《会计信息系统控制n》由会员分享,可在线阅读,更多相关《会计信息系统控制n(26页珍藏版)》请在金锄头文库上搜索。
1、会计信息系统 Accounting Information System,第10章 会计信息系统控制,1 概述,一、信息系统风险分析 (一)信息安全风险 存储/传输/硬件 (二)信息处理差错反复发生风险 (三)计算机交易授权风险 (四)传统职责分离失效引致的风险 (五)信息系统脆弱性与威胁引致的风险,二、会计信息系统的内部控制及分类,按实施的范围划分 一般控制 应用控制 按控制的意图划分 预防性控制 检测性控制 纠正性控制 按控制所采取的手段划分 人工控制 程序控制,一般控制和应用控制,一般控制:泛指各个应用系统均适用的控制,包括组织、开发、应用环境等方面的控制。以程序为主。 应用控制:专指那
2、些专门为某个应用系统设计且执行的控制,包括输入、处理、输出的控制。以数据为主。,2一般控制,一般控制的具体目标: 通过一般或特殊的授权规则保证下列活动的开展具备正当的手续: 将原始凭证输入系统内进行处理; 设计、实施和使用计算机程序; 更改计算机程序; 接触和使用计算机主文件和其他重要数据文件; 分发系统输出报告等。 负责资产保管人员无权接触记录资产情况的信息处理。 负责信息处理的人员不负责执行或批准的经济业务。 电子数据处理部门内部对不相容职能进行适当分离。 电子数据处理部门不能纠正电子数据部门以外的错误。 通过适当的沟通方法和程序,使数据处理部门人员和其他部门人员能理解主管人员的一般和特殊
3、授权要求,并保证遵循这些要求。 主管人员能够充分地控制授权要求的遵守,以保证违背要求的行为能予以记录、调查和纠正。,一般控制的内容,组织与管理控制 应用系统开发与维护控制 计算机操作控制 硬件和软件控制 系统安全控制 数据通讯控制 系统文档控制,一、组织与管理控制,基本目标 减少发生错误和舞弊的可能性 基本要求 权责的划分和职能的分离 主要内容 电算部门与用户部门的职责分离 电算部门内部的职责分离 人事控制 业务授权,1、电算部门与用户部门职能分离,授权 执行 记录 保管,2、电算部门内部的职能分离 系统设计与编程人员; 操作人员; 输入、输出控制人员; 档案资料保管员,3、人事控制 工作性质
4、说明(权限、素质) 人员选择和培训 对人的行为的监督和评价 岗位轮换、工休假期和合同鉴定,4、组织安全控制原则,(1)多人负责原则:两人或多人互相配合、互相制约。从事每项安全活动 ,应至少两人在场 ,做好工作情况记录。 (2)任期有限原则:任何人不长期担任与安全有关的职务。 (3)职责分离原则:不要了解职责以外的与安全相关的事情。至少下面几对信息处理工作应当分开:计算机操作与计算机编程、机密资料的接受与发送、安全管理与系统管理、密钥管理与其他工作、计算机操作与数据管理。 (4)最小权限原则:只授予用户和系统管理员执行任务所需要的最基本权限。对超级用户的使用要权限分散。,二、应用系统开发与维护控
5、制,基本目标 为保证计算机会计信息系统开发过程中各项活动的合法性和有效进行 基本要求 系统开发过程中的各项研制、设计、维护活动及由此产生的文档,均应遵循一定标准、规则和要求 主要内容 系统开发标准,以总的方面规定开发活动要求。 结构化系统开发方法,系统开发通常采用系统开发生命周期法。 项目管理,包括项目计划、项目控制、项目报告。 编程规则,程序设计按一定规则进行,能提高系统的可审性。 阶段保证,保证系统开发进度和质量的重要措施。 系统测试控制,系统实施前检出错误使系统按设计要求可靠运行的控制。 系统转换控制,防止在新旧系统转换过程中发生数据遗失、重复等现象。 新系统批准程序,确保管理部门对新系
