会计电算化信息系统内部控制

第二节　会计电算化信息系统内部控制

手工会计信息系统与会计电算化信息系统有着巨大的差异，这种差异破坏了手工会计体系下一系列正确、安全、可靠的内部控制措施。因此，在电算化条件下，必须采取新的内部控制方法，保证计算机的使用使企业财产更加安全可靠、会计数据更加真实完善。

一、会计内部控制的概念

为了实现企业的经营目标，保证会计处理符合国家会计法规的要求，保护资产的安全与完整，确保会计记录的正确性和可靠性而针对会计信息系统制定的一系列计划、方法和规程的总和称为会计信息系统的内部控制制度。内部控制制度是企业内部控制监督的核心，贯穿于企业经营活动的各个方面，是企业对其经济活动进行组织、制约、考核和调节的重要工具。

建立会计内部控制制度的目的是通过控制各种可能引起危害的因素，尽可能地预防或减轻危害。具体来说，包括如下几个方面：

1．正确、完整、真实地记录所有会计事项，既不重记也不漏记，保证会计信息系统中数据的正确和可靠。

2．保证所有会计事项的处理方法和过程符合国家的会计法规，例如固定资产折旧计提方法、材料成本差异的处理方法等。

3．提高企业经济效益，促进增收节支，防止浪费。

4．保护企业财产物资、计算机设备、数据文件和信息资源的安全完整，防止贪污盗窃、计算机舞弊和其他违法犯罪行为的发生。

由于企业随时可能发生自然灾害、工作失误或人为事故，如果会计信息系统的内部控制制度不健全或不能严格执行，则可能会对企业造成两方面的危害：

1．产生错误、虚假的会计信息，即会计信息系统记录的信息不真实，会计处理过程不符合公认的会计准则和制度，轻则使企业经营亏损、管理决策失误、市场竞争力减弱、效率降低，重则使企业经营中断甚至破产、倒闭。

2．发生违法犯罪事件或造成企业资产损失，如贪污、浪费、盗窃和破坏企业财产物质，偷税漏税，计算机舞弊等。

二、手工会计信息系统的内部控制

经过数十年会计工作的实践，手工会计体系已经形成了一套与手工会计处理模式相适应的会计内部控制制度，在保护企业财产物资安全完整、保证会计数据正确可靠、提高企业经济效益、防止贪污浪费、防止贪污盗窃和违法乱纪等方面发挥了重要的作用。探讨会计电算化以后的企业内部控制制度，首先要熟悉手工会计信息系统中的内部控制制度。

（一）会计内部牵制制度

为了有效地进行会计核算和经济管理工作，企业内部都制定了严格的岗位责任制度，具体规定了各种经济业务的处理程序，以及各职能部门、岗位和人员的职责权限。这些职责和权限相互联系、相互制约。这种相互联系和制约的关系就是内部牵制制度。

手工会计内部牵制制度主要有：会计部门内部职能组的划分和各组内如何分工的岗位责任制度、可明确责任和义务、分散权限，起到相互制约的作用。例如，出纳和会计分别由不同的人担任；钱、账、物三分管；业务的决定权、审批权、经办权和核算权分别由不同岗位和人员共同完成，这些措施都可以防止集不同权限于一身而容易作弊的问题。

（二）会计数据正确性控制措施

在手工会计核算体系中，通常使用如下措施控制会计数据的正确性：

1．对记账凭证、账簿和报表中的发生额和余额实行借贷平衡控制。

2．对凭证、账簿和报表实行数据勾稽关系控制。

3．对会计总账及其各级明细账簿实行明细数合计与总数相互核对控制。

4．修改会计数据应遵循特定的修改程序。

5．对会计证、账、表与财产物资实行实物盘点、清查和核对。

6．凭证的填制、审核、记账、核对分别由不同岗位和人员来进行。

（三）提高经济效益和保证系统安全的控制措施

1．对各种会计定额、标准、预算、计划与账簿、报表中的实际数进行分析比较等加强企业管理的控制措施。

2．会计凭证、账簿、报表的连续编号、装订、保管、安全保密、借用和销毁控制措施；货币资金的使用、保管、现金库存定额管理、逐日盘点及核对、银行对账、支票管理等控制措施；财产物资的使用、保管和盘盈盘亏处理等控制措施。

