بخشی از مقاله
مبحث كنترل هاي داخلي در فصل پنجم، تفكيك وظايف بين كاركنان نجري سيستم دستي حسابداري را مورد بررسي قرار داده است. در چنين سيستمي، هيچ كارمندي مسئوليت كامل يك معامله را بر عهده ندارد، و كار هر فرد توسط فرد ديگري كه يك جنبه ديگر از همان معاملا را انجام مي دهد، كنترل مي شود. تفكيك وظايف، از صحت مدارك و گزارشها اطمينان مي دهد و منافع شركت را در برابر تقلب و بي دقتي حفظ مي كند.
با كامپيوتري شدن سيستم شركت، اجراي كارهايي كه قبلاً بين افراد بسياري تقسيم مي شد به كامپيوتر واگذار مي شود، از آنجا كه كامپيوتر مي تواند بسياري از جنبه هاي مرتبط به هم معاملات را به سادگي انجام دهد، تلفيق عمليات و ادغام وظايف را نيز بايد از آن انتظار داشت. براي مثال، كامپيوتر هنگام تهيه ليست حقوق و دستمزد مي تواند با يك بار استفاده از پرونده اصلي، انواع وظايف مرتبط را انجام دهد. از جمله اين وظايف، نگهداري پرونده هاي پرسنلي، شامل اطلاعاتي درباره رتبه كاركنان، نرخ حقوق و دستمزد، بيمه و ساير موارد مشابه، بخشي از وظايف تعيين ساعت كاركرد، تسهيم هزينه حقوق و دستمزد، و تهيه فيش و چك پرداخت حقوق و دستمزد است.
باوجود ادغام وظايف متعدد در سيست كامپيوتري، به هيچ وجه از اهميت كنترل هاي داخلي كاسته نشده است. عوامل اساسي مربوط به كنترل هاي داخلي رضايت بخش در سازمان هاي بزرگ، در مورد سيستم هاي كامپيوتري نيز مصداق دارد. با وجود تغيير در سازمان عمليات، باز هم تفكيك وظايف و تعيين صريح مسئوليت ها از عوامل اصلي و پا برجا كنترل هاي داخلي محسوب مي شود. به هر حال، اين مفاهيم سنتي كنترل، با كنترل هاي برنامه اي و سخت افزاري كامپيوترها، كاملتر شده است.
در نشريات حسابرسي، كنترل هاي داخلي مربوط به سيستم هاي كامپيوتري اغلب به كنترل هاي عمومي يا كنترل هاي كاربردي طبقه بندي شده است. كنترل هاي عمومي به تمام موارد كاربرد كامپيوتر مربوط مي شود و شامل مواردي مانند: الف) سازمان مركز كامپيوتر، ب) روش هاي ايجاد، مستندسازي، آزمايش و تصويب سيستم اوليه و هر گونه تغييرات بعدي آن، پ) كنترل هاي تعبيه شده در سخت افزار (كنترل دستگاه هاي كامپيوتر) و ت) ايمني پرونده ها و دستگاه هاست. از طرف ديگر، كنترل هاي كاربردي به سيستم هاي كاربردي حسابداري خاصي مانند سيستم حقوق و دستمزد كامپيوتري مربوط مي گردد. كنترل هاي كاربردي شامل ضوابطي براي مطمئن شدن از قابليت اطمينان اطلاعات ورودي، كنترل هاي پردازش و كنترل هاي گزارش هاي خروجي است.
