第一篇:论计算机会计的内部控制及其审计
论计算机会计的内部控制及其审计
一、对计算机会计内部控制的再认识
西方对计算机会计内部控制的研究大概始于70年代,美国执业会计师协会(AICPA)和EDP审计人员协会从1974年开始先后发表了一系列研究报告或相关的审计准则,国际会计师联合会(IFAC)也在80年代制订了几个有关计算机审计的准则
。这些文告或准则一方面肯定了计算机处理对内部控制的影响,强调加强内部控制及其审计的必要性;另一方面则比较一致地将内部控制分为一般控制和应用控制两大类,并据此制定了一套EDP控制标准。
我国财政部1994年发布的《会计核算软件基本功能规范》,集中在输入、处理、输出和安全四个方面对会计软件提出规范性要求,实质上涉及的都是内部控制的问题,即会计软件系统所应该实现的控制。而首次涉及计算机会计系统内部控制的审计法规则是1999年7月1日生效的《独立审计具体准则第20号-计算机信息系统环境下的审计》。
显然世界各国审计机关对计算机处理环境的内部控制问题都有相当的重视,进行了非常深入的研究。既肯定了计算机处理环境对内部控制的影响,又研究了加强控制的措施,还探讨了审计内部控制的方法。但是,事物总是发展的,随着计算机技术的日新月异,尤其是电子商务和网络财务的出现,前述的这些研究已经显得苍白。我们认为,当前对内部控制的研究存在三个问题:一是对广域网络环境下会计系统的内部控制缺乏研究,二是对内部控制的分类欠科学,三是不少控制措施以及对内部控制的符合性测试方法脱离实际。下面将就这些问题展开讨论。
二、网络会计给内部控制提出了新课题
网络财务战略一经提出就获得社会的普遍认同,成为业界关注的焦点,引发人们对网络环境下财务与企业管理的思考。网络财务的最闪光之处是通过Internet实现多种远程处理和支持电子商务,而这恰恰给会计内部控制出了难题。
我们知道,电子商务和远程处理必然要求会计系统的进一步开放与数据共享,而开放与共享将增加安全控制的难度,信息安全、资金安全都将成为内部控制的焦点。安全威胁既来自企业内部工作漫不经心的员工,也来自心怀不满的职员、外部黑客以及竞争对手。因为网上交易公开化程度较高,操作人员和信息使用者干预系统的机会增大,再加上使用的是公用通讯线路,系统面临的安全隐患也必然增多,从而增大企业经营的风险。例如,不法之徒可能利用网络及安全管理的漏洞窥探用户口令或电子账号,冒充合法用户作案,篡改数据库内容以窃取资产;利用网络远距离窃取企业的商业秘密以换取钱财,或利用网络传播计算机病毒以破坏会计信息系统,甚至摧毁网络节点;此外,由于电子商务处理经济业务的原始记录以电子凭证的方式存在和传递,不法之徒通过改变电子货币账单、银行结算单等,就有可能转移财产的所有权。
有鉴于此,网络财务必须实现以下控制目标:
1、对远程操作的控制,即实现对远程记账、报账、查账、制表、审计以及网上报税等操作的安全控制。
2、对网上支付的控制,即保证支付信息的机密、支付过程的完整、交易双方的合法身份以及互操作性,实现安全支付。
3、对电子凭证的控制,即控制电子凭证的正确收发、真伪确认、安全传递和格式转换等问题。
以上控制既涉及技术层面,也涉及政府立法和企业内部的制度建设。在技术上要采用公开密匙加密、电子数字签名、电子信封、电子证书等技术,加强对网上输入、输出和传输信息的合法性、正确性控制,在企业内部网与外部公共网之间建立防火墙,对外部访问实行多层认证。在法律上建立电子商务法律法规,规范网上交易、支付、核算行为,并制定网络财务准则和相应的内部控制制度。没有网络安全,就没有网络财务。
三、关于内部控制的分类
美国执业会计师协会第3号《审计准则公告》、《国际审计准则》第20号以及我国《独立审计具体准则第20号》,都把计算机会计内部控制分为一般控制(Generalcontrols)和应用控制(Alicationcontrols)两大类,并将前者定义为:(1)电子数据处理的组织和操作的计划;(2)对系统或程序的设计、开发和变动的记录、审核、测试和批准;(3)由制造商在设备内部所设置的控制;(4)对接触设备和数据文件的控制;(5)对系统的运行有影响的其他数据和指令程序的控制。公告把应用控制定义为输入控制、数据处理控制和输出控制。
但是,我们认为这种分类方法从其名称和内涵来看,都有值得商榷的地方。
1、定义缺乏逻辑性
分类是一种手段,目的是便于人们对事物的理解或认识,但这种分类方法并未达到这个目的。首先从其名称来看,分类标准不明确,甚至可以说用的不是同一个标准。因为人们往往习惯于将“一般”来区别“特殊”,而将“应用”与“基础”、“理论”或“系统”等概念相对应。所以将问题分为“一般”和“应用”在逻辑上是不清晰的,实际上不少问题既是“一般”问题,又属“应用”范畴。
2、两类控制的内涵不明
分类标准的模糊性带来控制内涵不明,到底哪些
