2022年电算化财务会计与内部控制管理知识分析审计

1、电算化会计信息系统的内部控制与审计一、电算化会计信息系统的内部控制二、一般控制三、应用控制四、内部控制的评价五、电算化审计一、电算化会计信息系统的内部控制 所谓内部控制，是指由企业董事会、管理层和全体员工共同实施的对企业生产经营和财务报告产生过程的控制，是为保证企业战略的贯彻、经营的效率效果的完成、 财务报告的可靠性、资产的安全完整以及现行法规的遵循等目的而提供合理保证的过程。 企业内部控制涵盖企业经营管理的各个层次、各个方面和各个业务环节。不同所有制形式、不同组织形式、不同行业、不同规模的企业的内部控制涉及的方面也有所不同。一般来说，内部控制涉及企业生产经营的控制环境、风险评估、控制措施、信

2、息与沟通、监督决策以及自我检测等方面要素，从总体上透视了企业生产经营的各个环节。其有效实施无疑会促使企业生产管理登上一个新台阶，促进企业经营流程的合理化和正规化。内部控制的目标内部控制是为了减低企业风险而设置的，目的就是协助企业达到以下的目标:1） 保证企业各项生产经营活动有序有效地进行。在管理层指令获得遵从的同时，管理层不需过渡参与日常运作。2） 保证会计信息及管理信息的真实性、可靠性和及时性。确保管理层掌握可靠的资讯，以作决策之用。3） 保护企业资产的安全、完整及有效使用。4） 尽量压缩、控制成本、费用，使企业达到更大的盈利目标。5） 预防、控制及查明各种错误和弊端，及时、准确地制定和采取

3、措施。6） 保证企业制定的各项管理方针、制度和措施的贯彻执行。内部控制的作用 内部控制能帮助一个企业达成其绩效及盈利目标，避免意外的发生。内部控制不是直接产生经济效益，而是通过规避控制风险，提高运营效率来为经济效益做保证。内部控制的作用主要表现在：一是保证单位经济活动的合法性；二是保证业务经营信息和财务会计资料的真实性和完整性；三是保护单位各项资产的安全和完整，防止资产流失；四是有助于管理层实现经营方针和目标。 内部控制具有统合的作用、制约与激励作用及促进作用。恰当地运用内部控制，有利于提高会计及其他信息的可信性和可靠性；有利于促进财产安全管理和各种资源的有效使用；有利于减少不必要的开支，提高

4、盈利水平，避免意外风险；有利于保证授权和法定责任的完成；有利于预防和减少差错和舞弊行为。内部控制的基本原则1）合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。2）全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工，在对象上应当覆盖企业各项业务和管理活动，在流程上应当渗透到决策、执行、监督、反馈等各个环节，避免内部控制出现空白和漏洞。3）重要性原则。内部控制应当在兼顾全面的基础上突出重点，针对重要业务与事项、高风险领域与环节采取更为严格的控制措施，确保不存在重大缺陷。4）有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉

5、维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。5）制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求，确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。6）适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求，并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。7）成本效益原则。内部控制应当在保证内部控制有效性的前提下，合理权衡成本与效益的关系，争取以

6、合理的成本实现更为有效的控制。企业内部控制存在的问题 1内部控制制度不健全。目前，有些企业内部控制制度不够全面，没有覆盖所有的部门和人员，没有渗透到企业各个业务领域和各个操作环节，使企业会计工作秩序混乱、核算不实而造成会计信息失真现象极为严重。如不少企业常规票据分管制度、重要空白凭证保管使用制度、会计人员分工中的“内部牵制”原则均没有建立，甚至一些小企业没有正规的财会部门，会计、出纳、审核等事项由一个人包办。原始凭证的取得或填制本身就不合法，以此为依据编制的记账凭证、登记的账薄、出具的会计报表及一系列的会计分析等也就毫无意义。一些企业人为捏造会计数据，设置“小金库”，乱摊成本，隐瞒收入，虚报利

