第二十章 会计信息系统的内部控制

第五部分会计信息系统的控制和审计第二十章会计信息系统的内部控制上海财经大学会计学院钱玲学习目标1、了解信息系统内部控制的概念2、了解信息系统内部控制的具体方法学习重点1、掌握信息系统内部控制的分类2、掌握信息系统内部控制的一般控制方法3、掌握信息系统内部控制的应用控制方法第一节

信息系统的安全与风险防范一、会计信息系统中存在的风险（一）存储介质不同引起的风险（二）远程通信能力带来的风险（三）处理能力不同带来的风险（四）处理的一体化带来的风险（五）缺乏直觉带来的风险二、风险管理计划

第二节

信息系统的内部控制体系

一、内部控制的概念内部控制是指被企业为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。具体到与会计信息系统有关的内部控制，其设计和运行是为了达到以下目标的：1、保证业务活动按照适当的授权进行。2、保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。3、保证对资产和记录的接触、处理均经过适当的授权。4、保证账面资产与实存资产定期核对相符。二、内部控制的分类（一）内部会计控制、内部管理控制（二）预防性控制、检查和纠正性控制（三）手工控制、程序化控制（四）一般控制、应用控制1、一般控制一般控制指那些保证计算机环境安全的控制手段。一般控制又可以分为管理控制和系统开发控制。管理控制指采用各种管理措施保证数据和系统的安全性，保证系统运行的平稳。系统开发控制是要保证新系统不会对环境造成新的危险。审计人员在研究和评价一般控制时，应当考虑以下主要因素：（1）组织控制（2）操作控制（3）硬件及系统软件控制（4）系统安全控制（5）应用系统开发和维护控制2、应用控制应用控制是针对特定的、具体的应用环节所采取的控制，是整合在系统运作过程之中保证处理的信息是正确的、完全的、经过授权的、并且对所做处理留有审计线索的。在研究和评价应用控制时，应当考虑以下主要因素：（1）输入控制（2）处理控制（3）输出控制三、内部控制框架（一）COBIT框架COBIT（ControlObjectivesforInformationandrelatedTechnology，信息和相关技术的控制目标）是由信息系统审计和控制基金会（InformationSystemsAuditandControlFoundation，ISACF）下属的信息技术治理协会（ITGI）提出的IT控制框架，该协会于1996，1998，2000，2005年分别颁布了COBIT1.0，COBIT2.0，COBIT3.0以及COBIT4.0，2007年5月份，已经更新到COBIT4.1。COBIT将IT流程、IT资源、与业务需求相适应的IT目标结合起来，形成一个三维的体系结构。（二）ITIL框架ITIL（ITInfrastructureLibrary，IT基础架构库）由英国国家计算机和电信局（CentralComputingandTelecommunicationsAgency，简称为CCTA）在20世纪80年代末制订，现由英国商务部（OfficeofGovernmentCommerce，简称OGC）负责管理，主要适用于IT服务管理。第三节一般控制

一、组织控制组织控制指采取职能分离、合理分工等手段保证电算化信息系统运营正常。（一）业务岗位的职能分离业务部门依然负责业务的授权、产生、执行、记录、资产的保管等，要做到以下职务的分离：经济业务的授权、批准与执行职务，经济业务的执行与记录职务，经济业务记录与财产保管职务，经济业务记录、财产保管与稽核业务；总账、明细账、日记账记录职务等。在电算化信息系统中，很多的业务处理已经不再由员工手工完成，而是由计算机程序代替手工完成，在这种情况下，职能分离的原理依然是一样的。（二）信息化岗位的职能分离信息化岗位通常包括以下职能：1、系统管理2、网络管理3、安全管理4、变更管理5、用户6、系统分析7、编程8、数据库管理一般需要委派不同的员工去执行不同的职能。（三）加强对员工的管理

