《(财务内部审计)计算机信息系统的控制及其审计》由会员分享,可在线阅读,更多相关《(财务内部审计)计算机信息系统的控制及其审计(33页珍藏版)》请在金锄头文库上搜索。
1、第三章 计算机信息系统的控制及其审计 内容提要 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确和完整,为防止或及时发现差错及舞弊行为的发生,信息系统的控制就显得尤为重要。本章专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。第一节 信息系统控制的重要性信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营决策的重要依据,因此,如何才能确保信息的有效、准确、及时、完整和安全,是我们在设计和运行信息系统时所需考虑的一个重要问题,而这一问题的关键在于如何完善信息系统的控制。
2、一、控制的定义 对一个企业来说,所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效利用和提高企业财会和管理信息的真实、正确性,确保企业方针政策的贯彻执行,促进各项工作与企业经营效率的提高而实施的各项措施。内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五部分构成。一个良好的企业控制系统应具有以下4个方面的功能: 1. 确保企业各种经济资源的安全。一个企业,如果没有一套良好的控制企业经济资源的措施,就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象,使企业蒙受损失。所以,要采取有力的控制措施,有效地提高企业各种经济资源的安全,保护企业所有者的利益。2. 确保各种经济信息、
3、尤其是财会信息的准确、完整和及时性。只有及时、准确、完整的经济信息,才能引导企业经营管理者正确地作出各种经济预测和决策,圆满实现企业的经营目标;反之,则会对企业的生产经营起误导作用,使企业在面临各种问题时,作出错误的选择。可见,建立良好的信息系统控制,是保证信息质量的重要途径。 3.促进企业各部门工作效率的提高,使企业保持良好的运行效率。提高企业各部门工作效率是保证企业良好运行,顺利实现企业经营目标的重要途径。因此,在企业内建立一套有效的业绩考核和评估体系,使企业内形成一种相互激励,相互约束的竟争机制,可以大大提高企业对各种经济资源、人力资源的利用率,使企业保持良好的运行效率。4. 确保企业方
4、针政策的贯彻执行,促进企业经济效益的提高。设计企业的控制系统,其最终目的是为了促进企业经营管理活动的合理化,促进企业经济效益的提高。因此,一个有效的控制系统,应能确保企业方针政策的贯彻执行,促进经济效益的提高。一个企业的控制包括对经营子系统、管理子系统和信息子系统的控制。本章主要是讨论对信息系统的控制,也有时涉及一些经营、管理系统的相关控制。二、计算机信息系统控制所面临的新问题 当信息处理的方式由手工处理向计算机处理转变后,信息处理工作所面临的环境发生了很大的变化,给信息系统的控制带来了许多新的课题。归纳起来,主要有以下几个方面: (一)如何对使用者进行身份识别和权限控制 当信息系统由手工处理
5、数据转化为计算机进行数据处理后,原来人与人之间的联系在很多方面会转变为人与计算机之间的联系。为了有效地防止数据被篡改、破坏、窃取等现象的发生,就要求信息系统具有识别使用者身份并对其进行权限控制的能力。只有具有特定权限的使用者才能接触信息系统,执行相应的操作,从而达到有力地保护系统信息安全的目的。因此,如何才能对使用者进行身份识别和权限控制,是由手工处理数据转变为计算机处理数据后所带来的新的课题之一。 (二)业务授权问题 业务授权(Transaction Authorization)是保证员工处理的仅是他们职权内有权处理的业务的控制措施。在计算机信息系统中,许多授权往往是由程序进行控制的。例如,