7、润，恶意逃避税收等。究其原因，主要表现为：一、与组织结构有关，二、与制度体系有关，三、与单位负责人有关。部门之间缺乏有效的协调和牵制，往往造成管理脱节，产生漏洞，使人有机可乘。2对内部控制制度认识的片面性。目前，不少企业的管理人员对内控制度的认识存在一些误区，认为内部控制制度就是企业内部成本控制、内部资产安全控制、内部资金控制，即内部会计控制。因此，对内部控制制度的设计停留在内部会计控制上，参与内控管理的也仅仅是财务人员。内部控制制度是企业各个业务部门或人员，在业务运作过程中形成的相互影响、相互制约的一种动态机制，是具有控制功能的各种方式、措施及程序的总称，它绝不等同于规章制度，也不等同于内部

8、管理，更不是组织计划。内部控制要以有效为前提，其关键是作为内控制度主体的经理和员工。由于一些中小企业的经理和员工对内控制度认识上存在偏差，导致企业认识不到内控制度的重要作用，造成企业的管理混乱。 3缺乏有效的监督机制。为了加强监督，我国已形成了包括政府监督和社会监督在内的企业外部监督体系。但如此庞大的监督体系对中小企业的监督效果却不尽人意。有的企业虽然有内部审计，却不能充分发挥其职能。一些企业的业务经办人员、财会人员甚至领导干部利用监督不力的漏洞，大量收受贿赂，大肆侵吞公款，利用虚假发票非法占有企业资金等。 4内控制度行为主体素质较低。近年来，一些企业财会人员的思想教育、业务培训跟不上，一些根

9、本不具备从业资格的人员混进财会队伍，思想素质差，业务一知半解，连正常的会计业务都处理不好，更谈不上内部控制制度的运用。一些企业领导对会计制度、会计准则一窍不通，却目无法规，独断专行，势必给企业造成不可挽回的损失，使本就资金紧张的企业举步维艰。5内部审计职能弱化。内部审计是企业内部控制制度的一个重要组成部分。事实上有不少的中小企业没有设置内部审计机构，即使具有内审机构的企业，其职能也已严重弱化，不能正确评价财务会计信息及各级管理部门的绩效。另外，内部审计机构职能的发挥从很大程度上取决于企业最高层的主观意愿。 信息化背景下企业内部控制面临的挑战 信息化提高了企业内部控制的效率，同时，也改变了企业内

10、部控制的运行环境、控制范围、控制重点和控制方式。这对于原本就在内部控制制度方面不甚健全的中小企业来说，增加了内部控制的难度与复杂性，并带来了新的挑战。1.数据安全性遭遇严峻挑战 在手工会计系统中，原始凭证以纸张作为载体，有签章并留有文字记录，数据一旦被修改就会留下痕迹和线索，修改或伪造的难度很高。企业实施信息化后， 企业内部控制的环境发生了变化，内部控制的重点也由对人的控制转变为对人、计算机、网络等信息设备和环境的控制。在会计信息化系统中，会计信息以各种数据文件的形式记录在磁性存储介质上，这种无纸化的会计资料极易被增删、篡改、伪造或恶意破坏而不留任何痕迹，它弱化了纸质原始凭证所具有的较强的控制

11、能力，为日后会计的跟踪增加了难度。此外，磁盘等存储介质在受到病毒侵扰、保管不当等情况下而发生故障， 极易造成数据丢失，而电子数据一旦受损又很难恢复，造成会计数据的真实性和可靠性无法得到根本保证。 2.身份识别与权限控制难度增加 在手工会计系统中，一项经济业务从发生到形成相对应的会计信息，所经历的每个环节都要求具有相应管理权限的人员签字或盖章，有效地防止了伪造、篡改会计数据等作弊行为。 会计实现信息化后，使原来人与人间的联系部分转为人与计算机系统间的联系，身份识别与权限控制增大了难度。原先的签名或盖章转化为授权文件和口令，口令存放于计算机系统内而不像印章那样由专人保管，一旦口令被人窃取或破译，便

