一、我国企业会计信息系统内部控制基本现状
(一)未建立完整的内控制度体系,营造好的控制环境。一个企业要想达到规范会计行为,保证会计资料真实完整,保护企业资产的安全完整等目的,就必须先要有一套切实可行并且健全的内部控制体制。而现实是:企业内部控制制度并不完善,为企业其他很多工作带来很多不便。一是企业内部管理混乱,存在发票印章一人管、出纳会计一人兼的现象;二是企业制度不全面,没有针对企业经营的各个环节、各个部门、各类事项制定出相应的规章制度,如付款环节对原始单据的审核作为关键控制点,但供应部门因弄虚作假或失职,购进了质次价高的材料,会计部门依然会在审查原始单据无误后照价付款;三是制度执行力度不够,再好的制度如果不执行也是没有用的,像内部审计机构,有的企业没有建立内部审计机构,已经建立内部审计机构的企业也没能充分发挥应有的作用,内部审计工作得不到应有的重视和支持。
(二)职责分工不明确,操作流程不规范。内部控制制度的建设及有效运行依赖于企业内部良好的法人治理结构。虽然大部分企业在形式上建立了法人治理结构,但董事长、总经理由一人担任,董事担任监事的现象屡见不鲜,使得股东大会流于形式、董事会发挥不了应有的作用、监事会权力虚置,远未达到内部权力制衡的效果,从而不可避免地出现会计信息失真、部门领导专权等现象。
(三)管理当局对会计控制认识不足、重视不够。不少企业管理当局对会计控制的认识和重视远远落后于现实的需要,简单地认为会计控制就是内部成本控制、内部资产安全性控制,导致企业会计控制残缺不全;相当一部分企业管理当局还认为会计控制不过就是一堆堆手册、文件和制度,遇到具体问题的处理,以强调灵活性为由而不按规定程序办理,大事小事领导说了算,有时甚至为了谋取个人利益或企业集体的利益而不择手段弄虚作假、篡改账目。
(四)会计控制制度本身缺乏科学性与连贯性。目前,有些企业也建立了相关的会计控制制度,但从总体来看,仍然缺乏科学性与连贯性,致使会计控制难以发挥其应有的功效。如有的企业只偏重事后控制而忽略了事前预防控制,没有建立自我防范与约束机制,实际工作中通常是待违规违纪行为发生后设法堵塞或予以惩罚,这样就导致内控成本较高,收效甚微,使会计控制失去效力。
二、内部控制问题原因分析
(一)数据处理的集中性削减了传统的内部控制制度。手工会计系统中,会计人员之间的联系是直接的,由于岗位的不同和笔迹的不同,自然形成了相互制约、相互监督的内控体系。而在电算化会计信息系统中,原来的人与人之间的联系,部分地转变为人与计算机的联系,通过计算机使犯罪后果更严重。
(二)管理不严,信息化程度低。目前,我国许多企业手工管理制度执行不严密,基础管理工作薄弱,岗位责任制、权限分级制往往形如虚设。保守的企业经营管理者没有意识到实现会计信息化以后为企业带来的高效益而忽视会计系统的发展,导致已实现信息化的企业不能通过网络与该类企业进行信息资源交换、共享,出现信息屏蔽,会计信息系统没有得到全面运行。
(三)财会人员综合水平不高。会计信息化对会计人员提出了更高的要求,既要求会计人员掌握一定的专业知识,还要求掌握相关的计算机、财务软件的操作以及相关设备的保养和维护知识,成为“复合型”人才。当前财会人员存在知识面缺乏现象,造成会计信息化软件使用不当或功能使用不全面,滞后企业发展,没有使信息化会计系统发挥出应有的效益。
三、完善企业会计信息系统内部控制的措施
严格的内控制度是会计电算化信息真实可靠的有力保证。根据国内外会计信息系统的实践表明,计算机本身出现处理出错的概率几乎为零,但是由于人为原因而出现差错及进行舞弊的现象却屡见不鲜。因此,制定严格的内控制度非常之必要。
(一)制定和完善企业内部操作管理制度。企业在实行会计电算化后,会计人员增添了新工作内容,这就要求会计人员更新知识结构,提高专业素质。一方面要掌握扎实的会计专业知识;另一方面还必须掌握会计电算化的有关知识,培养熟练操作和应用会计信息系统的能力,以促使自身从单纯的手工会计记账、算账、报账的实务核算型工作转向通过会计信息系统参与预测、决策、控制的经营管理型,以便充分发挥会计工作在企业管理中的重要作用。企业应制定一套会计人员知识结构的更新措施和培养制度。
(二)建立计算机系统管理制度。所谓硬件设备的安全控制,主要内容是在系统运行过程中,如果硬件出现故障应及时清除故障,并做好故障排除记录,在设备更新、扩充、修复后,应由系统维护人员安装和调试。同时,要利用会计软件中的操作日志文件,建立一整套严格的上机管理制度,以保证设备的完好和正常运行。
软件设备的安全控制是要保证财务软件程序不损毁、不被修改、不被病毒感染。软件程序的安全与否直接影响着会计信息系统的运行,关系到财务信息的保密性和完整性。软件控制的目标是要做到任何情况下会计数据都不损毁、不泄露、不丢失、不被非法侵入。通常采用的控制措施包括接触控制、防范病毒管理控制和丢失数据的恢复与重建等。接触控制是指非系统维护人员不得接触到软件程序的技术资料、源程序和加密文件,从而减少软件程序被修改和破坏的可能性;防范病毒管理控制要求企业制定具体的防病毒措施,包括对所有不明来历的磁盘在使用前进行病毒检测,定期对系统进行病毒检测,使用网络病毒防火墙以防止网络病毒入侵等;程序的安全控制还要求企业有关人员要注明程序功能后备份存档,以备会计信息系统损坏后重新安装,即程序备份控制。
(三)加强会计信息系统的安全控制。接触控制是防止未经授权的人擅自动用系统的各种资源,以保证各项资源的正确性和安全性。主要的控制措施包括:订立内部操作管理制度,加强系统安全保护措施,设置用户登录上机和密码保护制度,设置操作权限限制,实行分口、分层设置密码、对计算机设备加锁,对上机口令严密控制。
环境安全控制则是为了避免计算机因外界因素而发生故障,保障计算机的正常运行。其主要内容包括:制定计算机机房设备管理制度以保证机房环境,提供安全供电系统的安装及空调和防火、防水、防尘、抽湿装置等设备的配备。
(四)加强制定会计信息系统档案管理制度。随着存储介质的改变,对会计档案管理的要求也比较严格,保存的有关规定要按《会计档案管理办法》的规定执行。会计档案以计算机打印的书面形式保存,企业应对会计信息系统的有关资料及时存档,建立起完善的档案管理制度,并有专人对档案进行维护和完善,对于资料的借用和归还手续、完善的标签和索引方法、安全可靠的档案保管设备等进行加强管理。还要定期对所有档案进行备份,并保管好这些备份档案文件。
作者:魏露盈