企业级会计信息系统建立在对企业主要业务流程重组的基础之上,并使用了事项数据库技术。实时销售收款管理系统是企业级会计信息系统的一个重要组成部分,由销售订单处理和收款两个模块组成,完成企业销售收款流程的业务处理和流程管控。
COSO(及类似框架)通常作为企业的内部控制整体框架,而COBIT(信息及相关技术控制目标,Control Objectives for Information and Related Technology)则是业界事实上的IT内控标准框架。在COBIT框架下,企业级会计信息系统的内部控制是流程导向的,并且分为一般控制与应用控制两大类。
一般控制是指嵌入到企业IT流程和服务中的控制,如计算机操作、数据管理、系统开发、系统运行与维护、电子商务等。应用控制是针对特定应用系统风险的,通过计算机代码实现的控制过程,如销售收款管理系统的应用控制。应用控制的测试涉及到具体的审计目标,如检查应收账款的完整性等。
应用控制通常划分为三个主要控制环节:输入控制、处理控制和输出控制。对于销售收款流程而言,输入控制是为了确保销售收款交易的合法性、准确性和完整性。具体的控制方法有原始凭证控制、信用授权控制、数据编码控制、批控制、校验控制、输入错误更正控制、通用数据输入系统控制等。
一、原始凭证控制
原始凭证的舞弊可以转移公司的资产。如果这些伪造的原始凭证(销售订单、销售发票等)输入了系统,系统就会像对待任何一笔合法交易那样处理这些伪造凭证。在没有其他补偿性控制来检查这种舞弊的情况下,系统就会照常发货,导致公司资产损失。
为了控制这种风险,公司必须对原始凭证实施控制,来说明每一张凭证的来源。具体控制措施如下:使用预先编号的原始凭证。原始凭证的连续编号可以由打印机事先在每一张凭证上打印出来。系统自动产生和打印的原始凭证的编号可以准确地说明凭证的使用情况,并能提供一个对交易进行追踪的完整审计轨迹。
二、信用授权控制
信用检查的目的是确认客户的赊销额度。IT环境下,公司的信用政策通过系统中设定好的决策规则来体现。对于日常交易,主要是判断当前交易额加上客户已有应收账款余额之和是否超过预先设定的赊销限额。如果超过,系统拒绝接受当前交易,并向相关人员的终端发送一份异常报告。
审计人员需要确定:1.确实存在有效的程序可以建立适当的客户赊销限额;2.与信用政策决策制定者进行了充分的沟通;3.定期检查信用政策,必要时予以修订;4.现行信用政策的遵循得到监控。
在审计实务中,信用政策标准的完整性是至关重要的。如果客户的赊销限额过高,或者限额可以被未经授权的人员改动,那么即使正常运行的计算机程序执行信用政策的结果也是错误的。为此,审计人员必须确认只有经过授权的信用部门职员才能修改系统中的赊销额度,而且系统充分实时记录了每次修改事件。
审计人员可以采用白箱法,通过测试数据或ITF(Integrate Test Facility,集成测试框架)来验证决策规则代码段的正确性。具体的控制测试程序是:创建几个赊销限额不同的“虚拟”交易录入系统,观察系统是否确实拒绝了不符合信用政策的交易。
三、数据编码控制
数据编码控制针对录入系统的数据编码的完整性进行检查。一个客户账号、一项存货编码、一张会计科目表都属于数据编码。抄录错误和换位错误都可能破坏数据编码的正确性和完整性,并导致交易处理错误。
一种数据编码控制的控制测试程序是检查数字位。检查数字位是在第一次给数据赋值时附加在编码上的一个或多个控制数字位。检查数字位还可跟踪系统后续处理中编码的完整性。但使用检查数字位会增加字段长度,从而多占用存储空间并降低处理速度,因此这种程序只限于重要的数据(如存货编码、客户地址等)。在实务中,有时会出现编码长度不够的问题,一种解决方法是:如果产生的检查数字位为10,则不添加校验位,这种做法可使编码数量减少约9%。
四、校验控制
为了在数据处理之前就发现错误,校验程序应尽可能地接近交易的源头,才能发挥最大的效用。然而,由于系统的不同选型,输入的校验控制可能发生在不同时点上。
对于采用顺序文件的批处理系统而言,等待校验的交易记录首先要排序,使其顺序与主文件一致。批处理情况下,要在输入阶段对数据进行校验就需要相当多的额外工作。因此每一个处理节点在更新主文件记录之前就要执行一次校验控制程序。批处理系统校验控制的缺点是:在错误被发现之前,含有错误的交易已经部分处理过了。错误交易中已经被处理的那部分需要进行回滚程序,来恢复到处理前的状态。
共有三个层次的输入校验控制:字段层次、记录层次和文件层次的审查。比如公司的全部客户信息存储在一个客户文件中,某一特定客户的相关信息就是该客户文件中的一条记录,而该客户的编码就是一个字段,下面具体阐述字段和记录层次的控制。
(一)字段审查
字段审查主要检查字段中的数据特征,通常细分为遗漏数据检查、数字-字母检查、零值检查、极限检查、范围检查、有效性检查、数字位检查等。在销售收款系统中,常用有效性检查来防止向虚构的客户发货。具体控制程序是:公司事先建立一个有效客户清单,系统只允许经过授权的人员更新该有效客户清单信息。每次发货前系统都将收货单位与该清单核对,即检查操作员录入的客户编码值在有效客户清单文件中的客户编码字段中是否存在。如果存在相同取值,则收货单位就是有效客户。系统只允许向清单中存在的有效客户发货,如果发现无效客户,系统当即中止发货,同时给指定终端发送报警信息,提请相关人员注意。
(二)记录审查
记录审查通过检查字段与字段之间的合理性、相对顺序等特征来确认所处理的文件是正确的。记录审查对于主文件系统更新的控制尤为重要,因为主文件中包含了公司的永久记录,一旦被损坏,很难找到替代文件。具体的记录审查手段有内部标签检查、版本检查和有效期检查。
例如客户文件是一个主文件。操作员在建立客户文件时手工录入的客户文件名、标识号等称为外部标签。操作系统自动给每个文件添加一个内部标签存放在该文件的开始处。每次调用该客户文件时,系统都将调用程序中的外部标签和自己产生的内部标签对照,如不相符,系统拒绝调用该客户文件,并输出错误信息。如果客户文件自建立后进行了修改,由于内部标签不随文件的修改而变化,因此无法用内部标签来审查,此时系统可采用祖孙三代法(GPC)来确保所调用的客户文件是正确的版本。如果该客户文件经过很多次修订,每修订一次系统就会产生一个备份文件,为了节省存储空间,旧的备份文件会定期从磁带或磁盘上永久删除。为了防止操作员错误地删除了有效文件,系统会自动检查每个文件的到期日,操作员只能删除那些已经到期的客户文件备份。 (责任编辑:南粤论文中心)转贴于南粤论文中心: http://www.nylw.net(南粤论文中心__代写代发论文_毕业论文带写_广州职称论文代发_广州论文网)