2信息技术环境下会计控制现状分析
通过对现行做法的分析,找出存在的问题与缺陷;通过对日新月异的信息技术的关注与考察,分析对会计控制提出的新挑战。
2.1现行财务软件对内部控制的做法
2.1.1责任控制与操作控制。责任控制是指系统为每一个合法系统使用人员设置不同的工作权限,防止系统使用人员进行非本人工作范围的工作,即权限管理。系统操作控制是指设置系统使用人员及口令,防止非系统使用人员进入系统,保证系统使用人员的合法性,即人员口令管理。现行会计软件一般的做法是将责任控制与操作控制进行统一管理,即统一设置一个权限管理库,该数据库结构一般包括用户名、口令及各不相容分工的权限等内容。
从责任控制和操作控制的现状来看,可以打开权限管理库窃取姓名和口令,以别人的身份进入系统,张冠李戴;也可以私自篡改权限,可以一人行使诸如凭证录入与审核等不相容的职权,不能保证系统人员合法管理和权限职责的分工。
2.1.2输入控制。输入控制是指系统自动控制数据的正确性。系统一般提供凭证输入防错和二次录入防错两个功能。凭证输入防错是在输入错误凭证时系统给予提示信息。二次录入防错,是将第一次录入的凭证存储在凭证库,由另一个人将已录入的凭证重新输入即第二次录入。二次录入的凭证存储于凭证二次库,再通过检索凭证类别和凭证号,将两个数据库中相同类别和相同编号的凭证进行比较,若两者不完全相同则表明该张凭证输入有错,再将该凭证与原始凭证进行对照做相应修改,达到检验数据正确性的目的。从输入控制的二次校验来看,实际工作中,许多企业组织的会计人员认为二次录入比较繁琐,浪费人力、精力和时间,于是直接打开二次凭证库,将第一次录入的凭证全部拷贝过来,然后执行二次校验时全部通过,这就达不到防止输入差错的作用。
由于计算机处理结果的正确性和可靠性的基础是输入数据的正确、完整和合法性,但数据在输入过程中,却经常出现这样一些问题:一是送交计算机处理的数据不真实、不完整;二是将待处理数据变为机器可读形式的转换过程中发生错误、重复、遗漏或非法变动等;三是错误的原始数据未做及时更正,或虽已更正但并未重新输入。为了防止上述错误的发生,往往需要对应用系统采取适当的输入控制。
2.1.3内部状态控制。系统内部状态控制是指系统自动实现操作的逻辑顺序和尽量保留系统的工作痕迹。在会计软件中,系统为机内记账凭证一般设置四种状态,如果首次录入的凭证表示为“1”,审核的凭证表示为“2”,已记账的凭证表示为“3”,已结账的凭证表示为“4”。若凭证状态为“1”时,表示已录入未经审核的凭证,可以修改不能记账。若凭证状态为“2”,表示凭证已经审核,可以记账。若凭证状态为“3”,表示已经记账,如果录入错误不能直接修改,只能用“红字冲销法”进行修改。若凭证库中所有凭证状态都为“3”,表示所有凭证均已记账,此时可以进行结账。结账后,所有凭证状态均变为“4”,表示本月已结账,不能再录入本月凭证,可以准备下月的凭证录入等处理工作。所以,在会计软件中,可根据凭证状态自动控制凭证按“录入——审核——记账——结账”的逻辑顺序进行处理,有利于保证会计信息的真实性和完整性。但许多商品化会计软件中,设置了一些不应有的功能,使得不少必要的程序控制失效。如有些软件设置了“反登账”、“反结账”等功能,一些软件可以如此连续处理数月的数据,使得国家规定的复核、登账后不能再直接修改有关凭证、账薄内容和结账后不能再输入、修改该月的凭证、账簿等控制完全失效。甚至还有一些会计软件允许用户不复核可以记账,数月不结账可以连续以后各月的账务处理。此外,系统将机内凭证设置为四种状态,主要是保证凭证按录入、审核、记账、结账的逻辑顺序进行处理,防止输入数据出错,防止重复记账,并尽量使系统工作留有痕迹。但在现实中,一些会计人员往往通过直接打开凭证数据库修改状态标志来控制凭证内部状态,达到“方便”的目的,如若想修改已记账的凭证,无需“红字冲销法”的麻烦过程,而只要打开凭证数据库将状态标志“3”改为“1”即直接运行修改功能进行数据修改。
综上所述,现行会计信息系统条件下,会计控制没能从实质上达到防止舞弊和内部控制作用。失控的内部控制,可能导致非法操作人员进行非法操作,可能导致不相容职权由一人行使,还有可能造成凭证重复记账等。
2.2单机环境下会计控制的缺陷
