[摘 要]隨著IT技術的發展與滲透,會計工作所在環境已發生了巨大變化,傳統的內控手段已經落伍,計算機舞弊和犯罪形勢已相當嚴峻,企業傳統內控理念與方法正面臨巨大挑戰。本文以IT環境下的會計作假分析為切入點,對內控全過程進行了系統的剖析,提出了降低內控風險的建議與對策。
[關鍵詞]IT環境;企業內控;風險;對策
[中圖分類號JF270.7 [文獻標識碼]A [文章編號]1673-0194(2006)06-0024-04
所謂IT是“Information Technology”(信息技術)的縮寫,指計算機、通訊及相關技術。IT業(通常就指計算機業)恰好有著這兩副截然不同的面孔:一副是高科技的美妙動人,一副是商場爭利的赤裸貪婪。其飛速發展已滲透到會計工作的方方面面,一方面使會計工作的內容大大豐富,效率、質量大大提高,另一方面也使企業傳統內控點發生很大變化,計算機舞弊和犯罪的現象大大增加。據美國《電子計算機世界》的資料披露,作為發達國家的美國,因電腦犯罪而發生的損失每年高達數億美元。1986年我國首例計算機舞弊案,即大連市工商銀行某辦事處計算機會計系統管理員,伙同他人利用計算機修改賬目文件,截留企事業單位的貸款利息,貪污數額7位數以上,時間達數年之久。可見無論在國外還是在國內,加強IT環境下的企業內控時不我待、勢在必行。
一、電算化會計系統下企業內控的新變化
要防范電算化會計信息系統下內部控制的風險,首先要清楚IT環境下對會計內部控制產生了哪些變化和影響。
首先是責任主體多元化。會計部門的組成人員從原來由財務、會計專業人員組成,發展到由財務、會計專業人員、計算機專業人員、計算機數據處理系統的管理人員和相關管理人員組成。使原有的會計內控主體范圍擴大,責任延伸。
其次是企業內控點復雜化。在電算化下傳統的賬證核對、賬賬核對、賬表核對、銀行對賬等工作已失去原有的控制意義。這些工作均由計算機按程序即時完成。這些程序化的內部控制的有效性取決于應用程序的完善與正確,如果應用程序發生差錯,計算機尚不具有人所特有的對不合邏輯事項的判斷和處理能力,出了問題難以發現。
第三是內控范圍擴大化。隨著電子商務的發展和企業信息化進程的加快,目前財務軟件的網絡功能已經包括:遠程報賬、遠程報表、遠程審計、網上支付、網上催賬、網上報稅、網上采購、網上銷售、網上銀行等。尤其是ERP理念及系統的運用,使得計算機、網絡不再是工具,而是內控的對象,內控不僅僅是會計信息,而是整個企業的物流、資金流、信息流的集合。以上功能的實現必將促使會計的內控的鏈條發散、延長,由此引起內控范圍擴大。
第四是控制載體的數字化。電算化系統的數據處理與存儲都呈現高度集中的特點和趨勢,儲存在計算機磁性介質上的數據容易被篡改,甚至可以不留痕跡,未經授權的人員可能通過計算機和網絡瀏覽全部數據文件,復制、偽造、銷毀企業重要的數據等,使數據安全性降低。計算機犯罪具有很大的隱蔽性和危害性,增加了電算化會計系統的內部控制的難度和復雜性。
另外,昔日應由會計人員處理的有關業務事項,現在可能由其他業務人員在終端機上一次完成;昔日應由幾個部門按預定的步驟完成的業務事項,能集中在一個部門甚至一個人完成等等。所有這一切都會對電算化會計系統內部控制的內容與環境產生很大的影響。
二、IT環境下企業內控的控制點分析
研究企業內控的控制點就要分析和了解IT環境下的各類可能發生舞弊的現象,以便針對性地提出遏制內控風險的措施。IT環境下的舞弊體現于“研發→應用→維護”的全過程及“程序自身與軟件操作”的全方位。
(一)研發階段的內控風險剖析
