计算机信息系统的内部控制及评估

第五节　计算机信息系统的内部控制及评估

近年来，随着电子计算机和网络技术的普及和发展，许多企业已经开始使用计算机信息系统进行会计处理和核算。这不仅给会计工作带来了巨大变化，也对审计产生了重要影响。企业建立了有别于传统手工处理信息系统的内部控制制度，给我们的审计工作提出了新的要求。

一、计算机信息系统对传统内部控制的影响

(一)手工处理信息系统中有严格的凭证制度，在计算机信息系统中逐渐减少至消失

传统手工会计处理中，凭证是经济业务活动的起点，是整个会计处理程序的基础，也是审计工作的重要依据。而在计算机信息系统下，数据直接输入计算机，没有留下任何凭证痕迹，审计的线索可能消失。存储的信息真假难辨，责任不清，有可能虚假的经济业务数据被输入信息系统而无证可查。这就给内部控制提出了新的要求。

(二)传统的手工信息系统产生的分工被打破

传统的手工信息系统中，职责划分是内部控制的一项重要内容，交叉分工，互相监督，比如说会计工作中，记录总账和明细账的要有职责分工。而在计算机信息系统中，有些分工被归并在一起，逐渐并入到了电子数据处理程序中，各种操作都按照预先制定的程序一丝不苟地进行。例如：工资处理系统中，从记录工作时间，到计算应付工资和工资率，再到打印应发工资都是由计算机完成的。

(三)计算机信息系统可以自动授权批准

授权、批准控制是传统内部控制中的常用控制手段，指业务人员要经过授权得到批准才能够执行某项业务。在传统的手工信息系统中，对一项经济的各个环节都有严格规定，要经过盖章或者签名才能向下执行。但是在计算机处理信息的情况下，直接由电子数据自动授权。比如，存货处理信息系统中，预先确定各种存货的经济订货量，存储于系统中，并指定程序监督存货量，一旦存货低于订货点，系统按经济订货量自动开出订货单，而不需要任何人员的批准。

(四)数据信息容易丢失、盗窃和篡改

手工处理信息系统中，各项经济业务都有书面记录和保管措施，一般不容易丢失。而在计算机信息系统中，信息是存储在电磁介质上，而这些电磁介质在受热、受潮和强磁场下会发生损坏。另外，如果没有适当的控制，有些人员可以进入信息系统，篡改或拷贝信息，而不留下任何痕迹。

(五)数据和责任高度集中

在手工信息系统中，许多资料分散保存在各个部门。从登记原始凭证、记账凭证，登记账簿，编制报表，每一步都由经手的人负责，并且都有文字记录。而在计算机信息系统下，全部的数据都集中在数据处理部门。原始数据输入计算机，就按照程序自动完成，全部责任也都高度集中在电子数据处理部门。

二、计算机信息系统的内部控制内容

计算机信息系统不同于传统的手工信息系统的特点决定了内部控制必须发生相应的改变。针对计算机信息系统建立的内部控制可以分为一般控制和应用控制两种类型。

(一)一般控制

一般控制指对计算机信息系统构成要素及其环境控制。可以从两方面来理解：一方面，这些控制措施普遍使用于计算机各个信息系统；另一方面，它们为各个信息系统的正常运行提供了安全可靠的环境。具体包括组织控制、系统开发与维护控制、硬件与系统软件控制、系统安全控制。

1.组织控制

组织的控制指职权划分和责任分离。职责的划分指在分工协作的基础上明确各个部门的权限和责任；职能分离指将不相容的职务加以区分。其主要措施有：(1)数据处理部门与使用部门职责分离。数据处理部门只负责记录并进行相应的数据处理；数据的使用部门负责批准和执行业务，两者属不相容职责，必须分离。(2)数据处理部门内部职责分离。数据处理部门包括系统分析与设计员、程序员、操作员、资料保管员以及系统管理员。这些人员职责应该予以适当的分离。首先应对系统开发与数据处理职责进行分离。系统开发人员负责系统的分析、设计、编程、维护等，数据处理人员的主要责任是进行数据的处理和控制。因此，系统开发和数据处理是不相容职责。程序员不能参加数据输入和处理等操作，操作员不能直接修改程序。其次，应对数据处理的职责进行适当分离，例如，计算机会计信息系统中，凭证输入和审核应由不同的人担任，以减少输入人员利用工作之便弄虚作假。

