第二十章----會計信息系統(tǒng)的內(nèi)部控制

1、第五部分 會計信息系統(tǒng)的控制和審計,第二十章 會計信息系統(tǒng)的內(nèi)部控制,上海財經(jīng)大學會計學院 錢玲,學習目標,1、了解信息系統(tǒng)內(nèi)部控制的概念2、了解信息系統(tǒng)內(nèi)部控制的具體方法,學習重點,1、掌握信息系統(tǒng)內(nèi)部控制的分類2、掌握信息系統(tǒng)內(nèi)部控制的一般控制方法3、掌握信息系統(tǒng)內(nèi)部控制的應用控制方法,第一節(jié) 信息系統(tǒng)的安全與風險防范,一、會計信息系統(tǒng)中存在的風險（一）存儲介質(zhì)不同引起的風險（二）遠程通信能力帶來的風

2、險（三）處理能力不同帶來的風險（四）處理的一體化帶來的風險（五）缺乏直覺帶來的風險,二、風險管理計劃,第二節(jié) 信息系統(tǒng)的內(nèi)部控制體系,一、內(nèi)部控制的概念內(nèi)部控制是指被企業(yè)為了保證業(yè)務活動的有效進行，保護資產(chǎn)的安全和完整，防止、發(fā)現(xiàn)、糾正錯誤與舞弊，保證會計資料的真實、合法、完整而制定和實施的政策與程序。,,具體到與會計信息系統(tǒng)有關(guān)的內(nèi)部控制，其設計和運行是為了達到以下目標的：1、保證業(yè)務活動按照適當?shù)氖跈?quán)進行。2、保證

3、所有交易和事項以正確的金額，在恰當?shù)臅嬈陂g及時記錄于適當?shù)馁~戶，使會計報表的編制符合會計準則的相關(guān)要求。3、保證對資產(chǎn)和記錄的接觸、處理均經(jīng)過適當?shù)氖跈?quán)。4、保證賬面資產(chǎn)與實存資產(chǎn)定期核對相符。,,二、內(nèi)部控制的分類（一）內(nèi)部會計控制、內(nèi)部管理控制（二）預防性控制、檢查和糾正性控制（三）手工控制、程序化控制,,（四）一般控制、應用控制1、一般控制一般控制指那些保證計算機環(huán)境安全的控制手段。一般控制又可以分為管理控制和系統(tǒng)

4、開發(fā)控制。管理控制指采用各種管理措施保證數(shù)據(jù)和系統(tǒng)的安全性，保證系統(tǒng)運行的平穩(wěn)。系統(tǒng)開發(fā)控制是要保證新系統(tǒng)不會對環(huán)境造成新的危險。審計人員在研究和評價一般控制時，應當考慮以下主要因素：（1）組織控制（2）操作控制（3）硬件及系統(tǒng)軟件控制（4）系統(tǒng)安全控制（5）應用系統(tǒng)開發(fā)和維護控制,,2、應用控制應用控制是針對特定的、具體的應用環(huán)節(jié)所采取的控制，是整合在系統(tǒng)運作過程之中保證處理的信息是正確的、完全的、經(jīng)過授權(quán)的、并且對所做處

5、理留有審計線索的。在研究和評價應用控制時，應當考慮以下主要因素：（1）輸入控制（2）處理控制（3）輸出控制,,三、內(nèi)部控制框架（一）COBIT框架COBIT（Control Objectives for Information and related Technology，信息和相關(guān)技術(shù)的控制目標）是由信息系統(tǒng)審計和控制基金會（Information Systems Audit and Control Foundation，I

6、SACF）下屬的信息技術(shù)治理協(xié)會（ITGI）提出的IT控制框架，該協(xié)會于1996，1998，2000，2005年分別頒布了COBIT 1.0，COBIT 2.0，COBIT 3.0以及COBIT 4.0，2007年5月份，已經(jīng)更新到COBIT 4.1。,,COBIT將IT流程、IT資源、與業(yè)務需求相適應的IT目標結(jié)合起來，形成一個三維的體系結(jié)構(gòu)。,,（二）ITIL框架ITIL（IT Infrastructure Library，IT基

