会计信息化在提高会计信息处理的速度和准确性的同时也给会计信息系统带来了新的控制问题。手工会计系统原有的内部控制已不能适应电子数据处理的新特点,不能有效地降低电算化会计信息系统特有的风险,为了系统的安全可靠和系统处理与存贮的会计信息准确完整,必须依据现代内部控制理论构建电算化会计信息系统的内部控制框架。
1、 现代内部控制理论概述
内部控制起源于审计和管理的需要,管理的需要及保证资产安全和会计信息真实是内部控制发展的主要动力。内部控制经历了4个发展阶段:①内部牵制阶段,以查错防弊为目的;②内部控制制度阶段,将内部控制分为会计控制和管理控制;③内部控制结构阶段,将内部控制分为控制环境、会计系统、控制程序;④内部控制整体框架阶段,将内部控制分为控制环境、风险评估、控制活动、信息和交流、监督5个相互联系的部分。内部控制理论由简单的岗位内部牵制向结构化的内控机制发展,并进一步发展成将企业环境、业务过程和管理有机结合的综合控制系统,其演变过程可以说是各方利益集团共同作用的结果。
以按照美国权威审计机构COSO为代表的现代内部控制理论将内部控制定义为“由企业董事会、管理层和其他员工制定和实施的,旨在为经营的效果和效率、财务报告的可靠性以及相关法律法规的遵循性等目标提供合理保证的过程”,其整体框架由控制环境、风险评估、控制活动、信息与沟通、监控五项要素构成。每个要素均承载三个目标:经营目标、财务报告目标、合规性目标。
企业管理人员、审计人员在经营管理实践中将现代内部控制理论运用于会计信息系统,已经形成了较为完善的自我监督和行为调整的会计内部控制框架。
2、 电算化会计信息系统内部控制的特性
在电算化条件下,会计信息系统的内部控制问题异常严峻:
2.1 基于计算机存储器的数据管理方式,使会计数据泄漏和损失的风险因计算机软硬件系统的脆弱性而成倍放大。计算机软硬件系统发生故障时,数据的完整性将取决于备份的时效;而地震、洪水、建筑物倒塌等自然灾害也将造成无法挽回的数据损失。甚至商业软件加密卡的丢失和损坏都会给系统造成灾难,同时给企业带来巨大经济损失。
2.2 信息化常常使业务流程和财务流程整合在软件系统中,包含许多不成文规则的手工方式的权限控制就必须重新分配。如果电算化下的控制模式没有充分挖掘出手工方式下诸多的隐含规则,将造成电算化会计信息系统内部控制的漏洞。
2.3 电算化条件下,技术人员尤其是系统管理人员的控制问题变得非常突出。极端情况下,系统管理人员可能造成极其毁坏或者全部系统崩溃的危险。
2.4 操作权限划分和登陆密码保护尤其重要。各级操作权限的随意设定,密码的泄露以及忘记,都会造成损失。
由此可见,随着会计信息化的进程,手工会计系统原有的内部控制已不能适应电子数据处理的新特点,不能有效地降低电算化会计信息系统特有的风险,为了系统的安全可靠和系统处理与存贮的会计信息准确完整,必须研究建立电算化会计信息系统的内部控制框架。
3、 电算化会计信息系统的内部控制框架
按照现代内部控制理论,电算化会计信息系统的内部控制框架由控制环境、风险评估、控制活动、信息和交流、监督5个相互联系的部分组成。
3.1 控制环境
内部控制的环境是控制系统中其他要素的基础,控制环境是各种因素共同作用的结果,可以增加或减少具体控制政策和程序的实施效果。换言之,控制环境决定着组织的整体风格,左右着组织中各成员的控制意识。
控制环境具体包含以下因素:诚信的原则和道德价值观、雇员品质和能力保证、管理哲学和经营风格、组织结构、董事会和审计委员会、责任分配与授权、人力资源政策和程序。
现实中会计信息造假案此起彼伏,股市人气涣散,造成这类事件的原因很多,而内部控制环境的缺陷是每个事件的共性原因。会计信息化(电算化)带来了会计工作方式和业务处理流程的改变,也可能引起会计内部控制环境各因素的变化。因此,企业必须在开展会计信息化工作的同时重视内部控制环境建设,优化企业纪律与架构,塑造企业文化,提高企业职工的控制意识。
3.2 风险评估
每个企业都面临着来自内部和外部的不同奉献,这些风险都必须加以评估。风险评估的先决条件是制定目标。风险评估就是一个确认、分析和管理企业实现目标过程中可能发生的风险的过程。会计信息系统的风险评估应该包括三个步骤:
第一, 明确系统目标。电算化会计信息系统的目标服务于企业整体目标,包括营运目标—包括绩效和获利目标及资产保全目标;财务报告目标—防止报送不真实的财务报告;合规性目标—企业经营活动应遵循国家相关的法律法规。
第二, 辨识和分析风险。电算化会计信息系统面临的风险,既有内部因素也有外部因素。管理层必须谨慎注意各种风险,并采取必要管理措施。辨识和分析风险的过程是一种持续并反复的过程。电算化会计信息系统的风险分析必须结合系统的外部环境以及系统内部要素(硬件、软件、人员、规程、数据)来进行。分析风险通常要考虑以下内容:系统面临的威胁和易受到的攻击;这些威胁对系统的影响程度;威胁发生的可能性;风险的性质。
第三, 环境变化后的应对。系统外部经济、产业以及管理等控制环境随时都会发生变化,系统内部软件、硬件、人员等要素也后发生变化,当这些变化发生时,会计信息系统的活动应随之进行改变。因此,风险评估中最关键的步骤就是确认内部和外部变化的情况,并及时采取必要的行动。
