论文部分内容阅读
在现代信息技术出现的早期,已有许多人意识到信息技术将对会计行业产生深刻的影响。毕马威会计公司的合伙人鲍勃埃利奥特的论著,开篇就是“IT正在改变一切”。在信息技术环境下,会计的内部控制发生了很大的变化。
一、计算机应用对内部控制的影响
1.内部控制重点发生变化。在传统的手工会计系统中,企业会计内部控制的对象是处理会计业务的财务人员,内部控制的重点就在人员之间的相互牵制上。计算机应用后,会计数据一般都集中由计算机数据处理部门进行处理,而财务部门人员往往只负责原始数据的收集、审核和编码,并对计算机输出的各种会计报表进行分析。这使得内部控制的重点由对人的控制转变为对人和计算机的控制。
2.内部控制的方式发生变化。如原来手工下的编制科目汇总表、凭证汇总表等试算平衡的检查,总账、明细账的核对,在应用计算机后就不会发生失误,就没有了存在的必要性。而凭证的借贷关系校验、余额、发生额平衡的检查等相应地转移到计算机系统内,由财务软件来实现。内部控制由手工会计系统下的单一人工控制转变为人工控制和程序控制。
3.存储介质的变化。在手工会计环境下,原始凭证、记账凭证、会计账簿和会计报表,其法律效用是被广泛承认的,一旦出现错误进行修改时,都会留有修改的痕迹。但计算机应用以后,原来纸质的会计数据被直接记录到磁盘或光盘等磁介质上,不易实现签字、盖章,而且很容易被删除或篡改。另外,电磁介质易受损坏,会计信息也存在丢失或毁坏的危险。
4.交易授权的变化。手工环境下,在内部控制制度中明确规定某项交易的授权;而信息技术环境下,对交易的授权在系统设计或初始化时就已完成,管理者难以适时评价授权是否符合当前目标,控制的失效只能在较大的失误发生后才能被察觉,所以管理者对交易授权的关注应转移到对相关计算机程序的正确性和可靠性测试上来。
5.财务网络化带来新的问题。网络技术无疑是目前IT发展的方向,会计信息系统也不可避免受到其深远的影响,特别是Internet在财务软件中的应用对会计信息系统的影响将是革命性的。目前财务软件的网络功能主要包括远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等,实现这些功能就必须有相应的控制,从而为会计信息系统内部控制带来新问题。
二、加强会计信息系统的内部控制方法
会计信息系统的内部控制是指企业为了保证会计信息系统的效率、安全性和完整一致性而采取的控制措施,包括一系列控制制度和控制技术。
1.加强环境控制。(1)加强组织控制。组织控制的目的主要是减少信息部门的错误及舞弊行为发生的可能性。企业应当建立会计信息系统岗位责任制。计算机信息系统岗位一般应包括系统分析、编程、计算机操作、数据库管理、信息系统库管理、数据控制和终端等。而且所有由会计信息系统处理的业务都应经过授权管理,不是由会计信息系统生成的业务,都要在计算机处理之前通过审核与批准。重大事项必须经由董事会或类似的决策、治理机构审批通过后,方可实施。
(2)加强信息系统开发、变更与维护控制。企业应当成立项目管理小组,负责信息系统的开发,对项目整个过程实施监控。制定详细的信息系统上线计划,应在系统转换之际做好各项转换的准备工作,如旧系统的结算、汇总;人员的重新配置;新系统初始数据的安全导入等。而且还应明确系统回退计划,保证新系统一旦失效,能够顺利回退到原来的系统状态。系统在运行过程中,企业应及时对信息系统进行维护,使得信息系统随时能满足其发展要求。
