浅谈会计电算化信息系统下企业内部控制的构建
2022-06-09
内部控制制度作为企业受托者实现其经营管理目标,完成受托责任的一种手段,在企业内部管理监控系统中起着举足轻重的作用。建立和完善内部控制制度对提高企业管理水平、防止错误、杜绝舞弊以及保护投资者的合法权益并保证资本市场的有效运行具有重要的意义。企业内部控制制度是衡量现代企业管理水平的重要标志,会计电算化是会计工作发展的必然趋势,会计电算化信息系统环境下的内部控制是企业内部控制的特殊形式,会计电算化信息系统的发展必然会给企业内部控制带来新的问题和挑战。
一、会计电算化对企业内部控制带来的影响
(一)企业内部控制形式的变化
电子计算机不仅具有高速、稳定、方便、快捷的特点,还有很强的逻辑判断和逻辑分析能力,这样就使得内部控制形式在两方面发生了变化:一方面手工会计下的一些内部控制措施在电算化后失去了存在的必要性。会计账务的集中处理,使会计部门一些传统的人工控制措施如编制科目汇总表、凭证汇总表等试算平衡的检查,总账、明细账的核对等自然而然地消失了,取而代之的是计算机的内部控制,如用友u8的试算平衡、对账等;另一方面手工会计下的一些内部控制措施,在电算化后直接改为由计算机内部自动控制,如余额和发生额的平衡检查。由此可见,电算化会计除了“人”这个执行控制的主体外,更多的控制方法主要是通过会计软件来实现的。因此,实行会计电算化以后,内部控制也由手工条件下的单一人工控制转为人工和程序共同控制。
(二)企业内部控制范围的变化
传统的内部控制主要针对交易处理。计算机技术的引入,给会计工作增加了新的内容,也增加了新的控制措施。由于系统建立和运行的复杂性,使内部控制的范围相应扩大,还包含了传统手工系统所没有的控制,如网络系统安全的控制,系统权限的控制、修改程序的控制等以及磁盘内会计信息安全保护、计算机病毒防治、计算机操作管理、系统管理员、系统维护人员等的岗位责任制度等。
(三)企业内部控制对象的变化
由对人的控制为主转变为对人、机控制为主,在手工会计系统中,内部控制的对象主要是会计对象、工作情况、信息处理方法和处理程序等。企业的经济业务发生均记录于纸上,并按会计数据处理的不同过程分为原始凭证、记账凭证。会计电算化后,会计凭证转变为以文件记录形式储存在磁性介质上,使会计核算无纸化,修改数据不留痕迹。随着电子商务、网上交易、无纸化交易等的推行,每一项交易在发生时,有于该项交易有关的信息可由业务人员直接输入计算机,并由计算机自动记录、原先使用的每项交易的各种凭证、单据被部分地取消了,原来在核算过程中进行的各种必要的核对、审核等工作有相当一部分变为由计算机自动完成了。
(四)存储介质的变化
在手工会计环境下,企业的经济业务发生均记录于纸上,并按会计数据处理的不同过程分为原始凭证、记账凭证、会计账簿和会计报表,它们以手工的纸质形式形成会计人员所熟悉的会计证据原件,这些纸质原件的数据若被修改。则容易辨别出修改的线索和痕迹,这也是传统纸质原件的一个基本特征。但是,电算化系统下原来纸质的会计数据被直接记录于磁盘或光盘上,是肉眼不可见,很容易被删除或篡改,由于在技术上对电子数据非法修改可以作到不留痕迹,这样就很难辨别出哪一个是业务记录的“原件”。另外,电磁介质易受损坏,所以会计信息也存在丢失或毁坏的危险。因此,在计算机中如何使磁性介质上的数据安全可靠,防止数据被非法修改是一个非常重要的问题。
(五)网络化带来的新问题
近年来,随着计算机技术和网络技术的发展,网络化会计信息系统的日趋普及,网络的广泛应用在很大程度上弥补了单机电算化系统的不足,这些无疑提高了企业间或企业内部各部门的信息沟通率,使企业在现代竞争中占据时间上的优势,但也对企业的内部控制提出新的要求。第一,在网络环境下,过去以计算机机房为中心的安全措施已不适用。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机。第三,计算机病毒的猖獗也为互联网系统带来更大的风险。因此,网络会计系统的内部控制不仅难度大、复杂,而且还要有各种控制的先进技术手段。
综上所述,实现会计电算化后,许多手工会计信息系统长期积累的传统的、行之有效的内部控制方式已不能满足会计电算化的要求,这就迫使我们必须针对会计工作的新变化、新情况建立和完善会计电算化信息系统的内部控制制度。
二、电算化会计信息系统环境下的内部控制构建
会计电算化后,控制方式是人机结合,以计算机控制为主,控制的要求更加严格,控制的内容更为扩大。下面就从以下几个方面来讨论如何加强内部控制:
