1、第五部分 会计信息系统的控制和审计第二十章 会计信息系统的内部控制上海财经大学会计学院 钱玲学习目标学习目标1、了解信息系统内部控制的概念2、了解信息系统内部控制的具体方法学习重点学习重点1、掌握信息系统内部控制的分类2、掌握信息系统内部控制的一般控制方法3、掌握信息系统内部控制的应用控制方法第一节第一节 信息系统的安全与风险防范信息系统的安全与风险防范一、会计信息系统中存在的风险一、会计信息系统中存在的风险(一)存储介质不同引起的风险(二)远程通信能力带来的风险(三)处理能力不同带来的风险(四)处理的一体化带来的风险(五)缺乏直觉带来的风险二、风险二、风险管理计划管理计划 第二节第二节 信息
2、系统的内部控制体系信息系统的内部控制体系一、内部控制的概念一、内部控制的概念内部控制是指被企业为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。具体到与会计信息系统有关的内部控制,其设计和运行是为了达到以下目标的:1、保证业务活动按照适当的授权进行。2、保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求。3、保证对资产和记录的接触、处理均经过适当的授权。4、保证账面资产与实存资产定期核对相符。二、内部控制的分类二、内部控制的分类(一)内部会计控制、内部管
3、理控制(二)预防性控制、检查和纠正性控制(三)手工控制、程序化控制(四)一般控制、应用控制1、一般控制一般控制指那些保证计算机环境安全的控制手段。一般控制又可以分为管理控制和系统开发控制。管理控制指采用各种管理措施保证数据和系统的安全性,保证系统运行的平稳。系统开发控制是要保证新系统不会对环境造成新的危险。审计人员在研究和评价一般控制时,应当考虑以下主要因素:(1)组织控制(2)操作控制(3)硬件及系统软件控制(4)系统安全控制(5)应用系统开发和维护控制2、应用控制应用控制是针对特定的、具体的应用环节所采取的控制,是整合在系统运作过程之中保证处理的信息是正确的、完全的、经过授权的、并且对所做
4、处理留有审计线索的。在研究和评价应用控制时,应当考虑以下主要因素:(1)输入控制(2)处理控制(3)输出控制三、内部控制框架三、内部控制框架(一)COBIT框架COBIT(Control Objectives for Information and related Technology,信息和相关技术的控制目标)是由信息系统审计和控制基金会(Information Systems Audit and Control Foundation,ISACF)下属的信息技术治理协会(ITGI)提出的IT控制框架,该协会于1996,1998,2000,2005年分别颁布了COBIT 1.0,COBIT 2
5、.0,COBIT 3.0以及COBIT 4.0,2007年5月份,已经更新到COBIT 4.1。COBIT将IT流程、IT资源、与业务需求相适应的IT目标结合起来,形成一个三维的体系结构。(二)ITIL框架ITIL(IT Infrastructure Library,IT基础架构库)由英国国家计算机和电信局(Central Computing and Telecommunications Agency,简称为CCTA)在20世纪80年代末制订,现由英国商务部(Office of Government Commerce,简称OGC)负责管理,主要适用于IT服务管理。第三节第三节 一般控制一般控制
