没有合适的资源?快使用搜索试试~ 我知道了~
2021-2022年收藏的精品资料计算机信息系统的控制及其审计.doc
0 下载量 103 浏览量
2022-12-17
19:15:20
上传
评论
收藏 247KB DOC 举报
温馨提示
试读
33页
2021-2022年收藏的精品资料计算机信息系统的控制及其审计.doc
资源推荐
资源详情
资源评论
1
第三章 计算机信息系统的控制及其审计
[内容提要] 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确
和完整,为防止或及时发现差错及舞弊行为的发生,信息系统的控制就显得尤为重要。本章
专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。
本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。
第一节 信息系统控制的重要性
信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营
决策的重要依据,因此,如何才能确保信息的有效、准确、及时、完整和安全,是我们在设
计和运行信息系统时所需考虑的一个重要问题,而这一问题的关键在于如何完善信息系统的
控制。
一、控制的定义
对一个企业来说,所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效
利用和提高企业财会和管理信息的真实、正确性,确保企业方针政策的贯彻执行,促进各项
工作与企业经营效率的提高而实施的各项措施。内部控制由控制环境、风险评估、控制活动、
信息与沟通和监督五部分构成。一个良好的企业控制系统应具有以下 4 个方面的功能:
1. 确保企业各种经济资源的安全。一个企业,如果没有一套良好的控制企业经济资源
的措施,就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象,使企业蒙受损失。
所以,要采取有力的控制措施,有效地提高企业各种经济资源的安全,保护企业所有者的利
益。
2. 确保各种经济信息、尤其是财会信息的准确、完整和及时性。只有及时、准确、完
整的经济信息,才能引导企业经营管理者正确地作出各种经济预测和决策,圆满实现企业的
经营目标;反之,则会对企业的生产经营起误导作用,使企业在面临各种问题时,作出错误
的选择。可见,建立良好的信息系统控制,是保证信息质量的重要途径。
3.促进企业各部门工作效率的提高,使企业保持良好的运行效率。提高企业各部门工作
效率是保证企业良好运行,顺利实现企业经营目标的重要途径。因此,在企业内建立一套有
效的业绩考核和评估体系,使企业内形成一种相互激励,相互约束的竟争机制,可以大大提
高企业对各种经济资源、人力资源的利用率,使企业保持良好的运行效率。
4. 确保企业方针政策的贯彻执行,促进企业经济效益的提高。设计企业的控制系统,
其最终目的是为了促进企业经营管理活动的合理化,促进企业经济效益的提高。因此,一个
有效的控制系统,应能确保企业方针政策的贯彻执行,促进经济效益的提高。
一个企业的控制包括对经营子系统、管理子系统和信息子系统的控制。本章主要是讨论
对信息系统的控制,也有时涉及一些经营、管理系统的相关控制。
二、计算机信息系统控制所面临的新问题
当信息处理的方式由手工处理向计算机处理转变后,信息处理工作所面临的环境发生了
很大的变化,给信息系统的控制带来了许多新的课题。归纳起来,主要有以下几个方面:
2
(一)如何对使用者进行身份识别和权限控制
当信息系统由手工处理数据转化为计算机进行数据处理后,原来人与人之间的联系在很
多方面会转变为人与计算机之间的联系。为了有效地防止数据被篡改、破坏、窃取等现象的
发生,就要求信息系统具有识别使用者身份并对其进行权限控制的能力。只有具有特定权限
的使用者才能接触信息系统,执行相应的操作,从而达到有力地保护系统信息安全的目的。
因此,如何才能对使用者进行身份识别和权限控制,是由手工处理数据转变为计算机处理数
据后所带来的新的课题之一。
(二)业务授权问题
业务授权(Transaction Authorization)是保证员工处理的仅是他们职权内有权处理
的业务的控制措施。在计算机信息系统中,许多授权往往是由程序进行控制的。例如,采购
系统中可设计好存货低于多少就自动打印订单,订多少、向那个供应商订货理论上计算机都
可全部自动按程序执行,无需人工的参与。但是,如果没有良好的控制,可能会出现不合理
的订货,浪费企业大量的资金。因此,信息系统中的业务授权处理程序的准确性、完整性十
分重要,只有这样,才能保证业务的自动授权是可以接受的、可行的。
(三)职责分离(Segregation of Duties)问题
不相容任务的职责分离,即应由不同的人员分担不相容的工作任务或职务,是手工系统
计中十分重要的控制措施。其一般原则是:业务审批、执行人员与业务记录人员职责分离;
