《内部控制 信息技术环境下企业内部控制(66张)课件.ppt》由会员分享,可在线阅读,更多相关《内部控制 信息技术环境下企业内部控制(66张)课件.ppt(66页珍藏版)》请在三一办公上搜索。
1、信息技术环境下企业内部控制,信息技术环境下企业内部控制,任何企业在其经营活动中都会面临各种各样的风险,企业的发展过程就是不断与各种风险打交道并降低和避免各种风险的过程。而信息技术的广泛应用,使企业的生产、经营与管理模式产生了巨大的变化,一方面信息技术应用为企业增强了竞争力的同时带来了新的风险,另一方面信息技术也能为控制风险提供新的手段。作为企业管理重要组成部分的内部控制必须进行改革,以适应新的情况,本章就来讨论这些问题。,任何企业在其经营活动中都会面临各种各样的风险,第一节 现代企业面临的风险 与内部控制的重要性,控制是针对风险而设立的,风险是导致一个组织或机构发生损失的可能性,而控制则是降低
2、或减少风险的活动。风险损失的大小是该风险事件发生的概率与该事件可能造成的损失的乘积。风险不仅仅是由于缺少控制而产生的,它是任何组织的经营活动中固有的,其原因多种多样。控制可以减少风险,但不能消除其起因。,第一节 现代企业面临的风险 与内部,一、企业在运营过程中面临的传统风险,过高的成本;不足的收入;资产的流失;会计的失误;经营的中断;违规的处罚;竞争的弱势;舞弊与盗用;白领犯罪;法人犯罪。见图9-1,一、企业在运营过程中面临的传统风险 过高的成本;不,不足的收入,过高的成本,资产流失,经营的中断,舞弊与窃取,会计的失误,竞争的弱势,违规被处罚,常见的风险,图9-1 企业面临的传统风险,常见的传
3、统风险,法人犯罪,白领犯罪,不足的收入过高的成本资产流失经营的中断舞弊与窃取会计,白领犯罪 是指管理层犯罪,这类犯罪有别于其他非法活动,它发生在犯罪人的工作中,当管理人员通过某些欺骗手段将资产转移用途或隐瞒时,白领犯罪就发生了。如会计作假账就是白领犯罪行为。法人犯罪。 是指表面上看只是对企业或组织有利,不是对犯罪者个人有利的白领犯罪,而实际上犯罪者个人是间接受益的。法人犯罪给组织带来的风险可能更大。,白领犯罪,二、信息化后企业面临的新风险,计算机系统消除了手工的大部分交易处理痕迹计算机系统中交易的授权和执行与手工系统有很大不同重新安排职责分离 对信息系统内控的依赖性,增加了差错多次发生的可能性
4、更严峻的风险 数据集中存储和管理,一但出现硬件故障,比如主机系统损坏,可能导致数据丢失甚至造成毁灭性的灾难。业务数据和财务数据集成以后,内部管理上权限控制是重新分配的,新的控制措施跟不上,就有可能造成控制的漏洞。在信息技术环境下,对技术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在极端情况下,可能会造成机器毁坏或整个系统瘫痪。信息在互联网上传输,产生了易泄露的风险,还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。,二、信息化后企业面临的新风险计算机系统消除了手工的大部分交易,信息技术是双刃剑,有正面的价值,也有负面的影响。我们的任务就是千方百计发挥和利用信息技术的正面效用而
5、减少或避免其负面影响,这就为内部控制提出了新的挑战,我们必须认识这一点。好在信息技术在内部控制工作中也可以大有作为,甚至可以帮助完成人工不可能实现的控制任务,这完全取决于我们的研究与探索。企业信息化完全改变了原来业务处理的模式、秩序、稳定性和安全性,需要我们建立一个全新的信息技术环境下的以信息技术为工具的内部控制体系,也就是要建立一个基于信息技术的具有稳定性、安全性的新的业务处理模式。,信息技术是双刃剑,有正面的价值,也有负面的,第二节 信息技术环境下 企业内部控制的一般概念,一、内部控制的基本概念 美国COSO委员会在内部控制整体框架中将内部控制定义为:内部控制是由企业董事会、经理层和其他员
