1
,会计信息系统,
讲授课件
(本科)
2006.10.13
课堂讲授 48 学时
2
引言,( 课程背景)
本课主要讲述信息技术应用于会计的思想、
理念、技术和方法。
信息技术在会计中的应用,从一开
始到可预期的未来,大致 经历 三个阶
段,
3
1,会计电算化阶段
目的,实现会计数据处理自动化。
信息技术应用标志,运行自成体系的会计软
件(用到数据库;局域网)。
主要特征,完全模拟手工。
会计职能,与手工会计没有区别 ——记帐、
算账、报账等。
4
2,业务财务一体化阶段( ERP阶段)
目的,实现事中、实时、动态的报告与控制。
信息技术应用标志,实施 ERP(用到中央数
据库;局域网、远程网、互联网)。
主要特征,会计信息系统不再是一个独立的
系统,而是与业务系统融合与协同。
会计职能,除基本的核算、报告等职能外,
更侧重控制与服务。
5
3,事件驱动会计阶段
目的,实现为运营、管理与决策提供全方位
信息(包括非财务信息)服务。
信息技术应用标志,实施事件驱动的包括会
计信息系统在内的全系统(用到数据仓
库、数据挖掘和网络技术)。
主要特征,摒弃借贷记账方式,以业务事件
驱动数据的记录与处理过程,而由信息
需求触发信息的报告(同时加工处理)
过程。
会计职能,实时的全方位的信息服务。
6
导言,会 计信息系统的 环境 —— ERP
1,ERP的概念及内涵
2,ERP 的管理思想
3,ERP与企业信息化
4,ERP与电子商务
5,ERP环境下 AIS的主要职能 —— 控制与服务
7
1,ERP的概念及内涵
ERP英文为 Enterprise Resource Planning,
直译为“企业资源计划”。是指建立在信息技术
基础上,以系统化的管理思想,为企业决策层及
员工提供决策运行手段的管理平台。 ERP系统
集信息技术与先进的管理思想于一身,成为现代
企业的运行模式,反映时代对企业合理调配资源、
最大化地创造社会财富的要求,成为企业在信息
时代生存,发展的基石。
8
另外,还可以从不同角度对 ERP进行描述。
? 从管理思想角度
ERP是由美国著名的计算机技术咨询和评估集团 Garter Group Inc.
提出的一整套企业管理系统体系标准,其实质是在 MRP II
( Manufacturing Resources Planning,“制造资源计划”)基础上
进一步发展而成的 面向供应链 ( Supply Chain)的管理思想。
? 从软件产品角度
ERP是综合应用了 B/C/S体系、大型关系数据库结构、面向对象技术、
图形用户界面、第四代语言( 4GL)、网络通信等信息技术成果,以
ERP管理思想为灵魂的软件产品。
? 从管理系统角度
ERP是整合了企业管理理念、业务流程、基础数据、人力物力、计
算机硬件和软件于一体的企业资源管理系统。
9
2.ERP 的管理思想
对于企业来说,ERP首先应该是 管理思想,其次
是 管理手段与信息系统 。管理思想是 ERP的灵魂,
不能正确认识 ERP的管理思想就不可能很好地去
实施和应用 ERP系统。 ERP的核心管理思想就是
实现对整个供应链的有效管理。主要体现在以下
三个方面:
? 体现对整个供应链资源进行管理的思想
? 体现精益生产、同步工程和敏捷制造的思想
? 体现事先计划与事中控制的思想
10
对内而言:
ERP系统整合企业内部的各种资源,通过系统的最佳规划
与分配来达到资源的有效利用,并通过现场作业系统化与
资料即时获得 进行分析,使得生产现场透明化与自动化。
使企业内部信息畅通无阻,进而提升企业快速应变能力。
对外而言:
企业通过网络系统来有效地与客户和供应商互通信息,形
成水平或垂直的虚拟企业。 ERP系统可以把企业内营销、
财务、人事、生产等信息整合于一体,企业将不受时空的
限制,内部信息可以迅速流通,而且可以快速又有效地掌
握企业整体的运作。对于正在迈向国际化、快速化的企业
来说,ERP是一不可缺少的利器。
11
3,ERP与企业信息化
? 企业信息化是利用信息技术改造和武装企
业的生产、经营和管理模式,充分利用企
业的人力、物力和财力,提高生产效率,
降低生产成本,提高对市场敏感程度和竞
争力。
? ERP是集成了企业的生产、经营、管理和
财务系统的全系统,是企业信息化最为典
型的软件产品。
12
4,ERP与电子商务
电子商务是指利用电脑和网络从事的商务
活动,是企业信息化的外延或高级阶段,
也是 ERP供应链管理和客户关系管理的具
体体现。
13
5,ERP环境下 AIS职能的发展 —控
制与服务
在 ERP环境下,AIS面临着许多与其独立环境下不
同的角色和任务,这种角色转换,虽有对传统 AIS
职能的继承,但更多的是对新的职能的发展。由于
财务和业务的集成,企业原来的财务管理模式和组
织架构都要改变,除了日常的报销、核算发票处理
等与过去相同外,我们认为,在 ERP环境下,更突
出的是 AIS的 控制与服务 问题。因为在 ERP环境下
(企业信息化后) 原来的财务会计职能大大简
化,而控制问题变得异常严峻;原来不能做到的全
方位的信息服务现在可以做到并成为 AIS的重要职
能。
14
第一章
信息技术与会计信息系统概述
15
第一节 企业信息化与会计信息系统
? 信息 是组织起来的有用的数据,是正确决策的基础。
? 系统 是为了实现特定目标而相关的资源的集合。
? 组织 是追求共同目标的各决策单位的组合,可能是一个企
业,也可能是一个公司。作为一个系统实体,组织接受输
入并将其转化为产品和服务等形式的输出。
? 组织依靠信息系统来保持和提升其竞争力。
? 会计信息系统( AIS)是人和设备等资源的集合,目的在于
将财务数据和其它数据转化成信息,并将信息发送给各类
决策者。
16
企业信息化:
企业信息化是指企业在生产和经营、管理和决策、产
品研发和市场销售等各方面应用信息技术,调整或重构企
业的组织结构和业务模式,对一切可利用的资源进行最有
效的开发和利用,充分服务于企业的发展目标,提高企业
竞争力的过程。
推进企业信息化是落实“以信息化带动工业化,实现
社会生产力的跨越式发展”的重大举措。企业信息化的普
遍实施,将有力地促进国民经济的发展和社会进步,大幅
提升我国的综合国力和国际竞争力。
17
一、信息与信息系统
(一)数据、信息、知识
数据:
数据是对客观事物的性质、形态、结构、特征、
内容和含义的一种表达形式,它可能是数字、文
字或图形,可能是声音、光电或颜色,还可能是
一个眼神或一个动作。
信息:
信息是对人有用的、能够影响人们行为的数据。
是数据的含义,是人们对数据的理解,是数据加
工后的结果。数据是信息的载体,没有数据便没
有信息,因此信息不能单独存在。
18
各种组织系统都是通过资源配置的过程来追求目
标,依靠管理决策过程去实现目标。信息的经济
价值就在于它有助于资源配置决策,并且协助系
统来实现其目标。因此,信息可能算是最重要的
组织资源。
? 会计信息的使用者分两类:外部使用者和内部使用者
外部包括:股东、投资者、债权人、政府部门、工会
及公众。 内部包括:组织内各级管理者。
? 会计信息可分两大类:强制性的和自由选择性的
政府部门、立法部门等需求的信息是强制性的必须提
供,但要在满足可信性和有用性的要求时,使成本最
小化。内部管理部门需要的诸如预算报告、责任会计
报告等信息是可选择的,因此提供这类信息要注意成
本 —效益原则。
19
战略性
策略性
操作性
交易数据
信息加工与筛选
高层管理
中层管理
基层管理
图 1-1 企业内部信息的需求特征
在一个企业内,一般来说,地位越高的管理者
所需要的信息越需要加工和处理。图 1-1是企业中
的基层、中层和高层管理者对信息的需求特征。
20
知识:
从信息技术应用的角度看,知识是以各
种方式将一个或多个信息关联在一起的信
息结构,是对客观世界规律性的认识和总
结。它是对同类信息的积累,是为帮助实
现某种特定的目的而抽象化和一般化了的
信息。 因此,信息是知识的原料,而知识
是对信息的更高一级的抽象。 这种抽象可
以在信息系统环境中通过寻找各信息之间
的联系完成。由此也可以看出,知识的产
生需要自由地获取信息。
21
(二)系统、管理信息系统
1,系统
系统是由具有独立功能且相互联系、相互
制约、为共同完成系统总目标而存在的若
干元素构成的有机整体。
系统具有以下主要特性:
目的性、要素性、关联性、层次性、环境
适应性。
22
2.管理信息系统
管理信息系统( Management Information
System 简称 MIS)是以信息基础设施为基本运
行环境,由人、数据、设备、信息技术和运行规
程等要素组成的,通过数据处理产生企业进行各
项管理和决策所需信息的系统。随着近几年网络
信息技术的迅猛发展和企业信息化进程的加快,
MIS已经迎来了他的高级阶段 ERP。事实上,制
造资源计划( MRPⅡ )和企业资源计划( ERP)
系统都可认为是企业管理信息系统。只是 MRPⅡ
和 ERP更强调科学管理、资源整合、信息动态共
享与系统功能集成。
23
3.管理信息系统基本功能
管理信息系统要为信息使用者提供对决策
有用的信息,因此其基本功能就是处理数
据产生信息。具体说来包括对数据进行采
集、存储、加工、检索、维护、分析和传
输等功能,将其转换成信息并向使用者提
供信息。
24
4.管理信息系统分解
一个企业的管理活动十分复杂,因此与其对应的企业管
理信息系统也是非常庞大和复杂的,这给描述和开发这样
的系统都带来了一定困难,因此须将管理信息系统进行 分
解 。传统的管理信息系统一般按管理的层次结构和职能部
门把整体的系统分解为具有独立功能的若干子系统。例如,
生产管理、财务管理、人力资源管理、销售管理、采购管
理、仓储管理、质量管理等子系统。由于传统的管理信息
系统分解成具有独立功能子系统的模式有碍数据的充分共
享,影响整体业务高度协同,当今的大多 ERP系统 不再划
分功能独立的子系统,而是将企业的所有岗位和职能重新
梳理定义,称之为“职位”,然后根据各职位的职能、权
限编制相应功能的 程序模块儿 。这样从管理系统的软件来
看,ERP是一个大一统的软件包,内辖成百上千个程序模
块儿,每一模块儿都是 ERP的有机整体的一部分,它们共
享同一个中央数据库,高度协同运行,因此克服了传统的
功能子系统部门拥有,独立运行,边界森严,数据不易共
享和作业不易协同的弱点。
25
二,会计信息系统
会计信息系统( AIS)是人和信息、技术、设
备等资源的集合,目的在于将财务和与财务相
关的数据转化成信息,并将信息发送给各类决
策者或管理者。
(一)会计数据和会计信息
会计数据是用于描述经济业务活动所需的数
字、文字和专用符号,我们把会计用的“单、
证、账、表”上所有形式的符号都看作会计数
据。
会计信息是指会计数据经过加工处理后产生
的为会计管理和企业经营决策所需的经济信息。
26
会计信息的特点:
( 1)数量大、种类多、来源广
( 2)综合性
( 3)结构和处理逻辑的复杂性
( 4)客观、真实、公允性
( 5)全面、完整和一致性
( 6)安全、可靠性
( 7)处理的及时性
27
(二)会计信息系统的基本概念
1.会计信息系统
可以将其定义为:利用信息技术对会计数据
进行采集、存储和处理,完成会计核算任务,
并提供会计管理、分析、决策所需的辅助信息
的系统。其构成要素为:计算机硬件、软件、
数据、会计人员和会计信息系统的运行规程,
其核心部分是功能完备的融入 ERP系统的各会
计功能模块儿。在 ERP环境下,企业会计工作
中常规的、可程序化的任务都将由各个会计功
能模块儿自动处理,同时软件系统还会帮助会
计人员完成许多内部控制等管理任务。
28
2.会计信息系统的目标
会计信息系统是为企业服务的,是企业这
个有机体中不可缺少的组成部分,因此,
会计信息系统的目标应服从于企业、信息
系统、会计三者的目标。企业的目标是通
过为客户提供满意的产品或服务,获取更
多的利润;信息系统的目标是向信息的使
用者提供决策有用的信息;会计的目标是
帮助企业提高经济效益以获取更多的利润。
29
3.ERP与 AIS的关系
? ERP是集成了业务和财务系统的全系统。 在企业内部,再
也不应该有独立的分割的管理信息子系统,所有的业务、
管理、财务都是集成在一起的,通过 ERP实现物流、资金
流、信息流的统一。
? 财务管理始终是 ERP的核心模块和主要职能。 会计和财务
管理对象是企业的资金流,是企业运营效果和效率的衡量
和表现,传统的会计信息系统属于会计等式“资产 =负债
+所有者权益”的模式。 ERP系统则以业务为中心来组织,
根据物流、资金流、信息流的连续运动和反馈来设计,能
跨越职能领域的边界,实现整个企业信息的集成。会计信
息系统只是企业管理信息系统的一个有机组成部分,不是
作为一个专门的系统开发的。
30
(三) ERP环境下会计职能的发展
在 ERP环境下,AIS更突出的职能是控
制与服务问题
1,AIS 的管理控制问题
控制问题早已有之,但在 ERP环境下,
控制问题变得异常严峻。因为传统的风险
依然存在,同时信息化又带来了许多新的
风险。
31
2,AIS的信息服务问题
企业实施 ERP 后,由于业务与财务的集成,
在处理每一笔业务时将自动生成会计凭证,由
于数据共享,数据出错率也大大降低,财务人
员主要是根据预算和权限管理进行财务开支的
审核,这样,原来大量从事数据输入和审核任
务的财务人员工作量会大大减少。原来的结账、
对账、科目汇总、试算平衡、调账和出报表等,
在 ERP环境下都变得非常容易,原来的财务会
计职能大大简化,而管理会计的职能将大大增
强。财务分析与信息服务工作将占到财会工作
的 30%~40%,尤其信息服务将趋于职能化、专
门化。我们把 AIS对企业内部的财务信息服务分
成三个方面 ——部门级服务、企业级服务和专
业性服务。
32
第二节 业务流程
业务流程是一系列相关作业,这些作业包
括数据、组织单元和逻辑时间顺序。组织
内所有 与财务相关 的活动都可以看作其整
体业务流程的一部分。
一般组织都具有 九组 通用的基本业务流程。
分为主体性流程和支持性流程,前者直接
增加产品价值,后者间接增加产品价值。
33
基本业务流程和支持性业务流程共同构
成了企业业务活动的整个 价值链 。价值链
是通过分析竞争优势的方式衡量企业业务
活动的一种方法。他将业务活动分解为能
够根据企业的目标和战略单独进行优化的
组成部分。
34
第三节 业务处理循环
通常按惯例将企业活动分为经营活动四个
一般循环:
? 收入循环,向其它主体提供产品和服务并收款的有关事件。
? 支出循环,从其它主体获取产品和服务并付款的有关事件。
? 生产循环,将资源转变为产品和服务的相关事件。
? 财务循环,包括现金在内的资金管理的相关事件
外加一个财务报告循环,但它不是一个经
营循环。
35
一、销售与收入循环
1,销售与收入循环的概念
销售与收入循环包括向其它主体提供产品
和服务并收款的有关事件。具体活动有:
吸引客户关注,帮助客户了解和选择合适
的产品,与客户签署供货与服务协议,发
运产品或提供客户要求的服务,收款等。
36
2.销售与收入循环的目标
除了通过销售增加盈利与及时收回货款,销售与
收入循环还应努力达到以下目标:
? 缩短选择产品和服务与收款之间的时间间隔;
? 减少应收账款和坏账损失;
? 合理确定产品价格,寻求增加客户价值和本企
业盈利的平衡点。
销售与收入循环是企业与客户进行交流
的第一通道,如果销售与收入循环不能发
挥其应有的作用,即使其他循环非常有效,
企业也不能取得收入,这一循环是企业实
现经济增长和盈利的关键。
37
二、采购与支出循环
1,采购与支出循环的概念
采购与支出循环包括从其它主体获取产
品和服务并付款的有关事件。具体活动有:
询价、选择供应商、定购、收货、验货和
支付货款等。
38
2.采购与支出循环的目标
采购与支出循环的总目标是为组织的转换过程提
供必要的资源。该目标可分解为以下具体目标:
?确认所订购的商品和劳务为企业所需;
?确保所购得的商品或劳务性能、品质良好;
?确认发票所记载的数量、金额与实物相符;
?能按照企业需要的时间、地点和状态接收货物,做到
适时可用;
?确认所有现金支出均已得到授权。
目标决定了购货与付款过程的性质和范围,所
有会计流程和内部控制的设计都是为了达到这些
目标而设立的。
39
三、生产循环
1,生产循环的概念
生产循环包括将资源转变为产品和服务
的相关事件。具体活动有:生产控制和报
告、生产计划、生产进度、加工装配、产
成品计算、存货控制、成本会计和财产会
计处理等。
40
2,生产循环的目标
生产循环总的目标是利用本组织可利用的资源,
创造出市场需要的产品,该产品除了原材料以外
还物化了组织的专利、技术、人力、和人的创造
力。生产过程还要努力追求下列目标:
?最高的成品率;
?最低的能耗率;
?最高的生产率;
?最低的库存量;
?不断降低成本,不断推陈出新。
利用信息技术,实现准时制生产、精确制造是
今后生产循环的努力方向。
41
四、财务循环
1,财务循环的概念
财务循环包括现金在内的资金管理的相关
事件。具体活动有:现金管理和控制、债
务管理和控制、投融资管理和控制、职工
福利计划和管理等。
2,财务循环的目标
财务循环的目标是最优化地使用企业可使
用的资金。
42
第四节 会计与信息技术
当今的会计信息系统当然指计算机会计信息系统,它
包括使用最新的信息技术来给用户提供信息。信息技术包
括计算机技术、通讯技术和网络技术。
一,信息系统的职能体系
负责数据处理,产生信息。
随着企业信息化不断深化,每个企业都建立了
相应的信息化实施的职能部门和领导机构,有的
还聘请各方面有关专家成立顾问组,形成完整的
企业信息化职能体系,该体系的主管称为首席信
息官( CIO),顾问组称为指导委员会。图 1-2显
示了企业信息化职能体系。
43
首席信息官
指导委员会
系统分析经理 编程经理 运行经理 技术支持经理 用户支持经理
程序维护员 系统程序员
通信分析师
数据库管理员文档管理员 数据录入员 计算机操作员
应用分析员 应用程序员
图 1-2显示了企业信息化职能体系
44
二,最终用户计算( EUC)
在信息化工作中,最终用户 这一术语是
企业内部基本的业务职能(职位),而不
是要求信息系统实现的某种处理职能。比
如销售或营销职能(职位)是要求信息系
统提供销售报告、市场分析、销售预测、
销售预算的最终用户;会计职能(职位)
是要求对日记帐过账和报表准备进行计算
机处理的最终用户。
45
最终用户计算( EUC) 是指最终用户亲自动手驾
驭计算机完成本岗位的业务工作。出色的最终用
户可利用企业提供的硬件、软件和有权使用的全
部资源自己进行一些业务处理活动。因为任何先
进的信息系统,其功能无论怎样丰富和强大,为
每一个职位提供的业务处理功能都是常规的、有
限的,对一些特殊的、突发的业务处理或信息需
求,有时也是无能为力的,这就需要最终用户发
挥作用,即所谓的最终用户计算。一个常见的最
终用户计算的应用是使用数据库管理系统提供的
查询语言从企业的中央数据库中提取数据,然后
利用表处理软件(如 EXCEL)对数据作进一步加
工处理,获得信息提供给使用者。
46
我们还可以通过一个具体例子来进一步说明这
个问题,会计这个最终用户可以在企业的中央数
据库中找到应收帐款数据,并对其作进一步分析
处理,形成企业管理层关心的关于客户欠款的某
些情况的报告。这一过程由图 1-2所示。最终用户
通过使用自己开发的应用软件或工具软件并利用
授权使用的系统查询处理器完成自己的任务,而
不必动用信息系统专家。这种直接的、实际动手
的计算机应用提供了以前只能由计算机专家才能
完成的职能,这正是我们提倡的 EUC的意义所在。
企业在信息化过程中就是要培养和造就一大批具
有独立计算机处理能力的最终用户。
47
用户报告
提交查询请求
应收帐款
数据库
数据库访问
控制软件
最终用户 分
析处理软 件
语言查询
处理器
图 1-2 最终用户计算示例
48
三,快速反应技术
? 快速反应系统就是我们当前追求的信息化、
数字化、自动化、网络化系统。如:超市
购物、刷卡买饭、准时制生产、网络贸易
( EC)、电子数据交换( EDI)、计算机
集成制造( CIM)、电子资金转帐( EFT)
等。
? 快速反应系统的基础技术包括:
EDI ; INTERNET; POS; UPC ;虹膜
识别和指纹识别技术等。
49
四,会计人员与系统开发
今后企业信息化达到相当程度时,会计或
审计人员会经常介入系统开发活动。如
ERP实施过程中的二次开发、系统的日常
维护和修改都需会计人员参与。学会使用
下一章要讲的系统方法(图形符号语言工
具)是非常必要的,那是高级复合型会计
人才必备的知识。
50
五、信息技术环境下会计工作的变革
1,会计处理流程的变革
2,会计人员工作内容的变革
3,会计管理手段和管理方式的变革
4,出现了许多新的会计管理对象
51
第五节 本章总结
? 会计信息系统是基于计算机的,将会计数据转换
为会计信息的系统。本课中我们更广泛地使用会
计信息系统这一概念,使其包括业务处理循环、
信息技术的使用以及信息系统的开发和信息系统
的审计。
? 推进企业信息化是落实“以信息化带动工
业化,实现社会生产力的跨越式发展”的
重大举措。企业信息化的普遍实施,将有
力地促进国民经济的发展和社会进步,大
幅提升我国的综合国力和国际竞争力。
52
? 信息已经成为一种新的资源,在经济社会里,谁
能及时获得和拥有更多的有价值信息,谁就会在
竞争中处于主动,立于不败。
? 系统是由具有独立功能且相互联系、相互制约、
为共同完成系统总目标而存在的若干元素构成的
有机整体。
? 管理信息系统(简称 MIS)是以信息基础设施为
基本运行环境,由人、数据、设备、信息技术和
运行规程等要素组成的,通过数据处理产生企业
进行各项管理和决策所需信息的系统。具体说来
包括对数据进行采集、存储、加工、检索、维护、
分析和传输等功能,将其转换成信息并向使用者
提供信息。
53
? 大多数组织经历着类似的经济事件,这些
事件产生的活动可以分为 5个主要业务流程
(内部管理、外部管理、运作、营销和服
务)和 4个支持性业务流程(采购、技术开
发、组织和人力资源管理、企业架构)。
? 三种技术相互作用使得快速反应系统切实
可行。它们是,EDI(INTERNET),UPC、
POS。
54
? 按照各项经济业务的关联程度,我们把一
些对外相对独立、内部之间发生日常联系
的一组事件称为一个交易循环
( Transaction Cycles)。一般企业的经
济业务活动都可分为四个一般循环:销售
与收入循环、采购与支付循环、生产循环
和财务循环。
55
? ERP是指建立在信息技术基础上,以系统化的管
理思想,为企业决策层及员工提供决策运行手段
的管理平台。 ERP系统集信息技术与先进的管理
思想于一身,成为现代企业的运行模式,反映时
代对企业合理调配资源、最大化地创造社会财富
的要求,成为企业在信息时代生存,发展的基石。
对于企业来说,ERP首先应该是管理思想,其次
是管理手段与信息系统。管理思想是 ERP的灵魂,
不能正确认识 ERP的管理思想就不可能很好地去
实施和应用 ERP系统。
56
? 最终用户计算( EUC)是指最终用户亲自
动手驾驭计算机完成本岗位上遇到的一些
额外的业务处理或信息需求工作。
57
本章作业:
1,ERP与 AIS的根本区别与本质联系是什么?
