電算化會計信息系統的內部控制可分為壹般控制和應用控制。都是用來預防、發現和糾正系統的錯誤、舞弊和故障,使系統正常運行;就是提供可靠及時的信息保障。與手工會計系統相比,它們也是計算機應用於會計信息系統而產生的特殊控制。
(壹)電算化會計信息系統的總體控制
電算化會計信息系統的總體控制是對整個系統的控制,其對象涉及人員、設備和程序。電算化會計信息系統的總體控制影響著計算機應用的成敗,是應用控制的基礎,為數據處理提供了良好的環境。電算化會計信息系統的壹般控制主要包括系統組織控制、運行控制、系統安全控制、系統開發控制和系統維護控制等。
1.組織控制。組織控制的目的主要是減少計算機化部門出現錯誤和舞弊的可能性。其部分內容原則上與手工會計系統的控制沒有太大區別,如職責分工、適當分權、崗位輪換等。組織控制的基本原則是不相容的職責由不同的人員或部門承擔,基本目標是建立適當的組織結構和職責分工。在會計電算化信息系統從建立到運行的整個生命周期中,根據不同的職能分為兩個部門,即系統開發部門和系統應用部門。系統開發部門主要負責系統開發和維護,系統應用部門主要負責日常賬務處理。兩個部門的人員要嚴格分工,系統開發人員壹般不能從事系統應用操作,因為他們都是計算機專業人員,精通計算機,知道計算機化系統采用的各種控制技術和安全措施,可以輕而易舉地進入系統進行修改、破壞等操作,不留痕跡。組織控制是使相關人員難以處理越權行為,並相互牽制和制約,以防止錯誤、欺詐和犯罪行為,確保計算機化系統的可靠運行。
2.操作控制。為了保證數據處理的準確性和安全性,必須制定和實施各種標準的操作和管理程序。比如建立完整的機房管理制度,明確誰可以對電腦進行操作,操作的順序,禁止無關人員進入電腦機房,按照相關規定記錄電腦日誌。為防欺詐,不允許程序員參與操作,不允許操作人員參與程序設計、更改軟件和打開數據庫修改數據;操作人員不得隨意更改計算機的系統參數和已安裝的軟件,不得在工作計算機上做任何與會計業務無關的事情,如在工作計算機上玩遊戲等。
3.系統安全控制。電算化會計信息系統應加強防範,主要包括硬件安全控制、軟件安全控制、網絡安全控制和實體安全控制。訪問授權是計算機技術中壹種常用的控制方法,它可以保證會計信息只能被授權的人訪問,以防止未經授權的人訪問、復制、修改和破壞,並且壹旦系統被破壞,它可以保證會計檔案可以備份並迅速恢復正常。正常操作和非法操作都必須記錄在計算機日誌中。即使出現問題,也能根據權限範圍和電腦日誌快速追溯事故原因,分清責任,解決問題。
4.系統開發控制。它是壹種預防性控制,目的是防止計算機化系統開發階段出現錯誤和偏差,確保系統的開發過程和內容符合內部控制和相關標準的要求。在開發系統之前,應進行有效的可行性研究,使系統的各項設計既能滿足本單位會計工作的要求,又能適當滿足本單位發展前景的要求;系統開發過程中應留有審計線索,以保證今後審計工作的需要。在計算機化系統正式投入運行前,應對相關人員進行培訓,同時進行壹段時間(3個月左右)的手工核算工作,並由相關主管部門和財務部門進行審查驗收,以證明新系統的合理性和合法性。
5.系統的維護和控制。為適應系統運行環境的變化,系統維護涉及計算機化系統功能的調整、擴展和完善,包括軟件的修改和升級,計算機硬件和通信設備的維護或更新等。計算機化系統的維護必須仔細計劃,並在維護過程的每個環節設置必要的控制。如果系統操作員不能直接參與軟件修改,所有與系統維護相關的活動都應嚴格記錄並存檔。
(二)電算化會計信息系統控制的應用
電算化會計信息系統的應用控制是指影響系統具體使用的控制,即為滿足會計處理的特殊要求而建立和實施的控制。應用控制是壹般控制的深化,可以在壹般控制的基礎上直接深入具體的業務數據處理,為數據處理的準確性、完整性和可靠性提供最終保障。應用控制主要包括三個方面:輸入控制、處理控制和輸出控制。
