会计信息系统-第7章.ppt

《会计信息系统-第7章.ppt》由会员分享，可在线阅读，更多相关《会计信息系统-第7章.ppt（35页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、第七章会计信息系统的风险、控制与安全第一节 风险与控制之间的关系第二节 会计信息系统的一般控制与应用控制第三节 网络信息时代的内部控制理论第四节 信息系统的安全影响因素分析第五节 会计信息系统的安全问题及保障技术本章小结内容提要内容提要通过本章的学习，使学生了解会计信息系通过本章的学习，使学生了解会计信息系统可能遇到的风险，掌握内部控制的概念、作用、功统可能遇到的风险，掌握内部控制的概念、作用、功能和分类，掌握会计信息系统的控制技术，了解网络能和分类，掌握会计信息系统的控制技术，了解网络会计信息系统的安全技术会计信息系统的安全技术。3/19/20231案例材料：乐购“群蛀”侵吞397万元n东方

2、网-劳动报2006年1月21日报道：设计非法软件程序，培训“特别”收银员，一群“蛀虫”竟截留侵吞超市营业款高达397万余元。前天，金山法院对本案的43名被告人进行公开宣判，以职务侵占罪判处主犯方元有期徒刑14年，并处罚金30万元；其他42名被告人分别被判处有期徒刑12年至拘役4个月缓刑6个月。n 2004年5月，已从乐购超市真北店辞职的方元、陈炜嘉和当时在该店任资讯员的于琪合谋，实施利用非法程序截留超市营业款。2004年6月至2005年8月期间，由方元负责设计并定期修改非法程序，于琪、陈炜嘉、赵一青、陈琦、施雯君等人利用担任超市资讯员、收银员的工作便利，将方元设计的非法应用程序安装传送到该超市

3、真北店、金山店、七宝店的收银系统，并从社会上物色和招聘人员，进行面试和犯罪技能培训，然后将“自己人”安插到超市收银员等岗位，先后侵吞营业款3976558元。上述赃款由收银员上交后，再按比例分成，涉案人员各得赃款数千元至数十万元不等。3/19/20232第一节风险与控制之间的关系一、IT环境下信息系统的风险分析二、内部控制概述三、会计信息系统内部控制3/19/20233一、IT环境下信息系统的风险分析（1）（一）什么是风险？风险就是发生不利事件导致遭受损失的风险就是发生不利事件导致遭受损失的可能性。可能性。风险具有不确定性，但并非所有的不确风险具有不确定性，但并非所有的不确定性事项都有风险，风险

4、必须和损失相定性事项都有风险，风险必须和损失相联系，只有那些可能导致损失的不确定联系，只有那些可能导致损失的不确定性事项才有风险。性事项才有风险。3/19/20234一、IT环境下信息系统的风险分析（2）（二）IT环境下信息系统的风险分析IT环境下，信息系统的应用给企业带来环境下，信息系统的应用给企业带来了巨大的变化，原来手工环境下需要由了巨大的变化，原来手工环境下需要由人工完成的操作由计算机来完成，人工完成的操作由计算机来完成，IT改改变了企业的业务流程，信息系统的应用变了企业的业务流程，信息系统的应用一方面可以防范手工环境下的一些风险，一方面可以防范手工环境下的一些风险，另一方面又给企业带

5、来了与手工环境下另一方面又给企业带来了与手工环境下不同来源、不同性质的风险，而且随着不同来源、不同性质的风险，而且随着应用的逐渐深入，潜在的风险也在不断应用的逐渐深入，潜在的风险也在不断变化。变化。3/19/20235一、IT环境下信息系统的风险分析（3）1、信息系统可以防范手工系统下的某些风险可以防范出现人工操作错误的风险可以防范出现人工操作错误的风险可以防范所加工的信息不能满足管理需可以防范所加工的信息不能满足管理需求的风险求的风险可以防范数据传递慢、出现差错的风险可以防范数据传递慢、出现差错的风险3/19/20236一、IT环境下信息系统的风险分析（4）1、信息系统带来了与手工环境不同性