6、统和系统转换计划进行审批。 程序变更控制,保证程序改动经严格测试,并得到适当的核准和授权。 系统文档,保证所有系统开发资料按规定予以整理和归档。,三、计算机操作控制,基本目标 通过标准的计算机操作来保证信息处理的高质量、减少差错的发生和未经批准而使用数据和程序的机会 具体目标 系统仅用于经过批准的目的; 仅限于经过批准的人员进行计算机操作; 仅使用批准的程序; 查出并更正计算机处理中的错误。 主要内容 操作计划:系统发展、成本预算、人员培训和用户安排 机房守则 操作规程 上机日志记录,四、硬件和软件控制,硬件控制 硬件控制的失效会消弱其他控制措施的作用,影响系统的可靠性 系统软件控制 利用系统
7、软件如操作系统、数据库管理系统实现控制,是电子数据处理系统内部控制机制的一个显著特色 访问控制;隔离控制;加密变换;日志控制 应用软件控制 确保软件的取得或开发是以经过授权并以有效的方式进行的 授权、批准、测试、实施和记录新建和修改应用软件; 系统应用软件和记录的存取仅限于经过授权的人员。,五、系统安全控制,基本目标 防止影响系统安全的因素危及系统的安全,发现系统中的安全问题,并解决这些问题使系统恢复正常的措施及实施 主要内容 硬件安全控制 程序与数据的安全控制 环境安全控制 防病毒的软件接触系统,六、数据通讯控制,防火墙技术 数据加密技术 一次性口令技术 回叫机制,七、系统文档控制,基本目标
8、 建立文档管理制度及安全保密制度 主要内容 专人保管; 数据在纳入计算机会计信息系统之前,须经系统主管人员的审检批准; 计算机打印输出书面资料,应由输出和审核人员共同签字才是合法的会计档案; 会计档案使用时必须经过批准,任何资料的借取都要登记; 存储在磁性介质上的文件应有加密保护; 系统软件、应用程序和数据文件应复制备份; 根据会计档案管理的规定制订文档的保管数量、保管时间、定期备份的间隔期及调用档案的手续等。,一般控制的地位 一般控制的运用对应用控制的有效性至关重要 一般控制的测试和技术 手工 组织与管理控制 系统开发和维护控制 计算机辅助审计技术 系统应用软件控制 手工方法与计算机辅助审计
9、技术相结合 计算机操作控制 数据和程序控制 一般控制的测试的重点 系统开发的测试,八、一般控制的测试,3应用控制,基本目标 对会计应用建立具体控制过程,从而确保全部的经济业务都经过授权和记录,并做完整、准确和及时的处理。 具体目标 所有经允许处理的数据均应转换到介质上并加以处理,并且处理的结果可通过适当的方式加以输出。 所有输入、转换、处理和输出均应在正常的时间里准确地进行。 所有系统的输出均反映为经批准的有效的经济业务。,应用控制的内容,输入控制 处理控制 输出控制,一、输入控制,控制目标 经济业务在计算机处理之前经过适当的批准; 经济业务被准确地转换为机器可读形式并记录于计算机数据文件;
10、经济业务没有丢失或不适当地增加、复制、改动; 拒绝、改正不适当的经济业务,必要时,及时重新补救。 控制内容 数据采集控制 数据输入控制,数据采集控制,控制目标 确保应用系统在合理授权的基础上完整地收集、正确地编制、安全地传递输入数据 控制措施 用户部门内部的职责分离 标准化的凭证格式 制定凭证编制程序 凭证审核 手续控制 凭证更正规程 批量控制,数据输入控制,控制目标:防止输入数据时的遗漏或重复,检查输入数据是否有错误 设置会计科目代码与名称对照文件; 设置对应关系参照文件; 顺序校验; 合理性校验; 平衡校验; 人工校验; 重输入控制,二、处理控制,控制目标 经济业务(包括系统生成的)由计算
11、机正确地处理; 经济业务没有丢失或不适当地增加、复制、改动; 计算机处理的错误被及时地鉴别并改正。 控制措施 业务时序控制 数据有效性检验 程序化处理有效性检验 错误更正控制 断点技术,三、输出控制,控制目标 计算机处理的输出结果准确无误; 输出结果仅限于经过批准的人员; 输出及时地提供给适当的经过批准的人员。 控制措施 输出授权控制; 输入过程的控制总数与输出得到的控制总数相核对; 审校输出结果,检查正确性、完整性; 将正常业务报告与例外报告中有关数据作分析对比; 设置输出报告发送登记簿,记录报告发送份数、时间、接受人等事项; 制订输出错误纠正和对重要数据进行处理的规定。,方法 使用者实施的人工控制 系统输出控制 程序控制 测试重点 应用系统的处理控制,四、应用控制测试,
