新信息系统下央行国库内部控制问题的探讨
来源:用户上传
作者: 陈梦华 阙传保 陈 颖
摘要:随着包括TCBS及TIPS等国库信息系统的应用,国库业务的操作环境发生了巨大的变化,国库部门所面临的各种风险也有所差异。本文首先对新信息系统内部控制程序设置及新信息系统给国库内部控制带来的影响进行了分析;然后从优化系统内部控制程序设置、强化国库内部控制环境和加强国库业务操作过程三个方面提出完善央行国库内部控制机制的建议,希望能防范并减少国库资金风险的发生。
关键词:新信息系统;国库;内部控制
中图分类号:F832.31;F830.49 文献标识码:A 文章编号:1003-9031(2009)06-0052-04
内部控制是指单位部门为了保证各项业务活动的有效进行,确保资产的安全完整,防止欺诈和舞弊行为,从而实现经营管理目标而制定和实施的一系列具有控制职能的方法、措施和程序,是由控制环境、风险评估、控制活动、信息和交流及监控等五个部分组成的。内部控制的发展大致经历了内部牵制、内部控制系统、内部控制结构和内部控制整体框架等四个阶段。1994年美国注册会计师协会联合其它部门修订并发表的新内部控制报告(COSO报告)标志着内部控制实践进入了整体框架新的发展阶段[1]。
一、完善新信息系统环境下国库内部控制的重要性
新国库信息系统(后文简称新信息系统)包括TCBS、TIPS及地方横向联网系统等体系,该系统是内部控制机制与计算机技术结合的系统,其作用在于促使国库有效地实现国家财政资金的管理目标,确保一切程序符合相关的法令与规章。然而,新信息系统的使用也给国库业务操作带来了诸多的变化。首先,新信息系统的不断完善使数据联网功能在国库业务操作中得以加快应用,国库业务处理流程发生了巨大的变化;其次,新、旧国库信息系统内部控制程序的不同设置改变了国库内部控制的系统环境;再次,新信息系统的使用对国库工作人员提出了更高的要求;最后,新信息系统的应用使国库部门所面临的风险发生了一定的变化,风险控制点产生了转移。
因此,国库新信息系统的推广使用使当前国库的机遇与风险并增,为国库业务的内部控制带来了许多新的问题,国库内部控制在新环境下显得有些落后。为防范并减小国库部门目前所面临的各种风险,保证国库的数据信息能正确、可靠地反映国库活动,保证国家财政资金的安全完整,并提高国库资金管理的效率,完善国库内部控制制度以适应新信息系统的需要就显得尤为重要[2]。
二、新信息系统条件下国库内部控制的现状
(一)新信息系统内部控制程序的设置
1.系统岗位及其职责权限控制设置。岗位及其职责权限控制设置是指国库信息系统内部固定为国库部门设置了多个不能兼容的岗位,并且规定了每个岗位的最大权限。在理论上,岗位与权限控制设置可以使国库部门通过授权的方式对不同岗位或相同岗位的不同操作员的职责权限进行界定,从而实现“职责分离”的内部控制设置原则。
2.系统身份控制设置。身份控制设置是指系统要求系统管理员设置所有操作员进入系统操作的使用代码、登录口令及内置操作员的身份识别密钥,并要求操作员进入系统操作之前,必须对操作员代码、登录口令及密钥进行匹配校对一致。系统身份控制设置可以防止非系统使用人员进入国库信息系统进行操作,保证系统使用人员的合法性,并可以界定操作员的职责权限。
3.系统输入控制设置。输入控制设置是指系统能自动控制输入信息系统的业务数据的正确性,并核查国库业务操作的完整性。系统输入控制设置能有效减少业务操作员的人为失误,并有效确保当日业务处理过程的完整性。
4.报文数据核对控制设置。报文数据核对控制设置是指系统对接收到的联网数据进行成功处理后,会自动把相关信息报文通过网络功能返回给发送数据信息的联网征收单位或预算管理单位进行核对,比如国地税局、海关及财政部门,以达到及时对账的目的。报文数据核对控制设置可对联网数据进行真实性、完整性、准确性的核对控制。
(二)新信息系统对国库内部控制的影响
1.改变了国库的内控环境。新信息系统的使用使国库业务会计核算的环境发生了巨大的变化。一是没有资金岗与明细岗的区别,增加了国库负责人及重要要素复核岗位;二是系统对于国库资金流出的业务操作增设了重要要素复核的岗位操作过程;三是新信息系统岗位设置变化导致国库岗位职责与权限发生变化,加强了操作员的身份认证功能;四是原来很多由人工操作的业务逐渐被计算机所替代,导致国库业务处理程序发生改变,内部控制的关键控制点发生了转移。
