第三章计算机信息系统的控制及其审计.doc

第三章 计算机信息系统的控制及其审计 [内容提要] 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确和完整，为防止或及时发现差错及舞弊行为的发生，信息系统的控制就显得尤为重要。本章专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。 第一节 信息系统控制的重要性 信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营决策的重要依据，因此，如何才能确保信息的有效、准确、及时、完整和安全，是我们在设计和运行信息系统时所需考虑的一个重要问题，而这一问题的关键在于如何完善信息系统的控制。 一、控制的定义 对一个企业来说，所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效利用和提高企业财会和管理信息的真实、正确性，确保企业方针政策的贯彻执行，促进各项工作与企业经营效率的提高而实施的各项措施。内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五部分构成。一个良好的企业控制系统应具有以下4个方面的功能： 1. 确保企业各种经济资源的安全。一个企业，如果没有一套良好的控制企业经济资源的措施，就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象，使企业蒙受损失。所以，要采取有力的控制措施，有效地提高企业各种经济资源的安全，保护企业所有者的利益。 2. 确保各种经济信息、尤其是财会信息的准确、完整和及时性。只有及时、准确、完整的经济信息，才能引导企业经营管理者正确地作出各种经济预测和决策，圆满实现企业的经营目标；反之，则会对企业的生产经营起误导作用，使企业在面临各种问题时，作出错误的选择。可见，建立良好的信息系统控制，是保证信息质量的重要途径。 3.促进企业各部门工作效率的提高，使企业保持良好的运行效率。提高企业各部门工作效率是保证企业良好运行，顺利实现企业经营目标的重要途径。因此，在企业内建立一套有效的业绩考核和评估体系，使企业内形成一种相互激励，相互约束的竟争机制，可以大大提高企业对各种经济资源、人力资源的利用率，使企业保持良好的运行效率。 4. 确保企业方针政策的贯彻执行，促进企业经济效益的提高。设计企业的控制系统，其最终目的是为了促进企业经营管理活动的合理化，促进企业经济效益的提高。因此，一个有效的控制系统，应能确保企业方针政策的贯彻执行，促进经济效益的提高。 一个企业的控制包括对经营子系统、管理子系统和信息子系统的控制。本章主要是讨论对信息系统的控制，也有时涉及一些经营、管理系统的相关控制。 二、计算机信息系统控制所面临的新问题 当信息处理的方式由手工处理向计算机处理转变后，信息处理工作所面临的环境发生了很大的变化，给信息系统的控制带来了许多新的课题。归纳起来，主要有以下几个方面： （一）如何对使用者进行身份识别和权限控制 当信息系统由手工处理数据转化为计算机进行数据处理后，原来人与人之间的联系在很多方面会转变为人与计算机之间的联系。为了有效地防止数据被篡改、破坏、窃取等现象的发生，就要求信息系统具有识别使用者身份并对其进行权限控制的能力。只有具有特定权限的使用者才能接触信息系统，执行相应的操作，从而达到有力地保护系统信息安全的目的。因此，如何才能对使用者进行身份识别和权限控制，是由手工处理数据转变为计算机处理数据后所带来的新的课题之一。 （二）业务授权问题 业务授权（Transaction Authorization）是保证员工处理的仅是他们职权内有权处理的业务的控制措施。在计算机信息系统中，许多授权往往是由程序进行控制的。例如，采购系统中可设计好存货低于多少就自动打印订单，订多少、向那个供应商订货理论上计算机都可全部自动按程序执行，无需人工的参与。但是，如果没有良好的控制，可能会出现不合理的订货，浪费企业大量的资金。因此，信息系统中的业务授权处理程序的准确性、完整性十分重要，只有这样，才能保证业务的自动授权是可以接受的、可行的。 （三）职责分离（Segregation of Duties）问题 不相容任务的职责分离，即应由不同的人员分担不相容的工作任务或职务，是手工系统计中十分重要的控制措施。其一般原则是：业务审批、执行人员与业务记录人员职责分离；资产记录人员和资产保管人员职责分离；根据业务处理过程和记录的性质，再按不同的账、不同的处理进一步分离，例如，记明细账的和记总账的职责分离、材料订购与材料验收的职责分离，等等。通过恰当的职责分离，实现互相牵制、互相核对，使有作弊企图者必须串通多人才能作弊。 在计算机信息系统中，原有的一些分工没有了。例如，启动、批准、处理采购订单，收到发票后登