中國會計電算化2001.10
CIS環境下的內部控制
鄧鳳姣
與手工環境相比計算機信息系統(CIS)下的內部控制顯得尤為重要。由于CIS系統的引入,系統操作變得簡便快速,但同時也增加了錯誤與舞弊的風險:如缺乏原始憑證以及交易的審計軌跡,數據與程序的高度集中,系統生成交易涉及的授權問題等等。
CIS系統下的內部控制主要分兩類:一般控制(General Control)和應用控制(Application control)。一般控制的目的是為CIS系統建立一套總體控制框架,為實現內部控制目標提供合理保證。主要包括組織與管理控制,應用程序的開發與維護控制,操作控制,系統軟件控制和數據錄入與程序控制。應用控制的目的是為會計應用建立特定控制程序,以合理保證所有交易都經授權,并完整、準確、及時地予以記錄和處理。主要包括對交易,數據的輸入、處理、輸出等控制。可見CIS系統下內部控制的核心問題是系統的授權,準確性、完整性與安全性。其主要內部控制技術如下:
一、授權
授權涉及到系統開發、維護、計算機接觸、數據錄入、主文件更改等一系列環節。主要的措施有物理控制,包括文件授權,警衛檢查,機房上鎖,鑰匙配給有權限的工作人員,個人識別號碼(Personal Identity Number),電子鑰匙卡,閉錄電視,安全警報等;程序控制主要是設置口令,數據加密,系統日志等。
二、準確性
準確是數據處理的核心。員工培訓,校對等工作是必須嚴格把關的。另外像校驗碼、合理性檢驗、范圍檢驗、存在性檢驗、相互應證檢驗等都是利用計算機程序為數據處理正確性提供合理保證的良策。校驗碼檢驗最常用的系統是模11,這對檢查數字的審位及缺位錯誤效果甚佳;合理性檢驗、范圍檢驗、存在性檢驗是利用系統數據的內存邏輯關系實現的,比如每月天數不可能超過對天,賒銷數額不能超過授權的信用額度,帳號不存在的客戶數據不能輸人等;而相互應證檢驗則是利用系統內數據間的相互勾稽關系來實現的,比如職工福利開支與工資水平之間就存在著特定的代數關系。
三、完整性
對完整性的檢驗可通過逐項檢查實現。但這只有在業務量小,或項目十分重要時才顯得經濟與必要。通常更常用的方法是批加總控制,雜項加總控制,運行總數控制,文件單據清點以及序號檢查等。批加總控制是先對一系列同類交易的數值字段的數據進行手工加總,再與計算機處理結果核對,進而進行控制的一種方法;雜項加總控制原理與批加總控制相同,只是數據加總的結果沒有實際意義,比如客戶帳號,運行加總控制是指在處理過程中,批加總有關參數會隨處理進程的深入而相應變化,該參數在每一處理環節完成時就自動進行核對,以保證在每一處理環節都能得到適當控制。
四、安全性
CIS系統下特有的安全問題主要包括死機引起數據丟失,黑客襲擊與病毒入侵造成數據毀損與系統癱瘓,電流不穩擊穿硬盤,磁盤意外毀損等。針對這些問題,我們可以采取多種預防措施,比如文件備份、加密,穩定電源,安裝與隨時升級病毒監測程序,建立磁盤儲藏館并指定專人管理與維護,建立回訪系統以使非授權或非善意來訪者無法聯接系統,限制公共軟件的使用及軟盤拷貝,將主文件的訪問限制在特定的工作臺并局限于工作目的工作時間。此外還應安排應急計劃,這包括投保。建立各用系統,與制造商或其他公司簽訂服務協議等措施。各應急措施的成本不一,因此具體安排還得視公司具體情況而定。
CIS系統的建立不僅僅是文件轉換與生成,系統變更的問題。根據系統特點建立與完善內部控制制度,實施內部控制監督更是重中之重。
(作者單位:中南財經政法大學研究生部)