2.增加国库的操作风险。新信息系统环境下的内部控制的范围和控制程序较之前的会计系统更加广泛,更加复杂,因此,在业务操作过程中发生各种风险的概率也有所增加。一是系统固有的风险。首先,信息系统的数据全部集中在中心电子数据处理部门,数据的安全存在隐患;其次,各种信息数据通过联网功能进行传输的安全性与完整性也不能绝对保证,数据遗漏等失误有可能会发生;第二,木马的侵入也可能使会计数据信息丢失,且目前发现计算机舞弊和犯罪的难度较之前会计系统会更高。二是国库控制的风险。首先,由于国库信息系统相对完善的控制设置可能使国库人员对计算机自主控制操作的信赖,从而限制了人的审核与控制功能;其次,在某种程度上,密钥代表着系统岗位的操作权限,如果系统操作员对风险意识不高、对系统身份控制不严,可能产生越线、越权的现象;第三,系统的联网功能也增大了国库与其它部门之间核对控制风险,特别是当系统接收数据的源头发生异常时,系统本身不可能对数据失误进行有效控制。三是信息失真的风险。新信息系统的利用使国库信息数据的来源渠道具有多样性,包括联网数据、电子纸质凭证及手工纸质凭证等渠道,从而有可能导致信息数据紊乱或发生误差,加大了信息失真的风险;新信息系统的网络数据传输功能也加剧了信息失真的风险。
3.影响了国库信息沟通的速度与方式。新信息系统的使用使有效的信息交流和反馈机制发生变化,数据信息联网功能与数据的集中使信息沟通的速度更加及时,数据信息的形式更加电子化,数据信息的内容更加详细。熟练掌握新信息系统信息沟通的方式可以加强各级领导对内部管理情况的及时了解,促使各岗位操作员更好地履行相应的职责。
4.加大了内部稽核的难度。新信息系统中简单的核对工作由计算机本身完成,但系统处理的内部原理相对复杂,操作员不仅要具备各种会计原理知识,而且还必须具备复杂电脑资料处理能力及计算机报表阅读理解能力,才能对信息数据进行准确、客观的审核。此外,稽核程序还将大幅增加其查核所需的时间与成本。
三、强化信息系统条件下国库内部控制程序的建议
(一)健全信息系统内部控制程序的设置
国库业务操作在数据输入信息系统后,系统自动按照一定的程序和指令对有关数据进行账务处理。数据账务处理过程是否正确,其结果是否可靠,在很大程度上依赖于系统应用程序的正确性和环境控制的强弱度。为确保这一基础的可靠性,必须完善信息系统的内部控制程序设置功能。
1.完善系统测试控制功能。信息系统初次使用或升级后使用都会使系统面临一个新的运作环境。因此,在推广使用当前信息系统之前或对系统升级之前,必须对系统先进行严格的检查与测试,确保该软件符合各种规定,确保系统的内控程序能符合内控基本原则,确保系统处理结果的真实性和准确性。
2.健全系统不兼容岗位控制设置。新信息系统内的业务操作员岗位设置只有一种类型,没有对业务岗位职责与权限更具体、更明细的划分,单个业务操作员可以拥有对国库全部的业务操作权限。虽然系统对一笔业务录入与复核权限进行了控制,但这种岗位职责未进行明确界定的设置也会增加国库业务舞弊发生的潜在风险。因此,为了使不能兼容的岗位不具有兼容的可能,在系统岗位控制程序设置中必须在坚持职责分离的原则下对业务操作员岗位及岗位职责进行更为严格、更为明细的界定控制。
3.加强身份识别控制功能。在目前的国库信息系统中,密钥控制身份的作用没有得到真正的实现,一个密钥可以同时对系统的全部岗位进行设置,从而使单个人对整个国库业务进行全盘操作存在可能,极大地增加了国库业务操作的潜在风险。因此,必须健全密钥在系统中的控制功能,使其不能用于不兼容的业务岗位,以减少日常国库业务中潜在的操作风险。
4.强化联网数据的系统审核功能。新信息系统的一个优势就是其联网功能,各种收入与支出数据在系统中经国库操作人员接收后会自动转化为会计信息。使得国库人员仅有对联网数据进行接收的权利,而不能对数据的真实性及完整性等进行审核。因此系统必须健全对原始凭证信息密码(条形密码)或数据来源部门操作员身份密钥在系统中的设置,加强联网数据在进入系统后、转化成会计信息前,对其原始凭证信息内容的真实性、合法性进行校对与审核。此外,还应完善系统处理结果信息与数据来源部门信息进行核对的程序设置。
