[摘 要]随着IT技术的发展与渗透,会计工作所在环境已发生了巨大变化,传统的内控手段已经落伍,计算机舞弊和犯罪形势已相当严峻,企业传统内控理念与方法正面临巨大挑战。本文以IT环境下的会计作假分析为切入点,对内控全过程进行了系统的剖析,提出了降低内控风险的建议与对策。
[关键词]IT环境;企业内控;风险;对策
[中图分类号JF270.7 [文献标识码]A [文章编号]1673-0194(2006)06-0024-04

所谓IT是“Information Technology”(信息技术)的缩写,指计算机、通讯及相关技术。IT业(通常就指计算机业)恰好有着这两副截然不同的面孔:一副是高科技的美妙动人,一副是商场争利的赤裸贪婪。其飞速发展已渗透到会计工作的方方面面,一方面使会计工作的内容大大丰富,效率、质量大大提高,另一方面也使企业传统内控点发生很大变化,计算机舞弊和犯罪的现象大大增加。据美国《电子计算机世界》的资料披露,作为发达国家的美国,因电脑犯罪而发生的损失每年高达数亿美元。1986年我国首例计算机舞弊案,即大连市工商银行某办事处计算机会计系统管理员,伙同他人利用计算机修改账目文件,截留企事业单位的贷款利息,贪污数额7位数以上,时间达数年之久。可见无论在国外还是在国内,加强IT环境下的企业内控时不我待、势在必行。

一、电算化会计系统下企业内控的新变化

要防范电算化会计信息系统下内部控制的风险,首先要清楚IT环境下对会计内部控制产生了哪些变化和影响。
首先是责任主体多元化。会计部门的组成人员从原来由财务、会计专业人员组成,发展到由财务、会计专业人员、计算机专业人员、计算机数据处理系统的管理人员和相关管理人员组成。使原有的会计内控主体范围扩大,责任延伸。
其次是企业内控点复杂化。在电算化下传统的账证核对、账账核对、账表核对、银行对账等工作已失去原有的控制意义。这些工作均由计算机按程序即时完成。这些程序化的内部控制的有效性取决于应用程序的完善与正确,如果应用程序发生差错,计算机尚不具有人所特有的对不合逻辑事项的判断和处理能力,出了问题难以发现。
第三是内控范围扩大化。随着电子商务的发展和企业信息化进程的加快,目前财务软件的网络功能已经包括:远程报账、远程报表、远程审计、网上支付、网上催账、网上报税、网上采购、网上销售、网上银行等。尤其是ERP理念及系统的运用,使得计算机、网络不再是工具,而是内控的对象,内控不仅仅是会计信息,而是整个企业的物流、资金流、信息流的集合。以上功能的实现必将促使会计的内控的链条发散、延长,由此引起内控范围扩大。
第四是控制载体的数字化。电算化系统的数据处理与存储都呈现高度集中的特点和趋势,储存在计算机磁性介质上的数据容易被篡改,甚至可以不留痕迹,未经授权的人员可能通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的数据等,使数据安全性降低。计算机犯罪具有很大的隐蔽性和危害性,增加了电算化会计系统的内部控制的难度和复杂性。
另外,昔日应由会计人员处理的有关业务事项,现在可能由其他业务人员在终端机上一次完成;昔日应由几个部门按预定的步骤完成的业务事项,能集中在一个部门甚至一个人完成等等。所有这一切都会对电算化会计系统内部控制的内容与环境产生很大的影响。

二、IT环境下企业内控的控制点分析

研究企业内控的控制点就要分析和了解IT环境下的各类可能发生舞弊的现象,以便针对性地提出遏制内控风险的措施。IT环境下的舞弊体现于“研发→应用→维护”的全过程及“程序自身与软件操作”的全方位。

