第一篇:会计信息系统审计的风险评价及应对研究(评审表)
会计信息系统审计的风险评价及应对研究
目 录
1.引言
1.会计信息系统审计的风险及评价
1.1会计信息系统审计的固有风险分析及评价 1.1.1.对会计信息系统审计固有风险的因素分析 1.1.2对会计信息系统固有风险的识别 1.1.3对会计信息系统固有风险的评价 1.2会计信息系统审计的控制风险分析及评价 1.2.1会计信息系统审计的控制风险因素分析 1.2.2会计信息系统审计的控制风险识别 1.2.3会计信息系统审计的控制风险评价 1.3会计信息系统审计的检查风险分析及确定 1.3.1.会计信息系统审计检查风险的因素分析 1.3.2会计信息系统审计检查风险的确定 2.会计信息系统审计风险的应对.2.1加强会计信息系统审计的理论研究
2.1.1加强对会计信息系统审计研究和实践的组织与领导 2.1.2进一步完善会计信息系统审计的有关法规和准则 2.2加大会计信息系统审计人才的培养和培训力度 2.3开发安全实用高效的信息系统审计软件 2.4慎重对待相关工作环节 2.4.1审慎接受审计客户 2.4.2组织胜任的审计工作团队 结 论 参考文献 会计信息系统审计的风险评价及应对研究
内容摘要:进入21世纪,现代信息处理技术在会计领域的应用及发展,给会计学科带来深远而广泛的影响。尽管实现会计电算化后,极大地改善了会计业务的处理,但同时也对会计审计工作提出了新的挑战。随着审计工作范围的扩大,审计中的各个要素及审计的标准和准则也随之发生变化,审计的风险也越来越大,因而注册会计师必须密切关注会计信息系统审计的风险及控制方法。
本文主要采用了文献研究、理论研究和规范研究等方法,通过系统的理论研究,剖析会计信息系统审计的风险,并对会计信息系统审计风险进行识别和科学的评价,最后从人员配备、技术支持、方法策略等方面提出了应对风险的一些手段。
关键字:会计信息系统审计;审计风险;应对
引
言
本文通过系统的理论研究,剖析会计信息系统审计的风险,并对会计信息系统审计风险进行识别,提出了对会计信息系统审计风险进行科学评价的方法,最后提出了应对风险的措施。开展会计信息系统审计研究不仅是完善审计理论的需要,更是推动审计实践健康发展的需要。对会计信息系统审计风险的识别和科学评价的研究,可以提高审计人员的风险意识,降低审计人员开展审计工作的风险。
1、会计信息系统审计的风险及评价
传统审计风险包括固有风险、控制风险和检查风险三个组成要素,它们之间的相互关可以从定量和定性两个方面进行描述。从定量的角度看,传统审计风险模型表示为:
审计风险=固有风险×控制风险×检查风险
也即AR=IR*CR*DR 这个公式描述了审计风险及组成要素相互之间的关系。从定性的角度看,检查风险与固有风险和控制风险的综合水平之间存在着反比关系。对于固有风险和控制风险,它们在审计过程中已成为既定的事实,审计人员无法改变它们,只能通过对被审计单位的有效了解和测试,来尽量可能合理评估固有风险和控制风险。评估的目的是为了确定检查风险水平,然后据此来开展实质性测试,从而降低检查风险,最终将审计风险控制于可接受的水平的目的。
1.1会计信息系统审计的固有风险分析及评价 1.1.1.对会计信息系统审计固有风险的因素分析
固有风险是指假设不存在相关的内部控制的情况下,发生重大错误的风险。会计信息系统审计固有风险是指假定未对计算机会计软硬件系统进行安全控制的情况下,系统发生运行失常或数据错误等风险。影响会计信息系统审计固有风险的因素包括:(1)计算机硬件系统故障;(2)计算机硬件系统的运行环境;(3)会计软件系统质量,包括会计软件本身程序设计的漏洞、软件系统中职责权限划分不明、不相容职务没有严格分离等;(4)会计数据完整性和可靠性;(5)系统的网络连接与安全设置。
1.1.2对会计信息系统固有风险的识别
所谓会计信息系统固有风险识别,是指会计信息系统审计人员对会计信息系统固有风险的发生领域进行识别和分析,以确定风险的来源,描述风险特征。从会计信息系统建设的整个周期来看,其固有风险贯穿于会计信息系统建设项目的始终,所以应将会计信息系统看作一个大系统并从系统工程和项目管理的角度来对会计信息系统的固有风险进行全面识别,无论风险性质和风险大小,都应尽可能地找出其存在的所有固有风险。
根据系统分析法,会计信息系统的固有风险可划分为系统风险和非系统风险。系统风险是会计信息系统的特有的风险,是由其本身的开发、建设、管理等活动带来的;非系统风险是指会计信息系统之外的某种因素引起的可能对会计信息系统带来损失的不确定性风险。
1.2会计信息系统审计的控制风险分析及评价 1.2.1会计信息系统审计的控制风险因素分析
会计信息系统审计的控制风险是指由于被审计单位内部计算机软硬件系统的应用、操作和管理规范等安全控制制度不够健全、有效,导致无法恰当地防止、发现和及时纠正会计信息系统可能出现的各种错误的风险。它是由被审计单位有关安全控制制度不够健全、有效所引起的,属于内部控制的范畴。对会计信息系统审计控制风险水平的衡量由于需要兼顾传统内部控制的思想和计算机系统管理的知识,因而较为复杂且难以准确计量。影响会计信息系统审计控制风险的因素包括:(1)维护计算机软硬件系统的相关安全控制制度不够健全或未能完全贯彻执行;(2)对会计软件系统的应用测试不够严密;(3)会计软件系统的设计存在内部控制考虑不足;(4)工作人员配备安排欠妥;(5)系统管理人员对计算机病毒的安全防范意识及措施不足;(6)防范网络远程侵害的措施不足。1.2.2会计信息系统审计的控制风险识别
根据会计信息系统的范围与对象不同将其进行的分类,主要包括一般控制和应用控制两大类。一般控制是指对计算机信息系统的构成要素和系统环境实施的控制,是指那些保证计算机环境安全的控制手段。一般控制又可以分为管理控制和系统开发控制。管理控制是指采用各种管理措施保证数据和系统的安全性,保证系统运行的平稳。系统开发控制是要保证新系统不会对环境造成新的危险。注册会计师在研究和评价一般控制时,应当考虑以下主要因素:(1)组织与管理控制;(2)系统安全控制;(3)计算机操作控制;(4)系统软件控制;(5)数据和程序控制。应用控制是针对信息系统各功能子系统的输入、处理和输出过程中的敏感环节和控制要求所实施的控制。注册会计师在研究和评价应用控制时,应当考虑以下主要因素:(1)输入控制;(2)计算机处理;(3)数据文件控制;(4)输出控制。
1.2.3会计信息系统审计的控制风险评价
控制风险与内部控制制度执行的有效性有关,与审计无关,审计人员只能评估其风险水平而不能对其实施控制和影响。控制风险的具体评价过程如下:首先审计人员应了解会计信息系统的风险管理状况,分别从控制环境、目标确定、事件识别、风险评价、风险反应、控制活动、信息沟通和监控八大方面来考察。审计人员需要对被审计单位会计信息系统的控制制度的健全性、合理性做出初步评价并可通过书面说明法、调查表法和流程图法做出描述这一步是对控制风险的初评,对控制风险的初评宁可高估不宜低估,以降低审计风险。其次,在这些测试点被确定以后就需要开展符合性测试工作。符合性测试是指对被审计单位企业的会计信息系统的控制制度进行初步了解和评价后,如果审计人员认为所评价的控制制度良好,或者尽管存在一些弱点但总体上尚好可以予以信赖时,审计人员应该进一步对控制制度的执行情况进行的评价。最后,通过比较法评估风险管理情况,同时进行控制风险的二评。比较法就是通过对实际系统风险管理现状的调查取证和描述,然后与现有的评价标准进行比较,以此得出被审计单位风险管理符合性的总体评价,最后用百分制打分的方式显示评价结果。
1.3会计信息系统审计的检查风险分析及确定 1.3.1.会计信息系统审计检查风险的因素分析
会计信息系统审计的检查风险是指被审计单位内部计算机软硬件系统的相关安全控制措施未能及时防止、发现和纠正会计信息系统出现的错误,审计人员也未能合理地运用计算机审计的相关技术进行实质性测试以发现该错误的风险。它是惟一可由审计人员自主确定和控制的风险;其风险水平与审计人员的专业胜任能力密切相关。借助计算机的高速处理能力,审计抽样样本将大量增加,会计信息系统审计的检查风险既存在降低的趋势也存在增加的可能。增加会计信息系统审计检查风险水平的因素:(1)与注册会计师运用计算机技术进行审计的能力密切相关。由于审计人员计算机知识不足,导致对会计信息系统的设计及运行还无法做到实质性审查;(2)审计软件或自行开发或委托研制,但其开发应用都还未形成较统一的标准,可能存在某些缺陷;(3)由于被审计软件的更新换代,例如:软件版本的升级、平台的迁移等等,可能导致审计软件与会计软件系统数据格式不相兼容。
1.3.2会计信息系统审计检查风险的确定
检查风险是在期望的审计风险水平下,注册会计师在内部控制未能发觉并纠正财务报表中的重大错误,审计程序亦未能发现这些错误时所愿承担的风险。检查风险是必然存在的风险,注册会计师不能根除检查风险,其水平的高低与被审计单位无关,而与审计程序的有效性有关。注册会计师在实质性测试的过程中能够调节检查风险,但因受审计资源、审计时间等因素影响。它是根据审计风险模型中另三个风险因素计算出来的。从审计风险模型AR=IR*CR*DR中,我们可以推导出DR=AR/CR*IR。如果AR、CR、IR已知的话,就可计算出DR。审计人员根据计算所得的检查风险水平,利用统计抽样模型就可决定所要收集的审计证据的数量。
2、.会计信息系统审计风险的应对
对会计信息系统审计工作中存在的种种风险,广大审计人员必须要有充分的认识,并采取有效的风险防范措施,依据科学的理论指导,采用恰当的审计方法得出正确的审计结论。目前我们可以综合采用以下几种措施来防范并减少会计信息系统的审计风险,提高审计工作的效率和质量。
2.1加强会计信息系统审计的理论研究
为了有效地开展会计信息系统审计工作,降低注册会计师审计的风险,我们需要有一系列的理论、技术和基础条件的配合、支持等等,缺乏强有力的理论支持,就会给会计信息系统审计工作带来困难以及不可估量的风险,难以长远、深入地发展下去。大力开展会计信息系统审计的理论研究,对于保证信息披露的合法、持续和实时,保持信息系统的安全、可靠,维护信息时代的市场经济秩序,为我国信息化建设保驾护航,促进审计业务的健康、快速发展,具有重大的理论意义和广阔的应用前景。目前,会计信息系统审计理论还处于发展阶段,很多方面没有形成制度规范和普遍性的共识,因此,加强对会计信息系统审计的理论研究刻不容缓。
2.1.1加强对会计信息系统审计研究和实践的组织与领导
会计信息系统审计的出现将引起审计学科产生巨大的变化,促使其从传统会计学学科框架中分离出来,形成一门独立的理论体系。因此,审计机关和注册会计师协会要加强对会计信息系统审计研究和实践的组织与领导。有关会计信息系统审计的研究可通过自然科学基金、社会科学基金和各级审计机关、注协组织的科研课题组织开展,也可就某个重点、难点为题广泛的发表征求意见,使得大量的审计实务工作者参与到理论研究中来。还可以组织专门的审计实务研讨会,将广大实务工作者的实践经验提炼出来,为理论研究提供思路和方法。审计机关和注册会计师协会应该加大对会计信息系统审计研究和实践的投入,包括资金、人员、技术等方面,相关机构部门还要在院校研究方面做好有侧重的扶持,对从事会计信息系统审计理论研究的课题提供充足的资金支持。对在理论研究中有贡献的单位和个人要进行奖励和表彰。另外,审计工作人员应该积极响应号召,积极的参与会计信息系统审计的理论学习、研究和社会实践。
2.1.2进一步完善会计信息系统审计的有关法规和准则
建立会计信息系统审计制度是信息化过程中会计信息系统审计事业发展必不可少的保障机制,没有标准和规范,所有的实践活动只能局限在低水平上重复。会计信息系统审计发展到一定阶段,必须由特定组织出面将实践经验加以总结,并把有关概念、工作流程和技术方法固定、统一起来,形成行业自律性标准和规范,这是会计信息系统审计进一步发展的基础。
根据我国的实际情况,会计信息系统审计标准要符合以下几方面的内容。首先需要要求审计师恪守“客观、独立、全面、权威”的职业道德,遵循一定的程序,按照法定的格式出具审计结论。其次要确定审计机构和审计人员有权审查被审计算机信息系统的功能与安全措施,有权利用网络和审计软件进行审计,被审单位应对审计人员的计算机审计应给予积极的协助。可考虑补充对计算机信息系统开发和功能审计以及网络审计等准则形成规范,对与电子商务和网络经济有关的新的鉴证业务,如网站认证等,也应考虑制定相应的实务公告,以便对相应的工作做出规范和指南。最后,信息系统的审计需要尽可能参照国际信息系统审计与控制协会标准委员会颁布的国际认可的信息系统审计标准。
2.2加大会计信息系统审计人才的培养和培训力度
会计信息系统审计风险的痼疾是高素质专业人才的缺乏。信息系统审计与传统审计相比,在审计线索、审计内容、审计风险等方面都发生了变化,这就要求审计人员学习新的理论知识,掌握信息技术条件下的审计方法技巧。会计人最好的策略是不断学习,提高创新能力和对信息技术的使用能力,从而提高自身的价值。在人员培训上,要对短期培训和长期培养、普遍层次的培训与高层次人才的培养、在职人员培训和未来人才培养进行统筹规划。对普遍层次人才的培训重点应放在提高现有审计人员的计算机素质方面。