كنترل هاي سازماني در يك مركز كامپيوتر:
به دليل توان كامپيوتر در پردازش كارآمد اطلاعات، معمولا بسياري از وظايف پردازش اطلاعات به مركز كامپيوتر واگذار مي شود. ادغام وظايف مختلف پردازش در سيستم هاي دستي يا مكانيكي ممكن است از نظر دستيابي به كنترل هاي داخلي قوي، ناسازگار تلقي شود، براي مثال ثبت پرداخت هاي نقدي با مسئوليت تهيه صورت مغايرت بانكي، ناسازگار است. چون از يكي از اين كارها براي كنترل كار ديگر استفاده مي شود، تفويض هر دو كار به يك كارمند او را درموقعيت قرار مي دهد كه بتواند اشتباهات خود را پنهان سازد. اما اگر براي كامپيوتر به درستي برنامه سازي شود، كامپيوتر هيچ تمايل يا انگيزه اي براي پنهان كردن اشتباهات خود ندارد. بنابراين، آنچه كه به ظاهر ادغام وظايف ناسازگار تلقي مي شود، مي تواند بدون تضعيف كنترل هاي داخلي، در وظايف مركز كامپيوتر ادغام گردد.
هنگامي كه وظايف به ظاهر ناسازگار در مركز كامپيوتر ادغام مي شود، وجود كنترل هاي جبراني براي پيشگيري از دخالت عوامل انساني در پردازش كامپيوتري ضروري است. فردي كه امكان ايجاد تغييرات غير مجاز در برنامه هاي كامپيوتر يا پرونده هاي اطلاعات را دارد در موقعيت است كه مي تواند از تمركز پردازش اطلاعات در مركز كامپيوتر سوء استفاده كند. براي مثال، برنامه كامپيوتر مربوط به پردازش حسابهاي پرداختني مي تواند به گونه اي طراحي شود كه صورتحساب فروشندگان تنها در صورتي براي پرداخت مورد تاييد قرار گيرد كه سفارش خريد و رسيد انبار، ضميمه صورتحساب شده باشد. كارمندي كه بتواند تغييرات غير مجازي در برنامه مزبور به عمل آورد، مي تواند پرداخت هاي بدون اتكا بر اسناد و مدارك كافي به فروشندگان مورد نظرش را سبب شود.
برنامه ها و پرونده هاي اطلاعات كامپيوتري نمي تواند بدون استفاده از كامپيوتر تغيير يابد. اما، برنامه ها و اطلاعات مزبور مي تواند با استفاده از تجهيزات كامپيوتر تغيير داده شود بدون آن كه شواهد قابل رويتي از تغييرات باقي بماند. بنابراين، طرح سازماني مركز كامپيوتر بايد مانع از دسترسي غير مجاز كاركنان مركز به كامپيوتر، برنامه ها و پرونده هاي اطلاعات گردد. اين كار از طريق تعيين دقيق و روشن حدود اختيارات و مسئوليت ها، تفكيك وظايف و تعيين دقيق وظايف هر يك از كاركنان مركز كامپيوتر انجام مي شود. ساختار سازماني يك مركز كامپيوتر كه كاركنان كافي داشته باشد، مستلزم تفكيك مسئوليت هاي زير است:
مديريت مركز كامپيوتر براي سرپرستي مركز كامپيوتر مديري بايد گمارده شود. اين مدير بايد زير نظر مسئول صدور مجوز پردازش كامپيوتري، مثلا معاون پردازش اطلاعات يا سيستم هاي اطلاعاتي باشد. در مواردي كه مركز كامپيوتر بخشي از دايره حسابداري است، مدير مالي نبايد مستقيماً در عمليات كامپيوتر نقشي داشته باشد.
طراحي سيستم ها تحليل گران سيستم، مسئول طراحي سيستم هاي كامپيوتري هستند. آنان پس از در نظر گرفتن هدف هاي كاري و نيازهاي كامپيوتري قسمت هاي مختلف استفاده كننده از خدمات كامپيوتري (گروه هاي استفاده كننده)، هدف هاي سيستم و روش هاي رسيدن به اين هدف ها را تعيين مي كنند. آن ها مشخصات سيستم كاربردي كامپيوتري را با استفاه از نمودگرها و دستورالعملهاي تفصيلي تدوين مي كنند.
