随着计算机在全球商业当中的普遍应用和全球信息一体化,企业越来越重视财会的电算化工作,会计电算化逐渐替代了手工记帐,但也随之带来了许多问题。我们经常可以在报刊、电台中看到或听到有关电脑系统故障或电脑舞弊案件的报道。这些案件所涉及的金额及所造成的损失往往比手工系统大得多。特别是西方发达国家为此付出昂贵代价。我国电脑应用的范围和应用水平还较低,网络化的程度也不高,但电脑方面的案件近几年也时有发生。这些都要求我们必须适应电算化的特点,在电算化的环境下,建立强有力的内部控制,以保证系统的安全可靠。
一、会计电算化数据处理风险
会计电算化之后,复式记账、借贷平衡原理作为现代会计的主要原则没有变,内部控制的目的也依然如前,某些手工内部控制行之有效的组织措施和规章制度仍可沿用,但是,会计业务统一由计算机完成,虽然在一定程度上减少了差错的可能性,但这种集中处理数据的方式不但使数据处理手段、数据存储的形式发生了变化,而且也带来许多新的问题,面临许多特殊的风险,这些风险主要表现在:
1. 错误的连续性和重复性。
手工会计作业由于从凭证到日记帐、明细帐、总帐均由不同人员计算登录,并定期核对,所以几个人同时出错的可能性较小。而会计电算化系统的所有数据由于都源于凭证,只要一次输入原始数据,系统就会自动进行多项处理,故一旦出错,将引发日记帐、明细帐及总帐直至报表输出等一系列错误。
当然,计算机是按人们事先编好的程序和指令工作的,只要程序正确,无论处理业务多繁,也不会出现类似手工处理中由于疏忽而引起的计算或入帐方面的错误,这也是电脑处理高度自动化的优越性。
2. 数据与责任的高度集中。
手工环境中,会计的凭证、日记帐、明细帐、总帐等资料均由不同的责任人员分别记录并保管,未经授权任何人要想浏览所有的会计资料是较困难的。电算化后,所有的会计信息均集中于机器中,特别是数据库技术和网络技术的应用,使数据资料的共享程度更高。如果没有相应的控制措施,未经授权的人员可以轻而易举地利用电脑指令浏览所有文件,某些数据可能被不法分子很方便的拷贝,甚至非法篡改或损毁,而不留下任何痕迹。
除了数据高度集中会带来风险以外,电算化的另一威胁来自责任的高度集中。前面已经谈到,手工会计作业的组织分工十分明确,不但如此,其每一作业步骤都有文字记录,包括经手人、审核人、负责人等。而在电算化系统中,原始数据输入电脑后,全部责任将集中于电脑系统,记帐、算帐、报帐等均由机器处理,而没有明确的经手人负责。因此,一旦处理过程中出现纰漏,将无法追查责任人员。
3.存储介质变化使数据易于丢失和篡改。
与手工存储数据主要是纸质材料不同,电算化系统中数据文件的存储介质大多是磁性材料,如磁盘、磁带、光盘等。存储在上面的数据文件只有经过相应的设备方可阅读,其直观性较差,并且修改、擦除、拷贝均不会留下痕迹。此外,磁性介质在受热、受潮、弯曲、强电磁等影响下都会损坏,由此可造成会计信息的丢失,这是电算化会计系统的又一风险。
4.未经授权的软件调用或修改。
软件包括程序和文档资料,是电算化系统的核心。系统的操作与维护是严格按文档说明进行,而数据的处理是按设计好的程序运行。如果系统缺乏有效的控制,未经授权的人可非法调用系统,甚至篡改程序,这将使计算机犯罪成为可能。
应该注意的是,比未经授权非法调用系统威胁更大的是被授权人的‘监守自盗”行为。由于他们是经过授权的,更具有欺骗性,手段更隐蔽,往往都是在偶然间才被发现,这些事件大多发生于会计、银行、证券等系统,并主要涉及现金问题。
5.内部审计监督薄弱。
由于我国内部审计制度不够完善,内部审计监督人员素质有限,一般都不太熟悉电算化系统的特点和风险,不太了解电算化会计系统应有的内部控制,更不熟悉如何对电算化会计系统进行审计。因此,高风险的电算化会计系统未能得到有效的内部审计监督。
6.对岗位职责分离认识不足,执行不力。