2,ERP环境下的 AIS的主要职能已发展为控
制与服务,为什么?
3,怎样理解组织依靠信息系统来保持其竞争
力?
58
The end
59
第二 章
系统方法及其应用
60
第 2 章 系统方法及其应用
系统方法是用于分析、设计信息系统及表达系
统与子系统之间关系、描述业务处理流程和各职
位之间数据传递路径的工具,也是编制各种审计
文档的有力工具。它是由一系列图形符号及其用
法构成的表达语言。
会计人员与系统设计人员、业务人员交流应用
系统设计思路;审计人员与会计人员交流内部控
制效果都要以系统(图)方法为工具。
61
第一节 系统方法
系统方法是人们在生产生活实践中创造和
积累起来的若干图形符号语言。它可以直
观、简练、清晰地表达和反映使用者的思
想和意图,起到语言文字达不到的表现力
与效果,它不受民族、国籍和母语的限制,
在世界范围内广泛流传和使用。
62
一、流程图
? 流程图符号( ANSI X3.5-1970)
输入 / 输出
处理
流程线
注解
图 2-1 基本符号
63
? 更具体的输入 /输出专门符号
穿孔卡片
磁盘
文档
手工输入
联机存储
显示
通信链接
脱机存储
图 2.2 输入 /输出专门符号
64
? 处理专门符号
A
判断、决策
预定义处理
准备
手工操作
终端
辅助操作
合并
抽取
排序
连接器
图 2-3 专门的处理符号
65
? 流程图中的符号使用
发票 检查与 核准
购买订单
请购单
订购单
核准的发票
发票检查与 核准核准的发票
A
A
订购单
供应商
档案
准备下订单和
更新供应商档案
正常流向
反向箭头
连接符的使用 双向箭头
图 2.4 符号的应用举例
66
二、数据流图
数据流图( DFD)也称逻辑数据流程图,主要由系统开发人员使用。
(一)数据就图的基本符号
名称 符号 含义
外部项 描述数据的来源或去向
处理 描述加工或处理操作
数据存储(文
件)
表示一个文档的存储
(一般指磁盘文件)
数据流 表示一组按特定方向流动的数据
67
外部项 是指不受本 DFD(系统)控制的人、机构或另一
个 DFD(系统),是本 DFD外部的数据来源或最终去处,
表达本 DFD与外部的数据交换,数据从源端进入系统,经
过一系列的加工由终端离开系统。例如统计员、财务科、
银行、经理、应收账款模块儿都可以作为外部项。 处理 也
称加工,表示对数据进行加工处理与变换的功能,即把流
向他的一组数据流加工(变换)成另一组数据流。在复杂
的 DFD中有很多加工,因此应该对加工编号。 数据存储 又
叫文件,用右端开口的长方形表示。在 DFD中数据存储不
涉及具体的存储介质,只是对数据存储的逻辑描述。 数据
流 由一组成分固定的数据项组成,表示一组按特定方向流
动的数据。
68
? 在 DFD中,所有的数据流都必须与加工有
联系。可以从外部项流入加工或从加工流
入外部项,可以从一个加工流到另一个加
工,也可以从文件流入加工或从加工流入
文件,但不能从文件流入文件。
? DFD的几个绘制要点:
DFD应完全由 DFD符号表示;
DFD的每一个符号包括数据流,都要注释;
逻辑的流向应该清晰,DFD上的所有数据来源
和去向都应注明。
69
(二)数据流图的用法
我们通过一个结构化系统分析的实例,来展示 DFD的用法。所谓
结构化系统分析是将复杂的问题通过分解的办法自上而下、化大为小、
分而治之。
薪酬处理主模块的 DFD:
计时部 雇员薪酬处理
薪酬数据文件
薪酬
数据
工资
支票
薪酬
数据
薪酬
数据
图 2-7薪酬处理的 DFD
70
通过对图 2-7薪酬处理的 DFD不断提炼,产生更
加深入的系统描述。如图 2-8所示:
计时部 核实薪酬 数据 计算工资 雇员
雇员数据
有效的薪酬数据
薪酬
数据 工资支票
实时状态 净工资和扣减
有
效
数
据
待
处
理
数
据
图 2-8 薪酬处理 DFD的扩展
P2P1
71
P2模块还可进一步分解细化:如图 2-9
雇员数据
更新
雇员
文件
处理
工资分
类帐
计算
净工资
雇员预提数据
有效薪酬数据
分类账数据
P2计算工资
图 2-9 P2 处理的分解
净工资和扣减
税率和扣减
待处理数据
净
工
资
和
扣
减
工
资
支
票
实时数据 详情
72
三、模块结构图
? 所谓模块就是系统中的一个处理过程,软
件中的一段程序,是构成大系统的基本单
元。模块具有输入、输出、逻辑功能、处
理过程、内部数据及运行环境等特性。结
构化系统设计就是通过分解把系统设计成
具有层次和调用关系的模块结构。
? 表达软件结构常用的系统方法有两种,一
种称为层次图,另一种称为模块结构图。
73
(一)层次图
层次图按自顶向下、逐步求精的原则设计,表
示软件分解的层次结构。层次图着眼于软件具备
的处理功能,所以也叫系统功能图或功能结构图。
图 2-8 是一个小的薪酬系统的层次图。
层次图(功能图)表达了系统各模块的层次关
系,每个模块对应一项处理功能,但没有表达模
块之间的控制与通讯联系,需要用 IPO( Input-
Process-Output)图来补充描述这些特性。如对
上述薪酬系统中的“计算累计工时”模块可以用
图 2-9的 IPO图来描述。
74
薪酬系统
数据准备 处理 审查
计算
毛支付
计算
净支付
计算
累积工时
寻找对应
支付率
计算
毛支付
图 2.8 薪酬处理层次图
1.0
1.1 1.2 1.3
1.2.1 1.2.2
1.2.1.1 1.2.1.2 1.2.1.3
75
系统名称:薪酬系统 设计者,****
模块名称:计算累计工时 设计日期,2006-03-20
被哪些模块调用:计算毛支付 直接调用模块:无
输入文件名:工时卡文件
输出文件名:累计工时清单文件
处理逻辑:
********
********
********
图 2-9,计算累计工时”模块的 IPO图
76
(二)模块结构图
层次图与 PIO图着眼于模块的层次调用关系,
不能清晰地表达整个系统中各模块的控制与通讯
等问题,除非仔细阅读完所有的 PIO图,才能清
楚整个系统中模块之间的控制及数据间的复杂联
系,因此用层次图表达系统的结构是不充分的。
模块结构图 MSC(Model Structure Chart) 也
称为模块控制结构图。它对系统模块的表达更充
分,考虑的因素也更多,能明确表达系统的结构
和模块之间的通讯及循环、判断等控制。因此更
适用于表达系统结构,是系统总体设计出色的表
达工具。
77
X
A B
m
n
p
q
图 2-10 模块调用
78
X
A
X
A CBA
X
C
图 2-11选择调用和循环调用
B
79
四 分析流程图
分析流程图可以用来分析文档在一个组织
中的流转,这些图都分成若干个栏目来分
类表示每个 实体 的处理职能。通过这些代
表组织中各个实体的栏目来绘制流程图是
评价职责分离的一个有效方法。流程图的
这一形式还能突出不同实体间的界面,因
为这些界面是一个应用系统中重要的控制
点。
80
? 分析流程图示例
分析流程图确定了一个应用系统中所有重要的处理流程,并重点
分析需要实施控制的任务流程。图分栏绘制,如图 2-10
已通过的
卖主列表
订购
报价
询价请求
询价请求
选择
卖主
准备询价
准备订购选择中标者
采购部门 供应商
报价
订购
图 2-10 分析流程图
81
五、文档流程图
文档流程图的目的是列出应用系统中所使用的全部文档并确定这些
文档组织、分布和最终处置的控制点。图中每个文档符号代表一批文
档而不是一个文档。
应付帐款 订购代理 收货 仓储
订购单 订购单
购买订单
购买订单
购买订单
购买订单
2 订购单1 1
2
2
3
4
5
6
1
3
5
4
图 2-11 文档流程图
给卖主
82
六、决策表
决策表技术也是系统设计人员和会计、
审计人员经常使用的一种系统方法。最常
见的例子是在算法设计或分配方案设计过
程中,当遇到复杂的问题需要多重逻辑判
断时,任何其他方法都不能清晰地表述问
题的逻辑关系,而决策表却能很容易做到
这一点。我们通过一个具体实例来说明决
策表的用法,并展示她的魅力。
83
示例:
某公司规定推销员的薪酬与业绩挂钩,按推销产品收入
额提成,上不封顶,下不保底,费用自理。具体为每月推
销额 10万元以上(含 10万元,下同),回款比例达 80%
且推销的新产品占 5成以上者,按推销额的 6%提成;新产
品不足 5成则按 5%提成;若回款比例在 40%~80%之间且
新产品占 5成以上按 5%提成;新产品不足 5成;若回款比
例低于 40%,则按 3%提成。推销额不足 10万,回款比例
在 80%以上者则按 4%提成;回款比例在 40%~80%之间则
按 3%提成,不足 40%则按 2%提成。
这种复杂的处理逻辑如果用决策表来描述会变得非常清
晰。在薪酬政策中有三个条件:一是推销额,用 TXE表示;
二是回款比例,用 HK表示;三是新产品比例,用 XCP表
示,可拟定一个条件与取值符号表见表 2-2。然后构造决
策表,见表 2-3。
84
条件与取值符号表
条件 取值符号 符号含义
C1:推销额 (TXE)
C 超过 10万元 /月
D 低于 10万元 /月
C2:回款 ( HK)
G 超过 80%
Z 40%~80%之间
D 不足 40%
C3:新产品 (XCP)
X 新产品占 50%以上
L 新产品不足 50%
表 2-2
85
薪酬处理决策表
1 2 3 4 5 6 7 8 9 10 11 12
C1:TXE C C C C C C D D D D D D
C2:HK G G Z Z D D G G Z Z D D
C3:XCP X L X L X L X L X L X L
A1:6% √
A2:5% √ √
A3:4% √ √ √
A4:3% √ √ √ √
A5:2% √ √
表 2-3
根据本例处理逻辑,决策表还可以简化成下面的形式 …
86
简化的决策表
1 2 3 4 5/6 7/8 9/10 11/12
C1:TXE C C C C C D D D
C2:HK G G Z Z D G Z D
C3:XCP X L X L — — — —
A1:6% √
A2:5% √ √
A3:4% √ √
A4:3% √ √
A5:2% √
87
七、问题分析图
问题分析图( Problem Analysis
Diagram)简称 PAD图,是又一种支持结
构化算法设计的图形表达工具,也是一种
用于业务流程描述的系统方法。其基本符
号如图 2-19所示。
88
S1
s2
s1
s2
s1
s2
sn
.,
.
s3
(a) 顺序结构 (b) 条件结构 (c) 选择结构
C s
c1
c2
cn
(d) 循环结构
C
89
PAD图融系统的层次结构和过程特征于
一体,横向表达系统的嵌套层次结构;纵
向(同一条控制竖线)自上而下表达某一
处理的过程特征,思维可以纵横驰骋而不
受限制,因此可以对系统的处理细节进行
深入的刻画和雕琢。我们用一个实例来说
明 PAD图的用法。
90
会计信息系统中常将所使用的会计科
目及其代码汇集成一张表存到系统里,称
为科目汇总表文件。该文件内容也会有变
化,所以需要维护,现在我们用 PAD图来描
述维护的作业流程。经分析我们知道:正
在使用的会计科目不能修改其代码,更不
能删除。修改和删除只能在本会计年度结
束,新会计年度尚未开始前进行。平时的
维护只能修改科目名称或增加新科目。因
此科目维护过程如图 2-20 所示。
91
图 2-20 科目文件维护 PAD图
92
第二节 系统方法的应用
一、审计工作中系统方法的应用
1,内部控制评价中的应用
评价内部控制时,审计人员一般关注一个应用系统
中的文档处理和分配的流程。由于职责的划分与隔离
是内部控制的重要手段,所以业务处理模式和文档流
转路径会人为地变得复杂化。因此审计人员就需要使
用专门的技术(系统方法)来分析和描述个人的或部
门间文档的流转路径和职责划分后形成的业务处理模
式(系统)。常用的系统方法有:分析流程图、文档
流程图、和决策表等。
93
2,符合性测试中的应用
审计人员通过符合性测试来确认决定可信度
的那些内控措施是否存在,评价其作用,检查
其运作的连续性和有效性。若被测的控制是信
息系统的组成部分时,审计人员就必须了解信
息系统的一些开发技术,这就要求审计人员必
须理解信息系统开发过程中常用的系统方法。
如:层次图,IPO 图、模块结构图,PAD图和
决策表等。
94
3,工作底稿中的应用
工作底稿是审计人员在审计过程中进
行审查、测试、获得信息和做结论的原
始记载。审计准则要求保留工作底稿,
因为底稿构成了审计工作的主要记录。
审计人员常用系统方法来编制文档和
分析工作底稿中的内容。如分析流程图、
系统流程图和决策表就经常在底稿中出
现。
95
二、系统开发中系统方法应用
系统开发包括三个阶段的工作:系统
分析、系统设计和系统实施。系统开发
人员包括系统分析员、系统设计员和程
序员。系统分析阶段主要是提出系统的
整体解决方案,系统设计是将系统分析
阶段提出的解决方案具体化,系统实施
是将具体的解决方法和步骤付诸运行的
过程,这一过程主要是编程与测试。
96
1.系统分析中的应用
系统分析的主要任务是理解和表达,理
解是通过调研完全弄清系统的功能要求,
而表达是用系统方法描述系统的功能,构
建系统的逻辑模型。分层的 DFD图是最重
要的系统逻辑模型的表达工具。
97
2,系统设计中的应用
系统设计分总体设计和详细设计两部
分,总体设计主要是设计系统的总体结构,
这要用到层次图,IPO图和模块结构图等
系统方法。详细设计是确定模块的具体算
法,PAD图是当前描述算法最好的系统方
法。
98
3.系统实施中的应用
系统实施中也要用系统方法作为程
序员的分析工具和测试流程描述工具。
如:程序流程图和决策表。
99
第三节 总结
本章介绍的系统方法,主要是会计审计
人员和系统分析人员用作分析与文档化的
表达工具,尤其信息系统分析与设计中强
调的结构化地分析与设计方法必须使用系
统方法。这种图形化的符号语言不仅具有
直观、简练、清晰、易理解、好掌握的优
点,而且容易形成标准全世界通用。流程
图本身不仅是一种科学,而画流程图还是
一种艺术。
100
本章作业:
1,在分析流程图中怎样确定实体和栏目?
2,用 PAD图描述:让计算机打印出 100以内
的自然数中的所有质数的处理逻辑(程
序)。
101
The end
102
第 四 章
网络技术与电子商务
103
计算机网络是用电子方式通过网络技术
连接起来的计算机的集合。凭借这个网络,
企业可以方便地汇集分散在世界各地的交
易数据,实现跨地域的信息交换。电子商
务就是计算机网络应用的产物。
104
第一节 网络技术
一、计算机网络的基本概念
(一)计算机网络的定义
计算机网络是计算机技术和通信技术
相结合的产物,它将位于不同地域的多
台具有独立处理功能的计算机设备,用
某种通信介质连接起来,并由网络软件
协调管理,形成一个可以相互通讯的网
络,通过网上传递,实现网络资源(包
括数据)的共享。
105
(二)计算机联网的目的
计算机为什么要联网?联网会产生什
么作用呢?计算机联网的根本目的是摆
脱分立的计算机在地理位置上的束缚,
实现全网范围内的数据交换和资源共享。
主要表现在以下几方面:
1,软资源共享
2,硬资源共享
3,信息传递和交换
106
(三)计算机网络的分类
计算机网络可以从不同的角度进行分
类,其中按网络所跨越的距离分类是最
常见的分类形式。如,广域网 WAN
( wide area network)也称远程网,局
域网 LAN (local area network)和 城域网
MAN(municipal area network)。
107
二、企业计算机网络的组建
企业中最常用的计算机网络就是局域网,我们以局域
网为例来介绍企业计算机网络的建设。
(一)局域网的硬件设备
从硬件角度讲,一个局域网( LAN)通常由服务器、
工作站、网卡、集线器、、电缆或光缆以及其他网络
配件组成,为了扩展网络范围,还要引入路由器、网
桥、网关和通信服务器等网络部件。由这些设备可组
成相应的局域网的硬件环境。
(二)局域网的操作系统
网络操作系统是运行在计算机网络上的高层软件,他
执行网络协议、负责计算机间数据交换、对网上资源
进行统一管理。
108
三、互联网技术及应用发展
(一) INTERNET 技术
1,INTERNET的概念
INTERNET(互联网)是一个由各种不
同类型和规模的独立运行与管理的计算机
网络组成的全球范围的计算机网络。组成
INTERNET的计算机网络包括局域网
( LAN)、城域网 (MAN)以及大规模的广
域网 (WAN),因此,我们说互联网是网络
的网络。
109
? 关于互联网的两个构想:
美国兰德公司承担了 INTERNET的研发
工作,在研发之初,兰德公司提出了两个
令人惊讶的构想:一是这个网络不应有任
何命令和控制中心;二是 这个网络从建成
之初就应该能在分散的状态下运行。他们
采用了一套通用的通信标准 ——TCP/IP协
议,最终实现了这两种构想。
110
2.INTERNET的特点
Internet之所以发展如此迅速,被称为
二十世纪末最伟大的发明,是因为
Internet具有如下特点:
开放性
共享性
平等性
低廉性
交互性
111
3,IP地址和域名
( 1) IP地址的概念
我们知道网络上的两台计算机在相互通信时,
在它们所传送的数据包里都会含有某些附加信息,
这些附加信息就是发送数据的计算机的地址和接
受数据的计算机的地址。象这样,人们为了通信
的方便,给每一台计算机都事先分配一个类似我
们日常生活中电话号码一样的标识地址就是 IP地
址。根据 TCP/IP协议规定,IP地址是由 32位二进
制数组成,而且在 INTERNET范围内是唯一的。
例如,互联网上某台计算机的 IP地址可能为:
11010010 01001001 10001100 00000010
112
( 2)域名的概念
由数字构成的 IP地址太长且难以记忆,能
够代替 IP地址又能方便记忆的域名被开发
出来。例如,域名 www.bodhop.ais.com
可替代 131.91.120.68的 IP地址使用。域名
与 IP地址具有一一对应关系,这个对应关
系表保存在互联网上的域名服务器上。域
名是给人看的,通过域名寻址时,系统还
是要通过对应关系表找到相应的 IP地址,
通过 IP地址来寻址,当然这一操作是自动
完成的。
113
(二) INTRANET 技术
1,INTRANET的概念
INTRANET称为 企业内部网,它是将
INTERNET技术应用到企业内部信息管理和交换平
台的产物,它基于 TCP/IP协议和 WWW技术规范,
通过简单的浏览界面,方便地提供电子邮件、文件
传输、电子公告和新闻、数据库查询等服务。通过
防火墙等安全措施,INTRANET还可与 INTERNET
连接,以实现企业内部网上的用户对 INTERNET进
行浏览、查询,同时对外提供信息服务,发布本企
业信息。 INTERNET是 INTRANET的技术基础,
INTRANET是 INTERNET在企业内部信息系统的应
用和延伸。
114
2,INTRANET特点
?INTRANET一个重要的特点是简单易用、见效快、回
报率高。
?INTRANET跨平台,兼容性好,保护企业原有投资。
?INTRANET建成以后,企业的信息系统维护成本降低。
INTRANET采用 W/B(网页 /浏览器)结构,用户端采
用标准的、通用的软件 ——浏览器。不必为
INTRANET的前端用户开发专用的软件。这种结构不
仅降低开发费用、节省开发时间,而且减少了系统出
错的可能性、降低了维护成本。运行中如果出现问题
只需维护好服务器端即可。
?基于 INTRANET的企业信息系统为企业各部门之间、
企业与客户之间的紧密协作提供了统一的信息交换平
台,使人们突破部门、组织、地域和时间的限制,真
正以企业的目标、客户的需求为中心展开协作。
115
3.企业应用 INTRANET的意义
INTRANET在企业中应用的好处有以下几个方
面,一是 INTERNET是全球网,只要和它相连,
便可与世界上几乎所有的地方建立联系,而通信
费用只是电话的几分之一或几十分之一,因此,
为企业提供了一个强大而非常经济的通信手段。
二是随着这种通信方式的兴起,INTERNET上的
信息爆炸性增长,科研和产品研发人员可以方便
快捷地查阅最新科技成果,可以随时检索取之不
尽的文献资料。三是由 INTRANET构建的企业级
的信息集成和信息服务平台,为企业各部门业务
处理高度协同创造了一个良好的技术环境。
116
(三) EXTRANET 技术
? EXTRANET 称为企业外部网,它是利用
INTERNET技术搭建的、由多个企业内部网
INTRANET相连组成的网络应用系统,因此可以
说 EXTRANET是 INTRANET向外扩展的产物。
? 企业在利用 INTERNET技术构建 INTRANET获利
后,开始尝试在企业之间应用 INTERNET技术构
建应用系统 EXTRANET。它使企业与其他客户、
其他企业相连来完成其共同目标并组织成交互合
