财会系统开发的内部控制
来源: 胡仁昱
2002-11-01
普通
财会信息系统开发过程中的内部控制是为了防止系统在开发过程中可能出现的错误和偏差,以保证系统的内部控制和审计线索,使系统的每一项设计都合理、正确。为此,可以从以下几方面入手:
1.组织控制。
组织控制的目的主要是减少电子数据处理部门发生错误和舞弊行为的可能性,其原则是不相同职责不能由相同的人员或部门来承担。在系统从建立、运行起的整个生命周期中,可根据职能划分为两个专职部门:一个是系统开发部门,承担系统的研制和维护工作;另一个是系统应用部分,负责日常会计处理工作。系统开发人员和系统应用人员要严格分开,切忌交叉使用,特别要禁止系统开发人员使用系统,因为他们对系统采用的控制技术、保密措施和系统结构非常了解,可以很容易地不留痕迹地修改系统中的数据。
2.软件的安全保密措施。
电算化会计系统中的各层处理应层层设防、严加防范,既要防止操作失误造成的数据破坏,又要防止有意的数据破坏。进入系统时要设置一个基本的口令,防止无关人员的非法进入;系统中的各个子系统各个模块也要设置相应的口令,防止无权人员的非法操作;在系统中建立“操作日志”,记录所有人员对系统的所有操作,包括操作时间、操作方式、查询和修改的数据等,系统一旦出现问题可据此找相关人员进行核查。且同时维护必须经过严格的审批手续,财务应采取各种措施,防止程序文件被非法修改。所有的软件文档资料、数据结构形式、程序说明书和源程序清单均应按机密文件管理。
3.输入控制。
系统所处理的原始数据是由操作人员通过键盘输入的,“输入垃圾,输出垃圾”,说明输入过程的控制非常重要,因此在输入每一个原始数据时都应根据该原始数据的特点加入适当的控制功能,以保证数据的准确性。例如:输入记账凭证可采用借贷平衡校验和数据有效性校验以确保输入金额的准确性;设置会计科目代码库保证输入的会计科目正确;输入销售发票时可通过检验输入的金额是否等于数量乘以单价来检验其准确性;另外还可采用二次输入、校验码控制、手续控制等来保证输入数据的准确性。
4.处理控制。
处理是由计算机系统程序指令执行的内部功能,包括数据验证、计算、比较、合并、排序等内部处理活动。数据处理是否准确,其结果是否可靠,在很大程度上依赖于输入数据的正确性和可靠性以及应用程序的合理性。但即使这些方面有了保证,仍然可能会出现一些问题,如用错文件、事务处理不完整、用错记录、程序逻辑错误、处理非法数据等,因此必须设置处理控制措施。可进行文件标签检验:即检查文件的内部首签(即文件的第一条记录,包括文件的名称、文件号、建立日期以及其它的识别密码等),判断是否为所需文件;检查文件的内部尾签(即文件的最后一条记录,包括文件的记录书、控制总数等内容),判断所有的数据是否都已处理完毕;数据合理性检测,检查得到的结果是否在合理有效的范围内;计算检查,根据某些数据之间的关系进行交叉汇总检验等。在系统开发时都应把这些控制措施加入到程序指令中,以进行处理过程的自动控制。
5.输出控制。
企业会计电算化以后,将产生大量输出信息,包括打印的资料、存储在磁盘中的资料和通过传输设备传送的资料。虽然输入控制和处理控制已经基本上保证了会计数据的准确性,但是这仍然不能保证数据输出是完全正确的,因此还有必要设置数据输出的控制。输出控制是应用中最后一道控制措施,其目的是为了防止信息资料的输出遗漏、数据篡改和机密泄漏。因输出结果都是有用的信息,在输出过程中出现以上任何一种情况,都可能给企业带来财务上和经营上的重大损失。例如,若企业的现金打印系统在打印支票时,遗漏其中某张支票,造成该账款过期未付,使得企业在丧失折扣或被处罚金的同时,自身信誉受损。又如,有关的成本核算资料是企业的绝密文件,一旦被非法输出,将造成无法估量的损失。因此,企业必须高度重视电算部门的信息输出控制。目前在我国,大多数企业的信息资料在输出阶段主要是以打印机打印的印刷体形式出现。存储在磁盘中的资料和传输设备传送的资料到达最终用户时,一般也要打印出来以供阅读。输入磁盘或进入传输的信息资料的准确性和安全性一般采用处理控制措施。
