論會計電算化環(huán)境下的企業(yè)內(nèi)部控制

楊 勇

企業(yè)建立電算化會計系統(tǒng)后，會計核算和會計管理環(huán)境發(fā)生很大變化，會計電算化系統(tǒng)授權(quán)存在安全隱患;會計工作質(zhì)量有賴于計算機(jī)軟、硬件及會計人員的操作水平;有必要建立高層管理、系統(tǒng)開發(fā)與維護(hù)、數(shù)據(jù)資源管理、質(zhì)量管理、安全管理等新的電算化內(nèi)部控制體系。明確職責(zé)分離，完善接觸控制，制定恰當(dāng)?shù)男畔⒒ㄔO(shè)戰(zhàn)略，加強(qiáng)人力資源管理和內(nèi)部審計，以不斷補(bǔ)充、完善和發(fā)展會計電算化系統(tǒng)下的內(nèi)部控制制度。

一、建立會計電算化環(huán)境下企業(yè)內(nèi)部控制的必要性

（一）電算化環(huán)境下交易的授權(quán)和執(zhí)行與手工環(huán)境不同

在手工會計系統(tǒng)中，對于一項經(jīng)濟(jì)業(yè)務(wù)的各個環(huán)節(jié)都要經(jīng)過具有相應(yīng)權(quán)限人員的簽章。而在計算機(jī)系統(tǒng)中，業(yè)務(wù)人員利用特殊的授權(quán)文件或口令，即可獲得某種權(quán)利或運(yùn)用特定程序進(jìn)行業(yè)務(wù)處理，由此引起失控而造成的案例數(shù)不勝數(shù)。例如:業(yè)務(wù)人員被客戶收買，非法取得他人口令繞過批準(zhǔn)排序開出銷售提單;非法核銷客戶應(yīng)收款及相關(guān)資料;掌握公司顧客訂單密碼，開出假訂單，騙走公司產(chǎn)品等。

（二）電算化環(huán)境下會計工作質(zhì)量有賴于計算機(jī)軟、硬件系統(tǒng)自身的可靠性及會計人員本身的操作水平

手工會計系統(tǒng)易于保持經(jīng)濟(jì)業(yè)務(wù)的連續(xù)性，而在電算化會計系統(tǒng)中，一旦系統(tǒng)自身或操作員的失誤而崩潰，就可能使會計工作陷入癱瘓。手工會計系統(tǒng)下，會計核算的質(zhì)量取決于會計人員的業(yè)務(wù)水平、職業(yè)道德及對會計有關(guān)法規(guī)的理解和執(zhí)行效果。而電算化系統(tǒng)中，操作環(huán)境的改變使傳統(tǒng)的管理控制方式失去了發(fā)揮功能的土壤。為減少錯誤操作，提高輸出會計信息質(zhì)量，電算化會計信息系統(tǒng)必須具備嚴(yán)密的內(nèi)部控制功能和手段。

（三）網(wǎng)絡(luò)財務(wù)的安全性和保密性有賴于建立、健全有效的內(nèi)部控制制度

網(wǎng)絡(luò)財務(wù)是一種充分利用網(wǎng)絡(luò)資源，將會計處理和財務(wù)管理有效結(jié)合起來的管理模式。網(wǎng)絡(luò)技術(shù)在會計領(lǐng)域的應(yīng)用和發(fā)展，使會計電算化進(jìn)一步跨越到會計信息化階段，網(wǎng)絡(luò)技術(shù)大大提高了會計工作的效率。但由于網(wǎng)絡(luò)的開放性、數(shù)據(jù)存儲介質(zhì)的脆弱性等特點(diǎn)，給會計信息系統(tǒng)的安全帶來隱患，病毒、黑客、軟件自身的缺陷都會使用戶的信息安全受到威脅。

