試論電算化會計系統的內部控制

內部控制貫穿于企業經營活動的全部過程。會計系統內部控制就是為了保證單位經營活動的合理性與效益性、財務報告的可靠性和法律法規的遵循性，而自行檢查、制約和調整內部業務活動的自律系統。

一、使用電算化會計系統需要規避的風險

會計電算化之后，復式記賬法、借貸平衡原理作為現代會計的主要原則沒有從根本上改變，內部控制的目的也依然如前，某些手工內部控制行之有效的組織措施和方法以及規章制度仍可沿用。但是也必須看到，會計業務統一由計算機完成雖然在一定程度上減少了差錯的可能性，但這種集中處理數據的收發方式不但使數據處理的手段、數據存儲的形式發生了變化，而且也帶來許多新的問題，面臨許多需要特別關注與規避的風險。這些風險主要表現在：

（一）不適當的系統設計

在我國，目前大多數電算化會計軟件都是由用戶單位的財會人員與軟件開發單位的計算機技術人員合作開發的，這就存在著雙方如何相互交流的問題，如一方曲解了對方的意圖，就會給系統帶來災難。一方面是計算機技術人員對財會業務不熟悉，可能在沒有全部弄懂用戶要求前就開始設計。這樣，設計出的系統，就很難真正符合用戶要求。

（二）會計流程變化引起錯誤的連續性與重復性

手工會計作業由于從憑證到日記賬、明細賬、總賬均由不同人員計算登錄，并定期核對，所以幾個人同時出錯的可能性較小。而電算化會計信息系統由于高度自動化，計算機是按人們事先編好的程序和指令工作，只要程序正確，無論處理業務多繁雜，數量有多大，也不會出現類似于手工處理中由于疏忽而引發的計算或入賬方面的錯誤。但如果一旦出錯，將引發登記日記賬、明細賬及總賬直至報表輸出等環節的一系列錯誤，并且要查找出錯原因是相當困難的。例如，如果某固定資產已經報廢，但系統仍按月計提折舊，幾個月下來，要想將所有的總賬、明細賬、機制轉賬憑證等全部修改糾錯，工作量就非常大。

（三）會計人員的分工變化及數據與責任的高度集中

電算化后，所有的會計信息均集中于機器中，特別是數據庫技術和網絡技術的運用，使數據資料的共享程度更高，如果沒有相應的控制措施，任何稍微懂得計算機知識的人，都可以輕而易舉地利用電腦指令游覽所有文件，某些數據可能被不法分子很方便的拷貝，甚至非法篡改或損毀而不留下任何痕跡，這樣的后果相當嚴重和可怕。

除了數據高度集中會帶來以上風險外，電算化的另一威脅來自責任的高度集中。在電算化會計信息系統中，原始數據提交給電腦后，全部責任將集中于電腦系統，記賬、算賬、報賬等均由機器處理，再沒有經手人負責。因此一旦處理過程中出現紕漏，將無法追查責任人員，這就無形中增加了會計執法的難度，自然也削弱了法律的剛性 。

（四）存儲介質變化使數據易于丟失和篡改

電算化系統中數據文件的存儲介質大多是磁性材料，如磁盤、磁帶等。這些存儲在磁性材料的數據文件只有經過相應的設備方可閱讀，其直觀性較差，并且修改、擦除和拷貝均不會留下痕跡；此外，磁性介質在受熱、受潮、彎曲或強電磁場等的影響下都會損壞。由此可能造成會計信息的丟失或失真，這是電算化會計信息系統的又一風險。

此外，由于不可預料的火災、水災等自然災害或使用維護不周而造成的系統軟、硬件故障或損失，數據在經由通訊線路傳輸時遭到非法攔截或修改，計算機病毒的侵入，計算機遭受黑客攻擊，沒有留下審計線索等等，這些都會造成電算化會計信息系統的不安全。

二、防范電算化會計系統內部控制風險的對策

電算化會計信息系統內部控制存在的風險是不能掉以輕心的，我們必須采取措施加強其內部控制。關于電算化會計系統內部控制，依據美國執業會計師協會在《審計準則公告》第3號中的意見，將其分為一般控制（general controls）和應用控制（application controls）。

