基于网络财务的内部控制问题探讨
【摘要】 信息技术和技术在财务领域的应用和导致了会计理论和实务发生了深刻的变革,导致内部控制机制发展成为集系统安全保障和内部牵制相结合、对“物”控制与对“人”控制于一体、内部控制与外部控制相制约的内部控制体系,企业应明确这些变化给企业内部控制带来的影响,建立健全的内部控制体系,为企业的健康发展提供保障。
【关键词】 网络财务 内部控制 监督机制 内控外部化
新《会计法》第二十七条规定“各单位应当建立、健全本单位内部会计监督制度”。单位内部会计监督的执行,靠的就是内部控制。内部控制是指企业为了保证经营活动的效率性和效果性、资产的安全性、信息和财务报告的可靠性,防止和纠正错误与舞弊,保证会计资料的真实、合法、完整所制定和实施的方法、措施、程序,并予以规范化和系统化,使之形成一套严密的、完整的体系。目的是使会计信息真实、可靠,提高企业的经营管理效率。建立完善的内部控制制度、实施有效的内部控制是企业经营管理的重要工作,不容忽视。
伴随着电子信息技术和网络技术在财务会计领域的发展和应用,导致会计领域发生了一场深刻的变革,给企业内部的内部控制带来了新的问题和挑战。
一、网络财务信息系统对会计内部控制的影响
美国注册会计师协会的审计准则委员会认为,“会计控制的目标和主要特征并不随着数据处理方法而变动。然而,在电子数据处理中所使用的组织机构的控制程序将不同于人工数据处理会计系统。”人工系统的核算工作从原始凭证、记账凭证、明细账、总账到报表每一步都有记录并且有经办人、复核人、领导以示负责,审计线索十分清晰。内部控制主要靠岗位分离和职责分工,以及科目、账簿、报表之间的钩稽核对关系等会计技术手段来实现的。而伴随着网络技术的发展,特别是基于ERP体系的C/S、B/S模式的财务业务一体化管理软件在企业的应用,导致企业的环境发生了根本性地改变,网络财务在给企业带来信息共享、实时监管优越性的同时,也对企业的内部控制提出了新的挑战。由于网络财务与手工财务数据处理流程的差异,导致内部控制的现存问题主要体现在以下几方面:
1.身份的识别与权限的控制
在手工会计中,业务之间的分工与联系地形成了相互制约、相互监督的局面。而在电算化会计系统中,原来人与人之间的关系部分地转化为人与机之间的联系,这就涉及计算机如何识别人的身份及授权的问题,即哪些人可以使用电算化会计信息系统,不同的人员分别具有哪些权限,可以进行哪些操作等。传统的手工会计处理系统的内部控制是建立在不相容职能分离及相应职责分工的基础上的,而在电算化会计信息系统中,由于功能和知识高度集中,导致职责的集中,原手工操作下不宜合并的岗位,实施电算化后可能合并,会计人员大大减少,致使这些原则的重要程度下降。某些会计人员可能既从事数据的输入、处理,又负责数据的输出、报送,他们可能在数据来源的相互关系、数据如何处理、分配及输出的使用等方面熟知流程细节,也熟知内部控制的缺陷,这就有可能使他们在未获批准的情况下,直接对使用中程序和数据库进行修改和操作处理,从而加大了出现错误与弊端的风险。
2.审查复核机制被削弱
在手工会计中,会计工作被分成几个步骤,按一定的程序去完成,任何一个步骤都是对前面步骤的审查与复核,前一个步骤出现的错误往往可以在后一步骤中发现而得以修改。如凭证的错误可以在记账中发现;记账的错误可以在对账中发现;对账中未发现的错误又可以在做报表中发现等。使用计算机后,大部分会计处理工作都由计算机完成,手工会计中制单、复核、记账等不相容岗位相互牵制制度的效力逐步削弱,传统的组织控制功能弱化。
3.输入依据和输入结果不严密
