مبحث کنترل های داخلی تفکیک وظایف بین کارکنان نجری سیستم دستی حسابداری را مورد بررسی قرار داده است.
در چنین سیستمی، هیچ کارمندی مسئولیت کامل یک معامله را بر عهده ندارد، و کار هر فرد توسط فرد دیگری که یک جنبه دیگر از همان معاملا را انجام می دهد، کنترل می شود.
تفکیک وظایف، از صحت مدارک و گزارشها اطمینان می دهد و منافع شرکت را در برابر تقلب و بی دقتی حفظ می کند.
با کامپیوتری شدن سیستم شرکت، اجرای کارهایی که قبلاً بین افراد بسیاری تقسیم می شد به کامپیوتر واگذار می شود، از آنجا که کامپیوتر می تواند بسیاری از جنبه های مرتبط به هم معاملات را به سادگی انجام دهد، تلفیق عملیات و ادغام وظایف را نیز باید از آن انتظار داشت.
برای مثال، کامپیوتر هنگام تهیه لیست حقوق و دستمزد می تواند با یک بار استفاده از پرونده اصلی، انواع وظایف مرتبط را انجام دهد.
از جمله این وظایف، نگهداری پرونده های پرسنلی، شامل اطلاعاتی درباره رتبه کارکنان، نرخ حقوق و دستمزد، بیمه و سایر موارد مشابه، بخشی از وظایف تعیین ساعت کارکرد، تسهیم هزینه حقوق و دستمزد، و تهیه فیش و چک پرداخت حقوق و دستمزد است.
باوجود ادغام وظایف متعدد در سیست کامپیوتری، به هیچ وجه از اهمیت کنترل های داخلی کاسته نشده است.
عوامل اساسی مربوط به کنترل های داخلی رضایت بخش در سازمان های بزرگ، در مورد سیستم های کامپیوتری نیز مصداق دارد.
با وجود تغییر در سازمان عملیات، باز هم تفکیک وظایف و تعیین صریح مسئولیت ها از عوامل اصلی و پا برجا کنترل های داخلی محسوب می شود.
به هر حال، این مفاهیم سنتی کنترل، با کنترل های برنامه ای و سخت افزاری کامپیوترها، کاملتر شده است.
در نشریات حسابرسی، کنترل های داخلی مربوط به سیستم های کامپیوتری اغلب به کنترل های عمومی یا کنترل های کاربردی طبقه بندی شده است.
کنترل های عمومی به تمام موارد کاربرد کامپیوتر مربوط می شود و شامل مواردی مانند: الف) سازمان مرکز کامپیوتر، ب) روش های ایجاد، مستندسازی، آزمایش و تصویب سیستم اولیه و هر گونه تغییرات بعدی آن، پ) کنترل های تعبیه شده در سخت افزار (کنترل دستگاه های کامپیوتر) و ت) ایمنی پرونده ها و دستگاه هاست.
از طرف دیگر، کنترل های کاربردی به سیستم های کاربردی حسابداری خاصی مانند سیستم حقوق و دستمزد کامپیوتری مربوط می گردد.
کنترل های کاربردی شامل ضوابطی برای مطمئن شدن از قابلیت اطمینان اطلاعات ورودی، کنترل های پردازش و کنترل های گزارش های خروجی است.
کنترل های سازمانی در یک مرکز کامپیوتر به دلیل توان کامپیوتر در پردازش کارآمد اطلاعات، معمولا بسیاری از وظایف پردازش اطلاعات به مرکز کامپیوتر واگذار می شود.
ادغام وظایف مختلف پردازش در سیستم های دستی یا مکانیکی ممکن است از نظر دستیابی به کنترل های داخلی قوی، ناسازگار تلقی شود، برای مثال ثبت پرداخت های نقدی با مسئولیت تهیه صورت مغایرت بانکی، ناسازگار است.
چون از یکی از این کارها برای کنترل کار دیگر استفاده می شود، تفویض هر دو کار به یک کارمند او را درموقعیت قرار می دهد که بتواند اشتباهات خود را پنهان سازد.
اما اگر برای کامپیوتر به درستی برنامه سازی شود، کامپیوتر هیچ تمایل یا انگیزه ای برای پنهان کردن اشتباهات خود ندارد.
بنابراین، آنچه که به ظاهر ادغام وظایف ناسازگار تلقی می شود، می تواند بدون تضعیف کنترل های داخلی، در وظایف مرکز کامپیوتر ادغام گردد.
هنگامی که وظایف به ظاهر ناسازگار در مرکز کامپیوتر ادغام می شود، وجود کنترل های جبرانی برای پیشگیری از دخالت عوامل انسانی در پردازش کامپیوتری ضروری است.
فردی که امکان ایجاد تغییرات غیر مجاز در برنامه های کامپیوتر یا پرونده های اطلاعات را دارد در موقعیت است که می تواند از تمرکز پردازش اطلاعات در مرکز کامپیوتر سوء استفاده کند.
برای مثال، برنامه کامپیوتر مربوط به پردازش حسابهای پرداختنی می تواند به گونه ای طراحی شود که صورتحساب فروشندگان تنها در صورتی برای پرداخت مورد تایید قرار گیرد که سفارش خرید و رسید انبار، ضمیمه صورتحساب شده باشد.