在我國,目前大多數電算化會計軟件都是用戶與軟件開發人員合作完成的,合作中一是理解不到位,程序不完備,二是人為給程序留下作假的空隙。如:預留“活動天窗”或預留“秘密人口”等。活動天窗是一種由計算機會計系統程序編制人員有意安排的指令語句,是對計算機應用系統的一種調試手段,即在密碼中加進空隙,以便于日后增加密碼并使之具有中期輸出能力。有些不道德的程序員為了以后損害計算機系統,會有意留下天窗。預留“秘密入口”是指在程序中設立一個秘密的未說明的進入程序模塊的入口方法,這個秘密的入口即為陷阱,設立這一“秘密入口”的意圖是在系統正式投入運行之后,能讓設立陷阱的程序員有訪問系統的人口,尤其是會計辦公的網絡化使這些意圖的實現成為可能。
(二)應用階段的內控風險剖析
在使用軟件時,所涉及的內控點主要在輸入、輸出和調試的崗位上。
1.“授權弱化”下軟件調用及修改
應用軟件操作的內控主要是用“授權”方式實現的,若授權密碼泄漏或未經授權的人冒名頂替進入系統,就可能非法調用信息或篡改程序,以達到他們犯罪的目的。這種現象多發生在操作員職業警惕性差和內控松散的情況,這會給電算化會計信息系統帶來了很大的風險。
常見方法:篡改輸入(虛構業務數據,修改業務數據,刪除業務數據),篡改文件,違法操作,聯機狀態下的乘虛而入,篡改輸出,電子竊聽等其他方法。
通過分析研究發現,系統人員一般采用篡改系統程序軟件和應用程序、非法操作等手段舞弊,內部用戶一般采用篡改輸入或輸出的篡改方法舞弊,外來者一般采用終端篡改輸入和其他盜竊、破壞等手段進行舞弊。應該注意:威脅更大的是經授權人的“監守自盜”行為。
2.IT下的會計資料的高度共享和責任高度集中的風險
電算化后,所有的會計信息均集中于機器中,特別是數據庫技術和網絡技術的運用,使“通訊竊取”成為可能。“通訊竊取”主要是指在網絡系統上通過設備從系統通訊線路上直接截取信息,或接收計算機設備和通訊線路輻射出的電磁波信號來實施舞弊。一旦對方破譯密碼或密鑰,就可以輕而易舉地截取或進入系統拷貝,甚至非法篡改或損毀,而不留下任何痕跡。電算化的另一威脅來自責任的高度集中。手工會計作業的組織分工十分明確,每一作業步驟都有文字記錄并簽章證明。而在電算化會計信息系統中,原始數據提交給電腦后,全部數據將集中由機器處理,中間的責任人控制點全部消失,因此,一旦處理過程中出現紕漏,將為追究責任帶來難度。
3.存儲介質變化使數據易于丟失,被篡改的風險加大
首先,數據易被盜取或損壞。尤其是作為主要存儲工具的硬盤,其上的數據被修改、擦除和拷貝均很難留下痕跡。其次,這些電子數據檔案至少保存10年以上,在此期間,由于物理性損耗或由于電腦發展的更新換代而使老硬盤與新電腦不能匹配等原因,導致硬盤上的數據必須不斷地被轉錄儲存,從而造成數據的丟失和檔案保存成本的增加。
4.系統被計算機病毒攻擊的風險
計算機病毒是隱藏在計算機系統中的一種特殊程序。計算機病毒已經成為破壞會計數據的主要“殺手”,其運行對于計算機會計系統具有巨大的危害和破壞性。有些不法分子就利用傳播計算機病毒,使一些單位部門的計算機系統被“開后門”或遭到破壞,以竊取有用信息或滿足其個人私欲。計算機病毒經由通訊線路傳輸時;很難留下作案線索,這些都會造成電算化會計信息系統的不安全,因此有必要在系統設計和網絡安全管理制度上加以強化。
(三)系統維護中的內控風險
系統維護中的舞弊與犯罪比比皆是,因為能夠進行系統維護的人員一般都具有兩個條件:一是有權限修改程序,二是有能力修改程序。這使得這一環節的有效控制變得尤其重要。
這一崗位是保證電算化系統安全高效運行的最關鍵的控制點。這一控制點如果弱化或不到位,會輕而易舉地造成以下內控風險:
1.數據泄露風險
從計算機中泄露數據是指從計算機系統或計算機設施中取走數據并使之外泄。由于系統維護員的崗位的特殊性,對一些用戶名和口令都能查看,使得數據泄露成為可能。
2.利用特殊權限操作的風險
系統維護員一般擁有特殊情況運用“系統干預程序”的特權。這是一個只在特殊情況下(當計算機出現故障,運轉異常時)使用的計算機系統干預程序。這種程序能越過所有控制,修改或暴露計算機內容,這種應用程序一般僅限于系統程序員和計算機操作系統的維修人員使用,但也不排除被一些不法分子使用以達到其不法目的。
