二、会计信息系统内部控制的内容
1.一般控制包括:组织与管理控制,应用系统开发与维护控制,计算机操作控制,硬件和软件控制,系统安全控制和系统文档控制。
第一,组织与管理控制。组织与管理控制是指企业建立起一整套内部控制制度,包括控制环境、风险评估、控制活动、信息沟通和监督五个方面。企业为了减少发生错误和舞弊的可能性,要及时调整企业的组织与管理控制的基本目标,做到企业权责的划分、职能的分离,以保证公司内部控制体系建设、运行维护、对外报告、日常监督及风险管理工作正常开展。
第二,系统应用开发与维护的控制企业信息系统开发控制就是从系统前期需要设计、过程开发、实验应用,到信息系统在正式投入运行使用之前,都要保证符合公司的相关的规定和内控制度要求。必须通过公司管理部门一定程序的申请、系统测试、审批等相关手续,保证信息系统能正常运行。其基本目标为保证计算机会计信息系统开发过程中各项活动的合法性和有效进行。其基本要求是系统开发过程中的各项研制、设计、维护活动及由此产生的文档,均应遵循一定标准、规则和要求 .
主要内容包括(1)系统开发标准:软件必须遵循财政部制订的相关规范和标准开发(外购、自行组织开发商品化);(2)结构化系统开发方法:系统开发通常采用系统开发生命周期法;(3)项目管理:包括项目计划、项目控制、项目报告;(4)编程规则:程序设计按一定规则进行,能提高系统的可审性;(5)阶段保证:保证系统开发进度和质量的重要措施;(6)系统测试控制:为使信息系统按设计的要求而可靠运行,可以通过对程序软件、业务流程图、输入程序等进行试运行等来发现问题达到控制;(7)系统转换控制:企业需要通过一系列的转换程序对传统的会计数据资料进行输入信息系统操作,会计信息系统必须采取适合的控制手段,保证数据录入、整理、加工分析输出工作的真实可靠,防止原始数据资料在输入会计信息系统过程中发生数据遗失、重复等现象;(8)新系统批准程序:确保管理部门对新系统和系统转换计划进行审批;(9)程序变更控制:保证程序改动经严格测试,并得到适当的核准和授权;(10)系统文档:信息系统的会计档案采用的是磁性介质进行档案的保存,企业的相关业务部门、业务人员要进行定期检查,定期复制,确保全部系统开发资料按规定予以整理和归档。
第三,计算机操作控制计算机操作控制基本目标是通过标准的计算机操作,来保证会计信息处理结果的高质量,差错的发生要尽可能的减少,使用数据和程序一定要经过批准。保证做好前期操作计划,遵守机房守则,符合操作规程,业务处理完毕登记上机日志记等工作,减少管理不善导致的机房的系统风险。
第四, 系统硬件、软件控制硬件控制的失效会影响系统的可靠性,消弱其他控制措施的作用;会计信息系统内部控制的一个显着特色就是利用系统软件实现控制(如操作系统、数据库管理系统)。(1)确保系统软件的取得、开发都是以经过有效地授权方式进行的;(2)授权、批准、测试、实施和记录新建和修改应用软件;(3)系统应用软件和记录的存取仅限于经过授权的人员。
第五,系统安全控制基本目标确保系统的安全,在运行中及时发现系统安全问题、解决安全问题,防止不安全的因素危及系统安全,必须实施有效的安全控制。
主要内容(1)硬件安全控制:对计算机硬件安全有影响的因素有:火灾、水灾等自然因素和29安全监督不到位、人为数据丢失等管理因素。另外,操作人员通过非法修改、销毁输出信息等损坏计算机系统的方式达到掩盖舞弊行为和获取私人利益的目的。为保证各种硬件设备的正常运行,企业应当相应的建立一套比较完善的企业设备管理制度进行管理。
(2)程序与数据的安全控制:在会计信息系统软件的设计开发之时,就应该安装会计软件的安全程序,同时规定每周或每月对系统软件的安全性进行预防性的检查,当发现系统遭到破坏时,企业的系统软件可以快速、及时的做出反应、进行强制性的数据信息备份和数据的快速恢复的功能。
(3)环境安全控制:信息系统的设备是精密的设备,这些设备对外部环境的要求相对比较高。在外部环境要求达不到是,会对网络系统的安全带来严重的隐患。
(4)防病毒的软件接触系统:网络安全的最大隐患就是计算机病毒。计算机病毒风险之大是显而易见的,它可以导致整个系统的崩溃。
