值或者涉密的信息进行销毁、转移。第二,严格按照国家有关法规制度和对电子档案的管理规定(比如审计准则对审计证据保管年限的要求),妥善保管相关信息档案。
三、信息系统的应用控制
应用控制是指利用信息系统对业务处理实施的控制。一般控制和应用控制联系紧密,一般控制为应用控制的有效执行提供了可靠环境。应用控制的具体方式、方法在信息系统开发建设的需求分析环节提出,通过系统设计和编程环节实现,由测试环节验证,在信息系统的运行阶段由用户的操作得到体现和落实。
企业的业务种类、经营范围和管理架构各不相同,这些因素会导致不同企业应用控制措施千差万别,但从技术角度考虑,信息系统的核心是业务处理程序,这些程序都包含输入、处理、输出等流程。以下从共性角度分析应用控制的主要措施。
(一)输入控制
该环节的风险主要是:进入系统的数据不准确、不完整、不及时,导致输出结果错误,甚至造成财产损失。例如,录入的记账凭证借贷不平衡,导致账簿数据错误;再如,通过输入虚假的应付数据多支付货款,进行计算机舞弊。
主要管控措施:第一,针对手工录入、批量导入、接收其他系统数据等不同数据输入方式,分别考虑对进入系统数据的检查和校验功能,确保数据的准确性、有效性和完整性。第二,尽量避免通过后台操作修改和删除数据的情况。对于必需的后台数据操作,企业应当建立规范的流程制度,并对操作情况进行监控或者审计。第三,对于经常性的数据删除和修改,应当在系统功能中予以考虑,并通过审批、复核等程序加以控制。第四,在重要的信息系统中设置操作日志功能,详细记录系统每个账户的登录时间、重要的操作内容,确保操作的可审计性。第五,对异常的或者违背内部控制要求的交易或者数据,企业应当在系统中设计自动报告功能。
(二)处理控制
该环节的风险主要是:第一,未经授权非法处理业务。第二,信息系统处理不正确,导致业务无法正常运行。第三,信息系统处理过程未留下详细轨迹,导致出现错误时无法追踪。
主要管控措施:第一,建立健全用户管理制度,确保不同权限用户在授权范围内运用信息系统进行业务处理。第二,系统自动记载各个用户的操作日志,详细记录各用户执行的操作,留下审计线索。第三,对信息系统进行定期检测维护,及时发现错误并予以修正。
【例19-5】2009年2月12日,某法院接到诉状,贷款人王某状告A银行因多计利息天数损害了自己的利益。王某提出,贷款合同中约定采取等额本息还款方式,首月和末月的贷款利息按实际贷款天数计算,其余各月按整月计算。但银行多算了首月的贷款天数,在首期扣款时多计利息,导致后期的贷款本金额被多计,增加了贷款人的利息支出。王某贷款金额10万元,利息起算日为2002年1月28日,首次还款日为2002年2月16日。根据中国人民银行各类储蓄存贷款计息规则,全年均按360天,每月均按30天计算。从1月28日到2月16日一共是18天。依照贷款合同,首月的贷款利息应按18天计算。但银行的还款明细表显示,银行实际上是按33天计算的首月贷款天数。即,该银行在计算首次还款天数时,将2月份全部计算在内,多计利息天数15天。
【分析】该案例属于典型的程序处理出错,由于利息计算程序的计息规则与合同约定不一致,导致程
仅供麦趣尔内部使用11 / 12
序在计算贷款的首期利息时多计了计息天数,引发后续的纠纷。银行应进行程序算法的复核,确保程序设置与贷款合同以及国家有关规定吻合。
(三)输出控制
该环节的风险主要是:第一,敏感信息被非授权用户获取,例如,公司甲部门的奖金发放数据被乙部门查询得到。第二,输出的信息在内容的正确性和完整性、形式的规范性等方面存在质量问题,无法满足用户的需求。第三,输出的信息被篡改,例如发送给供应商的电子订单信息在传输过程中被篡改。
主要管控措施:
第一,使用数据勾稽关系校验、数字指纹,保证有关数据的正确性。数字指纹,是采用相应技术手段在输出的信息正文后生成信息摘要附加在正文之后,接收方对接收到的信息正文用同样的技术手段重新生成信息摘要,检查与接收到的信息摘要是否一致,从而确定信息是否被篡改。
第二,综合采用功能权限和数据权限确保经授权的用户才能得到相关输出信息。功能权限确定用户是否可以执行某项输出功能,通常表现为不同职责的用户所能使用的菜单项、按钮组合不同。数据权限决定用户可访问的数据范围,例如普通员工无法看到别人的工资信息,人力资源经理可看到所有员工的工资信息。
第三,强化输出资料分发控制,确保资料只能分发给具有相应权限的用户。常用的输出资料分发控制措施有:(1)打印总数控制,可以在系统中设置各类报表被允许打印的总份数,并记录每次打印的时间和操作人。(2)信息接收人控制,具有将输出信息作为电子邮件附件发送的信息系统,应当为不同类型的输出资料分别设置接收人名单,控制电子输出信息的发出范围。(3)设置输出报告发送登记簿,记录报告发送份数、时间、接收人等事项。
仅供麦趣尔内部使用12 / 12
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库第19章《企业内部控制应用指引第18号——信息系统》讲解(3)在线全文阅读。
相关推荐: