一、内部控制设计应坚持原则
(一)内部控制设计应具有集成性
会计信息是对企业经济活动的反映,其数据来源于业务部门,会计信息化后,大量的数据通过网络从金融企业各个管理子系统直接采集,直接生成会计信息,会计数据处理呈集成化趋势。与之相对应,内部控制也要求采用集成化的思路,例如以前管理软件中的模块都是针对部门级的应用而设计的,系统与系统之间、部门与部门之间信息流通不畅。现有的金融企业管理软件把企业作为一个整体,强调财务系统、购销系统、制造系统、人力资源系统以及决策支持系统的整体应用,这些系统之间采用整合式设计,数据共享,从而实现资金流、物流和信息流统一。此时的内部控制设计也要有集成性的特点,例如软件控制、硬件和数据控制、岗位控制、操作制度、档案管理控制、输入控制、处理控制、输出控制等需要相互结合。
(二)内部控制制度应有柔性
在计算机信息系统下,内部控制不应该只是一个固定、一成不变的模式,它应该随着金融企业内外环境的变化而变化,即符合权变原则。在设计内部控制系统时,应考虑以下几个因素:
1.软件和技术的结合
计算机信息处理的集中性、自动性,使传统职权分割的控制作用近于消失,信息载体的改变及其共享程度的提高,又使手工系统以记账规则为核心的控制体系失效。手工会计主要采用结构控制方法,包括设置相互牵制和制约的会计岗位,通过对会计业务的多重反映或者相互稽核关系进行控制。比如,总账、明细账、日记账分别记录,结果相互验证等。而现代信息技术给金融企业的内部控制赋予了新的内涵,会计控制也由人工控制变为人和计算机共同控制,计算机的控制如口令控制、数据加密、职能权限控制、访问时间权限管理、操作日志管理等。
2.金融企业环境
特殊的环境因素决定了应采用什么样的控制系统,同时也决定了什么才是有效的。这些因素包括金融企业的地理位置分布、管理层的稳定性、公司规模和结构,以及生产部门与职能部门的关系等。
3.公司总体管理控制系统的结构和管理哲学
总体的控制系统和管理哲学一般会限制控制系统的选择。
(三)内部控制应将安全性放在优先地位
信息系统的网络化面临的最突出问题就是安全问题。首先,互联网所依托的IN-TERNET/INTRANET体系使用的是开放式的TCP/IP协议,它以广播的形式进行传播,易被搭截侦听、口令字试探和窃取、身份假冒。其次,网络经济的最新发展是电子商务,电子商务涉及许多电子单据、电子货币等,也是很容易受到不法攻击的地方。再次,会计信息化必将使财务管理和业务管理实现一体化,企业的经营管理活动几乎完全依赖于网络系统,如果企业对网络的管理和维护水平不高或疏于管理监控,一旦网络系统瘫痪将严重影响企业的整体运作。
二、计算机信息系统的内部控制
计算机信息系统审计在很大程度上依赖于其内部控制,审计人员应极为重视对被审计金融企业计算机信息系统内部控制的了解和测试。计算机系统的内部控制分为一般控制和应用控制,审计人员要对其进行研究和评价。
(一)一般控制
一般控制是全组织范围内对计算机程序的设计,安全和使用的控制,以及数据文件安全的控制。它适用于所有计算机应用,组织应该建立一种控制环境,既要在技术上通过系统软件来控制,也要在管理上制定相应的规章制度来控制。一般控制包括:组织与管理控制、应用系统开发和维护控制、计算机操作控制、系统软件控制、数据和程序控制。
(二)应用控制
应用控制是指适合各种具体会计处理的特定控制措施,以保证数据的准确和完整。它包括自动化和手工两种控制规程,保证只有允许的数据才能被相应的应用程序完全地正确地处理。应用控制的目的,第一是保证输入和修改的完整性;第二是保证输入和修改的准确性;第三是保证数据的有效性;第四是保证数据的可维护性。应用控制分为三种:输入控制、处理与数据控制、输出控制。它们都有各自的控制措施。
三、计算机信息系统的内部控制评审
计算机信息系统的内部控制评审的目标是:计算机输入输出数据的正确;岗位责任制的严格分工、互相制约,各项规章制度的建立健全,以及机房等物理环境的安全等等。评审的主要内容包括:
(一)管理工作的审计
1.执行规章制度的审计
金融企业应用计算机处理业务,既要坚持原来手工业务操作时制定的行之有效的规章制度,又要严格执行有关机房的各项管理制度,有关人员要根据要求做到职责分离。处理业务必须严格遵守对公、储蓄工作规则和会计核算制度,严格核准传票,正确选择系统功能。对金融企业执行规章制度情况进行审计,主要是检查其应用计算机后各项规章制度的执行情况,建立完善机房的各项管理制度等情况。包括岗位责任制是否严格分工、互相制约;控制制度是否健全以及能否有效执行等;是否遵守上机规则,严格执行操作规程和各项规章制度。如是否坚持双人双锁管理机房;是否人走退出操作画面;操作员是否在自己的密码下工作,严禁在他人的密码下操作等。
