一、對計算機會計內部控制的再認識
西方對計算機會計內部控制的研究大概始於70年代,美國執業會計師協會(AICPA)和EDP審計人員協會從1974年開始先後發表了一系列研究報告或相關的審計準則,國際會計師聯合會(IFAC)也在80年代制訂了幾個有關計算機審計的準則。這些文告或準則一方面肯定了計算機處理對內部控制的影響,強調加強內部控制及其審計的必要性;另一方面則比較一致地將內部控制分為一般控制和應用控制兩大類,並據此制定了一套EDP控制標準。
我國財政部1994年釋出的《會計核算軟體基本功能規範》,集中在輸入、處理、輸出和安全四個方面對會計軟體提出規範性要求,實質上涉及的都是內部控制的問題,即會計軟體系統所應該實現的控制。而首次涉及計算機會計系統內部控制的審計法規則是1999年7月1日生效的《獨立審計具體準則第20號-計算機資訊系統環境下的審計》。
顯然世界各國審計機關對計算機處理環境的內部控制問題都有相當的重視,進行了非常深入的研究。既肯定了計算機處理環境對內部控制的影響,又研究了加強控制的措施,還探討了審計內部控制的方法。但是,事物總是發展的,隨著計算機技術的日新月異,尤其是電子商務和網路財務的出現,前述的這些研究已經顯得蒼白。我們認為,當前對內部控制的研究存在三個問題:一是對廣域網路環境下會計系統的內部控制缺乏研究,二是對內部控制的分類欠科學,三是不少控制措施以及對內部控制的符合性測試方法脫離實際。下面將就這些問題展開討論。
二、網路會計給內部控制提出了新課題
網路財務戰略一經提出就獲得社會的普遍認同,成為業界關注的焦點,引發人們對網路環境下財務與企業管理的思考。網路財務的最閃光之處是通過Internet實現多種遠端處理和支援電子商務,而這恰恰給會計內部控制出了難題。
我們知道,電子商務和遠端處理必然要求會計系統的進一步開放與資料共享,而開放與共享將增加安全控制的難度,資訊保安、資金安全都將成為內部控制的焦點。安全威脅既來自企業內部工作漫不經心的員工,也來自心懷不滿的職員、外部黑客以及競爭對手。因為網上交易公開化程度較高,操作人員和資訊使用者干預系統的機會增大,再加上使用的是公用通訊線路,系統面臨的安全隱患也必然增多,從而增大企業經營的風險。例如,不法之徒可能利用網路及安全管理的漏洞窺探使用者口令或電子賬號,冒充合法使用者作案,篡改資料庫內容以竊取資產;利用網路遠距離竊取企業的商業祕密以換取錢財,或利用網路傳播計算機病毒以破壞會計資訊系統,甚至摧毀網路節點;此外,由於電子商務處理經濟業務的原始記錄以電子憑證的方式存在和傳遞,不法之徒通過改變電子貨幣賬單、銀行結算單等,就有可能轉移財產的所有權。
有鑑於此,網路財務必須實現以下控制目標:
1、對遠端操作的控制,即實現對遠端記賬、報賬、查賬、製表、審計以及網上報稅等操作的安全控制。
2、對網上支付的控制,即保證支付資訊的機密、支付過程的完整、交易雙方的合法身份以及互操作性,實現安全支付。
3、對電子憑證的控制,即控制電子憑證的正確收發、真偽確認、安全傳遞和格式轉換等問題。
以上控制既涉及技術層面,也涉及政府立法和企業內部的制度建設。在技術上要採用公開密匙加密、電子數字簽名、電子信封、電子證書等技術,加強對網上輸入、輸出和傳輸資訊的合法性、正確性控制,在企業內部網與外部公共網之間建立防火牆,對外部訪問實行多層認證。在法律上建立電子商務法律法規,規範網上交易、支付、核算行為,並制定網路財務準則和相應的內部控制制度。沒有網路安全,就沒有網路財務。
三、關於內部控制的分類
美國執業會計師協會第3號《審計準則公告》、《國際審計準則》第20號以及我國《獨立審計具體準則第20號》,都把計算機會計內部控制分為一般控制(General controls)和應用控制(Application controls)兩大類,並將前者定義為:(1)電子資料處理的組織和操作的計劃;(2)對系統或程式的設計、開發和變動的記錄、稽核、測試和批准;(3)由製造商在裝置內部所設定的控制;(4)對接觸裝置和資料檔案的控制;(5)對系統的執行有影響的其他資料和指令程式的控制。公告把應用控制定義為輸入控制、資料處理控制和輸出控制。
但是,我們認為這種分類方法從其名稱和內涵來看,都有值得商榷的地方。
1、定義缺乏邏輯性
分類是一種手段,目的是便於人們對事物的理解或認識,但這種分類方法並未達到這個目的。首先從其名稱來看,分類標準不明確,甚至可以說用的不是同一個標準。因為人們往往習慣於將“一般”來區別“特殊”,而將“應用”與“基礎”、“理論”或“系統”等概念相對應。所以將問題分為“一般”和“應用”在邏輯上是不清晰的,實際上不少問題既是“一般”問題,又屬“應用”範疇。
2、兩類控制的內涵不明
