《会计电算化中级培训第六章.ppt》由会员分享,可在线阅读,更多相关《会计电算化中级培训第六章.ppt(74页珍藏版)》请在三一办公上搜索。
1、第六章,会计信息系统的内部控制,本章讨论的四个问题:,一是企业财务内部控制;一是会计信息系统的运行管理体系搭建的问题;二是安全控制技术问题;三是会计信息系统的安全防范制度。,第一节 企业财务内部控制,一、问题的提出,从两个案例说起案例一:女出纳贪污7000万 XX,XX市财政局综合计划处出纳,年到年的几年时间里,她利用职权,共贪污公款多万元被判处死刑。案例二:企业内部控制不可或缺 一家民营企业破产的启示 巨人集团 投资的失误、资金结构的失误 管理的失误、企业文化的失误,我国财务控制的现状,总体评价:国有企事业单位比非国有企事业单位的内控制度文字写得好,执行得不够好;国有大、中型企事业单位的内控
2、制度比国有小型企业的要好;股份制单位、外资企业及民营企业的内控制度比国有企业执行得好。,薄弱环节,一是货币资金二是采购业务 国有大中型企业有之,小型企业有之,主要表现,一是记账人员、保管人员、经济业务决策人员及经办人员没有很好的分离制约,存在出纳兼复核、采购兼保管等现象;二是重大事项决策和执行,没有很好的分离制约,存在“重大”无标准,“决策”无民主的现象;三是财产清查没有形成制度,清查期限、清查程序不明确;四是内部审计没有形成制度化,该设内审机构的不设,该配备专职或兼职内审人员的不配置。,思 考,做何事(what)?为何做(why)?何人做(who)?何时做(when)?何地做(where)?
3、如何做(How)?,二、企业财务控制的含义与目标,含 义,内部财务控制是指单位为了提高会计信息质量,保护资金的安全、完整,确保有关法律法规和规章制度的贯彻执行等而制定和实施的一系列控制方法、措施和程序。,目 标,规范单位会计行为,保证会计资料真实、完整。堵塞漏洞、消除隐患,防止并及时发现、纠正错误及舞弊行为,保护单位资产的安全、完整。确保国家有关法律法规和单位内部规章制度的贯彻执行。,三、关于加强财务控制的意义,是深入贯彻实施会计法的需要,是保证“会计资料真实、完整”的基础 是保障“各单位必须根据实际发生的经济业务事项进行会计核算,填制会计凭证,登记会计账簿,编制财务会计报告”的第一道防线 是
4、对“内部会计控制应当约束单位内部涉及会计工作的所有人员,任何个人都不能拥有超越内部会计控制的权利。”这一规定的强化和补充,是国有企业生存与发展的需要,是国有企业经营管理的需要可使企业降低成本,提高经济效益可使企业降低筹资成本,避免或有负债发生是我国加入WTO后企业自身生存发展的需要,保证企业资产安全的需要,为货币资金的运转提供安全保障 可以加强对存货的管理 可以加强对外投资的管理 可以加强对固定资产的管理,有效控制在建工程成本的盲目扩大,四、企业财务控制的内容,货币资金实物资产对外投资工程项目采购与付款筹资销售与收款成本费用担保,(一)货币资金控制,要求:单位应对货币资金收支和保管业务建立严格
5、的授权批准制度。关键:不相容的岗位应当分离;相关的机构和人员应当相互制约。目的:确保货币资金的安全。,(二)实物的控制,要求:单位应当建立实物资产管理的岗位责任制度。关键:验收入库、领用发出、盘点、保管及处置。目的:防止各种实物资产被盗、毁损和流失。,(三)投资的控制,要求:单位应当建立规范的对外投资决策机制和程序,通过实行重大投资决策集体审议联签等责任制度。关键:投资项目立项、评估、决策、实施、投资处置等环节目的:严格控制投资风险。,(四)工程项目的控制,要求:单位应当建立规范的工程项目决策程序,明确相关机构和人员的职责权限,建立工程项目决策的责任制度。关键:工程项目的预算、招投标、质量管理
6、等环节目的:防范决策失误及工程发包、承包、施工、验收等过程中的舞弊行为。,(五)采购与付款的控制,要求:单位应当合理设置采购与付款业务的机构和岗位,建立和完善采购与付款的会计控制程序。关键:请购、审批、合同订立、采购、验收、付款等环节。目的:堵塞采购环节的漏洞,减少采购风险。,(六)筹资的控制,要求:单位应当加强对筹资活动的会计控制,合理确定筹资规模和筹资结构、筹资方式。关键:规模、渠道、方式、结构、成本、风险。目的:降低资金成本,防范和控制财务风险,确保筹措资金的合理、有效的使用。,(七)销售与收款的控制,要求:单位应当在制定商品或劳务等的定价原则、信用标准和条件、收款方式等销售政策时,充分
7、发挥会计机构和人员的作用。关键:合同订立、商品发出、帐款回收。目的:避免或减少坏帐损失。,(八)成本费用的控制,要求:单位应当建立成本费用控制系统,做好成本费用管理的各项基础工作。关键:标准制定、指标分解、差异控制、结果考核、奖罚措施落实。目的:降低成本费用,提高经济效益。,(九)担保的控制,要求:单位应当明确担保决策程序和责任制度,严格控制担保行为。关键:担保原则、标准、条件、责任、合同订立。目的:及时了解和掌握被担保人的经营和财务状况,防范潜在风险,避免或减少可能发生的损失。,第二节,会计信息系统运行管理体系,内部控制是指在一个单位内部,每一个岗位,每一个环节,乃至每一个人之间,都有明确的
8、权利和责任,这些权利和责任是相互联系、相互制约(控制)的一种制度系统。目的在于保护企业资产,检查会计数据正确性和可靠性,提高经济效益,促进贯彻执行既定的管理制度。内部会计控制是内部控制的最重要的、最主要的组成部分,它在内部控制中处于核心地位,同时内部会计控制是实现会计管理职能的主要手段,也是企业激励、调动部门积极性,抑制、协调负面因素的重要杠杆。在建设会计信息系统过程中,如何实现内部会计控制,关键是通过建立健全完善的会计信息系统运行管理体系,保证会计资料真实、完整,及时发现漏洞、隐患,及时发现、纠正错误和舞弊行为,达到保护单位财产安全和完整的目的。而建立健全完善的会计信息系统运行管理体系主要从
9、组织机构、人员管理、工作流程管理和技术资料管理四大方面入手。,一、组织机构,会计信息系统一般设置如下管理岗位:会计电算化主管、系统管理岗、系统维护岗、会计核算岗(出纳、成本、费用、材料等)、授权审批签字岗、数据处理岗、数据管理岗、档案管理岗。,二、人员管理,1、职业道德 2、财务工作制度 3、内部牵制制度 4、工作交接制度,三、工作流程管理,根据企业的规模和内部控制的现状,会计信息系统的处理流程可以大致分为三种:第一是基于单机数据处理/财务局部网络阶段的会计信息系统处理流程;第二是基于网络级应用的会计信息系统处理流程;第三是基于集团企业的会计信息系统处理流程。,单机数据处理/财务局部网络阶段的
10、会计信息系统处理流程,特点:会计处理不是传统会计核算所采用的并行处理方式,而是串行处理方式。从记账凭证审核后,全部是机器处理过程,人员参加的少,人为干扰因素减少,监督环节也比较少。,网络级应用的会计信息系统处理流程,集团企业的会计信息系统处理流程,四、技术资料管理,在对会计技术资料的管理过程中,主要应遵循三条原则:一是实现技术资料管理的信息化;二是配置必要的措施,确保技术资料安全;三是管理要便于社会各方对技术资料的利用。因此,针对这三条原则,会计信息系统的技术资料管理主要包括日常管理、应用管理和安全管理三大方面。,1、技术资料的日常管理,打印管理 对凭证、账簿和报表的打印应建立相应的制度进行管
