会计控制的特殊形式,随着IT技术的发展特别是网络技术的发展把会计电算化系统的应用和发展推向了更深更广的方向,将给企业的财务管理和经营管理带来新的机遇。会计电算化系统必将取代传统的手工会计系统,但会计电算化系统在我国的应用时间不是很长,与传统的手工会计系统相比还存在着许多问题,具体表现在以下几个方面:
1、职务相分离,职权不相容原则的重要性下降
传统手工会计信息处理的一条重要原则就是职务相分离,职权不相容原则。实行电算化后,这一原则的重要性下降甚至得不到遵循。由于计算机系统操作的高度集中,许多岗位可以合并,许多手续合并到计算机统一执行,会计工作人员大大减少,从而使一些不相容的职务得不到分离,降低了工作人员相互牵制的效力。例如,有些会计人员既从事数据的输入、输出工作,又负责数据的报送,这样就增加了他们在未得到相关授权的情况下直接对使用中的数据和程序进行修改、复制或删除等操作的可能性,从而使会计数据的准确性及安全性受到威胁,也增大了作假舞弊的可能性。
2、网络环境下电算化系统的内部会计控制出现新的问题
网络环境是一个开放的环境,在理论上任何信息都有可能被访问到。会计电算化系统下,会计信息通过物理或无线通信线路传输存在着很大的安全隐患。例如:网络信息来源的多样性,有可能导致审计线索的紊乱;网络信息很有可能在传输过程中被非法拦截或者被人为篡改;网络中存在的病毒和网络“黑客”的侵袭都可能给网络环境下的会计电算化系统带来危害。
3、电算化系统下差错的重复性和蔓延性
传统手工会计系统下,由于数据处理环节相对分散,一个环节数据出现错误,下一个环节还可以发现并更正。但是,会计电算化系统数据处理集中化、自动化,数据可以转入、拷贝,因此一个业务的数据错误往往会重复出现几次,从一个环节蔓延至其它环节,进而导致整个系统数据失真,使得错误的严重性加大。例如:在录入原始会计数据期间,录入的错误数据就会再次用到会计科目汇总的过程中,影响到会计科目汇总的结果,导致科目汇总数据的错误。在进行经济指标分析时,又可能会再次使用到错误的科目汇总数据,从而影响财务报告使用者的判断,使其做出错误的决策,造成企业或个人的经济损失。
三、 会计电算化下企业内部控制的设计及审计
A企业成立于2002年1月25日,注册资金1500万元,2006年6月份成为一般纳税人,现有沥青储备能力3.2万吨,主要经营沥青的销售、乳化沥青、改性沥青的生产和销售,会计核算软件为用友V8网络版,目前已经甩帐,财务人员实行定岗定人(分岗位),但是实际操作时有难度。
在电子技术以及网络技术飞速发展的今天,会计电算化的普及程度也将会越来越高,其带来的必然结果就是内部会计控制中的新问题与新课题都将会不断地产生。而其中的每一项深入的研究与突破,都会使在会计电算化下形成的理论与方法得到进一步的完善与发展,也将会使内部会计控制制度在会计电算化的理论和方法完善与发展中不断地进行调整、改善,更好地保证会计信息的真实性、完整性和可靠性,为A公司做出正确的决策提供有效的信息,从而为企业带来更多的会计价值。
(一)全面提高会计人员素质
因为会计人员负责设计内部控制制度,所以会计人员的素质相当重要。若会计人员素质不够高,则相关控制制度措施的效果都将受到影响,甚至没有效用。因此,A公司必须全面提高会计人员素质,包括政治方面和业务方面,特别要提高人员的计算机技术方面的能力,以便使其具有较强的计算机操作水平,与此同时,也不能忽视管理人员的管理风格和水平。
(二)加强系统安全保密控制