方面的控制属于一般控制,哪些属于应用控制,人们只能根据强加于人的“定义”来理解。两类控制常常交叉,例如数据输入既因涉及输入而属于应用控制,又因涉及组织和操作而属于一般控制的范畴。又如,对输出资料的保管、操作权限的识别这样一些控制措施,到底属于一般控制还是属于应用控制,人们从字面上就很难区别。此外有些文献还把对经济业务的完整性、有效性、合理性的审查和控制,作为数据处理控制的内容,使控制措施的归属变得更为含混不清。
3、企业控制的任务不明确
这种分类方法混淆了执行控制的主体,即两类控制中人们难以明确哪些是企业应该做的,哪些是软件开发商的责任。我们知道在手工会计中内部控制都是通过人来执行的,但在计算机会计中除了人这个执行控制的主体之外,许多内部控制方法却要通过计算机系统尤其是会计软件才能实现。例如,应用控制中的输入控制,既包括了用规章制度约束操作人员以保证输入数据的正确,又要靠系统自身的容错功能来识别和纠正输入数据的错误,前者是制度问题而后者则是计算机程序问题。在输出控制中也存在类似的问题,对输出的权限和完整控制应该是软件系统的责任,而输出资料的确认和保管则是会计人员的责任。
我们认为内部控制的分类既要概念清晰,又要区分控制的主体,以便明确责任,为此,建议将内部控制分为管理制度控制和程序系统控制两大类。其中程序系统指计算机软硬件系统,主要是网络系统和会计软件。程序系统控制主要是靠软件本身功能来实现的内部控制机制,以实现系统的自我保护,主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。程序系统控制的责任者是软件开发部门,用户不应负有责任。而管理制度控制一般是以管理制度的形式实行的,主要包括组织、操作、维护和资料保管等方面。我们也可以进一步将管理制度控制分为环境控制(或基础控制)和操作控制(或应用控制)两类,组织、维护和资料保管都属于环境控制的范畴。显然制度的制订和执行与计算机程序系统无关,而是会计软件使用单位的责任。这种分类法的优点是分类标准明确,容易理解,而且实现控制的措施和控制的主体是一致的,责任分明,企业方面容易清楚自己应该怎么办。
四、关于内部控制措施及审计
我们接触到的几乎所有教科书或文献,不仅将内部控制分为一般控制和应用控制,而且演绎和解释具体控制措施以及内部控制的审计方法时往往脱离实际,形式繁琐,又不突出控制重点,主要存在以下问题:
1、无法实现或不合理的控制措施
在对内部控制措施的罗列中,有许多是无法实现或者是不合理的要求。例如,要求在会计软件中“安装一个联机审机控制器,用来收集审计人员感兴趣的资料”,要求在程序中设置断点以控制“主文件金额数、记录计数、前一程序指令序号”,“每一个操作运行结束后应有一份打印输出”,通过使用“双重运算、逆运算法”检查错误等等,都是不合理的甚至根本就无法实现的措施。又如对会计软件系统的开发控制和审计是否合理,也是值得商榷的。
2、无需过问的控制措施
有许多控制措施是计算机系统的最基本的功能,并非为会计所设置,审计人员是无需过问的。例如,硬件的冗余检验、奇偶校验、回声检验,操作系统的错误处置、程序保护、文件保护,这些控制都是计算机系统所必备的功能,不应该将它们纳入会计内部控制的范畴,也不应该成为审计的内容。其实对许多系统保护措施审计人员也无从了解,更谈不上审计。
3、对内部控制的审计内容繁琐
许多文献对内部控制审计方法的介绍不仅内容空洞繁琐,而且空谈许多无法实现的审计方法,严重脱离实际,使审计人员不得要领,抓不住审计的重点。例如,对系统软件的测试是完全没有必要的,因为系统软件一般都比较可靠,而且不会对会计软件系统的安全造成威胁。此外,对会计软件的测试方法中许多方法从技术上看是不可行的,从成本效益原则上看也是不合算的。例如,程序流程图检验法、程序代码检查法都要求审计人员去阅读程序代码以确定会计软件的控制措施是否满足,这确实是一种天方夜谭的设想。又如所谓图示法要求“利用监督程序来测定被测试程序中哪些指令执行过,哪些指令未曾动用”,也是很不现实的方法。
鉴于以上原因,我们认为当前应该全面检讨内部控制的措施一方面通过制订《会计软件基本功能规范》进一步明确会计软件公司的责任,规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能;另一方面则应通过制订会计基础工作规范,明确推行会计电算化的单位的控制责任,规范必要和切实可行的控制措施。
五、应该重视对内部控制的审计
在相当长的时间里由于人们对计算机会计系统比较陌生,内部控制措施不明确,审计方法不得要领,所以审计人员只得沿用对手工会计的审计方法,很少能够对内部控制进行有效的审计,漏洞较多,不足以确保会计系统的安全。因此,提高对内部控制的认识,加强对其内涵和技术的研究,重视对内部控制的审计,仍是当前会计电算化和审计领域的一个关键课题。一般情况下审计人员的责任主要不是审计计算机和会计软件系统的内部控制措施,而是审计应用单位制订的内部控制制度是否健全和真正有效执行。计算机硬件和系统软件无需审计人员去审计,而会计软件系统的输入、处理、输出和安全控制功能则应由专家去评审。我国过去对会计核算软件的两级评审制度,其实质就是对会计软件内部控制功能的审计.
