Page 21
北京师范大学出版社
12.3.2电子商务交易完备控制
从长远来看，交易集中控制是财务会计信息的可 靠性与相关性的保证，而目前的凭证集中与报表 集中将逐步为交易集中所替代。交易集中控制旨 在使物流、资金流和信息流“三流合一”的基础 上达到对会计信息的控制与使用。
Page 22
北京师范大学出版社
《国际审计准则20 电子数据处理环境对会计制度和有关的内部控制 研究与评价的影响》 ：一般控制与应用控制 《审计准则第1211号 了解被审计单位及其环境并评估重大错报风险》 指出了一般控制与应用控制 各自的含义
Page 10
北京师范大学出版社
12.2.1 内部控制按实施环境分类（续）
信息技术一般控制是指与多个应用系统有关的政 策和程序，有助于保证信息系统持续恰当地运行 (包括信息的完整性和数据的安全性)，支持应用 控制作用的有效发挥，通常包括数据中心和网络 运行控制，系统软件的购置、修改及维护控制， 接触或访问权限控制，应用系统的购置、开发及 维护控制。
包括两个方面的内容，一方面是企业会计信息化不断的采用新技术； 另一方面，则是密切注视、并积极应对不法分子利用信息新技术篡改、 拦截、破坏企业的会计数据与信息。
Pa间的安全已经成 为关系信息化能否健康发展的重大问题。
全局性:企业资源计划（ERP）的实施目标，就是 要最大程度地使物流、资金流和信息流实现一体 化管理，ERP软件的开发与应用，正在日益走向 “三流一体”，有鉴于此，会计信息系统的数据 源只能来自于以整个企业为单位建立的数据仓库。
Page 24
北京师范大学出版社
12.4.2 注重企业经济业务原始信息的安全控制
随着信息化的快速发展,事件驱动技术的应用可能 使各种经济业务活动以事件形式加以组织与存储, 并以统一的数据仓库加以集中与管理,这种改变以 往以数据处理中心的处理模式,使信息使用者仅在 需要信息时才到数据仓库将相关数据“拉”出来 即时加以处理的做法，改变原先会计凭证、账簿 和报表的信息管理模式，企业信息的安全控制点 必将前移，信息安全控制将以企业的数据仓库为 重中之重。
计算机处理与数据文件控制：基本目标是保证对经济业务的数据处理 过程的正确无误，所有经济业务没有被遗漏、添加、重复或不适当地 更换，同时，在数据处理过程中软件能够对错误及时予以识别和改正。
Page 18
北京师范大学出版社
12.2.3 应用控制及其基本内容（续）
输出控制 ：基本目标是保证处理结果的正确性 输出主要有会计凭证、账簿和会计报表。输出形式包括屏幕显示和打 印输出。
Page 19
北京师范大学出版社
12．3 电子商务安全控制与交易完备控制 12.3.1电子商务安全控制
与传统的方式相比，电子商务使得一个公司面临不同种类的风险。 这些风险可大致归为两大类。一类是未访问授权的访问；一类是设备 故障的风险。面对这两类风险，电子商务的安全控制只能加强而不能 削弱。
Page 4
北京师范大学出版社
12.1.1 信息安全控制的若干规范文件(续）
信息及相关技术控制目标（COBIT） :信息及相 关技术控制目标（Control Object for Information and related Technology，COBIT） 是由IT治理协会开发形成的，它是目前国际上公 认的最先进、最权威的安全与信息技术管理和控 制标准。自1996年问世之后，这一标准历经两次 修改，目前已是第三版，并在世界上一百多个国 家的重要组织与企业中运用。 COBIT 由执行概要、框架、执行工具集、管理指 南、控制目标和审计指南等六个部分组成。
12.1.2 信息技术对内部控制的影响
信息技术提高企业内部控制的效率和效果 数据处理的客观性与规范化 信息输出的及时性与准确性 提供信息深入分析的详细资料 降低控制被规避的风险 提高不相容职务分离的有效性

Page 8
北京师范大学出版社
12.1.2 信息技术对内部控制的影响(续）
Page 26
北京师范大学出版社
12.4.3 加强对主体系统的监控与管理（续）
信息系统是由主体系统与客体系统组合而成。无论是现在还是未来， 主体系统都必须作为控制之重点。在未来的网络化环境中，加强与系 统相关人员的管理与控制更为重要。
Page 27
北京师范大学出版社
12.4.4 关注信息新技术的应用
Page 13
北京师范大学出版社
12.2.2 一般控制及其基本内容（续）
应用系统开发和维护控制 系统开发阶段的控制主要包括：开发方法与方式的控制、对数据的定 义和处理程序的控制
Page 14
北京师范大学出版社
12.2.2 一般控制及其基本内容（续）
计算机操作控制 操作控制包括为模块只允许被授权的人使用，操作者必须严格按照操 作管理制度对指定的模块进行操作，在操作过程中产生错误时能够及 时得到纠正。
北京师范大学出版社
