摘 要:会计信息系统在高校的应用,一方面提高了财会工作的效率,另一方面系统安全问题日益突出。高校会计信息系统内部控制问题是高校整个管理体系中不可分割的重要组成部分,对保证会计信息系统正常运转具有举足轻重的作用。从高校会计信息系统及内部控制的特点出发,分析了二者关系,并对如何加强高校会计信息系统的内部控制提出建议。
关键词:会计信息系统;高校;内部控制;风险
中图分类号:F230 文献标志码:A 文章编号:1673-291X(2012)07-0081-04
一、高校会计信息系统的内部控制概述
(一)高校会计信息系统内涵及特点
会计信息系统(Accountant Information System,AIS)是基于电子计算机网络技术和现代信息技术,以人为主导,充分利用计算机硬件、软件、网络通信设备以及其他现代办公设备,进行企事业单位会计业务数据的收集、存储、传输和加工,用于处理会计核算业务,提供财会信息的现代化信息管理系统。
随着社会信息化程度的加深,会计电算化信息系统在高校得到了广泛的应用,成为现代高校的制度特征。高校会计信息系统是以电子计算机技术和现代信息技术为基础,实行“人为主导,人机互动” 的原则,充分利用计算机软硬件设备,对会计日常业务进行加工处理,并将处理结果及时反馈给各有关部门,为高校的教学科研等各项事业活动提供财务信息的系统。具有以下特点:第一,系统性。与建立在校园一卡通平台下的教务管理子系统、科研管理子系统、后勤管理子系统等各子系统紧密联系,共同组成高校的管理信息系统,实现了财务与高校教学、科研工作的协同处理和高校的整体管理。第二,数据处理的集中化与自动化。高校发生的会计业务在操作人员录入原始数据之后,余下工作皆由计算机程序自动处理,既及时又准确,减少了人为干预的因素。第三,数据存储的磁性化、电子化经济业务经过会计信息系统的处理,以文件的形式存储在系统数据库中,并以光盘、硬盘等磁性存储介质形式表现出来。
(二)高校内部控制制度的含义及特点
高校内部控制,是指为了实现其目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。具有以下几个特点:首先,它是一个不断发展、变化、完善的过程。它持续流动于高校管理之中,并随着管理中出现的新情况、新要求适时改进。其次,它是由高校各级管理层的人员共同实施,从校长到院系负责人,从行政管理部门到具体职能部门,全员参与、全员负责的一项活动。最后,它在形式上表现为一整套相互监督、相互制约、彼此联结的控制方法、措施和程序。这些方法、措施和程序能够帮助高校及时识别风险和处理风险,促进学校战略目标的实现。
二、高校会计信息系统与内部控制关系
(一)会计信息系统对内部控制的影响
2010年财政部等五部委联合发布的《企业内部控制基本规范》指出:“企业应当运用信息技术加强内部控制,建立与经营管理相适应的信息系统,促进内部控制流程与信息系统的有机结合,实现对业务和事项的自动控制,减少或消除人为操纵因素。”电算化会计信息系统的内部控制是计算机应用于会计信息系统所产生的特殊控制,对内部控制的影响主要体现在以下几个方面:
1.控制环境的变化。会计部门的组成人员从原来由财务、会计专业人员转变为由财务、会计专业人员和计算机数据处理系统的管理人员及计算机专家组成。会计部门不仅利用计算机完成基本的会计业务,还能利用计算机完成各种原先没有的或由其他部门完成的更为复杂的业务活动,原先由会计人员处理的一些业务事项,现在可能由其他业务人员在终端机上一次完成,原先由几个部门按预定的步骤完成的会计业务事项,现在可能集中在一个部门甚至由一个人完成。