6、质的风险信息安全风险。具体表现在：信息安全风险。具体表现在：u在信息系统环境下，信息大都以电子数据的形式存储，在信息系统环境下，信息大都以电子数据的形式存储，容易被非法修改、删除、转移和伪造且不留任何痕迹容易被非法修改、删除、转移和伪造且不留任何痕迹u信息系统中信息的传递往往通过网络来实现，而在网信息系统中信息的传递往往通过网络来实现，而在网络传输中信息往往很容易被非法拦截、窃取或窜改。络传输中信息往往很容易被非法拦截、窃取或窜改。u信息系统环境下，数据档案往往被保存在磁、光介质信息系统环境下，数据档案往往被保存在磁、光介质中，这些设备对环境要求高，比较容易损坏，若不常中，这些设备对环境要求高

7、，比较容易损坏，若不常备份，数据容易丢失。备份，数据容易丢失。u计算机是数据处理的核心设备，而其容易遭受类似病计算机是数据处理的核心设备，而其容易遭受类似病毒等的干扰，导致数据被破坏，从而产生风险。毒等的干扰，导致数据被破坏，从而产生风险。3/19/20237一、IT环境下信息系统的风险分析（5）1、信息系统带来了与手工环境不同性质的风险（续）信息处理差错反复，发生风险。（续）信息处理差错反复，发生风险。u在信息系统环境下，系统的内部控制采取了人工控制在信息系统环境下，系统的内部控制采取了人工控制与计算机控制相结合的方式；与计算机控制相结合的方式；u计算机控制主要的方式是程序控制，也就是用软件

8、实计算机控制主要的方式是程序控制，也就是用软件实现控制功能；现控制功能；u如果信息系统软件中这些实现内部控制功能的程序编如果信息系统软件中这些实现内部控制功能的程序编制错误或不起作用，则由于人们对计算机控制的依赖制错误或不起作用，则由于人们对计算机控制的依赖性以及程序运行的重复性，将使得失效控制长期无法性以及程序运行的重复性，将使得失效控制长期无法被发现，从而使系统在特定方面发生错误或违规行为被发现，从而使系统在特定方面发生错误或违规行为的可能性较大，最终导致差错反复发生而扩大损失的的可能性较大，最终导致差错反复发生而扩大损失的风险。风险。3/19/20238一、IT环境下信息系统的风险分析（

9、6）1、信息系统带来了与手工环境不同性质的风险（续）计算机交易授权风险。（续）计算机交易授权风险。u在手工环境下，对于一项经济业务的每个环节都要经在手工环境下，对于一项经济业务的每个环节都要经过某些具有相应权限人员的签章过某些具有相应权限人员的签章u而在信息系统中，很多原来由不同的人完成的业务处而在信息系统中，很多原来由不同的人完成的业务处理环节集中由计算机统一处理，因此其他操作员只要理环节集中由计算机统一处理，因此其他操作员只要获得授权文件或进入系统的密码就可获得某种权利或获得授权文件或进入系统的密码就可获得某种权利或运行特定程序进行业务处理；运行特定程序进行业务处理；u这样，如果密码被他人

10、掌握或一人掌握多个级别操作这样，如果密码被他人掌握或一人掌握多个级别操作员的密码，权限就会失控，从而产生风险。员的密码，权限就会失控，从而产生风险。3/19/20239一、IT环境下信息系统的风险分析（7）1、信息系统带来了与手工环境不同性质的风险（续）（续）IT带来的风险。带来的风险。u信息系统的运行依赖于计算机软硬件技信息系统的运行依赖于计算机软硬件技术、通信技术等术、通信技术等IT技术，技术，IT技术无论多么技术无论多么先进，都难免会有缺陷。先进，都难免会有缺陷。u例如，黑客利用系统软件的漏洞攻击系例如，黑客利用系统软件的漏洞攻击系统、数据传输的不正确性等问题都会直统、数据传输的不正确性

