内部审计学之信息系统控制与审计(101页PPT).pptx
《内部审计学之信息系统控制与审计(101页PPT).pptx》由会员分享,可在线阅读,更多相关《内部审计学之信息系统控制与审计(101页PPT).pptx(101页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、内部审计学内部审计学第六章第六章信息系统控制与审计信息系统控制与审计主要内容主要内容第第1 1节节.信息系统控制概述信息系统控制概述第第2 2节节.信息系统审计要点信息系统审计要点第第3 3节节.数据审计模式数据审计模式第第4 4节节.案例分析案例分析第六章第六章 信息系统控制与审计信息系统控制与审计商学院会计系李栋辉商学院会计系李栋辉一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战二、二、信息系统控制的重要性信息系统控制的重要性三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制第第1 1节节.信息系统控制概述信息系统控制概述商学院会计系李栋辉商学院会计系李栋
2、辉内部审计学内部审计学(一)数据处理的集中化与自动化(一)数据处理的集中化与自动化v数据集中处理一方面是现代社会数据集中处理一方面是现代社会“信息大爆炸信息大爆炸”对信息的需求,也是计算对信息的需求,也是计算机信息处理模式的需要。机信息处理模式的需要。v采用计算机系统处理各种业务之后,数据一经输入,在一定条件下就可以采用计算机系统处理各种业务之后,数据一经输入,在一定条件下就可以被不同用户共享。被不同用户共享。v数据挖掘技术数据挖掘技术:海量数据中:海量数据中“挖出挖出”数据本身的规律和趋势。数据本身的规律和趋势。v编写代码编写代码:系统原始数据的采集,减少人为干预。:系统原始数据的采集,减少
3、人为干预。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战机遇机遇商学院会计系李栋辉商学院会计系李栋辉(二)数据存储的磁性化(二)数据存储的磁性化v现在许多计算机程序将数据存储到现在许多计算机程序将数据存储到数据库数据库中,因为文本形式的存取中,因为文本形式的存取比较慢,适合小型系统,单纯的文本没有相应数据库存储机理,必比较慢,适合小型系统,单纯的文本没有相应数据库存储机理,必须自己定义行列、浏览、存入等,而利用数据库存储则可以由程序须自己定义行列、浏览、存入等,而利用数据库存储则可以由程序自动生成。自动生成。v硬盘硬盘:采用磁介质的数据存储设备,数据存在硬盘驱动器的内部的
4、:采用磁介质的数据存储设备,数据存在硬盘驱动器的内部的磁盘片上。磁盘片上。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战机遇机遇商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学(三)内部控制的程序化(三)内部控制的程序化v通过使用计算机信息系统,通过使用计算机信息系统,内部控制的内涵和外延发生了很大变化内部控制的内涵和外延发生了很大变化,组织可以将各种组织可以将各种控制方法控制方法嵌入程序中。通过程序的运行,核对数嵌入程序中。通过程序的运行,核对数据之间钩稽关系,检查使用权密码,审计各种业务及数据的处理据之间钩稽关系,检查使用权密码,审计各种业务及数据的处理顺序等
5、。顺序等。v比如:比如:流程图软件流程图软件代替代替控制的叙述性描述法控制的叙述性描述法,可以很快捷的分析利,可以很快捷的分析利用业务数据,从而准确的控制和把握组织的运营是否规范,各种业务用业务数据,从而准确的控制和把握组织的运营是否规范,各种业务的进行是否授权等。的进行是否授权等。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战机遇机遇商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学(四)管理信息系统中的各子系统联系密切(四)管理信息系统中的各子系统联系密切v管理信息系统:会计、统计、市场管理、生产管理、仓库管理、管理信息系统:会计、统计、市场管理、生产管理、仓库
6、管理、劳动人事等。劳动人事等。v网络的使用,使得各系统的联系更加紧密。网络的使用,使得各系统的联系更加紧密。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战机遇机遇商学院会计系李栋辉商学院会计系李栋辉(一)计算机系统固有缺陷(一)计算机系统固有缺陷v计算机硬件和软件系统容易受到冲击计算机硬件和软件系统容易受到冲击v交易的交易的实时处理使得错误检查及更正没有缓冲时间实时处理使得错误检查及更正没有缓冲时间,使得错误影响,使得错误影响进行中的商业活动,人们无法控制系统,而计算机系统本身又不能真进行中的商业活动,人们无法控制系统,而计算机系统本身又不能真正做到自我监控。正做到自我监
