会计信息化第十二章-会计信息化内部控制.ppt

第十二章 会计信息化的内部控制 学习目标 ：通过本章的学习，我们需要掌握 信息技术对内部控制正反两个方面的影响； 当前信息安全控制的主要标准文件内容； 信息化环境下企业内部控制分类及其基本内容； 电子商务安全控制与交易完备控制； 面向未来的会计信息系统的安全控制 12.1 信息技术对内部控制的影响 内部会计控制应当达到基本目标三个方面: 一是规范单位会计行为，保证会计资料真实、完整； 二是堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保护单位资产的安全、完整； 三是确保国家有关法律法规和单位内部规章制度的贯彻执行。 12.1.1 信息安全控制的若干规范文件 全美反欺诈财务报告委员会《内部控制—整合框架》（COSO，1992) 信息系统审计与控制协会的《信息及相关技术控制目标》（COBIT，1996，1998，2000） 国际内部审计师协会《系统可审性与控制》（SAC，1977，1991，1994）《电子系统确认与控制模型》（eSAC，2001) 美国注册会计师协会的审计准则声明（ SASs55/78/94，1990，1997，2001） 加拿大的《控制指南》（CoCo，1995) 12.1.1 信息安全控制的若干规范文件(续） 《内部控制—整合框架》（COSO） :COSO框架包括五个要素，即控制环境、风险评估、控制活动、信息与沟通和监督。 2004年 9月 COSO正式发布的ERM框架包括八个要素：内部环境、目标设定、事件识别、风险评估、风险反应、控制活动、信息沟通和监控。 12.1.1 信息安全控制的若干规范文件(续） 信息及相关技术控制目标（COBIT） :信息及相关技术控制目标（Control Object for Information and related Technology，COBIT）是由IT治理协会开发形成的，它是目前国际上公认的最先进、最权威的安全与信息技术管理和控制标准。自1996年问世之后，这一标准历经两次修改，目前已是第三版，并在世界上一百多个国家的重要组织与企业中运用。 COBIT 由执行概要、框架、执行工具集、管理指南、控制目标和审计指南等六个部分组成。 12.1.1 信息安全控制的若干规范文件(续） 《系统可审性与控制》（SAC）和 《电子系统确认与控制模型》（eSAC） :Esac将COSO的4个内部控制目标（运营、报告、合规性、资产安全保障）和5个电子商务的确认目标（可用性、能力、功能性、可防护性、可负责性）以及5个基础的创建要素（人、技术、过程、投资、沟通）联系在一起。 审计准则声明55/78/94（SASs55/78/94）:该声明详细说明机构使用信息技术可能对COSO所含的五个内部控制组成要素产生影响。 12.1.1 信息安全控制的若干规范文件(续) 《控制指南》（CoCo） :它定义了控制的概念，并为有效的控制规定了详细的标准。它同时定义了三类目标，即运营的效率和效果、内部和外部报告的可靠性，以及对所适用的法律、规章及内部政策的遵守。 12.1.2 信息技术对内部控制的影响 信息技术提高企业内部控制的效率和效果 数据处理的客观性与规范化 信息输出的及时性与准确性 提供信息深入分析的详细资料 降低控制被规避的风险 提高不相容职务分离的有效性 12.1.2 信息技术对内部控制的影响(续） 信息技术给内部控制带来的风险 应用程序或数据的错误带来的风险 未授权访问数据带来的风险 信息技术人员的越轨行为 未经授权改变主文档的数据 未经授权改变系统或程序 未能对系统或程序作必要的修改 不恰当的人为干预 数据丢失的风险 12.2 信息化环境下企业内部控制分类与基本内容12.2.1 内部控制按实施环境分类 《国际审计准则20 电子数据处理环境对会计制度和有关的内部控制研究与评价的影响》 ：一般控制与应用控制 《审计准则第1211号 了解被审计单位及其环境并评估重大错报风险》 指出了一般控制与应用控制 各自的含义 12.2.1 内部控制按实施环境分类（续） 信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及维护控制。　　 12.2.1 内部控制按实施环境分类（续） 信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预等。 12