三、会计电算化信息系统的内部控制问题

由于会计电算化信息系统不仅改变了会计数据的存贮和处理方式，而且改变了会计工作的组织，因而对内部控制的方法和实现措施产生了重大影响，使得手工会计长期形成的一整套内部控制制度不少已经失效或不再使用。在此，我们仅就计算机应用对会计内部控制的影响作简要的探讨。

1．会计工作组织和岗位分工发生重大变化，计算机会计电算化信息系统中的身份识别和权限控制变得复杂。在手工会计中，会计人员职权分割，他们之间的相互牵制和监督关系通过分工就能实现，不仅任何局外人很难插手，而且相互之间也不能越权处理。会计电算化以后，手工条件下各业务核算组及岗位之间的职权分隔、相互制约的控制作用大都不复存在或改变了内容。例如，会计部门内部单纯的会计核算岗位被撤销，增加了计算机操作、数据录入、凭证复核、会计软件维护、硬件维护和系统管理等新的工作岗位。会计电算化信息系统中，操作人员都是通过计算机完成数据的输入、处理和输出，这就存在一个如何识别合法操作员以及他所具有的操作权限的问题，而且识别的控制都集中由计算机负责，不能仅靠工作分工来实现。如果这些问题处理不好，就可能出现操作混乱，职责不分，甚至受到非法用户的入侵和合法用户的无意破坏，使企业机密被人窃取或企业数据被人删改。

2．账簿体系相互牵制的作用被削弱。在会计电算化信息系统中，记账都是由计算机按照预定程序从同一数据源中获取数据完成。具体地说，系统中的总账、日记账和明细账都是根据系统的凭证文件，由计算机自动生成。只要凭证数据和会计软件正确，其输出的会计信息必然是正确的，这意味着通过核对各种账簿数据来控制数据正确性的内部控制措施已经失效。如果凭证有错，则总账、日记账和明细账也必然出现同样的错误，不可能使用平衡原理去发现。因此，控制数据正确性的关键转移到如何检验和保证输入凭证的正确性。

3．数据的电磁化存贮形式给系统安全带来了新的风险。会计电算化信息系统中，数据的主要存贮形式转变为电子数据，会计信息的修改可以不留任何痕迹，手工条件下画红线签章更正错账的方法失去了意义，会计软件中新的数字化签名等还无法使用，缺乏法律依据。此外，使用磁性介质保存数据具有很多优点，但从控制的角度出发，记录在磁性介质上的会计数据很容易被大量删除、破坏和篡改，并且一般不会留下任何痕迹和审计线索，这使电子数据的安全保护变得极为重要。因此，我们一方面不能单纯依赖磁性介质作为信息载体，应该打印出必要的纸质信息；另一方面还要设法控制对磁性介质的修改操作。现行的会计电算化管理制度明确规定：入账后的凭证、账簿和报表数据禁止直接修改，只允许重新编制凭证予以冲销来更正错账；会计软件必须进行操作权限控制；不许提供直接修改机内数据的功能；重要的数据文件应加密存储或采用密码形式在网络中传输；系统内的数据必须定期脱机备份；全部会计凭证、账簿和报表至少在年末必须打印出来等。

4．内部控制由单纯的管理制度转向人机共同控制。会计电算化信息系统中，大多数数据都由计算机处理，职能部门一般只负责数据的生成、审核、编码以及分析处理输出的结果，这导致系统中人工处理并掌握的信息越来越少，人失去了主要的控制作用，内部控制的重点由人转移到计算机系统。计算机又为内部控制提供了先进的控制手段和技术，会计内部控制的许多具体方法和措施都可以通过计算机程序实现，如数据正确性检验、用户口令及操作权限检验、系统操作日志的建立等。由于计算机控制比人工控制更严格、更准确、更可靠，因此凡是能采用计算机控制的应尽量编制计算机程序进行控制。

