CIS环境下的内部控制
与手工环境相比计算机信息系统(CIS)下的内部控制显得尤为重要。由于CIS系统的引入,系统操作变得简便快速,但同时也增加了错误与舞弊的风险:如缺乏原始凭证以及交易的审计轨迹,数据与程序的高度集中,系统生成交易涉及的授权问题等等。
CIS系统下的内部控制主要分两类:一般控制(General Control)和应用控制(Application control)。一般控制的目的是为CIS系统建立一套总体控制框架,为实现内部控制目标提供合理保证。主要包括组织与管理控制,应用程序的开发与维护控制,操作控制,系统软件控制和数据录入与程序控制。应用控制的目的是为会计应用建立特定控制程序,以合理保证所有交易都经授权,并完整、准确、及时地予以记录和处理。主要包括对交易,数据的输入、处理、输出等控制。可见CIS系统下内部控制的核心问题是系统的授权,准确性、完整性与安全性。其主要内部控制技术如下:
一、授权
授权涉及到系统开发、维护、计算机接触、数据录入、主文件更改等一系列环节。主要的措施有物理控制,包括文件授权,警卫检查,机房上锁,钥匙配给有权限的工作人员,个人识别号码(Personal Identity Number),电子钥匙卡,闭录电视,安全警报等;程序控制主要是设置口令,数据加密,系统日志等。
二、准确性
准确是数据处理的核心。员工培训,校对等工作是必须严格把关的。另外像校验码、合理性检验、范围检验、存在性检验、相互应证检验等都是利用计算机程序为数据处理正确性提供合理保证的良策。校验码检验最常用的系统是模11,这对检查数字的审位及缺位错误效果甚佳;合理性检验、范围检验、存在性检验是利用系统数据的内存逻辑关系实现的,比如每月天数不可能超过对天,赊销数额不能超过授权的信用额度,帐号不存在的客户数据不能输人等;而相互应证检验则是利用系统内数据间的相互勾稽关系来实现的,比如职工福利开支与工资水平之间就存在着特定的代数关系。
三、完整性
对完整性的检验可通过逐项检查实现。但这只有在业务量小,或项目十分重要时才显得经济与必要。通常更常用的方法是批加总控制,杂项加总控制,运行总数控制,文件单据清点以及序号检查等。批加总控制是先对一系列同类交易的数值字段的数据进行手工加总,再与计算机处理结果核对,进而进行控制的一种方法;杂项加总控制原理与批加总控制相同,只是数据加总的结果没有实际意义,比如客户帐号,运行加总控制是指在处理过程中,批加总有关参数会随处理进程的深入而相应变化,该参数在每一处理环节完成时就自动进行核对,以保证在每一处理环节都能得到适当控制。
四、安全性
CIS系统下特有的安全问题主要包括死机引起数据丢失,黑客袭击与病毒入侵造成数据毁损与系统瘫痪,电流不稳击穿硬盘,磁盘意外毁损等。针对这些问题,我们可以采取多种预防措施,比如文件备份、加密,稳定电源,安装与随时升级病毒监测程序,建立磁盘储藏馆并指定专人管理与维护,建立回访系统以使非授权或非善意来访者无法联接系统,限制公共软件的使用及软盘拷贝,将主文件的访问限制在特定的工作台并局限于工作目的工作时间。此外还应安排应急计划,这包括投保。建立各用系统,与制造商或其他公司签订服务协议等措施。各应急措施的成本不一,因此具体安排还得视公司具体情况而定。
CIS系统的建立不仅仅是文件转换与生成,系统变更的问题。根据系统特点建立与完善内部控制制度,实施内部控制监督更是重中之重。
邓凤姣下一篇:公司如何提高内部控制能力