會(huì)計(jì)信息化內(nèi)部控制

第十二章

會(huì)計(jì)信息化的內(nèi)部控制

學(xué)習(xí)目標(biāo)：通過(guò)本章的學(xué)習(xí)，我們需要掌握

信息技術(shù)對(duì)內(nèi)部控制正反兩個(gè)方面的影響；當(dāng)前信息安全控制的主要標(biāo)準(zhǔn)文件內(nèi)容；信息化環(huán)境下企業(yè)內(nèi)部控制分類(lèi)及其基本內(nèi)容；

電子商務(wù)安全控制與交易完備控制；面向未來(lái)的會(huì)計(jì)信息系統(tǒng)的安全控制112.1信息技術(shù)對(duì)內(nèi)部控制的影響

內(nèi)部會(huì)計(jì)控制應(yīng)當(dāng)達(dá)到基本目標(biāo)三個(gè)方面:一是規(guī)范單位會(huì)計(jì)行為，保證會(huì)計(jì)資料真實(shí)、完整；二是堵塞漏洞、消除隱患，防止并及時(shí)發(fā)現(xiàn)、糾正錯(cuò)誤及舞弊行為，保護(hù)單位資產(chǎn)的安全、完整；三是確保國(guó)家有關(guān)法律法規(guī)和單位內(nèi)部規(guī)章制度的貫徹執(zhí)行。

212.1.1信息安全控制的若干規(guī)范文件全美反欺詐財(cái)務(wù)報(bào)告委員會(huì)《內(nèi)部控制—整合框架》（COSO，1992)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)的《信息及相關(guān)技術(shù)控制目標(biāo)》（COBIT，1996，1998，2000）國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)《系統(tǒng)可審性與控制》（SAC，1977，1991，1994）《電子系統(tǒng)確認(rèn)與控制模型》（eSAC，2001)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的審計(jì)準(zhǔn)則聲明（SASs55/78/94，1990，1997，2001）加拿大的《控制指南》（CoCo，1995)312.1.1信息安全控制的若干規(guī)范文件(續(xù)）《內(nèi)部控制—整合框架》（COSO）:COSO框架包括五個(gè)要素，即控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)督。2004年9月COSO正式發(fā)布的ERM框架包括八個(gè)要素：內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)反應(yīng)、控制活動(dòng)、信息溝通和監(jiān)控。412.1.1信息安全控制的若干規(guī)范文件(續(xù)）信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）:信息及相關(guān)技術(shù)控制目標(biāo)（ControlObjectforInformationandrelatedTechnology，COBIT）是由IT治理協(xié)會(huì)開(kāi)發(fā)形成的，它是目前國(guó)際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。自1996年問(wèn)世之后，這一標(biāo)準(zhǔn)歷經(jīng)兩次修改，目前已是第三版，并在世界上一百多個(gè)國(guó)家的重要組織與企業(yè)中運(yùn)用。COBIT由執(zhí)行概要、框架、執(zhí)行工具集、管理指南、控制目標(biāo)和審計(jì)指南等六個(gè)部分組成。512.1.1信息安全控制的若干規(guī)范文件(續(xù)）《系統(tǒng)可審性與控制》（SAC）和《電子系統(tǒng)確認(rèn)與控制模型》（eSAC）:Esac將COSO的4個(gè)內(nèi)部控制目標(biāo)（運(yùn)營(yíng)、報(bào)告、合規(guī)性、資產(chǎn)安全保障）和5個(gè)電子商務(wù)的確認(rèn)目標(biāo)（可用性、能力、功能性、可防護(hù)性、可負(fù)責(zé)性）以及5個(gè)基礎(chǔ)的創(chuàng)建要素（人、技術(shù)、過(guò)程、投資、溝通）聯(lián)系在一起。審計(jì)準(zhǔn)則聲明55/78/94（SASs55/78/94）:該聲明詳細(xì)說(shuō)明機(jī)構(gòu)使用信息技術(shù)可能對(duì)COSO所含的五個(gè)內(nèi)部控制組成要素產(chǎn)生影響。612.1.1信息安全控制的若干規(guī)范文件(續(xù))《控制指南》（CoCo）:它定義了控制的概念，并為有效的控制規(guī)定了詳細(xì)的標(biāo)準(zhǔn)。它同時(shí)定義了三類(lèi)目標(biāo)，即運(yùn)營(yíng)的效率和效果、內(nèi)部和外部報(bào)告的可靠性，以及對(duì)所適用的法律、規(guī)章及內(nèi)部政策的遵守。712.1.2信息技術(shù)對(duì)內(nèi)部控制的影響

信息技術(shù)提高企業(yè)內(nèi)部控制的效率和效果數(shù)據(jù)處理的客觀性與規(guī)范化信息輸出的及時(shí)性與準(zhǔn)確性提供信息深入分析的詳細(xì)資料降低控制被規(guī)避的風(fēng)險(xiǎn)提高不相容職務(wù)分離的有效性812.1.2信息技術(shù)對(duì)內(nèi)部控制的影響(續(xù)）信息技術(shù)給內(nèi)部控制帶來(lái)的風(fēng)險(xiǎn)