作网络。
117
?三网的区别和联系
INTERNET,INTRANET和 EXTRANET三
者的区别和联系在于,INTERNET是基础,
是 网 络 基 础 和 包 括 I N T R A N E T 和
E XT RANET在内的各种应用的集合;
INTRANET强调企业内部各部门的联系,
业务范围仅限于企业内; EXTRANET强调
企业间的联系, 业务范围包括贸易伙伴,
合作对象, 零售商, 消费者和认证机构 。
由此可见, INTERNET的业务范围最大,
EXTRANET次之, INTRANET最小 。
118
第二节 电子商务
一、电子商务的概念
人们对于电子商务的理解和定义大致有广义和狭义之分,
广义的电子商务是指利用整个 IT技术对整个商务活动实
现电子化。利用 INTERNET,EXTRANET和
INTRANET等各种不同形式网络在内的一切计算机网络
以及其他信息技术进行的所有的企业活动都归属于电子
商务,称为 E-Business。狭义的电子商务特指运用互
联网开展的交易或与交易直接相关的活动,它仅仅把基
于 INTERNET进行的交易活动归属于电子商务,称之为
E-Commerce。而 E-Business要比 E-Commerce意思
宽泛得多,因为后者仅指简单的商务交易应用,即单指
在网上做买卖。而 E-Business是存在企业与企业之间、
企业与政府职能部门之间、企业与客户之间、企业内部
的一种联系网络,他贯穿于企业行为的全过程。
119
二、电子商务的主要功能
? 交易活动管理
? 市场调研
? 广告宣传与信息发布
? 咨询洽谈
? 网上购物
? 网上支付
? 网上金融服务
? 商品传递
120
三、电子商务的主要特点
电子商务将传统商务中的物流、资金流和信息
流通过网络进行整合,直接与分布各地的客户、员
工、供应商和经销商连接,创造出更具竞争力的经
营优势。与传统商务相比,电子商务具有以下突出
特点:
? 业务全球化
? 服务个性化
? 业务集成性
? 商机均等性
121
四、电子商务中的服务器
互联网一旦为商务所用,对它的要求便
陡然增加,不仅其安全性、稳定性、可靠
性、和连续工作性必须有所保障,而且相
应的一些技术服务也必须跟上,才能具备
一个开展电子商务的良好环境。在这个环
境中,服务器扮演了非常重要的角色。
122
? 服务器与客户端
服务器实质是一种自动机型的程序,它不停地
在被称作服务器的计算机上运行并与需要该程序
的用户交换信息。用户的用来访问服务器并交换
信息的程序被称为客户端。在互联网上运作的商
业事务就是在客户端 ——服务器的环境下实现的。
原因可能是:
1,作为机器人,服务器不须按小时计费,也不要求加班费。
2,在某一时段,服务器可以同时处理数以千计甚至万计的客户
的事务。而在人工情况下,每个人每时只能接待一个个户。
3,服务器可以在一天中的任何时刻,世界上的任何地点被使用,
不需要按分钟收取信息交换费用。
123
在互联网上有很多种服务器,下面我们分
别介绍这些服务器。
? 邮件服务器,它保存着发来的电子邮件直
到用户打开信箱查看;同时保存着发出的
邮件直到接收者的邮件服务系统接收该邮
件。邮件服务器普遍使用 POP协议,因此
经常被称为 POP服务器。用户使用邮件服
务器通常需要账号和密码,有了这些,服
务器就会接收所有的新邮件并发出要寄出
邮件。
124
? 文件服务器,文件服务器主要是以文件储
藏所的形式存在,它允许被授权的用户从
远程的计算机上获取本服务器文件库中的
文件。比如,某公司可以使用文件服务器
将其年度报告公之于众(授权用户)。文
件服务器也可以接收文件,比如,老师可
以将各自指导的学生论文上传给教务处教
务管理服务器。
文件服务器使用的程序最常见的是 FTP,
使用这种程序的文件服务器就叫 FTP服务器。
125
? 网络服务器,网络服务器允许用户从远程计算机
上获取存储在该服务器上的程序并运行这个程序。
网络服务器是运行万维网( WWW)的载体。有
了网络服务器,万维网上所有的文档、和软件就
都可以使用了。使用网络服务器的客户端叫做网
络浏览器,Microsoft Internet Emplorer和
Netscape Navigator 就是当前最著名的浏览器。
网站是在网管控制下的相关文档的集合 。一个
网络服务器可以容纳很多不同的网站,每一个网
站都由它自己的网管管理。类似地,一个 FPT服
务器也可以包含不只一个 FPT站点。很多网络服
务器有 FPT的功能,所以没有必要将网络服务器
和 FPT服务器分开。
126
? 商业服务器,商业服务器是运行一些具有商业特
色的程序的特殊网络服务器。这些特色包括:
1,支持安全电子交易( SET)协议,这项协议保护客
户端与服务器之间的通信,保证交易的安全,使其
不受攻击和泄露。
2,支持特殊类型的客户端与服务器的确认,比如,通
过数字证书来确认客户端与服务器相互之间的身份。
3,支持与外部程序的连接,比如支持客户端使其能够
使用存储在服务器上的会计软件等。
4,提高系统的安全水平,如多级安全存取和详细的处
理记录等。
5,在线信用卡确认或银行确认等。
127
五、电子支付系统
? 电子支付系统的概念
电子支付指的是以金融电子化网络为基础,
以商用电子化机具和各类交易卡为媒介,
以计算机技术和通信技术为手段,以电子
数据形式存储在银行的计算机系统中,并
通过计算机网络系统以电子信息传递形式
实现流通和支付。
128
?电子支付系统的类型
有三种不同类型的支付系统,即预支付系
统、即时支付系统和后支付系统。 在预支
付或后支付交易中,对银行的访问是在实
际购买程序执行之前或之后才做的。
129
? 电子支付的发展阶段
? 第一阶段是银行利用计算机处理银行之间的业务,办理结算;
? 第二阶段是利用计算机与其他机构的计算机之间资金的结算,
如代发工资等业务;
? 第三阶段是银行利用网络终端向客户提供各项金融服务,如
客户在自动柜员机( ATM)上进行存、取款操作等;
? 第四阶段是银行利用销售终端( POS)向客户提供自动的扣
款服务,如校园一卡通系统。这是现阶段一种重要的电子支
付方式;
? 第五阶段即最新发展阶段,可以随时随地通过互联网进行直
接转帐支付,形成真正的电子商务环境。这是正在发展的支
付形式,我们把这一阶段的电子支付形式称为网上支付。网
上支付的具体形式称为网上支付工具,主要有信用卡、数字
现金、电子支票等。
130
第三节 电子商务中的安全技术
随着电子商务的不断推广与应用,电子商
务的安全问题也变得越来越突出。如何建
立一个安全、可靠、便捷的电子商务应用
环境,对商务信息提供足够的保护,已经
成为商家和用户极为关心的问题。因此,
交易安全问题已经成为充分开展电子商务
的核心问题,解决这个核心问题的基本技
术是加密技术。
131
一、加密技术
采用加密技术对信息进行加密,是最常见
的安全手段。加密技术是一种主动的信息
安全防范措施,其原理是利用一定的加密
算法,将明文转换成为无意义的密文,阻
止非法用户理解原始数据,从而确保数据
的保密性。明文变成密文的过程称为加密,
由密文还原为明文的过程称为解密,加密
和解密的规则称为加密算法,在加、解密
过程中使用的可变参数叫做密钥。
132
加密,就是指对数据进行编码(代换)使其看
起来毫无意义,同时仍保持其可恢复的形式。
简单示例:
若对可读的文字 ACE加密,假定字母表中的每一
个字母分别与一个数字相对应,A对应 1,C对应 3,
依此类推。这样 ACE的数字形式就是 135。现在
假定用数字 2来加密,最简单的方法就是把 2加到
135的每一位上,这样就造出了新的数字号码 357,
他转回字母就形成密码文字 CEG,这里 ACE称为
明文,CEG称为密文,2是密钥。
133
? 加密系统的类型
有两种类型的加密体系:
保密密钥加密(对称密钥)和 公共密钥加密(非对称密钥)
? 保密密钥加密(对称密钥)
对称密钥加密体系对信息加密和对信息解密都用同一把密钥。因此密钥
必须安全传递给接收者,但安全传递难以做到。
? 公共密钥加密(非对称密钥)
公共密钥加密构想的要点是:使用一个加密算法 E,使用一个解密算法
D,一但选定了 E 和 D,哪怕获得了 E的完全描述,要推导 D也是不可能
的。
这类算法须具备下述 3个条件:
1,D(E(P))=P,即若在一个加密报文 E(P)中应用 D,则可以得到原来的明文报文
P;
2,从 E 推导 D 很难;
3,用一个选定的密文攻击不能破译 D。
134
满足上述 3个条件的一切加密体制,其中的 E 完全
可以向电话号码一样予以公开。任何人或组织要想秘
密接收报文,先要获得符合上述 3个条件的两个算法 E
和 D,然后将加密算法 E公开,自己保管解密算法 D。
任何想与秘密密钥持有者进行秘密通信的人均可在公
开的文件中查到他的加密算法 E,然后用这个 E对所发
报文进行加密发出,接收者收到密文后,用自己所持
的秘密密钥将其解密即可。公钥密码体制解决了任何
人与秘密密钥持有者进行秘密通信的问题。
麻省理工学院( MIT—Massachusetts Institute
of Technogy)三位青年数学家 R,L,Rivest,A,
Shamir和 L, Adleman基于数论方面的一些原理开发
了一个符合上述原理的加密算法,称为 MIT算法,后
来被广泛称之为 RSA 体制。
135
RSA 体制:
? 选择两个质数 p 和 q 均大于 10100 ;
? 计算 n=p× q 和 z=(p- 1)× (q- 1) ;
? 选择一个与 z 有关的质数,令其为 d ;
? 找到一个 e 使满足 e× d= 1(模 z) 。
计算好一组符合要求的参数密钥对儿 [(e,n),(d,n)],
就可用作加密了,先将明文划分成块儿,每个明文块儿
对应的数值 m必须落在 0<m<n 之间,这可通过存储映
像将明文分成具有 k 位的块儿,这里 k 是使 2k < n 的最
大整数。
136
加密一个报文 m,计算 c=me (mod
n),解密 c,计算 m=cd (mod n)。为实
现加密,需要 e和 n,为实现解密需
要 d 和 n 。所以公开密钥由 (e,n) 组成,
秘密密钥由( d,n)组成,p和 q不再需
要,可以销毁。
能够证明,MIT算法的加密函数和解
秘函数是互逆的,即加密密钥和解密
密钥可以互换。
137
密钥对儿实例:
① p= 7,q=17,e=5,d=77,n=119
[( 5,119),( 77,119) ]
② p=43,q=73,e=211,d=43,n=3139
[( 211,3139),( 43,3139) ]
③ p=67,q=53,e=391,d= 79,n=3551
[( 391,3551),( 79,3551) ]
④ p=23,q=97,e=119,d=71,n=2231
[( 119,2231),( 71,2231) ]
注意,m<n
138
? 公共密钥加密体系的安全问题
公共密钥加密方法也可能遭受各种类型的攻击。
1 密码分析攻击
最简单的方法是猜测纯文本攻击,例如:攻击者可能会
在中途将已加密的信息拦截,猜测它的原来的真实内容可
能是“项目已被批准”。攻击者用接收者的公共密钥将
“项目已被批准”加密,然后,把得到的加密结果与拦截
到的加密信息进行比较,如果两者相符,攻击者的猜测就
是正确的。
这种攻击可通过在信息的末尾加上一些随机文字来防范。
139
2 分解因数攻击
大家知道,公共密钥加密体制中的密钥
对儿是以两个很大的质数的乘积为基础而
得到的,因此理论上,私钥可以通过将公
钥分解因数的方法而得到。当前公共密钥
加密的安全性完全依赖于攻击者不能将两
个很大的质数的乘积分解因数。因为,利
用目前最快的计算机把两个 1000位的二进
制的质数的乘积分解因数需时要成百上千
年,甚至成千上万年。
140
数字信封
对称密钥加密因为计算较少所以速度要快
一些,但安全系数低;非对称密钥加密因
需求幂求模运算所以速度要慢一些;但安
全系数高。数字信封就是同时使用对称密
钥和非对称密钥来加密,目的是分别利用
两种体制的优点摒弃其缺点,使加密工作
又快又安全。具体做法如下:
141
数字信封操作步骤:
1,信息的发送者设计一个对称加密算法,并确定
一个保密密钥。
2,信息的发送者用这个对称加密算法和确定的密
钥来加密待发送的信息。
3,发送者用接收者的公开密钥来加密这个对称密
钥,就好像用信封封起来了。
4,发送者同时发送被加密了的信息和密钥。
5,接收者用自己的私钥来解密已加密了的对称密
钥。
6,接收者用得到的对称密钥来解密信息。
数字信封又被称为双密钥加密或混合加密。
142
二、数字签名
? 数字签名的概念
数字签名以加密技术为基础,其核心是采
用加密技术的加、解密算法来实现对网上
报文的数字签名。数字签名本身是含有发
送者身份、地址、时间和报文内容等信息
的秘密数字串。
143
? 数字签名的功能
1)收方可以确认发方的真实身份。这一功能十分
必要,如一个顾客(公司)在网上发订单,委托
他的代理银行购买 1吨黄金时,这家银行就必须
确保发出订单者一定是将来要从其账号中
收回资金的那家公司。
2)发送方事后不能否认发送过该报文。这一功能
的必要性在于防止银行被诈骗。否则,若银行为
其买入了黄金,且黄金价格马上大跌,当银行从
其账户扣款时,发送方可能声明:自己从未发过
要银行买黄金的订单而进行抵赖。
3)接收方或非法者不能伪造、篡改报文。
144
? 秘密密钥的数字签名
秘密密钥的加密技术是指发方和收方依照事先约定
的密钥进行加密和解密的算法。加密和解密都用
同一个密钥,双方都知道这一密钥,这就可能产
生否认和篡改报文的欺诈行为,因此必须引入第
三方参与,并采用迂回做法加以控制。
设 BB为管理密钥的权威认证机构作为第三方,在进
行网络通信前,发方 A和收方 B各选一个自己的密
钥 KA与 KB,然后连同各自的姓名 N、地址 D等都
报给 BB,但发方 A和收方 B可以不知道对方的密钥,
这是为了有利于身份鉴别。
可按下述步骤实施数字签名(如图 3-1所示)。
145
引入第三方的数字签名
BB
BA
1,KA(P)
2.KBB(N+D+T+P)
4.KBB(N+D+T+P)
3.KBB(N+D+T+P)
5,KB(N+D+T+P)
图 3-1 引入第三方的数字签名
146
上述步骤中由于只有发方和收方才知道自
己的密钥而不知道对方的密钥,所以密钥
管理权威机构能够鉴别发方的身份。同时,
发方和收方在发送和接收报文时都像 BB进
行了确认,因而也防止双方否认报文的可
能性。又因为只有 BB才知道密钥 KBB,因
而也防止了发方、收方或非法者改动或还
原报文的可能性。
秘密密钥管理不够方便,密钥传来传去也
不安全,此外,密钥的数量可能会相当大,
因为人们往往因不同的目的而使用不同的
密钥,这就形成一人具有多个密钥。
147
? 数字摘要的数字签名
数字摘要
数字摘要是采用单向 Hash(杂凑)函数对报文中
若干重要元素进行某种变换运算得到 固定长度
( 128bit) 的摘要码,即数字指纹( Finger
print),并在传输报文时将之加入到报文一起送给
接收方,接收方收到报文后,用相同的方法进行变
换运算,若得到的结果与发送来的摘要码相同,则
可断定报文未被篡改,否则不然。因为对不同的明
文按同一 Hash函数处理得到的摘要,其结果总是
不同的,而同样的明文其摘要必定一致。这样这串
摘要便可以成为验证明文是否是“真身”的“指纹”
了。
148
? 在传统的商务活动中,人们通过对商务文件进行
签名来保证文件的真实有效性,对签字方进行约
束的同时,也防止其抵赖。在电子商务活动中,
则对电子文档进行数字签名,商务文档与数字签
名一起发送,以作日后查证的依据,从而为电子
商务提供不可否认服务。
? 把 HASH函数与公钥算法结合起来,在保证数据
的完整性的同时,也可以保证数据的真实性。完
整性是指传输的数据未被修改,而真实性则保证
是由确定的合法者产生的 HASH,而不是由其他
人假冒。把这两种机制结合起来便产生所谓数字
摘要的数字签名,其原理为:
续:
149
数字摘要的数字签名原理:
① 发送方对被发送文件用 Hash编码法 SHA(Secure
Hash Algorithm)编码加密产生 128bit的数字摘
要;
②发送方用自己的私人密钥对摘要再加密,这就形
成了数字签名;
③将原文、加密的摘要和 SHA同时传给接收方;
④接收方用发送方的公共密钥对摘要进行解密,同
时对收到的文件用 SHA编码加密产生又一摘要;
⑤将解密后的摘要和收到的文件在接收方重新加密
产生的摘要相对比,如果两者一致,则说明传送
过程中信息没有被破坏或篡改过,否则不然。
150
数字摘要的数字签名原理图
SHA Private Key
加密 加密
数字签名
信息
信息
摘要
摘要
解密
确认信息
比较
一致
发送方 接收方
摘要
图 3-2 数字摘要的数字签名原理图
下图表示了整个数字摘要的数字签名过程。
151
数字签名的用途与合法性
? 人们相信数字签名比普通的手写签名更安全。手
写签名很容易被伪造,数字签名不容易被伪造。
进一步讲,数字签名不仅能证明信息签名者本人
的身份而且能证明信息没有被任何更改。这是因
为如果被数字签名过的信息被更改,它的摘要将
不再与解密的签名相一致。因此数字签名有很多
用途,比如,一所大学可以发放显示毕业者姓名、
专业、毕业日期、毕业院校等的经数字签名的毕
业证书,任何人都能鉴别毕业证书的真伪。
? 中国的数字签名法已于 2005.4.1宣布生效。
152
密钥的管理
对公共密钥系统的攻击大部分是在私钥的管理
层面。攻击者很可能想方设法获取私钥,一旦得
手,它就能轻而易举地破译任何用相应的公钥加
密的信息。因此,任何控制措施都是重点保护私
钥。存储于电脑的易受攻击的私钥,常用以下几
种方法加以保护:
1,通过门锁等限制可能的物理接近。
2,该电脑设置启动密码。
3,密钥本身用密码加以保护。
4,经常更换密钥。
153
数字证书及其应用
数字证书就是 证明网络用户身份的一系列数据,
用来在网络通讯中识别通讯各方的身份,即要在
Internet上解决 "我是谁 "的问题,如同现实生活
中我们每一个人都要拥有一张证明个人身份的身
份证一样,以表明我们的身份或某种资格。 数字
证书是由某些权威性认证机构( CA)签发的。例
如,雇主会向他的雇员、银行向他的用户、俱乐
部向其会员发放数字证书。这些证书可以存储在
个人电脑中以便在因特网上使用,也可以被译成
密码存储在能被机器识别,用于各类得到授权的
身份证上。
154
数字证书以加密技术为基础,CA用公共
密钥加密技术签发一个包含被证人姓名、
身份和该证件有效期的文件,就等于创建
了一个数字证书。见图 4-5。可以通过验证
数字证书上的数字签名,来证实该证书确
属某发证机关签发的。
155
证书号,24112
数字证书
阳光公司签发
发给:张虹莉
张虹莉的公共密钥,uht3%b7+esy
张虹莉的公共密钥有效期至,2008.05.01
证书有效期至,2007.01.01
证书签发日期,2006.03.20
阳光公司数字签名,a48hqppegft5!m
每个相关的人必须知道 CA的公共密钥,数字证书才会有用。因
此,CA的公共密钥要在网上广泛公布,使人们很容易获得。在多
数情况下,两个人第一次做生意时要交换数字证书,数字证书会
证明某一公共密钥确属其人。
图 4-5 数字证书
156
本章作业:
1,何谓加密?何谓对称加密?何谓非对称加
密?这两者各有何优缺点?
2,何谓数字信封?数字信封用意何在?
3,何谓数字签名?数字签名有何作用?
157
THE END
158
第五章
交易处理介绍
159
第一节 交易流概览
交易处理即业务处理,包括一个组织维持
其日常运转必须进行的各种活动。图 5.1是
一个制造业企业交易流的逻辑数据流程图
( DFD)。图中 方框 代表实体; 圆 代表处
理行为,它可能是手工的,也可能是电脑
的一个程序模块,这些行为常被确定为一
个业务处理环节。图中每一个 箭头 都代表
了从一个实体或处理过程到另一个实体或
处理过程的交易流(物流,资金流,信息
流)。
160
装运
顾客
仓储 收货
销售
订单
账单
处理
应收
账款
生产
采购
生产
计划
现金
支出
薪酬
处理 应付帐款
供应商
职工
图 5.1 生产企业中的业务流程
2
1
3
5
4
7
6
9
8
10
12
11
13
15
14
16
17
19
18
20
22
21
24
23
26
25
28
27
30
29
31
银行
记账 财务报告 会计信息 使用者
34
35
36 37
32
33
161
图 5.1 说明
1.订购单 2.确认订购单 3.账单备忘录作开票依
据 4.开具账单 5.开票通知 6.欠款报表 7.装运单
8.生产通知单 9.生产通知单 ( 若需要 ) 10.装运单
11.供货 12,产成品; 13,缺货订单; 14,发送
货物; 15,生产进度表 16.生产状况表 17.采买
需求 18.劳动报告 19.收货通知 20.购买订单 21.
