资源简介

(共67张PPT)
第九章
信息系统审计与内部控制
第一节 信息系统的风险管理与控制
第二节 信息系统的内部控制
第三节 信息技术环境下的内部控制
第四节会计信息化与审计
目录
CONTENTS
信息系统的
风险管理与控制
CONTENTS
一、信息技术应用给企业带来的风险
二、信息技术过程控制体系(COBIT)概述
三、信息系统内部控制目标与控制类型
（一）信息安全风险
（二）计算机交易授权风险
（三）传统职责分离失效引致的风险
（四）信息系统潜在错误导致差错重复发生的风险
（五）信息系统脆弱性引发的风险
一、信息技术应用给企业带来的风险
（一） COBIT架构
二、信息系统内部控制目标与控制类型
国际信息系统审计与控制协会（Information Systems Audit and Control Foundation，ISACA）提出了《信息和相关技术的控制目标》（Control Objectives for Information and Related Technology，COBIT）。COBIT是一个基于IT治理概念的、面向IT建设过程中的IT治理实现指南和审计标准，被认为是COSO框架的补充框架。COBIT的目标是为信息系统设计提供具有高度可靠性和可操作性的、公认的信息安全和控制评价标准。
二、信息系统内部控制目标与控制类型
（二） COBIT五大关键原则
1. 满足利益相关者需求
2. 端到端覆盖企业
3. 采用单一集成框架
4. 启用一种整体的方法
5. 区分管理和治理
二、信息系统内部控制目标与控制类型
（一）信息系统控制
按照“如何执行控制”的观点，可以分为人工控制(或使用者控制)和程序控制(或自动控制)。
而按照“控制执行范围”的要求，可分为一般控制和应用控制。
按照内部控制程序执行的时间点也可以分为预防性、检查性和矫正性三种控制。
三、信息系统控制类型
（二）一般控制和应用控制
一般控制
一般控制即整体控制。实施一般控制的目的是为了确保信息系统的开发、实施、运行能在有序的、被控制的状态下进行。一般控制作用于所有的应用系统，成为围绕应用系统的保护层。最里层的是一个具体的应用系统(模块)的应用控制。
三、信息系统控制类型
三、信息系统控制类型
2. 应用控制
三、信息系统控制类型
应用控制是具体控制或微观控制，它与具体的应用系统有关，是为了确保数据处理完整正确而实施的控制。应用控制可以由人工实施控制，也可以由计算机程序实施自动化控制。按照处理信息的步骤，我们可以将应用控制分为输入控制、处理控制和输出控制，三者之间的关系。
三、信息系统控制类型
（1）输入控制
①原始单据审核控制
②数据输入正确性控制
③数据输入完整性控制
④数据逻辑控制
⑤错误纠正控制
输入控制是为保证输入系统的数据正确、完整和可靠而实施的控制。
三、信息系统控制类型
（2）处理控制
① 处理权限控制
②数据有效性检验
③审计踪迹控制
④备份与恢复控制
处理控制是为了保证数据处理的正确性和完整性而实施的控制。
三、信息系统控制类型
（3）输出控制
①输出数据的正确性控制
②输出数据审核控制
③输出权限控制
④输出信息的分发控制
⑤差错更正控制
输出控制的主要目的是保证输出信息的正确性，并且要确保输出的信息只能提供给经过授权的使用者。
三、信息系统控制类型
（三）预防性、检查性和矫正性控制
预防性控制：错误和欺诈预防，事前的观念。基于成本效益原则的考虑以及实务上的限制，预防性控制很难完全防止所有的问题。
检查性控制：在设计控制程序时，以便在错误和欺诈发生时，能够迅速察觉，并立即采取补救或改正的行动，检查性控制是事中的观念。
三、信息系统控制类型
矫正性控制：对已有的错误进行补救或者更正，以确保组织顺利的运作，达成既定的目标。三个程序：
（1）找出造成问题的成因，可能由检查性控制提供相关的信息。
（2）改正已发生的错误或欺诈。
（3）修改现有的控制制度或程序，以消除或降低未来发生类似问题的可能性。
三、信息系统控制类型
信息技术应用给企业带来的风险——风险巨大，不得不控制
