关于IT环境下对会计电算化内部控制的实践报告

百分百晓林

关于IT环境下对会计电算化内部控制的实践报告

所谓IT是“Information Technology”(信息技术)的缩写,指计算机、通讯及相关技术。IT业(通常就指计算机业)恰好有着这两副截然不同的面孔:一副是高科技的美妙动人,一副是商场争利的赤裸贪婪。其飞速发展已渗透到会计工作的方方面面,一方面使会计工作的内容大大丰富,效率、质量大大提高,另一方面也使企业传统内控点发生很大变化,计算机舞弊和犯罪的现象大大增加。据美国《电子计算机世界》的资料披露,作为发达国家的美国,因电脑犯罪而发生的损失每年高达数亿美元。1986年我国首例计算机舞弊案,即大连市工商银行某办事处计算机会计系统管理员,伙同他人利用计算机000账目文件,截留企事业单位的贷款利息,贪污数额7位数以上,时间达数年之久。可见无论在国外还是在国内,加强IT环境下的企业内控时不我待、势在必行。
会计电算化内部控制是内部会计控制的特殊形式。财政部2001年6月颁布的《内部会计控制规范基本规范（试行）》中指出“电子信息技术控制要求运用电子信息技术建立内部会计控制系统，减少和消除人为操纵因素，确保内部会计控制的有效实施。”从制度上说明了加强会计电算化内部控制的必要性。
自20世纪80年代以来，IT技术迅猛的发展状况，剧烈地改变着企业的经营环境，冲击着传统的企业管理模式。本文对IT环境下传统会计电算化内部控制存在的问题做出总结，并就完善IT环境下企业内部会计控制制度提出对策。

