商学院会计系李栋辉
三、信息系统的一般控制与应用控制
❖ 处理控制 ❖ 对计算机系统进行的内部数据处理活动的控制措施。处理
控制用于保证经济业务由计算机作出正确的处理，保证经 济业务不被泄露、非法添加、重复或不适当的更换，并能 够实行限制性/合理性测试对处理工程中的错误加以识别 和改正。
内部审计学
商学院会计系李栋辉
第六章
信息系统控制与审计
第六章 信息系统控制与审计
主要内容
√
第1节.信息系统控制概述
第2节.信息系统审计要点
第3节.数据审计模式
第4节.案例分析
商学院会计系李栋辉
第1节.信息系统控制概述
▪ 一、信息系统给组织带来的机遇与挑战 ▪ 二、信息系统控制的重要性 ▪ 三、信息系统的一般控制与应用控制
❖ 面对基于上述信息系统存在的风险，就必须对硬件和软件工 作环境的安全性、可靠性加以检测，采取各种严密措施，确 保组织的各种数据、文档资料的真实准确。
EDP:以计算机替代人工处理例行性的数据，并产生报表以支持组织的作
内部审计学 业活动。 其内容重点乃在于取代重复性的人工操作，以支持基层管理者
及作业人员等，故其重心在于重效率的信息系统，例如会计之应用。国外 把利用电子数据系统的会计，称为电子数据处理会计。
1.输入控制 ❖ 美国执业会计师协会认为：输入控制是指正式确认为进行
电子数据处理(EDP)所可接受的数据，将其转换为机器能 够感知的形态，并能为机器识别，而且要合理的保证数据 没丢失、删除、外加、重复或不应有的变更。 ❖ 输入控制包括对不正确的初始数据予以拒绝，或者给予修 正后重新提供这方面的控制。
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
❖ 首先，制定适当制度以适当授权，严禁未授权的人员输入 文件资料；
❖ 其次，做好输入的数据文件的审批工作，这种审批独立于 信息系统部门之外，遵守职责分工。数据一经输入后就对 其进行测试。
❖ 最后，纠正在测试中出现的问题的输入，并删除重复的无 用的输入，添加必要的输入，保证输入的完整性与正确性。
三、信息系统的一般控制与应用控制
4.系统开发与编程控制 ❖ 首先，需要一个开发EDP系统的完整计划，制定合理目标，
确定工作阶段和开发进度，进行资金筹措和费用预算，合理 配备人员； ❖ 其次，开发过程中处理好人员的工作安排和责任划分，做好 系统的整体规划，需求调查、性能检测、试运行、文档管理 和审计控制等工作； ❖ 最后，静态测试与动态测试结合起来进行编程控制。
挑战
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（六）组织业务轨迹的变化 ❖ 手工环境下纸质业务轨迹更容易检查辨认。 ❖ 计算机硬盘存储的工作原理使得组织能够掌握数据的使用与
销毁，给组织文档的可靠和安全带来威胁。 ❖ 计算机输入输出缺乏可视性，使得难以查找错误源头和追究
出现问题的信息系统的责任人。
（5）具有输入输出控制环节，数据处理以批处理模式进行， 能控制数据输出速度。
（6）配备专业的数据安全负责人、通信分析师或质量控制专 家等。
商学院会计系李栋辉
第1节.信息系统控制概述
▪ 一、信息系统给组织带来的机遇与挑战 ▪ 二、信息系统控制的重要性 ▪ 三、信息系统的一般控制与应用控制
商学院会计系李栋辉
❖ 必须合理分离信息技术内中心部关审键职计责学，做好内部分工。才能有效
防止舞弊。
挑战
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（五）程序与数据的集中 ❖ 计算机处理环境下职责的集中，导致记录组织作业的原始数
据及应用程序集中于同一台机器或存储在电子数据文档中， 由组织的信息系统部门统一管理。 ❖ 如果缺乏适当的控制措施，组织的程序、数据、文档被篡改， 丢失而不被发现的可能性就很大。
用于待机备用。 ❖ 实例：以计算机为例，其服务器及电源等重要设备，都采用”
一用二备” 甚至”一用三备”的配置。正常工作时，几台服 务器同时工作，互为备用。电源也是这样。一旦遇到。确保系统不停 机，数据不丢失。
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
冗余技术
❖ 冗余技术又称储备技术，它是利用系统的并联模型来提高系 统可靠性的一种手段。
❖ 冗余分为：工作冗余和后备冗余。 ❖ 工作冗余：是一种两个或以上的单元并行工作的并联模型。
平时，由各处单元平均负担工作，因此工作能力有冗余。 ❖ 后备冗余：平时只需一个单元工作，另一个单元是冗余的，
执行和计算机处理审计之间应明确责任划分；
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
❖ EDP内部也应明确职责分工，保证不相容职责由不同的人 承担并保证一个人能对其他人的工作进行检查；
❖ 在EDP中应适当进行人事监督和审计，适时考核评价，周 期性轮换工作。
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
（一）计算机系统固有缺陷 ❖ 计算机硬件和软件系统容易受到冲击 ❖ 交易的实时处理使得错误检查及更正没有缓冲时间，使