کارمندی که بتواند تغییرات غیر مجازی در برنامه مزبور به عمل آورد، می تواند پرداخت های بدون اتکا بر اسناد و مدارک کافی به فروشندگان مورد نظرش را سبب شود.
برنامه ها و پرونده های اطلاعات کامپیوتری نمی تواند بدون استفاده از کامپیوتر تغییر یابد.
اما، برنامه ها و اطلاعات مزبور می تواند با استفاده از تجهیزات کامپیوتر تغییر داده شود بدون آن که شواهد قابل رویتی از تغییرات باقی بماند.
بنابراین، طرح سازمانی مرکز کامپیوتر باید مانع از دسترسی غیر مجاز کارکنان مرکز به کامپیوتر، برنامه ها و پرونده های اطلاعات گردد.
این کار از طریق تعیین دقیق و روشن حدود اختیارات و مسئولیت ها، تفکیک وظایف و تعیین دقیق وظایف هر یک از کارکنان مرکز کامپیوتر انجام می شود.
ساختار سازمانی یک مرکز کامپیوتر که کارکنان کافی داشته باشد، مستلزم تفکیک مسئولیت های زیر است: مدیریت مرکز کامپیوتر برای سرپرستی مرکز کامپیوتر مدیری باید گمارده شود.
این مدیر باید زیر نظر مسئول صدور مجوز پردازش کامپیوتری، مثلا معاون پردازش اطلاعات یا سیستم های اطلاعاتی باشد.
در مواردی که مرکز کامپیوتر بخشی از دایره حسابداری است، مدیر مالی نباید مستقیماً در عملیات کامپیوتر نقشی داشته باشد.
طراحی سیستم ها تحلیل گران سیستم، مسئول طراحی سیستم های کامپیوتری هستند.
آنان پس از در نظر گرفتن هدف های کاری و نیازهای کامپیوتری قسمت های مختلف استفاده کننده از خدمات کامپیوتری (گروه های استفاده کننده)، هدف های سیستم و روش های رسیدن به این هدف ها را تعیین می کنند.
آن ها مشخصات سیستم کاربردی کامپیوتری را با استفاه از نمودگرها و دستورالعملهای تفصیلی تدوین می کنند.
در این فصل سعی شده است به مهمترین آثار کامپیوتر بر کار حسابرسی توجه شود، اما آموزش کامل مهارت های فنی کامپیوتری، مورد نظر نبوده است.
حسابرسان مستقل پی برده اند که آشنایی بیشتر با کامپیوتر، از جمله مهارت های فنی آن، مانند برنامه نویسی، در حرفه حسابداری ارزش روافزونی می یابد.
ماهیت سیستم های کامپیوتری قبل از بررسی آثار سیستم های کامپیوتری بر کار حسابرسان مستقل، لازم است شناختی از ماهیت کامپیوتر و توانایی های آن به دست آوریم.
یک سیستم کامپیوتری تجاری، معمولا از یک دستگاه کامپیوتر عددی[1] و دستگاه های جانبی آن، مجموعا به نام سخت افزار و قسمت دیگری به همان اهمیت، شامل برنامه ها و دستور العمل های مختلف به نام نرم افزار تشکیل می شود.
سخت افزار دستگاه پردازش مرکزی (CPU)، قسمت اصلی سخت افزار یک کامپیوتر است.
دستگاه پردازش مرکزی از یک واحد هدایت (کنترل)، که دستورالعمل های برنامه کامپیوتری را برای پردازش اطلاعات به جریان می اندازد، واحد حافظه برای نگهداری برنامه های کامپیوتری و اطلاعات مورد پردازش و یک واحد محاسب و منطق با توانایی جمع، تفریق، ضرب و تقسیم کردن و مقایسه اطلاعات با سرعت های زیادی که با یک میلیونیم ثانیه، یک میلیاردیم ثانیه یا حتی یک تریلیونیم ثانیه اندازه گیری می شود، تشکیل شده است.
دستگاه های جانبی دستگاه پردازش مرکزی، وسایلی برای ورود، خروج و نگهداری اطلاعات و ارتباطات مخابراتی است.
وسایلی را که با دستگاه پردازش مرکزی در ارتباط مستقیم هستند، پیوسته (Online) و تجهیزاتی را که با آن در ارتباط مستقیم نباشند، ناپیوسته یا گسسته (Offline) نامند.
اولین گام در پردازش الکترونیکی اطلاعات، تبدیل اطلاعات به شکل قابل استفاده کامپیوتر است.
این کار توسط دستگاه های ثبت و ورود اطلاعات مانند: دستگاه منگنه کارت و نوار، کارت خوان، نوار خوان، علامت خوان، صندوق های دریافت نقدی الکترونیکی و پایانه های هوشمند انجام می شود.
هر یک از این علامت خوان، صندوق های دریافت نقدی الکترونیکی و پایانه های هوشمند انجام می شود.