3.有意篡改程序、安放邏輯炸彈的風險
是指以程序為基礎進行欺騙的方法。在進行系統維護時在計算機程序中,暗地里編進指令,使之執行未經授權時也可操作或通過對程序作非法改動,以便達到某種不法目的。比如將小量資金(比如計算中的四舍五入部分)逐筆積累起來,通過暗設程序記到自己的工資賬戶中,表面上卻看不出任何違規之處;再如某工資核算系統的程序員在系統中安放了一顆邏輯炸彈,一旦他的名字從工資文件中取消(被解雇),某一程序會自動引發,從而使得全部工資文件被擦除干凈。
三、防范IT環境下會計內部控制風險的對策
關于IT環境下的會計系統內部控制,將其分為一般控制(general controls)和應用控制(application con-trols)。
(一)一般控制
一般控制是指對企業經營活動所依賴的內部環境實施的總體控制,因而亦稱基礎控制或環境控制。
1.組織控制
組織控制是關于職責分工和人事管理控制措施建設的控制。這是一切控制的根本,因為無論在人工環境下,還是在IT環境下,“人”都是最主觀最能動的因素。電算化會計系統的組織控制主要應明確以下“兩個分離”:一是電算部門與用戶部門的職責分離;二是電子數據處理部門內部的職責分離。
2.系統開發與維護的控制
企業開發電算化會計系統所面臨的主要風險在于開發出的系統是否能夠反映用戶的要求,是否能夠達到預定的質量標準,是否能按時完成并投入使用,開發成本是否合理,系統是否合法等等。要確保系統開發的成功,則必須抓好以下3項控制:①開發過程控制。要解決好圍繞用戶的需求下的開發目標,總體結構,開發方式,費用預算,人員培訓等工作。②編程過程控制。為了避免程序設計過程中出現程序編碼時的語法錯誤和邏輯錯誤,程序實現的功能與用戶所要求的功能不一致,防止一些具有潛伏性和危害作用的子程序被設計在程序邏輯中等等,要在程序未投入使用之前,另外聘請內行人士進行全方位測試。即通過對程序的反復閱讀或對流程圖的檢查來發現錯誤的靜態測試和對程序進行試運行來發現單個模塊的功能與定義模塊的功能不相符及模塊之間的接口問題的動態測試。③系統軟件維護控制。系統軟件維護主要包括糾錯性維護、適應性維護和完善性維護。對系統的功能的維護改進中,可導致系統出現新的錯誤,因此對系統軟件的維護應進行控制,即應按新系統開發過程的規程來進行維護。
3.系統安全控制
影響系統安全的因素很多,包括自然災害、工作失誤、計算機舞弊與犯罪活動等。具體來說其應該包括以下幾點:①環境安全控制。是屬于一種預防性的控制,包括計算機機房的安全控制、機房設備的保護、安全供電系統的安裝等;②軟件安全控制。對軟件程序的保護措施是對數據和程序的加密,一方面可以把數據和程序轉換成密碼的形式存放在各類介質上,運行時再執行解密,使系統能夠正常運行。另一方面,可以對存儲介質進行特殊的處理,如采用特殊的記錄方式,對磁盤加上特殊的標記,采用特殊的硬件裝置,并定期對軟件進行檢測,以保證不被篡改;③病毒防治。基本策略有兩種:一是利用現成的殺毒軟件對病毒進行檢測并消滅,或是在系統中安裝一些檢測程序的技術手段,二是對病毒進行預防的管理手段。如盡量不用或慎用公用軟件、外來軟件和共享軟件,尤其是游戲軟件。經常性地對一些重要的文件進行熱備份等;④內部審計。是指由企業內部相對獨立的審計機構和審計人員對本企業的財務收支、經營管理活動及其經濟效益進行審核、監督和評價,提出意見和建議的一種專職經濟監督活動。
4.操作控制
操作控制是通過制定嚴格的、標準的操作規程,并認真地加以執行來實現的規范化工作流程。其根本目的在于保證信息處理的高質量,減少差錯的發生和文件、程序及報表的未授權使用。一般包括3個方面:機房管理制度控制,操作權限控制,操作規程控制。