信息技术过程控制体系(COBIT)概述——参看阅读资料《内部控制指引——信息系统》
信息系统控制类型——三种分类 手工、自动 一般，应用 事前，事中，事后
小结
信息技术环境下
内部控制
CONTENTS
一、内部控制的信息化环境分析
二、信息技术环境下的企业内部控制
三、基于信息系统的内部控制体系建设
（一）企业组织特征——柔性化；强调企业的核心能力要素。
（二）业务流程再造——企业的价值链，决定了企业运行的效率和效果。
（三）信息流程的变化——信息技术通常被用于调控物质资源、财务资源和人力资源的分配。
一、内部控制的信息化环境分析
企业在信息技术环境下建立内部控制系统时，应综合考虑内部控制要素在其中出现的新特点，要从组织控制、流程控制、信息控制下手。
（一）组织控制——流程决定企业的组织结构
（二）流程控制——从适时控制向事前控制、实时控制转移，控制的顺序先是以预防为主
（三）信息系统控制——信息系统建设和使用过程控制
二、信息技术环境下的企业内部控制
三、信息技术环境下的控制活动
（一）交易授权——交易授权自动化；授权过程不明显。
（二）职责分离——新增开发、维护、操作处理和文档保管等活动。
（三）监管——系统开发、维护和处理等活动仍然存在着职责分离，新的难点。
三、信息技术环境下的控制活动
（四）业务记录——信息技术在改变交易轨迹形式，交易轨迹的法律效力变化。
（五）接触控制——中央数据库、计算机程序和计算机设施，成为重点。
（六）独立稽核——系统维护或业务发生变化时，独立稽核仍是确保系统运行正确性的重要控制措施。
三、信息技术环境下的控制活动
（一）基于信息系统的内部控制体系整体架构
为满足企业全面风险管控的需求，基于信息系统的内控管理体系包括风险评估、控制活动、信息与沟通和内控评价四个组成部分，提供全面的内控管理解决方案。
四、基于信息系统的内部控制体系建设
四、基于信息系统的内部控制体系建设
（二）基于信息系统的内部控制体系建设
控制活动的起点在于流程的梳理
（1）BPR（业务流程重组）是对企业流程大规模和彻底的变革。
（2）BPI（业务流程优化）更多的是强调局部、渐进性的针对现有流程进行改善。
流程梳理更适用于作为一个阶段性活动。流程梳理是从企业整体业务流程明晰的目的出发，对当前流程进行充分显性化的工作方式。流程梳理是建立企业内部控制体系的基础和前提。
四、基于信息系统的内部控制体系建设
2. 业务流程及制度框架梳理方法
（1）业务流程分级：
一级流程：一般以管理职能划分，例如人力资源管理等。
二级流程：在一级流程的基础上，按照业务管理条线划分，例如人力资源管理划分为人力资源规划管理、人力资源配置管理、绩效管理等。
三级流程：具体的业务单元，例如人力资源规划管理可以划分为机构调整及部门职能的制定流程、年度人力资源计划制定流程及员工岗位职责制定流程等。
四、基于信息系统的内部控制体系建设
（2）业务流程梳理具体方法：
部门负责人访谈——通过负责人访谈划分部门主责的一级流程和二级流程。
部门职员访谈——访谈职员负责的具体工作内容、主要职责及可参照的现有制度。将二级流程进一步细分成三级流程。
部门负责人及职员确认并修订——将已划分出的三级业务流程交给部门负责人和基层职员进行确认，并完成最终修订。
优化——根据现有的流程与智库进行合规和管理对标，找出具有规范或指导性作用的建议，对现有流程进行优化。
四、基于信息系统的内部控制体系建设
流程分级举例：
流程编号 一级流程 二级流程 三级流程 流程主责部门 相关制度或文件
XX-P03 人力资源 　 　 　
XX-P03-01 人力资源规划 　 　
XX-P03-01-01 机构调整及部门职能的制定流程 人力资源部 　
XX-P03-01-02 年度人力资源计划制定流程 人力资源部
XX-P03-01-02 员工岗位职责制定流程 人力资源部 　
四、基于信息系统的内部控制体系建设
3. 流程图绘制（带控制点）
流程图是以可视的方式，运用特定符号展示某一运营/流程的过程的一种符号，其意义在于帮助人们认识重要交易是如何生成、记录，获得授权并被处理和汇报的。
