試論電算化會計系統(tǒng)的內(nèi)部控制

內(nèi)部控制貫穿于企業(yè)經(jīng)營活動的全部過程。會計系統(tǒng)內(nèi)部控制就是為了保證單位經(jīng)營活動的合理性與效益性、財務(wù)報告的可靠性和法律法規(guī)的遵循性，而自行檢查、制約和調(diào)整內(nèi)部業(yè)務(wù)活動的自律系統(tǒng)。

一、使用電算化會計系統(tǒng)需要規(guī)避的風(fēng)險

會計電算化之后，復(fù)式記賬法、借貸平衡原理作為現(xiàn)代會計的主要原則沒有從根本上改變，內(nèi)部控制的目的也依然如前，某些手工內(nèi)部控制行之有效的組織措施和方法以及規(guī)章制度仍可沿用。但是也必須看到，會計業(yè)務(wù)統(tǒng)一由計算機完成雖然在一定程度上減少了差錯的可能性，但這種集中處理數(shù)據(jù)的收發(fā)方式不但使數(shù)據(jù)處理的手段、數(shù)據(jù)存儲的形式發(fā)生了變化，而且也帶來許多新的問題，面臨許多需要特別關(guān)注與規(guī)避的風(fēng)險。這些風(fēng)險主要表現(xiàn)在：

（一）不適當(dāng)?shù)南到y(tǒng)設(shè)計

在我國，目前大多數(shù)電算化會計軟件都是由用戶單位的財會人員與軟件開發(fā)單位的計算機技術(shù)人員合作開發(fā)的，這就存在著雙方如何相互交流的問題，如一方曲解了對方的意圖，就會給系統(tǒng)帶來災(zāi)難。一方面是計算機技術(shù)人員對財會業(yè)務(wù)不熟悉，可能在沒有全部弄懂用戶要求前就開始設(shè)計。這樣，設(shè)計出的系統(tǒng)，就很難真正符合用戶要求。

（二）會計流程變化引起錯誤的連續(xù)性與重復(fù)性

手工會計作業(yè)由于從憑證到日記賬、明細(xì)賬、總賬均由不同人員計算登錄，并定期核對，所以幾個人同時出錯的可能性較小。而電算化會計信息系統(tǒng)由于高度自動化，計算機是按人們事先編好的程序和指令工作，只要程序正確，無論處理業(yè)務(wù)多繁雜，數(shù)量有多大，也不會出現(xiàn)類似于手工處理中由于疏忽而引發(fā)的計算或入賬方面的錯誤。但如果一旦出錯，將引發(fā)登記日記賬、明細(xì)賬及總賬直至報表輸出等環(huán)節(jié)的一系列錯誤，并且要查找出錯原因是相當(dāng)困難的。例如，如果某固定資產(chǎn)已經(jīng)報廢，但系統(tǒng)仍按月計提折舊，幾個月下來，要想將所有的總賬、明細(xì)賬、機制轉(zhuǎn)賬憑證等全部修改糾錯，工作量就非常大。

（三）會計人員的分工變化及數(shù)據(jù)與責(zé)任的高度集中

電算化后，所有的會計信息均集中于機器中，特別是數(shù)據(jù)庫技術(shù)和網(wǎng)絡(luò)技術(shù)的運用，使數(shù)據(jù)資料的共享程度更高，如果沒有相應(yīng)的控制措施，任何稍微懂得計算機知識的人，都可以輕而易舉地利用電腦指令游覽所有文件，某些數(shù)據(jù)可能被不法分子很方便的拷貝，甚至非法篡改或損毀而不留下任何痕跡，這樣的后果相當(dāng)嚴(yán)重和可怕。

除了數(shù)據(jù)高度集中會帶來以上風(fēng)險外，電算化的另一威脅來自責(zé)任的高度集中。在電算化會計信息系統(tǒng)中，原始數(shù)據(jù)提交給電腦后，全部責(zé)任將集中于電腦系統(tǒng)，記賬、算賬、報賬等均由機器處理，再沒有經(jīng)手人負(fù)責(zé)。因此一旦處理過程中出現(xiàn)紕漏，將無法追查責(zé)任人員，這就無形中增加了會計執(zhí)法的難度，自然也削弱了法律的剛性 。

