淺談加強企業內控中計算機信息系統控制

摘要：計算機信息系統已經成為企業內部控制中必不可少的手段，但計算機信息系統新技術的出現，擴大了控制范圍﹑增加了控制難度和時空的風險。這就要求企業盡快完善相應的內控程序加以配合。本文從計算機信息系統的應用對內部控制的影響入手，提出加強內控中計算機信息系統控制的對策。

關鍵詞：內部控制 計算機信息系統控制 對策

近年來，隨著信息技術的發展，大多數企業都引進、建立和運用了計算機信息處理系統。計算機信息系統不僅提高了企業的工作效率，而且也改變企業的經營方式和方法，已經成為企業內部控制中必不可少的手段。但同時，這些新技術的出現，也擴大了內部控制范圍﹑增加了內部控制難度和時空的風險。這就要求企業盡快完善相應的內部控制程序加以配合。

一、計算機信息系統的應用對內部控制的影響

（一）內部控制重點的變化：隨著電算化會計系統的應用，傳統手工方式下各種賬簿間﹑賬簿與報表間的相互核對變得毫無意義。就交易和數據的可靠性而言，風險控制的重點前移到數據錄入﹑授權和審核環節。同時，計算機的應用，使內部控制的許多具體方法和措施可以編成計算機程序加以進行，于是對程序化控制的控制又成為新的關注點。

（二）內部控制內容的變化：由于計算機內的數據易被大量刪除﹑破壞和篡改且不留下任何痕跡和審計線索，這就使信息資產的安全保護﹑備份﹑禁止非授權操作和防治病毒破壞變得極為重要。

（三）內部控制范圍的變化：由于計算機信息系統建立和運行的復雜性，內部控制的范圍相應擴大，包含了手工系統中所沒有的控制，如對計算機軟硬件及相關設備的控制，系統權限的控制，應用系統變更的控制等。隨著網絡技術的廣泛應用，控制范圍又延伸到遠程系統數據交換﹑網絡系統安全等方面。

（四）內部控制難度的變化：在計算機系統中，交易和數據多為電子存儲，不易實現簽字﹑蓋章等傳統書面審計線索，因此如何保證數據的合法性和可靠性，防止軟硬件故障和數據非授權修改等，增加了內部控制的難度。

二、計算機信息系統控制中存在的問題

（一）計算機信息系統控制中存在的主要問題

1.管理層思想認識不到位：大部分企業管理層的思維觀念還未充分認識到計算機信息系統內部控制的重大意義和新技術背景下內部控制的特殊性。有人錯誤地認為，計算機信息化后管理工作將得以減輕，內部控制可有可無，甚至相關的控制作用也可以被計算機信息化代替。

2.應用系統中程序化控制不足：目前企業使用的應用系統特別會計核算系統多注重計算功能，并沒有很強的控制功能，未將內部控制的要求貫徹于系統開發之中。

3.不相容職務相分離原則沒有得到足夠的遵循：計算機系統的運行使許多崗位可以合并及相關人員減少，容易造成企業忽視一些不相容崗位應有效的分離，降低了牽制的效力。如，有些人員既負責數據的輸入，又負責數據的報送，使得其有可能在未得到授權的情況下直接對數據和程序進行修改，數據的可靠性受到威脅。

4.系統授權存在著一定的漏洞：很多企業都沒有明確的應用系統負責人，通常簡單地由個別技術人員擁有全面權限可自由訪問各個系統存儲的各種信息，卻缺乏對這些特殊用戶的特殊權限的限制和監控，使整體計算機信息系統的安全管理存在很大的風險。

