內(nèi)部控制是單位為提高會計信息質(zhì)量,保護資產(chǎn)的安全和完整,確保有關法律法規(guī)和規(guī)章制度的貫徹執(zhí)行而制定和實施的一系列控制方法、措施和程序。內(nèi)部控制制度作為企業(yè)受托者實現(xiàn)其經(jīng)營管理目標,完成受托責任的一種手段,在企業(yè)內(nèi)部管理監(jiān)控系統(tǒng)中起著舉足輕重的作用。建立和完善我國內(nèi)部控制制度對提高企業(yè)管理水平、防止錯誤和舞弊、保護投資者的合法權益并保證資本市場有效運行具有重要的意義。近年來,我國十分重視對內(nèi)部控制的研究,并發(fā)布了一系列規(guī)范和指導意見,促進了單位內(nèi)部控制的建立和完善。但是,會計電算化的發(fā)展又給內(nèi)部控制帶來了新的問題和挑戰(zhàn)。本文主要分析會計電算化對會計業(yè)務內(nèi)部控制的影響,并以此為基礎探討關于電算化會計信息系統(tǒng)環(huán)境下的內(nèi)部控制建設問題,以確保企業(yè)實行會計電算化后,系統(tǒng)能夠正常、安全、有效地運行。
一、會計電算化對內(nèi)部控制的影響
會計電算化,由于會計信息處理方式的改變,使傳統(tǒng)的內(nèi)部控制方法面臨挑戰(zhàn)。
。ㄒ唬﹥(nèi)部控制形式的變化。原手工操作下一些內(nèi)部控制措施在電算化后沒有存在必要性。如編制科目匯總表、憑證匯總表、試算平衡的檢查、總賬和明細賬的核對;原手工操作下一些內(nèi)容控制措施在電算化后轉移到計算機內(nèi)了,如憑證借貸平衡校驗,余額發(fā)生額平衡檢查。由此可見,電算化會計除了人這個執(zhí)行控制的主體外,許多內(nèi)容控制方法主要通過會計軟件來實現(xiàn)的。因此,計算機系統(tǒng)的內(nèi)部控制也由手工條件下的單一人工控制轉為為人工控制和程序控制。由于電算化系統(tǒng)中內(nèi)部控制具有人工控制與程序控制相結合的特點,電算化系統(tǒng)許多應用程序中包含了內(nèi)部控制功能,這些程序化的內(nèi)容控制的有效性取決于應用程序,如程序發(fā)生差錯或不起作用,由于人們依賴性以及程序運動的重復性,使得失效控制長期不被發(fā)現(xiàn),從而使系統(tǒng)“在特定方面發(fā)生錯誤或違規(guī)行為的可能性較大”。
(二)存儲介質(zhì)的變化。在手工會計環(huán)境下,企業(yè)的經(jīng)濟業(yè)務發(fā)生均記錄于紙張之上,并按會計數(shù)據(jù)處理的不同過程分為原始憑證、記賬憑證、會計賬簿和會計報表。紙張上的書面數(shù)據(jù)形成會計人員所熟悉的會計證據(jù)原件,這些紙質(zhì)原件的數(shù)據(jù)若被修改,則容易辨別出修改的線索和痕跡,這也是傳統(tǒng)紙質(zhì)原件的一個基本特征。但是,電算化系統(tǒng)下原來紙質(zhì)的會計數(shù)據(jù)被直接記錄在磁盤或光盤上,是肉眼不可見的,很容易被刪除或篡改,由于在技術上對電子數(shù)據(jù)非法修改可做到不留痕跡,這樣就很難辨別哪一個是業(yè)務記錄的“原件”。另外,電磁介質(zhì)易受損壞,所以會計信息也存在丟失或毀壞的危險。因此,在計算機中如何使磁性介質(zhì)上的數(shù)據(jù)安全可靠,防止數(shù)據(jù)被非法修改是一個非常重要的問題。
。ㄈ﹥(nèi)容控制的范圍變化。傳統(tǒng)的內(nèi)容控制主要針對交易處理。計算機技術的引入,給會計工作增加了新的工作內(nèi)容,同時也增加了新的控制措施。由于系統(tǒng)建立和運行的復雜性,內(nèi)部控制的范圍相應擴大,包含了傳統(tǒng)手工系統(tǒng)所沒有的控制,如網(wǎng)絡系統(tǒng)安全的控制、系統(tǒng)權限的控制、修改程序的控制等以及磁盤內(nèi)會計信息安全保護、計算機病毒防治、計算機操作管理、系統(tǒng)管理員和系統(tǒng)維護人員的崗位責任制度等。
