中國內部審計2001.11
內部控制與電腦稽核
IIA臺北——內部稽核協會常務理事 劉振巖
學習內部控制與電腦稽核要明確:控制的目的不是防弊,防弊不足以興利,興利則可以防弊,目的是賺錢。
學習管理而不是學習稽核,你能查賬,你還不是顧問。所以,學習電腦審計,不要把功夫花在技術上,而應花在分析上。
一、電腦化資訊系統的安全控管
●電腦化資訊系統所面臨的威脅
※天然及政治的災難
※軟體錯誤(缺失)及設備失效
※無心的錯誤
※有意的舞弊或犯罪
●電腦化資訊系統所面臨的威脅與日俱增
二、電腦化資訊系統稽核架構與方法
●風險稽核法(The Risk-Based Audit Approach)
※決定資訊系統所面臨的威脅
※找出足以預防或偵知錯誤或舞弊,進而降低威脅的控制程序
※評估相關的控制程序,包含系統檢視及控制測試
※評估系統弱點,以決定上述弱點對于稽核程序的性質、時點及范圍的影響
※補償性控制(Compensating Controls)
三、電腦審計流程檢核(圖一)
四、EDP系統內部控制之構成要素(圖二)
五、電腦化會計作業內部控制結構應用控制
電腦化控制
應用控制
1.輸入控制
2.程序控制
3.輸出控制
4.錯誤之控制調查與改進
5.檔案安全
一般控制
l.組織氣候與操作控制
2.系統發展與文件化控制
3.硬體與系統軟體控制
4.進出控制
5.資料與程序控制
圖一
六、良好電腦會計制度內部控制應有因素(圖三)
●一般控制包含:
l、資訊系統職能內部分工
2、資訊系統職能管理控制
3、實體存取控制(Access Controls)
4、邏輯存取控制
5、資料儲存控制
6、資料傳送控制
7、建立文件標準
8、系統檔機時間(System Downtime)降至最低
9、災害復原計劃
10、保護個人電腦與主從式網絡(Client/server networks)
●應用控制包含:
l、批次總數( Batch Totals)
2、原始資料控制(Source Data Controls)
3、輸入驗證程序( Input-Validation Routines)
4、線上資料輸入控制(On-line Data Entry Controls)
5、檔案維護控制(File Maintenance Controls)
6、輸出控制(OutPut Controls)
七、常見的批次總數
●財務總計(Financial Totals)
●雜數總計 (Hash Totals)
●紀錄總計(Record Count)
●行數總計(line Count)
●交叉加總金額檢查(cross一footing Balance)
八、常見的原始資料控制
●資料控制職能的設置
●重復輸入
●檢查碼驗證
●表單順序編號驗證
●回轉文件(Turnaround Documents)
圖三
重要項目
主要做法
重要項目
主要做法
訓練有能力的員工
*塑造企業內確認安全性之重要的組織氣候
*正確使用電腦的訓練
*調查員工背景和必要訓練
*有電腦素行欠佳員工即時調整現職
合宜的表單和會計記錄
*提供支持資訊檔案與程式
*擬定執行程序和標準
*擬定表單制度化與確定程式制度化
*使用預行流水編號與表格
組織權責分明
*擬定企業導入電腦化計劃
*避免特權人物之產生
*確立資訊、相關系統與系統之責任
*避免各種人為共謀、集體舞弊
必要的實體控制
*電腦與終端機退出控制
*防范資料外泄與電腦受損
*資料輸入輸出敏感性控制
*確保電腦處于正常狀況
適當交易處理程序
*確定所有交易均經過核準
*正確輸入資料
*只準使用被核準與測試合格的程式
*研發與測試電腦當機危機防范
客觀獨立審計
*研發整體系統控制
*獨立會計師實行審計
*檢查是否遵行既定目標和既定規定作業
*檢視總體系統安全性與寬裕性
九、常見之輸入驗證程序
●欄位檢查
●上(下)限檢查
●范圍檢查
●合理性檢查
●重復資料檢查
●順序檢查
●符號檢查
●有效性檢查
十、常見的線上資料輸入控制
●輸入驗證程序所采用的各項控制措施
●使用者代碼與密碼
●權限測試
●系統提示
●預先格式化
●完整性測試
●使用預設值
●交易自動輸入
●回圈式驗證
●設置交易日志
●明確的錯誤訊息
十一、常見的檔案維護控制
●資料更新檢查
●例外情況報導
●與外部資料相調節
●與統制漲互相調節
●檔案安全措施
●檔案轉換控制
●設置錯誤日志
●錯誤情況列表
十二、常見的輸出控制
●檢視輸出表單是否合理
●檢機輸出表單格式是否恰當
●調節控制總數
●分送輸出表單給適當的部門(人員)
●使用者檢視收到的表單
●機密性資料于使用后之保管及銷毀
十三、電腦化資訊系統稽核
l、電腦化資訊系統稽核的目標
2.電腦化資訊系統稽核系統組成要素
3.電腦化資訊系統稽核架構與方法
4.電腦化資訊系統稽核程序
5.電腦化資訊系統的安全控管
十四、電腦化資訊系統稽核
●電腦化資訊系統稽核的目標
l、確保資訊系統環境下的主要風險都納入適當的稽核范圍內