（四）管理型會計軟件的發(fā)展對內(nèi)部控制制度提出新的要求

管理型會計軟件較之傳統(tǒng)核算型會計軟件具有靈活性、自由度較大及個性突出的特點(diǎn)。而我國在電算化內(nèi)部控制制度的制定和管理上尚存在著許多真空地帶。隨著經(jīng)營環(huán)境的復(fù)雜化和經(jīng)濟(jì)業(yè)務(wù)的多樣化，企業(yè)在內(nèi)部控制的考慮和制定上，總會存在沒有涉及的地方，減弱了企業(yè)整體內(nèi)部控制效果。因此，需要使用新的內(nèi)部控制手段，特別是信息技術(shù)手段，將控制程序嵌入到信息系統(tǒng)中，與信息系統(tǒng)的運(yùn)行融為一體，而不是再增加新的手工控制措施。

二、在會計電算化環(huán)境下實施內(nèi)部控制的具體措施

（一）明確職責(zé)分離

1.將會計職能和信息系統(tǒng)與企業(yè)其他職能分離。會計信息系統(tǒng)主要承擔(dān)交易記錄職能，應(yīng)該與使用信息和組織業(yè)務(wù)活動的部門保持相互間的獨(dú)立性。一是所有的交易由業(yè)務(wù)部門執(zhí)行，會計部門和信息系統(tǒng)部門不涉入。二是由業(yè)務(wù)部門授權(quán)開發(fā)新的業(yè)務(wù)應(yīng)用軟件或改變現(xiàn)有的應(yīng)用軟件。開發(fā)新軟件或修改舊軟件應(yīng)該由業(yè)務(wù)部門的正式書面授權(quán)。三是資產(chǎn)的監(jiān)管權(quán)屬于指定的業(yè)務(wù)部門。會計部門和信息系統(tǒng)部門所需要的唯一資產(chǎn)是完成其工作所需要的資產(chǎn)，而其他所有的業(yè)務(wù)資產(chǎn)由適當(dāng)?shù)臉I(yè)務(wù)部門保存。四是交易數(shù)據(jù)中的錯誤應(yīng)記錄到錯誤日志中，并反饋給業(yè)務(wù)部門糾正。會計部門和信息系統(tǒng)部門的人員不允許糾正信息處理過程中發(fā)現(xiàn)的交易數(shù)據(jù)錯誤。

2.操作人員之間輪換崗位。應(yīng)安排操作人員之間輪換崗位，避免同一個操作員總是負(fù)責(zé)同一個應(yīng)用程序的運(yùn)行。只要有可能，應(yīng)用程序運(yùn)行時都應(yīng)有兩名合格的操作員值班，不管是聯(lián)機(jī)處理還是批量處理。系統(tǒng)應(yīng)保留操作員所做的與信息處理相關(guān)的活動記錄（操作日志）。數(shù)據(jù)控制小組應(yīng)該定期檢查日志，以查出可疑之處或操作人員的非法操作。

（二）完善接觸控制

1.資產(chǎn)和記錄的物理安全控制。企業(yè)的資產(chǎn)和記錄（特別是信息系統(tǒng)資產(chǎn)和記錄）應(yīng)該受到保護(hù)，只能向經(jīng)過授權(quán)的人發(fā)布，也只能由經(jīng)過授權(quán)的人訪問。

2.計算機(jī)程序和文件的訪問控制。非法訪問系統(tǒng)對企業(yè)而言意味著巨大的風(fēng)險，因此，防止對系統(tǒng)的非法訪問是十分關(guān)鍵的。訪問控制用于限制對系統(tǒng)本身、物理設(shè)備及系統(tǒng)中數(shù)據(jù)的非法訪問。

3.核對實物數(shù)量與記錄數(shù)量。應(yīng)定期比較、核對實物資產(chǎn)與會計記錄中的資產(chǎn)，包括清點(diǎn)財產(chǎn)、廠房、設(shè)備和各類存貨，并將數(shù)量與會計記錄相比較，核對所有的差額。比如:定期盤存存貨；在POS系統(tǒng)中，銷售人員換班時應(yīng)清點(diǎn)收銀機(jī)中的現(xiàn)金，并相互核對值班期間收銀機(jī)記錄的銷售總額；硬件設(shè)備等固定資產(chǎn)應(yīng)有一定的標(biāo)識號，并指明責(zé)任人。