四、一般控制

会计电算化信息系统内部控制的作用遍及系统开发、系统实施、系统运行维护等各个阶段，根据内部控制的性质和所涉及的范围，一般可分为一般控制和应用控制两大类，每一大类又可进一步细分，如图11－1所示。

一般控制指针对整个会计电算化信息系统及其周边环境所实施的，对任何单位的会计电算化信息系统都普遍适用的内部控制措施，它是应用控制的基础。只有在系统的一般控制是强有力的条件下，应用控制才能发挥其应有的作用。一般控制主要包括组织控制、机房及硬件控制、系统操作使用控制、会计软件维护控制、系统开发过程控制、会计档案管理控制和系统安全保密控制。

（一）组织控制

会计电算化信息系统的组织结构和岗位分工如前文所述，组织控制的最基本原则是任何一项经济业务，不能由一个部门或一个人员独立完成，而必须经过两个或两个以上部门或人员办理，以达到相互牵制、相互制约的目的，防止或减少错误和舞弊的发生。组织控制的方式主要是在分工协作的基础上重新设计会计电算化信息系统各部门和部门内部各岗位的权限和责任，对不相容职务进行分离，其具体控制措施如下。

图10－1　会计电算化信息系统内部控制分类图

1．部门之间的组织控制

系统数据准备组、信息处理组、财务管理组及系统开发部门、维护部门、档案保管部门之间的不相容职责应尽可能分离。例如信息处理组负责本单位的会计业务处理工作，根据数据准备组提供的凭证进行数据录入、审核、记账、结账等操作，不能再兼任收集原始凭证、填制记账凭证、开发系统、维护系统等工作。同样，其他组或部门也只能从事本组或部门规定的工作，不得越权处理业务，如系统开发部门不能操作会计软件，不能保管会计档案等。

2．部门内部的岗位分工职责

除了各部门应明确各自的职责分工以外，部门内部人员也存在岗位分工，其分工原则包括：

（1）信息处理组的系统管理员、操作员、审核员及维护人员必须明确分工，不能兼任。

（2）系统操作人员只能使用会计软件的人机交互界面进行操作，不能接触系统源程序、开发文档和设计文档等，更不能担任系统维护工作。

（3）系统软、硬件维护人员不能担任日常会计业务的电子数据处理工作，但可兼任系统开发工作。维护人员对系统进行维护，必须经过主管人员批准，并在有他人监督的情况下进行。

（4）系统开发人员参与了会计软件从设计到实施运行的全过程，对系统的结构、功能和使用方法了如指掌，因此不能再担任会计业务的日常处理工作。

（5）数据准备组和财务管理组内部各岗位的职权分离、相互牵制措施仍然适用，并应在原来基础上加强其内部控制。

3．人事管理制度

就加强内部控制而言，还应建立强有力的人事管理制度，主要内容包括：

（1）定期轮换关键岗位的人员，轮换时对任职人员进行严格考核，防止因长期担任某一职务而产生的舞弊行为。

（2）为各岗位建立严格的业务处理规范和操作流程，督促各岗位人员遵守，防止越权行为的发生。

（3）对工作人员进行定期考核，检查工作人员的工作量、工作态度和业务水平。考核结果作为职称评定、职位晋升、岗位轮换的依据。

（二）机房及硬件控制

电算化信息系统的安全运行依赖于可靠的硬件设备和良好的工作环境。机房和硬件设备的控制是内部控制重要的组成部分，其主要内容包括：

1．规范计算机机房及其硬件设备的使用行为。非系统使用人员不得进入机房，非系统管理、维护人员不得进入机房控制室，未经授权者不得使用计算机及机房内任何设备，对系统使用人员实行操作权限控制和内部牵连控制。