هر یک از این دستگاه ها اطلاعات را به شکلی برای ورود بعدی به واحد حافظه ثبت می کند یا آن ها را مستقیماً به واحد پردازش مرکزی ارسال می دارد.
انباره های کمکی برای ثبت و نگهداری اطلاعات و گاه برای بالا بردن ظرفیت حافظه واحد پردازش مرکزی مورد استفاده قرار می گیرد.
نمونه های از انباره های کمکی، نوار مغناطیسی، استوانه مغناطیسی و دیسک مغناطیسی است.
در استوانه و دیسکهای مغناطیسی، امکان دسترسی مستقیم به اطلاعات وجود دارد که دسترسی سریع به اطلاعات مورد نظر را ممکن می سازد.
اطلاعات در روی نوارهای مغناطیسی دنبال هم ضبط می شود و در نتیجه، دسترسی به اطلاعات مورد نظر تنها از طریق جستجوی منظم امکان پذیر است.
هر یک از کوچکترین واحدهای حافظه یا بیت کامپیوتری می تواند وضعیت "روشن" یا "خاموش" داشته باشد.
با استفاده از یک روش ویژه کد گذاری یا یک زبان ماشین که بتواند هر اطلاعی را با ترکیب هایی از دو علامت (مثلا صفر و یک یا بلی و خیر) نشان دهد، تمام اطلاعات می تواند در داخل کامپیوتر با ترکیببی از بیت های روشن و خاموش نشان داده شود.
نمونه ساده ای از زبان مخصوص ماشین، اعداد پایه دو است.
گزارش های خروجی کامپیوتر نیز باید توسط دستگاه هایی به زبان یا کد قابل تشخیص توسط انسان تبدیل شود.
دستگاه های چاپ و پایانه های تلویزیونی از جمله دستگاه های خروجی است.
نرم افزار سیستم های کامپیوتری از دو نوع نرم افزار اصلی، یکی نرم افزار عمومی سیستم و دیگری نرم افزار کاربردی استفاده می کنند.
نرم افزار سیستم، شامل برنامه هایی است که اجزای سخت افزار را کنترل و هماهنگ می کند و امکاناتی را نیز برای نرم افزار کاربردی تأمین می نماید.
از اجزای مهم نرم افزار عمومی سیستم، برنامه های خدمات عمومی برای وظایف روزمره در پردازش اطلاعات مانند مرتب کردن، ردیف کردن و ادغام کردن اطلاعات است.
سیستم عامل مهمترین نرم افزار عمومی سیستم است، زیرا می تواند دسترسی به برنامه ها و اطلاعات ذخیره شده را تحت کنترل داشته باشد و به گونه ای برنامه ریزی شود که تمام فعالتی های سیستم را ثبت کند.
برنامه هایی که برای پردازش اطلاعات خاصی طراحی می شود، مانند پردازش لیست حقوق و دستمزد، نرم افزار کاربردی نام دارد.
در اوان استفاده از کامپیوتر، برنامه های کاربردی با زحمت زیاد به زبان ماشین نوشته می شود، اما امروزه زبان های برنامه نویسی مانند کوبول (زبان مناسب کارهای تجاری[2]) بیشتر شبیه زبان انگلیسی است.
قسمت دیگری از نرم افزار به نام مبدل، برنامه نویسی به زبان کوبول و سایر زبان های اولیه مشابه را ممکن می سازد.
مبدل، یک برنامه کامپیوتری است که برنامه های به زبان اولیه[3] را به زبان ماشین ترجمه می کند.
برنامه تبدیل شده به زبان ماشین، برنامه اجرایی نامیده می شود.
سیستم های کامپیوتری به نوعی قابلیت اتکای گزارش های مالی را افزایش داده است.
کامپیوتر اطلاعات فعالیت ها را یکنواخت پردازش می کند و احتمال بروز اشتبهات عوامل انسانی را که در یک سیستم دستی می تواند رخ دهد، از بین می برد.
از طرف دیگر، هر نقصی در سخت افزار یا برنامه ها می تواند به پردازش نادرست تمام فعالیت ها منجر شود.
همچنین، اشتباهات یا تخلفات پردازش کامپیوتری ممکن است به دلیل محدود بودن تعداد افراد مجری پردازش اطلاعات، توسط کارکنان صاحبکار کشف نشود.
بنابراین، دقت سخت افزار کامپیوتر، قابل اتکا بودن اطلاعات خروجی کامپیوتر را تضمین نمی کند.
مسئولیت حسابرسان در سیستم های کامپیوتری همان مسئولیت آنان در سیستم های دستی است.
این مسئولیت عبارت از قانع شدن حسابرس نسبت به این است که صورت های مالی تهیه شده نمایانگر تفسیر و پردازش اطلاعات، طبق اصول پذیرفته شده حسابداری باشد.
برنامه نویسی برنامه نویسان برنامه های مورد نیاز سیستم را با استفاده از مشخصات تعیین شده توسط تحلیل گران سیستم، به شکل نمودگر طراحی می کنند.
سپس، آنان با استفاده از زبان های برنامه نویسی مانند کوبول، و عوامل نرم افزاری چون مبدل و برنامه های عمومی، برنامه های کامپیوتری لازم را تنظیم می کنند.