(一)研发阶段的内控风险剖析
在我国,目前大多数电算化会计软件都是用户与软件开发人员合作完成的,合作中一是理解不到位,程序不完备,二是人为给程序留下作假的空隙。如:预留“活动天窗”或预留“秘密人口”等。活动天窗是一种由计算机会计系统程序编制人员有意安排的指令语句,是对计算机应用系统的一种调试手段,即在密码中加进空隙,以便于日后增加密码并使之具有中期输出能力。有些不道德的程序员为了以后损害计算机系统,会有意留下天窗。预留“秘密入口”是指在程序中设立一个秘密的未说明的进入程序模块的入口方法,这个秘密的入口即为陷阱,设立这一“秘密入口”的意图是在系统正式投入运行之后,能让设立陷阱的程序员有访问系统的人口,尤其是会计办公的网络化使这些意图的实现成为可能。

(二)应用阶段的内控风险剖析
在使用软件时,所涉及的内控点主要在输入、输出和调试的岗位上。
1.“授权弱化”下软件调用及修改
应用软件操作的内控主要是用“授权”方式实现的,若授权密码泄漏或未经授权的人冒名顶替进入系统,就可能非法调用信息或篡改程序,以达到他们犯罪的目的。这种现象多发生在操作员职业警惕性差和内控松散的情况,这会给电算化会计信息系统带来了很大的风险。
常见方法:篡改输入(虚构业务数据,修改业务数据,删除业务数据),篡改文件,违法操作,联机状态下的乘虚而入,篡改输出,电子窃听等其他方法。
通过分析研究发现,系统人员一般采用篡改系统程序软件和应用程序、非法操作等手段舞弊,内部用户一般采用篡改输入或输出的篡改方法舞弊,外来者一般采用终端篡改输入和其他盗窃、破坏等手段进行舞弊。应该注意:威胁更大的是经授权人的“监守自盗”行为。
2.IT下的会计资料的高度共享和责任高度集中的风险
电算化后,所有的会计信息均集中于机器中,特别是数据库技术和网络技术的运用,使“通讯窃取”成为可能。“通讯窃取”主要是指在网络系统上通过设备从系统通讯线路上直接截取信息,或接收计算机设备和通讯线路辐射出的电磁波信号来实施舞弊。一旦对方破译密码或密钥,就可以轻而易举地截取或进入系统拷贝,甚至非法篡改或损毁,而不留下任何痕迹。电算化的另一威胁来自责任的高度集中。手工会计作业的组织分工十分明确,每一作业步骤都有文字记录并签章证明。而在电算化会计信息系统中,原始数据提交给电脑后,全部数据将集中由机器处理,中间的责任人控制点全部消失,因此,一旦处理过程中出现纰漏,将为追究责任带来难度。
3.存储介质变化使数据易于丢失,被篡改的风险加大
首先,数据易被盗取或损坏。尤其是作为主要存储工具的硬盘,其上的数据被修改、擦除和拷贝均很难留下痕迹。其次,这些电子数据档案至少保存10年以上,在此期间,由于物理性损耗或由于电脑发展的更新换代而使老硬盘与新电脑不能匹配等原因,导致硬盘上的数据必须不断地被转录储存,从而造成数据的丢失和档案保存成本的增加。

4.系统被计算机病毒攻击的风险
计算机病毒是隐藏在计算机系统中的一种特殊程序。计算机病毒已经成为破坏会计数据的主要“杀手”,其运行对于计算机会计系统具有巨大的危害和破坏性。有些不法分子就利用传播计算机病毒,使一些单位部门的计算机系统被“开后门”或遭到破坏,以窃取有用信息或满足其个人私欲。计算机病毒经由通讯线路传输时;很难留下作案线索,这些都会造成电算化会计信息系统的不安全,因此有必要在系统设计和网络安全管理制度上加以强化。

