基于內部控制理論的會計電算化系統應用研究
2011-12-31 00:00:00盧瑞杰徐欣
中國管理信息化 2011年24期
[摘 要] 本文就如何加強會計電算化系統的內部控制進行闡述。通過研究內部控制的特點,并以此為基礎探討電算化系統深入應用這一目標下的會計內部控制建設問題,分析會計電算化對會計業務內部控制的影響,從技術和管理兩個角度提出一種在企業普遍實行會計電算化的環境下,確保系統安全有效運行的方法。
[關鍵詞] 會計電算化;系統;內部控制
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2011 . 24. 001
[中圖分類號] F232 [文獻標識碼] A [文章編號] 1673 - 0194(2011)24- 0003- 02
1 引 言
1.1 國內內部控制理論簡述
在我國,內部控制可以理解為為了保護企業資產的安全,加強會計信息質量,確保企業行為符合現行法律、法規和規章要求而制定的控制方法、程序與措施。2000年以來,隨著我國國際化步伐的加快,國內企業紛紛加大對內部控制研究的重視程度,各行業相繼發布了相應的規范和指導意見,促進了內部控制制度的建立與完善。
1.2 會計電算化在國內應用情況簡述
會計電算化是將以信息技術為代表的當代電子信息產業科技成果應用到會計業務中,傳統方式下的手工記賬、算賬、報賬等業務操作方式被電子計算機操作替代。同時通過數據庫和網絡技術的應用,實現跨部門、跨地區會計信息的收集、傳遞、匯總、分析,從而形成對企業管理預測與決策的支持。會計電算化的不斷深入應用,大大提高了會計信息處理的效率,會計核算和管理的環境也發生了顯著變化,減少了人為因素造成的差錯,會計數據處理速度、會計核算的準確性和可靠性得到了極大提高,但同時對為企業內部控制提出了新的要求,為了保證會計數據的安全準確,必須加強會計電算化系統的內部控制。因此,建立適合電算化會計系統的內部控制制度極其重要。
2 會計電算化與內部控制的關聯影響研究
2.1 內部控制與會計電算化同步深入發展的充分性
企業的會計核算環境(如處理會計和財務數據等)在實行會計電算化之后發生了很大變化,原來線下的操作往往在員工之間進行聯系,而現在則轉變成人與計算機的通訊,隨著計算機網絡技術的發展,會計信息的分布異地網上實時處理將成為趨勢,并由此產生了一些新的業務需要。某些原本需要多人統一匯總的業務工作可以在遠離企業的高端計算機服務器上短時間內由少數人遠程完成。但快捷的同時帶來的是風險的大增。僅僅憑借以往手工會計系統下的安全措施是遠遠不足的,因此,建立和完善企業內部控制制度尤為重要,要保證會計系統如實、可靠地反映企業的經濟活動,對實現企業管理的目標提供真實可靠的數據支撐,保證企業財產物資不流失,就必然要求企業內部控制制度的范圍不斷擴大,方法不斷具體化,形式也更加廣泛、復雜。
2.2 在會計電算化環境下實施內部控制的必要性
2.2.1 防范企業在會計電算化建設過程中產生的風險
大量的國內企業近年來相繼建設會計電算化信息系統,無論是直接外購國內外成熟的會計軟件,還是自主研發軟件,或者是委托第三方開發會計軟件,這三者都能滿足企業會計電算化的工作需要,但以上3種方式在實際操作過程中都客觀存在缺陷,因為一種財務管理模式的新舊更迭必然會帶來變革的波動期與過渡期。建立完善內部控制制度,可以在建設會計電算化的工作尚未開展之前就進行前期的風險評估和多方案的篩選,配合企業做出正確決策,以規避和防范可能產生的巨大風險。
2.2.2 強化監督功能
傳統意義上的財務控制監督功能的實現是相對安全的和容易的,在手工記賬過程中,企業會計數據往往采用符號或者數字直接記錄在案,輔助以相關各環節工作人員、各級領導的審批,就會產生不同的筆跡、印章、簽字,這些都可作為控制的手段,而會計電算化系統應用之后,電子數據處理的特點決定了舊的會計系統固有的控制方法已無法起到應有的監督作用。對于電算化應用過程中出現的這一問題,需要針對其特點,研究、分析和評價這些新控制點,建立健全內部控制機制,提升系統的安全可靠性。
