第四章电算化会计信息系统的控制与管理文档格式.docx
《第四章电算化会计信息系统的控制与管理文档格式.docx》由会员分享,可在线阅读,更多相关《第四章电算化会计信息系统的控制与管理文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
本章也主要谈会计信息系统的内部控制。
相对于手工会计信息系统的内部控制来说,电算化会计信息系统的内部控制的基本目标没有发生变化,但内部控制的方法与技术却发生了很大的变化。
除了一些规章制度外,大部分的控制措施都是运用了硬件和软件等计算机技术及通讯技术。
二、电算化会计信息系统内部控制的概念、目的和功能
⒈概念:
电算化会计信息系统内部控制是指在电算化会计信息系统设计时,为确保会计数据信息的正确性、可靠性、安全性,而采取的一些标准化控制措施和相应的技术措施。
标准化措施是指规定的管理法规和操作制度,着重于人与运行规程的控制;
技术措施主要是指与计算机系统相关的硬件和软件技术措施。
⒉内部控制的目的:
会计信息的正确性、准确性是对会计信息系统的基本要求,但是会计信息系统经常遭受一些危害,危害可以通过加强控制来加以预防或消除,或者通过控制减轻危害,这是内部控制系统存在的主要原因。
当然,必须承认内部控制是不能完全消除危害的。
建立内部控制系统的目的就是通过对引起危害的各种因素的控制来防止或减少各种危害。
具体来说就是:
·
提供正确的、完整的、可靠的和合理的会计数据,在电算化会计信息系统的设计过程中,要注意设计程序化控制。
如借贷平衡控制,科目合法性控制,输入数据类型检验等。
保证会计处理符合会计制度和会计原则的要求,因此在设计系统的过程中以及系统运行阶段,必须建立适当的内部控制,确保系统及其所处理的经济业务合规合法。
保护资产和资源,防止违法行为的发生,提高系统的效率和效益,提高企业的竞争能力,促使提高管理决策的正确性。
系统中可采用一定的硬件、软件安全措施,提高系统的安全性;
此外,在系统设计中采用一定的控制技术,如系统输入凭证时,由系统自动产生凭证编号,从而提高系统的效率。
⒊功能:
内部控制措施发挥着三个方面的功能,即预防、检测和纠正功能。
(1)预防性控制功能。
是通过防止或阻止错误、灾害、事故、舞弊等的发生来避免各种灾害。
例如通过设置口令来防止非法接触会计信息系统的人员,控制非法使用终端、主机、数据文件和程序,从而避免对数据文件和程序进行破坏、篡改或非法复制。
(2)检测性控制功能。
是通过找出和发现已经发生的错误、灾害、事故、舞弊来防止危害的扩大或使危害得到补偿。
例如,会计信息系统通过记录和报告系统的使用情况,发现非法修改系统软件、应用程序或数据文件的行为。
(3)纠正性控制功能。
是通过更正和纠正已检测出的错误,处置发生的舞弊行为,以及处理和补救已发生的灾害等来减轻危害,使系统恢复正常。
例如,通过文件和程序备份措施,补救因灾害造成的数据和程序损毁的危害。
〖教学引导提问〗相对于手工会计信息系统的内部控制,电算化会计信息系统需要什么内容的内部控制?