四、基于信息系统的内部控制体系建设
（1）流程图对业务流程中可能出现的环节及所存在的控制环节进行描述：
有助于识别步骤和控制。
有助于与其他流程图相联系来解释相关的控制活动。
有助于发现收集和处理数据。
有助于分离可能出现问题的区域。
有助于向不熟悉的人解释流程。
便于指导工作的开展以及业务操作的规范化。
四、基于信息系统的内部控制体系建设
（2）流程中的控制点识别方法：
假设去掉这个流程步骤，若该流程仍能完整地进行下去，则该步骤为控制点。
若该流程到此卡住无法再进行下去，则该步骤不是控制点，仅为一般步骤。
四、基于信息系统的内部控制体系建设
符号 操作名称 简介说明
控制点提示 表示该步骤为控制点，框中数字为控制点编号
缺陷提示 若存在流程控制点缺陷，在关键控制点旁加上缺陷提示语
例如某个流程中存在几个审核、审批步骤，去掉某一个或某几个审核、审批步骤，该流程都能继续进行下去，但会存在风险隐患，因此，这类审核、审批步骤就是控制点。
四、基于信息系统的内部控制体系建设
（3）应用举例
供应商的评选流程控制
控制事项 详细描述及说明
阶段 控制 D1 1．采购部通过不同途径，如面谈、调查问卷等收集供应商信息，主要包括供应商信誉、供货能力等方面的信息
D2 2．采购部和使用部门依据收集到的供应商信息，参照企业比质、比价采购制度等相关文件，对供应商进行比质与比价
3．采购部根据比质与比价结果，参照供应商选定标准，提出候选供应商名单，报采购部经理审核
D3 4．采购部通过采购物资的分类，根据实际需要，判断是否需要组织现场评审。需要进行现场评审的，采购部组织现场评审，请购部门、生产部门、财务部门、仓储部门以及质检部门等相关部门参与；对无需现场评审的供应商，可直接提出其等级排序名单
5．现场评审后，采购部汇总评价结果，并编写现场评审报告
6．采购部根据采购部经理的审核结果确定供应商名单，并报采购部经理审核、总经理审批
相关规范 应建 规范 采购管理制度 供应商选定标准
供应商评价制度 比质、比价采购制度
参照 规范 《企业内部控制应用指引》
文件资料 供应商名单 供应商调查表 现场评审报告
责任部门 及责任人 采购部、财务部、生产部、仓储部
总经理、采购部经理、采购主管、采购专员
四、基于信息系统的内部控制体系建设
四、基于信息系统的内部控制体系建设
4.流程文档编制
流程文档是内部控制体系中的基础文档，包含以下内容：
（1）流程名称，即该流程的全称。
（2）流程责任部门与责任岗位，即该流程的主责部门及该流程的主责岗位，这里可由客户填写。
（3）流程目标，指本流程应达到的经营、管理或风险控制目标，用一两句话进行概括性描述。
四、基于信息系统的内部控制体系建设
（4）流程适用范围，指本流程适用的集团、公司、部门或管理条线等。
（5）流程相关制度，指本流程对应的集团或子分公司已制定的能够对本流程起到规范或指导性作用的内控制度。
（6）流程图和流程描述。
四、基于信息系统的内部控制体系建设
5. 流程风险点及对应控制点
（1）风险点描述：
以流程目标为出发点，从流程步骤走向进行风险思考，结合控制点识别出风险点。
应先识别风险点，后识别控制点。
若某一风险点没有任何控制点与之对应，即该风险点没有得到控制，该流程中存在控制缺陷，需要对流程进行优化甚至重组，确保每个风险点都有相应的控制点与之对应。
四、基于信息系统的内部控制体系建设
④或者改进控制点的控制措施，确保每个控制点都能有效地控制对应的风险点。流程控制缺陷往往不是流程本身，而是员工们的执行不到位或执行不力。
（2）风险分类——可划分为战略风险、财务风险、市场风险、运营风险、法律风险。
（3）对应控制点——列出本流程中对应该风险点的控制点，并区分该控制点是事前控制、事中控制还是事后控制。
四、基于信息系统的内部控制体系建设
流程缺陷及建议
若流程中的某个风险点没有对应的控制点或控制措施达不到控制效果，则存在流程控制缺陷。若流程存在缺陷，可能需要进行流程优化或流程重组。标记符号，描述本流程中存在的缺陷并提出改进建议。
四、基于信息系统的内部控制体系建设