1.輸入控制。目前計算機化系統的數據輸入方式有鍵盤手動輸入、軟盤傳輸和網絡傳輸,其中鍵盤手動輸入應用最廣泛,也最容易出錯。只有輸入正確的數據,才能進行正確的處理。輸入控制包括四個方面:(1)經濟業務在計算機處理之前得到適當的批準;(二)該經濟業務未被遺漏、添加、復制或不當替代;(3)將經濟業務準確地轉換成機器可讀的形式並記錄在數據文件中;(4)消除和糾正不正確的經濟業務。在數據輸入的過程中,目前使用的大部分軟件都設置了各種控制程序。比如建立賬戶編碼名稱字典文件,輸入賬戶編碼時提示賬戶名稱,自動將新的賬戶編碼追加到賬戶名稱字典中供用戶使用;建立科目對應的參考檔案。會計憑證錄入後,計算機會自動判斷科目的對應關系是否正確。如果沒有,將提示用戶修改它。
2.處理控制。處理控制是對數據處理的準確性和可靠性的控制。數據處理的準確性和可靠性很大程度上取決於輸入數據的準確性和計算機軟硬件安裝的可靠性,但即使有這方面的保障措施,仍然可能出現壹些問題。比如程序邏輯錯誤,計算錯誤,非法數據處理,重復輸入等等。因此,有必要建立加工控制措施,並通過各種技術手段檢查輸入數據的準確性。比如會計處理制度下,未復核的憑證不能記賬,上月未結賬的賬本月不能結賬;另壹個例子是利用會計科目的余額進行控制。費用和收入賬戶期末壹般沒有余額,資產賬戶余額壹般在借方,負債和所有者權益賬戶余額壹般在貸方。所以可以將這個基本內容編程為壹個余額合理性標準,在程序運行時可以檢查所有賬戶余額的合理性。
3.輸出控制。財務軟件的輸出功能壹般包括查詢輸出、打印輸出和輸出到軟盤或網絡輸出。輸出控制的主要目的是保證計算機輸出結果的正確性、可靠性、及時性和必要的保密性,保證輸出的接觸人員僅為授權人員。為此,必須對打印或下載的文件進行嚴格控制,對存儲輸出數據的各種磁盤或其他磁介質采取各種控制措施,建立輸出數據控制制度,由專人負責分發、保管並登記輸出數據的使用者、分發日期、打印份數或下載份數;同時,差錯、丟失、泄密等事故。應做好記錄,仔細檢查和分析事故原因是操作者的過錯還是程序本身,並采取相應的避免措施或改進措施。軟件應該為各種輸出要求設置權限。未經授權,計算機拒絕執行其輸出要求。比如網上傳輸要設置網絡密碼,密碼正確才能進行輸出操作;例如,在導出到軟盤的情況下,計算機應首先檢查軟盤的安全性,以防止計算機病毒的侵蝕。
二、電算化會計信息系統內部控制存在的問題
在電算化會計信息系統環境下,有形記錄較手工會計系統大大減少,會計處理結果和數據文件存儲在計算機或磁盤等電子介質中,不如手工會計系統直觀,尤其是磁盤上的數據發生變化時,但在計算機內部,會計數據無論是形式還是結構都發生了變化,對會計數據的真實性、有效性和完整性構成了威脅。壹旦發生詐騙,後果會很嚴重,很難被發現。目前,在會計工作實踐中,電算化會計信息系統內部控制存在的問題主要表現在以下三個方面。
1.數據安全性差。手工會計系統中的數據處理和存儲分散在不同的部門和人員,而計算機化系統的突出特點是會計數據處理的自動化和集中化,這對數據安全造成了壹定的威脅。例如,每壹個計算機化的系統都具有財務分工的必要功能。每個操作員都有自己的密碼和不同的工作權限,每個操作員都應該對自己的密碼保密。但在電算化的實踐中,雖然(1)中的壹些單位有不同的財務分工,但往往是壹個操作員身兼數職,可以以不同的身份進入系統進行不同的操作,使財務分工的控制形同虛設。(2)未經授權的計算機專業人員可以利用計算機技術和網絡技術輕易瀏覽各種數據文件,造成機密會計數據的泄露。(3)大量會計數據文件存儲在磁性材料中。如果發生火災、水災和盜竊,所有數據可能會丟失和損壞;同時,磁性材料對外部環境要求較高,如防火、防水、防磁、防塵等,對環境溫度也有壹定要求,增加了數據的脆弱性。如果不加強電算化會計信息系統的數據安全控制,數據丟失和損壞的可能性就會大大增加,財務軟件的程序控制就會失效。為了保證會計信息的安全可靠,財政部制定了相關規則,對財務軟件必須具備的安全性做了壹些具體的規定和指導。
