会计电算化后的内部控制

内部控制是管理现代化的必然产物，是指被审计单位为了保证业务活动有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。

新《会计法》第27条明确规定，各单位必须建立本单位的内部控制制度。内部控制关系到企业财产物资的安全完整、关系到会计核算系统对企业经济活动反映的正确性和可靠性。所以，企业为实现其既定的经营管理目标，提高其经济效益，必须加强管理，建立一整套内部控制制度，以保证企业稳定、健康、有序地发展。企业在建立了会计电算化系统后，企业会计核算和会计管理的环境发生了很大的变化。

一、会计核算和管理环境的变化

（一）会计业务处理的内容和方式发生变化

企业使用会计软件处理财会数据后，企业会计核算工作的环境和传统的工作方式相比有许多不同，财会部门人员的构成从原来的财会专业人员，转变为由财会专业人员和会计电算化系统管理员、维护员等构成。传统会计工作中由会计人员处理的有关财会业务，实施电算化后可由其他有关人员在终端机上完成；原来由几个部门按原规定的步骤才能完成的业务事项，现在可以由一个部门甚至一个人完成。因此，需要建立一套符合新形势的内部控制制度，以保证企业财产物资的安全完整、保证会计系统对企业经济活动反映的正确和可靠，达到企业管理的目标。

（二）会计信息载体的变化

企业应用电算化会计系统进行会计核算后，财会业务处理的方法和程序发生了很大的变化，各类会计凭证及报表的生成方式、财会信息的储存方式及载体也与传统的方式不同。原来书面形式的各类会计凭证改为以磁、光介质为媒体进行存储，因此，电算化会计系统的内部控制与手工会计系统的内部控制制度相比，控制的重点由对人的控制为主转变为对人、机的控制为主，控制的程序也应当与计算机处理程序相一致。

二、电算化会计信息系统内部控制的主要内容

电算化会计信息系统的内部控制可以划分为：一般控制和应用控制两大类。它们都是用来预防、发现、纠正系统所发生的错误、舞弊和故障，使系统能正常运行；是提供可靠和及时的信息保证。与手工会计系统相比，它们也是计算机应用于会计信息系统所产生的特殊控制。

（一）电算化会计信息系统的一般控制

它有时也称为管理控制，是对电算化会计信息系统中的组织、操作、安全、开发等系统运行环境方面所进行的控制。一般控制主要包括以下三个方面的内部控制：一是组织和操作控制；二是系统硬件和软件控制；三是系统开发和系统文档控制。

1. 组织控制

组织控制的目的主要是减少电算化部门发生错误及舞弊行为的可能性。组织控制的基本原则是不相容的职责由不同的人员或部门来承担，基本目标是建立恰当的组织机构和职责分工制度。

（1） 电算部门与用户部门的职责分离。电算部门主要负责业务记录及对数据进行处理和控制，而用户部门主要负责批准执行各种业务交易。两者之间应尽可能保持不相容职责（业务授权、执行、保管和记录）的分离。具体职责分离如下：

① 电算部门不能负责业务的批准和执行，所有业务均应由用户部门发起或授权。电算部门负责控制该部门内进行的数据处理，检查处理中发生的错误并纠正本部门产生的错误，控制在更正错误后重新输入并处理数据；用户部门负责更正产生于电算部门以外的错误，并将更正后的数据重新传递到电算部门进行处理。

② 电算部门不能保管除计算机系统以外的任何资产。

③ 所有业务记录与主文件记录的改变均需用户部门授权，电算部门无权私自改动业务记录和有关文件。

④ 所有业务过程中产生的错误数据均应由业务部门负责或授权改正，电算部门只允许改正数据在输入、处理、输出过程中由于操作疏忽而引起的错误。

⑤ 所有现有系统的改进，新系统的应用都由用户部门授权，电算部门无权私自修改系统程序。

（2） 电算部门内部的职责分离。电算化会计信息系统的建立导致新的职能工作的产生，由于计算机信息处理的特点是将数据集中起来统一处理，会使得本应分离的某些职责集中化。为保证系统可靠运行，防止错误和舞弊发生，电算部门内部不相容职责也应分离。首先应对系统开发职能与数据处理职能分离。所有参与系统分析、设计、编程和数据库管理的人员都不能参与日常业务数据处理操作，操作人员也不能参与程序的编制与修改；独立的档案保管职能有助于防止任何未经批准而使用程序、数据文件和系统资料的行为；独立的控制职能有利于单独检查系统的输出，监督和保证数据处理的准确性。其次应对数据处理职能进行分离，一般在数据处理小组可设置凭证输入员、审核员、记账员和会计档案保管员，这些职责一般应予以分离，例如，凭证输入与审核工作由不同的人员完成，可以保证输入人员错误数据的检测，也减少了输入人员利用工作之便弄虚作假的可能。