第二篇:浅谈会计内部控制制度审计
浅谈会计内部控制制度审计
会计内部控制制度审计是指,为了保护公司财产和保证会计数据准确可靠而采取的对各种资产管理办法、财务收付手续等具体措施是否健全有效、会计处理办法和程序是否正确合理而进行的审计。
会计内部控制制度审计的目的在于检查内部控制制度是否健全有效,公司在执行业务活动时是否遵守了内部控制的程序和原则,确定会计信息的可靠性和制度的优缺点,从而确定审计的重点。通过审计,可以揭示管理中存在的问题并提出审计意见,进一步完善内部制度,是“对内部控制制度进行控制”。
一、会计内部控制审计的内容
会计内部控制审计的内容主要包括:组织结构控制、授权批准控制、会计系统控制、预算控制、财产保全控制、人员素质控制、风险控制、内部报告控制、电子信息系统控制等。
(一)组织结构控制审计。检查公司是否执行不想容职务相分离的原则,是否合理设置内部机构,科学划分职责权限,形成相互制衡机制。
(二)授权批准控制审计。检查是否明确规定授权批准的范围、权限、程序、责任等相关内容,单位内部各级管理层是否在授权范围内办理经济业务。
(三)会计系统控制审计。检查是否依据《会计法》和国家统一的会计制度等法律依据,制定适合本单位的会计制度,明确会计凭证、会计账簿和财务会计报告的处理程序,并实行会计人员岗位责任制,建立严密的会计控制系统。
(四)预算控制审计。检查预算编制、预算执行、预算分析、预算考核等环节的管理状况,明确预算项目,建立预算标准,规范预算的编制、审定、下达和执行程序,及时分析和控制预算差异,采取改进措施,确保预算的执行。
预算内资金是否实行责任人限额审批,限额以上资金是否实行控制预算外支出。
(五)财产保全控制审计。测试为保护财产的完整和安全所采取的各项控制措施,了解是否未经授权的人员对财产的直接接触,是否采取定期盘点、财产记录、账实核对、财产保险等措施。
(六)审计人员素质控制审计。测试会计人员是否具有本岗位的工作能力,是否理解自己的工作职责和权限,并能以高度责任感来履行职责;检查会计部门是否建立和实施科学的聘用、培训、考核、奖惩、晋升、淘汰等制度,是否经常检查和评价每个人的工作。
(七)风险控制审计。检查公司是否针对各个风险控制点建立了有效的风险管理体系,通
过风险预警、风险识别、风险评估、风险报告等措施,对财务风险和经营风险进行全面防范
和控制。
(八)内部报告控制审计。检查公司是否建立和完善了内部报告管理制度,全面反映经济
活动情况,及时提供业务活动的重要信息,增强内部管理的时效性和针对性。
(九)电子信息系统控制审计。检查公司是否运用电子信息技术建立控制系统,减少和消
除人为控制的影响,确保内部控制的有效实施;是否加强对电子信息系统的开发与维护、数
据输入与输出、网络安全等方面的控制。
二、会计内部控制评价
(一)是检查和评价内部控制系统的健全性。它是对照管理制度规定或实际工作需要,审
查单位及其各个系统应该建立的控制环节和控制点,是否已建立起来并进行检查和评价。如
果各个系统的控制环节和控制点是齐全的,则应当认为该单位的内部控制环节是健全的。但
是,各个系统的控制环节特别是控制点的“齐全”是个不易量化的概念,内部控制系统的健
全性,是个需要争取的目标,只有经过不断的探索和改进,才能趋于实现这个目标。
(二)是检查和评价内部控制系统的合理性。这里关键在于检查和评价单位极其各个系统
按照管理制度的规定或者实际工作的需要,所建立的控制点有无过多或过少,甚至不必要的情形;或者应当建立若干控制点,而管理制度中未能考虑的,在实际工作中也未建立的情形;
或者管理制度要求建立某些控制点,但不符合单位的实际情况,因而在实际工作中无法执行的情形;或者已经建立起的控制点中存在人员分工、职责不够清楚的情形等。
(三)是检查和评价内部控制系统的有效性。它是对单位及其各个系统的控制环节和控制
点,在实际工作中是否发挥了控制作用所进行的检查和评价。
三、会计内部控制审计的方法
(一)进行健全性测试和评价
健全性测试和评价,是对本单位的内部控制系统的健全程度和合理性所进行的测试和评
价,通常采用以下方法:
1.调查记述法。运用这种方法进行测试,审计人员应当全面审阅单位的管理制度和有
关资料,并在此基础上通过与有关的各个系统、各级管理人员和职工交谈,或到现场观察、召开座谈会等方法,了解掌握各系统、各层次和分支机构的经济业务处理程序和关键控制点的控制情况,如职务分离、授权批准、工作负荷、分工协作、相互制约、履行职责、行使职
权、业务手续等情况,并将了解掌握的情况用文字记录下来,以备分析评价之用。
2.绘制流程图法。它是用图示的方法直观地反映单位内部控制系统中的经济业务处理
程序和关键控制点的情况。
3.制发调查表法。为调查了解单位及其所属单位的内部控制系统的健全制度、合理状
况和各个控制环节与控制点强弱乃至失控等情况,按照规范化的设想,事前设计并印制调查
