淺議高校會計信息系統的內部控制

摘 要：會計信息系統在高校的應用，一方面提高了財會工作的效率，另一方面系統安全問題日益突出。高校會計信息系統內部控制問題是高校整個管理體系中不可分割的重要組成部分，對保證會計信息系統正常運轉具有舉足輕重的作用。從高校會計信息系統及內部控制的特點出發，分析了二者關系，并對如何加強高校會計信息系統的內部控制提出建議。

關鍵詞：會計信息系統；高校；內部控制；風險

中圖分類號：F230 文獻標志碼：A 文章編號：1673-291X（2012）07-0081-04

一、高校會計信息系統的內部控制概述

（一）高校會計信息系統內涵及特點

會計信息系統（Accountant Information System，AIS）是基于電子計算機網絡技術和現代信息技術，以人為主導，充分利用計算機硬件、軟件、網絡通信設備以及其他現代辦公設備，進行企事業單位會計業務數據的收集、存儲、傳輸和加工，用于處理會計核算業務，提供財會信息的現代化信息管理系統。

隨著社會信息化程度的加深，會計電算化信息系統在高校得到了廣泛的應用，成為現代高校的制度特征。高校會計信息系統是以電子計算機技術和現代信息技術為基礎，實行“人為主導，人機互動” 的原則，充分利用計算機軟硬件設備，對會計日常業務進行加工處理，并將處理結果及時反饋給各有關部門，為高校的教學科研等各項事業活動提供財務信息的系統。具有以下特點：第一，系統性。與建立在校園一卡通平臺下的教務管理子系統、科研管理子系統、后勤管理子系統等各子系統緊密聯系，共同組成高校的管理信息系統，實現了財務與高校教學、科研工作的協同處理和高校的整體管理。第二，數據處理的集中化與自動化。高校發生的會計業務在操作人員錄入原始數據之后，余下工作皆由計算機程序自動處理，既及時又準確，減少了人為干預的因素。第三，數據存儲的磁性化、電子化經濟業務經過會計信息系統的處理，以文件的形式存儲在系統數據庫中，并以光盤、硬盤等磁性存儲介質形式表現出來。

（二）高校內部控制制度的含義及特點

高校內部控制，是指為了實現其目標，保護資產的安全完整，保證會計信息資料的正確可靠，確保經營方針的貫徹執行，保證經營活動的經濟性、效率性和效果性而在單位內部采取的自我調整、約束、規劃、評價和控制的一系列方法、手續與措施的總稱。具有以下幾個特點：首先，它是一個不斷發展、變化、完善的過程。它持續流動于高校管理之中，并隨著管理中出現的新情況、新要求適時改進。其次，它是由高校各級管理層的人員共同實施，從校長到院系負責人，從行政管理部門到具體職能部門，全員參與、全員負責的一項活動。最后，它在形式上表現為一整套相互監督、相互制約、彼此聯結的控制方法、措施和程序。這些方法、措施和程序能夠幫助高校及時識別風險和處理風險，促進學校戰略目標的實現。

二、高校會計信息系統與內部控制關系

（一）會計信息系統對內部控制的影響

2010年財政部等五部委聯合發布的《企業內部控制基本規范》指出：“企業應當運用信息技術加強內部控制，建立與經營管理相適應的信息系統，促進內部控制流程與信息系統的有機結合，實現對業務和事項的自動控制，減少或消除人為操縱因素。”電算化會計信息系統的內部控制是計算機應用于會計信息系統所產生的特殊控制，對內部控制的影響主要體現在以下幾個方面：

1.控制環境的變化。會計部門的組成人員從原來由財務、會計專業人員轉變為由財務、會計專業人員和計算機數據處理系統的管理人員及計算機專家組成。會計部門不僅利用計算機完成基本的會計業務，還能利用計算機完成各種原先沒有的或由其他部門完成的更為復雜的業務活動，原先由會計人員處理的一些業務事項，現在可能由其他業務人員在終端機上一次完成，原先由幾個部門按預定的步驟完成的會計業務事項，現在可能集中在一個部門甚至由一個人完成。

