會(huì)計(jì)信息化內(nèi)部控制

第十二章

會(huì)計(jì)信息化的內(nèi)部控制

學(xué)習(xí)目標(biāo)：通過本章的學(xué)習(xí)，我們需要掌握

信息技術(shù)對(duì)內(nèi)部控制正反兩個(gè)方面的影響；當(dāng)前信息安全控制的主要標(biāo)準(zhǔn)文件內(nèi)容；信息化環(huán)境下企業(yè)內(nèi)部控制分類及其基本內(nèi)容；

電子商務(wù)安全控制與交易完備控制；面向未來的會(huì)計(jì)信息系統(tǒng)的安全控制下載！免財(cái)富值！！1第1頁，共29頁。12.1信息技術(shù)對(duì)內(nèi)部控制的影響

內(nèi)部會(huì)計(jì)控制應(yīng)當(dāng)達(dá)到基本目標(biāo)三個(gè)方面:一是規(guī)范單位會(huì)計(jì)行為，保證會(huì)計(jì)資料真實(shí)、完整；二是堵塞漏洞、消除隱患，防止并及時(shí)發(fā)現(xiàn)、糾正錯(cuò)誤及舞弊行為，保護(hù)單位資產(chǎn)的安全、完整；三是確保國(guó)家有關(guān)法律法規(guī)和單位內(nèi)部規(guī)章制度的貫徹執(zhí)行。

2第2頁，共29頁。12.1.1信息安全控制的若干規(guī)范文件全美反欺詐財(cái)務(wù)報(bào)告委員會(huì)《內(nèi)部控制—整合框架》（COSO，1992)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的《信息及相關(guān)技術(shù)控制目標(biāo)》（COBIT，1996，1998，2000）國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)《系統(tǒng)可審性與控制》（SAC，1977，1991，1994）《電子系統(tǒng)確認(rèn)與控制模型》（eSAC，2001)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的審計(jì)準(zhǔn)則聲明（SASs55/78/94，1990，1997，2001）加拿大的《控制指南》（CoCo，1995)3第3頁，共29頁。12.1.1信息安全控制的若干規(guī)范文件(續(xù)）《內(nèi)部控制—整合框架》（COSO）:COSO框架包括五個(gè)要素，即控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)督。2004年9月COSO正式發(fā)布的ERM框架包括八個(gè)要素：內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)反應(yīng)、控制活動(dòng)、信息溝通和監(jiān)控。4第4頁，共29頁。12.1.1信息安全控制的若干規(guī)范文件(續(xù)）信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）:信息及相關(guān)技術(shù)控制目標(biāo)（ControlObjectforInformationandrelatedTechnology，COBIT）是由IT治理協(xié)會(huì)開發(fā)形成的，它是目前國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。自1996年問世之后，這一標(biāo)準(zhǔn)歷經(jīng)兩次修改，目前已是第三版，并在世界上一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用。COBIT由執(zhí)行概要、框架、執(zhí)行工具集、管理指南、控制目標(biāo)和審計(jì)指南等六個(gè)部分組成。5第5頁，共29頁。12.1.1信息安全控制的若干規(guī)范文件(續(xù)）《系統(tǒng)可審性與控制》（SAC）和《電子系統(tǒng)確認(rèn)與控制模型》（eSAC）:Esac將COSO的4個(gè)內(nèi)部控制目標(biāo)（運(yùn)營(yíng)、報(bào)告、合規(guī)性、資產(chǎn)安全保障）和5個(gè)電子商務(wù)的確認(rèn)目標(biāo)（可用性、能力、功能性、可防護(hù)性、可負(fù)責(zé)性）以及5個(gè)基礎(chǔ)的創(chuàng)建要素（人、技術(shù)、過程、投資、溝通）聯(lián)系在一起。審計(jì)準(zhǔn)則聲明55/78/94（SASs55/78/94）:該聲明詳細(xì)說明機(jī)構(gòu)使用信息技術(shù)可能對(duì)COSO所含的五個(gè)內(nèi)部控制組成要素產(chǎn)生影響。6第6頁，共29頁。12.1.1信息安全控制的若干規(guī)范文件(續(xù))《控制指南》（CoCo）:它定義了控制的概念，并為有效的控制規(guī)定了詳細(xì)的標(biāo)準(zhǔn)。它同時(shí)定義了三類目標(biāo)，即運(yùn)營(yíng)的效率和效果、內(nèi)部和外部報(bào)告的可靠性，以及對(duì)所適用的法律、規(guī)章及內(nèi)部政策的遵守。7第7頁，共29頁。12.1.2信息技術(shù)對(duì)內(nèi)部控制的影響

