會(huì)計(jì)電算化環(huán)境下的內(nèi)部控制制度評審

1、會(huì)計(jì)電算化環(huán)境下的內(nèi)部控制制度評審隨著電子信息產(chǎn)業(yè)的不斷發(fā)展，會(huì)計(jì)電算化在社會(huì)經(jīng)濟(jì)中的運(yùn)用越 來越廣泛。齊車公司和所屬子公司、參股企業(yè)的會(huì)計(jì)核算大多也都實(shí)現(xiàn)了電算 化。會(huì)計(jì)電算化使會(huì)計(jì)人員從繁重的手工勞動(dòng)中解脫出來，節(jié)約了大量的人力、 物力和時(shí)間，同時(shí)增加了審計(jì)風(fēng)險(xiǎn)。實(shí)行會(huì)計(jì)電算化的子公司開展內(nèi)部控制制度評審工作。具體評 審內(nèi) 容包括：一、電算化會(huì)計(jì)信息系統(tǒng)的安全控制在電算化條件下會(huì)計(jì)信息系統(tǒng)的安 全所受到的威脅主要有：不可控制的自然災(zāi)害；非預(yù)期的、不正常的程序結(jié) 束操作造成的故障；存儲(chǔ)數(shù)據(jù)的輔助介質(zhì)（如磁盤）部分或全部遭到破 壞；用戶非法讀取、執(zhí)行、修改、刪除、擴(kuò)充和遷移各種數(shù)據(jù)、索引、模

2、式、子模式和程序等，從而使數(shù)據(jù)遭到破壞、篡改或泄露；使用、維護(hù)人員 的錯(cuò)誤或疏忽；利用計(jì)算機(jī) 舞弊和犯罪；計(jì)算機(jī)病毒侵入等。會(huì)計(jì)信息系統(tǒng)的安全控制，是指采用各種方法保護(hù)數(shù)據(jù)和計(jì)算機(jī)程序， 以防止數(shù)據(jù)泄密、更改或破壞，主要包括：實(shí)體安全控制、硬件安 全控制、 內(nèi)部控制、軟件安全控制、網(wǎng)絡(luò)安全控制和病毒的防范與控制 等。1. 實(shí)體安全控制。實(shí)體安全涉及到計(jì)算機(jī)主機(jī)房的環(huán)境和各種技術(shù)安全 要求、光和磁介質(zhì)等數(shù)據(jù)存貯體的存放和保護(hù)。計(jì)算機(jī)機(jī)房應(yīng)該符合技術(shù)要 求和安全要求，應(yīng)充分滿足防火、防水、防潮、防盜、恒溫等技術(shù)條件；機(jī) 房應(yīng)配有空調(diào)和消防設(shè)置等。對用于數(shù)據(jù)備份的磁介質(zhì)存 貯媒體進(jìn)行保護(hù)時(shí) 應(yīng)注意防

3、潮、防塵和防磁，對每天的業(yè)務(wù)數(shù)據(jù)備雙份，建立目錄清單異地存 放，長期保存的磁介質(zhì)存貯媒體應(yīng)定期轉(zhuǎn)貯。2. 硬件安全控制。計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的可靠運(yùn)行主要依賴于硬件設(shè)備，因此硬件設(shè)備的質(zhì)量必須有充分保證。同時(shí)，為防萬一，關(guān)鍵性的硬件 設(shè)備可采用雙系統(tǒng)備份。此外，機(jī)房內(nèi)用于動(dòng)力、照明的供電線 路應(yīng)與計(jì)算 機(jī)系統(tǒng)的供電線路分開，配置UPS不間斷電源）、防輻射和防電磁波干擾等設(shè)備。3. 內(nèi)部控制。會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制分為制度控制和程序控制兩類。1制度控制一般是以管理制度的形式實(shí)行的，即由主管部門制定一系 列規(guī)章制度強(qiáng)制或監(jiān)督會(huì)計(jì)部門執(zhí)行，從而保證會(huì)計(jì)系統(tǒng)軟件正常和安全運(yùn) 行，免遭外界干擾和破壞。制度

