淺談會計電算化信息系統環境下的內部控制

2009-04-29 00:00:00黃任全

中國管理信息化 2009年5期

[摘要]隨著計算機的迅速發展和廣泛應用，實行會計電算化的企業也越來越多，會計電算化的實行給企業的內部控制帶來了很多的問題。本文主要分析會計電算化信息系統環境下的內部控制存在的缺陷，并針對這些缺陷提出建立內部控制的具體方法，以確保系統能夠正常、安全、有效地運行。

[關鍵詞]會計電算化信息系統；內部控制；事前控制；事中控制；事后控制

[中圖分類號]F232

[文獻標識碼]A

[文章編號]1673-0194(2009)05-0010-03

會計電算化信息系統是一種面向價值信息和基于會計管理活動的系統，是在計算機硬件、軟件和網絡環境下采用現代信息處理技術的一個人機交互的管理信息系統。它能充分利用現代信息處理技術，自動(或半自動)采集、存儲、處理、分析、傳遞和反饋會計信息。而內部控制是企業為了合理保證財務報告的可靠性、經營的效率和效果以及對法律法規的遵守，由企業的治理層、管理層和其他人員設計與執行的政策及程序。隨著計算機、網絡、通訊和數據庫等高新技術的飛速發展，會計核算和管理環境發生很大的變化，信息技術在給企業帶來巨大效益的同時，也給內部控制制度造成了極大的沖擊。本文主要探討會計電算化信息系統環境下的內部控制。

一、會計電算化信息系統對手工會計系統內部控制的沖擊

手工會計系統已經形成了一系列內部控制制度，如內部牽制制度可減少錯誤和舞弊的發生；另外，除了保證憑證、賬簿、報表按一定的程序分別由不同的人員記錄和編制外，還要進行賬賬核對、賬證核對、賬表核對，并保證其一致性。隨著會計信息系統由手工方式向電算化方式轉換，雖然內部控制的目標仍然沒變，但其控制的重點、方式、內容和范圍均有所改變。

1.內部控制的重點發生轉移

在手工會計系統中，每一項經濟業務活動都可分為授權、主辦、核準、執行、記錄和復核等步驟，這些步驟由不同的部門或人員來完成。而在會計電算化信息系統環境中，內部控制的重點發生轉移，數據的處理、存儲高度集中于會計數據處理部門，另外一些部門往往只負責原始數據的生成，審核和分析處理計算機輸出的報告等。

2.內部控制方式的改變

在手工會計系統中，內部控制通過憑證的人工傳遞程序，利用日常業務處理工作中會計人員間相互校驗、相互核對的內部牽制，來保證會計信息真實、完整，防止或減少錯誤、舞弊的發生；而在會計電算化信息系統環境下，原有的手工控制有一些仍然保留，但增設了一些包含于計算機程序中的程序化控制，而且整個會計數據的處理過程是在人機共同參與下完成的。

3.內部控制的要求更為嚴格，范圍更廣

會計電算化信息系統環境下數據處理比在手工會計系統環境下具有更大的風險，要求更為嚴格，同時內部控制的范圍更廣。其中包括一些手工系統中沒有的控制內容，如對系統開發過程的控制、數據編碼的控制以及對調用和修改程序的控制等。

二、會計電算化信息系統環境下內部控制存在的一些問題

1.內部控制的程序化，增加了差錯反復發生的可能性

在手工會計系統中，發生差錯往往是個別現象，而且由于數據處理各環節分散于多個部門、多個員工，一個部門或員工的差錯往往可以在下一個環節中發現并改正。而在會計電算化信息系統環境下，計算機運行的高速性、程序運行的重復性，其處理結果一旦在某個環節出現錯誤，就可能在短期內迅速蔓延，使得相應的文件、賬簿乃至整個系統的信息失真，并且可能使系統出現反復性差錯。

2.會計電算化信息系統改變了會計信息的存儲方式

在手工會計系統中，信息被記錄于憑證、賬簿等紙質媒介上，很難不留痕跡地加以修改或偽造。而會計電算化信息系統主要以磁盤、磁帶等磁性介質作為信息的載體，這些存放在磁性介質中的會計檔案，可以被方便地且不留痕跡地加以修改，很容易遭到損壞和破壞，影響會計信息的真實性和可靠性，所以記錄于磁性介質之上的信息缺乏證據力。

