第三章会计信息系统的控制及管理.ppt

《会计信息系统》第三章会计信息系统的控制及管理内容提要：为确保信息系统的安全可靠，系统必须建立恰当的内部控制。本章主要研究会计信息系统的各种控制及管理措施，并向大家介绍一种系统控制与分析的工具——控制矩阵。第一节信息系统控制的

重要性一、控制的定义是指企业经营管理者为了维护企业资产的完整性,提高企业财会信息的真实、正确性，确保企业有效、高效率经营和企业方针政策的贯彻实施而采取的各项措施。具体体现为各种规章制度、组织、方法和手续等。包括对经营子系统、管理子系统和信息子系统的控制。会计信息系统控制的

新课题：1.如何对使用者进行身份识别和权限控制。2.如何加强会计信息系统的审查、复核能力。3.如何保证数据信息及整个系统的安全性、可靠性。4.如何加强会计信息系统的自我纠错能力5.如何确保软件开发的质量。第二节会计信息系统控制的类型及措施按控制范围分为：普遍控制、普通控制、应用控制；按控制目标分为：预防性控制、探测性控制、纠正性控制；按控制的手段分为：人工控制（制度控制）、程序控制。一、普遍控制（pervasivecontrol)控制范围遍及整个企业的各个方面。综合起来，普遍控制主要包括四个方面的内容：人事控制、组织控制、资源的安全性控制以及制度和文档资料控制。1.人事控制:选拔、聘用、培训、管理职工队伍。对信息系统内员工的解聘，一旦作出决定，立即停止其对信息系统的接触，注销其使用系统的帐户、权限，以避免发生故意破坏系统的情况。一、普遍控制2.组织控制：注意职责分离。企业内各项业务的批准、执行、记录以及维护保管相关的资产必须指派不同的个人或部门负责。3.资源的安全性控制：确保企业实物资产以及会计信息的安全和完整。如：接触权限。防水、防火、防尘、防高温。数据备份及恢复措施等。一、普遍控制（续）4.制度和文档资料控制要制定处理各项业务的标准规范和手册，系统开发要按规范进行，开发中要按规范编制系统的文档资料等。要制定操作管理制度、硬件与软件管理制度和会计档案管理制度。二、普通控制（generalcontrol)指对整个会计信息系统的各项应用（各子系统）都适用的，为确保系统的安全可靠运行而设立的控制。1.组织控制：*会计信息系统的信息处理部门与其它业务部门的职责分离。*计算机信息处理部门内部的职责分离。职责分离的具体措施（1）系统的分析设计人员在系统正式投入运行后，未经批准不得擅自接触系统，更不能兼任系统的操作人员。(2）系统的维护修改应按规定的程序经授权、批准后方可进行。(3）系统操作人员不能接触除操作手册以外的系统文档资料，操作人员可以提出对系统改进的建议和要求，但不得修改系统。职责分离的具体措施（续）(4)防止无关人员接触系统的文档资料。(5）专职的系统运行控制和管理人员不能同时兼任系统的操作人员。(6）没有相应权限的人不能进入系统或调用相应的模块。2.系统的开发与维护控制指在系统准备、分析、设计、实施以及系统正式投入运行后对系统进行有效维护等所应制订的控制制度和措施。（1）在进行系统开发之前应进行可行性研究。（2）在系统的分析、设计、实施过程中，应有用户的代表和内审人员的参加。（3）新系统要经过与原系统并行试运行规定的时间（通常是三个月）。2.系统的开发与维护控制（续）（4）正式投入运行的系统，若要进行维护改进，必须经申请、批准后才能进行；维护改进后必须经严格的检测、并作好文档记录，经批准后方可正式投入使用。（5）系统开发的每一阶段，都应按规范编制好有关的文档资料。（6）系统的开发部门应当独立于系统的运行管理和使用部门。（7）程序设计和系统测试数据的设计应由不同的人员来担任。3.系统的安全控制包括系统的接触控制、后备控制和环境安全控制。（1）接触控制①硬件的接触控制：②磁性文件的接触控制：*对使用者进行身份识别和权限控制。*密码要定期或不定期修改。*建立操作日志。③文档资料的接触控制：系统的安全控制（2）后备控制①硬件备份（对不能中断工作的系统）②软件备份③数据文件备份备份文件至少要有一份存放在机房以外的地方。④灾难的补救计划（应急计划）系统的安全控制（续）（3）环境安全控制。①信息中心选址：远离自然或人为灾害多发地。②信息中心装备：安装空调机、吸湿器、稳压电源、不间断电源（UPS）等，防火、防水、防盗、防静电、防磁等。（4）病毒防治①计算机病毒——指可隐藏在合法程序中、能自我复制、在其寄附的程序执行到某些阶段便能获得执行控制权的程序段。其发作可破坏系统的文件、运行和硬件。②病毒传播的途径：（A）通过磁盘、光盘、