12、会带来巨大隐患，有可能造成企业机密泄漏和会计数据的丢失。此外，会计人员还可能利用特殊的授权或口令，获得某种权利进行非正常的业务处理。如：会计人员被客户收买，窃取口令，非法核销客户的应收款及相关资料，给企业带来巨大损失。 3.内部控制的复杂性凸显 在手工会计环境下， 通常会设置相互牵制的会计岗位，整个会计工作必须按一定的程序完成，并通过会计业务的相互稽核进行控制。例如，前面出现的错误往往可以经过后续工作的审查与复核得以发现并修正。 信息化后，大部分会计处理工作都由计算机自动完成，这种数据处理的集中性使得传统的组织控制功能减弱。一方面，内部控制的程序化使内部控制的有效性更多地依赖于应用程序。不仅容

13、易受到自然灾害、硬件故障、病毒侵袭等各种不良影响，而且如果在这些应用程序中运行存在严重的“漏洞”或恶意的“后门”，就会严重危害系统安全。在专业人员找到或堵上这些漏洞之前，系统还可能会多次重复同一错误，扩大损失。另一方面，信息化使控制对象复杂化。不仅要加强对业务操作人员的制约管理， 还要强调会计人员与计算机维护人员之间的内部牵制；不仅要对输出的纸质资料进行归档管理， 更要加强对电子数据的维护与安全管理。 4.复合型人才普遍缺乏 在传统环境下，会计人员只要懂会计知识，一般就能适应工作。而信息化后，对企业会计人员提出了更高的要求，会计人员不仅要精通会计专业知识，还要熟悉计算机和网络知识。 目前，中小

14、企业的会计机构普遍比较简单，而且从整体上看，会计素质不高，计算机知识薄弱，尤其缺乏专业精、懂管理、掌握一定信息技术、具有灵活性、创造性的“复合型”人才， 这在一定程度上成为信息化背景下实施内部控制的瓶颈。 电算化会计对内部控制的影响 1、操作员身份的识别 2、内部稽核的削弱 3、磁性介质的缺陷 4、系统的脆弱性 电算化会计信息系统内部控制的必要性1、采用计算机处理，会计数据变成以肉眼无法识别的形式存储在磁盘上，从而失去了直观性。同时，计算机系统的透明度较高，因而数据的安全性、保密性等控制变得尤为重要。这就使得电算化会计系统本身必须具备严格的内部控制制度。 2、计算机会计数据的处理是在一个封闭的

15、系统中进行的，会计数据处理的准确性完全取决于应用程序和硬件的可靠程度。因而电算化会计系统必须有在计算机处理方式下的内部控制。 (一)内部控制的分类1依据其所要达到的直接目标，可以分为会计控制(Accounting Control)和管理控制(Administration Control)两类。会计控制是以资产的安全性和会计资料的准确性、可靠性为目标的控制，而管理控制则是以提高经营效率和保证管理方针、政策的实施为目标的控制。 2. 依据控制的预定意图(Intended Use)，可以将其分为预防控制(Preventive Control)、检查性控制(Detective Control)和纠正性

16、控制(Corrective Control)三类。其中预防性控制是为防止不利事件的发生而设置的控制；检查性控制是用来检查、发现已发生的不利事件而设置的控制；纠正性控制，也称为恢复性控制，是为了消除或减轻不利事件造成的损失和影响而设置的控制。也可以将积极性看成是上述三种控制的分类标准。预防性控制是一种积极的控制，它试图在不利事件发生前加以防范，减少出现不利事件的可能性；检查性控制是一种中性的控制：它试图在不利事件发生的同时就能够发现；而纠正性控制则是消极的，它是假定不利事件已经发生，设置一些可以减少不利影响的手段。 3依据信息处理系统的不同，可以将控制分为手工系统控制和计算机系统控制两类，其中计