3 從技術角度建立和完善會計電算化的安全控制措施
3.1 加強電算化開發過程的風險控制
3.1.1 系統需求分析過程控制
系統開發控制是事前控制的一種方法。要在財務系統開發之前就進行細致的可行性研究;在系統需求分析的過程中,需要內部控制管理人員全程參與功能的設計與研究討論,從源頭介入,并根據有效的內部控制方案及時地在系統中實施。
3.1.2 詳細設計過程風險控制
在系統詳細設計階段,同樣要加強管理與監督,根據《商品化會計核算軟件評審規則》等標準嚴格執行,在系統設計、開發過程中,甲方乙方要以認真負責的態度與內部控制管理人員一道,在設計、實施等一系列過程中采取有效的控制手段,做好各項安全準備工作,如原有系統的接口、歷史數據匯總、資源的重新優化配置、新系統初始數據的安全范圍設定等。
3.1.3 系統試運行過程風險控制
在經過周密計劃和明確記錄之后方可對財務系統進行試運行,對于新舊系統的切換一定要慎重。同時對于系統試運行維護階段的每一關鍵環節都要設置必要的控制,系統變更不能隨意進行,須經各級領導批準后才可以實施修改。軟件的代碼修改是更為重要的控制點,主要針對權限、角色、組等分類進行嚴格控制,比如業務人員不能參與權限的修改,而同時系統管理員不能參與業務數據的修改,所有與系統相關的操作記錄,即使被刪除,也要在系統數據庫中留有痕跡,以方便日后查詢。
3.2 系統上線后的運行維護實體安全控制
系統服務器運行的計算機機房環境、數據存儲介質的存放和備份策略對于系統上線后的正常運行是至關重要的。為了達到計算機機房對電算化系統服務器的保護實體安全要求,機房應配有空調和消防設置等,同時必須滿足防潮、防盜、防火、防水等技術條件,符合行業有關的技術、安全硬性要求。對用于數據備份的磁盤、光盤等存儲介質應注意保護,做好防潮、防塵和防磁工作;建立目錄清單異地存放每天的業務數據,冗余備份,長期保存的磁介質存儲媒體要做到至少雙備份并且定期轉儲。
3.3 服務器硬件、軟件內部安全控制
關鍵性的服務器一般采用雙系統鏈路備份結構。離開硬件設備,會計電算化信息系統的平穩運行就無從談起。服務器一般需要每年365天,7×24小時不間斷運行。應選擇雙電源、多路CPU、RAID磁盤陣列等技術來保證其平穩、長期的運行需要。同時機房內用于動力、照明的供電線路也要實現雙線路,必要時可以購置UPS不間斷電源或自備發電機以及防輻射和防干擾等設備。完善硬件設備之后還要選擇合適的軟件系統。包括操作系統和應用系統,以Windows Server 2008為代表的新一代服務器操作系統為當前的主流系統。但最新的技術未必是最適合的技術,對于會計電算化這種在安全性方面要求很高的系統環境也可以采用UNIX的架構,這種相對成熟的系統軟件對于各種網絡入侵具備更強的安全性和封閉性。因此企業在選擇軟件之前,應謹慎分析研究、量體裁衣。對各應用軟件的選擇也要統籌兼顧。要考慮兼容性、統一性,使各業務系統數據備份能夠無縫集成,使操作系統平臺上運行的各子系統、各業務之間能相互銜接,系統軟件應減少人機對話窗口,必要的界面窗口要開發成界面友好、操作簡單的樣式。
3.4 計算機網絡安全風險控制
網絡對會計信息系統的安全性提出了比單機系統更高的要求,在網絡環境下,數據的安全保密所面臨的風險無疑加大了。因此需通過加強網絡安全的控制,設置網絡防火墻,設置安全策略,比如身份驗證識別、IP地址屏蔽、MAC地址綁定等安全性指標,并針對公司的特定狀況,開發出適合本單位的獨特技術同,如內部限定人員可用的客戶端加密狗;限定三次錯誤登錄系統自動鎖定賬戶等措施來保護電算化系統。
4 從管理角度建立和完善會計電算化的安全控制措施
4.1 完善規章制度