در اين فصل سعي شده است به مهمترين آثار كامپيوتر بر كار حسابرسي توجه شود، اما آموزش كامل مهارت هاي فني كامپيوتري، مورد نظر نبوده است. حسابرسان مستقل پي برده اند كه آشنايي بيشتر با كامپيوتر، از جمله مهارت هاي فني آن، مانند برنامه نويسي، در حرفه حسابداري ارزش روافزوني مي يابد.
ماهيت سيستم هاي كامپيوتري:
قبل از بررسي آثار سيستم هاي كامپيوتري بر كار حسابرسان مستقل، لازم است شناختي از ماهيت كامپيوتر و توانايي هاي آن به دست آوريم. يك سيستم كامپيوتري تجاري، معمولا از يك دستگاه كامپيوتر عددي و دستگاه هاي جانبي آن، مجموعا به نام سخت افزار و قسمت ديگري به همان اهميت، شامل برنامه ها و دستور العمل هاي مختلف به نام نرم افزار تشكيل مي شود.
سخت افزار دستگاه پردازش مركزي (CPU)، قسمت اصلي سخت افزار يك كامپيوتر است. دستگاه پردازش مركزي از يك واحد هدايت (كنترل)، كه دستورالعمل هاي برنامه كامپيوتري را براي پردازش اطلاعات به جريان مي اندازد، واحد حافظه براي نگهداري برنامه هاي كامپيوتري و اطلاعات مورد پردازش و يك واحد محاسب و منطق با توانايي جمع، تفريق، ضرب و تقسيم كردن و مقايسه اطلاعات با سرعت هاي زيادي كه با يك ميليونيم ثانيه، يك ميليارديم ثانيه يا حتي يك تريليونيم ثانيه اندازه گيري مي شود، تشكيل شده است.دستگاه هاي جانبي دستگاه پردازش مركزي، وسايلي براي ورود، خروج و نگهداري اطلاعات و ارتباطات مخابراتي است. وسايلي را كه با دستگاه پردازش مركزي در ارتباط مستقيم هستند، پيوسته (Online) و تجهيزاتي را كه با آن در ارتباط مستقيم نباشند، ناپيوسته يا گسسته (Offline) نامند.
اولين گام در پردازش الكترونيكي اطلاعات، تبديل اطلاعات به شكل قابل استفاده كامپيوتر است. اين كار توسط دستگاه هاي ثبت و ورود اطلاعات مانند: دستگاه منگنه كارت و نوار، كارت خوان، نوار خوان، علامت خوان، صندوق هاي دريافت نقدي الكترونيكي و پايانه هاي هوشمند انجام مي شود. هر يك از اين علامت خوان، صندوق هاي دريافت نقدي الكترونيكي و پايانه هاي هوشمند انجام مي شود. هر يك از اين دستگاه ها اطلاعات را به شكلي براي ورود بعدي به واحد حافظه ثبت مي كند يا آن ها را مستقيماً به واحد پردازش مركزي ارسال مي دارد.
انباره هاي كمكي براي ثبت و نگهداري اطلاعات و گاه براي بالا بردن ظرفيت حافظه واحد پردازش مركزي مورد استفاده قرار مي گيرد. نمونه هاي از انباره هاي كمكي، نوار مغناطيسي، استوانه مغناطيسي و ديسك مغناطيسي است. در استوانه و ديسكهاي مغناطيسي، امكان دسترسي مستقيم به اطلاعات وجود دارد كه دسترسي سريع به اطلاعات مورد نظر را ممكن مي سازد. اطلاعات در روي نوارهاي مغناطيسي دنبال هم ضبط مي شود و در نتيجه، دسترسي به اطلاعات مورد نظر تنها از طريق جستجوي منظم امكان پذير است.