17、算机系统控制又可依据其不同的处理方式分为批处理控制、联机处理控制、数据库控制和网络控制等。 4. 依据控制所采取的工具或手段，可将控制分为手工控制和程序化控制两类。手工控制是指控制的实施由人手工进行的控制，而程序化控制则是由计算机内部程序自动完成的控制，需要指出，手工控制与手工系统控制，计算机系统控制与程序化控制是两类不同的概念。手工系统控制尽管一般只能采用手工的方式加以实施，但前者的本质在于控制实施的系统背景，而后者则指控制所运用的工具。计算机系统控制，也称电算化系统控制，不一定完全采取程序化的控制。一般而言，计算机系统中仍保留一定程度的手工控制。 5依据控制对象的范围和环境，可将控制分为一

18、般控制(General Control)和应用控制(Application Control)两类。一般控制指对电算化的信息系统构成要素（人、机器、文件）及环境的控制。之所以称为“一般控制”，一方面是因为这些方面的控制措施是普遍适用于某一单位的会计和其他管理信息系统的；另一方面，它们为每一个应用系统提供了环境，它们影响到每项计算机应用的成败，应用控制的强弱只有在一般控制强有力的情况下，应用系统才能有效的运行，应用控制才能起到应有的作用。 一般控制主要包括以下几方面的内部控制：组织控制、操作控制、硬件及系统软件控制和系统安全控制。 应用控制是对电算化信息系统中具体的数据处理活动所进行的控制。应用控

19、制具有特殊性，不同的应用系统有着不同的处理方式、处理环节，因而有着不同的控制问题和不同的控制要求，但是一般地可把它划分为：输入控制；处理控制和输出控制。 一般控制是应用控制的基础，它为数据处理提供了友好的处理环境；应用控制是一般控制的深化，可以在一般控制的基础上，直接深入具体的业务数据处理过程，为数据处理的准确性、完整性和可靠性提供最后的保证。这两类控制是电算化会与审计中常用的分类方法；本书体例上即采用这种分类方法。 上述各种分类方法为深刻理解内部控制的本质提供一定的帮助；但分类不是绝对的，一项具体的控制措施，在不同的时间和背景下，可能属于不同的控制；各种分类方法下的控制种类也可能有一定的交叉

20、，如一项控制可既是应用控制，又同时属于会计控制、预防性控制、程序化控制。（二）电算化信息系统内部控制的重要性 差错的反复发生 数据安全性差 对不合理的业务缺乏识别能力 输人差错的严重性 程序被非法调用篡改 系统现状与用户要求不相适应 （三）电算化信息系统内部控制的特点 控制的重点转向系统职能部门 控制的范围扩大 控制方式和操作手段由人工控制转为人工控制与程序化控制相结合 依据控制的意图预防性控制 用来防止不利条件发生检查性控制 试图在不利事件发生时就能够发现纠正性控制 提供必要的信息帮助调查和纠正已被发现的问题的原因依据控制所采用的手段手工控制程序化控制依据实施控制的部门不同电算化部门控制用户

21、部门控制二、一般控制 一般控制是指对电算化会计信息系统的组织、开发、应用环境等方面进行的控制。其目的是建立对计算机信息系统活动整体控制的框架环境，并对达到内部控制的整体目标提供合理的依赖程序。1、一般控制的具体目标通过一般或特殊的授权规则保证各项活动的开展具备正当的手续负责资产保管人员无权接触记录资产情况的信息处理负责人员不负责执行或批准的经济业务电子数据处理部门内部对不相容职能进行适当分离。电子数据处理部门不能纠正电子数据部门以外的错误通过适当的沟通方法和程序，使数据处理部门和其他部门人员能理解主管人员的一般和特殊授权要求，并保证遵循这些要求。主管人员能够充分地控制授权要求的遵守，以保证违背