(四)交易授權的變化。授權、批準控制是一種常見的、基礎的內(nèi)部控制。在手工會計系統(tǒng)中,對于一項經(jīng)濟業(yè)務的每個環(huán)節(jié)都要經(jīng)過某些具有相應權限人員的簽章,自然形成了層層復核、道道把關,具有嚴格的審核復查機制。但在電算化會計信息系統(tǒng)中,大部分處理由計算機完成,審查、復核等控制被削弱,甚至消失了。(五)財務網(wǎng)絡化帶來的新問題。近年來,隨著計算機技術和網(wǎng)絡通訊技術的發(fā)展,網(wǎng)絡化會計信息系統(tǒng)的日趨普及,網(wǎng)絡的廣泛應用在很大程度上彌補了單機電算化系統(tǒng)的不足,使電算化會計系統(tǒng)的內(nèi)部控制更加完善,同時也帶來了新問題。目前財務軟件的網(wǎng)絡功能主要包括:遠程報帳、遠程報表、遠程審計、網(wǎng)上支付、網(wǎng)上催帳、網(wǎng)上報稅、網(wǎng)上采購、網(wǎng)上銷售、網(wǎng)上銀行等,實現(xiàn)這些功能就必須有相應的控制,從而加大了會計系統(tǒng)安全控制的難度。
二、建設會計電算化內(nèi)部控制的必要性
手工會計系統(tǒng)中,會計數(shù)據(jù)所用可見的文字、符號直接記錄在紙上。這種方式有較好的直觀性,各不相同的筆跡也可作為控制的手段。采用計算機處理后,會計數(shù)據(jù)以肉眼無法識別的形式存儲在磁盤上,從而失去了直觀性。另外,在手工會計方式下,會計核算的質(zhì)量取決于會計人員的業(yè)務水平、工作態(tài)度及對會計有關法規(guī)的理解和執(zhí)行效果。財務會計部門經(jīng)過長期的實踐,已積累了大量的經(jīng)驗,建立起一整套管理制度。實現(xiàn)會計電算化后,許多傳統(tǒng)的管理控制方式消失了,而代之以新的方式。這就迫使電算化會計信息系統(tǒng)必須建立嚴格的內(nèi)部控制制度。
三、建立和完善電算化會計信息系統(tǒng)環(huán)境下的內(nèi)部控制
手工會計電算化以后,嚴格的內(nèi)控制度和系統(tǒng)正常、安全、有效的運行是會計電算化信息真實可靠的保證。內(nèi)部控制制度要求處理同一筆經(jīng)濟業(yè)務的人員既要相互聯(lián)系,又要相互制約。此外,嚴格的內(nèi)控制度有助于防止違法行為的發(fā)生。國內(nèi)外會計電算化的實踐表明,計算機本身處理出錯幾乎為零,如果單位管理制度不健全或?qū)嵤┎涣Γ紩o各種非法舞弊行為以可乘之機。如果企業(yè)一旦出現(xiàn)舞弊,損失巨大。因此,制定嚴格的內(nèi)控制度是非常有必要的。就目前我國開展會計電算化的應用現(xiàn)狀來看,大部分還停留在一般應用水平上。人們對于人員職責分工,數(shù)據(jù)備份和保管,軟硬件使用和維護等方面的重要性往往認識不足。因此,強化內(nèi)控管理,提高電算化的科學管理水平是建立現(xiàn)代企業(yè)制度的內(nèi)在要求,也是提高企業(yè)競爭能力的重要途徑。建立和完善電算化會計信息系統(tǒng)環(huán)境下內(nèi)部控制可從以下幾個方面進行:
。ㄒ唬┙M織與管理控制。組織與管理控制是指通過部門的設置、人員的分工、崗位職責的制定、權限的劃分等形式進行的控制,其基本目標是建立恰當?shù)慕M織機構和職責分工制度,以達到相互牽制、相互制約、防止或減少舞弊發(fā)生的目的。會計電算化后的工作崗位可分為基本會計崗位和電算化會計崗位;緯媿徫豢砂〞嬛鞴堋⒊黾{、會計核算、稽核、會計檔案管理等工作崗位;電算化會計崗位包括系統(tǒng)管理、操作、進行系統(tǒng)維護等工作崗位。其中較重要的崗位有系統(tǒng)管理和審核崗位。系統(tǒng)管理主要負責系統(tǒng)的硬軟件管理工作,從技術上保證系統(tǒng)的正常運行。包括掌握網(wǎng)絡服務器及數(shù)據(jù)庫的超級口令,負責網(wǎng)絡資源分配,監(jiān)控數(shù)據(jù)保存方式的安全性、合法性,防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象;對系統(tǒng)運行各環(huán)節(jié)進行審查,防止存在漏洞等,有效地限制和及時發(fā)現(xiàn)錯誤或違法行為。
