浅谈会计电算化信息系统环境下的内部控制

黄任全

[摘 要]随着计算机的迅速发展和广泛应用，实行会计电算化的企业也越来越多，会计电算化的实行给企业的内部控制带来了很多的问题。本文主要分析会计电算化信息系统环境下的内部控制存在的缺陷，并针对这些缺陷提出建立内部控制的具体方法，以确保系统能够正常、安全、有效地运行。

[关键词]会计电算化信息系统；内部控制；事前控制；事中控制；事后控制

[中图分类号]F232

[文献标识码]A

[文章编号]1673-0194(2009)05-0010-03

会计电算化信息系统是一种面向价值信息和基于会计管理活动的系统，是在计算机硬件、软件和网络环境下采用现代信息处理技术的一个人机交互的管理信息系统。它能充分利用现代信息处理技术，自动(或半自动)采集、存储、处理、分析、传递和反馈会计信息。而内部控制是企业为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由企业的治理层、管理层和其他人员设计与执行的政策及程序。随着计算机、网络、通讯和数据库等高新技术的飞速发展，会计核算和管理环境发生很大的变化，信息技术在给企业带来巨大效益的同时，也给内部控制制度造成了极大的冲击。本文主要探讨会计电算化信息系统环境下的内部控制。

一、会计电算化信息系统对手工会计系统内部控制的冲击

手工会计系统已经形成了一系列内部控制制度，如内部牵制制度可减少错误和舞弊的发生；另外，除了保证凭证、账簿、报表按一定的程序分别由不同的人员记录和编制外，还要进行账账核对、账证核对、账表核对，并保证其一致性。随着会计信息系统由手工方式向电算化方式转换，虽然内部控制的目标仍然没变，但其控制的重点、方式、内容和范围均有所改变。

1.内部控制的重点发生转移

在手工会计系统中，每一项经济业务活动都可分为授权、主办、核准、执行、记录和复核等步骤，这些步骤由不同的部门或人员来完成。而在会计电算化信息系统环境中，内部控制的重点发生转移，数据的处理、存储高度集中于会计数据处理部门，另外一些部门往往只负责原始数据的生成，审核和分析处理计算机输出的报告等。

2.内部控制方式的改变

在手工会计系统中，内部控制通过凭证的人工传递程序，利用日常业务处理工作中会计人员间相互校验、相互核对的内部牵制，来保证会计信息真实、完整，防止或减少错误、舞弊的发生；而在会计电算化信息系统环境下，原有的手工控制有一些仍然保留，但增设了一些包含于计算机程序中的程序化控制，而且整个会计数据的处理过程是在人机共同参与下完成的。

3.内部控制的要求更为严格，范围更广

会计电算化信息系统环境下数据处理比在手工会计系统环境下具有更大的风险，要求更为严格，同时内部控制的范围更广。其中包括一些手工系统中没有的控制内容，如对系统开发过程的控制、数据编码的控制以及对调用和修改程序的控制等。

二、会计电算化信息系统环境下内部控制存在的一些问题

1.内部控制的程序化，增加了差错反复发生的可能性

在手工会计系统中，发生差错往往是个别现象，而且由于数据处理各环节分散于多个部门、多个员工，一个部门或员工的差错往往可以在下一个环节中发现并改正。而在会计电算化信息系统环境下，计算机运行的高速性、程序运行的重复性，其处理结果一旦在某个环节出现错误，就可能在短期内迅速蔓延，使得相应的文件、账簿乃至整个系统的信息失真，并且可能使系统出现反复性差错。

2.会计电算化信息系统改变了会计信息的存储方式

在手工会计系统中，信息被记录于凭证、账簿等纸质媒介上，很难不留痕迹地加以修改或伪造。而会计电算化信息系统主要以磁盘、磁带等磁性介质作为信息的载体，这些存放在磁性介质中的会计档案，可以被方便地且不留痕迹地加以修改，很容易遭到损坏和破坏，影响会计信息的真实性和可靠性，所以记录于磁性介质之上的信息缺乏证据力。

3.会计电算化信息系统中数据保密性、安全性差

在手工会计系统中，数据处理与存储分散于各有关部门和人员，而在会计电算化信息系统中数据处理呈现自动化、集中化的特点，因此给数据保密性、安全性带来了一定的威胁。

(1)会计电算化信息系统中的全部数据高度集中于电子数据处理部门，如果没有适当的控制，未经授权批准的人可以轻而易举地利用指令来浏览所有的文件，一些机密数据也很可能被不法分子很方便地拷贝甚至可能被非法篡改而不留下任何痕迹。

