CICS内控学习：交易处理控制中计算机处理内部控制

CICS内控学习 2022年11月30日 22:55 737 内控网

国际注册内部控制师CICS内控知识学习

背景：

现代信息系统的性能越来越先进，使人产生一种错觉，以为数据处理加强内部控制是不必要的。其实并非如此，信息系统处理并非万无一失。所以，对于数据处理内部控制措施，在信息系统的程序设计时就应作为一个重点考虑进去，并将各种数据处理控制方法设计在系统程序之中，对数据处理实行严格控制，来确保数据处理的准确和可靠。

计算机处理内部控制是整个控制系统中越来越重要的组成部分。当前组织面临数个计算机使用模型（例如：分布式系统、集中式处理、数据库使用、终端网络、云计算、人工智能以及整合系统）。目前许多组织都要面对决定分配多少资源用于开发计算机处理控制措施。除了内部审计师和外部审计师的审查，很少有具体的现成反馈可用于衡量这种资源分配的效果或效率。

一、计算机处理控制的概念

1/ 交易处理控制中计算机处理内部控制用于确保计算机处理期间数据的准确性和完整性，包括数据完整性控制和错误处理控制。计算机处理内部控制是在将数据输入计算机应用程序后才应用这些控制措施。计算机处理控制的范围包括中央处理部件内部控制措施和周围的应用层面的控制措施。

2/ 控制措施被嵌入到每个应用程序中，并且控制应用程序数据的输入、处理和输出。在每个应用程序中应用控制都是特定的，不会在应用程序之间转移。在计算机处理控制措施不断发展期间，重要的是确保内部控制原则（如职责分离、数据校验）被贯彻落实到计算机系统所执行的功能。

二、计算机处理控制的必要性

3/ 计算机处理控制措施对于确保数据输入到输出流程中处理信息的完整性和准确性很有必要。计算机信息系统中数据的完整性取决于数据初始输入到输出处理的控制措施运行情况。因此，在发生的每一流程期间建立适当的控制显得极为重要。

4/ 在设计计算机处理控制措施的过程中，组织可能希望达到以下重要控制目标：（1）验证作为处理输入而进行处理的所有交易；（2）验证重大控制总额；（3）使用有效性检测技术验证处理情况；（4）验证是否无法绕过处理控制；（5）验证作为应用区域控制所必需的职责分离原则被贯彻到计算机运行所执行的功能。

5/ 计算机处理具有诸多特征，使应用控制措施的开发和审查成为一项挑战性的任务。人们无法对计算机执行的运行顺序进行物理性观察，而在手工系统中可以这么做。此外，运行结果用磁性记录文件保存，这同样无法进行视觉验证。因此，在这一阶段的控制措施是间接性的、预防性的或具有事后性质。

6/ 为了通过使用应用系统控制措施来协助达到控制目标,计算机处理控制阶段被分为几个控制区域。在每个控制区域有一种或几种类型的控制措施。每种控制类型又包括组织用于控制计算机处理的一个或几个特定控制措施。表中列出这一阶段所有的控制区域，按区域内的控制类型和类型中单个控制进行分析。

三、计算机处理完整性的控制区域

7/ 计算机处理的完整性。这些控制措施包括应用系统的计算机处理期间用于确保数据完整性和准确性的程序和方法。被讨论的计算机处理控制类型包括交易识别、计算与逻辑、文件维护，以及计算机操作人员。

8/ 交易识别：监控计算机生成的交易——对计算机生成的交易由程序进行监控，该程序记录所有计算机处理的交易，直接反馈给用户。这种控制为计算机处理生成的输出结果提供数据依据，这些数据可以由人工再进行核对。

9/ 计算机生成的交易同样受到在程序模块之间建立的平衡控制措施的控制。这些平衡控制是自动化的，内部相互校验。这类控制措施可能采取合理性检查的形式，或者特定的两次运转对比控制总额。

10/ 计算与逻辑：计算机信息系统编程为可预计每一笔交易的计算和逻辑判断，并且检测任何缺失的交易。而且，在更新某个主文件之前，应用程序可预更新的结果，并将它通盖字段的合理性范围进行比较。在范围之外的所有数额都被拒绝，或者报告一个预警信息。