实施电算化后,程序与数据存储在一起,数据的输入和输出形式和手工式会计系统也大不相同。数据的输入可能缺乏充分可靠的记录,未经确认没有附件的数据亦可能被输入系统内。在输出方面,有些业务或处理结果不被打印出来,只有依靠电子计算机才能阅读存储在磁性、媒体中的数据。而如何存储改动数据的命令和程序又集中在同一装置中,如果没有适当的控制,未经批准擅自存储或改动数据就很有可能。同时在输入每一种原始数据时都应根据该原始数据的特点加入适当的控制功能,以保证数据的准确性,避免出现“输入垃圾,输出垃圾”的现象。
4.数据库安全性能不稳定
我国的会计电算化软件通常是以数据库管理系统为基层经过二次开发完成的,一些重要的会计数据及资料均以数据库形式存放。电算化会计系统中的数据一旦被损坏或被窃,后果将不堪设想,因而必须采取各种严格的措施加以控制。目前虽然有一些会计控制措施,但这些软件对其系统中存在的各类数据文件却未采取相应的保护措施,通过数据库管理系统,可以直接读取这些数据库文件,甚至可以对文件的数据直接进行增删修改等操作。这样数据的真实性和可靠性也就无法得到保证。
5.会计信息失真的风险性加剧
传统会计中的原始凭证因笔迹各异具有可辨认性,因多联复写具有相互牵制性,难以非法修改。而在电算化会计中,电磁化的会计信息代替了纸制凭证、账簿和报表,这些磁性介质上的信息不再是肉眼所能直接识别的,对电子数据的修改可以不留任何痕迹,使数据原件的真实性难以保证,从而为虚假会计信息的产生提供了机会,也使审计轨迹模糊、隐蔽,给审计带来困难。另外,由于网络系统的开放性、处理的分散性、数据的共享性,极大地改变了以往封闭集中状态下会计信息系统的应用环境,使得网络数据的安全性存在很大的隐患,会计信息系统客观上面临如下安全风险:系统故障风险,对会计数据非法访问、篡改、侵入剽窃、泄密风险,计算机病毒风险和黑客破坏风险等。
6.网络技术的应用给企业的内部控制带来了层出不穷的新问题
网络技术的发展,特别是internet在财务软件中的应用对电算化会计信息系统的影响将是革命性的。伴随着财务软件网络功能的实施,使得会计业务出现了诸如远程报账、网上采购、网上支付、网上结算、在线管理等功能特点,这极大地方便了会计人员的业务处理,但同时由于网络的开放性、网络病毒和黑客的肆虐,也使得网络财务系统面临巨大的安全风险,网络安全成为网络财务控制的难点。
二、网络财务信息系统下内部控制的措施
在传统的会计系统下,内部会计控制的方法主要包括:不相容职务相互分离控制、授权批准控制、会计系统控制、预算控制、财产保全控制、风险控制、内部报告控制、电子信息技术控制等。而基于网络财务环境下的内部控制,除了要继续严格执行原有的内部控制方法外,势必会由于计算机网络技术及其程序的参与而使得内部控制的重点和方法发生改变。
总的来说,基于网络财务信息系统的内部控制机制主要体现在以下几个方面:
1.组织与管理控制
组织与管理控制的目的主要是减少电子数据处理部门发生错误和舞弊行为的可能性,其原则是不相容职责不能由相同的人员或部门来承担。通过建立岗位责任制,明确职责,确保各工作岗位和人员之间适当职责分离,做到相互制约、相互稽核、互相监督,通过对每一个用户设置不同的身份标识和安全级别,定义该用户对系统资源的使用权限和对数据库的访问权限,强制控制会计信息的共享与流动,有效地防止非法用户的登录和合法用户对无权限访问的数据资源进行非法访问甚至破坏。
2.软件控制
网络财务系统中的各层处理应层层设防,严加防范。既要防止操作失误造成的数据破坏,又要防止有意的数据破坏。进入系统时要设置一个基本的口令,防止无关人员的非法进入;系统中的各个子系统各个模块也要设置相应的口令,防止无权人员的非法操作;在系统中建立“操作日志”,记录所有人员对系统的操作,包括操作时间、操作方式、查询和修改的数据等。系统一旦出现问题可据此找相关人员进行核查。系统维护必须经过严格的审批手续,采取各种措施,防止程序文件被非法修改。所有的软件文档资料、数据结构形式、程序说明书和源程序清单均应按机密文件管理。