7、礎(chǔ)架構(gòu)庫）由英國國家計算機和電信局（Central Computing and Telecommunications Agency，簡稱為CCTA）在20世紀80年代末制訂，現(xiàn)由英國商務部（Office of Government Commerce，簡稱OGC）負責管理，主要適用于IT服務管理。,,,第三節(jié) 一般控制,一、組織控制組織控制指采取職能分離、合理分工等手段保證電算化信息系統(tǒng)運營正常。 （一）業(yè)務崗位的職能分離業(yè)務

8、部門依然負責業(yè)務的授權(quán)、產(chǎn)生、執(zhí)行、記錄、資產(chǎn)的保管等，要做到以下職務的分離：經(jīng)濟業(yè)務的授權(quán)、批準與執(zhí)行職務，經(jīng)濟業(yè)務的執(zhí)行與記錄職務，經(jīng)濟業(yè)務記錄與財產(chǎn)保管職務，經(jīng)濟業(yè)務記錄、財產(chǎn)保管與稽核業(yè)務；總賬、明細賬、日記賬記錄職務等。在電算化信息系統(tǒng)中，很多的業(yè)務處理已經(jīng)不再由員工手工完成，而是由計算機程序代替手工完成，在這種情況下，職能分離的原理依然是一樣的。,,（二）信息化崗位的職能分離信息化崗位通常包括以下職能：1、系統(tǒng)管理2

9、、網(wǎng)絡管理3、安全管理4、變更管理5、用戶6、系統(tǒng)分析7、編程8、數(shù)據(jù)庫管理一般需要委派不同的員工去執(zhí)行不同的職能。,,（三）加強對員工的管理 1、強化安全意識 （1）要在企業(yè)文化中提倡、培育安全觀念。（2）在企業(yè)制度條款中要包括對一些敏感問題的詳細規(guī)定。例如有關(guān)內(nèi)幕交易問題、客戶資金的使用問題、敏感數(shù)據(jù)的訪問問題等。（3）在員工的聘用合同里要包括有安全、保密方面的條款。尤其對于那些有一定職權(quán)的員工，在聘

10、用合同中要列明責任。（4）要加強領(lǐng)導的管理和內(nèi)部審計部門的監(jiān)督。,,2、識別敏感崗位（1）該崗位接觸到關(guān)鍵資源的機會（2）是否能夠有實施舞弊行為的時間（3）作為個人是否具有舞弊的能力（4）作為個人是否具有舞弊的動機,,3、加強對敏感崗位的控制（1）聘用員工時要仔細考核，不僅考核其業(yè)務水平，還要考核其品質(zhì)。（2）崗位輪換。定期或不定期地實行崗位輪換。（3）強制休假。（4）計算機使用記錄。對于計算機的使用情況自動留下相應的

11、日志記錄。（5）進一步加強內(nèi)部審計和監(jiān)控。,,如果發(fā)現(xiàn)員工出現(xiàn)下列情形，并不一定意味著員工有舞弊行為，但可能需要格外關(guān)注和注意觀察：（1）富裕程度明顯超出工資和等級水平。（2）消費習慣從節(jié)儉突然變得大手大腳。（3）和競爭對手企業(yè)聯(lián)系緊密。（4）對企業(yè)和領(lǐng)導不在乎，經(jīng)常遲到早退，不尊重領(lǐng)導等。（5）即使沒有必要也經(jīng)常找借口留下來加班。,,二、操作控制 操作控制指通過操作手冊和操作程序等的嚴格規(guī)定和遵從，從而保證電算化信息系統(tǒng)

12、操作上的正確性。（一）嚴格的上機操作手冊（二）嚴格的軟件操作規(guī)程（三）硬件和軟件的使用記錄制度（四）系統(tǒng)的運行指標的考核（五）定期的維護和保養(yǎng)（六）系統(tǒng)錯誤記錄和分析報告（七）保證機房設施安全和電子計算機正常運轉(zhuǎn)的措施（八）會計數(shù)據(jù)和會計核算軟件安全保密的措施,,三、硬件及系統(tǒng)軟件控制（一）硬件及系統(tǒng)軟件控制概述硬件和系統(tǒng)軟件的運行狀況決定了具體的信息系統(tǒng)的運行環(huán)境。審計人員必須對企業(yè)的硬件及系統(tǒng)軟件的控制情況進行

