资源描述
第十二章 会计信息化的内部控制 n 学习目标学习目标:通过本章的学习,我们需要掌握通过本章的学习,我们需要掌握 n 信息技术对内部控制正反两个方面的影响;信息技术对内部控制正反两个方面的影响;n 当前信息安全控制的主要标准文件内容;当前信息安全控制的主要标准文件内容;n 信息化环境下企业内部控制分类及其基本内容;信息化环境下企业内部控制分类及其基本内容;n 电子商务安全控制与交易完备控制;电子商务安全控制与交易完备控制;n 面向未来的会计信息系统的安全控制面向未来的会计信息系统的安全控制112.1 信息技术对内部控制的影响 n 内部会计控制应当达到基本目标三个方面内部会计控制应当达到基本目标三个方面:n 一是规范单位会计行为,保证会计资料真实、完整;一是规范单位会计行为,保证会计资料真实、完整;n 二是堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保二是堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保护单位资产的安全、完整;护单位资产的安全、完整;n 三是确保国家有关法律法规和单位内部规章制度的贯彻执行。三是确保国家有关法律法规和单位内部规章制度的贯彻执行。212.1.1 信息安全控制的若干规范文件n 全美反欺诈财务报告委员会内部控制全美反欺诈财务报告委员会内部控制整合框架整合框架(COSO,1992)n 信息系统审计与控制协会的信息及相关技术控制目信息系统审计与控制协会的信息及相关技术控制目标(标(COBIT,1996,1998,2000)n 国际内部审计师协会系统可审性与控制(国际内部审计师协会系统可审性与控制(SAC,1977,1991,1994)电子系统确认与控制模型)电子系统确认与控制模型(eSAC,2001)n 美国注册会计师协会的审计准则声明美国注册会计师协会的审计准则声明(SASs55/78/94,1990,1997,2001)n 加拿大的控制指南(加拿大的控制指南(CoCo,1995)312.1.1 信息安全控制的若干规范文件(续)n 内部控制内部控制整合框架(整合框架(COSO):COSO框架包括五个要素,即控制框架包括五个要素,即控制环境、风险评估、控制活动、信息与沟通和监督。环境、风险评估、控制活动、信息与沟通和监督。n 2004年年 9月月 COSO正式发布的正式发布的ERM框架包括八个要素:内部环境、目标框架包括八个要素:内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通和监控。设定、事件识别、风险评估、风险反应、控制活动、信息沟通和监控。412.1.1 信息安全控制的若干规范文件(续)n 信息及相关技术控制目标(信息及相关技术控制目标(COBIT):信息及相信息及相关技术控制目标(关技术控制目标(Control Object for Information and related Technology,COBIT)是由是由IT治理协会开发形成的,它是目前国际上公治理协会开发形成的,它是目前国际上公认的最先进、最权威的安全与信息技术管理和控认的最先进、最权威的安全与信息技术管理和控制标准。自制标准。自1996年问世之后,这一标准历经两次年问世之后,这一标准历经两次修改,目前已是第三版,并在世界上一百多个国修改,目前已是第三版,并在世界上一百多个国家的重要组织与企业中运用。家的重要组织与企业中运用。n COBIT 由执行概要、框架、执行工具集、管理指由执行概要、框架、执行工具集、管理指南、控制目标和审计指南等六个部分组成。南、控制目标和审计指南等六个部分组成。512.1.1 信息安全控制的若干规范文件(续)n 系统可审性与控制(系统可审性与控制(SAC)和)和 电子系统确电子系统确认与控制模型(认与控制模型(eSAC):Esac将将COSO的的4个个内部控制目标(运营、报告、合规性、资产安全内部控制目标(运营、报告、合规性、资产安全保障)和保障)和5个电子商务的确认目标(可用性、能力、个电子商务的确认目标(可用性、能力、功能性、可防护性、可负责性)以及功能性、可防护性、可负责性)以及5个基础的创个基础的创建要素(人、技术、过程、投资、沟通)联系在建要素(人、技术、过程、投资、沟通)联系在一起。