(一)会计电算化信息系统的一般控制
1.组织控制
根据企业的规模及会计软件的核算功能,设立软件操作员、电算主管员、系统管理员、系统维护员、档案管理员等岗位,这些岗位可以一人多岗,也可以一岗多人,但必须作到不相容职务的分离。不相容的职务主要有软件开发与软件操作、数据维护管理操作与电算审核、数据录入与审核记账、系统操作与系统档案管理等,系统管理员给职务不相容的岗位不同的操作权限,通过建立健全各岗位之间的内控制度,使不同岗位、不同职务互相监督、互相制约,从而达到防止会计电算化舞弊、保证会计信息真实的目的。
2.硬件控制
硬件控制也称为工作环境控制,是系统正常工作必不可少的前提条件,作为软件依托的硬件设备,其性能的高低、质量的优劣、处理能力的强弱,直接关系到会计信息系统处理过程的准确性和可靠性。
3.软件控制
在采用会计软件时,必须进行严格的检查和测试,查看该软件是否具有容错和纠错能力,确定软件的合格、合规。另外,企业经营活动变化及经营环境变化,可能导致使用中软件进行修改,会计电算化系统经过一段时间使用也会出现一些需要进行修改的地方。因此,要建立修改会计核算软件的审批和监督制度。要注意的是,电算化系统操作员不能参与会计软件的修改,所有与软件修改有关的记录都应打印后存档。
4.数据控制
数据控制主要是指对数据的安全控制,数据的安全与否关系到财务信息的完整性和保密性。数据控制的目标是要作到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等。
5.网络的安全控制
随着网络技术快速地发展,企业应加强网络安全的控制,网络安全性指标包括数据保密、访问控制、身份识别等。
(1)周界控制
它是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的。它是预防一切实行外来攻击措施的基础,主要内容包括:①设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过网络进入系统;②建立防火墙,在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源。
(2)访问控制
访问包括文件传递、电子邮件、网上会计信息查询等,由于互连网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的。因此,企业应在网络会计系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:①在网络会计系统中设置多重口令,对用户的登陆名和口令的合法性进行检查;②合理设置网络资源的属主、属性和访问权限;③对网络进行实时监视,找出并解决网络上的安全问题;④审计与跟踪,包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。
(3)数据通讯控制
数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施,企业应采取各种有效的手段来保护数据在传输过程中准确、安全、可靠。在系统的客户端和服务端之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性。
(4)防病毒控制
在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采取如下控制措施:①对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;②采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;③在网络服务上采用防病毒卡或芯片等硬件;④财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;⑤对外来软件和传输的数据必须经过病毒检查;⑥及时升级本系统的防病毒产品。
(二)加强应用程序控制
1.输入控制
电算化会计系统的输出质量,主要取决于输入数据的真实性、准确性和完整性,因此必须严格控制输入数据的正确性。在输入控制中应坚持以计算机程序控制为主,原则上尽量采用计算机程序控制。
2.数据处理控制
是指对计算机系统进行的内部数据处理活动(数据验证、计算、比较、合并、排序、文件更新和维护、访问、纠错等等)进行的控制。处理控制是通过计算机程序自动进行的。主要有处理的流程控制、数据修改控制、数据有效性检验和程序化处理有效性检验。