加强对在职人员计算机应用水平的培训。培训可分初、中、高级三个层次,初级培训的目标是使广大审计人员掌握计算机、会计电算化软件、审计软件的基本知识、基本操作;中级培训的目标是使一部分审计人员能够直接审查被审单位的电子账,能够对审计软件进行日常维护;高级培训的目标是使一小部分审计人员能够对审计软件进行系统分析、设计开发与维护,重点可放在会计信息系统的开发审计、系统的功能或应用程序审计、网络安全审计和审计软件的开发等方面。
目前应以初、中级培训为主,兼顾高级培训。我们还可以在审计机关和组织中培养一批熟悉会计信息系统审计的系统开发人员,从事设计和开发审计应用软件的工作,建立自己的会计信息系统审计体系。对未来审计人员培养,应在高校会计专业教学计划中增加信息技术和电子商务等内容,不仅要把会计信息系统审计列为必修课,而且应对这门课的要求或大纲达成共识。审计机构应注意吸收这方面的人才,并对他们进行审计知识和技能的培训,使每个会计信息系统审计项目都配备专业审计人员和专业技术人员,由两种类型人员分别执行审计中的不同任务,同时也可以根据需要密切配合,使他们良好合作,更好地执行会计信息系统审计的任务。这也是在现今条件下风险最小、投资最少、见效最快的人才使用方式。
2.3开发安全实用高效的信息系统审计软件 为了提高审计效率,降低审计风险,给会计信息系统审计打开通道,企业、社会团体、组织以及政府机构必须从实际出发,研究并开发适合不同信息化平台、运行环境以及不同审计内容的会计信息系统审计软件。
首先,强制要求新开发的财务软件提供审计接口。信息化管理部门与审计部门要加强宣传,让各单位明确凡是涉及经济和会计业务处理的计算机系统,必须要为经济监督部门提供数据接口,以便于今后计算机辅助审计方法的应用和审计信息化建设能顺利实施。
其次,利用现有的财务软件公司的技术优势,由国家提供资金和其他的必要支持,开发适合我国国情的通用、实用、高效的审计软件。要加强使用者与开发者之间的沟通与联系,使用户可以把使用中发现的问题及改进的建议及时反映给开发者,开发者可以广泛地收集用户的反馈意见,更好地总结出审计的算法模型,使审计软件能不断优化提高,真正能成为有用的审计工具。
再次,要开发建立会计信息系统审计体系,规范审计手段和审计行为,提高审计质量、审计深度、扩大审计覆盖,就要促进会计信息系统审计软件的集成化、多元化和网络化发展。如开发数据采集软件,建立一种能够容易访问被审计单位不同介质、不同编码、不同类型的数据库,以便打通采集会计信息系统所需原始数据的瓶颈;在软件的研制方面,还要考虑审计作业发展趋势。另外,会计信息系统软件开发除了要符合审计原理、规程外,也要考虑审计人员的工作方式和习惯,比较好的办法是由审计业务人员和计算机专业人员共同完成会计信息系统审计软件的功能需求书,然后由软件开发人员完成具体工作。
2.4慎重对待相关工作环节 2.4.1审慎接受审计客户
这一要求是指任何事务所在接受审计客户时,必须对企业的整体情况如经营环境、经营目标、企业管理层的经营理念和诚信程度以及企业的财务状况和经营成果进行仔细的研究,以掌握客户的整体情况和保证审计风险的可控性。审慎接受审计客户,并不表示只能接受经营业绩和财务状况很好的企业。企业的经营情况好坏并不是决定是否接受审计委托的根本条件。因为只要企业经营者能按照会计准则的要求客观公允地反映其财务状况和经营成果,审计风险是可以预期和控制的;而当企业管理层为了达到某种目的恶意歪曲财务报表时,审计风险就会变得难以控制,因而必须予以拒绝。所以当接受审计客户时,只能接受经营者、管理层较讲诚信的企业。
2.4.2组织胜任的审计工作团队
判断能力是审计人员保持应有的职业谨慎所必备的素质,因而当事务所为审计项目安排审计工作团队时,必须充分考虑各相关人员的知识结构和工作经验。所以,事务所在接受新客户或是安排审计实施时,要保证将最合适的审计人员安排到最合适的审计项目上,用能够统一承接客户,然后统一安排审计实施,必须全盘考虑,把全所当作一盘棋。这也是提高事务所的成本效益和控制审计风险的有效举措。随着会计信息系统审计业务的迅速发展,审计业务变得日益复杂,对审计人员的知识和经验特别是判断能力也提出了新的挑战。
结论
进入21世纪,会计电算化在我国已经全面普及应用,审计工作也随之进入了信息化时代,如何做好会计信息系统的审计是摆在相关从业人员和管理机构面前的重要课题。在会计信息审计工作中,我们首先要做好风险的预测和控制,这也是本文研究的出发点和落脚点。限于学识和理论深度的欠缺以及资料的匮乏,本文仍存在着许多需要进一步探讨和深化的问题。一方面,国内企业的会计信息系统的建立还不很完善,对会计信息系统审计处在起步阶段,在实务方面很难找到合适的案例和数据。另一方面,会计信息系统审计开展的难度、对审计人员的高素质要求等都制约了目前会计信息系统审计的实施和理论的构建。文章的后续研究将注重对会计信息系统审计的实证数据收集,以构建现代会计信息系统审计的理论和实务架构。
参考文献
[1]孟俊婷.会计信息系统审计技术的研究.中国管理信息化,2008:29-30 [2孙立辉.会计信息系统审计与IT环境下财务报表审计的比较.财会通 讯,2005,(4):49-50 [3]张福蕊,张家.计算机网络环境下会计信息系统的审计.中国审计,2004,(5):36-37 [4]郑英雪.互联网环境下对会计信息系统审计的探索.会计之友,2007,(10):59-60 [5]董霞.会计信息系统审计程序探讨.现代会计,2006,(1):31-33 [6]周亦群.浅谈电算化会计信息系统审计.立信会计高等专科学校,2001,15(1):17-18 [7]田家富,钟爱军.浅谈会计信息化系统的审计.中国管理信息化,9(7):50-52 [8]孔春玉.浅谈会计信息系统审计.赤峰学院学院,2008,29(1):64-66
第二篇:企业信息系统审计的研究
企业信息系统审计的研究
来源:CIO时代网
实现工业化仍然是我国现代化进程中艰巨的历史性任务。信息化是我国加快实现工业化和现代化的必然选择。近年来,企业对信息技术的投入逐年加大,信息化程度也越来越高。信息化的蓬勃发展,促进了其经营管理水平的提高,特别是在提高管理创新、集中管控能力、执行力和市场反应能力等方面,信息技术的应用确实带来意想不到的效率和成果。但是,信息系统给社会带来的危害主要体现在以下几方面:突发事件的影响,由于1993年纽约世界贸易大厦爆炸事件,使得当时入住的多数企业的商业数据如数丧失,导致在企业这一年内的很多商业活动无法进行;错误操作、不正当使用和滥用信息技术,1998年发生的CIH病毒,导致全球数百万台计算机硬件损坏,导致近百亿美元的经济损失。信息系统开发失败。1994年,Standish Group对IT行业8400个项目(投资250亿美元)的研究结果表明有34%的项目彻底失败,50%的项目在补救后完成,预算平均超出90%,进度平均超出120%。这些失败和补救的项目中、不少未经过投资风险评估便匆匆上马,超成了极大的社会资源浪费,对信息系统投资方面起到了极其恶劣的影响。因此,迫切需要对正在使用或即将投产的信息系统的安全性、真实性、完整性、有效性进行鉴证。通过对信息系统的审计,保证信息系统的可信度,促进内控体系的规范建设,信息系统审计已成为摆在企业管理人员案头迫切需要开展的重要工作。在我国信息化推进过程中,存在不同程度上的一些问题,主要表现在规划制订不够科学,项目管理不够严格,监理机制不够健全,系统运行效益不够明显。致使相当一部分信息化项目失败或未能实现预期目标,浪费了大量资源。究其根源主要原因之一是信息化建设第三方监管机制的缺失和标准的不健全。
一、审计信息系统
信息系统审计是指根据公认的标准和指导规范对信息系统及其业务应用的效能、效率、安全性进行监测、评估和控制的过程,以确认预定的业务目标得以实现。
审计信息系统最早称为计算机审计,计算机审计业务主要关注对被审计单位电子数据的取得、分析、计算等数据处理业务,还称不上信息系统审计。随着计算机技术应用范围的不断扩展,计算机审计所关注的内容也从单纯的对电子的处理延伸到对计算机系统的可靠性、安全性进行了解和评价。在制度基础审计的模式下,计算机审计的业务内容已经扩展到了符合性测试领域。信息系统的安全性、可靠性与其所服务的组织所面临的各种风险的联系越来越紧密,对被审计单位风险的评估必须将计算机信息系统纳入考虑范围。计算机审计的业务范围已经覆盖了一项审计业务的全过程,信息系统审计的概念随之出现。
在建立信息系统审计制度,开展信息系审计研究方面,美国走在了前面。早在计算机进入实用阶段时,美国就开始提出系统审计(SYSTEM AUDIT)。1969年在洛杉矶成立了电子数据处理审计师协会(EDPAA),1994年该协会更名为信息系统审计与控制协会(INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION)即ISACA,总部设在美国芝加哥。目前该组织在世界上100多个国家设有160多个分会,现有会员两万多人,它是从事信息系统审计的专业人员唯一的国际性组织,CISA(Certified Information System Auditor)也是这一领域的唯一职业资格。
在很多大型公司内部,信息系统审计部门已经成为一个独立的对外提供多种服务的部门。尤其是互联网和电子商务的兴起,更是为信息系统审计业务带来了无尽的商机。为财务报表审计提供服务只占信息系统审计部门业务内容很小的一部分。与信息安全相关的防火墙审计、安全诊断、信息技术认证以及ERP相关的新型咨询业务也不断涌现。”未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展“,这一观点已经逐渐成为国外会计、审计界的一个共识。信息系统审计师的地位也在不断提高。在国外的一些大型会计公司中已经出现了没有CPA资格的合伙人,他们持有的专业资格就是CISA.据专家介绍,国际信息系统
审计师(简称IT审计师)目前已经成为全球范围最抢手的高级人才。
在初期,信息系统审计是作为传统审计业务的一部分,在审计师对由计算机系统处理的数据的质量进行判断时提供技术支持。有信息系统审计技能的审计师被看作是会计师事务所的技术资源,在必要时为同事提供技术支持。对于信息系统审计,需求领域很广。如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计等等。
二、构建信息系统审计
信息系统审计的建立是一项复杂的系统工程,所以应制订长远的开发规划,由简到繁分阶段逐步实现。它的功能应该是:实现审计信息的收集、处理和共享;实现审计日常管理的自动化;通过计算机建立程序化的标准审计方法和统一的审计标准,从而提高审计工作的效率和质量。实现审计管理规范化;保证审计作业规范化;促进审计文档规范化;审计质量监督规范化;提高审计结论的层次。基于上述的系统目标,信息系统审计当前应由审计证据管理子系统、信息系统安全标准子系统、信息系统安全评估子系统、项目管理审计子系统和信息系统审计法律标准子系统等五个子系统组成。
(一)审计证据管理子系统
1。审计证据收集
(1)传统方法收集审计证据
(2)通过数据接口直接向计算机会计信息系统获取审计证据
(3)在线系统审计证据收集
(4)计算机网络系统审计证据收集
2.审计证据评价
(1)真实性。查明审计证据的来源、形成的时间、地点、制作过程及设备情况,有无伪造和删改的可能性。一般说来,由第三方(如中间商或网络服务商)来储存记录或转存的证据具有较高的证据效力;被审计事项的事实和行为发生时留下的证据的效力较以后专为诉讼的目的而形成的证据更为真实;对于自相矛盾、内容前后不一致或不符合情理的审计证据,应小心对待,不可轻信,对不能排除合理怀疑的审计证据不得采纳。
(2)合法性。包括收集手段是否合法和形式条件是否合理两部分。有些审计证据其本身也有证据力,但在收集过程中,违背了规定的手续和程序,因而也就不具有法律效力,也不能用来证实问题,为此,鉴定分析审计证据时,要了解证据是以什么方法、在什么情况下取得的,是否违背了法定的程序和要求,是否符合法律规定的形式要件,这样有利于判明审计证据的真伪程度和效力。
(3)相关性。查明审计证据反映的事实与被审计事项有无关系,只有与被审计事项的事实或逻辑上是相关的事实才能被认为是证据。
(4)结合其他证据进行鉴定分析。将审计过程中收集的全部证据综合起来加以分析、判断。如审查计算机审计证据中有无数据、图表等反映的事实,同有关书证、物证、证人证言进行分析,明确是否互相一致,是否有矛盾。如果与其他证据相一致,共同指向同一事实,就可以认定其效力,可以作为审计证据。反之则不能作为审计证据。
(二)信息系统安全标准子系统
构建通用的信息系统安全标准,作为信息系统审计工作中的参考标准。信息系统安全标准是由高级管理人员制定的最小标准、规则构成的集合,所以必须加以实现,以确保信息系统安全政策的实现。信息系统安全标准需要指明每个信息系统控制的详细要求。它为管理人员提供一个基准或底线,可以照此对单个信息系统控制的适当性进行评估。信息系统审计是
