会计系统的有效运行离不开一个健全、有效的内部控制机制。会计电算化环境下的内部控制对于单位提高会计信息质量,保证资产的安全和完整等具有重大的意义。当前我国企业会计电算化下的内部控制还存在一些问题,为此,要采取对策加强安全管理,提高内部控制水平。
一、会计电算化对内部控制的影响
1.内部控制形式的变化。原手工操作下的一些内部控制措施在电算化后没有存在必要性。如编制科目汇总表、凭证汇总表、试算平衡的检查、总账和明细账的核对;原手工操作下一些内容控制措施在电算化后转移到计算机内了,如凭证借贷平衡校验,余额发生额平衡检查。由此可见,电算化会计除了人这个执行控制的主体外,许多内容控制方法主要通过会计软件来实现的。因此,计算机系统的内部控制也由手工条件下的单一人工控制转为人工控制和程序控制。由于电算化系统中内部控制具有人工控制与程序控制相结合的特点,电算化系统许多应用程序中包含了内部控制功能,这些程序化的内容控制的有效性取决于应用程序,如程序发生差错或不起作用,由于人们依赖性以及程序运动的重复性,使得失效控制长期不被发现,从而使系统在特定方面发生错误或违规行为的可能性较大。
2.内容控制的范围变化。传统的内容控制主要针对交易处理。计算机技术的引入,给会计工作增加了新的工作内容,同时也增加了新的控制措施。由于系统建立和运行的复杂性,内部控制的范围相应扩大,包含了传统手工系统所没有的控制,如网络系统安全的控制、系统权限的控制、修改程序的控制以及磁盘内会计信息安全保护、计算机病毒防治、计算机操作管理、系统管理员和系统维护人员的岗位责任制度等。
3.交易授权的变化。授权、批准控制是一种常见的、基础的内部控制。在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的签章,自然形成了层层复核、道道把关,具有严格的审核复查机制。但在电算化会计信息系统中,大部分处理由计算机完成,审查、复核等控制被削弱,甚至消失了。
二、我国会计电算化下内部控制制度存在的主要问题
当前我国许多企业应用了会计电算化系统,在电算化会计系统中,由原来的经济业务记录在纸质载体上过渡为计算机的无纸操作,会计人员所熟悉的纸质原件的数据若被修改,则容易辨别出修改的线索和痕迹,但是在计算机网络信息系统中,原来纸质的会计原始凭证的数据被直接记录在磁盘或光盘上,很容易被篡改,有时甚至能不留痕迹地篡改。数据库技术的提高使数据高度集中,未经授权的人员有可能通过计算机和网络浏览全面数据文件,甚至复制、伪造、销毁重要数据。当前,在内部控制管理中还存在以下问题。
1.电算化系统缺乏有效的管理和控制制度。根据财政部的规定,以计算机替代手工记账的单位必须达到一定条件并经同级财政部门或业务主管部门审批。但实际上有相当部分单位未经审批就直接甩账,没有与此相应的内部管理制度;更为严重的是,相当部分单位并未达到甩账应具备的条件,电算化系统未经与手工系统并行运行3个月就正式投入使用;有些外商投资企业直接采用外国母公司的会计软件,这些软件与财政部颁布的《会计核算软件基本功能规范》的要求有一定的差距。不少单位虽制订了一些制度,但制度不完善或没有切实执行,使电算化系统缺乏应有的管理和监督。
2.会计电算化系统安全控制不到位。由于会计电算化实施时间短,经验不足,会计应用软件的使用普遍重功能、轻安全。利用计算机进行贪污、舞弊、诈骗等犯罪活动日益猖獗。并且计算机舞弊者多数为内部人员,他们对整个系统及控制措施比较了解,同时,系统内部人员也相互熟悉,往往不能严格执行一些安全保密措施。另外,各种各样的计算机病毒也对安全系统造成威胁,甚至会导致计算机系统的瘫痪。
3.对组织管理控制不严。按照职责分离原则,系统程序员不得接触或操作正式使用的电算化系统,不得更改软件和打开数据库修改数据;凭证的输入与复核不能由同一人执行该两项不兼容的工作。但一些单位的程序员或系统维护人员可以随时接触系统,甚至顶班操作,使得应有的控制完全失效。
