內部控制包括內部管理控制和內部會計控制。電算化會計信息系統環境下的內部控制則是內部會計控制的特殊形式。隨著IT技術特別是以Interent為代表的網絡技術的發展和應用,電算化會計信息系統進一步向深層次發展,這些變革無疑給企業帶來了巨大的效益,但同時也給內部控制帶來了新的問題和挑戰。
一、電算化會計信息系統的產生和發展對內部控制的影響
(一)電算化會計信息系統交易授權、執行與手工會計系統存在差異。授權、批準控制是一種常見的、基礎的內部控制,在手工會計系統中,對于一項經濟業務的每個環節都要經過某些具有相應權限人員的簽章。但在電算化會計信息系統中,業務人員可利用特殊的授權文件或口令,獲得某種權利或運行特定程序進行業務處理,由此引起失控而造成損失的案例數不勝數。例如:業務人員被客戶收買,非法取得他人口令繞過批準程序開出銷售提單;非法核銷客戶應收款及相關資料;掌握公司顧客訂單密碼,開出假訂單,騙走公司產品等。
(二)內部控制的程序化使得內部控制具有一不定期的依賴性并增加了差錯反復發生的可能性。電算化系統中內部控制具有人工控制與程序控制相結合的特點。電算化系統許多應用程序中包含了內部控制功能,這些程序化的內部控制的有效性取決于應用程序,如程序發生差錯或不起作用,由于人們依賴性以及程序運行的重復性,使得失效控制長期不被發現,從而使系統“在特定方面發生錯誤或違規行為的可能性較大”。
(三)電算化會計信息系統缺乏交易處理痕跡。手工會計系統中嚴格的憑證制度,在電算化會計系統中逐漸減少或消失,憑證所起到的較強的控制功能弱化,部分交易幾乎沒有“痕跡”,給控制帶來一定的難度。
(四)控制的范圍擴大。傳統的內部控制主要針對交易處理,而電算化系統下,由于系統建立和運行的復雜性,內部控制的范圍相應擴大,包含了傳統手工系統所沒有的控制,如網絡系統安全的控制、系統權限的控制、修改程序的控制等。
(五)電算化會計信息系統中會計信息存儲電磁化。電算化系統下會計信息以電磁信號的形式存儲在磁性介質中,是肉眼不可見的,很容易被刪除或篡改而不會留下痕跡;另外,電磁介質易受損壞,所以會計信息也存在丟失或毀壞的危險。(六)網絡的迅猛發展及其在財務中的進一步應用帶來了層出不窮的新問題。網絡技術無疑是目前IT發展的方向,電算化會計信息系統也不可避免受到其深遠的影響,特別是Internet在財務軟件中的應用對電算化會計信息系統的影響將是革命性的。目前財務軟件的網絡功能主要包括:遠程報帳、遠程報表、遠程審計、網上支付、網上催帳、網上報稅、網上采購、網上銷售、網上銀行等,實現這些功能就必須有相應的控制,從而形成電算化會計信息系統內部控制的新問題。
二、電算化會計信息系統環境下內部控制的主要內容
(一)電算化會計信息系統的一般控制。一般控制是指任何電算化會計信息系統普遍適用、為系統的安全可靠而對系統構成要素(人、硬件、軟件)及環境實施的控制。
1.組織與管理控制。組織與管理控制是指通過部門的設置、人員的分工、崗位職責的制定、權限的劃分等形式進行的控制,其基本目標是建立恰當的組織機構和職責分工制度,以達到相互牽制、相互制約、防止或減少錯弊發生的目的。其中較重要的崗位有系統管理和審核崗位。
系統管理主要負責系統的硬軟件管理工作,從技術上保證系統的正常運行。包括掌握網絡服務器及數據庫的超級口令,負責網絡資源分配,監控網絡運行;按照主管人員的要求,對各崗位分配權限,對數據的安全保密負責;負責對硬件、軟件、數據的管理與維護工作。系統管理崗位應保持相對穩定,若有變動應辦理嚴格的交接手續。
審核崗位主要負責監督計算機及電算化系統的運行,防止利用計算機進行舞弊。具體包括:審查機內數據與書面資料的一致性;監督數據保存方式的安全性、合法性,防止發生非法修改歷史數據的現象;對系統運行各環節進行審查,防止存在漏洞等。 2.應用系統開發、建立和維護控制。
(1)應用系統開發控制是針對系統開發階段而言的,具體包括:系統開發前應進行可行性研究和需求分析;開發過程應進行適當的人員分工;按規范收集和保管有關系統的資料并加以保密等。
