北京国家会计学院管理会计系列远程课程之
信息系统内部控制概述
授课教师：张玉琳
精品课件
目录
第一章 信息系统风险 第二章 信息系统控制 第三章 控制流程图
精品课件
信息系统风险
与信息系统有关的风险
浪费 差错
灾难 丢失
疏忽差错
➢输入操作错误 ➢处理操作错误 ➢输出操作错误 ➢垃圾处理不当
故意性差错
➢程序炸弹 ➢文档篡改 ➢数据窃取 ➢恶意破坏 ➢非法操作
精品课件
信息系统控制
控 制 框 架
普 遍 目 标
精品课件
信息系统控制
精品课件
信息系统控制环境
1 正直和职 业道德
2 管理哲学和 经营风格
3 董事会及审 计委员会
• 建立优秀的行 为道德准则
• 建立良好的公 司文化
• 以职业道德作 为雇佣技术人 员的第一标准
• 管理层树立重视控制 • 董事会任命一个审计委
个人设备控制： 1)使用安全级别较高的密码并经常更换 2)使用者承担保护责任
精品课件
网络控制
只有经过授权的员工 可以通过网络访问和 使用公司数据和程序
最初级的网络控制手 段：设置密码
一
二
三
互联网威胁中，危害较 大的是非授权访问，如 黑客攻击、病毒威胁等
精品课件
网络控制
网络控制
精品课件
网络控制
2、病毒防护与防火墙
➢ 安装反病毒软件。 ➢ 未经许可，不得安装任何程序。 ➢ 借助防火墙阻止来自互联网的非授权访问。 ➢ 网络控制日志为审计提供线索
精品课件
网络控制
3、入侵检测系统
➢ 入侵检测系统分析网络活动以发现反常行为 或未经授权的行为。
精品课件
信息系统控制
• 分类： • 一般控制(general controls)：有时也称作普遍 控制(pervasive controls)，是与计算机技术或 信息技术职能相关的控制，目的是确保系统恰当 获取和良好运行。 • 应用控制(application controls)：与具体应用 系统有关，确保数据处理完整正确。
访问权限及对系统信息的 访问 • 访问日志的重要性
精品课件
开发控制
1
分析阶 段控制
2
设计阶 段控制
3
实施阶 段控制
4
维护阶 段控制
精品课件
系统分析阶段
精品课件
系统设计阶段 系 统 设 计 阶 段
精品课件
系统实施和维护
• 任何程序开发阶段都应进行大量测试；
必须保证新系统与现有系统和硬件兼容； 必须使用可靠数据进行彻底测试；
数据库由数据管 理员专人负责
网络管理员负责通 信软硬件及应用
精品课件
组织控制和人事政策
职责分离
休假规定
• 强制休假可以防止内部欺 诈者经常性地采取行动来 篡改账目
计算机访问控制
精品课件
组织控制和人事政策
职责分离
休假规定 计算机访问控制
• 采取分层进入的控制策略 • 只有得到相应层级授权的
用户才能访问系统 • 管理员可以控制单个用户
• 系统整体测试前要充分进行单元测试； • 先导测试(即β测试)由最终用户单独进行测试； • 平行测试是将新系统和旧系统平行运行； • 成功测试后，应使用正式文件记录；
精品课件
系统实施和维护
• 系统测试后，编程人员应向系统管理 员移交系统文件和程序说明书等
• 系统管理员负责新系统的发
布（主要是数据转换和迁移）
精品课件
信息系统风险
信息系统风险的来源——内部
交易处理职 员。 或信息系 统职员
计算机程序编写、操作、
维护和管理人员，数据控 制员
职能部门经理和 会计人员
。
已离职员工
精品课件
信息系统风险
信息系统风险的来源——外部
1
2
3
4
客户与
市场竞
外部入
自然
供应商争者Fra bibliotek侵者灾害
精品课件
信息系统控制
• 定义： • 信息系统内部控制是为了保证信息系统的有效性、 可靠性和安全性，提高信息系统运营效率，确保 信息准确、完整、可靠，有效保护信息资产，利 用各种手段和技术，对信息系统实施的管理和控 制过程。信息系统控制的对象是计算机信息系统， 由计算机硬件和软件资源、应用系统、数据和相 关人员等要素构成。
•系统运行过程中，应及时跟踪程序
的所有变化
•系统维护和升级应避开高峰时段
精品课件
网络控制、硬件控制和设施控制
硬设
网
件施
络
控控
控
制制
制
和
精品课件
设施控制和硬件控制
站点控制：进入信息系统及数 据中心所在大楼应得到许可
数据中心控制： 1)远离公共场所 2)进入必须得到授权
硬件控制： 1)防火防水防潮防断电 2)防蓄意破坏和人为攻击
精品课件
信息系统风险
丢失
非故意资 产损毁
防护程序 失控
资产的 失窃
• 非法挪用和窃 取计算机资源
• 软件和 Internet盗版
• 截尾术等
• 操作系统破坏程序 • 拒绝服务 • 病毒 • Email炸弹 • 口令攻击 • 特洛伊木马 • 电子欺骗攻击 • 程序安全漏洞——黑客 • 扫描攻击和嗅探器 • 钓鱼软件
• 建立对所有信息资 源使用和责任划分 的控制
• 建立对所有信息系 统资源的预算控制
• 经常性定期审核计算 • 信息系统应遵从所
机安全体系
有的法律法规
• 严格贯彻既定安全方 • 贯彻一个良好的内
针
部措施来预防盗版、
• 测试安全方针和程序 非法拷贝和散发受
的一致性和有效性
版权保护的软件资
• 保持审计轨迹
的态度
员会
• 所有雇员应接受有关 • 审计委员会任命一个信
安全知识教育
息系统内部审计师
• 安全防卫规则应得到 • 内部审计师负责定期向
监控
审计委员会汇报计算机
• 建立良好文化氛围 安全
• 建立良好沟通环境
精品课件
信息系统控制环境
4 管理控制 活动
5 内部审计 职能
6 外部影响 等
• 建立对所有计算机 系统资源的使用和 责任划分的控制
作、技术支持分离； • 交易的授权与IT职能分离，
信息所有权归用户； • 主文件和交易文件的更改
需合适会计人员授权； • 版本管理和访问控制； • 信息处理部门职责分离；
精品课件
信息处理部门职责分离
系统设计、开发及维护人 员不参与日常交易处理
数据录入人员不能访 问程序文件或源代码
安全管理员负责用 户访问权限控制
料
• 借用批控制总量等办
法进行系统漏洞探察
精品课件
信息系统控制应用框架
系统控制 一般控制
组织控制、人事控制和营运控制 系统开发控制 网络控制、硬件控制和设施控制 备份控制和灾难恢复控制 会计控制
应用控制
输入控制 处理控制 输出控制
精品课件
组织控制和人事政策
职责分离 休假规定 计算机访问控制
• IT与其他职能的分离； • IT职能内系统开发、IT操