（三）建立電算化內(nèi)部控制體系

1.高層管理控制。為保證信息系統(tǒng)的有效運(yùn)作，必須全面做好信息系統(tǒng)的管理控制工作。主管信息系統(tǒng)的高層管理者應(yīng)通過下列事項對信息系統(tǒng)進(jìn)行管理控制:

（1）規(guī)劃。信息系統(tǒng)規(guī)劃要從一個組織的戰(zhàn)略目標(biāo)、業(yè)務(wù)活動需求和信息需求出發(fā)，做出開發(fā)信息系統(tǒng)的規(guī)劃。高層管理者應(yīng)負(fù)責(zé)制定信息系統(tǒng)的總體規(guī)劃?？傮w規(guī)劃可為信息系統(tǒng)的長期運(yùn)作和短期運(yùn)作提供指導(dǎo)，包括戰(zhàn)略規(guī)劃和運(yùn)作規(guī)劃。

（2）組織。組織工作是籌集、分配和組織實現(xiàn)目標(biāo)所需要的資源，包括硬件、軟件、人員、資金和各種設(shè)施等。高層管理者應(yīng)按照信息系統(tǒng)的計劃，負(fù)責(zé)籌集充足的資金并進(jìn)行合理分配，以支持各種資源的取得與開發(fā)。同時還要建立信息管理機(jī)構(gòu)，明確其工作人員的職責(zé)與分工，有效管理信息系統(tǒng)人員，對人員的取得、培養(yǎng)和辭退建立必要的控制，從而達(dá)到對信息系統(tǒng)的控制。

（3）控制。高層管理者對信息系統(tǒng)實施總體控制。一是要確定應(yīng)該花費(fèi)在信息系統(tǒng)方面的費(fèi)用，分析信息系統(tǒng)可為企業(yè)創(chuàng)造的價值;二是通過建立和實施各項政策、標(biāo)準(zhǔn)和規(guī)程，高層管理者可對信息系統(tǒng)人員所從事的活動實施控制。

2.系統(tǒng)開發(fā)與維護(hù)控制

（1）新系統(tǒng)開發(fā)控制。信息系統(tǒng)的開發(fā)方式主要有單位自主開發(fā)、委托開發(fā)和合作開發(fā)。無論是系統(tǒng)的承制方（供方），還是系統(tǒng)的使用方（需方），為保證開發(fā)質(zhì)量，都需要對系統(tǒng)開發(fā)實施控制，主要措施包括授權(quán)控制、軟件質(zhì)量控制、系統(tǒng)測試和轉(zhuǎn)換控制。

（2）系統(tǒng)和程序維護(hù)控制。系統(tǒng)維護(hù)往往會“牽一發(fā)而動全身”，程序、文件、代碼的局部修改都可能影響系統(tǒng)的其他部分。為保證系統(tǒng)的完整可靠，防止程序的意外毀損或丟失及錯誤指令進(jìn)入程序，防止未經(jīng)授權(quán)而更改系統(tǒng)，必須對系統(tǒng)維護(hù)加以嚴(yán)格控制。系統(tǒng)和程序維護(hù)控制主要包括維護(hù)的授權(quán)與批準(zhǔn)、維護(hù)的標(biāo)準(zhǔn)規(guī)程與文檔控制、測試系統(tǒng)與更新有關(guān)文檔等。

3.數(shù)據(jù)資源管理控制

（1）訪問控制。通過密碼和身份鑒別對訪問數(shù)據(jù)庫的人員進(jìn)行限制，僅限經(jīng)過授權(quán)的用戶訪問;通過權(quán)限設(shè)置對數(shù)據(jù)庫中數(shù)據(jù)的訪問范圍進(jìn)行限制。應(yīng)根據(jù)崗位、工作性質(zhì)、設(shè)計的內(nèi)容等為數(shù)據(jù)庫用戶設(shè)置一定的權(quán)限，主要包括為不同用戶確定其可存取數(shù)據(jù)的范圍、確定用戶可更新或修改數(shù)據(jù)、用戶只能讀取數(shù)據(jù)。