11、等问题都会直接影响信息系统的业务处理，从而给企接影响信息系统的业务处理，从而给企业带来风险。业带来风险。3/19/202310二、内部控制概述（1）（一）控制的一般概念 古典的管理观念认为，控制就是检查，其目的在于指出缺点和错误，并加以纠正，使之不再发生；而现代管理则认为，控制不是单纯的限制，而是一种结合个人和企业的目标来帮助人们达到其目的的手段。控制系统四要素：n控制目标n控制标准n找出差异n纠正偏差3/19/202311二、内部控制概述（2）（二）内部控制的定义COSO认为，内部控制是由企业董事会、经理阶层和认为，内部控制是由企业董事会、经理阶层和其他员工实施的，为公司资产的保护、公司运营

12、效率其他员工实施的，为公司资产的保护、公司运营效率的提高以及保证财务报告的准确可靠性、相关法令的的提高以及保证财务报告的准确可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。遵循性等目标的达成而提供合理保证的过程。根据控制的范围不同，内部控制可分为内部会计控制根据控制的范围不同，内部控制可分为内部会计控制和内部管理控制和内部管理控制内部会计控制是指那些与保护财产安全及财务会计记内部会计控制是指那些与保护财产安全及财务会计记录可靠性有关的组织、计划、程序、方法等。录可靠性有关的组织、计划、程序、方法等。内部管理控制是以提高经营效率、工作效率，促进经内部管理控制是以提高经营效率、工作效率，

13、促进经营合理化为目标所采取的行政和业务方面的方针、政营合理化为目标所采取的行政和业务方面的方针、政策、程序、方法等。内部管理控制制度虽不直接涉及策、程序、方法等。内部管理控制制度虽不直接涉及财务会计活动，但也有间接的相关反映，它是内部控财务会计活动，但也有间接的相关反映，它是内部控制控制制度的前提和基础，是内部会计控制制度的出制控制制度的前提和基础，是内部会计控制制度的出发点。因此，若要建立有效的内部会计控制制度，必发点。因此，若要建立有效的内部会计控制制度，必须先建立有效的内部管理控制制度。须先建立有效的内部管理控制制度。3/19/202312二、内部控制概述（3）（三）内部控制的组成要素控

14、制环境：确定一个组织的氛围并影响着管理层和雇：确定一个组织的氛围并影响着管理层和雇员的控制意识，控制环境对内部控制的建立和实施具员的控制意识，控制环境对内部控制的建立和实施具有重大影响，是内部控制其他有重大影响，是内部控制其他4项控制要素的基础项控制要素的基础风险评估：就是发现、分析和管理与组织实现目标有就是发现、分析和管理与组织实现目标有关的风险的过程，是提高内部控制效率和效果的关键。关的风险的过程，是提高内部控制效率和效果的关键。控制活动：指管理者为了降低与组织实现目标有关的：指管理者为了降低与组织实现目标有关的风险而采取的一系列适当的政策和程序。按用途可分风险而采取的一系列适当的政策和程

15、序。按用途可分成成3类：预防性控制、检查性控制、纠正性控制类：预防性控制、检查性控制、纠正性控制信息和沟通：是组织在实现其目标过程中必不可少的：是组织在实现其目标过程中必不可少的内容内容监督：是评估一段时期的内部控制质量的过程。是对：是评估一段时期的内部控制质量的过程。是对内部控制的整体框架及其运行情况的追踪、监测和调内部控制的整体框架及其运行情况的追踪、监测和调节，以自始至终确保其有效性。节，以自始至终确保其有效性。3/19/202313三、会计信息系统内部控制（1）（一）会计信息系统内部控制的一概念、目的和功能会计信息系统内部控制是指在系统设计会计信息系统内部控制是指在系统设计时，为确保会

16、计数据信息的正确性、可时，为确保会计数据信息的正确性、可靠性、安全性，而采取的一些标准化控靠性、安全性，而采取的一些标准化控制措施和相应的技术措施。制措施和相应的技术措施。标准化措施是指规定的管理法规和操作标准化措施是指规定的管理法规和操作制度，着重于人与运行规程的控制；制度，着重于人与运行规程的控制；技术措施主要指与计算机系统相关的硬技术措施主要指与计算机系统相关的硬件和软件技术措施。件和软件技术措施。3/19/202314三、会计信息系统内部控制（2）（一）会计信息系统内部控制的一概念、目的和功能建立内部控制的目的：就是通过对危害建立内部控制的目的：就是通过对危害会计信息系统的各种因素进行

