资源简介

(共20张PPT)
会计信息系统
——ERP基础
第九章
信息系统审计与内部控制
第一节 信息系统的风险管理与控制
第二节 信息系统的内部控制
第三节 信息技术环境下的内部控制
第四节会计信息化与审计
目录
CONTENTS
信息系统的
风险管理与控制
CONTENTS
一、信息技术应用给企业带来的风险
二、信息技术过程控制体系(COBIT)概述
三、信息系统内部控制目标与控制类型
（一）信息安全风险
（二）计算机交易授权风险
（三）传统职责分离失效引致的风险
（四）信息系统潜在错误导致差错重复发生的风险
（五）信息系统脆弱性引发的风险
一、信息技术应用给企业带来的风险
（一） COBIT架构
二、信息系统内部控制目标与控制类型
国际信息系统审计与控制协会（Information Systems Audit and Control Foundation，ISACA）提出了《信息和相关技术的控制目标》（Control Objectives for Information and Related Technology，COBIT）。COBIT是一个基于IT治理概念的、面向IT建设过程中的IT治理实现指南和审计标准，被认为是COSO框架的补充框架。COBIT的目标是为信息系统设计提供具有高度可靠性和可操作性的、公认的信息安全和控制评价标准。
二、信息系统内部控制目标与控制类型
（二） COBIT五大关键原则
1. 满足利益相关者需求
2. 端到端覆盖企业
3. 采用单一集成框架
4. 启用一种整体的方法
5. 区分管理和治理
二、信息系统内部控制目标与控制类型
（一）信息系统控制
按照“如何执行控制”的观点，可以分为人工控制(或使用者控制)和程序控制(或自动控制)。
而按照“控制执行范围”的要求，可分为一般控制和应用控制。
按照内部控制程序执行的时间点也可以分为预防性、检查性和矫正性三种控制。
三、信息系统控制类型
（二）一般控制和应用控制
一般控制
一般控制即整体控制。实施一般控制的目的是为了确保信息系统的开发、实施、运行能在有序的、被控制的状态下进行。一般控制作用于所有的应用系统，成为围绕应用系统的保护层。最里层的是一个具体的应用系统(模块)的应用控制。
三、信息系统控制类型
三、信息系统控制类型
2. 应用控制
三、信息系统控制类型
应用控制是具体控制或微观控制，它与具体的应用系统有关，是为了确保数据处理完整正确而实施的控制。应用控制可以由人工实施控制，也可以由计算机程序实施自动化控制。按照处理信息的步骤，我们可以将应用控制分为输入控制、处理控制和输出控制，三者之间的关系。
三、信息系统控制类型
（1）输入控制
①原始单据审核控制
②数据输入正确性控制
③数据输入完整性控制
④数据逻辑控制
⑤错误纠正控制
输入控制是为保证输入系统的数据正确、完整和可靠而实施的控制。
三、信息系统控制类型
（2）处理控制
① 处理权限控制
②数据有效性检验
③审计踪迹控制
④备份与恢复控制
处理控制是为了保证数据处理的正确性和完整性而实施的控制。
三、信息系统控制类型
（3）输出控制
①输出数据的正确性控制
②输出数据审核控制
③输出权限控制
④输出信息的分发控制
⑤差错更正控制
输出控制的主要目的是保证输出信息的正确性，并且要确保输出的信息只能提供给经过授权的使用者。
三、信息系统控制类型
（三）预防性、检查性和矫正性控制
预防性控制：错误和欺诈预防，事前的观念。基于成本效益原则的考虑以及实务上的限制，预防性控制很难完全防止所有的问题。
检查性控制：在设计控制程序时，以便在错误和欺诈发生时，能够迅速察觉，并立即采取补救或改正的行动，检查性控制是事中的观念。
三、信息系统控制类型
矫正性控制：对已有的错误进行补救或者更正，以确保组织顺利的运作，达成既定的目标。三个程序：
（1）找出造成问题的成因，可能由检查性控制提供相关的信息。
（2）改正已发生的错误或欺诈。
（3）修改现有的控制制度或程序，以消除或降低未来发生类似问题的可能性。
三、信息系统控制类型
信息技术应用给企业带来的风险——风险巨大，不得不控制
信息技术过程控制体系(COBIT)概述——参看阅读资料《内部控制指引——信息系统》
信息系统控制类型——三种分类 手工、自动 一般，应用 事前，事中，事后
小结
学习愉快！

展开更多......

收起↑