电算化会计信息系统的内部控制与审计一、电算化会计信息系统的内部控制二、一般控制三、应用控制四、内部控制的评价五、电算化审计一、电算化会计信息系统的内部控制所谓内部控制,是指由企业董事会、管理层和全体员工共同实施的对企业生产经营和财务报告产生过程的控制,是为保证企业战略的贯彻、经营的效率效果的完成、财务报告的可靠性、资产的安全完整以及现行法规的遵循等目的而提供合理保证的过程。企业内部控制涵盖企业经营管理的各个层次、各个方面和各个业务环节。不同所有制形式、不同组织形式、不同行业、不同规模的企业的内部控制涉及的方面也有所不同。一般来说,内部控制涉及企业生产经营的控制环境、风险评估、控制措施、信息与沟通、监督决策以及自我检测等方面要素,从总体上透视了企业生产经营的各个环节。其有效实施无疑会促使企业生产管理登上一个新台阶,促进企业经营流程的合理化和正规化。内部控制的目标内部控制是为了减低企业风险而设置的,目的就是协助企业达到以下的目标:1)保证企业各项生产经营活动有序有效地进行。在管理层指令获得遵从的同时,管理层不需过渡参与日常运作。2)保证会计信息及管理信息的真实性、可靠性和及时性。确保管理层掌握可靠的资讯,以作决策之用。3)保护企业资产的安全、完整及有效使用。4)尽量压缩、控制成本、费用,使企业达到更大的盈利目标。5)预防、控制及查明各种错误和弊端,及时、准确地制定和采取措施。6)保证企业制定的各项管理方针、制度和措施的贯彻执行。内部控制的作用内部控制能帮助一个企业达成其绩效及盈利目标,避免意外的发生。内部控制不是直接产生经济效益,而是通过规避控制风险,提高运营效率来为经济效益做保证。内部控制的作用主要表现在:一是保证单位经济活动的合法性;二是保证业务经营信息和财务会计资料的真实性和完整性;三是保护单位各项资产的安全和完整,防止资产流失;四是有助于管理层实现经营方针和目标。内部控制具有统合的作用、制约与激励作用及促进作用。恰当地运用内部控制,有利于提高会计及其他信息的可信性和可靠性;有利于促进财产安全管理和各种资源的有效使用;有利于减少不必要的开支,提高盈利水平,避免意外风险;有利于保证授权和法定责任的完成;有利于预防和减少差错和舞弊行为。内部控制的基本原则1)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。2)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。3)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。4)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。5)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。6)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。7)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。企业内部控制存在的问题1.内部控制制度不健全。目前,有些企业内部控制制度不够全面,没有覆盖所有的部门和人员,没有渗透到企业各个业务领域和各个操作环节,使企业会计工作秩序混乱、核算不实而造成会计信息失真现象极为严重。如不少企业常规票据分管制度、重要空白凭证保管使用制度、会计人员分工中的“内部牵制”原则均没有建立,甚至一些小企业没有正规的财会部门,会计、出纳、审核等事项由一个人包办。原始凭证的取得或填制本身就不合法,以此为依据编制的记账凭证、登记的账薄、出具的会计报表及一系列的会计分析等也就毫无意义。一些企业人为捏造会计数据,设置“小金库”,乱摊成本,隐瞒收入,虚报利润,恶意逃避税收等。