1、 第五章 會(huì)計(jì)信息系統(tǒng)的控制一、會(huì)計(jì)信息系統(tǒng)控制的相關(guān)概念會(huì)計(jì)信息系統(tǒng)的分析、設(shè)計(jì)、實(shí)施、運(yùn)行、維護(hù)與管理的全過(guò)程中都會(huì)面臨著風(fēng)險(xiǎn)，至使無(wú)法達(dá)到預(yù)期的目標(biāo)。為了保證實(shí)現(xiàn)會(huì)計(jì)信息系統(tǒng)的各項(xiàng)管理目標(biāo)，就需要實(shí)施會(huì)計(jì)信息系統(tǒng)控制。 1、風(fēng)險(xiǎn)和控制（1）風(fēng)險(xiǎn)與風(fēng)險(xiǎn)管理當(dāng)事件的結(jié)果不確定時(shí)，出現(xiàn)的結(jié)果可能好于預(yù)期目標(biāo)，也可能差于預(yù)期目標(biāo)。由于人們更關(guān)注損失，所以更強(qiáng)調(diào)不利事件。風(fēng)險(xiǎn)指不利事件發(fā)生導(dǎo)致一個(gè)組織或機(jī)構(gòu)遭受損失的可能性。風(fēng)險(xiǎn)由風(fēng)險(xiǎn)因素、風(fēng)險(xiǎn)事故和風(fēng)險(xiǎn)損失等要素組成風(fēng)險(xiǎn)損失的大小是該風(fēng)險(xiǎn)事件發(fā)生的概率與該事件可能造成的損失的乘積。企業(yè)應(yīng)該對(duì)風(fēng)險(xiǎn)進(jìn)行管理。風(fēng)險(xiǎn)管理是一個(gè)過(guò)程，這個(gè)過(guò)程受董事會(huì)、管理

2、層和其他人員的影響，從企業(yè)戰(zhàn)略制定一直貫穿到企業(yè)的各項(xiàng)活動(dòng)中，用于識(shí)別哪些可能影響企業(yè)的潛在事件并管理風(fēng)險(xiǎn)，使之在企業(yè)的風(fēng)險(xiǎn)偏好之內(nèi)，從而合理確保企業(yè)取得既定的目標(biāo)。風(fēng)險(xiǎn)管理一般包括風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制和風(fēng)險(xiǎn)監(jiān)督幾個(gè)環(huán)節(jié)。 （2）控制控制是現(xiàn)代管理的基本職能之一，管理學(xué)上一般把控制定義為“監(jiān)視各項(xiàng)活動(dòng)以保證它們按計(jì)劃進(jìn)行并糾正各種偏差的過(guò)程”。控制有內(nèi)部和外部之分從風(fēng)險(xiǎn)管理的角度看，風(fēng)險(xiǎn)控制是是風(fēng)險(xiǎn)管理的重要環(huán)節(jié)之一，降低或消除風(fēng)險(xiǎn)損失的活動(dòng)。 風(fēng)險(xiǎn)控制是指管理者為了確保管理指令能夠得以有效實(shí)施而制定并實(shí)行的各種政策和步驟。旨在為組織中每個(gè)特定的控制目標(biāo)的實(shí)現(xiàn)提供合理的保證，這些特定的

3、控制目標(biāo)包括：必須有任務(wù)分割以防止員工在其正常職責(zé)范圍內(nèi)作弊并隱瞞。（職責(zé)分離）設(shè)計(jì)和使用適當(dāng)?shù)奈臋n和記錄以保證交易和事件的適當(dāng)記錄。（留跡）只有得到管理層的授權(quán)才能接近資產(chǎn)。（物理隔離）對(duì)資產(chǎn)和工作情況的相關(guān)責(zé)任進(jìn)行獨(dú)立的檢查。對(duì)數(shù)據(jù)處理進(jìn)行控制以保證交易的合理授權(quán)、業(yè)務(wù)數(shù)據(jù)處理的準(zhǔn)確性與完整性。（3）風(fēng)險(xiǎn)與控制的關(guān)系控制應(yīng)該建立在風(fēng)險(xiǎn)分析的基礎(chǔ)上，同時(shí)要考慮控制成本和控制效益。每一項(xiàng)確定的風(fēng)險(xiǎn)往往有多種控制措施和方式可供選擇，而各種控制措施的效果和成本各不相同。一般情況下，組織不可能也不必要控制所有的風(fēng)險(xiǎn)，所以應(yīng)該主要控制重要的風(fēng)險(xiǎn)。 2、會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)分析會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)是指從會(huì)計(jì)信息