三、会计电算化环境下加强内部控制的措施
1.规范系统控制制度
首先,规范日常操作管理控制。系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统;操作规程控制是指系统操作必须遵循一定的标准操作规程进行,明确职责、操作程序和注意事项,并形成一套电算化系统文件。
其次,健全应用控制。会计信息系统的应用控制是指为了使会计信息系统能适应会计处理的特殊要求而建立的各种能防止、检测及更正错误和处置舞弊行为的控制制度和措施。按其特征可分为输入控制、处理控制和输出控制三种类型。
数据输入控制首先要求输入的数据应经过必要的授权,并经有关的内部控制部门检查;其次,应采用各种技术手段对输入数据的准确性进行校验,如总数控制校验、平衡校验、数据类型校验、重复输入校验等。
数据处理控制是指对计算机会计系统进行数据处理的有效性和可靠性进行的控制。数据处理控制分为有效性控制和文件控制。
输出数据控制一般应检查输出数据是否与输入数据相一致,输出数据是否完整,输出数据是否能满足使用部门的需要,数据的发送对象、份数应有明确的规定,要建立标准化的报告编号、收发、保管工作等。
最后,严格档案管理的控制。加强电算化会计档案管理,是电算化会计工作连续进行的保证,同时必须做好会计凭证的收集和整理、会计账簿的收集和整理、会计报表的收集和整理、会计电算化系统开发文档资料的收集和整理以及磁盘数据的收集和整理工作。存储在硬盘上的会计数据必须建立光盘备份,备份的光盘必须与档案管理员办理存档手续,妥善保管,定期进行转储。双备份的两套光盘应分别保管。
2.加强系统的安全控制
会计信息系统的安全控制是指如何采取有力的控制制度和措施来保证系统安全、可靠地运行。系统的安全控制主要包括系统的接触控制和环境安全控制。接触控制是防止未经授权的人擅自动用系统的各种资源,以保证各项资源的正确性。主要的控制措施包括:订立内部操作制度,禁止非电脑操作人员操作公司电脑;设置操作权限限制;操作人员身份的密码控制;数据存贮和处理相隔离;设置接触与操作的日志控制。
环境保护则是为了尽量减少外界因素所致的计算机故障,以保障机器正常运行。主要包括:机房环境保护,保护性设备配备、安全供电系统的安装等。
3.加强组织管理
现在采用会计信息化管理的单位在这方面的操作都不够规范,如对进入机房内的人员未进行严格审查;规定交接班手续和登记运行日志不健全;规定数据备份及机器的使用规范执行不力等等。
因此,要加强人员职能、权限控制。必须制定相应的组织和管理控制制度,明确职责分工,加强组织控制。职责分工首先是将电算化部门与用户部门的职责相分离。用户部门指产生原始数据的部门或人员(如出纳),在这两者之间进行职责分工的目的,是尽可能保持不相容职能(如业务授权、执行、保管和记录)的分离以及在电算化部门内部的职责分离,通过进行内部职责分工以补救不相容职能集中化的不足。
4.加强内部审核控制
任何一种完善的制度都有可能存在疏漏,在执行中也难免有偏差,这就需要通过单位内部的定期或不定期审计来加以解决,以保证内部控制名副其实。
(1)设置内部审计线索。由于会计电算化系统中数据责任不明确再加上存储介质的磁性化,使得数据资料的可读性极不直观。因此,必须使会计电算化系统留有清晰的审计线索,以确保审计工作的开展。必要的审计线索包括:会计凭证、会计账簿、会计报表、操作日志。
(2)会计电算化系统软件运行质量审计。其内容主要包括:审查软件是否经过财政部门鉴定;利用实际数据或模拟数据测试各种审计线索,审查财务处理流程是否合理;审查程序是安全保密措施等等,以确保单位的内控制度有安全而可靠的基础。
(3)内部控制系统控制质量审计。包括对内部控制中的手工控制部门进行手工审查和程序控制进行计算机或手工审查两个方面。控制质量审计的内容包括:审查并评价现有的内控制度的执行情况,对发现的现行内控制度中疏漏或执行中存在的偏差提出相应的改进措施;对审查出的违反内控制度的人员提出相应的处理意见。