13、分析。,,（二）硬件控制1、冗余校驗2、回波校驗3、重復處理校驗4、設備校驗5、有效性校驗6、作業(yè)控制,,（三）系統(tǒng)軟件控制1、錯誤處理2、程序保護3、文件保護4、安全保護5、自我保護,,四、系統(tǒng)安全控制電算化信息系統(tǒng)的安全問題，指組成電算化信息系統(tǒng)的各方面資源的安全問題。包括：硬件、軟件、數(shù)據(jù)、人員。,,（一）硬件的安全 1、硬件運行環(huán)境的控制（1）機房環(huán)境（2）火災（3）水災（4）灰塵（5）

14、惡劣天氣（6）電磁波（7）靜電,,2、硬件防護（1）計算機系統(tǒng)對供電電源的要求直接供電經(jīng)過隔離變壓器供電交流穩(wěn)壓器供電不間斷電源（UPS）供電（2）雙重系統(tǒng),,3、硬件接觸控制（1）機房地址不要選擇在人流熱鬧的地方。（2）對機房加鎖。（3）對進出機房的人采用身份識別技術(shù)。（4）采用閉路電視進行多角度的監(jiān)控。（5）計算機設備上可以加上標簽，這樣當有人試圖將其帶出時，會發(fā)出警報。,,（二）軟件的安全1、軟件的接觸

15、控制（1）采用口令控制方式口令應該定期更改?？诹畹奈粩?shù)不應該過短?？诹畹脑O置不要和使用者的個人情況有太多的聯(lián)系。口令不要傳播給別人。系統(tǒng)要對口令輸錯的情況進行監(jiān)控和分析，防止有人蓄意試探口令。,,（2）采用權(quán)限控制方式對于合法的注冊用戶，還必須根據(jù)工作崗位和性質(zhì)限定他們對于各個功能的使用權(quán)限。對于數(shù)據(jù)文件，分為錄入、修改、刪除、查詢或不允許訪問等多種權(quán)限，對于程序，分為調(diào)用權(quán)限或不允許訪問。一般來說，對于管理人員，他們主要

16、使用的是查詢和分析功能；對于具體的業(yè)務人員，使用的多是輸入、處理處理。,,2、防止計算機病毒的侵害（1）加強機房管理，避免使用來路不明的軟盤和非法拷貝的軟件，也不要接收異常的電子郵件，在下載時也要小心；（2）購置反病毒軟件，經(jīng)常對硬盤和軟盤進行病毒檢測；（3）對重要資料進行經(jīng)常的備份；（4）確定自己的危險程度，制定一旦病毒入侵需要采取的方案，制定相應的恢復措施。,,（三）數(shù)據(jù)的安全1、數(shù)據(jù)的接觸控制（1）口令控制方式（2）

17、加強對存儲介質(zhì)的管理（3）磁介質(zhì)上數(shù)據(jù)的加密保護硬加密技術(shù),,2、數(shù)據(jù)的加密（1）數(shù)據(jù)的加密和解密密鑰的管理加密/解密算法的設計（2）數(shù)據(jù)的完整性,,3、數(shù)據(jù)的備份制度（1）臨時的方法：偶爾將個人文件拷貝到軟盤上。（2）謹慎的方法：定期進行備份拷貝。（3）專業(yè)的方法：祖父/父親/兒子方案。4、防止計算機病毒的侵害,,（四）人員的安全工作在電算化信息系統(tǒng)環(huán)境下的人員可能會遭到一些安全問題。重復性緊張損傷應該考慮人