1.组织控制。
组织控制的目的主要是减少电子数据处理部门发生错误和舞弊行为的可能性,其原则是不相同职责不能由相同的人员或部门来承担。在系统从建立、运行起的整个生命周期中,可根据职能划分为两个专职部门:一个是系统开发部门,承担系统的研制和维护工作;另一个是系统应用部分,负责日常会计处理工作。系统开发人员和系统应用人员要严格分开,切忌交叉使用,特别要禁止系统开发人员使用系统,因为他们对系统采用的控制技术、保密措施和系统结构非常了解,可以很容易地不留痕迹地修改系统中的数据。
2.软件的安全保密措施。
电算化会计系统中的各层处理应层层设防、严加防范,既要防止操作失误造成的数据破坏,又要防止有意的数据破坏。进入系统时要设置一个基本的口令,防止无关人员的非法进入;系统中的各个子系统各个模块也要设置相应的口令,防止无权人员的非法操作;在系统中建立“操作日志”,记录所有人员对系统的所有操作,包括操作时间、操作方式、查询和修改的数据等,系统一旦出现问题可据此找相关人员进行核查。且同时维护必须经过严格的审批手续,财务应采取各种措施,防止程序文件被非法修改。所有的软件文档资料、数据结构形式、程序说明书和源程序清单均应按机密文件管理。
3.输入控制。
系统所处理的原始数据是由操作人员通过键盘输入的,“输入垃圾,输出垃圾”,说明输入过程的控制非常重要,因此在输入每一个原始数据时都应根据该原始数据的特点加入适当的控制功能,以保证数据的准确性。例如:输入记账凭证可采用借贷平衡校验和数据有效性校验以确保输入金额的准确性;设置会计科目代码库保证输入的会计科目正确;输入销售发票时可通过检验输入的金额是否等于数量乘以单价来检验其准确性;另外还可采用二次输入、校验码控制、手续控制等来保证输入数据的准确性。
4.处理控制。
处理是由计算机系统程序指令执行的内部功能,包括数据验证、计算、比较、合并、排序等内部处理活动。数据处理是否准确,其结果是否可靠,在很大程度上依赖于输入数据的正确性和可靠性以及应用程序的合理性。但即使这些方面有了保证,仍然可能会出现一些问题,如用错文件、事务处理不完整、用错记录、程序逻辑错误、处理非法数据等,因此必须设置处理控制措施。可进行文件标签检验:即检查文件的内部首签(即文件的第一条记录,包括文件的名称、文件号、建立日期以及其它的识别密码等),判断是否为所需文件;检查文件的内部尾签(即文件的最后一条记录,包括文件的记录书、控制总数等内容),判断所有的数据是否都已处理完毕;数据合理性检测,检查得到的结果是否在合理有效的范围内;计算检查,根据某些数据之间的关系进行交叉汇总检验等。在系统开发时都应把这些控制措施加入到程序指令中,以进行处理过程的自动控制。
5.输出控制。
企业会计电算化以后,将产生大量输出信息,包括打印的资料、存储在磁盘中的资料和通过传输设备传送的资料。虽然输入控制和处理控制已经基本上保证了会计数据的准确性,但是这仍然不能保证数据输出是完全正确的,因此还有必要设置数据输出的控制。输出控制是应用中最后一道控制措施,其目的是为了防止信息资料的输出遗漏、数据篡改和机密泄漏。因输出结果都是有用的信息,在输出过程中出现以上任何一种情况,都可能给企业带来财务上和经营上的重大损失。例如,若企业的现金打印系统在打印支票时,遗漏其中某张支票,造成该账款过期未付,使得企业在丧失折扣或被处罚金的同时,自身信誉受损。又如,有关的成本核算资料是企业的绝密文件,一旦被非法输出,将造成无法估量的损失。因此,企业必须高度重视电算部门的信息输出控制。目前在我国,大多数企业的信息资料在输出阶段主要是以打印机打印的印刷体形式出现。存储在磁盘中的资料和传输设备传送的资料到达最终用户时,一般也要打印出来以供阅读。输入磁盘或进入传输的信息资料的准确性和安全性一般采用处理控制措施。