信息技術(shù)提高企業(yè)內(nèi)部控制的效率和效果數(shù)據(jù)處理的客觀性與規(guī)范化信息輸出的及時(shí)性與準(zhǔn)確性提供信息深入分析的詳細(xì)資料降低控制被規(guī)避的風(fēng)險(xiǎn)提高不相容職務(wù)分離的有效性8第8頁，共29頁。12.1.2信息技術(shù)對(duì)內(nèi)部控制的影響(續(xù)）信息技術(shù)給內(nèi)部控制帶來的風(fēng)險(xiǎn)

應(yīng)用程序或數(shù)據(jù)的錯(cuò)誤帶來的風(fēng)險(xiǎn)未授權(quán)訪問數(shù)據(jù)帶來的風(fēng)險(xiǎn)信息技術(shù)人員的越軌行為未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)未經(jīng)授權(quán)改變系統(tǒng)或程序未能對(duì)系統(tǒng)或程序作必要的修改不恰當(dāng)?shù)娜藶楦深A(yù)數(shù)據(jù)丟失的風(fēng)險(xiǎn)9第9頁，共29頁。12.2信息化環(huán)境下企業(yè)內(nèi)部控制分類與基本內(nèi)容

12.2.1內(nèi)部控制按實(shí)施環(huán)境分類《國(guó)際審計(jì)準(zhǔn)則20電子數(shù)據(jù)處理環(huán)境對(duì)會(huì)計(jì)制度和有關(guān)的內(nèi)部控制研究與評(píng)價(jià)的影響》：一般控制與應(yīng)用控制《審計(jì)準(zhǔn)則第1211號(hào)了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》指出了一般控制與應(yīng)用控制各自的含義10第10頁，共29頁。12.2.1內(nèi)部控制按實(shí)施環(huán)境分類（續(xù)）信息技術(shù)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購置、修改及維護(hù)控制，接觸或訪問權(quán)限控制，應(yīng)用系統(tǒng)的購置、開發(fā)及維護(hù)控制。

11第11頁，共29頁。12.2.1內(nèi)部控制按實(shí)施環(huán)境分類（續(xù)）信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行的人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)的程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算準(zhǔn)確性，審核賬戶和試算平衡表，設(shè)置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)等。12第12頁，共29頁。12.2.2一般控制及其基本內(nèi)容

組織與管理控制組織控制：一是重塑企業(yè)流程和更新傳統(tǒng)的機(jī)械技術(shù)體系；二是處理和傳輸信息資源的功能。管理控制：管理制度的建立及其被有效地執(zhí)行。管理制度主要有信息化操作管理制度、計(jì)算機(jī)硬件和軟件及數(shù)據(jù)管理制度、會(huì)計(jì)檔案管理制度。13第13頁，共29頁。12.2.2一般控制及其基本內(nèi)容（續(xù)）應(yīng)用系統(tǒng)開發(fā)和維護(hù)控制系統(tǒng)開發(fā)階段的控制主要包括：開發(fā)方法與方式的控制、對(duì)數(shù)據(jù)的定義和處理程序的控制14第14頁，共29頁。12.2.2一般控制及其基本內(nèi)容（續(xù)）計(jì)算機(jī)操作控制操作控制包括為模塊只允許被授權(quán)的人使用，操作者必須嚴(yán)格按照操作管理制度對(duì)指定的模塊進(jìn)行操作，在操作過程中產(chǎn)生錯(cuò)誤時(shí)能夠及時(shí)得到糾正。15第15頁，共29頁。12.2.2一般控制及其基本內(nèi)容（續(xù)）系統(tǒng)軟件控制：系統(tǒng)軟件控制一是包括對(duì)新的系統(tǒng)軟件和修改系統(tǒng)軟件的授權(quán)、批準(zhǔn)、檢驗(yàn)、實(shí)施和記錄；二是對(duì)系統(tǒng)軟件和記錄的存取僅限于被授權(quán)的人使用。數(shù)據(jù)和程序控制：主要針對(duì)專業(yè)數(shù)據(jù)和應(yīng)用程序所進(jìn)行的控制16第16頁，共29頁。12.2.3應(yīng)用控制及其基本內(nèi)容輸入控制：輸入控制主要方法包括：憑證格式和內(nèi)容的控制、有關(guān)責(zé)任人簽章的控制、修改控制以及憑證審核的控制等。逐步放棄紙質(zhì)存放而盡可能將會(huì)計(jì)憑證存儲(chǔ)于機(jī)內(nèi)，是今后會(huì)計(jì)信息化的努力方向。17第17頁，共29頁。12.2.3應(yīng)用控制及其基本內(nèi)容(續(xù))計(jì)算機(jī)處理與數(shù)據(jù)文件控制：基本目標(biāo)是保證對(duì)經(jīng)濟(jì)業(yè)務(wù)的數(shù)據(jù)處理過程的正確無誤，所有經(jīng)濟(jì)業(yè)務(wù)沒有被遺漏、添加、重復(fù)或不適當(dāng)?shù)馗鼡Q，同時(shí)，在數(shù)據(jù)處理過程中軟件能夠?qū)﹀e(cuò)誤及時(shí)予以識(shí)別和改正。18第18頁，共29頁。12.2.3應(yīng)用控制及其基本內(nèi)容（續(xù)）輸出控制：基本目標(biāo)是保證處理結(jié)果的正確性輸出主要有會(huì)計(jì)憑證、賬簿和會(huì)計(jì)報(bào)表。輸出形式包括屏幕顯示和打印輸出。19第19頁，共29頁。12．3電子商務(wù)安全控制與交易完備控制