4、控制包括組織控制、開發(fā)和操作 控制、檔案 資料控制和系統(tǒng)維護(hù)控制等。2程序控制是靠軟件本身尤其是會(huì)計(jì)系統(tǒng)軟件來實(shí)現(xiàn)的內(nèi)部控制機(jī)制，這種內(nèi)部控制機(jī)制往往比通過 各種 管理制度實(shí)現(xiàn)的控制更為有效。程序控制一般由數(shù)據(jù)輸入控制、處理過程控 制、數(shù)據(jù)輸出控制等組成。4. 軟件安全控制。1會(huì)計(jì)系統(tǒng)軟件的開發(fā)，必須進(jìn)行全面的市場調(diào)嚴(yán)格遵循財(cái)政部頒布的會(huì)計(jì)核算軟件管理的幾項(xiàng)規(guī)定（試科學(xué)系統(tǒng)地分析和設(shè)計(jì)。系統(tǒng)軟件完成后必須與提交的原程序清單保持一 致，減少軟件開發(fā)時(shí)可能埋下的安全隱患。2應(yīng)分析研究各應(yīng)用軟件的兼 容性、統(tǒng)一性，使各業(yè)務(wù)系統(tǒng)成為基于同一種操作系統(tǒng)平臺(tái)的大系統(tǒng)，各種 業(yè)務(wù)之間能相互銜接，相關(guān)數(shù)據(jù)能夠

5、自動(dòng)核對、校驗(yàn)，數(shù)據(jù)備份應(yīng)統(tǒng)一完 成。3系統(tǒng)軟件應(yīng)盡量減少人機(jī)對話窗口，必要的窗口如憑 證輸入窗口應(yīng) 力求界面友好，防錯(cuò)能力強(qiáng)，做到非正確輸入不接受。增強(qiáng)系統(tǒng)軟件現(xiàn)場保護(hù)和自動(dòng)跟蹤能力，提供“黑匣子”模塊，記錄一切非 正常操作。5. 網(wǎng)絡(luò)安全控制。網(wǎng)絡(luò)對會(huì)計(jì)信息系統(tǒng)的安全性提出了比單機(jī)系統(tǒng) 更高 的要求。如果安全控制設(shè)計(jì)不好，會(huì)帶來比單機(jī)系統(tǒng)更大的損失。針對網(wǎng)絡(luò) 的特點(diǎn)，需加強(qiáng)以下幾個(gè)方面的控制：1用戶權(quán)限設(shè)置。從業(yè)務(wù)范圍出 發(fā)，將整個(gè)網(wǎng)絡(luò)系統(tǒng)分級管理，設(shè)置系統(tǒng)管理員、數(shù)據(jù)錄入員、數(shù)據(jù)管理員 和專職會(huì)計(jì)員等崗位，層層負(fù)責(zé)，對各種數(shù)據(jù)的讀、寫、修改權(quán)限進(jìn)行嚴(yán)格 限制，把各項(xiàng)業(yè)務(wù)的授權(quán)、執(zhí)行、記錄

6、以及資產(chǎn)保管等職能授予不同崗位的 用戶，并賦予不同的操作權(quán)限，拒絕其他用戶的訪問。2密碼設(shè)置。每一 用戶按照自己的用戶身份和密碼進(jìn)入系統(tǒng)，對密碼進(jìn)行分級管理，避免使用 易破譯的密碼。3對存儲(chǔ)在網(wǎng)絡(luò)上的重要數(shù)據(jù)進(jìn)行有效加密。在網(wǎng)絡(luò)中傳 播數(shù)據(jù)前對相關(guān)數(shù)據(jù)進(jìn)行加密，接收到數(shù)據(jù)后作相應(yīng)的解密處理，并定期更 新加密密鑰。6. 病毒的防范與控制。防范病毒最為有效的措施是加強(qiáng)安全教育，健全 并嚴(yán)格執(zhí)行防范病毒管理制度，具體包括：軟件、軟盤及計(jì)算機(jī)系統(tǒng)的采購 和更新要通過計(jì)算機(jī)病毒檢測后才可使用；專機(jī)專用，絕對禁止在工作機(jī)上 玩游戲；建立軟盤管理制度，同時(shí)防止亂拷貝軟盤；安裝防病毒卡和反病毒 軟件，定期檢測

7、并清除計(jì)算機(jī)病毒。由于許多病毒是通過網(wǎng)絡(luò)進(jìn)行傳播的， 所以應(yīng)采用網(wǎng)上防火墻技術(shù)。二、會(huì)計(jì)電算化信息系統(tǒng)的人員職能控制。通過計(jì)算機(jī)舞弊的犯罪 分子大多是企業(yè)的會(huì)計(jì)、程序員、計(jì)算機(jī)操作員。會(huì)計(jì)電算化所要求的完善 的人員職能控制制度就是適當(dāng)分工，明確規(guī)定每個(gè)崗位的職責(zé) 以防止對處理過程的不適當(dāng)干預(yù)。會(huì)計(jì)電算化工作崗位包括基本工作崗位和電算化會(huì)計(jì)崗位，前者有會(huì)計(jì)主管、出納，后者有系統(tǒng)主管、軟件操 作、審核記帳、系統(tǒng)維護(hù)、審查和數(shù)據(jù)分析、檔案管理、軟件開發(fā)等。企業(yè)應(yīng) 將系統(tǒng)分析、程序設(shè)計(jì)、計(jì)算機(jī)操作、數(shù)據(jù)輸入、文件程序 管理等職務(wù)予以 分離，系統(tǒng)操作人員、管理人員和維護(hù)人員這三種不相 容職務(wù)相互分離，