2.保密措施的审计
主要检查计算机信息系统的安全保密性,上机人员是否遵守保密规定,认真保管好自己的代号和密码,并依据情况不定期地变动密码,以防密码泄漏;是否执行业务处理的保密制度,未经允许是否按规定不向他人公开数据文件和程序。同时还要检查是否按规定进行软件管理,按规定临柜作业机器中不允许装有业务处理源程序等。
3.档案管理的审计
对金融企业计算机档案管理情况进行审计,保证档案资料的完好性,应检查每天日终处理按规定复制的文件副本、拷贝的磁盘磁带和各种打印账表的正确完善;并检查是否按规定要求专人负责、异地保管,且保管条件是否符合要求。
(二)物理环境的审计
对金融机构计算机物理环境的审计,主要是检查机房是否建立健全执行了机房管理制度;供配电系统、空调系统、机房装修是否符合技术要求;是否有防火、防水、防静电、防雷击、防盗、防电磁干扰等防护措施;机房环境条件(温度、温度、清洁度)是否符合要求,是否坚持卫生制度;机房内有无危险性、腐蚀性、有毒性、强磁性物品。
(三)业务核算管理工作的审计
加强对业务核算管理和各种凭证、印章、账户、账务等基础管理工作,保证电脑输入输出数据的正确性,是金融机构计算机应用管理和审计监督的重要目的之一。对金融机构业务核算工作的审计,就主要检查如下要点:
(1)检查输入、输出数据的正确可靠,处理是否完整。检查账务核算的准确性和完整一致性;检查事后监督能否正常发挥作用,特别是对计算机处理的结果进行必要的核对。
(2)检查凡是对要求输入计算机进行业务处理的会计业务事项,是否均有合法的会计凭证或者根据经业务主管人员盖章的书面通知办理,是否存在输入无凭证的数据及非法操作,以及凭电话或口头通知进行输入数据的情况,严防违法行为;检查时应注意通知开销户、增减利息积数、调整利率、冲正错账、修改计息账号等涉及修改账户信息的业务,是否经会计主管人员签字盖章后输入机器进行处理。所有会计凭证是否坚持按时序记账的原则输入计算机。
(3)冲正存、贷款记账串户的凭证,应检查原误记账户和冲正账户是否对应相符,计息的存、贷款账户的串户冲正,是否相应调整了计息积数,误记账户的原因除看错外是否还有别的原因。
(4)检查单位存款账户开户手续是否完备,符合要求,审计有无内外勾结非法利用外单位开设的存款账户进行索贿受贿等犯罪活动;审计有无利用账户套取现金、转移或占有他人储蓄的假账户。
(5)检查业务处理的整体性,未经允许是否存在擅自修改数据和程序的现象,以防止信息破坏,防止操作失误,保护磁存贮设备中的数据和程序,防止复制资料和非法输入数据。
(四)操作运行的审计
(1)开机与日终处理检查。每天营业前和营业后的日终处理,是计算机业务处理的主要内容。审计部门应安排既懂业务又懂操作的人,定期到各上机点检查此类操作。检查的内容应根据各处系统的情况而定,通过审计可防止舞弊行为和减少由误操作而带来的损失。
(2)操作运行合法性、准确性的检查。业务操作无论舞弊和失误,都必须与计算机操作密切相关,非法的操作势必会引起事故的发生。为此应临机检查业务操作的合法性、准确性和有无非法更改文件。在这里可以采用计算机对计算机审计的方法。利用运行中的应用程序,在修改分户账、总账、计息账号、利率、利息区分等信息的程序中加上复写修改前后内容至某文件(审计文件)的功能。则在运行这些修改信息程序时,其修改前后内容就自动记录至该审计文件中,这个文件就是审计检查的依据。开发与原有程序进行比较的审计文件,它反映系统的整个运行过程。该文件可以将非正常业务和正常业务作业的异常结果编辑打印,并能自动记录下人为修改账务信息的经过和变化部分,以备检查,还能自动审计作业运行过程中是否合法。在程序内编制使用系统资源的限制,以限制使用某程序、某设备的范围,从而达到审计控制的目的。
(3)按照业务审计的目的和流程,编制特定的计算机审计程序,然后监察并记载计算机运行情况,检查其安全薄弱环节。
(五)业务数据的审计
(1)检查备份数据(分户账、日结单、日记表、总账等)与机内储存数据是否相符,机内各分户账轧平总余额与总账余额是否相符。
(2)模拟计算机工作过程,用手工进行某天账务处理,并将手处理结果与计算机处理的结果核对。
(3)在应用系统副本下运行业务数据。根据某月底或某结息日数据文件,然后利用每日软盘备份上的流水账(其各科目日结单与当天传票数据核对,以证实是否相符),采用故障恢复手段,利用流水账恢复分户账,重作日终处理。依此下去核对十天或月末各种数据(如余额、积数);并可与临柜机内数据核对。且可在审计部门微机上重新进行计息处理,然后抽查一些账户核对,从而有效地控制计算机犯罪。