6、 一、组织控制组织控制指采取职能分离、合理分工等手段保证电算化信息系统运营正常。(一)业务岗位的职能分离业务部门依然负责业务的授权、产生、执行、记录、资产的保管等,要做到以下职务的分离:经济业务的授权、批准与执行职务,经济业务的执行与记录职务,经济业务记录与财产保管职务,经济业务记录、财产保管与稽核业务;总账、明细账、日记账记录职务等。在电算化信息系统中,很多的业务处理已经不再由员工手工完成,而是由计算机程序代替手工完成,在这种情况下,职能分离的原理依然是一样的。(二)信息化岗位的职能分离信息化岗位通常包括以下职能:1、系统管理2、网络管理3、安全管理4、变更管理5、用户6、系统分析7、编程8
7、、数据库管理一般需要委派不同的员工去执行不同的职能。(三)加强对员工的管理(三)加强对员工的管理1、强化安全意识(1)要在企业文化中提倡、培育安全观念。(2)在企业制度条款中要包括对一些敏感问题的详细规定。例如有关内幕交易问题、客户资金的使用问题、敏感数据的访问问题等。(3)在员工的聘用合同里要包括有安全、保密方面的条款。尤其对于那些有一定职权的员工,在聘用合同中要列明责任。(4)要加强领导的管理和内部审计部门的监督。2、识别敏感岗位(1)该岗位接触到关键资源的机会(2)是否能够有实施舞弊行为的时间(3)作为个人是否具有舞弊的能力(4)作为个人是否具有舞弊的动机3、加强对敏感岗位的控制(1)聘
8、用员工时要仔细考核,不仅考核其业务水平,还要考核其品质。(2)岗位轮换。定期或不定期地实行岗位轮换。(3)强制休假。(4)计算机使用记录。对于计算机的使用情况自动留下相应的日志记录。(5)进一步加强内部审计和监控。如果发现员工出现下列情形,并不一定意味着员工有舞弊行为,但可能需要格外关注和注意观察:(1)富裕程度明显超出工资和等级水平。(2)消费习惯从节俭突然变得大手大脚。(3)和竞争对手企业联系紧密。(4)对企业和领导不在乎,经常迟到早退,不尊重领导等。(5)即使没有必要也经常找借口留下来加班。二、操作控制二、操作控制 操作控制指通过操作手册和操作程序等的严格规定和遵从,从而保证电算化信息系
9、统操作上的正确性。(一)严格的上机操作手册(二)严格的软件操作规程(三)硬件和软件的使用记录制度(四)系统的运行指标的考核(五)定期的维护和保养(六)系统错误记录和分析报告(七)保证机房设施安全和电子计算机正常运转的措施(八)会计数据和会计核算软件安全保密的措施 三、硬件及系统软件控制三、硬件及系统软件控制(一)硬件及系统软件控制概述硬件和系统软件的运行状况决定了具体的信息系统的运行环境。审计人员必须对企业的硬件及系统软件的控制情况进行分析。(二)硬件控制1、冗余校验2、回波校验3、重复处理校验4、设备校验5、有效性校验6、作业控制(三)系统软件控制1、错误处理2、程序保护3、文件保护4、安全
10、保护5、自我保护四、系统安全控制四、系统安全控制电算化信息系统的安全问题,指组成电算化信息系统的各方面资源的安全问题。包括:硬件、软件、数据、人员。(一)硬件的安全(一)硬件的安全 1、硬件运行环境的控制(1)机房环境(2)火灾(3)水灾(4)灰尘(5)恶劣天气(6)电磁波(7)静电2、硬件防护(1)计算机系统对供电电源的要求直接供电经过隔离变压器供电交流稳压器供电不间断电源(UPS)供电(2)双重系统3、硬件接触控制(1)机房地址不要选择在人流热闹的地方。(2)对机房加锁。(3)对进出机房的人采用身份识别技术。(4)采用闭路电视进行多角度的监控。(5)计算机设备上可以加上标签,这样当有人试图
11、将其带出时,会发出警报。(二)软件的安全(二)软件的安全1、软件的接触控制(1)采用口令控制方式口令应该定期更改。口令的位数不应该过短。口令的设置不要和使用者的个人情况有太多的联系。口令不要传播给别人。系统要对口令输错的情况进行监控和分析,防止有人蓄意试探口令。(2)采用权限控制方式对于合法的注册用户,还必须根据工作岗位和性质限定他们对于各个功能的使用权限。对于数据文件,分为录入、修改、删除、查询或不允许访问等多种权限,对于程序,分为调用权限或不允许访问。一般来说,对于管理人员,他们主要使用的是查询和分析功能;对于具体的业务人员,使用的多是输入、处理处理。2、防止计算机病毒的侵害(1)加强机房
