1、.,第一部分,會計信息系統(tǒng)：概念與工具 第1章 會計信息系統(tǒng)介紹 第2章 商務(wù)過程與會計信息系統(tǒng)數(shù)據(jù) 第3章 會計信息系統(tǒng)描述 第4章 商務(wù)處理過程的風險和控制,.,第4章 商務(wù)過程中的風險與控制,應(yīng)理解： 內(nèi)部控制的框架 內(nèi)控的實施 業(yè)務(wù)系統(tǒng)事件執(zhí)行和系統(tǒng)風險 總賬系統(tǒng)的記錄和更新風險 降低記錄風險的工作流程控制,通過本章的學習,應(yīng)掌握： 識別商務(wù)過程中的事件執(zhí)行風險 識別記錄和更新風險 運用文字和UML活動圖識別和創(chuàng)建控制,重要,.,內(nèi)部控制主要框架： 內(nèi)部控制目標及組織,審計準則SAS NO.94 財務(wù)報表審計中，信息技術(shù)對內(nèi)部控制評估環(huán)境的影響 內(nèi)部控制的定義 為實現(xiàn)以下目標而設(shè)定的程

2、序：（1）財務(wù)報告的可信度；（2）提高操作效率和效果；（3）符合相關(guān)的法律法規(guī)。,.,內(nèi)部控制的組成,（P105 欄4.1） SAS NO. 94 控制環(huán)境 風險評估 控制活動 信息與溝通 監(jiān)督,業(yè)績考核 職責分工 應(yīng)用控制 一般控制,.,內(nèi)部控制目標和風險評估,內(nèi)部控制的目標 目標類型 定義 風險類型 執(zhí)行 循環(huán)過程中正常交易的實現(xiàn) 執(zhí)行風險 信息系統(tǒng) 正確記錄、更新及報告數(shù)據(jù) 信息系統(tǒng)風險 資產(chǎn)保全 資產(chǎn)的安全保管措施 資產(chǎn)保全風險 行為 組織、個人、部門、產(chǎn)品及勞 務(wù)等恰當?shù)臉I(yè)務(wù)履行 行為風險,.,執(zhí)行風險的評估,了解和評估執(zhí)行風險的5個步驟： 了解組織的商務(wù)過程 確定貨物、勞務(wù)的提供及

3、現(xiàn)金收取存在的風險性 在研究的基礎(chǔ)上，將已經(jīng)列示的一般風險針對特定的商務(wù)處理過程重新描述，去除不相關(guān)或不重要的列示 評價現(xiàn)有風險的重要性 對于重大風險，分析形成原因,.,一般的執(zhí)行風險,收入循環(huán) 1、發(fā)出貨物、提供勞務(wù) 銷售未經(jīng)授權(quán) 經(jīng)授權(quán)批準后，銷售并未發(fā)生，或是滯后，或是重復(fù)記錄 產(chǎn)品或勞務(wù)的種類錯誤 數(shù)量、質(zhì)量等級或價格錯誤 客戶或地址錯誤 2、收取現(xiàn)金 現(xiàn)金沒有收到，或延遲收到 收到現(xiàn)金的金額錯誤,.,案例分析,ELERBE公司案例 Angelo 餐廳,.,一般的執(zhí)行風險,獲取循環(huán) 1、收到貨物、勞務(wù) 購貨業(yè)務(wù)未經(jīng)授權(quán) 授權(quán)批準后，購買并未發(fā)生，或是滯后，或是重復(fù)記錄 產(chǎn)品或勞務(wù)的種類

4、錯誤 數(shù)量、質(zhì)量等級或價格錯誤 供應(yīng)商錯誤 2、支付現(xiàn)金 現(xiàn)金支付未經(jīng)授權(quán) 現(xiàn)金沒有支付，或延遲支付 支付現(xiàn)金的金額錯誤,ELERBE公司案例,開發(fā)電子圖書和教育軟件,建議書未經(jīng)論證或未通過、未簽訂合同,產(chǎn)品未完成、延遲完成、重復(fù)開發(fā),產(chǎn)品開發(fā)內(nèi)容與要求有誤,產(chǎn)品數(shù)量錯誤、未通過質(zhì)量檢測、價格錯誤,選擇作者錯誤,支付現(xiàn)金 現(xiàn)金支付未經(jīng)授權(quán) 現(xiàn)金沒有支付，或延遲支付 支付現(xiàn)金的金額錯誤,x,？,x,？,Y,.,分析重要風險產(chǎn)品開發(fā)內(nèi)容與要求有誤的可能原因,選擇的作者的水平與能力 初步評價與論證不夠充分 產(chǎn)品開發(fā)需求或合同要求不明確 開發(fā)過程配合不緊密、監(jiān)督控制不到位、信息反饋不及時 外部評價人的

