会计信息系统内部控制制度建设探析

　　【摘　要】：电脑的普及和信息化技术的飞速发展，使传统的手工做帐会计被电脑操作所取代，会计电算化成为了会计发展的必然趋势，它极大地冲击了企业原有的内部控制制度，使得原来会计的环境发生了根本性的变化。这种变化对企业的内部控制制度具到底有什么样的影响，企业应该建立什么样内部控制环境，怎样加强和完善其内部控制制度，本文将从这几个方面来对会计信息系统的内部控制制度建设进行一些剖析。

　　【关键词】：会计电算化内部会计环境内部操作管理制度及控制

　　会计信息系统使原本以手工记帐的书面帐薄形式存在的会计凭证转变为用会计软件处理的以数据形式存储在磁盘上的文档；同时原来的人与人之间的联系网和相互牵制的关系也部分地被人与计算机的关系所取代。这种转变使得以前针对传统的手工记帐会计的内部控制制度受到了极大的挑战。因此，建立一整套适合会计信息系统的内部控制制度就显得特别重要。会计信息系统的内部控制制度建设不仅应包含传统手工会计系统所具有的控制制度，还应包括会计信息系统的安全控制制度、权限控制制度、修改程序控制制度和内部监督和审计控制制度等更大的范围和更复杂的控制程序和制度。

　　一、会计电算化对企业内部控制制度的影响

　　内部控制制度分为内部管理控制和内部会计控制。会计电算化的内部控制制度是企业内部会计控制的特殊形式。随着会计电算化信息系统的迅速发展，它一方面给企业带来了巨大的收益，但同时它也极大地冲击企业的内部控制制度，改变了企业的的内部会计环境，其具体表现为：

　　（一）控制对象的改变。实施会计信息系统后，它由以前的只对会计人员的控制转变为对会计人员和电脑的双重控制。在每笔交易发生的时侯，只要由有关人员输入交易的相关信息，电脑便会自动记录进行核算处理程序，而以前交易所必须的那些凭证和单据都被部分地取消了，以前会计核算过程的许多人工程序也都被计算机自动处理完成了。

　　（二）控制方式的改变。它则是由以前的单一的对会计人员的内部控制，转变为对企业内部制度的控制和对电脑程序的控制。在手工会计系统中，内部控制是通过凭证传递程序规定每个工作点应该完成的任务，并在传递程序的过程中通过选择控制、相互校验、核对等来实现，通过对帐检查帐证、帐帐、帐实是否相符来保证其财务数据的正确性。而在会计信息系统中，由于帐务处理程序变化，除原始数据的收集审核编码等仍由原会计人员手工操作外，其余的工作都由计算机来进行处理，例如凭证的记贷平衡校验，余额和发生额的平衡检查等。这样，原来的内部控制工作一部分便由计算机代替了，企业的内部控制方式也就由以前的人工控制转变为电算化会计信息系统的的人机共同控制了。

　　（三）加大了对控制会计舞弊和犯罪的难度。随着会计信息化时代带来巨大经济效益的同时，控制会计舞弊和犯罪的难度也加大了，计算机犯罪本身就具有很高的隐蔽性和危害性，在会计信息系统中发现电脑舞弊和犯罪的难度要远比手工会计系统更大。所以会计电算化系统在给我们带来操作方便快捷的同时也给我们带来了很高的风险性。

　　由此可见，会计信息系统的内部控制与单纯的手工会计系统相比，它是范围更大、控制程序更复杂的综合性的控制，是对人工控制和对计算机控制及其自动控制相结合的多方位的控制。

　　二、目前我国会计电算化环境下内部控制的现状及存在的问题

　　会计信息系统环境下的内部控制是内部会计控制的特殊形式。随着IT技术的发展和应用，会计信息系统进一步向深层次发展，这些变革在为企业带来了巨大的效益的同时，另一方面也给企业的内部控制带来了新的问题和挑战。目前我国会计电算化环境下内部控制的现状及其存在的问题如下：

　　（一）法制化建设滞后与重视度不够

　　现阶段，在我国会计信息系统的内部控制的法制建设比较滞后，在这方面的法律规范还不健全。所以对于电算化犯罪很难进行有效的管理和监督，例如：对未经许可便进入会计电算化系统或接触有关财务数据文件的行为，目前还没有相关法律规定，因此还无法对那些盗窃或下载重要机密数据资料的行为治罪。

　　在思想上，还有一些企业的对于会计信息系统在企业的内部控制中的作用和意义还认识得不够，没有完全引入会计信息系统，进入会计电算化时代；一些企业对会计信息系统的认识也还停留在表面上，缺乏对其足够的理解，他们简单地认为会计信息系统仅仅就是‘以机代帐’而已，认为只要一次投入硬件和软件即大功告成，而不重视对会计软件的换代升级，硬件换了好多次，而软件却仍还停留在最初安装的版本，早已不能适应新的会计内部控制，出现来了只重视硬件换代，不注意软件升级的情况，这也是对实施会计信息系统的作用和意义重视不够。