18、類工程學,,五、應用系統(tǒng)開發(fā)和維護控制（一）要進行事先規(guī)劃（二）選擇合適的開發(fā)方式和方法（三）組建合適的人員和團隊（四）加強項目管理,,（五）加強變更控制（Management Of Change，MOC）1、分析變更的必要性和合理性，確定是否實施變更；2、記錄變更信息，填寫變更控制單；3、做出更改，并交上級審批；4、修改相應的軟件配置項，確立新的版本；5、評審后發(fā)布新版本。,第四節(jié) 應用控制,每一個具體的應用程

19、序所要解決的問題是不同的，所涉及到的數(shù)據(jù)和處理方法等均各具特點。針對這些具體的應用程序所進行的有針對性的控制，就是應用控制。,,應用控制的目的在于：1、保證所有經(jīng)過審核批準的交易均經(jīng)處理完畢，并且每一項交易只處理一次。2、保證交易資料的完整和正確。3、保證交易的處理正確無誤，符合要求。4、保證處理的結(jié)果用于預定的用途，并能產(chǎn)生預期的效益。5、保證應用程序能正常運作，并持續(xù)維護其功能。,,一、輸入控制 （一）輸入控制的重要性

20、應用控制最為強調(diào)的控制環(huán)節(jié)就是輸入環(huán)節(jié)的控制。,,（二）會計信息系統(tǒng)的輸入控制方法1、批控制總數(shù)的方法（1）數(shù)量、金額控制總數(shù)（2）記錄數(shù)控制總數(shù)（3）雜項控制總數(shù)批控制總數(shù)的方法并不僅僅適用于批處理方式，也完全可以在聯(lián)機實時方式下采用。同樣，批控制總數(shù)的方法也并不僅僅適用于輸入環(huán)節(jié)的控制，同樣也可以在處理和輸出環(huán)節(jié)采用。,,2、存在性校驗存在性校驗要求在初始化時在會計信息系統(tǒng)中建立一個會計科目名稱和會計科目代碼一一對應的會

21、計科目詞典庫。,,3、校驗位校驗在會計信息系統(tǒng)中廣泛用到代碼。這些代碼的形式大多是數(shù)字型。所謂校驗位，是在原來代碼的最后加上的一位。加上這一位后，使得整個的代碼（連同校驗位）具有某種數(shù)學的特征，比如，可以被某個數(shù)整除。 首先對每位代碼加權(quán) 然后取模,,4、對應關(guān)系檢查 記賬憑證存在著借方科目和貸方科目這兩個方面的對應關(guān)系。 可以對憑證種類和其借貸方進行檢查,,5、平衡關(guān)系校驗會計中廣泛存在著平衡關(guān)系?？梢岳眠@些平衡關(guān)系進

22、行檢查。,,6、界限、極值校驗會計信息系統(tǒng)中有些字段的取值是有一定界限或極值的。,,7、完整性校驗輸入時有些字段是一定要輸入的。在記賬之前，軟件應該檢查審核字段是否已經(jīng)填有內(nèi)容。完整性校驗還包括檢查憑證是否“有借有貸”。對于授權(quán)的檢查也是一種完整性校驗。,,8、連續(xù)性校驗有些字段項目是連續(xù)的。對于這些連續(xù)的字段項目，可以進行順序檢查，以查找出跳號、重復號、空號等情況。,,9、靜態(tài)檢查法對于已經(jīng)輸入計算機的信息，可以通過屏幕

23、將這些信息一條一條地調(diào)出來進行逐一的檢查，也可以以清單的方式打印出來進行對照。,,10、二次輸入法二次輸入法指對于重要的記錄或者字段可以分別由兩個不同的操作人員進行輸入，輸入完成以后再進行匹配檢查，看是否完全一致。,,（三）會計信息系統(tǒng)輸入控制中要注意的問題 這些控制方法并不能夠保證會計信息系統(tǒng)的輸入環(huán)節(jié)完全正確。這些方法的綜合運用要比單獨只采用某一種方法要好，更為全面。另外，對于在輸入控制中檢查出來的錯誤信息的處理，必須非常慎