7、控。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉(二)系统错误的增加(二)系统错误的增加v计算机程序替代手工处理,发生随机错误的可能性降低。对于计算机程序替代手工处理,发生随机错误的可能性降低。对于一定的输入,如果程序是正确的,它的控制过程与处理结果总一定的输入,如果程序是正确的,它的控制过程与处理结果总是正确的,一旦程序本身出现问题,错误就会不断重复,而程是正确的,一旦程序本身出现问题,错误就会不断重复,而程序自身并不能自我发现并纠正。序自身并不能自我发现并纠正。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇
8、与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉(三)数据接触未经授权(三)数据接触未经授权v非法侵入、滥用和偶然破坏等缺陷,导致组织的计算机程序或非法侵入、滥用和偶然破坏等缺陷,导致组织的计算机程序或文档被文档被非正常修改非正常修改或造成组织的或造成组织的机密信息非法泄露机密信息非法泄露。v“黑客黑客”,病毒等。,病毒等。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学(四)职责与知识的集中(四)职责与知识的集中v计算机的运用使得诸如基础设施、软件、数据及人事职能与知识等信息系统计算机的运用使得诸如基础设施
9、、软件、数据及人事职能与知识等信息系统要素非常集中,参与处理财务信息的人员大大减少,要素非常集中,参与处理财务信息的人员大大减少,信息系统执行了许多在信息系统执行了许多在传统手工处理系统中相互分离的职责。传统手工处理系统中相互分离的职责。v职责的集中使得职责的集中使得信息技术人员信息技术人员有可能掌握数据的来源、处理和输出,从而有可能掌握数据的来源、处理和输出,从而使得内部控制的风险增加。使得内部控制的风险增加。v接受培训和拥有信息技术知识的人员可能接触到功能覆盖较广的软接受培训和拥有信息技术知识的人员可能接触到功能覆盖较广的软件。件。v必须合理分离信息技术中心关键职责,做好内部分工。才能有效
10、防必须合理分离信息技术中心关键职责,做好内部分工。才能有效防止舞弊。止舞弊。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉(五)程序与数据的集中(五)程序与数据的集中v计算机处理环境下职责的集中,导致记录组织作业的计算机处理环境下职责的集中,导致记录组织作业的原始数据及应原始数据及应用程序用程序集中于集中于同一台机器或存储在电子数据文档中同一台机器或存储在电子数据文档中,由组织的,由组织的信息系信息系统部门统部门统一管理。统一管理。v如果缺乏适当的控制措施,组织的程序、数据、文档被篡改,丢失如果缺乏适当的控制措施,组织的程序、数
11、据、文档被篡改,丢失而不被发现的可能性就很大。而不被发现的可能性就很大。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战挑战挑战商学院会计系李栋辉商学院会计系李栋辉(六)组织业务轨迹的变化(六)组织业务轨迹的变化v手工环境下手工环境下纸质业务轨迹纸质业务轨迹更容易检查辨认。更容易检查辨认。v计算机硬盘存储的工作原理使得组织能够掌握数据的使用与销毁,计算机硬盘存储的工作原理使得组织能够掌握数据的使用与销毁,给组织文档的可靠和安全带来威胁。给组织文档的可靠和安全带来威胁。v计算机输入输出缺乏可视性,使得计算机输入输出缺乏可视性,使得难以查找错误源头难以查找错误源头和和追究出现问
12、题的追究出现问题的信息系统的责任人信息系统的责任人。一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战商学院会计系李栋辉商学院会计系李栋辉一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战二、二、信息系统控制的重要性信息系统控制的重要性三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制第第1 1节节.信息系统控制概述信息系统控制概述商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学vEDP(Electronic Data Processing)广泛应用,改变了内部控制的性质。广泛应用,改变了内部控制的性质。组织没有自己的信息系统,通信网络
