新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

[摘 要]隨著IT技術(shù)的發(fā)展與滲透,會計工作所在環(huán)境已發(fā)生了巨大變化,傳統(tǒng)的內(nèi)控手段已經(jīng)落伍,計算機舞弊和犯罪形勢已相當嚴峻,企業(yè)傳統(tǒng)內(nèi)控理念與方法正面臨巨大挑戰(zhàn)。本文以IT環(huán)境下的會計作假分析為切入點,對內(nèi)控全過程進行了系統(tǒng)的剖析,提出了降低內(nèi)控風險的建議與對策。
[關(guān)鍵詞]IT環(huán)境;企業(yè)內(nèi)控;風險;對策
[中圖分類號JF270.7 [文獻標識碼]A [文章編號]1673-0194(2006)06-0024-04

所謂IT是“Information Technology”(信息技術(shù))的縮寫,指計算機、通訊及相關(guān)技術(shù)。IT業(yè)(通常就指計算機業(yè))恰好有著這兩副截然不同的面孔:一副是高科技的美妙動人,一副是商場爭利的赤裸貪婪。其飛速發(fā)展已滲透到會計工作的方方面面,一方面使會計工作的內(nèi)容大大豐富,效率、質(zhì)量大大提高,另一方面也使企業(yè)傳統(tǒng)內(nèi)控點發(fā)生很大變化,計算機舞弊和犯罪的現(xiàn)象大大增加。據(jù)美國《電子計算機世界》的資料披露,作為發(fā)達國家的美國,因電腦犯罪而發(fā)生的損失每年高達數(shù)億美元。1986年我國首例計算機舞弊案,即大連市工商銀行某辦事處計算機會計系統(tǒng)管理員,伙同他人利用計算機修改賬目文件,截留企事業(yè)單位的貸款利息,貪污數(shù)額7位數(shù)以上,時間達數(shù)年之久。可見無論在國外還是在國內(nèi),加強IT環(huán)境下的企業(yè)內(nèi)控時不我待、勢在必行。

一、電算化會計系統(tǒng)下企業(yè)內(nèi)控的新變化

要防范電算化會計信息系統(tǒng)下內(nèi)部控制的風險,首先要清楚IT環(huán)境下對會計內(nèi)部控制產(chǎn)生了哪些變化和影響。
首先是責任主體多元化。會計部門的組成人員從原來由財務、會計專業(yè)人員組成,發(fā)展到由財務、會計專業(yè)人員、計算機專業(yè)人員、計算機數(shù)據(jù)處理系統(tǒng)的管理人員和相關(guān)管理人員組成。使原有的會計內(nèi)控主體范圍擴大,責任延伸。
其次是企業(yè)內(nèi)控點復雜化。在電算化下傳統(tǒng)的賬證核對、賬賬核對、賬表核對、銀行對賬等工作已失去原有的控制意義。這些工作均由計算機按程序即時完成。這些程序化的內(nèi)部控制的有效性取決于應用程序的完善與正確,如果應用程序發(fā)生差錯,計算機尚不具有人所特有的對不合邏輯事項的判斷和處理能力,出了問題難以發(fā)現(xiàn)。
第三是內(nèi)控范圍擴大化。隨著電子商務的發(fā)展和企業(yè)信息化進程的加快,目前財務軟件的網(wǎng)絡功能已經(jīng)包括:遠程報賬、遠程報表、遠程審計、網(wǎng)上支付、網(wǎng)上催賬、網(wǎng)上報稅、網(wǎng)上采購、網(wǎng)上銷售、網(wǎng)上銀行等。尤其是ERP理念及系統(tǒng)的運用,使得計算機、網(wǎng)絡不再是工具,而是內(nèi)控的對象,內(nèi)控不僅僅是會計信息,而是整個企業(yè)的物流、資金流、信息流的集合。以上功能的實現(xiàn)必將促使會計的內(nèi)控的鏈條發(fā)散、延長,由此引起內(nèi)控范圍擴大。
第四是控制載體的數(shù)字化。電算化系統(tǒng)的數(shù)據(jù)處理與存儲都呈現(xiàn)高度集中的特點和趨勢,儲存在計算機磁性介質(zhì)上的數(shù)據(jù)容易被篡改,甚至可以不留痕跡,未經(jīng)授權(quán)的人員可能通過計算機和網(wǎng)絡瀏覽全部數(shù)據(jù)文件,復制、偽造、銷毀企業(yè)重要的數(shù)據(jù)等,使數(shù)據(jù)安全性降低。計算機犯罪具有很大的隱蔽性和危害性,增加了電算化會計系統(tǒng)的內(nèi)部控制的難度和復雜性。
另外,昔日應由會計人員處理的有關(guān)業(yè)務事項,現(xiàn)在可能由其他業(yè)務人員在終端機上一次完成;昔日應由幾個部門按預定的步驟完成的業(yè)務事項,能集中在一個部門甚至一個人完成等等。所有這一切都會對電算化會計系統(tǒng)內(nèi)部控制的內(nèi)容與環(huán)境產(chǎn)生很大的影響。