（3） 人事控制。电算化会计信息系统是人机系统，内部控制的好坏还取决于有关人员的素质，高素质的人员才可能建立高质量的系统。要建立人员招聘、在职教育、定期评价、轮换任职、奖惩制度等控制措施，对工作人员的知识、技能、职业道德提出更高的要求。

2. 操作控制

电算化会计信息系统的使用操作应当有一套完整的管理制度，具体操作控制措施包含如下内容：

（1） 制订工作计划，各部门严格按照工作计划操作。计算机的具体操作也强调工作计划的制订，如定期对整个系统进行全面或局部的检测，定期进行数据文件备份，定期盘存输出资料等，以使整个工作能有条不紊地进行。此外，计算机操作还应实行责任轮换制，对不同的操作岗位，定期地进行调换。所有这些，都是保障系统正常运行的前提。

（2） 管理人员制定上机守则和操作规程，操作人员严格遵守上机守则和操作规程。上机守则主要是关于机房工作的一般性规定，如对进出机房的人员和物品的限定，操作人员进出机房需要的手续及进出时间，操作人员的日常工作性质和范围，交接班制度，出现紧急状态时的应急措施，以及保持机房的整洁、干净等。操作规程主要是对电算业务处理过程的具体操作步骤的叙述。

在执行守则和规程的检查时，一要注意坚持经常性的检查；二要严格认真，避免流于形式而使守则和规程形同虚设。操作人员在实际的操作工作中，要以具体的上机守则和操作规程为指导，积极接受并配合管理人员的检查。

（3） 做好日志记录的登记。日志记录是对系统日常工作情况最基本、最全面和最详尽的反映，一方面是计算机审计取证工作的主要对象，是系统管理人员或内部审计人员进行检查的重点；另一方面，当系统发生故障时，可以根据日志记录检查原因，并且可以根据日志记录恢复数据。日志可以由操作员来记录，也可以由系统自动生成。

手工日志和自动日志相辅相成，内容不完全相同，两者彼此不可替代。

（4） 制定对非常状态的应急措施和物理安全规则。计算机系统所面临的非常状态有：系统遭受火灾、水灾、盗窃等灾害，硬件的物理性损坏、系统发生断电、通信中断等故障、软件存储介质毁损、数据文件丢失或破坏、病毒发作，破坏了系统的正常运转等。为了应付上述非常状态，避免一切操作从头开始，使系统尽快恢复工作，应制定相应的安全规则和应急措施，例如定期做好数据备份，系统程序备份，备份与原件分开存放等。

3. 硬件控制

硬件控制，亦称“设备控制”，是由计算机生产厂家在计算机设备中实现的控制技术和方法。硬件控制能自动查出某些类型的错误，而无须程序或操作人员送入任何特殊指令。硬件控制的失效会削弱其他控制措施的作用，影响系统的可靠性，因此，审计人员应定期对其控制效果进行测试。

一旦硬件系统的故障或错误暴露出来，应立即予以记录并报告，让硬件维护人员来处理。

4. 软件控制

计算机软件分为系统软件和应用软件。系统软件是负责管理计算机软硬件资源的软件，如操作系统、数据库管理系统等；应用软件是专门解决特定任务的软件，如会计软件。利用系统软件如操作系统、数据库管理系统实现控制，是电算化会计信息系统内部控制机制的一个显著特色。控制功能主要包括：错误处理、程序保护、文件保护、安全保护和自我保护。

5. 网络控制

电算化会计信息系统已经从单机系统向网络系统发展，不管是基于局域网络的系统，还是基于互联网的系统，网络控制都是对系统的一种重要的内部控制。网络中常用的控制措施如：网络中数据加密；网络端口保护和网络中主体验证标识。