11、理,例如:凭证打印:在制作凭证时同时打印。由相关操作员打印。账簿打印:现金日记账和银行存款日记账每日打印,总分类账、明细账按季打印。现金日记账和银行存款日记账由出纳员打印。总分类账、明细账由主管会计打印。报表打印:在期末结账后打印。由主管会计打印。,1、技术资料的日常管理,系统备份 根据实际情况,可以建立完善的系统备份制度,例如:硬盘备份:每天备份一次。可由系统管理员执行备份。磁盘、磁带或光盘备份:每月备份一次当期数据,年底备份一次全年数据。当期数据和全年数据的备份均按两套备份,一套作为调阅存档盘,一套作为非调阅存档盘。由系统管理员执行备份。,技术资料的应用管理,书面档案按常规方式归档、立卷、
12、成册,经会计主管、系统管理员签字后,由档案管理人员保管。磁盘备份的资料一套由电算主管人员保管,一套由档案管理人员保管,并分别存放在不同的地方。磁盘所储存的技术资料保存期与书面形式技术资料保存期限相同。采用磁性介质保存的技术资料,要定期检查,定期复制,防止磁性介质损失。技术资料调阅要严格办理手续,各种技术资料包括打印出来的技术资料以及存储会计资料的软盘、硬盘、计算机设备和光盘等,未经相关人员批准,不得外借和拿出单位。因工作需要调阅技术资料的须经相关人员批准,并详细登记调阅资料的名称、日期、姓名、工作单位和调阅理由等。,技术资料的安全管理,上机日志管理,数据安全管理,查询控制管理,借阅控制管理,数
13、据安全管理主要是指通过对数据的加密和解密、身份认证管理、资料选择备份等,以保证数据使用的安全,实行会计技术资料查询认证制度、查询授权控制制度,按照拥有权限使用会计信息;实行备份查询。对企业内管理人员开放电子技术资料数据库,实行授权网络查询,严禁拷贝下载;对查询信息、查询时间及查询人等进行纪录登记。,实行计算机辅助填写资料借阅审批流程。建立用户信用认证确认系统,对于借阅者进行可信度审查。进行借阅手续的合法性检验。加入使用跟踪程序、阅读程序、借阅期控制密码。,第三节,会计信息系统安全控制技术,本节我们将重点介绍会计信息系统安全控制技术,主要为安全控制的目的与规划、硬件技术、网络技术、数据库技术、基
14、于Internet的会计信息系统应具备的技术以及会计信息系统软件的安全等内容。,一、安全控制的目的与规划,目的是保护会计信息系统的重要数据,同时保证应用的可靠运行。而攻击者则是利用各种技术、方法和工具来攻击系统的弱点,破坏系统或干扰正常运行。,安全威胁分类图,计算机安全是有关数据安全的技术的统称,这些技术的有机结合可以有效地保障企业网络的安全。然而,要达到这个目的,企业必须制订总体安全规划,过程如下:现在的网络应用环境危险应具有一个清晰的认识(例如,病毒、黑客以及自然灾害)。对有危险的安全漏洞的后果及对策事先应有一个分析。在这种认识和分析的基础上,创建一个经过仔细规划的执行策略,将安全措施结合
15、到企业网络的各个方面。因此会计信息系统的安全防护也需采用分层次的拓扑防护措施,即一个完整的会计信息系统安全解决方案应该覆盖到整个系统的各个层次,并且与安全管理相结合,,安全管理层次图,二、硬件技术,物理安全的重要性机房建设磁盘阵列数据存储系统 备份系统设计,物理安全的重要性,物理安全是网络信息安全的最基本保障,是整个安全系统不可缺少和忽视的组成部分。它主要包括三个方面:环境安全:对系统所在环境的安全保护,如区域保护和灾难保护;(参见国家标准GB50173-93电子计算机机房设计规范、国标GB2887-89计算站场地技术条件、GB9361-88计算站场地安全要求等。设备安全:主要包括设备的防盗、
16、防毁、防电磁信息辐射泄漏、防止线路截获、抗电磁干扰及电源保护等;媒体安全:包括媒体数据的安全及媒体本身的安全。,机房建设,机房总体设计的主要任务是:根据计算机房的工作性质、系统规模大小、任务等级以及要求辅助设备情况,结合计算机系统的安装、使用、维护等方面的要求,合理设计各类房间,确定设备布局,同时,为各专业设计制订出有关技术要求和技术指标。对于机房的建设,主要涉及如下的因素:机房场地的环境条件,机房的供配电系统,机房的室内装修、防雷、防静电、防水、防电磁干扰等。,机房建设,针对重要程度,对机房安全的要求分为三大类:A类:对机房的安全有严格的要求,有完善的机房安全措施;B类:对机房的安全有较严格