13、、数据仓库和技术人员,其业务就不组织没有自己的信息系统,通信网络、数据仓库和技术人员,其业务就不能正常开展。能正常开展。v面对基于上述信息系统存在的风险,就必须对硬件和软件工作环境面对基于上述信息系统存在的风险,就必须对硬件和软件工作环境的安全性、可靠性加以检测,采取各种严密措施,确保组织的各种的安全性、可靠性加以检测,采取各种严密措施,确保组织的各种数据、文档资料的真实准确。数据、文档资料的真实准确。二、二、信息系统控制的重要性信息系统控制的重要性EDP:EDP:以计算机替代人工处理例行性的数据,并产生报表以支持组织的作业活动。以计算机替代人工处理例行性的数据,并产生报表以支持组织的作业活动
14、。其内其内容重点乃在于取代重复性的人工操作,以支持基层管理者及作业人员等,故其重心在容重点乃在于取代重复性的人工操作,以支持基层管理者及作业人员等,故其重心在于重效率的信息系统,例如会计之应用。国外把利用电子数据系统的会计,称为电子于重效率的信息系统,例如会计之应用。国外把利用电子数据系统的会计,称为电子数据处理会计。数据处理会计。商学院会计系李栋辉商学院会计系李栋辉v大型商用信息系统的特征:大型商用信息系统的特征:v1.1.存储重要数据文件的大型计算机中心通常位于存储重要数据文件的大型计算机中心通常位于锁定存取控制锁定存取控制(Access controlAccess control)且没有
15、对外窗户的研究室中,操作地且没有对外窗户的研究室中,操作地方不应过于显著,在建设上应方不应过于显著,在建设上应最大限度避免天灾人祸最大限度避免天灾人祸。二、二、信息系统控制的重要性信息系统控制的重要性商学院会计系李栋辉商学院会计系李栋辉内部审计学内部审计学v2.2.专用电力系统、专用空调或制冷系统、散热系统且符合环境专用电力系统、专用空调或制冷系统、散热系统且符合环境控制要求:控制要求:(1 1)磁盘及软盘的存储库磁盘及软盘的存储库应远离计算机设备,应远离计算机设备,异地存储异地存储有助于灾难发生有助于灾难发生时及时备份。时及时备份。(2 2)大型计算机的操作系统应能)大型计算机的操作系统应能
16、同一时间间隔运行多个程序,多项任务同一时间间隔运行多个程序,多项任务处理处理。(3 3)拥有大型计算机的组织应拥有)拥有大型计算机的组织应拥有自己的系统编程人员和编程部门自己的系统编程人员和编程部门,正规的系统开发方法及标准。正规的系统开发方法及标准。二、二、信息系统控制的重要性信息系统控制的重要性商学院会计系李栋辉商学院会计系李栋辉(4 4)广阔的电信网络支持广阔的电信网络支持,组织内部各个角落的网络终端直接连接与中,组织内部各个角落的网络终端直接连接与中央计算机系统或间接连接与外部网络。央计算机系统或间接连接与外部网络。(5 5)具有输入输出控制环节,数据处理以)具有输入输出控制环节,数据
17、处理以批处理模式批处理模式进行,能进行,能控制控制数据输出速度数据输出速度。(6 6)配备)配备专业的数据安全负责人专业的数据安全负责人、通信分析师通信分析师或或质量控制专家质量控制专家等。等。二、二、信息系统控制的重要性信息系统控制的重要性商学院会计系李栋辉商学院会计系李栋辉一、信息系统给组织带来的机遇与挑战一、信息系统给组织带来的机遇与挑战二、二、信息系统控制的重要性信息系统控制的重要性三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制第第1 1节节.信息系统控制概述信息系统控制概述商学院会计系李栋辉商学院会计系李栋辉(一)一般控制(一)一般控制(General Contro
18、lsGeneral Controls)v与与所有的或者绝大多数所有的或者绝大多数的信息技术环境下的活动都相关的控的信息技术环境下的活动都相关的控制,包括制,包括信息系统处理的可靠性信息系统处理的可靠性、数据和程序的完整性数据和程序的完整性、数据数据处理的持续性处理的持续性以及对以及对计算机设备以及数据文件使用的授权控制计算机设备以及数据文件使用的授权控制等。等。v一般控制包括以下几项:一般控制包括以下几项:v组织控制、操作控制、文书控制、系统开发与编程控制、组织控制、操作控制、文书控制、系统开发与编程控制、硬件和系统软件控制、接触档案和档案资料保管控制。硬件和系统软件控制、接触档案和档案资料保
19、管控制。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉1.1.组织控制组织控制v使用使用EDPEDP的组织中,各部门间的职责分工应尽可能保留实行的组织中,各部门间的职责分工应尽可能保留实行EDPEDP之前的模之前的模式,或者是原有模式的扩展;式,或者是原有模式的扩展;vEDPEDP部门主要负责业务的记录及其相关的数据处理部门主要负责业务的记录及其相关的数据处理;vEDPEDP部门与用户部门的职责尽量分离,形成一种互相稽核、互相监督、互相部门与用户部门的职责尽量分离,形成一种互相稽核、互相监督、互相制约的关系;制约的关系;v所有经所有经EDP