（2）建立數(shù)據(jù)備份和恢復(fù)制度。計算機(jī)系統(tǒng)的硬件故障、軟件故障、操作員的失誤以及故意的破壞都會影響數(shù)據(jù)庫中數(shù)據(jù)的正確性，甚至造成數(shù)據(jù)庫部分或全部數(shù)據(jù)的丟失。為此，數(shù)據(jù)庫管理員必須實施適當(dāng)?shù)暮笤突謴?fù)策略，周期性地轉(zhuǎn)儲備份數(shù)據(jù)，維護(hù)日志文件。一旦系統(tǒng)發(fā)生故障，數(shù)據(jù)庫管理員必須能夠在最短時間內(nèi)把數(shù)據(jù)庫恢復(fù)到某一正確狀態(tài)，并盡可能不影響計算機(jī)系統(tǒng)其他部分的正常運(yùn)行。

4.安全管理控制

（1）軟件安全控制。包括選擇、安裝和運(yùn)行安全可靠的操作系統(tǒng)和數(shù)據(jù)庫管理系統(tǒng)，嚴(yán)格按照操作規(guī)程運(yùn)行軟件，對信息系統(tǒng)中所有的軟件都規(guī)定安全屬性并進(jìn)行登記注冊，對系統(tǒng)軟件和應(yīng)用軟件進(jìn)行妥善、安全地保管，制定安全備份等措施。

（2）數(shù)據(jù)安全控制。信息系統(tǒng)的數(shù)據(jù)安全涉及信息系統(tǒng)中硬件、軟件和運(yùn)行環(huán)境的安全，計算機(jī)犯罪、計算機(jī)病毒、計算機(jī)系統(tǒng)管理等一系列問題。重要的數(shù)據(jù)備份還應(yīng)進(jìn)行定期檢查和復(fù)制，保證備份數(shù)據(jù)的完整性、使用性和時效性;建立數(shù)據(jù)安全規(guī)程，對于系統(tǒng)中的數(shù)據(jù)應(yīng)規(guī)定各種人員的使用權(quán)限，對于關(guān)鍵的、敏感的數(shù)據(jù)，凡屬可行的，必須予以加密。

（3）計算機(jī)病毒防范控制。為保證信息安全和系統(tǒng)正常運(yùn)行，應(yīng)建立多層次的病毒防衛(wèi)體系。比如:在系統(tǒng)的每個臺式機(jī)上安裝臺式機(jī)的反病毒軟件;在服務(wù)器上安裝基于服務(wù)器的反病毒軟件。加強(qiáng)對員工的教育，使每一員工做到個人使用的臺式機(jī)不受病毒感染，從而保證整個企業(yè)網(wǎng)不受病毒侵害。

5.加強(qiáng)內(nèi)部審計

內(nèi)部審計是企業(yè)內(nèi)部控制的重要組成部分，旨在對企業(yè)中的各種內(nèi)部控制制度和各個職能部門所從事的各種業(yè)務(wù)行為進(jìn)行獨(dú)立評價。內(nèi)部審計機(jī)構(gòu)定期對內(nèi)部控制進(jìn)行評價，能夠最直接地感受電算化所引起的沖擊，并了解企業(yè)內(nèi)部控制所遇到的具體細(xì)分問題。內(nèi)部審計機(jī)構(gòu)能夠與管理層進(jìn)行直接的溝通，通過反映情況提高管理者對內(nèi)部控制的重視程度，保證在電算化環(huán)境中內(nèi)部控制的有效性。

建立和完善會計電算化系統(tǒng)下內(nèi)部控制制度是履行會計控制職能的根本要求，是新形勢下會計理論的新發(fā)展。應(yīng)本著有效、全面、審慎、及時的原則制訂內(nèi)部控制制度，不斷補(bǔ)充、完善和發(fā)展會計電算化系統(tǒng)下的內(nèi)部控制理論，以促進(jìn)會計電算化的普及和開展，推動我國會計電算化事業(yè)的發(fā)展。