资产记录人员和资产保管人员职责分离;根据业务处理过程和记录的性质,再按不同的账、
不同的处理进一步分离,例如,记明细账的和记总账的职责分离、材料订购与材料验收的职
责分离,等等。通过恰当的职责分离,实现互相牵制、互相核对,使有作弊企图者必须串通
多人才能作弊。
在计算机信息系统中,原有的一些分工没有了。例如,启动、批准、处理采购订单,收
到发票后登记应付账款,自动打印付款凭证和支票等业务全都可由计算机自动完成。信息系
统的应用程序一般在系统的整个生命周期内都在使用,影响很大。因此,在计算机信息处理
环境下,既然有些业务的处理不能分离,应转而把职责分离的着眼点放到计算机系统的开发、
使用和维护工作上。
(四)监督(Supervision)问题
监督对于小单位或者大单位的小部门十分重要,因为这些部门的职员往往一人担负了多
个不相容的职责。在手工条件下,监督通常是部门负责人的责任之一,且职员都在同一个地
方工作,相互之间也有监督作用。在计算机环境下,监督的任务更复杂了,因为计算机技术
人员计算机知识水平高,有些人负责了重要的工作岗位,可直接访问系统的程序和数据,且
人员的流动性比较大,有些人还可能单独在很远的终端上工作,管理人员与同事不能直接看
到他们在做什么,难以进行直接有效的监督。因此在计算机环境下,应把许多在人工环境下
的直接监督融合到系统程序中去,由程序来实现监督和控制。
(五)会计记录与信息安全问题
手工的会计资料包括原始凭证、日记账、明细分类账、总账和会计报表,这些资料给审
计提供了审计线索。在计算机条件下,有些系统并没有日记账和明细账文件,而只是把原始
凭证上的重要数据项保存在数据文件中,有关的会计信息可能通过分散在多个不同磁盘、不
3
同文件的数据临时加工得到,文件之间通过关键字、指针、索引等发生联系。要审查这些信
息的正确性,审计人员要十分熟悉系统所用的数据库管理系统,给审计带来了较大的困难。
而且,计算机信息系统中的各种数据文件是以肉眼不可见的,很容易被篡改或删去而不留下
任何痕迹。因此,信息的安全可靠性有很多隐患。如何确保系统信息的安全,是我们在设计
和运行信息系统时所需考虑的又一重要问题。
(六)访问控制(Access Control)的问题
企业资产的接触控制分为直接接触控制和间接接触控制。建围墙、设保安、自动报警系
统、房间加锁等是直接接触控制。间接接触指通过阅读或篡改会计资料而获得有关资产的情
况,甚至侵吞有关资产,例如通过破坏、涂改相关的销售业务和应收账款记录而实现贪污。
在手工条件下,这样的问题可通过防止随便接触账簿记录、对登记这些账簿的人员实行职责
分离,如销售明细账、应收账款明细账、总账由不同的人员登记进行控制。在计算机环境下,
所有会计资料均集中存储在数据处理中心的大存储容量的设备上,从而容易作弊或受到灾害
的损毁;另外,对程序的非法访问也危及到用户资产和信息的安全。因此,限制对计算机数
据和程序的访问,对机房或数据处理中心提供物理安全措施,保证正确的数据备份等,都十
分重要。有些访问控制是技术性的,有些靠职责分离实现,但其基本原则是:无论允许或限
制一个人访问什么程序或什么数据,都必须根据其所分配的工作的需要来作出决定。
(七)独立复核(Independent Verification)问题
监督是事中控制,而复核是一种事后的控制。独立复核是由不直接参与该业务处理的人
员进行复核。通过复核,管理人员可以评估工作人员的业绩,评估处理的完整性和会计信息
的准确性。在计算机信息系统中,原来经多道手续由多人完成的业务处理变为由计算机集中
统一进行处理,原来在手工处理中所存在的相互核对的约束机制不复存在。所以,我们在设
计信息系统时,必须着重考虑如何才能提高信息系统自身对经济业务处理的审查、复核能力,
以减少信息系统在处理数据时发生错误的可能性。如果在设计信息系统时忽略了这一点,则
可能会由于采集或输入数据的错误,或软件本身的错误而导致输出信息的错误,从而误导信
息使用者。因此,在计算机信息系统中,复核控制的重点变为系统的开发和维护审计以及程
序的逻辑审查。
(八)电子商务和网络经营中的特殊的安全问题
电子商务给企业带来了前所未有的商机,同时也带来了前所未有的风险。在传统的经营
条件下,企业资产和经营的安全可以通过建立健全的内部控制得以保证。在电子商务条件下,
企业的计算机信息系统是一个开放系统,计算机病毒和黑客随时可以通过 Internet 威胁到企
业资产和经营的安全。因为电磁信息可以删改且不留痕迹,企业在电子商务中要面对如何解
决交易的确认、经确认的文件不可修改和不可否认、网上信息传递的保密等问题。这些安全
问题不是企业内部所能完全控制的,必须针对其固有的风险建立全新的控制。
(九)软件开发的质量问题
一个信息系统能否正常运转,合法、正确地处理各项经济业务,保持较高的运行效率,
节省运行成本等,很大程度上取决于所开发软件的质量。在信息系统中,计算机担负着企业
绝大部分的信息处理任务,一旦软件中某个环节出现问题而无法正常工作,或者被人为破坏,
