随着金融电子化进程的日益加快,农村信用社上机业务不断增加,如何控制计算机系统风险就成为农村信用社内部控制制度的重要内容。计算机内部控制审计是指对信用社应用计算机处
随着金融电子化进程的日益加快,农村信用社上机业务不断增加,如何控制计算机系统风险就成为农村信用社内部控制制度的重要内容。计算机内部控制审计是指对信用社应用计算机处理的内部控制情况进行审计,除了检查电脑所产生的结果,而且还要深入检查电脑处理资料的过程,包括内部控制的评估,系统程序逻辑的检查,所记录信息正确性的检查,系统输入、输出的检查等,使审计人员可以深入了解电脑运行及信息处理过程,电脑输出的可靠性有了保障,审计水平、质量大大提高。具体讲,农村信用社计算机内控制度审计应把握如下几个方面:
一、系统设计开发的审计
1、开发系统应当和业务系统分离,程序员职能在开发系统工作。业务用机不得用于项目开发,不得含有源程序、编译工具、连接工具等工具软件,不使用与业务无关的任何存贮介质。
2、系统管理员不能兼任柜面及事后审计等工作,不能参与相关软件开发。参加过应用系统开发的人员,不得担任相应系统的管理员。
3、启用新的应用软件,应当按规定手续移交系统维护人员安装业务系统,并做好日志记录。
4、重要应用系统应用软件运行过程中出现异常现象,信用社应当立即报告本级计算机安全管理职能部门,做好详细记录,经领导同意后,由系统管理员进行检查、修改、维护。
二、管理工作的审计
1、执行规章制度的审计。对信用社执行规章制度情况进行审计,主要是检查信用社应用计算机后各项规章制度的执行情况,建立完善机房的各项管理制度等情况。包括岗位责任制是否严格分工、互相制约;控制制度是否健全以及能否有效执行等;是否遵守上机规则,严格执行操作规程和各项规章制度。如:是否坚持双人双锁管理机房,是否做到人走时退出操作画面,操作员是否在自己的密码下工作,有无在别人的密码下操作等违规现象。
2、保密措施的审计。对信用社计算机应用保密措施进行审计,主要检查计算机系统的安全保密性,上机人员是否遵守保密规定,认真保管好自己的代码和密码,并依情况不定期地变动密码,以防密码泄露;是否执行业务处理的保密制度,未经允许是否按规定不向他人公开数据文件和程序。同时还要检查是否按规定进行软件管理,按规定临柜作业机器中不允许装有业务处理源程序等。
3、档案管理的审计。对信用社计算机档案管理情况进行审计,保证档案资料的完好性,应检查每天日终处理按规定复制的文件副本、拷贝的磁盘、磁带和各种打印帐表的正确完善;并检查是否按要求专人负责、异地保管,且保管条件是否符合要求。
三、物理环境的审计
对信用社计算机物理环境的审计,主要是检查机房是否建立健全并执行了机房管理制度,供配电系统、空调系统、机房装修是否符合技术要求;是否有防火、防水、防鼠、防静电、防电击、防盗、防电磁干扰等防护措施,机房环境条件(温度、湿度、清洁度)是否符合要求,是否坚持了卫生制度;机房内有无危险性、腐蚀性、有毒性和强磁性物品。同时检查计算机的通讯网络系统,对数据传输是否有备份线路,以防止通讯系统的物理故障或自然灾害对金融计算机系统运行的损害和破坏。
四、业务核算管理工作的审计
1、检查输入、输出数据是否正确可靠,处理是否完整。检查帐务核算的准确性和完整一致性,检查事后监督能否正常发挥作用,特别是对计算机处理的结果要进行必要的核对。
2、检查凡要求输入计算机进行业务处理的会计业务事项,是否均有合法的会计凭证或者根据经业务主管人员盖章的书面通知办理,是否存在输入无凭证的数据及非法操作,以及凭电话或口头通知进行输入数据的情况,严防违法行为,以维护信用社信誉。检查时应注意通知开销户、增减利息积数、调整利率、冲正错账、修改计息帐号等涉及修改帐户信息的业务,是否经会计主管人员签字盖章后输入机器进行处理。所有会计凭证是否坚持按序时记帐的原则输入计算机。
3、对冲正存、贷款记帐串户的凭证,应检查原误记帐户是否对应相符,计息的存、贷款帐户的串户冲正,是否相应调整了计息积数,误记帐户的原因除看错外是否还有别的原因。
4、检查单位存款帐户开户手续是否完备,是否符合要求,审计有无内外勾结非法利用单位开设的存款帐户进行投机倒把、索贿受贿等犯罪活动。
5、审计有无违法帐户(即信用社内部人员为营私舞弊而私设的假帐户)。对其审计方法是:根据开户必须提供的证件以及分析该帐户的存、取款的具体情况,审计有无利用违法帐户进行贪污存、贷款和利息以及套取现金、转移或占有他人储蓄的假帐户。
6、检查是否加强凭证、业务印章的管理。
7、检查是否加强结息管理,坚持按旬、月、季核对积数、利率、计息标记,是否坚持结息前检查,结息后复查。
8、检查业务处理的整体性,未经允许是否存在擅自修改数据和程序的现象,以防止信息破坏,防止操作失误,保护磁存贮设备中的数据和程序,防止复制资料和非法输入数据。
五、操作运行的审计
1、开机与日终处理检查。每天营业前和营业后的日终处理,是计算机业务处理的主要内容。审计部门应安排既懂业务又懂操作的人,定期到各上机点检查此类操作。检查的内容应根据各自系统的情况而定,通过审计和检查可防止作弊行为和减少由误操作而带来的损失。
2、操作运行合法性、准确性的检查。业务操作无论作弊和失误,都必然与计算机操作密切相关,非法的操作势必会引起事故的发生。为此,应临机检查业务操作的合法性、准确性和有无非法更改作业文件。在这里可以采用计算机对计算机审计的方法:
①利用运行中的应用程序,在修改分户账、总帐、计息帐号、利率、利息区分等信息的程序中加上复写修改前后内容至某文件(审计文件)的功能。则在运行这些修改信息程序时,其修改前后内容就自动记录至该审计文件中,这个文件就是审计检查的依据。
②开发与原程序进行比较的审计文件,它反映系统的整个运行过程。该文件可以将非正常业务和正常业务作业的异常结果编辑打印,并能自动记录下人为修改帐务信息的经过和变化部分,以备检查,还能自动检查作业运行过程是否合法。
③在程序内编制使用系统资源的限制,以限制使用某程序、某设备的范围,从而达到审计控制的目的。
3、按照业务审计的目的和流程,编制特定的计算机审计程序,然后监察并记载计算机运行情况,检查其安全薄弱环节。
六、业务数据的审计
1、检查备份数据(分户账、日结单、日计表、总账等)与机内储存数据是否相符,机内各分户账轧平总余额与总账余额是否相符。
2、模拟计算机工作过程,用手工进行某天帐务处理,并将手工处理结果与计算机处理的结果核对。
3、在应用系统副本下运行业务数据。根据某月底或某结息日数据文件,然后利用每日软盘备份上流水账(其各科目日结单可与当天传票数据核对,以证实是否相符),采用故障恢复手段,利用流水账恢复分户账,重作日终处理。依此下去核对10天或月末各种数据(如余额、积数),并可与临柜机内数据核对。也可在审计部门微机上重新进行计息处理,然后抽查一些账户核对,从而有效地控制计算机犯罪。
