會計信息化內(nèi)部控制

第十二章

會計信息化的內(nèi)部控制

學習目標：通過本章的學習，我們需要掌握

信息技術(shù)對內(nèi)部控制正反兩個方面的影響；當前信息安全控制的主要標準文件內(nèi)容；信息化環(huán)境下企業(yè)內(nèi)部控制分類及其基本內(nèi)容；

電子商務(wù)安全控制與交易完備控制；面向未來的會計信息系統(tǒng)的安全控制112.1信息技術(shù)對內(nèi)部控制的影響

內(nèi)部會計控制應(yīng)當達到基本目標三個方面:一是規(guī)范單位會計行為，保證會計資料真實、完整；二是堵塞漏洞、消除隱患，防止并及時發(fā)現(xiàn)、糾正錯誤及舞弊行為，保護單位資產(chǎn)的安全、完整；三是確保國家有關(guān)法律法規(guī)和單位內(nèi)部規(guī)章制度的貫徹執(zhí)行。

212.1.1信息安全控制的若干規(guī)范文件全美反欺詐財務(wù)報告委員會《內(nèi)部控制—整合框架》（COSO，1992)信息系統(tǒng)審計與控制協(xié)會的《信息及相關(guān)技術(shù)控制目標》（COBIT，1996，1998，2000）國際內(nèi)部審計師協(xié)會《系統(tǒng)可審性與控制》（SAC，1977，1991，1994）《電子系統(tǒng)確認與控制模型》（eSAC，2001)美國注冊會計師協(xié)會的審計準則聲明（SASs55/78/94，1990，1997，2001）加拿大的《控制指南》（CoCo，1995)312.1.1信息安全控制的若干規(guī)范文件(續(xù)）《內(nèi)部控制—整合框架》（COSO）:COSO框架包括五個要素，即控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)督。2004年9月COSO正式發(fā)布的ERM框架包括八個要素：內(nèi)部環(huán)境、目標設(shè)定、事件識別、風險評估、風險反應(yīng)、控制活動、信息溝通和監(jiān)控。412.1.1信息安全控制的若干規(guī)范文件(續(xù)）信息及相關(guān)技術(shù)控制目標（COBIT）:信息及相關(guān)技術(shù)控制目標（ControlObjectforInformationandrelatedTechnology，COBIT）是由IT治理協(xié)會開發(fā)形成的，它是目前國際上公認的最先進、最權(quán)威的安全與信息技術(shù)管理和控制標準。自1996年問世之后，這一標準歷經(jīng)兩次修改，目前已是第三版，并在世界上一百多個國家的重要組織與企業(yè)中運用。COBIT由執(zhí)行概要、框架、執(zhí)行工具集、管理指南、控制目標和審計指南等六個部分組成。512.1.1信息安全控制的若干規(guī)范文件(續(xù)）《系統(tǒng)可審性與控制》（SAC）和《電子系統(tǒng)確認與控制模型》（eSAC）:Esac將COSO的4個內(nèi)部控制目標（運營、報告、合規(guī)性、資產(chǎn)安全保障）和5個電子商務(wù)的確認目標（可用性、能力、功能性、可防護性、可負責性）以及5個基礎(chǔ)的創(chuàng)建要素（人、技術(shù)、過程、投資、溝通）聯(lián)系在一起。審計準則聲明55/78/94（SASs55/78/94）:該聲明詳細說明機構(gòu)使用信息技術(shù)可能對COSO所含的五個內(nèi)部控制組成要素產(chǎn)生影響。612.1.1信息安全控制的若干規(guī)范文件(續(xù))《控制指南》（CoCo）:它定義了控制的概念，并為有效的控制規(guī)定了詳細的標準。它同時定義了三類目標，即運營的效率和效果、內(nèi)部和外部報告的可靠性，以及對所適用的法律、規(guī)章及內(nèi)部政策的遵守。712.1.2信息技術(shù)對內(nèi)部控制的影響

信息技術(shù)提高企業(yè)內(nèi)部控制的效率和效果數(shù)據(jù)處理的客觀性與規(guī)范化信息輸出的及時性與準確性提供信息深入分析的詳細資料降低控制被規(guī)避的風險提高不相容職務(wù)分離的有效性812.1.2信息技術(shù)對內(nèi)部控制的影響(續(xù)）信息技術(shù)給內(nèi)部控制帶來的風險