12、管理,避免使用来路不明的软盘和非法拷贝的软件,也不要接收异常的电子邮件,在下载时也要小心;(2)购置反病毒软件,经常对硬盘和软盘进行病毒检测;(3)对重要资料进行经常的备份;(4)确定自己的危险程度,制定一旦病毒入侵需要采取的方案,制定相应的恢复措施。THANK YOUSUCCESS2024/5/8 周三32可编辑(三)数据的安全(三)数据的安全1、数据的接触控制(1)口令控制方式(2)加强对存储介质的管理(3)磁介质上数据的加密保护硬加密技术2、数据的加密(1)数据的加密和解密密钥的管理加密/解密算法的设计(2)数据的完整性3、数据的备份制度(1)临时的方法:偶尔将个人文件拷贝到软盘上。(2
13、)谨慎的方法:定期进行备份拷贝。(3)专业的方法:祖父/父亲/儿子方案。4、防止计算机病毒的侵害(四)人员的安全(四)人员的安全工作在电算化信息系统环境下的人员可能会遭到一些安全问题。重复性紧张损伤应该考虑人类工程学五、应用系统开发和维护控制五、应用系统开发和维护控制(一)要进行事先规划(二)选择合适的开发方式和方法(三)组建合适的人员和团队(四)加强项目管理(五)加强变更控制(Management Of Change,MOC)1、分析变更的必要性和合理性,确定是否实施变更;2、记录变更信息,填写变更控制单;3、做出更改,并交上级审批;4、修改相应的软件配置项,确立新的版本;5、评审后发布新版
14、本。第四节第四节 应用控制应用控制每一个具体的应用程序所要解决的问题是不同的,所涉及到的数据和处理方法等均各具特点。针对这些具体的应用程序所进行的有针对性的控制,就是应用控制。应用控制的目的在于:1、保证所有经过审核批准的交易均经处理完毕,并且每一项交易只处理一次。2、保证交易资料的完整和正确。3、保证交易的处理正确无误,符合要求。4、保证处理的结果用于预定的用途,并能产生预期的效益。5、保证应用程序能正常运作,并持续维护其功能。一、输入控制一、输入控制(一)输入控制的重要性(一)输入控制的重要性应用控制最为强调的控制环节就是输入环节的控制。(二)会计信息系统的输入控制方法1、批控制总数的方法
15、(1)数量、金额控制总数(2)记录数控制总数(3)杂项控制总数批控制总数的方法并不仅仅适用于批处理方式,也完全可以在联机实时方式下采用。同样,批控制总数的方法也并不仅仅适用于输入环节的控制,同样也可以在处理和输出环节采用。2、存在性校验存在性校验要求在初始化时在会计信息系统中建立一个会计科目名称和会计科目代码一一对应的会计科目词典库。3、校验位校验在会计信息系统中广泛用到代码。这些代码的形式大多是数字型。所谓校验位,是在原来代码的最后加上的一位。加上这一位后,使得整个的代码(连同校验位)具有某种数学的特征,比如,可以被某个数整除。首先对每位代码加权 然后取模 4、对应关系检查 记账凭证存在着借
16、方科目和贷方科目这两个方面的对应关系。可以对凭证种类和其借贷方进行检查 5、平衡关系校验会计中广泛存在着平衡关系。可以利用这些平衡关系进行检查。6、界限、极值校验会计信息系统中有些字段的取值是有一定界限或极值的。7、完整性校验输入时有些字段是一定要输入的。在记账之前,软件应该检查审核字段是否已经填有内容。完整性校验还包括检查凭证是否“有借有贷”。对于授权的检查也是一种完整性校验。8、连续性校验有些字段项目是连续的。对于这些连续的字段项目,可以进行顺序检查,以查找出跳号、重复号、空号等情况。9、静态检查法对于已经输入计算机的信息,可以通过屏幕将这些信息一条一条地调出来进行逐一的检查,也可以以清单