　　（二）甩帐前的审批控制被弱化。

　　财政部明确规定“以计算机代替手工记帐的单位必须要达到一定的条件，并经同级财政部门或业务主管部门的审批后方能甩帐”，但实际上，有些单位盲目追求会计电算化，未经审批就直接甩帐，甚至相当一部分企业未达到甩帐单位所具备的条件：会计电算化系统并未与手工会计系统并行三个月就正式投入使用，一些外商投资企业他们直接采用其外国母公司的会计软件，而这些软件与财政部门颁布的《会计核算软件基本功能规范》的要求却有较大的差距。

　　一些单位虽然在甩帐前建立起了自己的会计电算化硬件和软件系统并依法进行甩帐，但是与之相关的内部会计控制制度却没有能够及时建立起来，或是建立的内部会计控制制度不够完善，在甩帐后对会计电算化系统缺乏有效的规范和监督。

　　（三）缺乏有效的管理和监督制度。

　　财政部门要求甩帐的企业要有完善的会计信息系统管理制度，很多单位虽然制订了一些制度，但是其制度根本不完善或并没有得到切实执行，使得会计信息系统缺少有效的管理和监督，具体表现为：

　　1．对岗位职责分离认识不足，执行不力。按职责分离原则，系统程序员不应接触或操作正式使用的电算化系统，凭证的输入和复核要由不同的人员执行。但是我们一些单位的程序人员和系统维护人员却随时接触系统，甚至顶班操作。还有一些单位的会计人员一人生兼数职，没能实现职位分离，使得本来的内控制度失去意义。

　　2．对系统的接触控制不力。人员随便出入机房，用户登记制度难以执行，系统也难以自动记录用户上机和操作情况。

　　3．内部审计监督弱化。由于我国的内部审计制度还不够完善，内审人员的素质还有待提高，还不太清楚会计信息系统的特点和风险，不太熟悉应该如何对会计信息系统进行审计。因此会计信息系统未能够得到有效的内部审计监督。

　　4．系统的恢复控制薄弱。有很多企业的会计软件和财务数据文件都没有及时备份，或是虽然备份了但却没能恰当地保管，部分单位在其财务系统遇到意外时根本就不知道应该如何恢复系统，很多单位都没有制订系统遇到以外毁损时的恢复计划。

　　（四）系统的安全性保密性控制不力

　　会计信息系统是由人工开发设计出来的，其数据处理过程也是由人工来操作的，因此手工操作下可能发生的风险在电算化条件下也完全有可能会发生。目前我们一些财务软件在启动还没有登录密码设定，还有一些单位登录时虽然需要输入密码，但是密码和登录口令设置单一，趋于雷同，对稍懂计算机操作知识的人来说，根本就够不成问题，更有甚者密码早也众所周知，成为公开的秘密，诸如此类的情况别人都可以轻易地进入其账务、报表等系统，对所有的财务资料一览无遗，使得应有的密码保护失去了意义；

　　过去的计算机系统基本上都是封闭隔离的，其它企业很难进入企业计算机系统窃取财务秘密，破坏系统的正常运行。但是现在随着网络版财务软件的出现情况就不一样了，互联网是一个开放的世界，时刻都存在来自社会不法分子的对会计信息系统的非法入侵、破坏的道德风险。同时各关联方出于自身利益的考虑，非法入侵其他企业内联网的道德风险时刻存在。

　　（五）会计人员整体素质还有待提高

　　目前，不少单位的会计电算化人员是由过去的手工会计时期的并不精通电脑的会计、出纳、人员构成的，他们只是经过短期培训便开始上岗，在使用电脑软件处理会计业务的过程中，对会计信息系统的的硬件和软件知识了解很少，在上机时经常出现误操作，而且一旦电脑硬件或财务软件出现问题时时就束手无策，常常出现差错，使系统数据丢失，自己很长时间的工作成果付诸东流。还有会计人员则是一些并没有接受过系统的财务学习的计算机专业的操作人员，他们对会计的专业知识不够了解，在操作中也常常出错。

　　产生以上问题的原因，一方面是由于我国财务软件操作人员的素质还不够高，加密意识不够强，内控管理制度还不完善；另一方面也与我国法律的建设，特别是网络法制建设不完善有一定的关系。

　　三、如何加强和完善会计电算化系统的内部控制

　　严格的内控制度是会计电算化信息真实可靠的有力保证。根据国内外会计信息系统的实践表明，计算机本身出现处理出错的概率几乎为零，但是由于人为原因为而出现差错及进行舞弊的现象却屡见不鲜。因此，制定严格的内控制度非常之必要。