2.控制形式的變化。傳統系統下控制主要針對經濟事項本身的交易，對于一項經濟業務的每個環節都要經過某些具有相應權限人員的審核和簽章，控制的方式主要是通過人員的職務相分離和職權不相容的內部牽制制度來實現的。而在電算化會計信息系統下，業務處理全部以電算化系統為主，內部控制的形式由原來的制度控制轉變為制度控制和程序軟件控制。

3.控制內容的變化。計算機技術、網絡技術等現代信息技術的引入給會計工作增加了一些新的工作內容，主要包括；計算機硬件及軟件分析、程序設計、計算機維護人員及計算機操作人員的內部控制規章；計算機病毒防治，計算機系統內及磁盤內會計信息的安全保護，網絡系統的安全控制規章；計算機操作管理員、系統管理員、系統維護員崗位責任制度；軟件使用權限的控制、修改程序的控制、數據備份的控制、科目代碼的控制、結賬時間的控制和設備的接觸控制等系統的權限控制制度等。

4.控制對象的變化。由對人的控制為主轉變為對人、機控制為主，在手工會計系統中，內部控制的對象主要是會計對象、工作情況、信息處理方法和處理程序等。企業的經濟業務發生均記錄于紙上，并按會計數據處理的不同過程分為原始憑證、記賬憑證。會計電算化后，會計憑證轉變為以文件記錄形式儲存在磁性介質上，使會計核算無紙化，修改數據不留痕跡。

5.控制重點的變化。授權、批準控制是一種常見的、基礎的內部控制，在手工會計系統中，對于一項經濟業務的每個環節都要經過某些具有相應權限人員的簽章。但在電算化會計信息系統中，業務人員可利用特殊的授權文件或口令，獲得某種權利或運行特定程序進行業務處理。會計信息系統內部控制的重點將由傳統的財務部門轉移到電子數據處理部門，內部控制放在原始數據輸入計算機的控制、會計信息輸出的控制、計算機系統之間連接的控制、系統的安全控制等方面，控制的要求也更加嚴格。

（二）加強會計信息系統條件下內部控制的必要性

會計信息系統本身的高效與便捷大大提高了管理的效率，但其潛在的風險不可忽視。近年來，各大高校出現了一些計算機犯罪案件，讓我們不得不反思信息系統的危機。會計信息系統中的風險有其特殊性，加強高校會計信息系統內部控制的必要性體現在：

1.會計信息系統容易產生反復性差錯。手工系統中發生差錯往往是個別現象，電算化系統數據處理自動化、集中化，再加上計算機運行的高速性、程序運行的重復性，使得處理結果一旦發生錯誤，往往就會在短時間內迅速蔓延，造成多種數據文件、賬簿及整個系統的會計數據失真。如果發生錯誤的原因在于系統程序和系統軟件，則計算機就會重復執行同一錯誤操作，使系統出現反復性差錯。會計信息系統數據處理的高速性和集中性都使得出現差錯的危險性增大。

2.會計信息數據安全性差。會計信息系統中信息以電磁信號的形式存儲在磁性介質中，數據大量集中存儲于磁、光介質中，發生火災、水災、被盜之類的事件，就可能是全部數據丟失或者毀損。同時磁、光介質對環境的要求較高，不僅要防水、防火，還要防塵、防磁，而且對溫度還有一定的要求，從而增加了數據的脆弱性。有形記錄比傳統手工會計大大減少，憑證、經濟業務事項的說明和賬簿等大多要依賴計算機方可錄入、閱讀或查詢，其直觀性較差，并且修改、刪除和拷貝均不會留下任何痕跡，有些業務可能不被打印出來。因此極易被篡改而不留痕跡，偽造、變造業務導致會計資料失真。

3.操作形式的變化使會計信息系統風險加大。手工核算環境下會計人員形成了一定的相互制約、相互監督的關系，這種層層復核的內部控制制度隨著會計信息系統的應用，被極大地削弱。會計信息系統失控具有一定的隱蔽性，在信息系統中，許多應用程序本身就帶有內控的功能，從而使得對于人的依賴性減弱，這樣企業的內部控制主要取決于應用程序，如果程序發生差錯或沒有起作用，由于程序運行的重復性，往往會使失控情況長期不被發現，造成很大的損失。