17、的方式打印出来进行对照。10、二次输入法二次输入法指对于重要的记录或者字段可以分别由两个不同的操作人员进行输入,输入完成以后再进行匹配检查,看是否完全一致。(三)会计信息系统输入控制中要注意的问题 这些控制方法并不能够保证会计信息系统的输入环节完全正确。这些方法的综合运用要比单独只采用某一种方法要好,更为全面。另外,对于在输入控制中检查出来的错误信息的处理,必须非常慎重。二、处理控制二、处理控制(一)处理控制的目的(一)处理控制的目的处理控制的目的是要保证信息系统的处理按照各个模块所预先设定的程序进行,这些处理活动必须经过授权,所有经过授权的处理都被系统进行过而没有遗漏,任何未经授权的处理都没
18、有进行过。在整个处理的过程中是正确的、及时的、有效的。(二)会计信息系统的处理控制方法(二)会计信息系统的处理控制方法1、控制总数的方法 在输入时已经计算得到控制总数,在处理过程的各个时点(如一项重要的处理完成以后)可以重新计算各个控制总数,然后进行比较,以判断处理环节中是否对所有的输入数据都进行了正确的处理,没有遗漏,也没有重复。2、文件标签检查文件标签分为外部标签和内部标签。外部标签就是保存有数据的磁带或者磁盘的外包装上所记载的文件的名称等信息。文件的内部标签是由计算机在存储数据记录时产生的,可以用计算机加以检查,以确定所打开并处理的文件确实是要处理的文件。3、界限、极值校验 例如员工的应
19、付工资。还有些数字不可能为负数,如结余的存货数量。对于账务处理程序,资产类账户的期末余额一般在借方,负债、所有者权益类账户的期末余额一般在贷方,收入、费用类账户经结转后一般没有期末余额。4、平衡及勾稽关系校验 在总分类账或者明细分类账中,存在着一个基本的关系:期初余额+本期借方发生额-本期贷方发生额=期末余额。对于存货类,则:期初库存+本月增加库存-本月减少库存=期末库存。根据会计等式可知,资产类账户的期初余额、本期发生额、期末余额和负债、所有者权益账户的期初余额、本期发生额、期末余额应该试算平衡。总分类账户的发生额、余额和其所有明细分类账户的发生额、余额应该相符。报表中的小计、合计、净值等计
20、算关系应该可以复核。有些报表项目之间存在着勾稽关系,这些关系可能是等于、大于或者是小于关系。例如:资产负债表中“未分配利润”项目与利润分配表中“未分配利润”。(三)会计信息系统处理控制中要注意的问题由于硬件、软件、操作等方面的问题,依然会造成计算机自动处理的结果有误。处理控制不能放松。关键是掌握方法本身,而不需要去过于追究方法到底是用于输入控制还是处理控制。对于处理控制中发现的错误,必须分别情况进行处理:(一)错误可以立即更正(二)错误必须返回用户部门进行更正(三)错误已经对主文件造成影响三、输出控制(一)输出控制的目的从系统的角度来看,输入和输出是相对的。输出分为两种,一种是中间性的输出,一
21、种是最终的面向用户的输出。输出对用户来说是至关重要的。输出控制的目的是要保证信息系统所处理的资料完整、正确,所处理的结果正确,并且保证只有经过授权的部门和人员才能获得这些输出资料。(二)会计信息系统的输出控制方法1、输出信息内容和格式的控制输出信息必须符合用户的要求。在内容上,要做到有用、完整、正确、及时。为了对内容进行控制,要求电算部门在将输出信息传递给用户之前,先要进行控制总数等方法的校验。输出信息的格式也必须符合用户的要求。2、输出信息传送过程的控制必须对输出信息的传送进行控制。如果采用的是查询的输出方式如果采用的是打印的输出方式(三)会计信息系统输出控制中要注意的问题在会计信息的输出过程中必须同时注意两方面的控制,一个是内容和格式,一个是传送途径。只有这样,才能保证经过授权的用户得到了所需要的资料。如果输出控制中发现错误,同样需要对这些错误进行登记,分析错误的产生原因,并做出相应的补救措施。THANK YOUSUCCESS2024/5/8 周三63可编辑
浙ICP备2021020529号-1 | 浙B2-20240490 
