一、企业内部控制重要性理论分析及其对企业经营活动的作用
内部控制是衡量现代企业管理的重要标志,通过实践得出的结论是:得控则强、失控则弱、无控则乱。在《会计法》二十七条中规定“各单位应当建立、健全本单位内部会计监督制度”。单位内部会计监督的执行,靠的就是内部控制。内部控制是形成一系列具有控制职能的方法、措施、程序,并予于规范化和系统化,使之成为一个严密的、较为完整的体系。
广义地讲,一个企业的内部控制是指企业的内部管理控制系统,包括为保证企业正常经营所采取的一系列必要的管理措施。内部控制的职能不仅包括企业最高管理当局用来授权与指挥进行购货、销售、生产等经营活动的各种方式、方法,也包括核算、审核、分析各种信息资料及报告的程序和步骤,还包括为对企业经济活动进行综合计划、控制和评价而制定或设置的各项规章制度。
因此,内部控制贯穿于企业经营活动的各个方面,只要存在企业经济活动和经营管理,就需要有相应的内部控制。内部控制按其控制的目的不同,可以分为会计控制和管理控制。会计控制是与保护财产物资的安全性、会计信息的真实性和完整性以及财务活动的合法性有关的控制;管理控制是指与保证经营方针、决策的贯彻执行,促进经营活动的经济性、效率性、效果性以及经营目标的实现有关的控制。会计控制与管理控制并不是相互排斥、互不相容的,有些控制措施既可以用于会计控制,也可用于管理控制。
内部控制的目标是确保单位经营活动的效率性和效果性、资产的安全性、经济信息和财务报告的可靠性。其主要作用:一是有助于管理层实现经营方针和目标;二是保护单位各项资产的安全和完整,防止资产流失;三是保证业务经营信息和财务会计资料的真实性和完整性。除此之外,保证单位内财务活动的合法性也是内部控制的目标。
二、实行会计电算化情况下企业内部控制发生的变化及其原因分析
随着科学技术的发展,电子计算机数据处理技会计领域已得到了广泛应用,使财会工作向生产技术和经营管理领域广泛渗透。财会工作从单纯的记账、算账、报账中解脱出来,转向经营管理,但它也给电算化会计内部控制的设置带来了新的问题。
在手工操作下,有岗位责任制和各种内部牵制制度,保证了手工核算下会计信息的正确性,企业资产的完整和安全。计算机的引入使得内部控制制度发生了一定的变化。由于电子计算机具有高速、稳定的特点,有很强的逻辑判断和逻辑分析能力,使内部控制主要有两方面变化:
(1)手工操作下的一些内部控制措施在电算化后没有存在的必要性了,如:编制科目汇总表、凭证汇总表等试算平衡的检查。总账、明细账的核对,由于计算机不会在整理过程中出现某些失误,没有核对的必要。
(2)手工操作下的一些内部控制措施,在电算化后转移到计算机内了,如凭证的借贷平衡校验;余额、发生额的平衡检查;各核算与系统之间的数据核对;报表数据的关系检查等。会计电算化条件下,内部控制的现存问题有以下几个方面。
(一)不相容职能分离,职责分工原则的重要性下降。
传统手工会计处理系统的内部控制是建立在不相容职能分离及相应职责分工的基础上。采用电算化后,由于功能和知识高度集中,导致职责的集中,原手工操作下不宜合并的岗位,采用电算化后可以合并,会计人员大大减少,致使这些原则的重要程度下降。某些会计人员可能既从事数据的输入、处理,又负责数据的输出、报送,他们可能在数据来源的相互关系、数据如何处理、分配及输出的使用等方面具有详细的知识,也熟知内部控制的缺陷,这就有可能使他们在未经批准的情况下,直接对使用中的程序和数据库进行修改和操作处理,加大了出现错误与弊端的风险。
(二)现行会计电算化系统本身无法实施对经济业务发生的合理性、合法性和真实性的控制。