2．设置专人负责机房内硬件设备的维修和维护工作，定期检查、测试和保养机房内所有设备。

3．为机房配备稳压电源和不间断电源设备，控制机房内温度、湿度、磁场强度和空气含尘量在许可范围之内，配备必要的防火、防水、防震和防盗设施。

4．为防止计算机出现故障，导致系统停机，可以为系统重要设备提供备用机或采用双机系统。

5．使用计算机自带的一些控制和检验功能进行自检，以提高系统运行的可靠性和稳定性。如利用奇偶检验、冗余检验、回波检验等功能来控制数据传送和计算机处理的正确性；利用设备自检功能来自动检测内存储器、打印机、磁介质存储器等外部设备的良好性等。

（三）系统操作使用控制

为各岗位的系统使用人员建立上机守则和操作规程，以提高工作效率，减少工作差错，不给不法分子留下可乘之机。系统的操作规程应具体到管理员、录入员、操作员、审核员、软件维护员、硬件维护员、档案管理员、数据准备人员及财务管理人员等各个岗位。

1．系统管理员负责整个信息处理组的工作，为组内人员分配工作职责和权限，监督系统运行情况，备份和恢复系统数据，必要时提出系统维护申请并参加系统维护后的验收工作。

2．系统录入员负责录入会计数据，纠错记账凭证以及退回错误凭证要求修改等。

3．系统操作员负责日常会计业务处理，包括凭证的汇总、记账、查询和打印，账簿报表的编制、查询和打印等工作。

4．系统审核员负责审核系统的输入凭证和输出账表，输入数据必须经过审核员签章才能登账，输出资料也需由其签章才能存档和分发。

5．软硬件维护员对系统进行维护，须先经上级批准，然后在有人监督的条件下执行。

6．档案管理员负责档案保管和档案借调工作。

7．数据准备人员负责审核原始凭证、编制和修改记账凭证。

（四）会计软件维护控制

会计软件的维护工作应由专人担任，并遵循严格的申请、审批、验收管理制度，该制度的要点如下：

1．由系统管理人员或操作人员根据实际需要提出维护申请，申请中应说明维护的目的、内容和要求，由申请人签章。申请一式两份，一份存档，另一份由总会计师或部门负责人审批后，交软件维护部门。

2．系统维护部门根据被批准的申请报告，拟定维护方案，在相关人员监督下实施维护。维护完毕，撰写系统维护说明书，说明维护过程和内容，在维护人员和监督人员共同签章后交信息处理组。

3．信息处理组和软件维护部门共同对维护后的软件进行测试，验证其是否达到预定目标，测试通过后撰写测试验收报告。

4．测试验收报告经总会计师或部门负责人批准后，下达使用通知。信息处理组接到通知后，对新系统进行备份，将相关维护文档存档，然后开始运行新系统。

（五）系统开发过程控制

如果用户购买商品化会计软件，则不存在系统开发过程控制，但是如果会计软件是自行开发的，为保证软件质量，则需要对会计软件的开发全过程实施控制。一般来讲，系统开发过程分为初步调查、可行性研究、详细调查、系统分析、总体设计、详细设计、程序设计、软件测试、系统调试、系统试运行、系统运行、系统转换、系统运行维护和评审等几个阶段。各个阶段的衔接部分是系统开发过程控制的关键。

系统开发过程控制的要点有：建立系统开发标准；采用结构化系统分析、设计和开发技术；实施系统开发项目管理；要求在系统开发的各个阶段撰写详细的开发文档；在新的开发阶段开始之前，对上一个阶段的工作成果进行严格审查；对所有开发文档进行备份存档。国家会计法规规定：会计软件必须通过财政部门主持的评审；新系统替换旧系统时，必须与旧系统并行3个月以上并且准确无误，才能在上级批准的条件下甩掉手工账。

