资源简介

(共24张PPT)
会计信息系统
*
第12章 会计信息系统控制
会计信息系统会计信息系统
*
学习目标
1. 理解风险的概念、构成要素和控制方法；
2. 了解会计信息系统风险的概念和特点；
3. 理解会计信息系统面临的风险；
4. 理解会计信息系统内部控制的目标；
5. 理解会计信息系统内部控制的分类；
6. 理解一般控制的内容；
7. 理解应用控制的内容。
会计信息系统会计信息系统
*
12.1 风险与控制
12.1.1风险
1．风险的概念
风险一般是指导致一个组织或机构发生不利事件而遭受损失的可能性。
2.风险要素
风险因素：对所有可能导致风险发生的各种因素的总称；
风险事故：各种风险因素作用下发生的不利事件；
风险损失：风险事件发生后所造成的损失；
会计信息系统会计信息系统
*
12.1 风险与控制
12.1.2 风险管理
风险管理是指对影响企业目标实现的各种不确定性事件进行识别和评估，并采取应对措施将其影响控制在可接受范围内的过程。
风险管理一般包括风险识别、风险评估、风险控制和风险监督几个环节。
会计信息系统会计信息系统
*
12.1 风险与控制
12.1.3 风险控制
从风险管理的角度看，控制是降低或消除风险损失的活动，是企业管理的一种重要手段。
风险控制的四种基本方法是：
风险回避
损失控制
风险转移
风险保留
会计信息系统会计信息系统
*
12.2 会计信息系统风险分析
12.2.1 会计信息系统风险的概念与特点
1．会计信息系统风险
会计信息系统风险是指从会计信息系统的分析、设计、实施、运行、维护直到寿命期结束报废的全过程所面临的风险。
会计信息系统运行阶段的风险以安全风险最为突出。
会计信息系统安全风险是指由于人为的或非人为的因素使得会计信息系统保护安全的能力减弱，从而造成损失的可能性。
会计信息系统会计信息系统
*
12.2 会计信息系统风险分析
12.2.1 会计信息系统风险的概念与特点
2．会计信息系统风险的特点
（1）系统安全控制的难度加大。
（2）传统的组织控制功能削弱。
（3）会计信息失真的风险加大。
（4）用户的识别和验证问题突出。
会计信息系统
*
12.2 会计信息系统风险分析
12.2.2 会计信息系统风险分析
1.制定信息系统战略规划的主要风险
第一，缺乏战略规划或规划不合理，可能造成信息孤岛或重复建设，导致企业经营管理效率低下。
第二，没有将信息化与企业业务需求结合，降低了信息系统的应用价值。
2.系统开发建设的主要风险
开发建设主要有自行开发、外购调试、业务外包等方式。采用不同方法的企业面临风险也不同。以外购调试为例，主要风险是：
第一，软件产品选型不当，产品在功能、性能、易用性等方面无法满足企业需求。
第二，软件供应商选择不当，产品的支持服务能力不足，产品的后续升级缺乏保障。
第三，服务提供商选择不当，削弱了外购软件产品的功能发挥，导致无法有效满足用户需求。
会计信息系统
*
12.2 会计信息系统风险分析
12.2.2 会计信息系统风险分析
3.信息系统的运行与维护的主要风险
（1）日常运行维护的主要风险。
第一，没有建立有效的信息系统日常运行管理规范，计算机软硬件的内在隐患易于爆发，可能导致企业信息系统出错。
第二，没有执行例行检查，导致一些人为恶意攻击会长期隐藏在系统中，可能造成严重损失。
第三，企业信息系统数据未能定期备份，可能导致损坏后无法恢复，从而造成重大损失。
（2）系统变更的主要风险。
第一，企业没有建立严格的变更申请、审批、执行、测试流程，导致系统随意变更。
第二，系统变更后的效果达不到预期目标。
会计信息系统
*
12.2 会计信息系统风险分析
12.2.2 会计信息系统风险分析
3.信息系统的运行与维护的主要风险
（3）安全管理的主要风险。
第一，硬件设备分布物理范围广，设备种类繁多，安全管理难度大，可能导致设备生命周期短。
第二，业务部门信息安全意识薄弱，对系统和信息安全缺乏有效的监管手段。少数员工可能恶意或非恶意滥用系统资源，造成系统运行效率降低。
第三，对系统程序的缺陷或漏洞安全防护不够，导致遭受黑客攻击，造成信息泄露。
第四，对各种计算机病毒防范清理不力，导致系统运行不稳定甚至瘫痪。
第五，缺乏对信息系统操作人员的严密监控，可能导致舞弊和利用计算机犯罪。
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.1内部控制
内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。企业内部控制的目标包括：
合理保证企业经营管理合法合规；
资产安全；
财务报告及相关信息真实完整；
提高经营效率和效果；
促进企业实现发展战略。
内部控制的五要素包括控制环境、风险评估、控制活动、信息和沟通、监督。
会计信息系统会计信息系统
*
12.3 会计信息系统的内部控制