究其原因,主要表现为:一、与组织结构有关,二、与制度体系有关,三、与单位负责人有关。部门之间缺乏有效的协调和牵制,往往造成管理脱节,产生漏洞,使人有机可乘。2.对内部控制制度认识的片面性。目前,不少企业的管理人员对内控制度的认识存在一些误区,认为内部控制制度就是企业内部成本控制、内部资产安全控制、内部资金控制,即内部会计控制。因此,对内部控制制度的设计停留在内部会计控制上,参与内控管理的也仅仅是财务人员。内部控制制度是企业各个业务部门或人员,在业务运作过程中形成的相互影响、相互制约的一种动态机制,是具有控制功能的各种方式、措施及程序的总称,它绝不等同于规章制度,也不等同于内部管理,更不是组织计划。内部控制要以有效为前提,其关键是作为内控制度主体的经理和员工。由于一些中小企业的经理和员工对内控制度认识上存在偏差,导致企业认识不到内控制度的重要作用,造成企业的管理混乱。3.缺乏有效的监督机制。为了加强监督,我国已形成了包括政府监督和社会监督在内的企业外部监督体系。但如此庞大的监督体系对中小企业的监督效果却不尽人意。有的企业虽然有内部审计,却不能充分发挥其职能。一些企业的业务经办人员、财会人员甚至领导干部利用监督不力的漏洞,大量收受贿赂,大肆侵吞公款,利用虚假发票非法占有企业资金等。4.内控制度行为主体素质较低。近年来,一些企业财会人员的思想教育、业务培训跟不上,一些根本不具备从业资格的人员混进财会队伍,思想素质差,业务一知半解,连正常的会计业务都处理不好,更谈不上内部控制制度的运用。一些企业领导对会计制度、会计准则一窍不通,却目无法规,独断专行,势必给企业造成不可挽回的损失,使本就资金紧张的企业举步维艰。5.内部审计职能弱化。内部审计是企业内部控制制度的一个重要组成部分。事实上有不少的中小企业没有设置内部审计机构,即使具有内审机构的企业,其职能也已严重弱化,不能正确评价财务会计信息及各级管理部门的绩效。另外,内部审计机构职能的发挥从很大程度上取决于企业最高层的主观意愿。信息化背景下企业内部控制面临的挑战信息化提高了企业内部控制的效率,同时,也改变了企业内部控制的运行环境、控制范围、控制重点和控制方式。这对于原本就在内部控制制度方面不甚健全的中小企业来说,增加了内部控制的难度与复杂性,并带来了新的挑战。1.数据安全性遭遇严峻挑战在手工会计系统中,原始凭证以纸张作为载体,有签章并留有文字记录,数据一旦被修改就会留下痕迹和线索,修改或伪造的难度很高。企业实施信息化后,企业内部控制的环境发生了变化,内部控制的重点也由对人的控制转变为对人、计算机、网络等信息设备和环境的控制。在会计信息化系统中,会计信息以各种数据文件的形式记录在磁性存储介质上,这种无纸化的会计资料极易被增删、篡改、伪造或恶意破坏而不留任何痕迹,它弱化了纸质原始凭证所具有的较强的控制能力,为日后会计的跟踪增加了难度。此外,磁盘等存储介质在受到病毒侵扰、保管不当等情况下而发生故障,极易造成数据丢失,而电子数据一旦受损又很难恢复,造成会计数据的真实性和可靠性无法得到根本保证。2.身份识别与权限控制难度增加在手工会计系统中,一项经济业务从发生到形成相对应的会计信息,所经历的每个环节都要求具有相应管理权限的人员签字或盖章,有效地防止了伪造、篡改会计数据等作弊行为。会计实现信息化后,使原来人与人间的联系部分转为人与计算机系统间的联系,身份识别与权限控制增大了难度。原先的签名或盖章转化为授权文件和口令,口令存放于计算机系统内而不像印章那样由专人保管,一旦口令被人窃取或破译,便会带来巨大隐患,有可能造成企业机密泄漏和会计数据的丢失。此外,会计人员还可能利用特殊的授权或口令,获得某种权利进行非正常的业务处理。如:会计人员被客户收买,窃取口令,非法核销客户的应收款及相关资料,给企业带来巨大损失。