一、企業內部控制重要性理論分析及其對企業經營活動的作用
內部控制是衡量現代企業管理的重要標志,通過實踐得出的結論是:得控則強、失控則弱、無控則亂。在《會計法》二十七條中規定“各單位應當建立、健全本單位內部會計監督制度”。單位內部會計監督的執行,靠的就是內部控制。內部控制是形成一系列具有控制職能的方法、措施、程序,并予于規范化和系統化,使之成為一個嚴密的、較為完整的體系。
廣義地講,一個企業的內部控制是指企業的內部管理控制系統,包括為保證企業正常經營所采取的一系列必要的管理措施。內部控制的職能不僅包括企業最高管理當局用來授權與指揮進行購貨、銷售、生產等經營活動的各種方式、方法,也包括核算、審核、分析各種信息資料及報告的程序和步驟,還包括為對企業經濟活動進行綜合計劃、控制和評價而制定或設置的各項規章制度。
因此,內部控制貫穿于企業經營活動的各個方面,只要存在企業經濟活動和經營管理,就需要有相應的內部控制。內部控制按其控制的目的不同,可以分為會計控制和管理控制。會計控制是與保護財產物資的安全性、會計信息的真實性和完整性以及財務活動的合法性有關的控制;管理控制是指與保證經營方針、決策的貫徹執行,促進經營活動的經濟性、效率性、效果性以及經營目標的實現有關的控制。會計控制與管理控制并不是相互排斥、互不相容的,有些控制措施既可以用于會計控制,也可用于管理控制。
內部控制的目標是確保單位經營活動的效率性和效果性、資產的安全性、經濟信息和財務報告的可靠性。其主要作用:一是有助于管理層實現經營方針和目標;二是保護單位各項資產的安全和完整,防止資產流失;三是保證業務經營信息和財務會計資料的真實性和完整性。除此之外,保證單位內財務活動的合法性也是內部控制的目標。
二、實行會計電算化情況下企業內部控制發生的變化及其原因分析
隨著科學技術的發展,電子計算機數據處理技會計領域已得到了廣泛應用,使財會工作向生產技術和經營管理領域廣泛滲透。財會工作從單純的記賬、算賬、報賬中解脫出來,轉向經營管理,但它也給電算化會計內部控制的設置帶來了新的問題。
在手工操作下,有崗位責任制和各種內部牽制制度,保證了手工核算下會計信息的正確性,企業資產的完整和安全。計算機的引入使得內部控制制度發生了一定的變化。由于電子計算機具有高速、穩定的特點,有很強的邏輯判斷和邏輯分析能力,使內部控制主要有兩方面變化:
(1)手工操作下的一些內部控制措施在電算化后沒有存在的必要性了,如:編制科目匯總表、憑證匯總表等試算平衡的檢查。總賬、明細賬的核對,由于計算機不會在整理過程中出現某些失誤,沒有核對的必要。
(2)手工操作下的一些內部控制措施,在電算化后轉移到計算機內了,如憑證的借貸平衡校驗;余額、發生額的平衡檢查;各核算與系統之間的數據核對;報表數據的關系檢查等。會計電算化條件下,內部控制的現存問題有以下幾個方面。
(一)不相容職能分離,職責分工原則的重要性下降。
傳統手工會計處理系統的內部控制是建立在不相容職能分離及相應職責分工的基礎上。采用電算化后,由于功能和知識高度集中,導致職責的集中,原手工操作下不宜合并的崗位,采用電算化后可以合并,會計人員大大減少,致使這些原則的重要程度下降。某些會計人員可能既從事數據的輸入、處理,又負責數據的輸出、報送,他們可能在數據來源的相互關系、數據如何處理、分配及輸出的使用等方面具有詳細的知識,也熟知內部控制的缺陷,這就有可能使他們在未經批準的情況下,直接對使用中的程序和數據庫進行修改和操作處理,加大了出現錯誤與弊端的風險。
(二)現行會計電算化系統本身無法實施對經濟業務發生的合理性、合法性和真實性的控制。