二、IT環(huán)境下企業(yè)內(nèi)控的控制點分析

研究企業(yè)內(nèi)控的控制點就要分析和了解IT環(huán)境下的各類可能發(fā)生舞弊的現(xiàn)象,以便針對性地提出遏制內(nèi)控風險的措施。IT環(huán)境下的舞弊體現(xiàn)于“研發(fā)→應用→維護”的全過程及“程序自身與軟件操作”的全方位。

(一)研發(fā)階段的內(nèi)控風險剖析
在我國,目前大多數(shù)電算化會計軟件都是用戶與軟件開發(fā)人員合作完成的,合作中一是理解不到位,程序不完備,二是人為給程序留下作假的空隙。如:預留“活動天窗”或預留“秘密人口”等?；顒犹齑笆且环N由計算機會計系統(tǒng)程序編制人員有意安排的指令語句,是對計算機應用系統(tǒng)的一種調(diào)試手段,即在密碼中加進空隙,以便于日后增加密碼并使之具有中期輸出能力。有些不道德的程序員為了以后損害計算機系統(tǒng),會有意留下天窗。預留“秘密入口”是指在程序中設(shè)立一個秘密的未說明的進入程序模塊的入口方法,這個秘密的入口即為陷阱,設(shè)立這一“秘密入口”的意圖是在系統(tǒng)正式投入運行之后,能讓設(shè)立陷阱的程序員有訪問系統(tǒng)的人口,尤其是會計辦公的網(wǎng)絡化使這些意圖的實現(xiàn)成為可能。

(二)應用階段的內(nèi)控風險剖析
在使用軟件時,所涉及的內(nèi)控點主要在輸入、輸出和調(diào)試的崗位上。
1.“授權(quán)弱化”下軟件調(diào)用及修改
應用軟件操作的內(nèi)控主要是用“授權(quán)”方式實現(xiàn)的,若授權(quán)密碼泄漏或未經(jīng)授權(quán)的人冒名頂替進入系統(tǒng),就可能非法調(diào)用信息或篡改程序,以達到他們犯罪的目的。這種現(xiàn)象多發(fā)生在操作員職業(yè)警惕性差和內(nèi)控松散的情況,這會給電算化會計信息系統(tǒng)帶來了很大的風險。
常見方法:篡改輸入(虛構(gòu)業(yè)務數(shù)據(jù),修改業(yè)務數(shù)據(jù),刪除業(yè)務數(shù)據(jù)),篡改文件,違法操作,聯(lián)機狀態(tài)下的乘虛而入,篡改輸出,電子竊聽等其他方法。
通過分析研究發(fā)現(xiàn),系統(tǒng)人員一般采用篡改系統(tǒng)程序軟件和應用程序、非法操作等手段舞弊,內(nèi)部用戶一般采用篡改輸入或輸出的篡改方法舞弊,外來者一般采用終端篡改輸入和其他盜竊、破壞等手段進行舞弊。應該注意:威脅更大的是經(jīng)授權(quán)人的“監(jiān)守自盜”行為。
2.IT下的會計資料的高度共享和責任高度集中的風險
電算化后,所有的會計信息均集中于機器中,特別是數(shù)據(jù)庫技術(shù)和網(wǎng)絡技術(shù)的運用,使“通訊竊取”成為可能?！巴ㄓ嵏`取”主要是指在網(wǎng)絡系統(tǒng)上通過設(shè)備從系統(tǒng)通訊線路上直接截取信息,或接收計算機設(shè)備和通訊線路輻射出的電磁波信號來實施舞弊。一旦對方破譯密碼或密鑰,就可以輕而易舉地截取或進入系統(tǒng)拷貝,甚至非法篡改或損毀,而不留下任何痕跡。電算化的另一威脅來自責任的高度集中。手工會計作業(yè)的組織分工十分明確,每一作業(yè)步驟都有文字記錄并簽章證明。而在電算化會計信息系統(tǒng)中,原始數(shù)據(jù)提交給電腦后,全部數(shù)據(jù)將集中由機器處理,中間的責任人控制點全部消失,因此,一旦處理過程中出現(xiàn)紕漏,將為追究責任帶來難度。
3.存儲介質(zhì)變化使數(shù)據(jù)易于丟失,被篡改的風險加大
首先,數(shù)據(jù)易被盜取或損壞。尤其是作為主要存儲工具的硬盤,其上的數(shù)據(jù)被修改、擦除和拷貝均很難留下痕跡。其次,這些電子數(shù)據(jù)檔案至少保存10年以上,在此期間,由于物理性損耗或由于電腦發(fā)展的更新?lián)Q代而使老硬盤與新電腦不能匹配等原因,導致硬盤上的數(shù)據(jù)必須不斷地被轉(zhuǎn)錄儲存,從而造成數(shù)據(jù)的丟失和檔案保存成本的增加。