6、采购系统中可设计好存货低于多少就自动打印订单,订多少、向那个供应商订货理论上计算机都可全部自动按程序执行,无需人工的参与。但是,如果没有良好的控制,可能会出现不合理的订货,浪费企业大量的资金。因此,信息系统中的业务授权处理程序的准确性、完整性十分重要,只有这样,才能保证业务的自动授权是可以接受的、可行的。 (三)职责分离(Segregation of Duties)问题 不相容任务的职责分离,即应由不同的人员分担不相容的工作任务或职务,是手工系统计中十分重要的控制措施。其一般原则是:业务审批、执行人员与业务记录人员职责分离;资产记录人员和资产保管人员职责分离;根据业务处理过程和记录的性质,再按
7、不同的账、不同的处理进一步分离,例如,记明细账的和记总账的职责分离、材料订购与材料验收的职责分离,等等。通过恰当的职责分离,实现互相牵制、互相核对,使有作弊企图者必须串通多人才能作弊。 在计算机信息系统中,原有的一些分工没有了。例如,启动、批准、处理采购订单,收到发票后登记应付账款,自动打印付款凭证和支票等业务全都可由计算机自动完成。信息系统的应用程序一般在系统的整个生命周期内都在使用,影响很大。因此,在计算机信息处理环境下,既然有些业务的处理不能分离,应转而把职责分离的着眼点放到计算机系统的开发、使用和维护工作上。 (四)监督(Supervision)问题 监督对于小单位或者大单位的小部门十
8、分重要,因为这些部门的职员往往一人担负了多个不相容的职责。在手工条件下,监督通常是部门负责人的责任之一,且职员都在同一个地方工作,相互之间也有监督作用。在计算机环境下,监督的任务更复杂了,因为计算机技术人员计算机知识水平高,有些人负责了重要的工作岗位,可直接访问系统的程序和数据,且人员的流动性比较大,有些人还可能单独在很远的终端上工作,管理人员与同事不能直接看到他们在做什么,难以进行直接有效的监督。因此在计算机环境下,应把许多在人工环境下的直接监督融合到系统程序中去,由程序来实现监督和控制。 (五)会计记录与信息安全问题 手工的会计资料包括原始凭证、日记账、明细分类账、总账和会计报表,这些资料
9、给审计提供了审计线索。在计算机条件下,有些系统并没有日记账和明细账文件,而只是把原始凭证上的重要数据项保存在数据文件中,有关的会计信息可能通过分散在多个不同磁盘、不同文件的数据临时加工得到,文件之间通过关键字、指针、索引等发生联系。要审查这些信息的正确性,审计人员要十分熟悉系统所用的数据库管理系统,给审计带来了较大的困难。而且,计算机信息系统中的各种数据文件是以肉眼不可见的,很容易被篡改或删去而不留下任何痕迹。因此,信息的安全可靠性有很多隐患。如何确保系统信息的安全,是我们在设计和运行信息系统时所需考虑的又一重要问题。 (六)访问控制(Access Control)的问题 企业资产的接触控制分
10、为直接接触控制和间接接触控制。建围墙、设保安、自动报警系统、房间加锁等是直接接触控制。间接接触指通过阅读或篡改会计资料而获得有关资产的情况,甚至侵吞有关资产,例如通过破坏、涂改相关的销售业务和应收账款记录而实现贪污。在手工条件下,这样的问题可通过防止随便接触账簿记录、对登记这些账簿的人员实行职责分离,如销售明细账、应收账款明细账、总账由不同的人员登记进行控制。在计算机环境下,所有会计资料均集中存储在数据处理中心的大存储容量的设备上,从而容易作弊或受到灾害的损毁;另外,对程序的非法访问也危及到用户资产和信息的安全。因此,限制对计算机数据和程序的访问,对机房或数据处理中心提供物理安全措施,保证正确