得错误影响进行中的商业活动，人们无法控制系统，而 计算机系统本身又不能真正做到自我监控。
挑战
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（二）系统错误的增加 ❖ 计算机程序替代手工处理，发生随机错误的可能性降低。
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
1.组织控制 ❖ 使用EDP的组织中，各部门间的职责分工应尽可能保留实行
EDP之前的模式，或者是原有模式的扩展； ❖ EDP部门主要负责业务的记录及其相关的数据处理； ❖ EDP部门与用户部门的职责尽量分离，形成一种互相稽核、互
相监督、互相制约的关系； ❖ 所有经EDP系统处理的业务都应经过适当授权，业务的筹划、
商学院会计系李栋辉
第1节.信息系统控制概述
▪ 一、信息系统给组织带来的机遇与挑战 ▪ 二、信息系统控制的重要性 ▪ 三、信息系统的一般控制与应用控制
商学院会计系李栋辉
二、信息系统控制的重要性
❖ EDP（Electronic Data Processing）广泛应用，改变了内部控 制的性质。组织没有自己的信息系统，通信网络、数据仓库 和技术人员，其业务就不能正常开展。
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
6.接触控制和档案资料保管控制（安全控制） ❖ 登录软件、序列号、系统口令等方法，保证资料的安全； ❖ 利用杀毒软件和安装系统检测程序防止病毒的侵入，慎用
公用软件、外来软件和共享软件，定期检查系统，经常性 备份。
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
机遇
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（三）内部控制的程序化 ❖ 通过使用计算机信息系统，内部控制的内涵和外延发生了
很大变化，组织可以将各种控制方法嵌入程序中。通过程 序的运行，核对数据之间钩稽关系，检查使用权密码，审 计各种业务及数据的处理顺序等。 ❖ 比如：流程图软件代替控制的叙述性描述法，可以很快捷 的分析利用业务数据，从而准确的控制和把握组织的运营
挑战
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（四）职责与知识的集中 ❖ 计算机的运用使得诸如基础设施、软件、数据及人事职能与知识
等信息系统要素非常集中，参与处理财务信息的人员大大减少， 信息系统执行了许多在传统手工处理系统中相互分离的职责。 ❖ 职责的集中使得信息技术人员有可能掌握数据的来源、处理和输 出，从而使得内部控制的风险增加。 ❖ 接受培训和拥有信息技术知识的人员可能接触到功能覆盖较广的 软件。
❖ 编写代码：系统原始数内据的部采审集，计减学少人为干预。
机遇
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（二）数据存储的磁性化 ❖ 现在许多计算机程序将数据存储到数据库中，因为文本形式
的存取比较慢，适合小型系统，单纯的文本没有相应数据库 存储机理，必须自己定义行列、浏览、存入等，而利用数据 库存储则可以由程序自动生成。 ❖ 硬盘：采用磁介质的数据存储设备，数据存在硬盘驱动器的 内部的磁盘片上。
对于一定的输入，如果程序是正确的，它的控制过程与处 理结果总是正确的，一旦程序本身出现问题，错误就会不 断重复，而程序自身并不能自我发现并纠正。
挑战
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（三）数据接触未经授权 ❖ 非法侵入、滥用和偶然破坏等缺陷，导致组织的计算
机程序或文档被非正常修改或造成组织的机密信息非 法泄露。 ❖ “黑客”，病毒等。
是否规范，各种业务内的部进行审是计否授学权等。
机遇
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（四）管理信息系统中的各子系统联系密切 ❖ 管理信息系统：会计、统计、市场管理、生产管理、
仓库管理、劳动人事等。 ❖ 网络的使用，使得各系统的联系更加紧密。
机遇
内部审计学
商学院会计系李栋辉
一、信息系统给组织带来的机遇与挑战
（二）应用控制 ❖ 应用控制与EDP所执行的特别任务有关，其目的在于确保
应用系统对电子数据资产安全的保护，对数据一致性的保 证以及对数据进行有效的加工。其功能是恰当地保证数据 的记录、加工和报告过程的正确进行。 ❖ 输入控制 ❖ 处理控制 ❖ 输出控制
商学院会计系李栋辉
三、信息系统的一般控制与应用控制
2.操作控制 ❖ EDP管理人员制定上机守则和操作规程，经常性进行检查，EDP
管理人员应将手工日志与系统生成日志结合用于检查系统的日常 工作情况； ❖ EDP操作人员执行操作控制，用于保证现行规章和实务处理规程 得到遵守； ❖ 冗余技术对付硬件损坏、数据文件的丢失毁损等，实现异常状态 下的数据恢复； ❖ EDP部门应制定年度工作计划和相应日程安排，保证系统运作。