会计信息系统（第四版）第10章信息系统的管理

1、 会计信息系统 10.1 信息系统的建立和实施10.2 会计信息系统的运行和维护10.3 信息系统的内部控制10.4 信息系统的审计第10章 信息系统的管理10.1 信息系统的建立和实施 10.1.1 信息系统建立的一般方式 1)自主开发：指企业依靠自身的力量，独立完成信息系统的需求分析、系统设计、程序代码编写、测试、系统维护、升级等阶段的工作。企业对开发的软件拥有全部版权，享有全部收益，同时也承担全部风险。 2)委托开发：指企业委托软件开发单位，根据本企业的实际业务进行信息系统的开发。委托开发的软件版权一般来讲归委托企业所有。 3)联合开发：指企业和其他单位共同组成开发机构，发挥各自优势和资

2、源，共同完成本企业信息系统的开发工作。联合开发的产品版权一般归双方共同拥有。 4)购买商品化软件：指企业在市场上选购适合或基本适合本企业需要的商品化软件，经过实施(含二次开发)后建立本企业信息系统 5)租用应用服务供应商(ASP)的系统：指企业无须再化钱购买和维护复杂的应用软件系统，而是通过高速网络向应用服务供应商(ASP）租赁其应用软件系统和服务10.1.2 商品化软件的选择1）方法和步骤 (1)收集市场信息，确认候选的供应商 (2)访问软件公司，了解其综合实力和产品信息 (3)访问软件公司的客户 (4)请有关咨询公司帮助选型 (5)模拟运行方式 (6)招标比价2）软件评价主要标准 (1)软

3、件的功能(2)开发工具(3)软件文档(4)售后服务与支持(5)软件商的信誉和稳定性(6)价格问题(7)企业原有资源的保护10.1.3 信息系统的实施 1）信息系统的实施步骤(1)明确目标和制定实施计划(2)对用户组进行教育和培训(3)在需求分析基础上进行业务流程优化(4)进行试运行试验(5)制定技术解决方案(6)调试环境、培训和测试(7)系统投入实际运行(8)周期性系统运行审查 2）信息系统实施过程中的风险管理 表10-1列出了信息系统实施过程中可能存在的风险以及采取的必要措施。(见教材P247至250页) 10.2 会计信息系统运行与维护 10.2.1 建立岗位责任管理制度 会计工作信息化后

4、，会计工作岗位可分为基本会计岗位和电算化会计岗位。 基本会计岗位可分为：会计主管、出纳、会计核算各岗、稽核、会计档案管理等工作岗位。 电算化会计岗位是直接管理、操作、维护计算机及会计软件系统的工作岗位，可设立会计信息系统主管、软件操作员、审核记账员、系统管理员、档案保管员、审查稽核员等岗位一般说来，各电算化会计岗位的职责是： 1)会计信息系统主管 负责会计信息系统的日常管理工作，监督会计信息系统的正常运行，保证整个系统的合法、安全、保密、可靠和可审计;在系统出现问题时，组织有关人员尽快恢复系统的正常运行。 组织各单位对软件系统的运行、协调本系统中各类人员之间的工作关系。负责对本系统各岗位人员的

5、工作质量的考评，合理调整人员分工。检查计算机输出账表数据的正确性和及时性。完善现有管理制度，制定岗位责任制和考核制度。 2)操作人员 负责所分管财务业务的原始凭证的审查、汇集工作，按会计核算工作的要求和会计信息系统的要求对凭证进行预处理，编制记账凭证 3)审核记账员 负责对输入系统的记账凭证和原始凭证数据进行审核，包括各类代码的合法性、摘要的规范性和数据的正确性一般说来，各电算化会计岗位的职责是：4)系统管理员 负责会计信息系统运行环境的建立，负责新单位会计信息系统的软硬件及网络设备的安装和调试5)会计档案管理员 负责管理存档的会计系统的数据软盘（磁带)、程序软盘(光盘)及各类账表、凭证、资料

6、的备份和打印的会计账表、凭证和各种资料的保管工作 6)审查稽核员 负责监督计算机及会计软件系统的运行，防止利用计算机进行舞弊。10.2.2 建立会计档案管理制度1)信息化会计档案的内容2)会计账簿、报表的生成与管理3)数据备份管理4)安全保密措施10.2.3 建立操作管理制度1)系统使用管理2)上机操作规程3)会计业务处理程序(1)账务处理子系统初始化(2)账务处理子系统的更改(3)凭证处理(4)记账凭证的审核与记账(5)账簿的打印和结账(6)会计报表10.3 信息系统的内部控制 10.3.1 风险与控制1）战略风险2）决策风险3）业务执行风险4）信息处理风险5）财务风险10.3.2 内部控制