3.會計電算化信息系統中數據保密性、安全性差

在手工會計系統中，數據處理與存儲分散于各有關部門和人員，而在會計電算化信息系統中數據處理呈現自動化、集中化的特點，因此給數據保密性、安全性帶來了一定的威脅。

(1)會計電算化信息系統中的全部數據高度集中于電子數據處理部門，如果沒有適當的控制，未經授權批準的人可以輕而易舉地利用指令來瀏覽所有的文件，一些機密數據也很可能被不法分子很方便地拷貝甚至可能被非法篡改而不留下任何痕跡。

(2)會計數據大量集中保存于電磁介質上，這些電磁介質在受熱、受潮或強的電磁場下都會損壞。因此，存儲于這些電磁介質上的信息有丟失和毀壞的危險。

(3)系統受到計算機病毒的侵蝕，或者突然斷電，則很難恢復原來的數據。

(4)任何傳輸線路包括電纜(雙絞或同軸)、光纜、微波等都可能被竊聽，不但是竊聽信息的內容，還可以在不了解通信內容的情況下竊聽信息的流量和流向、通信的頻度和長度，由此推測出有用的會計信息。

4.會計電算化系統中軟件本身存在的問題

(1)缺乏兼容性。許多財務軟件是企業自行開發的，各自使用不同的操作平臺和支持軟件，數據結構不同，編程風格各異。各軟件公司為保密技術，相互間沒有交流和溝通，不同的軟件之間沒有統一的數據接口，所以很難在不同系統上實現數據共享。

(2)系統內部銜接性差。管理型財務軟件的各子系統不能實現模塊之間數據的自動轉化，仍然直接使用基礎數據，不僅增加了工作量，而且由于人工核算、人工輸入等人為因素，必然增加出錯概率，使得財務軟件不能充分發揮其管理功能和預測功能。

(3)開發者和使用者的矛盾。以前的軟件是由程序員專門開發，雖然能夠實現數據處理的要求，但由于程序員對財務本質不了解和對用戶使用水平沒能準確定位，所以這些軟件很難使用；現在的軟件是由程序員和會計人員共同開發，但僅在用戶界面、系統平臺、報表處理等方面做了改進，仍然不能很好地滿足用戶要求。

三、會計電算化信息系統內部控制的建立

必須針對會計電算化信息系統存在的問題進行事前、事中、事后控制，才能建立健全的、有效的內部控制，保證信息系統安全、可靠、有效地運行。

會計信息化

(一)事前控制

1.組織管理控制

組織管理控制的目的主要是減少發生錯誤和舞弊的概率，其基本要求是權責劃分和職能劃分，即明確各部門的權限與責任，分離不相容職務，具體控制措施包括：

(1)單獨設立一個電算化部門，其主要職責是對數據進行處理和控制，這樣才能使電算化部門和用戶部門的職責分離，形成有效的內部牽制。

(2)安排電算化部門內部的職責分工，設計一些新的職能工作崗位，如系統分析員、程序員、操作員、數據文件保管員等。這些人員對軟件內部結構非常了解，如果他們有機會操作軟件，則可能更有能力利用這種便利進行舞弊。

(3)人事控制。通過一系列的人事制度對相關人員進行管理，在招聘、培訓、評價、輪崗等方面加強監督。

(4)工作站點的控制。工作站既是數據采集、處理和輸出的端點，也是潛在威脅系統安全的一個入口。在數據通信過程中，面臨著數據丟失、被毀壞、被竊聽和被攔截的風險，為此需要采用回呼、防火墻、保密傳真等技術。

2.系統開發控制

合理設置系統開發過程中的有關控制，是保證系統開發質量的重要條件，具體措施包括：

(1)審批控制。在信息系統開發過程中，從計劃、分析、設計到實施的每一階段都要經過嚴格的審查，不僅要調查當前系統數據處理的各個方面，進行技術上、經濟上的可行性分析，還要確定新系統的功能界面，并建立恰當的計算機數據處理模型。

(2)軟件質量控制。在新系統開發過程中，至少需要一名質量監督人員負責監督質量體系運行情況、資源使用情況以及基本質量策略和方針的落實情況。

(3)內部審計控制。內部審計人員參與系統開發，既可以對系統開發過程進行監督和審查，還可以對計算機信息系統內部控制的各個方面有所了解。

(4)系統測試和試運行控制。系統測試和試運行應交由專門的測試人員和操作人員完成。對測試和試運行階段出現的問題，要求系統分析員和程序員考慮對策，及時解決。

(5)轉換控制。在轉換過程中，對內容是否完整、正確應嚴格檢查；轉換后，經一段時間的并行檢驗無誤后，才能正式使用系統。

(6)驗收控制。系統運行后，相關人員應該對系統進行驗收，以驗證系統是否符合預期的目標和要求。

(二)事中控制

1.輸入控制

如果一個計算機信息系統沒有嚴格的控制措施，系統就不可能提供可靠的信息。所以，為了提高計算機信息系統的可靠性，必須設計有效的輸入控制措施。

(1)確保輸入數據在合理授權的基礎上合法、正確地編制，完整地收集，安全地傳送。為此，所有業務必須編制明確的記賬憑證，并由操作人員、復核人員、業務主管共同簽章；制定工作制度，詳細說明憑證編制時間，使用、傳送的時間，憑證審核的內容和負責人等；建立數據收發記錄，計算控制總數。