24、重。,,二、處理控制 （一）處理控制的目的處理控制的目的是要保證信息系統(tǒng)的處理按照各個模塊所預先設定的程序進行，這些處理活動必須經(jīng)過授權(quán)，所有經(jīng)過授權(quán)的處理都被系統(tǒng)進行過而沒有遺漏，任何未經(jīng)授權(quán)的處理都沒有進行過。在整個處理的過程中是正確的、及時的、有效的。,,（二）會計信息系統(tǒng)的處理控制方法1、控制總數(shù)的方法 在輸入時已經(jīng)計算得到控制總數(shù)，在處理過程的各個時點（如一項重要的處理完成以后）可以重新計算各個控制總數(shù)，然后進行比較，

25、以判斷處理環(huán)節(jié)中是否對所有的輸入數(shù)據(jù)都進行了正確的處理，沒有遺漏，也沒有重復。,,2、文件標簽檢查文件標簽分為外部標簽和內(nèi)部標簽。外部標簽就是保存有數(shù)據(jù)的磁帶或者磁盤的外包裝上所記載的文件的名稱等信息。文件的內(nèi)部標簽是由計算機在存儲數(shù)據(jù)記錄時產(chǎn)生的，可以用計算機加以檢查，以確定所打開并處理的文件確實是要處理的文件。,,3、界限、極值校驗 例如員工的應付工資。還有些數(shù)字不可能為負數(shù)，如結(jié)余的存貨數(shù)量。對于賬務處理程序，資產(chǎn)類賬

26、戶的期末余額一般在借方，負債、所有者權(quán)益類賬戶的期末余額一般在貸方，收入、費用類賬戶經(jīng)結(jié)轉(zhuǎn)后一般沒有期末余額。,,4、平衡及勾稽關(guān)系校驗 在總分類賬或者明細分類賬中，存在著一個基本的關(guān)系：期初余額+本期借方發(fā)生額-本期貸方發(fā)生額=期末余額 。對于存貨類，則：期初庫存+本月增加庫存-本月減少庫存=期末庫存。根據(jù)會計等式可知，資產(chǎn)類賬戶的期初余額、本期發(fā)生額、期末余額和負債、所有者權(quán)益賬戶的期初余額、本期發(fā)生額、期末余額應該試算平衡。

27、總分類賬戶的發(fā)生額、余額和其所有明細分類賬戶的發(fā)生額、余額應該相符。報表中的小計、合計、凈值等計算關(guān)系應該可以復核。有些報表項目之間存在著勾稽關(guān)系，這些關(guān)系可能是等于、大于或者是小于關(guān)系。例如：資產(chǎn)負債表中“未分配利潤”項目與利潤分配表中“未分配利潤” 。,,（三）會計信息系統(tǒng)處理控制中要注意的問題由于硬件、軟件、操作等方面的問題，依然會造成計算機自動處理的結(jié)果有誤。處理控制不能放松。 關(guān)鍵是掌握方法本身，而不需要去過于追究方

28、法到底是用于輸入控制還是處理控制。對于處理控制中發(fā)現(xiàn)的錯誤，必須分別情況進行處理：（一）錯誤可以立即更正（二）錯誤必須返回用戶部門進行更正（三）錯誤已經(jīng)對主文件造成影響,,三、輸出控制 （一）輸出控制的目的 從系統(tǒng)的角度來看，輸入和輸出是相對的。輸出分為兩種，一種是中間性的輸出，一種是最終的面向用戶的輸出。 輸出對用戶來說是至關(guān)重要的。 輸出控制的目的是要保證信息系統(tǒng)所處理的資料完整、正確，所處理的結(jié)果正確，

29、并且保證只有經(jīng)過授權(quán)的部門和人員才能獲得這些輸出資料。,,（二）會計信息系統(tǒng)的輸出控制方法1、輸出信息內(nèi)容和格式的控制輸出信息必須符合用戶的要求。在內(nèi)容上，要做到有用、完整、正確、及時。為了對內(nèi)容進行控制，要求電算部門在將輸出信息傳遞給用戶之前，先要進行控制總數(shù)等方法的校驗。輸出信息的格式也必須符合用戶的要求。,,2、輸出信息傳送過程的控制必須對輸出信息的傳送進行控制。如果采用的是查詢的輸出方式如果采用的是打印的輸出方式