4.內部稽核監督作用被削弱。隨著會計信息系統的運用，許多業務處理程序被大大簡化，大部分處理由計算機完成，一些內部牽制措施無法執行，會計人員無法直接參與和控制，控制效率低，其審查稽核機制被削弱。在崗位設置上，許多單位也沒有專設稽核崗位，這樣從原始憑證的錄入到制作記賬憑證，再到數據的處理、輸出、報送均由一人通過操作電腦自動完成，如果中間某一環節出現問題，都容易及時發現，就會導致會計信息失實，會計信息質量下降。

三、如何加強高校會計信息系統環境下的內部控制

中國《企業內部控制基本規范》指出，有效的內部控制應當包括五個要素：內部環境、風險評估、控制活動、信息與溝通和內部監督。按此思路，會計信息系統環境下，高校內部控制系統的框架體系雖未發生實質性的改變，但每項基本要素的內容卻呈現出新的內容，加強高校會計信息系統的內部控制制度應包括：

（一）內部環境

內部環境是實施內部控制的基礎，控制環境要素是推動企業發展的發動機，也是其他一切要素的核心，一般包括治理結構、機構設置及權責分配、內部審計、人力資源政策、企業文化等。網絡經濟引導著組織從機械式向有機式并最終向虛擬組織發展演變，要求高校領導階層學會在一個流動和動態的環境中發現內聚力和構造組織，既要有創新和發展，又要能在不斷磨合中加強內部控制。具體措施包括：

1.加強內部管理制度建設。針對會計信息系統的特點，制定切實可行的內部管理制度。通過科學合理的部門設置、人員分工、崗位職責的制定、權限的劃分等形式進行控制。建立恰當的組織機構和職責分工制度，以相互監督、相互制約，防止或減少舞弊的發生，最大限度地防范和化解會計工作風險。對每一項可能引起舞弊或欺詐的經濟業務，不能由一人或一個部門經手到底，必須分別由幾個人或幾個部門承擔。不相容的職務主要有系統開發、發展的職務與系統操作的職務：數據維護管理職務與電算審核職務；數據錄人職務與審核記賬職務；系統操作的職務與系統檔案管理職務等。同時還應健全職務輪換制度。

2.提高人員素質。科技是第一生產力，人才是關鍵。內部人員的道德品質和專業技能對于會計信息系統的安全性是至關重要的。高校應抓好復合型會計人才的建設，強化素質培養，有計劃、有針對性地組織開展財會人員的繼續教育和培訓工作，改善知識結構，提高計算機應用水平，培養既懂財會業務、又熟悉計算機應用技術的復合型人才。

（二）風險評估

風險評估是及時識別、系統分析經營活動中與實現內部控制目標相關的風險，合理確定風險應對策略，是實施內部控制的重要環節。在網絡環境下，系統的開發性、信息的分散性、數據的共享性使系統從以往封閉集中狀態走向開放，因此對會計信息系統帶來了新的風險。高校會計信息系統風險主要包括：

1.環境因素。環境因素風險包括硬件風險，軟件風險和網絡風險。第一，硬件風險是指信息載體本身存在的不安全的風險。會計電算化的信息載體不可避免地存在技術性缺陷，都有被損壞的可能，而一旦出現故障或被損壞，將直接威脅其所載信息的安全。第二，軟件風險是指來自于財會軟件及相關軟件、程序的風險。會計電算化軟件不可避免的因為專業知識的差異和理解的障礙可能存在軟件不能完全滿足用戶需求的情況。此外，不同的軟件在使用中可能造成數據不兼容，造成數據丟失或者損壞，危害系統的安全運行。同時，財務軟件本身具有以程序來進行控制的功能，程序化的有效性取決于應用程序，如果程序發生差錯或不起作用，就會使得控制失效。第三，網絡環境因素。網絡環境的開放性和動態性，也存在一定的安全隱患。網絡在會計電算化過程中扮演的角色越來越重要，數據或者系統在雙方傳遞、轉化的過程中，可能被被非法攔截或被人篡改、復制、銷毀特別是網絡中黑客的侵襲更會給會計電算化的保密數據帶來極大的風險。