只要現代科學技術沒有達到會計軟件系統完全智能化,會計電算系統在信息處理時就不可能擺脫人的監督和幫助,不可能取代會計人員在經濟活動中的職能和作用。盡管當今的會計電算化軟件系統有較強且完善的事后信息處理功能,但現在還沒有一個完全可以自行獨立處理各種經濟業務全過程信息的會計軟件系統,因而,人的參與在會計電算化應用中是極為重要的,也是極為關鍵的。相應地,把一個合理、合法、真實、正確的數據輸入計算機時,事先離不開人對該數據的甄別,這實質就是一個控制的問題。
(三)輸入依據和輸出結果不嚴密
采用電算化后,程序與數據存儲在一起;數據的輸入和輸出形式和手工會計系統也大不相同。數據的輸入可能缺乏充分可靠的記錄,未經確認沒有附件的數據亦可能被輸入系統內。在輸出方面,有些業務或處理結果可能不被打印出來,只有依靠電子計算機才能查看到存儲在磁性媒體中的數據。而如何存取改動數據的命令和程序又集中在同一裝置內,如果沒有適當的控制,未經批準擅自存取或改動數據就很有可能。
(四)實行會計電算化后會計數據處理方式及會計存儲方式變化的影響
1.數據處理方式變化的影響。原手工方式下,從憑證到賬簿、報表、是按一定組織方式分別由不同的人完成的。同時各明細賬記錄和總賬記錄也是由不同人員分別人員處理的。在電算化會計方式下,數據全由計算機完成,且數據修改方便,而手工會計發現錯誤,采用劃紅線并簽章的改錯方法,實行電算化后在計算機上修改錯誤,修改過的數據很難留有痕跡。
2.數據存儲方式變化的影響,導致數據的安全保密性差。所謂數據的安全保密性主要指下面兩個方面:
其一是對數據的非授權使用(包括對數據的查詢、修改、加入、刪除等操作);
其二是人為惡意的或者因為軟、硬件故障致使數據受到破壞以后的恢復。
在手工方式下,數據和信息存儲在各種證、賬、表中,存儲在各種紙介質上,對數據修改的可見度高,人為控制比較容易。但是在電算化方式下,大量數據一開始就存儲在各種磁介質上,以機器可讀方式保存起來。這一變化降低了數據檢查的直觀性和可見性,使原來有判斷錯誤能力的人失去了判錯作用,從而降低了整體的可控性。同時,財務上的數據,是企業的絕對秘密,在很大程度上關系著企業的自下而上與發展,但幾乎所有的軟件系統都在為完善會計功能和適應財務制度大傷腦筋,卻沒有幾家軟件認真研究過數據的保密問題。
所謂的加密,也無非是對軟件本身的加密,防止盜版。另外在進入系統時加上些諸如用戶口令、聲音監測、指紋辨認等檢測手段和用戶權限設置等限制手段,不能真正起到數據的保密作用。安全性上,更是難如人意,系統一旦癱瘓,或者受病毒侵襲,或者突然斷電,很難從容恢復原來的數據。
目前數據完全保密性好的會計電算化軟件很少,在這些軟件中,數據往往完全暴露在所有用戶的面前,一個人只要打開計算機,即使算不上一個“電腦高手”,他往往也可以隨意地查詢修改數據,甚至有意地破壞數據。例如,在1993年初,某公司發現電腦中的工資數據被改動,但不知道是何人所為,此外,這些軟件的容錯能力也很差,它們對用戶的操作有許多的限制,用戶在使用軟件時心理壓力很大,有一種如履薄冰的感覺,生怕由于自己無意的操作錯誤而發生問題。
(五)實行會計電算化以后,出現了利用會計電算化進行舞弊的現象。
實行會計電算化以后企業的財務數據都是以電子數據的方式進行存儲,而電子財務數據沒有字跡特征,不能通過字跡來確定會計責任,所以有些人利用電子數據的這個特性來進行會計舞弊行為。進行會計電算化舞弊的方法主要有以下幾種方式:
1.篡改輸入。這是最簡單也是最常用的計算機舞弊手法,該方法通過在經濟數據錄入前或加入期間對數據做手腳來達到個人目的,如:虛構業務數據、修改業務數據、刪除業務數據。
