會計信息化內部控制教材

1、1第十二章第十二章 會計信息化的內部控制會計信息化的內部控制 學習目標學習目標 ：通過本章的學習，我們需要掌握 信息技術對內部控制正反兩個方面的影響；當前信息安全控制的主要標準文件內容；信息化環(huán)境下企業(yè)內部控制分類及其基本內容； 電子商務安全控制與交易完備控制；面向未來的會計信息系統的安全控制212.1 信息技術對內部控制的影響信息技術對內部控制的影響 內部會計控制應當達到基本目標三個方面:一是規(guī)范單位會計行為，保證會計資料真實、完整；二是堵塞漏洞、消除隱患，防止并及時發(fā)現、糾正錯誤及舞弊行為，保護單位資產的安全、完整；三是確保國家有關法律法規(guī)和單位內部規(guī)章制度的貫徹執(zhí)行。 312.1.1 信

2、息安全控制的若干規(guī)范文件信息安全控制的若干規(guī)范文件全美反欺詐財務報告委員會內部控制整合框架（COSO，1992) 信息系統審計與控制協會的信息及相關技術控制目標（COBIT，1996，1998，2000） 國際內部審計師協會系統可審性與控制（SAC，1977，1991，1994）電子系統確認與控制模型（eSAC，2001) 美國注冊會計師協會的審計準則聲明（ SASs55/78/94，1990，1997，2001） 加拿大的控制指南（CoCo，1995) 412.1.1 信息安全控制的若干規(guī)范文件信息安全控制的若干規(guī)范文件(續(xù)）續(xù)）內部控制內部控制整合框架整合框架（COSO） :COSO框架包

3、括五個要素，即控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督。 2004年 9月 COSO正式發(fā)布的ERM框架包括八個要素：內部環(huán)境、目標設定、事件識別、風險評估、風險反應、控制活動、信息溝通和監(jiān)控。512.1.1 信息安全控制的若干規(guī)范文件信息安全控制的若干規(guī)范文件(續(xù)）續(xù)）信息及相關技術控制目標（信息及相關技術控制目標（COBIT） :信息及相關技術控制目標（Control Object for Information and related Technology，COBIT）是由IT治理協會開發(fā)形成的，它是目前國際上公認的最先進、最權威的安全與信息技術管理和控制標準。自1996年問世之后

4、，這一標準歷經兩次修改，目前已是第三版，并在世界上一百多個國家的重要組織與企業(yè)中運用。COBIT 由執(zhí)行概要、框架、執(zhí)行工具集、管理指南、控制目標和審計指南等六個部分組成。 612.1.1 信息安全控制的若干規(guī)范文件信息安全控制的若干規(guī)范文件(續(xù)）續(xù)）系統可審性與控制系統可審性與控制（SAC）和）和 電子系統確電子系統確認與控制模型認與控制模型（eSAC） :Esac將COSO的4個內部控制目標（運營、報告、合規(guī)性、資產安全保障）和5個電子商務的確認目標（可用性、能力、功能性、可防護性、可負責性）以及5個基礎的創(chuàng)建要素（人、技術、過程、投資、溝通）聯系在一起。 審計準則聲明審計準則聲明55/7

5、8/94（SASs55/78/94）:該聲明詳細說明機構使用信息技術可能對COSO所含的五個內部控制組成要素產生影響。 712.1.1 信息安全控制的若干規(guī)范文件信息安全控制的若干規(guī)范文件(續(xù)續(xù))控制指南控制指南（CoCo） :它定義了控制的概念，并為有效的控制規(guī)定了詳細的標準。它同時定義了三類目標，即運營的效率和效果、內部和外部報告的可靠性，以及對所適用的法律、規(guī)章及內部政策的遵守。 812.1.2 信息技術對內部控制的影信息技術對內部控制的影響響 信息技術提高企業(yè)內部控制的效率和效果信息技術提高企業(yè)內部控制的效率和效果數據處理的客觀性與規(guī)范化 信息輸出的及時性與準確性 提供信息深入分析的詳