（四）存儲介質(zhì)變化使數(shù)據(jù)易于丟失和篡改

電算化系統(tǒng)中數(shù)據(jù)文件的存儲介質(zhì)大多是磁性材料，如磁盤、磁帶等。這些存儲在磁性材料的數(shù)據(jù)文件只有經(jīng)過相應(yīng)的設(shè)備方可閱讀，其直觀性較差，并且修改、擦除和拷貝均不會留下痕跡；此外，磁性介質(zhì)在受熱、受潮、彎曲或強電磁場等的影響下都會損壞。由此可能造成會計信息的丟失或失真，這是電算化會計信息系統(tǒng)的又一風(fēng)險。

此外，由于不可預(yù)料的火災(zāi)、水災(zāi)等自然災(zāi)害或使用維護(hù)不周而造成的系統(tǒng)軟、硬件故障或損失，數(shù)據(jù)在經(jīng)由通訊線路傳輸時遭到非法攔截或修改，計算機病毒的侵入，計算機遭受黑客攻擊，沒有留下審計線索等等，這些都會造成電算化會計信息系統(tǒng)的不安全。

二、防范電算化會計系統(tǒng)內(nèi)部控制風(fēng)險的對策

電算化會計信息系統(tǒng)內(nèi)部控制存在的風(fēng)險是不能掉以輕心的，我們必須采取措施加強其內(nèi)部控制。關(guān)于電算化會計系統(tǒng)內(nèi)部控制，依據(jù)美國執(zhí)業(yè)會計師協(xié)會在《審計準(zhǔn)則公告》第3號中的意見，將其分為一般控制（general controls）和應(yīng)用控制（application controls）。

（一）一般控制

一般控制，是指對企業(yè)經(jīng)營活動賴以進(jìn)行的內(nèi)部環(huán)境所實施的總體控制，因而亦稱基礎(chǔ)控制或環(huán)境控制。包括：

1.組織控制

組織控制是為保證電子數(shù)據(jù)處理部門正確、安全、高效地完成數(shù)據(jù)處理工作而規(guī)定的職責(zé)分工和人事管理控制措施，其目的主要是減少電子數(shù)據(jù)處理部門發(fā)生錯誤和舞弊行為的可能性。組織控制的基本要求是做到不相容職務(wù)的分離。

（1）電算部門與用戶部門的職責(zé)分離。分離不相容職責(zé)的一般原則是將四種基本職能，即業(yè)務(wù)授權(quán)、執(zhí)行、記錄和資產(chǎn)保管予以分開。一般而言，電算部門不能負(fù)責(zé)業(yè)務(wù)的批準(zhǔn)和執(zhí)行，也不能保管除計算機系統(tǒng)以外的任何資產(chǎn)。各業(yè)務(wù)部門在會計電算化情況下，如果沒有適當(dāng)?shù)穆氊?zé)分離，就無法做到各部門之間互相稽核、互相監(jiān)督和互相制約，也無法做到保護(hù)組織的資產(chǎn)和提高會計信息的準(zhǔn)確性和可靠性。

（2）電子數(shù)據(jù)處理部門內(nèi)部的職責(zé)分離。電算化數(shù)據(jù)處理的特點之一是將所有的會計資料集中起來，統(tǒng)一處理，這使得在手工方式下的某些本應(yīng)分離的不相容的職責(zé)集中化了，從而失去了相應(yīng)的監(jiān)督作用。因此，在電子處理部門內(nèi)部，還應(yīng)當(dāng)進(jìn)行正確的職責(zé)分工，從而使有關(guān)的人員在數(shù)據(jù)處理中難以越權(quán)，以避免舞弊、犯罪行為的發(fā)生和防止差錯的出現(xiàn)，保證系統(tǒng)的可靠運行。一般來說，在電子數(shù)據(jù)處理部門內(nèi)部應(yīng)做到對系統(tǒng)分析、程序設(shè)計、系統(tǒng)操作、文檔管理和控制等五種職責(zé)加以分離。

2.系統(tǒng)開發(fā)與維護(hù)控制

（1）開發(fā)過程控制。在進(jìn)行系統(tǒng)開發(fā)過程中，始終要圍繞用戶的需求這一根本的出發(fā)點，確保系統(tǒng)開發(fā)的目標(biāo)、總體結(jié)構(gòu)、開發(fā)方式及每一個工作階段和開發(fā)進(jìn)度，同時，還必須及時完成資金的籌措、認(rèn)真做好費用的預(yù)算，除此之外，還必須對系統(tǒng)所需要的不同類型、不同層次的專業(yè)人員進(jìn)行配置與培訓(xùn)。