2.篡改文件。是指通過維護程序來修改或直接通過終端來修改文件中的數據。在電算化會計系統中,有很多重要的原始參數以數據的形式保存在計算機文件中,如存貨的零售價、批發價等,這些參數是計算機程序計算的依據之一,缺少或修改了這些參數,將得不到正確的結果。
(1)直接更改文件中的參數數據。這種方法最直接,但是可以留下許多痕跡,比如修改后的日期會被記錄下來,修改者很容易被追蹤。
(2)另造結構相同、數據不同的文件覆蓋原有文件。一般來講,大多犯罪行為都是采取這種手段實現的。實現在私人計算機上構造覆蓋文件,編制自動覆蓋指令,實施時,僅需極短的時間就可以達到其犯罪的意圖而不留痕跡。
3.篡改程序。是指通過對程序作非法改動,以便達到某種不法的目的。比如,將小量資金(比如計算中的四舍五入部分)逐筆積累起來,通過暗設程序記到自己的工資賬戶中,表面上卻看不出任何違規之處。
4.違法操作。指操作人員或其他人員不按操作規程或不經允許上機操作,改變計算機的執行路徑。如系統人員未經批準擅自啟動現金支票簽發程序,生成一張現金支票到銀行支取現金。
5.篡改輸出。通過非法修改、銷毀輸出報表、將輸出報表送給公司競爭對手利用終端竊取輸出的機密信息等手段來達到作案的目的。
6.其它方法。如通過物理接觸、電子竊聽、譯碼、拍照、拷貝、復印等方法來舞弊。
三、實行會計電算化情況下加強企業內部控制的對策
電算化會計與手工會計相比所使用的技術手段與組織結構、內部控制都存在著不同,對會計電算化的內部控制,比將內部控制推向傳統手工會計系統更為重要。由于會計采用電算化,其結果的正確性在很大程度依賴內部控制,因此管理當局應給予內部控制充分的重視。
然而,就我國目前應用會計電算化現狀來看,還只停留在一般利用水平。企業管理當局較少注意到由于計算機這一特定的工作環境所引起的內外部條件的變化,這可能對計算機數據處理結果的正確性構成威脅。從大多數企業來看,購買計算機,配備了相應的應用財務軟件,卻忽視了相關的內部控制。由于會計電算化的實施,其結果的正確性在很大程度上依賴內部控制,要在實行會計電算化的情況下做好企業的內部控制,主要做好以下的三方面工作。
(一)制度控制的形式
制度控制一般是以管理制度的形式實行的,即由主管部門制定一系列規章制度強制或監督會計部門執行,從而保證會計核算軟件正常和安全運行,免遭外界干擾破壞,向企業提供準確無誤的會計信息。制度控制的形式包括以下幾點。
1.會計電算化組織控制。會計核算軟件投入正式使用時,必須對原始結構作相應的調整,并對各類人員指定崗位責任制以幫助各個系統順利運行,完成預定目標。會計電算化后,會計崗位將重新劃分,其崗位包括系統管理員、電算主管、軟件操作、審核記賬、電算維護、電算審查與數據分析等,實行電算化系統中的職權分離。由于會計電算化實施,會計人員與開發人員聯系非常密切,因此需要用組織控制進行職權分離。
同時,在會計電算化應用軟件中設計一個操作權限管理模塊,將所有用戶的姓名、口令、操作權限、注冊情況等信息管理起來,可建立一個數據管理庫,確保所有操作人員必須已經登記注冊,否則無權使用系統。這個數據管理庫的結構如表1(略)。
其中:●注冊代碼——用來保證系統運行中只有經注冊登記的用戶方有資格操作。
●口令——一旦注冊,就要設置用戶的姓名與口令,以便在進入系統時,接受系統盤查。
●操作權限——將系統的所有功能模塊都設置一個權限標志,只有那些具有權限的授權人方可進入模塊操作。例如,若有五個子系統,則可能的權限標志組合是32種,假設0級為超級用戶,一級用戶只能訪問子系統1,3級用戶可操作子系統1和2等等。