只要现代科学技术没有达到会计软件系统完全智能化,会计电算系统在信息处理时就不可能摆脱人的监督和帮助,不可能取代会计人员在经济活动中的职能和作用。尽管当今的会计电算化软件系统有较强且完善的事后信息处理功能,但现在还没有一个完全可以自行独立处理各种经济业务全过程信息的会计软件系统,因而,人的参与在会计电算化应用中是极为重要的,也是极为关键的。相应地,把一个合理、合法、真实、正确的数据输入计算机时,事先离不开人对该数据的甄别,这实质就是一个控制的问题。
(三)输入依据和输出结果不严密
采用电算化后,程序与数据存储在一起;数据的输入和输出形式和手工会计系统也大不相同。数据的输入可能缺乏充分可靠的记录,未经确认没有附件的数据亦可能被输入系统内。在输出方面,有些业务或处理结果可能不被打印出来,只有依靠电子计算机才能查看到存储在磁性媒体中的数据。而如何存取改动数据的命令和程序又集中在同一装置内,如果没有适当的控制,未经批准擅自存取或改动数据就很有可能。
(四)实行会计电算化后会计数据处理方式及会计存储方式变化的影响
1.数据处理方式变化的影响。原手工方式下,从凭证到账簿、报表、是按一定组织方式分别由不同的人完成的。同时各明细账记录和总账记录也是由不同人员分别人员处理的。在电算化会计方式下,数据全由计算机完成,且数据修改方便,而手工会计发现错误,采用划红线并签章的改错方法,实行电算化后在计算机上修改错误,修改过的数据很难留有痕迹。
2.数据存储方式变化的影响,导致数据的安全保密性差。所谓数据的安全保密性主要指下面两个方面:
其一是对数据的非授权使用(包括对数据的查询、修改、加入、删除等操作);
其二是人为恶意的或者因为软、硬件故障致使数据受到破坏以后的恢复。
在手工方式下,数据和信息存储在各种证、账、表中,存储在各种纸介质上,对数据修改的可见度高,人为控制比较容易。但是在电算化方式下,大量数据一开始就存储在各种磁介质上,以机器可读方式保存起来。这一变化降低了数据检查的直观性和可见性,使原来有判断错误能力的人失去了判错作用,从而降低了整体的可控性。同时,财务上的数据,是企业的绝对秘密,在很大程度上关系着企业的自下而上与发展,但几乎所有的软件系统都在为完善会计功能和适应财务制度大伤脑筋,却没有几家软件认真研究过数据的保密问题。
所谓的加密,也无非是对软件本身的加密,防止盗版。另外在进入系统时加上些诸如用户口令、声音监测、指纹辨认等检测手段和用户权限设置等限制手段,不能真正起到数据的保密作用。安全性上,更是难如人意,系统一旦瘫痪,或者受病毒侵袭,或者突然断电,很难从容恢复原来的数据。
目前数据完全保密性好的会计电算化软件很少,在这些软件中,数据往往完全暴露在所有用户的面前,一个人只要打开计算机,即使算不上一个“电脑高手”,他往往也可以随意地查询修改数据,甚至有意地破坏数据。例如,在1993年初,某公司发现电脑中的工资数据被改动,但不知道是何人所为,此外,这些软件的容错能力也很差,它们对用户的操作有许多的限制,用户在使用软件时心理压力很大,有一种如履薄冰的感觉,生怕由于自己无意的操作错误而发生问题。
(五)实行会计电算化以后,出现了利用会计电算化进行舞弊的现象。
实行会计电算化以后企业的财务数据都是以电子数据的方式进行存储,而电子财务数据没有字迹特征,不能通过字迹来确定会计责任,所以有些人利用电子数据的这个特性来进行会计舞弊行为。进行会计电算化舞弊的方法主要有以下几种方式:
1.篡改输入。这是最简单也是最常用的计算机舞弊手法,该方法通过在经济数据录入前或加入期间对数据做手脚来达到个人目的,如:虚构业务数据、修改业务数据、删除业务数据。