（一）一般控制

一般控制，是指對企業經營活動賴以進行的內部環境所實施的總體控制，因而亦稱基礎控制或環境控制。包括：

1.組織控制

組織控制是為保證電子數據處理部門正確、安全、高效地完成數據處理工作而規定的職責分工和人事管理控制措施，其目的主要是減少電子數據處理部門發生錯誤和舞弊行為的可能性。組織控制的基本要求是做到不相容職務的分離。

（1）電算部門與用戶部門的職責分離。分離不相容職責的一般原則是將四種基本職能，即業務授權、執行、記錄和資產保管予以分開。一般而言，電算部門不能負責業務的批準和執行，也不能保管除計算機系統以外的任何資產。各業務部門在會計電算化情況下，如果沒有適當的職責分離，就無法做到各部門之間互相稽核、互相監督和互相制約，也無法做到保護組織的資產和提高會計信息的準確性和可靠性。

（2）電子數據處理部門內部的職責分離。電算化數據處理的特點之一是將所有的會計資料集中起來，統一處理，這使得在手工方式下的某些本應分離的不相容的職責集中化了，從而失去了相應的監督作用。因此，在電子處理部門內部，還應當進行正確的職責分工，從而使有關的人員在數據處理中難以越權，以避免舞弊、犯罪行為的發生和防止差錯的出現，保證系統的可靠運行。一般來說，在電子數據處理部門內部應做到對系統分析、程序設計、系統操作、文檔管理和控制等五種職責加以分離。

2.系統開發與維護控制

（1）開發過程控制。在進行系統開發過程中，始終要圍繞用戶的需求這一根本的出發點，確保系統開發的目標、總體結構、開發方式及每一個工作階段和開發進度，同時，還必須及時完成資金的籌措、認真做好費用的預算，除此之外，還必須對系統所需要的不同類型、不同層次的專業人員進行配置與培訓。

（2）系統維護控制。通常系統維護控制包括對系統軟件的維護控制、數據維護控制及文檔資料的維護控制，由于后兩者會在后面的內容進行討論，在此，需要重點解釋的是對系統的軟件維護的控制。系統軟件維護包括糾錯性維護、適應性維護和完善性維護。這三種維護工作都需要對系統的功能進行改進和擴充。

3.系統安全控制

（1）環境安全控制。環境安全控制是屬于一種預防性的控制，包括計算機機房的安全控制、機房設備的保護、安全供電系統的安裝等。一般來說，對于環境的安全，要求具有專用的計算機機房，并且，計算機機房能夠保持規定的溫度、濕度，能防止靜電、電磁干擾，具有良好的采光照明及噪聲控制設備等，同時，計算機機房還應具有防火、防水、防止其他自然災害的設施。

（2）軟件安全控制。通常對軟件程序的保護措施是對數據和程序的加密，一方面可以把數據和程序轉換成密碼的形式存放在各類介質上，運行時再執行解密，使系統能夠正常運行；另一方面，可以對存儲介質進行特殊的處理，如采用特殊的記錄方式、對磁盤加上特殊的標記，采用特殊的硬件裝置，并定期對軟件進行檢測，以保證不被篡改。

（3）病毒防治。計算機病毒會干擾系統正常的運行，甚至使系統癱瘓。對付病毒的基本策略有兩種：一是利用現成的殺毒軟件對病毒進行檢測并消滅。二是對病毒進行預防的，如盡量不用或慎用公用軟件、外來軟件和共享軟件，禁用游戲軟件；定期對系統進行檢查；經常性地對一些重要的文件進行備份；對軟盤加以寫保護等。

4.操作控制

操作控制是通過制定嚴格的、標準的操作規程，并認真地加以執行來實現的，其根本目的在于保證信息處理的高質量、減少差錯的發生和文件、程序及報表的未授權使用。

（1）操作權限控制。企業必須明確地規定上機操作人員對會計軟件的操作工作內容和權限，對操作密碼要嚴格管理，指定專人定期更換密碼，杜絕未經授權人員操作會計軟件。

（2）操作規程控制。操作人員應認真實行上機操作登記，填寫上機者姓名、上機時間、操作的內容，以便系統管理人員進行檢查核實；操作人員必須嚴守操作密碼，不得隨意泄露；每次在處理完相應的業務后，要及時做好數據的備份工作，以防意外的發生；操作人員不能攜帶外來的軟盤進入機房或進行非法的拷貝工作，以防計算機被病毒感染；操作人員在執行完相應的操作之后，應嚴格按操作程序逐步退出會計軟件，禁止強行退出等。

