财务会计信息化与内部控制管理知识分析.pptx

1、Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版文本样式,第二级,第三级,第四级,Page,*,单击此处编辑母版标题样式,北京师范大学出版社,单击此处编辑母版文本样式,第二级,第三级,第四级,Page,*,单击此处编辑母版标题样式,北京师范大学出版社,第十二章,会计信息化内部控制,学习目标,：,经过本章学习，我们需要掌握,信息技术对内部控制正反两个方面影响；,当前信息安全控制主要标准文件内

2、容；,信息化环境下企业内部控制分类及其基本内容；,电子商务安全控制与交易完备控制；,面向未来会计信息系统安全控制,下载！,1,财务会计信息化与内部控制管理知识分析,第1页,12.1,信息技术对内部控制影响,内部会计控制应该到达基本目标三个方面:,一是规范单位会计行为，确保会计资料真实、完整；,二是堵塞漏洞、消除隐患，预防并及时发觉、纠正错误及舞弊行为，保护单位资产安全、完整；,三是确保国家相关法律法规和单位内部规章制度落实执行。,2,财务会计信息化与内部控制管理知识分析,第2页,12.1.1 信息安全控制若干规范文件,全美反欺诈财务汇报委员会内部控制整合框架（COSO，1992),信息系统审计

3、与控制协会信息及相关技术控制目标（COBIT，1996，1998，）,国际内部审计师协会系统可审性与控制（SAC，1977，1991，1994）电子系统确认与控制模型（eSAC，),美国注册会计师协会审计准则申明（SASs55/78/94，1990，1997，）,加拿大控制指南（CoCo，1995),3,财务会计信息化与内部控制管理知识分析,第3页,12.1.1 信息安全控制若干规范文件(续）,内部控制整合框架（COSO）:COSO框架包含五个要素，即控制环境、风险评定、控制活动、信息与沟通和监督。,年 9月 COSO正式公布ERM框架包含八个要素：内部环境、目标设定、事件识别、风险评定、风险

4、反应、控制活动、信息沟通和监控。,4,财务会计信息化与内部控制管理知识分析,第4页,12.1.1 信息安全控制若干规范文件(续）,信息及相关技术控制目标（COBIT）,:信息及相关技术控制目标（Control Object for Information and related Technology，COBIT）是由IT治理协会开发形成，它是当前国际上公认最先进、最权威安全与信息技术管理和控制标准。自1996年问世之后，这一标准历经两次修改，当前已是第三版，并在世界上一百多个国家主要组织与企业中利用。,COBIT 由执行概要、框架、执行工具集、管理指南、控制目标和审计指南等六个部分组成。,5,

5、财务会计信息化与内部控制管理知识分析,第5页,12.1.1 信息安全控制若干规范文件(续）,系统可审性与控制（SAC）和 电子系统确认与控制模型（eSAC）,:Esac将COSO4个内部控制目标（运行、汇报、合规性、资产安全保障）和5个电子商务确实认目标（可用性、能力、功效性、可防护性、可负责性）以及5个基础创建要素（人、技术、过程、投资、沟通）联络在一起。,审计准则申明55/78/94（SASs55/78/94）:,该申明详细说明机构使用信息技术可能对COSO所含五个内部控制组成要素产生影响。,6,财务会计信息化与内部控制管理知识分析,第6页,12.1.1 信息安全控制若干规范文件(续),控

6、制指南（CoCo）,:它定义了控制概念，并为有效控制要求了详细标准。它同时定义了三类目标，即运行效率和效果、内部和外部汇报可靠性，以及对所适用法律、规章及内部政策恪守。,7,财务会计信息化与内部控制管理知识分析,第7页,12.1.2 信息技术对内部控制影响,信息技术提升企业内部控制效率和效果,数据处理客观性与规范化,信息输出及时性与准确性,提供信息深入分析详细资料,降低控制被躲避风险,提升不相容职务分离有效性,8,财务会计信息化与内部控制管理知识分析,第8页,12.1.2 信息技术对内部控制影响(续）,信息技术给内部控制带来风险,应用程序或数据错误带来风险,未授权访问数据带来风险,信息技术人员

7、越轨行为,未经授权改变主文档数据,未经授权改变系统或程序,未能对系统或程序作必要修改,不恰当人为干预,数据丢失风险,9,财务会计信息化与内部控制管理知识分析,第9页,12.2 信息化环境下企业内部控制分类与基本内容12.2.1 内部控制按实施环境分类,国际审计准则20 电子数据处理环境对会计制度和相关内部控制研究与评价影响：普通控制与应用控制,审计准则第1211号 了解被审计单位及其环境并评定重大错报风险 指出了普通控制与应用控制 各自含义,10,财务会计信息化与内部控制管理知识分析,第10页,12.2.1 内部控制按实施环境分类（续）,信息技术普通控制是指与多个应用系统相关政策和程序，有利于

8、确保信息系统连续恰当地运行(包含信息完整性和数据安全性)，支持应用控制作用有效发挥，通常包含数据中心和网络运行控制，系统软件购置、修改及维护控制，接触或访问权限控制，应用系统购置、开发及维护控制。,11,财务会计信息化与内部控制管理知识分析,第11页,12.2.1 内部控制按实施环境分类（续）,信息技术应用控制是指主要在业务流程层次运行人工或自动化程序，与用于生成、统计、处理、汇报交易或其它财务数据程序相关，通常包含检验数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号自动检验，以及对例外汇报进行人工干预等。,12,财务会计信息化与内部控制管理知识分析,第12页,12.2.2 普通

9、控制及其基本内容,组织与管理控制,组织控制,：一是重塑企业流程和更新传统机械技术体系；二是处理和传输信息资源功效。,管理控制,：管理制度建立及其被有效地执行。管理制度主要有信息化操作管理制度、计算机硬件和软件及数据管理制度、会计档案管理制度。,13,财务会计信息化与内部控制管理知识分析,第13页,12.2.2 普通控制及其基本内容（续）,应用系统开发和维护控制,系统开发阶段控制主要包含：开发方法与方式控制、对数据定义和处理程序控制,14,财务会计信息化与内部控制管理知识分析,第14页,12.2.2 普通控制及其基本内容（续）,计算机操作控制,操作控制包含为模块只允许被授权人使用，操作者必须严格

10、按照操作管理制度对指定模块进行操作，在操作过程中产生错误时能够及时得到纠正。,15,财务会计信息化与内部控制管理知识分析,第15页,12.2.2 普通控制及其基本内容（续）,系统软件控制,：系统软件控制一是包含对新系统软件和修改系统软件授权、同意、检验、实施和统计；二是对系统软件和统计存取仅限于被授权人使用。,数据和程序控制,：主要针对专业数据和应用程序所进行控制,16,财务会计信息化与内部控制管理知识分析,第16页,12.2.3 应用控制及其基本内容,输入控制,：输入控制主要方法包含：凭证格式和内容控制、相关责任人签章控制、修改控制以及凭证审核控制等。,逐步放弃纸质存放而尽可能将会计凭证存放

11、于机内，是今后会计信息化努力方向。,17,财务会计信息化与内部控制管理知识分析,第17页,12.2.3 应用控制及其基本内容(续),计算机处理与数据文件控制：,基本目标是确保对经济业务数据处理过程正确无误，全部经济业务没有被遗漏、添加、重复或不适当地更换，同时，在数据处理过程中软件能够对错误及时给予识别和更正。,18,财务会计信息化与内部控制管理知识分析,第18页,12.2.3 应用控制及其基本内容（续,）,输出控制,：基本目标是确保处理结果正确性,输出主要有会计凭证、账簿和会计报表。输出形式包含屏幕显示和打印输出。,19,财务会计信息化与内部控制管理知识分析,第19页,123 电子商务安全控