（2）系統(tǒng)維護(hù)控制。通常系統(tǒng)維護(hù)控制包括對系統(tǒng)軟件的維護(hù)控制、數(shù)據(jù)維護(hù)控制及文檔資料的維護(hù)控制，由于后兩者會在后面的內(nèi)容進(jìn)行討論，在此，需要重點解釋的是對系統(tǒng)的軟件維護(hù)的控制。系統(tǒng)軟件維護(hù)包括糾錯性維護(hù)、適應(yīng)性維護(hù)和完善性維護(hù)。這三種維護(hù)工作都需要對系統(tǒng)的功能進(jìn)行改進(jìn)和擴充。

3.系統(tǒng)安全控制

（1）環(huán)境安全控制。環(huán)境安全控制是屬于一種預(yù)防性的控制，包括計算機機房的安全控制、機房設(shè)備的保護(hù)、安全供電系統(tǒng)的安裝等。一般來說，對于環(huán)境的安全，要求具有專用的計算機機房，并且，計算機機房能夠保持規(guī)定的溫度、濕度，能防止靜電、電磁干擾，具有良好的采光照明及噪聲控制設(shè)備等，同時，計算機機房還應(yīng)具有防火、防水、防止其他自然災(zāi)害的設(shè)施。

（2）軟件安全控制。通常對軟件程序的保護(hù)措施是對數(shù)據(jù)和程序的加密，一方面可以把數(shù)據(jù)和程序轉(zhuǎn)換成密碼的形式存放在各類介質(zhì)上，運行時再執(zhí)行解密，使系統(tǒng)能夠正常運行；另一方面，可以對存儲介質(zhì)進(jìn)行特殊的處理，如采用特殊的記錄方式、對磁盤加上特殊的標(biāo)記，采用特殊的硬件裝置，并定期對軟件進(jìn)行檢測，以保證不被篡改。

（3）病毒防治。計算機病毒會干擾系統(tǒng)正常的運行，甚至使系統(tǒng)癱瘓。對付病毒的基本策略有兩種：一是利用現(xiàn)成的殺毒軟件對病毒進(jìn)行檢測并消滅。二是對病毒進(jìn)行預(yù)防的，如盡量不用或慎用公用軟件、外來軟件和共享軟件，禁用游戲軟件；定期對系統(tǒng)進(jìn)行檢查；經(jīng)常性地對一些重要的文件進(jìn)行備份；對軟盤加以寫保護(hù)等。

4.操作控制

操作控制是通過制定嚴(yán)格的、標(biāo)準(zhǔn)的操作規(guī)程，并認(rèn)真地加以執(zhí)行來實現(xiàn)的，其根本目的在于保證信息處理的高質(zhì)量、減少差錯的發(fā)生和文件、程序及報表的未授權(quán)使用。

（1）操作權(quán)限控制。企業(yè)必須明確地規(guī)定上機操作人員對會計軟件的操作工作內(nèi)容和權(quán)限，對操作密碼要嚴(yán)格管理，指定專人定期更換密碼，杜絕未經(jīng)授權(quán)人員操作會計軟件。

（2）操作規(guī)程控制。操作人員應(yīng)認(rèn)真實行上機操作登記，填寫上機者姓名、上機時間、操作的內(nèi)容，以便系統(tǒng)管理人員進(jìn)行檢查核實；操作人員必須嚴(yán)守操作密碼，不得隨意泄露；每次在處理完相應(yīng)的業(yè)務(wù)后，要及時做好數(shù)據(jù)的備份工作，以防意外的發(fā)生；操作人員不能攜帶外來的軟盤進(jìn)入機房或進(jìn)行非法的拷貝工作，以防計算機被病毒感染；操作人員在執(zhí)行完相應(yīng)的操作之后，應(yīng)嚴(yán)格按操作程序逐步退出會計軟件，禁止強行退出等。

5.檔案控制

電算化會計檔案，包括存儲在計算機硬盤、其他磁性介質(zhì)或光盤中的會計數(shù)據(jù)和計算機打印出來的書面等形式的會計數(shù)據(jù)等，必須嚴(yán)格按照財政部有關(guān)規(guī)定的要求對會計檔案進(jìn)行管理，由專人負(fù)責(zé)。

（二）應(yīng)用控制

應(yīng)用控制，是指直接作用于企業(yè)生產(chǎn)經(jīng)營業(yè)務(wù)活動的具體控制，因此亦稱業(yè)務(wù)控制。通常，將應(yīng)用控制劃分為輸入控制、處理控制和輸出控制三種。