按职责分离原则,系统程序员不应操作正式使用的电算化系统,操作员不得接触参与程序设计,不得更改软件和打开数据库修改数据。要严格分清程序员、操作员、管理员的职责,加强各级代码、密码的管理。但一些单位的程序员或系统维护人员可以随时接触系统,甚至顶班操作。也有一部分单位密码互通,同一个人用不同密码完成凭证输入、审核;对系统打印输出资料没有登记、传送、签收制度。
7.会计软件的程序控制失效。
为了保证储存在磁性介质上的会计信息的安全可靠。财政部制定的《会计核算软件基本功能规范》对会计软件必有程序控制作了规定。大多数用户单位也或多或少地制定了相应的管理制度,但仅此是不够的,漏洞还比较多,不足以确保会计系统的安全。据调查,许多商品化软件中,设置了一些不应有的功能,使不少必要的程序控制失效。如有些软件设置了反登帐、反结帐、取消审核等功能,违反了记帐后不能再直接修改凭证,结帐后不允许再输入或修改当月凭证、输入的凭证必须经过审核等规范原则,为做假帐提供了方便。有些会计软件可以连续处理数月的数据,更有一些软件允许用户几个月一直不结帐(除跨年)而继续进行以后各月帐务处理。
此外,由于不可预料的火灾、水灾等到自然灾害造成的系统软、硬件故障或损失;数据在经由通讯线路传输时遭到非法拦截或修改;计算机病毒的侵入;黑客的进攻;没有留下审计线索等等,这些都会造成电算化系统的不安全,因此有必要在系统设计和管理制度上加以控制。
二、电算化内部控制的具体措施
要有效地控制这些特殊风险,必须建立电算化会计系统的内部控制体系,这一体系主要是以组织形式和应用软件的功能两方面实现的。具体地说,就是我们通常所说的常规控制和应用控制。
常规控制也称一般控制,是对电算化会计系统中组织、制度、开发、安全等系统环境方面进行的控制。之所以称之为“常规控制”,主要是指这些控制方法对所有会计电算化的应用,乃至所有管理信息系统的应用都普遍适用,并且它为电算化系统提供了必要的规程、制度及安全可靠的工作环境,组织与操作控制。
由于电算化会计系统使数据和责任高度集中,打乱了传统的手工职能分割制,这就迫使我们考虑在组织与制度上建立一种新型的内部牵制制度。组织控制的最基本要求是达到合理的职权分离,将数据处理过程中的权力和责任分为几个部分,每个人只能完成其中的一部分工作,而不能以头至尾包办一项经济业务的批准、执行和记录的全过程。其主要措施有:
1. 组织机构的划分。
由于每个企业的规模、管理方式以及发展方向各有其特点,所以计算机应用的组织机构设置也各不相同。目前,我国会计电算化的管理体制与组织机构的设置主要有三种形式:一种是集中管理的计算机中心组织形式。它是将会计电算化的管理、软件开发、运行与维护全部放在计算机中心,财务部门只要定期向其提供核算和管理所需的原始数据。第二种是集中管理下的分散组织形式。它是在网络技术支持下,由计算中心统一负责总体规划,管理与维护等工作,财务部门利用计算机中心设置终端,在总体规划指导下,完成系统的开发、运行与维护。第三种是分散管理的组织形式。它是由财会部门单独配备计算机硬件及相关的专业人员,完成会计电算化的开发、使用、维护等工作。组织机构和规模不同,职责分工的程度也不一样,但都应尽量保证各类人员间可互相稽核、互相监督,互相制约。
2. 建立会计电算化岗位责任制。
无论采用何种组织形式,企业都必须建立会计电算化岗位责任制。要明确每个工作岗位的职责范围,切实做到事事有人管,人人有专责,办事有要求,工作有检查。会计电算化后的工作岗位可分为基本会计岗位和电算化会计岗位。基本会计岗位可包括:会计主管、出纳、会计核算各岗、稽核、会计档案管理等工作岗位。电算化会计岗位包括直接管理、操作、维护计算机及会计软件系统的工作岗位。他们的工作职责一般为:
(1) 电算主管:负责协调计算机及会计软件系统的运行工作。此岗可由会计主管兼任,采用中小型计算机和计算机网络会计软件单位,应设立此岗位。
(2) 软件操作:负责输入记帐凭证和原始凭证等会计数据,输出记帐凭证、会计帐簿、报表,进行部分会计数据处理工作。
(3) 审校记帐:负责对输入计算机的会计数据进行审核,操作会计软件登记机内帐簿,对打印输出的帐簿、报表进行确认。