6、工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。对此定义我们可作如下理解:,第二节 信息技术环境下 企业内部控制的一般,内部控制是一个流程,受公司董事会、管理层和员工行为的影响。内部控制流程中一切活动的设计,都必须始终围绕实现下列三个目标提供合理的保证:经营的效果与效率;财务报告的真实与可靠;经营活动的合法与合规。,内部控制是一个流程,受公司董事会、管理层和员工行为的影响,2. 内部控制的实施基于两个前提:第一个前提是责任, 管理层和董事会有责任建立并维持一个有效的内部控制流程。虽然具体的控制活动的责任由某些下属承担,但最终的责任仍属于最高管理层
7、和董事会。尽管内部审计师最熟系内部控制的知识,但内部控制并不是由审计师负责,而是由管理层负责。审计师负责为管理层提供有关内部控制如何运行的信息。第二个前提是合理合的保证,这与控制的成本和收益有关,精明的管理层不会让花在控制上的钱超过从控制上所能得到的收益。即控制的合算性。,2. 内部控制的实施基于两个前提:,3. 内部控制还要受到外部法制环境和企业经济环境的影响任何企业都受制于国家发布的相关而具体的法律法规。一个企业必须保证它的所有生产经营活动符合国家颁布并已生效了的相关法律法规。否则,违规违法都会遭受处罚,形成经济损失。内部控制就是保证企业活动符合相关的法律法规的活动。企业的内部控制流程将会
8、随着某些情况的不同而改变,这些情况包括企业的规模,组织结构,所有者特征,传送、处理、保存和评价信息的方法、法律法规的要求,经营的多样性和复杂程度等。比如,小型企业中就可能没有足够的雇员来做到和大企业同样程度的职责分离。,3. 内部控制还要受到外部法制环境和企业经济环境的影响,二、信息技术环境下的企业内部控制的目标,确定内部控制的目标是管理过程的一个重要组成部分,是搞好内部控制的先决条件。内部控制的目标决定了内部控制的要素、手段和具体实施办法。控制是为了减少风险,在对企业的风险分析中,常常结合经营活动的四个一般循环来进行,每个交易循环都可能存在风险,那么管理层就应该明确每个交易循环的具体控制目标
9、,这些控制目标为分析风险提供了一个基础,便于找到风险并评估其大小,从而有针对性地设计控制措施。图9-2 列出了每个交易循环的典型控制目标。,二、信息技术环境下的企业内部控制的目标 确定内部,图9-2 交易循环中典型的控制目标,典型的控制目标收入循环顾客应该是按管理层的标准,三、内部控制的五大要素,一个企业的内部控制过程包括五个要素:控制环境,风险评估,控制活动,信息与沟通,监督。COSO将内部控制要素以一个金字塔结构提出,其中控制环境作为金字塔的最底部,风险评估和控制活动位于上一层次,信息和沟通接近顶部,监督处于最顶端。如图9-3所示。,三、内部控制的五大要素 一个企业的内部控制过程包括五个,
10、控制环境,风险评估,控制活动,信息与沟通,监督,内 部 控 制,图9-3 内部控制五要素,控制环境风险评估控制活动信息与沟通监督内 部 控 制图9-3,(一) 控制环境,一个组织的控制环境是控制系统中其他要素的基础。控制环境是各种因素共同作用的结果,这些因素可以增强或弱化内控措施的实施效果。因此, 控制环境决定着组织的整体风格,左右着员工的控制意识,直接影响控制效果。控制环境包括企业文化;包括企业的经营重点和经营目标;包括管理层的管理哲学和经营风格;包括企业实施的权责分配方法和执行的人事政策;还包括员工的职业道德、敬业精神和个人才能等。,(一) 控制环境 一个组织的控制环境是控制系统中,构成控
11、制环境的主要因素:,道德准则企业文化敬业精神管理哲学组织结构董事会及下属委员会的职能权责分配方式人力资源政策与实施,构成控制环境的主要因素:道德准则,道德准则,潜在的道德违规对企业意味着重大的损失风险。这些风险可能是缴纳巨额罚金,也可能是企业行政官员被起诉。比如,美国一家利用氰化物从胶卷中提取银的公司,曾导致一名员工死亡。该公司被指控蓄意营造危险工作环境,三位行政官员被判谋杀罪定刑25年监禁。,道德准则 潜在的道德违规对企业意味着重大的损失风险。这,企业文化,每个企业都有自己的企业文化,企业文化与全体员工的一般信念、追求、价值取向、行为和态度有关。企业文化可能促进也可能阻碍企业的道德行为,进而
12、影响内控的效果。如果企业文化存在严重问题,内控效果就会大打折扣,一个健康的企业文化会使内控事半功倍。 塑造一种具有高尚道德行为的企业文化十分困难,它需要员工有较高的受教育程度,有较高的觉悟和组织纪律性;需要管理者具有莫大的人文关怀和公平、公正而又艺术的执政风格。,企业文化 每个企业都有自己的企业文化,企业文化,敬业精神,任何内部控制过程要想发挥作用,员工的能力都是必不可少的。员工的品质、能力和敬业精神保证了控制过程的执行。若没有具有足够能力和起码觉悟的员工,任何控制过程都不能发挥作用。,敬业精神 任何内部控制过程要想发挥作用,员工的,管理哲学,一个组织中的有效控制基于并且依赖于组织的管理风格。
13、如果管理层相信控制是重要的,那么他就应该实行监督使得控制措施得到有效执行。如果管理层只把控制的重要性停留在口头上,久而久之其下属会觉察到管理层的真实态度说说而已,从而使控制的目标得不到实现。,ffff,管理哲学 一个组织中的有效控制基于并且依赖于组织,组织结构,一个组织的结构是由这个组织中的授权和责任类型决定的。如下图。,总 裁,生产副总裁,内部审计长,主计长,销售副总裁,财务主管,管理副总裁,生产控制采购装运收获存储生产成品存货控制,预算纳税筹划会计经理,计时开单应收账款应付帐款成本会计薪酬费用分类账总分类账,促销顾客服务销售订单,人事效益经营,办公室收发室,信贷出纳保险,图9-4 组织结构
14、图,组织结构一个组织的结构是由这个组织中的授权和责任类型决定的,图中开单人对会计经理负责,会计经理对会计主管负责,会计主管则对总裁负责。一个企业需要建立科学而有效的组织结构,使得权责分明,沟通渠道规范。如图中所示,开账单的人不应该把行动的结果向生产副总裁报告,否则就是非正常的组织结构。,图中开单人对会计经理负责,会计经理对会计主管负责,,董事会及委员会的职能,一个组织的董事会是连接组织的所有者股东和组织的经营管理层的纽带。股东们通过董事会及其下设的委员会对管理层进行控制。董事会通常将专有的职能售给各种各样的委员会,其中最为重要的就是审计委员会。审计委员会应独立于组织的管理层,主要由董事会以外的
15、人员组成,其职能是对组织的财务报告负责,包括遵守现行的法律法规。审计委员会任命执业会计师,与他们讨论审计的范围和性质,并评价该组织的编制的财务报告。为保持内部审计的独立性,内部审计应直接向董事会下属的审计委员会报告。见图9-5,董事会及委员会的职能 一个组织的董事会是连接组织,董事会,董事会下属的审计委员会,总裁,内部审计,其他人员,主计长,图9-5 审计委员会,董事会董事会下属的总裁内部审计其他人员主计长图9-,权责分配方式,一个组织的权责分配方式取决于组织内部的管理风格和经营模式。如果只有口头上的或非正式的权责分配形式,控制可能会弱化或形同虚设。一张正式的组织结构图或一份书面文件经常用来表