11、的数据备份等,都十分重要。有些访问控制是技术性的,有些靠职责分离实现,但其基本原则是:无论允许或限制一个人访问什么程序或什么数据,都必须根据其所分配的工作的需要来作出决定。 (七)独立复核(Independent Verification)问题 监督是事中控制,而复核是一种事后的控制。独立复核是由不直接参与该业务处理的人员进行复核。通过复核,管理人员可以评估工作人员的业绩,评估处理的完整性和会计信息的准确性。在计算机信息系统中,原来经多道手续由多人完成的业务处理变为由计算机集中统一进行处理,原来在手工处理中所存在的相互核对的约束机制不复存在。所以,我们在设计信息系统时,必须着重考虑如何才能提高
12、信息系统自身对经济业务处理的审查、复核能力,以减少信息系统在处理数据时发生错误的可能性。如果在设计信息系统时忽略了这一点,则可能会由于采集或输入数据的错误,或软件本身的错误而导致输出信息的错误,从而误导信息使用者。因此,在计算机信息系统中,复核控制的重点变为系统的开发和维护审计以及程序的逻辑审查。 (八)电子商务和网络经营中的特殊的安全问题 电子商务给企业带来了前所未有的商机,同时也带来了前所未有的风险。在传统的经营条件下,企业资产和经营的安全可以通过建立健全的内部控制得以保证。在电子商务条件下,企业的计算机信息系统是一个开放系统,计算机病毒和黑客随时可以通过 Internet 威胁到企业资产
13、和经营的安全。因为电磁信息可以删改且不留痕迹,企业在电子商务中要面对如何解决交易的确认、经确认的文件不可修改和不可否认、网上信息传递的保密等问题。这些安全问题不是企业内部所能完全控制的,必须针对其固有的风险建立全新的控制。 (九)软件开发的质量问题 一个信息系统能否正常运转,合法、正确地处理各项经济业务,保持较高的运行效率,节省运行成本等,很大程度上取决于所开发软件的质量。在信息系统中,计算机担负着企业绝大部分的信息处理任务,一旦软件中某个环节出现问题而无法正常工作,或者被人为破坏,就有可能导致整个信息系统数据处理的一连串错误,甚至导致系统停止运转,给企业的经营和管理带来不可估量的损失。因此,
14、企业应对信息系统的开发工作进行有效的控制,以确保所开发软件的质量。 三、加强信息系统控制的重要意义 通过上面的阐述我们可以看出,当信息的处理方式由手工处理转变为计算机处理之后,就给信息系统的控制带来了许多新的问题,使得信息系统所潜在的风险比手工系统更大、更复杂。同时,由于信息系统所产生的信息日益增多,没有健全的控制措施,就很难保证信息的收集、传递、处理能够及时、准确、完整和不会出现无意的差错或有意的舞弊。事实证明,如果计算机信息系统的控制出现漏洞,将会对企业造成比手工系统更为严重的损失,这种例子屡见不鲜。所以,当我们在设计和运行信息系统时,必须把加强对信息系统的控制放在十分重要的地位,认真抓紧
15、抓好这项工作,以保证信息系统能安全、可靠地工作。当然,最完善的控制系统也有其固有的局限,如:企业在制订控制制度时,要考虑成本效益原则;控制制度可能会由于执行人员的错误理解、疏忽大意或串通舞弊而失效等。所以,尽管我们强调要加强信息系统的控制,但也应清楚知道绝对的安全是没有的,控制也不是越多越严密越好。衡量控制系统的恰当性最根本的标准是考虑企业的经济效益和社会效益,应以此作为掌握控制制度宽严的尺度。 四、计算机信息系统的控制的总框架在电子商务与网络经营环境下,企业计算机信息系统的构成和总的控制框架如图3-1所示:计 算 中 心供应商 操作系统数据资源通信和电子商务通信系统开发客户 终端 终端应用系统维护图3-1 信息系统总的控制框架 针对计算机信息系统的构成和控制框架,可把信息系统的控制划分为以下八个方面: 1组织控制。 2数据资源控制。 3系统开发与维护控制。 4计算中心的安全控制。 5数据通信控制。 6电子商务的安全控制。7微机系统的控制。8各个应用系统的控制。在第三节将对它们逐一进行较详细的讨论。第二节 计算机信息系统控制的分类平常人们讲到信息系统的控制常会有很多不同的提法,往往是按不同的分类来讨论信
