《第五部分会计信息系统的控制和审计》由会员分享,可在线阅读,更多相关《第五部分会计信息系统的控制和审计(61页珍藏版)》请在金锄头文库上搜索。
1、第五部分 会计信息系统的控 制和审计第二十章 会计信息系统的内部控制上海财经大学会计学院 钱玲学习目标 1、了解信息系统内部控制的概念 2、了解信息系统内部控制的具体方法学习重点 1、掌握信息系统内部控制的分类 2、掌握信息系统内部控制的一般控制方法 3、掌握信息系统内部控制的应用控制方法第一节 信息系统的安全与风险防范 一、会计信息系统中存在的风险 (一)存储介质不同引起的风险 (二)远程通信能力带来的风险 (三)处理能力不同带来的风险 (四)处理的一体化带来的风险 (五)缺乏直觉带来的风险二、风险 管理计划 第二节 信息系统的内部控制体系 一、内部控制的概念 内部控制是指被企业为了保证业务
2、活动的有效 进行,保护资产的安全和完整,防止、发现、 纠正错误与舞弊,保证会计资料的真实、合法 、完整而制定和实施的政策与程序。 具体到与会计信息系统有关的内部控制,其设 计和运行是为了达到以下目标的: 1、保证业务活动按照适当的授权进行。 2、保证所有交易和事项以正确的金额,在恰当的会 计期间及时记录于适当的账户,使会计报表的编制 符合会计准则的相关要求。 3、保证对资产和记录的接触、处理均经过适当的授 权。 4、保证账面资产与实存资产定期核对相符。 二、内部控制的分类 (一)内部会计控制、内部管理控制 (二)预防性控制、检查和纠正性控制 (三)手工控制、程序化控制 (四)一般控制、应用控制
3、 1、一般控制 一般控制指那些保证计算机环境安全的控制手段。一般控 制又可以分为管理控制和系统开发控制。管理控制指采用 各种管理措施保证数据和系统的安全性,保证系统运行的 平稳。系统开发控制是要保证新系统不会对环境造成新的 危险。审计人员在研究和评价一般控制时,应当考虑以下 主要因素: (1)组织控制 (2)操作控制 (3)硬件及系统软件控制 (4)系统安全控制 (5)应用系统开发和维护控制 2、应用控制 应用控制是针对特定的、具体的应用环节所采取的控制, 是整合在系统运作过程之中保证处理的信息是正确的、完 全的、经过授权的、并且对所做处理留有审计线索的。在 研究和评价应用控制时,应当考虑以下
4、主要因素: (1)输入控制 (2)处理控制 (3)输出控制 三、内部控制框架 (一)COBIT框架 COBIT(Control Objectives for Information and related Technology,信息和相关技术的控制目标)是由信 息系统审计和控制基金会(Information Systems Audit and Control Foundation,ISACF)下属的信息技 术治理协会(ITGI)提出的IT控制框架,该协会于 1996,1998,2000,2005年分别颁布了COBIT 1.0, COBIT 2.0,COBIT 3.0以及COBIT 4.0,20
5、07年5月份, 已经更新到COBIT 4.1。 COBIT将IT流程、IT资源、与业务需求相适应的IT目 标结合起来,形成一个三维的体系结构。 (二)ITIL框架 ITIL(IT Infrastructure Library,IT基础架构库)由英 国国家计算机和电信局(Central Computing and Telecommunications Agency,简称为CCTA)在20世 纪80年代末制订,现由英国商务部(Office of Government Commerce,简称OGC)负责管理,主要 适用于IT服务管理。第三节 一般控制 一、组织控制 组织控制指采取职能分离、合理分工等