6、細資料 降低控制被規(guī)避的風險 提高不相容職務分離的有效性 912.1.2 信息技術對內部控制的影響信息技術對內部控制的影響(續(xù)）續(xù)）信息技術給內部控制帶來的風險信息技術給內部控制帶來的風險 應用程序或數據的錯誤帶來的風險 未授權訪問數據帶來的風險 信息技術人員的越軌行為 未經授權改變主文檔的數據 未經授權改變系統或程序 未能對系統或程序作必要的修改 不恰當的人為干預 數據丟失的風險 1012.2 信息化環(huán)境下企業(yè)內部控制分類與基信息化環(huán)境下企業(yè)內部控制分類與基本內容本內容12.2.1 內部控制按實施環(huán)境分類內部控制按實施環(huán)境分類國際審計準則20 電子數據處理環(huán)境對會計制度和有關的內部控制研究與

7、評價的影響 ：一般控制與應用控制 審計準則第1211號 了解被審計單位及其環(huán)境并評估重大錯報風險 指出了一般控制與應用控制 各自的含義1112.2.1 內部控制按實施環(huán)境分類（續(xù)）內部控制按實施環(huán)境分類（續(xù)）信息技術一般控制是指與多個應用系統有關的政策和程序，有助于保證信息系統持續(xù)恰當地運行(包括信息的完整性和數據的安全性)，支持應用控制作用的有效發(fā)揮，通常包括數據中心和網絡運行控制，系統軟件的購置、修改及維護控制，接觸或訪問權限控制，應用系統的購置、開發(fā)及維護控制。1212.2.1 內部控制按實施環(huán)境分類（續(xù)）內部控制按實施環(huán)境分類（續(xù)）信息技術應用控制是指主要在業(yè)務流程層次運行的人工或自動

8、化程序，與用于生成、記錄、處理、報告交易或其他財務數據的程序相關，通常包括檢查數據計算準確性，審核賬戶和試算平衡表，設置對輸入數據和數字序號的自動檢查，以及對例外報告進行人工干預等。 1312.2.2 一般控制及其基本內容一般控制及其基本內容 組織與管理控制組織與管理控制組織控制組織控制 ：一是重塑企業(yè)流程和更新傳統的機械技術體系；二是處理和傳輸信息資源的功能。 管理控制管理控制：管理制度的建立及其被有效地執(zhí)行。管理制度主要有信息化操作管理制度、計算機硬件和軟件及數據管理制度、會計檔案管理制度。 1412.2.2 一般控制及其基本內容（續(xù)）一般控制及其基本內容（續(xù)）應用系統開發(fā)和維護控制應用系

9、統開發(fā)和維護控制 系統開發(fā)階段的控制主要包括：開發(fā)方法與方式的控制、對數據的定義和處理程序的控制 1512.2.2 一般控制及其基本內容（續(xù)）一般控制及其基本內容（續(xù)）計算機操作控制計算機操作控制 操作控制包括為模塊只允許被授權的人使用，操作者必須嚴格按照操作管理制度對指定的模塊進行操作，在操作過程中產生錯誤時能夠及時得到糾正。1612.2.2 一般控制及其基本內容（續(xù)）一般控制及其基本內容（續(xù)）系統軟件控制系統軟件控制 ：系統軟件控制一是包括對新的系統軟件和修改系統軟件的授權、批準、檢驗、實施和記錄；二是對系統軟件和記錄的存取僅限于被授權的人使用。 數據和程序控制數據和程序控制 ：主要針對專

10、業(yè)數據和應用程序所進行的控制 1712.2.3 應用控制及其基本內容應用控制及其基本內容輸入控制輸入控制 ：輸入控制主要方法包括：憑證格式和內容的控制、有關責任人簽章的控制、修改控制以及憑證審核的控制等。 逐步放棄紙質存放而盡可能將會計憑證存儲于機內，是今后會計信息化的努力方向。 1812.2.3 應用控制及其基本內容應用控制及其基本內容(續(xù)續(xù))計算機處理與數據文件控制：計算機處理與數據文件控制：基本目標是保證對經濟業(yè)務的數據處理過程的正確無誤，所有經濟業(yè)務沒有被遺漏、添加、重復或不適當地更換，同時，在數據處理過程中軟件能夠對錯誤及時予以識別和改正。1912.2.3 應用控制及其基本內容（續(xù)應