2.人為因素。人為因素風險包括非主觀因素風險和主觀因素風險。第一，非主觀因素風險主要指的是系統操作人員因為操作技術上的缺失或者是偶然性失誤導致的操作不當，造成數據的損壞或者丟失繼而影響系統的整體運行，這主要是因為高校會計工作人員對于會計電算化及其內部控制的認識和學習還不夠，專業素質未達標而引起的。第二，主觀因素風險是指系統業務人員有意對會計數據采用非法訪問、篡改、泄密和破壞等手段，引起失控而造成損失的風險。

3.制度因素。高校會計電算化系統在運行過程中隨著應用的深入許多問題逐漸凸顯出來，主要有：第一，授權控制不嚴。會計電算化系統授權方式是口令授權，只要繞過財務軟件的關卡，就可以打開計算機財務數據庫進入財務報表等系統獲取財務數據，且業務人員的口令很容易被獲取，這些新的風險的出現需要新的內部控制制度來監督管理。第二，監督管理弱化。會計電算化系統中的許多應用程序包含了內部控制功能，但這些內部控制功能并沒有受到會計業務人員的重視，使得可以直接應用的內部控制得不到體現和發展。

（三）控制活動

控制活動是指根據風險評估結果，采取相應的控制措施，將風險控制在可承受度之內，是建立與實施有效內部控制的重要手段。網絡環境下的會計信息系統控制的重點由對人的控制為主轉變為對人機共同控制為主，控制程序與計算機處理相協調適應。高校會計信息系統的內部控制措施包括一般控制和應用控制：

1.一般控制。一般控制指對信息系統開發、運行和維護的控制。第一，健全計算機軟硬件設備環境控制，配備可靠的硬件資源。計算機終端應選擇容量大、速度快、擴充能力強、外設合理的機器；系統環境要求安排在專用的計算機機房內，保持通風良好、潔凈、恒溫、恒濕、有良好的采光照明及噪聲控制設計等；重視機房的防雷系統，布置良好的防雷地線；還應具有防潮、防震、防火、防盜、防塵等一系列安全設施。第二，完善軟件開發與設計。軟件開發應考慮后續支持能力，便于系統升級和對突發事件的處理，保證整個系統的暢通運行。擴充模塊的開發設計應考充分慮其兼容性和統一性；系統運行中形成的技術文檔對于系統的維護非常重要，應建立技術手冊。加強數據保密，保證數據輸入及存儲的安全會計數據的輸入要加強審驗，加大復核監控的力度，只有經過審核無誤的憑證才能進入記賬程序；系統備份措施多而有效，其可靠性就高，因此對系統的軟件和數據備份應形成制度化，定期備份，并分別存放在系統之外的兩個獨立安全位置，定期檢查，做好存儲介質的防磁、防火、防潮、防塵工作。第三，建立病毒防控措施財務內網與校園外網要利用網閘形成物理隔離，利用防火墻、入侵檢測與保護系統、防病毒系統及流量控制等手段，限制外界對會計系統進行非法訪問；財務軟件可捆綁反病毒軟件，加強軟件自身的防病毒能力；安裝正版的殺毒軟件，并保持定期升級；禁止安裝盜版及來歷不明的軟件，外來盤應先殺毒再與系統連接。在會計電算化操作過程中應強化用機管理，實行專機專人制度，不能連接與業務無關的終端。

