信用社计算机稽核

信用社计算机稽核第一节 信用社计算机稽核的内容和意义 信用社计算机稽核通常包含两个方面：一是对已经采用计算机处理的业务进行稽核，其对象是信用社部门的各项计算机业务活动。这些业务活动是通过会计、统计和业务核算记录及分析、预测、计划、方案、磁盘、磁带等记载而反映出来的，这些业务活动都是已经发生或正在发生的，由于必须深入现场进行稽核，通常称为现场稽核。二是稽核部门利用计算机及其网络，通过对信用社一些部门的有关业务数据、帐表进行自动采集、运算、分析，从而及时、全面地反映信用社的经营活动，发现问题并分析发展趋势，充分利用了计算机容量大、速度快、运算准确、网络互联的优势，不需要到现场就可以进行稽核，称为非现场稽核。 现场稽核是一种传统的稽核方式，它是一家金融机构的所在地（含营业网点）对其进行深入、细致和全面的稽核。计算机现场稽核是一种新的现场稽核方法，是伴随着金融业务不断地采用计算机处理而产生的，它包含两个方面：一是对计算机处理的金融业务进行现场稽核，二是利用计算机和现场稽核软件开展现场稽核。前者是检查计算机，后者是用计算机进行审查。 随着计算机在信用社中的广泛使用，储蓄业务已广泛采用电脑办理，一些地区的信用社正在利用计算机网络开展通存通兑业务；现在很多信用社利用计算机进行会计核算、储蓄事后监督、信贷业务管理、统计报表制作和分析以及信用社内部管理，产生了与手工操作完全不同的电子数据、电子凭证、电子报表等，这些数据、凭证、报表等保存在计算机中。从安全的角度考虑，一些信用社的有些部门（或不法分子）为了某种目的，无意或有意不在记录媒体中反映，遗漏或隐匿的业务活动资料，造成稽核结构的错误。 具体地说，信用社稽核就是从以下五个方面作出判断：（1）真实性；（2）合法性；（3）合规性；（4）合理性；（5）有效性。目前维护计算机系统的安全，从管理、监控的角度有效地控制各种违法、违纪、违反规章制度案例的发生，防范利用计算机犯罪，还是一个薄弱环节，所以加强计算机稽核，具有其重要性和紧迫感。当前，从对利用计算机犯罪案例的剖析可发现计算机犯罪的作案手法有三种：一种是内部作案：即掌握着计算机软件的内部业务人员通过各种非法手段作案，一般不易发现；第二种是外部作案：即社会上的不法分子利用暴力或其它手段破坏计算机实体或盗窃信用卡等方式作案；第三种是内外勾结作案：这种方法隐蔽深、难发现、难稽核，且造成的损失巨大，是犯罪分子惯用的手段。为了有效地防范利用计算机犯罪行为，保证计算机作业安全，必须加强计算机稽核监督，严格管理、完善制度，采取必要措施，做到防患于未然。 手工稽核虽然能够发现一些问题，但它往往是在已经造成了损失或出现了危机之后，才去找问题，堵缺口，在时间上是滞后的；在稽核时也只能是查一个时点或一个时段上的数据，而此前或此后出现的问题发现不了，因此在形式上是不连续的；在稽核时只能选择某个或某几个机构，查谁不查谁、先查谁后查谁，具有一定随意性，往往是该查的机构没有查，且难以发现一些带共性的、趋势性的问题。而农村信用社机构多、分布广，特别是与中国农业银行“脱钩”以后，其各项业务发展很快，现有的手工稽核在稽核的范围、频度和手段上都远远落后于现实需要。 同时，用计算机处理信用社各项业务，也对稽核工作带来了一些新的问题： 1.传统的手工记账，各种凭证、账册、报表，一般都由信用社的各个部门控制着，可以相互牵制，但是采用计算机记账，所有的凭证、账册、报表集中于计算机中，给图谋舞弊者以可乘之机。2.用于处理信用社业务的程序，一般数量庞大，结构复杂，一般稽核人员很难了解。甚至使具有较深知识的管理人员和稽核人员也为大量程序所困惑。3.使用手工记帐，篡改帐目，往往要留下蛛丝马迹，使稽核人员有迹可循。使用计算机记帐，舞弊人员不但可以方便地修改复制他所需要的程序、数据，而且在窜改、使用后可以立即销去而不留下痕迹。4.在系统软件开发阶段，如果软件设计不完善，没有充分考虑业务稽核的需要，也会造成缺少必要的审核记录，给稽核工作造成许多困难。因此，随着计算机在信用社应用的普及，如何对信用社系统进行稽核，已成为当前农村信用社稽核研究的一个重要课题。