　　（一）加强和完善会计信息系统内控方面的思想法制建设

　　1．在思想上要加强各级领导与会计人员的管理和内控意识。各级财政部门、业务主管部门和相关专业的学术专业机构等应大力宣传会计信息系统的必然趋势及其优越性，同时强调它的特点及其风险。大力宣传电算化条件下内部控制的重要性，促进各级领导和会计人员对会计电算化树立正确的认识，从而加强管理与控制意识。

　　2．在法制方面，要建立惩治利用会计电算化犯罪活动的法律，明确规定哪些行为属于舞弊行为和犯罪行为，以及惩处方法。并建立起会计信息系统的保护法律，以明确在会计信息系统中哪些东西或哪些方面是受到法律保护及受何种保护的，做到有法可依。同时还要严格执行，违法必究。

　　3．制订和完善会计信息系统的内部控制制度。财政部门和主管部门可以制定非强制性的会计电算化工作指南，对会计电算化工作的开展给出指导性的建议。各单位根据建议并集合自身的会计信息系统情况，制订出切实可行的会计信息系统内部控制制度。其制度要科学规范，并切实可行。要以准则的形式具体落实，规范执行。

　　（二）制定和完善企业内部操作管理制度

　　1．制定会计人员的培养和继续教育制度。企业在实行会计电算化后，会计人员增添了新工作内容，这就要求会计人员更新知识结构，提高专业素质，一方面要很好的掌握好扎实的会计专业知识，另一方面还必须掌握会计电算化的有关知识，培养熟练操作和应用会计信息系统的能力，以促使自身从单纯的手工会计记账、算账、报账的实务核算型工作转向通过会计信息系统参与预测、决策、控制的经营管理型，以便充分发挥会计工作在企业管理中的重要作用。企业要制定一套会计人员的知识结构的更新措施和培养制度。

　　2．组织控制机构的设置。所谓组织控制，就是将系统中不相容的职责进行了分离，即在系统中的各类人员之间进行分工，并以相应的管理规章与之配套。企业必须制定完善的组织和管理控制，明确职责分工，加强组织控制。通过设立一种相互稽核、相互监督和相互制约的机制来保障会计信息的真实、可靠，减少发生错误和舞弊的可能性。企业可以按不同的形态会计数据，可将会计信息系统划分为不同的工作组，比如数据收集输入组、数据处理组和会计信息分析组组等；也可以按会计岗位和工作职责划分为计算机会计主管、软件操作、审核记账、电算维护、电算审查、数据分析等岗位。

　　3．规定操作人员职责和权限。明确和规定各种操作人员的职责和工作权限，虽然很多软件都有用户管理功能，但其用户管理功能的设置还是由人工来进行的，所以这就有必要从制度上对操作人员的工作职责和工作权限加以规定。内部控制的关键点在于不相容职务的分离。职责分工首先是要将会计电算化部门与用户部门的职责相分离。用户部门指产生原始数据的部门或人员。在这两者之间进行职责分工的目的是尽可能保持不相容的职能相分离，以及在电算化部门内部的职责分离，如业务授权、执行、保管和记录等。通过进行内部职责分工，以补救不相容职能集中化的不足。起到各个部门权利相互制约、相互平衡的作用。在会计信息系统中，除了会计电算化部门与用户部门要相分离外，不相容的职务主要还有系统的开发、发展职务与系统的操作职务；数据维护管理职务与电算审核职务；数据录入职务与审核记账职务；系统操作的职务与系统档案管理职务等。总之，为防止舞弊和欺诈，企业应建立起一整套符合职责划分原则的内部控制制度。对部门负责人、会计员、出纳员、操作员以及硬件维护人员，明确规定各岗位的权责，使他们既能各司其职而且又相互制约。

　　4．建立严格的各级会计程序审核制度。建立预防原始凭证和记帐凭证等未经审核便输入计算机的措施，例如规定原始凭证必须经有关审核人员审核并签章后才能够输入计算机等。建立预防已输入计算机的原始凭证和记帐凭证等未经核对便登记入计算机的措施。例如规定已输入计算机的凭证需要由审核人员审核并签章后才可以登记记入机内帐薄等规定。

　　（三）建立计算机系统管理制度

　　1．制定保证计算机硬件设备的安全控制措施。所谓硬件设备的安全控制其主要内容是在系统运行过程中，如果硬件出现故障应及时清除故障，并作好故障排除记录，在设备更新、扩充、修复后，应由系统维护人员安装和调试。同时要利用会计软件中的操作日志文件，建立一整套严格的上机管理制度。以保证设备的完好和正常运行。计算机硬件设备的管理主要包括对人文环境的控制，如防止无关人员进入计算机工作区域、防止设备被盗、防止设备用于其他方面等；也包括对设备所处环境进行的温度、湿度、防火、防静电、防雷击等的控制。

