第十二章会计信息化内部控制

北京师范大学出版社Page1第十二章会计信息化的内部控制学习目标：通过本章的学习，我们需要掌握信息技术对内部控制正反两个方面的影响；当前信息安全控制的主要标准文件内容；信息化环境下企业内部控制分类及其基本内容；电子商务安全控制与交易完备控制；面向未来的会计信息系统的安全控制北京师范大学出版社Page212.1信息技术对内部控制的影响内部会计控制应当达到基本目标三个方面:一是规范单位会计行为，保证会计资料真实、完整；二是堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保护单位资产的安全、完整；三是确保国家有关法律法规和单位内部规章制度的贯彻执行。北京师范大学出版社Page312.1.1信息安全控制的若干规范文件全美反欺诈财务报告委员会《内部控制—整合框架》（COSO，1992)信息系统审计与控制协会的《信息及相关技术控制目标》（COBIT，1996，1998，2000）国际内部审计师协会《系统可审性与控制》（SAC，1977，1991，1994）《电子系统确认与控制模型》（eSAC，2001)美国注册会计师协会的审计准则声明（SASs55/78/94，1990，1997，2001）加拿大的《控制指南》（CoCo，1995)北京师范大学出版社Page412.1.1信息安全控制的若干规范文件(续）《内部控制—整合框架》（COSO）:COSO框架包括五个要素，即控制环境、风险评估、控制活动、信息与沟通和监督。2004年9月COSO正式发布的ERM框架包括八个要素：内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通和监控。北京师范大学出版社Page512.1.1信息安全控制的若干规范文件(续）信息及相关技术控制目标（COBIT）:信息及相关技术控制目标（ControlObjectforInformationandrelatedTechnology，COBIT）是由IT治理协会开发形成的，它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制标准。自1996年问世之后，这一标准历经两次修改，目前已是第三版，并在世界上一百多个国家的重要组织与企业中运用。COBIT由执行概要、框架、执行工具集、管理指南、控制目标和审计指南等六个部分组成。北京师范大学出版社Page612.1.1信息安全控制的若干规范文件(续）《系统可审性与控制》（SAC）和《电子系统确认与控制模型》（eSAC）:Esac将COSO的4个内部控制目标（运营、报告、合规性、资产安全保障）和5个电子商务的确认目标（可用性、能力、功能性、可防护性、可负责性）以及5个基础的创建要素（人、技术、过程、投资、沟通）联系在一起。审计准则声明55/78/94（SASs55/78/94）:该声明详细说明机构使用信息技术可能对COSO所含的五个内部控制组成要素产生影响。北京师范大学出版社Page712.1.1信息安全控制的若干规范文件(续)《控制指南》（CoCo）:它定义了控制的概念，并为有效的控制规定了详细的标准。它同时定义了三类目标，即运营的效率和效果、内部和外部报告的可靠性，以及对所适用的法律、规章及内部政策的遵守。北京师范大学出版社Page812.1.2信息技术对内部控制的影响信息技术提高企业内部控制的效率和效果数据处理的客观性与规范化信息输出的及时性与准确性提供信息深入分析的详细资料降低控制被规避的风险提高不相容职务分离的有效性北京师范大学出版社Page912.1.2信息技术对内部控制的影响(续）信息技术给内部控制带来的风险应用程序或数据的错误带来的风险未授权访问数据带来的风险信息技术人员的越轨行为未经授权改变主文档的数据未经授权改变系统或程序未能对系统或程序作必要的修改不恰当的人为干预数据丢失的风险北京师范大学出版社Page1012.2信息化环境下企业内部控制分类与基本内容12.2.1内部控制按实施环境分类《国际审计准则20电子数据处理环境对会计制度和有关的内部控制研究与评价的影响》：一般控制与应用控制《审计准则第1211号了解被审计单位及其环境并评估重大错报风险》指出了一般控制与应用控制各自的含义北京师范大学出版社Page1112.2.1内部控制按实施环境分类（续）信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。北京师范大学出版社Page1212.2.1内部控制按实施环境分类（续）信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预等。北京师范大学出版社Page1312.2.2一般控制及其基本内容组织与管理控制组织控制：一是重塑企业流程和更新传统的机械技术体系；二是处理和传输信息资源的功能。管理控制：管理制度的建立及其被有效地执行。管理制度主要有信息化操作管理制度、计算机硬件和软件及数据管理制度、会计档案管理制度。