(4) 电算维护:负责保证计算机软件、硬件的正常运行,管理机内会计数据;采用大型、小型计算机和计算机网络会计软件单位,应设立此岗位,此岗位在大中型企业中应由专职人员担任。
(5) 电算审查:负责监督计算机及会计软件系统运行,防止利用计算机进行舞弊。
(6) 数据分析:负责对计算机内的会计数据进行分析。
以上会计电算化工作岗位各单位可根据内部牵制度的要求和本单位工作需要,进行划分、设立、调整必要的工作岗位。基本会计岗位和电算化会计岗位,可在保证会计数据安全的前提下交叉设置,各岗位人员要保持相对稳定。由本单位人员进行会计软件开发的,还可设立软件开发岗位。
3.加强会计电算化系统知识教育,提高会计人员的业务素质。
加强电算化系统知识教育,特别是各级会计部门领导必须了解电算化系统及特点、风险与应有的控制。促进各级领导和会计人员对会计电算化树立正确的认识,从而加强管理与控制意识。另外具体方法可以通过增加会计电算化和会计职称考试的相关内容和会计知识的继续教育来解决,通过加强会计电算化知识教育,为加强内部控制打下知识基础。此处还可通过加紧会计电算化人员培训,使广大会计人员能够掌握计算机和会计核算软件的基本知识和操作技能能对会计核算软件进行一般维护或对软件参数进行设置,为本单位的会计电算化系统管理发挥主导作用。
4.加强会计电算化的应用控制。
应用控制是为适应会计电算化这一应用系统的特殊控制要求,保证数据处理的完整性、准确性而建立的具体的内部控制。它主要包括输入控制、处理控制、输出控制等。
(1)输入控制。输入控制的目的是为了保证输入的数据确已经过审批手续并且能够正确完整地输入计算机,并转换成机器所能接收的形态。输入控制包括以下四种目的。
1)经济业务在由计算机处理之前经过适当的批准;2)经济业务没有被遗漏、添加、重复或不正当的更换;3)经济业务准确地转变为机器可读的形式并记录在数据文件中;4)不正确的经济业务被剔除、改正。这里尤为重要的是经济业务在处理之前已经过适当的授权和审批。电算化会计人员作为数据处理部门,没有权力审批经济业务,所以所处理的数据凭证都应有该项业务审批人员签字。应对使用计算机的数据输入人员加以控制,如采用程序密码或运行口令,只有通过授权的人员才能接触计算机,口令密码不得告知未授权人员。为了防止未经审核的业务输入计算机,要把所有的数据在计算机的业务档案中加以记录,还应在计算机内设置控制功能,退回和改正不正确的输入数据。此外还可以设置责任控制,系统通过登记日志文件,留下审核、修改的痕迹。
(2) 处理控制。是为了确保计算机运行时发现、纠正、报告某些含有错误的输入,从而保证数据处理可靠性和正确性。具体包括数据验收、计算、比较、合并、排序、文件更新和维护等内部处理活动。特殊的处理控制技术有余额合理性格查、余额试算平衡和总帐与明细帐余额核对。
(3) 输出控制。输出控制的目的是为了保证计算机输出结果的正确性和可靠性,保证输出的接触人员仅限于经过授权,并能及时将输出资料提供给授权人的人员。这就要求对计算机打印的资料严格控制,并建立输出资料控制制度,由指定人员负责分发、保管并登记输出资料的使用者、分发日期、打印份数等。同时对发生差错的数据要进行登记,仔细检查分析形成错误的原因是由于偶发性错误还是人为差错,并采取相应的避免措施或改进措施。此外,对会计数据的备份工作控制,制作备份的周期一般视日常数据发生量而定,例如,在会计软件的使用过程中,会计科目每增加一个或每天进行一次备份,以避免科目备份不及时,造成科目意外损失,造成帐务文件混乱。对备份的数据文件应视同会计档案,一式两份,分处存放,保存时间一般以两个会计年度为宜。
在如今网络时代,信息流已成为了企业的生命线。为了使这生命线畅通、安全;为了使从企业财务中取得的信息可靠,使企业能从容面对市场上瞬时万变、激烈的竞争,并占得一席之地;为使我们所经营财物的安全;我们必须在开展会计电算化,提高企业科学管理水平同时,注意加强企业财务部门内部控制,截断各种罪恶之手。