会计信息系统-第7章

第七章会计信息系统的风险、控制与安全[内容提要]通过本章的学习，使学生了解会计信息系统可能遇到的风险，掌握内部控制的概念、作用、功能和分类，掌握会计信息系统的控制技术，了解网络会计信息系统的安全技术。

第一节风险与控制之间的关系

第二节会计信息系统的一般控制与应用控制

第三节网络信息时代的内部控制理论

第四节信息系统的安全影响因素分析

第五节会计信息系统的安全问题及保障技术

本章小结

案例材料：

乐购“群蛀”侵吞397万元⏹东方网-劳动报2006年1月21日报道：设计非法软件程序，培训

“特别”收银员，一群“蛀虫”竟截留侵吞超市营业款高达397万余元。前天，金山法院对本案的43名被告人进行公开宣判，以职务侵占罪判处主犯方元有期徒刑14年，并处罚金30万元；其他42名被告人分别被判处有期徒刑12年至拘役4个月缓刑6个月。

⏹2004年5月，已从乐购超市真北店辞职的方元、陈炜嘉和当时

在该店任资讯员的于琪合谋，实施利用非法程序截留超市营业款。

2004年6月至2005年8月期间，由方元负责设计并定期修改非法程序，于琪、陈炜嘉、赵一青、陈琦、施雯君等人利用担任超市资讯员、收银员的工作便利，将方元设计的非法应用程序安装传送到该超市真北店、金山店、七宝店的收银系统，并从社会上物色和招聘人员，进行面试和犯罪技能培训，然后将“自己人”安插到超市收银员等岗位，先后侵吞营业款3976558元。上述赃款由收银员上交后，再按比例分成，涉案人员各得赃款数千元至数十万元不等。

第一节风险与控制之间的关系

一、IT环境下信息系统的风险分析

二、内部控制概述

三、会计信息系统内部控制

（一）什么是风险？

风险就是发生不利事件导致遭受损失的可能性。 风险具有不确定性，但并非所有的不确定性

事项都有风险，风险必须和损失相联系，只有

那些可能导致损失的不确定性事项才有风险。

（二）IT环境下信息系统的风险分析

IT环境下，信息系统的应用给企业带来了巨大的变化，原来手工环境下需要由人工完成的操作由计算机来完成，IT改变了企业的业务流程，信息系统的应用一方面可以防范手工环境下的一些风险，另一方面又给企业带来了与手工环境下不同来源、不同性质的风险，而且随着应用的逐渐深入，潜在的风险也在不断变化。

1、信息系统可以防范手工系统下的某些风险

可以防范出现人工操作错误的风险

可以防范所加工的信息不能满足管理需求的风险

可以防范数据传递慢、出现差错的风险

1、信息系统带来了与手工环境不同性质的风险 信息安全风险。具体表现在：

◆在信息系统环境下，信息大都以电子数据的形式存储，

容易被非法修改、删除、转移和伪造且不留任何痕迹◆信息系统中信息的传递往往通过网络来实现，而在网

络传输中信息往往很容易被非法拦截、窃取或窜改。

◆信息系统环境下，数据档案往往被保存在磁、光介质

中，这些设备对环境要求高，比较容易损坏，若不常备份，数据容易丢失。

◆计算机是数据处理的核心设备，而其容易遭受类似病

毒等的干扰，导致数据被破坏，从而产生风险。

1、信息系统带来了与手工环境不同性质的风险 （续）信息处理差错反复，发生风险。

◆在信息系统环境下，系统的内部控制采取了人工控制

与计算机控制相结合的方式；

◆计算机控制主要的方式是程序控制，也就是用软件实

现控制功能；

◆如果信息系统软件中这些实现内部控制功能的程序编

制错误或不起作用，则由于人们对计算机控制的依赖性以及程序运行的重复性，将使得失效控制长期无法被发现，从而使系统在特定方面发生错误或违规行为的可能性较大，最终导致差错反复发生而扩大损失的风险。

1、信息系统带来了与手工环境不同性质的风险 （续）计算机交易授权风险。

◆在手工环境下，对于一项经济业务的每个环节都要经

过某些具有相应权限人员的签章

◆而在信息系统中，很多原来由不同的人完成的业务处

理环节集中由计算机统一处理，因此其他操作员只要获得授权文件或进入系统的密码就可获得某种权利或运行特定程序进行业务处理；

◆这样，如果密码被他人掌握或一人掌握多个级别操作

员的密码，权限就会失控，从而产生风险。

1、信息系统带来了与手工环境不同性质的风险 （续）IT带来的风险。

◆信息系统的运行依赖于计算机软硬件技术、通信技术等IT技术，IT技术无论多么先进，都难免会有缺陷。

◆例如，黑客利用系统软件的漏洞攻击系统、数据传输的不正确性等问题都会直接影响信息系统的业务处理，从而给企业带来风险。

（一）控制的一般概念

古典的管理观念认为，控制就是检查，其目的在于指出缺点和错误，并加以纠正，使之不再发生；

而现代管理则认为，控制不是单纯的限制，而是一种结合个人和企业的目标来帮助人们达到其目的的手段。 控制系统四要素：

⏹控制目标

⏹控制标准

⏹找出差异

⏹纠正偏差

（二）内部控制的定义

COSO认为，内部控制是由企业董事会、经理阶层和其他员工实施的，为公司资产的保护、公司运营效率的提高以及保证财务报告的准确可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。

根据控制的范围不同，内部控制可分为内部会计控制和内部管理控制

内部会计控制是指那些与保护财产安全及财务会计记录可靠性有关的组织、计划、程序、方法等。

内部管理控制是以提高经营效率、工作效率，促进经营合理化为目标所采取的行政和业务方面的方针、政策、程序、方法等。内部管理控制制度虽不直接涉及财务会计活动，但也有间接的相关反映，它是内部控制控制制度的前提和基础，是内部会计控制制度的出发点。因此，若要建立有效的内部会计控制制度，必须先建立有效的内部管理控制制度。