淺析電算化會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制

　　隨著IT技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展應(yīng)用，電算化會(huì)計(jì)信息系統(tǒng)環(huán)境下的內(nèi)部控制面臨新的問題和挑戰(zhàn)。如何應(yīng)對(duì)挑戰(zhàn)，財(cái)政部2001年發(fā)布的《內(nèi)部會(huì)計(jì)控制規(guī)范——基本規(guī)范（試行）》第二十六條中對(duì)此作了明確規(guī)定，“電子信息技術(shù)控制要求運(yùn)用電子信息技術(shù)手段建立內(nèi)部會(huì)計(jì)控制系統(tǒng)，減少和消除人為操縱因素，確保內(nèi)部會(huì)計(jì)控制的有效實(shí)施，同時(shí)要加強(qiáng)對(duì)財(cái)務(wù)會(huì)計(jì)電子信息系統(tǒng)開發(fā)與維護(hù)、數(shù)據(jù)輸入與輸出、文件儲(chǔ)存與保管、網(wǎng)絡(luò)安全等方面的控制”。本文就電算化會(huì)計(jì)信息系統(tǒng)中建立內(nèi)部控制制度的必要性和內(nèi)部控制的主要內(nèi)容做如下闡述。

　　一、電算化會(huì)計(jì)信息系統(tǒng)中建立內(nèi)部控制制度的必要性

　�。ㄒ唬┦止�記賬系統(tǒng)的會(huì)計(jì)數(shù)據(jù)是用可視的文字、符號(hào)直接記錄在紙上的，這種記賬方式有較好的直觀性，甚至筆跡也可以成為控制的手段。采用計(jì)算機(jī)集中地對(duì)數(shù)據(jù)進(jìn)行處理后，由人工形成并掌握的信息便越來越少。當(dāng)會(huì)計(jì)數(shù)據(jù)以肉眼無法識(shí)別的形式存儲(chǔ)在磁盤上，人的判斷作用便降低了。同時(shí)，由于計(jì)算機(jī)系統(tǒng)的透明度較高，因此，對(duì)數(shù)據(jù)的安全性、保密性進(jìn)行的控制就變得尤為重要。在這種情況下，如果不對(duì)計(jì)算機(jī)系統(tǒng)實(shí)施特殊的內(nèi)部控制，會(huì)計(jì)資料的可靠性就無從談起。

　�。ǘ�）計(jì)算機(jī)對(duì)會(huì)計(jì)數(shù)據(jù)的處理是在一個(gè)封閉的系統(tǒng)中進(jìn)行的，其中有許多的處理過程對(duì)會(huì)計(jì)人員來說是“暗箱”，會(huì)計(jì)人員無法直接參與和控制，會(huì)計(jì)數(shù)據(jù)處理的準(zhǔn)確性完全取決于應(yīng)用程序和硬件的可靠程度，因而電算化會(huì)計(jì)系統(tǒng)必須建立起在計(jì)算機(jī)處理方式下特殊的內(nèi)部控制。

　�。ㄈ�）在手工記賬方式下，會(huì)計(jì)核算的質(zhì)量取決于會(huì)計(jì)人員的業(yè)務(wù)水平、工作態(tài)度及對(duì)有關(guān)會(huì)計(jì)法規(guī)的理解程度和執(zhí)行效果。財(cái)務(wù)部門經(jīng)過長(zhǎng)期的實(shí)踐已積累了大量的經(jīng)驗(yàn)，建立起了一整套的管理制度。實(shí)現(xiàn)會(huì)計(jì)電算化后，許多傳統(tǒng)的控制方式失去了存在的基礎(chǔ)，必須有新的方式取代它。會(huì)計(jì)工作的質(zhì)量除受原有因素的影響外，還將取決于計(jì)算機(jī)系統(tǒng)的可靠性和會(huì)計(jì)人員自身對(duì)新系統(tǒng)的操作管理水平。在這種舊的數(shù)據(jù)處理方式未被完全取代而新的方式尚未成熟的時(shí)期，會(huì)計(jì)信息失真的風(fēng)險(xiǎn)比以往任何時(shí)候都加大了。為了順利地渡過這一時(shí)期，減少轉(zhuǎn)換風(fēng)險(xiǎn)對(duì)會(huì)計(jì)信息的威脅，電算化會(huì)計(jì)系統(tǒng)更應(yīng)當(dāng)建立起一套新的管理控制制度。

　　二、電算化會(huì)計(jì)信息系統(tǒng)環(huán)境下內(nèi)部控制的主要內(nèi)容

　�。ㄒ唬╇娝慊瘯�(huì)計(jì)信息系統(tǒng)的一般控制。一般控制是指任何電算化會(huì)計(jì)信息系統(tǒng)普遍適用、為系統(tǒng)的安全可靠而對(duì)系統(tǒng)構(gòu)成要素 （人、硬件、軟件）及環(huán)境實(shí)施的控制。

