浅议会计信息化环境下的企业内部控制风险与对策.doc

浅议会计信息化环境下的企业内部控制风险与对策 期刊门户-中国期刊网2008-12-23来源:中小企业管理与科技供稿文/郭妍导读随着信息技术的发展，电算化被会计行业广泛应用摘要：随着信息技术的发展，电算化被会计行业广泛应用，在会计信息化环境下，构建新的企业内部控制体系，防范与控制风险，已成为亟待解决的问题。本文运用现代内部控制理论，探讨会计信息化环境下的企业内部控制风险与对策，以期引导国内企业建立起完善的会计信息化环境下的系统内部控制体系，降低威胁电算化会计信息系统的各种风险。关键词：内部控制 会计信息化 内控风险 防范风险 风险与对策 应用层面 引言随着信息技术的发展，电算化被会计行业广泛应用，从而大大提高了会计信息处理的速度和准确性，但不可否认的是，传统的手工会计系统原有的内部控制已不能适应电算化数据处理的新特点。在会计信息化环境下，构建新的企业内部控制体系，防范与控制风险已势在必行，刻不容缓。1 企业内部控制概述按照美国权威审计机构COSO为代表的现代内部控制理论，将内部控制定义为“由企业董事会、管理层和其他员工制定和实施的，旨在为经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程”，由内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控八项要素构成，从而将内部控制上升至了全面风险管理的高度，由企业管理人员、审计人员通过经营管理实践，将现代内部控制理论运用于会计信息系统，逐步形成较为完善的自我监督和行为调整的会计内部控制整合框架。2 我国企业会计信息化内部控制的现状我国企业会计信息化整体起步较晚。目前，企业对会计软件应用最多的模块是会计核算、报表生成模块，应用较少的是成本核算、纳税申报等模块。许多大中型企业会计管理的信息化程度并不高，对内控的理解还有偏颇，内部控制制度尚不完善，控制环境薄弱，风险意识淡漠，对内部控制的重要性和风险认识不足，基本上还处于会计核算信息化阶段。其他业务部门很少采用信息化管理，与会计部门之间几乎没有数据传递。只有少数企业在由核算型会计软件向管理型软件或ERP系统方面转变，但使用效果不是很好。从内部控制的角度看，企业会计信息化环境下的内部控制还处于初级的人机共同控制阶段。3 会计信息环境下的企业内控风险3.1 权限控制风险 信息技术人员（系统程序人员、操作人员、管理人员、维护人员）都可能获得超越其履行职责以外的数据访问权限，篡改系统程序软件和应用程序。甚至在极端情况下，系统管理人员可能造成极其毁坏或者全部系统崩溃的危险。因此，信息技术人员的权限控制问题变得非常突出；同时，内部人员（会计人员、管理人员）也可能在未得到授权的情况下访问数据，改变主文档的数据，从而导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易；所有这些都会给会计信息系统带来很大的风险。3.2 数据安全风险 首先，由于电算化系统的数据处理与存储呈现高度集中的特点和趋势,储存在计算机磁性介质上的数据容易被篡改、盗取、损坏、拷贝、删除，而且很难留下痕迹；未经授权的人员可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据等,使数据安全性降低。其次，基于计算机存储器的数据管理方式，会计数据泄漏和损失的风险加大。由于企业所有信息都集中到一起，一旦计算机软硬件系统发生故障、系统被病毒攻击、发生自然灾害等情况，都将造成给企业造成无法挽回的数据损失。再次，商业软件加密卡的丢失和损坏，信息技术人员有意泄露数据等都会给系统造成灾难，同时给企业带来巨大经济损失。3.3 人为干预风险 手工会计系统下，人员构成只包括财务、会计专业人员,而会计信息环境下，人员构成扩大为财务、会计专业人员、计算机专业人员、计算机数据处理系统的管理人员和相关管理人员，使原有的会计内控主体范围扩大,责任延伸。 而信息化常常使业务流程和财务流程整合在软件系统中。系统和程序更可能受到来自信息技术人员不恰当的人为干预，使得系统或程序不能正确处理数据，或处理了不正确的数据，或两种情况同时并存。此外，某些会计人员，特别是高级管理人员也可能篡改自动过入总分类账和财务报告系统的数据资料，给内部控制带来风险。