摘要:本文透過對比的方式探討網絡環境下會計電算化系統內部控制的新變化、新特點。 近年來,隨着計算機技術和網絡通訊技術的發展,會計領域裏先後發生了兩次意義深遠的革命。第一次是電算化會計系統的廣泛應用,第二次則是正在發展中的網絡化會計電算系統的普及。
這兩次革命都對會計系統的內部控制產生了重要影響。在傳統的電算化系統即單機系統下,一方面諸如計算錯誤之類的技術性問題得到解決,另一方面又出現了傳統手工會計系統所沒有的新問題。而第二次革命中網絡的廣泛應用在很大程度上彌補了單機電算化系統的不足,使電算化會計系統的內部控制更加完善,同時也對它提出了新的要求。
一、單機會計電算化系統中內部控制的缺陷
由於計算機具有工作自動化,控制程序化、存儲數字化等特點,傳統的單機電算化系統在提高會計工作效率的同時也帶來了內部控制上的新問題,具體表現在:
(-)原始憑證數字化易於僞造
計算機的存儲方式是資訊轉化爲數字形式存儲在磁(光)介質上,因此極易被篡改甚至僞造而不留任何痕跡。這給一些不法之徒提供了機會,比如透過僞造或修改客戶、銀行的憑證,製造虛假交易,進而侵吞公款等。
(二)會計業務缺乏有效牽制
在傳統手工會計系統中,一筆業務要經過幾道崗位才能被確認,這使得會計活動在進行時就實現了良好的內部牽制,爲會計數據的安全提供了保證。而在電算化系統下,由於計算機的自動高效使工作人員減少,各種手續都被合併到一起由計算機統一執行,從而不能像手工方式那樣相互牽制,成爲內控隱患。
(三)內部控制更加依賴於程序的質量
電算化系統的主體是計算機軟件。因此其內部控制也更加依賴於程序的質量。一旦程序中存在嚴重的BUG或惡意的“後門”,便會嚴重危害系統安全。而會計人員對計算機專業知識所知甚少,很難及時發現這些漏洞,致使系統會多次重複同一錯誤,擴大損失。這也是手工會計系統不會遇到的問題。
(四)採用口令授權容易導致泄密
電算化系統下權限分工的主要形式是口令授權。口令存放於計算機系統內而不是像印章那樣鎖在箱子裏或帶在主人身上,因此一旦被人偷看到或竊取到便會帶來巨大隱患。比如下級人員記住了上級主管人員的密碼並以其身份登入進行越權操作等。如果該人員懂得一些電腦知識,繞過系統日誌進行操作則更將無影可查。
二、網絡技術的發展對電算化會計系統內部控制的影響
隨着網絡技術的成熟,會計系統也由單純的電算化走向開放式、網絡化。從內部控制角度看,它一方面彌補了單機系統的缺陷,一方面也帶來了新的問題。
(-)網絡環境下電算化系統內部控制的完善
1、網上公證——一三方牽制的形成。由於網絡環境下原始憑證仍然要來用數字方式進行存儲,所以也不能像手工系統那樣對每一張憑證作痕跡檢驗。可是利用網絡所特有的實時傳輸功能和日益豐富的互聯網服務項目,我們可以實現原始交易憑證的第三方監控,即網上公證。比如每一家企業都在互聯網認證機構領取數字簽名認證和私有密鑰。當業務發生時,一方將單據傳到認證機構,由認證機構確認並將經過數字簽名的加密憑證與未加密憑證同時轉發給另一方。這樣就得到了一筆確實經過雙方認可的交易。而單獨某一方因無法獲得另一方的數字簽名和私有密鑰,不可能僞造交易憑證。同時,該憑證以加密和未加密兩種形式存儲於企業的數據庫中,會計人員只有可能修改其未加密的那一份。這樣一旦審計人員或主管人員對某筆業務產生懷疑,只需將加密憑證提交客戶和認證機構其解密並加以對照即可。
2、監控與操作的分離實現了系統內部的有效牽制。從前一部分的分析可以看出,電算化系統下內部牽制沒有手工系統完善。但是從另一個角度看,手工系統下的“多方牽制”也不是一個成熟的牽制方法,它只不過是手工系統工作效率低下,人員過度冗餘的副產品,它沒有明確劃分操作與監督的關係,只是透過多人的重複勞動實現“牽制”。因此這種傳統的牽制手段已不能適應電算化會計系統的要求,必須找到能夠充分利用網絡實時高效的特點的方法。一個比較有效的辦法是在電算化系統內分出操作與監控兩個崗位,對每一筆業務同時進行多齊備份。當會計人員進行賬務處理時,其操作和數據也被同步記錄在監控人員的機器上,由監控人員進行即時或定期審查,一旦出現數據不一致便進行深入調查。這樣明確了崗位的劃分,真正作到了“精兵簡政”。