2.控制形式的变化。传统系统下控制主要针对经济事项本身的交易,对于一项经济业务的每个环节都要经过某些具有相应权限人员的审核和签章,控制的方式主要是通过人员的职务相分离和职权不相容的内部牵制制度来实现的。而在电算化会计信息系统下,业务处理全部以电算化系统为主,内部控制的形式由原来的制度控制转变为制度控制和程序软件控制。
3.控制内容的变化。计算机技术、网络技术等现代信息技术的引入给会计工作增加了一些新的工作内容,主要包括;计算机硬件及软件分析、程序设计、计算机维护人员及计算机操作人员的内部控制规章;计算机病毒防治,计算机系统内及磁盘内会计信息的安全保护,网络系统的安全控制规章;计算机操作管理员、系统管理员、系统维护员岗位责任制度;软件使用权限的控制、修改程序的控制、数据备份的控制、科目代码的控制、结账时间的控制和设备的接触控制等系统的权限控制制度等。
4.控制对象的变化。由对人的控制为主转变为对人、机控制为主,在手工会计系统中,内部控制的对象主要是会计对象、工作情况、信息处理方法和处理程序等。企业的经济业务发生均记录于纸上,并按会计数据处理的不同过程分为原始凭证、记账凭证。会计电算化后,会计凭证转变为以文件记录形式储存在磁性介质上,使会计核算无纸化,修改数据不留痕迹。
5.控制重点的变化。授权、批准控制是一种常见的、基础的内部控制,在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的签章。但在电算化会计信息系统中,业务人员可利用特殊的授权文件或口令,获得某种权利或运行特定程序进行业务处理。会计信息系统内部控制的重点将由传统的财务部门转移到电子数据处理部门,内部控制放在原始数据输入计算机的控制、会计信息输出的控制、计算机系统之间连接的控制、系统的安全控制等方面,控制的要求也更加严格。
(二)加强会计信息系统条件下内部控制的必要性
会计信息系统本身的高效与便捷大大提高了管理的效率,但其潜在的风险不可忽视。近年来,各大高校出现了一些计算机犯罪案件,让我们不得不反思信息系统的危机。会计信息系统中的风险有其特殊性,加强高校会计信息系统内部控制的必要性体现在:
1.会计信息系统容易产生反复性差错。手工系统中发生差错往往是个别现象,电算化系统数据处理自动化、集中化,再加上计算机运行的高速性、程序运行的重复性,使得处理结果一旦发生错误,往往就会在短时间内迅速蔓延,造成多种数据文件、账簿及整个系统的会计数据失真。如果发生错误的原因在于系统程序和系统软件,则计算机就会重复执行同一错误操作,使系统出现反复性差错。会计信息系统数据处理的高速性和集中性都使得出现差错的危险性增大。
2.会计信息数据安全性差。会计信息系统中信息以电磁信号的形式存储在磁性介质中,数据大量集中存储于磁、光介质中,发生火灾、水灾、被盗之类的事件,就可能是全部数据丢失或者毁损。同时磁、光介质对环境的要求较高,不仅要防水、防火,还要防尘、防磁,而且对温度还有一定的要求,从而增加了数据的脆弱性。有形记录比传统手工会计大大减少,凭证、经济业务事项的说明和账簿等大多要依赖计算机方可录入、阅读或查询,其直观性较差,并且修改、删除和拷贝均不会留下任何痕迹,有些业务可能不被打印出来。因此极易被篡改而不留痕迹,伪造、变造业务导致会计资料失真。
3.操作形式的变化使会计信息系统风险加大。手工核算环境下会计人员形成了一定的相互制约、相互监督的关系,这种层层复核的内部控制制度随着会计信息系统的应用,被极大地削弱。会计信息系统失控具有一定的隐蔽性,在信息系统中,许多应用程序本身就带有内控的功能,从而使得对于人的依赖性减弱,这样企业的内部控制主要取决于应用程序,如果程序发生差错或没有起作用,由于程序运行的重复性,往往会使失控情况长期不被发现,造成很大的损失。