برنامه نویسان برنامه ها را با استفاده از اطلاعات واقعی یا آزمایشی، آزمون می کنند و بر حسب نیاز، اشتباهات یا نقایص برنامه را رفع می نمایند و سرانجام مدارک لازم، مانند راهنمای عملیات را تهیه می کنند.
عملیات کامپیوتر متصدیان دستگاه های کامپیوتر، طبق راهمای عملیات که توسط برنامه نویسان تهیه شده است، با کامپیوتر کار می کنند.
گهگاه متصدیان ممکن است مجبور شوند برای اصلاح اشتباهی که روی میز فرمان[4] اعلام می شود، در کار پردازش دخالت کنند.
سیستم عامل کامپیوتر باید به گونه ای برنامه ریزی شده باشد که تمام دخالت های متصدیان را ثبت کند.
برای دستیابی به کنترل های داخلی قوی، جدا سازی وظایف عملیات کامپیوتر از وظایف برنامه نویسی، اهمیت زیادی دارد.
کارمندی که هر دو کار را انجام می دهد در موقعیتی خواهد بود که بتواند در برنامه های کامپیوتر تغییرات غیر مجازی ایجاد کند.
بایگانی برنامه ها و پرونده ها هدف از بایگانی، محافظت از برنامه های کامپیوتر، پرونده های اصلی و اطلاعات جاری فعالیت ها و سایرمدارک در برابر از بین رفتن، آسیب دیدن، سوء استفاده یا ایجاد تغییرات غیر مجاز است.
بایگان برای کسب اطمینان از وجود کنترل های کافی، یک سیستم ترخیص رسمی برقرار می کند تا مدارک را در اختیار استفاده کنندگان مجاز قرار دهد.
در بسیاری از سیستم ها، کار بایگانی توسط کامپیوتر انجام می شود.
متصدیان دستگاه ها برای دسترسی به برنامه ها و پرونده هایی که در سیستم نگهداری می شود، از یک شماره یا اسم رمز استفاده می کنند.
کامپیوتر با استفاده از برنامه بایگان به طور خودکار سوابق موارد استفاده از برنامه ها و پرونده ها را ثبت و گزارش می کند.
آماده سازی اطلاعات کارکنان مسئول این کار، اطلاعات را منگنه و غلط گیری می کنند تا برای پردازش آماده شود.
کار دستگاه منگنه (پانچ) یک نمونه سنتی از کار دایره آماده سازی اطلاعات است.
منگنه کردن اساسا به سیستم پردازش دسته ای اطلاعات مربوط می شود که در آن دسته ای از معاملات در یک زمان پردازش می شود.
در یک سیستم پیوسته پردازش بیدرنگ، اطلاعات توسط استفاده کننده از راه پایانه های داخل یا خار از مرکز کامپیوتر، وارد کامپیوتر می شود.
اما، حتی در پیچیده ترین سیستم ها، هنوز بسیاری از پردازش ها به روش پردازش دسته ای معاملای که توسط استفاده کنندگان به طور مستقیم وارد کامپیوتر می گردد، انجام می شود.
گروه کنترل اطلاعات گروه کنترل در مرکز کامپیوتر، تمام اطلاعات ورودی را بررسی و آزمون می کند، بر پردازش کامپیوتر نظارت می نماید، ترتب اصلاح اشتباهات مشخص شده توسط کامپیوتر را میدهد، و گزارش ای خروجی کامپیوتر را بررسی و توزیع می کند.
این گروه، گزارش کامپیوتری موارد دخالت های متصدی دستگاه در کار پردازش و همچنین، سوابق موارد استفاده از بایگانی را بررسی می کند.
در سازمان های کوچک ممکن است وظایف گروه کنترل توسط گروه های استفاده کننده انجام شود.
طرح سازمان مرکز کامپیوتر علاوه بر تفکیک وظایف باید چرخش کارهای واگذاری به برنامه نویسان و متصدیان دستگاه ها، مرخصی های اجباری و بیمه در مقابل سوء استفاده کارکنان مرکز کامپیوتر را نیز ایجاب کند.
هنگام استفاده از تجهیزات کامپیوتری، حداقل دو نفر از کارکنان صاحب صلاحیت مرکز باید حضور داشته باشند.
روش های اتخاب دقیق برای استخدام کارکنان مرکز کامپیوتر نیز در دستیابی به کنترل های داخلی قوی تأثیر به سزایی دارد.
کنترل های سازمانی و تقلب کامپیوتری تاریخچه تقلب های کامپیوتری نشان می دهد کسانی مرتکب تقلب شده اند که عموماً سیستم را دستکاری کرده اند و در نقش هم برنامه نویس و هم متصدی دستگاه ها استفاده از سیستم را تحت کنترل خود داشته اند.
البته میزان تفکیک وظایف به تعداد کارکنان و ساختار سازمانی مرکز بستگی دارد.
دست کم وظیفه برنامه نویسی باید از وظایفی که اطلاعات ورودی به کامپیوتر را کنترل می کند و وظیفه تصدیدستگاه کامپیوتر از وظایفی که مستلزم نگهداری یا داشتن اطلاعات تفصیلی درباره برنامه های کامپیوتری است، تفکیک شود.
