会计信息系统控制和审计.ppt

会计信息系统控制和审计 学习目标 了解信息系统审计的相关概念 熟悉信息系统审计步骤和审计内容 了解并熟悉COSO内部控制框架和企业风险管理框架 熟悉并学会应用常用的信息系统审计工具和技术 熟悉会计信息系统的一般控制和应用控制内容及要求 学会进行会计信息系统的一般控制和审计 学会进行会计信息系统的应用控制和审计 熟悉并尝试应用信息系统审计准则的主要框架和内容 内部控制的发展 萌芽期——内部牵制 发展期——内部会计控制与内部管理控制 成熟期——内部控制结构和内部控制整体架构 内部控制的定义 内部控制结构 1988年4月美国注册会计师协会发布的《审计准则公告第55号(SAS N0.55)——“财务报表审计对内部控制结构的考虑” ，规定从1990年1月起以该文告取代1972年发布的《审计准则公告第1号》。该文告首次以内部控制结构(Internal Control Structure)一词取代原有的“内部控制”一词。 “企业内部控制结构包括为合理保证企业特定目标的实现而建立的各种政策和程序” 内部控制的定义 内部控制结构 内部控制结构的内容，三要素结构具体包括: 控制环境：指对建立、加强或削弱特定政策和程序效率发生影响的各种因素。 会计系统：规定各项经济业务的鉴定、分析、归类、登记和编报的方法，明确各项资产和负债的经营管理责任。 控制程序：管埋当局所制订的用以保证达到一定目的的方针和程序。 内部控制的定义 内部控制整体框架 1992年COSO 委员会提出《内部控制一一整体架构(Internal Control一Integrated Framework)》，也称COSO报告。 1994年提出的修改篇，扩大了内部控制涵盖范围，增加了与保障资产安全有关的控制。 AICPA全面接受COSO报告的内容，于1995年据以发布了《审计准则公告第78号》(SAS N0.78)，并自1997年1月起取代了《审汁准则公告第55号》。 COSO报告指出:内部控制是一个过程，受企业董事会、管理当局和其他员工影响，旨在保证财务报告的可靠性、经营的效果和效率以及现行法规的遵循。 内部控制整体架构主要由控制环境、风险评估、控制活动、信息与沟通、监督五项要素构成。 COSO内部控制框架 控制环境的因素具体包括: 1.诚信的原则和道德价值观。 2.评定员工的能力。 3.董事会和审计委员会。 4.管理哲学和经营风格。 5.组织结构。 6.责任的分配与授权。 7.人力资源政策及实务。 COSO内部控制框架 评估风险的先决条件，是制定目标。风险评估就是分析和辨认实现所定目标可能发生的风险。 1.目标。 2.风险。 3.环境变化后的管理。 COSO内部控制框架 控制活动，是确保管理阶层的指令得以执行的政策及程序，如核准、授权、验证、调节、复核营业绩效、保障资产安全及职务分工等。 控制活动在企业内的各个阶层和职能之间都会出现，这主要包括: 1.高层经理人员对企业绩效进行分析。 2.直接部门管理。 3.对信息处理的控制。 4.实体控制。 5.绩效指标的比较。 6.分工。 COSO内部控制框架 信息与沟通 企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息，而且必须有向上级部门沟通重要信息的方法，并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。 1.信息系统。 信息系统处理企业内部信息和外部信息。 2.沟通。 企业的信息系统提供有效信息给适当的人员，通过沟通，使员工能够知悉其营业、财务报告及遵循法律的责任。 企业沟通包括内部沟通和外部沟通。 COSO内部控制框架 监督 内部控制系统需被监督。 监督是由适当的人员，在适当及时的基础下，评估控制的设计和运作情况的过程。 1.持续的监督活动。持续的监督活动在营运过程中发生，它包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。 2.个别评估。 3.报告缺陷。 企业风险管理框架 强调内部控制框架的建立应与企业的风险管理相结合 新的企业风险管理框架就是在1992年的研究成果——《内部控制框架》报告的基础上，结合《萨班斯一奥克斯法案》(Sarbanes—Oxley　Act)在报告方面的要求，进行扩展研究得到的。 普华永道的项目参与者认为，新报告中有60％的内容得益于COS01992年报告所做的工作。 相对于内部控制框架而言，新的 COSO报告新增加了一个观念、一个目标、两个概念和三个要素，即“风险组合观”、“战略目标”、“风险偏好”和“风险容忍度”的概念以及“目标制定”、“事项识别”和“风险反应”要素。 企业风险管理框架 1．企业风险管理的定义 一个过程，其本身并不是一个结果，而是实现结果的一种方式。 一个由人参与的过程，涉及一个企