4.内部稽核监督作用被削弱。随着会计信息系统的运用,许多业务处理程序被大大简化,大部分处理由计算机完成,一些内部牵制措施无法执行,会计人员无法直接参与和控制,控制效率低,其审查稽核机制被削弱。在岗位设置上,许多单位也没有专设稽核岗位,这样从原始凭证的录入到制作记账凭证,再到数据的处理、输出、报送均由一人通过操作电脑自动完成,如果中间某一环节出现问题,都容易及时发现,就会导致会计信息失实,会计信息质量下降。
三、如何加强高校会计信息系统环境下的内部控制
中国《企业内部控制基本规范》指出,有效的内部控制应当包括五个要素:内部环境、风险评估、控制活动、信息与沟通和内部监督。按此思路,会计信息系统环境下,高校内部控制系统的框架体系虽未发生实质性的改变,但每项基本要素的内容却呈现出新的内容,加强高校会计信息系统的内部控制制度应包括:
(一)内部环境
内部环境是实施内部控制的基础,控制环境要素是推动企业发展的发动机,也是其他一切要素的核心,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。网络经济引导着组织从机械式向有机式并最终向虚拟组织发展演变,要求高校领导阶层学会在一个流动和动态的环境中发现内聚力和构造组织,既要有创新和发展,又要能在不断磨合中加强内部控制。具体措施包括:
1.加强内部管理制度建设。针对会计信息系统的特点,制定切实可行的内部管理制度。通过科学合理的部门设置、人员分工、岗位职责的制定、权限的划分等形式进行控制。建立恰当的组织机构和职责分工制度,以相互监督、相互制约,防止或减少舞弊的发生,最大限度地防范和化解会计工作风险。对每一项可能引起舞弊或欺诈的经济业务,不能由一人或一个部门经手到底,必须分别由几个人或几个部门承担。不相容的职务主要有系统开发、发展的职务与系统操作的职务:数据维护管理职务与电算审核职务;数据录人职务与审核记账职务;系统操作的职务与系统档案管理职务等。同时还应健全职务轮换制度。
2.提高人员素质。科技是第一生产力,人才是关键。内部人员的道德品质和专业技能对于会计信息系统的安全性是至关重要的。高校应抓好复合型会计人才的建设,强化素质培养,有计划、有针对性地组织开展财会人员的继续教育和培训工作,改善知识结构,提高计算机应用水平,培养既懂财会业务、又熟悉计算机应用技术的复合型人才。
(二)风险评估
风险评估是及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略,是实施内部控制的重要环节。在网络环境下,系统的开发性、信息的分散性、数据的共享性使系统从以往封闭集中状态走向开放,因此对会计信息系统带来了新的风险。高校会计信息系统风险主要包括:
1.环境因素。环境因素风险包括硬件风险,软件风险和网络风险。第一,硬件风险是指信息载体本身存在的不安全的风险。会计电算化的信息载体不可避免地存在技术性缺陷,都有被损坏的可能,而一旦出现故障或被损坏,将直接威胁其所载信息的安全。第二,软件风险是指来自于财会软件及相关软件、程序的风险。会计电算化软件不可避免的因为专业知识的差异和理解的障碍可能存在软件不能完全满足用户需求的情况。此外,不同的软件在使用中可能造成数据不兼容,造成数据丢失或者损坏,危害系统的安全运行。同时,财务软件本身具有以程序来进行控制的功能,程序化的有效性取决于应用程序,如果程序发生差错或不起作用,就会使得控制失效。第三,网络环境因素。网络环境的开放性和动态性,也存在一定的安全隐患。网络在会计电算化过程中扮演的角色越来越重要,数据或者系统在双方传递、转化的过程中,可能被被非法拦截或被人篡改、复制、销毁特别是网络中黑客的侵袭更会给会计电算化的保密数据带来极大的风险。