●識別碼——用戶可根據需要設置一個識別碼,作為口令的一部分。為了保密起見,可令該碼是動態變化的,比如以當前“日”作為識別碼,則每天輸入的口令均不同。
通過組織控制,明顯可以改善由于實行會計電算化以后職責分工原則重要性下降的缺陷。不僅有利于減少出錯的可能性和風險,而且可以避免別有用心的某些人在未經批準的情況下對會計電算化的程序和數據庫進行修改和操作處理,減少舞弊行為的發生。
2.系統操作環境管理和控制。系統操作環境包括系統操作過程以及系統的維護。
操作過程控制主要是通過制訂一套完整而嚴格的操作規程來實現,操作規定應明確職責、操作程序和注意事項,并形成一套電算化系統文件。如規定系統開關的步驟;規定交接班手續和登記運行日志;規定數據備份的時間及存放地點;規定機器的使用規范;規定軟件專用以防病毒感染途徑等。
系統維護包括對硬件、軟件和數據的維護,對硬件的管理除按固定資產造冊登記,專人保管外,還應制定設備的使用,檢查和維護制度,規定機房的溫度、濕度、電壓等環境條件,以及規定防火、防盜等措施;對會計核算軟件的管理和控制,主要在防止對軟件的非法修改和刪除。
3.加強數據的保密與保護,確保數據的安全。電算化的安全保密控制主要是安全控制和保密控制。安全控制主要包括計算機硬件設備、軟件程序、數據文件、檔案資料的安全;機房內的安全包括供電、防火、防盜和空調設備,建立安全控制是為了減少計算機故障,保障計算機實際操作的正常運行。保密控制主要對存取權限進行控制,通過設多級保密措施,將系統密碼的源代碼和目的代碼置于嚴格的保密之中。
同時,對操作密碼實行雙人控制,即將所設密碼分兩部分、一部分由財會主管人員掌握,另一部分由操作人員掌握,只有兩者同時兼有密碼后,方能進人操作、由此,達到相互監控,防止舞弊行為發生。
數據是CAIS的核心,在加強保密的同時,它的安全也是不容忽視的,例如突然斷電、病毒侵襲、誤操作等意外因素造成數據丟失、系統癱瘓,企業無法正常運營,此時數據的安全性就格外重要,可以參考以下幾點:
1.文件自動在硬盤上另作備份,并有數據完整性檢查機制,定時更新。
2.微機操作員定期手動備份,將完整有效的數據及時轉儲。
3.嚴格機房管理,杜絕無關人員使用機器和外來未經檢查的磁盤(片),專機專管。
(二)程序控制的形式
程序控制是指靠計算機程序對會計核算進行內部控制,以實現系統的自我保護,這種自我保護的內部控制往往比通過各種管理制度實現的控制更為有效。程序控制由輸入控制、數據處理過程控制、輸出控制、維護安全控制組成。
1.會計數據輸入控制。輸入控制的設計目的是為了保證輸入的數據確已經過審批手續,并且能夠正確而完整地輸入計算機。輸入控制由以下三部分組成:
(1)經濟業務在由計算機處理之前經過適當的批準,即適當授權和審批。這一點非常重要,因為在當前的會計軟件遠沒有達到智能化的程度,所以要求在把一項經濟業務輸入計算機進行處理之前,由會計人員對該項經濟業務的合理性、合法性和真實性認真審核,依據固化在會計軟件系統中的一系列經濟法規和政策法令對所發生的經濟業務進行分析處理。會計主管也可通過定期抽查等方法檢查輸入電腦進行處理的經濟業務的正確性。
(2)設置責任控制,會計信息系統通過登記日記文件,以防止經濟業務被遺漏、添加、重復或不正當的更改,并對不正確的經濟業務進行刪除或更正。
(3)經濟業務準則地轉變為機器可讀的形式記錄在數據文件中。