(2)会计数据大量集中保存于电磁介质上，这些电磁介质在受热、受潮或强的电磁场下都会损坏。因此，存储于这些电磁介质上的信息有丢失和毁坏的危险。

(3)系统受到计算机病毒的侵蚀，或者突然断电，则很难恢复原来的数据。

(4)任何传输线路包括电缆(双绞或同轴)、光缆、微波等都可能被窃听，不但是窃听信息的内容，还可以在不了解通信内容的情况下窃听信息的流量和流向、通信的频度和长度，由此推测出有用的会计信息。

4.会计电算化系统中软件本身存在的问题

(1)缺乏兼容性。许多财务软件是企业自行开发的，各自使用不同的操作平台和支持软件，数据结构不同，编程风格各异。各软件公司为保密技术，相互间没有交流和沟通，不同的软件之间没有统一的数据接口，所以很难在不同系统上实现数据共享。

(2)系统内部衔接性差。管理型财务软件的各子系统不能实现模块之间数据的自动转化，仍然直接使用基础数据，不仅增加了工作量，而且由于人工核算、人工输入等人为因素，必然增加出错概率，使得财务软件不能充分发挥其管理功能和预测功能。

(3)开发者和使用者的矛盾。以前的软件是由程序员专门开发，虽然能够实现数据处理的要求，但由于程序员对财务本质不了解和对用户使用水平没能准确定位，所以这些软件很难使用；现在的软件是由程序员和会计人员共同开发，但仅在用户界面、系统平台、报表处理等方面做了改进，仍然不能很好地满足用户要求。

三、会计电算化信息系统内部控制的建立

必须针对会计电算化信息系统存在的问题进行事前、事中、事后控制，才能建立健全的、有效的内部控制，保证信息系统安全、可靠、有效地运行。

会计信息化

会计信息化

(一)事前控制

1.组织管理控制

组织管理控制的目的主要是减少发生错误和舞弊的概率，其基本要求是权责划分和职能划分，即明确各部门的权限与责任，分离不相容职务，具体控制措施包括：

(1)单独设立一个电算化部门，其主要职责是对数据进行处理和控制，这样才能使电算化部门和用户部门的职责分离，形成有效的内部牵制。

(2)安排电算化部门内部的职责分工，设计一些新的职能工作岗位，如系统分析员、程序员、操作员、数据文件保管员等。这些人员对软件内部结构非常了解，如果他们有机会操作软件，则可能更有能力利用这种便利进行舞弊。

(3)人事控制。通过一系列的人事制度对相关人员进行管理，在招聘、培训、评价、轮岗等方面加强监督。

(4)工作站点的控制。工作站既是数据采集、处理和输出的端点，也是潜在威胁系统安全的一个入口。在数据通信过程中，面临着数据丢失、被毁坏、被窃听和被拦截的风险，为此需要采用回呼、防火墙、保密传真等技术。

2.系统开发控制

合理设置系统开发过程中的有关控制，是保证系统开发质量的重要条件，具体措施包括：

(1)审批控制。在信息系统开发过程中，从计划、分析、设计到实施的每一阶段都要经过严格的审查，不仅要调查当前系统数据处理的各个方面，进行技术上、经济上的可行性分析，还要确定新系统的功能界面，并建立恰当的计算机数据处理模型。

(2)软件质量控制。在新系统开发过程中，至少需要一名质量监督人员负责监督质量体系运行情况、资源使用情况以及基本质量策略和方针的落实情况。

(3)内部审计控制。内部审计人员参与系统开发，既可以对系统开发过程进行监督和审查，还可以对计算机信息系统内部控制的各个方面有所了解。

(4)系统测试和试运行控制。系统测试和试运行应交由专门的测试人员和操作人员完成。对测试和试运行阶段出现的问题，要求系统分析员和程序员考虑对策，及时解决。

(5)转换控制。在转换过程中，对内容是否完整、正确应严格检查；转换后，经一段时间的并行检验无误后，才能正式使用系统。

(6)验收控制。系统运行后，相关人员应该对系统进行验收，以验证系统是否符合预期的目标和要求。

(二)事中控制

1.输入控制

如果一个计算机信息系统没有严格的控制措施，系统就不可能提供可靠的信息。所以，为了提高计算机信息系统的可靠性，必须设计有效的输入控制措施。

(1)确保输入数据在合理授权的基础上合法、正确地编制，完整地收集，安全地传送。为此，所有业务必须编制明确的记账凭证，并由操作人员、复核人员、业务主管共同签章；制定工作制度，详细说明凭证编制时间，使用、传送的时间，凭证审核的内容和负责人等；建立数据收发记录，计算控制总数。