购买通知 22.采买的商品 23.采购发票 24.收货凭
证 25.货物入库 26.采购付款通知 27.通知银行付
款 28.支付货款 29.付款记录 30.支付薪酬 31.薪
酬记录 32,销售回款 33.收入回款通知 34.回款送
存银行 35.存款记录 36.编制财务报告数据 37.报
告财务报告信息。
162
销售 采购 生产 财务
1
2
3
4
5
6
7
10
11
14
17
19
20
21
22
23
24
25
28
30
8
9
12
13
15
16
18
26
27
29
31
32
33
34
35
36
37
图 5.1是一个比较典型的企业业务处理流程。在现实中,尽管没有两个
企业的业务是完全相同的,但是大多数企业都经历和处理相似的业务流
程。图 5.1提供了一个业务处理系统的分析框架,其中 37个业务流可以做
表 5—1那样的分类。
表 5—1 对制造业企业主要业务流程的分类
163
处理过程(职位 /部门 /岗位)的设定:
绝大多数生产企业都应有一个销售订单处理过程
(职位 /部门 /岗位),一个账单处理过程,一个应
收账款处理过程和图 5-1中的其他过程。之所以如
此,出于两点考虑:第一点是 业务专门化 。例如,
随着越来越多的账单需要准备,设立一个独立准
备帐单的职位 —账单过程,专门处理客户订单,
开票、发开票通知等日常产生的文件都是非常合
适的。第二点是 内部控制 。一个普通的控制原则
是要保证操作行为职能与相关的记录职能相分离。
图 5-1中体现了账单处理过程(操作行为)和应收
账款过程(相关的记录职能)的分离。
164
第二节 交易处理系统的构成
交易处理系统的主要作业成分从系统的角度抽象地看就是
输入、处理、存储和输出。
一,输入
基本业务活动产生的原始文件如客户定单、销售凭证、发
票、采买订单和员工工时卡等,都是交易处理系统中的输
入凭证。他们有以下用途:
? 获得数据。
? 传递数据并触发流程中下一个运作,使运作协同。
? 说明要记录什么数据和采取哪些行为使运作标准化。
? 如果这些原始文件被保留,会为将来的分析提供一份永久
的历史数据文档。
为了使用方便和准确获得数据,这些原始文件的格式都作
了精心设计。
165
二,处理
处理包括对日记账和登记簿的使用,提供了一个
永久的按时间顺序排列的输入记录。日记账用于
记录财务账目,登记簿用于记录与财务无直接关
系的其它数据。
日记账提供了一个按时间顺序排列的财务处理的
记录。以下是一些通用专门日记账:
?销售日记账:汇总赊销账目;
?采购日记账:汇总赊购账目;
?现金收入日记账:汇总现金收入;
?现金支出日记账:汇总现金支出;
这四种日记账常与一个独立的总日记账联合使用,
以提供一个完整的簿记系统。
166
三,存储
分类账及其文档在人工处理和计算机处理
系统中提供数据存储,账相当于数据库。
总帐、应付帐款和应收账款分类账是最终
的账户记录。他们提供了公司财务会计处
理的汇总情况。所有的账目处理都要在总
分类账中反映出来。 每个处理都要有借贷
科目的输入 。传统上把这一过程称为过账。
总账提供了一个试算平衡来测试各分类账
所有记录的正确性。
167
四,输出
一个交易处理系统有很多输出,系统中产生的任
何一个文档都是一个输出。常见的有:试算平衡
表、财务报表、运营报告、薪金支票、提单和付
款凭单式支票等。
试算平衡表列示了所有总分类账中的账户的余额,
并且检验了记录的准确性。因此它是财务控制和
准备财务报表的基础。
财务报表汇总了交易处理的结果并且表述了这些
结果与财务报告准则的一致性。两种常见的财务
报表是资产负债表和损益表。
168
第三节 复式记账系统的设计
本节内容为阅读内容。
169
第四节 表格设计与记录留存的考虑因素
在企业复式记账中的许多应用系统都是建立在
一个 比较简单的模式 上:产生和处理表格是应用
系统的主要功能。如:账单处理系统用来处理发
票,销售订单系统用来处理顾客的订单。在这些
过程中,表格用来收集信息和提供证据,以证实
系统操作的执行情况 。表格要设计成统一的体系
化的格式,使整个组织的数据处理的输入和输出
标准化。表格可以是纸张文档,也可以是计算机
输入、输出设备提供的电子表格,如视频终端。
一个完整的表格被称为数据处理系统的记录。
170
一、表格的功能
会计相关表格和表格文件有许多功能。主要体
现在以下三个方面:
1,会计相关表格及其文件作为一种媒介用来存储
和传送数据。
2,会计相关表格及其文件作为一种媒介可以促进
企业加强经营管理。
3,会计相关表格及其文件作为一种媒介可以使企
业的经营管理标准化。
171
二、表格设计应予考虑的因素
1,应考虑使用者在 使用上的方便 。例如在表格中设计出清
晰的帮助填写的提示、给分录的编制留有适当的空间、
在不需要由报表的填写者填写的区域中用阴影加以指示
等,
2,纸制 表格的特色要与表格的使用目的综合考虑 。一般应
考虑如下几个因素:( 1)表格的处理次数。( 2)存储
时间或活动用途。( 3)传输方式 ——手工或机器;( 4)
使用数量;( 5)一式多份的所有表格在预印信息和纸
原料方面是否相同。
3,应考虑 表格设计和控制系统工作性质的一致性 。打印好
的表格或显示在屏幕上的表格,都反映了或正在反映着
一定的业务内容以及控制标准等,因而它们在指示工作
流程时常常比那些已成文的程序规定更有意义。
172
三、记录留存上应考虑的因素
在会计系统中必须考虑记录的 留存 问题,包括
原始凭证、账户的记录和表格记录的留存等。会
计法规中对以上这些方面的留存内容、保管者、
保管的期限等都有具体的规定和法律要求,企业
应当按照这些规定和要求做好记录留存工作。此
外,记录留存还必须从内部信息存储和使用的角
度给予充分考虑。既要考虑留存记录的重要性、
完整性和安全性,又要考虑这些存储信息在未来
调用时的方便性。有些非本质的过时的表格不仅
占据空间,还可能影响更多重要信息的获取。
173
第五节 代码设计
一、代码的概念
代码是按照一定规律用数字、字母或其他字符来
代替被处理对象的名称、属性、状态等特征的字
符串。代码系统是所有数据处理系统的基础。
二,代码的作用
?标识识别。用简单的字符序列标识处理对象,位数
少容易确认、记录、存储和识别。
?有规律的代码组合便于计算机分类、汇总、检索和
排序,可提高系统的运行效率和处理精度。
?好的代码体系,便于系统内外信息传递、交换与共
享,充分发挥信息资源的价值。
174
三,代码设计的原则
? 唯一性;
? 标准化和通用性;
? 稳定性和可扩充性;
? 简单性;
? 便于识别和记忆。
四,代码的分类
? 顺序码
按一定的规则,如编码对象发生的顺序、数值的大小
和次序等特性,为编码对象分配相同位数的连续号码。
如:辽宁 —01;吉林 —02;黑龙江 — 03; ……
优点:简单、简短便于处理。
缺点:无逻辑含义,难记忆,信息含量低。
175
?区段码
根据编码对象的特点,将代码分成大小任意的
若干区段,在各区段内分配顺序号码。
如:将全厂部门按“管理”、“生产”和“辅助”
分成三类部门,总数不超 100个,部门编码采
用两位数字的区段码即可,规定 01~39分配给
管理部门; 40~79分配给生产部门; 80~99分
配给辅助部门。
优点:以较少的码位代表不同的对象。
缺点:不能满足复杂的分类。
176
? 层次码
也称组别分类码,它将编码对象按一定的属性特
征分成若干个层次,然后自左至右为每一层次分
配若干位代码,依次对各层次对象分别编码,组
成一个有层次及隶属关系的逐级展开的分类体系。
图 4--2 层次码示意图。
XX XX XXX
小分类
中分类
大分类
图 4-2 层次码示意图
177
举例:
如材料代码( 4位码)
1000
1100
1110
1111
1112
金属材料
黑色金属
钢材
钢板
角钢
2000
2100
2110
2111
2112
化工材料
无机化工
碱类
烧碱
纯碱
其中:第一位是大分类,,1”表示金属材料,,2”表示化工材料;
第二位是中分类,在金属材料下,1”表示黑色金属,,2”表示有色金属;
第三四位为小分类,,11”为钢板 ………
178
层次码的优缺点
优点:
?分类标准明确,有严格隶属关系;
?每一位代码有特定含义;
?便与计算机分类、检索、统计和处理。
缺点:
?码位容易变长;
?不易记忆。
179
? 助记码
将编码对象的名称、规格等特性作为代码的一部
分或全部的编码称为助记码。例如,
KG 千克
MT 米
TV-C-34
2005-12-24
34寸彩色电视机
日期代码,表示 2005年 12月 24日
优点:有表意作用,通过联想可使其易读易记易理解;
缺点:位数较多,不便于计算机处理。
180
五、代码设计
设计步骤:
1,确定编码对象,明确编码目的
2,分析编码对象,确定编码方法
① 决定代码种类
② 决定代码位数
3,编写代码设计书
4,编写代码
181
六,代码维护
代码体系设计和建立后,同样需要维
护。代码维护应该方便、灵活、可靠,
不影响代码体系的正常使用。一般要
编设代码维护软件,使其具备代码查
询、打印、增加、删除、修改、备份
和恢复等功能。
182
本章作业:
1,纸制表格的特色设计成本与其使用目的应当
怎样综合考虑?
2,怎样理解表格设计和控制系统工作性质的一
致性?
3,对于记录的留存应考虑哪些方面的因素?
4,解释层次代码的设计原理及优、缺点。
183
The end
184
第六章
销售与收现循环
185
第一节 销售与收现循环概述
销售与收现循环是企业价值实现的重要
环节,是企业经营的重要组成部分。大多
数经营组织,都需要通过周而复始的产品
销售或提供服务获取营业收入。销售与收
现循环包括向其它主体提供产品和服务并
收款的有关事件。
186
一,销售与收现循环的内容
销售与收现循环包含三项基本的经营活
动,即 销售货物, 应收账款处理 和 现金收
取 。这一循环起始于接受客户订单、确定
销售条件(如赊销或收现以及销货折扣与
客户信用审核)、发运物品或提供客户所
需要的服务、开列销货发票或账单、登录
应收账款及定期对账,直到收回客户支付
的货款和应收账款。具体包括如下操作事
项:
187
1,回应客户的询问,响应客户需求。
2,为提供产品和服务,与客户达成提供产品
或服务的协议。
3,提供服务或装运货物给客户。
4,提供货物或服务的确认。
5,收现。
6,将现金存入银行。
7,报告。
188
销售与收现循环中有三个可变因素,或称
三个可变特征,即 订货方法, 付款时间 和
付款形式 。根据这三个可变特征可以定义
一个公司的销售与收款业务处理模式。书
中表 6.1概括了销售与收入循环中各可变因
素可选择的处理方式,并列出了每种选择
相应的要求。
189
二,销售与收现循环有关的业务文档
1,客户订单
2,销售单
3,提货单
4,发运凭证
5,销售发票
6,汇款通知单
7,收款凭证
8,客户支票
9,未实现销售订单
10,未结清销售发票
190
三、销售与收现循环业务流程介绍
1,销售业务流程
( 1)销售部
销货交易始于销售部门收受来自客户的口头、书面或
电子传递的订单。由于不同客户的订单并无标准格式,
销售部职员必须填制本企业的正式销货单,详细列明客
户姓名与编号、通讯地址、订购产品或劳务种类、数量
与性能要求等,销货单通常为多联式,以备不同目的的
使用。销货单的一联存档于销售部门,放进“待处理客
户订单文档”,以备于日后查阅。“待处理客户订单文
档”必须按客户姓氏字母或编号顺序排列,便于嗣后及
时查阅与答复客户的查询。 见图 6-3。
191
图 6-3 销售部门销售处理
192
( 2)信用审核部
信用审核部的责任在于审批客户信用以及授权销货交
易。信用部职员根据销售部转来的销货单,查阅客户的信
用记录,确定赊销信用条件与限额。对新客户往往需要执
行较详细的信用状况调查,核定其赊销信用额度。对老客
户则着重审阅其货款支付历史记录以及其订货金额是否超
出原先核定的信用限额。经信用审批之后的销货单将退回
销售部,授权把其他各联销货单分送相关的部门处理。
两联销货单(或称为拣货通知)将送至仓储部门,注明
所需的物品品种、数量及提货地点。仓管人员必须签署拣
货单,表明拣货作业的完成以及确认有关资料的正确性。
一联拣货单随物品转送发运部,一联在仓储部存档。仓储
人员应录入存货进出仓备忘录,反映有关存货物品的减少
量。见图 6-4。
193
图 6-4 信用部门销售处理
194
( 3)发运部
销售部先将发运单和装货单(包含若干空白数
字栏)送至发运部。待收到仓储部转来的物品和
出货单之后,经核点拣货单与装运单上列示的品
种与数量并且核实物品、填妥装货单,随物品送
交客户。同时,发运部职员将填制一份交运单,
列明交运物品品种、数量、运输方式、运费,以
及交运物品的所有权和运输责任等资料,送交运
输机构启运物品。随后要:①登录发运备忘簿;
②把拣货单和发运单转送开单部;③将一联交运
单存档。见图 6-5
195
图 6-5 发运部的订销售处理
196
( 4)开单部
这一部门负责对客户开出与寄送销货发票或账
单,同时执行对销货交易资料的调节、核验与汇
总。开单部职员根据销售部和发运部转来的各种
销货交易原始凭证,执行下列的作业:
① 核对销货发票和拣货单与发运通知上的有关资料;
② 在销货发票有关栏次填人单价、税项和运费等资料;
③ 确定销货折扣和货款支付方式;
④ 把销货发票寄送给客户;
⑤ 把已完成销货交易的退回销售部,以便于其结清
“待处理客户订单档”;
⑥ 登录销货日记账;
⑦ 填制一联销货记账凭证转送应收账款部门;
⑧ 把拣货单送往存货控制部。见图 6-6
197
图 6-6 开单部的销售处理
198
( 5)存货控制部
存货控制部依据拣货单资料更新存货明细账记录(反映
有关存货项目的减少),并将拣货单存档,在各个期末,
编制本期存货数量减少汇总,或填制一张记账凭证,送往
总账部门过账。见图 6-7
图 6-7 存货控制部的销售处理
199
( 6)应收账款
应收账款职员负责客户往来户的
登录。依据销货单或销货记账凭
证等资料,登录按客户分设的应
收账款明细账,列明受销货交易
影响的客户姓名(或编号)、地
址、信用资料、交易日期。销货
发票号码、货款金额、销售折让
与退货等资料。在各个期末,编
制应收账款明细账户汇总表或记
账凭证,送往总账部门过账。见
图 6-8
图 6-8应收帐款的销售处理
200
( 7)总账部
在销货交易完成之前,总账部已经收到
来自开单部、存货控制和应收账款职员填
制的交易汇总或记账凭证。总账处理职员
据以分别过入销货、应收账款、存货和销
货成本等总账账户,并且核对有关总账账
户与其所属明细账户的余额,检查过账的
正确性。见图 6-9
201
图 6-9 总账部销售处理
202
2,收现业务流程
( 1)收发室
收发员核对客户寄来的付款支票和缴款通
知回执的项目与金额是否一致,然后把两
者分离,同时编制收款单中第一联收款单
和客户付款支票送往现金收入部门;缴款
回执和第二联收款单送往应收账款部门。
见图 6-11
203
图 6-11收发室收现处理
204
( 2)现金收入
图 6-12 出纳部门收现处理
现金出纳员核对收
款单和客户付款支票,
编制银行送存单。在
各个工作日结束之前,
把客户付款支票和两
联送存单送往银行办
理存款;另一联送存
单和客户寄回的缴款
回执则予以存档。见
图 6-12
205
( 3)应收账款
应收账款职员核对缴款回执和收款单,通过终端机
键入有关资料,产生“现金收入交易档”,然后把缴款回
执和收款单一起存档。
图 6-13 应收账款职员收现处理
206
( 4)总会计师
为确保现金收入交易处理的正确性,总会计师或者一位
不参与现金收入交易的职员,定期(如每周或月)核对由
收发室职员编制的收款单及经银行退回的送存单,检验收
到的客户付款支票是否已如数地送存银行。
图 6-14 总会计师收现处理
207
第二节 计算机系统的销售与收现循环
我们顺序地讨论了销售与收现业务活动,但销售与收现
循环并不是线性和静态的,而是动态的,销售收现业务过
程中的活动与其他业务过程中的活动是相互联系的。 在
MIS阶段,销售与收现循环的许多环节虽然也有相应的软
件系统,但信息技术的应用是不充分的而且存在以下一些
缺陷:
1.多系统
2.过程的子集
3.业务数据没有实时记录和处理
4.数据采集的有限性
5.信息的综合
208
一,销货交易计算机处理系统
在 ERP环境下,企业采用中央计算机系统处理
销货交易。对客户订单处理一般有 三种处理方式,
( 1)整批处理与顺序更新;( 2)整批处理与直
接更新;( 3)实时处理与整批更新。
这里我们仅详细讨论第三种方式。
? 实时处理与整批更新数据资料文档
销货系统采用实时输入与输出,对交易资料档
采取整批更新处理的方式,其系统流程可见图 6-
17所示。
209
图 6-17 实时处理与整批更新系统流程图
210
销货交易实时处理与整批更新系统的主要作业步骤包括:
1.销货交易处理
在实时系统中,销售部职员在收到客户订单时立即把
交易资料输入与主机系统相连接的终端机,然后依次执
行下列作业:
( l)直接读取内置于主机系统中的信用资料档,自动执行
客户信用审核(批准或拒绝对特定客户的赊销);
( 2)直接读取存货控制资料档,检索是否有客户订购的物
品,其存量是否充足。由于每一笔销货交易都将即时自
动减少存货库存的数量,所以实时系统中的存货控制资
料档可随时提供可供销售库存存货数量的信息。
( 3)随时查阅“待处理客户订单”的执行状态。“待处理
客户订单”中包括一个“完成状态”的标记,分别显示
,Y”和,N”。未处理或尚未完成销货作业的客户订单
记录中将显示,N”。如果显示,Y”,则表示销售物品
已经发运,继而将自动对客户开出账单(销货发票),
因此提高销货交易处理的时效性。
211
2.仓储与发运
ERP系统将客户订购的物品和数量等资料同时
传送至仓储部和发运部。仓储部员工根据终端机
显示或打印的拣货单,挑选所需物品并且转送至
发运部。此时,发运部员工通过终端机打印出装
运单,核实物品,选择适当的运输机构,再打印
交运单,办理物品的交运。随后,发运部员工将
发出物品的日期、数量和运费等资料键入终端机,
传送回主机系统,实时更新“待处理客户订单”
的标记,反映销货交易已完成的状态(即在记录
中显示,Y”值)。
212
3.更新交易数据资料
每个工作日结束时,系统的整批更新程
序将自动查阅“待处理客户订单”,依据
已标记,Y”的订单中的有关数据来 更新 应
收账款、存货控制、销货与销货成本等交
易数据文件。系统还将打印客户往来账对
账单,以供对外寄送。此外,必须把已执
行的客户订单的记录从“待处理客户订单”
文件中转出并存入“已完成销货单”文件,
后者的作用类似于人工处理系统中的销货
日记账,也是重要的审计线索。
213
实时处理系统具有以下一些优点:
? 缩短销货处理的作业周期
? 提高企业的竞争能力
在实时处理系统中,存货记录处于实时状态,销售部门职员
随时可以确定是否存在客户订购品种与数量的存货,改进企
业的销售服务品质,有利于留住老客户和增加新客户。
? 增强交易处理的准确性
在实时系统中,实时输入的编辑程序可以在差错发生时立即
发现(如由终端机屏幕实时显示),在销货交易执行之前即
可得以更正,防止或减少不必要的损失。
? 实时系统可减少纸质交易凭证或文件
214
二、收现系统的计算机处理
现金收入交易一般是采用整批处理。虽
然各项销货交易是连续地依次发生的,但
是货款回收(现金收入)则属于非连续性
事项。客户的付款支票往往由邮件整批寄
达,其中可能包含来自同一客户不同批次
的付款或者不同客户的付款。而且,企业
收入现金或货款支票通常是在每个工作日
结束之前整批地送存银行。基于这些特征,
现金收入交易的 实时处理 并不具有明显的
优点。
215
我们以整批处理与直接更新数据资料的工作模式来描述
现金收入的计算机处理步骤:参见图 6-18
1.收发室。收发员核对客户寄来的付款支票和缴款通知回执
的金额与计算机存储数据是否一致,同时编制收款单和
输入客户付款支票;编辑打印或传输缴款回执和收款单。
2.现金收入。现金出纳员核对收款单和客户付款支票,编制
银行送存单。此外,通过终端机产生每个工作日内现金
收入的整批总和。在各个工作日结束之前,把客户付款
支票和存单送往银行办理存款;存单和客户寄回的缴款
回执则予以存档。
3.应收账款。应收账款职员核对缴款回执和收款单,通过终
端机键入有关资料,产生“现金收入”文件,然后把缴
款回执和收款单一起存档。
216
4.信息处理。每日工作结束之前,整批处理计算机
程序将自动核对控制总和文件记录和现金收入
文件记录,依据直接更新方式对应收账款明细
账和总账过账。此后,计算机系统将产生一份
过账作业清单,送往应收账款部门以 复核过账
处理结果 。
5.总会计师。为确保现金收入交易处理的正确性,
定期(如每周或月)核对由收发室职员编制的
收款单及经银行返回的送存单,以检验收到的
客户付款支票是否已如数地送存银行。
217
218
第三节 销售与收现循环的风险与内部控制
销售与收现过程可能面临下述风险:
1.将产品赊给信用不良的用户。
2.出货错误。
3.存货失窃。
4.出货时未开列账单。
5.开单错误。
6.现金失窃。
7.更新应收账款时,过账错误。
8.资料毁损。
9.业绩不佳。
219
针对以上风险,销售与收现循环中应强化
以下各环节的内部控制:
1,适当的职责分离
① 接受客户定单的人员不能同时是负责最后核准
付款条件的人员 ;
② 发货通知单的编制人员不能同时负责货款的收
取,产品的包装和托运工作;
③ 填制发票人员不能同时担任发票的复核工作;
④ 办理退货实物验收工作的人员必须同退货账务
记录分离;
⑤ 应收账款的记账人员不能同时成为应收账款的
核实人员。
220
2.正确的授权审批
授权审批是指每一项经济业务的执行必须经过
一定形式的授权或批准。销售业务中主要有以
下三个审批环节:
① 在销货发生之前,赊销业务经正确审批;
② 非经正当审批,不得发出货物;
③ 销售价格、销售条件、运费、折扣等必须经过审
批。
前两项控制防止企业可能向虚构的或者无力
支付货款的顾客发货而遭受损失,价格审批控
制则保证销货业务按照企业政策规定的价格开
票收款。
221
3.充分的凭证和记录
充分的凭证与记录是现代企业内部会计控制的重要因
素,是记录和反映经济业务的载体,也是其他控制形式
的有效保证。凭证与记录需预先连续编号,检查全部有
编号凭证与记录是否按规定处理,这是检查完整性的重
要控制措施,可以有效地防止经济业务的遗漏和重复,
并可根据完整性检查发现是否存在舞弊现象。
例如,企业在收到顾客订货单之后,立即编制一份预
先编号的一式多联销售通知单,分别用于批准赊销、审
批发货、记录发货数量以及向顾客开具销售发票的控制
制度,会比企业仅仅在发货以后才编制销售发票大大减
少漏开销售发票的情况
222
4.资料接近控制
在信息化了的企业中,大部分交易资料和会计
记录都存储于磁性载体,极易受到未授权的擅
自接近,存在产生舞弊或毁损的风险。在实时
交易处理系统中,这一风险程度更高,因为许
多交易资料并不存在纸质的后备记录或资料。
为加强磁性载体上业务记录的防护,必须建立
必要的制度,严格限制对交易文件或资料以及
各种计算机应用程序的接近。
223
5.内部核查程序
由内部审计人员或其他独立人员核查销货业
务处理过程和处理记录,是实现内部控制各项
目标所不可缺少的一项控制措施。由于计算机
系统集中执行销货与收现交易的多项处理职能,
省略了一些传统的常规的独立核验控制过程,
故有必要采用其他一些弥补性控制,如核对每
次运算处理后产生的整批总和与原始凭证控制
总和,及时输出差错报告,提示使用者检验更
正。另外,计算机程序处理结果输出报告,可
送呈使用部门核验,以保证交易资料处理的正
确性。
224
本章作业:
1,销售收现循环涉及那些主要的单据,这些
单据在手工系统和计算机系统中有什么不
同?
2,销售与收现过程可能存在那些风险,针对
这些风险应该实施哪些内部控制?
225
THE END
226
第九章
信息技术环境下企业内部控制
227
任何企业在其经营活动中都会面临各种
各样的风险,企业的发展过程就是不断与
各种风险打交道并降低和避免各种风险的
过程。而信息技术的广泛应用,使企业的
生产、经营与管理模式产生了巨大的变化,
一方面信息技术应用为企业增强了竞争力
的同时带来了新的风险,另一方面信息技
术也能为控制风险提供新的手段。作为企
业管理重要组成部分的内部控制必须进行
改革,以适应新的情况,本章就来讨论这
些问题。
228
第一节 现代企业面临的风险
与内部控制的重要性
控制是针对风险而设立的,风险是导致
一个组织或机构发生损失的可能性,而控
制则是降低或减少风险的活动。风险损失
的大小是该风险事件发生的概率与该事件
可能造成的损失的乘积。风险不仅仅是由
于缺少控制而产生的,它是任何组织的经
营活动中固有的,其原因多种多样。控制
可以减少风险,但不能消除其起因。
229
一、企业在运营过程中面临的传统风险
过高的成本;不足的收入;资产的流失;
会计的失误;经营的中断;违规的处罚;
竞争的弱势;舞弊与盗用;白领犯罪;法
人犯罪。见图 9-1
230
不足的收入
过高的成本 资产流失
经营的中断
舞弊与窃取
会计的失误 竞争的弱势
违规被处罚
常见的风险
图 9-1 企业面临的传统风险
常见的
传统风险
法人犯罪
白领犯罪
231
? 白领犯罪
是指管理层犯罪,这类犯罪有别于其他非法活
动,它发生在犯罪人的工作中,当管理人员通过
某些欺骗手段将资产转移用途或隐瞒时,白领犯
罪就发生了。如会计作假账就是白领犯罪行为。
? 法人犯罪。
是指表面上看只是对企业或组织有利,不是对
犯罪者个人有利的白领犯罪,而实际上犯罪者个
人是间接受益的。法人犯罪给组织带来的风险可
能更大。
232
二、信息化后企业面临的新风险
1,计算机系统消除了手工的大部分交易处理痕迹
2,计算机系统中交易的授权和执行与手工系统有
很大不同
3,重新安排职责分离
4,对信息系统内控的依赖性,增加了差错多次发
生的可能性
5,更严峻的风险
① 数据集中存储和管理,一但出现硬件故障,比如主机系统
损坏,可能导致数据丢失甚至造成毁灭性的灾难。 ② 业务数据和财
务数据集成以后,内部管理上权限控制是重新分配的,新的控制措
施跟不上,就有可能造成控制的漏洞。 ③ 在信息技术环境下,对技
术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在
极端情况下,可能会造成机器毁坏或整个系统瘫痪。 ④ 信息在互联
网上传输,产生了易泄露的风险,还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。
233
信息技术是双刃剑,有正面的价值,也有负面
的影响。我们的任务就是千方百计发挥和利用信
息技术的正面效用而减少或避免其负面影响,这
就为内部控制提出了新的挑战,我们必须认识这
一点。好在信息技术在内部控制工作中也可以大
有作为,甚至可以帮助完成人工不可能实现的控
制任务,这完全取决于我们的研究与探索。企业
信息化完全改变了原来业务处理的模式、秩序、
稳定性和安全性,需要我们建立一个全新的信息
技术环境下的以信息技术为工具的内部控制体系,
也就是要建立一个基于信息技术的具有稳定性、
安全性的新的业务处理模式。
234
第二节 信息技术环境下
企业内部控制的一般概念
一、内部控制的基本概念
美国 COSO委员会在, 内部控制 ——整
体框架, 中将内部控制定义为:内部控制
是由企业董事会、经理层和其他员工实施
的,为营运的效率效果、财务报告的可靠
性、相关法令的遵循性等目标的达成而提
供合理保证的过程。对此定义我们可作如
下理解:
235
1,内部控制是一个流程,受公司董事会、管
理层和员工行为的影响。内部控制流程中
一切活动的设计,都必须始终围绕实现下
列三个目标提供合理的保证:
? 经营的效果与效率;
? 财务报告的真实与可靠;
? 经营活动的合法与合规。
236
2,内部控制的实施基于两个前提:
? 第一个前提是 责任, 管理层和董事会有责任建立
并维持一个有效的内部控制流程。虽然具体的控
制活动的责任由某些下属承担,但最终的责任仍
属于最高管理层和董事会。尽管内部审计师最熟
系内部控制的知识,但内部控制并不是由审计师
负责,而是由管理层负责。审计师负责为管理层
提供有关内部控制如何运行的信息。
? 第二个前提是 合理合的保证,这与控制的成本和
收益有关,精明的管理层不会让花在控制上的钱
超过从控制上所能得到的收益。即控制的合算性。
237
3,内部控制还要受到外部法制环境和企业经
济环境的影响
? 任何企业都受制于国家发布的相关而具体的法律法
规。一个企业必须保证它的所有生产经营活动符合
国家颁布并已生效了的相关法律法规。否则,违规
违法都会遭受处罚,形成经济损失。内部控制就是
保证企业活动符合相关的法律法规的活动。
? 企业的内部控制流程将会随着某些情况的不同而改
变,这些情况包括企业的规模,组织结构,所有者
特征,传送、处理、保存和评价信息的方法、法律
法规的要求,经营的多样性和复杂程度等。比如,
小型企业中就可能没有足够的雇员来做到和大企业
同样程度的职责分离。
238
二、信息技术环境下的企业内部控制的目标
确定内部控制的目标是管理过程的一个重要组
成部分,是搞好内部控制的先决条件。内部控制
的目标决定了内部控制的要素、手段和具体实施
办法。控制是为了减少风险,在对企业的风险分
析中,常常结合经营活动的四个一般循环来进行,
每个交易循环都可能存在风险,那么管理层就应
该明确每个交易循环的具体控制目标,这些控制
目标为分析风险提供了一个基础,便于找到风险
并评估其大小,从而有针对性地设计控制措施。
图 9-2 列出了每个交易循环的典型控制目标。
239
典型的控制目标
收入循环
顾客应该是按管理层的标准认可的
所提供的货物和服务是按管理层的标准认可的
所提供的货物的装运应以给顾客的账单为结束
给顾客的通知单应被准确分类、总结和报告
支出循环
供货商应该是按管理层的标准认可的
雇员应该是按管理层的标准录取的
员工工资、费用记录应该是按管理层的标准批准的
报酬率和工资扣减应该是按管理层的标准认可的
付供应商的货款应该被批准、适当的分类、总结并报告
生产循环 生产计划应该是按管理层的标准认可的产品的生产成本应该被批准、适当的分类、总结并报告
财务循环 债务记录的金额及时间应该是按管理层的标准认可的接近现金及证券的行为应该是按管理层的标准批准的
图 9-2 交易 循环中典型的控制目标
240
三、内部控制的五大要素
一个企业的内部控制过程包括五个要素:
控制环境,风险评估,控制活动,信息与
沟通,监督。 COSO将内部控制要素以一个
金字塔结构提出,其中控制环境作为金字
塔的最底部,风险评估和控制活动位于上
一层次,信息和沟通接近顶部,监督处于
最顶端。如图 9-3所示。
241
控制环静
风险评估
控制活动
信息与沟通
监督
内
部
控
制
图 9-3 内部控制五要素
242
(一) 控制环境
一个组织的控制环境是控制系统中其他要素的
基础 。控制环境是 各种因素 共同作用的结果,这
些因素可以增强或弱化内控措施的实施效果。因
此,控制环境决定着组织的整体风格,左右着员
工的控制意识,直接影响控制效果。控制环境包
括企业文化;包括企业的经营重点和经营目标;
包括管理层的管理哲学和经营风格;包括企业实
施的权责分配方法和执行的人事政策;还包括员
工的职业道德、敬业精神和个人才能等。
243
构成控制环境的主要因素:
? 道德准则
? 企业文化
? 敬业精神
? 管理哲学
? 组织结构
? 董事会及下属委员会的职能
? 权责分配方式
? 人力资源政策与实施
244
?道德准则
潜在的道德违规对企业意味着重大的损失
风险。这些风险可能是缴纳巨额罚金,也
可能是企业行政官员被起诉。比如,美国
一家利用氰化物从胶卷中提取银的公司,
曾导致一名员工死亡。该公司被指控蓄意
营造危险工作环境,三位行政官员被判谋
杀罪定刑 25年监禁。
245
?企业文化
每个企业都有自己的企业文化,企业文化与全
体员工的一般信念、追求、价值取向、行为和态
度有关。企业文化可能促进也可能阻碍企业的道
德行为,进而影响内控的效果。如果企业文化存
在严重问题,内控效果就会大打折扣,一个健康
的企业文化会使内控事半功倍。
塑造一种具有高尚道德行为的企业文化十分困
难,它需要员工有较高的受教育程度,有较高的
觉悟和组织纪律性;需要管理者具有莫大的人文
关怀和公平、公正而又艺术的执政风格。
246
? 敬业精神
任何内部控制过程要想发挥作用,员工
的能力都是必不可少的。员工的品质、能
力和敬业精神保证了控制过程的执行。若
没有具有足够能力和起码觉悟的员工,任
何控制过程都不能发挥作用。
247
?管理哲学
一个组织中的有效控制基于并且依赖于
组织的管理风格。如果管理层相信控制是
重要的,那么他就应该实行监督使得控制
措施得到有效执行。如果管理层只把控制
的重要性停留在口头上,久而久之其下属
会觉察到管理层的真实态度 —说说而已,
从而使控制的目标得不到实现。
248
? 组织结构
一个组织的结构是由这个组织中的授权和责任类型决定的。如下图。
总 裁
生产副总裁 内部审计长主计长销售副总裁财务主管管理副总裁
生产控制
采购
装运
收获
存储
生产
成品
存货控制
预算
纳税筹划
会计经理
计时
开单
应收账款
应付帐款
成本会计
薪酬
费用分类账
总分类账
促销
顾客服务
销售订单
人事
效益
经营
办公室
收发室
信贷
出纳
保险
图 9-4 组织结构图
249
图中开单人对会计经理负责,会计经理对
会计主管负责,会计主管则对总裁负责。
一个企业需要建立科学而有效的组织结构,
使得权责分明,沟通渠道规范。如图中所
示,开账单的人不应该把行动的结果向生
产副总裁报告,否则就是非正常的组织结
构。
250
?董事会及委员会的职能
一个组织的董事会是连接组织的所有者 —股东
和组织的经营 管理层 的纽带。股东们通过董事会
及其下设的委员会对管理层进行控制。董事会通
常将专有的职能售给各种各样的委员会,其中最
为重要的就是 审计委员会 。审计委员会应独立于
组织的管理层,主要由董事会以外的人员组成,
其职能是对组织的财务报告负责,包括遵守现行
的法律法规。审计委员会任命执业会计师,与他
们讨论审计的范围和性质,并评价该组织的编制
的财务报告。为保持内部审计的独立性,内部审
计应直接向董事会下属的审计委员会报告。见图
9-5
251
董事会
董事会下属的
审计委员会
总裁
内部审计 其他人员
主计长
图 9-5 审计委员会
252
? 权责分配方式
一个组织的权责分配方式取决于组织内
部的管理风格和经营模式。如果只有口头
上的或非正式的权责分配形式,控制可能
会弱化或形同虚设。一张正式的组织结构
图或一份书面文件经常用来表明组织总体
的权责分配情况,组织结构图往往与正式
的 职责描述 和职责分配的陈述联合使用。
书面备忘录、政策手册和程序手册也是一
些组织常用的权责分配手段。
253
? 人力资源政策和实施
公司的正式职员应该是称职的,并且进行
过大量有关职责方面的培训。大量实践和
分析表明,职员在任何一个控制系统中都
是最为关键的因素。公司为每一个工作职
位建立的用人条款都应该反映与这个职位
相关的责任和具体要求,如:经验、才能
品质、奉献精神和领导能力。在用人政策
的实施中常采用以下控制措施:
254
? 忠诚保险
为职员的忠诚买保险,以便得到可靠的雇员。
? 职责分配
明确每一个员工职务和责任,界定职责范围。
? 监督
被授权的人对员工直接督察,确保职责按分配执行。
? 轮流工作和强制休假
令员工在某段时间内执行其他员工的任务,以检查和
校验其他人的业务。
? 双重控制
两个执行同一任务的员工必须经常相互检查同伴的工
作,建立责任共同体。
255
(二) 风险评估
风险评估是提高内部控制效率和效果的
关键。任何组织都会面临来自其内部和外
部的风险,各个组织都必须进行风险评估,
以识别、分析、管理风险。一般而言,风
险会随以下因素而产生或变化:经营环境
变化、改造和更换新的信息系统、新的员
工、新技术应用等。不健全或无效的内部
控制措施就是风险存在的信号。
256
(三) 控制活动
控制活动是指管理者为了确保管理指令能够得以
有效实施而制定并实行的各种政策和步骤。旨在为
组织中每个特定的控制目标的实现提供合理的保证,
这些特定的控制目标包括:
? 必须有任务分割以防止员工在其正常职责范围内作弊
并隐瞒 。(职责分离)
? 设计和使用适当的文档和记录以保证交易和事件的适
当记录 。(留迹)
? 只有得到管理层的授权才能接近资产 。(物理隔离)
? 对资产和工作情况的相关责任进行独立的检查。
? 对数据处理进行控制以保证交易的合理授权、业务数
据处理的准确性与完整性。
257
(四)信息与沟通
围绕在控制活动周围的是信息与沟通系统。该
系统使企业内部的员工能够取得他们在执行、管
理和控制企业经营过程中所需要的信息,并交换
这些信息,使企业内部的每一个员工都能够履行
其职责。有效沟通的含义包括:必须了解自己在
内部控制制度中扮演的角色,以及每个人的活动
如何影响他人的工作;必须具有相上沟通重要信
息的渠道和方法;还应向顾客、供应商、政府主
管机关和股东等进行有效沟通。健全的 信息系统
必须以标准化的文件、报表、政策手册、备忘录
等形式,有效地传输或沟通各种信息。
258
(五) 监督
监督是指长期评价内部控制质量、必要时还要
采取必要行动的一个不间断的过程。
监督是对内部控制的整体框架及其运行情况的
跟踪、监测和调节,以自始自终确保其有效性。
监督可以通过日常的监控活动来完成,也可通过
执行独立监督(内部审计和外部审计)或二者结
合起来实现。如内部审计的目标就是通过向管理
层提供对以下活动或系统的分析与评估的结果,
来为管理层服务:
? 组织的信息系统
? 组织的内部控制结构
? 对经营政策、程序和计划的遵守程度
? 公司员工的业绩质量
259
内部控制的三个目标之间具有直接联系,
他们代表了企业努力的目标;而五项要素
代表了实现这些目标的所需元素。所有五
项要素都与每一类目标相联系。为实现每
一类目标 ——如经营的效率和效果 ——需
要五项要素共同发挥作用,以说明经营的
内部控制是有效的。
这五项要素既相互独立又相互联系,
形成一个有机统一体,对不断变化的环
境自动作出反应。
260
(一)业务控制与信息系统控制的分离
信息技术的应用对内部控制五要素的影响
程度是不同的。其中,由于控制活动是实
现控制目标的规章制度、岗位设置和流程
定义等具体措施,而且依赖于企业的业务
流程,所以业务流程的自动化必然对控制
活动产生的影响最大。信息技术环境下的
控制活动分离出两个分支:自动化业务控
制和信息系统控制。
四、信息技术环境下内部控制的变化
261
1,自动化业务控制
自动化业务控制就是以信息技术实现的传统控
制活动,如机上授权,机上审批等。他的控制目
标与传统控制活动的控制目标一致,都是为了达
到营运的效率效果、财务报告的可靠性和相关法
令的遵循性等目标。自动化业务控制的控制对象
与传统业务控制的控制对象是一致的,都是企业
的生产经营过程。不过,自动化业务控制的存在
形式和控制手段发生了很大变化。它 以计算机程
序的形式嵌入企业的信息系统中,对业务的控制
由计算机自动执行。
262
2,信息系统控制
信息系统控制是为了保证信息系统效率、安全性和完整
一致性而采取的控制措施。信息系统控制的控制目标服从
于业务控制目标,包括以下三点:
? 效率
信息系统的全部资源应该被充分开发利用。
? 安全性
信息系统的软、硬件和数据资源应得到最高水平的保护,
敏感部位应防止未经授权的人员接触。
? 完整一致性
信息系统的完整性一致性指信息系统的处理逻辑应该符合
企业的商业规则,所输出的信息精确而有效。
263
信息技术环境下控制活动的结构:
264
(二)控制活动的变化
在信息化程度较高的企业中,传统的手工业
务控制活动完全由自动化业务控制活动所取代。
自动化业务控制与信息系统控制其控制活动有
许多不同的特点,具体变化如下:
1,交易授权
交易授权是将交易的执行限定给经过选择的
人。信息技术环境下的交易授权有以下几点变
化:( 1)交易授权自动化。( 2)授权过程不
明显。
265
2,职责分离
职责分离通过将 交易授权, 交易记录 和 资产
监管 等职责分配给不同的人得以实现。即:交
易(业务)活动要得到授权;活动情况(结果)
由另外的人记载(记账);负责交易的人不能
监管资产;监管资产的人不能单独记录(记账)
资产增减。
在信息技术环境下,能用计算机进行自动处
理的业务流程中的职责没有必要进行划分。因
为计算机没有私心,也不会倦怠,在其运行过
程中不会像人那样会犯错误或故意作弊,原来
手工环境下本不相容的职责,现在由一个程序
模块来执行也不会出问题。
266
3,监管
监管是指管理者对员工的监视和管理。监管是针对职责
分离不充分的一个补救措施。充分的职责分离需要企业有
大量的员工,这对中小型企业和一些缺少人手的部门来说
有一定困难,所以不充分的职责分离在所难免。为了避免
不充分的职责分离可能带来的损失,企业采用监管作为补
救的措施。在信息技术环境下,自动业务流程中的职责分
离大部分被计算机程序所取代,不存在职责分离是否充分
的问题,所以没必要针对自动业务流程进行监管。但是,
信息系统的开发、维护和处理操作等活动仍然存在着职责
分离,而且管理这些活动中的员工有一些新的难点,所以
对信息系统的监管十分重要,传统的监管手段也发生了一
定的变化。
267
4,业务记录
业务记录是指企业为了反应和控制各项生产经营业务以
文字形式对业务活动的发生、进展和结束等的全过程进行
记载,主要包括业务活动的授权记录、接受记录和会计记
录等。这些记录反映了经济业务的实质,并为内部控制和
审计提供了交易轨迹。
在信息技术环境下,业务记录的载体由纸质变成了磁质。
同时,纸质的交易轨迹不复存在,取而代之的是数据库记
录和操作日志等磁记录。信息技术在改变交易轨迹形式的
同时也对交易轨迹的法律效力产生了影响。员工在纸质凭
证上的签字可以证明确实是他对交易进行了授权或确认,
但在磁质交易记录上的操作员字段信息的法律效力却受信
息系统的完整性、正确性和安全性的影响。
268
5,接触控制
接触控制是保证只有经过授权的人才能
接触企业资产的控制行为,限制非授权者
接近资产,常用方法如下:
?现金登记簿和保险柜
?锁、保险库和禁区
?人力保卫
?监视器
?报警系统
当然,上述措施要配套:比如锁要有钥匙,
监视器要有人监视才行。
269
6,独立稽核
独立稽核是指验证另一个人或另一个部门执行的工作。
通过独立稽核,管理层可以评估员工的业绩、信息系统完
整性和交易记录的正确性。独立稽核是一种事后措施,不
同于监管。在手工环境下独立稽核是非常必要的,因为员
工处理业务时可能会失误,而失误可能没有被监管等措施
所发现,此时独立稽核便成为最后的防范措施。在信息技
术环境中,正常情况下计算机会始终如一地根据程序运行,
如果程序精确而完整,那就没有必要对程序运行的结果进
行日常性的检查,这也正是信息技术的应用会降低企业运
行成本的一个重要方面。但是这并不意味着企业没有必要
进行独立稽核。在信息系统维护或业务发生变化时,独立
稽核仍然是确保计算机系统运行正确性的重要控制措施。
270
由于上述种种变化,企业在制定内部控
制制度设计内部控制措施时,应该对五个
要素特别是控制活动要素充分考虑信息技
术应用带来的影响。因为原来合理的、有
效的控制措施,现在可能变得没有意义;
原来不存在问题的业务环节,现在由于处
理方式的改变可能风险陡增。这就需要认
真研究和识别控制对象与控制活动的变化,
设计相应的有针对性的控制措施。
271
第三节 信息技术环境下的交易处理控制
设计交易处理控制的目的是确保一个组
织的内部控制的元素被用于实施某些应用
系统,这些应用系统包含于组织的每个交
易循环中。交易处理控制由 一般控制 和 应
用控制 组成。一般控制影响全部的交易处
理;应用控制则被用于某些具体方面。
272
5.3.1 一般控制
一般控制也即整体控制。实施一般控制的
目的是为了确保信息系统的开发、实施、
运行能在有序地、被控制的状态下运行。
一般控制作用于所有的应用系统,成为围
绕应用系统的保护层。见图 5-7。
273
高层管理控制
应用控制
信息系统的管理控制
系统开发与维护控制
数据资源管理控制
质量管理控制
安全管理控制
信息系统外包管理控制
运行管理控制
图 5-7信息系统一般控制框架
274
① 高层管理控制
随着企业信息化不断深入,信息系统已经成
为企业提供有竞争力的产品和服务的一项基础设
施。因此,为保证信息系统的有效运行,必须全
力做好信息系统的管理控制工作。 CIO应通过下
列手段对信息系统进行管理控制:
? 规划 规划工作建立一个组织的信息系统的目标。
? 组织 筹集、分配实现目标所需的人、财、物资源。
? 控制 对信息系统实施总体控制:确定系统所需费
用;分析系统可创造价值;控制系统人员的
业务活动。
275
② 系统开发与维护控制
系统开发与维护控制是对新系统的分析、设计、实施以及现有系统
的改进与维护实施的控制。具体包括三个方面:
? 系统开发控制
如有可能,内部审计人员应参与系统开发,除对开发过程进行监督,更
重要的是促使技术人员完善系统中应当嵌入的内部控制措施和审计功能。
? 系统维护控制
系统维护往往会“牵一发而动全身”,程序、文件、代码的任何修改都
是非同小可的事情。所以必须严格控制,一切维护活动,都必须得到授
权与批准。
? 系统档案控制
系统档案是系统开发留下的痕迹,是系统维护的指南,是开发人员与用
户交流的工具。必须妥善保管并制定措施确保文档的一致性或分版本存
档。
276
③ 数据资源管理控制
数据库中的数据是企业的重要资源,数据库的正确使用
及数据的完整性、安全性是整个信息系统运行和为企业提
供决策的重要环节。因此对其应实施下列控制:
? 访问控制
首先,通过密码和身份鉴别对访问数据库的人进行
限制,其次,通过权限设置对数据库数据的访问范
围进行限制。
? 建立数据备份和恢复制度
软、硬件故障、操作失误、人为攻击都会影响数据
库中数据的正确性甚至全部丢失。因此,必须设定
和实施适当的后援和恢复策略,一旦发生故障,可
在最短时间内恢复数据库的正常状态。
277
④ 质量管理控制
为了确保信息系统达到特定的质量目标,
信息系统的开发、实施和维护应遵守一系
列的质量标准。因此,国外的一些组织中
出现了信息系统质量保证角色,其职能包
括:制定信息系统的质量目标;制定、发
布和维护信息系统标准;监控质量标准的
执行情况;识别应当改进的方面;向管理
者定期报告各项标准的执行情况。
278
⑤ 安全管理控制
安全管理控制的目的是为了确保信息系统的硬件、软件、
核数据资源受到妥善保护,不因自然和人为因素而遭到破
坏,使信息系统能够持续正常地运行。安全管理控制包括:
? 实体安全控制
? 软件安全控制
? 数据安全控制
? 数据安全控制
? 系统入侵防范控制
? 通信安全控制
? 病毒防范控制
279
⑥ 信息系统外包管理控制
由于信息系统更新换代的周期短,信息系统工作
人员的流动性高,人工费用与设备维修费用十分
昂贵,因此,近年来在先进的发达国家出现了利
用外包信息系统资源的方法,简称“外包”。外
包指组织只专注于自己的特定业务,而将相关的
信息系统业务承包给外部的信息服务机构。通过
外包,企业可以提高对信息技术、信息人才的利
用效率,显著降低信息系统的运营成本,使企业
可以将自己的力量集中于其核心竞争优势方面,
更加集中于实现企业的战略目标。
280
续:
外包必须有特定的人员来负责监督控制,
主要有:不断评价外包商的财务能力;监
督外包合同条款的执行;通过要求外包供
应商定期提供一个第三方的审计报告或由
客户的内部审计人员和外部审计人员定期
审计其控制,对外包商控制的可靠性进行
监督,确保外包商提供安全可靠的信息系
统资源;建立外包灾难恢复控制,并定期
评价这些控制,如果外包商发生灾难事项,
客户也应设计自己的在难恢复程序。
281
⑦ 运行管理控制
运行管理控制是针对信息系统中硬件和软件设施的
日常运行而实施的控制。主要包括:
? 访问计算中心的控制
? 计算机操作控制
? 文件服务器控制
? 硬件设备维护控制
? 文档资料与存储媒体的控制
? 技术支持活动的控制
? 监控硬软件的性能
282
5.3.2 应用控制
应用控制是具体控制或微观控制,它与
具体的应用系统有关,是为了确保数据处
理完整正确而实施的控制。应用控制可以
由人工实施控制,也可以由计算机程序实
施自动化控制。我们将应用控制分为输入
控制、处理控制和输出控制,三者之间的
关系如图 5-8所示。
283
使用者显示输出
打印输出
交易原始凭证 转换为机器 可读媒体
编
辑
程
序
数
据
处
理
磁盘输出输入终端操作员
使用者
使用者
输入控制 处理控制 输出控制
图 5-8 输入、处理和输出控制示意图
284
? 输入控制
输入控制是为保证输入系统的数据正确、
完整和可靠而设计的控制。具体包括:
① 原始单据审核控制
② 输入数据正确性控制
③ 数据输入完整性控制
④ 数据逻辑控制
⑤ 错误纠正控制
285
? 处理控制
处理控制是为了保证数据处理的正确性和
完整性而实施的控制,这种控制是通过预
先编好的计算机程序实现的。具体包括:
① 处理权限控制
② 参照检查控制
③ 数据合理性检验控制
④ 业务时序控制
⑤ 审计踪迹控制
⑥ 备份与恢复控制
286
? 输出控制
输出控制的主要目的是保证输出信息的正
确性,并确保只将其提供给经授权的使用
者。具体包括:
① 输出数据的正确性控制
② 输出数据审核控制
③ 输出权限控制
④ 由控制组进行控制
⑤ 输出资料的分发控制
⑥ 差错更正控制
287
第四节 内部控制的深层思考
一、人的因素第一
人是所有内部控制中最为重要的因素,首先,
人无完人,他们会疏忽、会犯错误;人有私心,
为谋取个人利益,可能会犯罪。如果人都是完美
的,那么内部控制就完全没有必要,只能是资源
的浪费。内部控制归根结底是对人的控制,它的
最基本的功能就是影响商业机构内人的行为。其
次,内部控制措施靠人来制定,靠人来实施。内
部控制过程许多情况下是一些人对另一些人工作
的检查过程,因此,制定和实施控制措施的人必
须具有较高的业务素质,才能使控制措施科学有
效、合规合算、好理解易操作。
288
二、控制的适度性
一个信息系统有多个目标,首要的目标是运
行效率,信息的可靠性和安全性也是重要
目标,这些目标之间往往会发生冲突,信
息系统的运行效率常会受到对信息可靠性
顾虑的限制。控制其实是一种重复劳动,
它们影响了运行效率,但增加了输出结果
的可靠性。过度考虑可靠性和安全性可能
会降低效率,但忽略可靠性与安全性只强
调效率也会牺牲可靠性与安全性,两者必
须权衡与兼顾。
289
三、内部控制过程分析
搞好内部控制,不仅要关注内部控制系统是如
何设计的,还要充分了解这个控制系统是如何运
作的。实际的运行过程可能与预期的过程不一致。
比如文档记录可能已经过期了,组织可能已经启
用了新的程序,还可能为了适应一些最初设计时
没有预料到的环境变化对程序作了非正式的修改。
这就需要定期调查了解收集信息,以检查责任或
权限是否转移,批准与核实是否得到执行。有关
内部控制责任的文档必须予以检查,以评价系统
运行的可靠性。设计一个内部控制过程只是问题
的一个方面,内部控制责任真正按照规定运行才
是问题的关键。
290
本章作业:
1,什么是法人犯罪?