7、概念为了达到这些目标，内部控制必须考虑五方面的内容，即内部控制构成要素：1）控制环境 2）风险评估 3）控制活动 4）信息和沟通 5）监督10.3.3 信息系统的内部控制信息技术对内部控制五个组成要素的影响程度是不同的。由于控制活动是实现控制目标的规章制度和岗位设置等具体措施，依赖于企业的业务流程。所以业务流程的自动化必然对控制活动产生较大的影响其他的组成要素主要依赖于精神层面的事物如管理风格、管理哲学和企业文化等，信息技术没有对它们产生直接的影响。 控制活动是管理者为了确保管理指令能够得以有效实施实施而制定并实行的各种政策和程序，其目的在于帮助企业保证对实现组织目标所涉及的风险采取了必要的防

8、范措施由此，信息技术环境下的传统的控制活动分离出两个分支：自动化业务控制和信息系统控制。如图10-1所示： 1）自动化业务控制 2）信息系统控制控制活动交易授权职责分离监管业务记录接触控制独立稽核自动化业务控制信息系统控制图10-1信息技术环境下的控制活动结构 10.3.4 建立信息系统的内部控制体系 在国际上，针对企业信息系统的应用情况，信息系统审计与控制协会（简称 ISACA）提出了一套建立企业内部控制体系的框架（图10-2），在实践中，该控制框架有以下主要作用： 可以为组织建立健全信息技术环境下的内部控制体系提供指导；可以为信息系统审计师调查和评价被审单位的内部控制提供参考。高层管理控制

9、信息系统的管理控制系统开发与维护控制数据资源管理控制质量管理控制安全管理控制信息系统外包管理控制运行管理控制应用控制输入处理输出数据（库）文件图10-2 企业信息系统内部控制框架 1）一般控制(1)高层管理控制 信息系统规划 信息系统组织 信息系统总体控制(2)系统开发与维护控制 新系统开发控制 系统维护控制 文档控制(3)数据资源管理控制(4)质量管理控制1）一般控制(5)安全管理控制 实体安全控制 软件安全控制主要针对系统的软件 数据安全控制 系统入侵防范控制 通信安全控制 计算机病毒防范控制 (6)信息系统外包的管理控制(7)运行管理控制 2）应用控制(1)输入控制(2)处理控制(3)输

10、出控制(4)数据存储控制我们可将应用控制分为输入控制、处理控制、输出控制和数据存储或文件控制，四者之间的关系如图10-3所示： 交易原始凭证转换为机器可读数据交易数据文件数据编辑程序数据处理屏幕输出打印输出磁盘输出 用户 用户 用户 终端 人工输入输入控制输出控制处理控制表示控制点数据存储（文件）控制图10-3信息系统应用控制示意图 10.4 信息系统审计 10.4.1 信息系统审计的基本概念1）信息系统审计的定义 目前公认的定义为：信息系统审计是通过一定的技术手段采集审计证据，对被审计单位计算机信息系统及其相关系统的安全性、可靠性、有效性和效率进行综合审查与评价的活动 2）信息系统审计的目标

11、 信息系统审计的目标是对被审计单位计算机信息系统及其相关系统的安全性、可靠性、有效性和效率发表审计意见并提出改进建议。 3）信息系统审计的内容 (1)信息系统生命周期过程的审计 (2)信息系统控制的审计 4）信息系统审计的过程 信息系统审计的过程如图10-4所示：了解被审单位的政策、组织结构、业务性质、信息处理系统执行符合性测试执行实质性测试评价测试结果发布审计报告评价测试结果了解一般控制与应用控制开始审计报告确定信赖控制的程度制定符合性测试与实质性测试计划图10-4信息系统审计的过程 10.4.2 信息系统审计的常用技术1）手工技术(1)检查 流程图检查法 编码检查法 系统运行记录检查法 程序运行结果检查法(2) 观察(3) 面谈或询问(4) 问卷调查(5) 计算或测试2）计算机辅助审计技术(1