会计信息化内部控制

第十二章

会计信息化内部控制

学习目标：经过本章学习，我们需要掌握

信息技术对内部控制正反两个方面影响；当前信息安全控制主要标准文件内容；信息化环境下企业内部控制分类及其基本内容；

电子商务安全控制与交易完备控制；面向未来会计信息系统安全控制下载！1第1页12.1信息技术对内部控制影响

内部会计控制应该到达基本目标三个方面:一是规范单位会计行为，确保会计资料真实、完整；二是堵塞漏洞、消除隐患，预防并及时发觉、纠正错误及舞弊行为，保护单位资产安全、完整；三是确保国家相关法律法规和单位内部规章制度落实执行。

2第2页12.1.1信息安全控制若干规范文件全美反欺诈财务汇报委员会《内部控制—整合框架》（COSO，1992)信息系统审计与控制协会《信息及相关技术控制目标》（COBIT，1996，1998，）国际内部审计师协会《系统可审性与控制》（SAC，1977，1991，1994）《电子系统确认与控制模型》（eSAC，)美国注册会计师协会审计准则申明（SASs55/78/94，1990，1997，）加拿大《控制指南》（CoCo，1995)3第3页12.1.1信息安全控制若干规范文件(续）《内部控制—整合框架》（COSO）:COSO框架包含五个要素，即控制环境、风险评定、控制活动、信息与沟通和监督。年9月COSO正式公布ERM框架包含八个要素：内部环境、目标设定、事件识别、风险评定、风险反应、控制活动、信息沟通和监控。4第4页12.1.1信息安全控制若干规范文件(续）信息及相关技术控制目标（COBIT）:信息及相关技术控制目标（ControlObjectforInformationandrelatedTechnology，COBIT）是由IT治理协会开发形成，它是当前国际上公认最先进、最权威安全与信息技术管理和控制标准。自1996年问世之后，这一标准历经两次修改，当前已是第三版，并在世界上一百多个国家主要组织与企业中利用。COBIT由执行概要、框架、执行工具集、管理指南、控制目标和审计指南等六个部分组成。5第5页12.1.1信息安全控制若干规范文件(续）《系统可审性与控制》（SAC）和《电子系统确认与控制模型》（eSAC）:Esac将COSO4个内部控制目标（运行、汇报、合规性、资产安全保障）和5个电子商务确实认目标（可用性、能力、功效性、可防护性、可负责性）以及5个基础创建要素（人、技术、过程、投资、沟通）联络在一起。审计准则申明55/78/94（SASs55/78/94）:该申明详细说明机构使用信息技术可能对COSO所含五个内部控制组成要素产生影响。6第6页12.1.1信息安全控制若干规范文件(续)《控制指南》（CoCo）:它定义了控制概念，并为有效控制要求了详细标准。它同时定义了三类目标，即运行效率和效果、内部和外部汇报可靠性，以及对所适用法律、规章及内部政策恪守。7第7页12.1.2信息技术对内部控制影响

信息技术提升企业内部控制效率和效果数据处理客观性与规范化信息输出及时性与准确性提供信息深入分析详细资料降低控制被躲避风险提升不相容职务分离有效性8第8页12.1.2信息技术对内部控制影响(续）信息技术给内部控制带来风险

应用程序或数据错误带来风险未授权访问数据带来风险信息技术人员越轨行为未经授权改变主文档数据未经授权改变系统或程序未能对系统或程序作必要修改不恰当人为干预数据丢失风险9第9页12.2信息化环境下企业内部控制分类与基本内容

12.2.1内部控制按实施环境分类《国际审计准则20电子数据处理环境对会计制度和相关内部控制研究与评价影响》：普通控制与应用控制《审计准则第1211号了解被审计单位及其环境并评定重大错报风险》指出了普通控制与应用控制各自含义10第10页12.2.1内部控制按实施环境分类（续）信息技术普通控制是指与多个应用系统相关政策和程序，有利于确保信息系统连续恰当地运行(包含信息完整性和数据安全性)，支持应用控制作用有效发挥，通常包含数据中心和网络运行控制，系统软件购置、修改及维护控制，接触或访问权限控制，应用系统购置、开发及维护控制。

11第11页12.2.1内部控制按实施环境分类（续）信息技术应用控制是指主要在业务流程层次运行人工或自动化程序，与用于生成、统计、处理、汇报交易或其它财务数据程序相关，通常包含检验数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号自动检验，以及对例外汇报进行人工干预等。12第12页12.2.2普通控制及其基本内容