表,分发有关人员进行调查。
审计人员在利用上述方法对内部控制系统的健全程度和合理性进行了必要的审阅和调
查工作之后,通过整理调查资料,统计调查结果,按照检查和评价的要点,对单位及其各个
系统的内部控制的健全、合理状况,做出初步分析和评价。
(二)进行符合性测试和评价
审计人员在对内部控制系统的健全性和合理性进行测试并做出初步评价后,还应当有重
点地进行符合性测试,即进一步检验在实际工作中是否按照规定的程序和方法办理经济业
务,特别是关键控制点是否存在并有效地发挥了控制功能。进行符合性测试一般采用下列方
法:
1.重复检查。审计人员重复业务人员已经完成的某些业务处理,以验证是否正确,同
时检查这些经济业务是否按照规定的程序和要求执行,各有关控制点是否发挥了控制功能。
2. 证据检查。审计人员检查有关凭证单句,查证留在上面的有关控制的证迹。
3. 实地观察。审计人员到业务处理现场察访业务人员执行内部控制制度情况。
4. 会谈。与被审计单位领导和职工会谈,了解他们对控制目标的理解和操作程序的掌
握情况。
当符合性测试达到所要求的程度后,可对测试结果进行分析评价,进一步确认其可信性
和可依赖程度,看在哪些方面能够依赖内部控制,哪些方面不能依赖内部控制,并提出改进
内部控制的建议,为确定下一步审计的重点提供依据。
四、会计内部控制审计的作用
(一)作为辅助手段,内部控制制度审计所起的作用。
1. 被审计单位内部控制初步评审,确定抽查审计的重点,提高审计工作效率。
现代审计一般采用抽查审计的方法,但抽查哪些内容,重点审计什么,需要审计人
员作出职业判断。在实际工作中,每展开一个审计项目,首要的任务就是编制审计方案,确定审计重点。然而,在没有进驻被审计单位时,这些工作只是“纸上谈兵”,往往在进驻被审计单位时、初步了解内部控制情况后,会根据内控制度的薄弱环节重新确定审
计重点,调整审计方案。事实上,只有以内控制度评审为起点,找出审计的切入点,才
能有的放矢,圆满完成审计任务。
2. 通过内控制度审查,确定被审单位会计信息的可信赖程度。
我们知道,一定期间的财务会计信息,能综合反映企业这段时间的经营活动的过程
和结果。审计要对财务报告发表意见,就必须了解会计信息的可靠程度,而会计信息的可靠与否往往取决于经济业务的处理、记录方法是否恰当,而这些处理和记录的质量,又在很大程度上依赖于内部控制的健全有效。
3. 为其他审计项目的审计评价和建议提供依据。
内控制度有着非常丰富的内涵,是企业管理层为了保证生产和工作的顺利进行,保护财产物资的安全、会计信息的真实、财务活动的合法,以及为保护方针政策的贯彻
实施。利用内部分工和内部牵制制度而采取的一系列措施。这些措施如何,执行好坏,直接影响企业的经营成果,而开展审计工作离不开对经营成果的认定或经济责任的评价
和界定。一般来说,健全的内部控制可以防止和发现重大差错,而建立和健全内部控制
是单位负责人的基本职责。因此,在开展经济责任审计时,对内控制度的审查就成为评
价和界定单位责任人经济责任的依据。如果一个单位没有内控制度或内控制度失灵,致
使单位问题较多甚至出现舞弊现象,则该单位负责人应对整个单位的损失负直接责任,如果该单位内部控制健全,出现问题就可依据岗位职责分清责任归属。另外,在开展财
务收支审计时,对内控制度的审查评价也经常成为分析被审单位经营管理状况并提出恰
当建议的依据。
(二)作为专题项目,内控制度审计所起的作用。
1.通过内控制度审计,发现管理中存在的薄弱环节,提出管理建议,有助于完善企
业的内部控制,提高企业管理水平。
内控制度专题审计是把内部控制的健全有效作为审计内容,而内部控制既包括管
理控制又包括会计控制,几乎所有的管理活动都可看作是控制系统的内容,特别是规模
大、经济活动复杂的企业,内控制度所涉及的面就更宽。所以,审计人员在对内控制度
进行审计时,必须重点审计财务管理制度、物资管理制度、供销管理制度。审计时应抓
住关键控制点,即风险较高的领域。同时,审计人员还应对影响内控制度执行效果的各
种因素进行分析。内控制度执行的好坏受诸多因素影响,或是管理层原因,或是执行者
素质的原因,或是利益冲突等,这些因素会使表面上非常完善的内控制度也常常流于形
式。因此,审计人员应按照客观性原则,通过内控制度审计揭示出内部控制中存在的弊
端,并对内部控制的实际运行效果进行评价,提出整改建议,使管理当局了解内部控制
受到威胁的各种因素,从而对症下药,完善内控制度,提高企业管理水平作用。
2.通过开展内控制度审计,促进内审事业的发展。
内部审计作为内控制度的一部分,它的作用是帮助管理层监督控制各管理点,提
醒管理者注意内部控制各环节的强弱。随着时间的推移,经营活动会不断发生变化,原
本完善的内部控制也可能逐渐失效,也需要内部审计着眼未来,找出各种完善的措施和
