随着IT技术和网络技术的发展应用,电算化会计信息系统环境下的内部控制面临新的问题和挑战。如何应对挑战,财政部2001年发布的《内部会计控制规范——基本规范(试行)》第二十六条中对此作了明确规定,“电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统,减少和消除人为操纵因素,确保内部会计控制的有效实施,同时要加强对财务会计电子信息系统开发与维护、数据输入与输出、文件储存与保管、网络安全等方面的控制”。本文就电算化会计信息系统中建立内部控制制度的必要性和内部控制的主要内容做如下阐述。
一、电算化会计信息系统中建立内部控制制度的必要性
(一)手工记账系统的会计数据是用可视的文字、符号直接记录在纸上的,这种记账方式有较好的直观性,甚至笔迹也可以成为控制的手段。采用计算机集中地对数据进行处理后,由人工形成并掌握的信息便越来越少。当会计数据以肉眼无法识别的形式存储在磁盘上,人的判断作用便降低了。同时,由于计算机系统的透明度较高,因此,对数据的安全性、保密性进行的控制就变得尤为重要。在这种情况下,如果不对计算机系统实施特殊的内部控制,会计资料的可靠性就无从谈起。
(二)计算机对会计数据的处理是在一个封闭的系统中进行的,其中有许多的处理过程对会计人员来说是“暗箱”,会计人员无法直接参与和控制,会计数据处理的准确性完全取决于应用程序和硬件的可靠程度,因而电算化会计系统必须建立起在计算机处理方式下特殊的内部控制。
(三)在手工记账方式下,会计核算的质量取决于会计人员的业务水平、工作态度及对有关会计法规的理解程度和执行效果。财务部门经过长期的实践已积累了大量的经验,建立起了一整套的管理制度。实现会计电算化后,许多传统的控制方式失去了存在的基础,必须有新的方式取代它。会计工作的质量除受原有因素的影响外,还将取决于计算机系统的可靠性和会计人员自身对新系统的操作管理水平。在这种旧的数据处理方式未被完全取代而新的方式尚未成熟的时期,会计信息失真的风险比以往任何时候都加大了。为了顺利地渡过这一时期,减少转换风险对会计信息的威胁,电算化会计系统更应当建立起一套新的管理控制制度。
二、电算化会计信息系统环境下内部控制的主要内容
(一)电算化会计信息系统的一般控制。一般控制是指任何电算化会计信息系统普遍适用、为系统的安全可靠而对系统构成要素 (人、硬件、软件)及环境实施的控制。
1.组织与管理控制。组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约、防止或减少错弊发生的目的。其中较重要的岗位有系统管理和审核岗位。
系统管理主要负责系统的硬软件管理工作,从技术上保证系统的正常运行。包括掌握网络服务器及数据库的超级口令,负责网络资源分配,监控网络运行;按照主管人员的要求,对各岗位分配权限,对数据的安全保密负责;负责对硬件、软件、数据的管理与维护工作。系统管理岗位应保持相对稳定,若有变动应办理严格的交接手续。
审核岗位主要负责监督计算机及电算化系统的运行,防止利用计算机进行舞弊。具体包括:审查机内数据与书面资料的一致性;监督数据保存方式的安全性、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞等。
2.应用系统开发、建立和维护控制。
(1)应用系统开发控制是针对系统开发阶段而言的,具体包括:系统开发前应进行可行性研究和需求分析;开发过程应进行适当的人员分工;按规范收集和保管有关系统的资料并加以保密等。
(2)系统建立控制则是针对系统建立阶段而言的,具体包括:资源的适当配置;系统的调试应有各岗位人员的参与;新的系统应与传统系统并行一段时间并经有关部门审批后才能替代传统系统使用;严格的验收程序等。
(3)系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作。系统维护控制就是针对这些工作而实施的控制。
3.数据和程序控制。数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行,而数据的安全与否关系到财务信息的完整性和保密性。
数据控制的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等,而数据的备份则是数据恢复与重建的基础,是一种常见的数据控制手段,网络中利用两个服务器进行双机镜像映射备份是备份的先进形式。
程序的安全控制是要保证程序不被修改、不损毁、不被病毒感染。常用的控制包括接触控制、程序备份等。接触控制是指非系统维护人员不得接触到程序的技术资料、源程序和加密文件,从而减少程序被修改的可能性;程序备份则是指有关人员要注明程序功能后备份存档,以备系统损坏后重建安装之需。程序的安全控制还要求系统使用单位制定具体的防病毒措施,包括对所有来历不明的介质在使用前进行病毒检测,定期对系统进行病毒检测,使用网络病毒防火墙以防止日益猖獗的网络病毒侵入等。
4.网络安全控制。网络对会计信息系统的安全性提出了比单机系统更高的要求。如果安全控制设计不好,会带来比单机系统更大的损失。针对网络的特点,需加强以下几个方面的控制:一是用户权限设置。从业务范围出发,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,把各项业务的授权、执行、记录以及资产保管等职能授予不同岗位的用户,并赋予不同的操作权限,拒绝其他用户的访问。二是密码设置。每一用户按照自己的用户身份和密码进入系统,对密码进行分级管理,避免使用易破译的密码。三是对存储在网络上的重要数据进行有效加密。在网络中传播数据前对相关数据进行加密,接收到数据后作相应的解密处理,并定期更新加密密码。四是注意网络传输介质、接人口的安全性,尽量使用光纤传输,接入口应保密。
(二)会计电算化系统的应用控制。应用控制是对会计电算化系统中具体的数据处理活动所进行的控制。应用控制可划分为输入控制、计算机处理与数据文件控制和输出控制。
1.输入控制。常用的控制方法包括:建立科目名称与代码对照文件,以防止会计科目输错;设计科目代码校验,以保证会计科目代码输入的正确性;设立对应关系参照文件,用来判断对应账户是否发生错误;试算平衡控制,对每笔分录和借贷方进行平衡校验,防止输入金额出错;顺序检查法,防止凭证编号重复;二次输入法,将数据先后两次输入或同时由两人分别输入,经对比后确定输入是否正确等。
2.计算机处理与数据文件控制。常用的控制措施包括:登账条件检验,即系统要有确认数据经复核后才能登账的控制能力;防错、纠错控制,即系统要有防止或及时发现在处理过程中数据丢失、重复或出错的控制措施;修改权限与修改痕迹控制,即对已人账的凭证,系统只能提供留有痕迹控制,也就是说,系统只能提供留有痕迹的更改功能,对已结账的凭证与账簿以及计算机内账簿生成的报表数据,系统不提供更改功能等。
3.输出控制。控制措施包括:控制具有相应权限的人才能执行输出操作,并要登记操作记录,从而达到限制接触输出信息的目的;打印输出的资料要进行登记,并按会计档案要求保管。