5.檔案控制
電算化會計檔案,包括存儲在計算機硬盤、其他磁性介質或光盤中的會計數據和計算機打印出來的書面等形式的會計數據,應嚴格按照財政部1996年6月10日頒布的《會計電算化工作規范》執行。
(二)應用控制
應用控制是指直接作用于企業生產經營業務活動的具體控制,因此亦稱業務控制。通常,將應用控制劃分為輸入控制、處理控制和輸出控制3種。
1.輸入控制
輸入控制的目標就是要保證未經批準的業務不能進入計算機,保證經批準的業務沒有遺漏、沒有被添加、重復或不適當地更換,對不正確的業務進行剔除、改正等。其是保證會計數據真實性中關鍵的一環。一般對輸入控制可有以下一些措施:①建立科目對照文件;②設立對應關系參照文件;③試算平衡控制;④人員控制;⑤重復輸入或雙重輸入控制;⑥順序校驗控制;⑦總數控制;⑧邏輯校驗控制。
當然,上述的輸入控制措施是針對實際的輸入操作過程而設置的,如果從操作管理制度方面來考慮,還應當制定嚴格的預防原始憑證和記賬憑證等會計數據未經審核而輸入計算機的措施,以及預防已輸入計算機的預防原始憑證和記賬憑證等會計數據未經核對而登記于機內賬簿的措施。同時還應看到,輸入控制與組
織控制是相輔相成的。會計業務的審批一般應當限制在電算部門以外,電算部門無權審批業務,也不能擅自修改業務。但是,應當允許他們對不正確的、并已被審核了的業務提出質疑,以便審批部門及時修改。 2.數據處理控制 是指為確保計算機運行時發現、糾正和報告某些有錯誤的輸入,從而保證數據處理的正確性和可靠性而設置的控制。常用的數據處理控制措施包括:檢驗登賬條件控制,防錯、糾錯控制,修改權限與修改痕跡控制等。
3.輸出控制
應包括如下措施:①加強輸出結果的人工核對。如按照用戶的要求設置輸出的格式、方式、內容、時間等。對輸入的總數與輸出的總數加以核對。審核輸出結果,檢查輸出結果的正確性與完整性。將本期輸出的結果與上期輸出的結果進行對比,檢查輸出結果的合理性;②加強輸出資料分發和保管的管理。如指定專門的報表傳遞人員,保證將報表及時送達有權接受者;建立輸出報告登記簿,記錄報告發送的份數、時間、傳遞人、接受者等事項,以防錯發、漏發和多發等。
任何事物都不是盡善盡美的,電算化會計信息系統內部控制也同樣存在著其固有的、不可避免的局限性。如管理成本限制、人為失誤、串通舞弊、濫用職權、修訂不及時、非經常事項的不適性等等內控管理的瓶頸。建議建立IT環境下的企業內控風險預警系統,此舉不啻為一種很好的事前防范方法,其在發生以上舞弊或出錯時會“鳴笛”示警,提醒人們發現問題及時解決,防患于未然,從而使企業管理成本降至最低。筆者認為上面所說的內控中涉及的物流、資金流、信息流均是表象,而“人”才是所有利益的載體,才是我們內控的根本。因為說到底內控政策的制定者是人,內控的執行者是人,內控的對象也是人。所以,除了強化內控以外,為使各個內控點的措施到位,被人愉快接受和執行;我們還應注重影響“人”的企業軟環境建設,如提升企業文化,強化法制觀念,培養職業道德等等。總之,任何內部控制總存在著一定的風險,不可能一勞永逸,應該堅持全方位管理并與時俱進,方可長治久安。
主要參考文獻
[1][美]George H.Bodnar,WilliamS.Hopwood著.盧俊譯.會計信息系統[M].北京:清華大學出版社,2004.
[2]會計電算化中常見的作假手段.www.yculblog.com.
[3]牛魚水.工商物流系統知識與應用[M).深圳:海天出版社,2005.
[4]周玉清等.ERP原理與應用[M].北京:機械工業出版社,2002.
[5]徐偉.電子商務與企業流程重組.www.e521.com.
[收稿日期]2006—03—03
[作者簡介]聶衛東(1971—),男,河南商丘人,高級講師,東北財經大學職業技術學院,研究生。
