电算化内部控制的描述

第三节　电算化系统的内部控制及其评审

电算化系统的内部控制评审是电算化系统审计的一项重要的，也是技术性很强的工作。如前所述，计算机引入数据处理系统后，电算化系统呈现出许多不同于传统的手工系统的特征，这些特征表明，相对于手工系统而言，电算化系统的控制风险大大增加，电算化系统需要设置多种新的控制措施以保证系统的有效运行和数据、信息的完整性、正确性。了解电算化系统内部控制结构并采用合适的方法加以评审，是现代审计在变化的审计环境中生存、发展的前提。

一、电算化系统内部控制的主要内容

在电算化系统内部，依据控制对象的范围，应将控制区分为一般控制和应用控制两类。一般控制是指对系统构成要素（人、机器、数据文件）及环境的控制，通常适用于系统进行的大部分数据处理，其主要的内容包括组织控制、系统开发控制、硬件及系统软件控制、系统安全控制等。应用控制是对特定应用项目的数据处理过程本身的控制，其具体内容往往因应用项目而异，包括输入控制、处理控制和输出控制。一般控制是应用控制的基础，为数据处理提供良好的处理环境；应用控制则可看作是一般控制的深化，它在一般控制的基础上，进一步深入具体的业务处理过程，为数据处理的准确性提供直接的保证。

（一）一般控制

1.组织控制

组织控制是指通过人员管理和职权与责任的分配以保证有效果、高效率地实现组织的目标。其主要措施有：（1）数据处理与使用部门职责分离。数据处理部门负责记录业务并进行相应的数据处理，数据使用部门负责批准和执行业务，两者属不相容职责，必须分离。（2）数据处理部门内部职责分离。要求系统开发与数据日常处理职能分离，系统开发人员不得参与日常处理操作，同时，日常数据处理也应安排多人共同完成。如可设操作员、文档管理员、复核员等岗位。

2.系统开发控制

系统开发控制是指对新系统开发使用及原有系统的任何改进活动进行的控制。电算化系统不仅初始设置成本高，而且如果投入运行后才发现系统的不适用之处而进行改动，则需耗费很多的人力、物力和财力。因此，有必要采取控制措施保证及时发现和修正错误，以使投入运行后系统能满足用户的需要。主要措施包括：（1）系统开发前，进行必要的可行性研究；（2）开发小组应有使用部门人员参加并参与设计和测试；（3）系统投入使用前先与原系统并行运行一段时间，以进一步验证新系统的可靠性和适用性；（4）可能的情况下，系统开发应有审计人员（尤其是内审人员）参与，以保证系统保留必须的控制措施和审计线索；（5）系统投入使用后，任何程序的改变或系统配置的变化必须经过批准、调试并保留文字记录后才能投入运行，系统维持应视同系统开发加以控制。

3.硬件及系统软件控制

这是指与计算机随机配备的为防止硬件运行失灵和系统软件中具有的保证计算机运行可靠性的一些控制功能。如为防止硬件运算出错，很多计算机配备了重复处理校验功能，由两个运算器对同一批数据执行同一运算，通过比较运算结果是否一致来判定运算是否准确。常见的硬件控制有冗余校验、重复处理校验、回波校验、设备校验、有效性校验等；系统软件控制主要有错误处理、程序保护、文件保护等功能。

4.系统安全控制

这是指为保证计算机系统资源的实物安全，免受影响系统连续性和导致系统实物资源损失的种种因素干扰而采取的各种控制手段。主要措施包括：（1）接触控制，只有经过批准的人员才能接触电脑系统的硬件、软件和数据文件，可采用机房、机器加锁，口令控制等多种方法；（2）后备控制，对重要的系统硬件、软件配置后备设备，对数据文件进行备份，在系统资料损毁的情况下能够恢复处理功能；（3）环境安全控制，如计算机房应配有防火、防尘、不间断电源、稳压等设备。

（二）应用控制

应用控制针对具体的应用项目而设置，因此涉及的业务种类繁多，各种业务应用与处理流程中要求差别极大。根据设置的控制所涉及的数据处理环节。可将其分为以下三类。

1.输入控制

由于计算机处理结果对输入的正确与否具有极高的敏感性，并且很多计算机舞弊还是通过在输入环节作弊而实现的，因此输入控制在电算化系统控制中占有极为重要的地位。常见的输入控制措施有：（1）复核控制。由不同的操作人员或同一操作人员两次键入需输入的数据，如果结果不一致，则需纠正后才能进行下一步的处理。（2）分批控制。输入计算机前，由人工汇集凭证并编制批号，计算控制总数（如输入金额合计）输入计算机后，由程序计算后再次给出结果以与人工计算的总数相核对。（3）计算机编辑校验，即计算机按照程序指令通过计算机逻辑比较，检查数据的正确性与完整性，如对数据编码有效性、数值符号、数据类型、字段长度、数值限度等均可利用计算机程序进行校验。（4）平衡校验。利用数据间应有的平衡关系（会计账务处理中，如本期借方发生额－本期贷方发生额等等）在数据输入环节，利用事先编制的检验程序进行校验，如平衡关系被打破，则说明输入过程有误。其他的输入控制措施还有数码校验等。

2.处理控制

处理控制的目的在于合理保证计算机按照既定的指令处理正确的文件，处理结果正确。处理控制都采用程序化方式进行。常见的有：（1）文件标签校验。为防止处理的文件不是预定的文件，在处理文件前，操作员应认真检查文件的外部标签，确定该文件确实是所要处理的文件；内部标签的校验则需靠程序执行，如发现不相符，则给出错误信息。（2）控制总数校验。计算机处理后，自动计算出总数并与输入的控制总数核对，以保证处理的正确性。另外还有限值校验、平衡校验等等控制手段。

3.输出控制

输出控制的目的，一是要验证输出结果的正确性，二是要保证输出信息能够及时发送到指定的人员手中。主要手段有：（1）对输出结果进行检查，如检查各项数字的合理性，将输入过程中手工计算的控制总数与输出的控制总数核对等等；（2）设置专门人员负责输出文件的发送并设置相应的记录。

二、电算化系统内部控制的评审

电算化系统内部控制的评审与手工系统内部控制评审有许多共同之处，其基本目的都是确定系统是否设置了合理保证数据处理可靠性的控制手段，这些控制手段是否实际发挥了预期作用，并进而确定审计人员下一步实质性测试的范围和重点。除此之外，内控评审也可以成为被审计单位提出有关内部控制建设方面的建议的依据。但由于电算化系统的控制内容、方法和具体措施有别于手工系统，因此评审方法也应适应其特殊性而有所改变。

一般说来，对电算化系统内部控制的了解和描述可采用手工系统中常用的方法，如调查表、流程图、查询等方法仍是非常有效的。但在对内部控制的执行情况进行符合性测试时，由于电算化系统的控制有很多是程序化控制，因此单纯依靠传统的方法是无法胜任的，需采用一些计算机辅助审计技术或通过计算机审计技术才能得出确切的结论。对于电算化系统中的手工控制手段，如组织控制、系统安全控制、系统开发控制等内容，广泛运用于手工系统的各种符合性测试方法仍然是有效的。