3.应用控制
应用控制是指具体的应用系统中用来预防、检测和更正错误,以及处置不法行为的内部控制措施。大部分应用控制措施在系统开发时可直接嵌入软件功能中。这些控制措施可分为三大类:
(1)输入控制。输入控制的目标是为了保证输入的数据确已经过审批手续,并且能够正确而完整地输入计算机。会计数据正确输入后,数据将要由程序进行具体的加工处理,遵循输入、复核、更改、汇总、分类、登账、对账、转账、结账等过程,这一控制过程是为了确保计算机运行时发现、纠正和报告某些有错误的输入,从而保证数据处理的可靠性和正确性。
(3)输出控制。虽然输入控制已经基本上保证了数据的准确性,但是这还不能保证数据输出完全正确,因此还有必要设置数据输出的控制。输出控制包括输出数据的正确性和输出结果的处理分发控制。输出数据的正确性控制可根据输出数据的特性采用合理性控制、汇总数据控制、前后总和一致性控制等等。输出结果的处理分发控制就是要保证有关的账、表数据及时送给有权接受的人或部门,可以在系统中给这些人或部门设置权限和口令,若是网上传输要设置口令,只有当口令正确时才能执行输出操作。
4.网络安全控制
(1)硬件设备安全控制。硬件设备安全主要涉及计算机机房环境和设备的技术安全要求。应制定网络计算机机房和设备的管理制度、岗位职责和操作规程,严格禁止无关人员接触系统,专机专用;计算机机房应充分满足防火、防潮、防尘、防磁和防辐射及恒温等技术要求,关键性的硬件设备可采用双系统备份。
(2)系统软件安全控制。严格控制系统软件的安装与修改,对系统软件进行定期的预防性检查,系统被破坏时,要求系统软件具备紧急响应强制备份、快速恢复等功能。充分利用网络的在线测试功能,检查系统的安整性,对非法数据的容错能力和突发事件的应变能力以及系统遭受破坏后的恢复能力重点测试。一旦发现网络软件安全漏洞,即时进行在线修复,并将有关记录存储归档。
(3)系统网络控制。网络财务信息系统下必须考虑网络安全方面的要求。为了防止非法用户对网络会计系统的入侵,应采取设置防火墙,身份认证和授权管理等安全技术,用以限制外界对主机操作系统的访问。除了要给上网用户各自的口令和相应的权限,防止非法和越权操作之外,还要着重解决两方面的问题:一是“并发控制”问题,指多个用户同时修改同一数据文件时,可能产生的数据的错误性修改。解决这个问题的办法是当某个用户要修改某个数据时,先加锁封住该数据,不让别的用户读取它,待修改完后再将锁打开;二是“死锁”问题,指因两个用户分别以独占方式或加锁方式打开两个文件,而两个文件打开或加锁的顺序正好相反,使得双方相互等待,无限重试。解决这个问题的办法有几种选择:把系统全部文件按顺序编号,每个用户使用文件时都把自己要用的那几个文件按统一规定的顺序打开,用完即关闭;每个程序文件把本处理过程要用的全部文件都先打开,一碰到某个文件打不开时就关闭所有文件,重新做起,直到全部文件都打开再处理;规定打不开文件时重试的总次数或时间,超过规定的次数或时间即视为出错。
5.日常管理控制
当系统设计好投入正常使用后,就应建立健全各项制度,保证系统的正常运行,实施管理控制。主要包括:
(1)稽核制度。虽然在系统的开发设计中加入了内部控制措施来保证输入、处理、输出数据的准确性,但考虑到会计数据的重要性,在系统投入运行后仍应指定专人负责电算化会计的稽核工作,负责对全部电算化会计信息的合法性、合规性、可靠性、规范性和正确性进行审核。不合规的账表等要退还有关人员更正,在更正补齐后再进行审核。
(2)数据备份制度。会计人员应当养成每天根据系统提示进行数据备份的习惯。备份的数据有两种:一种是根据会计制度作为会计数据的档案保存的数据,这种备份要保存几年之内的所有会计数据;一种为系统出现故障恢复数据时所用,这种只需保存最近一天的会计数据,这样就可保证出现意外情况时可将系统恢复到前一天的状态,将损失减少到最低限度。