　　2．制定保证计算机软件设备的安全控制措施。软件设备的安全控制是要保证财务软件程序不损毁、不被修改、不被病毒感染。软件程序的安全与否直接影响着会计信息系统的运行，关系到财务信息的保密性和完整性。软件控制的目标是要做到任何情况下会计数据都不损毁、不泄露、不丢失、不被非法侵入。通常采用的控制措施包括接触控制、防范病毒管理控制和丢失数据的恢复与重建等。接触控制是指非系统维护人员不得接触到软件程序的技术资料、源程序和加密文件，从而减少软件程序被修改和破坏的可能性；防范病毒管理控制要求企业制定具体的防病毒措施，包括对所有不明来历的磁盘在使用前进行病毒检测，定期对系统进行病毒检测，使用网络病毒防火墙以防止网络病毒入侵等；程序的安全控制还要求企业有关人员要注明程序功能后备份存档，以备会计信息系统损坏后重新安装，即程序备份控制。

　　3．制定完善的上机操作管理制度。企业对于会计信息系统的上机管理制度应包括完善的操作手册、上机时间安排、上机记录制度、轮流值班制度等。具体包括：制定完善的上机操作手册，规定无关人员不得随便进入机房操作；不得把外来磁盘带进机房；开机后，操作人员不能擅自离开工作现场；不得在单位内部会计电算化系统的计算机上做与会计电算化无关的活动；各种录入的数据均需经过严格的审批并具有完整、真实的原始凭证；建立修改会计核算软件的审批和监督制度，如规定会计核算软件的修改需报经单位总会计师批准等；发生输入内容有误的，需按系统提供的功能加以改正，如编制补充登记或负数冲正的凭证加以改正；各项数据的下载要有严格的审查和管理制度，做好会计数据和会计软件安全的保密措施，如数据备份等、要做好日备份数据，同时还要有周备份、月备份等。此外，会计软件也应该有完备的操作日志文件等制度规定。

　　（四）加强会计信息系统的安全控制

　　1．接触控制是防止未经授权的人擅自动用系统的各种资源，以保证各项资源的正确性和安全性。主要的控制措施包括：订立内部操作管理制度，加强系统安全保护措施，设置用户登录上机和密码保护制度，设置操作权限限制，实行分口、分层设置密码、对计算机设备加锁，对上机口令严密控制。禁止非电脑操作人员操作公司电脑。数据的存贮和处理相隔离，设置接触与操作的日志控制等。

　　2．环境安全控制则是为了避免计算机因外界因素而发生故障，保障计算机的正常运行。其主要内容包括：制定计算机机房设备管理制度以保证机房环境，提供安全供电系统的安装及空调和防火、防水、防尘、抽湿装置等设备的配备。

　　（五）加强制订会计信息系统档案管理制度

　　在实行会计信息系统后，会计档案的概念也有了较大的发展。电算化会计档案包括存储在计算机硬盘中的会计数据以及其他磁性介质或光盘存储的会计数据和计算机打印出来的书面等形式的会计数据。

　　随着存储介质的改变，对会计档案管理的要求也比较严格，保存的有关规定要按《会计档案管理办法》的规定执行。会计档案以计算机打印的书面形式保存，企业应对会计信息系统的有关资料及时存档，建立起完善的档案管理制度，并有专人对档案进行维护和完善，对于资料的借用和归还手续、完善的标签和索引方法、安全可靠的档案保管设备等进行加强管理。还要定期对所有档案进行备份，并保管好这些备份档案文件。

　　同时，建立妥善保管存有会计信息的磁性介质或其他介质的措施。对于采用磁盘、光盘等介质存储会计数据的，由于这些载体的物理特性，在形成会计档案时应准备双份，要采用“AB备份法”进行数据的备份，在每份上都要注明形成档案的时间，并且要将他们存放在两个不同的地点；要做好防磁、防火、防潮和防尘工作，规定存有会计数据的磁盘应存放在防潮防磁的清洁的容器内；同时对这些采用磁性介质保存的档案，还应定期进行检查、复制，防止由于磁性介质的损坏而使会计档案信息丢失。为防止档案被破坏，企业应制订出一旦档案被破坏的事件发生时的应急措施和恢复手段。

　　总之，企业的内部控制制度的内涵是多方面的，只有随着时代的发展进步在经营和实践中去不断地修改和完善其内部控制制度，才能够建立起一套科学有效的内控管理制度，才能减少企业在经营中发生错误，从源头上确保会计信息的真实性和可靠性。为企业的生产，经营，管理和决策做出贡献．只有企业的全体员工共同营造良好的内部环境，通过不断的完善会计信息系统内部控制制度，才能实现内部控制的目的。