（二）計算機信息系統控制中存在問題的案例分析

P公司是一家提供手機增值服務的企業，通過與手機運營商和彩票中心相連接的計算機系統，顧客可以通過手機短信發送不同類別的代碼，來分別購買彩票或相關的短信服務。對短信服務收入，P公司和運營商以85%和15%分成；而對通過P公司系統購買的彩票，P公司和運營商分別可獲得彩票金額8.5%和1.5%代銷手續費。2005年8月，P公司的某市場人員在某省開通一項新的短信服務，但臨近開通時才發現所需短信類代碼還未從運營商處獲得。于是該市場人員擅自決定以一空閑的彩票類代碼頂替，并通知負責計費程序的技術人員在系統中作相應處理并開通使用。這樣顧客購買短信的指令和款項，在運營商和P公司系統的系統中均被當成購買彩票來計算。而事實上此指令和款項并未流入彩票中心系統，其結果是P公司侵占了運營商13.5%的分成收入。由于計費過程和相應的收入數據是系統按設置的指令自動完成和按月生成的，P公司的財務人員未能及時發現此問題。此違規行為直到次年5月，才被某審計事務公司在為P公司上市而進行的審計中發現。審計公司大震驚，不但擴大了實質性審計的范圍，還另外派技術人員加大了對P公司系統其他計費程序的檢測，并要求P公司通告運營商。最終P公司被運營商處以幾倍的罰款并被禁止開展相應業務一年，同時審計費用也大大增加了。

從此案例中我們不難看出，P公司的計算機系統控制存在明顯問題：系統授權﹑批準流程不合理，計費代碼的開通或變更應由財務負責人或單獨的報價部門批準；計費系統和數據未設立合理的負責人；對系統中程序化設計缺乏定期監控，造成錯誤長期未被發現等。

三、加強內控中計算機信息系統控制的對策

（一）構建完善的計算機信息系統組織

企業的計算機信息系統組織通常包含公司高級管理層組織，例如CIO（首席信息官）組織，和應用系統和數據負責人，它為整個公司計算機信息系統風險的有效控制確定了基調。一個強有力的公司層面的計算機信息系統控制環境，是一個高級管理層及應用系統和數據負責人，共同對整體控制環境具有全面了解﹑溝通和監督的環境。這樣的環境具有透明度，它使管理層能夠了解正在發生的一切情況及是否存在任何問題。企業有正規的內部控制的政策和綱要，可以明確內控的目標和管理層的期望。此外，公司層面應設立一些流程對控制環境進行監督，并確保有效的上下級交流和部門間橫向交流。

（二）加強業務流程或活動層面的計算機信息系統控制

在業務流程或活動層面的計算機信息系統控制包括一般性控制，應用系統和數據負責人控制及應用系統控制三部分。

1.一般性控制

一般性控制是總體的流程層面控制，通常會影響計算機系統中不止一個應用系統和數據。COSO將其定義為“有助于確保計算機信息系統持續和正確的操作的政策及程序。”一般性控制主要包括安全管理﹑應用系統變更控制﹑數據中心操作和問題管理，及資產管理等控制流程。這些流程的控制和其他業務流程的控制類別一樣，都有人工和系統控制，會執行預防和檢測性控制，并有監督和管理控制。它們的控制目標與流程和數據的可靠性，以及對數據程序和具體交易的正確訪問有關。各流程包括以下控制關注點：

（1）安全管理：其目標是建立和維護信息技術環境內的整體計算機系統——包括各應用系統﹑數據庫﹑平臺和網絡管理的安全措施。民營企業應制定這樣一些流程，用于識別風險﹑制定策略以便將風險降低至管理層可接受的程度；用于執行及監控信息技術環境各個層面中政策和程序的執行；用于處理關鍵信息資產的存取，并控制非授權存取的風險，企業還應制定災難恢復計劃，以保證業務的持續運作，及按相關法律法規的要求提交其財務報告和其他報告。

（2）應用系統變更控制：它是財務報告控制中尤為重要的一個因素。應用系統變更直接影響應用系統的完整﹑準確和一致性，進而影響交易流程的完整﹑準確和一致，以及交易的及時積累﹑總結和呈報，因此企業必須制定一個設計周密且運作有效的應用系統變更管理流程，例如：設立適當的程序以建立﹑監督﹑測試及審批有關變更，并將已被適當審批的變更應用于現實交易環境；設置適當的保安措施，以防止負責該流程的人員在未被發現的情況下，對程序或有關數據作不適當的變更；要防止因增加﹑修改職責或存取授權而對應用系統變更時，影響不相容職務相分離原則；要防止在變更過程中，未獲授權的人員能存取信息資產。