3.输出控制
会计信息的输出包括查询、打印和向软盘输出等形式。内容涉及各种会计报表、日记账、明细账、总账等。输出控制最重要的目标是保证各种输出结果的真实性、完整性和正确性。输出控制主要包括:输出数据的正确性控制和输出权限控制。
(三)加强档案控制
档案资料是会计信息的根本性凭据,也是校验电算化会计信息的最原始、最可靠的资料,因此,作好会计档案工作是加强内部控制的手段之一。一要依据《会计档案管理办法》制定单位内部电算化会计档案管理制度,电算化会计档案分别存储于纸质和磁性介质上,对此必须进行分类保管,其中纸质会计档案,如会计凭证会计账簿和财务会计报告等应根据《会计档案管理办法》的规定妥善保管,保管期限为15年或永久保存。磁性介质会计档案应以只读方式保管并做双份备份,并尽量采用光盘存储且分别存放;二要加强电算化会计档案的保密措施。三是应当设置电算化会计档案管理岗位。各单位在设置会计电算化工作岗位时,应设专职或兼职电算化会计档案管理人员。会计电算化档案一般不得外借,因恢复历史数据借用时,要经单位财务负责人批准,办理相关的借阅手续,经手人必须签字记录,在恢复历史数据过程中,操作人员不得将电算化会计档案的内容进行非法删除和修改,归还时还应认真检查病毒,防止病毒感染。因工作岗位调整而更换电算化会计档案管理员时,要办理移交手续并编制电算化会计档案移交清册;四是要重视改善电算化会计档案管理的环境。
(四)加强内部审计
内部审计既是公司、企业内部控制系统的重要组成部分,也是强化内部会计监督的制度安排。在会计电算化中,由于是“人机”对话的特殊形态,因而对内部审计提出了更高、更严格的要求:一是要对会计资料定期进行审计,电算化会计账务处理是否正确,是否遵照《会计法》及有关法律、法规的规定,审核费用签字是否符合公司控制制度,凭证附件是否规范完整;二是要审查机内数据与书面资料的一致性,如查看账册内容,做到账表相符,对不妥或错误的账表处理应及时调整;三是要监督数据保存方式的安全性、合法性、防止发生非法修改历史数据的现象;四是要对系统运行各环节进行审查,防止存在漏洞
(五)加强对会计电算化骨干力量的培养
近年来,会计人员会计电算化知识的缺乏成为制约企业会计电算化对内部控制影响的瓶颈。为充分利用会计电算化优势和所用软件的功能,处理日常会计电算化实施过程中遇到的问题,缓解技术压力,降低咨询维护费用,建议实施电算化的单位应根据实际情况进行会计电算化方面的人力资源投资,培训具有较高计算机应用与维护能力。熟知财务软件知识,对计算机与会计电算化相关知识熟悉的会计人员,既可提高本单位会计电算化应用水平。又可加强会计内部控制,企业通过会计内部控制活动,达到资产保值增值的目的。
一、会计电算化对企业内部控制带来的影响
(一)企业内部控制形式的变化
电子计算机不仅具有高速、稳定、方便、快捷的特点,还有很强的逻辑判断和逻辑分析能力,这样就使得内部控制形式在两方面发生了变化:一方面手工会计下的一些内部控制措施在电算化后失去了存在的必要性。会计账务的集中处理,使会计部门一些传统的人工控制措施如编制科目汇总表、凭证汇总表等试算平衡的检查,总账、明细账的核对等自然而然地消失了,取而代之的是计算机的内部控制,如用友u8的试算平衡、对账等;另一方面手工会计下的一些内部控制措施,在电算化后直接改为由计算机内部自动控制,如余额和发生额的平衡检查。由此可见,电算化会计除了“人”这个执行控制的主体外,更多的控制方法主要是通过会计软件来实现的。因此,实行会计电算化以后,内部控制也由手工条件下的单一人工控制转为人工和程序共同控制。
(二)企业内部控制范围的变化
传统的内部控制主要针对交易处理。计算机技术的引入,给会计工作增加了新的内容,也增加了新的控制措施。由于系统建立和运行的复杂性,使内部控制的范围相应扩大,还包含了传统手工系统所没有的控制,如网络系统安全的控制,系统权限的控制、修改程序的控制等以及磁盘内会计信息安全保护、计算机病毒防治、计算机操作管理、系统管理员、系统维护人员等的岗位责任制度等。
(三)企业内部控制对象的变化
由对人的控制为主转变为对人、机控制为主,在手工会计系统中,内部控制的对象主要是会计对象、工作情况、信息处理方法和处理程序等。企业的经济业务发生均记录于纸上,并按会计数据处理的不同过程分为原始凭证、记账凭证。会计电算化后,会计凭证转变为以文件记录形式储存在磁性介质上,使会计核算无纸化,修改数据不留痕迹。随着电子商务、网上交易、无纸化交易等的推行,每一项交易在发生时,有于该项交易有关的信息可由业务人员直接输入计算机,并由计算机自动记录、原先使用的每项交易的各种凭证、单据被部分地取消了,原来在核算过程中进行的各种必要的核对、审核等工作有相当一部分变为由计算机自动完成了。
(四)存储介质的变化
在手工会计环境下,企业的经济业务发生均记录于纸上,并按会计数据处理的不同过程分为原始凭证、记账凭证、会计账簿和会计报表,它们以手工的纸质形式形成会计人员所熟悉的会计证据原件,这些纸质原件的数据若被修改。则容易辨别出修改的线索和痕迹,这也是传统纸质原件的一个基本特征。但是,电算化系统下原来纸质的会计数据被直接记录于磁盘或光盘上,是肉眼不可见,很容易被删除或篡改,由于在技术上对电子数据非法修改可以作到不留痕迹,这样就很难辨别出哪一个是业务记录的“原件”。另外,电磁介质易受损坏,所以会计信息也存在丢失或毁坏的危险。因此,在计算机中如何使磁性介质上的数据安全可靠,防止数据被非法修改是一个非常重要的问题。
(五)网络化带来的新问题
近年来,随着计算机技术和网络技术的发展,网络化会计信息系统的日趋普及,网络的广泛应用在很大程度上弥补了单机电算化系统的不足,这些无疑提高了企业间或企业内部各部门的信息沟通率,使企业在现代竞争中占据时间上的优势,但也对企业的内部控制提出新的要求。第一,在网络环境下,过去以计算机机房为中心的安全措施已不适用。第二,由于互联网的开放特性,给一些非善意访问者以可乘之机。第三,计算机病毒的猖獗也为互联网系统带来更大的风险。因此,网络会计系统的内部控制不仅难度大、复杂,而且还要有各种控制的先进技术手段。
综上所述,实现会计电算化后,许多手工会计信息系统长期积累的传统的、行之有效的内部控制方式已不能满足会计电算化的要求,这就迫使我们必须针对会计工作的新变化、新情况建立和完善会计电算化信息系统的内部控制制度。
二、电算化会计信息系统环境下的内部控制构建
会计电算化后,控制方式是人机结合,以计算机控制为主,控制的要求更加严格,控制的内容更为扩大。下面就从以下几个方面来讨论如何加强内部控制:
(一)会计电算化信息系统的一般控制
1.组织控制
根据企业的规模及会计软件的核算功能,设立软件操作员、电算主管员、系统管理员、系统维护员、档案管理员等岗位,这些岗位可以一人多岗,也可以一岗多人,但必须作到不相容职务的分离。不相容的职务主要有软件开发与软件操作、数据维护管理操作与电算审核、数据录入与审核记账、系统操作与系统档案管理等,系统管理员给职务不相容的岗位不同的操作权限,通过建立健全各岗位之间的内控制度,使不同岗位、不同职务互相监督、互相制约,从而达到防止会计电算化舞弊、保证会计信息真实的目的。
2.硬件控制
硬件控制也称为工作环境控制,是系统正常工作必不可少的前提条件,作为软件依托的硬件设备,其性能的高低、质量的优劣、处理能力的强弱,直接关系到会计信息系统处理过程的准确性和可靠性。
3.软件控制
在采用会计软件时,必须进行严格的检查和测试,查看该软件是否具有容错和纠错能力,确定软件的合格、合规。另外,企业经营活动变化及经营环境变化,可能导致使用中软件进行修改,会计电算化系统经过一段时间使用也会出现一些需要进行修改的地方。因此,要建立修改会计核算软件的审批和监督制度。要注意的是,电算化系统操作员不能参与会计软件的修改,所有与软件修改有关的记录都应打印后存档。
4.数据控制
数据控制主要是指对数据的安全控制,数据的安全与否关系到财务信息的完整性和保密性。数据控制的目标是要作到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等。
5.网络的安全控制
随着网络技术快速地发展,企业应加强网络安全的控制,网络安全性指标包括数据保密、访问控制、身份识别等。
(1)周界控制
它是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的。它是预防一切实行外来攻击措施的基础,主要内容包括:①设置外部访问区域,明确企业内部网络的边界,防止“黑客”通过网络进入系统;②建立防火墙,在内部网和外部网之间的界面上构造保护屏障,防止非法入侵、非法使用系统资源。
(2)访问控制
访问包括文件传递、电子邮件、网上会计信息查询等,由于互连网络系统是一个全方位开放的系统,对社会大众的网上行为实际上是不可控的。因此,企业应在网络会计系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有:①在网络会计系统中设置多重口令,对用户的登陆名和口令的合法性进行检查;②合理设置网络资源的属主、属性和访问权限;③对网络进行实时监视,找出并解决网络上的安全问题;④审计与跟踪,包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。