22、要求的行为能予以记录、调查和纠正2、一般控制的主要内容组织与管理控制应用系统开发与维护控制计算机操作控制硬件和软件控制系统安全控制系统文档控制组织控制 电算化系统组织控制的基本目标是：电算化系统职能部门的设置、职责分工、人员的招聘、使用与考核应能保证电算化系统中的有关人员正确、有效地履行自己的职责。 在电子数据处理环境下，形成了电算化系统职能部门或小组，简称为系统职能部门，系统职能部门的地位如何，它与业务职能部门的职责分工如何安排，是电算化系统组织控制中首先要研究的问题。 系统职能部门与用户部门的职责分离 系统职能部门内部的职责分离 人员素质保证 领导与监督 （1）组织与管理控制 用于建立对计

23、算机信息系统活动进行控制的组织结构，其基本目标是减少发生错误和舞弊的可能性。其基本要求是权责的划分和职能的分离组织与管理控制的内容电算部门与用户部门的职责分离电算部门内部的职责分离人事控制业务授权（2）应用系统开发与维护控制 系统开发控制是为了保证电算化会计信息系统开发过程中各项活动的合法性和有效进行而设计的控制应用系统开发与维护控制的主要控制措施系统开发标准结构化系统开发方法项目管理编程规则阶段保证系统测试控制系统转换控制新系统批准程序程序变更控制系统文档（3）计算机操作控制 用于控制系统的操作，其目的是通过标准的计算机操作来保证信息处理的高质量、减少差错的发生和未经批准而使用数据和程序的机

24、会。操作控制 操作控制的目的是通过标准的计算机操作来保证信息处理的高质量、减少发生差错和未经批准而使用文件、程序和报表的机会；操作控制是通过制定和执行标准操作规程来实现的。标准的操作规程主要涉及如下方面： 操作计划 机器操作规程 机器功效标准 作业运行规程 控制台记录规程 用机时间记录规程 机房守则 数据文件控制标准 严密的监察 应急措施和物理安全规则 计算机操作控制是通过指定和执行操作规程来实现操作计划机房守则操作规程上机日志记录（4）硬件和软件控制硬件控制 由计算机生产厂家在计算机设备中实现的控制技术和方法。它能自动查出某些类型的错误，而无需程序或操作人员输入任何特殊指令系统软件控制应用软

25、件控制（5）系统安全控制 是指防止影响系统安全的因素危及系统的安全，发现系统中的安全问题，并解决这些问题使系统恢复正常的措施及实施。硬件安全控制程序与数据的安全控制环境安全控制防病毒的软件接触系统系统安全控制的内容系统安全控制 硬件的安全控制 防止末授权的接触 防范自然灾害 防止系统故障 数据的安全控制 接触控制 数据丢失或非法修改的防范 丢失数据的恢复与重建 （6）系统文档控制文档管理制度及安全保密制度3、一般控制的研究、评价的方法与重点采用手工和计算机审计技术给合，以手工方法为主测试的重点是系统开发的测试三、应用控制 应用控制是指对计算机会计信息系统中具体的数据处理功能的控制。其目的是对会

26、计应用建立具体的控制过程，从而确保全部的经济业务都经过授权和记录，并做完整、准确和及时的处理。1、应用控制的内容输入控制计算机处理与数据文件控制输出控制（1）输入控制数据采集控制数据输入控制数据采集控制措施用户部门内部的职责分离标准化的凭证格式制定凭证编制程序凭证审核手续控制凭证更正规程批量控制数据输入可能发生的错误会计科目输入错误借、贷方向输错金额输错对应关系错误数据输入控制措施设置会计科目代码与名称对照文件设置对应关系参照文件顺序校验合理性校验平衡校验人工校验重输入控制（2）计算机处理与数据文件控制控制目的：经济业务由计算机正确地处理经济业务没有丢失或不适当地增加、复制、改动计算机处理的错