2,公认的是计算机处理增加了组织中发生负面事
件的风险,可为什么我们还要努力实现企业信
息化?
3,从控制和被控制两方面来说明人是所有内部控
制的重要因素。
291
THE END
292
第十章
信息系统安全
293
信息安全系统是控制与企业业务处
理信息系统有关的特别风险的系统。
是企业业务处理信息系统的伴随系统
或称影子系统,因为只要有信息系统,
就要建立信息安全系统。
294
第一节 信息系统安全概览
信息安全系统 和任何一个信息系统一样
有其基本构成要素:如硬件、数据库、处
理过程以及报告等。例如,涉及软件使用
的记录和违反安全的情况被实时收集,存
储于数据库,用于生成报告。
295
一,信息安全系统的生命周期
信息安全系统也是一种信息系统,也有自己的生命周
期。也要经历系统分析、设计、实施,以及运行、评
价和维护各生命阶段。它从生到死各阶段的目标如下
表所示:
生命周期阶段 各阶段目标
系统分析 分析信息系统的脆弱性和面临的威胁极其损失风险
系统设计 设计安全控制措施和制定偶然事件计划
系统实施 按照设计实施安全控制措施
系统运行、评价和
维护
运行安全系统并评估其效果和效率,对其存在的问题
和不足进行修正完善。
表 6-1 生命周期各阶段目标
296
二,组织中的信息安全系统
信息安全系统若想有效,必须由一位首席安全官 (cso)
来管理。为使其工作具有足够的独立性和少受干扰,
此人应当直接向董事会报告,以获批准。报告应分阶
段如下表所示:
生命周期阶段 给董事会的报告
系统分析 一份有关所有损失风险的总结
系统设计 控制风险的详细计划,包括信息安全系统的整体预算
系统实施,系统运行、
评价和维护
信息安全系统的实施细节,包括一个损失和安全破坏的
分条细目、一份符合性分析以及运行安全系统的成本
表 6-2 生命周期各阶段( cso )应提交的报告
297
三,信息系统的脆弱性与威胁分析
分析信息系统的脆弱性与威胁有两种方法:定量分析方法和定
性分析方法。
? 定量分析方法
每种损失风险由单个损失成本与其发生的可能性的乘积计算
而得。见下。
风险类型 潜在损失 风险系数 损失风险
数据窃取 700000000 0.050 35000000
舞弊与病毒攻击 1200000000 0.025 30000000
恶意破坏 2500000000 0.010 25000000
文档变更 400000000 0.050 20000000
程序变更 80000000 0.020 1600000
设备盗窃 15000000 0.100 1500000
自然灾害 100000000 0.008 800000
表 6-3威胁分析报告
298
? 定性分析方法
这种方法仅仅列出信息系统的各种脆弱性
和威胁,根据他们对组织总损失风险影响
的大小,主观地将其 分为各个等级 。有时
为了直观醒目,每种等级用一种颜色表示,
如:黑色、红色、橙色、黄色和绿色等。
不论哪种分析方法,以下几个方面都要进
行分析评估:业务中断;软件损失;数据
损失;硬件损失;设备损失;服务与人员
损失。
299
第二节 信息系统的 脆弱性与面临的威胁
脆弱性是指信息系统的薄弱环节,威胁是
利用这种脆弱性的可能性。威胁有两种:
主动威胁(利用信息系统舞弊和破坏)与
被动威胁(系统故障和自然灾害)。
一,信息系统舞弊的严重性
系统安全是一个国际问题,各国都吃过利
用计算机舞弊带来的苦果,因此纷纷制定
了严厉的相关法律。
300
二,把威胁引入信息系统的个人
对信息系统的成功攻击需要接近硬件、软件或
敏感数据。三类人最有可能将威胁引入信息系
统,他们是:计算机系统员工、用户和计算机
窃密者。
1,计算机系统员工
包括维护员、程序员、操作员、信息系统管理员和数
据控制员。维护员经常安装硬件和软件、维修硬件和修
改软件上的小错误。在任何情况下,维护人员都可能运
用这种权力非法浏览并修改数据和程序文档。程序员可
能对存在的程序作不良修改,或者编写不良的新程序。
301
网络操作员可以秘密地监控所有的网络通信
(包括用户的输入口令),以及存取系统里
的任何文档。系统管理员处于被充分信赖的
地位,通常有权接近安全秘密、文档和程序
等。如系统账户管理员有能力编造虚假会计
科目,或者泄露现有会计科目的密码。数据
控制员负责把数据手工或自动输入计算机,
他们可以欺诈性地操纵所输入的数据。
2,用户
在信息系统高度自动化情况下,用户可利用
远程终端或触摸屏等直接使用信息系统内的
一些敏感数据,并有可能向我们的竞争者披
露。
302
3,计算机窃密者
窃密者是指那些未经正当授权就使用设备、
电子数据或文档的人。他们通过搭线密听、
借道、模仿等非法欺诈手段,进入计算机信
息系统,窃取机密。这些人纯属主动的恶意
的破坏者。
303
三、信息系统主动威胁的类型
1,输入操作
输入操作是计算机舞弊采用最多的方法,
因为这种方法要求最少的技术技能,一个
不懂计算机系统操作的人也可以改变输入
内容。例如在美国的一个案例中,一名女
性通过篡改输入文件,在十年间不仅每月
盗窃 200美元,而且给自己发放双份工资。
304
2,程序变更
程序变更可能是计算机舞弊中使用最少的
方法,因为它需要掌握编程技术的人才能
做到。在美国,一名程序员通过给计算机
编程来忽略自己账户上的透支额。当计算
机出现故障不得不手工处理这些记录时,
他的行为才被发现。一家经纪人公司的数
据处理经理多年来盗窃金额达 81000美元,
其做法就是修改未被授权修改的程序。
305
3,文档直接变更
在某些情况下,个人可以利用其他软件如 EXCEL
伪造数据文件并输入到数据库里。这种情况一旦
发生,后果则是灾难性的。华尔街十大经纪人公
司之一的沃特森公司的一名雇员,通过把一部分
公司收入转到他的个人账户上非法盗窃了 278000
美元。事后,检察官承认,如果被告不认罪,起
诉是不会有证据的。
306
4,数据窃取
重要数据的窃取是当今商务领域的一个严
重问题。在许多高度竞争的行业中,对竞
争对手的定量和定性的信息挖掘从未停止
过。例如:据说大不列颠百科全书曾指控
其上晚班的电脑操作员从公司最具价值的
客户名单中复制了近 300万个名字,并将
其卖给一个电子邮件广告直销商。该公司
称被盗的名单价值 300万美元。我国天津
有一小伙儿,从网上盗卖天津私企老板的
私人电话号码牟利。
307
5,恶意破坏
恶意破坏对于任何信息系统都将是致命的威胁,
尤其高度信息化了的企业,对其信息系统不论软
件还是硬件的破坏都足以导致该企业的破产。在
某些情况下,舞弊者会通过恶意破坏引起混乱,
借以掩盖其舞弊行为。例如,某罪犯篡改了会计
数据,然后试图通过破坏电脑硬盘或其他载体来
加以掩饰。又如,某信用卡公司数据中心的负责
人,出于对最高管理层的不满,洗去了总值数百
万美元的应收账款的电脑资料。
308
第三节 信息系统的安全系统
实行安全措施和偶然事件计划可以对信息系统
的威胁进行控制。安全措施主要用于防止和发现
威胁,偶然事件计划主要用于补救威胁造成的后
果。一种被广泛接受的 理论认为,一是某些主动
威胁不可能被完全阻止,因为过度地保证系统的
安全性可能会丧失系统的实用性,也即安全控制
是有限度的;二是如果组织内没有一个总体诚实
和谐的气氛,再好的安全系统也不会有价值。
信息安全系统就是将已有的内部控制原则应用
于系统中的具体问题。
309
一、构建良好的人文控制环境
控制环境是保证安全系统有效性的基础。建立一个良好
的控制环境依赖于下列要素:
? 管理风格
构造安全系统的第一个也是最重要的活动是制造高昂的士气和有
利于系统安全的良好氛围。不断的安全教育可以使员工对于安全
问题取得共识,员工间良好的沟通可以减少问题的发生。
? 组织结构
企业信息化以后,一定要建立清晰的权责关系。不然系统分析员
和程序员可能被召集到一起去设计、编写和 实施 一个应收账款模
块,而一个会计师可能被要求对一个会计模块进行修改。对于这
样的活动,十分需要一条清晰地组织结构链来表明活动决策权的
归属。
310
? 董事会及下属委员会
董事会必须任命一个审计委员会,审计委员会任命一个内
部审计师。该审计师应该有计算机背景,并能起到首席计
算机安全官的作用,不论什么情况,都要负责定期向审计
委员会汇报计算机产权系统的状况。
? 管理控制活动
实施对所有计算机和信息系统资源的使用和责任划分的
控制十分重要。应该对所需购置的硬件、软件、日常运营
费用做好预算,然后将这三方面实际费用与预算费用进行
比较,对意外情况加以控制。
311
? 内部审计职能
必须经常审核计算机安全系统,然后根据公司的
要求进行改进。对安全方针及程序的一致性和有
效性都要测试,恶客的逮捕和法办往往成为安全
系统良好运作的证明;还要定期使用假想事件对
系统进行挑战性测试。
? 人事政策
职责分离、适当监督、岗位轮换、强制休假及双
重检查都是很好的人事政策实践。雇用和解雇的
人事政策的执行也很重要,用人要筛选,解雇要
谨慎。
312
? 外部影响
公司的信息系统必须遵从所有的法律法规。有
些历史资料、商业技术机密和某些个人资料可能
不允许向国外传递,否则可能被视为犯罪。
贯彻一套良好的内部控制措施防止使用盗版软
件、防止非法拷贝、禁止流传别人已被版权保护
的软件,以免引起法律纠纷。
313
二、对主动威胁进行控制
预防主动威胁的主要办法是用连续层面(多道
关卡)来控制进入(接触)敏感源。如果所有设
备、资料和数据等都管理得井井有条,现在考虑
的重点就可以集中在减少或避免未经授权的人对
敏感设备和资料的接触上,使作案的人没有机会。
也就是把有不良企图的人同他觊觎的目标隔离开
来。
分层进入控制的基本原理在于建立多层次的控
制来 隔离 潜在犯罪者和他觊觎的目标。具体分为:
站点进入控制、系统进入控制及文档进入控制。
314
? 站点进入控制
站点进入控制的目标是从物理上将未授权个体与
计算机资源隔离开来。 物理隔离 特别适用于硬件、
数据登记领域、数据库和连接线。常用的方法有:
? 出入存放计算机或敏感数据的房间要进行身份
认证。
? 门要上锁,最好是智能锁。
? 数据库和服务器所在地周围安装监视器,连续
监控接近者。
? 一切输出设备尽可能隐蔽保管,通过密码才能
使用。
315
? 系统进入控制
系统进入控制是一种用来阻止未被授权的使用
者进入系统软件的导向型控制,目的是通过用户
名、密码,IP地址和硬件配置等手段来鉴别使用
者。每一个内部使用者都可已从以下 9个级别上分
配到相应的用户名和密码:个人电脑或工作站级
别、网络级别、主机级别、文档服务器级别、文
档目录级别、程序级别、文档数据或数据库级别、
记录级别、数据领域级别。这些级别联合起来提
供了一个连续层面的保护,基本上可将窃密者与
敏感数据隔离。
316
? 文档进入控制
文档进入控制阻止对数据和程序文档的未经授权
的访问。最基本的文档进入控制是针对访问(看)
和改变(修改)文档建立一套授权模式和控制程
序。没有书面批准的情况下任何人包括系统维护
员均不得实施程序的修改,有书面授权的情况下
也只能在原程序的副本上进行正确的授权改动。
特别重要的程序都应该保存在加锁的文档中,这
就意味着这些程序只可以运行,但不能看,更不
能改。
317
三,对被动威胁进行控制
被动威胁包括供电系统和硬件系统的故障。对
此类问题的控制包括预防和修复两个方面。
? 容错系统
如果系统的一部分出现问题,一个冗余部分接替该部
分,使得系统继续运行而不致中断或只是暂短中断。
? 网络通过双重交互路径来建立容错机制。
? 存储采用双机热备建立容错机制。
? 电力供应采用不间断电源( UPS)建立容错机制。
? 文件备份(全备,增量备,差异备)是防数据混乱和
丢失的容错机制。
318
四、互联网安全
互联网是一个自由的、开放的网络,企业
的计算机连接到互联网上之后,便会成为
世界上所有主动威胁者潜在的攻击目标。
因此,我们要认识到与互联网有关的脆弱
性,然后采取可能的安全防范措施。互联
网的脆弱性主要有以下几个方面:
319
1,网络操作系统的脆弱性
网络服务器上运行的网络操作系统从本质上讲
是计算机操作系统的一个延伸。这就导致在操作
系统层面上的任何安全弱点都会在网络服务器上
产生相应的问题。同时,截止目前还没有任何操
作系统可以对外来攻击是完全免疫的。黑客们不
断寻找和发现新的系统安全隐患。因此,系统管
理员必须时刻注意由操作系统开发商或其代理商
发布的系统安全公告。例如,微软公司每天都在
自己的主页 http://www.microsoft.com/上发布新
的关于 windows的安全信息或软件补丁。
320
2,网络服务器的脆弱性
? 网络服务器和操作系统类似,需要时刻关注所发
布的关于安全的信息或系统配置的公告。因为网
络服务器与网络浏览器的升级比操作系统更加频
繁,而且,每一次升级几乎都意味着存在一个新
的隐患。网络服务器也是信息系统安全防范的第
一道防线,因为它是外来访问者最经常经过的入
口。
? 不恰当的配置会大大降低网络服务器的安全性。
一个最常见的问题是与运行脚本程序相关的文件
和路径的授权问题。
321
3,局域网络的脆弱性
连接了许多客户端的局域网有时也会面临一些
特别的风险,比如黑客可以从其中某一客户端的
计算机进入而攻击整个局域网。如果该客户端拥
有进入局域网服务器主机的权限,那么黑客就可
能以该客户端为突破口,攻击局域网服务器主机。
服务器管理员无力保证所有的客户端都具有足够
的安全性,因为在许多公司里,局域网上的用户
往往同时连接在互联网上,甚至经常运行一些来
自互联网上的陌生而不安全的程序,有时还对自
己的计算机进行不恰当的配置。
322
4,各种服务程序的脆弱性
许多网络服务器主机上不仅运行网络服
务程序,还提供一些其他服务。比如 FTP服
务(一种计算机间的文件传输服务)、电
子邮件服务和远程控制服务(允许合法用
户远程控制主机)等。网络服务器每增加
一项服务的同时,也就增加了一份系统的
安全隐患,相当于为网络黑客打开了一扇
大门,网络服务器主机上的程序和文件就
有可能受到攻击,甚至攻击连在同一局域
网内的其它计算机。
323
第四节 灾难风险管理
灾难总会发生,不依人的意志为转移。最近一
次大的意外灾难 ……,
灾难风险管理的实质是保证在灾难发生时,系
统能够正常工作。灾难风险管理包括灾难预防和
偶然事件计划两个方面。在某些灾难事件中保险
公司可帮助减低风险,但大多数保险商都不会为
大企业的经营中断损失承保,尤其那些没有完善
的灾难恢复计划的企业。
下面我们仅讨论灾难预防和偶然事件计划两个
方面。
324
一,预防灾难
研究显示下列灾难发生的比例为:
自然灾害 30%
蓄意破坏 45%
人为错误 25%
经验表明,良好的安全政策与计划可以
预防许多由于蓄意破坏或误操作引起的灾
难。计算机设备和数据集中放置在难以被
暴风雨、地震、洪水侵袭的建筑物中可以
减少许多自然灾害导致的灾难。
325
二,偶然事件防范预案
偶然事件防范预案在组织中必须被高度贯彻执
行。该预案必须作为计算机安全计划的一个重要
组成部分,在董事会上讨论通过。据估算,灾难
恢复计划所需的费用大概应占到整个信息系统预
算的 2%~10%。
偶然事件防范预案主要包括四个方面:评估企
业的关键需要;将关键需要按优先级列表;制定
恢复策略和替换过程规划。
326
? 评估企业的关键需要
所有负有关键使命的资源都要通过鉴定和确认,
其中包括硬件、软件、电力、建筑物、关键数据
和相关人力。
? 恢复优先级列表
恢复计划再完美,在短时间内想把一切都从灾
难中恢复过来也不太可能。因此,必须根据重要
程度对最需要恢复的资源评估优先级,列成表。
在表中列出各资源在信息系统中所负的关键使命
以及必须在什么时间内被恢复才行。
327
? 恢复的策略与过程
一份完整的恢复策略与过程非常关键。计划中
必须包含非常详细的规定,这样在遭受灾难之后,
组织马上可以知道应该做什么、由谁去做、怎么
做,应该在多长时间内完成。灾难发生时,所有
的计算机操作员、数据记录员马上组成紧急响应
小组,由一名紧急运营负责人带领,马上到事先
规划好的地点,成立紧急运营中心,指导整个恢
复计划。还要考虑在什么情况下将灾难进行公布,
应由谁来公布,向哪些对象公布。
328
? 替换过程规划
灾难恢复计划中最为重要的一环是在主计
算机系统被摧毁或者不能使用以后,启用
后备系统。可能的后备系统有三种,分别
称为:冷站点、热站点、飞启站点。冷站
点中只有计算机配置图,没有真正的机器;
热站点既有配置图也有机器设备;飞启站
点不但有配置图、实在的机器,而且已安
装了适当的软件并留有每天更新的数据备
份。它们完成恢复的时间分别为:几天;
几小时;几分钟甚至几秒钟。
329
本章作业:
1,请列出与计算机信息系统有关的特别风险。
2,什么是风险管理?
3,组织中的控制环境对信息系统安全有什么作用?
4,什么是容错系统?请举例说明。
330
The end
331
第十一章
计算机审计与信息系统审计
332
对计算机信息系统 性能和效益的评价 与管理逐
渐成为信息系统应用中的一个突出问题。发达国
家从上个世纪 60年代后,逐渐发展起来一门相应
学科和管理技术,虽然统称为计算机审计,可是
却包含两方面内容:一是指在信息技术环境下,
审计人员 利用计算机对被审计单位的经济活动进
行的审计,一般称为 计算机审计 ;二是指审计人
员 对被审计单位的计算机信息系统进行审查并发
表意见,一般称之为 信息系统审计 。这两方面既
有区别又有联系,本章我们将对这两方面进行深
入讨论。
333
第一节 计算机审计的基本概念
一、计算机审计的概念
对于“计算机审计”这一概念一直存在着许多不同的认
识,比如,计算机审计是指审计人员利用计算机技术对电
算化会计信息系统处理结果所作的审计;或者是审计人员
将计算机作为审计工具对手工会计业务进行的审计;或者
是审计人员利用计算机技术对计算机信息系统本身进行的
审计,等等。我们认为,计算机审计这一概念在当前应该
包括两方面的含义:一是在信息技术环境下,审计人员以
计算机为工具,对被审计单位的会计报表的合法性、公允
性及会计处理方法运用的一贯性进行审查、评价并发表意
见,本书称之为计算机审计 或信息技术环境下的审计;二
是对被审计单位计算机信息系统保护资产的安全性、数据
的完整性及系统的有效性和效率进行审查、评价并发表意
见,本书称之为信息系统审计。
334
二、计算机审计的目标和任务
从计算机审计的概念中,我们可以看出计算机审计或者
说信息技术环境下的审计,其审计目标与手工审计的目标
是一致的 。以独立审计为例,信息技术环境下的独立审计
目标仍然是对被审计单位会计报表的合法性、公允性及会
计处理方法运用的一贯性发表意见,只是 还要考虑 信息技
术环境对审计的影响。因此,对审计师来说,计算机审计
的任务除了完成会计报表审计之外,还应该,( 1)审查
计算机信息系统的内部控制,评价现行信息系统内部控制
的设计是否科学、合理和适当;( 2)考虑利用计算机辅
助审计技术作为常用的审计手段来取得审计证据;( 3)
在审计的各个阶段都要考虑信息技术环境的影响因素,以
确保审计范围和审计结果不会因此受到限制。
335
三、计算机审计的对象、范围和内容
? 对象:
计算机审计的 对象是 被审计单位的全部或部分
的经济活动 。 审计 范围是 审计对象涉及的领域和
内容, 除此之外, 如果被审计单位的信息化程度
比较高, 还必须考察其信息技术环境, 以确保:
( 1) 信息系统中的基础性会计记录和有关资料所
包含的信息是可靠的; ( 2) 信息系统能够保证有
关的信息, 资料在会计报表中得到恰当的反应;
( 3) 信息系统的内部控制是恰当的可靠的 。
336
? 内容:
计算机审计的主要内容应该是:( 1)被
审计单位的财务收支及其有关的经营管理
活动;( 2)被审计单位的各种作为提供财
务收支及其有关经营管理活动信息载体的
会计资料及其相关资料;( 3)被审计单位
的信息技术环境。
337
总体上看,审计工作大致可以分为 两个
基本组成部分。第一部分称为 过渡审计,
其目标是 确认 企业的内部控制系统在多大
程度上是可以 信赖 的,这通常要进行某种
类型的符合性测试,其目的在于 确认存在
性, 评估有效性 以及 检验 内部控制措施的
操作 持续性 。第二部分称为 财务报表审计,
包含实质性测试。实质性测试是在过渡审
计的保证下对内部控制给予一定程度的信
赖,对财务报表数据进行直接证实和核查 。
338
举例:
如图 11.1所示,对现金余额的实质性测试包括对
银行账户余额的直接函证,对应收账款的实质性
测试包括对客户余额的直接函证。
交易 会计信息系统 财务报告
过渡审计
符合性测试:确认内控存在
性;有效性和持续性。
.