(2)系統建立控制則是針對系統建立階段而言的,具體包括:資源的適當配置;系統的調試應有各崗位人員的參與;新的系統應與傳統系統并行一段時間并經有關部門審批后才能替代傳統系統使用;嚴格的驗收程序等。
(3)系統的維護是指日常為保障系統正常運行而對系統硬軟件進行的安裝、修正、更新、擴展、備份等方面的工作。系統維護控制就是針對這些工作而實施的控制。
3.系統操作控制。系統操作控制主要表現為操作權限控制和操作規程控制兩個方面。
(1)操作權限控制是指每個崗位的人員只能按照所授予的權限對系統進行作業,不得超越權限接觸系統。系統應制定適當的權限標準體系,使系統不被越權操作,從而保證系統的安全。操作權限控制常采用設置口令來實行。
(2)操作規程控制是指系統操作必須遵循一定的標準操作規程進行。標準操作規程包括:軟硬件操作規程,作業運行規程,用機時間記錄規程等。
4.系統軟件控制。系統軟件控制是指為保證系統軟件運行正常而預先在系統軟件內部設計的各種處理故障、糾正錯誤、保證系統安全的控制。
5.數據和程序控制。數據和程序控制主要是指對數據、程序的安全控制。程序的安全與否直接影響著系統的運行,而數據的安全與否關系到財務信息的完整性和保密性。 數據控制的目標是要做到任何情況下數據都不丟失、為損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數據的恢復與重建等,而數據的備份則是數據恢復與重建的基礎,是一種常見的數據控制手段,網絡中利用兩個服務器進行雙機鏡像映射備份是備份的先進形式。
程序的安全控制是要保證程序不被修改、不損毀、不被病毒感染。常用的控制包括接觸控制、程序備份等。接觸控制是指非系統維護人員不得接觸到程序的技術資料、源程序和加密文件,從而減少程序被修改的可能性;程序備份則是指有關人員要注明程序功能后備份存檔,以備系統損壞后重建安裝之需。程序的安全控制還要求系統使用單位制定具體的防病毒措施,包括對所有來歷不明的介質在使用前進行病毒檢測,定期對系統進行病毒檢測,使用網絡病毒防火墻以防止日益猖獗的網絡病毒侵入等。
6.網絡的安全控制。網絡安全性指標包括數據保密、訪問控制、身份識別、不可否認和完整性。針對這些方面,可采用一些安全技術,主要包括:數據加密技術(數據的加解密、認證信息的加解密、數字簽字、完整性),訪問控制技術,認證技術,隧道技術(VPN)等。數據加密技術的代表是秘密密鑰系統技術和公開密鑰系統技術;訪問控制技術的代表是防火墻技術,特別是已溶和了VPN(虛擬專用網及隧道技術)的防火墻技術;認證技術的代表是Kerberos網絡用戶認證系統技術。其中VPN解決了財務信息在Internet傳輸的安全問題。
網絡傳輸介質、接入口的安全性也是應該引起注意的問題,盡量使用光纖傳輸,接入口應保密。
通過上述技術可確保財務信息在內部網絡及外部網絡傳輸中的安全性。
(二)會計電算化系統的應用控制。應用控制是對會計電算化系統中具體的數據處理活動所進行的控制。應用控制可劃分為輸入控制、計算機處理與數據文件控制和輸出控制。
1.輸入控制。常用的控制方法包括:建立科目名稱與代碼對照文件,以防止會計科目輸錯;設計科目代碼校驗,以保證會計科目代碼輸入的正確性;設立對應關系參照文件,用來判斷對應帳戶是否發生錯誤;試算平衡控制,對每筆分錄和借貸方進行平衡校驗,防止輸入金額出錯;順序檢查法,防止憑證編號重復;二次輸入法,將數據先后兩次輸入或同時由兩人分別輸入,經對比后確定輸入是否正確等。
2.計算機處理與數據文件控制。常用的控制措施包括:登帳條件檢驗,即系統要有確認數據經復核后才能登帳的控制能力;防錯、糾錯控制,即系統要有防止或及時發現在處理過程中數據丟失、重復或出錯的控制措施;修改權限與修改痕跡控制,即對已入帳的憑證,系統只能提供留有痕跡控制,即對已入帳的憑證,系統只能提供留有痕跡的更改功能,對已結帳的憑證與帳簿以及計算機內帳簿生成的報表數據,系統不提供更改功能等。
3.輸出控制。控制措施包括:控制只有具有相應權限的人才能執行輸出操作,并要登記操作記錄,從而達到限制接觸輸出信息的目的;打印輸出的資料要進行登記,并按會計檔案要求保管。