一个获取并评价证据,以判断信息系统是否能够保证资产的安全、数据的完整以及有效率地利用组织的资源并有效果地实现组织目标的过程。它是立足于组织的战略目标,为有效的实现组织战略目标而采取的一切活动过程都在审计师的业务之内。
(三)信息系统安全评估子系统
信息系统审计集中反映了企业的战略目标,主要从质量、成本、时间、资源利用率、系统效率、保密性、完整性、可用性等方面来保证信息的安全性、可靠性、有效性; 信息系统审计资源维主要包括以信息、应用系统、设施及人在内的信息相关的资源,这是信息系统审计治理过程的主要对象;信息系统审计过程则是在信息系统审计准则的指导下,对信息及相关资源进行规划与处理,从信息技术的规划与组织、获取与实施、交付与支持、监督与评估等方面确定了信息技术处理过程,每个处理过程还包括更加详细的控制目标和审计方针以对信息系统审计处理过程进行评估。
(四)项目管理审计子系统
项目管理系统是对审计过程进行全面指导、帮助和控制的软件,它通过对标准审计方法的各个工作流程的合理细分,使每个子流程都对应相应的计算机处理模块。从而使一个完整的审计项目可通过计算机辅助而完成,并产生各个工作环节应该生成的底稿和报告。有利于提高工作效率,为进行审计质量考核提供了极大的方便。
(五)信息系统审计法律标准子系统
此系统主要是实现信息资料的收集和共享。内容定期进行更新,包括:审计工作所需要的各类法律、法规、规章制度等。一般来讲,按不同层次设立,信息的共享通过系统内互联的企业网实现,还可根据信息的保密要求,设定不同的信息访问权限。
三、规范信息系统审计范围
其业务范围包括与信息系统有关的所有领域,例如对组织的信息系统审计(主要集中在对信息技术的管理控制)、技术方面的信息系统审计(包括架构、数据中心、数据通信等)、应用的信息系统审计(包括经营、财务)、开发实施信息系统审计(包括需求识别、设计、开发以及实施后阶段)和信息系统是否符合国家或国际标准的审计以及网誉审计、电子签名审计业务等电子商务审计。
1.信息系统开发计划、管理及组织架构的战略、政策、标准及相应实践过程的评估;
2.技术基础设施及运行实践的效能和效率的评估;
3.信息资源在逻辑访问、运行环境以及IT基础设施各方面的安全性的评估;
4.系统灾难恢复及保证业务连续性的能力的评估;
5.业务应用系统开发、实施与维护的方法和过程的评估;
6.业务流程的风险管理水平的评估;
7.财务系统的评估。
第一,鉴证作用。信息系统审计的鉴证价值是指通过审计,合理地保证被审计单位信息系统及其处理、产生的信息的真实性、完整性与可靠性,政策遵循的一贯性。
第二促进作用。促进价值体现在两个方面,一是指信息系统审计可以促进被审计单位更有效地融入到社会经济生活中;二是指审计可以促进被审计单位改进内部控制,加强管理,提高信息系统实现组织目标的效率、效果。
第三咨询作用。信息技术的发展为组织的管理变革提供了技术手段,组织扁平化、工作丰富化等管理变革都要信息技术来实现。信息化已是大势所趋。
四、创建行业标准与实务指南
如同开展业务审计要具有相关法律法规作为审计依据一样,开展信息系统审计同样需要审计依据。国内信息系统审计方面的工作近几年才刚刚开始,基本仍处于摸索阶段,而在国家审计中更是如此。目前,由于国内关于信息系统审计方面的标准尚处于空白状态。
国际上关于信息系统审计方面可以参考的标准主要有信息及相关技术控制目标COBIT(Control Objectives for Information and related Technology)、ISO17799、能力成熟度集成模型CMMI(Capability Maturity Model Integration)和IT基础架构库ITIL(Information Technology Infrastructure Library)等。
信息系统审计与控制协会ISACA(Information System Audit and Control Association)于1996年公布的目前国际上通用的信息系统审计的标准。它将IT 过程,IT资源及信息与企业的策略与目标联系起来,形成一个三维的体系结构。它是一个在国际上公认为最先进、最权威的安全与信息技术管理和控制的标准。
英国国家标准局制定的BS7799-1《信息安全管理实践规范》,该规范于2000年12月被国际标准化组织采纳,成为ISO17799。ISO/IEC17799标准最初于1993年由英国贸易工业部立项,由标准化协会筹备起草并作为英国的标准。1995年,首次发布BS 7799-1:1995《信息安全管理业务规范》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定各类信息系统通用控制范围的唯一参考基准,并且适用于大、中、小组织以及政府部门;1998年,标准化协会发表标准的第二部分BS 7799-2《信息安全管理体系规范》,它规定信息安全管理体系与信息安全控制要求,是一个组织的全面或部分信息安全管理体系评估的基础,它还可以作为一个正式认证方案的根据;BS 7799-1与BS 7799-2经过修订于1999年重新予以发布,此次考虑了信息处理技术,尤其是考虑了在网络和通信领域应用的最新发展情况;2000年12月,BS 7799-1:1999《信息安全管理业务规范》通过了国际标准化组织ISO的认可,正式成为国际标准,即ISO/IEC17799-1:2000《信息技术--信息安全管理业务规范》标准。
2005年,ISO发布了新版的信息安全管理实施细则,即ISO/IEC17799-2005,对2000年版的标准进行了修订,更加注重标准的通用性和实用性。
日本的系统审计是从八十年代开始,1983年通产省公开发表了《系统审计标准》,并在全国软件水平考试中增加了”系统审计师“一级的考试,着手培养从事信息系统审计的骨干队伍。近几年东南亚各国也开始制定电子商务法规,成立专门机构开展信息系统审计业务,并制定技术标准。
国内目前关于信息系统审计的依据主要有修订后的《中华人民共和国审计法》、国办发
【2001】88号文件《国务院办公厅关利用计算机信息系统开展审计工作有关问题的通知》、1999年颁布了独立审计准则第20号--计算机信息系统环境下的审计等,同时可以主要参考COBIT和ISO17799标准。
但是我国信息系统审计才刚起步,审计技术、审计规范、制度等都有待研究。随着我国信息化水平的提高,对信息系统的有效控制与审计将逐渐成为研究热点。
五、开展信息系统审计的意义
1.信息系统审计是未来审计发展的必然
未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展。
2.维护信息时代的市场经济秩序
市场经济是建立在信用基础上的,信息系统审计应当充当信息时代经济生活中公正的鉴证人起着维护市场经济稳定的作用。信息时代竞争的加剧,信息流的电子传播方式等,使市场对及时和相关信息的需求越来越多,现有财务报告模式的局限性性日渐突出。现有财务报告是以历史成本为计量基础的、周期性的向利益相关者报告。在新经济环境中,信息系统审计师应能够以在线、实时的信息为基础提供鉴证,通过多种方式来保护公众利益、提供鉴证服务并满足投资公众对决策有用信息的访问需要。提供实时报告鉴证对保护公众利益和保护资本市场的有序发展是非常有意义的。
3.为信息化建设保驾护航
以信息化带动工业化,推进电子政务及电子商务,许多企业也已着手整合与升级其信息化应用系统。可以预计,全国将有更多、更大的信息系统建设项目展开。但是,信息化是有风险的,信息系统规模越大,功能越复杂,风险也就越大。信息系统审计师的出现,可以从项目计划开始介入信息系统建设的每个环节,以他们的专业素养,从项目的初始阶段一直到运营的全过程,给予项目投资者风险控制的评估与建议,提高信息系统的投资效益。
第三篇:会计信息系统内部控制研究
摘 要
内部控制关系到企业财产物资的安全完整、会计系统对企业经济活动反映的正确性和可靠性。企业为实现既定的管理目标,必需建立一整套内部控制制度,以保证企业有序、健康地发展。在实施会计电算化的过程中,重视内部控制就是重视会计信息的质量。本文首先对内部控制进行了详细的论述,让我们在了解内部控制的基础上明确内部控制的重要性。其次本文对手工环境下的内部控制和会计信息系统内部控制进行对比研究,在明确会计信息系统优点的基础上发现会计信息系统内部控制中存在的问题以及对此提出的对策。通过以上分析论述,最终得出会计信息系统内部控制尤为重要的结论。
关键词:内部控制,会计信息质量,会计信息系统
ABSTRACT
Internal control in relation to the safety of the enterprise assets are complete, accounting system of the enterprise economic activity reflects the accuracy and the reliability.Enterprise to realize the established management goal, necessary to build a set of internal control system, in order to ensure that the enterprise orderly and healthy development.In the process of implementation of accounting computerization, paying attention to control is to pay attention to the quality of accounting information.This paper first on internal control discussed in detail, let us in understanding of the internal control based on the importance of clear the internal control.Then this paper manual environment accounting information system and internal control internal control comparative study, in clear accounting information system based on the advantage of accounting information system that the internal control of existing problems and puts forward countermeasures.Through the above analysis, this paper eventually got the accounting information system of internal control is particularly important conclusion.KEY WORDS:internal control, Accounting Information Systems, the quality of accounting information
目 录