12、制与交易完备控制12.3.1电子商务安全控制,与传统方式相比，电子商务使得一个企业面临不一样种类风险。这些风险可大致归为两大类。一类是未访问授权访问；一类是设备故障风险。面对这两类风险，电子商务安全控制只能加强而不能减弱。,20,财务会计信息化与内部控制管理知识分析,第20页,12.3.1电子商务安全控制（续）,未授权访问风险控制：,指未经企业允许而企图进入企业网络并经过互联网从远程对系统进行拒绝服务攻击行为。而要对此加以控制，就必须经过由硬件和软件共同组成电子防火墙、数据加密、回叫设备等各种防范与控制。,设备故障风险控制：,数据通信最普遍问题是因为线路错误而引发数据丢失。通常采取回应检验和奇

13、偶校验等两种技术用于检测这类问题。与此同时，实施网络备份控制也是设备故障风险控制一个主要内容，,21,财务会计信息化与内部控制管理知识分析,第21页,12.3.2电子商务交易完备控制,从久远来看，交易集中控制是财务会计信息可靠性与相关性确保，而当前凭证集中与报表集中将逐步为交易集中所替换。交易集中控制意在使物流、资金流和信息流“三流合一”基础上到达对会计信息控制与使用。,22,财务会计信息化与内部控制管理知识分析,第22页,12.3.2电子商务交易完备控制(续),中华人民共和国电子署名法（下称电子署名法）,审计准则第1633号电子商务对财务报表审计影响,借助于集中控制交易业务，又为广大信息用户

14、采取事件驱动技术从中取得所需加工数据并据以生成会计信息。,23,财务会计信息化与内部控制管理知识分析,第23页,12.4 面向未来会计信息系统安全控制12.4.1 会计信息系统安全控制网络化与全局性,网络化:,信息化风险和保障网络空间安全已经成为关系信息化能否健康发展重大问题。,全局性:,企业资源计划（ERP）实施目标，就是要最大程度地使物流、资金流和信息流实现一体化管理，ERP软件开发与应用，正在日益走向“三流一体”，有鉴于此，会计信息系统数据源只能来自于以整个企业为单位建立数据仓库。,24,财务会计信息化与内部控制管理知识分析,第24页,12.4.2 重视企业经济业务原始信息安全控制,伴随

15、信息化快速发展,事件驱动技术应用可能使各种经济业务活动以事件形式加以组织与存放,并以统一数据仓库加以集中与管理,这种改变以往以数据处理中心处理模式,使信息使用者仅在需要信息时才到数据仓库将相关数据“拉”出来即时加以处理做法，改变原先会计凭证、账簿和报表信息管理模式，企业信息安全控制点必将前移，信息安全控制将以企业数据仓库为重中之重。,25,财务会计信息化与内部控制管理知识分析,第25页,12.4.3 加强对主体系统监控与管理,年7月15日，美国“萨班斯法案”正式施行，该法案要求了对首席执行官和财务总监资历要求，要求全部上市企业对其内部审计职能是否得到充分发挥出含有关证实。它还要求企业审计委员会

16、发挥愈加主动作用，允许审计委员会在人手不够时候，从外部招聘更多咨询教授或顾问来帮助其开展工作。,26,财务会计信息化与内部控制管理知识分析,第26页,12.4.3 加强对主体系统监控与管理（续）,信息系统是由主体系统与客体系统组合而成。不论是现在还是未来，主体系统都必须作为控制之重点。在未来网络化环境中，加强与系统相关人员管理与控制更为主要。,27,财务会计信息化与内部控制管理知识分析,第27页,12.4.4 关注信息新技术应用,包括两个方面内容，一方面是企业会计信息化不停采用新技术；其次，则是亲密注视、并主动应对不法分子利用信息新技术篡改、拦截、破坏企业会计数据与信息。,28,财务会计信息化与内部控制管理知识分析,第28页,