5.檔案控制

電算化會計檔案，包括存儲在計算機硬盤、其他磁性介質或光盤中的會計數據和計算機打印出來的書面等形式的會計數據等，必須嚴格按照財政部有關規定的要求對會計檔案進行管理，由專人負責。

（二）應用控制

應用控制，是指直接作用于企業生產經營業務活動的具體控制，因此亦稱業務控制。通常，將應用控制劃分為輸入控制、處理控制和輸出控制三種。

1.輸入控制

輸入數據的目的就是要保證未經批準的業務不能進入計算機；保證經批準的業務沒有遺漏、沒有被添加、重復或不適當的更換；對不正確的業務進行剔除、改正等。一般，對輸入控制可有以下一些措施：

（1）建立科目對照文件。在電算化會計系統中，輸入的是會計科目的代碼，而不是會計科目名稱。當輸入會計科目代碼時，系統首先在科目對照表文件中確認該科目代碼是否存在，若不存在，則表明該科目代碼是錯誤的，計算機拒絕接受。

（2）試算平衡控制。根據記賬的平衡原理，在系統輸入控制程序中可設計平衡性校驗。當一筆分錄輸入完成后，計算機自動對其進行檢查，如顯示出錯信息，要求修改，若操作員不作修改而欲繼續輸入，則系統拒絕執行，從而保證輸入憑證的數據正確。

（3）人員控制

人員控制在電算化會計系統的輸入控制中也是一個不可缺少的部分，一方面，它是指對人員的權限的控制及操作職責的牽制；另一方面則是指在輸入過程中充分發揮操作人員的經驗作用，及時發現原始數據采集的錯誤。

（4）順序校驗控制。所謂順序校驗控制，即在輸入控制程序中，可設計記賬憑證自動編號的功能，用以檢驗憑證輸入有無遺漏或重復現象，系統應給出出錯信息，并拒絕接受這些業務。

2.數據處理控制

數據處理控制是指為確保計算機運行時發現、糾正和報告某些有錯誤的輸入，從而保證數據處理的正確性和可靠性而設置的控制。

常用的數據處理控制措施包括：登賬條件檢驗，即系統要有確認數據經復核后才能登賬的控制能力；防錯、糾錯控制，即系統要有防止或及時發現在處理過程中數據丟失、重復或出錯的控制措施；修改權限與修改痕跡控制，即對已入賬的憑證，系統只能提供留有痕跡的更改功能，對已結賬的憑證與賬簿以及計算機內賬簿生成的報表數據，系統不提供更改功能等。

3.輸出控制

（1）加強輸出結果的人工核對。如按照用戶的要求設置輸出的格式、方式、內容、時間等；對輸入的總數與輸出的總數加以核對；審核輸出結果，檢查輸出結果的正確性與完整性；將本期輸出的結果與上期輸出的結果進行對比，檢查輸出結果的合理性。

（2）加強輸出資料分發和保管的管理。如指定專門的報表傳遞人員，保證將報表及時送達有權接受者；建立輸出報告登記簿，記錄報告發送的份數、時間、傳遞人、接受者等事項，以防錯發、漏發和多發等。

毋庸置疑，與手工操作比較起來，電算化會計信息系統內部控制是一項現代科學技術含量較高的錯綜復雜的系統工程，僅靠用戶進行內部控制是很難奏效的。本文所提出的上述各項對策，意在提醒進行電算化會計系統內部控制時，要跳出會計業務部門的框框，主動與相關方面通力合作。同時，電算化軟件的信息安全問題是目前整個社會都高度重視并亟需解決的難題，要徹底解決其風險還有待時日。

（作者單位：廣西工商職業技術學院）