现金 银行
应收账款 顾客
,(确认余额)
.
财务报表审计
实质性测试:对财务报表
正确性确认图 11.1 财务报表审计的结构
339
四、计算机审计的优越性
审计人员对信息技术的应用不再是任意的,而是必须
的。审计人员面对的评估数据大部分都是电子版,为了
审计而将电子版转化为书面版除了浪费是没有任何意义
的。更何况考虑审计自身的竞争压力,运用信息技术提
高审计的工作效率也是完全必要的。因为计算机审计具
有如下优越性:
1,计算机生成的工作底稿更易读、更一致。这样的工作底稿更易存
储、访问和修改。
2,省去了手工合计、交叉合计及其他一些常规计算,省时又省力。
3,计算、比较和其他一些数据操作更加准确。
4,分析性的检查、计算能更加有效地进行,而且检查范围也可以放宽。
5,减少了花费在纸面上的工作时间,使工作效率得到提高。
6,电算化的审计方法和辅助审计程序,可以直接或稍作修改应用到
后续的审计工作中,因此可以持续地提高审计效率和降低审计成
本。
7,实现了相对于信息系统职员的更高的独立性。
340
五、计算机审计软件
审计软件指那些能使计算机成为审计工具的计
算机程序。对计算机进行编程,使其能从会计信
息系统的文件中阅读、选择、抽取和处理样本数
据。
能用于审计的软件分两大类:一类是专为审计
工作编制的所谓 通用辅助审计软件,当前这类软
件在国内外市场上已有很多种,设计这类专用软
件的目的是让几乎没有计算机专业知识的审计人
员也能轻松使用计算机完成与审计相关的数据处
理工作。另一类是 通用的工具软件,如微软公司
开发的办公自动化软件( office)。
341
? 人工智能软件
在审计过程中审计人员有时使用人工智能类型
的软件来辅助审计。最常见的是审计人员利用人
工智能软件帮助进行风险评估。该软件通常能够
把值得怀疑的交易和账户找出来,供审计人员进
行更深入的调查。因为再好的软件也不能代替审
计人员对审计事件做出 判断 。
用于审计的人工智能软件有 两种主要类型, 神
经网络 和 专家系统 。神经网络的分析基于模式识
别,因此可以把可能的不规则交易和账户数据标
识出来。比如,销售额常在月末 ( 25-30号) 发生
波动,若 20号左右起伏较大,就可能不正常,神
经网络软件会将其标识出来。
神经网络软件本身可捕捉规律,积累经验并在
使用中自学。
342
续:
专家系统 则需要 规则库,库中规则(经验)
是专家作决策时使用的。例如,某规则可
能是:若一个会计帐户的余额比过去 3年的
平均余额高 20%,就值得怀疑,需要调查
核实这个账户。
由于专家系统靠预定义的决策规则运行,
审计人员可以经常更新或充实决策规则,
所以它有更容易被审计人员驾驭的优点。
但与神经网络软件不同的是专家系统没有
自学能力。
343
六、开展计算机审计的重要意义
(一)计算机审计可以促进会计信息系统的发展与
完善
1,计算机审计可以保护会计信息系统环境的安全性。
通过审计,发现系统的安全隐患,即时建议,从而保
证系统环境的安全性。
2,计算机审计可以保证会计数据的可靠性和真实性。
由于数据存贮介质的改变,数据有被篡改、不准确的可
能,而计算机审计要对会计数据是否正确、公正、全面进
行审计。这可有效地防止利用计算机输入和篡改会计数
据等舞弊行为,从而提高会计数据的可靠性和真实性。
3,计算机审计可以促进信息技术环境下内部管理和控制制度
的不断完善。
计算机审计要根据计算机审计准则,通过各种有效的
方法和程序,包括对信息技术环境下内部管理和控制制度
进行研究和评价,指出内部管理和控制的薄弱环节,提出
改善意见,促使被审计单位加强内部管理和控制。
344
(二)开展计算机审计可以促进审计自身的发展
1,计算机审计的开展,发展和完善了审计方法与技术体系
2,扩展了审计的内容与范围
3,推动了审计工作规范化的进程
4,增强了审计信息的反馈能力
( 1)及时性。计算机审计给审计信息的利用提供了极大
的方便,手工条件下滞后的或需长期准备的常规审计信
息计算机都可实时提供 。
( 2)准确性。计算机审计不会发生像手工计算、整理、
复核、核对等容易出现的差错,所以审计人员可以选用
那些复杂的、工作量大的、但更为精确、实用的审计方
法,以使审计信息更加准确。
345
审计信息化是一场革命,能不能在这场
革命中掌握主动权,直接关系到审计事业
的发展,关系到审计工作的前途和命运,
审计人员不掌握计算机技术,就将失去审
计资格。国家审计署审计长李金华同志曾
经指出:计算机审计要坚定不移地抓下去,
这是中国审计的出路所在。要加强计算机
的开发运用。这条路子如果不走出来,审
计是没有出路的。
346
第二节 信息系统审计概述
一、信息系统审计的必要性
随着信息技术的高速发展和企业信息化进程的
不断加快,企业对信息系统的依赖日益增强,信
息系统已经成为企业的重要资产。同其他资产一
样,信息系统也需要严格管理与控制,并应定期
进行审计。通过审计可以发现信息系统本身及其
控制环节的不足与缺陷,以便及时改进与完善,
从而使信息系统在企业的生产、经营和管理工作
中发挥更大的作用。
347
信息系统审计是审计业务的新拓展,在
现实工作中,已有很多关于信息系统的审
计需求,如:对信息技术应用的管理控制
进行审计;对基础设施、数据中心、对外
通讯进行审计;对应用系统进行审计;对
信息系统开发过程进行审计;对信息系统
实施效果进行审计,对信息系统内部控制
进行审计等。
348
企业信息化就是利用信息技术建立实用的信息系统,以
信息系统推动企业的生产、经营和管理活动的进步。信息
系统提供的实时通讯能力、分析计算能力以及协同共享能
力已经成为现代企业生存与发展必不可少的工具。然而,
信息系统又有许多脆弱方面:( 1)信息系统的安全可能
没有得到足够的保证。( 2)信息系统的数据处理可能不
合逻辑。( 3)信息系统的可靠性可能得不到很好的保证。
(4)信息系统需要较高的资金投入,如果资金使用不当会
产生很高的成本,反而降低了企业的效益。( 5)信息系
统经常遭遇舞弊行为,而且舞弊手法多样而隐蔽,有时造
成的损失令人惊讶。
为了减少信息系统发生错误、灾难及其安全受到威胁的
可能性,除了加强信息系统的管理控制外,还必须定期对
信息系统进行审计。特别是随着我国企业信息化程度的提
高,开展信息系统审计就更为必要。
349
二、信息系统审计的定义和审计对象
信息系统审计是通过一定的技术手段采
集审计证据,对被审计单位的计算机信息
系统的安全性、可靠性、有效性和效率进
行综合审查与评价活动。
信息系统审计的对象是被审计单位的计
算机信息系统。
350
由于技术水平等原因,信息的使用者不能自己
验证信息的质量,因此急需独立的第三方出面对
信息的真实性、完整性,信息系统的安全有效性
做出鉴证,以合理保护信息使用者的利益。同时,
企业在信息化过程中也急需专业人士提供有效控
制信息系统风险,提高信息化效益的服务。由此,
真正意义上的信息系统审计应运而生。如今的信
息系统审计的业务已经超出了为财务报表审计提
供服务的范围,在很多大型会计公司内部,信息
系统审计部门已经成为一个独立的对外提供多种
服务的部门。
351
三、信息系统审计的目标
审计目标是指审计主体通过审计实践活
动所期望达到的境地或最终结果,或者说
是审计活动的目的和要求。信息系统审计
的目标是对被审计单位的计算机信息系统
的安全性、可靠性、有效性和运行效率进
行审查与评价,并对存在的不足提出改进
意见,使之更完善。
352
1,系统的安全性
系统的安全性是指构成信息系统的硬件、软件和数据
资源是否得到妥善保护,不因自然或人为的因素而遭到破
坏。
2,系统的可靠性
系统的可靠性是由其中的硬件系统、软件系统与数据的
可靠性等因素共同决定的。
3,系统的有效性
系统的有效性是指系统能否实现既定的目标,系统的各
项处理过程是否符合国家法律和有关规章制度的要求。
4,系统的效率
系统的效率是指系统能否充分利用各种资源快速处理并
及时输出用户所需的信息。
353
四、信息系统审计的特点
信息系统审计是审计工作的一个新领
域,它以计算机信息系统为审计对象,这
就决定了信息系统审计具有如下一些突出
特点:
1,信息系统审计具有较强的技术性
2,信息系统审计工作具有一定的复杂性
3,信息系统审计的取证具有动态性
354
第三节 信息系统审计技术
随着计算机会计信息系统的发展,信息
系统审计技术也随之发展起来,现在虽然
还没有哪一种审计技术可以全面解决所有
的审计问题,但是已经有了很多工具和技
术可以用来帮助完成相应的审计目标。
如:测试数据、整合测试工具、并行模
拟、嵌入式审计、抽点转存等。
355
一,测试数据法
测试数据是审计人员编制的一些包括有效数据
和无效数据在内的测试用例,用于测试程序运行
的准确性。在让被测的程序处理这些测试数据之
前,这些测试数据首先经过人工的处理,已经明
确了处理结果应该是什么样子。然后审计人员将
程序运行的结果与人工处理的结果相比较,如果
两个结果不一致,审计人员则试图找出问题的原
因,如图 11-2所示。
测试数据法是 通过 计算机进行审计的第一步,
尽管让审计人员明白计算机程序的逻辑不太现实,
但他们总可以明白系统的大致情况(功能),并
利用这些已掌握的知识来判断系统是否可行。
356
被测试程序
测试数据
(虚拟交易)
运行结果 人工处理结果
图 11-2 测试数据法
357
在使用测试数据法时必须针对 正在
使用 的程序,并保证测试数据不会对
系统中的文档产生任何影响。
作为一种审计技术,测试数据法有
些 局限 。因为测试只能在特定时点、
特定程序上运行,若程序变了,测试
数据也就过时了。而且审计人员无法
保证被测的程序是正在被使用的程序。
358
二,整合测试工具法
整合测试工具( ITF)法涉及测试数据的使用和
虚拟实体(如卖主、雇员、产品、账户)的创建。
这项技术是整合的,因为测试数据和真实的交易
数据 同时运行,而这有赖于包括真实实体和虚拟
实体的主文档。因此,审计的核对是必需的,用
来保证被检查的程序和运行实际数据的程序是一
致的。
真假数据混在一起输入并处理,看结果如何。
测试完成后要将假数据处理形成的结果清除。整
合测试工具法见图 11-3。
359
计算机
应用系统
交易数据 ITF交易数据
数据文件
不包含 ITF
数据的报告
包含 ITF
数据的报告
ITF数据
图 11-3 整合测试工具法
360
ITF法是一项应用较为普遍的技术, 如果
巧妙设计虚拟实体和测试数据, 花费也会
很小, 因为它不涉及特别的处理 。 ITF的 主
要缺点 是需要将虚拟数据处理产生的结果
清除, 显得很麻烦, 但这是一个不可避免
的过程, 因为这项技术就是要将测试数据
与实际数据同时运行。
361
三、并行模拟法
测试数据法和 ITF方法都是用真实的程序处
理测试数据。而并行模拟是 用审计人员编
写的 专门用于测试的程序处理真实数据,
然后 比较 模拟的输出和正常的输出以达到
控制的目的。自编的审计程序段承担的冗
余处理工作,其数量仅限于审计最关心的
部分。即 针对重要处理功能 再编一段处理
程序,然后与应用系统并行,比较输出结
果,以验证应用系统正确性。如图 11-4所
示。
362
交易
(业务数据)
并行模拟
程序段
业务报告 模拟报告
应用系统
比较
图 11-4 并行模拟
363
四、嵌入式审计程序
嵌入式审计程序是一种为了审计目的而改动计
算机程序的审计技术。他通过将专门的 审计例行
程序嵌入 正在使用的软件系统中实现的,从而使
交易数据或交易数据的一部分能用于审计分析。
在应用系统中嵌入审计程序段意味着应用程序
在做正常的业务处理的同时,完成了审计数据的
采集功能。即在应用系统的正常运行中,嵌入的
审计程序段也被运行而工作,并将测试到的不符
合常规的数据写到一个特殊文档中,事后审计人
员可以复查到这个特殊的文档的内容,并据此采
取相应的行动。见图 11-5。
审计程序段 往往是 在系统开发时嵌入的。
364
生产业务数据
生产报告
审计数据采集报告
生产业务处理系统
嵌入的
审计程序段
图 16-7 嵌入式审计程序
365
五,扩展纪录
扩展记录是为了给指定的业务处理事项提供一个
综合的审计线索,通过对计算机程序的修改来增加
某些文件的记录,用以保存审计关心的数据。尤其
许多不同的处理步骤被合并成一个程序时,介于期
间的产生审计线索的处理步骤常常会丢失。因此,
为了审查、跟踪某个具体的业务处理过程,有时不
得不核查许多不同的文档才能解决。
扩展记录技术就是为具体业务事项附加标注,即
在扩展记录中写入 介于期间的,通常不保存的处理
方式或有关数据,从而为审计提供尽可能完整的审
计线索。例如,对工资表处理程序进行修改,使工
资表文件增加一些记录,其中记载一些有关加班费
计算的说明类信息,以便审计加班费支付数据的真
实性时核查。
366
六,抽点转存 ( snap shot 快照)
抽点转存即试图提供在 特定时点 的程序运转情况
的综合图像。抽点转存是一种常见的利用程序来帮
助排除故障的技术。作为一种审计工具,实现抽点
转存的程序语句可以加在审计人员感兴趣的程序中,
产生一个 打印出 的审计线索。扩展记录法将抽点转
存的数据(审计关注的信息)写入扩展记录中,而
不是打印在纸上。
快照是指当应用系统处理某一事务时,让软件对
其进行“拍照”,通常是在应用系统的重要处理发
生点嵌入程序段,该程序段可捕捉处理发生点的 前
映像和后映像,通过对这些映像的分析检验,可以
对处理该事务的应用程序进行审查。
367
七,跟踪
跟踪也是一种审计技术,它最早是为程
序调试而发明的。跟踪提供了一个详细的
程序指令执行次序的清单。出于审计的目
的,跟踪常被用于检验应用程序中融入的
起内部控制作用 的指令是否被执行。跟踪
还可以显示出未被执行的程序语句。
高级语言如,BASIC 和 COBOL语言都
有专门的跟踪语句。
368
八、系统文档审核
审核关于信息系统的设计方案、流程图和程序
清单是早期应用过的 EDP审计技术,至今仍被用
于信息系统审计。这种方法尤其适用于信息系统
审计的初级阶段即技术准备阶段。
审核有多种形式,例如,审计人员可以要求信
息系统人员提供系统文档的一个完整副本来阅读;
可以要求提供信息系统源程序清单,审计人员可
以手工审核这些清单,也可以对程序进行桌面校
验;程序流程图也可以采用同样的方法进行审核。
系统文档的审核需要相当的专业技术和耐心。
369
九、控制流程图审核
信息系统内嵌入了许多内部控制措施,
在系统程序流程图中描绘了这些控制,或
许还有专门的控制流程图。为了对信息系
统内部控制性能的审计,就要对这些控制
流程图进行审核。常常参考分析流程图、
系统流程图、文档流程图来帮助完成信息
系统内部控制的审核。好在各种流程图对
于审计人员、使用者和计算机职员来说都
很容易理解,因此可以通过它进行各方交
流。
370
十、映像( Mapping)
映像是使用一种被称为软件测量包( software
measurement package)的专门软件来监控程
序的执行,该软件可以对被测程序中每一个语句
的执行次数进行计数,并提供有关资源利用的累
计统计数。对未被执行的语句则产生一个列表,
审计人员对未被执行的语句进行分析,已确定其
是否恰当。一些语句可能是为处理例外的特殊的
业务而设,但如果例外的特殊业务也没有执行它,
那就要怀疑这些通常不执行的语句可能是程序设
计人员的花招。
371
第四节 信息系统审计过程
审计过程是指审计工作从开始到结束的
整个过程。信息系统审计过程包括三个阶
段:计划阶段、实施审计阶段和审计完成
阶段。尽管信息系统审计同财务审计一样,
都包括上述三个阶段,但由于二者的审计
对象和审计目标不同,所以审计过程各阶
段的工作内容也有很大不同。
372
一、计划阶段
计划阶段是整个审计过程的初始阶段。正式
实施审计之前,制定科学合理的计划有助于信
息系统审计人员有条不紊地进行核查、取证,
有助于形成正确的审计结论,从而出色地完成
审计任务。计划阶段的主要工作包括:
1,了解被审计单位的基本情况
2,识别重要性
3,进行风险评估
4,了解内部控制
5,制订审计计划
373
二、实施审计阶段
实施审计阶段,是根据计划阶段确定的
范围、要点、步骤、方法,进行取证、评
价,最后形成审计结论实现审计目标的中
间阶段,是审计全过程的中间环节,其主
要工作包括:
1,对信息系统的现有控制进行符合性测试
2,实施实质性测试
374
三、审计完成阶段
审计完成阶段,信息系统审计人员必须运用专业知识判
断收集到的各种证据,以经过核实的审计证据为依据,形
成审计意见,做出审计报告。审计报告须说明审计范围、
审计目标、审计期间和所执行的审计工作的性质和范围。
审计报告中还应说明采用了那些计算机辅助审计技术和信
息系统审计技术以及与之有关的审计结果。审计人员在审
计过程中受到被审计单位条件或客观环境的限制而对某些
重要事项不能获得充分完整的资料,也应在审计报告中予
以说明。
在评价审计结果出具审计报告时,信息系统审计人员既
要考虑所发现的错误的重要性,又要考虑由于控制弱点而
产生潜在错误的重要性。
375
本章作业:
1,计算机审计与信息系统审计有何区别和联
系?
2,计算机审计的对象和目标是什么?
3,为什么要开展信息系统审计?