第二节 信用社内控制度的计算机稽核计算机稽核包括信用社计算机业务稽核和信用社应用计算机处理的内部控制情况稽核。内部控制制度的稽核除了检查电脑所产生的结果，而且深入检查电脑处理资料的过程，包括内部控制的评估，系统程序逻辑的检查，对记录信息正确性的检查、系统输入输出的检查等。其优点在于，稽核人员可以深入了解电脑运行及信息处理过程，电脑输出的可靠性有了保障，稽核水平、质量大大提高。其主要内容包括：1.执行规章制度等管理方面的稽核；2.物理环境安全的稽核；3.业务核算管理工作的稽核；4.对现有应用系统的稽核；5.记录信息正确性的检查，系统输入输出的稽核；6.对操作运行过程的稽核，包括：非法操作与非法侵害的防范、检测和修复，数据处理流程的跟踪；7.对系统开发（包括信用社新业务的开发和计算机应用项目的开发）的稽核；8.利用计算机进行业务及计算机稽核工作。计算机内部控制制度的稽核目标是：电子计算机输入输出数据的正确；岗位责任制的严格分工、互相制约，各项规章制度的建立健全，以及机房等物理环境的安全等等。一、管理工作的稽核（一）执行规章制度的稽核信用社应用计算机处理业务，既要坚持原来手工业务操作时制定的行之有效的规章制度，又要严格执行有关机房的各项管理制度，有关人员要根据要求做到职责分离。处理业务必须严格遵守对公、储蓄工作规则和会计核算制度，严格核准传票，正确选择系统功能。对信用社执行规章制度情况进行稽核，主要是检查信用社应用计算机后各项规章制度的执行情况，建立完善机房的各项管理制度等情况。包括岗位责任制是否严格分工、互相制约；控制制度是否健全以及能否有效执行等；是否遵守上机规则，严格执行操作规程和各项规章制度。如是否人走退出操作画面；操作员是否在自己的密码下工作，而严禁在别人的密码下操作等等。（二）保密措施的稽核信用社计算机应用保密措施进行稽核，主要检查计算机系统的安全保密性，上机人员是否遵守保密规定，认真保管好自己的代号和密码，并依情况不定期地变动密码，以防密码泄漏；是否执行业务处理的保密制度。.（三）档案管理的稽核对信用社计算机档案管理情况进行稽核，保证档案资料的完好性，应检查每天日终处理按规定复制的文件副本、拷贝的磁盘、磁带和各种打印帐表的正确完善；并检查是否按要求专人负责、异地保管，且保管条件是否符合要求。二、物理环境的稽核信用社计算机物理环境的稽核，主要检查机房是否建立健全执行了机房管理制度；供配电系统、空调系统、机房装修是否符合技术要求；是否有防火、防水、防鼠、防静防、防雷击、防盗、防暴、防电磁干扰等防护措施，机房环境条件（温度、湿度、清洁度）是否符合要求，是否坚持卫生制度；机房内有无危险性、腐蚀性、有毒性和强磁性物品。三、业务核算管理工作的稽核加强对业务核算和各种凭证、印章、帐户、帐务等基础管理工作，保证电脑输入输出数据的正确性，是信用社计算机应用管理和稽核监督的重要目的之一。对信用社业务核算工作的稽核，应主要检查如下要点：1.输入、输出数据是否正确可靠，处理是否完整。检查帐务核算的准确性和完整一致性；检查事后监督能否正常发挥作用；特别是对计算机处理的结果要进行必要的核对。2.凡要求输入计算机进行业务处理的会计业务事项，是否均有合法的会计凭证或者根据经业务主管人员盖章的书面通知办理，是否存在输入无凭证的数据及非法操作，以及凭电话或口头停止进行输入数据的情况，严防违法行为，以维护信用社信誉。检查时应注意通知开销户、增减利息积数、调整利率、冲正错帐、修改计息帐号等涉及修改帐户信息的业务，是否经会计主管人员签字盖章后输入机器进行处理。所有会计凭证是否坚持按时序记帐的原则输入计算机。3.以冲正存、贷款记帐串户的凭证，应检查原误记账户和冲正账户是否对应相符，计息的存、贷款账户的串户冲正，是否相应调整了计息积数，误记账户的原因除看错外是否还有别的原因。4.单位存款账户开户手续是否完备，符合要求，稽核有无内外勾结非法利用单位开设的存款账户进行投机倒把、索贿受贿等犯罪活动。5.稽核有无违法账户（即信用社内部人员为营私舞弊而私设的假账户）。对其稽核方法是：根据开户必须提供的证件以及分析该账户的存取款的具体情况，稽核有无利用违法账户进行贪污、贷款和利息以及套取现金、转移或占有他人储蓄的假账户。