一起。n 审计准则声明审计准则声明55/78/94(SASs55/78/94):该声该声明详细说明机构使用信息技术可能对明详细说明机构使用信息技术可能对COSO所含所含的五个内部控制组成要素产生影响。的五个内部控制组成要素产生影响。612.1.1 信息安全控制的若干规范文件(续)n 控制指南(控制指南(CoCo):它定义了控制的概念,并为有效的控制规它定义了控制的概念,并为有效的控制规定了详细的标准。它同时定义了三类目标,即运营的效率和效果、内定了详细的标准。它同时定义了三类目标,即运营的效率和效果、内部和外部报告的可靠性,以及对所适用的法律、规章及内部政策的遵部和外部报告的可靠性,以及对所适用的法律、规章及内部政策的遵守。守。712.1.2 信息技术对内部控制的影响 n信息技术提高企业内部控制的效率和效果信息技术提高企业内部控制的效率和效果n数据处理的客观性与规范化数据处理的客观性与规范化 n信息输出的及时性与准确性信息输出的及时性与准确性 n提供信息深入分析的详细资料提供信息深入分析的详细资料 n降低控制被规避的风险降低控制被规避的风险 n提高不相容职务分离的有效性提高不相容职务分离的有效性 812.1.2 信息技术对内部控制的影响(续)n 信息技术给内部控制带来的风险信息技术给内部控制带来的风险 n 应用程序或数据的错误带来的风险应用程序或数据的错误带来的风险 n 未授权访问数据带来的风险未授权访问数据带来的风险 n 信息技术人员的越轨行为信息技术人员的越轨行为 n 未经授权改变主文档的数据未经授权改变主文档的数据 n 未经授权改变系统或程序未经授权改变系统或程序 n 未能对系统或程序作必要的修改未能对系统或程序作必要的修改 n 不恰当的人为干预不恰当的人为干预 n 数据丢失的风险数据丢失的风险 912.2 信息化环境下企业内部控制分类与基本内容12.2.1 内部控制按实施环境分类n 国际审计准则国际审计准则20 电子数据处理环境对会计制度和有关的内部控制电子数据处理环境对会计制度和有关的内部控制研究与评价的影响研究与评价的影响:一般控制与应用控制:一般控制与应用控制 n 审计准则第审计准则第1211号号 了解被审计单位及其环境并评估重大错报风险了解被审计单位及其环境并评估重大错报风险 指出了一般控制与应用控制指出了一般控制与应用控制 各自的含义各自的含义1012.2.1 内部控制按实施环境分类(续)n 信息技术一般控制是指与多个应用系统有关的政信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性包括信息的完整性和数据的安全性),支持应用,支持应用控制作用的有效发挥,通常包括数据中心和网络控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及接触或访问权限控制,应用系统的购置、开发及维护控制。维护控制。1112.2.1 内部控制按实施环境分类(续)n 信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通与用于生成、记录、处理、报告交易或其他财务数据的程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预等。据和数字序号的自动检查,以及对例外报告进行人工干预等。1212.2.2 一般控制及其基本内容 n 组织与管理控制组织与管理控制n 组织控制组织控制:一是重塑企业流程和更新传统的机械技术体系;二是处:一是重塑企业流程和更新传统的机械技术体系;二是处理和传输信息资源的功能。理和传输信息资源的功能。n 管理控制管理控制:管理制度的建立及其被有效地执行。管理制度主要有信息:管理制度的建立及其被有效地执行。管理制度主要有信息化操作管理制度、计算机硬件和软件及数据管理制度、会计档案管理化操作管理制度、计算机硬件和软件及数据管理制度、会计档案管理制度。制度。