途径。实践证明,内部审计如果能在控制制度实施之前就检查所设计的控制,较早地发
现问题和解决问题,就能避免可能发生的损失,真正起到服务的作用,会比查出许多违
纪问题更受管理者欢迎。
总之,内控制度审计作为辅助手段,能帮助审计人员确定工作重点,提高工作效率,发表恰当的审计结论,为审计评价提供依据;作为专题项目,能促使企业加强管理,提
高经济效益。
五、内控制度审计中存在的偏颇看法
在实际工作中,有人往往将内控制度审计与规章制度审计混为一谈,主要表现在:
(一)有的同志认为,内控制度审计就是规章制度审计,就是对规章制度的检查,以至
把通常所说的“抓管理要从抓规章制度入手”理解为就是“从抓规章制度入手”。
从而使管理的力足点过于向规章制度倾斜,对内部控制建设却未予重视,成为企
业管理工作中的一个薄弱环节。
(二)也有人把引发经济案件的缘由统统归咎于有章不循、违章操作上,而对内控系统
失控却被忽略。纵观许多经济案件,我们能否从内控制度的运作中找到漏洞和原
因呢?譬如会计人员仿造了凭证,而作为内部牵制的复核岗如能胜任控制职能,则不会“案”发。反之,则会使不良人员有机可乘。事实上,类似的经济案件已
屡见不鲜,而对其抑制不力,内控制度审计做得不够应该是主要原因之一。
(三)内控制度审计与规章制度审计既有联系又有区别,内控制度审计涵盖的内容远比规
章制度审计广泛。因此,把内控制度审计和规章制度审计有效结合起来,方能达到
标本兼治的目的。
六、内控制度审计未来的发展方向
(一)随着会计电算化的普及和推广,会计电算化内部控制审计已迫在眉睫。在审计进点
前应对被审计单位的会计电算化系统有个基本了解,包括被审计单位使用的会计软件是否
通过评审和审批。同时收集资料,了解有关部门对会计电算化工作的规划和要求,进而制
定审计方案,确定审计人员分工。
(二)审计进点后用要求被审计单位提供下列资料:电算化工作的基本情况、电算化业务的内部控制情况、替代手工记账的有关批复和试运行工作档案、系统软件和应用软件文档
资料等。
(三)请被审计单位介绍计算机会计核算方面的应用情况和使用效果,并实地观摩和模拟
操作,询问有关问题。
(四)采用问卷调查法按照实现设计好的《会计电算化内控制度审计调查表》,就被审计
单位电算化系统硬件、软件及各类人员的组织控制、维护控制、运行控制等方面进行问答,找出关键控制点和薄弱环节,以做出初步评价。
(五)对审计过程中掌握的情况进行整理分析,找出薄弱环节,形成审计报告,向管理当
局提出合理可行的审计建议。
内部控制涉及到管理的各个方面,外延很广,搞好内控制度审计,对内审人员既是
挑战更是机遇。迎接挑战,内部审计的前景就会更加光明。
第三篇:内部控制审计(定稿)
关于……公司的审计报告
(一)审计概况:为了……,我们对公司……进行了专项审计,旨在自我评价,完善公司内部控制及财务核算,使之符合相关法规准则及公司内控制度的要求。我们的审计目标是测试……内部控制方面是否存在漏洞,各关键控制点在实务工作中是否得到有效执行。审计涉及的期间是20 年 月 日至20 年 月 日。审核的范围包括……等方面。
第四篇:论电算化会计信息系统的内部控制
论电算化会计信息系统的内部控制
【摘 要】在知识经济时代,会计实行电算化成为必然趋势。但随着会计电算化的应用,原有的内部控制已无法适应会计电算化信息系统的要求,迫切需要进行改进和完善。综上所述,加强和完善电算化环境下的内部控制制度,逐步建立以会计电算化为核心的计算机管理信息系统,实现信息资源共享,提高信息质量和使用效率,具有重要的现实意义。
【关键词】会计电算化 信息系统
现代信息技术在会计领域的应用和发展,预示着会计技术手段必将由会计电算化发展到会计信息化,并进一步跨越到会计信息处理智能化阶段。由此,会计的内部控制系统也应该随着电算化的发展而相应地完善起来,特别在整个网络技术强大的整体下,我们必须紧跟其后,完善我们日趋壮大的会计领域。
一、电算化会计信息系统的背景
随着电子信息产业的不断发展,会计电算化在社会经济中的运用越来越广泛。我国的电算化事业起步比较晚,人们的思维观念还未充分认识到电算化的意义及重要性。多数单位电算化都是应用于代替手工核算,仅仅是从减轻会计人员负担、提高核算效率方面入手,根本未认识到建立完整的会计信息系统对企业的重要性,使现有会计提供的信息不能及时、有效地为企业决策及管理服务。
二、电算化会计信息系统的状况
会计信息系统审计是计算机技术和计算机会计发展的结果,它对审计部门的审计工作大大影响,同时也产生了一些问题。会计信息系统并没有改变审计的目标和基本原则,但是改变了目标所应用的审计技术和方法,对审计工作提出了新的发展要求。关键在,审计套计管理系统信息化计算机应用知识经济和信息技术的高速发展.推动全球进人了信息社会时代。这个时代的显著特征之一就是:IT技术被广泛应用于社会的各个领域,成为社会发展的重要支柱。我国非常重视审计工作应用高新技术,开展网上远程审计和经营风险预警建设。会计信息系统对审计部门的审计工作产生了重大影响。因此对计算机会计信息系统的电子数据处理的审计方法的应用自然就成了一门集会计、审计和计算机网络通讯技术综合一体的边缘学科——会计信息系统。