هر يك از كوچكترين واحدهاي حافظه يا بيت كامپيوتري مي تواند وضعيت "روشن" يا "خاموش" داشته باشد. با استفاده از يك روش ويژه كد گذاري يا يك زبان ماشين كه بتواند هر اطلاعي را با تركيب هايي از دو علامت (مثلا صفر و يك يا بلي و خير) نشان دهد، تمام اطلاعات مي تواند در داخل كامپيوتر با تركيببي از بيت هاي روشن و خاموش نشان داده شود. نمونه ساده اي از زبان مخصوص ماشين، اعداد پايه دو است. گزارش هاي خروجي كامپيوتر نيز بايد توسط دستگاه هايي به زبان يا كد قابل تشخيص توسط انسان تبديل شود. دستگاه هاي چاپ و پايانه هاي تلويزيوني از جمله دستگاه هاي خروجي است.
نرم افزار سيستم هاي كامپيوتري از دو نوع نرم افزار اصلي، يكي نرم افزار عمومي سيستم و ديگري نرم افزار كاربردي استفاده مي كنند. نرم افزار سيستم، شامل برنامه هايي است كه اجزاي سخت افزار را كنترل و هماهنگ مي كند و امكاناتي را نيز براي نرم افزار كاربردي تأمين مي نمايد. از اجزاي مهم نرم افزار عمومي سيستم، برنامه هاي خدمات عمومي براي وظايف روزمره در پردازش اطلاعات مانند مرتب كردن، رديف كردن و ادغام كردن اطلاعات است. سيستم عامل مهمترين نرم افزار عمومي سيستم است، زيرا مي تواند دسترسي به برنامه ها و اطلاعات ذخيره شده را تحت كنترل داشته باشد و به گونه اي برنامه ريزي شود كه تمام فعالتي هاي سيستم را ثبت كند.
برنامه هايي كه براي پردازش اطلاعات خاصي طراحي مي شود، مانند پردازش ليست حقوق و دستمزد، نرم افزار كاربردي نام دارد. در اوان استفاده از كامپيوتر، برنامه هاي كاربردي با زحمت زياد به زبان ماشين نوشته مي شود، اما امروزه زبان هاي برنامه نويسي مانند كوبول (زبان مناسب كارهاي تجاري ) بيشتر شبيه زبان انگليسي است. قسمت ديگري از نرم افزار به نام مبدل، برنامه نويسي به زبان كوبول و ساير زبان هاي اوليه مشابه را ممكن مي سازد. مبدل، يك برنامه كامپيوتري است كه برنامه هاي به زبان اوليه را به زبان ماشين ترجمه مي كند. برنامه تبديل شده به زبان ماشين، برنامه اجرايي ناميده مي شود.
سيستم هاي كامپيوتري به نوعي قابليت اتكاي گزارش هاي مالي را افزايش داده است. كامپيوتر اطلاعات فعاليت ها را يكنواخت پردازش مي كند و احتمال بروز اشتبهات عوامل انساني را كه در يك سيستم دستي مي تواند رخ دهد، از بين مي برد. از طرف ديگر، هر نقصي در سخت افزار يا برنامه ها مي تواند به پردازش نادرست تمام فعاليت ها منجر شود. همچنين، اشتباهات يا تخلفات پردازش كامپيوتري ممكن است به دليل محدود بودن تعداد افراد مجري پردازش اطلاعات، توسط كاركنان صاحبكار كشف نشود. بنابراين، دقت سخت افزار كامپيوتر، قابل اتكا بودن اطلاعات خروجي كامپيوتر را تضمين نمي كند. مسئوليت حسابرسان در سيستم هاي كامپيوتري همان مسئوليت آنان در سيستم هاي دستي است. اين مسئوليت عبارت از قانع شدن حسابرس نسبت به اين است كه صورت هاي مالي تهيه شده نمايانگر تفسير و پردازش اطلاعات، طبق اصول پذيرفته شده حسابداري باشد.
