應用控制

出自 MBA智库百科(https://wiki.mbalib.com/)

　　應用控制是針對具體的電腦化程式，例如薪資、應收賬款和訂單系統的特別使用的控制。應用控制應根據每個信息系統的特點，分別設計。應用控制包含自動控制和人工的流程式控制制，以確保只有經過授權的數據才能完全地、準確無誤地通過應用程式來處理。

　　應用控制稽核包括人工稽核和電腦輔助稽核兩種。採用人工稽核時，用人工進行測試，以證明應用控制措施是依據計划進行的。通常抽查測試期內有代表性的樣本，細查證據，以證明各種控制是正確執行的。當測試數據量很大時，宜採用電腦輔助稽核。電腦輔助稽核的方法可分為三類：

　　(1)用稽核軟體。稽核部門編製相應的稽核軟體，並用於下述輔助稽查：審查數據文件、抽取特殊項目、彙總、分類、查看數據的完整性等。

　　(2)用測試數據。稽核人員可事先準備一組測試數據，以檢查程式邏輯的正確性、系統應用控制的可靠性。這種測試法又可分為動態測試和靜態測試兩種。動態測試時，稽核人員設立虛擬的行處、客戶和交易，將虛擬數據和銀行的真實數據一同處理，再將處理的結果同預期結果進行比較，以確定程式邏輯的正確性。測試完畢後，必須把虛擬的測試數據剔除，使數據文件不再含任何測試數據。靜態測試時，稽核人員分別用測試數據和真實數據進行測試，並將處理結果同預期的估計值進行核對，若存在偏差，則需進一步審查。

　　(3)安全審計跟蹤。安全審計跟蹤是一種重要的安全機制，是防止內部犯罪和調查取證事故證據的基礎。通過對重要事件和有關安全的問題進行記錄，有助於檢測和調查安全漏洞，當系統發現錯誤和受到攻擊時，系統能定位錯誤並找出發生事故的原因。

　　應用控制是面向某一局部的控制，例如，針對數據輸入階段、數據處理階段或信息輸出階段所作的控制。在一般的情況下，應用控制應當儘可能嵌入應用程式之中，以便通過程式化的操作對數據的真實可靠性進行控制。

　　1．輸入控制

　　在應用控制之中，輸入控制最為重要，這是因為，如果數據在輸入階段沒有加以嚴格把關，即便是數據處理或信息輸出控制十分嚴密，也可能導致“輸入是垃圾，輸出也是垃圾”的結果。對於會計憑證的輸入，軟體必須有預防原始憑證和記賬憑證等會計數據未經審核而輸入電腦的措施。而在數據輸入過程中，軟體必須有保證對輸入數據進行正確性檢測的控制。輸入控制主要方法包括：憑證格式和內容的控制、有關責任人簽章的控制、修改控制以及憑證審核的控制等。

　　在目前記賬憑證多通過鍵盤輸入的情況下，設置對記賬憑證各數據項的檢測控制十分重要。對於會計科目的輸入控制，一般通過建立科目編碼與名稱對照文件，將輸入的會計科目編碼立即轉換為科目名稱並顯示在屏幕上，由輸入員對其加以核對。而為了防止非法對應科目的輸入，則可建立非法對應關係庫文件，令軟體對所輸入的會計分錄的借貸方自動確定其對應關係是否合法，如果合法則允許輸入機內，否則就拒絕接受。對於輸入的借貸方金額，可採用試算平衡方法對其檢驗，如果記賬憑證的借貸兩方的合計數相等，則允許輸入機內，否則就拒絕接受。