。ǘ┫到y(tǒng)日常操作管理控制。系統(tǒng)操作控制主要表現(xiàn)為操作權限控制和操作規(guī)程控制兩個方面。操作權限控制是指每個崗位的人員只能按照所授予的權限對系統(tǒng)進行作業(yè),不得超越權限接觸系統(tǒng)。系統(tǒng)應制定適當?shù)臋嘞迾藴鼠w系,使系統(tǒng)不被越權操作,從而保證系統(tǒng)的安全。操作權限控制常采用設置口令來實行。操作規(guī)程控制是指系統(tǒng)操作必須遵循一定的標準操作規(guī)程進行。操作規(guī)程應明確職責、操作程序和注意事項,并形成一套電算化系統(tǒng)文件,如對進入機房內(nèi)的人員進行嚴格審查;規(guī)定交接班手續(xù)和登記運行日志;規(guī)定數(shù)據(jù)備份及機器的使用規(guī)范;規(guī)定軟盤專用以防病毒感染;規(guī)定不準在計算機上玩電腦游戲等等。標準操作規(guī)程包括:軟硬件操作規(guī)程,作業(yè)運行規(guī)程,上機時間記錄規(guī)程等。
(三)系統(tǒng)維護控制。系統(tǒng)的維護是指日常為保障系統(tǒng)正常運行而對系統(tǒng)硬軟件進行的安裝、修正、更新、擴展、備份等方面的工作。系統(tǒng)維護控制就是針對這些工作而實施的控制。系統(tǒng)維護包括硬件維護和軟件維護。硬件維護主要包括定期進行檢查并做好記錄;在系統(tǒng)運行過程中出現(xiàn)硬件故障要及時進行故障分析并做好記錄。而軟件維護包括正確性維護、適應性維護和完善性維護。在軟件修改、升級和硬件更換過程中,要保證實際會計數(shù)據(jù)的連續(xù)和安全,并由有關人員進行監(jiān)督。
(四)數(shù)據(jù)和程序控制。數(shù)據(jù)和程序控制主要是指對數(shù)據(jù)、程序的安全控制。程序的安全與否直接影響著系統(tǒng)的運行,而數(shù)據(jù)的安全與否關系到財務信息的完整性和保密性。
數(shù)據(jù)控制的目標是要做到任何情況下數(shù)據(jù)都不丟失、不損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數(shù)據(jù)的恢復與重建等,而數(shù)據(jù)的備份則是數(shù)據(jù)恢復與重建的基礎,是一種常見的數(shù)據(jù)控制手段,采用磁性介質(zhì)保存會計檔案要定期進行檢查和定期復制,防止由于磁性介質(zhì)損壞而使會計檔案丟失。網(wǎng)絡中利用兩人服務器進行雙機鏡像映射備份是備份的先進形式。
程序的安全控制是要保證程序不被修改、不損毀、不被病毒感染。常用的控制包括接觸控制、程序備份等。接觸控制是指非系統(tǒng)維護人員不得接觸到程序的技術資料、源程序和加密文件,從而減少程序被修改的可能性;程序備份則是指有關人員要注明程序功能后備份存檔,以備系統(tǒng)損壞后重建安裝之需。程序的安全控制還要求系統(tǒng)使用單位制定具體的防病毒措施,包括對所有來歷不明的介質(zhì)和在使用前進行病毒檢測,定期對系統(tǒng)進行病毒檢測,使用網(wǎng)絡病毒防火墻以防止日益猖獗的網(wǎng)絡病毒侵入等。