前 言...........................................................................1 第一章内部控制概述..............................................................2 1.1内部控制的定义及目标.........................................................2 1.1.1 内部控制的定义...........................................................................................................2 1.1.2 内部控制的目标..............................................................................................................2 1.2内部控制的要素及基本结构.....................................................................................................5 1.2.1内部控制的要素...............................................................................................................5 1.2.2内部控制的基本结构.......................................................................................................6 1.3内部控制的原则.........................................................................................................................7 1.4内部控制的作用.........................................................................................................................7 1.4.1提高会计信息资料的正确性和可靠性....................................................................8 1.4.2保证生产和经管活动顺利进行................................................................................8 1.4.3保护企业财产的安全完整.........................................................................................8 1.4.4保证企业既定方针的贯彻执行................................................................................8 1.4.5为审计工作提供良好的基础.....................................................................................8 第二章 传统手工会计内部控制与会计信息系统内部控制比较...........................9 2.1传统核算方法下的内部控制的特点.........................................................................................9 2.2会计信息系统内部控制的特点...............................................................................................10 2.3两种核算方法下内部控制的差异...........................................................................................10 第三章 会计信息系统内部控制面临的问题与对策....................................12 3.1 会计信息系统内部控制的目的..............................................................................................12 3.2会计信息系统内部控制面临的问题.......................................................................................13 3.2.1错误的系统性、反复性发生.......................................................................................13 3.2.2数据的安全性受到威胁...............................................................................................13 3.2.3程序不能满足实际需要或被非法篡改.......................................................................13 3.2.4 会计业务缺乏有效控制..............................................................................................14 3.2.5 网络环境下无形资产转移难以控制..........................................................................14 3.3完善会计信息系统内部控制的对策......................................................................................14 3.3.1 完善会计信息系统的操作控制..................................................................................14 3.3.2 设立审核岗位,监督系统的运行..............................................................................15 3.3.3 监控与操作进行分离从而强化系统内部的相互牵制................................................15 3.3.4采用加密的电子签名增强电子原始数据的防伪功能.................................................15 3.3.5 加强系统软件的安全控制和数据资源安全控制........................................................16 第四章 结 论...................................................................17 致 谢..........................................................................18 参考文献.......................................................................19 1 前 言
会计信息系统是一个对会计数据进行采集、存储、加工、传输并输出大量会计信息的系统。它是企业管理信息系统中的一个子系统,是组织处理会计业务,为企业提供财务会计信息并管理控制企业经济活动的系统。
会计信息系统是从20世纪80年代初开始在中国运用的。起初会计信息系统软件由企业自制,后来出现了用友、金碟等财务软件公司,财务软件的发展逐渐走向规范与成熟。从20世纪90年代末,传统的财务软件的缺陷渐渐显现出来,企业不再简单地要求软件系统进行记账与报表输出,还要求软件系统能够提供业务相关的成本、盈利以及绩效等方面的支持信息,这就促使财务软件逐渐向ERP等高度集成化的软件发展,国内各大财务软件厂商也纷纷从单独的财务软件设计转型为ERP厂商。ERP是基于企业价值链的现代管理系统,它集企业的物流、价值流和信息流于一体。会计信息系统是ERP的重要组成部分,是ERP中的重心,是整合企业各个部门各种资源的最佳手段,完全实现了管理会计与财务会计的一体化以及财务业务的一体化。ERP中会计信息系统与传统会计信息系统的差异。设计的着眼点不同传统会计信息系统在设计时,是站在会计部门会计的角度去设计,而不是站在企业的角度,这样设计的会计软件一般总是不能迈出会计部门的范围,所形成的会计信息系统,信息流只能在会计部门内部流动,形成了信息孤岛,而信息孤岛间的信息流动往往不能以原始的形式流动,而需要转换成纸制凭证。
根据信息技术(数据库、网络、通讯、人工智能、多媒体、感测和识别、光电子技术等)对会计信息系统的影响程度、以及本身是否克服了传统复式簿记的弊端将会计信息系统模式划分为四种:手工会计信息系统、电算化会计信息系统、准现代会计信息系统、现代会计信息系统。
随着信息技术(Information Technology)的诞生与飞速发展,我们的社会正在由工业社会步入信息社会,知识经济、信息技术时代已经来临,会计所面临的环境发生了巨大的变化。IT时代不仅为会计信息系统提供了信息技术这一先进的技术手段,而且IT时代会计信息的重要性也空前提高,社会的各个方面,无论是外部信息需求者还是内部信息使用者,都对会计信息的收集、加工、传送和披露内容有着更高的要求。会计信息系统的内部控制尤为重要,基于当前内部控制中存在的问题,本文对会计信息系统内部控制存在的问题及对策进行初步探讨。
第一章 内部控制概述
1.1内部控制的定义及目标
1.1.1 内部控制的定义
所谓内部控制,是指一个单位为了实现其经营目标,保护资产的安全完整,保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
内部控制是为实现经营管理目标、组织内部经营活动而建立的各职能部门之间对业务活动进行组织、制约、考核和调节的方法、程序和措施。
我国中小企业发展迅速,但内控管理不容乐观。中小企业需要结合自身特点,优化控制环境,明确控制目标,改善控制技术,并不断完善内部控制系统,提高内部控制的效果。
审计准则方面的定义:内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策和程序。
内部控制是指一单位内部的管理控制系统,即为保证单位经济活动正常进行所采取的一系列必要的管理措施,不仅包括单位最高管理当局用来授权与指挥经济活动的各种方式方法,也包括核算,审核,分析各种信息资料及报告的程序和步骤,还包括对单位经济活动进行综合计划,控制和评价而制定的各项规章制度.内部控制的目标,尽管理论界有多种表述,但最根本的是保护单位财产,检查有关数据的正确性和可靠性,提高经营效率,贯彻既定的管理方针等四个方面. 1.1.2 内部控制的目标
1。传统内部控制目标
内部控制目标,是决定内部控制运行方式和方向的关键,也是认识内部控制基本理论的出发点。从内部控制理论的沿革过程来看,内部控制概念大体经过了内部会计控制、内部控制、内部控制结构和内部控制成分等几个主要阶段。纵览这些理论,可将内部控制目标的要义归纳如下:
(1)、经济、高效地实现组织的目标;
(2)、按管理当局一般的或特殊的授权进行业务活动;
(3)、保障资产的安全与信息的完整性;
(4)、防止和发现舞弊与错误;
(5)、保证财务报告的质量并及时提供可靠的财务信息。
尽管传统理论关于内部控制目标的这些认识几乎体现了内部控制的所有动机,但随着组织外部环境的不断变迁和组织管理水平的精益求精,人们对内部控制目标的已有认识显然存在着一定的不足和局限性。主要表现在:
(1)会计中关于资产的概念排斥了一些重要的经济资源,如人力资源及其信息。要达到组织的目标,必然要对这类资源加以保护,并进行合理的开发利用,否则,人的能力和知识也会被破坏或流失到其他组织中去。同时,信息也有可能被偷窃、滥用和收买,因此,只注重信息的完整性而忽视其安全性同样是片面的。
(2)传统理论强调会计信息的准确性和可靠性,但因为会计信息系统也应收集许多非财务信息,所以内部控制需要保证所有与决策相关的数据和信息都是准确和可靠的。
(3)传统理论只强调了经营效率,忽视了作为衡量一个组织业绩的经济性和有效性的重要性。效率是对投入与产出关系的计量(有效的经营在生产过程中以最低的消耗生产产品),经济性衡量投入的成本(经济的经营以低成本生产出质量合格的产品),有效性涉及到与目标相应的实际结果。
(4)传统理论隐含地强调了内部控制的消极作用,即只强调用以阻止和防范不必要行为的特定政策和程序,而忽视了内部控制既“防止”又“激励”的双重功能。“控制”并非简单而机械的“限制”,要确保内部控制的效果,内部控制一定是一个组织激励员工实现组织目标的有效机制。
上述这些认识的偏差和局限性,是导致内部控制在组织中实施效果不佳的重要原因。因此,进一步拓展内部控制的内涵,重新认识和界定内部控制目标就显得尤为重要。
2。内部控制目标的重新界定
从内部控制理论的发展过程来看,现代组织中的内部控制目标已不是传统意义上的查错和纠弊,而是涉及到组织管理的方方面面,呈现出多元化、纵深化的趋势。
(1)确保组织目标的有效实现。任何组织都有其特定的目标,要有效实现组织的目标,就必须及时对那些构成组织的资源(财产、人力、知识、信息等)进行合理的组织、整合与利用,这就意味着这些资源要处于控制之下或在一定的控制之中运营。如果一个组织未能实现其目标,那么该组织在从事自身活动时,一定是忽视了资源的整合作用,忽视了经济性和效率性的重要性。一家医院有优秀的医生、能干的工作人员和先进的设备,但如果这些条件没有充分用于医疗,这家医院是没有效率的。例如,如果病人因为医院不良的饮食而不能使患者痊愈,这家医院就没有实现其目标。因为内部控制系统的目标就是直接促进组织目标的实现。所以,所有的组织活动和控制行为必须以促进实现组织的最高目标为依据。