6.信用社是否加强凭证、各处业务印章的管理。7.是否加强结息管理，坚持按旬、月、季核对积数、利率、计息标记，是否坚持结息前检查，结息后复查。8.检查业务处理的整体性。未经允许是否存在擅自修改数据和程序的现象，以防止信息破坏，防止操作错误，保护磁存贮设备中的数据和程序，防止复制资料和非法输入数据。四、操作运行的稽核 1.开机与日终处理检查。每天营业前和营业后的日终处理，是计算机业务处理的主要内容。稽核部门应安排既懂业务又懂操作的人，定期到各上机点检查此类操作。检查的内容应根据各自系统的情况而定，通过稽核和检查可防止作弊行为和减少由误操作而带来的损失。2.操作运行合法性、准确性的检查。业务操作无论作弊和失误，都必然与计算机操作密切相关，非法的操作势必会引起事故的发生。为此应临机检查业务操作的合法性、准确性和有无非法更改作业文件。在这里可以采取计算机对计算机稽查的方法：（1）利用运行中的应用程序，在修改分户帐、总帐、计息帐号、利率、利息区分等信息的程序中加上复写修改前后内容至某文件（稽核文件）的功能。则在运行这些修改信息程序时，其修改前后内容就自动记录至该稽核文件中，这个文件就是稽核检查的依据。（2）开发与原有程序进行比较的稽核文件，它反映系统的整个运行过程。该文件可以将非正常业务和正常业务作业的异常结果编辑打印，并能自动记录下人为修改帐务信息的经过和变化部分，以备检查，还能自动稽查作业运行过程是否合法。（3）在程序内编制使用系统资源的限制，以限制使用某程序、某设备的范围，从而达到稽核控制的目的。3.按照业务稽核的目的和流程，编制特点的计算机稽核程序，然后监察并记载计算机运行情况，检查其安全性。 五、业务数据的稽核 1.备份数据（分户账、日结单、日计表、总帐等）与机内储存数据是否相符，机内各分户账轧平总余额与总帐余额是否相符。 2.模拟计算机工作过程，用手工进行某天账务处理，并将手工处理结果与计算机处理的结果核对。 3.在应用系统副本下运行的业务数据。根据某月底或某结息日数据文件，然后利用每日软盘备份上流水帐（其各科目日结单可与当天传票数据核对，以证实是否相符），采用故障恢复手段，利用流水帐恢复分户账，重作日终处理。依次下去核对十天或月未各种数据（余额、积数）；并可在稽核部门微机上重新进行计息处理，然后抽查一些账户核对，从而有效地控制计算机犯罪。第三节 信用社计算机现场稽核 现代金融部门的稽核人员不但要熟练掌握金融业务，还必须掌握计算机知识，同时还必须知道对计算机稽核应该稽核什么？如何稽核？一、计算机业务现场稽核的内容及要求 信用社业务一般主要包括对公业务、储蓄业务、会计业务、信贷业务、计划业务等，而以储蓄业务和会计业务的计算机处理最为复杂，也是稽核人员最为棘手的问题，对这些业务开展稽核，其要求是： 1.严密账务组织，保证账务核算的准确无误。通过稽核证实资金是否安全，输入、输出数据是否可靠，处理是否完整。稽查账务核算的准确性和完整一致性；稽查事后监督能否正常发挥作用；特别是对计算机处理的结果要进行必要的核对。 2.要使用合法的会计凭证，严禁输入无凭证的数据及非法操作。凡要求输入计算机进行业务处理的会计业务事项，必须有合法的会计凭证或者根据经业务主管人员盖章的书面通知书，不得凭电话或口头通知进行输入数据，严防违法行为，以维护信用社信誉。例如：通知开销户、增减利息积数、调整利率、冲正错账、修改计息账户等涉及修改账户信息的业务，都必须经会计主管人员签字盖章方能输入机器进行处理。所有会计凭证应坚持按时序记账输入计算机。 3.冲正存、贷款记账串户的凭证，应检查原误记账户和冲正账户是否对应相符，计息的存、贷款账户的串户冲正，是否相应调整了计息积数，误记账户的原因除看错外是否还有别的原因。 4.稽核单位存款账户开户手续是否完备，符合要求以防内外勾结。稽核有无内外勾结非法利用单位开设的存款账户进行投机倒把、索贿受贿等犯罪活动。 5.稽核有无违法账户（即指信用社内部人员为营私舞弊而私设的假账户）。对其稽核要点是：根据开户必须提供的证件以及分析该账户的存取款的具体情况，稽核有无利用违法账户进行贪污存、贷款和利息以及套取现金、转移或占有他人储蓄的假账户。 