17、的要求,有较完善的机房安全措施;C类:对机房有基本的要求,有基本的机房安全措施;对于会计信息系统的机房建设,我们建议采用A类标准。,机房建设,机房总体设计的原则包括以下几个方面:必须贯彻执行国家有关工程建设的政策法令,符合国家现行的建设标准和规范。对建筑防火、结构抗震、节约能源等重要问题,设计中应予以妥善解决。在配备辅助设备和确定装修标准时,应坚持“功能第一、实用为主、兼顾美观”的原则,充分论证其技术上的先进性和经济上的合理性。总体方案的确立,应考虑到今后维护、节能管理上的方便性,同时,也应考虑到今后发展扩充的可能性。根据计算机系统的安装要求,为有关专业制订合适的技术指标和技术要求。,磁盘阵列
18、数据存储系统,会计信息系统数据的完整性要求,对数据的存储介质提出了较高的要求,存储设备提供网络信息系统的信息存取和共享服务,其主要特征体现在:超大存储容量、大数据传输率以及高系统可用性,从而为会计信息系统的数据存储提供强有力的保障。下面我们将重点介绍目前使用范围最广的磁盘阵列数据存储系统。,目前改进磁盘存取速度的方式,一是磁盘快取控制(disk cache controller),它将从磁盘读取的数据存在快取内存(cache memory)中以减少磁盘存取的次数,数据的读写都在快取内存中进行,大幅增加存取的速度,如要读取的数据不在快取内存中,或要写数据到磁盘时,才做磁盘的存取动作。二是使用磁盘
19、阵列的技术。磁盘阵列是把多个磁盘组成一个阵列,当作单一磁盘使用,它将数据以分段(striping)的方式储存在不同的磁盘中,存取数据时,阵列中的相关磁盘一起动作,大幅减低数据的存取时间,同时有更佳的空间利用率。磁盘阵列所利用的不同的技术,称为RAID level,不同的level针对不同的系统及应用,以解决数据安全的问题。,磁盘阵列原理,磁盘阵列中针对不同的应用使用的不同技术,称为RAID level,RAID是Redundent Array of Inexpensive Disks的缩写,而每一level代表一种技术,目前业界公认的标准是RAID 0RAID 5。这个level并不代表技术的
20、高低,level 5并不高于level 3,level 1也不低过level 4,至于要选择那一种RAID level的产品,纯视用户的操作环境(operating environment)及应用(application)而定,与level的高低没有必然的关系。RAID 0及RAID 1适用于PC及PC相关的系统如小型的网络服务器(network server)及需要高磁盘容量与快速磁盘存取的工作站等,比较便宜;RAID 3及RAID 4适用于大型电脑及影像、CAD/CAM等处理;RAID 5多用于OLTP,因有金融机构及大型数据处理中心的迫切需要,故使用较多而较有名气,RAID 2较少使用,
21、其他如RAID 6,RAID 7,乃至RAID 10等,都是厂商各做各的,并无一致的标准,在此不作说明。,磁盘阵列的额外容错功能,热备份(hot spare or hot standby driver)的功能,所谓热备份是在建立(configure)磁盘阵列系统的时候,将其中一块磁盘指定为后备磁盘,这块磁盘在平常并不操作,但若阵列中某一磁盘发生故障时,磁盘阵列即以后备磁盘取代故障磁盘,并自动将故障磁盘的数据重建(rebuild)在后备磁盘之上,因为反应快速,加上快取内存减少了磁盘的存取,所以数据重建很快即可完成,对系统的性能影响很小。对于要求不停机的大型数据处理中心或控制中心而言,热备份更是一