会计信息学是一个特殊的领域,由有着不同背景和训练水平的个体组成。我国会计人员的素质直接影响会计行为及其结果,加速加强会计人员的素质控制,是保证内部会计控制作用成否的关键。我国的会计信息化正经历着人才和技术的挑战,如何培养一批既懂会计又懂管理、既有会计信息化知识又能解决实际工作中存在问题的高素质复合型人才。
三、加强电算化会计信息系统的重要因素
随着会计电算化信息系统的普及与发展,内部控制中的新问题和新课题将不断出现。对电算化会计风险的深入研究,必将使在会计电算化下形成新的会计理论和方法得到进一步完善和发展,也使得电算化会计信息系统环境下的内部控制制度不断地调整、改善,真正做到保证会计信息的真实性、完整性和可靠性,为企业做出正确的决策提供有效的信息,给企业创造良好的会计效益。如何管理、完善、正确规范电算化会计内部控制体系是我们当前需要面对的,需要及时解决的问题。在电算化系统运行过程中,制定及规范信息系统内部控制的法规、准则是完善内部控制的重要因素。也因此,在加强电算化信息系统的内部控制的具体方案中,制定、管理及监督都起着极其重要的全面控制作用。随着电算化会计信息系统的发展壮大,我们也必须着重从几个方面来加强对信息系统的内部控制:
(一)系统的开发控制系统的开发是一种预防性控制,目的是防止电算化系统开发阶段的错误和偏差,确保系统开发过程及内容符合内部控制的要求和有关标准。开发系统前,要进行有效的可行性研究,使系统的每项设计都等满足单位的会计工作要求,并能适当满足单位发展前景的要求;系统开发过程中还要留下审计线索,以保证日后审计工作的需要。会计信息系统技术的先进性往往是扩展性的保证。核算中心的软硬件系统应能保证两年后系统不落伍,且能适应核算中心未来发展的需要,具有良好的扩展性。因此在期初规划时,网络设备接口、服务器负荷、工作站点数等方面都留有余地,以免将来业务扩大,系统无法扩展。
(二)电算化会计信息系统的应用控制
电算化会计信息系统的应用控制是指影响系统特定用途的控制,即为适应会计处理的特殊要求而建立及实施的控制。应用控制是一般控制的深化,可以在一般控制的基础上,直接深入到具体的业务数据处理,为数据处理的准确性、完整性和可靠性提供最后的保证。
(三)系统数据差错的安全重要性
在电算化会计信息系统环境下,会计数据无论是形态还是结构发生了变化,这对会计数据的真实性、有效性和完整性都造成了威胁,一旦出现舞弊行为,后果将是严重的和难以发现的。目前,在会计工作实践中,电算化会计信息系统内部控制存在的问题主要表现在以下3个方面。
1.数据的安全性差
手工会计系统中数据的处理和储存都分散于各个不同的部门和人员,而电算化系统的突出特点是会计数据处理的自动化、集中化,因此给数据安全带来了一定的威胁。在电算化实践中,一部分单位虽然设置有不同的财务分工,却往往是一个操作员身兼数职,可以以不同的身份进入系统进行不同的操作,这样,财务分工的控制就名存实亡。未经授权的计算机专业人员可以利用计算机技术和网络技术轻易地浏览各种数据文件,造成会计机密数据被泄漏。会计数据文件大量地保存在磁性材料中,一旦发生火灾、水灾、盗窃之类的事件,就可能使全部数据丢失和毁损;同时磁性材料对外界环境的要求比较高,要防火、防水、防磁和防尘,对环境温度也有一定要求,因此增加了数据的脆弱性。
2.差错的反复性和严重性
手工会计系统中数据处理环节分散于多个部门、多个员工,一个部门或人员的差错往往可以在下个环节发现和纠正。所以,一般情况下一定时间内差错重复发生的可能性不大,发生重大差错的可能性也不大。电算化系统数据处理自动化、集中化,再加上计算机运行的高速性、程序运行的重复性,使得处理结果一旦发生错误,往往就会在短时间内迅速蔓延,造成多种数据文件、账簿及整个系统的会计数据失真,并且可能使系统出现反复性差错。因此,电算化会计信息系统数据输入、数据处理各环节和系统硬件设施等方面都需要加强控制。
3.管理和监督的有效性差
会计电算化的单位必须建立完善的电算化管理制度,有些单位虽然建立了内部管理制度,但职权不明显的原则严重影响到电算化会计信息系统的管理及监督,我们应该利用系统特有的加密功能防患于网络将带给会计信息系统的隐患。
参考文献:
[1]姚瑶.会计电算化有关问题的探讨[J].中国新技术新产品,2009,(01):151.[2]陈丽平.电算化会计信息系统内部控制研究[J].煤,2009,(02).[3]赵玉成.浅谈铁路运输会计电算化过程中的风险控制[J].中国新技术新产品,2009,(02):154.