1312.2.2 一般控制及其基本内容(续)n 应用系统开发和维护控制应用系统开发和维护控制 n 系统开发阶段的控制主要包括:开发方法与方式的控制、对数据的定系统开发阶段的控制主要包括:开发方法与方式的控制、对数据的定义和处理程序的控制义和处理程序的控制 1412.2.2 一般控制及其基本内容(续)n 计算机操作控制计算机操作控制 n 操作控制包括为模块只允许被授权的人使用,操作者必须严格按照操操作控制包括为模块只允许被授权的人使用,操作者必须严格按照操作管理制度对指定的模块进行操作,在操作过程中产生错误时能够及作管理制度对指定的模块进行操作,在操作过程中产生错误时能够及时得到纠正。时得到纠正。1512.2.2 一般控制及其基本内容(续)n 系统软件控制系统软件控制:系统软件控制一是包括对新的系统软件和修改系统:系统软件控制一是包括对新的系统软件和修改系统软件的授权、批准、检验、实施和记录;二是对系统软件和记录的存软件的授权、批准、检验、实施和记录;二是对系统软件和记录的存取仅限于被授权的人使用。取仅限于被授权的人使用。n 数据和程序控制数据和程序控制:主要针对专业数据和应用程序所进行的控制:主要针对专业数据和应用程序所进行的控制 1612.2.3 应用控制及其基本内容n 输入控制输入控制:输入控制主要方法包括:凭证格式和:输入控制主要方法包括:凭证格式和内容的控制、有关责任人签章的控制、修改控制内容的控制、有关责任人签章的控制、修改控制以及凭证审核的控制等。以及凭证审核的控制等。n 逐步放弃纸质存放而尽可能将会计凭证存储于机逐步放弃纸质存放而尽可能将会计凭证存储于机内,是今后会计信息化的努力方向。内,是今后会计信息化的努力方向。1712.2.3 应用控制及其基本内容(续)n 计算机处理与数据文件控制:计算机处理与数据文件控制:基本目标是保证对经济业务的数据处理基本目标是保证对经济业务的数据处理过程的正确无误,所有经济业务没有被遗漏、添加、重复或不适当地过程的正确无误,所有经济业务没有被遗漏、添加、重复或不适当地更换,同时,在数据处理过程中软件能够对错误及时予以识别和改正。更换,同时,在数据处理过程中软件能够对错误及时予以识别和改正。1812.2.3 应用控制及其基本内容(续)n 输出控制输出控制:基本目标是保证处理结果的正确性:基本目标是保证处理结果的正确性 n 输出主要有会计凭证、账簿和会计报表。输出形式包括屏幕显示和打输出主要有会计凭证、账簿和会计报表。输出形式包括屏幕显示和打印输出。印输出。19123 电子商务安全控制与交易完备控制12.3.1电子商务安全控制 n 与传统的方式相比,电子商务使得一个公司面临不同种类的风险。与传统的方式相比,电子商务使得一个公司面临不同种类的风险。这些风险可大致归为两大类。一类是未访问授权的访问;一类是设备这些风险可大致归为两大类。一类是未访问授权的访问;一类是设备故障的风险。面对这两类风险,电子商务的安全控制只能加强而不能故障的风险。面对这两类风险,电子商务的安全控制只能加强而不能削弱。削弱。2012.3.1电子商务安全控制(续)n 未授权访问风险控制:未授权访问风险控制:指未经企业允许而企图进指未经企业允许而企图进入企业的网络并通过互联网从远程对系统进行拒入企业的网络并通过互联网从远程对系统进行拒绝服务攻击的行为。而要对此加以控制,就必须绝服务攻击的行为。而要对此加以控制,就必须通过由硬件和软件共同组成的电子防火墙、数据通过由硬件和软件共同组成的电子防火墙、数据加密、回叫设备等多种防范与控制。加密、回叫设备等多种防范与控制。n 设备故障风险控制:设备故障风险控制:数据通信的最普遍问题是由数据通信的最普遍问题是由于线路错误而引起的数据丢失。通常采用回应检于线路错误而引起的数据丢失。通常采用回应检查和奇偶校验等两种技术用于检测这类问题。与查和奇偶校验等两种技术用于检测这类问题。与此同时,实施网络备份控制也是设备故障风险控此同时,实施网络备份控制也是设备故障风险控制一个重要内容,制一个重要内容,2112.3.2电子商务交易完备控制n 从长远来看,交易集中控制是财务会计信息的可从长远来看,交易集中控制是财务会计信息的可靠性与相关性的保证,而目前的凭证集中与报表靠性与相关性的保证,而目前的凭证集中与报表集中将逐步为交易集中所替代。