電子商務(wù)安全控制

與傳統(tǒng)的方式相比，電子商務(wù)使得一個(gè)公司面臨不同種類的風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可大致歸為兩大類。一類是未訪問授權(quán)的訪問；一類是設(shè)備故障的風(fēng)險(xiǎn)。面對(duì)這兩類風(fēng)險(xiǎn)，電子商務(wù)的安全控制只能加強(qiáng)而不能削弱。20第20頁，共29頁。電子商務(wù)安全控制（續(xù)）未授權(quán)訪問風(fēng)險(xiǎn)控制：指未經(jīng)企業(yè)允許而企圖進(jìn)入企業(yè)的網(wǎng)絡(luò)并通過互聯(lián)網(wǎng)從遠(yuǎn)程對(duì)系統(tǒng)進(jìn)行拒絕服務(wù)攻擊的行為。而要對(duì)此加以控制，就必須通過由硬件和軟件共同組成的電子防火墻、數(shù)據(jù)加密、回叫設(shè)備等多種防范與控制。設(shè)備故障風(fēng)險(xiǎn)控制：數(shù)據(jù)通信的最普遍問題是由于線路錯(cuò)誤而引起的數(shù)據(jù)丟失。通常采用回應(yīng)檢查和奇偶校驗(yàn)等兩種技術(shù)用于檢測(cè)這類問題。與此同時(shí)，實(shí)施網(wǎng)絡(luò)備份控制也是設(shè)備故障風(fēng)險(xiǎn)控制一個(gè)重要內(nèi)容，21第21頁，共29頁。電子商務(wù)交易完備控制從長(zhǎng)遠(yuǎn)來看，交易集中控制是財(cái)務(wù)會(huì)計(jì)信息的可靠性與相關(guān)性的保證，而目前的憑證集中與報(bào)表集中將逐步為交易集中所替代。交易集中控制旨在使物流、資金流和信息流“三流合一”的基礎(chǔ)上達(dá)到對(duì)會(huì)計(jì)信息的控制與使用。22第22頁，共29頁。電子商務(wù)交易完備控制(續(xù))《中華人民共和國(guó)電子簽名法》（下稱《電子簽名法》）《審計(jì)準(zhǔn)則第1633號(hào)電子商務(wù)對(duì)財(cái)務(wù)報(bào)表審計(jì)的影響》借助于集中控制的交易業(yè)務(wù)，又為廣大的信息用戶采用事件驅(qū)動(dòng)技術(shù)從中獲得所需加工的數(shù)據(jù)并據(jù)以生成會(huì)計(jì)信息。23第23頁，共29頁。12.4面向未來的會(huì)計(jì)信息系統(tǒng)的安全控制