(3)机房管理制度。要求严格管理进入机房的人员和物品,严禁无关人员进入,严禁将有病毒的软盘带入机房,破坏系统的正常运行;明确操作人员进出机房需要的手续和进出时间,各操作人员的日常工作性质和范围以及交接班制度;建立定期的系统维护制度,一旦出现问题及时解决等。
6.加强对工作人员的控制
1996年由美国注册会计师协会发布并于1997年开始实施的《审计准则公告第78号》将内部控制分为五大要素,即控制环境、风险评估、控制活动、信息与沟通、监督,这五大要素的具体实施者即为“人”,人在企业内部控制中的重要性凸现于网络财务的众多因素并凌驾于其上,无论是“物”,抑或是“制度”。只有重点抓好了对“人”的控制,内部控制才能得到最优化的实现。会计人员是会计研究和会计工作认识和实践的主体,是会计方法应用的关键因素。伴随网络的,要提高内部控制的质量,必须提高会计人员业务素质和道德修养,要为不同职责的财务会计使用人员设置不同职责权限,并严控其越权访问。对“人”的控制,其重点应放在对高层人员的控制上,纵观会计信息造假案,基本上都是在公司高层人员的授意下实施的。企业的内部控制制度应有针对“人”的控制制度,特别是应有针对企业高层人员的控制,防止其滥用职权。
7.建立、健全内部监督机制
美国《审计准则公告第78号》将监督列为内部控制的五要素之一,2002年证监会和国家经贸委联合发布的《上市公司治理准则》中则要求上市公司在董事会中设立审计委员会,其目的均在于加强企业内部监督,提高内部控制质量。美国的安然事件、安达信公司造假、中国的银广夏、蓝田股份会计造假等等,所有这一切不管是会计、审计人员职业道德问题,还是高层施压授意,归根到底在很大程度上是由于监督失控所致。建立健全企业的内部监督机制,成为企业内部控制的核心,审计委员会的设立使我国企业的内部控制达到了一个新的层次。审计委员会的设立应根据企业财务信息化、网络化发展的水平设置相关的职能部门,通过完善监督组织机构和职能,深化企业的内部控制,使内部控制制度落到实处。
三、内部控制的局限性
在企业的内部控制问题上,内部控制制度全不全、制度是否真正落在实处、在执行过程中相关问题能否得到有效解决,所有这一切很大程度上取决于企业管理当局,仅仅依靠内部控制制度本身,并不能解决内部控制的所有问题,诸如“一股独大”下审计委员会的作用问题、会计监督的有效性问题、内部控制的标准问题、对高层的控制问题等,这些问题不仅涉及企业自身,更多地涉及社会监管机制。要解决这些问题必须加强内部控制的外部控制,建立健全诸如对企业高层的监管法规体系、会计监督中的会计权益保护体系在内的内部控制的外部制度支撑体系和监督体系,特别是作为内部控制的主角----“会计人员”的保护法规体系更应作为当前建设的重点。在现行的用人机制下,仅仅依靠《会计法》的制约、依靠《劳动者权益保护法》的保护是远远不够。会计人员作为一个“普通”的社会人,他要生存,就要解决衣、食、住、行等问题,在相关保护机制不健全的情况下,要求会计人员来承担信息失真的责任存在很大局限。解决的根本出路一是建立健全会计职业法规制度,二是改革会计人员的用人机制,采用会计委派制,从根本上解决会计从属于企业的现状,使其真正发挥监管职能。
总之,传统的内部控制制度是为防止舞弊和差错而形成的以相互牵制为核心的工作制度。由于互联网络的发展、信息系统的应用以社会经济的发展,促使内部控制制度发生了重大改变,赋予了其新的内涵,发展成为集系统安全保障和内部牵制相结合、对“物”控制与对“人”控制于一体、内部控制与外部控制相制约的内部控制体系。企业应明确网络技术、信息技术给企业内部控制带来的影响,统筹谋划建立健全的内部控制体系,为企业的健康发展提供保障。