برنامه نويسي برنامه نويسان برنامه هاي مورد نياز سيستم را با استفاده از مشخصات تعيين شده توسط تحليل گران سيستم، به شكل نمودگر طراحي مي كنند. سپس، آنان با استفاده از زبان هاي برنامه نويسي مانند كوبول، و عوامل نرم افزاري چون مبدل و برنامه هاي عمومي، برنامه هاي كامپيوتري لازم را تنظيم مي كنند. برنامه نويسان برنامه ها را با استفاده از اطلاعات واقعي يا آزمايشي، آزمون مي كنند و بر حسب نياز، اشتباهات يا نقايص برنامه را رفع مي نمايند و سرانجام مدارك لازم، مانند راهنماي عمليات را تهيه مي كنند.
عمليات كامپيوتر متصديان دستگاه هاي كامپيوتر، طبق راهماي عمليات كه توسط برنامه نويسان تهيه شده است، با كامپيوتر كار مي كنند. گهگاه متصديان ممكن است مجبور شوند براي اصلاح اشتباهي كه روي ميز فرمان اعلام مي شود، در كار پردازش دخالت كنند. سيستم عامل كامپيوتر بايد به گونه اي برنامه ريزي شده باشد كه تمام دخالت هاي متصديان را ثبت كند. براي دستيابي به كنترل هاي داخلي قوي، جدا سازي وظايف عمليات كامپيوتر از وظايف برنامه نويسي، اهميت زيادي دارد. كارمندي كه هر دو كار را انجام مي دهد در موقعيتي خواهد بود كه بتواند در برنامه هاي كامپيوتر تغييرات غير مجازي ايجاد كند.
بايگاني برنامه ها و پرونده ها هدف از بايگاني، محافظت از برنامه هاي كامپيوتر، پرونده هاي اصلي و اطلاعات جاري فعاليت ها و سايرمدارك در برابر از بين رفتن، آسيب ديدن، سوء استفاده يا ايجاد تغييرات غير مجاز است. بايگان براي كسب اطمينان از وجود كنترل هاي كافي، يك سيستم ترخيص رسمي برقرار مي كند تا مدارك را در اختيار استفاده كنندگان مجاز قرار دهد.
در بسياري از سيستم ها، كار بايگاني توسط كامپيوتر انجام مي شود. متصديان دستگاه ها براي دسترسي به برنامه ها و پرونده هايي كه در سيستم نگهداري مي شود، از يك شماره يا اسم رمز استفاده مي كنند. كامپيوتر با استفاده از برنامه بايگان به طور خودكار سوابق موارد استفاده از برنامه ها و پرونده ها را ثبت و گزارش مي كند. آماده سازي اطلاعات كاركنان مسئول اين كار، اطلاعات را منگنه و غلط گيري مي كنند تا براي پردازش آماده شود. كار دستگاه منگنه (پانچ) يك نمونه سنتي از كار دايره آماده سازي اطلاعات است. منگنه كردن اساسا به سيستم پردازش دسته اي اطلاعات مربوط مي شود كه در آن دسته اي از معاملات در يك زمان پردازش مي شود. در يك سيستم پيوسته پردازش بيدرنگ، اطلاعات توسط استفاده كننده از راه پايانه هاي داخل يا خار از مركز كامپيوتر، وارد كامپيوتر مي شود. اما، حتي در پيچيده ترين سيستم ها، هنوز بسياري از پردازش ها به روش پردازش دسته اي معاملاي كه توسط استفاده كنندگان به طور مستقيم وارد كامپيوتر مي گردد، انجام مي شود.
گروه كنترل اطلاعات گروه كنترل در مركز كامپيوتر، تمام اطلاعات ورودي را بررسي و آزمون مي كند، بر پردازش كامپيوتر نظارت مي نمايد، ترتب اصلاح اشتباهات مشخص شده توسط كامپيوتر را ميدهد، و گزارش اي خروجي كامپيوتر را بررسي و توزيع مي كند. اين گروه، گزارش كامپيوتري موارد دخالت هاي متصدي دستگاه در كار پردازش و همچنين، سوابق موارد استفاده از بايگاني را بررسي مي كند. در سازمان هاي كوچك ممكن است وظايف گروه كنترل توسط گروه هاي استفاده كننده انجام شود.