6. 系统开发控制

系统开发控制主要运用于那些自行设计电算化会计软件的单位。

为了保证电算化会计信息系统成功地完成，并且能满足用户的需求，为了保证系统的开发过程合法、有效，需制定如下的控制措施：要制订全面、完整的开发计划；采用结构化系统开发方法；制定编程规则与规范，以提高系统的可审性；进行开发进程控制，以保证系统开发进程和质量；系统测试控制；系统审批控制程序和系统程序变更控制和系统转换控制。

7. 系统文档控制

系统文档包括电算化会计信息系统中的证、账、表以及所有系统开发中产生的数据文档，如系统说明书，数据流程图，源程序、系统使用手册及编程说明等。系统文档控制就是指要建立文档管理制度及安全保密制度，其主要规则有：

（1） 文档应由专人保管，会计数据在纳入机内系统之前，必先经系统主管审批。

（2） 计算机打印输出书面资料，应由输出和审核人员共同签字后才是合法的会计档案，使用时必须经过批准，而且借调资料必须如实登记。

（3） 存储在磁性介质上的文件应加密保护。

（4） 系统数据文件应定期复制备份，以防数据丢失或数据毁损后无法恢复。

（5） 应根据会计档案的规定制定文档的保管数量、保管时间、定期备份的间隔期等。

（二）电算化会计信息系统的应用控制

电算化会计信息系统的应用控制是指影响系统特定用途的控制，即为适应会计处理的特殊要求而建立并实施的控制。应用控制主要包括三个方面：输入控制、处理控制、输出控制。

1. 输入控制

如果输入数据出错，以后的处理环节再正确，也只能输出错误的信息。因此，要提高电算化会计系统的可靠性，必须设计有效的输入控制措施。

（1） 数据采集控制。数据采集控制的目的在于确保应用系统在合理授权的基础上完整地收集、正确地编制、安全地传递输入数据。其控制措施主要有：

① 用户部门内部的职责分离。资产保管与数据采集职能分离、业务授权与资产保管职能分离、业务授权与原始凭证填制职能分离、填制原始凭证与审核原始凭证职能分离。

② 标准化的凭证格式。设计和使用标准凭证格式能减少发生错误的概率。

③ 制定凭证编制程序。明确要使用的凭证、编制凭证的时间、编码的使用、凭证传递的程序和时间等。

④ 凭证审核。指定专人负责凭证的审核，以发现和纠正凭证上的错误。

⑤ 手续控制。业务批准人，资产保管人，凭证的编制人、审核人应在凭证上签字，以明确责任。

⑥ 凭证更正规程。数据处理部门（电算部门）发现原始数据有错应交用户部门更正，用户部门更正后再将凭证传递到数据处理部门再处理。

⑦ 批量控制。为每批凭证编号以便凭证的交接（用户部门送电算部门或其他部门）计算批量总数（如业务总数、数量总数、金额总数等），以便检查凭证传递、输入、处理中的错误。

（2） 数据输入控制。数据输入控制是为防止输入数据时的遗漏或重复，检查输入数据是否有错误的控制措施。电算化会计信息系统中，数据输入的依据可以是原始凭证，也可以是记账凭证，还可以是这两者的合并。其中以记账凭证作为输入主要依据的方式在目前使用的系统中较为常见，这里就介绍以记账凭证为输入依据的控制。

以记账凭证为依据输入数据时可能发生的问题和错误主要有：会计科目输入错误；借贷方向输错；金额输错；对应关系搞错；由于是键盘输入，输入的速度较慢等。

对于可能发生的问题和错误可采用以下控制措施：

① 顺序校验。检查凭证号码的顺序是否连续，有无重复和遗漏，这项工作可由程序自动控制完成。例如，如果用户输入重复或不连续的凭证号时，程序自动向用户提示凭证输入错误信息。

② 设置会计科目代码与名称对照文件。当输入科目代码时，系统先在对照文件中进行查找，如果找到，可以给用户汉字提示以确认是否为正确科目；如果找不到，应提示“科目不合法”，并要求重新输入正确的科目代码。

③ 设置对应关系参照文件。会计科目输入正确不能保证对经济业务的处理就是正确的，还有可能发生账户对应关系错误。对应关系参照文件根据业务间的相互关系事先确定对应的会计科目，当输入一张记账凭证后，查询对应关系参照文件，检查和判断输入的科目之间是否存在正确的对应关系。