（六）会计档案管理控制

电算化会计档案不仅包括一切与会计核算有关的原始凭证、机制凭证、会计账簿、会计报表等会计核算资料，还包括全部的系统开发文档、各种对比分析资料、各种相关合同、财务文书文件等，以及所有磁介质的会计数据备份、源程序、目标程序等。为保证这些资料的安全，应建立严格的会计档案保管、复制、修改、借用、销毁及保密制度，其要点为：

1．设立专门的会计档案保管人员，规定会计档案的保管、借用、复制、修改和销毁的工作规程，对档案丢失、毁损和泄密现象，追究保管人员和相关人员责任。

2．存放在磁性介质上的会计资料，应一式两份，分开存放，防止被同时丢失或毁损。

3．系统输出的会计资料应由系统操作员、审核员共同签章后，才能作为有效的会计档案进行保存。

4．除系统维护人员以外，禁止其他人员拷贝和借用系统开发文档和磁性介质会计档案系统；出借书面会计档案必须经过总会计师或部门负责人批准，由保管员和借用人员签字确认。

5．借出会计档案被归还时，档案保管员应检查档案是否被损坏，并和借用人员共同签字确认。

（七）系统安全保密控制

系统安全保密控制的作用是保证程序不被错用、滥用和非法使用。影响系统安全的因素主要包括自然灾害、误操作、计算机舞弊和犯罪行为。系统安全保密控制主要包括：

1．系统操作员使用口令登录会计电算化信息系统并仅能执行其操作权限允许的系统操作。只有系统管理员可以增删系统操作员并设置其操作权限范围。

2．建立系统日志，自动登记操作人员的操作记录，包括其操作开始时间、结束时间、使用的功能模块和数据文件等。日志采用密码形式存储，仅允许系统管理员查看和打印输出。

3．定期备份系统数据和文件，磁性介质文件至少备份两份，放在不同地点，备份上注明备份时间、版本、内容和备份人。

五、应用控制

应用控制是对会计电算化信息系统的具体数据处理活动进行的控制，一般包括输入控制、处理控制和输出控制三个方面。对不同的应用系统，应用控制有不同的控制方法、控制要求和控制重点，如存货系统主要控制库存量，账务处理系统主要控制输入凭证的正确性，网络系统主要控制数据的安全保密。

（一）输入控制

输入是会计电算化信息系统的主要信息入口，也是出错的主要环节，只有输入正确，才能保证系统处理的最终结果正确。保证输出信息的质量，必须采用人机结合的方法，以计算机程序校验为主，人工校验为辅。

1．计算机数据输入控制

（1）科目期初余额、记账凭证和报表的借贷试算平衡校验控制。

（2）科目存在性及是否为末级科目的校验控制。

（3）批量总数与明细数据自动加和相核对的校验方法，如将批量总金额、总数量、业务笔数与计算机根据明细数据自动加和相核对的校验控制。

（4）非法科目对应关系校验：根据事先建立的所有会计业务的借贷科目对应关系文件，检验凭证中输入的科目是否匹配，如不匹配，则认为凭证科目输入错误。

2．人工数据输入控制

（1）设立专职的会计人员对原始凭证进行收集、整理、审核并编制记账凭证；设立专职的审核员对输入前的记账凭证进行审核；记账凭证必须由业务批准人、资产保管人、业务经手人、原始凭证审核和记账凭证填制人以及书面记账凭证的审核人共同签章才能生效。

（2）设立专职的计算机审核员，审核每一张输入的记账凭证，退回有错凭证并要求修改，通过审核的凭证方能记账。

（3）建立凭证错误更正规程，错误的书面凭证只能退回凭证编制人员修改，凭证输入过程中出现错误由操作员本人修改，审核员和其他操作员无权修改。已经记账的错误凭证，只能采用编制红字凭证冲销和编制蓝字凭证补充登记其差额的办法更正错账。