20、EDP系统处理的业务系统处理的业务都应经过都应经过适当授权适当授权,业务的筹划业务的筹划、执行执行和和计计算机处理审计算机处理审计之间应明确责任划分;之间应明确责任划分;三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉vEDPEDP内部也应明确职责分工内部也应明确职责分工,保证不相容职责由不同的人承,保证不相容职责由不同的人承担并保证一个人能对其他人的工作进行检查;担并保证一个人能对其他人的工作进行检查;v在在EDPEDP中应适当进行中应适当进行人事监督和审计人事监督和审计,适时考核评价,周期性,适时考核评价,周期性轮换轮换工作工作。三、信息
21、系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉2.2.操作控制操作控制vEDPEDP管理人员管理人员制定制定上机守则和操作规程上机守则和操作规程,经常性进行检查经常性进行检查,EDPEDP管理人员管理人员应将应将手工日志与系统生成日志结合手工日志与系统生成日志结合用于检查系统的日常工作情况;用于检查系统的日常工作情况;vEDPEDP操作人员操作人员执行执行操作控制操作控制,用于保证,用于保证现行规章和实务处理规程现行规章和实务处理规程得到遵得到遵守;守;v冗余技术冗余技术对付硬件损坏、数据文件的丢失毁损等,实现异常状态下的数据恢对付硬件损坏、数据文
22、件的丢失毁损等,实现异常状态下的数据恢复;复;vEDPEDP部门应制定部门应制定年度工作计划和相应日程安排年度工作计划和相应日程安排,保证系统运作。,保证系统运作。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉v冗余技术又称冗余技术又称储备技术储备技术,它是利用,它是利用系统的并联模型系统的并联模型来提高系统可来提高系统可靠性的一种手段。靠性的一种手段。v冗余分为:工作冗余和后备冗余。冗余分为:工作冗余和后备冗余。v工作冗余:是一种工作冗余:是一种两个或以上的单元并行工作两个或以上的单元并行工作的并联模型。平时,由的并联模型。平时,由各处单
23、元平均负担工作,因此工作能力有冗余。各处单元平均负担工作,因此工作能力有冗余。v后备冗余:平时只需一个单元工作,另一个单元是冗余的,用于待后备冗余:平时只需一个单元工作,另一个单元是冗余的,用于待机备用。机备用。v实例:以计算机为例,其服务器及电源等重要设备,都采用实例:以计算机为例,其服务器及电源等重要设备,都采用”一用一用二备二备”甚至甚至”一用三备一用三备”的配置。正常工作时,几台服务器同时的配置。正常工作时,几台服务器同时工作,互为备用。电源也是这样。一旦遇到停电或者机器故障,工作,互为备用。电源也是这样。一旦遇到停电或者机器故障,自动转到正常设备上继续运行。确保系统不停机,数据不丢失
24、。自动转到正常设备上继续运行。确保系统不停机,数据不丢失。三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制冗余技术冗余技术商学院会计系李栋辉商学院会计系李栋辉3.3.文书控制文书控制v文书的编撰是信息处理系统中文书的编撰是信息处理系统中重要元素交流的手段重要元素交流的手段。v文档编写应规范化,管理应该系统化、制度化。文档编写应规范化,管理应该系统化、制度化。v力求文书做到:力求文书做到:向向管理层管理层提供提供改进的应用系统的全貌改进的应用系统的全貌;向向客户客户提供提供说明材料说明材料;向向新的使用者新的使用者提供以前系统的提供以前系统的背景知识背景知识,引导新系统的使用引导
25、新系统的使用;为为信息系统的使用信息系统的使用提供必要的数据资料提供必要的数据资料三、信息系统的一般控制与应用控制三、信息系统的一般控制与应用控制商学院会计系李栋辉商学院会计系李栋辉4.4.系统开发与编程控制系统开发与编程控制v首先,需要一个首先,需要一个开发开发EDPEDP系统的完整计划系统的完整计划,制定合理目标,确定工制定合理目标,确定工作阶段和开发进度,进行资金筹措和费用预算,合理配备人员作阶段和开发进度,进行资金筹措和费用预算,合理配备人员;v其次,开发过程中处理好其次,开发过程中处理好人员的工作安排和责任划分人员的工作安排和责任划分,做好系统,做好系统的整体规划,需求调查、性能检测
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 内部 审计学 信息系统 控制 审计 101 PPT
限制150内