李金平

[摘要]企业内部控制制度是衡量现代企业管理水平的重要标志，会计电算化是会计工作发展的必然趋势。会计电算化信息系统环境下的内部控制是企业内部控制的特殊形式，而会计电算化信息系统的发展给企业内部控制带来了新的问题和挑战。文章主要分析会计电算化对企业内部控制的影响，并以此为基础探讨关于电算化会计信息系统环境下的内部控制建设问题，以确保企业实行会计电算化后，信息系统能够正常、安全、有效地运行。

企业内部控制制度是指单位为提高会计信息质量，保证资产的安全、完整，确保有关法律、法规和规章制度的贯彻执行而制定和实施的一系列控制方法、措施和程序。内部控制制度完善与否决定了企业能否正常有序运转，公司效益和持续发展能力能否不断提高。进而关系到整个资本市场能否有效运行。近年来，我国十分重视对内部控制的研究，并发布了一系列规范和指导意见，促进了单位内部控制制度的建立和完善。但是，会计电算化的发展又给内部控制带来了新的问题和挑战。

一、会计电算化对内部控制的影响

从传统的手工会计到会计电算化系统，对内部控制的基本要求和目标没有变，会计核算的复式记账和借贷平衡的基本原理及方法没有变，但由于会计信息处理方式和方法的计算机自动化，使得会计业务处理程序和工作组织发生了质的变化，由此引发会计信息系统内部控制体系也出现了一些新变化。探讨和研究这些变化，有助于我们建立更加科学严密的电算化会计信息系统和内部控制体系。

(一)内部控制形式的变化

由于电子计算机具有方便、快捷、稳定的特点，具有很强的逻辑判断和分析能力，使内部控制形式主要有两方面变化：一方面手工会计下的一些内部控制措施在电算化后没有存在的必要性，如编制科目汇总表、凭证汇总表等试算平衡的检查；另一方面手工会计下的一些内部控制措施，在电算化后转移到计算机内部，如凭证的借贷平衡校验、余额和发生额的平衡检查。由此可见，电算化会计除了人这个执行控制的主体外，还有许多内容和控制方法主要是通过会计软件来实现。因此，计算机系统的内部控制也由手工条件下的单一人工填制转为人工操作和程序控制。由于电算化系统中内部控制具有人工操作与程序控制相结合的特点，电算化系统许多应用程序中包含了内部控制功能，其有效性取决于应用程序，如程序发生差错，由于人们依赖性以及程序运行的重复性，使得失效控制长期不被发现，而程序导致的系统问题风险将成为会计系统中内部控制的主要风险。如今日说法报道的2002年9月24日，中国建设银行广西分行的工作人员发现银行的电脑上显示，有人用一张医疗保险卡在南宁市某个银行的自动提款机上疯狂取钱，取款金额大大超过了正常的限度。这张卡是建行广西分行和南宁市医疗保险管理中心联合发行的一张医疗保险复合卡，也就是说这张卡既能用来看病，又能作为储蓄卡进行存钱和取钱，是一张多功能的IC复合卡，南宁市各单位的职工人人都有。在不到一个月的时间里，这张医疗保险卡竟被取钱300多次，被提走了60多万元的巨款。这就属于失效控制长期不被发现的例子。

(二)内部控制制度内容、重点的变化

计算机技术的引入，给会计工作增加了新的内容，同时增加了新的控制措施，如计算机硬件及软件分析、编程、维护人员与计算机操作人员的内部牵制，计算机机内存储介质会计信息的安全保护、计算机病毒防治、计算机操作管理、系统管理员、系统维护人员的岗位责任等。在会计电算化系统中，所有数据都源于凭证库，当凭证输入后，系统将自动进行多项业务处理。一旦输入操作不当，将会引发日记账、明细账、往来账、总账、乃至会计报表等一系列的错误。因而，数据库输入操作不当的问题将是整个会计电算化业务处理程序中最关键的控制环节。另外会计电算化后的内部控制重点应放在会计信息的输出控制、人机交互处理的控制、计算机系统之间的连接控制等方面。