4.系統(tǒng)被計算機病毒攻擊的風險
計算機病毒是隱藏在計算機系統(tǒng)中的一種特殊程序。計算機病毒已經(jīng)成為破壞會計數(shù)據(jù)的主要“殺手”,其運行對于計算機會計系統(tǒng)具有巨大的危害和破壞性。有些不法分子就利用傳播計算機病毒,使一些單位部門的計算機系統(tǒng)被“開后門”或遭到破壞,以竊取有用信息或滿足其個人私欲。計算機病毒經(jīng)由通訊線路傳輸時;很難留下作案線索,這些都會造成電算化會計信息系統(tǒng)的不安全,因此有必要在系統(tǒng)設(shè)計和網(wǎng)絡安全管理制度上加以強化。

(三)系統(tǒng)維護中的內(nèi)控風險
系統(tǒng)維護中的舞弊與犯罪比比皆是,因為能夠進行系統(tǒng)維護的人員一般都具有兩個條件:一是有權(quán)限修改程序,二是有能力修改程序。這使得這一環(huán)節(jié)的有效控制變得尤其重要。
這一崗位是保證電算化系統(tǒng)安全高效運行的最關(guān)鍵的控制點。這一控制點如果弱化或不到位,會輕而易舉地造成以下內(nèi)控風險:
1.數(shù)據(jù)泄露風險
從計算機中泄露數(shù)據(jù)是指從計算機系統(tǒng)或計算機設(shè)施中取走數(shù)據(jù)并使之外泄。由于系統(tǒng)維護員的崗位的特殊性,對一些用戶名和口令都能查看,使得數(shù)據(jù)泄露成為可能。
2.利用特殊權(quán)限操作的風險
系統(tǒng)維護員一般擁有特殊情況運用“系統(tǒng)干預程序”的特權(quán)。這是一個只在特殊情況下(當計算機出現(xiàn)故障,運轉(zhuǎn)異常時)使用的計算機系統(tǒng)干預程序。這種程序能越過所有控制,修改或暴露計算機內(nèi)容,這種應用程序一般僅限于系統(tǒng)程序員和計算機操作系統(tǒng)的維修人員使用,但也不排除被一些不法分子使用以達到其不法目的。
3.有意篡改程序、安放邏輯炸彈的風險
是指以程序為基礎(chǔ)進行欺騙的方法。在進行系統(tǒng)維護時在計算機程序中,暗地里編進指令,使之執(zhí)行未經(jīng)授權(quán)時也可操作或通過對程序作非法改動,以便達到某種不法目的。比如將小量資金(比如計算中的四舍五入部分)逐筆積累起來,通過暗設(shè)程序記到自己的工資賬戶中,表面上卻看不出任何違規(guī)之處;再如某工資核算系統(tǒng)的程序員在系統(tǒng)中安放了一顆邏輯炸彈,一旦他的名字從工資文件中取消(被解雇),某一程序會自動引發(fā),從而使得全部工資文件被擦除干凈。

三、防范IT環(huán)境下會計內(nèi)部控制風險的對策

關(guān)于IT環(huán)境下的會計系統(tǒng)內(nèi)部控制,將其分為一般控制(general controls)和應用控制(application con-trols)。

