24周年

財稅實務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋果版本:8.7.30

開發(fā)者:北京正保會計科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

論計算機(jī)會計的內(nèi)部控制及其審計

來源: 黃正瑞、黃微平 編輯: 2003/11/24 14:20:48  字體:
  計算機(jī)信息處理環(huán)境影響會計內(nèi)部控制及其審計已是不爭的事實,但目前對計算機(jī)信息處理環(huán)境下內(nèi)部控制的內(nèi)容、分類以及如何審計內(nèi)部控制問題,概念仍然不十分清晰,不少控制措施以及審計方法嚴(yán)重脫離實際,許多問題還有待研究。

  一、對計算機(jī)會計內(nèi)部控制的再認(rèn)識

  西方對計算機(jī)會計內(nèi)部控制的研究大概始于70年代,美國執(zhí)業(yè)會計師協(xié)會(AICPA)和EDP審計人員協(xié)會從1974年開始先后發(fā)表了一系列研究報告或相關(guān)的審計準(zhǔn)則,國際會計師聯(lián)合會(IFAC)也在80年代制訂了幾個有關(guān)計算機(jī)審計的準(zhǔn)則。這些文告或準(zhǔn)則一方面肯定了計算機(jī)處理對內(nèi)部控制的影響,強(qiáng)調(diào)加強(qiáng)內(nèi)部控制及其審計的必要性;另一方面則比較一致地將內(nèi)部控制分為一般控制和應(yīng)用控制兩大類,并據(jù)此制定了一套EDP控制標(biāo)準(zhǔn)。

  我國財政部1994年發(fā)布的《會計核算軟件基本功能規(guī)范》,集中在輸入、處理、輸出和安全四個方面對會計軟件提出規(guī)范性要求,實質(zhì)上涉及的都是內(nèi)部控制的問題,即會計軟件系統(tǒng)所應(yīng)該實現(xiàn)的控制。而首次涉及計算機(jī)會計系統(tǒng)內(nèi)部控制的審計法規(guī)則是1999年7月1日生效的《獨(dú)立審計具體準(zhǔn)則第20號-計算機(jī)信息系統(tǒng)環(huán)境下的審計》。

  顯然世界各國審計機(jī)關(guān)對計算機(jī)處理環(huán)境的內(nèi)部控制問題都有相當(dāng)?shù)闹匾暎M(jìn)行了非常深入的研究。既肯定了計算機(jī)處理環(huán)境對內(nèi)部控制的影響,又研究了加強(qiáng)控制的措施,還探討了審計內(nèi)部控制的方法。但是,事物總是發(fā)展的,隨著計算機(jī)技術(shù)的日新月異,尤其是電子商務(wù)和網(wǎng)絡(luò)財務(wù)的出現(xiàn),前述的這些研究已經(jīng)顯得蒼白。我們認(rèn)為,當(dāng)前對內(nèi)部控制的研究存在三個問題:一是對廣域網(wǎng)絡(luò)環(huán)境下會計系統(tǒng)的內(nèi)部控制缺乏研究,二是對內(nèi)部控制的分類欠科學(xué),三是不少控制措施以及對內(nèi)部控制的符合性測試方法脫離實際。下面將就這些問題展開討論。

  二、網(wǎng)絡(luò)會計給內(nèi)部控制提出了新課題

  網(wǎng)絡(luò)財務(wù)戰(zhàn)略一經(jīng)提出就獲得社會的普遍認(rèn)同,成為業(yè)界關(guān)注的焦點(diǎn),引發(fā)人們對網(wǎng)絡(luò)環(huán)境下財務(wù)與企業(yè)管理的思考。網(wǎng)絡(luò)財務(wù)的最閃光之處是通過Internet實現(xiàn)多種遠(yuǎn)程處理和支持電子商務(wù),而這恰恰給會計內(nèi)部控制出了難題。