(三)存储介质的变化

在手工会计信息系统中，会计数据的收集、加工处理、会计报表的编制等都由人工完成，会计信息都是以纸介质形式保存，对会计资料的查询，也是调阅纸质档案为基础。在会计电算化信息系统中，无论是记账凭证、账簿，还是会计报表都是以磁介质为主，纸介质为辅的形式保存，磁性存储介质的主要特点是阅读分析直观性差、数据涂改不留痕迹、忌受潮、忌磁化、忌受热和忌弯曲等，这些特点和要求使会计信息系统的资料保存也面临了一系列新的风险问题。

(四)会计网络化带来的新问题

网络会计的应用将原来封闭的局域会计系统转为开放的互联网世界，给财务系统的安全提出了严峻的挑战。第一，在网络环境下，过去以计算机机房为中心的安全措施已不适用，大量的会计信息通过开放的互联网传递，很难保证其真实性与完整性。第二，由于互联网的开放特性，给一些非善意访问者以可乘之机。第三，计算机病毒的猖撅也为互联网系统带来更大的风险。因此，网络会计系统的内部控制不仅难度大、复杂，而且还要有各种控制的先进技术手段。如联想集团会计软件的网络功能已实现了：远程签字、远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等，实现这些功能就必须有相应的控制，从而加大了会计系统安全控制的难度。

综上所述，实现会计电算化后，许多手工会计信息系统长期积累的传统的、行之有效的内部控制方式已不能满足会计电算化的要求，这就迫使我们必须针对会计工作的新变化、新情况建立和完善会计电算化信息系统的内部控制制度。

二、加强和完善会计电算化信息系统的内部控制

根据会计电算化信息系统内部控制内容的不同可分为总体控制和操作控制两个方面。

(一)会计电算化信息系统的总体控制

总体控制是指任何电算化会计信息系统普遍适用，为确保系统的安全可靠而对系统构成要素(人、硬件、软件、数据)和网络环境实施的控制。

1.岗位设置控制

根据企业规模及会计软件的核算功能，设立软件操作员、电算主管员、系统管理员、系统维护员、档案管理员等岗位。这些岗位可以一人多岗，也可以一岗多人，但必须做到不相容职务的分离。在会计电算化工作中，不相容的职务主要有软件开发与软件操作、数据维护管理操作与电算审核、数据录入与审核记账、系统操作与系统档案管理等职务不相容的控制制度，可以使不同岗位、不同职务互相监督、互相制约，从而达到防止会计电算化舞弊、保证会计信息真实的目的。

2．工作环境控制

工作环境控制是系统正常工作必不可少的前提条件，作为软件依托的硬件

设备，其性能的高低、质量的优劣、处理能力的强弱，直接关系到会计信息系统处理过程的准确性和可靠性。其中包括制定计算机房及设备管理制度，有条件的单位应尽量建立财务部门的专用机房，并选用性能优良的操作系统和软件工具以提高对系统软件的管理水平。

3．软件控制

在采用会计软件时，必须进行严格的检查和测试，查看该软件是否具有容错能力，确定软件的合格、合规。另外，企业经营活动变化及经营环境变化，可能导致使用中对软件进行修改，会计电算化系统经过一段时间使用也会出现一些需要进行修改的地方。因此，要建立修改会计核算软件的审批和监督制度，如对会计软件进行修改必须经过周密计划和严格记录，修改的原因和性质应有书面报告，报经单位总会计师批准后方能实施修改。要注意的是，电算化系统操作员不能参与会计软件的修改及与软件修改有关的记录都应打印后存档。

4．数据库控制

数据库控制主要是指对数据的安全控制。数据的安全与否关系到财务信息的完整性和保密性。数据库控制的目标是要做到任何情况下数据都不得丢失、损毁、不泄露和不被非法侵入。通常采用的控制包括接触控制、丢失数据库的恢复与重建等。而数据库的备份则是数据恢复与重建的基础，是一种常见的数据控制手段，一般要按日、月、年对凭证、明细账、总账、余额表、会计报表、各种代码等进行备份。备份时要详细记录备份时间、备份内容、操作人、备份份数等。一般一套数据除保存在计算机硬盘上的外，至少应保存两套完整的软盘或磁盘或其他硬盘备份，最好使用服务器进行数据备份。