6、手段保 证电算化信息系统运营正常。 (一)业务岗位的职能分离 业务部门依然负责业务的授权、产生、执行、记录 、资产的保管等,要做到以下职务的分离:经济业 务的授权、批准与执行职务,经济业务的执行与记 录职务,经济业务记录与财产保管职务,经济业务 记录、财产保管与稽核业务;总账、明细账、日记 账记录职务等。 在电算化信息系统中,很多的业务处理已经不再由 员工手工完成,而是由计算机程序代替手工完成, 在这种情况下,职能分离的原理依然是一样的。(二)信息化岗位的职能分离 信息化岗位通常包括以下职能: 1、系统管理 2、网络管理 3、安全管理 4、变更管理 5、用户 6、系统分析 7、编程 8、数据库
7、管理一般需要委派不同的员工去执行不同的职能。(三)加强对员工的管理 1、强化安全意识 (1)要在企业文化中提倡、培育安全观念。 (2)在企业制度条款中要包括对一些敏感问题 的详细规定。例如有关内幕交易问题、客户资金 的使用问题、敏感数据的访问问题等。 (3)在员工的聘用合同里要包括有安全、保密 方面的条款。尤其对于那些有一定职权的员工, 在聘用合同中要列明责任。 (4)要加强领导的管理和内部审计部门的监督 。 2、识别敏感岗位 (1)该岗位接触到关键资源的机会 (2)是否能够有实施舞弊行为的时间 (3)作为个人是否具有舞弊的能力 (4)作为个人是否具有舞弊的动机 3、加强对敏感岗位的控制 (1
8、)聘用员工时要仔细考核,不仅考核其业务 水平,还要考核其品质。 (2)岗位轮换。定期或不定期地实行岗位轮换 。 (3)强制休假。 (4)计算机使用记录。对于计算机的使用情况 自动留下相应的日志记录。 (5)进一步加强内部审计和监控。 如果发现员工出现下列情形,并不一定意味 着员工有舞弊行为,但可能需要格外关注和 注意观察: (1)富裕程度明显超出工资和等级水平。 (2)消费习惯从节俭突然变得大手大脚。 (3)和竞争对手企业联系紧密。 (4)对企业和领导不在乎,经常迟到早退,不 尊重领导等。 (5)即使没有必要也经常找借口留下来加班。 二、操作控制 操作控制指通过操作手册和操作程序等的严格规定和
9、 遵从,从而保证电算化信息系统操作上的正确性。 (一)严格的上机操作手册 (二)严格的软件操作规程 (三)硬件和软件的使用记录制度 (四)系统的运行指标的考核 (五)定期的维护和保养 (六)系统错误记录和分析报告 (七)保证机房设施安全和电子计算机正常运转的措 施 (八)会计数据和会计核算软件安全保密的措施 三、硬件及系统软件控制 (一)硬件及系统软件控制概述 硬件和系统软件的运行状况决定了具体的信息系统 的运行环境。 审计人员必须对企业的硬件及系统软件的控制情况 进行分析。 (二)硬件控制 1、冗余校验 2、回波校验 3、重复处理校验 4、设备校验 5、有效性校验 6、作业控制 (三)系统软
10、件控制 1、错误处理 2、程序保护 3、文件保护 4、安全保护 5、自我保护 四、系统安全控制 电算化信息系统的安全问题,指组成电算化信 息系统的各方面资源的安全问题。包括:硬件 、软件、数据、人员。 (一)硬件的安全 1、硬件运行环境的控制 (1)机房环境 (2)火灾 (3)水灾 (4)灰尘 (5)恶劣天气 (6)电磁波 (7)静电 2、硬件防护 (1)计算机系统对供电电源的要求 直接供电 经过隔离变压器供电 交流稳压器供电 不间断电源(UPS)供电 (2)双重系统 3、硬件接触控制 (1)机房地址不要选择在人流热闹的地方。 (2)对机房加锁。 (3)对进出机房的人采用身份识别技术。 (4)