2.篡改文件。是指通过维护程序来修改或直接通过终端来修改文件中的数据。在电算化会计系统中,有很多重要的原始参数以数据的形式保存在计算机文件中,如存货的零售价、批发价等,这些参数是计算机程序计算的依据之一,缺少或修改了这些参数,将得不到正确的结果。
(1)直接更改文件中的参数数据。这种方法最直接,但是可以留下许多痕迹,比如修改后的日期会被记录下来,修改者很容易被追踪。
(2)另造结构相同、数据不同的文件覆盖原有文件。一般来讲,大多犯罪行为都是采取这种手段实现的。实现在私人计算机上构造覆盖文件,编制自动覆盖指令,实施时,仅需极短的时间就可以达到其犯罪的意图而不留痕迹。
3.篡改程序。是指通过对程序作非法改动,以便达到某种不法的目的。比如,将小量资金(比如计算中的四舍五入部分)逐笔积累起来,通过暗设程序记到自己的工资账户中,表面上却看不出任何违规之处。
4.违法操作。指操作人员或其他人员不按操作规程或不经允许上机操作,改变计算机的执行路径。如系统人员未经批准擅自启动现金支票签发程序,生成一张现金支票到银行支取现金。
5.篡改输出。通过非法修改、销毁输出报表、将输出报表送给公司竞争对手利用终端窃取输出的机密信息等手段来达到作案的目的。
6.其它方法。如通过物理接触、电子窃听、译码、拍照、拷贝、复印等方法来舞弊。
三、实行会计电算化情况下加强企业内部控制的对策
电算化会计与手工会计相比所使用的技术手段与组织结构、内部控制都存在着不同,对会计电算化的内部控制,比将内部控制推向传统手工会计系统更为重要。由于会计采用电算化,其结果的正确性在很大程度依赖内部控制,因此管理当局应给予内部控制充分的重视。
然而,就我国目前应用会计电算化现状来看,还只停留在一般利用水平。企业管理当局较少注意到由于计算机这一特定的工作环境所引起的内外部条件的变化,这可能对计算机数据处理结果的正确性构成威胁。从大多数企业来看,购买计算机,配备了相应的应用财务软件,却忽视了相关的内部控制。由于会计电算化的实施,其结果的正确性在很大程度上依赖内部控制,要在实行会计电算化的情况下做好企业的内部控制,主要做好以下的三方面工作。
(一)制度控制的形式
制度控制一般是以管理制度的形式实行的,即由主管部门制定一系列规章制度强制或监督会计部门执行,从而保证会计核算软件正常和安全运行,免遭外界干扰破坏,向企业提供准确无误的会计信息。制度控制的形式包括以下几点。
1.会计电算化组织控制。会计核算软件投入正式使用时,必须对原始结构作相应的调整,并对各类人员指定岗位责任制以帮助各个系统顺利运行,完成预定目标。会计电算化后,会计岗位将重新划分,其岗位包括系统管理员、电算主管、软件操作、审核记账、电算维护、电算审查与数据分析等,实行电算化系统中的职权分离。由于会计电算化实施,会计人员与开发人员联系非常密切,因此需要用组织控制进行职权分离。
同时,在会计电算化应用软件中设计一个操作权限管理模块,将所有用户的姓名、口令、操作权限、注册情况等信息管理起来,可建立一个数据管理库,确保所有操作人员必须已经登记注册,否则无权使用系统。这个数据管理库的结构如表1(略)。
其中:●注册代码——用来保证系统运行中只有经注册登记的用户方有资格操作。
●口令——一旦注册,就要设置用户的姓名与口令,以便在进入系统时,接受系统盘查。
●操作权限——将系统的所有功能模块都设置一个权限标志,只有那些具有权限的授权人方可进入模块操作。例如,若有五个子系统,则可能的权限标志组合是32种,假设0级为超级用户,一级用户只能访问子系统1,3级用户可操作子系统1和2等等。