17、控制来防会计信息系统的各种因素进行控制来防止或减少各种损失。具体包括三个方面：止或减少各种损失。具体包括三个方面：n保证会计信息系统所提供的会计信息正保证会计信息系统所提供的会计信息正确、完整、可靠、合理。在会计信息系确、完整、可靠、合理。在会计信息系统的设计过程中，要注意使用程序化控统的设计过程中，要注意使用程序化控制；制；n保证会计处理符合会计制度和会计原则保证会计处理符合会计制度和会计原则的要求，因此在系统开发阶段以及系统的要求，因此在系统开发阶段以及系统运行阶段，必须建立适当的内部控制，运行阶段，必须建立适当的内部控制，确保系统及其所处理的经济业务合规合确保系统及其所处理的经济业务合规

18、合法。法。3/19/202315三、会计信息系统内部控制（3）（一）会计信息系统内部控制的一概念、目的和功能n保护资产和资源，防止违法行为的发生，保护资产和资源，防止违法行为的发生，提高系统的效率和效益，提高企业的竞提高系统的效率和效益，提高企业的竞争能力，促使企业提供管理决策的正确争能力，促使企业提供管理决策的正确性。性。会计信息系统内部控制的功能会计信息系统内部控制的功能包括包括3个方面：个方面：n预防性控制功能n检查性控制功能n纠正性控制功能3/19/202316三、会计信息系统内部控制（4）（二）会计信息系统的内部控制问题 会计信息系统的内部控制重点发生了转变，表现在以会计信息系统的内

19、部控制重点发生了转变，表现在以下几方面：下几方面：n身份的识别和权限控制变得复杂身份的识别和权限控制变得复杂n账簿体系相互牵制的作用被削弱。控制重点之一就是账簿体系相互牵制的作用被削弱。控制重点之一就是如何检验和保证输入凭证的正确；如何检验和保证输入凭证的正确；n数据以电、磁形式存储，形成了系统的高风险；数据以电、磁形式存储，形成了系统的高风险；n内部控制的实现不能光靠管理制度内部控制的实现不能光靠管理制度（三）会计信息系统内部控制分类可分为程序化控制和人工控制（“如何执行控制”）；也可分为一般控制和应用控制（“控制执行范围”）3/19/202317三、会计信息系统内部控制（5）（三）会计信息

20、系统内部控制分类它们均是计算机应用所产生的特殊控制，用来预防、它们均是计算机应用所产生的特殊控制，用来预防、发展和纠正系统所发生的错误、舞弊和故障，是系统发展和纠正系统所发生的错误、舞弊和故障，是系统正常运行，提供可靠和及时信息的重要保证。正常运行，提供可靠和及时信息的重要保证。一般控制：泛指各个应用系统均适用的控制。一般控制：泛指各个应用系统均适用的控制。应用控制：专指那些专门为某个应用系统设计且执行应用控制：专指那些专门为某个应用系统设计且执行的控制，根据应用系统的数据处理阶段可划分成的控制，根据应用系统的数据处理阶段可划分成3种类种类型：输入控制、处理控制和输出控制。型：输入控制、处理控

21、制和输出控制。（四）会计信息系统内部控制固有的局限3/19/202318第二节会计信息系统的一般控制与应用控制一、一般控制二、应用控制3/19/202319（一）组织控制组织控制的基本目标是减少发生错误和舞弊的可能性，基本要求组织控制的基本目标是减少发生错误和舞弊的可能性，基本要求是职责分离，主要包括电算部门与用户部门的职责分离、电算部是职责分离，主要包括电算部门与用户部门的职责分离、电算部门内部的职责分离以及人事控制等门内部的职责分离以及人事控制等3个方面。个方面。电算部门与用户部门的职责分离：具体包括：电算部门与用户部门的职责分离：具体包括：n电算部门不能负责业务的批准和执行，所有业务均应