由于计算机具有工作自动化、控制程序化、存储数字化等特点,传统的单机电算化会计信息系统在提高会计工作效率的同时也带来了内部控制上的新问题,具体表现在:
2.2.1原始凭证数字化,易于伪造,数据安全性差。手工系统中数据的处理和存储均分散于各个部门和人员,而计算机系统的突出特点就是其处理和存储的集中化。由此对数据安全带来一定的威胁。如未经授权的人员可以利用计算机轻而易举的浏览其他部门文件和数据,从而使得机密数据被泄漏。另外,计算机的存储方式是信息转化为数字形式存储在磁(光)介质上,因此极易被篡改甚至伪造而不留任何痕迹。这给一些不法之徒提供了机会,比如通过伪造或修改客户、银行的凭证,制造虚假交易,进而侵吞公款等。数据大量集中存储于磁、光介质中,一旦发生火灾、水灾、被盗之类的事件,就可能是全部数据丢失或者毁损;同时磁、光介质对环境的要求较高,不仅要防水、防火,还要防尘、防磁,而且对温度还有一定的要求,从而增加了数据的脆弱性。
2.2.2会计业务缺乏有效牵制,差错会反复发生。在手工系统中,发生差错往往是个别现象,而且由于数据处理分散于多个部门、多个人员完成,一个部门或人员的差错往往可以在下一个环节中发现和改正。所以一般而言,一定时间内数据中反复发生错误的可能性并不大。但计算机系统处理的集中化,加之计算机运算的高速性,使得其处理结果一旦发生错误,就往往在短时间内迅速蔓延,使得多种文件、账簿,以至整个系统失真。如果发生错误的原因在于系统程序和系统软件,则计算机就会重复执行同一错误操作。由于计算机的自动高效使工作人员减少,各种手续都被合并到一起由计算机统一执行,从而不能像手工方式那样相互牵制,由此产生了内控隐患。
2.2.3内部控制严重依赖于程序的质量,而程序易被非法调用篡改。会计信息系统的关键是计算机软件,因此其内部控制也更加依赖于程序的质量。一旦程序中存在恶意的设置,便会严重危害系统安全。而会计人员对计算机专业知识所知甚少,很难及时发现这些漏洞,致使系统会多次重复同一错误,扩大损失。如果对任何人接近计算机系统缺乏控制,则未经授权的人员也可以上机操作,改动程序。同时对于经批准接近系统的操作人员加以限制也非常重要。
2.2.4权限分工的主要形式是口令授权。口令存放于计算机系统内而不是像印章那样锁在箱子里或带在主人身上,因此一旦被人偷看到或窃取到便会带来巨大隐患。
以上问题是由会计信息系统自身特点所决定的,在单机系统下只能通过加强人员教育等方式进行预防,难以彻底解决。
2.3网络技术的发展对会计控制的新影响
2.3.1会计信息失真的风险加剧。从信息的取得渠道看,其来源具有多样性,有可能导致审计线索紊乱;从信息传递的方式看,大量信息通过网络通讯线路传输,有可能遭受非法的拦截、窃取和纂改;从信息的存储形式看,信息大都以电子数据的形式存储,肉眼很难辨认,易被修改、删除、隐匿、转移和伪造且不留痕迹。网络系统的开放性和动态性加大了审计取证难度,加剧了会计信息失真的风险。
2.3.2很难避免非法侵扰。网络是一个开放的环境,在这个环境中一切信息在理论上都是可以被访问到的,除非它们在物理上断开连接。因此,网络下的会计信息系统很有可能遭受非法访问甚至黑客或病毒的侵扰。这种攻击可能来自于系统外部,也可能来自系统内部,而且一旦发生将造成巨大的损失。
2.3.3内部稽核难度加大。若要对信息系统进行审核,则必须克服下列几项问题:企业可能会担心相关内部资料暴露于外,影响其竞争能力;稽核必须运用更复杂的查核技术,会计师必须培训具备复杂电脑资料处理能力,才能胜任此项工作;稽核将大幅增加查核所需的时间与成本。
2.3.4网络环境下无形资产转移难以控制。知识经济形成后,会计控制的客体发生了变化,由部分有形资产转移到了无形资产。实务经济形态中的各种有形资产是一种静态资产,只有借助外界的力量才能转移。但无形资产是一种动态资产,在利益机制的驱使下在网上很容易转移。
2.3.5电子商务给内部控制出难题。随着电子商务的迅猛发展,网上交易愈加普遍,可以想象在不久后企业的全部原始凭证都将成为数字格式,这加强了企业对网上公证机构的依赖。但直到目前相应的技术和法规还远没有达到完善,这也给系统的内部控制造成困难。
3加强信息技术环境下会计控制的建议