6.加强凭证、各种业务印章的管理。 7.加强结息管理，坚持按旬、月、季核对积数、利率、计息标记，坚持结息前检查，结息后复查。8.检查业务处理的整体性，未经允许不得擅自修改数据和程序，防止信息破坏，防止操作失误，保护磁存贮设备中的数据和程序，防止复制资料和非法输入数据。二、业务稽核的方法 （一）仿手工稽核仿手工稽核是指不使用计算机稽核。它的出发点是把计算机视作一种记帐（如算盘），而用计算机进行帐务处理，只不过是把原始凭证的数据送入计算机，由计算机进行存储、运算、核对等处理后，自动产生各种帐册、报表以及一些特殊需要的数据、资料。稽核人员在稽核时，只须将输入计算机的原始凭证和数据，以及计算机输出的各种账册、报表及某些特殊数据调出，采用手工稽核的方法进行检查即可，稽核人员不需要了解计算机如何记帐，如何处理，也不使用样本数据对计算机进行必要的测试，而采用“绕过”的方式，以“查、算、看、问”的方法绕过计算机去稽核计算机的业务。1、查，即对输入计算机的凭证的完整性、合规性、合法性进行检查，将有关凭证与打印输出的流水帐数据进行勾对，并对有关帐、簿的设置和登记情况进行检查；2、算，即对需检查的帐务和利息收支，以用手工重新发生、复算的方式进行验证；3、看，即看日常计算机操作及帐务处理是否规范，看印、证及会计档案的管理是否符合会计制度的规定，看营业用机的外部环境是否安全可靠；4、问，即根据各类人员的岗位职责、工作规程及其它有关规定，分别向有关人员提出如操作程序、发生问题的处理方法等方面的问题，让其回答，以了解其执行各项制度和有关操作规程的情况，处理问题的方法是否合规、合法。（二）计算机处理过程稽核对于简单的系统用仿手工稽核可以解决一定的问题，但是对于复杂的系统，这种方法并不奏效。而且采用这种稽核方法，是建立在对计算机系统、业务软件和计算机操作人员的品质、水平充分信任的基础上的，也就是说，当计算机系统没有任何故障、计算机业务软件没有任何差错（或人为修改）、操作人员（或有关人员）没有故意作假时，仿手工稽核的结果才可能真实、正确的，因为这种稽核方法并不能发现由于计算机本身、程序中存在的问题而导致的某些错误的帐务处理，也不能发现某些人为的对计算机程序和业务数据的修改。因此，稽核人员必须对计算机的处理过程进行检验。目前一般采用数据测试法对计算机处理过程进行稽核。对计算机处理程序是否正确要通过充分了解程序的结构、编码来进行是很难做到的，特别是对于大的系统更是如此。因此为了判断程序是否正确或是否被人为篡改，往往采用先由稽核人员设定一定的帐务处理模拟数据，送入计算机加以运行，而根据其运行结果来推断程序是否正确、合法。一般了说，用于稽核的模拟数据应当包括下列各项；各类业务处理的正确数据，不按顺序号排列的数据，遗漏或缺少一部分数据的不完整数据和错误数据。（三）计算机自动稽核仿手工稽核是从计算机外部对帐务处理所作的稽核，计算机过程稽核是从计算机内部对帐务处理过程所作的稽核。但是由于联机实时系统的发展，信用社业务处理已由批处理转为联机实时处理。为了适用这种情况，稽核工作必须利用计算机处理的全过程中，才有可能发现帐务处理中可能发生的非法处理。这种稽核称为自动稽核或计算机自动稽核。计算机自动稽核，是根据稽核要求，通过运行事先编制好的专用稽核程序，来发现业务处理中可能存在的问题。这种用监控程序业务程序的稽核方法，由于充分利用了计算机准确、高速运算的特点，所以被稽核的信息数量和范围可以远远超过其他稽核方法的数量和范围，大大扩大稽核的覆盖面。它还可以方便地随机调阅有关账册，对其处理进行追溯和审查，甚至可以作为日常帐务处理程序的一部分，对日常帐务处理情况加以记录，作为审查的依据。目前常用的稽核程序有：1.样本测试程序。即利用统计随机抽样法，抽出检查项目，确定稽核范围进行稽核。2.异常项目测试程序。即根据事先设计的一种取舍标准，将与标准不一致的项目予以输出，以发现问题。3.数据复原测试程序。即将某一定范围内的数据处理过程全部复原，再加以处理，以发现有无问题。4.账册合理性测试程序。即对各种账册记录的连续性、完整性进行检查、核对。