3.4 环境复杂化风险 随着电子商务的发展传统和企业信息化进程的加快, 财务软件的网络功能扩展为：远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等。尤其是ERP理念及系统的运用,使得计算机、网络不再是工具,而是内控的对象,内控不仅仅是会计信息,而是整个企业的物流、资金流、信息流的集合。以上功能的实现必将促使会计内控的链条发散、延长,由此引起内控范围的扩大和复杂化。传统的手工会计系统下的很多工作均由计算机按程序即时完成。这些程序化的内部控制的有效性取决于应用程序的完善与正确,如果应用程序发生差错,计算机尚不具有人所特有的对不合逻辑事项的判断和处理能力,出了问题难以发现。同时，操作权限划分和登陆密码保护尤其重要。各级操作权限的随意设定，密码的泄露以及忘记，都会造成损失。4 防范内部控制风险的对策4.1 加强人员控制，防范道德风险 “人”才是最主观最能动的因素，是所有利益的载体,是内控的根本。因为说到底内控政策的制定者是人,内控的执行者是人,内控的对象也是人。所以,为使各个内控点的措施到位,企业应首先注重影响“人”的企业软环境建设。管理层要身体力行，起表率作用；治理层要积极参与，起监督作用。同时，建立道德行为规范，对诚信和道德价值观念在企业上下进行沟通与落实；建立企业文化，加强员工培训，强化法制观念。另一方面，建立激励制度，将员工的绩效考核与企业相挂钩，采取股权激励、分红等多种措施，使员工利益与企业整体利益相一致。4.2 加强制度控制，防范整体风险 企业要在严密、恰当、有效、人机结合基本原则的指导下，围绕内部控制目标，结合本企业会计信息化内部控制的特点，构建一套适应会计信息化环境下的内部控制制度，包括制定严格的管理规章、权限划分、岗位职责、操作流程、岗位手册和各项控制制度。不相容职责必须分离，系统设计、软件开发等技术人员与实际业务操作人员必须相互独立；计算机系统的日常维护和管理人员必须独立于会计、交易等部门，禁止同一人同时掌管操作系统口令和数据库管理系统口令等。建立健全上机操作登记制度，会计档案管理制度，定期检查制度等各项控制制度。4.3 加强软硬件控制，防范系统风险 应用系统开发控制包括：系统的调试应有各岗位人员的参与，新的系统应与传统系统并行一段时间并经审批后才能替代传统系统使用，严格的验收程序等。系统的维护控制要先申请后维护，维护期间必须拟定维护计划，数据库备份等，经过测试，确认被维护软件完全符合要求后，方可投入使用。规范计算机交易数据的授权修改程序，建立接触控制，使非相关人员不得接触到程序的技术资料、源程序和加密文件，建立电子信息数据的即时保存和备份制度，并坚持电子信息数据的定期查验制度。指定专人负责计算机病毒防范工作，定期对系统进行病毒检测，使用网络病毒防火墙，建立网络安全控制。对系统硬件的控制。应确保机房设备环境良好，健全硬件检查与维护制度以及装备不间断稳压电源等。尽量选用运行状态稳定的品牌计算机，并统一机型、软件系统，增强磁盘介质的兼容性，减少维修难度，提高监督效能。4.4 加强应用层面控制，防范操作风险 企业要建立操作权限控制。系统应制定适当的权限标准体系，使系统不被越权操作，从而保证系统的安全。操作权限控制常采用设置口令来实行。操作规程控制，包括输入和输出两个方面。输入常用的控制方法包括：为会计科目及各类档案名称与代码制定规范、统一的编码规则，建立编码对照文件；试算平衡控制，对每笔分录和借贷方进行平衡校验，防止输入金额出错；顺序检查法，防止凭证编号重复等。登账条件检验，即系统要有确认数据经复核后才能登账的控制能力；防错、纠错控制，即系统要有防止或及时发现在处理过程中数据丢失、重复或出错的控制措施；修改权限与修改痕迹控制，即对已入账的凭证，系统只能提供留有痕迹控制，即对已入账的凭证，系统只能提供留有痕迹的更改功能，对已结账的凭证与账簿以及计算机内账簿生成的报表数据，系统不提供更改功能等。输出控制措施包括：控制只有具有相应权限的人才能执行输出操作，并要登记操作记录，从而达到限制接触输出信息的目的；打印输出的资料要进行登记，由输出人员和审核人员同时签章并按会计档案要求保管。定时进行数据备份，一般要按日、月、年对凭证、明细账、余额表、会计一套数据除保留在计算机硬盘上的以外，还至少应保存两套完整的软盘或磁