（3）數據中心的操作和問題管理：它也會影響數據的可靠性及程序的完整﹑準確和一致。當有問題發生時，比如程序被中斷，交易和數據的處理不完整不準確的風險概率就會增高，因而企業必須設立流程來處理這些問題，這些流程常會涉及應用系統和數據負責人就解決問題而進行的溝通交流。此外還應適當限制某些部門負責人在數據存取和系統操作方面擁有的廣泛權力，以防止交易和數據在非正常條件下，未經授權被存取的風險。

（4）資產管理：資產管理控制是信息技術組織中重要的一環。因為：計算機信息系統軟硬件價格不菲，是企業的重要投資；資產管理的重要方面不但與資產獲取﹑操作和處置的正確會計處理息息相關，還與財務報告中資產存在的驗證和價值評估緊密聯系；該領域還涉及軟件版權的正確使用和監督，這對在或將要在海外上市的民營企業尤為重要。

2.應用系統和數據負責人控制關注點

應用系統和數據負責人通常是企業業務流程的負責人自己或被其授權并向其直接報告的人員。他們有責任去了解﹑設計和維護應用系統中所執行的控制，并清楚地向計算機技術人員傳達這些控制的必要性，以便準確進行控制程序化設計。同時還要了解計算機化控制的局限性，來協助設計檢測性和監督性控制。控制關注點控制包括：

（1）應定期對其所負責的控制進行自我評估，特別是應用系統變更時。

（2）應清楚地了解所負責的交易和數據，以確保在與這些交易和數據相關聯的活動的控制中有適當的職責分離。例如，他們要保證在計算機環境不，將交易的授權﹑管理和記錄職責適當分離這一內控基本原則不被破壞。他們有責任將應用系統的安全要求備案，并在各應用系統發展和變更時，對“交易和職責分離清單”進行持續更新和維護。

（3）應監督對關鍵交易的存取過程﹑存取頻率和存取人進行定期審核，并解決有關控制失靈的問題。審核應根據交易和數據的關鍵性和敏感性定期進行，且審核流程應予以記錄。

（4）應協同CIO組織一起制定災難恢復計劃，以確保業務持續計劃的運作，并對上述計劃的變更持續更新和定期測試。

（5）應有效地參與變更控制流程，并有能力建立應用系統變更；將變更通過授權文件傳達到組織；對變更給內部控制環境帶來的影響進行評估和記錄；在變更實施前進行測試。

3.應用系統控制關注點

應用系統控制包括應用軟件中的電算化步驟，以及用以控制不同種類交易處理過程的相關操作程序，它是保證交易處理的完整性、準確性、交易授權和有效性的內部控制。它和一般性控制是相互關聯的。一般性控制用于保證建立在計算機程序基礎上的應用性控制得以實施。主要的控制關注點有：

（1）應用系統內被程序化的控制：例如，數據輸入的計算機化編輯檢查﹑數字順序檢查。這些程序化的控制能確保交易通過財務報告的應用系統被完整﹑準確﹑既是和適當的呈報。這些可能被程序化的控制主要出現在運算﹑數據驗證和編輯檢查﹑與其他系統的電子接合﹑關鍵財務信息的分類總結和呈報，以及限制交易和數據的存取。這些控制的正確設計和操作在應用過程中應重點關注。

（2）不相容職務相分離也是一關鍵問題。有關的職責分離控制是根據嚴格的業務規則，通過對交易和數據的存取做出限制來實現的。

參考文獻：

[1]陳杰，張凱.會計電算化教程[M].華南理上大學出版社，2006. 2

[2]黎大均.會計電算化發展中存在的問題及對策[J].沿海企業與科技，2005.2