(三)系统维护中的内控风险
系统维护中的舞弊与犯罪比比皆是,因为能够进行系统维护的人员一般都具有两个条件:一是有权限修改程序,二是有能力修改程序。这使得这一环节的有效控制变得尤其重要。
这一岗位是保证电算化系统安全高效运行的最关键的控制点。这一控制点如果弱化或不到位,会轻而易举地造成以下内控风险:
1.数据泄露风险
从计算机中泄露数据是指从计算机系统或计算机设施中取走数据并使之外泄。由于系统维护员的岗位的特殊性,对一些用户名和口令都能查看,使得数据泄露成为可能。
2.利用特殊权限操作的风险
系统维护员一般拥有特殊情况运用“系统干预程序”的特权。这是一个只在特殊情况下(当计算机出现故障,运转异常时)使用的计算机系统干预程序。这种程序能越过所有控制,修改或暴露计算机内容,这种应用程序一般仅限于系统程序员和计算机操作系统的维修人员使用,但也不排除被一些不法分子使用以达到其不法目的。
3.有意篡改程序、安放逻辑炸弹的风险
是指以程序为基础进行欺骗的方法。在进行系统维护时在计算机程序中,暗地里编进指令,使之执行未经授权时也可操作或通过对程序作非法改动,以便达到某种不法目的。比如将小量资金(比如计算中的四舍五入部分)逐笔积累起来,通过暗设程序记到自己的工资账户中,表面上却看不出任何违规之处;再如某工资核算系统的程序员在系统中安放了一颗逻辑炸弹,一旦他的名字从工资文件中取消(被解雇),某一程序会自动引发,从而使得全部工资文件被擦除干净。

三、防范IT环境下会计内部控制风险的对策

关于IT环境下的会计系统内部控制,将其分为一般控制(general controls)和应用控制(application con-trols)。

(一)一般控制
一般控制是指对企业经营活动所依赖的内部环境实施的总体控制,因而亦称基础控制或环境控制。
1.组织控制
组织控制是关于职责分工和人事管理控制措施建设的控制。这是一切控制的根本,因为无论在人工环境下,还是在IT环境下,“人”都是最主观最能动的因素。电算化会计系统的组织控制主要应明确以下“两个分离”:一是电算部门与用户部门的职责分离;二是电子数据处理部门内部的职责分离。
2.系统开发与维护的控制
企业开发电算化会计系统所面临的主要风险在于开发出的系统是否能够反映用户的要求,是否能够达到预定的质量标准,是否能按时完成并投入使用,开发成本是否合理,系统是否合法等等。要确保系统开发的成功,则必须抓好以下3项控制:①开发过程控制。要解决好围绕用户的需求下的开发目标,总体结构,开发方式,费用预算,人员培训等工作。②编程过程控制。为了避免程序设计过程中出现程序编码时的语法错误和逻辑错误,程序实现的功能与用户所要求的功能不一致,防止一些具有潜伏性和危害作用的子程序被设计在程序逻辑中等等,要在程序未投入使用之前,另外聘请内行人士进行全方位测试。即通过对程序的反复阅读或对流程图的检查来发现错误的静态测试和对程序进行试运行来发现单个模块的功能与定义模块的功能不相符及模块之间的接口问题的动态测试。③系统软件维护控制。系统软件维护主要包括纠错性维护、适应性维护和完善性维护。对系统的功能的维护改进中,可导致系统出现新的错误,因此对系统软件的维护应进行控制,即应按新系统开发过程的规程来进行维护。
3.系统安全控制
影响系统安全的因素很多,包括自然灾害、工作失误、计算机舞弊与犯罪活动等。具体来说其应该包括以下几点:①环境安全控制。是属于一种预防性的控制,包括计算机机房的安全控制、机房设备的保护、安全供电系统的安装等;②软件安全控制。对软件程序的保护措施是对数据和程序的加密,一方面可以把数据和程序转换成密码的形式存放在各类介质上,运行时再执行解密,使系统能够正常运行。另一方面,可以对存储介质进行特殊的处理,如采用特殊的记录方式,对磁盘加上特殊的标记,采用特殊的硬件装置,并定期对软件进行检测,以保证不被篡改;③病毒防治。基本策略有两种:一是利用现成的杀毒软件对病毒进行检测并消灭,或是在系统中安装一些检测程序的技术手段,二是对病毒进行预防的管理手段。如尽量不用或慎用公用软件、外来软件和共享软件,尤其是游戏软件。经常性地对一些重要的文件进行热备份等;④内部审计。是指由企业内部相对独立的审计机构和审计人员对本企业的财务收支、经营管理活动及其经济效益进行审核、监督和评价,提出意见和建议的一种专职经济监督活动。
4.操作控制
操作控制是通过制定严格的、标准的操作规程,并认真地加以执行来实现的规范化工作流程。其根本目的在于保证信息处理的高质量,减少差错的发生和文件、程序及报表的未授权使用。一般包括3个方面:机房管理制度控制,操作权限控制,操作规程控制。
5.档案控制
电算化会计档案,包括存储在计算机硬盘、其他磁性介质或光盘中的会计数据和计算机打印出来的书面等形式的会计数据,应严格按照财政部1996年6月10日颁布的《会计电算化工作规范》执行。

