文档介绍:概论
计算机信息系统内部控制概述
信息系统电算化对传统内部控制的影响
手工信息系统中严格的凭证制度,在计算机信息系统中逐渐减少或消失
凭证是经济业务活动的依据,设计良好的凭证格式及其传递程序,具有较强的控制功能,一旦发生某些错弊,凭证就成为追查责任的根据。在计算机信息系统中,特别是在联机实时系统中,终端操作者经常把业务直接输入计算机,而没有留下任何凭证。例如,定货业务,定货者可以通过电话把业务直接输入系统,在这些情况下,如果没有适当的控制,未经授权批准的业务就可能进入系统,审计线索也可能消失。
(二)传统的手工信息系统所具有的分工功能逐渐被归并
在手工信息系统中,职责划分是一项重要的内部控制制度。例如,在会计系统中,记录总帐和记录明细帐的职责要分工。但在计算机信息系统中,这些分工功能逐渐被并入电子数据处理系统中。例如,在工资处理系统中,计算机既记录所有职工的工资及其工资率,记录职工的工作时间,又计算职工每月的工资,打印职工的应发工资等等。
在计算机信息系统中,若采用非数据库处理系统,因每个个别的系统各自拥有的储存媒介,仍可核对两个由不同人员负责处理的系统所产生文件的内容而发现错弊的存在,尚可勉强维持职权划分的部分功能。例如,负责帐务处理系统人员,若无法接触应收帐款系统,则其篡改客户的行为,必因核对两个系统产生的独立文件内相同资料项目而发现。但当组织采用数据库管理系统时,因相同资料仅输入及保留一份在数据库内,各系统不再个别重复建立其本身使用的数据库,则上述非数据库系统所具有的职权划分的功能已不复存在。
计算机信息系统可以自动授权、批准
授权、批准控制是指各级业务人员必须获得授权和批准,才能执行某项业务。在传统的手工信息系统中,对于一项经济业务的每一个环节都要经过某些经授权的人员的签名或盖章。但在比较先进的计算机信息系统,可直接由电子数据处理功能取得授权、批准。例如,业务经办人可以利用特殊的授权文件,如录有监督码的磁性识别卡,插入(或输入)机器内,即可获得批准终端机或运转有关的特定系统。这与手工信息系统只重视纸张文件上是否有签名或盖章的作业方式,显然不同。
在计算机信息系统中,计算机还可以自行产生一些业务处理。例如,系统设计员可根据存货控制理论,预先算好各种存货的经济定货量和再定货点,并把这些信息存储于系统中,系统就会监督存货定额,一旦存货低于再定货点,系统就会按经济定货量自动开出定货单,而没有具体人员的批准。
计算机信息系统的信息容易丢失、被盗窃和被篡改
在手工信息系统中,由于各项经济业务是记录于书面纸张,是肉眼可见的,一般来说,不容易丢失。一些舞弊人员篡改帐表单证的行为也会留下痕迹,这些痕迹是手工信息系统一项固有的控制措施。但在计算机信息系统中,各项经济业务是存储于电、磁介质上,是肉眼不可见的,而且这些电、磁介质在受热、受潮或强的电磁场下都会损坏。因此,存于这些电、磁介质之上的信息有丢失和毁坏的危险。另外,在操作时,除了工作人员疏忽大意容易将存储于这些磁性介质之上的信息毁坏之外,如果没有适当的内部控制,一些舞弊人员还可进入系统,对存储于这些电、磁介质之上的信息以及对程序进行篡改或拷贝,而不留下任何痕迹。
电、磁介质存储数据缺乏证据力
在手工信息系统中,信息被记录于凭证、帐簿等纸张上面,这些信息以纸作为载体,而在计算机信息系统中,则主要以磁盘、磁带等磁性介质作为信息的载体。从内部控制的角度看,电、磁介质有一个很大的弱点,即记录于磁性介质之上的信息缺乏证据力。这主要是因为:
利用电、磁介质很容易通过拷贝进行数据的复制,因而无法区分正本和副本;
记录于电、磁介质上的信息是肉眼不可见的,必须借助于计算机的“翻译”才能以肉眼可见的形式表现出来,但同一信息是可以“翻译”成不同形式的;
利用电、磁介质无法实现像签字、盖章这样的使信息证据化的操作。
因此,如果单纯依赖电、磁介质这种信息载体,则可能造成责任不清、真伪难辨,使审计缺乏具有法律效力的证据。
(六)数据与责任高度集中
在手工信息系统中,许多资料分散保存在企业的各个责任部门,没有经过授权批准的人很难花很多的时间分别到各部门的文件柜里浏览所有的文件。但在计算机信息系统中,全部的数据高度集中于电子数据处理部门,如果没有适当的控制,未经授权批准的人可以轻而易举地利用指令来浏览所有的文件,一些机密数据也很可能被不法分子很方便地拷贝甚至可能被非法篡改而不留下任何痕迹。
除了数据高度集中外,计算机信息系统的另一风险就是责任高度集中。例如,在手工会计信息系统中,由经济业务产生原始凭证,根据原始凭证,编制记帐凭证;根据记帐凭证,登记帐簿;根据帐簿,编制报表。每一步都有文字记录,每一步都有经手人负责。但在计算机会计信息系统中,原始数据一经输入计算机,就由计算机