内部控制的信息化环境分析——应对变化
信息技术环境下的企业内部控制——应对对象
基于信息系统的内部控制体系建设——流程建设
小结
会计信息化与审计
CONTENTS
一、计算机审计
二、计算机审计技术
三、信息系统审计
四、信息系统审计实施
五、 信息化环境下的会计档案
（一）计算机审计的概念
计算机审计(computer audit)，也称计算机辅助审计(computer-assisted audit)，是指在信息技术环境下，审计人员以计算机为工具，对被审计单位的会计报表的合法性、公允性及会计处理方法运用的一贯性进行审查、评价并发表意见，即是一种以计算机为先进的审计工具来执行经济监督、鉴证和评价职能的审计方式。
一、计算机审计
1.计算机审计的任务除了完成会计报表审计之外，还应该：
（1）审查计算机信息系统的内部控制，评价现行信息系统内部控制的设计是否科学、合理和适当。
（2）考虑利用计算机辅助审计技术作为常用的审计手段来取得审计证据。
（3）在审计的各个阶段都要考虑信息技术环境的影响因素，以确保审计范围和审计结果不会因此受到限制。
一、计算机审计
2.计算机辅助审计包含两个层次的内容：
（1）计算机辅助审计是指在审计业务中利用Excel等电子表格软件中的一些功能，或VBA程序，帮助审计人员计算、复算、复核、分析审计数据，主要目的是提升审计效率、增加准确性。
一、计算机审计
（2）计算机辅助审计是指利用专门的辅助审计软件进行项目审计。这个层次也有两种类型：通用审计软件和专用审计软件。
通用审计软件，是指适用于对各类信息系统或多数电算化信息系统进行审计的通用计算机程序。
专用审计软件，是指为特定被审的电算化信息系统或为执行某种特定审计任务而专门设计的软件。
一、计算机审计
（二） 计算机审计的对象和范围
计算机审计的对象是被审计单位的全部或部分经济活动。审计范围是审计对象涉及的领域和内容，如果被审计单位的信息化程度比较高，还必须考察其信息技术环境，以确保：
（1）信息系统中的基础性会计记录和有关资料所包含的信息是可靠的。
（2）信息系统能够保证有关的信息、资料在会计报表中得到恰当的反映。
（3）信息系统的内部控制是恰当的、有效的。
一、计算机审计
2.计算机审计的主要内容应该是：
（1）被审计单位的财务收支及有关的经营管理活动。
（2）被审计单位的各种作为提供财务收支及有关经营管理活动信息载体的会计资料及相关资料。
（3）被审计单位的信息技术环境。
一、计算机审计
一、计算机审计
（一）审计电算化技术
审计管理计算机化技术——审计是一件复杂的工作，应建立必要的审计管理数据和管理软件，为审计管理决策提供各项管理决策信息。
二、计算机审计技术
2. 内部控制制度的评价测试技术。计算机辅助内部控制的审查和评价主要内容。
（1）系统内的部门和人员是否实施职责分离和监督情况。
（2）系统业务流程，针对企业的实际情况按照主要的业务流程进行调研，所涉及流程操作的关键节点，流程图、风险控制矩阵。
（3）系统、应用、文档、文件和软件拷贝、维护必要的控制制度。
二、计算机审计技术
数据库或数据文件的审计技术。获取所需的审计证据，并对这些证据进行评价，从而判断数据是否真实、可靠、完备、合法、合规。
应用软件的审计技术对用户的应用软件的审计。
二、计算机审计技术
（二） 计算机审计步骤
与传统手工审计一样，计算机审计过程可分成接受业务、编制审计计划、实施审计和报告审计结果等4个阶段。
二、计算机审计技术
（三） 审计软件
1. 审计软件的概念
审计软件是指用于审查电算化系统或利用计算机辅助审计而编写的各种计算机程序。广义上讲，审计软件是指帮助完成审计工作的各种软件工具。4种类型：现场作业软件、法规软件、专用审计软件、审计管理软件。
2. 审计软件的功能
审计软件的主要代表是审计作业软件。审计作业软件的主要功能为：会计数据的处理，审计方法的运用，工作底稿的制作平台。
二、计算机审计技术
（四）数据式审计