一、IT环境下会计电算化对内部控制的影响
随着IT技术，特别是以Internet为代表的网络技术的发展和应用，以提供财务信息为主的会计，正由传统的手工会计系统向电算化会计系统、网络会计系统方向发展。这无疑是企业管理手段的巨大进步，极大地促进了会计工作效率的提高，但同时也给企业内部会计控制带来了新的问题和挑战，具体表现在：
（一）授权方式的改变，潜伏着巨大的控制风险
授权、批准，乃是一种常见的内部控制手段。在手工会计系统中，一项经济业务由发生到形成相应的会计信息，其经历的每一个环节都应由具有相应的管理权限的有关人员签章，方可办理。自然形成了层层复核、道道把关，严格的审核复查机制。这种传统管理方式的效率虽不高，但可有效的防止作弊。但在电算化会计信息系统中，大部分处理由计算机完成，
篇首注释：本人陈志斌，现工作岗位是佛山移动分公司信息技术中心工作，职称是中级计算机管理人员。本文写作目的是根据2008年协助财务部进行网络调整优化及管理，在实践的工作上了解到会计电算化内部控制的情况，发现存在的问题做出的总结。对于现有企业的会计信息系统的内部控制体系必须有一个深刻的变化，才能建立与时代相适应的、更有效的内部会计控制制度，满足企业管理的需要。
审查、复核等控制被削弱，甚至消失了。在电算化会计信息系统中，权限分工的主要形式是口令存放于计算机系统内而不像印章那样由专人保管，一旦口令被人偷看或窃取，便会带来巨大隐患，此种案例已发生多起。如c会计人员被客户收买，窃取口令，非法核销客户的应收款及相关资料；销货人员窃得顾客订单密码，开出假订单，骗走公司产品等等。
（二）内部控制的程序化
内部控制的程序化有可能使同一种差错反复发生电算化会计、网络会计的内部控制，在很大程度上取决于这些会计信息系统中运行的应用程序的质量。一旦这些应用程序中存在严重的BUG或恶意的“后门”，便会严重危害系统安全。毕竟，会计人员对计算机专业知识所知有限，很难及时发现这些漏洞。这样在专业人员找到或墙上这些程序漏洞之前，系统便会多次重复同一错误。扩大损失，这也是手工会计系统不会遇到的问题。
（三）会计岗位发生变化，会计业务缺乏有效牵制
由于会计电算化的工作自动化、程序的控制化，各种手续都由计算机自动处理统一执行，会计基础数据的来源和处理方式、会计管理操作形式等都发生了很大的变化。与此相适应，会计工作的分工、岗位职责、权限也发生了变化，使传统职责分割的控制作用近于消失，信息载体的改变及其共享程度的提高，又使手工系统以记账规则为核心的控制体系失败，如不及时调整将形成内部控制隐患。
（四）原始凭证数字化，使得会计信息易于被簒改或伪造
在手工会计系统中，原始凭证是以纸张为载体，很难不露痕迹地加以000或伪造。但随着电子商务的发展，一些单位的原始凭证也如同记账凭证、会计账簿或报表一样，已实现数字化、电子化，即以数字形式存储在磁（光）性介质上，这种无纸凭证极易被篡改或伪造而不留任何痕迹，它弱化了纸质原始凭证所具有的较强的控制功能，给内部会计控制带来了新的难题。另外，磁（光）性介质容易损坏，一旦受损，又很难修复，这更使数字化的会计信息丢失或毁坏的风险加大。
（五）网络环境的开放性加剧了会计信息失真的风险
网络技术无疑是目前IT发展的方向，特别是Internet在财务软件中的应用对电算化会计信息系统的影响将是革命性的。但网络环境具有开放性的特点，这就给会计信息系统的内部控制带来了许多新问题。如网络环境下，信息来源的多样性，有可能导致审计线索絮乱；大量会计信息通过网络通讯线路传输，有可能被非法拦截、窃取甚至篡改；网络会计信息系统遭受“病毒”入侵或“黑客”攻击的可能性更大等等。总之，网络环境的开放性和动态性，加剧了网络会计信息失真的风险，加大了网络会计内部控制的难度。
二、IT环境下企业会计信息系统的内部控制程序
（一）组织与管理控制
组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制，其基本目标是建立恰当的组织机构和职责分工制度，以达到相互制约、防止或减少舞弊发生的目的。在进行会计分工和职责划分时，重要的一点是不相容职务的分离，计算机会计系统与手工会计系统一样，对每一项可能引起舞弊或欺诈的经济业务，都不能由一个人或一个部门经手业务，都不能由一个人或一个部门经手到底，必须分别由几个人或几个部门承担。
（二）系统日常操作管理控制
系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业，不得超越权限接触系统。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。操作规程应明确职责、操作程序和注意事项，并形成一套电算化系统文件，如对进入机房内的人员进行严格审查；规定交接班手续和登记运行日志；规定数据备份及机器的使用规定；规定软盘专用以防病毒感染；规定不准在计算机上玩电脑游戏等等。标准操作规程包括：软硬件操作规程，作业运行规程，上机时间记录规程等。
（三）系统维护控制
系统的维护是指日常为保障系统正常运行而对系统硬软件进行的安装、修正、更新、扩展、备份等方面的工作。系统维护控制就是针对这些工作而实施的控制。系统维护包括硬件维护和软件维护。硬件维护主要包括定期进行检查并做好记录；在系统运行过程中出现硬件故障要及时进行故障分析并做好记录。而软件维护包括正确性维护、适应性维护和完善性维护。在软件000、升级和硬件更换过程中，要保证实际会计数据的连续和安全，并由有关人员进行监督。
（四）数据和程序控制
数据和程序控制主要是指对数据、程序的安全控制。程序的安全与否直接影响着系统的运行，而数据的安全与否关系到财务信息的完整性和保密性。数据控制的目标是要做到任何情况下数据都不丢失、不损毁、不泄露、不被非法侵入。通常采用的控制包括接触控制、丢失数据的恢复与重建等。程序的安全控制是要保证程序不被000、不损毁、不被病毒感染。常用的控制包括接触控制、程序备份等。
三、充分利用现代IT技术，增强网络会计系统的安全控制
（一）网上公证的形成可有效地预防数字化的原始凭证被000或伪造
所谓网上公证，就是利用网络的实时传输功能和日益丰富的互联网服务项目，实现原始交易凭证的第三方监控。比如，每一家企业都在互联网认证机构申领数字签名和私有密钥，当交易发生时，交易双方将单据或有关证明均传到认证机构，由认证机构核对确认，进行数字签名并予以加密，然后将已加密凭证和未加密凭证同时转发给双方，这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这种交易中，交易一方因无法获得另一方的数字签名和私有密钥，很难伪造或篡改交易凭证。主管人员或审计人员一旦对某笔业务产生怀疑，只需将加密凭证提交客户和认证机构解密，将其结果与未加密凭证相对照，问题便迎刃而解。
（二）采用加密码的电子签名，可增强电子化原始数据的防伪功能
在无纸化的会计信息系统环境中，如果应用软件正确无误，系统传输安全可靠，则会计信息系统中派生数据（包括电子化的记账凭证、账簿数据和会计报表）的正确性、真实性和完整性完全取决于电子原始数据。因此，电子化的原始数据的审核和确认显得尤为重要。电子化原始数据的审核可采取类似的方法：一要注意相关业务不同数据记录之间的相互核对；二要关注经办人、批准人等相关人员的电子签名。电子签名不同于手工签章，会计如何确认这种电子签名的有效性是一个不容忽视的问题。目前的多数会计核算软件中，电子签名广泛采用普通汉字或字母代码填写，很容易被摹仿或伪造，为了克服这一缺点，增强电子原始数据的防伪功能，宜采用加密码进行电子签名，使其不容易被篡改或伪造。
（三）通过物理隔离和逻辑隔离手段进行系统入侵防范控制
　　为了防止非法用户对网络会计系统的入侵，可采取以下措施：1.设置外部访问区域。访问区域是系统接待外界（关联方、社会公众）网上访问。与外界进行会计数据交换的逻辑区域。企业在建立内联网时，要对网络的服务功能和结构布局进行详细分析，通过专用软件、硬件和管理措施，实现会计应用系统与外部访问区域之间严密的数据隔离。2.建立防火墙。防火墙是建立在被保护网络周边的、分隔被保护网络与外部网络的一种技术系统。为了有效地防范非法用户对网络会计系统的入侵，可设置内外两层防火墙。外层防火墙主要用来限制外界对主机操作系统的访问；内层防火墙主要用来逻辑隔离会计应用系统与外部访问区域之间的联系，限制外界穿过访问区域对内联网，尤其是对会计数据库系统的非法访问。
总之，IT技术正在改变着社会，“IT引起的变革浪潮正在撞击着会计的海岸线”，会计信息系统的内部控制体系因此将要发生深刻的变化，会计职业界只有深刻地认识到这种变化，主动地适应这种变化，才能在传统控制观念的基础上，充分利用现代IT技术，开展内部控制的创新工作，建立与时代相适应的、更有效的内部会计控制制度，满足企业管理的需要。