会计信息系统内部控制分析
2009-03-30黄莉娟
提要随着信息时代的到来,会计信息系统内部控制呈现出新的特征。本文详细分析了网络环境下内部控制面临的挑战以及网络环境给内部控制带来的机遇,从而得出结论:信息系统中内部控制设计是否得当决定了该系统的生死存亡。
关键词:网络环境;会计信息系统;内部控制;网上公证
中图分类号:F23文献标识码:A
网络环境包括计算机网络和数据库。计算机网络是计算机技术与通讯技术逐步发展、日益结合的产物。它利用通信线路和通信设备,将分散在不同地点,并具有独立功能的多个计算机系统互相连接,按照网络协议进行数据通信,实现资源共享。因此,计算机网络是信息传递和资源共享的基础。数据库是存储和管理数据的“黄金宝库”。网络环境下的会计信息系统内部控制必须建立在资源共享和强大的数据库处理功能之上。
一、网络环境下的会计信息系统内部控制呈现出新的特征
会计信息系统内部控制作为企业管理的重要组成部分,一直受到业界人士的极大关注。纵观会计发展历史,会计核算经历了从手工核算到计算机核算,会计控制也经历了从手工控制到电算化控制的转变。随着计算机技术、通讯技术和网络技术的飞速发展,世界进入了信息经济时代,作为企业信息重要来源的会计信息系统,必然跟随信息网络化发展而改变,网络会计应运而生。网络会计与传统会计信息系统相比,具有处理信息的实时性、披露信息的及时性、资源的共享性等诸多优势,同时网络会计下的内部控制相比传统会计信息系统内部控制也将发生一系列的变化。
(一)在控制方式上,强调实时控制。所谓实时控制,即在经营活动的进行过程中就开始控制。比如,当一笔超标准的采购费用或一项非法的投资事件即将发生时,实时信息所带来的实时控制能够帮助管理者及时阻止该非法事件的发生。然而,在传统会计信息系统中,由于信息的滞后性,管理者不能得到所需的实时信息,因而不能实施实时控制,等到识别非法事件已发生时,却已经到了无法挽救的地步。
(二)在控制内容上,强调由对一个企业的内部控制转变为对整条价值链的控制。内部控制之所以为“内部”控制,是取其控制主体位于企业内部之意,而不是将控制范围局限于企业之内。实际上,内部控制的环境是企业,企业的环境是价值链,内部控制只有放在更大的背景——价值链中才能最大限度地发挥作用。然而,在传统的手工或单机系统环境下,碍于企业间信息流通不畅,内部控制只能集中于价值链上的一环——企业内部,而对价值链协同控制则难有作为。在网络环境下,企业间信息通过网络互联,甚至还可以建立价值链的虚拟专用网,拓展了传统会计主体的反映和监督范围,实现了价值链的全程控制。也就是说,网络环境下内部控制开始涉足供应商和客户,在供、产、销等上下游企业之间构建强有力的价值链系统,基于更大背景履行控制能力。
(三)在控制范围上,强调跨越时空的控制。以网络为代表的信息技术的发展和在会计中的运用,使得信息传递、信息处理、信息共享与手工环境下相比有了质的飞跃,要利用信息技术改变会计信息系统内部控制观念。从控制时间的视角理解,每天、每月、每年的经营活动时时刻刻都处于会计信息系统内部控制之下,实时控制成为内部控制的重要特征;从控制空间的视角理解,在网络环境中,会计信息系统内部控制跨越物理空间,延伸到企业每一个生产部门、业务部门、管理部门,延伸到不同城市、不同国家、乃至全球的每一位组织成员以及相关
组织和消费者个人,实现集中于咫尺之内,监控于天涯之外。
二、网络环境下会计信息系统内部控制面临新的挑战
风险,使控制成为必要。不同的风险,需要不同的控制手段。网络环境给会计核算和会计监督带来了新的风险,也为内部控制带来了新的挑战。
(一)会计信息储存方式和存储媒介发生了变化。随着计算机技术和网络技术的兴起,传统手工环境中严格的凭证制度会逐渐减少或消失,凭证的控制功能被弱化。计算机的存储方式将是把信息转化为电子形式存储在磁、光介质上,而磁、光性介质极易被篡改甚至伪造,且不留痕迹。交易的“了无痕迹”给控制带来了一定难度,也给一些不法行为(比如通过伪造或修改客户或银行凭证,编造虚假交易侵吞公款等犯罪活动)提供了机会。同时,随着电子商务的迅猛发展,网上交易愈加普遍,不久的将来,企业的全部原始凭证可能都将成为电子格式,这使企业对网上公证机构的依赖性进一步增强。但直到目前,相应的技术和法规还远未达到完善程度,这也给系统内部控制的实现带来了较大困难。
(二)程序化控制易使差错反复发生。在手工系统中,所用的控制手段一般都是手工控制,这时,发生差错往往是个别现象,且由于不相容职责的相互分离,数据处理分散于多个部门,由多个人员完成,一个部门或人员的差错往往可以在下一个环节中发现和改正。所以,一般而言,一定时间内数据反复发生错误的可能性并不大。但在网络环境下的内部控制,具有人工控制与程序控制相结合的特点,且随着计算机应用的程度不同,程序化控制的范围也会有所不同。一般来说,计算机应用的程度越高,采用的程序化控制也就越多,程序控制处理结构化的基础作业,其质量好坏直接决定着整个系统内部控制的质量。在信息系统应用程序中包含了许多内部控制功能,若应用程序中存在严重的BUG或恶意的后门,便会严重危害系统安全。但由于人们对系统的依赖性以及程序运行的重复性,将使失效控制长期不被发现,并被多次重复,从而使系统在特定方面发生错误或违规行为的可能性更大、问题更严重。