12.2.3 应用控制及其基本内容
输入控制 ：输入控制主要方法包括：凭证格式和 内容的控制、有关责任人签章的控制、修改控制 以及凭证审核的控制等。 逐步放弃纸质存放而尽可能将会计凭证存储于机 内，是今后会计信息化的努力方向。
Page 17
北京师范大学出版社
12.2.3 应用控制及其基本内容(续)
Page 6
北京师范大学出版社
12.1.1 信息安全控制的若干规范文件(续)
《控制指南》（CoCo） :它定义了控制的概念，并为有效的控制规定 了详细的标准。它同时定义了三类目标，即运营的效率和效果、内部 和外部报告的可靠性，以及对所适用的法律、规章及内部政策的遵守。
Page 7
北京师范大学出版社
12.3.2电子商务交易完备控制(续)
《中华人民共和国电子签名法》（下称《电子签名法》） 《审计准则第1633号电子商务对财务报表审计的影响》 借助于集中控制的交易业务，又为广大的信息用户采用事件驱动技术 从中获得所需加工的数据并据以生成会计信息。
Page 23
北京师范大学出版社
12.4 面向未来的会计信息系统的安全控制 12.4.1 会计信息系统安全控制的网络化与全局性
信息技术给内部控制带来的风险 应用程序或数据的错误带来的风险 未授权访问数据带来的风险 信息技术人员的越轨行为 未经授权改变主文档的数据 未经授权改变系统或程序 未能对系统或程序作必要的修改 不恰当的人为干预 数据丢失的风险
Page 9
12.2 信息化环境下企业内部控制分类与基本 北京师范大学出版社 内容 12.2.1 内部控制按实施环境分类
Page 25
北京师范大学出版社
12.4.3 加强对主体系统的监控与管理
2006年7月15日，美国“萨班斯法案”正式施行 ， 该法案规定了对首席执行官和财务总监的资历要 求，要求所有的上市公司对其内部审计职能是否 得到充分发挥出具有关的证明。它还要求公司的 审计委员会发挥更加积极的作用，允许审计委员 会在人手不够的时候，从外部招聘更多的咨询专 家或顾问来帮助其开展工作。
Page 20
北京师范大学出版社
12.3.1电子商务安全控制（续）
未授权访问风险控制：指未经企业允许而企图进 入企业的网络并通过互联网从远程对系统进行拒 绝服务攻击的行为。而要对此加以控制，就必须 通过由硬件和软件共同组成的电子防火墙、数据 加密、回叫设备等多种防范与控制。 设备故障风险控制：数据通信的最普遍问题是由 于线路错误而引起的数据丢失。通常采用回应检 查和奇偶校验等两种技术用于检测这类问题。与 此同时，实施网络备份控制也是设备故障风险控 制一个重要内容，
Page 3
北京师范大学出版社
12.1.1 信息安全控制的若干规范文件(续）
《内部控制—整合框架》（COSO） :COSO框架包括五个要素，即控制 环境、风险评估、控制活动、信息与沟通和监督。 2004年 9月 COSO正式发布的ERM框架包括八个要素：内部环境、目标 设定、事件识别、风险评估、风险反应、控制活动、信息沟通和监控。
Page 11
北京师范大学出版社
12.2.1 内部控制按实施环境分类（续）
信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序， 与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通 常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数 据和数字序号的自动检查，以及对例外报告进行人工干预等。
北京师范大学出版社
12.1 信息技术对内部控制的影响
内部会计控制应当达到基本目标三个方面: 一是规范单位会计行为，保证会计资料真实、完整； 二是堵塞漏洞、消除隐患，防止并及时发现、纠正错误及舞弊行为，保 护单位资产的安全、完整；
三是确保国家有关法律法规和单位内部规章制度的贯彻执行。
Page 2
北京师范大学出版社
12.1.1 信息安全控制的若干规范文件
全美反欺诈财务报告委员会《内部控制—整合框架》 （COSO，1992) 信息系统审计与控制协会的《信息及相关技术控制目 标》（COBIT，1996，1998，2000） 国际内部审计师协会《系统可审性与控制》（SAC， 1977，1991，1994）《电子系统确认与控制模型》 （eSAC，2001) 美国注册会计师协会的审计准则声明 （ SASs55/78/94，1990，1997，2001） 加拿大的《控制指南》（CoCo，1995)
北京师范大学出版社
第十二章 会计信息化的内部控制
学习目标 ：通过本章的学习，我们需要掌握 信息技术对内部控制正反两个方面的影响； 当前信息安全控制的主要标准文件内容； 信息化环境下企业内部控制分类及其基本内容；
电子商务安全控制与交易完备控制；
面向未来的会计信息系统的安全控制