分類標準的模糊性帶來控制內涵不明,到底哪些方面的控制屬於一般控制,哪些屬於應用控制,人們只能根據強加於人的“定義”來理解。兩類控制常常交叉,例如資料輸入既因涉及輸入而屬於應用控制,又因涉及組織和操作而屬於一般控制的範疇。又如,對輸出資料的保管、操作許可權的識別這樣一些控制措施,到底屬於一般控制還是屬於應用控制,人們從字面上就很難區別。此外有些文獻還把對經濟業務的完整性、有效性、合理性的審查和控制,作為資料處理控制的內容,使控制措施的歸屬變得更為含混不清。
3、企業控制的任務不明確
這種分類方法混淆了執行控制的主體,即兩類控制中人們難以明確哪些是企業應該做的,哪些是軟體開發商的責任。我們知道在手工會計中內部控制都是通過人來執行的,但在計算機會計中除了人這個執行控制的主體之外,許多內部控制方法卻要通過計算機系統尤其是會計軟體才能實現。例如,應用控制中的輸入控制,既包括了用規章制度約束操作人員以保證輸入資料的正確,又要靠系統自身的容錯功能來識別和糾正輸入資料的錯誤,前者是制度問題而後者則是計算機程式問題。在輸出控制中也存在類似的問題,對輸出的許可權和完整控制應該是軟體系統的責任,而輸出資料的確認和保管則是會計人員的責任。
我們認為內部控制的分類既要概念清晰,又要區分控制的主體,以便明確責任,為此,建議將內部控制分為管理制度控制和程式系統控制兩大類。其中程式系統指計算機軟硬體系統,主要是網路系統和會計軟體。程式系統控制主要是靠軟體本身功能來實現的內部控制機制,以實現系統的自我保護,主要包括資料輸入、內部處理、資訊輸出、資料傳輸和系統安全保護控制。程式系統控制的責任者是軟體開發部門,使用者不應負有責任。而管理制度控制一般是以管理制度的形式實行的,主要包括組織、操作、維護和資料保管等方面。我們也可以進一步將管理制度控制分為環境控制(或基礎控制)和操作控制(或應用控制)兩類,組織、維護和資料保管都屬於環境控制的範疇。顯然制度的制訂和執行與計算機程式系統無關,而是會計軟體使用單位的責任。這種分類法的優點是分類標準明確,容易理解,而且實現控制的措施和控制的主體是一致的,責任分明,企業方面容易清楚自己應該怎麼辦。
四、關於內部控制措施及審計
我們接觸到的幾乎所有教科書或文獻,不僅將內部控制分為一般控制和應用控制,而且演繹和解釋具體控制措施以及內部控制的審計方法時往往脫離實際,形式繁瑣,又不突出控制重點,主要存在以下問題:
1、無法實現或不合理的控制措施
在對內部控制措施的羅列中,有許多是無法實現或者是不合理的要求。例如,要求在會計軟體中“安裝一個聯機審機控制器,用來收集審計人員感興趣的資料”,要求在程式中設定斷點以控制“主檔案金額數、記錄計數、前一程式指令序號”,“每一個操作執行結束後應有一份列印輸出”,通過使用“雙重運算、逆運演算法”檢查錯誤等等,都是不合理的甚至根本就無法實現的措施。又如對會計軟體系統的開發控制和審計是否合理,也是值得商榷的。
2、無需過問的控制措施
有許多控制措施是計算機系統的最基本的功能,並非為會計所設定,審計人員是無需過問的。例如,硬體的冗餘檢驗、奇偶校驗、回聲檢驗,作業系統的錯誤處置、程式保護、檔案保護,這些控制都是計算機系統所必備的功能,不應該將它們納入會計內部控制的範疇,也不應該成為審計的內容。其實對許多系統保護措施審計人員也無從瞭解,更談不上審計。
3、對內部控制的審計內容繁瑣
許多文獻對內部控制審計方法的介紹不僅內容空洞繁瑣,而且空談許多無法實現的審計方法,嚴重脫離實際,使審計人員不得要領,抓不住審計的重點。例如,對系統軟體的測試是完全沒有必要的,因為系統軟體一般都比較可靠,而且不會對會計軟體系統的安全造成威脅。此外,對會計軟體的測試方法中許多方法從技術上看是不可行的,從成本效益原則上看也是不合算的。例如,程式流程圖檢驗法、程式程式碼檢查法都要求審計人員去閱讀程式程式碼以確定會計軟體的控制措施是否滿足,這確實是一種天方夜譚的設想。又如所謂圖示法要求“利用監督程式來測定被測試程式中哪些指令執行過,哪些指令未曾動用”,也是很不現實的方法。
鑑於以上原因,我們認為當前應該全面檢討內部控制的措施一方面通過制訂《會計軟體基本功能規範》進一步明確會計軟體公司的責任,規範會計軟體產品的程式系統在資料輸入、處理、輸出、傳輸和安全保護的控制功能;另一方面則應通過制訂會計基礎工作規範,明確推行會計電算化的單位的控制責任,規範必要和切實可行的控制措施。
五、應該重視對內部控制的審計
在相當長的時間裡由於人們對計算機會計系統比較陌生,內部控制措施不明確,審計方法不得要領,所以審計人員只得沿用對手工會計的審計方法,很少能夠對內部控制進行有效的審計,漏洞較多,不足以確保會計系統的安全。因此,提高對內部控制的認識,加強對其內涵和技術的研究,重視對內部控制的審計,仍是當前會計電算化和審計領域的一個關鍵課題。一般情況下審計人員的責任主要不是審計計算機和會計軟體系統的內部控制措施,而是審計應用單位制訂的內部控制制度是否健全和真正有效執行。計算機硬體和系統軟體無需審計人員去審計,而會計軟體系統的輸入、處理、輸出和安全控制功能則應由專家去評審。我國過去對會計核算軟體的兩級評審制度,其實質就是對會計軟體內部控制功能的審計.