(三)系统整合集成加大信息风险。传统的内部控制主要针对单独的交易处理,而在网络环境下,整合集成系统要求集中存储数据和程序,这在一定程度上带来了信息安全隐患,容易出现一损俱损、全军覆没的危险。而且,对于日益庞大复杂的信息系统,其内部稽核难度加大、成本增加。如由外部监理机构完成,则可能泄露商业机密,影响其竞争力;如由企业内部自行解决,则必须配备具有复杂高深查核技术的专业人员才能胜任。
(四)网络开放危及信息安全。网络是一个开放的环境,在这个环境中,一切信息在理论上都是可以访问到的,除非它们在物理上断开连接。因此,网络环境下的信息系统很难避免非法侵袭,极有可能遭受非法访问甚至黑客或病毒的侵扰。这种攻击可能来自于系统外部,也可能来自系统内部,而且一旦发生将造成巨大的损失。
三、网络环境给会计信息系统内部控制提供了新的机遇
网络,如一把双刃剑,在给内部控制带来全新风险的同时,也为其提供了新的机遇。
(一)事前检查,提高信息质量。随着计算机在会计工作中的普遍应用,管理部门对由计算机产生的各种数据、报表等会计信息的依赖越来越强,这些会计信息的产生只有在严格的控制下,才能保证其可靠性和准确性。同时,也只有在严格的控制下,才能预防和减少计算机犯罪的可能性。因此,在业务活动发生、有关数据进入企业数据库之前,检查这些数据的精确性、完整性和合法性就显得尤为重要。例如,对业务活动所涉及的资源及其数量进行检查(如客户通过信用卡从ATM机中取款,每日最高限额为5,000元);检查活动执行人的权限(该客户有无透支权限,以及透支额度控制)。此外,如果输入数据不符合既定的逻辑和控制标准(当日连续三次密码输入错误,ATM机将吞卡),处理可能被中断,如果让处理继续下去,负责控制的某些人应该得到例外通知(客户需持有效证件,到银行柜台办理吞卡取出业务)。在某些情况下,可能会允许一些人凌驾于控制之上,但任何这种超越控制的行为应该通知所有有关控制人员。这样一来,只有数据准确、完整、合法,继续处理也符合流程,事件相关数据才能被加入到数据库中。
(二)事中网上公证,形成三方牵制。由于网络环境下的原始凭证用数字方式进行存储,所以不能像手工系统那样对每一张凭证做痕迹检验。可是,利用网络技术所特有的实时传输功能和日益丰富的互联网服务项目,我们可以实现原始交易凭证的第三方监控,即网上公证。比如,每一家企业都在互联网认证机构申领数字签名和私有密钥,当交易发生时,交易双方将单据或有关证明均传到认证机构,由认证机构核对确认,进行数字签名并予以加密,然后将已加密凭证和未加密凭证同时转发给双方,这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这笔交易中,交易一方因无法获得另一方的数字签名和私有密钥,很难伪造或篡改交易凭证,只能修改其未加密的那一份。这样,一旦审计人员或主管人员对某笔业务产生怀疑,只需将加密凭证提交认证机构解密并与未加密凭证相对照即可。也就是说,手工环境下的内部牵制是通过多人分工劳动实现牵制;网络环境下的内部牵制依然遵循职责分离原则,只不过有些分工由人人分离转为人机分离甚至机机分离而得以实现。
(三)事后追溯,利用电子审计线索。在手工系统中,原始凭证的审核是通过对纸质原始凭证上有关责任人签名的辨别和相关凭证内容的相互核对来完成的。在无纸化的会计信息系统环境中,如果应用软件正确无误,系统传输安全可靠,则会计信息系统中派生数据的正确性、完整性和合法性完全取决于电子原始数据;如果不精确、不完整、不合法的电子原始数据被记录和维护,将会影响以后所有的会计处理,导致一系列派生数据的失真。因此,电子原始数据的审核和确认就显得尤为重要。电子原始数据的审核可采用类似的方法:一要注意相关业务不同数据记录之间的相互核对;二要注意经办人、批准人等相关人员的电子签名。电子签名不同于手工签章,会计如何确认电子签名的有效性是一个不容忽视的问题。为了防止电子签名被模仿或伪造,宜采用加密码进行电子签名,增强电子原始数据的防伪功能。
由此可见,网络环境下的内部控制,挑战和机遇并存,风险与收益同增。有效的内部控制不在于运用过多的审核人员,而在于利用控制技术实现对业务和信息过程的充分控制。信息系统中内部控制设计是否得当决定了该系统的生死存亡。
(作者单位:江苏财经职业技术学院)
参考文献:
[1]黄莉娟.网络环境下事件驱动型会计信息系统分析[J].财会通讯,2006.7.
[2]杜美杰.信息系统与会计内部控制[M].北京:清华大学出版社,2004.
[3]张瑞君.网络环境下会计实时控制[M].北京:中国人民大学出版社,2004.
[4]单广荣.基于网络环境下的会计信息系统内部控制[J].财会研究,2002.7.
[5]阎达五,杨有红.内部控制框架的构建[J].会计研究,2000.2.