(3)加强信息系统访问安全控制。会计信息系统是一个开放的系统,系统内部和系统外部都可能存在威胁。企业应当对信息系统操作人员的上机、密码和使用权限进行严格规范,建立相应的操作管理制度。未经上机培训的人员不得作为操作人员。而信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作,不得擅自升级、改变系统软件版本或更换系统软件,不得擅自改变软件系统环境配置,应当在权限范围内进行操作,不得利用他人的口令和密码进入软件系统。操作员口令和操作日志应采用密码的形式存储,并只能允许系统管理员随时和定期打印输出。操作人员如果离开工作现场,必须在离开前锁定或退出已经运行的程序,防止其他人员越权操作或散发不当信息。如果企业更换操作人员或密码泄密后,必须及时更改密码。企业应当建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度(交易日志),在远离计算机设备和操作的地方至少应当保存一套备份和交易日志,以备丢失或损坏时重建。
在IT环境下,要有效地实现企业内部控制的目标,必须对企业内联网以外的系统空间进行控制。企业可以建立网络防火墙;设置外部访问区域,防止“黑客”及非法入侵;建立周边监控系统。针对大众访问(如文件传递、电子邮件、网上会计信息查询等),企业主要是在系统的外部访问区域内采取防护控制措施。例如在网络会计系统中设置多重口令,对用户的登录名和口令的合法性进行检查;对网络进行实时监视、跟踪与审计,找出并解决威胁网络安全的问题。在系统的运行与维护过程中尤其要重视计算机病毒的防范及相应的技术手段与措施。企业应当定期检测信息系统运行情况,及时进行计算机病毒的预防、检查工作,禁止用户私自安装非法软件和卸载企业要求安装的防病毒软件。一经发现潜在危险,应当及时通知操作人员隔离受病毒侵袭的系统部分,尽快处理。如有必要,可以暂时终止系统运行。
(4)加强硬件控制。会计信息系统投入使用后,应加强硬件的控制。企业应当将计算机硬件设备放置在合适的物理环境中,由专人负责管理和检查,其他任何人未经授权不得接触计算机信息系统硬件设备。
2.加强应用控制。应用控制和具体的应用系统有关,是为确保数据处理完整、正确而实施的控制,涉及到各种类型的业务。
(1)加强输入控制。美国学者阿兰的一项研究表明,在156项计算机犯罪案例中,有108项案例涉及罪犯对输入业务的非法改动。由此可见,输入控制是应用控制中最为关键的环节。
输入控制就是要保证输入会计信息系统数据的有效可靠。常用的控制方法包括:建立科目名称与代码对照文件,以防止会计科目输错;设计科目代码校验,以保证会计科目代码输入的正确性;设立对应关系参照文件,用来判断对应账户是否发生错误;试算平衡控制,对每笔分录和借贷方进行平衡校验,防止输入金额出错;顺序检查法,防止凭证编号重复;二次输入法,将数据先后两次输入或同时由两个人分别输入,由程序将两次输入进行一一核对,凡不一致的则拒绝接受并强制修改等。
(2)加强处理控制。处理控制的主要目的是保证数据计算的准确性、数据传输的合法性以及保证会计处理流程的正确性和有效性。这种控制往往是通过预先编好的计算机程序实现的。最常见的数据处理控制有勾稽关系控制、文件标签控制、数据合理性控制、修改权限与修改痕迹控制以及防错、纠错控制等。
(3)加强输出控制。输出数据控制一般应设立专人(审核员)审核所有输出资料,检查输出数据是否与输入数据相一致,输出数据是否完整,输出结果是否正确;应设置输出权限,信息系统的输出可以用写入存储器输出、屏幕显示输出或打印输出,任何一种输出方式都要设立相应的权限控制,任何人未经批准授权,不得执行输出指令或接触相关机密文件;另外,文件传输应安全正确,对数据的发送对象、份数应有明确的规定,以确保输出结果能送发到合法的输出对象;由专人负责收集、登记、分发、核对和保管输出的纸介质的会计资料,检查其完整性、正确性、打印的账簿和报表号是否连续、有无缺漏或重叠现象,采用各种技术手段保证数据在传输过程中的准确、安全、可靠。