●识别码——用户可根据需要设置一个识别码,作为口令的一部分。为了保密起见,可令该码是动态变化的,比如以当前“日”作为识别码,则每天输入的口令均不同。
通过组织控制,明显可以改善由于实行会计电算化以后职责分工原则重要性下降的缺陷。不仅有利于减少出错的可能性和风险,而且可以避免别有用心的某些人在未经批准的情况下对会计电算化的程序和数据库进行修改和操作处理,减少舞弊行为的发生。
2.系统操作环境管理和控制。系统操作环境包括系统操作过程以及系统的维护。
操作过程控制主要是通过制订一套完整而严格的操作规程来实现,操作规定应明确职责、操作程序和注意事项,并形成一套电算化系统文件。如规定系统开关的步骤;规定交接班手续和登记运行日志;规定数据备份的时间及存放地点;规定机器的使用规范;规定软件专用以防病毒感染途径等。
系统维护包括对硬件、软件和数据的维护,对硬件的管理除按固定资产造册登记,专人保管外,还应制定设备的使用,检查和维护制度,规定机房的温度、湿度、电压等环境条件,以及规定防火、防盗等措施;对会计核算软件的管理和控制,主要在防止对软件的非法修改和删除。
3.加强数据的保密与保护,确保数据的安全。电算化的安全保密控制主要是安全控制和保密控制。安全控制主要包括计算机硬件设备、软件程序、数据文件、档案资料的安全;机房内的安全包括供电、防火、防盗和空调设备,建立安全控制是为了减少计算机故障,保障计算机实际操作的正常运行。保密控制主要对存取权限进行控制,通过设多级保密措施,将系统密码的源代码和目的代码置于严格的保密之中。
同时,对操作密码实行双人控制,即将所设密码分两部分、一部分由财会主管人员掌握,另一部分由操作人员掌握,只有两者同时兼有密码后,方能进人操作、由此,达到相互监控,防止舞弊行为发生。
数据是CAIS的核心,在加强保密的同时,它的安全也是不容忽视的,例如突然断电、病毒侵袭、误操作等意外因素造成数据丢失、系统瘫痪,企业无法正常运营,此时数据的安全性就格外重要,可以参考以下几点:
1.文件自动在硬盘上另作备份,并有数据完整性检查机制,定时更新。
2.微机操作员定期手动备份,将完整有效的数据及时转储。
3.严格机房管理,杜绝无关人员使用机器和外来未经检查的磁盘(片),专机专管。
(二)程序控制的形式
程序控制是指靠计算机程序对会计核算进行内部控制,以实现系统的自我保护,这种自我保护的内部控制往往比通过各种管理制度实现的控制更为有效。程序控制由输入控制、数据处理过程控制、输出控制、维护安全控制组成。
1.会计数据输入控制。输入控制的设计目的是为了保证输入的数据确已经过审批手续,并且能够正确而完整地输入计算机。输入控制由以下三部分组成:
(1)经济业务在由计算机处理之前经过适当的批准,即适当授权和审批。这一点非常重要,因为在当前的会计软件远没有达到智能化的程度,所以要求在把一项经济业务输入计算机进行处理之前,由会计人员对该项经济业务的合理性、合法性和真实性认真审核,依据固化在会计软件系统中的一系列经济法规和政策法令对所发生的经济业务进行分析处理。会计主管也可通过定期抽查等方法检查输入电脑进行处理的经济业务的正确性。
(2)设置责任控制,会计信息系统通过登记日记文件,以防止经济业务被遗漏、添加、重复或不正当的更改,并对不正确的经济业务进行删除或更正。
(3)经济业务准则地转变为机器可读的形式记录在数据文件中。
