
中國內(nèi)部審計2001.11
內(nèi)部控制與電腦稽核
IIA臺北——內(nèi)部稽核協(xié)會常務(wù)理事 劉振巖
學習內(nèi)部控制與電腦稽核要明確:控制的目的不是防弊,防弊不足以興利,興利則可以防弊,目的是賺錢。
學習管理而不是學習稽核,你能查賬,你還不是顧問。所以,學習電腦審計,不要把功夫花在技術(shù)上,而應(yīng)花在分析上。
一、電腦化資訊系統(tǒng)的安全控管
●電腦化資訊系統(tǒng)所面臨的威脅
※天然及政治的災(zāi)難
※軟體錯誤(缺失)及設(shè)備失效
※無心的錯誤
※有意的舞弊或犯罪
●電腦化資訊系統(tǒng)所面臨的威脅與日俱增
二、電腦化資訊系統(tǒng)稽核架構(gòu)與方法
●風險稽核法(The Risk-Based Audit Approach)
※決定資訊系統(tǒng)所面臨的威脅
※找出足以預(yù)防或偵知錯誤或舞弊,進而降低威脅的控制程序
※評估相關(guān)的控制程序,包含系統(tǒng)檢視及控制測試
※評估系統(tǒng)弱點,以決定上述弱點對于稽核程序的性質(zhì)、時點及范圍的影響
※補償性控制(Compensating Controls)
三、電腦審計流程檢核(圖一)
四、EDP系統(tǒng)內(nèi)部控制之構(gòu)成要素(圖二)
五、電腦化會計作業(yè)內(nèi)部控制結(jié)構(gòu)應(yīng)用控制
電腦化控制
應(yīng)用控制
1.輸入控制
2.程序控制
3.輸出控制
4.錯誤之控制調(diào)查與改進
5.檔案安全
一般控制
l.組織氣候與操作控制
2.系統(tǒng)發(fā)展與文件化控制
3.硬體與系統(tǒng)軟體控制
4.進出控制
5.資料與程序控制
圖一
六、良好電腦會計制度內(nèi)部控制應(yīng)有因素(圖三)
●一般控制包含:
l、資訊系統(tǒng)職能內(nèi)部分工
2、資訊系統(tǒng)職能管理控制
3、實體存取控制(Access Controls)
4、邏輯存取控制
5、資料儲存控制
6、資料傳送控制
7、建立文件標準
8、系統(tǒng)檔機時間(System Downtime)降至最低
9、災(zāi)害復(fù)原計劃
10、保護個人電腦與主從式網(wǎng)絡(luò)(Client/server networks)
●應(yīng)用控制包含:
l、批次總數(shù)( Batch Totals)
2、原始資料控制(Source Data Controls)
3、輸入驗證程序( Input-Validation Routines)
4、線上資料輸入控制(On-line Data Entry Controls)
5、檔案維護控制(File Maintenance Controls)
6、輸出控制(OutPut Controls)
七、常見的批次總數(shù)
●財務(wù)總計(Financial Totals)
●雜數(shù)總計 (Hash Totals)
●紀錄總計(Record Count)
●行數(shù)總計(line Count)
●交叉加總金額檢查(cross一footing Balance)
八、常見的原始資料控制
●資料控制職能的設(shè)置
●重復(fù)輸入
●檢查碼驗證
●表單順序編號驗證
●回轉(zhuǎn)文件(Turnaround Documents)
圖三
重要項目
主要做法
重要項目
主要做法
訓練有能力的員工
*塑造企業(yè)內(nèi)確認安全性之重要的組織氣候
*正確使用電腦的訓練
*調(diào)查員工背景和必要訓練
*有電腦素行欠佳員工即時調(diào)整現(xiàn)職
合宜的表單和會計記錄
*提供支持資訊檔案與程式
*擬定執(zhí)行程序和標準
*擬定表單制度化與確定程式制度化
*使用預(yù)行流水編號與表格
組織權(quán)責分明
*擬定企業(yè)導入電腦化計劃
*避免特權(quán)人物之產(chǎn)生
*確立資訊、相關(guān)系統(tǒng)與系統(tǒng)之責任