(2)數據輸入計算機信息系統，以防止輸入時的遺漏或重復，檢查數據中是否仍然存在錯誤。在輸入數據時可采用一些技術控制手段對其正確性進行校驗，如二次校驗、數碼校驗、編碼有效性校驗、平衡校驗等，如果發現錯誤，系統自動警告操作員進行檢查和修改。

2.處理控制

處理控制就是計算機信息系統對內部數據處理活動的控制措施，以保證數據處理的正確性和完整性。常用的控制措施包括：

(1)處理權限控制。只有經過授權的人才能執行處理操作，并要作好操作記錄。

(2)文件標簽檢驗。文件標簽包括外部標簽和內部標簽。在每次處理時如果需要調用某些數據，則操作人員首先檢查外部標簽，以確認這個存儲介質里包含所需要的文件。而文件的內部標簽是由計算機在存儲數據記錄時產生的，可以用計算機加以檢查，以確定所打開并處理的文件是要處理的文件。

(3)數據合理性檢驗，用于發現處理結果超出預期結果的錯誤。

(4)業務時序控制。許多處理都是有順序關系的，如果顛倒了業務處理時序，會導致數據處理混亂。

(5)平衡關系的檢驗。根據試算平衡原理對全部賬戶余額和本期發生額進行檢查，一旦不平衡，就應該立即更正。

3.輸出控制

輸出控制的主要目的是保證輸出信息的正確性和確保輸出信息只能提供給經過授權的使用者，輸出控制主要包括輸出信息內容和格式的控制，對輸出信息的傳送過程的控制以及對輸出結果的分析。

4.存儲控制

只有經過授權的處理才能存儲和訪問數據，主要控制措施包括：設置交易日志、交易處理前后數據映像記錄和報告、數據文件保存控制、使用標簽等。

(三)事后控制

1.系統維護控制

系統維護包括系統的日常維護和系統功能的改進、擴充。系統日常維護主要用于保障系統正常運行，盡量減少影響系統工作的突發性因素，防止發生意外。而系統的改進和擴充都應該按新系統的規程來要求，并實施相應的控制。例如，必須經用戶部門、審計部門、電算化部門同意并經企業高級管理人員審批，電算化部門的操作人員無權修改程序，該工作只能由開發人員承擔；為不影響原有系統的正常業務處理，修改程序只能使用備份程序；新的程序投入使用前應嚴格測試；改進工作應保留正式、完整的文檔；改進后的系統投入運行前必須經有關管理人員的批準。

2.文檔保管控制

文檔主要包括可行性研究報告、項目開發計劃、系統分析說明書、系統設計說明書、程序設計報告、測試計劃、系統測試報告、用戶手冊、操作手冊和運行維護記錄等。

(1)一個合理完善的檔案管理制度，一般有合格的檔案管理人員，需要由專人負責、專人保管。

(2)所有文檔都要求按編號排放，對磁性介質上的資料，也應貼上標簽，并加以編號。磁性介質保存的會計檔案要定期進行檢查和復制，防止由于磁性介質損壞而使會計檔案丟失。

(3)應該存放在安全、潔凈、防潮、防火、防磁的地方。

(4)銷毀檔案的內容、數量、方式均以書面形式報告，批準后由兩人以上進行銷毀。

3.內部審計控制

內部審計既是內部控制系統的重要組成部分，也是加強單位內部控制的一個有效手段。在會計電算化信息系統中，由于“人機”對話的特殊形態，因而對內部審計提出了更高、更嚴格的要求。內部審計可以從下面幾個方面加以控制：

(1)機內數據是否與書面材料一致，修改機內數據的同時是否按要求做好數據備份和保管。

(2)對會計資料定期進行審計，是否遵守《會計法》以及相關的法律、法規，審核費用簽字是否符合本單位內部控制制度的要求，憑證附件是否規范完整。

(3)對系統運行的各環節進行審查，防止發生意外事件。

主要參考文獻