三、电算化会计信息系统内部控制的问题及重要性
手工会计在长期的实践中总结了一套比较完整的内部控制制度,形成了诸如职权分割、资产清查、审批与复核、可查证性等行之有效的原则。
但是,由于电算化会计信息系统不仅改变了会计数据的存贮和处理方式,而且改变了会计工作的组织,因而对内部控制的方法和实现措施产生了重大的影响,使得手工会计长期形成的一整套内部控制制度不少已经失效或不再适用。
⒈计算机会计系统中身份的识别和权限控制变得复杂。
在手工会计中,会计人员职权分割,他们之间的相互牵制和监督关系通过分工就能实现,不仅任何局外人很难插手,而且相互之间也不能越权处理。
但是在电算化会计信息系统中,操作人员都是通过计算机来完成数据的输入、处理和输出,这就存在一个如何识别合法操作员以及他所具有的操作权限的问题,而且识别的控制都集中由计算机来负责,而不能仅靠工作分工来实现。
如果这两个问题解决不好,就可能出现操作混乱,职责不分,甚至受到非法用户的入侵和合法用户的无意破坏,使企业机密被人窃取或通过删改数据进行犯罪活动。
⒉帐簿体系相互牵制的作用被削弱。
在电算化会计信息系统中,记帐都是由计算机按照固定的程序从同一个数据源同时完成的,具体说总帐、日记帐和明细帐都是根据同一个凭证文件的数据,由计算机自动生成。
而且有些会计核算软件根本就不存在机内总帐、日记帐和明细帐,所有输出的帐簿信息都直接来自凭证文件,而会计报表的数据则主要来自一个科目汇总文件。
因此,无论有无总帐和明细帐,都起不到相互核对、勾稽的作用,如果凭证有错,则总帐、日记帐、明细帐也必然出现同样的错误,不可能利用平衡原理去发现。
因此问题的关键不在于帐簿之间的核对,而是如何确保凭证输入的正确性,只要输入的凭证是正确的,总帐和明细帐就不可能存在错误。
这样控制的重点之一集中到如何检验和保证输入凭证的正确性。
⒊电算化会计信息系统中,数据存储以电、磁信号的形式存储,形成了系统的高风险。
电算化会计信息系统中传递、处理、存储的数据是电子数据,会计信息的修改可以不留任何痕迹,而且手工会计中签字、盖章等使信息证据化的操作也失去作用,在会计软件中新的数字化签名等还无法使用,还缺立法。
此外,电算化会计信息系统中会计档案保存以磁性介质为主。
磁性介质作为载体有很多优点,但从控制的角度出发,存在一个很大的弱点,即记录在磁性介质上的会计信息不仅容易被修改、丢失,而且缺乏证据力,此外,很容易复制,无法区分正本和副本。
因此,一方面我们不能单纯依赖磁性介质这种信息载体,应该打印输出必要的纸质信息,另一方面还要设法控制对磁性介质的修改操作。
⒋内部控制的实现不能光靠管理制度。
在电算化会计系统中大多数据都由计算机进行处理,职能部门一般只负责数据的生成、审核、编码以及分析处理输出的结果,从而导致人工处理并掌握的信息越来越少。
这样,人失去了主要的控制作用,内部控制的重点转移到计算机系统,许多内部控制方法都要通过会计软件才能实现。
例如,用户身份的识别、操作权限的控制、修改的控制、数据的检验等等,都是通过软件去实现的。
因此,会计核算软件必须具有内部控制的功能。
四、电算化会计信息系统内部控制分类:
(1)一般控制。
有时也称为管理控制,它是对电算化会计信息系统中的组织、操作、安全、开发等系统运行环境方面所进行的控制。
之所以称为“一般控制”,一方面是因为这些方面的控制措施是普遍存在于某一单位的会计和其他管理系统的;
另一方面,它们为每一个应用系统提供了环境,它们影响到计算机应用的成败、应用控制的强弱。
只有在一般控制强有力的情况下,应用系统才能有效的运行,从而发挥其应有的作用。
一般控制主要包括以下几个方面的内部控制:
一是组织和操作控制;
二是系统硬件和软件控制;
三是系统开发和系统文档控制。
(2)应用控制。
它是对电算化会计信息系统中具体的数据处理活动所进行的控制。
应用控制具有特殊性,不同的应用系统有着不同的处理方式、处理环节,因而有着不同控制问题和不同控制要求。
例如,存货系统中往往存在着这样一种控制,当存货超出合理存量时,系统就列出商品的信息,以利管理人员采取措施降低存量。
应用控制因应用领域的不同而不同,因应用系统的输入和处理方式的不同而不同。
但是尽管如此,一般来说还是可把应用控制划分为以下几种类型:
输入控制;
处理控制;
输出控制。
〖课堂讨论〗电算化会计信息系统中内部控制的作用是什么?
