第三章 计算机信息系统一般控制及审计.docVIP

第三章 计算机信息系统一般控制及其审计 一般控制是指对整个计算机信息系统及环境要素实施的，对系统所有的应用或功能模块具有普遍影响的控制措施。一般控制主要是有关电子数据处理的政策和制度。一般控制可具体划分为组织控制、系统开发与维护控制、系统安全控制、硬件及系统软件控制以及操作控制。 组织控制 任何一个信息系统，无论是手工的，还是电算化的，要建立有效的内部控制，首先要有恰当的组织结构和组织机能。组织控制的最基本原则就是任何一项经济业务的处理，不能从头到尾只由一个部门或一个人员完成，使得任何一项经济业务的处理必须经过两个或两个以上的部门或人员来办理，以达到相互牵制、相互制约的目的，防止或减少错弊的发生。 组织控制的方式和措施有权责的划分和职能的分离。 所谓权责的划分，是指在分工协作的基础上明确各部门的权限与责任；所谓职能的分离是指对不相容职务进行分离。在计算机信息系统中，组织控制的原理与手工信息系统一样，其具体控制措施包括： 电算部门与用户部门的职责分离 电算部门是负责记录业务的，用户部门是批准执行业务的，两者是不相容职务，因此，其职责必须分离。无论电算部门是隶属某一部门的一个小组，还是与其他部门平行的独立部门，其主要职责是对数据进行处理和控制。从理论上来说，要达到恰当的职责分离，电算部门与用户部门应完全独立，这样，才能形成有效的内部牵制。在电算化程度不高，电算部门没有作为一个部门独立于各用户部门之外的情况下，内部控制的有效性会受到一定的影响。但也应坚持控制的一般原则，即一项业务的授权、执行、记录以及资产的保管等职责应相互分离。为此需要对电算部门与用户部门的职责进行严格的规定。一般来说，下列活动应避免电算部门的参与： 所有业务均应由用户部门发起或授权。 所有资产（计算机系统的设备除外）的保管责任与电算部门分离，即电算部门不应负责资产的保管。 所有业务记录与主文件记录的改变均需用户部门授权，电算部门无权私自改动业务记录和有关文件。 所有业务过程中产生的错误数据均应由业务部门负责或授权改正，电算部门只允许改正数据在输入、处理和输出过程中由于操作疏忽而引起的错误。 所有现有系统的改进、新系统的应用以及控制措施都应由受益部门发起并经高级管理人员的授权，包括现有应用程序的改进，未经有关部门的批准，电算部门无权擅自修改程序。 电算部门内部的职责分离 电算部门包括系统分析与设计员、程序员、操作员、资料保管员以及系统管理员。 系统分析与设计员的职责是分析与设计系统。他（她）应分析和研究现有的信息系统，在考虑了组织的情况，要处理的数据以及今后发展的要求后，确定新系统的目标；选择达到目标的途径；用数据流程图描述新系统的概貌及业务通过系统的流程；在系统说明书中提出具体要求，指导程序员编写系统应用程序；编写系统分析与设计资料。 程序员的职责是根据系统分析与设计员画出的数据流程图及其编写的说明书设计程序流程图，并用选定的计算机语言编写系统应用程序，负责程序的调试和检测。程序设计好以后，程序员要为新系统的应用程序编写详细的系统文档资料，包括指导操作员操作系统的操作手册，便于今后维护系统用的维护手册，源程序表及其说明，各种数据文件结构，编码表等。 系统操作员的职责是根据程序员编制的操作手册操作系统，处理各种业务。如输入经批准的主文件及业务文件数据，更新有关的文件记录，按要求输出各种报告或报表。较完善的电算系统能自动设立操作日志，由计算机自动记录各操作员的操作情况，如什么人、什么时间、更新过什么文件等，以便监督系统的操作。若系统没有自动记录操作日志的功能，则操作日志由操作员手工记录。 资料保管员的职责是负责保管有关系统的一切文档资料。如系统设计说明书、程序流程图、源程序表及其说明、编码表、存储有应用程序或数据文件的磁盘、磁带、光盘等。只有经过授权批准的人才能通过保管员取得有关资料，任何资料的借取都要有记录。 系统管理员的职责是对电算系统的操作和处理实行控制。例如，抽查输入、审阅操作日志、审查系统输出的各种错误报告，分析错误原因，让有关部门改正，并监督改正后的资料重新提交系统处理，监督系统输出报告或报表的分派，审查资料借用记录等等。 以上这些人员的职责应予以适当的分离。首先应对系统开发与数据处理职能进行分离。系统开发人员负责系统的分析、设计、编程、维护等，数据处理人员主要责任是进行数据的处理和控制。因此，系统开发与数据处理是不相容职务。程序员不能参与数据输入和处理等操作，操作员不能直接修改程序。其次应对数据处理的职责进行适当分离，例如，在计算机会计信息系统中，凭证输入与审核应由不同的人员担任，这样做的好处是减少了输入人员利用工作之便弄虚作假的可能。 业务的授权 所有由电算系统处理的业务都应经过授权。要达到这一目的，就需要在业务的筹划、执行和计算机处理之间明确地