。ㄎ澹┚W(wǎng)絡的安全控制。隨著網(wǎng)絡技術快速地發(fā)展,公司應加強網(wǎng)絡安全的控制,在技術上對整個財務網(wǎng)絡系統(tǒng)的各個層次(通信平臺、網(wǎng)絡平臺、操作系統(tǒng)平臺、應用平臺)都要采取安全防范措施和規(guī)則,建立綜合的多層次的安全體系。網(wǎng)絡安全性指標包括數(shù)據(jù)保密、訪問控制、身份識別等。針對這些方面,可采用一些安全技術,主要包括數(shù)據(jù)加密技術、訪問控制技術、數(shù)字簽名技術、隧道技術(VPN)等。
數(shù)據(jù)加密技術是保護信息通過公共網(wǎng)絡傳輸和防止電子竊聽的首選方法,F(xiàn)代加密技術分為對稱加密(專用密鑰,privatekey)和非對稱加密(公開密鑰,publickey)兩大類。對稱加密法是最傳統(tǒng)的方式,其特點是關聯(lián)雙方共享一把專用密鑰進行加密和解密運算,專用密鑰法面臨的最大難題是密鑰網(wǎng)上分發(fā)的安全性問題。非對稱加密法1976年問世,它將密鑰一分為二,即一把公鑰和一把私鑰,具有加密鑰不同于解密鑰、并且在計算上不能由加密鑰推出解密鑰的特點,有效解決了密鑰分發(fā)的管理問題,特別適合計算機網(wǎng)絡的應用環(huán)境。譬如總公司對下屬企業(yè)公開其“密鑰對”中的公鑰,下屬企業(yè)可以用公鑰對上報的報表信息加密,安全地傳送給總公司,然后由總公司用其保留的私鑰進行解密。
訪問控制技術的代表是防火墻技術,特別是已融和了VPN(虛擬專用網(wǎng)及隧道技術)的防火墻技術。防火墻是建立在企業(yè)內(nèi)部網(wǎng)(Intranet)和外部網(wǎng)絡接口處的訪問控制系統(tǒng),它對跨越網(wǎng)絡邊界的信息進行過濾,目的在于防范來自外部的非法訪問、又不影響正常工作,從而為企業(yè)設立了一道電子屏障。防火墻可能是純軟件、純硬件或軟硬結合的產(chǎn)品,大體上可分為兩大類:一類基于包過濾(Packet Filter),通常直接轉發(fā)報文,它對用戶完全透明,速度較快;另一類基于代理服務(Proxy Service),需要代理服務器建立連接,它可以有更強的身份驗證和日志功能。
數(shù)字簽名是指在Internet環(huán)境下,電子符號代替了會計數(shù)據(jù),磁介質(zhì)代替了紙介質(zhì),財務數(shù)據(jù)流動過程中的簽字蓋章等傳統(tǒng)手段將完全改變,為驗證對方身份、保證數(shù)據(jù)真實性和完整性,在計算機通信中采用數(shù)字簽名這一安全控制手段。基于數(shù)字簽名還可建立不可否認機制,也就是說,只要用戶或應用程序已執(zhí)行某一動作,就不能否認其行動。數(shù)字簽名是上述公開密鑰密碼技術的另一類應用。它的主要方式如:會計信息的披露方從信息文本中通過一種信息摘要算法產(chǎn)生一固定長度(如128位)的摘要值,用自己的私鑰對摘要值加密,來形成披露方的數(shù)字簽名,連同原文一起發(fā)出;關聯(lián)方首先用同樣的摘要算法對報文計算摘要值,接著再用披露方一同發(fā)來的公鑰對數(shù)字簽名解密,如果兩個摘要值相同,證明信息在發(fā)送途中未被篡改,而且報文確定來自所稱的披露方。財務系統(tǒng)中遠程處理時可用數(shù)字簽名技術代替簽字蓋章的傳統(tǒng)確認手段,當然這得是在國家有相應的財務制度許可的條件下。
另外,VPN解決了財務信息在Internet傳輸?shù)陌踩珕栴}。網(wǎng)絡傳輸介質(zhì)、接入口的安全性也是應該引起注意的問題,盡量使用光纖傳輸,接入口應保密。通過上述技術可提高財務信息在內(nèi)部網(wǎng)絡及外部網(wǎng)絡傳輸中的安全性。
時代在前進,科技在發(fā)展。我們應高度重視電算化人才的開發(fā)與培養(yǎng),并為此提供必要的物力、財力,造就一支高素質(zhì)的財會科技隊伍,為建立完善的、符合實際的,具有可操作性的電算化會計信息系統(tǒng)環(huán)境下的內(nèi)部控制制度提供必要的保證。
會計電算化對內(nèi)部控制的影響
- 發(fā)表評論
- 我要糾錯