4、系統(tǒng)的分析、設(shè)計(jì)、實(shí)施、運(yùn)行、維護(hù)直到壽命期結(jié)束報(bào)廢的全過(guò)程所面臨的風(fēng)險(xiǎn)。會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)是指由于人為的或非人為的因素使得會(huì)計(jì)信息系統(tǒng)保護(hù)安全的能力減弱，從而造成損失的可能性。 會(huì)計(jì)信息系統(tǒng)安全風(fēng)險(xiǎn)損失主要表現(xiàn)在幾方面:會(huì)計(jì)信息失真企業(yè)資產(chǎn)損失組織重要信息泄露系統(tǒng)無(wú)法正常運(yùn)行基于計(jì)算機(jī)和網(wǎng)絡(luò)的會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的特點(diǎn)風(fēng)險(xiǎn)更具隱蔽性風(fēng)險(xiǎn)損失更大，后果更嚴(yán)重舞弊手段、方法更為先進(jìn) 基于計(jì)算機(jī)和網(wǎng)絡(luò)的會(huì)計(jì)信息系統(tǒng)風(fēng)險(xiǎn)的特點(diǎn) 數(shù)據(jù)集中存儲(chǔ)和管理，一但出現(xiàn)硬件故障，比如主機(jī)系統(tǒng)損壞，可能導(dǎo)致數(shù)據(jù)丟失甚至造成毀滅性的災(zāi)難。 業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)集成以后，內(nèi)部管理上權(quán)限控制是重新分配的，新的控制措施跟不上，

5、就有可能造成控制的漏洞。 信息在互聯(lián)網(wǎng)上傳輸，產(chǎn)生了易泄露的風(fēng)險(xiǎn)，還有各級(jí)權(quán)限密碼保存、改動(dòng)不當(dāng)甚或丟失都可能造成重大損失。 在信息技術(shù)環(huán)境下，對(duì)技術(shù)人員尤其是系統(tǒng)管理人員的控制問(wèn)題變得異常突出。這些人員在極端情況下，可能會(huì)造成機(jī)器毀壞或整個(gè)系統(tǒng)癱瘓。 信息技術(shù)是雙刃劍，有正面的價(jià)值，也有負(fù)面的影響。我們的任務(wù)就是千方百計(jì)發(fā)揮和利用信息技術(shù)的正面效用而減少或避免其負(fù)面影響，這就為內(nèi)部控制提出了新的挑戰(zhàn)，我們必須認(rèn)識(shí)這一點(diǎn)。好在信息技術(shù)在內(nèi)部控制工作中也可以大有作為，甚至可以幫助完成人工不可能實(shí)現(xiàn)的控制任務(wù)，這完全取決于我們的研究與探索。企業(yè)信息化完全改變了原來(lái)業(yè)務(wù)處理的模式、秩序、穩(wěn)定性和安全

6、性，需要我們建立一個(gè)全新的信息技術(shù)環(huán)境下的以信息技術(shù)為工具的內(nèi)部控制體系，也就是要建立一個(gè)基于信息技術(shù)的具有穩(wěn)定性、安全性的新的業(yè)務(wù)處理模式。3、會(huì)計(jì)信息系統(tǒng)控制會(huì)計(jì)信息系統(tǒng)控制是指為了保證會(huì)計(jì)信息系統(tǒng)的正確性、可靠性和安全性，提高會(huì)計(jì)信息系統(tǒng)運(yùn)營(yíng)效率，確保會(huì)計(jì)信息的準(zhǔn)確可靠，利用各種手段和技術(shù)，對(duì)會(huì)計(jì)信息系統(tǒng)實(shí)施管理和控制的過(guò)程。會(huì)計(jì)信息系統(tǒng)控制的對(duì)象是信息系統(tǒng)，由計(jì)算機(jī)硬件和軟件資源、應(yīng)用系統(tǒng)、數(shù)據(jù)和相關(guān)人員等信息系統(tǒng)的組成要素構(gòu)成。（1）會(huì)計(jì)信息系統(tǒng)控制的目標(biāo)會(huì)計(jì)信息系統(tǒng)控制的根本目的就是在信息系統(tǒng)風(fēng)險(xiǎn)分析基礎(chǔ)上消除或降低風(fēng)險(xiǎn)危害?？刂颇繕?biāo)主要有以下幾點(diǎn)：及時(shí)提供正確、完整、可靠和合理的

7、會(huì)計(jì)信息保證會(huì)計(jì)處理符合會(huì)計(jì)制度和會(huì)計(jì)原則的要求保護(hù)資產(chǎn)和資源，提高系統(tǒng)的安全性提高系統(tǒng)的效率和效益，提高企業(yè)的競(jìng)爭(zhēng)能力，輔助管理者提高管理決策的正確性（2）信息技術(shù)的應(yīng)用對(duì)會(huì)計(jì)信息系統(tǒng)控制的影響內(nèi)部控制的形式發(fā)生了變化 內(nèi)部控制的內(nèi)容發(fā)生了改變 內(nèi)部控制的重點(diǎn)發(fā)生了變化 1、系統(tǒng)開(kāi)發(fā)階段的控制是其他控制有效發(fā)揮作用的前提2、控制的重點(diǎn)轉(zhuǎn)向電子數(shù)據(jù)處理部門(mén)3、控制的范圍擴(kuò)大4、控制的方式和手段發(fā)生變化5、控制的要求更嚴(yán)格（3）信息技術(shù)的應(yīng)用帶來(lái)的會(huì)計(jì)信息系統(tǒng)控制的特點(diǎn)計(jì)算機(jī)系統(tǒng)中交易的授權(quán)和執(zhí)行與手工系統(tǒng)有很大不同新的分工和職責(zé)分離 對(duì)信息系統(tǒng)內(nèi)控的依賴性，增加了差錯(cuò)多次發(fā)生的可能性 （4）會(huì)