交易集中控制旨集中将逐步为交易集中所替代。交易集中控制旨在使物流、资金流和信息流在使物流、资金流和信息流“三流合一三流合一”的基础的基础上达到对会计信息的控制与使用。上达到对会计信息的控制与使用。2212.3.2电子商务交易完备控制(续)n 中华人民共和国电子签名法(下称电子签名法)中华人民共和国电子签名法(下称电子签名法)n 审计准则第审计准则第1633号电子商务对财务报表审计的影响号电子商务对财务报表审计的影响 n 借助于集中控制的交易业务,又为广大的信息用户采用事件驱动技术借助于集中控制的交易业务,又为广大的信息用户采用事件驱动技术从中获得所需加工的数据并据以生成会计信息。从中获得所需加工的数据并据以生成会计信息。2312.4 面向未来的会计信息系统的安全控制12.4.1 会计信息系统安全控制的网络化与全局性n 网络化网络化:信息化风险和保障网络空间的安全已经成信息化风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。为关系信息化能否健康发展的重大问题。n 全局性全局性:企业资源计划(企业资源计划(ERP)的实施目标,就是)的实施目标,就是要最大程度地使物流、资金流和信息流实现一体要最大程度地使物流、资金流和信息流实现一体化管理,化管理,ERP软件的开发与应用,正在日益走向软件的开发与应用,正在日益走向“三流一体三流一体”,有鉴于此,会计信息系统的数据,有鉴于此,会计信息系统的数据源只能来自于以整个企业为单位建立的数据仓库。源只能来自于以整个企业为单位建立的数据仓库。2412.4.2 注重企业经济业务原始信息的安全控制n 随着信息化的快速发展随着信息化的快速发展,事件驱动技术的应用可能事件驱动技术的应用可能使各种经济业务活动以事件形式加以组织与存储使各种经济业务活动以事件形式加以组织与存储,并以统一的数据仓库加以集中与管理并以统一的数据仓库加以集中与管理,这种改变以这种改变以往以数据处理中心的处理模式往以数据处理中心的处理模式,使信息使用者仅在使信息使用者仅在需要信息时才到数据仓库将相关数据需要信息时才到数据仓库将相关数据“拉拉”出来出来即时加以处理的做法,改变原先会计凭证、账簿即时加以处理的做法,改变原先会计凭证、账簿和报表的信息管理模式,企业信息的安全控制点和报表的信息管理模式,企业信息的安全控制点必将前移,信息安全控制将以企业的数据仓库为必将前移,信息安全控制将以企业的数据仓库为重中之重。重中之重。2512.4.3 加强对主体系统的监控与管理n 2006年年7月月15日,美国日,美国“萨班斯法案萨班斯法案”正式施行正式施行,该法案规定了对首席执行官和财务总监的资历要该法案规定了对首席执行官和财务总监的资历要求,要求所有的上市公司对其内部审计职能是否求,要求所有的上市公司对其内部审计职能是否得到充分发挥出具有关的证明。它还要求公司的得到充分发挥出具有关的证明。它还要求公司的审计委员会发挥更加积极的作用,允许审计委员审计委员会发挥更加积极的作用,允许审计委员会在人手不够的时候,从外部招聘更多的咨询专会在人手不够的时候,从外部招聘更多的咨询专家或顾问来帮助其开展工作。家或顾问来帮助其开展工作。2612.4.3 加强对主体系统的监控与管理(续)n 信息系统是由主体系统与客体系统组合而成。无论是现在还是未来,信息系统是由主体系统与客体系统组合而成。无论是现在还是未来,主体系统都必须作为控制之重点。在未来的网络化环境中,加强与系主体系统都必须作为控制之重点。在未来的网络化环境中,加强与系统相关人员的管理与控制更为重要。统相关人员的管理与控制更为重要。2712.4.4 关注信息新技术的应用n 包括两个方面的内容,一方面是企业会计信息化不断的采用新技术;包括两个方面的内容,一方面是企业会计信息化不断的采用新技术;另一方面,则是密切注视、并积极应对不法分子利用信息新技术篡改、另一方面,则是密切注视、并积极应对不法分子利用信息新技术篡改、拦截、破坏企业的会计数据与信息。拦截、破坏企业的会计数据与信息。28
展开阅读全文