2.應用控制。應用控制，是指作用于高校會計電算化系統的具體控制，亦稱業務控制。主要包括數據輸入控制、數據處理控制、數據輸出控制等。第一，數據輸入控制。數據輸入的正確性和可靠性是保證會計信息準確性的最主要環節。對系統的初始化數據輸入和日常操作過程都必須規范化，職責明確化，數據輸入不僅要重視會計審核崗位工作，還應進一步加強復核審查工作，加強復核崗位設置，做到會計工作處理環節事前控制，盡量避免人為因素造成的錯誤。采用校驗碼控制、合計數控制、平衡校驗、符號校驗等方法對輸入數據進行驗證，層層把關，最大限度減少和消除人為操作失誤，保證會計信息質量的準確性、完整性和可靠性。計算機業務的刪除和修改設置責任控制，對已錄入的憑單非操作本人無權進行修改和刪除，錄入的憑單經復核后，錄入人無權私自進行修改對會計數據必須進行修改的，設置痕跡控制、日志控制；記賬后的憑證不提供修改功能能夠很好地避免非法篡改、刪除和舞弊違法行為的發生。第二，數據處理控制。一般情況下，數據處理程序包括單項處理和批處理。數據處理要注意會計賬務處理過程中賬、證、表之間的數據對應關系，預防數據的重復或漏算；鑒別各部門、項目、科目等代碼的設置的有效性檢查輸入記錄和文件記錄數據及其他功能設計的合理性，使會計系統能夠按照設計的程序控制和要求運行，保證數據處理的準確性。第三，數據處理、存儲和檢索控制。數據處理控制分為有效性控制和文件控制。有效性控制包括數字的核對、字段和記錄長度的檢查、代碼和數值有效范圍的檢查、記錄總數的檢查等。文件控制包括文件長度和標識的檢查、文件是否被感染病毒的檢查等。企業應對儲存數據的磁盤或光盤做好標識，便于調用、更新和檢索。文件的修改和更新等都應附有授權通知書，整個修改更新過程都應做好登記，計算機會計系統應具有自動記錄功能，便于查詢或檢查。

（四）信息傳遞與溝通

信息與溝通是及時、準確地收集、傳遞與內部控制相關的信息，確保信息在內部與外部進行有效溝通，是實施內部控制的重要條件。利用信息化管理系統渠道，加強信息溝通，將全校及各部門具體內部控制措施和制度及相關責任人考評措施、獎懲措施等制度發布上網；在相關制度定案前供全校師生討論，通過信息交流平臺將相關信息收集整理報高校管理層決策參考；方案確定后，通過信息平臺發布，加深師生對制度的理解；建立信息交流平臺，通過全校監督，群眾監督，使信息透明化、執行陽光化，發揮群眾的監督作用，不讓權力失去監督，形成一個有傳達有反饋的雙向交流的信息平臺。

（五）內部監督

內部監督是對內部控制建立與實旋情況進行監督檢查，評價內部控制的有效性，發現內部控制缺陷，及時加以改進，是實施內部控制的重要保證。加強高校內部審計監督職能，實行有效監督和指導。內部審計既是內部控制系統的重要組成部分，也是加強單位內部控制的一個有效手段。在會計電算化系統中，由于是人機對話的特殊形態，因而對內部審計提出了更高、更嚴格的要求。高校的內部審計必須包括以下幾個方面：第一，對會計資料定期進行審計，檢查電算化會計賬務處理是否正確、真實，審核費用簽字是否符合本單位內控制度要求，憑證附件是否規范完整；第二，審查機內數據與書面資料的一致性，如查看賬冊內容，做到賬表相符，對不妥或錯誤的賬表處理應及時調整；第三，監督數據保存方式的安全、合法性，防止發生非法修改歷史數據的現象；第四，對系統運行各環節進行審查，防止存在漏洞；第五，檢查和監督內部會計控制制度的建立和執行情況。為方便審計人員對財務的監督和指導，可以在財務部門計算機局部網中，為審計部門設置計算機終端，嚴格控制使用權限，使財務和審計相互配合、相互促進，使財務管理工作水平進一步提高。

參考文獻：

[1] 財政部會計司.企業內部控制規范講解[M].北京：經濟科學出版社，2010.

[2] 毛丹.高校會計信息系統的安全控制策略[J].長江大學學報，2010，(6).

[3] 才杰.網絡環境下高校會計信息系統如何做好內部控制[N].企業導報，2010，(11).

[4] 張英.高校內部控制存在的問題及其改進措施[J].當代經濟，2009，(10).

[5] 董君.會計信息系統建設中風險控制與防范[J].會計之友，2009，(1).

[6] 許學丹.高校內部控制存在的問題及其完善措施[J].財會通訊，2009，(3).

[7] 常輝.論高校會計電算化內部控制的風險及防范[J].經濟師，2009，(7).

[8] 楊靜媛.會計電算化下高校內部控制芻議[J].中國管理信息化，2010，(4).

[9] 張春富，張莎.COSO報告在高校內部控制中的運用[J].教育財會研究，2010，(6).

[責任編輯 陳麗敏]