5.网络的安全控制

随着网络技术快速地发展，公司应加强网络安全的控制，在技术上对整个财务网络系统的各个层次都要采取安全防范措施，建立综合的多层次的安全体系。网络安全性指标包括数据保密、访问控制、身份识别等。

(1)周界控制。周界控制是通过对安全区域的周界实施控制来达到保护区域内部系统的安全性目的，它是预防一切实行外来攻击措施的基础，主要内容包括：设置外部访问区域，明确企业内部网络的边界，防止“黑客”通过互联网进入系统；建立防火墙，在内部网和外部网之间的界面上构造保护屏障，防止非法入侵、非法使用系统资源，执行安全管理措施，记录所有可疑事件。

(2)访问控制。访问包括文件传递、电子邮件、网上会计信息查询等，由于互联网络系统是一个全方位开放的系统，对社会大众的网上行为实际上是不可控的。因此，企业应在网络会计系统外部访问区域内采取相应防护措施。外部网络的访问控制主要有：在网络会计系统中设置多重口令，对用户的登录名和口令的合法性进行检查；合理设置网络资源的属主、属性和访问权限，资源的属主体现不同用户对资源的从属关系，如建立者、修改者等，资源的属性表示资源本身的存取特性，如读、写或执行等，访问权限体现用户对网络资源的可用程度；对网络进行实时监控，找出并解决网络上的安全问题，如定位网络故障点、捉住非法入侵者、控制网络访问范围等；审计与跟踪，包括对网络资源的使用、网络故障、系统记账等方面的记录和分析。

(3)数据通讯控制。数据通讯控制是企业为了防止数据在传输过程中发生错误、丢失、泄密等事故而采取的内部控制措施，企业应采取各种有效手段来保护数据在传输过程中准确、安全、可靠。在系统的客户端和服务器之间传输的所有数据都进行两层加密保证数据的安全性，使用数字签名确保传输数据的保密性和完整性。

(4)防病毒控制。在系统的运行与维护过程中应高度重视计算机病毒的防范及相应的技术手段与措施。可以采用如下控制措施：采用基于服务器的网络杀毒软件进行实时监控、追踪病毒；在网络服务器上采用硬件和软件防护措施相结合，能有效防治病毒；财务软件可挂接或捆绑第三方反病毒软件，加强软件自身的防病毒能力；对外来软件和传输的数据必须经过病毒检查，在业务系统严禁使用游戏软件；及时升级本系统的防病毒软件。

(二)会计电算化信息系统的操作控制

操作控制是对会计电算化系统中具体的数据处理活动所进行的控制。应用控制可划分为输入控制、数据处理控制和输出控制。

1．输入控制

首先，输入的数据应经过必要的授权和审批，并经有关内控部门检查；其次，应采用各种技术手段对输入数据的准确性进行校验，如总数控制校验、试算平衡控制、顺序检查法、二次输入法等。对于要求输入记账凭证的账务处理软件实际工作中通常采用会计人员根据原始凭证直接在计算机上输入记账凭证。要想把住输入关，一方面可以由填制记账凭证的会计校对；另一方面可以加大记账凭证的审核力量，以确保机内记账凭证的正确无误。某些操作人员对会计业务太生疏，或是责任心不强，或是没有好的职业道德等所致，为了减少机内记账凭证的错误，除要求输入记账凭证的人员(简称制证人)具有有关会计知识外，还要求其具有相应的计算机操作知识、较强的责任心和良好的职业道德。

2．数据处理控制

手工编制的记账凭证需经指定人员审核签字或盖章后传给记账人员记账，审核凭证是手工核算内部牵制的重要手段。会计电算化后，记账工作由账务处理软件完成，通过记账凭证的审核可以检查制证人是否正确地输入了凭证，防止有意或无意的输入错误发生。如发现错误，应让制证人修改后再审核。会计电算化后的记账凭证审核，不仅包括手工审核的内容，而且更强调机内记账凭证与纸质记账凭证的一致性检查。