　　儘管目前有部分原始憑證可通過條形碼等方式錄入並存儲於機內，但其大部分仍然以紙介質的方式存在，這不僅給會計檔案的保管帶來諸多的麻煩，更重要的是由於紙質原始憑證游離於機外而使系統的記賬憑證與原始憑證之間的監控難達高效。對此，運用影像與掃描技術使原始憑證電子化，是一個切實可行的做法。原始憑證的影像實時處理的具體做法是，首先設置錄入平臺，根據業務量的大小，綜合採用中高速掃描儀、平板掃描儀、攝像等多種方式，將經過審核的紙質原始憑證存入機內。當前紙質原始憑證不外兩種形式，一種是由印表機直接列印輸出，另一種是由手寫填列。對於第一種，可以通過掃描方式將憑證掃描並經過機內審核後存儲於機內原始憑證庫文件之中。而對於後一種形式，也即手寫填列的憑證，由於手書筆跡難以正確地為電腦所識別，因而通過掃描方式進行處理就可能事倍功半。為此，可採用攝像方式將每張原始憑證拍攝並存入專用的目錄文件之中。採用這種拍攝方式不利於記賬憑證的自動生成，它畢竟只是一種權宜之計，如果這類手書的憑證不是太多，也可以直接由會計人員通過鍵盤方式將其輸入併在機內審核之後存入原始憑證庫文件之中。

　　逐步放棄紙質存放而儘可能將會計憑證存儲於機內，是今後會計信息化的發展方向。基於這一設想，先原始憑證的掃描(或影像)處理，後記賬憑證的填制的順序不可顛倒。當原始憑證經過影像處理或掃描審核後，記賬憑證的輸入員可直接據以在機上填制記賬憑證，這一做法可以保證機內原始憑證與記賬憑證的一致性。同時，也為今後會計憑證的無紙化操作打下基礎。隨著電子商務的快速發展，原始憑證的全部無紙化不難實現，進而為智能軟體自動對各種會計業務加以識別並據以生成記賬憑證創造條件。

　　2．電腦處理與數據文件控制

　　會計信息系統電腦處理與數據文件控制的基本目標是保證對經濟業務的數據處理過程的正確無誤，所有經濟業務沒有被遺漏、添加、重覆或不適當地更換，同時，在數據處理過程中軟體能夠對錯誤及時予以識別和改正。

　　常見的控制方法有常數控制、對應數字控制、範圍控制和總數與順序控制等方法。這些控制一般都嵌入在應用程式之中，例如，在工資處理過程中設計對每個職工的基本工資與實發工資的金額位數的控制，如對一個月工資超過一萬元者在屏幕予以提示就是一種常數控制方法。又如在登賬處理過程中，為了檢驗登錄前的賬簿數據是否被非法修改，可在每次登賬之後將隨機選取的賬戶發生額合計數存儲至某變數A之中，在下一次登賬之前對該賬簿文件中原來隨機選取的賬戶發生額重新予以合計，並將其與變數A中的值核對，如果相等則說明賬簿文件沒有被非法修改過，可以調用賬簿登錄模塊進行登賬處理，否則，則不允許運行賬簿登錄程式。

　　3．輸出控制

　　會計信息系統的輸出控制的基本目標是保證處理結果的正確性，為此，只允許授權者對輸出模塊進行操作，同時，對輸出結果應當及時地提供給被允許使用的信息用戶。

　　會計信息系統的輸出主要有會計憑證、賬簿和會計報表。輸出形式包括屏幕顯示和列印輸出。隨著網路化的縱深發展，通過電子郵件等形式將輸出結果發送給指定信息用戶已是大勢所趨。面對這一形勢，如何保證處理結果在傳遞過程中不被截取與修改，也就成為近期內會計信息化所要解決的一個重要問題。

　　對電腦會計信息系統的應用控制進行審計，目的在於評價應用控制是否對該會計信息系統的具體應用環節進行了保護和控制。應用控制的審計日標在於：

　　第一，保證所有經過審核批准的交易均處理完畢，並且每一項交易只處理一次。

　　第二，保證交易資料的完整和正確。

　　第三，保證交易的處理正確無誤，符合要求。

　　第四，保證處理的結果可用於預定的用途，並能產生預期的效益。

　　第五，保證應用程式能正常運作，並持續維護其功能。

　　應用控制是信息系統中一般控制以外的一類重要的內部控制。它包括輸入控制、處理控制和輸出控制。它有相當一部分是建立在系統應用程式中的程式控制。為了方便，我們把應用控制的審查分為手工控制的審查和程式控制的審查兩部分來討論。程式控制的審查常要通過電腦審查，即要採用電腦輔助審計技術，具體的審查方法將在以後的章節詳細介紹。這裡只討論手工控制的審查。對手實現的應用控制，一般也採用手工方法進行審查。下麵簡要地介紹主要控制的審查方法。