8、計(jì)信息系統(tǒng)控制分類按照控制的層次，可以分為戰(zhàn)略控制、管理控制和業(yè)務(wù)處理控制；按照信息系統(tǒng)不同發(fā)展階段，可以分為規(guī)劃控制、系統(tǒng)分析控制、設(shè)計(jì)控制、實(shí)施控制、運(yùn)行與維護(hù)控制等；按照控制的預(yù)定用途，可以分為預(yù)防性控制、檢查性控制和糾正性控制；按照控制的實(shí)施范圍，可以分為一般控制和應(yīng)用控制。一般控制對(duì)會(huì)計(jì)信息系統(tǒng)構(gòu)成要素及數(shù)據(jù)處理環(huán)境的控制，為會(huì)計(jì)信息系統(tǒng)的正常運(yùn)行提供安全可靠的環(huán)境。應(yīng)用控制對(duì)會(huì)計(jì)信息系統(tǒng)的具體功能模塊及業(yè)務(wù)數(shù)據(jù)處理過(guò)程各環(huán)節(jié)的控制，為數(shù)據(jù)處理的準(zhǔn)確性和完整性提供保障。一般控制是應(yīng)用控制的基礎(chǔ)應(yīng)用控制是一般控制的深化二、會(huì)計(jì)信息系統(tǒng)的一般控制 會(huì)計(jì)信息系統(tǒng)運(yùn)行階段的一般控制主要包括組

9、織控制、系統(tǒng)硬件和軟件控制、安全控制等幾方面。 1、組織控制組織控制是將組織作為控制的對(duì)象和手段，通過(guò)建立起具有控制能力的組織結(jié)構(gòu)、采用滿足控制要求的組織流程、構(gòu)筑認(rèn)同和重視控制的組織文化，達(dá)到控制的目標(biāo)。組織控制是其他控制實(shí)施和發(fā)揮作用的基礎(chǔ)。職責(zé)分離財(cái)務(wù)部門(mén)和用戶部門(mén)業(yè)務(wù)的發(fā)起或授權(quán)業(yè)務(wù)記錄和主文件記錄的改變資產(chǎn)的保管錯(cuò)誤的業(yè)務(wù)數(shù)據(jù)應(yīng)用程序的改動(dòng)財(cái)務(wù)部門(mén)內(nèi)部系統(tǒng)開(kāi)發(fā)和數(shù)據(jù)處理數(shù)據(jù)處理小組設(shè)置不同崗位數(shù)據(jù)、文件的保管控制和監(jiān)督工作2、硬件和軟件控制（1）硬件系統(tǒng)控制會(huì)計(jì)信息系統(tǒng)的硬件系統(tǒng)包括網(wǎng)絡(luò)設(shè)施、通訊設(shè)施、計(jì)算機(jī)及其輔助設(shè)備等。硬件設(shè)備本身的控制措施一般由設(shè)備生產(chǎn)廠家固化在設(shè)備中，設(shè)備使

10、用者是難以改變的，它能自動(dòng)查出某些類型的錯(cuò)誤，而無(wú)需程序或操作人員送入任何特殊指令。硬件控制的失效會(huì)消弱其他控制措施的作用，影響系統(tǒng)的可靠性。（2）軟件系統(tǒng)控制信息系統(tǒng)軟件一般包括操作系統(tǒng)、工具軟件、應(yīng)用系統(tǒng)軟件三大部分。操作系統(tǒng)處于信息系統(tǒng)軟件平臺(tái)的最底層，因此它的安全是整個(gè)軟件平臺(tái)安全的基礎(chǔ)；應(yīng)用系統(tǒng)處于最上層，是完成具體業(yè)務(wù)處理的軟件，由于各種業(yè)務(wù)處理對(duì)安全的需求程度不同，因此應(yīng)用軟件自身提供的控制措施也有很大區(qū)別；工具軟件介于操作系統(tǒng)和應(yīng)用軟件之間，是應(yīng)用系統(tǒng)開(kāi)發(fā)所用的軟件。軟件控制措施：錯(cuò)誤控制程序保護(hù)文件保護(hù)安全保護(hù)3、系統(tǒng)安全控制硬件的安全控制軟件和數(shù)據(jù)的安全控制環(huán)境安全控制防病毒控制三、會(huì)計(jì)信息系統(tǒng)的應(yīng)用控制 應(yīng)用控制的內(nèi)容與業(yè)務(wù)處理有關(guān)，取決于業(yè)務(wù)處理的需要。不同環(huán)節(jié)的應(yīng)用控制又可以分