2.誤差的可重復性和嚴重性。在手工記賬系統中,數據處理環節分散在多個部門和員工中,往往壹個部門或人員的錯誤都能在下壹個環節被發現並糾正。所以壹般情況下,在壹定時間內反復出現錯誤的可能性不大,出現重大錯誤的可能性也不大。計算機化系統中數據處理的自動化和集中化,加上計算機運算的高速性和程序操作的重復性,使得處理結果在短時間內迅速擴散,造成整個系統的各種數據文件、賬冊、會計數據的失真,並可能造成系統的反復錯誤。正如信息處理中的壹句名言:“垃圾進,垃圾出”,也就是說,如果輸入的數據是錯誤的,後續的處理環節都會是正確的,只能輸出錯誤的信息。會計電算化系統中數據處理的高速和集中增加了出錯的風險。因此,電算化會計信息系統中的數據輸入、數據處理、系統硬件設施等各個方面都需要加強。
3.管理和監督的有效性較差。根據財政部相關規定,使用計算機代替人工記賬的單位,必須符合壹定條件,需要經有關財政部門或上級主管部門批準;使用互聯網導出、輸入或處理數據,需要向公安部門登記。但實際上,有的單位未經批準,直接使用計算機代替手工記賬;更嚴重的是,壹些單位在不符合相關條件的情況下,正式使用計算機代替人工記賬。比如,計算機和手工並行工作三個月,取得與手工壹致的結果,這是審批的必要條件之壹。有些單位沒有完成這個環節和審批就直接實行了會計電算化。用計算機代替手工記賬的單位,必須建立健全計算機管理制度。壹些單位雖然建立了內部管理制度,但名存實亡,沒有得到有效落實。例如,根據權責分離原則,系統開發人員不得直接接觸或正式操作電算化會計系統,憑證錄入和審核人員必須由不同人員執行,但有些系統開發人員可以隨時接觸會計系統,甚至輪班工作;還有壹些單位,同壹個人用不同的名字和密碼進入系統,完成兩個不兼容的任務:憑證錄入和復核。
第三,加強和完善電算化會計信息系統的內部控制
電算化會計信息系統的內部控制實際上已經進行了部分審計工作,技術性很強,相當復雜。因此,必須加強和完善電算化會計信息系統的內部控制,以保證系統的正常運行和財務數據的安全可靠,減少甚至消除可能的危害。提高單位或企業的整體管理水平,保證單位或企業管理目標的實現,主要措施應如下。
1.強化風險意識。會計信息化是會計發展的必然趨勢。與手工會計系統相比,電算化會計信息系統具有明顯的優勢,但電算化會計系統具有不同於手工會計系統的特點和風險,因此有必要建立更加嚴密和系統的內部控制制度。各級領導、會計部門和信息部門人員要樹立正確的會計信息化思想認識,營造風險防範從我做起的氛圍。目前,社會上計算機犯罪的增多使我們意識到加強電算化會計信息系統內部控制的重要性。加強系統內部控制不僅是預防計算機犯罪的重要措施,也是減少差錯的有效保證。
2.從制度和標準上完善電算化會計信息系統的內部控制機制。目前,財政部已陸續頒布了《內部會計控制規範-基本規範(試行)》、《內部會計控制規範-貨幣資金(試行)》、《內部會計控制規範-銷售與收款(試行)》等壹系列內部會計控制規範文件。而我國相關部門頒布的關於計算機化的政策法規並不多。按照國際慣例,電算化會計信息系統內部控制的內容應當以規範的方式公布。實施會計電算化信息系統的單位可以根據自身特點制定切實可行的內部會計控制制度和辦法。財政部和主管部門應當制定內部控制指引,為單位會計電算化信息系統的內部會計控制提供指導和建議。