第五篇:内部控制审计实施办法
****分公司 内部控制审计实施办法
第一章 总 则
第一条 为了规范公司内部控制审计,提高审计工作效率,保证审计工作质量,根据中国****股份有限公司企业标准《内部控制审计规范》和****分公司《关于内部审计工作的规定》,结合公司内部控制审计工作的具体情况,制定本办法。
第二条 内部控制是公司为了保证信息资料的可靠性和完整性,保证遵循政策、计划、程序、法律和法规,保护资产安全,经济、有效地利用资源,以及保证完成所制定的经营计划任务或目标,使各项业务活动正常、有效进行而在内部设立的管理控制程序。
第三条 内部控制审计是审计人员对被审计单位内部控制的健全性、符合有效性及科学合理性所进行的测试与评价。
第四条 内部控制审计既可以作为独立的审计项目组织实施,用以完善内部控制,也可以作为实施其他审计项目的一个程序或方法,以便确定对其依赖程度和进行实质性测试(即审计)的范围、重点及方法,提高审计工作效率和质量,减少审计风险。
第二章 内部控制的范围、措施及方式
第五条 内部控制的范围指与被审计单位经济活动或审计事项有关 1 的控制制度,一般分为:
1.内部财务会计控制:针对财务会计信息的完整、真实的控制,包括为保证会计信息的正确性、财务收支的合法性,以及维护财产物资的安全与完整而采取的有关组织、分工、程序、方法和标准等方面的控制。
2.内部经营管理控制:针对经营管理活动过程的控制,包括为保证经营决策、方针和政策的贯彻执行,保证经济活动的经济性、效率性和效果性,以及实现经营目标而采取的有关组织分工、程序、方法和标准等方面的控制。
第六条 内部控制的措施有:
1. 预防性控制:为防止错误和舞弊的发生而采取的控制; 2. 检查性控制:把已经发生和存在的错误检查出来的控制; 3. 纠正性控制:对那些由检查性控制查出来的问题的控制; 4. 指导性控制:引导或促使期望发生的有利结果实现而采取的控制;
5. 补偿性控制:针对某些环节的不足或缺陷而采取的控制。第七条 内部控制的方式包括:
1. 组织机构控制:通过对内部组织机构的设置、分工,明确划分职责范围而形成的控制制度。
2. 责任分工控制:通过确定不同工作岗位任务、责任和权限,以及对不相容岗位职务进行分离、分工而建立的控制制度。
3. 业务程序控制:通过制定有关经济业务处理程序和操作规范 2 而进行的控制。
4. 授权批准控制:对经济业务处理进行一般授权审批和特殊授权审批方面的控制。
5. 计划预算控制:在经营计划、财务预算等方面对经济活动的控制。
6. 会计质量控制:为保证经济活动信息真实、准确、公允、可靠,确保财产安全、完整和保值、增值而采取的控制。
7. 人员素质控制:对业务经办人员思想品质、业务技术和工作能力与其所担任的控制责任是否相符的控制。
8. 内部审计控制:通过设立内部审计机构和人员,对单位内控制度及经营活动进行监督、鉴证、检查和评价而实施的再控制。
第三章 审计的内容和依据
第八条 内部控制审计的内容是对构成内部控制的财务会计控制及经营管理控制的各要素进行测试与评价。
内部控制审计内容包括:内部控制健全性检查评价;内部控制符合有效性测试;内部控制合理科学性综合评价;内部控制实质性测试。
第九条 内部控制健全性检查评价,是通过检查被审计单位现有的内部控制制度,评价各项业务系统应设置的控制环节和控制措施是否齐全完整,各个控制环节的控制功能是否达到内部控制的设计要求,是否适应本单位的特点和管理需要,能否起到应有的控制作用。
第十条 内部控制符合有效性测试,是在内部控制健全性检查评 3 价基础上,测试被审计单位有关经济业务活动的运行与相关内部控制的符合程度,评价各控制措施在实际经济活动中是否得到贯彻执行,是否取得了应有的效果。
第十一条 内部控制合理科学性综合评价,是对被审计单位内部控制设置的合理性、科学性,控制的有效性、适度性,以及能否保障企业经营目标的实现和规范化管理进行的总体评价。
第十二条 内部控制实质性测试,是指审计人员为了检查被审计单位具体经济业务信息、数据的真实性、合法性、正确性和完整性,对被审计单位的财务会计报告及相关资料项目金额进行的实证性审核检查。
第十三条 内部控制审计依据:
1.进行内部控制的健全性检查评价,应当依据规定的管理规则和模式,并考虑是否与被审计单位的生产经营规模及特点、管理机制、管理层次相适应。
2.进行内部控制符合有效性测试,应当依据被审计单位制定的内部控制制度。
3.进行内部控制实质性测试,应当依据国家有关法律、法规和股份公司及分公司有关规定。
第四章 审计程序、方法和要求
第十四条 审计人员对内部控制进行审计时,应遵循中国****股份有限公司企业标准《内部审计规范》规定的审计工作基本规范。通常 4 按下列程序进行:首先进行内部控制健全性检查,这包括调查内部控制和描述内部控制,并进行初步评价;然后进行内部控制符合有效性测试、内部控制实质性测试和内部控制综合评价。
第十五条 内部控制制度健全性检查及初步评价的审计程序包括:
1.调查内部控制:
① 审前或进驻被审计单位后,审计人员应通过查阅组织系统图,收集、审阅和分析被审计单位各项有关的规章制度、业务处理程序和人员职责分工等资料,以及向有关部门和人员进行调查,了解和掌握被审计单位内部控制情况。