16、明组织总体的权责分配情况,组织结构图往往与正式的职责描述和职责分配的陈述联合使用。书面备忘录、政策手册和程序手册也是一些组织常用的权责分配手段。,权责分配方式 一个组织的权责分配方式取决于组,人力资源政策和实施,公司的正式职员应该是称职的,并且进行过大量有关职责方面的培训。大量实践和分析表明,职员在任何一个控制系统中都是最为关键的因素。公司为每一个工作职位建立的用人条款都应该反映与这个职位相关的责任和具体要求,如:经验、才能品质、奉献精神和领导能力。在用人政策的实施中常采用以下控制措施:,人力资源政策和实施 公司的正式职员应该是称职的,并且进,忠诚保险 为职员的忠诚买保险,以便得到可靠的雇员。
17、职责分配 明确每一个员工职务和责任,界定职责范围。监督 被授权的人对员工直接督察,确保职责按分配执行。轮流工作和强制休假 令员工在某段时间内执行其他员工的任务,以检查和校验其他人的业务。双重控制两个执行同一任务的员工必须经常相互检查同伴的工作,建立责任共同体。,忠诚保险,(二) 风险评估,风险评估是提高内部控制效率和效果的关键。任何组织都会面临来自其内部和外部的风险,各个组织都必须进行风险评估,以识别、分析、管理风险。一般而言,风险会随以下因素而产生或变化:经营环境变化、改造和更换新的信息系统、新的员工、新技术应用等。不健全或无效的内部控制措施就是风险存在的信号。,(二) 风险评估 风险评估是
18、提高内部控制效率和效,(三) 控制活动,控制活动是指管理者为了确保管理指令能够得以有效实施而制定并实行的各种政策和步骤。旨在为组织中每个特定的控制目标的实现提供合理的保证,这些特定的控制目标包括:必须有任务分割以防止员工在其正常职责范围内作弊并隐瞒。(职责分离)设计和使用适当的文档和记录以保证交易和事件的适当记录。(留迹)只有得到管理层的授权才能接近资产。(物理隔离)对资产和工作情况的相关责任进行独立的检查。对数据处理进行控制以保证交易的合理授权、业务数据处理的准确性与完整性。,(三) 控制活动 控制活动是指管理者为了确保管理指,(四)信息与沟通,围绕在控制活动周围的是信息与沟通系统。该系统使
19、企业内部的员工能够取得他们在执行、管理和控制企业经营过程中所需要的信息,并交换这些信息,使企业内部的每一个员工都能够履行其职责。有效沟通的含义包括:必须了解自己在内部控制制度中扮演的角色,以及每个人的活动如何影响他人的工作;必须具有相上沟通重要信息的渠道和方法;还应向顾客、供应商、政府主管机关和股东等进行有效沟通。健全的信息系统必须以标准化的文件、报表、政策手册、备忘录等形式,有效地传输或沟通各种信息。,(四)信息与沟通 围绕在控制活动周围的是信息与沟,(五) 监督,监督是指长期评价内部控制质量、必要时还要采取必要行动的一个不间断的过程。 监督是对内部控制的整体框架及其运行情况的跟踪、监测和调
20、节,以自始自终确保其有效性。监督可以通过日常的监控活动来完成,也可通过执行独立监督(内部审计和外部审计)或二者结合起来实现。如内部审计的目标就是通过向管理层提供对以下活动或系统的分析与评估的结果,来为管理层服务:组织的信息系统组织的内部控制结构对经营政策、程序和计划的遵守程度公司员工的业绩质量,(五) 监督 监督是指长期评价内部控制质量、必,内部控制的三个目标之间具有直接联系,他们代表了企业努力的目标;而五项要素代表了实现这些目标的所需元素。所有五项要素都与每一类目标相联系。为实现每一类目标如经营的效率和效果需要五项要素共同发挥作用,以说明经营的内部控制是有效的。,这五项要素既相互独立又相互联