11/ 文件维护：平衡计算机文件——使数据文件打开时的记录数与当天所产生的变化数和期终余额相平衡。控制记录包括字段数量的总数和每一字段所维护的总记录读数。详细记录的总数定期和控制记录的总额进行比较。报告所有的差异现象。例如：营业日和停业日的主控制记录读数所包括的主控制记录以及日常交易处理都得到维护。这种记录通过增加当天被处理的所有交易来平衡营业日和停业日之间的差异。

12/ 计算机操作人员。操作人员指令——每项应用都使用一套明确的操作人员指令，以限制计算机操作员的干预。这些程序包括系统开始工作、终端备份转让、紧急信息广播、系统关闭、通信调试以及系统和工作状况报告。这些计算机指令可以阻止操作人员非法访问计算机系统。

四、计算机处理错误处理的控制区域

13/ 计算机处理错误的处理。控制措施包括确保对所有在计算机处理期间被拒绝的交易进行更正，并及时重新输入所使用的程序和方法。这一区域的控制措施为检测交易数据丢失或未处理的交易准备。

14/ 错误报告：生成错误的报告——提供一份将确保对所有错误已经进行更正和重新提交的报告，并且已经使用适当截止日期的生成报告。

15/ 错误更正：自动的错误暂停文件——自动的错误暂停文件包括所有被拒绝的交易都得到信息技术的维护。这种错误暂停文件以带有日期或批号的交易顺序号的形式予以准备。

16/ 重新提交已更正的数据：错误中止重新输人——通过对错误中止列表上的错误进行更正使错误得到更正和重新输人。已更正的错误中止列表随后重新提交至信息技术部门，对错误中止文件的更正附在对应的错误交易上。

五、计算机处理内部控制措施举例

17/ 计算机处理内部控制在数据处理上要使数据处理结果准确和可靠，有两个方面需要保证：一方面，要依靠信息系统的硬件设备的安全、可靠来保证其正常运行；另一方面，要依靠信息系统软件的安全、可靠来保证数据处理的准确。实务上常用的方法有以下几种：

18/ （一）常数控制：有的数据处理结果应该与某个常数相一致。利用这个特点，可以对数据处理进行控制。例如。基本工资经过分配处理以后，其分配额的合计数应当与原数值相等；又如固定资产净值和已提折旧额的合计数应当与原值相等。

19/ （二）对应数字控制：利用某些数据的处理结果应当与另一组数据的处理结果相等或其他对应关系对数据处理加以控制。例如，资产平衡表和利润表两表编完以后、可将两表的利润数加以核对，也可以利用借贷方的平衡关系来控制。

20/ （三）范围控制：程序为数据处理结果确定一个范围。如果数据处理结果超出范围，可能表示输入数据有误或处理错误。

21/ （四）总数与顺序控制：为了防止信息系统在数据处理中发生遗漏或重复处理，有必要进行总数校验和顺序校验。这就是信息系统在数据处理时对所处理的记录进行累计。处理完毕以后,将累计数和预先确定的会计数进行校对。也可以对所处理的数据值进行累计，将处理结果再与控制数校对。

总结：

计算机应用所包括的数据的准确性、完整性和有效性取决于整个控制系统措施的适当运行。计算机处理控制措施开始于交易数据输人计算机，结束于数据维护（数据存储和检索）或者输出处理。本区域的应用控制措施被用于保证应用系统的计算机处理阶段期间数据的准确性、完整性和有效性。

此外，计算机处理中发现的错误，未必都是应用处理程序的错误，有可能是原始数据的错误或者是输入错误。实行计算机处理内部控制，也可以发现交易处理控制中、初始环节、输入环节内部控制中有无“漏网”的错误，增加了一道防止差错的关口。

来源：ICI中国总部健庭

近期课程安排：

《国际注册内部控制师CICS资格认证》面授及网络课程学习班：

报名链接：http://www.neikong.com/s/pc/#/course/detail/1527212/1473841/info

联系电话：010-68004176、68004186

联系人：孙老师、邱老师

报名咨询二维码：

CICS内控学习：交易处理控制中计算机处理内部控制

CICS内控学习：交易处理控制中数据通信内部控制

CICS内控知识学习：交易处理控制中数据存储与检索的内部控制，及案例分析

课程报名

最新文章