應(yīng)用程序或數(shù)據(jù)的錯(cuò)誤帶來(lái)的風(fēng)險(xiǎn)未授權(quán)訪問(wèn)數(shù)據(jù)帶來(lái)的風(fēng)險(xiǎn)信息技術(shù)人員的越軌行為未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)未經(jīng)授權(quán)改變系統(tǒng)或程序未能對(duì)系統(tǒng)或程序作必要的修改不恰當(dāng)?shù)娜藶楦深A(yù)數(shù)據(jù)丟失的風(fēng)險(xiǎn)912.2信息化環(huán)境下企業(yè)內(nèi)部控制分類(lèi)與基本內(nèi)容

12.2.1內(nèi)部控制按實(shí)施環(huán)境分類(lèi)《國(guó)際審計(jì)準(zhǔn)則20電子數(shù)據(jù)處理環(huán)境對(duì)會(huì)計(jì)制度和有關(guān)的內(nèi)部控制研究與評(píng)價(jià)的影響》：一般控制與應(yīng)用控制《審計(jì)準(zhǔn)則第1211號(hào)了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》指出了一般控制與應(yīng)用控制各自的含義1012.2.1內(nèi)部控制按實(shí)施環(huán)境分類(lèi)（續(xù)）信息技術(shù)一般控制是指與多個(gè)應(yīng)用系統(tǒng)有關(guān)的政策和程序，有助于保證信息系統(tǒng)持續(xù)恰當(dāng)?shù)剡\(yùn)行(包括信息的完整性和數(shù)據(jù)的安全性)，支持應(yīng)用控制作用的有效發(fā)揮，通常包括數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制，系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制，接觸或訪問(wèn)權(quán)限控制，應(yīng)用系統(tǒng)的購(gòu)置、開(kāi)發(fā)及維護(hù)控制。

1112.2.1內(nèi)部控制按實(shí)施環(huán)境分類(lèi)（續(xù)）信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流程層次運(yùn)行的人工或自動(dòng)化程序，與用于生成、記錄、處理、報(bào)告交易或其他財(cái)務(wù)數(shù)據(jù)的程序相關(guān)，通常包括檢查數(shù)據(jù)計(jì)算準(zhǔn)確性，審核賬戶(hù)和試算平衡表，設(shè)置對(duì)輸入數(shù)據(jù)和數(shù)字序號(hào)的自動(dòng)檢查，以及對(duì)例外報(bào)告進(jìn)行人工干預(yù)等。1212.2.2一般控制及其基本內(nèi)容

組織與管理控制組織控制：一是重塑企業(yè)流程和更新傳統(tǒng)的機(jī)械技術(shù)體系；二是處理和傳輸信息資源的功能。管理控制：管理制度的建立及其被有效地執(zhí)行。管理制度主要有信息化操作管理制度、計(jì)算機(jī)硬件和軟件及數(shù)據(jù)管理制度、會(huì)計(jì)檔案管理制度。1312.2.2一般控制及其基本內(nèi)容（續(xù)）應(yīng)用系統(tǒng)開(kāi)發(fā)和維護(hù)控制

系統(tǒng)開(kāi)發(fā)階段的控制主要包括：開(kāi)發(fā)方法與方式的控制、對(duì)數(shù)據(jù)的定義和處理程序的控制1412.2.2一般控制及其基本內(nèi)容（續(xù)）計(jì)算機(jī)操作控制

操作控制包括為模塊只允許被授權(quán)的人使用，操作者必須嚴(yán)格按照操作管理制度對(duì)指定的模塊進(jìn)行操作，在操作過(guò)程中產(chǎn)生錯(cuò)誤時(shí)能夠及時(shí)得到糾正。1512.2.2一般控制及其基本內(nèi)容（續(xù)）系統(tǒng)軟件控制：系統(tǒng)軟件控制一是包括對(duì)新的系統(tǒng)軟件和修改系統(tǒng)軟件的授權(quán)、批準(zhǔn)、檢驗(yàn)、實(shí)施和記錄；二是對(duì)系統(tǒng)軟件和記錄的存取僅限于被授權(quán)的人使用。數(shù)據(jù)和程序控制：主要針對(duì)專(zhuān)業(yè)數(shù)據(jù)和應(yīng)用程序所進(jìn)行的控制1612.2.3應(yīng)用控制及其基本內(nèi)容輸入控制：輸入控制主要方法包括：憑證格式和內(nèi)容的控制、有關(guān)責(zé)任人簽章的控制、修改控制以及憑證審核的控制等。逐步放棄紙質(zhì)存放而盡可能將會(huì)計(jì)憑證存儲(chǔ)于機(jī)內(nèi)，是今后會(huì)計(jì)信息化的努力方向。1712.2.3應(yīng)用控制及其基本內(nèi)容(續(xù))計(jì)算機(jī)處理與數(shù)據(jù)文件控制：基本目標(biāo)是保證對(duì)經(jīng)濟(jì)業(yè)務(wù)的數(shù)據(jù)處理過(guò)程的正確無(wú)誤，所有經(jīng)濟(jì)業(yè)務(wù)沒(méi)有被遺漏、添加、重復(fù)或不適當(dāng)?shù)馗鼡Q，同時(shí)，在數(shù)據(jù)處理過(guò)程中軟件能夠?qū)﹀e(cuò)誤及時(shí)予以識(shí)別和改正。1812.2.3應(yīng)用控制及其基本內(nèi)容（續(xù)）輸出控制：基本目標(biāo)是保證處理結(jié)果的正確性輸出主要有會(huì)計(jì)憑證、賬簿和會(huì)計(jì)報(bào)表。輸出形式包括屏幕顯