A企业的安全保密控制虽达不到大型企业的规模,但公司不能忽视安全保密控制的工作。强而有效的安全保密控制确保了系统的可靠性、信息的正确性和安全保密性。在各种因素中,自然灾害、失误、计算机舞弊和犯罪行为等因素将影响系统的安全性。为了避免因以上因素造成的系统运行错误的不安全隐患,中小型企业实行了系统安全保密控制。该控制的内容主要是:接触控制、环境保护和对安全的控制。上述接触控制是为保证各项资源的正确性而设计的,它的作用是阻止未经授权的人员私自动用系统的各项资源。
(三)加强会计档案控制
会计档案的内容包括凭证、账簿、报表等书面资料;全部系统开发文档;所有磁介质的会计数据档案、备份、系统软件和会计软件方面的资源甚至更多。由此可见会计档案的控制对一个A企业相当重要。中小型企业需要对各类会计档案的保管、复制、借用、销毁及保密加强控制,认真检查其执行情况;对所有丢失、损坏、失密现象追查专职保管人员的责任,从而建立一个健全有效的会计档案控制制度。该控制制度的有如下要点:1.设置专职会计档案员职位,职员各尽其职,不得越权;2.未打印成纸质资料的保存在机内的会计资料,需要一式两份,分别存放在计算机操作部门和会计部门备份;3.任何输出的证、帐、表等书面资料都必须由系统操作审核,并通过会计人员签字盖章之后,方能有效进行档案馆保存;4.会计档案的借用、归还必须严格按照规定手续进行办理。
(四)加强内部审计
加强内部审计能够强化内部会计监督制度的安排,使A企业内部控制系统更加完善。内部审计必须包括如下几个方面:
1、会计资料的定期审计。其目的是为了检查电算化会计账务的处理是否正确,是否遵照《会计法》以及有关法律、法规的规定,是否有不符合有关内部控制制度的审核费用签字以及凭证是否规范等等。
2、电子数据与书面数据的一致性审查。其目的是为了做到帐表相符,对错误或不妥的帐表处理进行及时的调整。
3、确保数据保存方式的安全、合法性,目的是防止某些非法修改历史数据的现象。
4、系统维护,包括对系统运行的各方面进行检查,确保系统的正确运行。
四、会计电算化下企业内部控制审计的对策探讨
严格的内部控制制度是会计电算化信息真实可靠的保证。内部控制制度要求处理同一笔经济业务的人员既要相互联系,又要相互制约。此外,严格的内部控制制度有助于防止违法行为的发生。国内外会计电算化的实践表明,计算机本身处理出错几乎为零,但人为造成出错和舞弊的现象有增无减,而且一旦出现舞弊,损失巨大。因此,制定严格的内部控制制度是非常有必要的。就目前我国开展会计电算化的应用现状来看,大部分还停留在一般应用水平上。人们对于人员职责分工、数据备份和保管、软硬件使用和维护等方面的重要性往往认识不足。因此,强化内控管理,提高电算化的科学管理水平是建立现代企业制度的内在要求,也是提高企业竞争能力的重要途径。针对我国会计电算化系统尚处于初级阶段的状况,提出以下几点对策:
(一)加强和完善电算化下内部会计控制制度
1.加强会计电算化系统工作人员的职业道德建设
会计电算化系统的实施主体是“人”,但无论软件质量如何优良,规章制度如何完善,如果作为电算化会计系统实施主体的“人”有制度而不去执行,甚至不相容岗位相互勾结、恶意的修改软件程序,修改数据库中的数据,非法取得密码,那么最终还是达不到内部控制的目的。因此,道德规范、行为准则、能力素质的建设应直接纳入内部控制结构的内容。企业管理者应当重视对财务工作人员的选用与培养,增强财务工作人员的职业道德水准和业务水平,达到会计电算化系统的主体诚信。
2.加强会计电算化系统业务人员组织控制