3.内部控制的复杂性凸显在手工会计环境下,通常会设置相互牵制的会计岗位,整个会计工作必须按一定的程序完成,并通过会计业务的相互稽核进行控制。例如,前面出现的错误往往可以经过后续工作的审查与复核得以发现并修正。信息化后,大部分会计处理工作都由计算机自动完成,这种数据处理的集中性使得传统的组织控制功能减弱。一方面,内部控制的程序化使内部控制的有效性更多地依赖于应用程序。不仅容易受到自然灾害、硬件故障、病毒侵袭等各种不良影响,而且如果在这些应用程序中运行存在严重的“漏洞”或恶意的“后门”,就会严重危害系统安全。在专业人员找到或堵上这些漏洞之前,系统还可能会多次重复同一错误,扩大损失。另一方面,信息化使控制对象复杂化。不仅要加强对业务操作人员的制约管理,还要强调会计人员与计算机维护人员之间的内部牵制;不仅要对输出的纸质资料进行归档管理,更要加强对电子数据的维护与安全管理。4.复合型人才普遍缺乏在传统环境下,会计人员只要懂会计知识,一般就能适应工作。而信息化后,对企业会计人员提出了更高的要求,会计人员不仅要精通会计专业知识,还要熟悉计算机和网络知识。目前,中小企业的会计机构普遍比较简单,而且从整体上看,会计素质不高,计算机知识薄弱,尤其缺乏专业精、懂管理、掌握一定信息技术、具有灵活性、创造性的“复合型”人才,这在一定程度上成为信息化背景下实施内部控制的瓶颈。电算化会计对内部控制的影响1、操作员身份的识别2、内部稽核的削弱3、磁性介质的缺陷4、系统的脆弱性电算化会计信息系统内部控制的必要性1、采用计算机处理,会计数据变成以肉眼无法识别的形式存储在磁盘上,从而失去了直观性。同时,计算机系统的透明度较高,因而数据的安全性、保密性等控制变得尤为重要。这就使得电算化会计系统本身必须具备严格的内部控制制度。2、计算机会计数据的处理是在一个封闭的系统中进行的,会计数据处理的准确性完全取决于应用程序和硬件的可靠程度。因而电算化会计系统必须有在计算机处理方式下的内部控制。(一)内部控制的分类1.依据其所要达到的直接目标,可以分为会计控制(AccountingControl)和管理控制(AdministrationControl)两类。会计控制是以资产的安全性和会计资料的准确性、可靠性为目标的控制,而管理控制则是以提高经营效率和保证管理方针、政策的实施为目标的控制。2.依据控制的预定意图(IntendedUse),可以将其分为预防控制(PreventiveControl)、检查性控制(DetectiveControl)和纠正性控制(CorrectiveControl)三类。其中预防性控制是为防止不利事件的发生而设置的控制;检查性控制是用来检查、发现已发生的不利事件而设置的控制;纠正性控制,也称为恢复性控制,是为了消除或减轻不利事件造成的损失和影响而设置的控制。也可以将积极性看成是上述三种控制的分类标准。预防性控制是一种积极的控制,它试图在不利事件发生前加以防范,减少出现不利事件的可能性;检查性控制是一种中性的控制:它试图在不利事件发生的同时就能够发现;而纠正性控制则是消极的,它是假定不利事件已经发生,设置一些可以减少不利影响的手段。3.依据信息处理系统的不同,可以将控制分为手工系统控制和计算机系统控制两类,其中计算机系统控制又可依据其不同的处理方式分为批处理控制、联机处理控制、数据库控制和网络控制等。4.依据控制所采取的工具或手段,可将控制分为手工控制和程序化控制两类。手工控制是指控制的实施由人手工进行的控制,而程序化控制则是由计算机内部程序自动完成的控制,需要指出,手工控制与手工系统控制,计算机系统控制与程序化控制是两类不同的概念。手工系统控制尽管一般只能采用手工的方式加以实施,但前者的本质在于控制实施的系统背景,而后者则指控制所运用的工具。计算机系统控制,也称电算化系统控制,不一定完