اگر فردی اجازه یابد چندین وظیفه از این نوع را انجام دهد، کنترل های داخلی تضعیف می گردد و فرصت وارد کردن اطلاعات تقلبی به سیستم نیز به وجود می آید.
دسترسی کارکنان مرکز کامپیوتر به دارایی ها هر گاه مسئولیت های دفتر داری و حفاظت دارایی های مربوط ادغام شود، فرصت پنهان ساختن اختلاص دارائی ها برای کارکنان افزایش می یابد.
از آنجا که کار کامپیوتر اساساً دفتر داری است، محدود ساختن دسترسی کارکنان مرکز کامپیوتر به دارایی ها بسیار مطلوب است.
اگر تهیه و امضای چکها به سیستم کامپیوتری واگذار شده باشد، کارکنان کامپیوتر مستقیماً به وجوه نقد دسترسی خواهند داشت.
همچنین، اگر مجوز ارسل کالا، دستور حملهایی باشد که کامپیوتر تهیه می کند، کارکنان مرکز کامپیوتر احتمالاً به طور غیر مستقیم به دارایی ها دسترسی خواهند داشت.
ادغام دفتر داری با دسترسی به دارایی ها، سبب ضعف جدی در کنترل های داخلی می شود، مگر آن که کنترل های جبرانی کافی وجود داشته باشد.
یکی از کنترل های جبرانی، استفاده از جمع دسته ای از پیش تعین شده، مانند تعداد اوراق و جمع یک مورد با اهمیت در تمام اقلام دسته است که در واحدهای استفاده کننده و مستقل از مرکز کامپیوترتهیه می شود.
برای مثال، اگر چکها را کامپیوتر چاپ کند، قسمت دیگری باید مجوز صدور چکها را به عهده داشته باشد.
قسمت مزبور باید جمع مبالغ ریالی و جمع تعداد چک های صادر شده را تهیه و نگهداری کند.
سپس این جمع های دسته ای مستقل باید قبل از تحویل چکها با گزارش های خروجی کامپیوتر مقایسه شود.
کنترل های جبرانی به احتمال زیاد مخاطرات دسترسی کارکنان مرکز کامپیوتر به دارایی ها را کاملاً منتفی نمی سازد.
بنابراین، حسابرسان باید توجه داشته باشند که بیشترین مخاطرات در قسمت هایی است که کارکنان مرکز کامپیوتر به دارایی ها دسترسی دارند.
تقلب مدیریت کنترل های سازمانی در پیشگیر از ارتکاب تقلب هر یک از کارکنان تا حدی منطقی، مؤثر است اما مانع از تقلب هایی نیست که از راه تبانی انجام می شود.
اگر کارکنان اصلی یا رؤسای شرکت در ارتکاب تقلب تبانی کنند، کنترل های داخلی متکی بر تفکیک وظایف ممکن است بی اثر شود.
رسوایی شرکت تأمین سرمایه را اغلب یک تقلب کامپیوتری توصیف کرده اند.
اما، به دلیل استفاده از کامپیوتر نبود که شرکت توانست حسابرسان و بازرسان دولت را فریب دهد.
بلکه مشارکت هماهنگ و داوطلبانه تعداد زیادی از رؤسا و کارکنان شرکت در طرح مزبور، امکان مخفی داشتن فعالیت های متقلبانه را برای چندین سال فراهم ساخته بود.
یک تبانی به گستردگی تبانی شرکت تأمین سرمایه، هر سیستم کنترل داخلی را بی اثر می کند.
مستند سازی کنترل های داخلی در مرکز کامپیوتر مستلزم نه تنها تفکیک وظایف، بلکه تهیه و نگهداری اسناد کافی برای تشریح سیستم و روش های مورد عمل در تمام امور پردازش اطلاعات است.
یک سیستم مؤثر مستند سازی از طریق تأمین راهنمای عملیات برای متصدیان دستگاه ها و راهنمای استفاده کنندگان، به برقراری سیستم کنترل داخلی کمک می کند.
مستندات سیستم، کار تجدید نظر در برنامه های موجود را برای برنامه نویسان تسهیل می نماید.
هدف از مستند سازی سیستم، تهیه شرح کلی یک سیستم پردازش شامل نمودگرهای سیستم و تشریح نوع و ماهیت اطلاعات ورودی، عملیات و گزارشهای خروجی است.
مستند سازی سیستم، مسئولیت های مربوط به ورود اطلاعات، انجام دادن وظایف کنترل و اصلاح و پردازش مجدد اطلاعات نادرست را نیز مشخص می کند.
نمونه ای از مستندات سیستم، راهنمای استفاده کنندگان است که در مورد وظایف واگذار شده به استفاده کننده، مانند تهیه اطلاعات برای پردازش، به کارگیری روش های کنترل و استفاده از پایانه های کامپیوتری، دستورالعمل های لازم را ارائه می کند.
یکی دیگر از انواع مهم مستندات سیستم، مستندات برنامه است که شرح کاملی از هر برنامه کاربردی را دارد.