5.优化信息系统报表体系。经过系统处理并生成各种报表后的会计信息可以反映国库业务发生及其操作的情况,而目前系统的报表体系并不完整,查询功能很不健全,限制了对信息的利用。因此,需要健全信息系统的报表体系,加强对收支预算科目明细账的设置,增设相关预算科目的核对报表设置,增设主要税种与附加税种预算科目核对报表,完善主要税种发生额与共享分成数额的核对报表、扩大报表账簿体系的查询范围限制等系统设置。
(二)强化国库内部控制的环境
内部控制环境是由内部组织机构设置、岗位职责权限及其组成成员的素质等因素构成。控制环境影响员工的内部控制意识及控制风险意识,是内部控制活动的基础。
1.完善组织机构设置。国库部门可在会计核算部中将业务操作岗位明细分为收入、退回业务录入及复核操作,支出及退库业务的录入与复核及重要要素复核操作,资金贷记或退汇操作及账务处理操作等岗位。综合部增设数据及报表审计监督岗。此外,国库组织机构设置还应结合国库的实际规模,在坚持成本效益、权责明晰与职责分离、资金流入与流出两条线等原则的基础上灵活设置国库岗位,如将收入录入操作兼任退回录入及支出复核、将支出录入兼任退库录入及收入复核及资金支出或退汇操作、将账务处理兼任各种业务的重要要素复核等进行机构设置。
2.明晰职责划分。内部控制的关键点在于不相容职务的分离,对每一项可能引起舞弊或欺诈的经济业务,都不能由一个人经手到底。对于每个岗位职务,国库部门都应该规定其固定的业务操作职责及权限,使其有业务操作中不能越权、越线。除了系统本身要求的岗位外,国库部门内应设置独立的控制、监督职能岗位,其目的是监督和保证录入原始凭证数据及业务操作程序的准确性,防止任何遗失、疏漏或处理不当。
3.加强人员培训与考核奖励。新系统的内部控制对业务人员的素质提出了更高的要求,在新系统开发阶段和正式推广使用前,国库部门就应对系统使用人员进行业务操作培训。在系统使用过程中,国库部门应对业务人员定期评价、岗位轮换、在职培训,定期对工作人员的表现、成绩和问题进行考核评价,使其业务能力不断适应系统发展的要求。
(三)加强牟国库业务操作过程的控制
国库业务操作过程控制是指国库部门对国库业务操作中的各个环节进行的经常性控制活动,包括加强业务输入控制、完善信息与输出控制、强化相关硬件设施管理控制、加强内部审计控制、建立数据信息与档案管理控制,以及完善系统升级控制等控制程序。
1.加强业务输入控制。新国库系统处理数据不仅有系统联网数据,还包括手工凭证信息。在手工凭证录入系统处理前,必须由相关业务操作员在凭证的形式与内容方面对其进行真实性、合理性与合法性的审查,确保未经批准的业务不能输入系统。在业务处理时按各自的岗位权限与操作规程进行操作,确保操作员严格按照系统授权来落实其岗位的职责和权限,确保其对信息的读入或修改权限控制在特定级别范围之内,禁止操作人员擅自利用别人密钥进入系统进行操作;禁止非法操作员进入系统进行。此外,原始凭证被录入后,复核岗及重要要素复核岗位的操作员应对其进行认真的复核输入,以最大限度地减少国库人工失误的可能性。
2.完善信息沟通与输出控制。对信息沟通与输出进行控制的目的是保证系统能完整、准确地输出处理后的会计信息,确保纸制资料及系统电子报文能快速、准确、完整地传递到相关部门,保障国库部门与相关部门间的信息沟通。输出数据控制程度一般包括检查输出数据是否与输入数据相一致,数据信息是否完整、准确;检查纸制资料的发送对象、份数是否符合相关明确的规定等。此外,输出的数据信息应建立标准化的报告编号、收发程序,以及完善各种保管纸制资料的措施等。
3.强化相关硬件设施管理。国库应建立一套完备的硬件设施管理制度以保证用于国库业务操作的各种硬件设施能够安全运行,并能有效防止木马与病毒的出现。国库部门用于业务操作的计算机硬件必须是专人专机专用的,确保每位操作员和每台计算机的配对使用。防止无关人员进入国库信息系统的工作区域。防止与工作无关的信息媒介与计算机信息系统接触。每个业务操作员必须对验证自己身份的密钥严加保管,确保密钥随身携带。信息系统软件还应该设置在未用时及时关闭的程序。