北京师范大学出版社Page1412.2.2一般控制及其基本内容（续）应用系统开发和维护控制系统开发阶段的控制主要包括：开发方法与方式的控制、对数据的定义和处理程序的控制北京师范大学出版社Page1512.2.2一般控制及其基本内容（续）计算机操作控制操作控制包括为模块只允许被授权的人使用，操作者必须严格按照操作管理制度对指定的模块进行操作，在操作过程中产生错误时能够及时得到纠正。北京师范大学出版社Page1612.2.2一般控制及其基本内容（续）系统软件控制：系统软件控制一是包括对新的系统软件和修改系统软件的授权、批准、检验、实施和记录；二是对系统软件和记录的存取仅限于被授权的人使用。数据和程序控制：主要针对专业数据和应用程序所进行的控制北京师范大学出版社Page1712.2.3应用控制及其基本内容输入控制：输入控制主要方法包括：凭证格式和内容的控制、有关责任人签章的控制、修改控制以及凭证审核的控制等。逐步放弃纸质存放而尽可能将会计凭证存储于机内，是今后会计信息化的努力方向。北京师范大学出版社Page1812.2.3应用控制及其基本内容(续)计算机处理与数据文件控制：基本目标是保证对经济业务的数据处理过程的正确无误，所有经济业务没有被遗漏、添加、重复或不适当地更换，同时，在数据处理过程中软件能够对错误及时予以识别和改正。北京师范大学出版社Page1912.2.3应用控制及其基本内容（续）输出控制：基本目标是保证处理结果的正确性输出主要有会计凭证、账簿和会计报表。输出形式包括屏幕显示和打印输出。北京师范大学出版社Page2012．3电子商务安全控制与交易完备控制12.3.1电子商务安全控制与传统的方式相比，电子商务使得一个公司面临不同种类的风险。这些风险可大致归为两大类。一类是未访问授权的访问；一类是设备故障的风险。面对这两类风险，电子商务的安全控制只能加强而不能削弱。北京师范大学出版社Page2112.3.1电子商务安全控制（续）未授权访问风险控制：指未经企业允许而企图进入企业的网络并通过互联网从远程对系统进行拒绝服务攻击的行为。而要对此加以控制，就必须通过由硬件和软件共同组成的电子防火墙、数据加密、回叫设备等多种防范与控制。设备故障风险控制：数据通信的最普遍问题是由于线路错误而引起的数据丢失。通常采用回应检查和奇偶校验等两种技术用于检测这类问题。与此同时，实施网络备份控制也是设备故障风险控制一个重要内容，北京师范大学出版社Page2212.3.2电子商务交易完备控制从长远来看，交易集中控制是财务会计信息的可靠性与相关性的保证，而目前的凭证集中与报表集中将逐步为交易集中所替代。交易集中控制旨在使物流、资金流和信息流“三流合一”的基础上达到对会计信息的控制与使用。北京师范大学出版社Page2312.3.2电子商务交易完备控制(续)《中华人民共和国电子签名法》（下称《电子签名法》）《审计准则第1633号电子商务对财务报表审计的影响》借助于集中控制的交易业务，又为广大的信息用户采用事件驱动技术从中获得所需加工的数据并据以生成会计信息。北京师范大学出版社Page2412.4面向未来的会计信息系统的安全控制12.4.1会计信息系统安全控制的网络化与全局性网络化:信息化风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。全局性:企业资源计划（ERP）的实施目标，就是要最大程度地使物流、资金流和信息流实现一体化管理，ERP软件的开发与应用，正在日益走向“三流一体”，有鉴于此，会计信息系统的数据源只能来自于以整个企业为单位建立的数据仓库。北京师范大学出版社Page2512.4.2注重企业经济业务原始信息的安全控制随着信息化的快速发展,事件驱动技术的应用可能使各种经济业务活动以事件形式加以组织与存储,并以统一的数据仓库加以集中与管理,这种改变以往以数据处理中心的处理模式,使信息使用者仅在需要信息时才到数据仓库将相关数据“拉”出来即时加以处理的做法，改变原先会计凭证、账簿和报表的信息管理模式，企业信息的安全控制点必将前移，信息安全控制将以企业的数据仓库为重中之重。北京师范大学出版社Page2612.4.3加强对主体系统的监控与管理2006年7月15日，美国“萨班斯法案”正式施行，该法案规定了对首席执行官和财务总监的资历要求，要求所有的上市公司对其内部审计职能是否得到充分发挥出具有关的证明。它还要求公司的审计委员会发挥更加积极的作用，允许审计委员会在人手不够的时候，从外部招聘更多的咨询专家或顾问来帮助其开展工作。北京师范大学出版社Page2712.4.3加强对主体系统的监控与管理（续）信息系统是由主体系统与客体系统组合而成。无论是现在还是未来，主体系统都必须作为控制之重点。在未来的网络化环境中，加强与系统相关人员的管理与控制更为重要。北京师范大学出版社Page2812.4.4关注信息新技术的应用包括两个方面的内容，一方面是企业会计信息化不断的采用新技术；另一方面，则是密切注视、并积极应对不法分子利用信息新技术篡改、拦截、破坏企业的会计数据与信息。