  我們知道,電子商務(wù)和遠(yuǎn)程處理必然要求會計系統(tǒng)的進(jìn)一步開放與數(shù)據(jù)共享,而開放與共享將增加安全控制的難度,信息安全、資金安全都將成為內(nèi)部控制的焦點(diǎn)。安全威脅既來自企業(yè)內(nèi)部工作漫不經(jīng)心的員工,也來自心懷不滿的職員、外部黑客以及競爭對手。因為網(wǎng)上交易公開化程度較高,操作人員和信息使用者干預(yù)系統(tǒng)的機(jī)會增大,再加上使用的是公用通訊線路,系統(tǒng)面臨的安全隱患也必然增多,從而增大企業(yè)經(jīng)營的風(fēng)險。例如,不法之徒可能利用網(wǎng)絡(luò)及安全管理的漏洞窺探用戶口令或電子賬號,冒充合法用戶作案,篡改數(shù)據(jù)庫內(nèi)容以竊取資產(chǎn);利用網(wǎng)絡(luò)遠(yuǎn)距離竊取企業(yè)的商業(yè)秘密以換取錢財,或利用網(wǎng)絡(luò)傳播計算機(jī)病毒以破壞會計信息系統(tǒng),甚至摧毀網(wǎng)絡(luò)節(jié)點(diǎn);此外,由于電子商務(wù)處理經(jīng)濟(jì)業(yè)務(wù)的原始記錄以電子憑證的方式存在和傳遞,不法之徒通過改變電子貨幣賬單、銀行結(jié)算單等,就有可能轉(zhuǎn)移財產(chǎn)的所有權(quán)。

  有鑒于此,網(wǎng)絡(luò)財務(wù)必須實現(xiàn)以下控制目標(biāo):

  1、對遠(yuǎn)程操作的控制,即實現(xiàn)對遠(yuǎn)程記賬、報賬、查賬、制表、審計以及網(wǎng)上報稅等操作的安全控制。

  2、對網(wǎng)上支付的控制,即保證支付信息的機(jī)密、支付過程的完整、交易雙方的合法身份以及互操作性,實現(xiàn)安全支付。

  3、對電子憑證的控制,即控制電子憑證的正確收發(fā)、真?zhèn)未_認(rèn)、安全傳遞和格式轉(zhuǎn)換等問題。

  以上控制既涉及技術(shù)層面,也涉及政府立法和企業(yè)內(nèi)部的制度建設(shè)。在技術(shù)上要采用公開密匙加密、電子數(shù)字簽名、電子信封、電子證書等技術(shù),加強(qiáng)對網(wǎng)上輸入、輸出和傳輸信息的合法性、正確性控制,在企業(yè)內(nèi)部網(wǎng)與外部公共網(wǎng)之間建立防火墻,對外部訪問實行多層認(rèn)證。在法律上建立電子商務(wù)法律法規(guī),規(guī)范網(wǎng)上交易、支付、核算行為,并制定網(wǎng)絡(luò)財務(wù)準(zhǔn)則和相應(yīng)的內(nèi)部控制制度。沒有網(wǎng)絡(luò)安全,就沒有網(wǎng)絡(luò)財務(wù)。

  三、關(guān)于內(nèi)部控制的分類

  美國執(zhí)業(yè)會計師協(xié)會第3號《審計準(zhǔn)則公告》、《國際審計準(zhǔn)則》第20號以及我國《獨(dú)立審計具體準(zhǔn)則第20號》,都把計算機(jī)會計內(nèi)部控制分為一般控制(General controls)和應(yīng)用控制(Application controls)兩大類,并將前者定義為:(1)電子數(shù)據(jù)處理的組織和操作的計劃;(2)對系統(tǒng)或程序的設(shè)計、開發(fā)和變動的記錄、審核、測試和批準(zhǔn);(3)由制造商在設(shè)備內(nèi)部所設(shè)置的控制;(4)對接觸設(shè)備和數(shù)據(jù)文件的控制;(5)對系統(tǒng)的運(yùn)行有影響的其他數(shù)據(jù)和指令程序的控制。公告把應(yīng)用控制定義為輸入控制、數(shù)據(jù)處理控制和輸出控制。

  但是,我們認(rèn)為這種分類方法從其名稱和內(nèi)涵來看,都有值得商榷的地方。

  1、定義缺乏邏輯性

  分類是一種手段,目的是便于人們對事物的理解或認(rèn)識,但這種分類方法并未達(dá)到這個目的。首先從其名稱來看,分類標(biāo)準(zhǔn)不明確,甚至可以說用的不是同一個標(biāo)準(zhǔn)。因為人們往往習(xí)慣于將“一般”來區(qū)別“特殊”,而將“應(yīng)用”與“基礎(chǔ)”、“理論”或“系統(tǒng)”等概念相對應(yīng)。所以將問題分為“一般”和“應(yīng)用”在邏輯上是不清晰的,實際上不少問題既是“一般”問題,又屬“應(yīng)用”范疇。

