一般认为,内部控制是一个企业或单位为了保证其资产的安全性、会计资料的准确性和可靠性,提高经营效率以及贯彻执行其规定的管理方针而在组织内采用的一系列制度、方法和手续。其在企业管理、会计和审计活动中占据着重要的地位。计算机引入会计信息系统后,内部控制本身呈现出新的特征,内部控制技术在系统管理和审计中的重要性大大提高。了解和掌握计算机会计信息系统内部控制的基本要求,不仅是开发设计可靠系统的前提,同时也是使系统高效运行和管理的必要条件。
一、计算机会计信息系统内部控制的变化
计算机引入数据处理系统后,计算机会计信息系统呈现出不同于一般手工系统的特征,如数据处理的集中化、数据存储的磁、光介质化、可视审计线索减少、缺乏综合判断及推理能力和初始成本变大等。计算机会计信息系统的这些特点,一方面使得审计中有些风险减少,另一方面也增加了许多在手工系统中较小的、或不曾有的风险,从而使得加强计算机会计信息系统的内部控制成为任何实施计算机会计信息系统的单位都不可忽视的一项重要工作。计算机会计信息系统中内部控制的一些变化主要有:
1.差错的反复发生。在手工系统中,发生差错往往是个别现象,而且由于数据处理缓解分散于多个部门、多个人员完成,一个部门或人员的差错往往可以在下一个环节中发现和改正。所以一般而言,一定时间内数据中反复发生错误的可能性并不大。但计算机系统处理的集中化,加之计算机运算的高速性,使得其处理结果一旦发生错误,就往往在短时间内迅速蔓延,使得多种文件、账簿,以至整个系统失真。如果发生错误的原因在于系统程序和系统软件,则计算机就会重复执行同一错误操作。
2.数据安全性差。手工系统中数据的处理和存储均分散于各个部门和人员,而计算机系统的突出特点就是其处理和存储的集中化。由此对数据安全带来一定的威胁。如未经授权的人员可以利用计算机轻而易举的浏览其他部门文件和数据,从而使得机密数据被泄漏。另外,数据大量集中存储于磁、光介质中,一旦发生火灾、水灾、被盗之类的事件,就可能是全部数据丢失或者毁损;同时磁、光介质对环境的要求较高,不仅要防水、防火,还要防尘、防磁,而且对温度还有一定的要求,从而增加了数据的脆弱性。
3.对不合理的业务缺乏识别能力。尽管计算机运行速度快、精度高,但以其代替人的手工操作的同时也使系统丧失了人类所具有的对不合逻辑、不合理的及例外事项的判断和处理能力,因此要求在数据处理过程中增加多种检查控制。
4.输入差错的严重性。在信息处理过程中,"垃圾进,垃圾出",即如果输入数据出错,以后的处理环节再正确,也只能输出错误的信息。计算机会计信息系统处理的高速性和集中化,都使得这一问题更加突出。另外,计算机会计信息系统的输入过程较手工系统多了一道程序,即需将人类可读的数据转换为机器可读的代码形式,这一环节无论采用联机系统还是采用批处理系统都可能产生一定的错误,由此使得计算机会计信息系统输入方面的补偿控制更加必要。
5.程序被非法调用篡改。计算机完全依靠程序进行操作。离开了程序,性能再好的计算机也像没有拐杖的盲人一样。对程序的控制这一在手工系统中不曾有的控制手段在计算机系统中却至关重要。如果对任何人接近计算机系统缺乏控制,则未经授权的人员也可以上机操作,改动程序。同时对于经批准接近系统的操作人员加以限制也非常重要。在历史上,无论国外还是国内,操作人员利用工作之便篡改程序达到非法目的的事件一直屡见不鲜。
6.系统现状与用户要求不相适应。计算机会计信息系统的建立是一个复杂的过程,需要很多计算机和通讯技术知识,单纯依靠用户本身往往难以胜任。所以一般要凭借本单位或者专业公司的计算机专业人员进行。但我国目前的一个普遍现象是,计算机专业人员往往不懂会计与审计知识,而用户又对计算机知识知之甚少。系统的开发过程只能由用户提出具体要求,由计算机专业人员进行相应设计。由于用户和审计人员知识背景的差异,往往造成理解上的障碍,使得设计出来的计算机系统不能满足用户的需要。