组织与管理控制组织控制：一是重塑企业流程和更新传统机械技术体系；二是处理和传输信息资源功效。管理控制：管理制度建立及其被有效地执行。管理制度主要有信息化操作管理制度、计算机硬件和软件及数据管理制度、会计档案管理制度。13第13页12.2.2普通控制及其基本内容（续）应用系统开发和维护控制

系统开发阶段控制主要包含：开发方法与方式控制、对数据定义和处理程序控制14第14页12.2.2普通控制及其基本内容（续）计算机操作控制

操作控制包含为模块只允许被授权人使用，操作者必须严格按照操作管理制度对指定模块进行操作，在操作过程中产生错误时能够及时得到纠正。15第15页12.2.2普通控制及其基本内容（续）系统软件控制：系统软件控制一是包含对新系统软件和修改系统软件授权、同意、检验、实施和统计；二是对系统软件和统计存取仅限于被授权人使用。数据和程序控制：主要针对专业数据和应用程序所进行控制16第16页12.2.3应用控制及其基本内容输入控制：输入控制主要方法包含：凭证格式和内容控制、相关责任人签章控制、修改控制以及凭证审核控制等。逐步放弃纸质存放而尽可能将会计凭证存放于机内，是今后会计信息化努力方向。17第17页12.2.3应用控制及其基本内容(续)计算机处理与数据文件控制：基本目标是确保对经济业务数据处理过程正确无误，全部经济业务没有被遗漏、添加、重复或不适当地更换，同时，在数据处理过程中软件能够对错误及时给予识别和更正。18第18页12.2.3应用控制及其基本内容（续）输出控制：基本目标是确保处理结果正确性输出主要有会计凭证、账簿和会计报表。输出形式包含屏幕显示和打印输出。19第19页12．3电子商务安全控制与交易完备控制

12.3.1电子商务安全控制

与传统方式相比，电子商务使得一个企业面临不一样种类风险。这些风险可大致归为两大类。一类是未访问授权访问；一类是设备故障风险。面对这两类风险，电子商务安全控制只能加强而不能减弱。20第20页12.3.1电子商务安全控制（续）未授权访问风险控制：指未经企业允许而企图进入企业网络并经过互联网从远程对系统进行拒绝服务攻击行为。而要对此加以控制，就必须经过由硬件和软件共同组成电子防火墙、数据加密、回叫设备等各种防范与控制。设备故障风险控制：数据通信最普遍问题是因为线路错误而引发数据丢失。通常采取回应检验和奇偶校验等两种技术用于检测这类问题。与此同时，实施网络备份控制也是设备故障风险控制一个主要内容，21第21页12.3.2电子商务交易完备控制从久远来看，交易集中控制是财务会计信息可靠性与相关性确保，而当前凭证集中与报表集中将逐步为交易集中所替换。交易集中控制意在使物流、资金流和信息流“三流合一”基础上到达对会计信息控制与使用。22第22页12.3.2电子商务交易完备控制(续)《中华人民共和国电子署名法》（下称《电子署名法》）《审计准则第1633号电子商务对财务报表审计影响》借助于集中控制交易业务，又为广大信息用户采取事件驱动技术从中取得所需加工数据并据以生成会计信息。23第23页12.4面向未来会计信息系统安全控制

12.4.1会计信息系统安全控制网络化与全局性网络化:信息化风险和保障网络空间安全已经成为关系信息化能否健康发展重大问题。全局性:企业资源计划（ERP）实施目标，就是要最大程度地使物流、资金流和信息流实现一体化管理，ERP软件开发与应用，正在日益走向“三流一体”，有鉴于此，会计信息系统数据源只能来自于以整个企业为单位建立数据仓库。24第24页12.4.2重视企业经济业务原始信息安全控制伴随信息化快速发展,事件驱动技术应用可能使各种经济业务活动以事件形式加以组织与存放,并以统一数据仓库加以集中与管理,这种改变以往以数据处理中心处理模式,使信息使用者仅在需要信息时才到数据仓库将相关数据“拉”出来即时加以处理做法，改变原先会计凭证、账簿和报表信息管理模式，企业信息安全控制点必将前移，信息安全控制将以企业数据仓库为重中之重。25第25页12.4.3加强对主体系统监控与管理年7月15日，美国“萨班斯法案”正式施行，该法案要求了对首席执行官和财务总监资历要求，要求全部上市企业对其内部审计职能是否得到充分发挥出含有关证实。它还要求企业审计委员会发挥愈加主动作用，允许审计委员会在人手不够时候，从外部招聘更多咨询教授或顾问来帮助其开展工作。26第26