21、系,形成一个有机统一体,对不断变化的环境自动作出反应。,内部控制的三个目标之间具有直接联系,他们代,(一)业务控制与信息系统控制的分离 信息技术的应用对内部控制五要素的影响程度是不同的。其中,由于控制活动是实现控制目标的规章制度、岗位设置和流程定义等具体措施,而且依赖于企业的业务流程,所以业务流程的自动化必然对控制活动产生的影响最大。信息技术环境下的控制活动分离出两个分支:自动化业务控制和信息系统控制。,四、信息技术环境下内部控制的变化,(一)业务控制与信息系统控制的分离四、信息技术环境下内部控制,1. 自动化业务控制,自动化业务控制就是以信息技术实现的传统控制活动,如机上授权,机上审批等。他
22、的控制目标与传统控制活动的控制目标一致,都是为了达到营运的效率效果、财务报告的可靠性和相关法令的遵循性等目标。自动化业务控制的控制对象与传统业务控制的控制对象是一致的,都是企业的生产经营过程。不过,自动化业务控制的存在形式和控制手段发生了很大变化。它以计算机程序的形式嵌入企业的信息系统中,对业务的控制由计算机自动执行。,1. 自动化业务控制 自动化业务控制就是以信息技,2. 信息系统控制,信息系统控制是为了保证信息系统效率、安全性和完整一致性而采取的控制措施。信息系统控制的控制目标服从于业务控制目标,包括以下三点:效率 信息系统的全部资源应该被充分开发利用。安全性 信息系统的软、硬件和数据资源
23、应得到最高水平的保护,敏感部位应防止未经授权的人员接触。完整一致性 信息系统的完整性一致性指信息系统的处理逻辑应该符合企业的商业规则,所输出的信息精确而有效。,2. 信息系统控制 信息系统控制是为了保证信息系,信息技术环境下控制活动的结构:,信息技术环境下控制活动的结构:,(二)控制活动的变化,在信息化程度较高的企业中,传统的手工业务控制活动完全由自动化业务控制活动所取代。自动化业务控制与信息系统控制其控制活动有许多不同的特点,具体变化如下:交易授权 交易授权是将交易的执行限定给经过选择的人。信息技术环境下的交易授权有以下几点变化:(1)交易授权自动化。(2)授权过程不明显。,(二)控制活动的
24、变化 在信息化程度较高的企,2. 职责分离,职责分离通过将交易授权、交易记录和资产监管等职责分配给不同的人得以实现。即:交易(业务)活动要得到授权;活动情况(结果)由另外的人记载(记账);负责交易的人不能监管资产;监管资产的人不能单独记录(记账)资产增减。 在信息技术环境下,能用计算机进行自动处理的业务流程中的职责没有必要进行划分。因为计算机没有私心,也不会倦怠,在其运行过程中不会像人那样会犯错误或故意作弊,原来手工环境下本不相容的职责,现在由一个程序模块来执行也不会出问题。,2. 职责分离 职责分离通过将,3. 监管,监管是指管理者对员工的监视和管理。监管是针对职责分离不充分的一个补救措施。
25、充分的职责分离需要企业有大量的员工,这对中小型企业和一些缺少人手的部门来说有一定困难,所以不充分的职责分离在所难免。为了避免不充分的职责分离可能带来的损失,企业采用监管作为补救的措施。在信息技术环境下,自动业务流程中的职责分离大部分被计算机程序所取代,不存在职责分离是否充分的问题,所以没必要针对自动业务流程进行监管。但是,信息系统的开发、维护和处理操作等活动仍然存在着职责分离,而且管理这些活动中的员工有一些新的难点,所以对信息系统的监管十分重要,传统的监管手段也发生了一定的变化。,3. 监管 监管是指管理者对员工的监视和管理。,4. 业务记录,业务记录是指企业为了反应和控制各项生产经营业务以文
