什么是应用控制
应用控制是针对具体的计算机化程序,例如薪资、应收账款和订单系统的特别使用的控制。应用控制应根据每个信息系统的特点,分别设计。应用控制包含自动控制和人工的流程控制,以确保只有经过授权的数据才能完全地、准确无误地通过应用程序来处理。
应用控制的稽核
应用控制稽核包括人工稽核和计算机辅助稽核两种。采用人工稽核时,用人工进行测试,以证明应用控制措施是依据计划进行的。通常抽查测试期内有代表性的样本,细查证据,以证明各种控制是正确执行的。当测试数据量很大时,宜采用计算机辅助稽核。计算机辅助稽核的方法可分为三类:
(1)用稽核软件。稽核部门编制相应的稽核软件,并用于下述辅助稽查:审查数据文件、抽取特殊项目、汇总、分类、查看数据的完整性等。
(2)用测试数据。稽核人员可事先准备一组测试数据,以检查程序逻辑的正确性、系统应用控制的可靠性。这种测试法又可分为动态测试和静态测试两种。动态测试时,稽核人员设立虚拟的行处、客户和交易,将虚拟数据和银行的真实数据一同处理,再将处理的结果同预期结果进行比较,以确定程序逻辑的正确性。测试完毕后,必须把虚拟的测试数据剔除,使数据文件不再含任何测试数据。静态测试时,稽核人员分别用测试数据和真实数据进行测试,并将处理结果同预期的估计值进行核对,若存在偏差,则需进一步审查。
(3)安全审计跟踪。安全审计跟踪是一种重要的安全机制,是防止内部犯罪和调查取证事故证据的基础。通过对重要事件和有关安全的问题进行记录,有助于检测和调查安全漏洞,当系统发现错误和受到攻击时,系统能定位错误并找出发生事故的原因。
应用控制的基本内容
应用控制是面向某一局部的控制,例如,针对数据输入阶段、数据处理阶段或信息输出阶段所作的控制。在一般的情况下,应用控制应当尽可能嵌入应用程序之中,以便通过程序化的操作对数据的真实可靠性进行控制。
1.输入控制
在应用控制之中,输入控制最为重要,这是因为,如果数据在输入阶段没有加以严格把关,即便是数据处理或信息输出控制十分严密,也可能导致“输入是垃圾,输出也是垃圾”的结果。对于会计凭证的输入,软件必须有预防原始凭证和记账凭证等会计数据未经审核而输入计算机的措施。而在数据输入过程中,软件必须有保证对输入数据进行正确性检测的控制。输入控制主要方法包括:凭证格式和内容的控制、有关责任人签章的控制、修改控制以及凭证审核的控制等。
在目前记账凭证多通过键盘输入的情况下,设置对记账凭证各数据项的检测控制十分重要。对于会计科目的输入控制,一般通过建立科目编码与名称对照文件,将输入的会计科目编码立即转换为科目名称并显示在屏幕上,由输入员对其加以核对。而为了防止非法对应科目的输入,则可建立非法对应关系库文件,令软件对所输入的会计分录的借贷方自动确定其对应关系是否合法,如果合法则允许输入机内,否则就拒绝接受。对于输入的借贷方金额,可采用试算平衡方法对其检验,如果记账凭证的借贷两方的合计数相等,则允许输入机内,否则就拒绝接受。
尽管目前有部分原始凭证可通过条形码等方式录入并存储于机内,但其大部分仍然以纸介质的方式存在,这不仅给会计档案的保管带来诸多的麻烦,更重要的是由于纸质原始凭证游离于机外而使系统的记账凭证与原始凭证之间的监控难达高效。对此,运用影像与扫描技术使原始凭证电子化,是一个切实可行的做法。原始凭证的影像实时处理的具体做法是,首先设置录入平台,根据业务量的大小,综合采用中高速扫描仪、平板扫描仪、摄像等多种方式,将经过审核的纸质原始凭证存入机内。当前纸质原始凭证不外两种形式,一种是由打印机直接打印输出,另一种是由手写填列。对于第一种,可以通过扫描方式将凭证扫描并经过机内审核后存储于机内原始凭证库文件之中。而对于后一种形式,也即手写填列的凭证,由于手书笔迹难以正确地为计算机所识别,因而通过扫描方式进行处理就可能事倍功半。为此,可采用摄像方式将每张原始凭证拍摄并存入专用的目录文件之中。采用这种拍摄方式不利于记账凭证的自动生成,它毕竟只是一种权宜之计,如果这类手书的凭证不是太多,也可以直接由会计人员通过键盘方式将其输入并在机内审核之后存入原始凭证库文件之中。
逐步放弃纸质存放而尽可能将会计凭证存储于机内,是今后会计信息化的发展方向。基于这一设想,先原始凭证的扫描(或影像)处理,后记账凭证的填制的顺序不可颠倒。当原始凭证经过影像处理或扫描审核后,记账凭证的输入员可直接据以在机上填制记账凭证,这一做法可以保证机内原始凭证与记账凭证的一致性。同时,也为今后会计凭证的无纸化操作打下基础。随着电子商务的快速发展,原始凭证的全部无纸化不难实现,进而为智能软件自动对各种会计业务加以识别并据以生成记账凭证创造条件。
2.计算机处理与数据文件控制
会计信息系统计算机处理与数据文件控制的基本目标是保证对经济业务的数据处理过程的正确无误,所有经济业务没有被遗漏、添加、重复或不适当地更换,同时,在数据处理过程中软件能够对错误及时予以识别和改正。