第二节电算化会计信息系统的一般控制
〖教学引导提问〗哪些内部控制手段与措施可以保证会计信息系统从整体上是安全有效的?
一、组织和操作控制措施
(一)组织控制
⒈电算部门与用户部门的职责分离。
电算部门主要负责业务记录及对数据进行处理和控制,而用户部门主要负责批准执行各种业务交易。
两者之间应尽可能保持不相容职责(业务授权、执行、保管和记录)的分离。
具体职责分离如下:
电算部门不能负责业务的批准和执行,所有业务均应由用户部门发起或授权。
电算部门负责控制该部门内进行的数据处理,检查处理中发生的错误并纠正本部门产生的错误,控制在更正错误后重新输入并处理数据;
用户部门负责更正产生于电算部门以外的错误,并将更正后的数据重新传递到电算部门进行处理。
电算部门不能保管除计算机系统以外的任何资产。
所有业务记录与主文件记录的改变均需用户部门授权,电算部门无权私自改动业务记录和有关文件。
所有业务过程中产生的错误数据均应由业务部门负责或授权改正,电算部门只允许改正数据在输入、处理、输出过程中由于操作疏忽而引起的错误。
所有现有系统的改进,新系统的应用都由用户部门授权,电算部门无权私自修改系统程序。
2.电算部门内部的职责分离。
电算化会计信息系统的建立导致新的职能工作的产生,由于计算机信息处理的特点是将数据集中起来统一处理,会使得本应分离的某些职责集中化。
为保证系统可靠运行,防止错误和舞弊发生,电算部门内部职责也应分离。
首先应对系统开发职能与数据处理职能分离。
系统开发人员负责系统的分析、设计、编程并为应用提供文档资料,负责新旧系统转换、现有系统的改进及数据库的设计与控制,数据处理负责业务数据的处理与控制,所有参与系统分析、设计、编程和数据库管理人员都不能参与日常业务数据处理操作,操作人员也不能参与程序的编制与修改;
独立的档案保管职能有助于防止任何未经批准而使用程序、数据文件和系统资料的行为;
独立的控制职能有利于单独检查系统的输出,监督和保证数据处理的准确性。
其次应对数据处理职能进行分离,一般在数据处理小组可设置凭证输入员、审核员、记帐员和会计档案保管员,这些职责一般应予以分离,例如,凭证输入与审核工作由不同的人员完成,可以保证输入人员错误数据的检测,也减少了输入人员利用工作之便弄虚作假的可能。
3.人事控制。
计算机会计信息系统是人机系统,内部控制的好坏还取决于有关人员的素质,高素质的人员才可能建立高质量的系统。
要建立人员招聘、在职教育、定期评价、轮换任职、奖惩制度等控制措施,对工作人员的知识、技能、职业道德提出更高的要求。
(二)操作控制
电算化会计信息系统的使用操作应当有一套完整的管理制度,具体操作控制措施包含如下内容:
⒈制定工作计划,各部门严格按照工作计划操作
各部门需要有一个本部门年度工作计划和相应的日程安排。
这些计划应该与企业的总体计划协调一致。
工作计划涉及系统发展、成本预算、人员培训和用户安排等多个方面。
这样,在面临系统升级和规模扩大时,便可以很好地处理既不断发展又不影响正常工作这样一个棘手的问题。
计算机的具体操作也强调工作计划的制定,如定期对整个系统进行全面或局部的检测,定期进行数据文件备份,定期盘存输出资料等,以使整个工作能有条不紊地进行。
此外,计算机操作还应实行责任轮换制,对不同的操作岗位,定期地进行调换。
这样,一方面可以调动操作人员的工作积极性,;
另一方面,也有助于工作中的相互监督、相互促进。
所有这些,都是保障系统正常运作的前提。
⒉管理人员制定上机守则和操作规程,操作人员严格遵守上机守则和操作规程。
上机守则主要是关于机房工作的一般性规定,如对进出机房的人员和物品的限定,操作人员进出机房需要的手续及进出时间,操作人员的日常工作性质和范围,交接班制度,出现紧急状态时的应急措施,以及保持机房的整洁干净等。