12.4.1會(huì)計(jì)信息系統(tǒng)安全控制的網(wǎng)絡(luò)化與全局性網(wǎng)絡(luò)化:信息化風(fēng)險(xiǎn)和保障網(wǎng)絡(luò)空間的安全已經(jīng)成為關(guān)系信息化能否健康發(fā)展的重大問題。全局性:企業(yè)資源計(jì)劃（ERP）的實(shí)施目標(biāo)，就是要最大程度地使物流、資金流和信息流實(shí)現(xiàn)一體化管理，ERP軟件的開發(fā)與應(yīng)用，正在日益走向“三流一體”，有鑒于此，會(huì)計(jì)信息系統(tǒng)的數(shù)據(jù)源只能來自于以整個(gè)企業(yè)為單位建立的數(shù)據(jù)倉庫。24第24頁，共29頁。12.4.2注重企業(yè)經(jīng)濟(jì)業(yè)務(wù)原始信息的安全控制隨著信息化的快速發(fā)展,事件驅(qū)動(dòng)技術(shù)的應(yīng)用可能使各種經(jīng)濟(jì)業(yè)務(wù)活動(dòng)以事件形式加以組織與存儲(chǔ),并以統(tǒng)一的數(shù)據(jù)倉庫加以集中與管理,這種改變以往以數(shù)據(jù)處理中心的處理模式,使信息使用者僅在需要信息時(shí)才到數(shù)據(jù)倉庫將相關(guān)數(shù)據(jù)“拉”出來即時(shí)加以處理的做法，改變?cè)葧?huì)計(jì)憑證、賬簿和報(bào)表的信息管理模式，企業(yè)信息的安全控制點(diǎn)必將前移，信息安全控制將以企業(yè)的數(shù)據(jù)倉庫為重中之重。25第25頁，共29頁。12.4.3加強(qiáng)對(duì)主體系統(tǒng)的監(jiān)控與管理2006年7月15日，美國(guó)“薩班斯法案”正式施行，該法案規(guī)定了對(duì)首席執(zhí)行官和財(cái)務(wù)總監(jiān)的資歷要求，要求所有的上市公司對(duì)其內(nèi)部審計(jì)職能是否得到充分發(fā)揮出具有關(guān)的證明。它還要求公司的審計(jì)委員會(huì)發(fā)揮更加積極的作用，允許審計(jì)委員會(huì)在人手不夠的時(shí)候，從外部招聘更多的咨詢專家或顧問來幫助其開展工作。26第26頁，共29頁。12.4.3加強(qiáng)對(duì)主體系統(tǒng)的監(jiān)控與管理（續(xù)）信息系統(tǒng)是由主體系統(tǒng)與客體系統(tǒng)組合而成。無論是現(xiàn)在還是未來，主體系統(tǒng)都必須作為控制之重點(diǎn)。在未來的網(wǎng)絡(luò)化環(huán)境中，加強(qiáng)與系統(tǒng)相關(guān)人員的管理與控制更為重要。27第27頁，共29頁。12.4.4關(guān)注信息新技術(shù)的應(yīng)用包括兩個(gè)方面的內(nèi)容，一方面是企業(yè)會(huì)計(jì)信息化不斷的采用新技術(shù)；另一方面，則是密切注視、并積極應(yīng)對(duì)不法分子利用信息新技術(shù)篡改、攔截、破壞企業(yè)的會(huì)計(jì)數(shù)據(jù)與信息。28第28頁，共29頁。內(nèi)容梗概第十二章會(huì)計(jì)信息化的內(nèi)部控制。面向未來的會(huì)計(jì)信息系統(tǒng)的安全控制。一是規(guī)范單位會(huì)計(jì)行為，保證會(huì)計(jì)資料真實(shí)、完整。審計(jì)準(zhǔn)則聲明55/78/94（SASs55/78/94）:該聲明詳細(xì)說明機(jī)構(gòu)使用信息技術(shù)可能對(duì)COSO所含的五個(gè)內(nèi)部控制組成要素產(chǎn)生影響。應(yīng)用程序或數(shù)據(jù)的錯(cuò)誤帶來的風(fēng)險(xiǎn)。系統(tǒng)開發(fā)階段的控制主要包括：開發(fā)方法與方式的控制、對(duì)數(shù)據(jù)的定義和處理程序的控制。二是對(duì)系統(tǒng)軟件和記錄的存取僅限于被授權(quán)的人使用。數(shù)據(jù)和程序控制：主要針對(duì)專業(yè)數(shù)據(jù)和應(yīng)用程序所進(jìn)行的控制。與傳統(tǒng)的方式相比，電子商務(wù)使得一個(gè)公司面臨不同種類的風(fēng)險(xiǎn)。一類是未訪問授權(quán)的訪問。未