11、采用闭路电视进行多角度的监控。 (5)计算机设备上可以加上标签,这样当有人试图将其 带出时,会发出警报。(二)软件的安全 1、软件的接触控制 (1)采用口令控制方式口令应该定期更改。 口令的位数不应该过短。 口令的设置不要和使用者的个人情况有太多 的联系。 口令不要传播给别人。 系统要对口令输错的情况进行监控和分析, 防止有人蓄意试探口令。(2)采用权限控制方式 对于合法的注册用户,还必须根据工作岗位 和性质限定他们对于各个功能的使用权限。 对于数据文件,分为录入、修改、删除、查 询或不允许访问等多种权限,对于程序,分 为调用权限或不允许访问。一般来说,对于 管理人员,他们主要使用的是查询和分
12、析功 能;对于具体的业务人员,使用的多是输入 、处理处理。 2、防止计算机病毒的侵害 (1)加强机房管理,避免使用来路不明的软盘 和非法拷贝的软件,也不要接收异常的电子邮件 ,在下载时也要小心; (2)购置反病毒软件,经常对硬盘和软盘进行 病毒检测; (3)对重要资料进行经常的备份; (4)确定自己的危险程度,制定一旦病毒入侵 需要采取的方案,制定相应的恢复措施。(三)数据的安全 1、数据的接触控制 (1)口令控制方式 (2)加强对存储介质的管理 (3)磁介质上数据的加密保护硬加密技术 (四)人员的安全 工作在电算化信息系统环境下的人员可能会遭到一 些安全问题。 重复性紧张损伤 应该考虑人类工
13、程学 五、应用系统开发和维护控制 (一)要进行事先规划 (二)选择合适的开发方式和方法 (三)组建合适的人员和团队 (四)加强项目管理 (五)加强变更控制(Management Of Change ,MOC) 1、分析变更的必要性和合理性,确定是否实施变更 ; 2、记录变更信息,填写变更控制单; 3、做出更改,并交上级审批; 4、修改相应的软件配置项,确立新的版本; 5、评审后发布新版本。第四节 应用控制 每一个具体的应用程序所要解决的问题是 不同的,所涉及到的数据和处理方法等均 各具特点。针对这些具体的应用程序所进 行的有针对性的控制,就是应用控制。 应用控制的目的在于: 1、保证所有经过审
14、核批准的交易均经处理完毕,并且 每一项交易只处理一次。 2、保证交易资料的完整和正确。 3、保证交易的处理正确无误,符合要求。 4、保证处理的结果用于预定的用途,并能产生预期的 效益。 5、保证应用程序能正常运作,并持续维护其功能。 一、输入控制 (一)输入控制的重要性 应用控制最为强调的控制环节就是输入环节 的控制。 (二)会计信息系统的输入控制方 法 1、批控制总数的方法 (1)数量、金额控制总数 (2)记录数控制总数 (3)杂项控制总数 批控制总数的方法并不仅仅适用于批处理方式, 也完全可以在联机实时方式下采用。同样,批控 制总数的方法也并不仅仅适用于输入环节的控制 ,同样也可以在处理和
15、输出环节采用。 2、存在性校验存在性校验要求在初始化时在会计信息系 统中建立一个会计科目名称和会计科目代 码一一对应的会计科目词典库。 3、校验位校验 在会计信息系统中广泛用到代码。这些代码的形 式大多是数字型。 所谓校验位,是在原来代码的最后加上的一位。 加上这一位后,使得整个的代码(连同校验位) 具有某种数学的特征,比如,可以被某个数整除 。 首先对每位代码加权 然后取模 4、对应关系检查 记账凭证存在着借方科目和贷方科目这两 个方面的对应关系。 可以对凭证种类和其借贷方进行检查 5、平衡关系校验会计中广泛存在着平衡关系。可以利用这 些平衡关系进行检查。 6、界限、极值校验会计信息系统中有些字段的取值是有一定 界限或极值的。 7、完整性校验输入时有些字段是一定要输入的。 在记账之前,软件应该检查审核字段是否 已经填有内容。 完整性校验还包括检查凭证是否“有借有 贷”。对于授权的检查也是一种完整性校验。 8、连续性校验有些字段项目是连续的。对于这些连续的 字段项目,可以进行顺序检查,以查找出
