内部控制与电脑稽核
中国内部审计2001.11
内部控制与电脑稽核
IIA台北——内部稽核协会常务理事 刘振岩
学习内部控制与电脑稽核要明确:控制的目的不是防弊,防弊不足以兴利,兴利则可以防弊,目的是赚钱。
学习管理而不是学习稽核,你能查账,你还不是顾问。所以,学习电脑审计,不要把功夫花在技术上,而应花在分析上。
一、电脑化资讯系统的安全控管
●电脑化资讯系统所面临的威胁
※天然及政治的灾难
※软体错误(缺失)及设备失效
※无心的错误
※有意的舞弊或犯罪
●电脑化资讯系统所面临的威胁与日俱增
二、电脑化资讯系统稽核架构与方法
●风险稽核法(The Risk-Based Audit Approach)
※决定资讯系统所面临的威胁
※找出足以预防或侦知错误或舞弊,进而降低威胁的控制程序
※评估相关的控制程序,包含系统检视及控制测试
※评估系统弱点,以决定上述弱点对于稽核程序的性质、时点及范围的影响
※补偿性控制(Compensating Controls)
三、电脑审计流程检核(图一)
四、EDP系统内部控制之构成要素(图二)
五、电脑化会计作业内部控制结构应用控制
电脑化控制
应用控制
1.输入控制
2.程序控制
3.输出控制
4.错误之控制调查与改进
5.档案安全
一般控制
l.组织气候与操作控制
2.系统发展与文件化控制
3.硬体与系统软体控制
4.进出控制
5.资料与程序控制
图一
六、良好电脑会计制度内部控制应有因素(图三)
●一般控制包含:
l、资讯系统职能内部分工
2、资讯系统职能管理控制
3、实体存取控制(Access Controls)
4、逻辑存取控制
5、资料储存控制
6、资料传送控制
7、建立文件标准
8、系统档机时间(System Downtime)降至最低
9、灾害复原计划
10、保护个人电脑与主从式网络(Client/server networks)
●应用控制包含:
l、批次总数( Batch Totals)
2、原始资料控制(Source Data Controls)
3、输入验证程序( Input-Validation Routines)
4、线上资料输入控制(On-line Data Entry Controls)
5、档案维护控制(File Maintenance Controls)
6、输出控制(OutPut Controls)
七、常见的批次总数
●财务总计(Financial Totals)
●杂数总计 (Hash Totals)
●纪录总计(Record Count)
●行数总计(line Count)
●交叉加总金额检查(cross一footing Balance)
八、常见的原始资料控制
●资料控制职能的设置
●重复输入
●检查码验证
●表单顺序编号验证
●回转文件(Turnaround Documents)
图三
重要项目
主要做法
重要项目
主要做法
训练有能力的员工
*塑造企业内确认安全性之重要的组织气候
*正确使用电脑的训练
*调查员工背景和必要训练
*有电脑素行欠佳员工即时调整现职
合宜的表单和会计记录
*提供支持资讯档案与程式
*拟定执行程序和标准
*拟定表单制度化与确定程式制度化
*使用预行流水编号与表格
组织权责分明
*拟定企业导入电脑化计划
*避免特权人物之产生
*确立资讯、相关系统与系统之责任
*避免各种人为共谋、集体舞弊
必要的实体控制
*电脑与终端机退出控制
*防范资料外泄与电脑受损
*资料输入输出敏感性控制
*确保电脑处于正常状况
适当交易处理程序
*确定所有交易均经过核准
*正确输入资料
*只准使用被核准与测试合格的程式
*研发与测试电脑当机危机防范
客观独立审计
*研发整体系统控制
*独立会计师实行审计
*检查是否遵行既定目标和既定规定作业
*检视总体系统安全性与宽裕性
九、常见之输入验证程序
●栏位检查
●上(下)限检查
●范围检查
●合理性检查
●重复资料检查
●顺序检查
●符号检查
●有效性检查
十、常见的线上资料输入控制
●输入验证程序所采用的各项控制措施
●使用者代码与密码
●权限测试
●系统提示
●预先格式化
●完整性测试
●使用预设值
●交易自动输入
●回圈式验证
●设置交易日志
●明确的错误讯息
十一、常见的档案维护控制
●资料更新检查
●例外情况报导
●与外部资料相调节
●与统制涨互相调节
●档案安全措施
●档案转换控制
●设置错误日志
●错误情况列表
十二、常见的输出控制
●检视输出表单是否合理
●检机输出表单格式是否恰当
●调节控制总数
●分送输出表单给适当的部门(人员)
●使用者检视收到的表单
●机密性资料于使用后之保管及销毁
十三、电脑化资讯系统稽核
l、电脑化资讯系统稽核的目标
2.电脑化资讯系统稽核系统组成要素
3.电脑化资讯系统稽核架构与方法
4.电脑化资讯系统稽核程序
5.电脑化资讯系统的安全控管
十四、电脑化资讯系统稽核
●电脑化资讯系统稽核的目标
l、确保资讯系统环境下的主要风险都纳入适当的稽核范围内