(2)服从政策、程序、规则和法律法规。为了协调组织的资源和行为以实现组织的目标,管理者将制定政策、计划和程序,并以此来监督运行并适时做出必要的调整。另一方面,组织还必须服从由社会通过政府制定的法律法规、职业道德规则以及利益集团之间的竞争因素等所施加的外部控制。内部控制如果不能充分考虑这些外部限制因素,就会威胁组织的生存。因此,内部控制系统必须保证遵循各项相关的法律法规和规则。
(3)经济且有效地利用组织资源。因为所有的组织都是在一个资源有限的环境中运作,一个组织实现其目标的能力取决于能否充分地利用现有的资源,制定和设计内部控制必须根据能否保证以最低廉的成本取得高质量的资源(经济性)和防止不必要的多余的工作和浪费(效率)。例如,一个组织能够经济地取得人力资源,但可能因缺乏必要的训练和不合适的生产计划而使得工作效率很低。管理者必须建立政策和程序来提高运作的经济性和效率,并建立运作标准来对行动进行监督。
(4)确保信息的质量。除了建立组织的目标并沟通政策、计划和方法外,管理者还需利用相关、可靠和及时的信息来控制组织的行为。事实上,控制和信息是密不可分的,决策导向的 信息受制于内部控制,没有完备的内部控制便不能保证信息的质量。也就是说,管理者需要利用信息来监督和控制组织行为,同时,决策信息系统特别是会计信息系统也依赖于内部控制系统来确保提供相关、可靠和及时的信息。否则,管理者的决策就有可能给组织造成不可弥补的损失。因此,内部控制系统必须与确保数据收集、处理和报告的正确性的控制相联系。
(5)有效保护组织的资源。资源的稀缺性客观上要求组织通过有效的内部控制系统确保其安全和完整。如果资源不可靠、损坏或丢失,组织实现其目标的能力就会受到影响。保护各种有形与无形的资源,一是确保这些资源不被损害和流失,二是要求确保对资产的合理使用和必要的维护。
1.2内部控制的要素及基本结构
1.2.1内部控制的要素
提出内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等五个相互联系的要素。
控制环境提供企业纪律与架构,塑造企业文化,并影响企业员工的控制意识,是所有其它内部控制组成要素的基础。控制环境的因素具体包括:诚信的原则和道德价值观、评定员工的能力、董事会和审计委员会、管理哲学和经营风格、组织结构、责任的分配与授权、人力资源政策及实务。
每个企业都面临来自内部和外部的不同风险,这些风险都必须加以评估。评估风险的先决条件,是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。具体包括:目标、风险、环境变化后的管理等等。
企业管理阶层辩识风险,继之应针对这种风险发出必要的指令。控制活动,是确保管理阶层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。控制活动在企业内的各个阶层和职能之间都会出现,这主要包括:高层经理人员对企业绩效进行分析、直接部门管理、对信息处理的控制、实体控制、绩效指标的比较、分工。
企业在其经营过程中,需按某种形式辨识、取得确切的信息,并进行沟通,以使员工能够履行其责任。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的 信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。主要包括:信息系统、沟通内部控制系统需要被监控。
监控是由适当的人员,在适当及时的基础下,评估控制的设计和运作情况的过程。监控活动由持续监控、个别评估所组成,其可确保企业内部控制能持续有效的运作。具体包括:持续的监控活动、个别评估、报告缺陷 1.2.2内部控制的基本结构
内部控制的基本结构主要包括控制环境、会计系统和控制程序三个方面:
1。控制环境。控制环境指对建立或实施某项政策发生影响的各种因素,主要反映单位管理者和其他人员对控制的态度、认识和行动。具体包括:管理者思想和经营作风、单位组织结构、管理者的职能和对这些职能的制约、确定职权和责任的方法、管理者监控和检查工作时所采用的控制措施、人事工作方针及其实施、影响本单位业务的各种外部关系等。
2。会计系统。会计系统指单位建立的会计核算和会计监督的业务活动方法和程序。有效的会计系统应当做到:
(1)确认并记录所有真实的经济业务,及时并充分详细地描述经济业务,以便在财务会计报告中对经济业务作出适当的分类。
(2)计量经济业务的价值,以便在财务会计报告中记录其适当的货币价值。(3)确定经济业务发生的时间,以便将经济业务记录在适当的会计期间。(4)在财务会计报告中适当地表达经济业务和披露相关事项。
3。控制程序。控制程序指管理者所制定的方针和程序,用以保证达到一定的目的。具体包括:经济业务和经济活动批准权;明确有关人员的职责分工,并有效防止舞弊;凭证和账单的设置和使用,应保证业务和活动得到正确的记载;财产及其记录的接触使用要有保护措施;对已登记的业务及其计价要进行复核等。
1.3内部控制的原则
一般来说,企业在内部控制建设方面应遵循以下原则:
1。有效性原则。要使内部控制充分发挥控制作用,在各部门和各岗位得到贯彻实施,建立的内部控制必须具有有效性,即各种内部控制制度包括最高决策层所制定的业务规章 和发布的指令,必须符合国家和监管部门的规章.必须具有高度的权威性,必须真正落到实处,成为所有员工严格遵守的行动指南;执行内控制度不能存在任何例外,任何人(包括董事长、总经理)不得拥有超越制度或违反规章的权力。
2。审慎性原则。内部控制的核心是有效防范各种风险.为了使各种风险控制在许可的范围之内,建立内部控制必须以审慎经营为出发点,要充分考虑到业务过程中各个环节可能存在的风险,容易发生的问题.设立适当的操作程序和控制步骤来避免和减少风险,并且设定在风险发生时要采取哪些措施来进行补救。
3。全面性原则。内部控制必须渗透到金融机构的各项业务过程和各个操作环节,覆盖所有的部门和岗位,不能留有任何死角和空白,做到无所不控。
4。及时性原则。是指内部控制的建立和改善要跟上业务和形势发展的需要开设新的业务机构或开办新的业务种类,必须树立“内控先行”的思想.首先建章立制,采取有效的控制措施,即使在创新的领域,也不能因为法律没有规定或监管当局没有要求而不采取必要的控制措施。
5。独立性原则。内部控制的检查、评价部门必须独立于内部控制的建立和执行部门,直接的操作人员和直接的控制人员必须适当分开,并向不同的管理人员报告工作;在存在管理人员职责交叉的情况下,要为负责控制的人员提供可以直接向最高管理层报告的渠道。
1.4内部控制的作用
内部控制主要是指内部管理控制和内部会计控制,内部控制系统有助于企业达到自身规定的经营目标。随着社会主义市场经济体制的建立,内部控制的作用会不断扩展。目前,它在经济管理和监督中的主要作用有:提高会计信息资料的正确性和可靠性; 保证生产和经管活动顺利进行;保证企业财产安全完整;保证企业既定方针的贯彻执行;为审计工作提供良好的基础等。
1.4.1提高会计信息资料的正确性和可靠性
企业决策层要想在瞬息万变的市场竞争中有效地管理经营企业,就必须及时掌握各种信息,以确保决策的正确性,并可以通过控制手段尽量提高所获信息的准确性和真实性。因此,建立内部控制系统可以提高会计信息的正确性和可靠性。1.4.2保证生产和经管活动顺利进行
内部控制系统通过确定职责分工,严格各种手续、制度、工艺流程、审批程序、检查监督手段等.可以有效地控制本单位生产和经营活动顺利进行、防止出现偏差,纠正失误和弊端,保证实现单位的经营目标。1.4.3保护企业财产的安全完整
财产物资是企业从事生产经营活动的物质基础。内部控制可以通过适当的方法对货币资金的收入、支出、结余以及各项财产物资的采购、验收、保管、领用、销售等活动进行控制、防止贪污、盗窃、滥用、毁坏等不法行为,保证财产物资的安全完整。1.4.4保证企业既定方针的贯彻执行
企业决策层不但要制定管理经营方针、政策、制度,而且要狠抓贯沏执行。内部控制则可以通过袱定办法,审核批准,监督检查等手段促使全体职工贯彻和执行既定的方针、政策和制度,同时,可以促使企业领导和有关人员执行国家的方针、政策。在遵守国家法规纪律的前提下认真贯彻企业的既定方针。1.4.5为审计工作提供良好的基础
审计监督必须以真实可靠的会计信息为依据,检查错误,揭露弊端,评价经济责任和经济效益,而只有具备了完备的内部控制制度,才能保证信息的准确,资料的真实。并为审计工作提供良好的基础。总之,良好的内部控制系统可以有效地防止各项资源的浪费和错弊的发生,提高生产、经营和管理效率,降低企业成本费用,提高企业经济效益。第二章 传统手工会计内部控制与会计信息系统内部控制比较
2.1传统核算方法下的内部控制的特点
任何一种会计信息系统,其系统的问题风险主要产生于会计业务的执行主体上,因而系统内部控制措施的制订与实施,也应该围绕着一主体体现出来,手工条件下,人是所有会计业务组织和执行的主要因素,所以人为控制实施主体是分析理解手工会计信息系统内部控制特点的关键。
从会计工作的组织机制上来说,在手工条件下,会计工作的组织形式是以经济业务性质来划分不同的核算职能组。内部控制建立的基本原则是主权、不相容职务相分离的原则,在这一原则的基础之上,企业建立各种会计岗位与机构,制定各级财务制度与职责。不同的人员严格限制在各自特定的业务领域内,各级主管依制度实施严密监督。,通过核对记录可以追溯任何一个环节出现的问题。未经授权,任何人员都难以浏览全部的会计资料。由此形成了手工条件下会计系统组织制度上的内部控制。
从会计业务处理程序上来说,手工业务处理系统账、证、表的处理工作分属于不同的会计人员完成。为了正确处理每笔会计业务,人们在手工业务处理程序的各个关键环节设立了相应的稽核制度和审查制度,如账账核对、账实核对、账证核对,以及各级主管审查、签字、盖章等制度和措施。这些制度和措施的建立一定程度上保证了会计资料的正确性和一致性,也保证了各项经济业务的合理性和合法性,体现了在手工条件下业务处理程序内部控制的特点。
从以上分析可以看出,在手工状态下会计系统中数据的处理和储存都分散于各个不同的部门和人员。
2.2会计信息系统内部控制的特点
1。在这种核算方法下内部控制的重点转向系统职能部门。
计算机会计信息系统实现后,数据的处理、存储集中于系统职能部门,因此内部控制的重点必须随之转移。2。控制范围扩大
由于计算机会计信息系统的数据处理方式与手工处理方式相比有所不同,以及计算机系统 9 建立与运行的复杂性,要求内部控制的范围相应扩大,其中包括一些手工系统中没有的控制内容,如对系统开发过程的控制、对数据编码的制以及对调用和修改程序的控制等等。3。
控制方式和操作手段由人工控制转为人工控制和程序控制相结合
在手工系统中,所用的控制手段一般都是手工控制。在计算机系统中,原有的手工控制手段有些仍然保留,但需要增设一些存储与计算机中的程序化控制。当然随着计算机应用的程度不同,程序化控制的范围也会有所不同。一般来说,计算机应用的程度越高,采用的程序化控制也就越多。
2.3两种核算方法下内部控制的差异
1。内部控制的措施和方法发生了变化。主要体现在二个方面:一是原手工会计系统下的一些内部控制措施在实施信息化后没有必要存在。例如:制作科目汇总表、凭证汇总表,试算平衡的操作,以及总账、明细账核对等。由于计算机自动计算汇总一般不会出错,除非在计算机病毒的影响、非法操作和数据受损等情况下才会出现试算不平衡等现象,因此以上措施没有必要存在。二是原手工会计系统下的一些内部控制措施,在会计信息化后转移到了计算机内部。例如,记账凭证金额的借贷平衡、各账户发生额的平衡、账户的余额平衡检查等,由系统外的人工检查转移到计算机系统内由会计信息系统的程序语句控制,并且从原来的三种平衡检查变为只检查记账凭证金额的借贷平衡。因为由会计信息系统在进行初始余额的设置时已进行过期初余额平衡检查,而系统又自动汇总业务的发生额与自动计算余额,只要保证每一张记账凭证的借贷金额平衡,其发生额与余额是绝对平衡的,因此无须再对“各账户发生额的平衡”、“账户的余额平衡”进行检查。
2。内部控制制度有了新的内容。由于计算机技术、网络技术等现代信息技术的引入,一方面使一些会计工作的形式发生变化,另一方面也给会计工作增加了一些新的工作内容,扩大了内部控制的范围,包含了手工会计系统所没有的一些内部控制。因而在计算机环境下的会计信息系统的内部控制制度也必须要有新的内容。例如:计算机硬件及软件分析、程序设计、计算机维护人员及计算机操作人员的内部控制规章制度;计算机病毒防治、计算机系统内及磁盘内会计信息的安全保护、网络系统的安全控制规章;计算机操作管理员、系统管理员、系统维护员岗位责任制度;软件使用权限的控制、修改程序的控制、数据备份的控制、科目代码的控制、结账时间的控制和设备的接触控制;系统的权限控制制度等。