4.加强日常业务监督控制。国库部门的日常业务监督控制是国库内部控制体系的重要组成部分,新信息系统的初次使用对国库部门的日常业务监督提出了更高、更严格的要求。为了适应当前信息系统操作的要求,强化国库内部控制,国库部门应该做好以下日常监督控制程序:一是加强信息系统中的日常业务报表核对工作,确保每天业务操作的准确性与完整性,如通过核对“待报解预算收入”的“TIPS资金分发”金额与TIPS税票金额是否相等检查TIPS联网税票信息是否都已经提交报解或重复报解等;二是对会计资料定期进行审计,确保系统对数据的会计处理的准确、凭证附件的规范完整;三是加强对系统运行中的各环节进行审查、以及业务操作流程的审查,防止业务操作过程中出现漏洞;四是定期与相关单位核对联网数据,防止在数据源头及数据传输过程中发生差错行为;五是加强国库部门的事后评估、反馈等控制机制,审查系统内控制参数与控制程序是否准确与完整。
5.建立数据信息与档案管理。国库部门应建立起完善的档案及电子数据管理制度,确保业务发生的原始凭证、电子信息资料及时存档、备份;完善各种资料的借用和归还手续;完善标签和索引方法;加强档案及电子数据信息保管设备的管理等。此外,制订各种应急措施和电子信息的恢复手段可以减小档案损失的风险。
6.完善系统升级控制。信息系统的升级能不断完善系统的各种功能,升级后的国库信息系统会更适合国库业务的操作。但系统升级时可能会使数据发生意外。因此,一方面在系统升级前,应该做好数据备份与纸制资料打印;另一方面在升级后,应对重要会计科目与预算科目等数据与备份数据、以及纸制资料数据进行核对。■
参考文献:
[1]黄正瑞.论计算机会计的内部控制及其审计[J].财务与会计,2001,(2).
[2]中华人民共和国国务院.中华人民共和国计算机信息系统安全保护条例[Z].中华人民共和国国务院令第147号,1994-02-18.
Discussion on the Internal Control of the Central Bank's State
Treasury Department under the new Information System Environment
CHEN Meng-hua, QUE Chuan-bao, CHEN Ying
(Haikou Central Sub-Branch,The people's bank of China,Haikou 570105,China)
Abstract:Along with application of state treasury information system including TCBS and TIPS, the state treasury service operating environment has been changed dramatically, and the various risks which the state treasury department faced also had increased to varying degrees. Therefore, in the article, firstly to analyze the internal control establishment in the information system and the impact which the system carries on the internal control environment; and then to put forward the proposal from the three aspects optimizing the control procedures in the information system, and strengthening the control environment, and strengthening the operating process, which can perfect the control mechanism of the state treasury. At last the writer hoped that the risk can be reduced and be prevented through the above measures.
Key words:information system;state treasury;internal control
转载注明来源:https://www.xzbu.com/3/view-789737.htm