操作规程主要是对计算机业务处理过程的具体操作步骤的叙述。
如系统程序目的说明、系统操作流程图、操作命令及其使用、各类设备的用途和使用方法、控制台各项记录的生成和保管、一般故障的现象说明及处理、数据文件的定期备份和故障后的恢复及重建、对系统的定期检测和维护,以及程序输出的各种报告样本等。
良好的上机守则和操作规程,不仅能有效地指导操作人员的工作,还能作为衡量工作质量的重要标准。
因此,管理人员在制定这些守则和规程的同时,要保证这些守则规程的可行、有效和完整,并在情况有新的变化时及时进行调整。
在执行守则和规程的检查时,一要注意坚持经常性的检查,二要严格认真,避免流于形式而使守则和规程形同虚设。
操作人员在实际的操作工作中,要以具体的上机守则和操作规程为指导,积极接受管理人员的检查。
⒊做好日志记录的登记
日志记录是对系统日常工作情况最基本、最全面和最详尽的反映,一方面是计算机审计取证工作的主要对象,是系统管理人员或内部审计人员进行检查的重点,另一方面,当系统发生故障时,可以根据日志记录检查原因,并且可以根据日志记录恢复数据。
所以做好日志记录的登记是实施有效控制的关键。
日志可以由操作员来记录,也可以由系统自动生成。
·
做好手工日志的登记。
操作员每天都要根据系统的运行情况逐日登记如下情况:
系统的开启、关闭及整个运行过程是否正常,是否出现过什么不正常的现象,对异常现象的处理过程如何;
有哪些人使用过系统,使用的时间和曾进行过什么工作;
系统环境方面的情况,如温度、湿度为多少,电压是否正常;
各类资料的使用情况;
数据文件是否备份,备份号和存放地点的登记等。
做好系统自动日志的登记。
自动日志是系统根据运行情况自动生成的,与手工日志相比,这种日志要详细得多。
它不仅包括各个用户终端标识的辨认、应用程序的调用、存取盘操作和使用时间等方面的情况,还详细记载了数据文件的更改过程、每一次的修改动作以及修改前后的数据情况等。
管理人员常常通过审查日志来了解故障原因,并发现系统潜在的问题。
一旦系统因发生故障需要恢复,利用日志提供的操作记录,可撤消不正确或不可靠的操作,使数据恢复到故障前的正确状态。
这样就能保证系统正常、高效、可靠地运行。
手工日志和自动日志相辅相成,内容不完全相同,两者彼此不可替代。
⒋制定对非常状态的应急措施和物理安全规则。
计算机系统所面临的非常状态有:
系统遭受火灾、水灾、盗窃等灾害,硬件的物理性损坏、系统发生断电、通讯中断等故障、软件存储介质毁损、数据文件丢失或破坏、病毒发作,破坏了系统的正常运转等。
为了应付上述非常状态,避免一切操作从头开始,使系统尽快恢复工作,应制定相应的安全规则和应急措施,例如定期做好数据备份,系统程序备份,备份与原件分开存放等。
二、系统硬件控制和软件控制
(一)硬件控制
亦称“设备控制”。
是由计算机生产厂家在计算机设备中实现的控制技术和方法。
硬件控制能自动查出某些类型的错误,而无需程序或操作人员送入任何特殊指令。
硬件控制的失效会消弱其他控制措施的作用,影响系统的可靠性,因此,审计人员应定期对其控制效果进行测试。
硬件控制一般包括:
1.重复处理控制,通过重复进行同样的处理操作,将结果进行比较以发现错误。
2.冗余校验,在数据编码中设置冗余位,依据冗余位编码与数据编码中位数的逻辑关系检测是否存在数据传送或处理错误。
3.回波检验,输出设备将接收到的数据再传回到来源单位,以便和原始数据对照比较,从而检查数据传送(特别是远途传送)过程中是否发生错误。
4.设备检验,将控制手段构造在计算机集成电路板中,检查并更正错误。
5.有效性校验,利用计算机实际操作与有效操作进行对比,检测错误。
6.二模冗余,采用两个相同的副本,当出现故障时,两个副本不再一样,只要经过简单比较就可检测出来。
7.双电路,在硬件的要害部位和外部关键设备上设置双重电路。