5、水平、反饋、建議能力 ,.,設(shè)計建立控制，降低風險,分析了導(dǎo)致風險存在的潛在原因后，組織應(yīng)建立相應(yīng)的內(nèi)部控制機制,.,信息系統(tǒng)風險的評估,信息系統(tǒng)風險的類型 記錄風險：事件信息沒有準確地采集到組 織的信息系統(tǒng)中 更新風險：主文件記錄中匯總項沒有及時、 正確地更新。,.,識別記錄風險,步驟： 了解組織的商務(wù)過程 復(fù)核事件，掌握數(shù)據(jù)錄入原始憑證或交易文件的過程 對于每筆記入原始憑證或交易文件的事件，關(guān)注其記錄風險。將一般風險針對特定的活動事件中，去除不相關(guān)或不重要的風險。,.,一般的記錄風險,記錄風險 記錄了未發(fā)生的事件 已發(fā)生的事件沒有記錄，或是滯后、重復(fù)記錄 產(chǎn)品或勞務(wù)的規(guī)格型號記錄錯誤 數(shù)量

6、或價格記錄錯誤 內(nèi)部或外部責任人記錄錯誤,Angelo餐廳接受訂單,發(fā)生可能性很小 服務(wù)員沒有記錄或單憑記憶、滯后記錄、重復(fù)記錄（可能性很小） 服務(wù)員記錄錯誤的菜名 記錄了錯誤的數(shù)量或份量 服務(wù)員沒有在銷售單上簽名，不存在外部人員,.,一般的記錄風險,記錄風險 記錄了未發(fā)生的事件 已發(fā)生的事件沒有記錄，或是滯后、重復(fù)記錄 產(chǎn)品或勞務(wù)的規(guī)格型號記錄錯誤 數(shù)量或價格記錄錯誤 內(nèi)部或外部責任人記錄錯誤,ELBERE公司接受訂單,錯誤記錄客戶，存在內(nèi)部人員 ？,發(fā)生可能性很小,訂單錄入員沒有記錄、滯后記錄、重復(fù)記錄訂單信息,訂單錄入員記錄錯誤的書名或版次,訂單錄入員記錄了錯誤的數(shù)量，價格錯誤可能性小,

7、.,計算機信息系統(tǒng)記錄的風險,ELERBE公司收入循環(huán)案例 （表4.6，問題4.d）,.,識別更新風險,步 驟： 識別記錄風險交易文件中的記錄錯誤會導(dǎo)致匯總數(shù)據(jù)項的錯誤 分析包括更新活動在內(nèi)的的事件。分析更新的主文件的匯總數(shù)據(jù) 對于每一個更新主文件的事件，考慮其一般的更新風險，將一般風險針對特定的活動事件中，去除不相關(guān)或不重要的列示,.,一般的更新風險,未更新主文件或重復(fù)更新 更新時間不正確 更新的合計數(shù)錯誤 更新了錯誤的的主文件,.,ELERBE公司收入循環(huán)案例,數(shù)據(jù)文件 存貨數(shù)據(jù)：編號、名稱、作者、單價、庫存數(shù)量、已分配數(shù)量 客戶數(shù)據(jù)： 編號、名稱、地址、聯(lián)系人、電話、應(yīng)收款合計,表4.7

8、 更新活動 事件 需要更新文件 需要更新的匯總數(shù)據(jù)項 客戶提出需求 沒有更新 接受訂單 存貨文件 已分配數(shù)增加 提貨 沒有更新 發(fā)貨 存貨文件 庫存數(shù)、已分配數(shù)減少 賬單處理 客戶文件 應(yīng)收款合計增加 收現(xiàn) 客戶文件 應(yīng)收款合計減少 核對存款 沒有更新,.,ELERBE公司發(fā)貨事件中的更新風險,一般的更新風險 未更新主文件或重復(fù)更新 更新時間不正確 更新的合計數(shù)錯誤 更新了錯誤的的主文件,ELERBE發(fā)貨 庫存數(shù)、已發(fā)出數(shù)未更新或重復(fù)更新 更新時間滯后，導(dǎo)致沒有存貨但仍接受訂單 庫存數(shù)、已分配數(shù)更新數(shù)錯誤 更新了錯誤的的存貨記錄,.,ELERBE接受訂單事件中的更新風險,一般的更新風險 未更新