在会计电算化系统环境下,业务处理全部都是以电算化系统为主,电算化功能和知识的高度集中导致了职责的集中,特别是会计人员的职能开始从核算型向管理型转移,某些人员既可从事数据的输入,又可负责数据的输出和报送。因此,如果不加强内部控制,就会使某些计算机操作人员直接对使用中的程序和数据库进行修改,操纵处理结果,从而加大了出现错误和舞弊的风险。因此要对手工系统环境下的结构做出调整,对各类会计岗位进行重新的划分,在授权过程中运用内部审计,按照权、责、利相结合原则建立岗位责任制。对财务软件的开发人员、维护人员和会计业务操作员、出纳员进行合理的岗位分工,形成三类工作岗位:系统设计与维护岗位、账务处理岗位和专业核算岗位,分工时一定要坚持不相容岗位相分离原则。
3.加强具体操作过程中的控制
会计电算化系统具体操作过程的控制主要是通过制定一套完整而严格的操作和维护规程来实现的。要保证财务软件正确安全的运转,防止软件被非法修改、删除,规程应包括操作的具体流程,各环节的主要分工和职责,注意事项,维护的时间和方面,维护的程序等内容。其内容主要包括:
(1)无关人员不能随便进入机房操作;
(2)各种录入的数据均需经过严格的审批并具有完整、真实的原始凭证;
(3)数据录入员对输入数据有疑问,应及时核对,不能擅自修改;
(4)机房工作人员不能擅自向任何人提供任何资料和数据;
(5)不准擅自把外来的软盘、光盘、移动存储设备带进机房;
(6)发生输入内容有误的,需按系统提供的功能加以改正,如编制补充登记或负数冲正的凭证加以改正;
(7)开机后,操作人员不能擅自离开工作现杨;
(8)要做好日备份数据,同时还要有周备份、月备份。
当然,这些制度并不是一成不变的,还必须随着企业经营的变化而不断修改完善。通过完备详尽的制度来减少错误的发生,尽可能的从源头上确保会计信息的真实性和可靠性。
4.加强会计电算化系统档案管理
会计信息系统档案主要是指打印输出的各种账簿、报表、凭证、存储会计数据和程序的硬盘、光盘、磁带及其他存储介质。会计电算化系统在处理业务时所产生的各种账簿、报表、凭证均应由专人管理,并制定相应的管理制度。磁性介质必须及时进行备份,并做好防止计算机病毒侵袭的工作。所有财务档案均应做好放火、防潮、防尘、防盗等工作,并定期盘点整理,磁性介质还要进行防磁工作。
(二)加强会计电算化系统执行主体的控制
会计电算化系统的执行主体是计算机系统,计算机系统由硬件和软件构成。随着科技的发展,互联网技术广泛应用于会计电算化系统,因此,加强对计算机硬件、软件的管理,保障会计电算化系统在互联网上的安全将成为企业会计信息系统内部控制的又一项重要内容。
1.加强财务软件的研发和维护
财务软件属于应用软件,事关企业的财务管理和经营管理。因此,对于财务软件的研发管理将是尤为重要。在软件研发之前要进行需求分析和可行性评估;系统设计时要坚持高内聚、低耦合的原则,保证软件的准确性和高效性;在编程阶段,运用标准统一的程序语言进行编程,对最终产品的程序原代码进行编译处理,并进行加密;测试阶段,运用黑盒测试模型和白盒测试模型对软件进行测试,查找设计、编程过程中出现的错误,到达数据输入与运算输出的结果相对应,达到需求分析的目标。应对在用软件进行定期维护,以保证软件安全、平稳、高效运行,并不断完善财务软件的功能。
2.财务办公地点严格执行机房管理制度,加强系统的硬件、软件管理与维护
财务办公地点实行机房管理制度,可以有效的保证会计电算化系统计算机硬件和软件的安全,为计算机设备创造良好的运行环境,保护计算机设备。财务办公地点应具备放火、防潮、防尘、防磁和防辐射等条件,保证供电系统等辅助设施的良好持续运转,要留有备用的计算机硬件,保证会计电算化系统硬件环境的正常运行。会计数据和会计软件应具备加密措施,重要数据应及时备份,工作人员不得在财务专用计算机上接入互联网、随意插入外来软盘、光盘、移动存储设备,以防止病毒侵入计算机破坏计算机软件、硬件;定期对计算机进行查毒、杀毒、数据备份等工作,保护会计电算化系统软件环境的安全。财务工作地点应实行“闲人免进”制度,防止无关人员进入,实行工作日志和来访登记制度,实行专机专用,专人负责。
