第五部分会计信息系统的控制和审计.ppt
《第五部分会计信息系统的控制和审计.ppt》由会员分享,可在线阅读,更多相关《第五部分会计信息系统的控制和审计.ppt(61页珍藏版)》请在三一文库上搜索。
1、第五部分 会计信息系统的控制和审计,第二十章 会计信息系统的内部控制,上海财经大学会计学院 钱玲,学习目标,1、了解信息系统内部控制的概念 2、了解信息系统内部控制的具体方法,学习重点,1、掌握信息系统内部控制的分类 2、掌握信息系统内部控制的一般控制方法 3、掌握信息系统内部控制的应用控制方法,第一节 信息系统的安全与风险防范,一、会计信息系统中存在的风险 (一)存储介质不同引起的风险 (二)远程通信能力带来的风险 (三)处理能力不同带来的风险 (四)处理的一体化带来的风险 (五)缺乏直觉带来的风险,二、风险管理计划,第二节 信息系统的内部控制体系,一、内部控制的概念 内部控制是指被企业为了
2、保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序。,具体到与会计信息系统有关的内部控制,其设计和运行是为了达到以下目标的: 1、保证业务活动按照适当的授权进行。 2、保证所有交易和事项以正确的金额,在恰当的会计期间及时记录于适当的账户,使会计报表的编制符合会计准则的相关要求。 3、保证对资产和记录的接触、处理均经过适当的授权。 4、保证账面资产与实存资产定期核对相符。,二、内部控制的分类 (一)内部会计控制、内部管理控制 (二)预防性控制、检查和纠正性控制 (三)手工控制、程序化控制,(四)一般控制、应用控制 1、
3、一般控制 一般控制指那些保证计算机环境安全的控制手段。一般控制又可以分为管理控制和系统开发控制。管理控制指采用各种管理措施保证数据和系统的安全性,保证系统运行的平稳。系统开发控制是要保证新系统不会对环境造成新的危险。审计人员在研究和评价一般控制时,应当考虑以下主要因素: (1)组织控制 (2)操作控制 (3)硬件及系统软件控制 (4)系统安全控制 (5)应用系统开发和维护控制,2、应用控制 应用控制是针对特定的、具体的应用环节所采取的控制,是整合在系统运作过程之中保证处理的信息是正确的、完全的、经过授权的、并且对所做处理留有审计线索的。在研究和评价应用控制时,应当考虑以下主要因素: (1)输入
4、控制 (2)处理控制 (3)输出控制,三、内部控制框架 (一)COBIT框架 COBIT(Control Objectives for Information and related Technology,信息和相关技术的控制目标)是由信息系统审计和控制基金会(Information Systems Audit and Control Foundation,ISACF)下属的信息技术治理协会(ITGI)提出的IT控制框架,该协会于1996,1998,2000,2005年分别颁布了COBIT 1.0,COBIT 2.0,COBIT 3.0以及COBIT 4.0,2007年5月份,已经更新到COB
5、IT 4.1。,COBIT将IT流程、IT资源、与业务需求相适应的IT目标结合起来,形成一个三维的体系结构。,(二)ITIL框架 ITIL(IT Infrastructure Library,IT基础架构库)由英国国家计算机和电信局(Central Computing and Telecommunications Agency,简称为CCTA)在20世纪80年代末制订,现由英国商务部(Office of Government Commerce,简称OGC)负责管理,主要适用于IT服务管理。,第三节 一般控制,一、组织控制 组织控制指采取职能分离、合理分工等手段保证电算化信息系统运营正常。 (一
6、)业务岗位的职能分离 业务部门依然负责业务的授权、产生、执行、记录、资产的保管等,要做到以下职务的分离:经济业务的授权、批准与执行职务,经济业务的执行与记录职务,经济业务记录与财产保管职务,经济业务记录、财产保管与稽核业务;总账、明细账、日记账记录职务等。 在电算化信息系统中,很多的业务处理已经不再由员工手工完成,而是由计算机程序代替手工完成,在这种情况下,职能分离的原理依然是一样的。,(二)信息化岗位的职能分离 信息化岗位通常包括以下职能: 1、系统管理 2、网络管理 3、安全管理 4、变更管理 5、用户 6、系统分析 7、编程 8、数据库管理 一般需要委派不同的员工去执行不同的职能。,(三
7、)加强对员工的管理 1、强化安全意识 (1)要在企业文化中提倡、培育安全观念。 (2)在企业制度条款中要包括对一些敏感问题的详细规定。例如有关内幕交易问题、客户资金的使用问题、敏感数据的访问问题等。 (3)在员工的聘用合同里要包括有安全、保密方面的条款。尤其对于那些有一定职权的员工,在聘用合同中要列明责任。 (4)要加强领导的管理和内部审计部门的监督。,2、识别敏感岗位 (1)该岗位接触到关键资源的机会 (2)是否能够有实施舞弊行为的时间 (3)作为个人是否具有舞弊的能力 (4)作为个人是否具有舞弊的动机,3、加强对敏感岗位的控制 (1)聘用员工时要仔细考核,不仅考核其业务水平,还要考核其品质
8、。 (2)岗位轮换。定期或不定期地实行岗位轮换。 (3)强制休假。 (4)计算机使用记录。对于计算机的使用情况自动留下相应的日志记录。 (5)进一步加强内部审计和监控。,如果发现员工出现下列情形,并不一定意味着员工有舞弊行为,但可能需要格外关注和注意观察: (1)富裕程度明显超出工资和等级水平。 (2)消费习惯从节俭突然变得大手大脚。 (3)和竞争对手企业联系紧密。 (4)对企业和领导不在乎,经常迟到早退,不尊重领导等。 (5)即使没有必要也经常找借口留下来加班。,二、操作控制 操作控制指通过操作手册和操作程序等的严格规定和遵从,从而保证电算化信息系统操作上的正确性。 (一)严格的上机操作手册
9、 (二)严格的软件操作规程 (三)硬件和软件的使用记录制度 (四)系统的运行指标的考核 (五)定期的维护和保养 (六)系统错误记录和分析报告 (七)保证机房设施安全和电子计算机正常运转的措施 (八)会计数据和会计核算软件安全保密的措施,三、硬件及系统软件控制 (一)硬件及系统软件控制概述 硬件和系统软件的运行状况决定了具体的信息系统的运行环境。 审计人员必须对企业的硬件及系统软件的控制情况进行分析。,(二)硬件控制 1、冗余校验 2、回波校验 3、重复处理校验 4、设备校验 5、有效性校验 6、作业控制,(三)系统软件控制 1、错误处理 2、程序保护 3、文件保护 4、安全保护 5、自我保护,
10、四、系统安全控制 电算化信息系统的安全问题,指组成电算化信息系统的各方面资源的安全问题。包括:硬件、软件、数据、人员。,(一)硬件的安全 1、硬件运行环境的控制 (1)机房环境 (2)火灾 (3)水灾 (4)灰尘 (5)恶劣天气 (6)电磁波 (7)静电,2、硬件防护 (1)计算机系统对供电电源的要求 直接供电 经过隔离变压器供电 交流稳压器供电 不间断电源(UPS)供电 (2)双重系统,3、硬件接触控制 (1)机房地址不要选择在人流热闹的地方。 (2)对机房加锁。 (3)对进出机房的人采用身份识别技术。 (4)采用闭路电视进行多角度的监控。 (5)计算机设备上可以加上标签,这样当有人试图将其
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第五 部分 会计 信息系统 控制 审计
链接地址:https://www.31doc.com/p-2562000.html