2.人为因素。人为因素风险包括非主观因素风险和主观因素风险。第一,非主观因素风险主要指的是系统操作人员因为操作技术上的缺失或者是偶然性失误导致的操作不当,造成数据的损坏或者丢失继而影响系统的整体运行,这主要是因为高校会计工作人员对于会计电算化及其内部控制的认识和学习还不够,专业素质未达标而引起的。第二,主观因素风险是指系统业务人员有意对会计数据采用非法访问、篡改、泄密和破坏等手段,引起失控而造成损失的风险。
3.制度因素。高校会计电算化系统在运行过程中随着应用的深入许多问题逐渐凸显出来,主要有:第一,授权控制不严。会计电算化系统授权方式是口令授权,只要绕过财务软件的关卡,就可以打开计算机财务数据库进入财务报表等系统获取财务数据,且业务人员的口令很容易被获取,这些新的风险的出现需要新的内部控制制度来监督管理。第二,监督管理弱化。会计电算化系统中的许多应用程序包含了内部控制功能,但这些内部控制功能并没有受到会计业务人员的重视,使得可以直接应用的内部控制得不到体现和发展。
(三)控制活动
控制活动是指根据风险评估结果,采取相应的控制措施,将风险控制在可承受度之内,是建立与实施有效内部控制的重要手段。网络环境下的会计信息系统控制的重点由对人的控制为主转变为对人机共同控制为主,控制程序与计算机处理相协调适应。高校会计信息系统的内部控制措施包括一般控制和应用控制:
1.一般控制。一般控制指对信息系统开发、运行和维护的控制。第一,健全计算机软硬件设备环境控制,配备可靠的硬件资源。计算机终端应选择容量大、速度快、扩充能力强、外设合理的机器;系统环境要求安排在专用的计算机机房内,保持通风良好、洁净、恒温、恒湿、有良好的采光照明及噪声控制设计等;重视机房的防雷系统,布置良好的防雷地线;还应具有防潮、防震、防火、防盗、防尘等一系列安全设施。第二,完善软件开发与设计。软件开发应考虑后续支持能力,便于系统升级和对突发事件的处理,保证整个系统的畅通运行。扩充模块的开发设计应考充分虑其兼容性和统一性;系统运行中形成的技术文档对于系统的维护非常重要,应建立技术手册。加强数据保密,保证数据输入及存储的安全会计数据的输入要加强审验,加大复核监控的力度,只有经过审核无误的凭证才能进入记账程序;系统备份措施多而有效,其可靠性就高,因此对系统的软件和数据备份应形成制度化,定期备份,并分别存放在系统之外的两个独立安全位置,定期检查,做好存储介质的防磁、防火、防潮、防尘工作。第三,建立病毒防控措施财务内网与校园外网要利用网闸形成物理隔离,利用防火墙、入侵检测与保护系统、防病毒系统及流量控制等手段,限制外界对会计系统进行非法访问;财务软件可捆绑反病毒软件,加强软件自身的防病毒能力;安装正版的杀毒软件,并保持定期升级;禁止安装盗版及来历不明的软件,外来盘应先杀毒再与系统连接。在会计电算化操作过程中应强化用机管理,实行专机专人制度,不能连接与业务无关的终端。
2.应用控制。应用控制,是指作用于高校会计电算化系统的具体控制,亦称业务控制。主要包括数据输入控制、数据处理控制、数据输出控制等。第一,数据输入控制。数据输入的正确性和可靠性是保证会计信息准确性的最主要环节。对系统的初始化数据输入和日常操作过程都必须规范化,职责明确化,数据输入不仅要重视会计审核岗位工作,还应进一步加强复核审查工作,加强复核岗位设置,做到会计工作处理环节事前控制,尽量避免人为因素造成的错误。采用校验码控制、合计数控制、平衡校验、符号校验等方法对输入数据进行验证,层层把关,最大限度减少和消除人为操作失误,保证会计信息质量的准确性、完整性和可靠性。计算机业务的删除和修改设置责任控制,对已录入的凭单非操作本人无权进行修改和删除,录入的凭单经复核后,录入人无权私自进行修改对会计数据必须进行修改的,设置痕迹控制、日志控制;记账后的凭证不提供修改功能能够很好地避免非法篡改、删除和舞弊违法行为的发生。