22、由用户部门电算部门不能负责业务的批准和执行，所有业务均应由用户部门发起或授权；发起或授权；n电算部门不能保管除计算机系统以外的任何资产；电算部门不能保管除计算机系统以外的任何资产；n所有业务记录与主文件记录的改变均需用户部门授权，电算部门所有业务记录与主文件记录的改变均需用户部门授权，电算部门无权私自改动业务记录和有关文件；无权私自改动业务记录和有关文件；n所有业务过程中产生的错误数据均应由业务部门负责或授权改正，所有业务过程中产生的错误数据均应由业务部门负责或授权改正，电算部门只允许改正数据在输入、处理、输出过程中由于操作疏电算部门只允许改正数据在输入、处理、输出过程中由于操作疏忽而引起的错

23、误；忽而引起的错误；n所有现有系统的改进、新系统的应用都由用户部门授权，电算部所有现有系统的改进、新系统的应用都由用户部门授权，电算部门无权私自修改系统程序。门无权私自修改系统程序。一、一般控制（1）3/19/202320（一）组织控制电算部门内部的职责分离，主要包括：电算部门内部的职责分离，主要包括：n对系统开发职能与数据处理职能进行分离；对系统开发职能与数据处理职能进行分离；n对数据处理职能进行分离，例如凭证输入与审核处理对数据处理职能进行分离，例如凭证输入与审核处理工作应加以分离；工作应加以分离；人事控制：要建立在职教育、定期评价、轮换任职、人事控制：要建立在职教育、定期评价、轮换任职、

24、实施奖惩等控制错误，以规章制度的形式明确每个部实施奖惩等控制错误，以规章制度的形式明确每个部门及人员的具体职责。门及人员的具体职责。（二）操作控制（三）硬件及系统软件控制（四）系统开发控制（五）系统文档控制一、一般控制（2）3/19/202321二、应用控制一、输入控制二、处理控制三、输出控制3/19/2023224数据采集控制4数据输入控制8顺序校验，包括编号、日期方面的输入检验顺序校验，包括编号、日期方面的输入检验8文件检索校验，包括设置会计科目代码与名称对照文文件检索校验，包括设置会计科目代码与名称对照文件、设置对应关系参照文件等件、设置对应关系参照文件等8合理性校验（合理范围校验）合理

25、性校验（合理范围校验）8试算平衡校验试算平衡校验8人工校验（静态校验）人工校验（静态校验）8重输入校验（二次输入校验）重输入校验（二次输入校验）8非法对应业务关系校验非法对应业务关系校验（一）输入控制3/19/2023234业务时序控制业务时序控制4数据有效性控制数据有效性控制4程序化处理有效性校验程序化处理有效性校验4错误更正控制错误更正控制4断点技术断点技术4数据合理性检查数据合理性检查（二）处理控制3/19/2023244主要的输出控制措施有主要的输出控制措施有8输出授权控制（安全性控制）输出授权控制（安全性控制）8输入过程的控制总数与输出得到的控制总数相核对输入过程的控制总数与输出得到

26、的控制总数相核对8审校输出结果，检查其合理性、正确性、完整性审校输出结果，检查其合理性、正确性、完整性8对比分析校验（合理性控制）对比分析校验（合理性控制）8输出报告发送登记制度输出报告发送登记制度8制定输出错误纠正和对重要数据进行处理的规定制定输出错误纠正和对重要数据进行处理的规定8会计报表输出前的平衡校验（恒等式控制）会计报表输出前的平衡校验（恒等式控制）（三）输出控制3/19/202325第三节网络信息时代的内部控制理论一、明确预防商业风险是会计师的首要职责传统观点认为，会计师的首先职责是检查传统观点认为，会计师的首先职责是检查财务错误和发现舞弊行为，是一种事后控财务错误和发现舞弊行为，

27、是一种事后控制，也是一种被动控制；制，也是一种被动控制；网络信息时代：首先是预防商业风险，然网络信息时代：首先是预防商业风险，然后才是检查、纠正错误和舞弊。后才是检查、纠正错误和舞弊。二、正确对待风险和特定控制程序之间的关系传统内部控制观：先识别内部控制的目标，然后提出一系列传统内部控制观：先识别内部控制的目标，然后提出一系列与传统的会计制度相适应的控制政策和程序，而不管其中风与传统的会计制度相适应的控制政策和程序，而不管其中风险如何；险如何；网络信息时代：先认识风险，然后制定规则。实施特定控制网络信息时代：先认识风险，然后制定规则。实施特定控制程序本身是为了减少或消除产生风险的条件。程序本身