應(yīng)用程序或數(shù)據(jù)的錯誤帶來的風險未授權(quán)訪問數(shù)據(jù)帶來的風險信息技術(shù)人員的越軌行為未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)未經(jīng)授權(quán)改變系統(tǒng)或程序未能對系統(tǒng)或程序作必要的修改不恰當?shù)娜藶楦深A數(shù)據(jù)丟失的風險912.2信息化環(huán)境下企業(yè)內(nèi)部控制分類與基本內(nèi)容

12.2.1內(nèi)部控制按實施環(huán)境分類《國際審計準則20電子數(shù)據(jù)處理環(huán)境對會計制度和有關(guān)的內(nèi)部控制研究與評價的影響》：一般控制與應(yīng)用控制《審計準則第1211號了解被審計單位及其環(huán)境并評估重大錯報風險》指出了一般控制與應(yīng)用控制各自的含義1012.2.1內(nèi)部控制按實施環(huán)境分類（續(xù)）信息技術(shù)一般控制是指與多個應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當?shù)剡\行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運行控制，系統(tǒng)軟件的購置、修改及維護控制，接觸或訪問權(quán)限控制，應(yīng)用系統(tǒng)的購置、開發(fā)及維護控制。

1112.2.1內(nèi)部控制按實施環(huán)境分類（續(xù)）信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運行的人工或自動化程序，與用于生成、記錄、處理、報告交易或其他財務(wù)數(shù)據(jù)的程序相關(guān)，通常包括檢查數(shù)據(jù)計算準確性，審核賬戶和試算平衡表，設(shè)置對輸入數(shù)據(jù)和數(shù)字序號的自動檢查，以及對例外報告進行人工干預等。1212.2.2一般控制及其基本內(nèi)容

組織與管理控制組織控制：一是重塑企業(yè)流程和更新傳統(tǒng)的機械技術(shù)體系；二是處理和傳輸信息資源的功能。管理控制：管理制度的建立及其被有效地執(zhí)行。管理制度主要有信息化操作管理制度、計算機硬件和軟件及數(shù)據(jù)管理制度、會計檔案管理制度。1312.2.2一般控制及其基本內(nèi)容（續(xù)）應(yīng)用系統(tǒng)開發(fā)和維護控制

系統(tǒng)開發(fā)階段的控制主要包括：開發(fā)方法與方式的控制、對數(shù)據(jù)的定義和處理程序的控制1412.2.2一般控制及其基本內(nèi)容（續(xù)）計算機操作控制

操作控制包括為模塊只允許被授權(quán)的人使用，操作者必須嚴格按照操作管理制度對指定的模塊進行操作，在操作過程中產(chǎn)生錯誤時能夠及時得到糾正。1512.2.2一般控制及其基本內(nèi)容（續(xù)）系統(tǒng)軟件控制：系統(tǒng)軟件控制一是包括對新的系統(tǒng)軟件和修改系統(tǒng)軟件的授權(quán)、批準、檢驗、實施和記錄；二是對系統(tǒng)軟件和記錄的存取僅限于被授權(quán)的人使用。數(shù)據(jù)和程序控制：主要針對專業(yè)數(shù)據(jù)和應(yīng)用程序所進行的控制1612.2.3應(yīng)用控制及其基本內(nèi)容輸入控制：輸入控制主要方法包括：憑證格式和內(nèi)容的控制、有關(guān)責任人簽章的控制、修改控制以及憑證審核的控制等。逐步放棄紙質(zhì)存放而盡可能將會計憑證存儲于機內(nèi)，是今后會計信息化的努力方向。1712.2.3應(yīng)用控制及其基本內(nèi)容(續(xù))計算機處理與數(shù)據(jù)文件控制：基本目標是保證對經(jīng)濟業(yè)務(wù)的數(shù)據(jù)處理過程的正確無誤，所有經(jīng)濟業(yè)務(wù)沒有被遺漏、添加、重復或不適當?shù)馗鼡Q，同時，在數(shù)據(jù)處理過程中軟件能夠?qū)﹀e誤及時予以識別和改正。1812.2.3應(yīng)用控制及其基本內(nèi)容（續(xù)）輸出控制：基本目標是保證處理結(jié)果的正確性輸出主要有會計憑證、賬簿和會計報表。輸出形式包括屏幕顯