数据式审计是以被审计单位底层数据库原始数据为切入点，在对信息系统内部控制测评的基础上，通过对底层数据的采集、转换、整理、分析和验证，形成审计中间表，并且运用查询分析、多维分析、数据挖掘等多种技术方法构建模型进行数据分析，发现趋势、异常和错误，把握总体、突出重点、精确延伸，从而收集审计证据，实现审计目标的审计方式。
二、计算机审计技术
（五）大数据的审计应用
挖掘分析：分类分析、聚类分析、异常分析、演化分析等方法。
统计方法：审计可以运用统计学的思想和方法，使用统计分析软件，解决审计数据分析问题。
云计算技术：局部审计机关构建自己的审计数据中心或分中心，分布相对比较分散。要利用云计算技术将这些分散的计算资源进行整合，互联互通，将会大大提高计算机系统的存储能力和计算能力。
二、计算机审计技术
（一） 信息系统审计的必要性
信息系统脆弱的方面：
信息系统的安全可能没有得到足够的保证。
信息系统的数据处理可能不合逻辑。
信息系统的可靠性可能得不到很好的保证。
信息系统需要较高的资金投入，如果资金使用不当会产生很高的成本，降低企业的效益。
信息系统经常遭遇舞弊行为，而且舞弊手法多样而隐蔽，有时造成的损失令人惊讶。
三、信息系统审计
（二）信息系统审计的概念
信息系统审计是指审计人员接受委托或授权,收集证据并评估证据以判断一个计算机系统(信息系统)是否做到有效保护资产、维护数据完整并最有效率地完成组织目标的活动过程。
它既包括信息系统外部审计的目标,即对信息系统安全性及数据完整性的鉴证,又包含内部审计的管理目标,即对信息系统有效性的鉴证。
三、信息系统审计
（三）信息系统审计的目标
信息系统审计的目的是通过实施信息系统审计工作，对组织是否实现信息技术管理目标进行审查和评价，并基于评价意见提出管理建议，协助组织信息技术管理人员有效地履行职责。
组织的信息技术管理目标主要包括：
保证组织的信息技术战略充分反映组织的战略目标；
提高组织所依赖的信息系统的可靠性、稳定性、安全性及数据处理的完 整性和准确性。
提高信息系统运行的效果与效率，合理保证信息系统的运行符合法律法规以及相关监管要求。
三、信息系统审计
（四） 信息系统审计的特点
1. 信息系统审计具有较强的技术性。
2. 信息系统审计工作具有一定的复杂性。
3. 信息系统审计的取证具有动态性。
三、信息系统审计
（一）信息系统审计的内容
信息系统审计主要是对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审查和评价。
信息技术控制——组织层面信息技术控制。
信息技术一般性控制。
业务流程层面应用控制。
信息系统专项审计——信息系统开发实施项目的专项审计等。
四、信息系统审计实施
（二）信息系统审计方法
询问相关控制人员。
观察特定控制的运用。
审阅文件和报告及计算机文档或者日志。
根据信息系统的特性进行穿行测试，追踪交易在信息系统中的处理过程。
验证系统控制和计算逻辑。
四、信息系统审计实施
登录信息系统进行系统查询。
利用计算机辅助审计工具和技术。
利用其他专业机构的审计结果或者组织对信息技术内部控制的自我评估结果。
信息系统审计人员可以根据实际需要利用计算机辅助审计工具和技术进行数据的验证、关键系统控制/计算的逻辑验证、审计样本选取等。
可以利用可靠的信息安全侦测工具进行渗透性测试等。
四、信息系统审计实施
会计档案重新定义为：单位在进行会计核算等过程中接收或形成的，记录和反映单位经济业务事项的，具有保存价值的文字、图表等各种形式的会计资料，包括通过计算机等电子设备形成、传输和存储的电子会计档案。
《会计档案管理办法》有关信息化的修订内容：
（一）会计档案是由会计资料有条件地转化而来的。
（二）会计档案既可以是外部接收取得的会计资料，也可以是内部直接形成的各种形式会计资料。
（三）电子会计档案属于会计档案。
五、 信息化环境下的会计档案
计算机审计——审计形式和内容，受信息化的影响
计算机审计技术——技术的层次与应用层次
信息系统审计——有必要的专项审计
信息系统审计实施——专业人员
信息化环境下的会计档案——档案产生与形式
小结
学习愉快！

展开更多......

收起↑