2.数据处理过程的控制。会计数据正确输入后,数据由程序进行具体的加工处理,遵循输入、复核、更改、汇总、分类、登账、对账、转账、结账等流程进行。这一控制过程是为了确保计算机运行时发现、纠正和报告某些有错误的输入,从而保证数据处理的可靠性和正确性。数据处理控制主要有处理的流程控制、数据修改控制、数据备份和恢复控制、结账控制等。由于不同子系统所处理的业务不同,所以处理过程中的控制内容和方法也不尽相同。因此,财务软件应根据各子系统建立相应的数据处理控制机制。
3.会计数据输出控制。会计信息的输出包括查询、打印和软盘输出等形式。内容涉及各种明细账、日记账、会计报表、总账等。输出控制最重要的目标是保证各种输出结果的正确性、真实性、完整性、保证输出的接触人员仅限于经过授权的人中。这就要求对电脑打印的资料严格控制,并建立输出资料控制制度,由指定人员负责分发,保管并登记输出资料的使用者,分发日期,打印份数等。同时对发生的差错进行记录,仔细检查,分析形成错误的原因是由于偶然性过错还是人为差错,并采取相应的避免措施或改进措施。
4.系统初始化控制。会计软件必须有控制系统初始化的功能。因为初始化包括设置系统参数、设置会计科目、建立各种账簿文件、录入各种余额数据等,因此在系统运行前应进行初始化控制。
(三)加强对企业内部控制行为主体“人”的控制
即使企业实行了会计电算化,但是企业的行为主体仍然是人(这里所指的人是指一个企业从领导到有关业务经办人员)。企业内部控制失效,经营风险、会计风险产生,行为主体全是人。企业只有作到上下一致,及时沟通,随时把握相关人员的思想、动机和行为,才能把内部控制工作做好。具体讲,应做好以下几点工作:
第一,要及时掌握企业内部会计人员思想行为状况。内部业务人员、会计人员违法违纪,必然有其动机,因此企业领导及部门负责人要定期对重点岗位人员的思想和行为进行分析,着重了解他们是否有赌博、炒股、经商、与社会劣迹人员往来和追求超常消费等情况,掌握可能使有关人员犯罪的外因,以便采取措施加以防范和控制。
第二,加强“复合型”电算会计类人才建设。企业应当吸纳高校会计电算化毕业生补充到会计队伍中来,同时选拔具有一定计算机知识的会计业务骨干到高校进修计算机专业,特别是对电算化管理人员的培训工作要经常性进行,并结合经验交流,使培训收到实效,形成一支新老结合,高中低结合的会计电算化人才队伍。
第三,对会计人员进行职业道德教育和业务培训。职业道德教育要从正反两方面加强对会计人员的法纪政纪、反腐倡廉等方面的教育,增强会计人员自我约束能力,自觉执行各项法律法规,遵守财经纪律,做到奉公守法、廉洁自律;提高会计人员的自身道德修养对于加强企业内部控制是非常重要的。因为在实践操作上没有十全十美的内控制度和程序,难免有一些漏洞,如果会计人员自身道德修养较高的话,他们就会对发现的漏洞采取补救措施,而不是利用漏洞为自己谋求私利,给企业造成损失。
只有三者结合,才会少出问题,达到相互监控,在促进会计电算化事业的发展同时,加强企业的内部控制。
四、结论与讨论
目前计算机技术在企业会计信息处理中迅速普及和广泛运用,虽然会计电算化给企业带来极大方便和效益,但是企业也应该认识到由于企业实行会计电算化进程的发展,企业内部控制环境也随之发生了变化,企业只有根据不断出现的新情况采取相应的内部控制方法,才能在促进会计电算化发展的同时,加强企业内部控制制度和程序的建设,将内部控制的作用发挥到最大。
同时我们也要注意到一套完整的内部控制系统从设计到实施并不难,重要的是系统的管理,是使用者能否严肃、持久的维护工作,我国企业长期形成的各行其是、自由松散的作风与现代的管理手段是不相容的,我们应注意防范。只有把企业的内部控制制度真正落实到实处,才能达到保护企业财产安全,保证经济业务的合理性、合法性、真实性、可靠性及防止舞弊,加强管理和提高经济效益的目标。