计算机信息系统下的内部控制

一、内部控制在计算机信息环境下给审计带来的挑战

 

在计算机技术不断发展和普及的智能时代，会计信息化已成为企业管理的必然趋势。与传统的手工会计相比，计算机在财务信息处理方面具有明显的优势。数据处理的速度和精度使信息会计系统能够迅速适用于企业的经营管理。然而，先进的计算机方法推动了审计手段的改进，但使用计算机欺诈、欺诈和审计风险的可能性显著增加。面对传统的商业风险和财务风险，管理者还必须面对信息风险对企业生存和发展的挑战

 

长期以来，由于计算机会计信息系统不被普遍接受，内部控制措施模糊，审计方法不当，内部审计人员只能使用传统的手工会计审计方法，内部控制审计效果不好，不能保证会计信息系统的安全。因此，提高内部控制的认知水平，加强对其内涵和技术的研究，重视内部控制的审计仍然是当前会计信息化和审计领域的一个重要课题。

 

计算机信息系统下会计实施电算化后，会计工作职能划分、权责关系、核查关系、会计文档管理形式等会计业务关系发生了显著变化。因此，过去的一套内部控制制度将难以适应新模式下的会计管理，迫切需要建立与时俱进、高效严谨的内部控制体系。同时，会计信息化给内部控制审计带来了新的挑战。

 

二、计算机信息系统下的内部控制

 

（1）计算机信息系统下的内部控制是什么？

 

传统的内部控制是指经济单位和各组织在经济行为中建立的相互制衡的业务组织模式和职责分工制度。

 

1994年财政部发布的《会计软件基本功能规范》对会计软件在输入、处理、输出和安全四个方面提出了标准化要求，实际上涉及内部控制问题，即会计信息软件应实现的实际控制。1999年7月1日正式生效的《独立审计具体标准第2号——计算机信息系统环境下的审计》是首次涉及计算机信息系统内部控制的审计规则。计算机信息系统下的内部控制是被审计单位的组织管理控制、应用系统开发维护控制、计算机操作控制、系统软件控制、数据和系统控制等一系列控制的总称。

 

（2）计算机信息系统内部控制的分类

 

美国执业会计师协会第三号《审计准则公告》、《国际审计准则》第二号和《独立审计具体准则》第二号将计算机会计内部控制分为一般控制（Generalcontrols）与应用控制（Applicationcontrols）将前者定义为两类:1、电子数据处理的组织与使用计划；2、记录、审批、测试和许可系统或程序的设计、开发和变化；3、设备内部制造商的控制；4、控制数据文件和接触设备；5、控制其他影响系统运行的数据和指令程序。该公告将应用程序控制定义为输入控制、数据处理控制和输出控制。

 

对于上述分类方法，我们认为从很多方面来看，都有值得讨论的领域。内部控制的分类首先要有明确的概念，同时要区分控制主体，这样才能明确划分责任。因此，我们认为它应该分为两类：管理系统控制和过程系统控制。包含系统和软件的计算机软硬件就是我们所说的程序系统。程序系统控制是通过软件自身功能完成的内部控制机制，主要包括数据输入、内部处理、信息输出、数据传输和系统安全保护控制。软件开发部门是程序系统控制的负责人，客户不负责。管理制度控制一般以管理制度的形式进行，主要包括组织、操作、维护和数据保管。当然，管理系统控制可以进一步分为环境控制（或基本控制）和实时控制（或控制），组织、维护和数据保存属于环境控制的范围。显然，控制系统的制定和实施与计算机程序系统无关，而应归责于会计软件的使用单位。这种分类方法的主要特点是分类清晰，易于理解，控制措施与控制主体一致，责任明确，促使各方面了解他们应该做什么。