第六,系统文档控制1.建立文档管理制度及安全保密制度主要内容包括:专人保管;数据在纳入计算机会计信息系统之前,须经系统主管人员的审检批准;计算机打印输出书面资料,应由输出和审核人员共同签字才是合法的会计档案;会计档案使用时必须经过批准,任何资料的借取都要登记;存储在磁性介质上的文件应有加密保护;系统软件、应用程序和数据文件应复制备份;根据会计档案管理的规定制订文档的保管数量、保管时间、定期备份的间隔期及调用档案的手续等。
2.建立应用控制制度应用控制是指企业会计信息系统运行过程中,对会计原始资料的数据输入控制、数据处理控制、数据输出控制等。
输入控制的内容包括数据采集控制(确保应用系统在合理授权的基础上完整地收集、正确地编制、安全地传递输入数据)和数据输入控制(防止输入数据时的遗漏或重复,检查输入数据是否有错误)。
数据处理控制指对会计信息系统内部数据处理主要包括经济业务由系统正确地处理、经济业务发生的数据准确无误、及时鉴别并改正数据处理的错误等一系列的控制措施,这通常通过编写程序软件,由计算机系统自动完成。
第三,输出控制输出控制就是确保计算机处理后的输出的数据信息结果准确无误。只有经过批准的人员才能输出结果,输出的数据信息也要及时准确的提供给适当的人员。
三、会计信息系统内部控制的原则
会计信息系统内部控制的原则也就是应该遵循内部控制原则即合规性、全面性、有效性、重要性、完整性、适应性和成本效益原则。
1.合规性原则。会计信息系统内部控制应当符合国家《会计法》、《会计准则》。
2.有效性原则。会计信息系统内部控制规定的程序、方法和标准应当能够针对会计信息系统内部控制有效性进行合理评价并具有可操作性,其评价结果能够反映公司内部控制的客观实际。
3.重要性原则。会计信息系统内部控制应重点针对系统内部控制的重要风险和关键控制进行评价。
4.完整性原则。会计信息系统内部控制应从设计层面和执行层面对系统内部控制体系的有效性进行评价。
5.适应性原则。会计信息系统内部控制应随着法律法规的变化、外部环境和内部控制体系的变化而调整,保持内部控制体系评价能够满足相关要求。
6.成本效益原则。会计信息系统内部控制应遵循成本效益原则,以合理的评价成本实现可靠的评价效果。
四、会计信息系统内部控制的实际应用
我们在前面采用大量篇幅对内部控制、会计信息系统及其风险之间的关系进行了详细论述,下面将具体讨论结合油田公司的内部控制在会计信息系统的实际应用,带给企业的利弊。通过内控制度的执行使会计信息系统成为企业内部相互关联,相互牵制的纽带,实现对经营活动风险的全面控制,以达到企业的战略目标和经营目标。在会计信息系统中建立各个部门之间相互牵制关系及适时的监控机制和业务互审制度实现对生产经营全过程的控制。在这个控制过程中,主要通过会计信息系统对实物财产、货币资金、会计核算、会计信息流程控制程序实现资源效益优化。
1.吉林油田公司会计信息系统公司层面控制的设计吉林油田按照内控制度要求公司建立健全了会计信息系统内部组织框架,对公司管理人员、会计执行人员、公司监督审计部门做了明确分工,划分了各层级的管理职责。吉林油田公司成立内控与风险管理委员会,由相关单位的主要领导组成。公司内控与风险管理委员会下设办公室,办公室设在企业风险管理处。内控与风险管理委员会是公司内部控制体系管理的决策机构,组织开展公司信息系统开发设计、运行维护、业务操作、日常监督以及风险管理工作,决策内部控制体系的建立、实施和运行改进。
2.吉林油田公司会计信息系统一般控制和应用控制的设计吉林油田公司财务部门按照公司统一要求,通过调查、分析企业经营状况是否有助于内部控制,是否有助于提高企业效益。编制各种财务相关业务流程,对控制现状进行描述与分析。
业务流程架构是对公司全部业务流程分类和分级的结构化反映,是业务流程制定的总体框架,包括流程总图和流程目录及定义。
业务流程描述应按照业务流程架构规定,遵循业务运行实际,结合风险控制要求,描述具体工作步骤,绘制业务流程图。
业务流程图举例:
上图 3.2 是业务流程图的样本,明确了业务流程的部门和步骤,其主要要素是:
业务流程涉及的部门、工作内容及步骤、部门间的相互关系、业务文件