26、字形式对业务活动的发生、进展和结束等的全过程进行记载,主要包括业务活动的授权记录、接受记录和会计记录等。这些记录反映了经济业务的实质,并为内部控制和审计提供了交易轨迹。 在信息技术环境下,业务记录的载体由纸质变成了磁质。同时,纸质的交易轨迹不复存在,取而代之的是数据库记录和操作日志等磁记录。信息技术在改变交易轨迹形式的同时也对交易轨迹的法律效力产生了影响。员工在纸质凭证上的签字可以证明确实是他对交易进行了授权或确认,但在磁质交易记录上的操作员字段信息的法律效力却受信息系统的完整性、正确性和安全性的影响。,4. 业务记录 业务记录是指企业为了反应和控制各,5. 接触控制,接触控制是保证只有经过授
27、权的人才能接触企业资产的控制行为, 限制非授权者接近资产,常用方法如下:现金登记簿和保险柜锁、保险库和禁区人力保卫监视器报警系统 当然,上述措施要配套:比如锁要有钥匙,监视器要有人监视才行。,5. 接触控制 接触控制是保证只有经过授权的人才,6. 独立稽核,独立稽核是指验证另一个人或另一个部门执行的工作。通过独立稽核,管理层可以评估员工的业绩、信息系统完整性和交易记录的正确性。独立稽核是一种事后措施,不同于监管。在手工环境下独立稽核是非常必要的,因为员工处理业务时可能会失误,而失误可能没有被监管等措施所发现,此时独立稽核便成为最后的防范措施。在信息技术环境中,正常情况下计算机会始终如一地根据程
28、序运行,如果程序精确而完整,那就没有必要对程序运行的结果进行日常性的检查,这也正是信息技术的应用会降低企业运行成本的一个重要方面。但是这并不意味着企业没有必要进行独立稽核。在信息系统维护或业务发生变化时,独立稽核仍然是确保计算机系统运行正确性的重要控制措施。,6. 独立稽核 独立稽核是指验证另一个人或另一,由于上述种种变化,企业在制定内部控制制度设计内部控制措施时,应该对五个要素特别是控制活动要素充分考虑信息技术应用带来的影响。因为原来合理的、有效的控制措施,现在可能变得没有意义;原来不存在问题的业务环节,现在由于处理方式的改变可能风险陡增。这就需要认真研究和识别控制对象与控制活动的变化,设计
29、相应的有针对性的控制措施。,由于上述种种变化,企业在制定内部控制制度设,第三节 信息技术环境下的交易处理控制,设计交易处理控制的目的是确保一个组织的内部控制的元素被用于实施某些应用系统,这些应用系统包含于组织的每个交易循环中。交易处理控制由一般控制和应用控制组成。一般控制影响全部的交易处理;应用控制则被用于某些具体方面。,第三节 信息技术环境下的交易处理控制 设计交易处,5.3.1 一般控制,一般控制也即整体控制。实施一般控制的目的是为了确保信息系统的开发、实施、运行能在有序地、被控制的状态下运行。一般控制作用于所有的应用系统,成为围绕应用系统的保护层。见图5-7。,5.3.1 一般控制 一般
30、控制也即整体控制。实施一般控制,高层管理控制,应用控制,信息系统的管理控制,系统开发与维护控制,数据资源管理控制,质量管理控制,安全管理控制,信息系统外包管理控制,运行管理控制,图5-7信息系统一般控制框架,高层管理控制应用控制信息系统的管理控制系统开发与维护控,高层管理控制,随着企业信息化不断深入,信息系统已经成为企业提供有竞争力的产品和服务的一项基础设施。因此,为保证信息系统的有效运行,必须全力做好信息系统的管理控制工作。CIO应通过下列手段对信息系统进行管理控制:规划 规划工作建立一个组织的信息系统的目标。组织 筹集、分配实现目标所需的人、财、物资源。控制 对信息系统实施总体控制:确定系