　　1.組織與管理控制。組織與管理控制是指通過部門的設(shè)置、人員的分工、崗位職責(zé)的制定、權(quán)限的劃分等形式進(jìn)行的控制，其基本目標(biāo)是建立恰當(dāng)?shù)慕M織機(jī)構(gòu)和職責(zé)分工制度，以達(dá)到相互牽制、相互制約、防止或減少錯(cuò)弊發(fā)生的目的。其中較重要的崗位有系統(tǒng)管理和審核崗位。

　　系統(tǒng)管理主要負(fù)責(zé)系統(tǒng)的硬軟件管理工作，從技術(shù)上保證系統(tǒng)的正常運(yùn)行。包括掌握網(wǎng)絡(luò)服務(wù)器及數(shù)據(jù)庫(kù)的超級(jí)口令，負(fù)責(zé)網(wǎng)絡(luò)資源分配，監(jiān)控網(wǎng)絡(luò)運(yùn)行；按照主管人員的要求，對(duì)各崗位分配權(quán)限，對(duì)數(shù)據(jù)的安全保密負(fù)責(zé)；負(fù)責(zé)對(duì)硬件、軟件、數(shù)據(jù)的管理與維護(hù)工作。系統(tǒng)管理崗位應(yīng)保持相對(duì)穩(wěn)定，若有變動(dòng)應(yīng)辦理嚴(yán)格的交接手續(xù)。

　　審核崗位主要負(fù)責(zé)監(jiān)督計(jì)算機(jī)及電算化系統(tǒng)的運(yùn)行，防止利用計(jì)算機(jī)進(jìn)行舞弊。具體包括：審查機(jī)內(nèi)數(shù)據(jù)與書面資料的一致性；監(jiān)督數(shù)據(jù)保存方式的安全性、合法性，防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象；對(duì)系統(tǒng)運(yùn)行各環(huán)節(jié)進(jìn)行審查，防止存在漏洞等。

　　2.應(yīng)用系統(tǒng)開發(fā)、建立和維護(hù)控制。

　�。�1）應(yīng)用系統(tǒng)開發(fā)控制是針對(duì)系統(tǒng)開發(fā)階段而言的，具體包括：系統(tǒng)開發(fā)前應(yīng)進(jìn)行可行性研究和需求分析；開發(fā)過程應(yīng)進(jìn)行適當(dāng)?shù)娜藛T分工；按規(guī)范收集和保管有關(guān)系統(tǒng)的資料并加以保密等。

　�。�2）系統(tǒng)建立控制則是針對(duì)系統(tǒng)建立階段而言的，具體包括：資源的適當(dāng)配置；系統(tǒng)的調(diào)試應(yīng)有各崗位人員的參與；新的系統(tǒng)應(yīng)與傳統(tǒng)系統(tǒng)并行一段時(shí)間并經(jīng)有關(guān)部門審批后才能替代傳統(tǒng)系統(tǒng)使用；嚴(yán)格的驗(yàn)收程序等。

　　（3）系統(tǒng)的維護(hù)是指日常為保障系統(tǒng)正常運(yùn)行而對(duì)系統(tǒng)硬軟件進(jìn)行的安裝、修正、更新、擴(kuò)展、備份等方面的工作。系統(tǒng)維護(hù)控制就是針對(duì)這些工作而實(shí)施的控制。

　　3.數(shù)據(jù)和程序控制。數(shù)據(jù)和程序控制主要是指對(duì)數(shù)據(jù)、程序的安全控制。程序的安全與否直接影響著系統(tǒng)的運(yùn)行，而數(shù)據(jù)的安全與否關(guān)系到財(cái)務(wù)信息的完整性和保密性。

　　數(shù)據(jù)控制的目標(biāo)是要做到任何情況下數(shù)據(jù)都不丟失、不損毀、不泄露、不被非法侵入。通常采用的控制包括接觸控制、丟失數(shù)據(jù)的恢復(fù)與重建等，而數(shù)據(jù)的備份則是數(shù)據(jù)恢復(fù)與重建的基礎(chǔ)，是一種常見的數(shù)據(jù)控制手段，網(wǎng)絡(luò)中利用兩個(gè)服務(wù)器進(jìn)行雙機(jī)鏡像映射備份是備份的先進(jìn)形式。

　　程序的安全控制是要保證程序不被修改、不損毀、不被病毒感染。常用的控制包括接觸控制、程序備份等。接觸控制是指非系統(tǒng)維護(hù)人員不得接觸到程序的技術(shù)資料、源程序和加密文件，從而減少程序被修改的可能性；程序備份則是指有關(guān)人員要注明程序功能后備份存檔，以備系統(tǒng)損壞后重建安裝之需。程序的安全控制還要求系統(tǒng)使用單位制定具體的防病毒措施，包括對(duì)所有來歷不明的介質(zhì)在使用前進(jìn)行病毒檢測(cè)，定期對(duì)系統(tǒng)進(jìn)行病毒檢測(cè)，使用網(wǎng)絡(luò)病毒防火墻以防止日益猖獗的網(wǎng)絡(luò)病毒侵入等。