有些系统的硬件要害部位甚至还设置了三重保险系统。
一旦硬件系统的故障或错误暴露出来,应立即予以记录并报告,让硬件维护人员来处理。
(二)软件控制
计算机软件分为系统软件和应用软件。
系统软件是负责管理计算机软硬件资源的软件,如操作系统、数据库管理系统等;
应用软件是专门解决特定任务的软件,如会计软件。
利用系统软件如操作系统、数据库管理系统实现控制,是电算化会计信息系统内部控制机制的一个显著特色。
控制功能主要包括:
1.错误处理,操作系统能侦测和纠正因硬件和软件问题引起的错误,如计算机在工作中发生读写困难,或读写的字符过长等,操作系统会指出发生的错误并作相应处理,或重新读写,或做为特例记入某一文件,或停止计算机的操作。
2.程序保护,用户防止处理过程中受到其它程序干扰、防止模块调用的错误和防止未授权改动应用程序。
3.文件保护,即对存储的文件加以控制,以防止XX的使用和修改。
采取的主要控制手段是内部标签的设置与核对。
文件内部标签包括头签和尾签。
头签通常包括文件号、文件名、建立日期、密码口令等。
通过检查此签,保证只有掌握密码的人才能打开文件。
尾签包括数据块数、记录数、文件结束标志等。
通过检查尾签,可防止数据丢失,保证数据处理的完整性。
4.安全保护,防止未经许可使用系统,采用分级可变式口令控制对系统的接触,同时通过操作系统自动建立使用系统的人员和活动的记录等。
5.自我保护,系统软件是一种控制工具,它也可以被用来破坏系统的内部控制,因此,要对系统软件本身加以保护。
(三)网络控制
电算化会计信息系统已经从单机系统向网络系统发展,不管是基于局域网络的系统,还是基于因特网的系统,网络控制都是对系统的一种重要的内部控制。
网络中常用的控制措施如:
1.网络中数据加密。
加密变换是网络中最基本的控制措施,它可以在多个层次上实现,包括网络层下的链路加密和网络层上的端间加密等。
2.网络端口保护。
网络由各种端口保护设备和访问控制软件来保护。
3.网络中主体验证标识。
主体使用口令、密码、磁卡、指纹或签字一类的标识来验证自己的身份。
三、系统开发控制和系统文档控制
(一)系统开发控制
系统开发控制主要运用于那些自行设计电算化会计软件的单位。
为了保证电算化会计信息系统成功地完成,并且能满足用户的需求,为了保证系统的开发过程合法、有效,需制定如下的控制措施:
1.要制定全面、完整的开发计划。
开发计划包括:
确定系统目标、系统的总体结构、开发方式、组织结构与管理体制、工作阶段和开发进度、资金筹措与费用预算、人员培训与配置等。
2.采用结构化系统开发方法。
3.制定编程规则与规范,以提高系统的可审性。
4.进行开发进程控制,以保证系统开发进程和质量。
5.系统测试控制,采用静态测试法和动态测试法,在系统实施前检查错误,使系统能按设计要求成功完成。
6.系统审批控制程序。
7.系统程序变更控制和系统转换控制。
(二)系统文档控制
系统文档包括电算化会计信息系统中的证、帐、表以及所有系统开发中产生的数据文档,如系统说明书,数据流程图,源程序、系统使用手册及编程说明等。
系统文档控制就是指要建立文档管理制度及安全保密制度,其主要规则有:
1.文档应由专人保管,会计数据在纳入机内系统之前,必先经系统主管审批。
2.计算机打印输出书面资料,应由输出和审核人员共同签字后才是合法的会计档案,使用时必须经过批准,而且借调资料必须如实登记。
3.存储在磁性介质上的文件应加密保护。
4.系统数据文件应定期复制备份,以防数据丢失或数据毁损后无法恢复。
5.应根据会计档案的规定制定文档的保管数量、保管时间、定期备份的间隔期等。
第三节电算化会计信息系统的应用控制
〖教学引导提问〗针对电算化会计信息系统中的每一个子系统,都应该设置什么样的特殊性内部控制?