*避免各種人為共謀、集體舞弊
必要的實體控制
*電腦與終端機退出控制
*防范資料外泄與電腦受損
*資料輸入輸出敏感性控制
*確保電腦處于正常狀況
適當交易處理程序
*確定所有交易均經(jīng)過核準
*正確輸入資料
*只準使用被核準與測試合格的程式
*研發(fā)與測試電腦當機危機防范
客觀獨立審計
*研發(fā)整體系統(tǒng)控制
*獨立會計師實行審計
*檢查是否遵行既定目標和既定規(guī)定作業(yè)
*檢視總體系統(tǒng)安全性與寬裕性
九、常見之輸入驗證程序
●欄位檢查
●上(下)限檢查
●范圍檢查
●合理性檢查
●重復(fù)資料檢查
●順序檢查
●符號檢查
●有效性檢查
十、常見的線上資料輸入控制
●輸入驗證程序所采用的各項控制措施
●使用者代碼與密碼
●權(quán)限測試
●系統(tǒng)提示
●預(yù)先格式化
●完整性測試
●使用預(yù)設(shè)值
●交易自動輸入
●回圈式驗證
●設(shè)置交易日志
●明確的錯誤訊息
十一、常見的檔案維護控制
●資料更新檢查
●例外情況報導
●與外部資料相調(diào)節(jié)
●與統(tǒng)制漲互相調(diào)節(jié)
●檔案安全措施
●檔案轉(zhuǎn)換控制
●設(shè)置錯誤日志
●錯誤情況列表
十二、常見的輸出控制
●檢視輸出表單是否合理
●檢機輸出表單格式是否恰當
●調(diào)節(jié)控制總數(shù)
●分送輸出表單給適當?shù)牟块T(人員)
●使用者檢視收到的表單
●機密性資料于使用后之保管及銷毀
十三、電腦化資訊系統(tǒng)稽核
l、電腦化資訊系統(tǒng)稽核的目標
2.電腦化資訊系統(tǒng)稽核系統(tǒng)組成要素
3.電腦化資訊系統(tǒng)稽核架構(gòu)與方法
4.電腦化資訊系統(tǒng)稽核程序
5.電腦化資訊系統(tǒng)的安全控管
十四、電腦化資訊系統(tǒng)稽核
●電腦化資訊系統(tǒng)稽核的目標
l、確保資訊系統(tǒng)環(huán)境下的主要風險都納入適當?shù)幕朔秶鷥?nèi)
2、確保資訊系統(tǒng)資源以有效率及有效果的方式分配到電腦硬體、周邊設(shè)備、軟體、技術(shù)服務(wù)及人員上,件達成資訊系統(tǒng)部門及組織之目的與目標
3、合理保障電腦技術(shù)相關(guān)的資產(chǎn)(例如:資料、程式、設(shè)施、設(shè)備、耗材等)皆與妥善的保管
4、確保資訊的時效性、正確性、可用性及可靠性
5、合理保證所有的錯誤、遺漏、及不規(guī)則情事(弊端)皆予以預(yù)防、偵知、改正及報導
十五、電腦化資訊系統(tǒng)稽核程序——稽核規(guī)劃
●訂定稽核范圍與目標
●組成稽核小組
●了解稽核對象之業(yè)務(wù)程序
●檢視上次\稽核報告及資料
●找出風險因素
●制定稽核計劃
十六、電腦化資訊系統(tǒng)稽核程序一收集稽核證據(jù)
●觀察作業(yè)活動
●檢視書表文件
●訪談員工
●使用問卷
●實際檢視資產(chǎn)
●向第三者函證
●重作相關(guān)程序
●檢視原始憑證
●分析性復(fù)核
●稽核抽樣
十七、電腦化資訊系統(tǒng)稽核程序一評估稽核證據(jù)
●評估內(nèi)部控制品質(zhì)
●評估資訊的可靠性
●評估營運績效
●考慮是否需要額外的證據(jù)
●考慮風險因素
●考慮重要性因素
●紀錄稽核的發(fā)現(xiàn)
十八、電腦化資訊系統(tǒng)用核程序一報道稽核結(jié)果
●稽核工作結(jié)束訪談(Exit Interview)
●形成稽核結(jié)論
●作成對管理當局的建議
●編寫稽核報告
●向管理當局報告稽核結(jié)果
十九、電腦作業(yè)稽核實務(wù)實例介紹
●人事稽核案例介紹
●采購稽核案例介紹
二十、人事稽核案例介紹
(一)每一項工作的工作標準必須正式的建檔與記錄
(二)非授權(quán)者無法取得人事資料
(三)職能分工:
l、記錄人事資料。
2.查核工作時間卡及加班小時。
3、查核薪津計算。