(一)一般控制
一般控制是指對企業(yè)經(jīng)營活動所依賴的內(nèi)部環(huán)境實施的總體控制,因而亦稱基礎(chǔ)控制或環(huán)境控制。
1.組織控制
組織控制是關(guān)于職責分工和人事管理控制措施建設(shè)的控制。這是一切控制的根本,因為無論在人工環(huán)境下,還是在IT環(huán)境下,“人”都是最主觀最能動的因素。電算化會計系統(tǒng)的組織控制主要應明確以下“兩個分離”:一是電算部門與用戶部門的職責分離;二是電子數(shù)據(jù)處理部門內(nèi)部的職責分離。
2.系統(tǒng)開發(fā)與維護的控制
企業(yè)開發(fā)電算化會計系統(tǒng)所面臨的主要風險在于開發(fā)出的系統(tǒng)是否能夠反映用戶的要求,是否能夠達到預定的質(zhì)量標準,是否能按時完成并投入使用,開發(fā)成本是否合理,系統(tǒng)是否合法等等。要確保系統(tǒng)開發(fā)的成功,則必須抓好以下3項控制:①開發(fā)過程控制。要解決好圍繞用戶的需求下的開發(fā)目標,總體結(jié)構(gòu),開發(fā)方式,費用預算,人員培訓等工作。②編程過程控制。為了避免程序設(shè)計過程中出現(xiàn)程序編碼時的語法錯誤和邏輯錯誤,程序?qū)崿F(xiàn)的功能與用戶所要求的功能不一致,防止一些具有潛伏性和危害作用的子程序被設(shè)計在程序邏輯中等等,要在程序未投入使用之前,另外聘請內(nèi)行人士進行全方位測試。即通過對程序的反復閱讀或?qū)α鞒虉D的檢查來發(fā)現(xiàn)錯誤的靜態(tài)測試和對程序進行試運行來發(fā)現(xiàn)單個模塊的功能與定義模塊的功能不相符及模塊之間的接口問題的動態(tài)測試。③系統(tǒng)軟件維護控制。系統(tǒng)軟件維護主要包括糾錯性維護、適應性維護和完善性維護。對系統(tǒng)的功能的維護改進中,可導致系統(tǒng)出現(xiàn)新的錯誤,因此對系統(tǒng)軟件的維護應進行控制,即應按新系統(tǒng)開發(fā)過程的規(guī)程來進行維護。
3.系統(tǒng)安全控制
影響系統(tǒng)安全的因素很多,包括自然災害、工作失誤、計算機舞弊與犯罪活動等。具體來說其應該包括以下幾點:①環(huán)境安全控制。是屬于一種預防性的控制,包括計算機機房的安全控制、機房設(shè)備的保護、安全供電系統(tǒng)的安裝等;②軟件安全控制。對軟件程序的保護措施是對數(shù)據(jù)和程序的加密,一方面可以把數(shù)據(jù)和程序轉(zhuǎn)換成密碼的形式存放在各類介質(zhì)上,運行時再執(zhí)行解密,使系統(tǒng)能夠正常運行。另一方面,可以對存儲介質(zhì)進行特殊的處理,如采用特殊的記錄方式,對磁盤加上特殊的標記,采用特殊的硬件裝置,并定期對軟件進行檢測,以保證不被篡改;③病毒防治。基本策略有兩種:一是利用現(xiàn)成的殺毒軟件對病毒進行檢測并消滅,或是在系統(tǒng)中安裝一些檢測程序的技術(shù)手段,二是對病毒進行預防的管理手段。如盡量不用或慎用公用軟件、外來軟件和共享軟件,尤其是游戲軟件。經(jīng)常性地對一些重要的文件進行熱備份等;④內(nèi)部審計。是指由企業(yè)內(nèi)部相對獨立的審計機構(gòu)和審計人員對本企業(yè)的財務收支、經(jīng)營管理活動及其經(jīng)濟效益進行審核、監(jiān)督和評價,提出意見和建議的一種專職經(jīng)濟監(jiān)督活動。
4.操作控制
操作控制是通過制定嚴格的、標準的操作規(guī)程,并認真地加以執(zhí)行來實現(xiàn)的規(guī)范化工作流程。其根本目的在于保證信息處理的高質(zhì)量,減少差錯的發(fā)生和文件、程序及報表的未授權(quán)使用。一般包括3個方面:機房管理制度控制,操作權(quán)限控制,操作規(guī)程控制。
5.檔案控制
電算化會計檔案,包括存儲在計算機硬盤、其他磁性介質(zhì)或光盤中的會計數(shù)據(jù)和計算機打印出來的書面等形式的會計數(shù)據(jù),應嚴格按照財政部1996年6月10日頒布的《會計電算化工作規(guī)范》執(zhí)行。