12.3.2 会计信息系统内部控制的目标与分类
1.目标
促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。
2.分类
按照控制的层次，分为战略控制、管理控制和业务处理控制；
按照信息系统不同发展阶段，分为规划控制、系统分析控制、设计控制、实施控制、运行与维护控制等。
按照控制作用范围的不同，可分为一般控制和应用控制。
一般控制是对会计信息系统组织、开发、安全和操作等系统运行环境所进行的控制。
应用控制是对信息系统某一具体处理过程所施加的控制，一般包括业务发生控制、数据输入控制、数据处理控制和数据输出几个方面。
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.3 一般控制
一般控制主要包括组织控制、操作控制、系统硬件和软件资源控制、数据资源和档案资料控制几方面。
1.组织控制
设置适当的组织机构
进行合理的职责分工
（1）合理划分人、机职责。
（2）合理划分岗位职责。
（3）进行正确的业务授权。
设置满足控制要求的组织流程 （例见下页）
加强会计人员的能力和道德的培养。
会计信息系统
*
会计信息系统会计信息系统
*
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.3 一般控制
2.开发控制与维护控制
（1）系统开发控制。
主要对系统开发过程中的战略规划、开发方式等方面的控制。
（2）系统维护控制。
（3）文档控制。
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.3 一般控制
3.系统安全控制
（1）硬件安全控制
（2）软件安全控制
操作安全控制
数据库控制
（3）数据安全控制
（4）系统入侵防范控制
（5）通信安全控制
（6）病毒防范控制
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.3 一般控制
4.运行管理控制
（1）访问计算机中心控制。
计算中心安全控制。
群集系统控制
（2）计算机操作控制。
（3）日常运行维护控制。
5.系统变更和终结控制
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.3 一般控制
6.档案资料控制
（1）档案控制类别
会计信息系统的档案可以分为三大类:会计数据档案、系统开发与维护更新文本档案、系统操作痕迹记录档案。
每一类档案又可分别以纸介质、磁介质、光介质等予以存储。
对于磁介质档案，又可以有联机与脱机两种不同的存储方式。
（2）建立完善的档案制度
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.4 应用控制
1.业务发生控制
业务发生控制又称“程序检查”，主要目的是采用相应的控制程序，甄别、拒纳各种无效的、不合理的及不完整的经济业务。
（1）错误的处理。
（2）文件的保护。
（3）密码控制技术。
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.4 应用控制
2.会计数据输入控制
(1)手工输入方式下的控制。
原始单据审核控制。
输入正确性控制。
数据输入完整性控制。
错误纠正控制。
(2)自动采集方式下的控制。
网上公证控制。
电子单据审查控制。
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.4 应用控制
3.数据处理控制
①处理权限控制。
②数据有效性控制。
可采用的程序化校验方法：文件标签校验、业务编码校验、顺序校验等。
③处理有效性控制。
运算正确检测。
双重存储。
数据合理性检验。
交叉汇总检验。
④错误纠正控制。
有两类错误需要处理：一类是由处理有效性检测发现的错误。另一类错误是在处理过程结束后，通过人工审核输出数据才发现的
⑤审计跟踪控制。
会计信息系统
*
12.3 会计信息系统的内部控制
12.3.4 应用控制
4.数据输出控制
（1）输出数据的正确性控制。
一般不会出现错误，但是还是可以多种控制手段进行控制，如:合计数控制、抽样统计控制、数据稽核控制等。
（2）输出权限控制。
（3）输出资料的分发控制。
可以采用组织控制的方法和利用登记制度加强控制。
会计信息系统
*
本章思考题
1. 如何理解风险？风险的构成要素和控制方法包括哪些？
2. 会计信息系统风险有哪些特点？
3. 会计信息系统各阶段的风险有哪些？
4. 会计信息系统内部控制的目标是什么？
5. 一般控制的内容包括哪些？
6. 应用控制的内容包括哪些？
7. 阅读《企业内部控制应用指引第18号——信息系统》，总结现实中会计信息系统内部控制可能存在的不足。
会计信息系统

展开更多......

收起↑