3.3 控制活动
控制活动是为了确保管理层的指令被执行而建立的政策和步骤。电算化会计信息系统中常见的控制活动包括:
职责分工:职责分工是防止某个员工在他的正常职责范围内产生(或隐瞒)错误或违规行为必要且有效的措施。职责分工的原则是将交易授权、交易记录和资产监管三种权限必须分配给不同的人或部门。
适当的文档和记录:在会计信息系统中应设计和使用适当的文档和记录,以确保交易和事件的适当记录。比如,文档或记录中的项目应当按次序实现编号,项目应能够被使用者方便地使用和理解,表格应提供特定的栏目以指明必要的授权和责任确认。
文档和记录作为存储信息的物质媒介,根据控制的需要有着各种不同的格式和内容,如销售订单、出库单、付款单、采购订单、入库单、验收单、收款单等等;其存储介质可能表现为传统的纸质文档,也可以是磁盘、光盘等用计算机读写的磁性或光学介质。电算化并不排斥纸质文档和记录。
适当的文档和记录,在种类、内容、格式、形式、副本量等方面的设计上都考虑了控制的要求和管理效率的兼顾,从而在实际应用中存储和传递数据的同时还以权利和责任的传递推进着经营的运作,以其标准化的格式和内容确保经营管理的规范化,最终提高系统的自动化水平。
限制接近资产:任何人只有在与所授权限一致的情况下才能接近资产。这就需要对接触和使用资产的行为以及针对这种行为的记录进行充分的实物上的控制和保卫。有很多实物控制的手段可选:现金登记簿、保险柜、锁、保险库、禁区、保安人员、监控摄像设备、警报系统等。必须注意,实物控制的有效性在很大程度上依赖于保证它们正常使用的相关措施,而不仅仅是设备的存在。
会计责任检查和执行情况复查:由授权人(或由授权人委托的人)、记录人和资产监管人在适当的日期将资产的帐面记录与实物进行比较,对二者之间的差异进行调查与纠正。还要定期或不定期地对经营管理行为的记录和效果进行合法性与合理性评估。
3.4 信息和交流
这里的信息是指员工能够获得的其工作中所需要的信息,包括用来确认、收集、分析、分类、记录和报告组织的交易以及为相关资产和负债进行会计处理的方法和记录。沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。会计信息系统不仅处理组织内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。所有员工必须从最高管理层清楚地获取控制责任的信息,而且必须有向上级部门沟通重要信息的方法和渠道,并与外界顾客、供应商、政府只管机关和股东等作有效的沟通。
信息的文档化为会计信息系统中高效率的信息交流提供了条件,因此,信息和交流是会计信息系统内部控制框架的重要组成部分。
3.5 监督
内部控制的质量可能会在很多方面受到不利影响,包括缺乏遵从性、情况发生变化,甚至控制本身受到怀疑和误解。为了确保会计信息系统的内部控制被切实执行,产生良好效果,并能够随时适应新情况,内部控制本身必须被监督。
监督是由适当的人员,在适当及时的条件下,评估控制的设计和运作情况的过程。监督通过持续监督、个别评估或者二者的组合来确保会计信息系统的内部控制能够持续有效地运作。在内部控制的监督过程中,组织中有两项职能非常重要,即内部审计和控制自我监督。
内部审计。电算化会计信息系统完善、健全的内部控制框架中,必须有完善、严密的内部审计制度、独立有效的内部审计机构和高素质、高责任心的内部审计人员。它既是内部控制框架的重要组成部分,又是实现内部控制目标的重要手段。
控制自我评估。控制自我评估是组织的管理部门和职员共同进行定期或不定期对会计信息系统的内部控制进行评估,评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。控制自我评估是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。
企业应当重视内部控制的监督检查工作,建立和完善内部审计监督体系,并由专门机构或者指定专门人员具体负责内部控制执行情况的监督检查。同时,为确保内部审计监督作用的发挥,促进内部控制的严格执行,必须加强对内部审计机构和人员的管理,提高审计人员的素质,并赋予他们一定的独立权限,以确保审计的独立性、客观性。
4、 结语
综上所述,电算化会计信息系统的内部控制是一个多要素的立体框架。然而,国内企业并没有全面理解内部控制,有关电算化会计信息系统内部控制文章都局限于电算化会计信息系统中内部控制的必要性和特殊性的分析,以及一般控制和应用控制的讨论。因此,国内许多企业电算化会计系统的内部控制存在以下问题: 控制环境薄弱、风险意识差,内部压力不足、缺乏适当的控制活动、信息流通不畅,职责不清,责任不明、内控机制不健全,控制乏力等问题。本文运用现代内部控制框架理论,探讨电算化会计信息系统内部控制框架的构建,以期引导国内企业建立起完善的电算化会计信息系统内部控制体系,降低威胁电算化会计信息系统的各种风险。(李新瑞)