一、输入控制
数据处理中有句名言,叫做:
“垃圾进,垃圾出”,意即如果输入数据出错,以后的处理环节再正确,也只能输出错误的信息。
因此,要提高电算化会计系统的可靠性,必须设计有效的输入控制措施。
1.数据采集控制。
采集数据是用户部门的工作。
数据采集控制的目的在于确保应用系统在合理授权的基础上完整地收集、正确地编制、安全地传递输入数据。
其控制措施主要有:
(1)用户部门内部的职责分离。
资产保管与数据采集职能分离、业务授权与资产保管职能分离、业务授权与原始凭证填制职能分离、填制原始凭证与审核原始凭证职能分离。
(2)标准化的凭证格式。
设计和使用标准凭证格式能减少发生错误的概率。
(3)制定凭证编制程序。
明确要使用的凭证、编制凭证的时间、编码的使用、凭证传递的程序和时间等。
(4)凭证审核。
指定专人负责凭证的审核,以发现和纠正凭证上的错误。
(5)手续控制。
业务批准人,资产保管人,凭证的编制人、审核人应在凭证上签字,以明确责任。
(6)凭证更正规程。
数据处理部门(电算部门)发现原始数据有错应交用户部门更正,用户部门更正后再将凭证传递到数据处理部门再处理。
(7)批量控制。
为每批凭证编号以便凭证的交接(用户部门送电算部门或其他部门)计算批量总数(如业务总数、数量总数、金额总数等),以便检查凭证传递、输入、处理中的错误。
2.数据输入控制。
数据输入控制是为防止输入数据时的遗漏或重复,检查输入数据是否有错误的控制措施。
计算机会计信息系统中,数据输入的依据可以是原始凭证,也可以是记账凭证,还可以是这两者的合并。
其中以记账凭证作为输入主要依据的方式在目前使用的系统中较为常见,这里就介绍以记账凭证为输入依据的控制。
以记账凭证为依据输入数据时可能发生的问题和错误主要有:
会计科目输入错误,如输入了没有设置的科目或误用其他会计科目;
借贷方向输错;
金额输错,如未计、多计或少计;
对应关系搞错;
由于是键盘输入,输入的速度较慢等。
对于可能发生的问题和错误可采用以下控制措施:
(1)顺序校验。
检查凭证号码的顺序是否连续,有无重复和遗漏,这项工作可由程序自动控制完成。
例如,如果用户输入重复或不连续的凭证号时,程序自动向用户提示凭证输入错误信息。
(2)设置会计科目代码与名称对照文件。
当输入科目代码时,系统先在对照文件中进行查找,如果找到,可以给用户汉字提示以确认是否为正确科目;
如果找不到,应提示“科目不合法”,并要求重新输入正确的科目代码。
(3)设置对应关系参照文件。
会计科目输入正确不能保证对经济业务的处理就是正确的,还有可能发生账户对应关系错误。
对应关系参照文件根据业务间的相互关系事先确定对应的会计科目,当输入一张记账凭证后,查询对应关系参照文件,检查和判断输入的科目之间是否存在正确的对应关系。
(4)合理性校验。
对某些输入的数据确定合理的范围,若输入数据超出合理范围,系统就会给予提示,要求检查输入的数据,如材料的最高、最低储量等可作为合理范围的标准。
(5)平衡校验。
通过数据间应有的平衡关系检查数据输入是否有错,如当一张凭证输入完毕后系统自动进行“借方科目金额合计=贷方科目金额合计”的检查。
(6)人工校验。
由计算机会计信息系统将输入的数据打印出来或在屏幕上再次显示供输入操作人员或审核人员根据原始数据进行检查核对。
(7)重输入控制。
将同样数据向计算机系统输入两次,由系统自动
升级会员 