2.數據處理過程的控制。會計數據正確輸入后,數據由程序進行具體的加工處理,遵循輸入、復核、更改、匯總、分類、登賬、對賬、轉賬、結賬等流程進行。這一控制過程是為了確保計算機運行時發現、糾正和報告某些有錯誤的輸入,從而保證數據處理的可靠性和正確性。數據處理控制主要有處理的流程控制、數據修改控制、數據備份和恢復控制、結賬控制等。由于不同子系統所處理的業務不同,所以處理過程中的控制內容和方法也不盡相同。因此,財務軟件應根據各子系統建立相應的數據處理控制機制。
3.會計數據輸出控制。會計信息的輸出包括查詢、打印和軟盤輸出等形式。內容涉及各種明細賬、日記賬、會計報表、總賬等。輸出控制最重要的目標是保證各種輸出結果的正確性、真實性、完整性、保證輸出的接觸人員僅限于經過授權的人中。這就要求對電腦打印的資料嚴格控制,并建立輸出資料控制制度,由指定人員負責分發,保管并登記輸出資料的使用者,分發日期,打印份數等。同時對發生的差錯進行記錄,仔細檢查,分析形成錯誤的原因是由于偶然性過錯還是人為差錯,并采取相應的避免措施或改進措施。
4.系統初始化控制。會計軟件必須有控制系統初始化的功能。因為初始化包括設置系統參數、設置會計科目、建立各種賬簿文件、錄入各種余額數據等,因此在系統運行前應進行初始化控制。
(三)加強對企業內部控制行為主體“人”的控制
即使企業實行了會計電算化,但是企業的行為主體仍然是人(這里所指的人是指一個企業從領導到有關業務經辦人員)。企業內部控制失效,經營風險、會計風險產生,行為主體全是人。企業只有作到上下一致,及時溝通,隨時把握相關人員的思想、動機和行為,才能把內部控制工作做好。具體講,應做好以下幾點工作:
第一,要及時掌握企業內部會計人員思想行為狀況。內部業務人員、會計人員違法違紀,必然有其動機,因此企業領導及部門負責人要定期對重點崗位人員的思想和行為進行分析,著重了解他們是否有賭博、炒股、經商、與社會劣跡人員往來和追求超常消費等情況,掌握可能使有關人員犯罪的外因,以便采取措施加以防范和控制。
第二,加強“復合型”電算會計類人才建設。企業應當吸納高校會計電算化畢業生補充到會計隊伍中來,同時選拔具有一定計算機知識的會計業務骨干到高校進修計算機專業,特別是對電算化管理人員的培訓工作要經常性進行,并結合經驗交流,使培訓收到實效,形成一支新老結合,高中低結合的會計電算化人才隊伍。
第三,對會計人員進行職業道德教育和業務培訓。職業道德教育要從正反兩方面加強對會計人員的法紀政紀、反腐倡廉等方面的教育,增強會計人員自我約束能力,自覺執行各項法律法規,遵守財經紀律,做到奉公守法、廉潔自律;提高會計人員的自身道德修養對于加強企業內部控制是非常重要的。因為在實踐操作上沒有十全十美的內控制度和程序,難免有一些漏洞,如果會計人員自身道德修養較高的話,他們就會對發現的漏洞采取補救措施,而不是利用漏洞為自己謀求私利,給企業造成損失。
只有三者結合,才會少出問題,達到相互監控,在促進會計電算化事業的發展同時,加強企業的內部控制。
四、結論與討論
目前計算機技術在企業會計信息處理中迅速普及和廣泛運用,雖然會計電算化給企業帶來極大方便和效益,但是企業也應該認識到由于企業實行會計電算化進程的發展,企業內部控制環境也隨之發生了變化,企業只有根據不斷出現的新情況采取相應的內部控制方法,才能在促進會計電算化發展的同時,加強企業內部控制制度和程序的建設,將內部控制的作用發揮到最大。
同時我們也要注意到一套完整的內部控制系統從設計到實施并不難,重要的是系統的管理,是使用者能否嚴肅、持久的維護工作,我國企業長期形成的各行其是、自由松散的作風與現代的管理手段是不相容的,我們應注意防范。只有把企業的內部控制制度真正落實到實處,才能達到保護企業財產安全,保證經濟業務的合理性、合法性、真實性、可靠性及防止舞弊,加強管理和提高經濟效益的目標。