第二,数据处理控制。一般情况下,数据处理程序包括单项处理和批处理。数据处理要注意会计账务处理过程中账、证、表之间的数据对应关系,预防数据的重复或漏算;鉴别各部门、项目、科目等代码的设置的有效性检查输入记录和文件记录数据及其他功能设计的合理性,使会计系统能够按照设计的程序控制和要求运行,保证数据处理的准确性。第三,数据处理、存储和检索控制。数据处理控制分为有效性控制和文件控制。有效性控制包括数字的核对、字段和记录长度的检查、代码和数值有效范围的检查、记录总数的检查等。文件控制包括文件长度和标识的检查、文件是否被感染病毒的检查等。企业应对储存数据的磁盘或光盘做好标识,便于调用、更新和检索。文件的修改和更新等都应附有授权通知书,整个修改更新过程都应做好登记,计算机会计系统应具有自动记录功能,便于查询或检查。
(四)信息传递与沟通
信息与沟通是及时、准确地收集、传递与内部控制相关的信息,确保信息在内部与外部进行有效沟通,是实施内部控制的重要条件。利用信息化管理系统渠道,加强信息沟通,将全校及各部门具体内部控制措施和制度及相关责任人考评措施、奖惩措施等制度发布上网;在相关制度定案前供全校师生讨论,通过信息交流平台将相关信息收集整理报高校管理层决策参考;方案确定后,通过信息平台发布,加深师生对制度的理解;建立信息交流平台,通过全校监督,群众监督,使信息透明化、执行阳光化,发挥群众的监督作用,不让权力失去监督,形成一个有传达有反馈的双向交流的信息平台。
(五)内部监督
内部监督是对内部控制建立与实旋情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,及时加以改进,是实施内部控制的重要保证。加强高校内部审计监督职能,实行有效监督和指导。内部审计既是内部控制系统的重要组成部分,也是加强单位内部控制的一个有效手段。在会计电算化系统中,由于是人机对话的特殊形态,因而对内部审计提出了更高、更严格的要求。高校的内部审计必须包括以下几个方面:第一,对会计资料定期进行审计,检查电算化会计账务处理是否正确、真实,审核费用签字是否符合本单位内控制度要求,凭证附件是否规范完整;第二,审查机内数据与书面资料的一致性,如查看账册内容,做到账表相符,对不妥或错误的账表处理应及时调整;第三,监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;第四,对系统运行各环节进行审查,防止存在漏洞;第五,检查和监督内部会计控制制度的建立和执行情况。为方便审计人员对财务的监督和指导,可以在财务部门计算机局部网中,为审计部门设置计算机终端,严格控制使用权限,使财务和审计相互配合、相互促进,使财务管理工作水平进一步提高。
参考文献:
[1] 财政部会计司.企业内部控制规范讲解[M].北京:经济科学出版社,2010.
[2] 毛丹.高校会计信息系统的安全控制策略[J].长江大学学报,2010,(6).
[3] 才杰.网络环境下高校会计信息系统如何做好内部控制[N].企业导报,2010,(11).
[4] 张英.高校内部控制存在的问题及其改进措施[J].当代经济,2009,(10).
[5] 董君.会计信息系统建设中风险控制与防范[J].会计之友,2009,(1).
[6] 许学丹.高校内部控制存在的问题及其完善措施[J].财会通讯,2009,(3).
[7] 常辉.论高校会计电算化内部控制的风险及防范[J].经济师,2009,(7).
[8] 杨静媛.会计电算化下高校内部控制刍议[J].中国管理信息化,2010,(4).
[9] 张春富,张莎.COSO报告在高校内部控制中的运用[J].教育财会研究,2010,(6).
[责任编辑 陈丽敏]