3.加强会计电算化系统网络环境的管理与维护
网络安全性的指标主要包括数据保密、访问控制、身份识别等。采用密码管理和登录制度控制网上财务数据的读取,提醒相关人员有意识的保护自己的权限密码,条件允许的情况下,可采用更先进的指纹加密码等安全措施来保护信息系统;起用防火墙,隔离会计电算化系统与外部访问区之间的联系,限制外界透过防火墙对会计信息系统数据库进行非法访问,如有必要可进行物理隔离;采用数据加密、回响检查等技术手段进行网络管理以防止由于遮荫问题、设备故障导致数据丢失以及不法分子非法拦截盗用财务数据信息等安全隐患,保障会计电算化系统网络环境的安全运行。
(三)加强会计电算化系统业务操作的控制
会计电算化系统业务操作主要包括数据的输入、数据的处理和数据的输出。对数据的输入、处理、输出过程的控制是保证会计核算系统有效的关键。只有正确输入了经过核准的会计业务,进行恰当的处理和运行,并及时的输出,会计核算系统才能实现自身的目标。
1.加强会计电算化系统输入控制
会计电算化系统输入控制的重点在于建立适当的授权和审批机制,并对输入数据的准确性进行校验。采用编码制度,会计科目统一编码,不仅提高了录入的速度和准确性,而且规范了行业管理。设置逻辑控制、平衡校验控制、错误更正控制来完善会计电算化系统查错、改错的功能。通过设立专门的审核人员对系统每笔业务进行合法性和准确性的审核,从源头上防止错误和舞弊行为的发生,避免因错误或舞弊导致的连环性、重复性错误。
2.加强会计电算化系统处理控制
会计电算化系统处理控制的重点在于处理过程的适应性控制、数据溢出性检测、重大错误纠正控制。建立系统处理的适应性控制,允许软件用户在一定限度内自由制定或改变会计政策,以适应企业自身规模和环境的发展变化;建立数据溢出性检测以保证数据超出计算机容量而产生的数据损失,避免因数据溢出所造成的数据信息失真;由于操作过程中的失误是在所难免的,因此,系统应对用户的某些操作做出再判断和再确认设计,以防止系统数据被执行重大错误操作。
3.加强会计电算化系统输出控制
会计电算化系统输出控制的重点在于输出检查控制和输出文件的使用权限控制。定期或不定期的核对输入信息与输出信息的一致性。通过对凭证、账簿、报表数据的查询、打印,并进一步的核对、检查可以有效的预防利用计算机犯罪。系统输出的会计资料中,有些资料属于机密文件,未经批准授权任何人不得接触机密文件,并应建立严格的文件保管和登记制度,以防止恶意窃取和损坏重要机密的会计数据。此外,凭证格式标准化控制、凭证顺序号控制、凭证审核控制、重复输入控制、对应科目合法性控制、保留审计线索控制,修改痕迹控制、数据备份控制等都是会计电算化系统的输入控制、处理控制、输出控制的有效方法。
参 考 文 献:
1、郭庆文,实行会计电算化必须加强信息安全管理[j].事业财会,2001(6).
2、张英明,环境下会计信息系统内部控制研究[j].中国会计电算化,2002,(1).
3、陈元芳,内部会计控制[m].武汉:华中理工大学出版社,2005,4.
4、阎达五,内部控制框架的构建.阎达五文集, 北京:中国人民大学出版社.
5、许永斌,企业信息化对会计电算化模式的影响. 财会月刊,2004.B11:72-73.