② 审计人员对被审计单位内部控制进行调查时,应当考虑被审计单位业务规模、复杂程序、控制类型和控制程序等,恰当地确定调查范围。
③ 审计人员对被审计单位的控制现状进行调查时,应当关注被审计单位的控制环节、控制执行凭证、控制执行记录形式和控制程序运用的连续性。
2.描述内部控制:
① 将被审计单位或审计事项的内部控制运行情况通过文字叙述或流程图等书面形式重新描述出来,以供测试和评价。
② 根据现有内部控制描述有关业务的运行流程和控制点,再根据理想模式和专业判断,着重描述应设立的控制点,特别是关键控制点设立情况。
③ 审计人员对被审计单位的内部控制进行调查时,可采取下列方法进行描述:文字叙述法,即用文字说明内部控制;调查表法,即利用预先编制的表格形式,通过回答回答表格中设计的提问,来说明内部控制;流程图法,即以图解形式,运用符号说明内部控制。
3.内部控制健全性检查,是根据对被审计单位内部控制的调查和描述,分析和评价已建立的内部控制与其生产经营规模、特点、管理机制、管理层次的适应情况、覆盖程度,以及业务处理程序控制中应该设立的各项控制点是否设立,各项控制措施是否齐全、完整。
4.检查、评价内部控制的健全性,应当考虑下列因素:控制措施存在与否;存在的控制程序是否准备执行,有无可操作性;是否存在失控环节;失控的性质和原因;失控对控制系统的影响;审计方案对内部控制的依赖程度;内部控制的局限性。
5.符合有效性测试的重点是:对内部控制的执行记录、制约职能分工、操作状况等,这些有助于确定内部控制执行情况和有效程度。
第十六条 内部控制符合有效性测试一般采用审计抽样证据检查、重复检查、实地观察等方法,其内容包括:
1.业务测试:针对业务控制程序,在确定审计的业务系统中,选择若干笔业务,沿着规定的业务处理程序进行穿行测试,观察、检查制度中规定的各项控制措施(即控制点,特别是关键控制点)在实际经济活动中的执行情况。
2.穿行测试:既可采取顺查法,也可采取逆查法,重点是检查在这些事项的业务处理过程中,各控制环节的处理手续是否按规定办 6 理,内部控制是否按规定发挥了作用。
3.功能测试:针对业务控制程序中的关键控制点,选取若干笔业务,检查各项控制措施在实际工作中的运用效果。
第十七条 对被审计单位的内部控制进行实质性测试,应按照审计工作程序的有关规定,采取检查、监盘、观察、计算、分析性复核、查询及函证等审计方法,对被审计单位财务会计报告及相关资料项目金额进行实证性审核检查。
第十八条 对内部控制进行综合评价重点是以下几个方面: 1.内部控制的适用性、科学性,即被审计单位所设立的内部控制,是否有利于促进股份公司进一步深化改革、搞好持续重组,有利于调动全体员工的积极性,有利于大力推进科技进步和技术创新,增强公司的发展动力,以及促进股份公司完善全面预算管理,实行低成本战略,其满足性、最优性和适度性如何。
2.各项控制措施方面存在的缺陷对相应的控制点的影响及控制点方面存在的缺陷对各项业务系统内部控制的影响,揭示可能产生的后果。
3.对被审计单位内部控制的系统性、牵制性、协调性进行整体的分析与评价。
4.针对被审计单位内部控制所存在的缺陷、薄弱环节,建议从哪些方面进行完善和加强。
第十九条 对内部控制进行综合评价的要求:
1.要突出重点,着重评价与审计事项有密切管理的内部控制及与 7 审计目标和范围有关的业务控制;
2.评价既要着眼于内部控制是否能够起到保护财产、防止弊端的作用,又要看其是否能够保证和促进经济业务活动的顺利进行;
3.对内部控制的评价及提出的建议、措施应明确、具体,针对性强。
第二十条 对被审计单位内部控制进行健全性检查初步评价后,是否进行符合有效性测试,应当根据实际情况确定。一般比较健全、完善的控制制度,才对其进行符合有效性测试。审计人员对被审计单位内部控制进行健全性检查中,出现下列情况之一时,可不进行符合有效性测试,而直接进行实质性测试:
1.相关内部控制不存在;
2.相关内部控制虽然存在,但并未有效运行,或存在严重弊端; 3.易于发生错弊的业务环节,存在固有风险,以及控制风险高的业务;
4.符合性测试的工作量可能大于进行符合性测试所减少的实质性测试的工作量;
5.对被审计企业规模小的,不进行符合性测试,直接实施实质性测试程序。
第二十一条 审计人员确定对内部控制的可依赖程度时,应保持应有的职业谨慎,重点关注可能存在的构成内部控制局限性的主要因素为:
1.内部控制的设计和运行受制于成本与效益原则;
2.内部控制一般仅针对常规业务活动而设计; 3.控制程序可能因管理部门无视其存在而失效;
4.即使是设计完善的内部控制,也可能因执行人员的粗心大意、精力分散、判断失误以及对规定的误解而失效;
5.内部控制可能因有关人员相互勾结、内外串作弊而失效; 6. 内部控制可能因执行人滥用职权或屈从于外部压力而失效; 7. 内部控制可能因经营环境、业务性质的改变而削弱或失效。第二十二条 内部控制审计如作为独立审计项目,应按规定编写审计报告,书写审计意见书;如作为进行其他审计的一个程序或方法时,可将测评结果在有关审计工作底稿或审计报告中予以反映。
第五章 附 则
第二十三条 本办法由审计监察处负责解释。第二十四条 本办法自公布之日起实施。
点击咨询 