按会计制度有关规定，对同一张记账凭证制证与审核不允许是同一人。凭证填制完毕，应由非制证人且具有审核权限的人进行审核。经过审核签字的记账凭证就可以记账了。因此，记账凭证的审核是作为保证机内记账凭证正确无误的最关键一环，也是最后一关，要求审核人员具有较强的业务素质和思想素质，才能保证输入及修改后的机内记账凭证的正确无误。常用的控制措施包括：记账条件检验，即系统要有确认数据经复核后才能记账的控制能力；防错、纠错控制，即系统要有防止或及时发现并处理错账的控制措施；修改权限与修改痕迹控制，即对已入账的凭证，系统只能提供留有痕迹的更改功能，对已结账的凭证与账簿以及计算机内账簿生成的报表数据，系统不提供更改功能等。

3．输出控制

一般应检查输出数据与输入数据是否一致，输出数据是否完整，是否能满足使用部门的需要，数据的发送对象、份数应有明确的规定，要建立标准化的报告编号、收发、保管工作等。

为了保证记账凭证的正确无误，任何时候发现记账凭证有错误，都必须立即修改，直到正确为止。

三、加强档案管理、培养会计电算化

骨干力量，带动会计人员素质的提高

为了系统能够安全、健康地运行，档案管理就成为一项重要的基础性工作。在制订电算化会计信息系统的实施方案时，档案管理制度必须是严格且具有实际操作性的。

电算化会计信息系统的档案可以分为三大类：会计数据档案、系统开发与维护更新文本档案和系统操作痕迹记录档案。每一类档案又可分别以纸介质、磁介质、光介质予以存储。对于磁介质档案，又可以有联机与脱机两种不同的存储方式。因此，有效实施系统档案管理是有一定难度的。

(一)会计数据档案管理

纸介质会计数据档案指用计算机的打印机输出的会计凭证、会计账簿及会计报表，应该按照财政部颁布的《会计档案管理办法》实施管理。光介质、磁介质会计数据档案可分为历史数据和当前数据分别进行管理。对于历史数据，应至少制作两个备份，分别微机保存和磁盘保存；对于当前数据，则应采用定期备份、脱机保存的方式，以保证在系统发生故障时，能够及时恢复，尽可能降低故障损失。

(二)系统开发与维护更新文本档案管理

这一类档案包括系统设计说明书、系统使用说明书、程序源代码以及系统数据字典等各项文本。这类档案既有纸介质，也有光、磁介质，均应保存至系统停止使用或有重大更改后3年。

(三)系统操作痕迹记录档案管理

这是最容易被忽略的一类档案。按照财政部的规定，各类通过评审的会计软件均必须具有保存操作痕迹记录的功能，某一人在何时以何种身份调用了哪些功能、进行了哪些操作，均应——记录在案，以定期备份、妥善保存。这既构成了一种安全性保障，又提供了在发生事故后追查事故原因的依据。除此之外，还应加强会计人员的工作日志管理，以明确工作人员的岗位职责。

(四)加强对会计电算化骨干力量的培养

笔者在几年的会计电算化工作中，发现短时间内要普遍提高会计人员素质是很不现实的。但会计人员会计电算化知识的缺乏又会成为制约企业会计电算化对内部控制影响的瓶颈。为充分利用会计电算化优势和所用软件的功能，处理日常会计电算化实施过程中遇到的问题，缓解技术压力，降低咨询维护费用，建议实施电算化的单位根据实际情况进行会计电算化方面的人力资源投资，培训数名具有较高计算机应用与维护能力，熟知财务软件知识，对计算机与会计电算化相关知识熟悉的会计人员，既可提高本单位会计电算化应用水平，又可加强会计内部控制，企业通过会计内部控制活动，达到资产与资本保值增值的目的。

总之，建立和完善会计电算化信息系统的内部控制制度是提高会计信息质量、保证资产安全、保障制度执行的有效措施，企业各级领导及会计人员应根据本企业具体情况加紧内部控制建设的步伐，从而提高企业的经营管理效率。