22、项重要的功能,因为可避免晚间或无人值守时发生磁盘故障所引起的种种不便。坏扇区转移(bad sector reassignment)。当磁盘阵列系统发现磁盘有坏扇区时,以另一空白且无故障的扇区取代该扇区,以延长磁盘的使用寿命,减少坏磁盘的发生率以及系统的维护成本。所以坏扇区转移功能使磁盘阵列具有更好的容错性,同时使整个系统有最好的成本效益比。,备份系统设计,一个行之有效的存储备份解决方案,必须做到:要求对数据库进行在线备份。能够实现自动备份。保证数据的完整性。备份过程中出现问题能够自动报告,并能方便地管理备份设备。常用的存储介质类型有:磁盘、磁带、光盘和MO(磁光盘)等,其中,磁盘、光盘等存储介
23、质使用的费率较高,对于会计信息系统较为频繁的数据备份需求不能很好的满足,通常情况下,使用光盘及磁带较多。,目前被采用最多的备份策略主要有以下三种:,完全备份、增量备份、差分备份,实例:,实际应用中,备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份,每周日进行全备份,每月底进行一次全备份,每年底进行一次全备份。以下是会计信息系统中,针对数据备份的建议:(1)客户端日常工作备份。客户端的计算机可靠性相比服务器而言较差,采取在线式的网络备份方式,将客户端工作资料通过网络存储到NAS或专门的备份服务器中,实现网络客户端资源的完整备份。(2)服务器端备份。建议采用全备份-差分备份
24、方式,也就是说在每周末采用完全备份,包含所有的系统和数据;在一周的其他工作时间采用差分备份,一方面可以节省备份资源,另一方面也保证能够及时恢复数据。,三、网络的安全防范技术,1、解决网络安全问题的主要方式:网络冗余;系统隔离;访问控制;身份鉴别;通讯加密;安全监测;网络扫描等。,2、网络防火墙,防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的最主要功能就是屏蔽和允许指定的数据通讯,而该功能的实现又主要是依靠一套访问控制策略,由访问控制策略来决定通讯的合法性。,2、网络防火墙,防火墙的选择要素:能力:作为网络的门户,防火墙的能力直接影响网络的安全,因此应选择能力强的防火墙产品
25、。速度:由于进出网络的每一条信息都要经过防火墙,因此防火墙要处理的信息量是非常大的。为了不致使防火墙成为网络的瓶颈,防火墙的处理能力应非常高。防火墙产品一般有硬件和软件两种,建议采用性能较高的硬件产品。管理:防火墙应便于管理、易于管理。安全:防火墙本身应是安全的,即其本身未留后门,防火墙本身不易被攻破等。VPN加密:防火墙应提供VPN加密功能,经过防火墙出去的信息在需要时应能自动加密,接收的防火墙应自动将其解密,加密解密算法应是用户可选的。这样在公用信道上传输的数据即使被第三方截获,也可以保证信息不会丢失、不会被篡改。从而可以利用公用通信设施建立虚拟的、安全的行业内部网。,3、网络主动式防御系
26、统,系统扫描基于应用的检测技术 基于主机的检测技术 基于目标的漏洞检测技术 基于网络的检测技术,3、网络主动式防御系统,入侵检测 入侵检测的主要功能:监视用户和系统的运行状况,查找非法用户和合法用户的越权操作。检测系统配置的正确性和安全漏洞,并提示管理员修补漏洞。对用户的非正常活动进行统计分析,发现入侵行为的规律。检查系统程序和数据的一致性与正确性。如计算和比较文件系统的校验和能够实时对检测到的入侵行为进行反应。入侵检测的种类:基于主机的入侵检测系统:其输入数据来源于系统的审计日志,一般只能检测该主机上发生的入侵。基于网络的入侵检测系统:其输入数据来源于网络的信息流,能够检测该网段上发生的网络