9、主文件或重復(fù)更新 更新時間不正確 更新的合計數(shù)錯誤 更新了錯誤的的主文件,ELERBE接受訂單 已分配數(shù)未更新或重復(fù)更新 更新時間滯后，導(dǎo)致沒有存貨但仍接受訂單 已分配數(shù)更新數(shù)錯誤 更新了錯誤的的存貨記錄,.,總賬系統(tǒng)中的記錄與更新,增加會計科目主文件，屬性包括： 科目編碼、科目名稱、科目類型、借方累計、貸方累計、余額,總賬系統(tǒng)中的記錄事件 發(fā)貨Dr:銷售成本 ，Cr:庫存商品 賬單處理Dr:應(yīng)收賬款 ，Cr:銷售收入 收現(xiàn)Dr:現(xiàn)金 ，Cr:應(yīng)收賬款,總賬系統(tǒng)中的更新事件 根據(jù)記錄事件更新會計科目主文件中相應(yīng)記錄的借方累計、貸方累計、余額,.,總賬系統(tǒng)中的記錄風險,記錄風險 記錄了未發(fā)生的事

10、件 已發(fā)生的事件沒有記錄，或是滯后、重復(fù)記錄 產(chǎn)品或勞務(wù)的規(guī)格型號記錄錯誤 數(shù)量或價格記錄錯誤 內(nèi)部或外部責任人記錄錯誤,業(yè)務(wù)憑證未經(jīng)審核記錄總賬系統(tǒng) 業(yè)務(wù)憑證審核后沒有記錄或滯后記錄、重復(fù)記錄到總賬 記錄錯誤的會計科目或科目方向 記錄了錯誤的數(shù)量或金額 記錄員沒有在憑證上簽名，不存在外部人員,.,總賬系統(tǒng)中的更新風險,一般的更新風險 未更新主文件或重復(fù)更新 更新時間不正確 更新的合計數(shù)錯誤 更新了錯誤的的主文件,借方累計、貸方累計、余額未更新或重復(fù)更新 更新時間滯后，導(dǎo)致余額信息滯后 借方累計、貸方累計、余額更新數(shù)錯誤 更新了錯誤的的科目記錄,.,風險控制,風險控制活動類型 工作流程控制 輸

11、入控制 一般控制 業(yè)績考核,.,工作流程控制,1、職責分工 事件的授權(quán) 事件的執(zhí)行 事件數(shù)據(jù)的記錄 原始憑證的保管,.,Angelo 餐廳的收入循環(huán)活動概圖,顧客服務(wù)員廚房收銀員經(jīng)理 收銀機,菜單（途中）,菜單 （執(zhí)行）,菜單（已付）,銷售單（匯總）,點菜,遞單,上菜,備菜,付現(xiàn),價格表,銷售表,結(jié)賬,匯總,核對,分工,分工,分工,材料保管與使用的分工,.,工作流程控制,2、運用前一事件的信息來控制活動 憑證信息 計算機文件信息 通過主文件匯總數(shù)據(jù)來控制 通過交易記錄之間的勾稽關(guān)系來控制,.,Angelo 餐廳的收入循環(huán)活動概圖,顧客服務(wù)員廚房收銀員經(jīng)理 收銀機,菜單（途中）,菜單 （執(zhí)行）,

12、菜單（已付）,銷售單（匯總）,點菜,遞單,上菜,備菜,付現(xiàn),價格表,銷售表,結(jié)賬,匯總,核對,分工,憑證授權(quán)控制,材料保管與使用的分工,前一事件的憑證信息授權(quán)與控制,憑證授權(quán)控制,計算文件信息控制,.,工作流程控制,3、事件的順序性 4、后續(xù)事件復(fù)核尚未結(jié)束的交易 如：沒有執(zhí)行客戶訂單、銷售發(fā)票過期、尚待批準的申請、勞務(wù)已提供但尚未完成等情況。 一般通過編制未完結(jié)項目報告列示，例：銀行未達賬、應(yīng)收賬款賬齡分析等 5、憑證的預(yù)先連續(xù)編號 6、記錄過程中責任人的姓名 7、限制對資產(chǎn)和信息的接觸 8、記錄與資產(chǎn)實際盤點數(shù)核對,.,業(yè)績考核,通過業(yè)績考核來確保目標的實現(xiàn) 業(yè)績考核通常將實際數(shù)與計劃數(shù)、標準或