31、统所需费 用;分析系统可创造价值;控制系统人员的 业务活动。,高层管理控制 随着企业信息化不断深入,信息,系统开发与维护控制,系统开发与维护控制是对新系统的分析、设计、实施以及现有系统的改进与维护实施的控制。具体包括三个方面:系统开发控制 如有可能,内部审计人员应参与系统开发,除对开发过程进行监督,更重要的是促使技术人员完善系统中应当嵌入的内部控制措施和审计功能。系统维护控制 系统维护往往会“牵一发而动全身”,程序、文件、代码的任何修改都是非同小可的事情。所以必须严格控制,一切维护活动,都必须得到授权与批准。系统档案控制 系统档案是系统开发留下的痕迹,是系统维护的指南,是开发人员与用户交流的工
32、具。必须妥善保管并制定措施确保文档的一致性或分版本存档。,系统开发与维护控制 系统开发与维护控制是对新,数据资源管理控制,数据库中的数据是企业的重要资源,数据库的正确使用及数据的完整性、安全性是整个信息系统运行和为企业提供决策的重要环节。因此对其应实施下列控制:访问控制 首先,通过密码和身份鉴别对访问数据库的人进行限制,其次,通过权限设置对数据库数据的访问范围进行限制。建立数据备份和恢复制度 软、硬件故障、操作失误、人为攻击都会影响数据库中数据的正确性甚至全部丢失。因此,必须设定和实施适当的后援和恢复策略,一旦发生故障,可在最短时间内恢复数据库的正常状态。,数据资源管理控制 数据库中的数据是企
33、业的重要资源,数,质量管理控制,为了确保信息系统达到特定的质量目标,信息系统的开发、实施和维护应遵守一系列的质量标准。因此,国外的一些组织中出现了信息系统质量保证角色,其职能包括:制定信息系统的质量目标;制定、发布和维护信息系统标准;监控质量标准的执行情况;识别应当改进的方面;向管理者定期报告各项标准的执行情况。,质量管理控制 为了确保信息系统达到特定的质量目标,,安全管理控制,安全管理控制的目的是为了确保信息系统的硬件、软件、核数据资源受到妥善保护,不因自然和人为因素而遭到破坏,使信息系统能够持续正常地运行。安全管理控制包括:实体安全控制软件安全控制数据安全控制数据安全控制系统入侵防范控制通
34、信安全控制病毒防范控制,安全管理控制 安全管理控制的目的是为了确保信息,信息系统外包管理控制,由于信息系统更新换代的周期短,信息系统工作人员的流动性高,人工费用与设备维修费用十分昂贵,因此,近年来在先进的发达国家出现了利用外包信息系统资源的方法,简称“外包”。外包指组织只专注于自己的特定业务,而将相关的信息系统业务承包给外部的信息服务机构。通过外包,企业可以提高对信息技术、信息人才的利用效率,显著降低信息系统的运营成本,使企业可以将自己的力量集中于其核心竞争优势方面,更加集中于实现企业的战略目标。,信息系统外包管理控制 由于信息系统更新换代的周期短,信息,续:,外包必须有特定的人员来负责监督控
35、制,主要有:不断评价外包商的财务能力;监督外包合同条款的执行;通过要求外包供应商定期提供一个第三方的审计报告或由客户的内部审计人员和外部审计人员定期审计其控制,对外包商控制的可靠性进行监督,确保外包商提供安全可靠的信息系统资源;建立外包灾难恢复控制,并定期评价这些控制,如果外包商发生灾难事项,客户也应设计自己的在难恢复程序。,续: 外包必须有特定的人员来负责监督控制,主要有:,运行管理控制,运行管理控制是针对信息系统中硬件和软件设施的日常运行而实施的控制。主要包括:访问计算中心的控制计算机操作控制文件服务器控制硬件设备维护控制文档资料与存储媒体的控制技术支持活动的控制监控硬软件的性能,运行管理