27、入侵。分布式入侵监测系统,上述两种方式的结合,适用于规模较大的网络系统,4、网络病毒防范,网络化的病毒防护;为病毒和内容提供有效地一次性扫描;病毒防护和Web过滤技术;提高网络吞吐量和可用性;全面安全策略管理;,5、网络操作系统,Windows2000的安全特性账号策略,包括:口令策略、账号锁定策略、Kerberos验证策略;组策略,包括:增减桌面、控制面板中的项目;自动部署软件;为用户配置IE浏览器的安全区;配置网络如网络驱动器映射、对计算机浏览的访问权限的设置;配置系统设置如关闭计算机命令是否显示、是否允许运行任务管理器等。IP Security策略:扫描什么IP地址;如何加密包;设置过滤
28、器监视使用IP Security的对象。,5、网络操作系统,其他安全技术和和工具公钥加密系统(PKI);数字签名;安全套接层(SSL);加密文件系统(EFS);验证,包括:Kerberos验证、NTLM验证;代码安全,四、数据库技术,安全基本原则访问控制:用来决定用户是否有权访问数据库对象;验证:验证就是保证只有授权的合法用户才能注册和访问;授权:对不同的用户访问数据库授予不同的权限;审计:监视系统发生的一切事件。,2、安全控制策略,权限分配用户登录 权限控制审计服务(Audit Server)视图及存储过程系统服务系统验证,五、应用软件(电算化软件的要求),系统运行环境的安全设置与操作系统的
29、安全机制相结合中间层的安全策略数据库端的安全策略,第四节,会计信息系统安全防范制度,一、安全管理策略,作为整个安全防范制度的主体框架,安全管理策略主要从管理的角度出发,考虑以下方面:会计信息系统岗位责任制度:根据人员岗位性质制定相应的岗位责任制,主要有软件操作、审核记账、系统维护、系统审核、会计审计、会计档案管理等。会计信息系统人员考核制度:人员考核范围、考核指标及统计标准、考核执行人、考核审查人员、考核结果处理办法等。会计信息系统权限管理制度:操作人员范围、功能模块权限、岗位权限、人员权限、数据访问权限、授权流程、授权过程记录、例外控制等。,二、硬件安全防范措施,硬件安全防范措施关系到系统的
30、硬件安全,主要进行硬件管理维护的技术规范制定,考虑以下方面:机房管理制度:主要考虑机房的运行环境保障,主要有防火、防盗、防潮、防汛、防震、温湿度控制、日常清洁卫生、访问人员控制等。硬件维护:主要考虑硬件的故障检测、故障报告、维修维护、运行状态记录、存储介质保管等。,三、软件安全防范措施,软件安全防范措施涉及到整个系统是否能够正常运行以及数据的安全,主要进行软件系统安全防范的技术规范制定,考虑以下方面:操作系统安全规范:操作系统的安装设置、安全检测(含病毒扫描)、故障报告、维护配置、系统升级、运行状态记录、系统配置信息备份、密码策略等。安全设施安全规范:防火墙、入侵检测、加密机、杀毒软件等软硬件
31、安全设施的安装、配置、安全检测、故障报告、维护配置、系统升级、运行状态记录、系统配置信息备份、日志审查密码策略等。会计信息软件安全规范:会计信息软件的安装设置、权限设置、故障报告、系统升级、系统备份、日志管理等,四、安全操作规范,安全操作规范涉及到整个系统的运行正常及数据的真实有效性,主要进行业务系统的安全操作规范制定,考虑以下方面:系统操作规范:计算机开关机步骤、打印机等设备的使用规范、操作系统登录注册步骤、密码管理制度、日常维护等。会计系统操作规范:数据检查预处理、凭证录入及复核、打印管理、软件操作规范、密码管理等。,五、安全管理总结,没人相信会出问题,直到问题发生。只有当获得安全的方法是简单易用的时候,这些措施才能被真正落实。如果你不能及时安装安全补丁,你的网络就不再属于你。安装安全补丁是所有安全措施的第一步。持续的警惕性是确保安全所必需的。肯定有人乐意猜测你的口令。最安全的网络肯定是管理手段最完善的网络。确保网络安全的难度和网络的复杂度成正比。安全策略的意义不是保障你的系统没有风险,而是为你提供风险管理。技术不是“万灵药”。,谢 谢!,