28、是为了减少或消除产生风险的条件。3/19/202326第三节网络信息时代的内部控制理论三、内部控制程序的设计应达到保护与高效并重的效果传统控制观认为：保护资产的目标与提高运行效率的目标是传统控制观认为：保护资产的目标与提高运行效率的目标是不相容的。不相容的。网络信息时代：为了不断改善内部控制，使其保持高标准，网络信息时代：为了不断改善内部控制，使其保持高标准，应识别与更高效的过程相关的风险，并制定相应的控制程序应识别与更高效的过程相关的风险，并制定相应的控制程序以有效地降低风险水平。以有效地降低风险水平。不能让特定的控制程序限制了技术的使用，应该使用技术提不能让特定的控制程序限制了技术的使用，

29、应该使用技术提高业务运行的效率。应改变原有规则以控制新过程的风险，高业务运行的效率。应改变原有规则以控制新过程的风险，改善过程所节约的成本将使我们能更好地控制风险。改善过程所节约的成本将使我们能更好地控制风险。四、IT可能带来风险，但它更是控制风险的工具信息技术的确给组织带来了新的风险，但随着新风险的产生信息技术的确给组织带来了新的风险，但随着新风险的产生新的控制工具也产生了，若使用得当，将更有效地达到控制新的控制工具也产生了，若使用得当，将更有效地达到控制目标。目标。3/19/202327第三节网络信息时代的内部控制理论四、IT可能带来风险，但它更是控制风险的工具（续）人们常常由于缺乏对信息

30、技术能力的了解，或者对信（续）人们常常由于缺乏对信息技术能力的了解，或者对信息技术给业务、风险、控制和审计带来的影响存在错误的观息技术给业务、风险、控制和审计带来的影响存在错误的观念，以致限制了利用信息技术来预防、检查风险和从风险中念，以致限制了利用信息技术来预防、检查风险和从风险中恢复的有效性。恢复的有效性。信息技术与业务过程和信息过程的结合正日益扩大，这要求信息技术与业务过程和信息过程的结合正日益扩大，这要求我们使用信息技术来控制这些过程。我们使用信息技术来控制这些过程。五、信息的可见性与风险水平无关在今天的信息系统中，组织可能不再使用纸张文档，但追溯在今天的信息系统中，组织可能不再使用纸

31、张文档，但追溯数据流的能力依然存在。数据流的能力依然存在。电子审计线索和纸上的审计线索一样，甚至比纸上的审计线电子审计线索和纸上的审计线索一样，甚至比纸上的审计线索更有效。在集成的、基于事件的系统中的审计线索常常比索更有效。在集成的、基于事件的系统中的审计线索常常比传统的、纸上的审计线索更简单。传统的、纸上的审计线索更简单。3/19/202328第三节网络信息时代的内部控制理论六、小型组织同样也可充分运用信息技术强化内部控制按照传统的职责分离理论，小型组织由于人力和资源所限，按照传统的职责分离理论，小型组织由于人力和资源所限，很难建立有效的内部控制制度。很难建立有效的内部控制制度。但在网络信息

32、时代，由于信息技术普遍推广使用，小型组织但在网络信息时代，由于信息技术普遍推广使用，小型组织也能以较小的成本代价利用信息技术建立内部控制系统，以也能以较小的成本代价利用信息技术建立内部控制系统，以提供必要的业务过程和信息过程控制，从而达到极大地改善提供必要的业务过程和信息过程控制，从而达到极大地改善内部控制制度的效果。内部控制制度的效果。七、网络信息时代内部控制观点总结控制观点有以下七点变化：控制观点有以下七点变化：n消除了大部分打印文档。消除了大部分打印文档。n职责分离仍然是一种中肯的观念，但信息技术能替代原来分职责分离仍然是一种中肯的观念，但信息技术能替代原来分派给不同的个人的某些职能。许