④ 合理性校验。对某些输入的数据确定合理的范围，若输入数据超出合理范围，系统就会给予提示，要求检查输入的数据，如材料的最高、最低储量等可作为合理范围的标准。

⑤ 平衡校验。通过数据间应有的平衡关系检查数据输入是否有错，如当一张凭证输入完毕后系统自动进行“借方科目金额合计＝贷方科目金额合计”的检查。

⑥ 人工校验。由电算化会计信息系统将输入的数据打印出来或在屏幕上再次显示供输入操作人员或审核人员根据原始数据进行检查核对。

⑦ 重输入控制。将同样数据向计算机系统输入两次，由系统自动核对两次输入的结果，并对不一致的记录做标记，核对完毕后由输入员对标记错误的记录进行修改。

可见，在系统程序设计中，将控制关系考虑进去，既方便用户操作，又提高输入数据的正确性和可靠性。

2. 处理控制

数据输入计算机后，按照预定的程序进行加工处理，在数据处理过程中极少人工干预，一般控制和输入控制对保证数据处理的正确和可靠起着非常重要的作用。但是针对计算错误、用错文件、用错记录、用错程序、输入数据错误在输入过程中没检查出来等情况，还必须在处理过程中设置处理控制。这些处理控制措施大都为纠正性和检查性控制，而且多是程序控制。

（1） 业务时序控制。会计业务数据处理有时序性，某一处理过程的运行结果取决于若干相关条件过程处理的完成，所以可以在程序中增加业务时序控制，例如，凭证输入计算机后不经审核直接记账，系统程序不予处理。

（2） 数据有效性检验。要保证所处理的数据来自正确文件和记录，可采用的控制措施主要有：文件标签校验、业务编码校验和顺序校验。

（3） 程序化处理有效性检验。硬件、系统软件或应用软件的错误可能导致数据处理的错误，发现数据处理错误的有效性检验方法是：计算正确性测试和数据合理性检验。

（4） 错误更正控制。根据错误处理的方式建立相应的控制。对于数据有效性检验发现的错误，将错误数据先写入待处理文件，更正后与同批或其他批次业务数据一起再输入、处理；对于处理过程结束后发现的错误，不能采用直接删除原有错误记录的方式，要输入两次数据更正错误，第一次输入冲销原有的错误，第二次输入正确的数据。应设置专门的控制日志，记录错误的传递、更正与再输入情况。

（5） 断点技术。断点是由一条指令或其他条件所规定的程序中的一个点。断点技术是指在这个点上，程序运行能被外部干预或为监督程序中断，程序运行中断以后，可以直观检查、打印输出或做其他分析。在断点可以通过计算，发现错误可能出在程序运行的哪一个环节，从而及时更正错误，并从断点开始继续处理数据。

（6） 数据合理性检查。可以将金额合理性标准编入程序，一般来说，在借贷记账法下，资产类账户余额在借方，负债及所有者权益类账户余额在贷方，通过这些标准，可以检测数据处理是否合理。此外，还可根据试算平衡原理编制程序，对全部账户的期末余额和本期发生额进行检查，一旦发现不平衡，即说明处理有误，应进行查找和更正。

3. 输出控制

计算机数据处理结果输出主要有屏幕显示输出、打印输出、存入磁性介质和网络传输等方式。在输出环节，可能会发生输出结果未经授权输出、未送给指定部门或未及时送到，输出结果不正确或不完整等错误和问题。针对这些错误和问题设置的主要控制措施如下：

（1） 输出授权控制。只有经过批准的人才能进行输出操作。可以通过口令控制。

（2） 输入过程的控制总数与输出得到的控制总数相核对。

（3） 审校输出结果，检查正确性、完整性。

（4） 将正常业务报告与例外报告中有关数据做分析对比。

（5） 设置输出报告发送登记簿，记录报告发送份数、时间、接收人等事项。

（6） 制定输出错误纠正和对重要数据进行处理的规定。

（7） 在会计报表输出前，由计算机检查报表间应有的钩稽关系是否满足，若不满足，则给出错误信息。

不同的单位和不同的电算化会计信息系统内部控制的技术方法会有很大差异。应用控制大部分通过程序实现，所以选用的会计软件不同，应用控制的实现方式也不同。但是，不管系统的应用控制采用哪种技术方法，都必须保留审计线索。