(二)應用控制
應用控制是指直接作用于企業(yè)生產(chǎn)經(jīng)營業(yè)務活動的具體控制,因此亦稱業(yè)務控制。通常,將應用控制劃分為輸入控制、處理控制和輸出控制3種。
1.輸入控制
輸入控制的目標就是要保證未經(jīng)批準的業(yè)務不能進入計算機,保證經(jīng)批準的業(yè)務沒有遺漏、沒有被添加、重復或不適當?shù)馗鼡Q,對不正確的業(yè)務進行剔除、改正等。其是保證會計數(shù)據(jù)真實性中關(guān)鍵的一環(huán)。一般對輸入控制可有以下一些措施:①建立科目對照文件;②設(shè)立對應關(guān)系參照文件;③試算平衡控制;④人員控制;⑤重復輸入或雙重輸入控制;⑥順序校驗控制;⑦總數(shù)控制;⑧邏輯校驗控制。
當然,上述的輸入控制措施是針對實際的輸入操作過程而設(shè)置的,如果從操作管理制度方面來考慮,還應當制定嚴格的預防原始憑證和記賬憑證等會計數(shù)據(jù)未經(jīng)審核而輸入計算機的措施,以及預防已輸入計算機的預防原始憑證和記賬憑證等會計數(shù)據(jù)未經(jīng)核對而登記于機內(nèi)賬簿的措施。同時還應看到,輸入控制與組
織控制是相輔相成的。會計業(yè)務的審批一般應當限制在電算部門以外,電算部門無權(quán)審批業(yè)務,也不能擅自修改業(yè)務。但是,應當允許他們對不正確的、并已被審核了的業(yè)務提出質(zhì)疑,以便審批部門及時修改。 2.數(shù)據(jù)處理控制 是指為確保計算機運行時發(fā)現(xiàn)、糾正和報告某些有錯誤的輸入,從而保證數(shù)據(jù)處理的正確性和可靠性而設(shè)置的控制。常用的數(shù)據(jù)處理控制措施包括:檢驗登賬條件控制,防錯、糾錯控制,修改權(quán)限與修改痕跡控制等。
3.輸出控制
應包括如下措施:①加強輸出結(jié)果的人工核對。如按照用戶的要求設(shè)置輸出的格式、方式、內(nèi)容、時間等。對輸入的總數(shù)與輸出的總數(shù)加以核對。審核輸出結(jié)果,檢查輸出結(jié)果的正確性與完整性。將本期輸出的結(jié)果與上期輸出的結(jié)果進行對比,檢查輸出結(jié)果的合理性;②加強輸出資料分發(fā)和保管的管理。如指定專門的報表傳遞人員,保證將報表及時送達有權(quán)接受者;建立輸出報告登記簿,記錄報告發(fā)送的份數(shù)、時間、傳遞人、接受者等事項,以防錯發(fā)、漏發(fā)和多發(fā)等。
任何事物都不是盡善盡美的,電算化會計信息系統(tǒng)內(nèi)部控制也同樣存在著其固有的、不可避免的局限性。如管理成本限制、人為失誤、串通舞弊、濫用職權(quán)、修訂不及時、非經(jīng)常事項的不適性等等內(nèi)控管理的瓶頸。建議建立IT環(huán)境下的企業(yè)內(nèi)控風險預警系統(tǒng),此舉不啻為一種很好的事前防范方法,其在發(fā)生以上舞弊或出錯時會“鳴笛”示警,提醒人們發(fā)現(xiàn)問題及時解決,防患于未然,從而使企業(yè)管理成本降至最低。筆者認為上面所說的內(nèi)控中涉及的物流、資金流、信息流均是表象,而“人”才是所有利益的載體,才是我們內(nèi)控的根本。因為說到底內(nèi)控政策的制定者是人,內(nèi)控的執(zhí)行者是人,內(nèi)控的對象也是人。所以,除了強化內(nèi)控以外,為使各個內(nèi)控點的措施到位,被人愉快接受和執(zhí)行;我們還應注重影響“人”的企業(yè)軟環(huán)境建設(shè),如提升企業(yè)文化,強化法制觀念,培養(yǎng)職業(yè)道德等等。總之,任何內(nèi)部控制總存在著一定的風險,不可能一勞永逸,應該堅持全方位管理并與時俱進,方可長治久安。

主要參考文獻

[1][美]George H.Bodnar,WilliamS.Hopwood著.盧俊譯.會計信息系統(tǒng)[M].北京:清華大學出版社,2004.
[2]會計電算化中常見的作假手段.www.yculblog.com.
[3]牛魚水.工商物流系統(tǒng)知識與應用[M).深圳:海天出版社,2005.
[4]周玉清等.ERP原理與應用[M].北京:機械工業(yè)出版社,2002.
[5]徐偉.電子商務與企業(yè)流程重組.www.e521.com.
[收稿日期]2006—03—03
[作者簡介]聶衛(wèi)東(1971—),男,河南商丘人,高級講師,東北財經(jīng)大學職業(yè)技術(shù)學院,研究生。