36、控制 运行管理控制是针对信息系统中硬件和软件设,5.3.2 应用控制,应用控制是具体控制或微观控制,它与具体的应用系统有关,是为了确保数据处理完整正确而实施的控制。应用控制可以由人工实施控制,也可以由计算机程序实施自动化控制。我们将应用控制分为输入控制、处理控制和输出控制 ,三者之间的关系如图5-8所示。,5.3.2 应用控制 应用控制是具体控制或微观控,使用者,显示输出,打印输出,交易原始凭证,转换为机器可读媒体,编辑程序,数据处理,磁盘输出,输入终端,操作员,使用者,使用者,输入控制,处理控制,输出控制,图5-8 输入、处理和输出控制示意图,使用者显示输出打印输出交易原始凭证转换为机器编辑
37、程序,输入控制,输入控制是为保证输入系统的数据正确、完整和可靠而设计的控制。具体包括:原始单据审核控制输入数据正确性控制数据输入完整性控制数据逻辑控制错误纠正控制,输入控制 输入控制是为保证输入系统的数据正确、完,处理控制,处理控制是为了保证数据处理的正确性和完整性而实施的控制,这种控制是通过预先编好的计算机程序实现的。具体包括:处理权限控制参照检查控制数据合理性检验控制业务时序控制审计踪迹控制备份与恢复控制,处理控制 处理控制是为了保证数据处理的正确性和完,输出控制,输出控制的主要目的是保证输出信息的正确性,并确保只将其提供给经授权的使用者。具体包括:输出数据的正确性控制输出数据审核控制输出
38、权限控制由控制组进行控制输出资料的分发控制差错更正控制,输出控制 输出控制的主要目的是保证输出信息的正确性,第四节 内部控制的深层思考,一、人的因素第一 人是所有内部控制中最为重要的因素,首先,人无完人,他们会疏忽、会犯错误;人有私心,为谋取个人利益,可能会犯罪。如果人都是完美的,那么内部控制就完全没有必要,只能是资源的浪费。内部控制归根结底是对人的控制,它的最基本的功能就是影响商业机构内人的行为。其次,内部控制措施靠人来制定,靠人来实施。内部控制过程许多情况下是一些人对另一些人工作的检查过程,因此,制定和实施控制措施的人必须具有较高的业务素质,才能使控制措施科学有效、合规合算、好理解易操作。
39、,第四节 内部控制的深层思考一、人的因素第一,二、控制的适度性,一个信息系统有多个目标,首要的目标是运行效率,信息的可靠性和安全性也是重要目标,这些目标之间往往会发生冲突,信息系统的运行效率常会受到对信息可靠性顾虑的限制。控制其实是一种重复劳动,它们影响了运行效率,但增加了输出结果的可靠性。过度考虑可靠性和安全性可能会降低效率,但忽略可靠性与安全性只强调效率也会牺牲可靠性与安全性,两者必须权衡与兼顾。,二、控制的适度性一个信息系统有多个目标,首要的目标是运行效率,三、内部控制过程分析,搞好内部控制,不仅要关注内部控制系统是如何设计的,还要充分了解这个控制系统是如何运作的。实际的运行过程可能与预
40、期的过程不一致。比如文档记录可能已经过期了,组织可能已经启用了新的程序,还可能为了适应一些最初设计时没有预料到的环境变化对程序作了非正式的修改。这就需要定期调查了解收集信息,以检查责任或权限是否转移,批准与核实是否得到执行。有关内部控制责任的文档必须予以检查,以评价系统运行的可靠性。设计一个内部控制过程只是问题的一个方面,内部控制责任真正按照规定运行才是问题的关键。,三、内部控制过程分析 搞好内部控制,不仅要关注内,本章作业:,什么是法人犯罪?公认的是计算机处理增加了组织中发生负面事件的风险,可为什么我们还要努力实现企业信息化?从控制和被控制两方面来说明人是所有内部控制的重要因素。,本章作业:什么是法人犯罪?,THE END,