(3)数据通讯控制
数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施,企业应采取各种有效的手段来保护数据在传输过程中准确、安全、可靠。在系统的客户端和服务端之间传输的所有数据都进行两层加密保证数据的安全性,使用数字签名确保传输数据的保密性和完整性。
(4)防病毒控制
在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采取如下控制措施:①对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;②采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;③在网络服务上采用防病毒卡或芯片等硬件;④财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;⑤对外来软件和传输的数据必须经过病毒检查;⑥及时升级本系统的防病毒产品。
(二)加强应用程序控制
1.输入控制
电算化会计系统的输出质量,主要取决于输入数据的真实性、准确性和完整性,因此必须严格控制输入数据的正确性。在输入控制中应坚持以计算机程序控制为主,原则上尽量采用计算机程序控制。
2.数据处理控制
是指对计算机系统进行的内部数据处理活动(数据验证、计算、比较、合并、排序、文件更新和维护、访问、纠错等等)进行的控制。处理控制是通过计算机程序自动进行的。主要有处理的流程控制、数据修改控制、数据有效性检验和程序化处理有效性检验。
3.输出控制
会计信息的输出包括查询、打印和向软盘输出等形式。内容涉及各种会计报表、日记账、明细账、总账等。输出控制最重要的目标是保证各种输出结果的真实性、完整性和正确性。输出控制主要包括:输出数据的正确性控制和输出权限控制。
(三)加强档案控制
档案资料是会计信息的根本性凭据,也是校验电算化会计信息的最原始、最可靠的资料,因此,作好会计档案工作是加强内部控制的手段之一。一要依据《会计档案管理办法》制定单位内部电算化会计档案管理制度,电算化会计档案分别存储于纸质和磁性介质上,对此必须进行分类保管,其中纸质会计档案,如会计凭证会计账簿和财务会计报告等应根据《会计档案管理办法》的规定妥善保管,保管期限为15年或永久保存。磁性介质会计档案应以只读方式保管并做双份备份,并尽量采用光盘存储且分别存放;二要加强电算化会计档案的保密措施。三是应当设置电算化会计档案管理岗位。各单位在设置会计电算化工作岗位时,应设专职或兼职电算化会计档案管理人员。会计电算化档案一般不得外借,因恢复历史数据借用时,要经单位财务负责人批准,办理相关的借阅手续,经手人必须签字记录,在恢复历史数据过程中,操作人员不得将电算化会计档案的内容进行非法删除和修改,归还时还应认真检查病毒,防止病毒感染。因工作岗位调整而更换电算化会计档案管理员时,要办理移交手续并编制电算化会计档案移交清册;四是要重视改善电算化会计档案管理的环境。
(四)加强内部审计
内部审计既是公司、企业内部控制系统的重要组成部分,也是强化内部会计监督的制度安排。在会计电算化中,由于是“人机”对话的特殊形态,因而对内部审计提出了更高、更严格的要求:一是要对会计资料定期进行审计,电算化会计账务处理是否正确,是否遵照《会计法》及有关法律、法规的规定,审核费用签字是否符合公司控制制度,凭证附件是否规范完整;二是要审查机内数据与书面资料的一致性,如查看账册内容,做到账表相符,对不妥或错误的账表处理应及时调整;三是要监督数据保存方式的安全性、合法性、防止发生非法修改历史数据的现象;四是要对系统运行各环节进行审查,防止存在漏洞
(五)加强对会计电算化骨干力量的培养
近年来,会计人员会计电算化知识的缺乏成为制约企业会计电算化对内部控制影响的瓶颈。为充分利用会计电算化优势和所用软件的功能,处理日常会计电算化实施过程中遇到的问题,缓解技术压力,降低咨询维护费用,建议实施电算化的单位应根据实际情况进行会计电算化方面的人力资源投资,培训具有较高计算机应用与维护能力。熟知财务软件知识,对计算机与会计电算化相关知识熟悉的会计人员,既可提高本单位会计电算化应用水平。又可加强会计内部控制,企业通过会计内部控制活动,达到资产保值增值的目的。