完Q之路(三十二):電腦系統內部控制

http://www.educationpost.com.hk/zh-hk/resources/accounting/140701-pro-blog-internal-control-system
http://www.educationpost.com.hk/zh-hk/resources/accounting/140701-pro-blog-internal-control-system-risk-management

只要你曾經在大學修讀會計,或者你正在應考/考畢專業試,你便知道其實會計不只涉及計數:將Statement of Financial Position裡的淨資產及權益相等,或確保Statement of Financial PositionStatement of Comprehensive IncomeStatement of Change of EquityCash Flow Statement裡的數字能互相連繫而不出錯,只是會計師最基本的工作。事實上,最考驗會計師能力的工作,可能並非有關數字上的工作,而是非數字的程序。

小弟想說的是一間公司裡的內部控制。

什麼是內部控制?舉例說,一間零售店鋪在一天完結後可能會進行現金結算,屆時便會有多於一位以上的員工進行點算;點算現金的員工不能負責記錄的過程,以防他偽造現金記錄;職位較高的人必須有點算現金後進行核對,並簽字作實等。以上的流程旨在確保店鋪現金並沒有被人私下拿去或被無故失去。

隨著科技日益進步,很多公司都會有大小不同的電腦系統,以期把工序自動化的同時也減少人手工序的出錯。有關電腦系統的內部控制大致上有以下幾類:

一、資源管理(Management of Information System Resources

一間公司願意花錢購買/設計一個電腦系統,一般都是因為他們確信該電腦系統能為他們帶來方便、減低成本或增加收益。因此,在添置/管理一個電腦系統時,必須確保有關該系統的資源分配/管理得宜。要做好資源分配/管理的工作,相關人士可以問問自己以下問題:

1.          現時有多少人正在管理該電腦系統?有關電腦系統管理的會議多久會舉行一次?

2.          每年會否進行至少一次系統績效評估?有多少年資深的員工協助進行評估?
3.          員工對有關電腦系統的所有事情的溝通是否足夠?例如當某電腦系統進行系統更新,相關員工會否知道此事?
4.          員工會否進行定期風險評估,確保員工在任何危機出現時都能迅速及妥善進行應對?
5.          其他。

二、系統保安(Security

對所有電腦系統而言,保安是極其重要的一環。如果你已考畢HKICPA Module C的試卷,你便會知道對於電腦系統的內部控制主要分成兩類:General Control(例如設置有效的登入密碼)和application Control(例如確保資料輸入的完整性的程序)。由於General Controlapplication Control的程序多不勝數,公司最好能設立相關的政策,讓全公司的員工知道如何做好電腦系統的保安。(例如在政策上列明設置電腦密碼時最好用不同字母、數字、大小楷及特別符號)。

另外,負責管理電腦系統的員工必須時刻新自己對最新保安資訊的了解,必定期進行檢查,以確保員工已按公司最新的政策有效做好電腦系統的保安。

三、程式變更管理(Program Change Management

在科技一日千里的現今社會裡,程式變更並不是一件不常見的事情。特別是當談及一些由公司的電腦部同事設計的電腦程式時,程式變更的頻率更是高得嚇人(可能多至一天一次)。試想如果任何人在任何時候要求進行某程式的變更,對其他用家及程式開發人員來說必須是一種惡夢(其他用家在不知情的情況下不停轉用新版本的程式,而程式開發人員則要不停地應用家的任何要求工作)。因此,程式變更的管理程序至為重要。

最重要的步驟是,任何變更必須要有上級的批准。不同程式的變更可能由不同職級的員工進行審批。這將視乎程式變更的影響範圍有多大而決定。例如公司決定購入ERP系統(Enterprise resource planning),那相關影響將會是全公司的所有人,當然要有電腦部的最高層首肯了!可是,當會計部要求電腦部員工協助修改某程式,以期取得某些平時拿不到的數據進行分析,那便要只需有會計部的高層簽字便成。

另外,如果公司的規模比較大,在變更程式時,有關人士必須要確保測試的伺服器和實質運作的伺服器是分開的。當所有有關變更的測試完成後(一般會先用假資料進行測試,之後才用真實資料),才將變更的地方轉移到實質運作的伺服器裡,以防任何未完成測試/錯誤的變更影響實質運作。

四、災難恢復和業務連續性計劃(Disaster recovery and business continuity planning),例如備份

當你在下雨天時想起昨晚天文台的天氣預告為天晴時,你便知道沒有任何人可以準確預測未來,因此沒有人肯定任何電腦系統會在下一秒鐘發生什麼事?

公司可以做的是:要設計一系列應變措施,在當出現事故時能立即應用,將負面影響減至最低。例如,當所處商業大廈發生嚴重火災,部分伺服器被燒得不能再用,那寶貴的資料豈非全失去了?因此,事前的定時備份是必須的。

對於備份,以下事情必須注意:

1.          只有被准許的人才能取得備份

2.          備份必須被儲存在其他地方(而非公司所在的商業大廈)。
3.          由被許何的人定期進行備份的復原,以確保備份能被隨時使用。

五、其他協助/管理Support

這裡所指的是軟件、硬件及網絡的協助/管理。舉例說:

1.          相關員工必須確保所購買的軟件及硬件符合知識產權法。

2.          任何程式的安裝須由管理員(Administrator)進行,而非由個別員工私下進行。
3.          公司的伺服器應被儲存在上鎖的房間裡,只容許有權限的人士進入並需填寫log book
4.          進行適當的硬件管理,例如防火管理。
5.          進行適當的網絡安全管理,例如安裝防火牆。

六、資料保護Protection of data

對公司而言,客戶/員工資料的至為珍貴,不能隨便被外洩到其他人手裡。因此,公司必須做好對資料的保護。例如,對大公司而言,一日可能會有上百個新客戶,因此而有某些被許何的人才能為新客戶開辦戶口,亦只有有權限的人才能對客戶戶口進行修改。

在使用客戶資料時,有關部門必須確保涉及的客戶資料已被密碼保護,並且被有權限的人使用。不同部門的管理層必須定時決定不同層級的人有哪種程度的資料使用權限。

對於員工而言,其個人資料及薪酬資料便是最高機密。有關部門必須確保只有人力資源部的同事才能取得及使用那些資料。


以上只是小弟對於電腦系統內部控制的有限度了解。請原諒小弟未有提及其他有可能的重要電腦系統內部控制。小弟希望這篇文章能作為你對電腦系統內部控制的了解的一個起點,協助做好你公司裡的相關的內部控制。 

Leave a Reply