مستندات برنامه حداقل باید شامل موارد زیرباشد: 1.
تشریح هدف برنامه.
2.
فهرست و تشریح کنترل های پردازشی برنامه.
3.
نقشه محل قرار گرفتن اطلاعات که جای اطلاعات را در کارت، نوار، دیسک یا استوانه نشان دهد.
4.
نمودگرهای برنامه که مراحل اصلی و منطق برنامه کامپیوتر را نشان دهد.
5.
فهرست برنامه ها به زبان اولیه برنامه نویسی.
6.
مدارک تصویب برنامه و کاربرگ های تغییرات آن که مجوز صحیح برای تمام برنامه ها در بدو ایجاد و تغییرات بعدی آن را نشان دهد.
7.
راهنمای عملیاتی حاوی دستورالعمل های برنامه ها.
8.
اطلاعات آزمایشی استفاده شده به منظور آزمون و رفع اشتباهات و نقایص برنامه.
مستندات کامل برنامه ممکن است برای ایجاد تغییرات مجاز در برنامه توسط تحلیل گران سیستم و برنامه نویسان مورد استفاده قرار گیرد.
از طرف دیگر، متصدیان دستگاه کامپیوتر باید تنها به راهنمای عملیات که شامل رهنمودهای لازم برای پردازش برنامه است دسترسی داشته باشند.
اگر متصدیان مزبور به اطلاعات تفصیلی در مورد برنامه ها دسترسی داشته باشند، احتمال ایجاد تغییر یا الحاق اصلاحیه به برنامه توسط آنان افزایش می یابد.
مستندات سیستم در بررسی کنترل های مربوط به تغییرات برنامه، ارزیابی کنترل های مندرج در برنامه و تعیین منطق برنامه برای حسابرسان مفید است.
حسابرسان برای تهیه اطلاعات آزمایشی یا برنامه های خاص حسابرسی جهت آزمایش برنامه ها و پرونده های کامپیوتری صاحبکار باید به شکل و نحوه قرار گرفتن اطلاعات در مستندات برنامه توجه نمایند.
کنترل های سخت افزار دستگاه های کامپیوتری جدید، بسیار دقیق و قابل اعتماد است.
بیشتر اشتباهات موجود در گزارش های خروجی در اثر وجود اشتباه در اطلاعات ورودی یا در برنامه ها ایجاد می شود.
اما، حسابرسان برای ارزیابی قابلیت اعتماد سخت افزار باید با کنترل های مربوط به سخت افزار در هر سیستم خاص آشنا باشند.
سازندگان کامپیوتر، کنترل های مربوط به سخت افزار (دستگاه ها) را درکامپیوتر تعبیه می کنند.
رایج ترین کنترل های سخت افزار با دستگاه ها به شرح زیر است: 1.
بازتاب منظور از کنترل بازتاب، کسب اطمینان نسبت به تبعیت دستگاه های جانبی، مانند دستگاه چاپ، از فرامین کامپیوتر است.
به این منظور، علایمی از دستگاه های جانبی به کامپیوتر باز می گردد تا دریافت اطلاعات یا انجام شدن کار محول شده را نشان دهد.
خود آزمایی بسیاری از کامپیوترها در سخت افزار یا نرم افزار خود، کنترل هایی دارند که کامپیوتر می تواند مدارهای خود را با آن آزمون کند.
کنترل خودآزمایی می تواند بسیاری از نقایص موجود در مدار یا واحد حافظه را قبل از توقف سیستم، شناسایی کند.
پردازش دوباره پردازش دوباره، عبارت از دو بار اجرا کردن یک کار و مقایسه دو نتیجه به دست آمده است.
در یک نوع پردازش دوباره که بعد از نوشتن بخوان نامیده می شود، کامپیوتر بعد از انتقال اطلاعات از دستگاهی به دستگاه دیگر، آن را بازخوانی و صحت اطلاعات را کنترل می کند.
کنترل توازن کامپیوتر اطلاعات را به صورت ردیف بیت ها (به شکل ارقام بر پایه دو و متشکل از صفر ویک) نگهداری و پردازش می کند.
علاوه بر بیت های لازم برای نشان دادن علایم ارقام یا حروف الفبا، در بیشتر موارد یک بیت توازن هم اضافه می شود تا مجموع تمام بیت های روشن یا "یک"، بسته به نوع کامپیوتر، همیشه فرد یا زوج باشد.
چون اطلاعات با سرعت های زیاد بین اجزای کامپیوتر مبادله می شود، کنترل توازن، توسط کامپیوتر به کار می رود تا اطمینان حاصل شود که بیت ها در جریان مبادله، جا نیفتاده باشد.
وجود و اجرای یک برنامه مراقبت و نگهداری پیشگیرانه نیز برای کسب اطمینان از درست کار کردن سخت افزار کامپیوتر، اهمیت به سزایی دارد.
ایمنی پرونده ها و تجهیزات هر مرکز کامپیوتری باید برای محافظت دستگاه ها، پرونده ها و برنامه ها در برابر صدمه دیدن، از بین رفتن و دسترسی افراد غیر مجاز، دارای کنترل های حفاظتی کافی باشد.
اگر دسترسی به برنامه ها و پرونده ها از راه کامپیوترهای کوچک یا از طریق پایانه های هوشمند امکان پذیر باشد، استفاده کنندگان برای دستیابی به سیستم باید به ارائه اسم رمز خود به کامپیوتر ملزم باشند.
برنامه سیستم عامل کامپیوتر باید به گونه ای باشد که تمام موارد استفاده از طریق پایانه ها را ثبت نماید و اگر با تلاش های مکرری برای دستیابی به کامپیوتر با استفاده از اسم رمز نادرست مواجه شد، هشدار دهد.
موارد مشهور کنجکاوی نوجوانان برای نفوذ در کامپیوترهای نظامی و تجاری با استفاده از کامپیوترهای خانگی، اهمیت وجود این کنترل ها را نشان داده است.
هدف دیگر از کنترل های حفاظتی، امکان بازسازی پرونده های کامپیوتری در صورت نابودی یا آسیب دیدگی آن هاست.
نوارها و دیسک های مغناطیسی ممکن است با قرار گرفتن در جریا حوزه مغناطیسی یا گرمای زیاد، آسیب ببیند.
همچنین، احتمال دارد که یک برنامه یا یک پرونده در جریان پردازش کامپیوتری تصادفا پاک شود.
برای پیشگیری از زیان های ناشی از این گونه اتفاق ها، از تمام پرونده ها و برنامه ها باید نسخه برداری شود.
این نسخه های پشتیبان باید رد محلی جدا از نسخه های اصلی نگهداری گردد.
اطلاعات مندرج در مدارکی که به روش پیوسته به روز می شود باید هر چند وقت یک بار به دیسک یا نوار، منتقل شود تا در صورت قطع برق، اطلاعات زیادی از دست نرود.
پرونده هایی را که در مقاطع مشخصی (دوره ای) به روز می شود، مانند پرونده حساب های دریافتنی پرونده اصلی می نامند.
عموماً سه نسل از پرونده اصلی نگهداری می شود تا بازسازی پرونده های از بین رفته یا آسیب دیده امکان پذیر گردد.
در یک روش نگهداری پرونده ها به نام پدر بزرگ – پدر – پسر، پرونده اصلی به روز شده جاری پسر نام دارد، پرونده اصلی مورد استفاده برای ایجاد پرونده پسر را پدر نامند و پرونده پدر قبلی نیز پدربزرگ است.
پرونده فعالیت های دوره جاری و دوره قبل نیز باید نگهداری شود تا در صورت نابودی تصادفی پرونده اصلی (جاری) برای به روز کردن پرونده های اصلی قبلی، مورد استفاده قرار گیرد.
سه نسل اطلاعات باید در قسمت های جداگانه ای از بایگانی یا در سه محل جداگانه نگهداری شود تا احتمال خطر از دست دادن همزمان هر سه نسل کاهش یابد.
برای محافظت دستگاه ها در برابر سیل، آتش سوزی و خرابکاری نیز لازم است روش های ایمنی اعملا شود.
بهترنی راه جلوگیری از آسیب های عمدی، آن است هک دسترسی به دستگاه ها به افراد مجاز محدود شود.
افراد مرکز کامپیوتر را باید قبل از استخدام به دقت مورد بررسی قرار داد و افراد خارج از مرکز باید تنها همراه افراد مسئول و مجاز بتوانند به تجهیزات کامپیوتری نزدیک شوند.
مدیریت، پیوسته باید نسبت به خرابکاری توسط یک کارمند ناراضی هشیار باشد.
اغلب، دستگاه های کامپیوتر در محل های به نسبت محرمانه نگاهداشته می شود.
محل نصب دستگاه های کامپیوتری باید بدون پنجره و درهای آن تا آنجا که ممکن است کم باشد.
درب های ورودی باید توسط نگهبان یا قفل های مجهز به رمز شناسایی محافظت شود.
به علاوه اتاق کامپیوتر باید در مقابل آتش سوزی مقاوم، دارای تهویه مطبوع و بالاتر از سطح سیلاب احتمالی باشد.
کنترل های اطلاعات ورودی طراحی کنترل های اطلاعات ورودی، اولین کنترل از کنترل های کاربردی، برای کسب اطمینان از این است که اطلاعات دریافتی برای پردازش، نمایانگر معاملات مجاز و هنگام ارائه به کامپیوتر، صحیح و کامل بوده است.
کنترل های مربوط به اطلاعات ورودی با صدور مجوزصحیح معاملات مورد پردازش شروع می شود.
مرکز کامپیوتر در اصل یک دایره دفتر داری است و بنابراین، از لحاظ کنترل های داخلی نباید شروع کننده معاملات باشد.
هنگامی که اطلاعات مربوط به معاملات در ابتدا روی مدارک اولیه ای مانند سفارش فروش منعکس شود، مجوز می تواند به صورت امضای مدرک مزبور توسط فردی ذیصلاح باشد.
در سیستم های پیوسته، اطلاعات مربوط به معاملات می تواند از راه پایانه هایی که در قسمت شروع کننده معاملات و دور از مرکز کامپیوتر مستقر شده است، مستقیماً وارد کامپیوتر شود.
در چنین مواردی، دسترسی به پایانه ها باید محدود به افرادی شود که مجاز به شروع معاملات هستند.
به این منظور، می توان به افراد مجاز استفاده کننده از پایانه ها یک شماره شناسایی اختصاص داد که مجبور باشند آن را به کامپیوتر ارائه کنند.
تا کامپیوتر اطلاعات ورودی را از آنان بپذیرد.
در بیشتر سیستم های کاربردی، مدارک معاملات دسته بندی می شود تا به ترتیب در یک مجموعه پردازش شود.
وجود کنترل های مربوط به اطلاعات ورودی برای تعیین اضافه یا کم شدن اطلاعات هر دسته لازم است.
ترتیب شماره های ردیف مدارک اولیه در هر دسته باید کنترل شود.
به علاوه، کنترل جمع های دسته ای مانند جمع تعداد اقلام و جمع یک مورد عمده از اطلاعات هر دسته باید تهیه تا این جمع ها در هر مرحله از پردازش دسته بتواند کنترل و تایید شود.
برای تایید دقت تبدیل مدارک اولیه به مدارک قابل استفاده کامپیوتر باید پیش بینی های لازم به عمل آید.
در مورد عملیات منگنه زنی، یک دستگاه غلطگیر، کار منگنه زنی را کنترل می کند یا به جای این کار، کارت های منگنه شده ترجمه و با مدارک اولیه آن تطبیق می گردد.
برای افزایش قابلیت اتکای شماره شناسایی و شماره حساب موجود در اطلاعات ورودی می توان از اعداد خود آزما استفاده کرد.
کنترل های پردازش کنترل های پردازش برای اطمینان از قابلیت اتکا و صحت پردازش اطلاعات طراحی می شود.
یک روش عمده اعمال کنترل های پردازشی، کنترل های برنامه ه ای است که در برنامه های کامپیوتر ایجاد می شود کنترل های متداول برنامه ای عبارت است از: 1.
شمارش تعداد اقلام (یا مدارک) شمارش تعداد اقلام یا تعداد معاملاتی که در یک دسته پردازش می شود.
جمع کنترلی جمع یکی از اطلاعات مشترک در تمام اقلام دسته.
نمونه ای از آن، جمع مبلغ یا تعداد فروش در یک دسته از سفارش های فروش است.
اگر جمع های مزبور با جمع های از قبل تعیین شده توسط گروه های استفاده کننده مقایسه شود، چنین کنترلی یا از حذف مبالغ، دوبار به حساب گرفتن اقلام و اشتباهات جا به جایی اقلام در اطلاعات ورودی یا پردازش جلوگیری می کند.
جمع درهم جمع یکی از اطلاعات مشترک در تمام اقلام دسته که به همان شکل جمع کنترلی مورد استفاده قرار می گیرد.
تفاوت جمع درهم و جمع کنترلی در این است که جمع در هم به خودی خود هیچ معنایی ندارد.
جمع شماره کارمندی در یک لیست حقوق نمونه ای از یک جمع در هم است.
آزمون اعتبار (آزمون اعتبار کد) کنترل صحت کد هر یک از کارکنان، فروشندگان و افراد دیگر از راه مقایسه آن با کدهای موجود در پرونده اصلی.
آزمون دامنه آزمون منطقی بودن اطلاع مهمی که از قبل حداق و حداکثری برای آن تعیین شده است.
اعداد خود آزما عددی که دارای یک رقم اضافی مانند جمع ارقام عددی است.
این رقم اضافی، کنترل صحت عدد را پس از انتقال از یک دستگاه به دستگاه دیگر ممکن می سازد.
برچسب پرونده برچسب مورد استفاده به منظور حصول اطمینان از صحیح و مناسب بودن پرونده فعالیت یا پرونده اصلی که در یک رانش خاص به کار گرفته می شود.
برچسب عنوان، اطلاعاتی قابل استفاده توسط کامپیوتر است که روی نوار یا دیسک قرار می گیرد و منظور از آن مشخص کردن پرونده و تاریخ ایجاد آن است.
برچسب پایان، آخرین اطلاع مندرج در پرونده است که حاوی کنترل هایی مانند تعداد یکی از ارقام و یا جمع های کنترلی می باشد.
این گونه برچسب های درونی هماره برچسب های کاغذی که بر روی پرونده ها چسبانده می شود برای پیشگیری از پردازش پرونده اشتباه توسط متصدیان، مورد استفاده قرار می گیرد.
در مواردی که استثناها یا اشتباهاتی توسط کنترل های برنامه ای فاش می شود، پردازش کامپیوتری متوقف یا اشتباه های آشکار شده، چاپ می شود.
اشتباه های چاپ شده باید جهت پیگیری مستقیماً برای گروه کنترل ارسال شود.
مسئولیت گروه کنترل شامل حصول اطمینان از ورود صحیح اشتباه های اصلاح شده و جلوگیری از اصلاح مجدد اشتباه است.