11、用控制及其基本內容（續(xù)）輸出控制輸出控制 ：基本目標是保證處理結果的正確性 輸出主要有會計憑證、賬簿和會計報表。輸出形式包括屏幕顯示和打印輸出。 20123 電子商務安全控制與交易完備控制電子商務安全控制與交易完備控制12.3.1電子商務安全控制電子商務安全控制 與傳統的方式相比，電子商務使得一個公司面臨不同種類的風險。這些風險可大致歸為兩大類。一類是未訪問授權的訪問；一類是設備故障的風險。面對這兩類風險，電子商務的安全控制只能加強而不能削弱。2112.3.1電子商務安全控制（續(xù)）電子商務安全控制（續(xù)）未授權訪問風險控制：未授權訪問風險控制：指未經企業(yè)允許而企圖進入企業(yè)的網絡并通過互聯網從遠程

12、對系統進行拒絕服務攻擊的行為。而要對此加以控制，就必須通過由硬件和軟件共同組成的電子防火墻、數據加密、回叫設備等多種防范與控制。設備故障風險控制：設備故障風險控制：數據通信的最普遍問題是由于線路錯誤而引起的數據丟失。通常采用回應檢查和奇偶校驗等兩種技術用于檢測這類問題。與此同時，實施網絡備份控制也是設備故障風險控制一個重要內容， 2212.3.2電子商務交易完備控制電子商務交易完備控制從長遠來看，交易集中控制是財務會計信息的可靠性與相關性的保證，而目前的憑證集中與報表集中將逐步為交易集中所替代。交易集中控制旨在使物流、資金流和信息流“三流合一”的基礎上達到對會計信息的控制與使用。 2312.3

13、.2電子商務交易完備控制電子商務交易完備控制(續(xù)續(xù))中華人民共和國電子簽名法（下稱電子簽名法） 審計準則第1633號電子商務對財務報表審計的影響 借助于集中控制的交易業(yè)務，又為廣大的信息用戶采用事件驅動技術從中獲得所需加工的數據并據以生成會計信息。2412.4 面向未來的會計信息系統的安全控制面向未來的會計信息系統的安全控制12.4.1 會計信息系統安全控制的網絡化與全局性會計信息系統安全控制的網絡化與全局性網絡化網絡化:信息化風險和保障網絡空間的安全已經成為關系信息化能否健康發(fā)展的重大問題。 全局性全局性:企業(yè)資源計劃（ERP）的實施目標，就是要最大程度地使物流、資金流和信息流實現一體化管理

14、，ERP軟件的開發(fā)與應用，正在日益走向“三流一體”，有鑒于此，會計信息系統的數據源只能來自于以整個企業(yè)為單位建立的數據倉庫。2512.4.2 注重企業(yè)經濟業(yè)務原始信息的安全控注重企業(yè)經濟業(yè)務原始信息的安全控制制隨著信息化的快速發(fā)展,事件驅動技術的應用可能使各種經濟業(yè)務活動以事件形式加以組織與存儲,并以統一的數據倉庫加以集中與管理,這種改變以往以數據處理中心的處理模式,使信息使用者僅在需要信息時才到數據倉庫將相關數據“拉”出來即時加以處理的做法，改變原先會計憑證、賬簿和報表的信息管理模式，企業(yè)信息的安全控制點必將前移，信息安全控制將以企業(yè)的數據倉庫為重中之重。 2612.4.3 加強對主體系統的監(jiān)控與管理加強對主體系統的監(jiān)控與管理2006年7月15日，美國“薩班斯法案”正式施行 ，該法案規(guī)定了對首席執(zhí)行官和財務總監(jiān)的資歷要求，要求所有的上市公司對其內部審計職能是否得到充分發(fā)揮出具有關的證明。它還要求公司的審計委員會發(fā)揮更加積極的作用，允許審計委員會在人手不夠的時候，從外部招聘更多的咨詢專家或顧問來幫助其