　　4.網(wǎng)絡(luò)安全控制。網(wǎng)絡(luò)對(duì)會(huì)計(jì)信息系統(tǒng)的安全性提出了比單機(jī)系統(tǒng)更高的要求。如果安全控制設(shè)計(jì)不好，會(huì)帶來比單機(jī)系統(tǒng)更大的損失。針對(duì)網(wǎng)絡(luò)的特點(diǎn)，需加強(qiáng)以下幾個(gè)方面的控制：一是用戶權(quán)限設(shè)置。從業(yè)務(wù)范圍出發(fā)，將整個(gè)網(wǎng)絡(luò)系統(tǒng)分級(jí)管理，設(shè)置系統(tǒng)管理員、數(shù)據(jù)錄入員、數(shù)據(jù)管理員和專職會(huì)計(jì)員等崗位，層層負(fù)責(zé)，對(duì)各種數(shù)據(jù)的讀、寫、修改權(quán)限進(jìn)行嚴(yán)格限制，把各項(xiàng)業(yè)務(wù)的授權(quán)、執(zhí)行、記錄以及資產(chǎn)保管等職能授予不同崗位的用戶，并賦予不同的操作權(quán)限，拒絕其他用戶的訪問。二是密碼設(shè)置。每一用戶按照自己的用戶身份和密碼進(jìn)入系統(tǒng)，對(duì)密碼進(jìn)行分級(jí)管理，避免使用易破譯的密碼。三是對(duì)存儲(chǔ)在網(wǎng)絡(luò)上的重要數(shù)據(jù)進(jìn)行有效加密。在網(wǎng)絡(luò)中傳播數(shù)據(jù)前對(duì)相關(guān)數(shù)據(jù)進(jìn)行加密，接收到數(shù)據(jù)后作相應(yīng)的解密處理，并定期更新加密密碼。四是注意網(wǎng)絡(luò)傳輸介質(zhì)、接人口的安全性，盡量使用光纖傳輸，接入口應(yīng)保密。

　�。ǘ�）會(huì)計(jì)電算化系統(tǒng)的應(yīng)用控制。應(yīng)用控制是對(duì)會(huì)計(jì)電算化系統(tǒng)中具體的數(shù)據(jù)處理活動(dòng)所進(jìn)行的控制。應(yīng)用控制可劃分為輸入控制、計(jì)算機(jī)處理與數(shù)據(jù)文件控制和輸出控制。

　　1.輸入控制。常用的控制方法包括：建立科目名稱與代碼對(duì)照文件，以防止會(huì)計(jì)科目輸錯(cuò)；設(shè)計(jì)科目代碼校驗(yàn)，以保證會(huì)計(jì)科目代碼輸入的正確性；設(shè)立對(duì)應(yīng)關(guān)系參照文件，用來判斷對(duì)應(yīng)賬戶是否發(fā)生錯(cuò)誤；試算平衡控制，對(duì)每筆分錄和借貸方進(jìn)行平衡校驗(yàn)，防止輸入金額出錯(cuò)；順序檢查法，防止憑證編號(hào)重復(fù)；二次輸入法，將數(shù)據(jù)先后兩次輸入或同時(shí)由兩人分別輸入，經(jīng)對(duì)比后確定輸入是否正確等。

　　2.計(jì)算機(jī)處理與數(shù)據(jù)文件控制。常用的控制措施包括：登賬條件檢驗(yàn)，即系統(tǒng)要有確認(rèn)數(shù)據(jù)經(jīng)復(fù)核后才能登賬的控制能力；防錯(cuò)、糾錯(cuò)控制，即系統(tǒng)要有防止或及時(shí)發(fā)現(xiàn)在處理過程中數(shù)據(jù)丟失、重復(fù)或出錯(cuò)的控制措施；修改權(quán)限與修改痕跡控制，即對(duì)已人賬的憑證，系統(tǒng)只能提供留有痕跡控制，也就是說，系統(tǒng)只能提供留有痕跡的更改功能，對(duì)已結(jié)賬的憑證與賬簿以及計(jì)算機(jī)內(nèi)賬簿生成的報(bào)表數(shù)據(jù)，系統(tǒng)不提供更改功能等。

　　3.輸出控制。控制措施包括：控制具有相應(yīng)權(quán)限的人才能執(zhí)行輸出操作，并要登記操作記錄，從而達(dá)到限制接觸輸出信息的目的；打印輸出的資料要進(jìn)行登記，并按會(huì)計(jì)檔案要求保管。