3、在線測試的實現使軟件內部可能存在的漏洞能夠得到及時的解決。衆所周知,對於計算機軟件來說,其內部錯誤或不足是無法避免的。因此其解決辦法只有兩個:一是在開發過程中加強交流,充分測試,二是在發現問題後及時解決。而在單機系統下,用戶與軟件供應商之間由於受空間、時間的影響無法進行充分的交流,降低了系統的可信賴性。但是在網絡時代,即使萬里之隔也可以在幾秒鐘內建立連接,進行實時高質的通訊或迅速傳輸軟件。這給解決上述問題帶來了方便。比如在開發時期用戶可以隨時向供應商提出最新的要求或意見,同樣,開發商也可以及時把剛修正的軟件傳送給用戶進行測試,大大提高了軟件質量和開發速度。同樣在使用過程中,開發商可以透過網絡對用戶的系統進行定期的在線測試,一旦發現問題可以及時通知用戶並進行在線升級,把BUG的存在時間控制在最短,提高系統健壯性。 4統一實時管理確保了口令授權的.安全。由於網絡環境下系統權限控制的主要方式也是透過口令實現的,因此也存在非法使用的問題。但利用網絡的實時聯繫功能,我們可以實現對各級口令的統一實時管理。當某操作人員上機時,其使用的身份和口令及詳細資訊將同時反映在監督人員的機器上,監督人員可以根據實際情況對當時口令、身份使用情況作以分析,判斷是否有非法登入。同時我們還能透過編制監測軟件實現自動報警。比如主任會計下機後通知監控方將其身份鎖起。此時如有其他人員試圖以其身份登入,監控軟件會迅速作出反應並通知管理者。
(二)網絡環境下電算化系統內控的新問題。
1、網絡是一個開放的環境,在這個環境中一切資訊在理論上都是可以被訪問到的,除非它們在物理上斷一開連接。因此,網絡下的會計資訊系統很有可能遭受非法訪問甚至或病毒的惡意侵擾。這種攻擊可能來自系統外部,
也可能來自系統內部;而且一旦發生將造成巨大的損失。
2、隨着電子商務的迅猛發展,網上交易愈加普遍,可以想像在不久後企業的全部原始憑證都將成爲數字格式,這加強了企業對網上公證機構的依賴。但直到目前相應的技術和法規還遠沒有達到完善,這也給系統的內部控制造成困難。
三、網絡環境下電算化會計系統內部控制的完善
從前面可以看到,網絡環境下電算化系統與傳統單機化系統相比,在內部控制方面有了進一步的完善。但從本質上說,它們仍然屬於電算化系統的一種,因此其內控內容與過去相比並沒有太大的變動,只是在具體問題上有些變化。我們可以把網絡會計資訊系統內部控制歸結爲以下幾個主要方面:
(一)組織與管理控制
網絡環境下會計人員的分工與組織應以工作高效、便於監控爲主要目標。在具體的崗位設定上分爲操作、監督、維護三部分。操作崗位負責數據的錄入、分析工作;監督崗位透過網絡對操作崗位的行爲、結果進行記錄和審查;系統維護人員則專門負責系統的健壯性及網絡的安全性問題。
(二)開發與維護控制
對於自行開發系統的單位,必須作好開發前的可行性研究、需求分析和開發人員的分工問題。尤其要注意開發人員與使用人員。維護人員必須分開,以防“後門”。在平日的維護中必須建立完善的制度,並與軟件供應商保持必要的聯繫。
(三)操作控制
單位應制定詳盡的操作規程,對各級操作人員的權限加以劃分。由監督人員透過實用監測隨時審查是否有違法操作、越權操作。同時要注意減少操作過程中對系統的不必要的損害。
(四)軟件控制
即軟件內部對各種錯誤或非法操作的控制。這一點可以透過加強與供應商的聯繫實現。
(五)數據和程序控制
這主要是保證數據及程序不會被修改。在網絡下可以透過前面的多方備份等技術加以實現。
(六)網絡安全控制
這本屬於維護控制的一部分,但因其在網絡環境下的重要性。應單獨作爲一項重要內容進行控制。其內容主要包括網絡健壯性控制、網絡容錯控制,檢測非法入侵能力等幾方面。採用先進的防火牆技術,在不需要對外聯繫時斷開與外部網的連接,並定期請網絡專家進行安全評測。
(七)加強內部工作人員的選拔、培訓工作
從統計上看,90%以上的網絡安全事故是由於“內盜”或“疏忽”造成的。設有經過安全培訓的管理員很容易發生泄露重要密碼、擴大用戶權限等錯誤。因此作好這一點是保證系統安全,防止非法入侵的關鍵。
雖然以上措施會增加系統的執行成本,但從內控角度看,它們是必不可少的。總之,隨着網絡技術的逐漸成熟與完善,會計資訊系統的內部控制體系將發生深刻的變化。只有清楚的意識到這些變化,才能適應社會的發展,建立完備的、嶄新的會計體系。