总之,计算机会计信息系统中的风险有其特殊性,加强其内部控制的建设,比之手工系统更为迫切。并且国内外的事实说明,虽然计算机系统中出现错误和舞弊的次数有所减少,但其每次所造成的损失程度有所增加。如美国的一项研究表明:一般的银行舞弊案,每次造成的损失为10.4万美元,而计算机系统的银行舞弊案的平均损失为61.7万美元,计算机系统的每次舞弊案的平均损失是一般手工系统的6倍以上。
二、计算机会计信息系统内部控制的特点
在计算机会计信息系统中,内部控制的目标仍然是保证资产的安全性,数据资料的准确性和可靠性,提高经营效率以及保证管理方针的实现。但其控制的重点、方式、内容和范围有所不同。
1.控制的重点转向系统职能部门。计算机会计信息系统实现后,数据的处理、存储集中于系统职能部门,因此内部控制的重点必须随之转移。
2.控制的范围扩大。由于计算机会计信息系统的数据处理方式与手工处理方式相比有所不同,以及计算机系统建立与运行的复杂性,要求内部控制的范围相应扩大,其中包括一些手工系统中没有的控制内容,如对系统开发过程的控制、数据编码的控制以及对调用和修改程序的控制等等。
3.控制方式和操作手段由人工控制转为人工控制和程序控制相结合。在手工系统中,所有的控制手段一般都是手工控制。在计算机系统中,原有的手工控制手段有些仍然保留,但需要增设一些存储与计算机程序中的程序化控制。当然随着计算机应用的程度不同,程序化控制的范围也会有所不同。一般来说,计算机应用的程度越高,采用的程序化控制也就越多。
三、计算机会计信息系统内部控制的功能
内部控制发挥着三个方面的功能,即预防、监测和校正功能。
1.预防性功能。是通过防止或组织来避免错误、灾害、事故、舞弊等的发生。例如,通过设置口令来防止非法接触和使用终端、主机、数据文件和程序,以避免对数据文件和程序进行破坏、篡改或非法复制。
2.监测性控制功能。是通过找出、发现已经发生的错误、灾害、事故、舞弊等来防止危害的扩大或者使损失得到补偿。例如,计算机操作系统通过记录和报告系统法记录非法修改系统软件、应用程序或数据文件的行为。
3.校正性控制功能。是通过更正和校正已检测出错误,处置发生的舞弊行为,以及处理和补救已发生的灾害来减轻危害,使系统恢复正常。例如,通过文件和程序备份措施,补救因灾害造成的数据和程序损毁的危害。
四、计算机会计信息系统内部控制的类型
计算机会计信息系统的内部控制一般分为两类,即一般控制和应用控制。它们均是计算机应用于会计信息系统所产生的特殊控制,用来预防、发现和纠正系统中所发生的错误、舞弊和故障,使系统能正常运行,是其提供可靠和及时的会计信息的重要保证。
1.一般控制是指对计算机会计信息系统的研制开发、组织、鉴定、应用环境等方面进行的控制。一般控制所采用的控制措施普遍适用于某一单位的会计系统,同时也为每一应用系统提供了环境。一般控制的强弱,直接影响到每项计算机应用的成败,可以说,一般控制是应用控制的基础。一般控制主要包括以下几个方面的控制:
(1)组织控制;
(2)系统开发和操作控制;
(3)系统文书控制;
(4)系统工作环境控制;
(5)其他一般控制。
2.应用控制则指对计算机会计信息系统中具体的数据处理功能的控制。应用控制具有特殊性,不同的应用系统有不同的处理方式和处理环节,因而有不同的控制问题和控制要求。但是,一般来说,计算机会计信息系统的应用控制包括以下几项控制:
(1)输入控制;
(2)处理控制;
(3)输出结果控制。