会计电算化内部控制研究
2009-07-06张立宝
张立宝
摘 要: 内部控制是会计主体为保证其业务活动的有效进行,保护资产安全,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整,提高经营效率和效果而制定和实施的政策与程序。会计电算化是加强会计内部控制的工具,电算化软件也融合了内部控制的部分理论,但是会计电算化在实施过程中也存在特有的风险,给会计信息系统自身带来了新的控制问题。为了使会计电算化系统的安全可靠和系统处理与存贮的会计信息准确完整,必须依据现代内部控制理论构建和完善电算化会计信息系统的内部控制框架。
关键词: 内部控制;会计电算化;程序控制
中图分类号: F23
1 电算化内部控制中存在的主要问题
(1)电算化会计信息系统授权、执行与手工会计系统存在差异。授权、批准控制是一种常见的、基础的内部控制,在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的签章。但在电算化会计信息系统中,输入、审核与修改的权限设置不明确,监管制度往往有名无实。业务人员可利用特殊的授权文件或口令密码,获得某种权利或运行特定程序进行业务处理,由此引起失控而造成损失的案例数不胜数。会计电算化软件具有的冲正错账、反结账、反记账、取消审核等功能以及对开户、销户、修改账户等功能若未能进行有效的权限控制,就会给非法修改会计应用软件、非法篡改会计业务数据以可乘之机。
(2)运行及存储介质的变化。在手工会计环境下,企业的经济业务发生均记录于纸张之上,并按会计数据处理的不同过程分为原始凭证、记账凭证、会计账簿和会计报表。纸张上的书面数据形成会计人员所熟悉的会计证据原件,这些纸质原件的数据若被修改,则容易辨别出修改的线索和痕迹,这也是传统纸质原件的一个基本特征。但是,电算化系统下原来纸质的会计数据被直接记录在磁盘或光盘上,是肉眼不可见的,很容易被删除或篡改,由于在技术上对电子数据非法修改可做到不留痕迹,这样就很难辨别哪一个是业务记录的“原件”。另外,电磁介质易受损坏,所以会计信息也存在丢失或毁坏的危险。因此,在计算机中如何使磁性介质上的数据安全可靠,防止数据被非法修改是一个非常重要的问题。
(3)网络安全管理问题。企业会计电算化软件使用的电脑一般有上网功能,如进行网上银行支付、网上税务申报等,会计电算化使用的电脑与上网交易的电脑不能做到完全分开,且许多会计人员网络安全知识缺乏,使用有会计电算化核算的计算机上网,很容易受到网络病毒的侵袭,发生电算化软件受损,甚至电脑瘫痪会计核算数据丢失的事故。
2 加强会计电算化内部控制的措施
(1)组织控制。会计电算化岗位责任制是实施组织控制的主要制度,实行会计电算化后的工作岗位可分为基本会计岗位和电算化会计岗位。基本会计岗位(会计主管、出纳、会计核算、稽核、档案管理等)与电算化岗位(系统管理、数据收集、审核记账、数据分析、会计档案保管)可在保证会计数据安全的前提下交叉设置,各岗位人员既要保持相对稳定,又要定期轮换,防止内部舞弊的发生。制定科学的会计电算化管理制度,包括:上机操作规程、业务处理流程、账表打印、文件清理、系统维护及安全管理等。定期对电算化主管、系统管理员、操作员、出纳员、档案管理员等岗位职责履行情况进行考核,检查各项制度落实情况。
(2)系统日常操作管理控制。针对会计软件具有的取消审核、反记账与反结账等功能容易导致结账后可以再增减当月经济业务,账簿错误可以在原错误之处不留痕迹加以修改,已记账和编制报表的记账凭证在取消审核后又可对该记账凭证的电子数据修改等问题要按照内部控制的要求制定有效的管理措施和制度,在措施上可以保留错误电子数据,另作更改的记账凭证,并据以登录账簿,可以使其所登录的正与误两处账簿记录并存于同一账簿之中,有利于对电算化进行日常控制。在日常控制中,对操作权限控制常采用设置口令来实行。操作规程应明确职责、操作程序和注意事项,并形成一套电算化系统文件,如对使用会计电算化计算机的人员进行审查;规定交接班手续和登记运行日志;规定数据备份及机器的使用规范;规定移动存储盘专用以防病毒感染;规定不准在计算机上玩电脑游戏等等。
(3)数据和程序控制。数据和程序控制主要是对数据、程序的安全控制。程序的安全与否直接影响着系统的运行,而数据的安全与否关系到财务信息的完整性和保密性。数据控制的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等。程序的安全控制是要保证程序不被修改、不损毁、不被病毒感染。常用的控制包括接触控制、程序备份等。程序的安全控制还要求系统使用单位制定具体的防病毒措施,包括对所有来历不明的介质和在使用前进行病毒检测,定期对系统进行病毒检测,使用网络病毒防火墙以防止日益猖獗的网络病毒侵入等。
(4)网络的安全控制。网络对会计信息系统的安全性提出了比单机系统更高的要求,需加强以下几个方面的控制:①用户权限设置:从业务范围出发,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,把各项业务的授权、执行、记录以及资产保管等职能授予不同岗位的用户,并赋予不同的操作权限,拒绝其他用户的访问。②密码设置:每一用户按照自己的用户身份和密码进入系统,对密码进行分组管理,避免使用易破译的密码。对存储在网络上的重要数据进行有效加密。在网络中传播数据前对相关数据进行加密,接收到数据后再进行相应的解密处理,并定期更新加密密码。
(5)电算化会计档案管理的内部控制。电算化条件下会计档案主要是指打印输出的各种账簿、报表、凭证、存储会计数据和程序的光盘及其他存储介质。档案管理一般通过制定与实施档案管理制度来实现,一般包括:①存档的手续必须有会计主管和系统管理员的签章才能存档保管;②各种安全保证措施,如备份存储盘应贴上保护标签应存放在安全、洁净、防潮的地方;③采用磁性介质保存会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。
(6)加强内部审计监督。
内部审计是企业内部控制系统的重要组成部分,也是强化内部会计监督的有效措施。对会计资料定期进行审计,审查电算化会计账务处理是否正确,是否遵照《会计法》及有关法律、法规的规定,审核费用签字是否符合有关内控制度,凭证附件是否规范完整等;审查电子数据与书面资料的一致性,如查看账册内容,做到账表相符,对不妥或错误的账表处理应及时调整;监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞。