مبحث کنترل های داخلی در فصل پنجم، تفکیک وظایف بین کارکنان نجری سیستم دستی حسابداری را مورد بررسی قرار داده است. در چنین سیستمی، هیچ کارمندی مسئولیت کامل یک معامله را بر عهده ندارد، و کار هر فرد توسط فرد دیگری که یک جنبه دیگر از همان معاملا را انجام می دهد، کنترل می شود. تفکیک وظایف، از صحت مدارک و گزارشها اطمینان می دهد و منافع شرکت را در برابر تقلب و بی دقتی حفظ می کند.
با کامپیوتری شدن سیستم شرکت، اجرای کارهایی که قبلاً بین افراد بسیاری تقسیم می شد به کامپیوتر واگذار می شود، از آنجا که کامپیوتر می تواند بسیاری از جنبه های مرتبط به هم معاملات را به سادگی انجام دهد، تلفیق عملیات و ادغام وظایف را نیز باید از آن انتظار داشت. برای مثال، کامپیوتر هنگام تهیه لیست حقوق و دستمزد می تواند با یک بار استفاده از پرونده اصلی، انواع وظایف مرتبط را انجام دهد. از جمله این وظایف، نگهداری پرونده های پرسنلی، شامل اطلاعاتی درباره رتبه کارکنان، نرخ حقوق و دستمزد، بیمه و سایر موارد مشابه، بخشی از وظایف تعیین ساعت کارکرد، تسهیم هزینه حقوق و دستمزد، و تهیه فیش و چک پرداخت حقوق و دستمزد است.
باوجود ادغام وظایف متعدد در سیست کامپیوتری، به هیچ وجه از اهمیت کنترل های داخلی کاسته نشده است. عوامل اساسی مربوط به کنترل های داخلی رضایت بخش در سازمان های بزرگ، در مورد سیستم های کامپیوتری نیز مصداق دارد. با وجود تغییر در سازمان عملیات، باز هم تفکیک وظایف و تعیین صریح مسئولیت ها از عوامل اصلی و پا برجا کنترل های داخلی محسوب می شود. به هر حال، این مفاهیم سنتی کنترل، با کنترل های برنامه ای و سخت افزاری کامپیوترها، کاملتر شده است.
در نشریات حسابرسی، کنترل های داخلی مربوط به سیستم های کامپیوتری اغلب به کنترل های عمومی یا کنترل های کاربردی طبقه بندی شده است. کنترل های عمومی به تمام موارد کاربرد کامپیوتر مربوط می شود و شامل مواردی مانند: الف) سازمان مرکز کامپیوتر، ب) روش های ایجاد، مستندسازی، آزمایش و تصویب سیستم اولیه و هر گونه تغییرات بعدی آن، پ) کنترل های تعبیه شده در سخت افزار (کنترل دستگاه های کامپیوتر) و ت) ایمنی پرونده ها و دستگاه هاست. از طرف دیگر، کنترل های کاربردی به سیستم های کاربردی حسابداری خاصی مانند سیستم حقوق و دستمزد کامپیوتری مربوط می گردد. کنترل های کاربردی شامل ضوابطی برای مطمئن شدن از قابلیت اطمینان اطلاعات ورودی، کنترل های پردازش و کنترل های گزارش های خروجی است.
کنترل های سازمانی در یک مرکز کامپیوتر
به دلیل توان کامپیوتر در پردازش کارآمد اطلاعات، معمولا بسیاری از وظایف پردازش اطلاعات به مرکز کامپیوتر واگذار می شود. ادغام وظایف مختلف پردازش در سیستم های دستی یا مکانیکی ممکن است از نظر دستیابی به کنترل های داخلی قوی، ناسازگار تلقی شود، برای مثال ثبت پرداخت های نقدی با مسئولیت تهیه صورت مغایرت بانکی، ناسازگار است. چون از یکی از این کارها برای کنترل کار دیگر استفاده می شود، تفویض هر دو کار به یک کارمند او را درموقعیت قرار می دهد که بتواند اشتباهات خود را پنهان سازد. اما اگر برای کامپیوتر به درستی برنامه سازی شود، کامپیوتر هیچ تمایل یا انگیزه ای برای پنهان کردن اشتباهات خود ندارد. بنابراین، آنچه که به ظاهر ادغام وظایف ناسازگار تلقی می شود، می تواند بدون تضعیف کنترل های داخلی، در وظایف مرکز کامپیوتر ادغام گردد.
هنگامی که وظایف به ظاهر ناسازگار در مرکز کامپیوتر ادغام می شود، وجود کنترل های جبرانی برای پیشگیری از دخالت عوامل انسانی در پردازش کامپیوتری ضروری است. فردی که امکان ایجاد تغییرات غیر مجاز در برنامه های کامپیوتر یا پرونده های اطلاعات را دارد در موقعیت است که می تواند از تمرکز پردازش اطلاعات در مرکز کامپیوتر سوء استفاده کند. برای مثال، برنامه کامپیوتر مربوط به پردازش حسابهای پرداختنی می تواند به گونه ای طراحی شود که صورتحساب فروشندگان تنها در صورتی برای پرداخت مورد تایید قرار گیرد که سفارش خرید و رسید انبار، ضمیمه صورتحساب شده باشد. کارمندی که بتواند تغییرات غیر مجازی در برنامه مزبور به عمل آورد، می تواند پرداخت های بدون اتکا بر اسناد و مدارک کافی به فروشندگان مورد نظرش را سبب شود.
برنامه ها و پرونده های اطلاعات کامپیوتری نمی تواند بدون استفاده از کامپیوتر تغییر یابد. اما، برنامه ها و اطلاعات مزبور می تواند با استفاده از تجهیزات کامپیوتر تغییر داده شود بدون آن که شواهد قابل رویتی از تغییرات باقی بماند. بنابراین، طرح سازمانی مرکز کامپیوتر باید مانع از دسترسی غیر مجاز کارکنان مرکز به کامپیوتر، برنامه ها و پرونده های اطلاعات گردد. این کار از طریق تعیین دقیق و روشن حدود اختیارات و مسئولیت ها، تفکیک وظایف و تعیین دقیق وظایف هر یک از کارکنان مرکز کامپیوتر انجام می شود. ساختار سازمانی یک مرکز کامپیوتر که کارکنان کافی داشته باشد، مستلزم تفکیک مسئولیت های زیر است:
مدیریت مرکز کامپیوتر برای سرپرستی مرکز کامپیوتر مدیری باید گمارده شود. این مدیر باید زیر نظر مسئول صدور مجوز پردازش کامپیوتری، مثلا معاون پردازش اطلاعات یا سیستم های اطلاعاتی باشد. در مواردی که مرکز کامپیوتر بخشی از دایره حسابداری است، مدیر مالی نباید مستقیماً در عملیات کامپیوتر نقشی داشته باشد.
طراحی سیستم ها تحلیل گران سیستم، مسئول طراحی سیستم های کامپیوتری هستند. آنان پس از در نظر گرفتن هدف های کاری و نیازهای کامپیوتری قسمت های مختلف استفاده کننده از خدمات کامپیوتری (گروه های استفاده کننده)، هدف های سیستم و روش های رسیدن به این هدف ها را تعیین می کنند. آن ها مشخصات سیستم کاربردی کامپیوتری را با استفاه از نمودگرها و دستورالعملهای تفصیلی تدوین می کنند.
در این فصل سعی شده است به مهمترین آثار کامپیوتر بر کار حسابرسی توجه شود، اما آموزش کامل مهارت های فنی کامپیوتری، مورد نظر نبوده است. حسابرسان مستقل پی برده اند که آشنایی بیشتر با کامپیوتر، از جمله مهارت های فنی آن، مانند برنامه نویسی، در حرفه حسابداری ارزش روافزونی می یابد.
ماهیت سیستم های کامپیوتری
قبل از بررسی آثار سیستم های کامپیوتری بر کار حسابرسان مستقل، لازم است شناختی از ماهیت کامپیوتر و توانایی های آن به دست آوریم. یک سیستم کامپیوتری تجاری، معمولا از یک دستگاه کامپیوتر عددی[1] و دستگاه های جانبی آن، مجموعا به نام سخت افزار و قسمت دیگری به همان اهمیت، شامل برنامه ها و دستور العمل های مختلف به نام نرم افزار تشکیل می شود.
سخت افزار دستگاه پردازش مرکزی (CPU)، قسمت اصلی سخت افزار یک کامپیوتر است. دستگاه پردازش مرکزی از یک واحد هدایت (کنترل)، که دستورالعمل های برنامه کامپیوتری را برای پردازش اطلاعات به جریان می اندازد، واحد حافظه برای نگهداری برنامه های کامپیوتری و اطلاعات مورد پردازش و یک واحد محاسب و منطق با توانایی جمع، تفریق، ضرب و تقسیم کردن و مقایسه اطلاعات با سرعت های زیادی که با یک میلیونیم ثانیه، یک میلیاردیم ثانیه یا حتی یک تریلیونیم ثانیه اندازه گیری می شود، تشکیل شده است.
دستگاه های جانبی دستگاه پردازش مرکزی، وسایلی برای ورود، خروج و نگهداری اطلاعات و ارتباطات مخابراتی است. وسایلی را که با دستگاه پردازش مرکزی در ارتباط مستقیم هستند، پیوسته (Online) و تجهیزاتی را که با آن در ارتباط مستقیم نباشند، ناپیوسته یا گسسته (Offline) نامند.
اولین گام در پردازش الکترونیکی اطلاعات، تبدیل اطلاعات به شکل قابل استفاده کامپیوتر است. این کار توسط دستگاه های ثبت و ورود اطلاعات مانند: دستگاه منگنه کارت و نوار، کارت خوان، نوار خوان، علامت خوان، صندوق های دریافت نقدی الکترونیکی و پایانه های هوشمند انجام می شود. هر یک از این علامت خوان، صندوق های دریافت نقدی الکترونیکی و پایانه های هوشمند انجام می شود. هر یک از این دستگاه ها اطلاعات را به شکلی برای ورود بعدی به واحد حافظه ثبت می کند یا آن ها را مستقیماً به واحد پردازش مرکزی ارسال می دارد.
انباره های کمکی برای ثبت و نگهداری اطلاعات و گاه برای بالا بردن ظرفیت حافظه واحد پردازش مرکزی مورد استفاده قرار می گیرد. نمونه های از انباره های کمکی، نوار مغناطیسی، استوانه مغناطیسی و دیسک مغناطیسی است. در استوانه و دیسکهای مغناطیسی، امکان دسترسی مستقیم به اطلاعات وجود دارد که دسترسی سریع به اطلاعات مورد نظر را ممکن می سازد. اطلاعات در روی نوارهای مغناطیسی دنبال هم ضبط می شود و در نتیجه، دسترسی به اطلاعات مورد نظر تنها از طریق جستجوی منظم امکان پذیر است.
هر یک از کوچکترین واحدهای حافظه یا بیت کامپیوتری می تواند وضعیت "روشن" یا "خاموش" داشته باشد. با استفاده از یک روش ویژه کد گذاری یا یک زبان ماشین که بتواند هر اطلاعی را با ترکیب هایی از دو علامت (مثلا صفر و یک یا بلی و خیر) نشان دهد، تمام اطلاعات می تواند در داخل کامپیوتر با ترکیببی از بیت های روشن و خاموش نشان داده شود. نمونه ساده ای از زبان مخصوص ماشین، اعداد پایه دو است. گزارش های خروجی کامپیوتر نیز باید توسط دستگاه هایی به زبان یا کد قابل تشخیص توسط انسان تبدیل شود. دستگاه های چاپ و پایانه های تلویزیونی از جمله دستگاه های خروجی است.
نرم افزار سیستم های کامپیوتری از دو نوع نرم افزار اصلی، یکی نرم افزار عمومی سیستم و دیگری نرم افزار کاربردی استفاده می کنند. نرم افزار سیستم، شامل برنامه هایی است که اجزای سخت افزار را کنترل و هماهنگ می کند و امکاناتی را نیز برای نرم افزار کاربردی تأمین می نماید. از اجزای مهم نرم افزار عمومی سیستم، برنامه های خدمات عمومی برای وظایف روزمره در پردازش اطلاعات مانند مرتب کردن، ردیف کردن و ادغام کردن اطلاعات است. سیستم عامل مهمترین نرم افزار عمومی سیستم است، زیرا می تواند دسترسی به برنامه ها و اطلاعات ذخیره شده را تحت کنترل داشته باشد و به گونه ای برنامه ریزی شود که تمام فعالتی های سیستم را ثبت کند.
برنامه هایی که برای پردازش اطلاعات خاصی طراحی می شود، مانند پردازش لیست حقوق و دستمزد، نرم افزار کاربردی نام دارد. در اوان استفاده از کامپیوتر، برنامه های کاربردی با زحمت زیاد به زبان ماشین نوشته می شود، اما امروزه زبان های برنامه نویسی مانند کوبول (زبان مناسب کارهای تجاری[2]) بیشتر شبیه زبان انگلیسی است. قسمت دیگری از نرم افزار به نام مبدل، برنامه نویسی به زبان کوبول و سایر زبان های اولیه مشابه را ممکن می سازد. مبدل، یک برنامه کامپیوتری است که برنامه های به زبان اولیه[3] را به زبان ماشین ترجمه می کند. برنامه تبدیل شده به زبان ماشین، برنامه اجرایی نامیده می شود.
سیستم های کامپیوتری به نوعی قابلیت اتکای گزارش های مالی را افزایش داده است. کامپیوتر اطلاعات فعالیت ها را یکنواخت پردازش می کند و احتمال بروز اشتبهات عوامل انسانی را که در یک سیستم دستی می تواند رخ دهد، از بین می برد. از طرف دیگر، هر نقصی در سخت افزار یا برنامه ها می تواند به پردازش نادرست تمام فعالیت ها منجر شود. همچنین، اشتباهات یا تخلفات پردازش کامپیوتری ممکن است به دلیل محدود بودن تعداد افراد مجری پردازش اطلاعات، توسط کارکنان صاحبکار کشف نشود. بنابراین، دقت سخت افزار کامپیوتر، قابل اتکا بودن اطلاعات خروجی کامپیوتر را تضمین نمی کند. مسئولیت حسابرسان در سیستم های کامپیوتری همان مسئولیت آنان در سیستم های دستی است. این مسئولیت عبارت از قانع شدن حسابرس نسبت به این است که صورت های مالی تهیه شده نمایانگر تفسیر و پردازش اطلاعات، طبق اصول پذیرفته شده حسابداری باشد.
برنامه نویسی برنامه نویسان برنامه های مورد نیاز سیستم را با استفاده از مشخصات تعیین شده توسط تحلیل گران سیستم، به شکل نمودگر طراحی می کنند. سپس، آنان با استفاده از زبان های برنامه نویسی مانند کوبول، و عوامل نرم افزاری چون مبدل و برنامه های عمومی، برنامه های کامپیوتری لازم را تنظیم می کنند. برنامه نویسان برنامه ها را با استفاده از اطلاعات واقعی یا آزمایشی، آزمون می کنند و بر حسب نیاز، اشتباهات یا نقایص برنامه را رفع می نمایند و سرانجام مدارک لازم، مانند راهنمای عملیات را تهیه می کنند.
عملیات کامپیوتر متصدیان دستگاه های کامپیوتر، طبق راهمای عملیات که توسط برنامه نویسان تهیه شده است، با کامپیوتر کار می کنند. گهگاه متصدیان ممکن است مجبور شوند برای اصلاح اشتباهی که روی میز فرمان[4] اعلام می شود، در کار پردازش دخالت کنند. سیستم عامل کامپیوتر باید به گونه ای برنامه ریزی شده باشد که تمام دخالت های متصدیان را ثبت کند. برای دستیابی به کنترل های داخلی قوی، جدا سازی وظایف عملیات کامپیوتر از وظایف برنامه نویسی، اهمیت زیادی دارد. کارمندی که هر دو کار را انجام می دهد در موقعیتی خواهد بود که بتواند در برنامه های کامپیوتر تغییرات غیر مجازی ایجاد کند.
بایگانی برنامه ها و پرونده ها هدف از بایگانی، محافظت از برنامه های کامپیوتر، پرونده های اصلی و اطلاعات جاری فعالیت ها و سایرمدارک در برابر از بین رفتن، آسیب دیدن، سوء استفاده یا ایجاد تغییرات غیر مجاز است. بایگان برای کسب اطمینان از وجود کنترل های کافی، یک سیستم ترخیص رسمی برقرار می کند تا مدارک را در اختیار استفاده کنندگان مجاز قرار دهد.
در بسیاری از سیستم ها، کار بایگانی توسط کامپیوتر انجام می شود. متصدیان دستگاه ها برای دسترسی به برنامه ها و پرونده هایی که در سیستم نگهداری می شود، از یک شماره یا اسم رمز استفاده می کنند. کامپیوتر با استفاده از برنامه بایگان به طور خودکار سوابق موارد استفاده از برنامه ها و پرونده ها را ثبت و گزارش می کند.
آماده سازی اطلاعات کارکنان مسئول این کار، اطلاعات را منگنه و غلط گیری می کنند تا برای پردازش آماده شود. کار دستگاه منگنه (پانچ) یک نمونه سنتی از کار دایره آماده سازی اطلاعات است. منگنه کردن اساسا به سیستم پردازش دسته ای اطلاعات مربوط می شود که در آن دسته ای از معاملات در یک زمان پردازش می شود. در یک سیستم پیوسته پردازش بیدرنگ، اطلاعات توسط استفاده کننده از راه پایانه های داخل یا خار از مرکز کامپیوتر، وارد کامپیوتر می شود. اما، حتی در پیچیده ترین سیستم ها، هنوز بسیاری از پردازش ها به روش پردازش دسته ای معاملای که توسط استفاده کنندگان به طور مستقیم وارد کامپیوتر می گردد، انجام می شود.
گروه کنترل اطلاعات گروه کنترل در مرکز کامپیوتر، تمام اطلاعات ورودی را بررسی و آزمون می کند، بر پردازش کامپیوتر نظارت می نماید، ترتب اصلاح اشتباهات مشخص شده توسط کامپیوتر را میدهد، و گزارش ای خروجی کامپیوتر را بررسی و توزیع می کند. این گروه، گزارش کامپیوتری موارد دخالت های متصدی دستگاه در کار پردازش و همچنین، سوابق موارد استفاده از بایگانی را بررسی می کند. در سازمان های کوچک ممکن است وظایف گروه کنترل توسط گروه های استفاده کننده انجام شود.
طرح سازمان مرکز کامپیوتر علاوه بر تفکیک وظایف باید چرخش کارهای واگذاری به برنامه نویسان و متصدیان دستگاه ها، مرخصی های اجباری و بیمه در مقابل سوء استفاده کارکنان مرکز کامپیوتر را نیز ایجاب کند. هنگام استفاده از تجهیزات کامپیوتری، حداقل دو نفر از کارکنان صاحب صلاحیت مرکز باید حضور داشته باشند. روش های اتخاب دقیق برای استخدام کارکنان مرکز کامپیوتر نیز در دستیابی به کنترل های داخلی قوی تأثیر به سزایی دارد.
کنترل های سازمانی و تقلب کامپیوتری
تاریخچه تقلب های کامپیوتری نشان می دهد کسانی مرتکب تقلب شده اند که عموماً سیستم را دستکاری کرده اند و در نقش هم برنامه نویس و هم متصدی دستگاه ها استفاده از سیستم را تحت کنترل خود داشته اند.
البته میزان تفکیک وظایف به تعداد کارکنان و ساختار سازمانی مرکز بستگی دارد. دست کم وظیفه برنامه نویسی باید از وظایفی که اطلاعات ورودی به کامپیوتر را کنترل می کند و وظیفه تصدیدستگاه کامپیوتر از وظایفی که مستلزم نگهداری یا داشتن اطلاعات تفصیلی درباره برنامه های کامپیوتری است، تفکیک شود. اگر فردی اجازه یابد چندین وظیفه از این نوع را انجام دهد، کنترل های داخلی تضعیف می گردد و فرصت وارد کردن اطلاعات تقلبی به سیستم نیز به وجود می آید.
1- Digital Computer
2- Common Business – Oriented Language (COBOL)
3- Source Language
4- Console