3。强调内部控制框架中的“软控制”与人的重要性。内部控制由人来进行并受人的因素影响。保证组织内所有成员具有一定水准的诚信、道德观和能力的人力资源方针与实践是内部控制有效的关键因素之一。实践表明,基于环境现状构建内部控制机制是一种被动性的做法,因此,需要将内控人员的道德规范、行为准则、能力素质的建设直接纳入到内部控制结构的内容,强调“软控制”的作用。在17I环境下,企业应该注重培养组织中人员的信息观念,理解企业信息化建设和管理改革及内部控制创新之间的关系,并重视和实现这个改革。
第三章 会计信息系统内部控制面临的问题与对策
3.1 会计信息系统内部控制的目的
会计信息系统内部控制的目的具体地说有以下几个方面:
1。维护资产和资源的安全和完整.防止资产流失。任何一个企业都有自己的资产.如果没有采取一定的措施加以保护.则会由于浪费、贪污盗窃、化公为私等行为.而使资产蒙受损失。建立一定的制度,采取必要的措施就是要防止违法行为的发生,避免部门或企业的资产或资源被浪费、贪污盗窃或无效使用。
2。保证会计信息的准确、完整和可靠。会计信息是反应企业经济活动状况的经过加工的数据资料,它包括各种会计记录、账册、会计报表等。会计信息必须准确可靠.这不仅为企业外部的有关部门所需要.如上级主管部门、国家税收部门、企业的投资单位等.而且也是企业内部改善经营管理的需要。建立适当的内部控制制度,可以保证会计信息的准确可靠,进而提高管理决策的正确性。
3。有效地考核、评价各部门的工作业绩。在一个企业内部制定必要的控制制度,明确职责分工,一方面有利于该部门或企业各项方针政策的贯彻执行,另一方面也为考核和评价各部门、甚至每个职工的工作业绩提供了依据。这不仅有利于进一步调动各方面的积极性,做到奖罚分明.而且也为主管人员及时调整和改进各项工作提供了依据。
4。促进经济效益的提高。根据企业总体目标建立的包括组织结构.方法程序和内部审计在内的内部控制,其最终的目的在于促进企业经营管理活动合理化,改善经营管理.提高经济效益。5。保证单位内财务活动的合法性。任何一个企业的财务活动都必须遵守国家的相关政策、法规的规定,建立适当的内部控制制度,可以保证企业财务活动的合法性.减少或杜绝企业内部各种有意无意的违法违规操作。
3.2会计信息系统内部控制面临的问题
会计信息系统内部控制面临的问题主要有错误会系统性、反复性发生;数据的安全性受到威胁;程序不能满足实际需要或被非法篡改;会计业务缺乏有效控制;网络环境下无形资产难以转移等。3.2.1错误的系统性、反复性发生
在手工系统中,发生差错往往是个别现象,且由于不相容职责的相互分离,数据处理缓解分散于多个部门,由多个人员完成,一个部门或人员的差错往往可以在下一个环节中发现和改正。所以一般而言,一定时间内数据中反复发生错误的可能性并不大。但计算机系统处理的集中化,加之计算机运算的高速性,使得其处理结果一旦发生错误,就往往在短时间内迅速蔓延,使得多种文件、账簿、以至整个系统失真。如果发生错误的原因在于系统程序和系统软件,则计算机就会重复执行同一错误操作。更为甚者的是由于会计人员对计算机专业知识所知甚少,很难及时发现这些漏洞,致使系统会多次重复同一错误,扩大损失。3.2.2数据的安全性受到威胁
1。数据大量集中存储于磁、光介质中,一旦发生火灾、水灾、被盗之类的事件,就可能是全部数据丢失或者毁损;同时磁、光介质对环境的要求较高,不仅要防水、防火,还要防尘、防磁,而且对温度还有一定的要求,从而增加了数据的脆弱性。
2。原始凭证数字化,易于伪造。计算机的存储方式是信息转化为数字形式存储在磁(光)介质上,因此极易被篡改甚至伪造而不留任何痕迹。
3。计算机系统的突出特点是其处理和存储的集中化,由此对数据安全带来一定的威胁。如未经授权的人员可以利用计算机轻而易举的浏览其他部门文件和数据,从而使得机密数据被泄漏。
4。网络环境具有开放性的特点,这给会计信息系统的内部控制带来了许多新问题。如在网络环境下,信息来源的多样性,有可能导致审计线索紊乱;大量会计信息通过网络通讯线路传播,有可能被非法拦截、窃取甚至篡改;网络会计信息系统遭受病毒入侵或黑客攻击的可能性更大等。总之,网络环境的开放性和动态性,加剧了网络会计信息失真的风险,加大了网络会计内部控制的难度。
3.2.3程序不能满足实际需要或被非法篡改
计算机完全依靠程序进行操作,如果程序设置失误或程序被篡改,即便是数据源真实、准确,最终产品—信息依然避免不了失真。因此对程序的控制,这一在手工系统中不曾有的控制手段在计算机系统中却至关重要。
1。计算机会计信息系统的建立是一个复杂的过程,不仅需要很多计算机和通讯技术知识,且需要能满足用户特殊需要的相关专业知识。而我国目前的现状是:计算机专业人员往往不懂会计与审计知识,而会计与审计人员又对计算机知识知之甚少。因此由于知识背景的差异,往 13 往造成理解上的障碍,使得程序设置失误,未能有效满足客户的特殊需要。
2。无论国外还是国内,操作人员利用工作之便篡改程序 以达到非法目的的事件一直屡见不鲜,因此如何对接近计算 机系统的人实施限制,以及如何防止程序被非法篡改是迫切 需要解决的问题。
3.2.4 会计业务缺乏有效控制
1。尽管计算机运行速度快、精度高,但以其代替人工操作的同时也使系统丧失了人类所具有的对不合逻辑、不合理以及例外事项的判断和处理能力,也即电脑不能代替人脑。由于人脑功能在一定程度上的缺位会导致会计业务缺乏有效控制。
2。随着电子商务的迅猛发展,网上交易愈加普遍,可以想象在不久后企业的全部原始凭证都将成为数字格式,从而可视审计线索减少。
3。由于计算机的自动高效,工作人员减少,各种手续都被合并到一起由计算机统一执行,从而不能像手工方式那样相互牵制,这给内部控制带来隐患。3.2.5 网络环境下无形资产转移难以控制
知识经济形成后,会计控制的客体发生了变化,由部分有形资产转移到了无形资产。无形资产是一种动态资产,在利益的驱使下在网上很容易转移。
总之,与信息技术相结合的会计信息系统中的风险有其特殊性,完善会计信息系统内部控制,比之手工系统更为迫切。
3.3完善会计信息系统内部控制的对策
为了完善会计信息系统的内部控制,应从完善会计信息系统的操作控制;设立审核岗位,监督系统运行;监控与操作进行分离从而强化系统内部的相互牵制;采用加密的电子签名增强电子原始数据的防伪功能;加强系统软件的安全控制和数据资源安全控制等方面着手。3.3.1 完善会计信息系统的操作控制
1。企业应该制定上机操作规程,主要包括软硬件操作规程、作业运行规程和用机时间记录规程等。
2。加强系统人员的操作管理
人作为系统主体是网络发展的基本动力和信息安全的最终防线,人员操作管理的重点是权限控制。系统管理员被赋予超级用户管理权限,主要负责系统硬、软件的管理维护和网络 资源分配。操作人员应按照被授予权限严格作业,不得越权接触系统,系统程序员不得进行业务操作,以避免人为因素或操作不当给操作系统带来不必要的损失和风险。
3。建立计算机资源访问授权和身份认证制度。明确每个用户的安全级别和身份标识,并分别定义具体的访问对象,使系统不被越权操作,从而保证系统的安全。
4。建立安全稽核机制。对系统操作的事件类型、用户身份、操作时间、系统参数和状态以及系统敏感资源进行实时监控和记录,进行必要的权限设置,以便能够对各种不同的权限进行用户识别和远程请求识别。
5。设置安全检测预警系统。实时寻找具有网络攻击特征和违反网络安全策略的数据流,实时响应和报警,阻断非法的网络连接,对事件涉及的主机实施进一步跟踪,创造一种漏洞检测与实时监控相结合的可持续改进的安全模式。3.3.2 设立审核岗位,监督系统的运行
审核岗位主要负责监督计算机及电算化系统的运行,防止利用计算机进行舞弊。具体包括:!审查机内数据与书面资料的一致性;“监督数据保存方式的安全性、合法性,防止发生非法修改历史数据的现象;#对系统运行各环节进行审查,防止存在漏洞等。3.3.3 监控与操作进行分离从而强化系统内部的相互牵制
电算化系统下的内部牵制没有手工系统完善。但是从另一个角度看,手工系统下的多方牵制也不是一个成熟的牵制方法,只是通过多人的重复劳动实现牵制,这种传统的牵制手段已不能满足电算化会计系统的要求。一个比较有效的办法是在电算化系统内分设操作与监控两个岗位,对每一笔业务同时进行多方备份。当会计人员进行账务处理时,其操作和数据也被同步记录在监控人员的机器上,由监控人员进行及时备份和即时或定期审查,一旦出现数据不一致便进行深入分析调查,辨明真伪。这样就强化了会计信息系统内部的相互牵制,有效的防止作弊。3.3.4采用加密的电子签名增强电子原始数据的防伪功能
在无纸化的会计信息系统环境中,如果应用软件正确无误,系统传输安全可靠,则会计信息系统中派生数据的正确性、真实性和完整性完全取决于电子原始数据。如果不精确、不完整、不合法的电子原始数据被记录和维护,将会影响以后所有的会计处理,导致一系列派生数据的失真。因此,电子原始数据的审核和确认就显得尤为重要。在手工会计系统中,原始凭证的审核是通过对纸质原始凭证上有关责任人签名的辨别和相关凭证内容的相互核对来完成的。电子原始数据的审核可采用类似的方法:一要注意相关业务不同数据记录之间的相互核对;二要注意经办人、批准人等相关人员的电子签名。电子签名不同于手工签章,会计如何确认电子签名 15 的有效性是一个不容忽视的问题。为了防止电子签名被模仿或伪造,宜采用加密码进行电子签名,增强电子原始数据的防伪功能。
3.3.5 加强系统软件的安全控制和数据资源安全控制
为此,企业要按操作权限严格控制系统软件的安装与修改,按操作规程定期对系统软件进行安全性检查。当系统被破坏时,要求系统软件具备紧急相应、强制备份、快速重构和快速修复等功能。数据库系统是整个会计系统安全控制的核心,对其采取的控制措施主要有:!合理定义、应用数据子模式。即根据不同类别的用户或应用项目分别定义不同的数据子集,针对特定类型的用户开放,以限制合法用户或非法访问者轻易获取全部会计数据资料;”建立数据备份和恢复制度。数据备份是数据恢复与重建的基础,是一种常见的数据控制手段,网络中利用两个服务器进行双机镜像影射备份是数据备份的先进形式。
第四章 结 论
计算机以其数据处理快速、准确、高效等特性在会计和经济管理各领域得到广泛的应用,把计算机技术应用到会计领域是会计技术、程序和方法的变革。电子计算机在会计工作中的应用.使原有会计信息系统的组织体制、内部结构、数据处理方式和内部控制措施等发生了新的变化.对会计信息系统产生了一系列深远的影响。电算化会计信息系统是采用手工控制与计算机程序控制相结合的方式.控制的范围更大,要求更加严密。会计实践的核心目标是提供高质量的会计信息,获得并有效使用高质量的会计信息。我国现行的《企业会计准则》全面、集中、系统地提出真实性、相关性、统一性、及时性、明晰性、重要性等1 2条会计核算的一般准则。这是评价会计信息质量的准绳,也是指导会计核算的行为规范。一个组织.要进行有效的经营和管理,保证会计一般原则的贯彻执行.无论其会计信息是手工处理还是计算机处理都必须建立一整套内部控制制度。换言之,先进的数据处理工具和适用的内部控制(程序、方法、制度、措施等)都是非常重要的。
从国内外会计电算化的实践来看,如果不加强电算化会计信息系统的内部控制制度,造成的危害比手工会计更大。随着财务电算化工作的普及和深入.我们经常可以在报刊、电台中看到或听到有关电脑系统故障或电脑舞弊案件的报道。这些案件所涉及的金额以及所造成的损失往往比手工系统大得多。特别是西方发达国家为此付出了昂贵的代价。我国电脑应用的范围和应用的水平发展很快.网络化的程度正在逐步提高.电脑方面的案件近几年也经常发生。这些要求我们必须适应电算化的特点,在电算化的环境下.建立强有力的内部控制,以保证系统的安全可靠。
内部控制关系到企业财产物资的安全完整、会计系统对企业经济活动反映的正确性和可靠性。企业为实现既定的管理目标,必需建立一整套内部控制制度,以保证企业有序、健康地发展。在实施会计电算化的过程中,重视内部控制就是重视会计信息的质量。因此,建立与计算机数据处理特点相适应的内部控制制度,是保证会计信息质量的重要前提。
致 谢
此篇论文得以完成,首先要感谢王先鹿老师的细心指导。每次我遇到难题,我最先做的就是向王老师求助,而王老师每次不管忙或是闲,总会抽空帮我,然后一起找出解决问题的方法。王老师平时工作繁忙,但我做毕业设计的每个阶段,从选题到查阅材料,论文提纲的确定,中期论文的修改,后期论文格式调整等各个环节都给予我悉心的指导。王老师宽厚待人的学者风范更是令我无比感动。
感谢各位老师在这几年一直在生活中、组织上给予我的教导和无私的帮助,让我在青岛理工大学这个大舞台上有锻炼的能力、自我完善的平台。
在论文即将完成之际,我的心情无法平静,从开始进入课题到论文的顺利完成,有多少可敬的师长、同学、朋友给了我无言的帮助,在这里请接受我诚挚谢意!最后再一次感谢所有在毕业设计中曾经帮助过我的良师益友和同学,以及在设计中被我引用或参考的论著的作者。
由于时间仓促、自身等原因,文章错误疏漏之处在所难免,恳请各位老师指正。
参考文献
【1 】Annukka Jokipii.Internal Control in the Organization:A Contingency Approach[D].University ofVaasa,2005.