(作者单位:安徽财经大学会计学院)
一、计算机应用对内部控制的影响
1.内部控制重点发生变化。在传统的手工会计系统中,企业会计内部控制的对象是处理会计业务的财务人员,内部控制的重点就在人员之间的相互牵制上。计算机应用后,会计数据一般都集中由计算机数据处理部门进行处理,而财务部门人员往往只负责原始数据的收集、审核和编码,并对计算机输出的各种会计报表进行分析。这使得内部控制的重点由对人的控制转变为对人和计算机的控制。
2.内部控制的方式发生变化。如原来手工下的编制科目汇总表、凭证汇总表等试算平衡的检查,总账、明细账的核对,在应用计算机后就不会发生失误,就没有了存在的必要性。而凭证的借贷关系校验、余额、发生额平衡的检查等相应地转移到计算机系统内,由财务软件来实现。内部控制由手工会计系统下的单一人工控制转变为人工控制和程序控制。
3.存储介质的变化。在手工会计环境下,原始凭证、记账凭证、会计账簿和会计报表,其法律效用是被广泛承认的,一旦出现错误进行修改时,都会留有修改的痕迹。但计算机应用以后,原来纸质的会计数据被直接记录到磁盘或光盘等磁介质上,不易实现签字、盖章,而且很容易被删除或篡改。另外,电磁介质易受损坏,会计信息也存在丢失或毁坏的危险。
4.交易授权的变化。手工环境下,在内部控制制度中明确规定某项交易的授权;而信息技术环境下,对交易的授权在系统设计或初始化时就已完成,管理者难以适时评价授权是否符合当前目标,控制的失效只能在较大的失误发生后才能被察觉,所以管理者对交易授权的关注应转移到对相关计算机程序的正确性和可靠性测试上来。
5.财务网络化带来新的问题。网络技术无疑是目前IT发展的方向,会计信息系统也不可避免受到其深远的影响,特别是Internet在财务软件中的应用对会计信息系统的影响将是革命性的。目前财务软件的网络功能主要包括远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等,实现这些功能就必须有相应的控制,从而为会计信息系统内部控制带来新问题。
二、加强会计信息系统的内部控制方法
会计信息系统的内部控制是指企业为了保证会计信息系统的效率、安全性和完整一致性而采取的控制措施,包括一系列控制制度和控制技术。
1.加强环境控制。(1)加强组织控制。组织控制的目的主要是减少信息部门的错误及舞弊行为发生的可能性。企业应当建立会计信息系统岗位责任制。计算机信息系统岗位一般应包括系统分析、编程、计算机操作、数据库管理、信息系统库管理、数据控制和终端等。而且所有由会计信息系统处理的业务都应经过授权管理,不是由会计信息系统生成的业务,都要在计算机处理之前通过审核与批准。重大事项必须经由董事会或类似的决策、治理机构审批通过后,方可实施。
(2)加强信息系统开发、变更与维护控制。企业应当成立项目管理小组,负责信息系统的开发,对项目整个过程实施监控。制定详细的信息系统上线计划,应在系统转换之际做好各项转换的准备工作,如旧系统的结算、汇总;人员的重新配置;新系统初始数据的安全导入等。而且还应明确系统回退计划,保证新系统一旦失效,能够顺利回退到原来的系统状态。系统在运行过程中,企业应及时对信息系统进行维护,使得信息系统随时能满足其发展要求。