　　1.業務處理規程和輸入控制的審查

　　一個較完善的信息系統應有明確的業務處理規程，審計人員不但要向有關人員瞭解這些規程，瞭解其執行情況，而且應實際跟蹤系統的業務流，觀察數據是如何準備的，如何審批的，又如何輸入電腦的，有哪些控制能保證只有經過審批的業務才能被系統接受處理，信息又是如何輸出使用的，操作員有無記錄操作日誌等，以此取得證據，證實業務是否按業務處理規程進行處理。此項審查可以部分參考內審人員的工作。如果被審單位的內審人員日常進行這方面審查，審計人員可複查他們的作底稿，瞭解此控制的日常執行情況。此外，審計人員應檢查系統的操作日誌。審計人員還可對被審會計期間內已處理過的業務進行抽查，檢查已處理的業務是否都經過了審批(一般審批都是以簽字或蓋章為標誌的)，數據的準備是否合規等。對於由電腦列印輸出的資料，由人工與輸入單據核對的系統，審計人員也可以適當抽選一部分已處理過的業務進行核對，以證實控制的有效性。

　　手工完成的輸入控制的另一重要環節是對輸入過程中因電腦發現錯誤而拒絕接受的錯誤業務的改正與重新提交的控制。審計人員應向系統負責人及操作員瞭解對錯誤業務的處理方法，瞭解是否有措施保證出錯的業務改正後重新向系統提交，而不會被漏掉。另外，審計人員應對被審會計期間出錯的業務進行抽查，跟蹤被抽查的m錯業務的改正和重新提交過程，以證實此控制是否有效。

　　2.輸出控制的審查

　　輸出控制中也有相當一部分是手工控制。要審查這些控制，審計人員不僅要向有關人員瞭解系統的輸出資料是如何處置的，有無健全的檢查、保管和分發制度，而且要實際觀察系統的輸m，跟蹤輸出的資料。審計人員要檢查是否有人負責審視輸出；資料，是否有人核對輸入輸出控制總數。審計人員可以對被審會計期間輸出的資料進行抽查，複查控制總數的核對，把重要的輸出與輸入單據重新比較。審計人員還應跟蹤輸出資料的分發與保管，檢查列印輸出資料的登記和簽收記錄，以證實系統的輸出是否能按時送到指定的人員手中，而未經批准的人不能接觸到它們。

　　總的來說，對手工實現的內部控制，一般也採用手工，審查的方法，即採用調查、瞭解、實地觀察、抽樣複查等方法，以取得證據，證實控制的有效性。

　　(一)對應用控制的瞭解和描述

　　應用控制方法大多設計在相應的應用程式中，描述應用控制的方法既可以用程式流程圖，也可以用問題式調查表，或者將兩者結合起來使用。

　　(二)對應用控制的初步評價

　　評價應用控制的標準是：內部控制是否健全、所有的控制目標是否已經達到、各項控制制度是否符合內部控制基本原則的要求。

　　另外，還要評價應用控制的合理性。合理性既需要考慮有效性，也需要考慮成本一效益原則。只有當系統的執行者具有相當好的素質和豐富的經驗時，電腦會計信息系統才能很好地執行各項應用控制。

　　(三)應用控制的測試

　　符合性測試著重要瞭解和評價會計信息系統所產生的會計數據的正確性，其具體方法是通過檢查原始憑證、重做業務過程或者仔細觀察應用系統運行狀況來確定內部控制是否合理。在進行測試時，一般採用抽樣方法，其抽樣數量視初步評價的結果而定：內部控制越健全的應用系統，抽樣的樣本數據就越小；反之，樣本量就大。