طرح سازمان مركز كامپيوتر علاوه بر تفكيك وظايف بايد چرخش كارهاي واگذاري به برنامه نويسان و متصديان دستگاه ها، مرخصي هاي اجباري و بيمه در مقابل سوء استفاده كاركنان مركز كامپيوتر را نيز ايجاب كند. هنگام استفاده از تجهيزات كامپيوتري، حداقل دو نفر از كاركنان صاحب صلاحيت مركز بايد حضور داشته باشند. روش هاي اتخاب دقيق براي استخدام كاركنان مركز كامپيوتر نيز در دستيابي به كنترل هاي داخلي قوي تأثير به سزايي دارد.
كنترل هاي سازماني و تقلب كامپيوتري :
تاريخچه تقلب هاي كامپيوتري نشان مي دهد كساني مرتكب تقلب شده اند كه عموماً سيستم را دستكاري كرده اند و در نقش هم برنامه نويس و هم متصدي دستگاه ها استفاده از سيستم را تحت كنترل خود داشته اند. البته ميزان تفكيك وظايف به تعداد كاركنان و ساختار سازماني مركز بستگي دارد. دست كم وظيفه برنامه نويسي بايد از وظايفي كه اطلاعات ورودي به كامپيوتر را كنترل مي كند و وظيفه تصديدستگاه كامپيوتر از وظايفي كه مستلزم نگهداري يا داشتن اطلاعات تفصيلي درباره برنامه هاي كامپيوتري است، تفكيك شود. اگر فردي اجازه يابد چندين وظيفه از اين نوع را انجام دهد، كنترل هاي داخلي تضعيف مي گردد و فرصت وارد كردن اطلاعات تقلبي به سيستم نيز به وجود مي آيد.
دسترسي كاركنان مركز كامپيوتر به دارايي ها هر گاه مسئوليت هاي دفتر داري و حفاظت دارايي هاي مربوط ادغام شود، فرصت پنهان ساختن اختلاص دارائي ها براي كاركنان افزايش مي يابد. از آنجا كه كار كامپيوتر اساساً دفتر داري است، محدود ساختن دسترسي كاركنان مركز كامپيوتر به دارايي ها بسيار مطلوب است. اگر تهيه و امضاي چكها به سيستم كامپيوتري واگذار شده باشد، كاركنان كامپيوتر مستقيماً به وجوه نقد دسترسي خواهند داشت. همچنين، اگر مجوز ارسل كالا، دستور حملهايي باشد كه كامپيوتر تهيه مي كند، كاركنان مركز كامپيوتر احتمالاً به طور غير مستقيم به دارايي ها دسترسي خواهند داشت.
ادغام دفتر داري با دسترسي به دارايي ها، سبب ضعف جدي در كنترل هاي داخلي مي شود، مگر آن كه كنترل هاي جبراني كافي وجود داشته باشد. يكي از كنترل هاي جبراني، استفاده از جمع دسته اي از پيش تعين شده، مانند تعداد اوراق و جمع يك مورد با اهميت در تمام اقلام دسته است كه در واحدهاي استفاده كننده و مستقل از مركز كامپيوترتهيه مي شود. براي مثال، اگر چكها را كامپيوتر چاپ كند، قسمت ديگري بايد مجوز صدور چكها را به عهده داشته باشد. قسمت مزبور بايد جمع مبالغ ريالي و جمع تعداد چك هاي صادر شده را تهيه و نگهداري كند. سپس اين جمع هاي دسته اي مستقل بايد قبل از تحويل چكها با گزارش هاي خروجي كامپيوتر مقايسه شود.
كنترل هاي جبراني به احتمال زياد مخاطرات دسترسي كاركنان مركز كامپيوتر به دارايي ها را كاملاً منتفي نمي سازد. بنابراين، حسابرسان بايد توجه داشته باشند كه بيشترين مخاطرات در قسمت هايي است كه كاركنان مركز كامپيوتر به دارايي ها دسترسي دارند.