IT环境下会计内控风险初探.docVIP

　　IT环境下会计内控风险初探 [摘 要]随着IT技术的发展与渗透,会计工作所在环境已发生了巨大变化,传统的内控手段已经落伍,计算机舞弊和犯罪形势已相当严峻,企业传统内控理念与方法正面临巨大挑战。本文以IT环境下的会计作假分析为切入点,对内控全过程进行了系统的剖析,提出了降低内控风险的建议与对策。 [关键词]IT环境;企业内控;风险;对策 [中图分类号JF270.7 [文献标识码]A []1673-0194(2006)06-0024-04 所谓IT是“Information Technology”(信息技术)的缩写,指计算机、通讯及相关技术。IT业(通常就指计算机业)恰好有着这两副截然不同的面孔:一副是高科技的美妙动人,一副是商场争利的赤裸贪婪。其飞速发展已渗透到会计工作的方方面面,一方面使会计工作的内容大大丰富,效率、质量大大提高,另一方面也使企业传统内控点发生很大变化,计算机舞弊和犯罪的现象大大增加。据美国《电子计算机世界》的资料披露,作为发达国家的美国,因电脑犯罪而发生的损失每年高达数亿美元。1986年我国首例计算机舞弊案,即大连市工商银行某办事处计算机会计系统管理员,伙同他人利用计算机修改账目文件,截留企事业单位的贷款利息,贪污数额7位数以上,时间达数年之久。可见无论在国外还是在国内,加强IT环境下的企业内控时不我待、势在必行。 一、电算化会计系统下企业内控的新变化 要防范电算化会计信息系统下内部控制的风险,首先要清楚IT环境下对会计内部控制产生了哪些变化和影响。 首先是责任主体多元化。会计部门的组成人员从原来由财务、会计专业人员组成,发展到由财务、会计专业人员、计算机专业人员、计算机数据处理系统的管理人员和相关管理人员组成。使原有的会计内控主体范围扩大,责任延伸。 其次是企业内控点复杂化。在电算化下传统的账证核对、账账核对、账表核对、银行对账等工作已失去原有的控制意义。这些工作均由计算机按程序即时完成。这些程序化的内部控制的有效性取决于应用程序的完善与正确,如果应用程序发生差错,计算机尚不具有人所特有的对不合逻辑事项的判断和处理能力,出了问题难以发现。 第三是内控范围扩大化。随着电子商务的发展和企业信息化进程的加快,目前财务软件的X络功能已经包括:远程报账、远程报表、远程审计、X上支付、X上催账、X上报税、X上采购、X上销售、X上银行等。尤其是ERP理念及系统的运用,使得计算机、X络不再是工具,而是内控的对象,内控不仅仅是会计信息,而是整个企业的物流、资金流、信息流的集合。以上功能的实现必将促使会计的内控的链条发散、延长,由此引起内控范围扩大。 第四是控制载体的数字化。电算化系统的数据处理与存储都呈现高度集中的特点和趋势,储存在计算机磁性介质上的数据容易被篡改,甚至可以不留痕迹,未经授权的人员可能通过计算机和X络浏览全部数据文件,复制、伪造、销毁企业重要的数据等,使数据安全性降低。计算机犯罪具有很大的隐蔽性和危害性,增加了电算化会计系统的内部控制的难度和复杂性。 另外,昔日应由会计人员处理的有关业务事项,现在可能由其他业务人员在终端机上一次完成;昔日应由几个部门按预定的步骤完成的业务事项,能集中在一个部门甚至一个人完成等等。所有这一切都会对电算化会计系统内部控制的内容与环境产生很大的影响。 二、IT环境下企业内控的控制点分析 研究企业内控的控制点就要分析和了解IT环境下的各类可能发生舞弊的现象,以便针对性地提出遏制内控风险的措施。IT环境下的舞弊体现于“研发→应用→维护”的全过程及“程序自身与软件操作”的全方位。 (一)研发阶段的内控风险剖析 在我国,目前大多数电算化会计软件都是用户与软件开发人员合作完成的,合作中一是理解不到位,程序不完备,二是人为给程序留下作假的空隙。如:预留“活动天窗”或预留“秘密人口”等。活动天窗是一种由计算机会计系统程序编制人员有意安排的指令语句,是对计算机应用系统的一种调试手段,即在密码中加进空隙,以便于日后增加密码并使之具有中期输出能力。有些不道德的程序员为了以后损害计算机系统,会有意留下天窗。预留“秘密入口”是指在程序中设立一个秘密的未说明的进入程序模块的入口方法,这个秘密的入口即为陷阱,设立这一“秘密入口”的意图是在系统正式投入运行之后,能让设立陷阱的程序员有访问系统的人口,尤其是会计办公的X络化使这些意图的实现成为可能。 (二)应用阶段的内控风险剖析 在使用软件时,所涉及的内控点主要在输入、输出和调试的岗位上。 1.“授权弱化”下软件调用及修改 应用软件操作的内控主要是用“授权”方式实现的,若授权密码泄漏或未经授权的人冒名顶替进入系统,就可能非法调用信息或篡改程序,以达到他们犯罪的目的。这种现象多发生在操作员职业警惕性差和内控松散的情况,这会给电