1、强化安全意识（1）要在企业文化中提倡、培育安全观念。（2）在企业制度条款中要包括对一些敏感问题的详细规定。例如有关内幕交易问题、客户资金的使用问题、敏感数据的访问问题等。（3）在员工的聘用合同里要包括有安全、保密方面的条款。尤其对于那些有一定职权的员工，在聘用合同中要列明责任。（4）要加强领导的管理和内部审计部门的监督。2、识别敏感岗位（1）该岗位接触到关键资源的机会（2）是否能够有实施舞弊行为的时间（3）作为个人是否具有舞弊的能力（4）作为个人是否具有舞弊的动机3、加强对敏感岗位的控制（1）聘用员工时要仔细考核，不仅考核其业务水平，还要考核其品质。（2）岗位轮换。定期或不定期地实行岗位轮换。（3）强制休假。（4）计算机使用记录。对于计算机的使用情况自动留下相应的日志记录。（5）进一步加强内部审计和监控。如果发现员工出现下列情形，并不一定意味着员工有舞弊行为，但可能需要格外关注和注意观察：（1）富裕程度明显超出工资和等级水平。（2）消费习惯从节俭突然变得大手大脚。（3）和竞争对手企业联系紧密。（4）对企业和领导不在乎，经常迟到早退，不尊重领导等。（5）即使没有必要也经常找借口留下来加班。二、操作控制操作控制指通过操作手册和操作程序等的严格规定和遵从，从而保证电算化信息系统操作上的正确性。（一）严格的上机操作手册（二）严格的软件操作规程（三）硬件和软件的使用记录制度（四）系统的运行指标的考核（五）定期的维护和保养（六）系统错误记录和分析报告（七）保证机房设施安全和电子计算机正常运转的措施（八）会计数据和会计核算软件安全保密的措施三、硬件及系统软件控制（一）硬件及系统软件控制概述硬件和系统软件的运行状况决定了具体的信息系统的运行环境。审计人员必须对企业的硬件及系统软件的控制情况进行分析。（二）硬件控制1、冗余校验2、回波校验3、重复处理校验4、设备校验5、有效性校验6、作业控制（三）系统软件控制1、错误处理2、程序保护3、文件保护4、安全保护5、自我保护四、系统安全控制电算化信息系统的安全问题，指组成电算化信息系统的各方面资源的安全问题。包括：硬件、软件、数据、人员。（一）硬件的安全

1、硬件运行环境的控制（1）机房环境（2）火灾（3）水灾（4）灰尘（5）恶劣天气（6）电磁波（7）静电2、硬件防护（1）计算机系统对供电电源的要求直接供电经过隔离变压器供电交流稳压器供电不间断电源（UPS）供电（2）双重系统3、硬件接触控制（1）机房地址不要选择在人流热闹的地方。（2）对机房加锁。（3）对进出机房的人采用身份识别技术。（4）采用闭路电视进行多角度的监控。（5）计算机设备上可以加上标签，这样当有人试图将其带出时，会发出警报。（二）软件的安全1、软件的接触控制（1）采用口令控制方式口令应该定期更改。口令的位数不应该过短。口令的设置不要和使用者的个人情况有太多的联系。口令不要传播给别人。系统要对口令输错的情况进行监控和分析，防止有人蓄意试探口令。（2）采用权限控制方式对于合法的注册用户，还必须根据工作岗位和性质限定他们对于各个功能的使用权限。对于数据文件，分为录入、修改、删除、查询或不允许访问等多种权限，对于程序，分为调用权限或不允许访问。一般来说，对于管理人员，他们主要使用的是查询和分析功能；对于具体的业务人员，使用的多是输入、处理处理。2、防止计算机病毒的侵害（1）加强机房管理，避免使用来路不明的软盘和非法拷贝的软件，也不要接收异常的电子邮件，在下载时也要小心；（2）购置反病毒软件，经常对硬盘和软盘进行病毒检测；（3）对重要资料进行经常的备份；（4）确定自己的危险程度，制定一旦病毒入侵需要采取的方案，制定相应的恢复措施。（三）数据的安全1、数据的接触控制（1）口令控制方式（2）加强对存储介质的管理（3）磁介质上数据的加密保护硬加密技术2、数据的加密（1）数据的加密和解密密钥的管理加密/解密算法的设计（2）数据的完整性3、数据的备份制度（1）临时的方法：偶尔将个人文件拷贝到软盘上。（2）谨慎的方法：定期进行备份拷贝。（3）专业的方法：祖父/父亲/儿子方案。4、防止计算机病毒的侵害（四）人员的安全工作在电算化信息系统环境下的人员可能会遭到一些安全问题。重复性紧张损伤应该考虑人类工程学五、应用系统开发和维护控制（一）要进行事先规划（二）选择合适的开发方式和方法（三）组建合适的人员和团队（四）加强项目管理（五）加强变更控制（ManagementOfChange，MOC）1、分析变更的必要性和合理性，确定是否实施变更；2、记录变更信息，填写变更控制单；3、做出更改，并交上级审批；4、修改相应的软件配置项，确立新的版本；5、评审后发布新版本。第四节应用控制每一个具体的应用程序所要解决的问题是不同的，所涉及到的数据和处理方法等均各具特点。针对这些具体的应用程序所进行的有针对性的控制，就是应用控制。应用控制的目的在于：1、保证所有经过审核批准的交易均经处理完毕，并且每一项交易只处理一次。2、保证交易资料的完整和正确。3、保证交易的处理正确无误，符合要求。4、保证处理的结果用于预定的用途，并能产生预