【2 】Chan L and Jee HL and Qian W Internal and external influences on IT control governance [J].International Journal of Accounting Information Systems,2007(8):225-239.
【3 】Committee Of Sponsoring Organizations of the Treadway Commission.Internal Control—Integrated Framework.July 1994 Edition. 【4 】柏思萍,IT环境对会计信息系统内部控制的影响[J],《中国乡镇企业会计》,2008,第8期:159-160。
【5 】丁玲莉,浅论电算化会计信息系统内部控制存在的问题及应对策略[J],《中国科技信息》,2006,第22期:145-146。
【6 】耿
敏,浅谈企业会计信息系统内部控制[J],《商场现代化》,2006,第29期:310-311。
【7 】孔
丹,网络环境下会计信息系统风险防范研究[J],《现代商贸工业》,2009,第20期:288-289。
【8 】罗宗举,如何客观评价会计信息系统内部控制[J],《管理学家》,2010,第5期:066。【9 】梁玉国,电算化会计信息系统内部控制[J],《西南民族学院学报》,2002,第4期:169-172。【10】肖
婷,关于会计信息系统内部控制的探讨[J],《人民珠江》,2008,第4期:54-56。【11】夏晓菊,浅析电算化会计信息系统内部控制[J],《大科技》,2010,第3期:116-119。【12】赵智宇,统下如何完善企业内部控制[J],《前沿》,2009,第12期:80-82。
第四篇:计算机会计信息系统的风险及其控制
引言
信息系统作为会计信息系统控制的对象,是由计算机硬件和软件部分、应用系统、各种数据和相关人员等要素构成的。会计信息系统控制目的是在信息系统风险分析和识别控制基础上避免或减少风险危害。
为了使得会计信息系统正确的,可靠的和安全的运行,同时提高会计信息系统运行效率,就需要使用各种方法和相应的技术,对会计信息系统实施风险管理和风险规避。
1.计算机会计信息系统的简介
1.1计算机会计信息系统的定义。计算机会计信息系统将电子计算机为主的当代电子技术和信息技术应运到会计实务中,是一个运用电子计算机实现的会计信息系统。它使传统的手工会计信息系统逐渐转化为电算化会计信息系统。计算机会计信息系统将电子计算机和现代数据处理技术相结合并且运用到会计工作中,是用电子计算机代替人工记账、算账和报账,和部分代替人脑完成企业对会计信息的分析、预测、决策的过程,它的目的是使得企业财务管理水平和经济效益得以提高。
1.2 计算机会计信息系统特点
(1)系统的庞大复杂性;(2)信息的真实可靠性。计算机会计信息系统应确保存放在系统中的会计信息的真实、公允、全面、完整、安全和可靠;(3)内部控制严格。计算机会计信息系统中的数据不仅要保证其正确性,还要保证;(4)会计核算程序的规范性和程序性。
1.3 计算机会计信息系统的应用及不足
(1)会计信息数据将会发生失真。如果会计信息系统的安全受到威胁,那么将会发生会计数据发生错误、数据将会丢失或被篡改,使信息发生失真;(2)企业重要信息发生泄露。比如,在各种网络环境下,财务信息完全通过网络进行传递,这时将不可避免的发生财务信息被不法分子截取或泄露;(3)计算机病毒侵袭使得系统不能正常运行。计算机病毒将会破坏计算机内部的程序、重要数据,有的甚至会破坏硬件。病毒通常会通过磁盘、光盘、网络和电子邮件进行传播。
2.我国计算机会计信息系统存在的风险
2.1 会计信息系统内在是脆弱的
(1)计算机的硬件存在很大风险。硬件的安全隐患大部分来自于程序设计,物理安全是最主要的表现方式;(2)会计软件的系统是脆弱的。计算机软件的风险一般来自于软件设计和软件工程实施中的遗留问题,一旦软件设计中发生了疏忽,则可能留下安全漏洞;安全脆弱性还体现在软件设计中不必要的冗余功能,和软件本身较大;(3)网络和通信协议存在一定的安全风险。由于支持因特网运行的TCP/IP协议栈在设计的当初将互联互通和资源共享问题考虑了进去,从而导致了解决来自网际的安全问题无法被兼容。
2.2 计算机病毒引起的风险
(1)从存储介质进入。
(2)从内联网进入。内联网上的邮件系统容易给病毒大量传播的机会,而且在内联网络上传播的病毒较新,大部分是新发现的病毒。
(3)从互联网进入。计算机病毒大部分通过互联网传播,不管用户在网上浏览网页,还是收发电子邮件、或者是下载软件,都比较容易使计算机染上病毒。
2.3 计算机舞弊引发的风险
(1)将会使得系统硬件发生破坏。比如不法分子蓄意对系统硬件设备进行破坏,最终导致系统运行发生中断或瘫痪;(2)使得软件系统发生破坏。不法分子威胁、攻击及舞弊的主要对象是软件系统,方法和手段是多样的,常用方法有截尾术、越级法、程序天窗、逻辑炸弹及冒名顶替等等;(3)使得重要数据发生破坏。计算机舞弊中最常用的方法就是对输入进行篡改,即在将数据输入计算机之前或者输入过程中对数据进行篡改;(4)网络黑客。
2.4 内部控制存在的风险
(1)授权控制下降。(2)职责分离和监督不规范。(3)业务记录效力降低。员工在纸质凭证上进行了签字只是证明了他确实对交易进行了授权确认,但是系统的完整性、正确性和安全性影响了磁质交易记录上的操作员信息的法律效力。
3.对我国计算机会计信息系统风险的规避控制
3.1 我国的计算机会计信息系统内在的防范对策
3.1.1 完善会计软件的功能
3.1.2 加强内部审计
3.1.3 计算机舞弊引发风险的防范
不同企业对会计信息系统存在不同的安全要求,企业可以自主选择合适的操作系统平台。在会计软件的开发设计过程中,通过运用操作系统提供的信息安全技术,使信息安全得以实现。此外,要监督审计人员,让他们在执行审计工作的过程中查找计算机舞弊的痕迹。
3.1.4 提高应用与管理人员业务素质
企业可以通过内部培训、绩效考核、奖惩等各种方法,使会计人员的会计信息系统应用和管理人员的计算机知识、网络技术安全知识、会计理论与实务知识有所增加,并同时增强会计人员的风险防范意识,提高他们的业务素质,使得计算机会计信息系统有效正常运行.3.2 我国计算机会计信息系统外部的防范对策
3.2.1安装防火墙和使用加密技术
(1)企业可以通过安装防火墙,使得内联网上的企业信息系统躲过来自互联网上的攻击。防火墙具有限制网上会计信息的自由流动,从而使得网上访问变的安全。
(2)企业可以使用非对称加密机制,会计数据秘密得以保守。
3.2.2 采用数字签名技术和仲裁制度,防范来自关联方和社会道德风险
3.2.3采取多种网络安全技术,保证系统的安全性
(1)企业应当适当使用安全检测预警系统。
(2)企业应当适当采用加密技术。加密技术是最主要的网络安全技术,它可以使得系统数据的保密性得以提高,而且能防止私密数据被破译。保秘密钥和公开密钥是加密技术的两大手段。
4.结 论
互联网技术的飞速发展,导致了计算机会计信息系统进入了一个全新的发展阶段,同时也使得目前的会计信息系统面临着巨大的挑战。网络多功能化可以让企业根据自身情况,考虑设置新的功能模块,同时随着电子技术的发展,系统也会逐步完善,发展成企业管理所期望的。
我们不可否认,会计信息系统的各种风险是客观存在的,这就要求我们积极面对各种风险,对出现的问题认真思考,进而采取正确的防范措施,只要企业进行严密监督与控制,计算机会计信息系统的风险是可以减少与控制的,会计信息系统将会运行在正确的轨道上。
introduction As the object of accounting information system, information system is composed of computer hardware and software, application system, various data and related personnel.The purpose of accounting information system control is to avoid or reduce the risk of risk on the basis of information system risk analysis and identification control.In order to make the system of accounting information is correct, reliable and safe operation and improve the efficiency of accounting information system, you need to use a variety of approaches and corresponding technical, the accounting information system implementation of risk management and risk aversion.1 Introduction to computer accounting information system 1.1 the definition of computer accounting information system.Computer accounting information system www.xiexiebang.com will be computer-based contemporary electronic technology and information technology to be shipped to accounting practice in, is a use of computer to realize the accounting information system.It makes the traditional manual accounting information system gradually transformed into computerized accounting information system.Computer accounting information system, electronic computer and modern data processing technology combined and applied to accounting work is by using a computer instead of manual bookkeeping, accounts and reimbursement, and some substitute for the human brain to complete the analysis of accounting information, forecasting, decision-making process, it is the level of enterprise's financial management and economy benefit can be improved.1.2 characteristics of computer accounting information system(1)the huge complexity of the system;(2)the true reliability of the information.Computer accounting information system should ensure that the accounting information stored in the system is true, fair, comprehensive, complete, safe and reliable;(3)strict internal control.Computer accounting information system in the data not only to ensure its correctness, but also to ensure that;(4)the standard of accounting procedures and procedures.1.3 computer accounting information system and its application(1)accounting information data will be distorted.If the security of the accounting information system is threatened, the accounting data will be wrong, the data will be lost or tampered, so that the information is distorted;(2)the important information of the enterprise leakage.For example, in the network environment, financial information completely pass through the network, then it will be inevitable occurrence of financial information is illegal interception or leaked;(3)computer virus invasion makes the system can not operate normally.Computer viruses will destroy the computer's internal procedures, important data, and some even destroy the hardware.Viruses usually spread by disk, disk, network, and email.2 the risk of computer accounting information system in our country 2.1 the accounting information system is fragile.(1)the hardware of the computer is very risky.Hardware security risks are mostly from programming, physical security is the most important way of expression;(2)the accounting software system is fragile.The risk of computer software from the remaining problems in software design and software engineering implementation, once design software in the negligence, it may leave a security vulnerability;vulnerability is also reflected in software design of unnecessary redundancy function, and the software itself larger;(3)network and communication www.xiexiebang.com protocols exist certain security risks.Since the TCP/IP protocol stack that supports the Internet has been designed to account for interoperability and resource sharing, the security problem from the Internet can not be compatible.2.2 computer virus induced risk(1)entry from storage medium.(2)from the inside to enter.Online mail systems are easy to spread a lot of opportunities for the virus, but also in the spread of the virus on the intranet network, most of the newly discovered virus.(3)access to the Internet from the internet.Most computer viruses spread through the Internet, whether users browse the web page, or send e-mail, or download the software, are relatively easy to make computer infected with the virus.2.3 computer fraud risks(1)will make the system hardware failure.For example, unscrupulous elements of the system hardware equipment to destroy the system, eventually leading to the system to run the outage or paralysis;(2)the software system to destroy.Criminals threats, assault and fraud is the main target of software system, method and means is varied, commonly used methods have truncation operation, leapfrog method, program skylight, logic bombs and an imposter, and so on;(3)so that important data failure.Computer fraud is the most common way to tamper with the input, that is, before the data is entered into the computer or the input process to tamper with the data;(4)network hackers.2.4 the risk of internal control(1)authorization control decreased.(2)separation of duties and supervision is not standardized.(3)decrease in business records.Employees in paper documents the signature is to prove that he did to the transaction is authorized to confirm, but system integrity, correct and safe sex affected the legal effect of magnetic quality records information to operator.3 to avoid the risk of computer accounting information system in our country 3.1 China's computer accounting information system, the inherent preventive measures 3.1.1 to improve the function of accounting software 3.1.2 to strengthen internal audit 3.1.3 computer fraud risk prevention Different enterprises have different security requirements to the accounting information system, and the enterprise can choose the appropriate operating system platform.In accounting software.