27、误被及时地鉴别并改正计算机处理与数据文件控制措施业务时序控制数据有效性检验程序化处理有效性检验错误更正控制账务处理系统中几种特殊处理技术程序化处理有效性检验方法计算正确性测试数据合理性测试交叉汇总检查账务处理系统中几种特殊处理技术余额合理性检查试算平衡检查总帐和明细帐核对检查（3）输出控制目的：计算机处理的输出结果准确无误仅限于经过批准的人员输出结果输出及时地提供给适当的经过批准的人员输出控制的措施输出授权输入过程的控制总数与输出得到的控制总数相核对审校输出结果，检查正确性、完整性将正常业务报告与例外报告中有关数据作分析对比设置输出报告发送登记簿，记录报告发关份数、时间和接受人等事项制订输出错

28、误纠正和对重要数据进行处理的规定2、应用控制的研究、评价和评估方法和重点方法使用者实施的人工控制系统输出控制程序控制重点计算机应用系统处理测试四、内部控制的评价了解与描述计算机会计信息系统内部控制符合性测试内部控制评价1、了解内部控制的方法询问主要管理人员查阅相关文件记录观察业务活动及其运行情况考虑以前审计过程中所了解的相关情况及变化复核以前审计工作底稿2、符合性测试确定符合性测试的顺序确定测试对象确定是否有互补测试选择测试设计测试数据进行测试分析和评价测试结果3、内部控制的评价 在符合性测试后，根据系统应有的内部控制及控制目标对比实际有效的内容控制，对系统的内容控制是否完整有效和可以依赖作出

29、决定。电算化会计信息系统内部控制的方法 1、系统开发过程的控制 (1)开发方法与方式的控制。 (2)对数据的定义和处理程序的控制等。 2、组织控制 （l）部门之间的组织控制。 （2）部门内部的岗位分工控制。 3、应用控制 包括：系统管理员、操作员、复核员、软件维护员、硬件维护等。 4、会计软件维护控制要建立严格的会计软件维护申请、审批、验收管理制度。 5、数据安全保密控制 各种程序文件和重点数据文件要定期备份存档，便于发生故障后能及时恢复。 6、建立健全各项管理制度 主要包括：会计职责划分、操作规程、软硬件管理制度等，以保证会计信息的合法性、适用性、正确性、完整性、真实性。 五、电算化审计朱镕

30、基同志曾经指出：“搞社会主义市场经济，我们手中没有什么直接管理手段，只有靠政策法律的间接管理。这样对信息的依赖性越来越大。要把信息作为生死攸关的一件事情对待”。搞好审计信息的开发利用，对于为地方党政领导宏观决策提供依据，有效发挥审计的监督职能，具有重大意义。1、电算化审计的含义电算化审计一般是指对电算化会计信息系统的审计或指利用电子计算机所进行的审计2、电算化审计的发展绕过计算机审计阶段（只对输入与输出进行审计）通过计算机审计阶段（以计算机为审计对象并进入计算机进行审计）利用计算机审计阶段（以计算机为工具，利用审计软件进行审计）3、电算化信息系统审计的特点以EDP为审计对象；可靠性、合法性、正

31、确性与系统效益是审计的主要目标；既对系统进行事后审计，又进行事前审计；审计工作的系统性、复杂性与技术性。 4、开展电算化审计的意义开展电算化审计是我国审计工作发展的需要（覆盖面、审计内容、信息反馈能力不适应）开展电算化审计是我国会计电算化发展的需要电算化审计将促进我国电算化会计和审计的规范化，加速我国审计技术现代化的进程5、开展电算化审计的目的保护资源的安全保证信息的可靠性维护法纪，保护社会和国家利益促进计算机应用效率、效果和效益的提高促进内部控制系统的完善6、电算化审计的内容内部控制系统的审计系统开发审计应用程序审计数据文件审计 7、电算化会计信息系统对审计的影响审计线索的改变会计系统内部控制的改变审计内容的改变审计技术的改变对审计人员要求的提高（一）对审计线索的影响 审计线索包括凭证、 日记帐 、 分类帐 和报表等。审计人员利用这些资料能够从原始业务开始，逐步