(2)数据输入计算机信息系统，以防止输入时的遗漏或重复，检查数据中是否仍然存在错误。在输入数据时可采用一些技术控制手段对其正确性进行校验，如二次校验、数码校验、编码有效性校验、平衡校验等，如果发现错误，系统自动警告操作员进行检查和修改。

2.处理控制

处理控制就是计算机信息系统对内部数据处理活动的控制措施，以保证数据处理的正确性和完整性。常用的控制措施包括：

(1)处理权限控制。只有经过授权的人才能执行处理操作，并要作好操作记录。

(2)文件标签检验。文件标签包括外部标签和内部标签。在每次处理时如果需要调用某些数据，则操作人员首先检查外部标签，以确认这个存储介质里包含所需要的文件。而文件的内部标签是由计算机在存储数据记录时产生的，可以用计算机加以检查，以确定所打开并处理的文件是要处理的文件。

(3)数据合理性检验，用于发现处理结果超出预期结果的错误。

(4)业务时序控制。许多处理都是有顺序关系的，如果颠倒了业务处理时序，会导致数据处理混乱。

(5)平衡关系的检验。根据试算平衡原理对全部账户余额和本期发生额进行检查，一旦不平衡，就应该立即更正。

3.输出控制

输出控制的主要目的是保证输出信息的正确性和确保输出信息只能提供给经过授权的使用者，输出控制主要包括输出信息内容和格式的控制，对输出信息的传送过程的控制以及对输出结果的分析。

4.存储控制

只有经过授权的处理才能存储和访问数据，主要控制措施包括：设置交易日志、交易处理前后数据映像记录和报告、数据文件保存控制、使用标签等。

(三)事后控制

1.系统维护控制

系统维护包括系统的日常维护和系统功能的改进、扩充。系统日常维护主要用于保障系统正常运行，尽量减少影响系统工作的突发性因素，防止发生意外。而系统的改进和扩充都应该按新系统的规程来要求，并实施相应的控制。例如，必须经用户部门、审计部门、电算化部门同意并经企业高级管理人员审批，电算化部门的操作人员无权修改程序，该工作只能由开发人员承担；为不影响原有系统的正常业务处理，修改程序只能使用备份程序；新的程序投入使用前应严格测试；改进工作应保留正式、完整的文档；改进后的系统投入运行前必须经有关管理人员的批准。

2.文档保管控制

文档主要包括可行性研究报告、项目开发计划、系统分析说明书、系统设计说明书、程序设计报告、测试计划、系统测试报告、用户手册、操作手册和运行维护记录等。

(1)一个合理完善的档案管理制度，一般有合格的档案管理人员，需要由专人负责、专人保管。

(2)所有文档都要求按编号排放，对磁性介质上的资料，也应贴上标签，并加以编号。磁性介质保存的会计档案要定期进行检查和复制，防止由于磁性介质损坏而使会计档案丢失。

(3)应该存放在安全、洁净、防潮、防火、防磁的地方。

(4)销毁档案的内容、数量、方式均以书面形式报告，批准后由两人以上进行销毁。

3.内部审计控制

内部审计既是内部控制系统的重要组成部分，也是加强单位内部控制的一个有效手段。在会计电算化信息系统中，由于“人机”对话的特殊形态，因而对内部审计提出了更高、更严格的要求。内部审计可以从下面几个方面加以控制：

(1)机内数据是否与书面材料一致，修改机内数据的同时是否按要求做好数据备份和保管。

(2)对会计资料定期进行审计，是否遵守《会计法》以及相关的法律、法规，审核费用签字是否符合本单位内部控制制度的要求，凭证附件是否规范完整。

(3)对系统运行的各环节进行审查，防止发生意外事件。

主要参考文献

[1]杨周南.会计管理信息系统[M].北京：首都经济贸易大学出版社，2004.

[2]毛奕，张丕宏，杨定泉.电算化会计[M].北京：首都经济贸易大学出版社，中国农业大学出版社，1999.

[3]唐予华，李明辉.内部会计控制与会计信息质量研究[M].北京：中国财政经济出版社，2003.

[4]张金城.计算机信息系统控制与审计[M].北京：北京大学出版社，2002.

[5]宁红梅.会计电算化环境下企业内控制度的建设[J].商场现代化，2007(24).