(二)应用控制
应用控制是指直接作用于企业生产经营业务活动的具体控制,因此亦称业务控制。通常,将应用控制划分为输入控制、处理控制和输出控制3种。
1.输入控制
输入控制的目标就是要保证未经批准的业务不能进入计算机,保证经批准的业务没有遗漏、没有被添加、重复或不适当地更换,对不正确的业务进行剔除、改正等。其是保证会计数据真实性中关键的一环。一般对输入控制可有以下一些措施:①建立科目对照文件;②设立对应关系参照文件;③试算平衡控制;④人员控制;⑤重复输入或双重输入控制;⑥顺序校验控制;⑦总数控制;⑧逻辑校验控制。
当然,上述的输入控制措施是针对实际的输入操作过程而设置的,如果从操作管理制度方面来考虑,还应当制定严格的预防原始凭证和记账凭证等会计数据未经审核而输入计算机的措施,以及预防已输入计算机的预防原始凭证和记账凭证等会计数据未经核对而登记于机内账簿的措施。同时还应看到,输入控制与组
织控制是相辅相成的。会计业务的审批一般应当限制在电算部门以外,电算部门无权审批业务,也不能擅自修改业务。但是,应当允许他们对不正确的、并已被审核了的业务提出质疑,以便审批部门及时修改。 2.数据处理控制 是指为确保计算机运行时发现、纠正和报告某些有错误的输入,从而保证数据处理的正确性和可靠性而设置的控制。常用的数据处理控制措施包括:检验登账条件控制,防错、纠错控制,修改权限与修改痕迹控制等。
3.输出控制
应包括如下措施:①加强输出结果的人工核对。如按照用户的要求设置输出的格式、方式、内容、时间等。对输入的总数与输出的总数加以核对。审核输出结果,检查输出结果的正确性与完整性。将本期输出的结果与上期输出的结果进行对比,检查输出结果的合理性;②加强输出资料分发和保管的管理。如指定专门的报表传递人员,保证将报表及时送达有权接受者;建立输出报告登记簿,记录报告发送的份数、时间、传递人、接受者等事项,以防错发、漏发和多发等。
任何事物都不是尽善尽美的,电算化会计信息系统内部控制也同样存在着其固有的、不可避免的局限性。如管理成本限制、人为失误、串通舞弊、滥用职权、修订不及时、非经常事项的不适性等等内控管理的瓶颈。建议建立IT环境下的企业内控风险预警系统,此举不啻为一种很好的事前防范方法,其在发生以上舞弊或出错时会“鸣笛”示警,提醒人们发现问题及时解决,防患于未然,从而使企业管理成本降至最低。笔者认为上面所说的内控中涉及的物流、资金流、信息流均是表象,而“人”才是所有利益的载体,才是我们内控的根本。因为说到底内控政策的制定者是人,内控的执行者是人,内控的对象也是人。所以,除了强化内控以外,为使各个内控点的措施到位,被人愉快接受和执行;我们还应注重影响“人”的企业软环境建设,如提升企业文化,强化法制观念,培养职业道德等等。总之,任何内部控制总存在着一定的风险,不可能一劳永逸,应该坚持全方位管理并与时俱进,方可长治久安。

主要参考文献

[1][美]George H.Bodnar,WilliamS.Hopwood著.卢俊译.会计信息系统[M].北京:清华大学出版社,2004.
[2]会计电算化中常见的作假手段.www.yculblog.com.
[3]牛鱼水.工商物流系统知识与应用[M).深圳:海天出版社,2005.
[4]周玉清等.ERP原理与应用[M].北京:机械工业出版社,2002.
[5]徐伟.电子商务与企业流程重组.www.e521.com.
[收稿日期]2006—03—03
[作者简介]聂卫东(1971—),男,河南商丘人,高级讲师,东北财经大学职业技术学院,研究生。