(3)加强信息系统访问安全控制。会计信息系统是一个开放的系统,系统内部和系统外部都可能存在威胁。企业应当对信息系统操作人员的上机、密码和使用权限进行严格规范,建立相应的操作管理制度。未经上机培训的人员不得作为操作人员。而信息系统操作人员不得擅自进行系统软件的删除、拷贝、修改等操作,不得擅自升级、改变系统软件版本或更换系统软件,不得擅自改变软件系统环境配置,应当在权限范围内进行操作,不得利用他人的口令和密码进入软件系统。操作员口令和操作日志应采用密码的形式存储,并只能允许系统管理员随时和定期打印输出。操作人员如果离开工作现场,必须在离开前锁定或退出已经运行的程序,防止其他人员越权操作或散发不当信息。如果企业更换操作人员或密码泄密后,必须及时更改密码。企业应当建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度(交易日志),在远离计算机设备和操作的地方至少应当保存一套备份和交易日志,以备丢失或损坏时重建。
在IT环境下,要有效地实现企业内部控制的目标,必须对企业内联网以外的系统空间进行控制。企业可以建立网络防火墙;设置外部访问区域,防止“黑客”及非法入侵;建立周边监控系统。针对大众访问(如文件传递、电子邮件、网上会计信息查询等),企业主要是在系统的外部访问区域内采取防护控制措施。例如在网络会计系统中设置多重口令,对用户的登录名和口令的合法性进行检查;对网络进行实时监视、跟踪与审计,找出并解决威胁网络安全的问题。在系统的运行与维护过程中尤其要重视计算机病毒的防范及相应的技术手段与措施。企业应当定期检测信息系统运行情况,及时进行计算机病毒的预防、检查工作,禁止用户私自安装非法软件和卸载企业要求安装的防病毒软件。一经发现潜在危险,应当及时通知操作人员隔离受病毒侵袭的系统部分,尽快处理。如有必要,可以暂时终止系统运行。
(4)加强硬件控制。会计信息系统投入使用后,应加强硬件的控制。企业应当将计算机硬件设备放置在合适的物理环境中,由专人负责管理和检查,其他任何人未经授权不得接触计算机信息系统硬件设备。
2.加强应用控制。应用控制和具体的应用系统有关,是为确保数据处理完整、正确而实施的控制,涉及到各种类型的业务。
(1)加强输入控制。美国学者阿兰的一项研究表明,在156项计算机犯罪案例中,有108项案例涉及罪犯对输入业务的非法改动。由此可见,输入控制是应用控制中最为关键的环节。
输入控制就是要保证输入会计信息系统数据的有效可靠。常用的控制方法包括:建立科目名称与代码对照文件,以防止会计科目输错;设计科目代码校验,以保证会计科目代码输入的正确性;设立对应关系参照文件,用来判断对应账户是否发生错误;试算平衡控制,对每笔分录和借贷方进行平衡校验,防止输入金额出错;顺序检查法,防止凭证编号重复;二次输入法,将数据先后两次输入或同时由两个人分别输入,由程序将两次输入进行一一核对,凡不一致的则拒绝接受并强制修改等。
(2)加强处理控制。处理控制的主要目的是保证数据计算的准确性、数据传输的合法性以及保证会计处理流程的正确性和有效性。这种控制往往是通过预先编好的计算机程序实现的。最常见的数据处理控制有勾稽关系控制、文件标签控制、数据合理性控制、修改权限与修改痕迹控制以及防错、纠错控制等。
(3)加强输出控制。输出数据控制一般应设立专人(审核员)审核所有输出资料,检查输出数据是否与输入数据相一致,输出数据是否完整,输出结果是否正确;应设置输出权限,信息系统的输出可以用写入存储器输出、屏幕显示输出或打印输出,任何一种输出方式都要设立相应的权限控制,任何人未经批准授权,不得执行输出指令或接触相关机密文件;另外,文件传输应安全正确,对数据的发送对象、份数应有明确的规定,以确保输出结果能送发到合法的输出对象;由专人负责收集、登记、分发、核对和保管输出的纸介质的会计资料,检查其完整性、正确性、打印的账簿和报表号是否连续、有无缺漏或重叠现象,采用各种技术手段保证数据在传输过程中的准确、安全、可靠。
(作者单位:安徽财经大学会计学院)