第五篇:审计信息系统-会计082-徐可扬
浅析计算机软件在审计工作中的应用
摘要
随着会计管理手段的现代化,很多企业都采用了会计电算化软件,这就对审计工作提出了新的要求。本文从审计软件的基本功能以及目前审计软件的局限性,继而结合自身实践以及同从业人员的交流总结出审计软件的使用方法以及发展方向。
关键词
审计信息化 计算机审计 审计信息系统
实习是对每位大学毕业生专业知识的一种检验,它让我们学到了很多在课堂上根本就学不到的知识,既开阔了视野,又增长了见识,为我们以后进一步走向社会打下坚实的基础,也是我们走向工作岗位的第一步。
作为学习了差不多三年会计的我们,可以说对会计已经是耳目能熟了。所有有关会计的专业基础知识,基本理论,基本方法和结构体系,我们都基本掌握。但这些似乎只是纸上谈兵。倘若将这些理论性极强的东西搬上实际上应用,那我们也会是无从下手,一窍不通。所以为了加强自身的素质,培养较强的会计工作的操作能力,这个学期,我有幸在一家国内有名的会计师事务所进行了专业实习。在实习当中,慢慢了解了自己不懂的那一部分,为大四的学习计划和未来的发展目标奠定坚实的基础。
我所在的单位是中平建华浩会计师事务所有限公司,成立于1986年。该所特别重视对大型企业、高新技术企业的审计、评估和专业咨询项目,并十分重视研究各种不同类型、不同行业企业审计、评估工作各自的特点。比较具有代表性的业务有“鸟巢”建造工程审计、国家大剧院建造工程审计等。
我的实习期是2010年12月24日至2011年1月28日。在这短短五周的时间里,我对审计工作有了直观的了解,也的的确确学到了许多将来在工作中十分有用的东西。
实习期间,我按照要求和公司安排主要完成以下实习工作任务:
1.了解会计师事物所机构组成、人员职责和基本业务。
2.分别熟悉事物所各种会计业务的操作流程、行业规范,协助会计师完成各类业务。
3.配合工作人员完成各种办公室日常工作。
我的实习主要分为两个阶段。
第一阶段是在中平建会计师事务所总部完成各项工作。
第二阶段主要是出外勤,参加年报审计工作。
一、对审计所用软件的认知
我所在会计师事务所用的审计软件是中审软件技术有限公司的中审审易软件。通过自学我了解到,审易软件主要适用于内部审计、社会审计和国家审计。这款软件功能强大,与其他软件的数据转化无障碍;审计工具实用,用友政务审计软件不仅提供了常用的查询、查账、取数、PPS抽样等审计工具,而且还提供了报表计算、往来分析、图形分析等工具,可以按照审计人员的意图及要求,随心所欲地使用,软件的功能和技术完全能满足审计业务的需求。
据我的观察,在审计过程中,所里的会计师首先会将被审计单位的各种账目从他们的会计信息系统里倒入我们自己的审计信息系统。如果有没录入信息系统的账,再查实体账。
作为一名刚刚接触实际业务的实习生,我并没有太多接触审计软件的机会,更多的是运用Office的Excel表格来完成各种指导老师交给我的任务。我需要做的工作主要是盘点库存现金、盘点固定资产,和抽凭。在工作过程中,可以说我对Excel的认识和使用技巧有了一个飞跃式的提高。例如:如何运用各种计算公式、如何少选、如何抽查等等,这些工作如果不借助计算机而是完全人工来做的话,先不说准确性的问题,恐怕光是在时间上就已经大打折扣了。然而有了计算机软件的帮助,审计工作可以既快又好的完成,节省了大量的人工及成本。总的来说,Excel功能很强大,是审计人员常用的工具,审计软件的大部分功能都可以通过EXCEL来实现。但是EXCEL也有其局限性。例如用Excel,需要手工复制、粘贴,根据审计人员Excel水平不等所用时间也就不等。另外。查证账簿和凭证时,需要用客户的电脑,影响客户的工作,而且需要导出很多个明细账,审计人员排队用电脑的情况经常发生。
所以我认为,审计软件与Excel不是对立,而是可以相互补充的。审计软件是工具,是有必要用的,使用审计软件是趋势,会有越来越多的人用审计软件。审计软件也只是工具,它不能替代审计人员,审计工作最终还得需要注册会计师来做职业判断。
二、审计软件的应用及发展前景
目前计算机审计软件应用广泛,在我实习的会计师事务所中也同样使用着审计软件,经过我的实践以及和那里的员工的交流,我大概总结下我心中的计算机审计软件应该所有的功能。
首先将审计软件与会计电算化系统相联,计算机自动取数。而且在审计工作中随时可以取得相关数据查阅或形成底稿。根据审计软件计算出的各项比率和趋势分析等数据进行分析,制定审计计划。各审计人员在直接用审计软件开底稿,审计软件已将各项目的未审数已取好数,审计人员分析后设定审计抽样策略,由审计软件制定抽样计划。也直接在会计电算化系统中取相关数据。审计人员再进行抽样检查。项目审计完毕,形成审计意见和相关的调整分录。
至于未来的审计软件发展,经济环境在不段的变化,审计内容也在不同环境、不同背景下发生变化,审计的角度、深度都会随之转变。当代的审计软件在信息处理、数据 查询、资源共享都是一个进步,然而在审计智能化,比如数据分析、问题判断、内控弊端等等都不能更好的提供帮助,最终还是需要审计人员靠个人对企业的环境了解,以及个人经验进行分析,当然也因审计工作在不同的企业不同的环境的工作模式也会发生着变化,很难进行把握。所以虽然审计软件在很大程度上减轻了审计工作的负担,但审计人员的的职业技能与素养依然不容忽视。例如据我了解,我所在的会计师事务所里有许多已经工作了有一段时间的前辈,对审计软件的使用依然不是很熟练、理解不是很透彻,还需要很长时间的培养的使用,以至熟练。
三、实习体会与总结
从2010.12.24到2011.1.28为期四个多星期的实习终于圆满完成。这四个多星期真的让我受益匪浅。
首先,我明白了实习价值的高低取决于自身的积极性。在一个完全陌生的环境里,有太多太多的事情你没有能力把握了。比如是否可以碰到一个主动教导你并且放手让你做业务,再指出你的错误帮助你进步的上司。能遇到这样的上司实属难能可贵,一般情况下前辈们都只顾着自己的工作,交代你做些基本的业务,做好了他看到有错误的地方就自己改掉了,也不会特地的去向你指出。因此到最后自己做的工作到底规范与否根本无从知道。这时候解决办法就只有碰到疑惑的问题时抓住时机去发问,把握自己可以把握到的尽量让实习更具价值。
其次,实习不但是一个提高动手能力的机会,更是一个锻炼交际能力的时机。与办公室里的上司前辈们保持良好的关系,可以让你尽快的熟知公司的情况,在遇到困难的时候也能够及时的得到帮助。很高兴的是我做到了和公司的前辈以及实习生相处融洽的这一点,让我在实习期间心境愉快并得到意外的收获。
第三个感悟是在不断的挖掘与发问中我渐渐了解到内资会计师事务所在激烈的行业竞争中的生存困境。为了尽可能的降低营业成本,以比较优惠的价格吸引客户,留住客户,一些工作程序存在着不太规范的情况。比如信函的发放上,规范的做法是会计师事务所直接把信函送到被函证的单位的,但为了节约成本,会让被审计单位自己完成函证。在事务所林立的情况下,一方面事务所要创造利润,另一方面要保证审计报告的质量。当两者产生矛盾的时候,特别是发生尖锐的矛盾,关系到事务所生存发展的情况下,很多时候事务所会以折衷的方法,降低审计工作质量来谋求生存。
工作中仅靠我们课堂上学习到的知识远远不够,因此我们要在其他时间多给自己充电,在扎实本专业的基础上也要拓宽学习领域。除了与我专业相关的知识外,我还看到许多在课堂上学不到的东西。公司是如何运做的,员工之间的团队合作精神,处理业务的过程,规章制度执行情况,企业的管理等等。作为一名会计实务人员,通过这次实习也更加让我看清自己今后的努力方向。除此之外拥有一颗上进心,进取心也是非常重要的。同时在实际的工作中遇到问题时要多向他人请教。人际沟通也是非常重要的一点,如何与人打交道是一门艺术,也是一种本领,在今后的工作中也是不能忽视的。会计的信息性很强,当书本没变时可能时局与社会因为与时具进的发展又有新变化了,作为一个新世纪的会计专业人员,就要适应社会的变化。马上就要进入社会的我们也要面临正式的实习了,我想每一次的经历都是一种积累,而这种积累正是日后的财富。我坚信通过这一段时间的实习,所获得的实践经验对我终身受益,在我毕业后的实际工作中将不断的得到验证,我会不断的理解和体会实习中所学到的知识。在工作上,在学习上,我们要让这些宝贵的财富发挥它的作用,从而达到事半功倍的效果。
会计082徐可扬0811250401
点击咨询 