1.輸入控制

輸入數(shù)據(jù)的目的就是要保證未經(jīng)批準(zhǔn)的業(yè)務(wù)不能進(jìn)入計算機；保證經(jīng)批準(zhǔn)的業(yè)務(wù)沒有遺漏、沒有被添加、重復(fù)或不適當(dāng)?shù)母鼡Q；對不正確的業(yè)務(wù)進(jìn)行剔除、改正等。一般，對輸入控制可有以下一些措施：

（1）建立科目對照文件。在電算化會計系統(tǒng)中，輸入的是會計科目的代碼，而不是會計科目名稱。當(dāng)輸入會計科目代碼時，系統(tǒng)首先在科目對照表文件中確認(rèn)該科目代碼是否存在，若不存在，則表明該科目代碼是錯誤的，計算機拒絕接受。

（2）試算平衡控制。根據(jù)記賬的平衡原理，在系統(tǒng)輸入控制程序中可設(shè)計平衡性校驗。當(dāng)一筆分錄輸入完成后，計算機自動對其進(jìn)行檢查，如顯示出錯信息，要求修改，若操作員不作修改而欲繼續(xù)輸入，則系統(tǒng)拒絕執(zhí)行，從而保證輸入憑證的數(shù)據(jù)正確。

（3）人員控制

人員控制在電算化會計系統(tǒng)的輸入控制中也是一個不可缺少的部分，一方面，它是指對人員的權(quán)限的控制及操作職責(zé)的牽制；另一方面則是指在輸入過程中充分發(fā)揮操作人員的經(jīng)驗作用，及時發(fā)現(xiàn)原始數(shù)據(jù)采集的錯誤。

（4）順序校驗控制。所謂順序校驗控制，即在輸入控制程序中，可設(shè)計記賬憑證自動編號的功能，用以檢驗憑證輸入有無遺漏或重復(fù)現(xiàn)象，系統(tǒng)應(yīng)給出出錯信息，并拒絕接受這些業(yè)務(wù)。

2.數(shù)據(jù)處理控制

數(shù)據(jù)處理控制是指為確保計算機運行時發(fā)現(xiàn)、糾正和報告某些有錯誤的輸入，從而保證數(shù)據(jù)處理的正確性和可靠性而設(shè)置的控制。

常用的數(shù)據(jù)處理控制措施包括：登賬條件檢驗，即系統(tǒng)要有確認(rèn)數(shù)據(jù)經(jīng)復(fù)核后才能登賬的控制能力；防錯、糾錯控制，即系統(tǒng)要有防止或及時發(fā)現(xiàn)在處理過程中數(shù)據(jù)丟失、重復(fù)或出錯的控制措施；修改權(quán)限與修改痕跡控制，即對已入賬的憑證，系統(tǒng)只能提供留有痕跡的更改功能，對已結(jié)賬的憑證與賬簿以及計算機內(nèi)賬簿生成的報表數(shù)據(jù)，系統(tǒng)不提供更改功能等。

3.輸出控制

（1）加強輸出結(jié)果的人工核對。如按照用戶的要求設(shè)置輸出的格式、方式、內(nèi)容、時間等；對輸入的總數(shù)與輸出的總數(shù)加以核對；審核輸出結(jié)果，檢查輸出結(jié)果的正確性與完整性；將本期輸出的結(jié)果與上期輸出的結(jié)果進(jìn)行對比，檢查輸出結(jié)果的合理性。

（2）加強輸出資料分發(fā)和保管的管理。如指定專門的報表傳遞人員，保證將報表及時送達(dá)有權(quán)接受者；建立輸出報告登記簿，記錄報告發(fā)送的份數(shù)、時間、傳遞人、接受者等事項，以防錯發(fā)、漏發(fā)和多發(fā)等。

毋庸置疑，與手工操作比較起來，電算化會計信息系統(tǒng)內(nèi)部控制是一項現(xiàn)代科學(xué)技術(shù)含量較高的錯綜復(fù)雜的系統(tǒng)工程，僅靠用戶進(jìn)行內(nèi)部控制是很難奏效的。本文所提出的上述各項對策，意在提醒進(jìn)行電算化會計系統(tǒng)內(nèi)部控制時，要跳出會計業(yè)務(wù)部門的框框，主動與相關(guān)方面通力合作。同時，電算化軟件的信息安全問題是目前整個社會都高度重視并亟需解決的難題，要徹底解決其風(fēng)險還有待時日。

（作者單位：廣西工商職業(yè)技術(shù)學(xué)院）