常见的控制方法有常数控制、对应数字控制、范围控制和总数与顺序控制等方法。这些控制一般都嵌入在应用程序之中,例如,在工资处理过程中设计对每个职工的基本工资与实发工资的金额位数的控制,如对一个月工资超过一万元者在屏幕予以提示就是一种常数控制方法。又如在登账处理过程中,为了检验登录前的账簿数据是否被非法修改,可在每次登账之后将随机选取的账户发生额合计数存储至某变量A之中,在下一次登账之前对该账簿文件中原来随机选取的账户发生额重新予以合计,并将其与变量A中的值核对,如果相等则说明账簿文件没有被非法修改过,可以调用账簿登录模块进行登账处理,否则,则不允许运行账簿登录程序。
3.输出控制
会计信息系统的输出控制的基本目标是保证处理结果的正确性,为此,只允许授权者对输出模块进行操作,同时,对输出结果应当及时地提供给被允许使用的信息用户。
会计信息系统的输出主要有会计凭证、账簿和会计报表。输出形式包括屏幕显示和打印输出。随着网络化的纵深发展,通过电子邮件等形式将输出结果发送给指定信息用户已是大势所趋。面对这一形势,如何保证处理结果在传递过程中不被截取与修改,也就成为近期内会计信息化所要解决的一个重要问题。
应用控制的审计目标
对计算机会计信息系统的应用控制进行审计,目的在于评价应用控制是否对该会计信息系统的具体应用环节进行了保护和控制。应用控制的审计日标在于:
第一,保证所有经过审核批准的交易均处理完毕,并且每一项交易只处理一次。
第二,保证交易资料的完整和正确。
第三,保证交易的处理正确无误,符合要求。
第四,保证处理的结果可用于预定的用途,并能产生预期的效益。
第五,保证应用程序能正常运作,并持续维护其功能。
应用控制的审计
应用控制是信息系统中一般控制以外的一类重要的内部控制。它包括输入控制、处理控制和输出控制。它有相当一部分是建立在系统应用程序中的程序控制。为了方便,我们把应用控制的审查分为手工控制的审查和程序控制的审查两部分来讨论。程序控制的审查常要通过计算机审查,即要采用计算机辅助审计技术,具体的审查方法将在以后的章节详细介绍。这里只讨论手工控制的审查。对手实现的应用控制,一般也采用手工方法进行审查。下面简要地介绍主要控制的审查方法。
1.业务处理规程和输入控制的审查
一个较完善的信息系统应有明确的业务处理规程,审计人员不但要向有关人员了解这些规程,了解其执行情况,而且应实际跟踪系统的业务流,观察数据是如何准备的,如何审批的,又如何输入计算机的,有哪些控制能保证只有经过审批的业务才能被系统接受处理,信息又是如何输出使用的,操作员有无记录操作日志等,以此取得证据,证实业务是否按业务处理规程进行处理。此项审查可以部分参考内审人员的工作。如果被审单位的内审人员日常进行这方面审查,审计人员可复查他们的作底稿,了解此控制的日常执行情况。此外,审计人员应检查系统的操作日志。审计人员还可对被审会计期间内已处理过的业务进行抽查,检查已处理的业务是否都经过了审批(一般审批都是以签字或盖章为标志的),数据的准备是否合规等。对于由计算机打印输出的资料,由人工与输入单据核对的系统,审计人员也可以适当抽选一部分已处理过的业务进行核对,以证实控制的有效性。
手工完成的输入控制的另一重要环节是对输入过程中因计算机发现错误而拒绝接受的错误业务的改正与重新提交的控制。审计人员应向系统负责人及操作员了解对错误业务的处理方法,了解是否有措施保证出错的业务改正后重新向系统提交,而不会被漏掉。另外,审计人员应对被审会计期间出错的业务进行抽查,跟踪被抽查的m错业务的改正和重新提交过程,以证实此控制是否有效。
2.输出控制的审查
输出控制中也有相当一部分是手工控制。要审查这些控制,审计人员不仅要向有关人员了解系统的输出资料是如何处置的,有无健全的检查、保管和分发制度,而且要实际观察系统的输m,跟踪输出的资料。审计人员要检查是否有人负责审视输出;资料,是否有人核对输入输出控制总数。审计人员可以对被审会计期间输出的资料进行抽查,复查控制总数的核对,把重要的输出与输入单据重新比较。审计人员还应跟踪输出资料的分发与保管,检查打印输出资料的登记和签收记录,以证实系统的输出是否能按时送到指定的人员手中,而未经批准的人不能接触到它们。
总的来说,对手工实现的内部控制,一般也采用手工,审查的方法,即采用调查、了解、实地观察、抽样复查等方法,以取得证据,证实控制的有效性。
对应用控制的了解、测试与评价
(一)对应用控制的了解和描述
应用控制方法大多设计在相应的应用程序中,描述应用控制的方法既可以用程序流程图,也可以用问题式调查表,或者将两者结合起来使用。
(二)对应用控制的初步评价
评价应用控制的标准是:内部控制是否健全、所有的控制目标是否已经达到、各项控制制度是否符合内部控制基本原则的要求。
另外,还要评价应用控制的合理性。合理性既需要考虑有效性,也需要考虑成本一效益原则。只有当系统的执行者具有相当好的素质和丰富的经验时,计算机会计信息系统才能很好地执行各项应用控制。
(三)应用控制的测试
符合性测试着重要了解和评价会计信息系统所产生的会计数据的正确性,其具体方法是通过检查原始凭证、重做业务过程或者仔细观察应用系统运行状况来确定内部控制是否合理。在进行测试时,一般采用抽样方法,其抽样数量视初步评价的结果而定:内部控制越健全的应用系统,抽样的样本数据就越小;反之,样本量就大。