8、互不兼任，以減少利用計(jì)算機(jī)舞弊的可能性。另外，加 強(qiáng)企業(yè)的內(nèi)部審 計(jì)，也是強(qiáng)化了會(huì)計(jì)電算化的內(nèi)部控制制度。三、會(huì)計(jì)電算化信息系統(tǒng)的操作控制。會(huì)計(jì)操作控制包括對經(jīng) 濟(jì)業(yè) 務(wù)發(fā)生控制、數(shù)據(jù)輸入控制、數(shù)據(jù)通訊控制、數(shù)據(jù)處理控制、數(shù)據(jù) 輸出控制和 數(shù)據(jù)儲(chǔ)存控制等。1. 業(yè)務(wù)發(fā)生控制在經(jīng)濟(jì)業(yè)務(wù)發(fā)生時(shí)，通過計(jì)算機(jī)的控制程序，對業(yè)務(wù)發(fā)生的 合理性、合法性和完整性進(jìn)行檢查和控制，如反映業(yè)務(wù)發(fā)生的科目代碼是否 有效、操作口令 是否準(zhǔn)確、經(jīng)濟(jì)業(yè)務(wù)是否超出了合理的數(shù)量、價(jià) 格等的變動(dòng) 范圍等等。采用相應(yīng)的控制程序，以甄別、拒納各種無效的、不合理的及不 完整的經(jīng)濟(jì)業(yè)務(wù)。2. 數(shù)據(jù)輸入控制由于計(jì)算機(jī)處理數(shù)據(jù)的能力很強(qiáng)，

9、處理速度非?？?，一旦出 錯(cuò)，影響極大，因此，企業(yè)應(yīng)該建立起一整套內(nèi)部控制制度以便對輸入的數(shù) 據(jù)進(jìn)行嚴(yán)格的控制，保證數(shù)據(jù)輸入的準(zhǔn)確性。3. 數(shù)據(jù)通訊控制會(huì)計(jì)電算化信息系統(tǒng)應(yīng)該采用各種技術(shù)手段 以保證數(shù)據(jù)在傳輸過程中的準(zhǔn)確、安全、可靠，以防止數(shù)據(jù)在傳輸過程中發(fā) 生錯(cuò)誤、丟失、泄密等事故的發(fā)生。如將大量的經(jīng)濟(jì)業(yè)務(wù)劃分成小批量傳輸，數(shù)據(jù)傳輸時(shí)應(yīng)順序編碼，傳輸時(shí)要有發(fā)送和接收的標(biāo)識(shí)，收到被傳輸?shù)臄?shù)據(jù)時(shí)要有肯定確認(rèn)的信息反饋，每批數(shù)據(jù)傳輸時(shí)要有時(shí)間、日期記號等 等。4. 數(shù)據(jù)處理控制指對會(huì)計(jì)電算化系統(tǒng)進(jìn)行數(shù)據(jù)處理的有效性和 伸縮性進(jìn)行的控制。計(jì)算機(jī)系統(tǒng)對數(shù)據(jù)驗(yàn)證、計(jì)算、比較、合并、排序、文件 更新和維護(hù)、改錯(cuò)等內(nèi)部運(yùn) 算、存儲(chǔ)等一系列動(dòng)作的校驗(yàn)、判斷及提高措 施。處理控制的目的在于保證會(huì)計(jì)資料依照預(yù)定的程序進(jìn)行處理，從而 達(dá)到 正確的會(huì)計(jì)處理結(jié)果。數(shù)據(jù)處理控制分為有效性控制和文件控希9。有效性控 制包括數(shù)字的核對、對字段、記錄的長度檢查、代碼和數(shù) 值有效范圍的檢查、記錄總數(shù)的檢查等。文件控制包括檢查文件長度、檢查文件的標(biāo)識(shí)、檢查文件是否被感染病毒等。5. 數(shù)據(jù)輸出控制為保證合法、正確地輸出各種會(huì)計(jì)信息而進(jìn)行的控制。這 種控制關(guān)系到輸出的會(huì)計(jì)信息是否準(zhǔn)確、真實(shí)和可靠，直接影響到會(huì)計(jì)信息的使 用。對于輸出的紙介質(zhì)的會(huì)計(jì)資料應(yīng)由專人進(jìn)行核對，檢查其完整性、正確性、檢查打印