就有可能导致整个信息系统数据处理的一连串错误,甚至导致系统停止运转,给企业的经营
4
和管理带来不可估量的损失。因此,企业应对信息系统的开发工作进行有效的控制,以确保
所开发软件的质量。
三、加强信息系统控制的重要意义
通过上面的阐述我们可以看出,当信息的处理方式由手工处理转变为计算机处理之后,
就给信息系统的控制带来了许多新的问题,使得信息系统所潜在的风险比手工系统更大、更
复杂。同时,由于信息系统所产生的信息日益增多,没有健全的控制措施,就很难保证信息
的收集、传递、处理能够及时、准确、完整和不会出现无意的差错或有意的舞弊。事实证明,
如果计算机信息系统的控制出现漏洞,将会对企业造成比手工系统更为严重的损失,这种例
子屡见不鲜。所以,当我们在设计和运行信息系统时,必须把加强对信息系统的控制放在十
分重要的地位,认真抓紧抓好这项工作,以保证信息系统能安全、可靠地工作。
当然,最完善的控制系统也有其固有的局限,如:企业在制订控制制度时,要考虑成本
效益原则;控制制度可能会由于执行人员的错误理解、疏忽大意或串通舞弊而失效等。所以,
尽管我们强调要加强信息系统的控制,但也应清楚知道绝对的安全是没有的,控制也不是越
多越严密越好。衡量控制系统的恰当性最根本的标准是考虑企业的经济效益和社会效益,应
以此作为掌握控制制度宽严的尺度。
四、计算机信息系统的控制的总框架
在电子商务与网络经营环境下,企业计算机信息系统的构成和总的控制框架如图 3-1 所
示:
图 3-1 信息系统总的控制框架
针对计算机信息系统的构成和控制框架,可把信息系统的控制划分为以下八个方面:
1.组织控制。
2.数据资源控制。
3.系统开发与维护控制。
4.计算中心的安全控制。
5.数据通信控制。
6.电子商务的安全控制。
供应商
客户
操作系统
系统开发
系统维护
...
应用
数据资源
通
信
计 算 中 心
通信和电子商务
终端
终端
5
7.微机系统的控制。
8.各个应用系统的控制。
在第三节将对它们逐一进行较详细的讨论。
第二节 计算机信息系统控制的分类
平常人们讲到信息系统的控制常会有很多不同的提法,往往是按不同的分类来讨论信息
系统的控制。为了让读者明确各种控制的关系,切实掌握计算机信息系统应有的控制,在具
体讨论信息系统的控制措施前,我们先简单介绍一下信息系统内部控制的分类。信息系统的
控制可以按不同的方式进行分类,最常见的有下列几种分类方法。
一、按实施的范围和对象分类
按控制实施的范围和对象分,信息系统的内部控制可分为一般控制(general control)
和应用控制(application control)。国际上常见的教科书在讨论信息系统的控制时多按这
种分类,本书在下一节也将按这种分类来讨论信息系统的控制措施。
一般控制是指对计算机信息系统的构成要素(包括人、计算机、通信线路、系统软件、
应用程序、数据文件等)和系统环境(包括组织结构、系统开发与维护、环境安全等)实施
的控制。一般控制适用于整个计算机信息系统,它为信息系统提供良好的工作条件和必要的
安全保证,是应用控制的基础。
应用控制是指针对信息系统的各功能子系统(或称功能模块)的输入、处理和输出过程
中的敏感环节和控制要求所实施的控制,上一节所述的控制框架中的第 8 项就是应用控制。
应用控制包括输入控制、处理控制和输出控制。不同的计算机应用(如帐务处理、工资核算、
固定资产管理等等),其敏感环节和控制要求不同,因此应用控制也不尽相同。应用控制用
以确保特定的子系统(或称功能模块)的输入、处理和输出的安全、正确。应用控制必须在
有效的一般控制基础上才能发辉作用。
二、按控制的目标分类
按控制实施的目标进行分类,计算机信息系统的内部控制又可以分为预防性控制
(preventive control)、探测性控制(detective control)以及纠正性控制(corrective
control)。
预防性控制是指为预防和阻止信息系统可能出现的各种差错或舞弊行为的发生而采用
的各种控制措施。其控制目标在防止错弊的发生。例如,在计算中心设置门卫和大门上锁,
终端加锁,系统用户要经注册,设置密码权限控制,系统程序员、操作员、数据库管理员、
文档保管员要职责分离等等,都是预防性控制的一些典型例子。
探测性控制是指为及时发现系统内正在或已经发生的各种差错和舞弊行为,以便能及时
制止和纠正之而采取的各种控制措施。其控制目标不是预防而是及时探测并发现错弊的情况。
例如装设电子探测器;对处理结果进行平衡检验、合理性检验;系统设置操作日志,并有安
全员经常检查日志等,都是探测性控制措施的例子。
纠正性控制是指为了对于各种已经发生于系统内的差错和舞弊,在检测出来后能及时予
以纠正而采取的控制措施。其控制目标主要是及时发现并纠正系统中已发生的差错。例如,
剩余32页未读,继续阅读
资源评论
Mmnnnbb123
- 粉丝: 710
- 资源: 8万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功