對實行會計電算化之前的各項規章制度進行整理,并制定出更適應新形勢需要的制度。其內容主要有會計工作管理制度和計算機管理制度,如各崗位責任管理制度、系統運行維護管理制度、日常操作管理制度、檔案管理制度、機房管理制度等。通過以上制度的建立,實現責、權、利對等的目標。在強化會計人員崗位職責的同時實行效益工資獎金制度,充分調動會計工作人員的主動性、積極性。實行權力與利益相分離的會計主管派駐制,將其利益與權力分離能保證其有效監管,并獨立于本單位負責人的管理,排除不必要的干擾,從而真正做到令行禁止。
4.2 根據業務范圍重新設置崗位
在電算化環境下,根據新的業務范圍,明確職責分工,重新定位用戶權限設置,加強組織控制。制定相應的組織和管理控制,通過設立一種相互稽核、監督和制約的機制來保障會計信息的可靠、真實,減少舞弊和錯誤的發生。設置不同角色(如數據庫管理員、系統管理員、數據錄入員、數據操作員和專職會計錄入員、一級審核、二級審核等)各負其責,把責任落實到崗位,落實到人,這樣從根本上杜絕了出現問題后無人負責的問題,提高了員工的主動性和責任感。
4.3 在新設置崗位基礎上重新劃分系統權限
重新劃分系統權限的本質是權利分散,是對用戶權限的一次分解,從業務數據流的順序結構出發,將整個財務系統進行逐層的分級管理,對各種數據的讀、寫、修改權限進行嚴格限制,對不同崗位的用戶賦予不同的操作權限,把各項業務的授權、執行、審核、記錄、批準、執行及歷史數據保管等職能分散設置,而拒絕其他用戶的訪問,即使是領導也無法單獨完成操作的全流程。同時對密碼設置進行統一要求,規范用戶只能按照自己的身份和密碼登錄系統,而且與對應的計算機IP地址綁定,離開工作計算機后,即使有正確的用戶名和密碼、同樣無法登錄進入系統。當然信息技術部門網絡的配置可能會發生變化,因此組織財務部門專門增加IT服務的崗位設置,對新的需求也應及時同步,變更并且調整相應的安全策略。
4.4 通過規章制度加強對病毒、黑客攻擊的防范
防范病毒最為有效的措施是制定嚴格的防范病毒管理制度、并且加強安全控制。保護計算機免遭來自網絡的攻擊。近年來各種黑客軟件各種病毒發展很快,為了保護資料的安全,對不需要硬盤和軟盤的工作站,應建立一整套管理制度,盡可能采用無盤工作站的方式。另外統一購買正版殺毒軟件進行實時監控、查殺病毒。在工作中,嚴禁使用游戲軟件,對于業務系統操作計算機則任何時間都不允許使用與工作無關的軟件,同時對外來軟件和數據傳輸操作必須經過專人進行病毒檢查方可以進行,保障每一臺計算機的安全運行。
5 總 結
目前在部分行業、個別企業存在著對會計電算化的認識不到位,忽視內部控制制度建設,制度流于形式等問題。從長遠來看,全面的會計信息化是未來的發展趨勢。內部控制制度則在此過程中是起到護航作用的保護者,而不是束縛者。在企業內部建立科學的會計信息內部控制體制,可以保證資產安全、完整和會計信息的真實、可靠。本文的研究對象有限,其措施方法未必適合于各行業,對于國企、外企、私人企業的不同之處沒有進一步分別分析闡述,存在客觀局限性。但本文對于解決企業電算化會計信息系統內部控制中存在的不足,提高內部控制水平,可以起到一定的參考借鑒的作用。
主要參考文獻
[1]王立彥,張繼東.企業的內部控制[M].北京:機械工業出版社,2007.
[2]鮮軍.互聯網下會計電算化內部控制研究[J].湖北商業高等專科學校學報,2002(2).
[3]張瑞霞.試論電算化會計系統的內部控制[J].時代經貿:下旬,2006(11Z).
[4]鄧庫平.會計電算化系統的內部控制問題研究[J].財會研究,2005(1).
[5]黃韶華.論會計電算化環境下的內部會計控制[J].上海會計,2002(9).
[6]應軍.談加強會計電算化內部控制[J].南京經濟學院學報,2002(4).
[7]王景新.計算機在會計中的應用[M].北京:經濟管理出版社,1998.
[8]張英明.IT環境下會計信息系統內部控制研究[J].中國會計電算化,2002(1).
[9]陳朝暉.會計信息化對內部控制的要求[J].財務與會計,2001(9).
[10]李靜華.企業會計電算化與內部控制[J].財務與會計,1999(12).