3．人机结合数据输入控制

（1）二次输入校验法。将同一批数据先后输入两次或同时由两人分别输入，然后由计算机逐笔核对其输入正确性。

（2）屏幕审核法。操作员根据屏幕显示审核输入凭证的正确性。

（3）打印输出数据进行校验。若使用以上控制方法仍不能使输入数据试算平衡，则可将部分重点数据或全部数据打印输出，逐笔核对直到完全正确为止。

（二）数据处理过程控制

数据输入计算机后，按照预定的程序进行加工处理，在数据处理过程中极少人工干预，一般控制和输入控制对保证数据处理的正确和可靠起着非常重要的作用。但是，针对计算机处理中可能出现的计算错误、用错文件、用错记录、用错程序等情况，还必须在数据处理过程中设置处理控制，这些控制大部分被写入会计软件，由具有特定功能的程序段完成，一般是自动执行的。其内容主要包括：

1．处理次序控制

根据会计核算的特点，规定各项功能的处理次序，使之不得随意调用，如凭证审核后方可记账，标错后方可删除，常用的控制方法有：

（1）设置操作状态字，如在进行某项处理前先检查该操作的状态字，未进行该操作时为“0”，操作后置为“1”，防止重复操作。

（2）系统执行重要操作前给予提示、警告和确认信号。如系统在执行结账操作前，会提示用户是否所有业务均已处理完毕；在删除凭证前，会要求用户确认；在用户输入非法科目后，会给予警告提示。

（3）执行重要操作前对系统数据进行自动备份。如会计软件在进行结账处理时，会自动在硬盘上备份本次操作要更新的重要数据文件，以防操作过程意外中断而造成数据混乱并无法恢复。

（4）对某些非重复性操作，可在其业务文件使用完毕后将其删除，这样即使误选该操作也无数据可处理，即可防止重复操作。

2．数据有效性校验

数据有效性校验控制的目的是为了发现用错文件、记录以及数据错误的情况，其控制措施包括文件标签控制、记录关键字检验、业务码检验、数据顺序检验和数据合理性检查等。

（1）文件标签控制。文件标签控制指打开文件时应检验其内部标签，以免用错文件，如在恢复备份时，应检查备份文件标签是否正确，防止引入错误的备份。

（2）记录关键字检验。顺序处理某个文件中的记录时，软件应检验记录的关键字，以防止各记录处理顺序混乱。

（3）业务码检验。会计软件中，不同的业务调用不同的子程序处理。在处理业务时，应先检验其业务码，然后调用对应的子程序。

（4）数据顺序检验。检验文件中记录的排列顺序是否正确，以防止在处理过程中遗漏记录、排序或合并的失败，一般采用两次读入的方法来校验。

（5）数据合理性检查。根据数据字典，检查数据类型是否正确，数据值是否在许可的取值范围之内，以保证数据的正确性，防止处理时发生意外。

3．计算机处理有效性检验

计算机的运算处理一般不会出错，对其进行检验主要是防止其受计算机病毒、电压波动和个别存储器读写失误的干扰而导致出错，一般采用如下检验方法：

（1）运算正确性检测。对数据实施逆运算、运算溢出和重复运算以检测其运算结果的正确性。

（2）数据关系检查。利用数据之间的勾稽关系来验证计算机运算处理结果的正确性。这些数据关系有：数量乘单价应等于金额；借贷应平衡；明细之和应等于总数等。

（三）输出控制

计算机数据处理结果输出主要包括屏幕显示输出、打印输出、存入磁性介质输出和网络传输等方式。输出控制的目的是确保计算机处理的输出结果准确无误，其主要控制措施有：

1．设立专人审核打印输出材料的正确性、完整性和有效性，如材料没有错误，应装订成册并签章，然后存档或分发。

2．为会计软件设计打印及相关功能，保证会计资料能够按指定格式输出，如出现错打、重打、漏打或未能打印的情况，应给予相关提示。

3．记录会计资料的发送情况，包括发送人、使用人、发送份数、发送时间等，接收人需签字领取，以防错发、丢失、漏发和重发。

4．给输出磁性介质贴上外部标签，注明文件名称和输出时间。

5．记录计算机检查出来的或人工核对发现的处理和输出错误，由审核员详细登记，并提交责任部门处理。