4.分發(fā)薪津袋。
5.支付代扣款給第三者。
(四)所有有關(guān)薪津計算之交易:必須有書面的核準于正式的表格上。
(五)在編制薪津以前,會計部門必須查核在主檔的資料是否完整及所有變更的資料是否正確。
(六)工作時間卡必須核對核準人簽名及該部門所提供之工時表。
(七)加班時間超過46小時者,必須通知其主管。
(八)薪津表計算出的薪津總數(shù),必須與預(yù)計的薪津控制總數(shù)相符(此控制總數(shù)的變更表包括月變更與累計變更薪津總數(shù)要相符)。
(九)所有薪津調(diào)整項目必須有憑證與核準。
(十)未領(lǐng)的薪津袋立刻存放于保險箱。
(十一)薪津收條由員工直接簽收。
(十二)薪津代扣款支付給第三者必須與所扣之金額相符。
(十三)薪津表上給銷貨員的傭金及工作時間必須與銷貨及工廠工時互相調(diào)節(jié)。
(十四)薪津表偶爾要經(jīng)稽核人員查核。
(十五)應(yīng)付薪津科目也應(yīng)定期調(diào)節(jié)與查核其內(nèi)容。
二十一、采購稽核案例介紹
(-)采購
l、請購單之核準人員受金額大小之限制。
2、開標標單嚴密保管。
3、詢價工作專人負責。
4、所有訂購單均經(jīng)適當核準。
5、大的采購,必須通過詢價委員會。
6、注明未采用低價之理由。
7、廠商過去的價格、運送時間及品質(zhì)結(jié)果,均應(yīng)保持記錄。
8、允許先送貨后補訂單者,必須訂明作業(yè)程序。
9、請購單與訂購單之號碼必須連號控制。
10、定期復(fù)查未結(jié)案之訂單,以便追查行動迅速執(zhí)行。
11、定期分析價差,假如標準成本不夠可靠,應(yīng)與市價相比較。
(二)收貨
l、收貨單必須連號控制。
2、收貨員之工作指令必須明列操作過程,并定期復(fù)核,以確定其完整正確。
3、所有收貨必須與訂貨單符合,才開收貨單,接受清點。
4、送貨之數(shù)量與時間若不符,必須先經(jīng)采購部核準。
5、收貨單上若有變更,必須注明變更原因。
6、有問題的收貨必須分開存放,并定期復(fù)查。
(三)庫存物品
l、管理倉庫規(guī)則必須明文規(guī)定:
(l)標示允許接近倉庫者,安全措施、防火規(guī)定及防止品質(zhì)購質(zhì)等措施。
(2)寄售物、退貨、危險品、瑕疵品及老舊品,均應(yīng)分開庫存,以便定期報告及處理。
(3)收貨或發(fā)貨之日期,單位、憑證與簽字等處理規(guī)則。
(4)庫存記錄及差異報告。
2、未被核準者,不得接近存貨。
3、下班時間,倉庫上鎖,備用鑰匙應(yīng)封好后,存放在警衛(wèi)室。
4、庫存采輪流清點方式。
5、存量超過標準時,必須予以分析報告。
6、存放于他人處之物品,要定期函證。
(四)領(lǐng)用與退庫
l、核準人必須明列其簽字,以便倉庫人員辨認。
2.所有單據(jù)、憑證必須連號控制,以確定列賬之完整。
3、總賬與明細賬必須調(diào)節(jié)一致。若有差異,必須分析報告。
4、生產(chǎn)線超額領(lǐng)料,必須特別核準。
5.存發(fā)變動表經(jīng)計價后,確定完全正確,才計入總賬。
(五)盤點
l、明文規(guī)定盤點指令:
盤點之范圍、方法、使用之工具及其準確性。
存貨之安排、辨認及說明(包括事前熟悉將被清點之物品)。
個別清點后之記號,包括日期、人名及編號。盤點卡連號控制。
※寄存地處物品函證或清點。
※收發(fā)料之截止日期與號碼。
2、盤點結(jié)果報告包括下列:
(1)抽點日期及清點之存貨量。
(2)發(fā)生差異數(shù)、原因及處理方法。
(六)退貨
l、退貨單必須預(yù)先編號,連號控制。
2、退貨單經(jīng)核準后,必須經(jīng)會計部門登記后,貨物才放行。
3、應(yīng)收理賠應(yīng)定期復(fù)查及核準。
(七)權(quán)責劃分
l、核準者。
2、詢價者。
3、收貨者。
4、復(fù)查者。
5、領(lǐng)貨者。
6、物品保管者
7、記總賬者。
8、登明細賬者。