严格的内控制度是会计信息真实可靠的保证。内部控制制度要求处理同一笔经济业务的人员既要相互联系,又要相互制约。此外,严格的内控制度有助于防止违法行为的发生。国内外会计电算化的实践表明,计算机本身处理出错几乎为零,但人为造成出错和舞弊的现象有增无减,而且一旦出现舞弊,损失巨大。因此,制定严格的内控制度是非常有必要的。就目前我国开展会计电算化的应用现状来看,大部分还停留在一般应用水平上,人们对于人员职责分工,数据备份和保管,软硬件使用和维护等方面的重要性往往认识不足;对网络环境下的会计控制,更是了解很少,应用更少,但电子商务的迅猛发展,迫使人们面对这一挑战。
加强信息技术环境下会计控制的做法:
3.1加强程序操作控制。
这项控制就是针对信息技术的发展提出的新要求之一。为了保证信息处理质量,减少产生差错和事故的概率,应制定上机守则与操作规程的办法,这是操作控制制度化的具体体现。为了保证操作的合法性,操作员身份合法性检验和操作权限管理就变得非常重要,操作人员必须严格保护自己的操作密码,防止自己的操作权限被他人侵犯。
3.2加强人员职能控制。
如何合理进行人员岗位设置,对保证会计数据的及时、准确、安全具有重要作用,这就要求我们必须结合企业组织的实际情况,进行科学、合理的人员分工。必须制定相应的组织和管理控制,明确职责分工,加强组织控制。所谓组织控制,就是将系统中不相容的职责进行分离,即在系统中的各类人员之间进行分工,并以相应的管理规章与之配套。职责分工首先是将电算化部门与用户部门的职责相分离。用户部门指产生原始数据的部门或人员。在这两者之间进行职责分工的目的,是尽可能保持不相容职能(如业务授权、执行、保管和记录)的分离,以及在电算化部门内部的职责分离。通过进行内部职责分工,以补救不相容职能集中化的不足,体现各部门间相互牵制和相互监督的作用。
3.3加强系统安全控制。
这项控制是为了保证计算机系统的运行安全,避免由于外部环境因素导致系统运行错误的不安全隐患。它主要包括:接触控制和环境保护、安全控制。接触控制是防止未经授权的人擅自动用系统的各种资源,以保证各项资源的正确性。主要的控制措施包括:(1)订立内部操作制度,禁止非电脑操作人员操作公司电脑;(2)设置操作权限限制;(3)操作人员身份的密码控制;(4)数据存贮和处理相隔离;(5)设置接触与操作的日志控制。环境保护则是为了尽量减少外界因素所致的计算机故障,以保障机器正常运行。
随着网络技术快速地发展,公司应加强网络安全的控制,设置网络安全性指标,包括数据保密、访问控制、身份识别等,并且针对公司的特定状况,开发相应的技术来保护系统。
3.4加强内部审计。
内部审计既是公司、企业内部控制系统的重要组成部分,也是强化内部会计监督的制度安排。在会计电算化中,由于是“人机”对话的特殊形态,因而对内部审计提出了更高、更严格的要求。笔者认为,内部审计必须包括以下几个方面:(1)对会计资料定期进行审计,电算化会计帐务处理是否正确,是否遵照《会计法》及有关法律、法规的规定,审核费用签字是否符合公司内控制度,凭证附件是否规范完整;(2)审查机内数据与书面资料的一致性,如查看帐册内容,做到帐表相符,对不妥或错误的帐表处理应及时调整;(3)监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;(4)对系统运行各环节进行审查,防止存在漏洞。
综上,随着网络技术的逐渐成熟与完善,会计控制将发生深刻的变化。只有清楚地意识到这些变化,才能适应社会的发展,建立完备的、崭新的会计体系。近年来,企业利用互联网推广电子商务,已成为全球性商业发展的重要趋势之一。专业人员(例如:会计师、会计人员、稽核人员等)如何体察此种趋势,培养相关的能力,以掌握机会,发挥专业服务功能,应是值得重视的课题,探讨信息技术对于会计控制的冲击与影响具有深远意义。
参考文献:
[1].杜栋.信息管理学教程[M].清华大学出版社,2002.
[2].于玉林.现代会计哲学[M].经济科学出版社,2002.
[3].付得一.会计信息系统[M].经济科学出版社,2002.
[4].李国盛.内控制度的现状、成因及对策建议[J].四川会计,2001,2.
[5].宋建.企业会计控制原理及应用[M].中国财政经济出版社,2001.