33、多原来由多个员工执行的控派给不同的个人的某些职能。许多原来由多个员工执行的控制现在被嵌入到了信息系统中，由信息技术来监控。制现在被嵌入到了信息系统中，由信息技术来监控。3/19/202329第三节网络信息时代的内部控制理论七、网络信息时代内部控制观点总结（续）控制观点有以下七点变化（续）：控制观点有以下七点变化（续）：n应该消除业务事件数据的重复记录和核对机制。应该消除业务事件数据的重复记录和核对机制。n会计师应该成为具有实时、积极的控制观点的咨询师，预防会计师应该成为具有实时、积极的控制观点的咨询师，预防商业风险应该比检查、纠正错误和舞弊更为重要。商业风险应该比检查、纠正错误和舞弊更为重要。

34、n应着重强调在信息系统的开发阶段实施控制，而不是由注册应着重强调在信息系统的开发阶段实施控制，而不是由注册会计师来验证系统本身的准确性。随着验证系统本身准确性会计师来验证系统本身的准确性。随着验证系统本身准确性和提供实时报告担保服务的重要性的不断提高，审计财务报和提供实时报告担保服务的重要性的不断提高，审计财务报表的重要性也越来越低了。表的重要性也越来越低了。n应着重强调增强组织的有效性，不断改善内部控制，使其保应着重强调增强组织的有效性，不断改善内部控制，使其保持强健。持强健。n在理解信息技术的能力和风险的基础上尽可能地开发利用信在理解信息技术的能力和风险的基础上尽可能地开发利用信息技术以支

35、持决策过程、开展业务事件、执行信息过程、预息技术以支持决策过程、开展业务事件、执行信息过程、预防和检查错误和舞弊。防和检查错误和舞弊。3/19/202330第三节网络信息时代的内部控制理论八、事件驱动会计信息系统的风险识别与控制业务事件风险：业务事件奉贤导致的错误业务事件风险：业务事件奉贤导致的错误和舞弊有下列特征：和舞弊有下列特征：n业务事件发生在错误的实践或按错误的顺业务事件发生在错误的实践或按错误的顺序；序；n业务事件的发生没有适当的授权；业务事件的发生没有适当的授权；n业务事件涉及错误的内部人员业务事件涉及错误的内部人员n业务事件涉及错误的外部人员业务事件涉及错误的外部人员n业务事件涉

36、及错误的资源类型业务事件涉及错误的资源类型n业务事件发生在错误的地点。业务事件发生在错误的地点。3/19/202331第三节网络信息时代的内部控制理论八、事件驱动会计信息系统的风险识别与控制（续）信息处理风险：与信息处理相关的风险包信息处理风险：与信息处理相关的风险包括：括：n记录风险，包括记录不完整、不准确或无记录风险，包括记录不完整、不准确或无效的业务事件数据效的业务事件数据n维护风险，基本上与记录风险相同，惟一维护风险，基本上与记录风险相同，惟一的区别是数据与资源、参与者及地点相关，的区别是数据与资源、参与者及地点相关，而不是与业务事件相关而不是与业务事件相关；n报告风险，包括数据访问不

37、当、汇总不当、报告风险，包括数据访问不当、汇总不当、数据提供给未经授权的人，或未及时提供数据提供给未经授权的人，或未及时提供数据。数据。3/19/202332第四节信息系统的安全影响因素分析一、信息系统安全的含义泛指一切以声光电信号、磁信号、语言及约定形式等为媒体的信息的安全，一般也包括纸介质、磁介质、胶片、有线信道及无线信道为媒体的信息，在获取、分类、排序、检索、传递和共享中的安全。二、影响信息系统安全性的主要因素（一）硬件组织（二）软件组织（三）网络和通信协议（四）管理者3/19/202333第五节会计信息系统的安全问题及保障技术一、会计信息系统安全问题的具体表现二、会计信息系统安全策略（一）健全内部控制制度（二）实施技术控制手段三、网络会计信息系统的安全性评估指标3/19/202334本章小结一、风险与控制之间的关系二、会计信息系统的一般控制与应用控制三、网络信息时代的内部控制理论四、信息系统的安全影响因素分析五、会计信息系统的安全问题及保障技术3/19/202335