2、确保资讯系统资源以有效率及有效果的方式分配到电脑硬体、周边设备、软体、技术服务及人员上,件达成资讯系统部门及组织之目的与目标
3、合理保障电脑技术相关的资产(例如:资料、程式、设施、设备、耗材等)皆与妥善的保管
4、确保资讯的时效性、正确性、可用性及可靠性
5、合理保证所有的错误、遗漏、及不规则情事(弊端)皆予以预防、侦知、改正及报导
十五、电脑化资讯系统稽核程序——稽核规划
●订定稽核范围与目标
●组成稽核小组
●了解稽核对象之业务程序
●检视上次\稽核报告及资料
●找出风险因素
●制定稽核计划
十六、电脑化资讯系统稽核程序一收集稽核证据
●观察作业活动
●检视书表文件
●访谈员工
●使用问卷
●实际检视资产
●向第三者函证
●重作相关程序
●检视原始凭证
●分析性复核
●稽核抽样
十七、电脑化资讯系统稽核程序一评估稽核证据
●评估内部控制品质
●评估资讯的可靠性
●评估营运绩效
●考虑是否需要额外的证据
●考虑风险因素
●考虑重要性因素
●纪录稽核的发现
十八、电脑化资讯系统用核程序一报道稽核结果
●稽核工作结束访谈(Exit Interview)
●形成稽核结论
●作成对管理当局的建议
●编写稽核报告
●向管理当局报告稽核结果
十九、电脑作业稽核实务实例介绍
●人事稽核案例介绍
●采购稽核案例介绍
二十、人事稽核案例介绍
(一)每一项工作的工作标准必须正式的建档与记录
(二)非授权者无法取得人事资料
(三)职能分工:
l、记录人事资料。
2.查核工作时间卡及加班小时。
3、查核薪津计算。
4.分发薪津袋。
5.支付代扣款给第三者。
(四)所有有关薪津计算之交易:必须有书面的核准于正式的表格上。
(五)在编制薪津以前,会计部门必须查核在主档的资料是否完整及所有变更的资料是否正确。
(六)工作时间卡必须核对核准人签名及该部门所提供之工时表。
(七)加班时间超过46小时者,必须通知其主管。
(八)薪津表计算出的薪津总数,必须与预计的薪津控制总数相符(此控制总数的变更表包括月变更与累计变更薪津总数要相符)。
(九)所有薪津调整项目必须有凭证与核准。
(十)未领的薪津袋立刻存放于保险箱。
(十一)薪津收条由员工直接签收。
(十二)薪津代扣款支付给第三者必须与所扣之金额相符。
(十三)薪津表上给销货员的佣金及工作时间必须与销货及工厂工时互相调节。
(十四)薪津表偶尔要经稽核人员查核。
(十五)应付薪津科目也应定期调节与查核其内容。
二十一、采购稽核案例介绍
(-)采购
l、请购单之核准人员受金额大小之限制。
2、开标标单严密保管。
3、询价工作专人负责。
4、所有订购单均经适当核准。
5、大的采购,必须通过询价委员会。
6、注明未采用低价之理由。
7、厂商过去的价格、运送时间及品质结果,均应保持记录。
8、允许先送货后补订单者,必须订明作业程序。
9、请购单与订购单之号码必须连号控制。
10、定期复查未结案之订单,以便追查行动迅速执行。
11、定期分析价差,假如标准成本不够可靠,应与市价相比较。
(二)收货
l、收货单必须连号控制。
2、收货员之工作指令必须明列操作过程,并定期复核,以确定其完整正确。
3、所有收货必须与订货单符合,才开收货单,接受清点。
4、送货之数量与时间若不符,必须先经采购部核准。
5、收货单上若有变更,必须注明变更原因。
6、有问题的收货必须分开存放,并定期复查。
(三)库存物品
l、管理仓库规则必须明文规定:
(l)标示允许接近仓库者,安全措施、防火规定及防止品质购质等措施。
(2)寄售物、退货、危险品、瑕疵品及老旧品,均应分开库存,以便定期报告及处理。
(3)收货或发货之日期,单位、凭证与签字等处理规则。
(4)库存记录及差异报告。
2、未被核准者,不得接近存货。
3、下班时间,仓库上锁,备用钥匙应封好后,存放在警卫室。
4、库存采轮流清点方式。
5、存量超过标准时,必须予以分析报告。
6、存放于他人处之物品,要定期函证。
(四)领用与退库
l、核准人必须明列其签字,以便仓库人员辨认。
2.所有单据、凭证必须连号控制,以确定列账之完整。
3、总账与明细账必须调节一致。若有差异,必须分析报告。
4、生产线超额领料,必须特别核准。
5.存发变动表经计价后,确定完全正确,才计入总账。
(五)盘点
l、明文规定盘点指令:
盘点之范围、方法、使用之工具及其准确性。
存货之安排、辨认及说明(包括事前熟悉将被清点之物品)。
个别清点后之记号,包括日期、人名及编号。盘点卡连号控制。
※寄存地处物品函证或清点。
※收发料之截止日期与号码。
2、盘点结果报告包括下列:
(1)抽点日期及清点之存货量。
(2)发生差异数、原因及处理方法。
(六)退货
l、退货单必须预先编号,连号控制。
2、退货单经核准后,必须经会计部门登记后,货物才放行。
3、应收理赔应定期复查及核准。
(七)权责划分
l、核准者。
2、询价者。
3、收货者。
4、复查者。
5、领货者。
6、物品保管者
7、记总账者。
8、登明细账者。