  2、兩類控制的內(nèi)涵不明

  分類標(biāo)準(zhǔn)的模糊性帶來控制內(nèi)涵不明,到底哪些方面的控制屬于一般控制,哪些屬于應(yīng)用控制,人們只能根據(jù)強(qiáng)加于人的“定義”來理解。兩類控制常常交叉,例如數(shù)據(jù)輸入既因涉及輸入而屬于應(yīng)用控制,又因涉及組織和操作而屬于一般控制的范疇。又如,對輸出資料的保管、操作權(quán)限的識別這樣一些控制措施,到底屬于一般控制還是屬于應(yīng)用控制,人們從字面上就很難區(qū)別。此外有些文獻(xiàn)還把對經(jīng)濟(jì)業(yè)務(wù)的完整性、有效性、合理性的審查和控制,作為數(shù)據(jù)處理控制的內(nèi)容,使控制措施的歸屬變得更為含混不清。

  3、企業(yè)控制的任務(wù)不明確

  這種分類方法混淆了執(zhí)行控制的主體,即兩類控制中人們難以明確哪些是企業(yè)應(yīng)該做的,哪些是軟件開發(fā)商的責(zé)任。我們知道在手工會計中內(nèi)部控制都是通過人來執(zhí)行的,但在計算機(jī)會計中除了人這個執(zhí)行控制的主體之外,許多內(nèi)部控制方法卻要通過計算機(jī)系統(tǒng)尤其是會計軟件才能實現(xiàn)。例如,應(yīng)用控制中的輸入控制,既包括了用規(guī)章制度約束操作人員以保證輸入數(shù)據(jù)的正確,又要靠系統(tǒng)自身的容錯功能來識別和糾正輸入數(shù)據(jù)的錯誤,前者是制度問題而后者則是計算機(jī)程序問題。在輸出控制中也存在類似的問題,對輸出的權(quán)限和完整控制應(yīng)該是軟件系統(tǒng)的責(zé)任,而輸出資料的確認(rèn)和保管則是會計人員的責(zé)任。

  我們認(rèn)為內(nèi)部控制的分類既要概念清晰,又要區(qū)分控制的主體,以便明確責(zé)任,為此,建議將內(nèi)部控制分為管理制度控制和程序系統(tǒng)控制兩大類。其中程序系統(tǒng)指計算機(jī)軟硬件系統(tǒng),主要是網(wǎng)絡(luò)系統(tǒng)和會計軟件。程序系統(tǒng)控制主要是靠軟件本身功能來實現(xiàn)的內(nèi)部控制機(jī)制,以實現(xiàn)系統(tǒng)的自我保護(hù),主要包括數(shù)據(jù)輸入、內(nèi)部處理、信息輸出、數(shù)據(jù)傳輸和系統(tǒng)安全保護(hù)控制。程序系統(tǒng)控制的責(zé)任者是軟件開發(fā)部門,用戶不應(yīng)負(fù)有責(zé)任。而管理制度控制一般是以管理制度的形式實行的,主要包括組織、操作、維護(hù)和資料保管等方面。我們也可以進(jìn)一步將管理制度控制分為環(huán)境控制(或基礎(chǔ)控制)和操作控制(或應(yīng)用控制)兩類,組織、維護(hù)和資料保管都屬于環(huán)境控制的范疇。顯然制度的制訂和執(zhí)行與計算機(jī)程序系統(tǒng)無關(guān),而是會計軟件使用單位的責(zé)任。這種分類法的優(yōu)點(diǎn)是分類標(biāo)準(zhǔn)明確,容易理解,而且實現(xiàn)控制的措施和控制的主體是一致的,責(zé)任分明,企業(yè)方面容易清楚自己應(yīng)該怎么辦。

  四、關(guān)于內(nèi)部控制措施及審計

  我們接觸到的幾乎所有教科書或文獻(xiàn),不僅將內(nèi)部控制分為一般控制和應(yīng)用控制,而且演繹和解釋具體控制措施以及內(nèi)部控制的審計方法時往往脫離實際,形式繁瑣,又不突出控制重點(diǎn),主要存在以下問題:

  1、無法實現(xiàn)或不合理的控制措施

  在對內(nèi)部控制措施的羅列中,有許多是無法實現(xiàn)或者是不合理的要求。例如,要求在會計軟件中“安裝一個聯(lián)機(jī)審機(jī)控制器,用來收集審計人員感興趣的資料”,要求在程序中設(shè)置斷點(diǎn)以控制“主文件金額數(shù)、記錄計數(shù)、前一程序指令序號”,“每一個操作運(yùn)行結(jié)束后應(yīng)有一份打印輸出”,通過使用“雙重運(yùn)算、逆運(yùn)算法”檢查錯誤等等,都是不合理的甚至根本就無法實現(xiàn)的措施。又如對會計軟件系統(tǒng)的開發(fā)控制和審計是否合理,也是值得商榷的。

  2、無需過問的控制措施

  有許多控制措施是計算機(jī)系統(tǒng)的最基本的功能,并非為會計所設(shè)置,審計人員是無需過問的。例如,硬件的冗余檢驗、奇偶校驗、回聲檢驗,操作系統(tǒng)的錯誤處置、程序保護(hù)、文件保護(hù),這些控制都是計算機(jī)系統(tǒng)所必備的功能,不應(yīng)該將它們納入會計內(nèi)部控制的范疇,也不應(yīng)該成為審計的內(nèi)容。其實對許多系統(tǒng)保護(hù)措施審計人員也無從了解,更談不上審計。

  3、對內(nèi)部控制的審計內(nèi)容繁瑣

  許多文獻(xiàn)對內(nèi)部控制審計方法的介紹不僅內(nèi)容空洞繁瑣,而且空談許多無法實現(xiàn)的審計方法,嚴(yán)重脫離實際,使審計人員不得要領(lǐng),抓不住審計的重點(diǎn)。例如,對系統(tǒng)軟件的測試是完全沒有必要的,因為系統(tǒng)軟件一般都比較可靠,而且不會對會計軟件系統(tǒng)的安全造成威脅。此外,對會計軟件的測試方法中許多方法從技術(shù)上看是不可行的,從成本效益原則上看也是不合算的。例如,程序流程圖檢驗法、程序代碼檢查法都要求審計人員去閱讀程序代碼以確定會計軟件的控制措施是否滿足,這確實是一種天方夜譚的設(shè)想。又如所謂圖示法要求“利用監(jiān)督程序來測定被測試程序中哪些指令執(zhí)行過,哪些指令未曾動用”,也是很不現(xiàn)實的方法。

  鑒于以上原因,我們認(rèn)為當(dāng)前應(yīng)該全面檢討內(nèi)部控制的措施一方面通過制訂《會計軟件基本功能規(guī)范》進(jìn)一步明確會計軟件公司的責(zé)任,規(guī)范會計軟件產(chǎn)品的程序系統(tǒng)在數(shù)據(jù)輸入、處理、輸出、傳輸和安全保護(hù)的控制功能;另一方面則應(yīng)通過制訂會計基礎(chǔ)工作規(guī)范,明確推行會計電算化的單位的控制責(zé)任,規(guī)范必要和切實可行的控制措施。

  五、應(yīng)該重視對內(nèi)部控制的審計

  在相當(dāng)長的時間里由于人們對計算機(jī)會計系統(tǒng)比較陌生,內(nèi)部控制措施不明確,審計方法不得要領(lǐng),所以審計人員只得沿用對手工會計的審計方法,很少能夠?qū)?nèi)部控制進(jìn)行有效的審計,漏洞較多,不足以確保會計系統(tǒng)的安全。因此,提高對內(nèi)部控制的認(rèn)識,加強(qiáng)對其內(nèi)涵和技術(shù)的研究,重視對內(nèi)部控制的審計,仍是當(dāng)前會計電算化和審計領(lǐng)域的一個關(guān)鍵課題。一般情況下審計人員的責(zé)任主要不是審計計算機(jī)和會計軟件系統(tǒng)的內(nèi)部控制措施,而是審計應(yīng)用單位制訂的內(nèi)部控制制度是否健全和真正有效執(zhí)行。計算機(jī)硬件和系統(tǒng)軟件無需審計人員去審計,而會計軟件系統(tǒng)的輸入、處理、輸出和安全控制功能則應(yīng)由專家去評審。我國過去對會計核算軟件的兩級評審制度,其實質(zhì)就是對會計軟件內(nèi)部控制功能的審計。

實務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - galtzs.cn All Rights Reserved. 北京正保會計科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號