2.系统开发与维护控制

指确保软件开发、取得和变动经过适当授权、测试和许可的控制程序。主要内容包括以下三方面：

(1)开发计划控制：计算机信息系统开发计划一般包括目标、系统的总体结构、开发方式、组织结构和管理体制、工作阶段和开发进度、资金筹措和费用预算、人员配置等内容。另外，在此过程汇总，对软件需要分析十分重要。在软件开发过程中，如果对用户的需要不了解，可能半途而废，导致不必要的浪费。

(2)开发人员控制：首先成立开发小组，确定各个职位人选，明确各自责任。应有使用部门人员参加系统开发设计以测试，这有利于了解使用者的实际要求和加强使用者对软件的了解；有内部审计人员参与以保证留下必需的审计线索和控制措施，能加强审计人员对内部控制的理解和对开发工作的监督；由专门的测试人员或操作人员对系统进行测试和运行。

(3)系统维护控制：系统维护包含两方面含义，一指系统日常维护，二指系统功能改进和扩充。日常维护的目的是保障系统正常运行，减少突发性意外，即使发生意外，也能立即采取措施将损失减少到最小。系统的功能改进和扩充使系统能更好地发挥作用，提高效率和质量。

3.硬件和系统软件控制

计算机硬件和系统软件能提供一定的控制功能，这是计算机信息系统内部控制的一个显著特征。硬件和系统软件控制是指计算机厂商提供的已建立在硬件或系统软件中的，为保证计算机硬件操作正确可靠的控制。常见的硬件控制有冗余校验、重复处理校验、回声校验、设备校验、有效性校验等。常见的系统软件控制主要包括错误处理、程序保护、文件保护等功能。

4.系统安全控制

这是指严格控制对计算机系统的实物和逻辑接触，保证其物理安全和逻辑安全。一方面，保证计算机系统的实物安全；另一方面，阻止未经授权的人员接近敏感数据，减少未经授权变动的软件程序和数据文件的风险，主要包括接触控制、环境安全控制、安全保密控制和反病毒控制等。

(二)应用控制

这是指对具体应用程序的控制。

1.输入控制

建立输入控制的目的是为了确保输入数据的合法性和正确性，完整、及时地接收有关数据，并及时发现、更正、反馈异常数据。具体措施包括：数据在输入前必须经过审批；操作人员必须授权；利用计算机对输入的数据进行校验；主要方法有：有效代码检验、杂项综合、控制总数核对等。

2.处理控制

建立处理控制的目的是确保已经输入系统的全部数据均得到正确和完整的处理，包括读取和记入适当的应用程序和数据库，及时更新交易数据记录，以及全部已进行处理交易必须易于追溯查验等。主要包括交换核对和处理逻辑查验两个措施。

3.输出控制

建立输出控制的目的是保证输出资料的安全和完整。主要措施包括：结果的输出、打印需要经过批准、打印资料要妥善保管、输出结果的分发要经过授权等。

(三)对计算机信息系统的内部控制的评估

尽管计算机信息系统的内部控制不同于传统的手工处理信息系统的内部控制，但是对计算机系统和传统手工处理系统的内部控制的评估却有很多共同之处。一般来看，对计算机信息系统的内部控制包括以下五个步骤：

第一步，了解被审计单位的计算机系统及其一般控制。审计人员需要了解的信息包括硬件、系统软件、应用软件、组织结构、风险因素等。初步检查可以采取下面一些方法：(1)调查询问数据处理部门和信息使用部门有关人员；(2)对计算机设施及其操作系统进行实地考察；(3)对计算机使用政策进行检查；(4)检查各类人员的操作手册，以及管理人员的工作流程图等。

第二步，检查和记录应用控制。审计人员在做好第一步以后，应采取编制流程图的形式对应用控制进行检查和记录，包括总体流程图、手工处理阶段流程图和计算机处理阶段流程图。从整个数据处理过程来看，在数据输入电脑之前，需要一定的人工数据收集和录入工作，在计算机处理完之后也涉及人工输出传递工作，这都纳入到手工处理流程阶段。这两个处理阶段有明显差别，有必要分别制定流程图加以说明。

第三步，对于计算机信息系统的业务流程精心测试。为确保通过前面两步所得出的结论的真实性，审计人员应通过对计算机信息系统的业务流程进行测试。这就是我们所熟悉的穿行测试。

第四步，检验计算机系统及其内部控制的功能。审计人员检验计算机系统及其内部控制的功能能否达到预定要求，为了确定每一控制的可信度和关键控制，并在必要时实施近一步控制。主要方法是：对错误的异常报告进行检查；检查处理后的输出结果和使用测试数据。

第五步，评价内部控制的风险水平。