第二十篇章 会计信息系统的内部控制.pptVIP

第五部分 会计信息系统的控制和审计 第二十章 会计信息系统的内部控制 上海财经大学会计学院 钱玲 学习目标 1、了解信息系统内部控制的概念 2、了解信息系统内部控制的具体方法 学习重点 1、掌握信息系统内部控制的分类 2、掌握信息系统内部控制的一般控制方法 3、掌握信息系统内部控制的应用控制方法 第一节 信息系统的安全与风险防范 一、会计信息系统中存在的风险 （一）存储介质不同引起的风险 （二）远程通信能力带来的风险 （三）处理能力不同带来的风险 （四）处理的一体化带来的风险 （五）缺乏直觉带来的风险 二、风险管理计划 第二节 信息系统的内部控制体系 一、内部控制的概念 内部控制是指被企业为了保证业务活动的有效进行，保护资产的安全和完整，防止、发现、纠正错误与舞弊，保证会计资料的真实、合法、完整而制定和实施的政策与程序。 具体到与会计信息系统有关的内部控制，其设计和运行是为了达到以下目标的： 1、保证业务活动按照适当的授权进行。 2、保证所有交易和事项以正确的金额，在恰当的会计期间及时记录于适当的账户，使会计报表的编制符合会计准则的相关要求。 3、保证对资产和记录的接触、处理均经过适当的授权。 4、保证账面资产与实存资产定期核对相符。 2、应用控制 应用控制是针对特定的、具体的应用环节所采取的控制，是整合在系统运作过程之中保证处理的信息是正确的、完全的、经过授权的、并且对所做处理留有审计线索的。在研究和评价应用控制时，应当考虑以下主要因素： （1）输入控制 （2）处理控制 （3）输出控制 三、内部控制框架 （一）COBIT框架 COBIT（Control Objectives for Information and related Technology，信息和相关技术的控制目标）是由信息系统审计和控制基金会（Information Systems Audit and Control Foundation，ISACF）下属的信息技术治理协会（ITGI）提出的IT控制框架，该协会于1996，1998，2000，2005年分别颁布了COBIT 1.0，COBIT 2.0，COBIT 3.0以及COBIT 4.0，2007年5月份，已经更新到COBIT 4.1。 COBIT将IT流程、IT资源、与业务需求相适应的IT目标结合起来，形成一个三维的体系结构。 （二）ITIL框架 ITIL（IT Infrastructure Library，IT基础架构库）由英国国家计算机和电信局（Central Computing and Telecommunications Agency，简称为CCTA）在20世纪80年代末制订，现由英国商务部（Office of Government Commerce，简称OGC）负责管理，主要适用于IT服务管理。 第三节 一般控制 一、组织控制 组织控制指采取职能分离、合理分工等手段保证电算化信息系统运营正常。 （一）业务岗位的职能分离 业务部门依然负责业务的授权、产生、执行、记录、资产的保管等，要做到以下职务的分离：经济业务的授权、批准与执行职务，经济业务的执行与记录职务，经济业务记录与财产保管职务，经济业务记录、财产保管与稽核业务；总账、明细账、日记账记录职务等。 在电算化信息系统中，很多的业务处理已经不再由员工手工完成，而是由计算机程序代替手工完成，在这种情况下，职能分离的原理依然是一样的。 （二）信息化岗位的职能分离 信息化岗位通常包括以下职能： 1、系统管理 2、网络管理 3、安全管理 4、变更管理 5、用户 6、系统分析 7、编程 8、数据库管理 一般需要委派不同的员工去执行不同的职能。 （三）加强对员工的管理  1、强化安全意识 （1）要在企业文化中提倡、培育安全观念。 （2）在企业制度条款中要包括对一些敏感问题的详细规定。例如有关内幕交易问题、客户资金的使用问题、敏感数据的访问问题等。 （3）在员工的聘用合同里要包括有安全、必威体育官网网址方面的条款。尤其对于那些有一定职权的员工，在聘用合同中要列明责任。 （4）要加强领导的管理和内部审计部门的监督。 2、识别敏感岗位 （1）该岗位接触到关键资源的机会 （2）是否能够有实施舞弊行为的时间 （3）作为个人是否具有舞弊的能力 （4）作为个人是否具有舞弊的动机 3、加强对敏感岗位的控制 （1）聘用员工时要仔细考核，不仅考核其业务水平，还要考核其品质。 （2）岗位轮换。定期或不定期地实行岗位轮换。 （3）强制休假。 （4）计算机使用记录。对于计算机的使用情况自动留下相应的日志记录。 （5）进一步加强内部审计和监控。 如果发现员工出现下列情形，并不一定意味着员工有舞弊行为，但可能需要格外关注和注意观察： （1）富裕程度明显超出工