2、確保資訊系統資源以有效率及有效果的方式分配到電腦硬體、周邊設備、軟體、技術服務及人員上,件達成資訊系統部門及組織之目的與目標
3、合理保障電腦技術相關的資產(例如:資料、程式、設施、設備、耗材等)皆與妥善的保管
4、確保資訊的時效性、正確性、可用性及可靠性
5、合理保證所有的錯誤、遺漏、及不規則情事(弊端)皆予以預防、偵知、改正及報導
十五、電腦化資訊系統稽核程序——稽核規劃
●訂定稽核范圍與目標
●組成稽核小組
●了解稽核對象之業務程序
●檢視上次\稽核報告及資料
●找出風險因素
●制定稽核計劃
十六、電腦化資訊系統稽核程序一收集稽核證據
●觀察作業活動
●檢視書表文件
●訪談員工
●使用問卷
●實際檢視資產
●向第三者函證
●重作相關程序
●檢視原始憑證
●分析性復核
●稽核抽樣
十七、電腦化資訊系統稽核程序一評估稽核證據
●評估內部控制品質
●評估資訊的可靠性
●評估營運績效
●考慮是否需要額外的證據
●考慮風險因素
●考慮重要性因素
●紀錄稽核的發現
十八、電腦化資訊系統用核程序一報道稽核結果
●稽核工作結束訪談(Exit Interview)
●形成稽核結論
●作成對管理當局的建議
●編寫稽核報告
●向管理當局報告稽核結果
十九、電腦作業稽核實務實例介紹
●人事稽核案例介紹
●采購稽核案例介紹
二十、人事稽核案例介紹
(一)每一項工作的工作標準必須正式的建檔與記錄
(二)非授權者無法取得人事資料
(三)職能分工:
l、記錄人事資料。
2.查核工作時間卡及加班小時。
3、查核薪津計算。
4.分發薪津袋。
5.支付代扣款給第三者。
(四)所有有關薪津計算之交易:必須有書面的核準于正式的表格上。
(五)在編制薪津以前,會計部門必須查核在主檔的資料是否完整及所有變更的資料是否正確。
(六)工作時間卡必須核對核準人簽名及該部門所提供之工時表。
(七)加班時間超過46小時者,必須通知其主管。
(八)薪津表計算出的薪津總數,必須與預計的薪津控制總數相符(此控制總數的變更表包括月變更與累計變更薪津總數要相符)。
(九)所有薪津調整項目必須有憑證與核準。
(十)未領的薪津袋立刻存放于保險箱。
(十一)薪津收條由員工直接簽收。
(十二)薪津代扣款支付給第三者必須與所扣之金額相符。
(十三)薪津表上給銷貨員的傭金及工作時間必須與銷貨及工廠工時互相調節。
(十四)薪津表偶爾要經稽核人員查核。
(十五)應付薪津科目也應定期調節與查核其內容。
二十一、采購稽核案例介紹
(-)采購
l、請購單之核準人員受金額大小之限制。
2、開標標單嚴密保管。
3、詢價工作專人負責。
4、所有訂購單均經適當核準。
5、大的采購,必須通過詢價委員會。
6、注明未采用低價之理由。
7、廠商過去的價格、運送時間及品質結果,均應保持記錄。
8、允許先送貨后補訂單者,必須訂明作業程序。
9、請購單與訂購單之號碼必須連號控制。
10、定期復查未結案之訂單,以便追查行動迅速執行。
11、定期分析價差,假如標準成本不夠可靠,應與市價相比較。
(二)收貨
l、收貨單必須連號控制。
2、收貨員之工作指令必須明列操作過程,并定期復核,以確定其完整正確。
3、所有收貨必須與訂貨單符合,才開收貨單,接受清點。
4、送貨之數量與時間若不符,必須先經采購部核準。
5、收貨單上若有變更,必須注明變更原因。
6、有問題的收貨必須分開存放,并定期復查。
(三)庫存物品
l、管理倉庫規則必須明文規定:
(l)標示允許接近倉庫者,安全措施、防火規定及防止品質購質等措施。
(2)寄售物、退貨、危險品、瑕疵品及老舊品,均應分開庫存,以便定期報告及處理。
(3)收貨或發貨之日期,單位、憑證與簽字等處理規則。
(4)庫存記錄及差異報告。
2、未被核準者,不得接近存貨。
3、下班時間,倉庫上鎖,備用鑰匙應封好后,存放在警衛室。
4、庫存采輪流清點方式。
5、存量超過標準時,必須予以分析報告。
6、存放于他人處之物品,要定期函證。
(四)領用與退庫
l、核準人必須明列其簽字,以便倉庫人員辨認。
2.所有單據、憑證必須連號控制,以確定列賬之完整。
3、總賬與明細賬必須調節一致。若有差異,必須分析報告。
4、生產線超額領料,必須特別核準。
5.存發變動表經計價后,確定完全正確,才計入總賬。
(五)盤點
l、明文規定盤點指令:
盤點之范圍、方法、使用之工具及其準確性。
存貨之安排、辨認及說明(包括事前熟悉將被清點之物品)。
個別清點后之記號,包括日期、人名及編號。盤點卡連號控制。
※寄存地處物品函證或清點。
※收發料之截止日期與號碼。
2、盤點結果報告包括下列:
(1)抽點日期及清點之存貨量。
(2)發生差異數、原因及處理方法。
(六)退貨
l、退貨單必須預先編號,連號控制。
2、退貨單經核準后,必須經會計部門登記后,貨物才放行。
3、應收理賠應定期復查及核準。
(七)權責劃分
l、核準者。
2、詢價者。
3、收貨者。
4、復查者。
5、領貨者。
6、物品保管者
7、記總賬者。
8、登明細賬者。