376
The end
377
第十二章:
会计模式的变革与发展
378
第十二章 会计模式的变革与发展
信息技术在会计中的应用,先是作为提
高效率的工具,随着信息技术的发展及其
应用的深入,渐渐地改变了会计的一些做
法,最后 将改变会计的基本工作模式并扩
展它的职能。
379
第一节 信息技术对会计信息系统的影响
计算机技术在会计工作中已经得到了普遍应用,
手工会计系统已被计算机会计信息系统所取代,
随着网络的普及和网络技术的发展,使人们对信
息技术带给会计工作的好处 有了更多的期待和想
象 。特别是信息技术与新的管理思想和管理方法
相结合,打破了传统的管理规则,创造出许多新
的组织结构形式和管理方式,网络环境给企业创
造了尝试多种形式的管理活动的空间,因此,也
必然影响到企业的会计工作。信息技术对会计工
作的 影响主要表现在会计理论 和 会计实务两个方
面 。
380
一、信息技术应用对会计理论的影响
1,对会计目标的影响
会计目标是会计理论体系的基础,会计目标主要体现
在向谁提供信息,应该提供哪方面的信息或提供哪些信
息等问题。传统会计把会计信息的使用者作为一个 整体,
提供通用的会计报表 来满足他们对信息的需求。在网络
经济时代,会计信息的需求者与会计信息的提供者可以
利用网络实时双向交流。比如,会计在了解了企业管理
层的决策模型之后,可以针对其需要,向其提供专门的
财务报告和相关信息。因此,信息技术与网络技术可以
使会计 能够提供适用于不同决策模型的含有不同内容的
专用财务报告。
381
2,对会计假设的影响
传统财务会计建立在会计主体、持续经营、
会计分期和货币计量四项基本假设的基础
上,因此,会计假设也称会计核算的基
本前提,是商品经济条件下进行会计活动
的基本环境和先决条件。如果不做这样的
假设,会计模式无法建立,许多处理无法
实现。而基于网络的会计往往不需要这样
的假设,或者说网络会计可以不受四项基
本假设的束缚。
382
( 1)对会计主体假设的影响
在网络经济环境下,企业可以借助网络进行短期联合或重组,形成
虚拟企业,从而导致会计主体具有可变性。
( 2)对持续经营假设的影响
在网络经济时代,企业可以根据需要,借助网络相互联合起来完成
一个项目,当项目完成之后,这种联合就会立即解散,企业持续经营的前提对他们不再适用。
( 3)对会计分期假设的影响
会计分期的目的是为了分阶段地提供会计信息,满足企业内部和外
部管理或决策的需要。限于处理能力,会计期间分为年度、季度和月
份。在网络经济时代,通过网络,企业内外部会计信息的需求者可以动态地得到企业 实时的 财务信息,没必要分期为月、季、年。
( 4)对货币计量假设的影响
在网络经济时代,全球已形成统一的大市场,经济活动的国内与国
外的界限变得模糊起来;国际贸易的剧增,使得币种多而且币值变动
大,这些都对货币计量假设提出了挑战。在网络环境下,完全可能拟
定一种全球一致的电子货币计量单位,用以准确反映企业的经营状况。
383
3,对会计要素的影响
传统财务会计把会计要素划分成反映财
务状况的会计要素(资产、负债、所有者
权益)和反映经营成果的会计要素(收入、
费用、利润)。随着信息技术的发展和应
用,信息加工的速度会越来越快,会计要
素划分会更加细密和更有层次,以便更加
准确地反映企业资金的运动状况。
384
4,对会计职能的影响
会计的基本职能是核算反映、监督控制、预测
与辅助决策。信息技术的充分应用使传统会计的
核算职能逐渐淡化,会计人员从日常繁琐的数据
处理工作中解脱出来,使其 更侧重于全方位内部
控制与深层次的更高水平的信息服务。 比如在企
业信息化过程中,会计人员将成为实施 ERP的主
力军。 ERP的二次开发或补充开发就需要企业的
会计、各环节的业务人员、内部审计人员与软件
开发人员一起分析、定义、确认新开发的部分,
使与该业务环节有关的会计业务处理功能、内部
控制措施正确融入这个业务处理模块中。
385
二、信息技术应用对会计实务的影响
面向供应链的管理理念与信息技术相结合,改变了传统
会计的信息“采集 -核算 -披露”流程的处理方式。所谓供
应链管理是指通过加强供应链中各活动和各实体间的信息
交流与协调,增大物流和资金流的流量和流速,使其畅通
并保持供需平衡。企业内部网( Intranet)通过防火墙,
一方面使企业与未授权的外部访问者隔离,另一方面允许
内部授权的活动延伸到企业外部,与关联企业如供应商、
经销商、客户和银行之间形成范围更广的网络应用系统,
人们称之为外部网( Extranet)。在这种情况下,不仅是
企业内部即使外部的经济活动发生端的数据采集,也不再
需要大量的财会人员根据原始凭证录入,而是系统的实时
处理性能使数据的采集伴随网上交易、结算活动及物资与
价值的流动同时完成。
386
2,对财务报告的影响
当前的财务报告有许多局限,无法反映非货币
化会计信息,无法反映企业发生的特殊经济业务,
如衍生金融工具等。在信息技术环境下财务报告
会突破上述限制,拓宽信息披露的范围,不仅提
供财务信息,还会提供非财务信息 。如风险信息、
不确定信息、前瞻性信息、创新金融工具信息、
企业管理信息等。充分揭示企业现金流量的变化、
财务状况的变动趋势,全面反映企业的经营状况,
满足不同信息使用者的要求。
387
第二节 电算化会计信息系统的局限性
电算化会计虽然也是会计的一次重大变革(主
要指工具),但现在看来,在网络技术环境下它
表现出以下一些局限:
一、电算化会计信息系统仅仅是一个模拟手工系统
二、未改变传统手工会计信息处理的程序和方法
三、未引起传统会计思想和观念的相应变革
四、系统体系结构只是采集业务数据的一个子集
五、数据不能被实时记录和处理
六、系统结构仅以汇总的方式重复采集与存储数据
七、系统存储的数据仅满足主要视图的需要
388
第三节 事件驱动的会计信息系统
随着经济全球化的进程不断加快,企业的管理
水平也在逐步提高,企业对信息的及时性和决策
的相关性提出比以往更高的要求,需要及时、准
确、跨职能领域的的信息,原来的会计信息系统
模式已经无法满足企业的需要,只有开发和构建
新的会计信息系统模式。新的会计模式必须克服
原来会计信息系统的局限,将企业的业务处理和
会计信息处理集成在一起,实现全方位的会计信
息服务,实现会计的事前预测、事中控制的目标。
而事件驱动的会计信息系统就是这样的一个新的
会计模式。
389
一、事件驱动会计信息系统的概念
所谓事件驱动是指由业务活动(在事件驱动的会计信息
系统中将其定义为业务事件)驱动信息处理过程,也就是
在业务活动发生时触发信息系统记录或存储该业务活动的
相关数据;而由用户提出信息需求时触发对业务活动的报
告过程。事件驱动的会计系统模型如图 12-1所示。
业务事件数据
业务事件处理器
( 业务与信息处理 规则 ) 业务数据仓库
信息报告工具
(信息处理规则)
用户所需信息报告
图 12-1 事件驱动的会计系统模型
390
与传统功能驱动会计信息系统相比,事件驱动会
计信息系统具有如下特征,
1,该系统面向业务事件本身,不再基于会计循环,在信息技术的支持下,
使业务流程和信息流程紧密结合。
2,集中处理业务事件,重新定义了会计的范围,不仅仅针对改变企业资
产、负债和所有者权益的业务事件,而是选择所有管理层想要规划、
控制和考核的业务事件,多角度地反映企业业务活动,使财务数据和
非财务数据有效集成在一起,允许在报告上有一定的弹性,提供更完
善、更代表企业当前运行状况的信息。
3,该系统集成了所有的业务数据,有效的数据集成有助于利用大量的数
据库技术,而且使数据更加一致和可靠地描述经济业务。数据集中存
储在支持所有用户的信息需求的同时,也减少了数据的冗余。
4,集成了信息流程和实时控制。流程集成涉及三个关键的信息活动:记
录、维护和报告,也涉及减少相关业务和信息处理风险的控制。流程
集成的目的就是要把信息流程融人到实际业务流程中,因此,在业务
活动发生时,信息技术既用来记载数据,也用于控制流程。
391
二、事件驱动会计的 REA/REAL模型
建立事件驱动的会计信息系统,需要分
析业务过程,识别重要的业务活动及其基
本特征,其主要表达手段应是图形、表格
或文字叙述。目前一种常用的描述业务事
件基本特征的方法是 REA/REAL模型。
392
1,REA模型
建立一个业务过程模型需要识别重要的战略性
业务活动和这些业务活动的基本特征,包括涉及
何人、涉及核物、何时、何地、为什么
( who,what,when,where,why)等。即在分析
业务过程时需要回答这样的问题:什么事发生了、
何时发生的、谁参与完成什么任务、使用了哪类
资源并使用了多少、事件发生在什么地方。也就
是对业务事件的基本特征进行描述。对事件的描
述还可以很深入,如回答事件为什么发生?事件
执行过程中有什么风险?程度如何?等等。
393
? REA模型描述了 资源( Resource), 事件( Event)
和 参与者( Agent) 三个 实体 以及三者之间的 联系 。其
中:
( 1)资源,被定义为稀缺的并为企业所控制的有形实物对象,它能
为企业带来经济价值而且可以辨认和受组织所控制。传统会计确认为
资产的大多数项目都属于资源,但该定义又不同于传统会计中资产的
定义,因为他不包括像应收帐款这样可以推导计算出来的资产。
( 2)业务事件,是指能从某方面影响组织资源变动的业务活动。生
产、交换、消费、分配方面的活动都是事件。事件不限于能够进入传
统会计簿记体系的经济事项,还包括其他不进行会计确认与计量的经
营活动,如市场调研活动等对管理决策提供所需信息的经营活动,但
不包括明显为纯信息处理或管理决策等事件,因为它们是对原始的经
营事件信息的操作或分析、选择,是由经营业务产生出的进一步的
“结果”。
( 3)参与者,参与者是参与事件的单位、部门或个人。组织收集与
他们相关的数据,目的是为了更好的计划、控制和评价其基本活动。
参与者包括组织内部参与者(如销售员、采购员、生产人员、生产或
业务部门等)和外部参与者(如客户、供应商等)。
394
?资源、事件和参与者这三个实体之间存在四种联系:
( 1)资源 —事件联系。又称存量 —流动关系( stock—flow)。其中资
源为存量,事件为流动,包括资源流入和流出的事件,用于表示那些
增加或减少资源的事件。
( 2)事件 —事件联系。这种联系称为二元联系,指组成一个业务循环
的导致两组资源一增一减的两组事件之间的关系,一组事件导致一组
资源流入,另一组事件导致另一组资源的流出,流入和流出的资源总
是相互联系。如销售与收款循环中,销售事件引起存货的减少,而收
款事件引起现金的增加,减少的存货与增加的现金相联系,销售事件
与收款事件的联系就是二元联系。
( 3)事件 —参与者联系。又称为控制关系。控制关系是内部参与者、
外部参与者和事件之间的多元联系。为便于理解,这种多元联系常常
被分解成两个二元联系:事件 —内部参与者联系和事件 —外部参与者
联系。
( 4)内部参与者 —内部参与者联系。这也是二元联系,又称为责任关
系。描述上级对下级进行管理和下级对上级负有责任的关系。
上述各种联系如图 12-2所示。
395
事件 ( - )
事件 (+)
资源
资源
流出
控制
控制
流入
外部参与者
内部参与者
外部参与者
触发
内部参与者
图 12-2 REA的实体基本联系图
396
? 采用 REA模型建立信息系统,要在采集业务数
据时收集基础经济事件多方面的信息(具体需要
采集哪方面的信息取决于经营管理的需要和成本
效益原则),而不是只记录汇总后的结果。例如,
不能把几张领料单汇总后记入系统,而应如实地
反映这几张领料单的发生及其具体内容。这样,
在集成的数据库中记录了经济事件多方面的数据
以后,通过专用或通用的报告过程(加工程序)
支持用户所需的信息视图(个性化或常规报表)
就非常简单了。因此,在基于 REA模型建立的信
息系统中,并不存在传统会计信息系统中的日记
帐、分类帐、会计科目表、借贷记账法等元素。
397
? 基于 REA模型建立的信息系统,组织不
仅能利用业务事件的详细数据生成财务报
表和报告,还可以允许信息用户自己定义
所需的信息视图,自己确定需要哪方面的
信息,汇总程度如何,以何种形式输出,
从而支持各种层次、各种职能领域的信息
需求。 REA模式不重复存储同一事件、资
源、参与者的属性数据,因此避免了数据
存储冗余和不一致。而传统会计模式一般
都要从所存储的原始事件的记录中再做会
计分录存入记帐凭证文件中,不但产生数
据冗余,而且增加了出错的可能性。
398
2,REAL模型
REAL模型是 REA模型的一个扩展型,它是在
REA模型中增加了一个新的要素:地点
( Location),即业务事件发生的位置。当今全
球经济一体化,跨区经营是再正常不过的事,经
济事件可能在任何地点发生,而管理者又需要收
集业务发生地点的信息,那么在模型中表示业务
事件发生的位置,在系统设计时就可以合理地决
定数据的采集地点、处理地点、使用地点和传输
路径,从而提高系统的效率。
图 12-3 表示了资源、事件、参与者、地点及其
它们之间联系的 REAL模型。
399
资 源
内部参与者
外部参与者控制
触发发生
动用
地 点
事 件
资 源
内部参与者
外部参与者控制
触发发生
动用
地 点
图 12-3 REAL模型
400
3,建立实用 REAL模型的方法
建立 REAL模型的依据是企业的生产经营
业务流程,一个业务流程由若干业务环节
上的事件组成。建立 REAL模型首先要界定
企业的业务流程,识别每一流程中重要的
战略性业务事件,然后对每一个业务流程
分别建立 REAL模型。
利用 REAL对企业业务流程建模的一般步
骤如下:
401
① 明确要建模的业务流程,确定流程的范围、起点和终点。
② 识别 应包括在 REAL模型中的 业务事件 。对要建模的业
务流程进行分析,找出需要把握的业务事件,包括主要
的事件和辅助的或次要的事件,但不包括纯信息处理、
管理或决策事件。因为记录的有关经营业务活动涉及的
资源、事件、参与者及其属性的数据,已经足以生成管
理与决策所需的信息。由这些实体及其属性所构成的数
据库和获取数据的有效方法,可以在将来产生各种管理
和决策所需要的全部信息。
③ 识别 进入 REAL模型中的事件动用的 资源、参与者和发
生地点。
④ 识别 事件、资源、参与者、地点之间的相互行为、特征、
和它们的 属性 。
⑤ 识别 资源、事件、参与者和地点之间的直接 联系 。
⑥ 根据上述分析和识别的结果,画出 业务过程实用的
REAL模型图 。
⑦ 与业务人员一起 推敲、验证、修改和完善业务过程的
REAL模型。
402
三、事件驱动会计信息系统设计思想
1,事件的分类
为了研究和描述事件,需要对事件进行分类。一般要按
业务过程进行分类,这种分类方法认为每一个企业可将其
整个业务活动分为几个业务过程,也即业务循环,而每一
个业务过程都由一系列事件组成。最重要的业务过程是:
( 1)采购与支付业务过程。指获取各种资源和为获取资源
支付款项的活动。主要包括订立采购合同事件、原材料购
买事件、原材料入库事件和货款支付事件,有时也将人力
资源的获取、财务资源的获取(如借款事件、股票发行事
件)和固定资产获取事件也包括进来。
( 2)生产业务过程。指将获取的资源转换为可供销售的商
品或劳务的活动。主要有领料事件、加工事件和产成品、
半成品入库事件等。
( 3)销售与收款业务过程。指销售商品和为顾客提供服务
并收取款项的活动。包括营销商品事件、发出商品事件、
收取货款事件等。
403
2,价值活动及其分类
为了从价值链的角度更深入地分析企业
各项业务活动,还可以将企业业务活动分
为价值链中的“主要价值活动”和“支持
性价值活动”(相当于本书第一章所讲的
业务流程中的基本业务流程和支持性业务
流程)两类。主要价值活动创造顾客价值,
是业务运作中的关键活动;支持性价值活
动的作用是促进主要价值活动的完成。
404
3,事件驱动会计信息系统设计思想
基于数据仓库的业务事件驱动会计信息
系统的基本思想是对企业的资源、经济事
件和参与者及其相互关系运用计算机进行
对象化、模型化处理,并按其实际语义而非
人为加工过的借贷分录的形式与资源、经
济事件和参与者相关的财务数据和非财务
数据进行确认、收集和存储。然后,根据用
户的不同需要设计相应的用户视图 (视图是
一种面向应用的逻辑数据结构 ),以提供管
理决策所需的通用或个性化的特定信息。
405
? 依据上述思想,基于数据仓库的业务事件驱动型会
计信息系统是指将会计信息的采集、存储、处理、
传输一起 嵌入到业务处理系统,从而能够在业务
发生时,实时采集财务信息和非财务信息,执行
处理和控制规则。这样就可以利用现代信息技术
和数据仓库技术的成就,实现财务信息和非财务
信息的实时采集、集中存储、即时处理、全面共
享和随意访问,从而使会计工作的重心由核算向
管理转变,为决策提供支持。
? 业务事件驱动型会计信息系统的核心是集成, 即
集成业务处理和信息处理,集成财务信息和非财
务信息,以及集成核算和管理。
406
当业务事件发生时,所有原始数据被适当加工
成 标准编码的源数据,记录业务事件的个体特征
和属性,集成于 一个业务事件数据仓库,而不是
听任数据分散、重复存储于多个低耦合的文件中。
业务事件数据仓库不仅记录符合会计事项定义的
业务事件,而且记录管理者想要的计划、控制和
评价的所有业务事件,存储业务活动中多方面的
细节信息。任何授权用户都可以通过业务事件数
据仓库所存储的数据来定义和获取所需的有用信
息,而分类、汇总和余额计算处理都放在报告查
询输出过程(程序)中。
407
4,基于数据仓库的事件驱动型会计信息系统的实现
(1) 运行平台
随着计算机网络技术的发展,基于网络的计算
机信息系统的体系结构也从早期的单一体系结构
发展到客户机 /服务器 (C/S)体系结构和比较新的
浏览器 /服务器 (B/S)体系结构。这种体系结构是
将物理上分散的有独立处理功能的多台计算机经
网络设备和通信线路联结起来,由相应的网络软
件进行管理而实现资源共享。其数据处理站点可
能是分散的,但会计数据资源却是共享的。
408
(2) 三库整合 ——管理数据,提供信息
基于数据仓库的业务事件驱动型会计信
息系统,需要设置三个基本库:事件库、
方法库和模型库。三库各自独立,并独立
于程序。但通过处理程序进行整合,使企
业原有的零散信息化零为整,为企业运营、
控制和决策提供整体统一的信息依据。
409
? 事件库的设计
在从业务事件到事件库的转换过程中,需对业务过程建
立 REAL模型,该模型要求识别“发生了什么事件”、
“事件何时发生”、“每个事件中的参与者是谁”、“涉
及那些资源涉及多少”和“事件在何处发生”等。
它把事件作为实体,事件与事件发生触发和被触发联系。
在每个事件过程中涉及的资源、参与者和地点也作为实体,
事件与资源、参与者、地点发生联系。利用关系数据库设
计原理可以将 REAL中的实体与联系转换为若干关系模式,
每个关系模式就是一个二维表文件,从而构建事件数据库。
值得注意的是不同的事件可以联系相同的资源、地点或
参与者。如采购商品事件和支付货款事件都涉及同一个供
应商。如图 12-4所示
410
L:仓库
E:采购商品
E:支付货款
L:银行
A:采购员
A:供应商
A:出纳员
R:现金
R:商品
图,12-4 两组关联的事件联系相同的参与者
411
? 方法库设计
方法库用于存放信息提取、业务处理和处理控
制的规则,以及不同的确认和计量规则 (包括会计
准则和关于非会计准则的规则,会计准则只是规
则中的一种方法 )。在信息使用者使用会计信息时,
系统可以根据不同目的,选择不同的确认和计量
规则,组合成与信息使用者决策最相关的会计信
息内容,而不是像传统会计信息系统那样将规则
固化在会计软件里。 此外,方法库中还包含一些
基本数学方法、数理统计方法、经济数学方法、
预测方法、评价方法、优化方法、仿真方法、决
策方法以及投入产出方法等。
412
续:
方法库是财务决策得以实现的一个基础。系统
要求有一个完善的方法库进行有效支撑。方法库
中的 方法和规则都有编码,而且这些编码都与事
件或事件类别相联系,一旦用户提出基于某种事
件的信息请求,系统就会自动显示与之相关的会
计方法供用户选择。例如,购置机器设备事件所
对应的折旧方法:直线法、工作量法、双倍余额
递减法等就会显示出来,供用户选择。
构建良好的方法库可以满足使用者的多样化需
求。
413
? 模型库设计
模型库是分析问题、提供合理决策方案的基础。
有效的决策模型应该能把科学的决策方法、决策
者的经验与知识集成在一起。模型库中存放有用
户 求解问题所需的各种模型,如专用模型、通用
模型以及在求解问题时所建立的临时模型等。这
些模型通常以数学模型或逻辑规则模型的方式存
在。根据求解问题的不同对象,它们又可以分为
战略模型、战术模型和操作模型。这样集成的模
型就构成了决策支持的共享资源。模型库中可能
包含有管理控制模型、筹资决策模型、投资决策
模型、企业经济价值评估模型、成本分析模型、
利润分析模型,还可能包含一些科技、经济、社
会发展的宏观决策中用到的数学模型等。
414
尽管基于数据仓库的业务事件驱动会计信息系
统并没有模仿传统的数据存储格式和处理流程,
但它依然能够完成传统会计信息系统的功能,对
外提供财务报告,对内进行财务管理和决策。具
体实现方法是以业务事件数据仓库中的基本数据
表为基础,依据会计准则定义视图。传统的会计
凭证、总分类账、会计报表成为事件驱动会计信
息系统的输出视图,不再作为数据结构实体存于
数据仓库中。在输出设计上,可以按我国会计准
则定义一套输出视图,还可以按其他国家的会计
准则定义不同的输出视图,从而使一套基本数据
可以产生多套报表。
415
基于数据仓库的事件驱动会计信息系统
能存储所有业务事件的原始数据,包括传
统会计信息系统不能确认和计量的经营活
动的数据,能够实时、动态地为用户提供
信息半成品、成品或相关的参考框架,将
真正的决策权赋予信息使用者自己。
416
四、事件驱动会计信息系统的主要特点
基于事件的会计信息系统的主要特点是将事件
作为会计分类的最小单元,在日常核算中,仅仅
把各项交易活动的事件进行存储与传递,而不进
行会计处理。会计信息的使用者根据各自的需要,
对事件数据进行必要的积累、计量,在需要的时
候将事件数据按相应的规则转化为适合于使用者
决策模型的各种会计信息,这就产生了传统会计
信息系统无法比拟的优越性。除此之外事件驱动
会计信息系统还有以下几个突出特点:
1,采用双向模式提供会计信息
2,为管理决策准备了非财务数据
3,消除传统会计信息系统形成的信息孤岛
4,增强会计信息的及时性
417
本章作业:
1,信息技术对会计工作的影响主要表现在哪些方
面?
2,了解 REA和 REAL模型的涵义,解释其中实体、
联系和属性的概念。
3,何谓事件库、方法库和模型库?这三库在事件
驱动会计信息系统中有何作用?
418
课程结束
,会计信息系统,
讲授课件
(本科)
2006.10.13
课堂讲授 48 学时
2
引言,( 课程背景)
本课主要讲述信息技术应用于会计的思想、
理念、技术和方法。
信息技术在会计中的应用,从一开
始到可预期的未来,大致 经历 三个阶
段,
3
1,会计电算化阶段
目的,实现会计数据处理自动化。
信息技术应用标志,运行自成体系的会计软
件(用到数据库;局域网)。
主要特征,完全模拟手工。
会计职能,与手工会计没有区别 ——记帐、
算账、报账等。
4
2,业务财务一体化阶段( ERP阶段)
目的,实现事中、实时、动态的报告与控制。
信息技术应用标志,实施 ERP(用到中央数
据库;局域网、远程网、互联网)。
主要特征,会计信息系统不再是一个独立的
系统,而是与业务系统融合与协同。
会计职能,除基本的核算、报告等职能外,
更侧重控制与服务。
5
3,事件驱动会计阶段
目的,实现为运营、管理与决策提供全方位
信息(包括非财务信息)服务。
信息技术应用标志,实施事件驱动的包括会
计信息系统在内的全系统(用到数据仓
库、数据挖掘和网络技术)。
主要特征,摒弃借贷记账方式,以业务事件
驱动数据的记录与处理过程,而由信息
需求触发信息的报告(同时加工处理)
过程。
会计职能,实时的全方位的信息服务。
6
导言,会 计信息系统的 环境 —— ERP
1,ERP的概念及内涵
2,ERP 的管理思想
3,ERP与企业信息化
4,ERP与电子商务
5,ERP环境下 AIS的主要职能 —— 控制与服务
7
1,ERP的概念及内涵
ERP英文为 Enterprise Resource Planning,
直译为“企业资源计划”。是指建立在信息技术
基础上,以系统化的管理思想,为企业决策层及
员工提供决策运行手段的管理平台。 ERP系统
集信息技术与先进的管理思想于一身,成为现代
企业的运行模式,反映时代对企业合理调配资源、
最大化地创造社会财富的要求,成为企业在信息
时代生存,发展的基石。
8
另外,还可以从不同角度对 ERP进行描述。
? 从管理思想角度
ERP是由美国著名的计算机技术咨询和评估集团 Garter Group Inc.
提出的一整套企业管理系统体系标准,其实质是在 MRP II
( Manufacturing Resources Planning,“制造资源计划”)基础上
进一步发展而成的 面向供应链 ( Supply Chain)的管理思想。
? 从软件产品角度
ERP是综合应用了 B/C/S体系、大型关系数据库结构、面向对象技术、
图形用户界面、第四代语言( 4GL)、网络通信等信息技术成果,以
ERP管理思想为灵魂的软件产品。
? 从管理系统角度
ERP是整合了企业管理理念、业务流程、基础数据、人力物力、计
算机硬件和软件于一体的企业资源管理系统。
9
2.ERP 的管理思想
对于企业来说,ERP首先应该是 管理思想,其次
是 管理手段与信息系统 。管理思想是 ERP的灵魂,
不能正确认识 ERP的管理思想就不可能很好地去
实施和应用 ERP系统。 ERP的核心管理思想就是
实现对整个供应链的有效管理。主要体现在以下
三个方面:
? 体现对整个供应链资源进行管理的思想
? 体现精益生产、同步工程和敏捷制造的思想
? 体现事先计划与事中控制的思想
10
对内而言:
ERP系统整合企业内部的各种资源,通过系统的最佳规划
与分配来达到资源的有效利用,并通过现场作业系统化与
资料即时获得 进行分析,使得生产现场透明化与自动化。
使企业内部信息畅通无阻,进而提升企业快速应变能力。
对外而言:
企业通过网络系统来有效地与客户和供应商互通信息,形
成水平或垂直的虚拟企业。 ERP系统可以把企业内营销、
财务、人事、生产等信息整合于一体,企业将不受时空的
限制,内部信息可以迅速流通,而且可以快速又有效地掌
握企业整体的运作。对于正在迈向国际化、快速化的企业
来说,ERP是一不可缺少的利器。
11
3,ERP与企业信息化
? 企业信息化是利用信息技术改造和武装企
业的生产、经营和管理模式,充分利用企
业的人力、物力和财力,提高生产效率,
降低生产成本,提高对市场敏感程度和竞
争力。
? ERP是集成了企业的生产、经营、管理和
财务系统的全系统,是企业信息化最为典
型的软件产品。
12
4,ERP与电子商务
电子商务是指利用电脑和网络从事的商务
活动,是企业信息化的外延或高级阶段,
也是 ERP供应链管理和客户关系管理的具
体体现。
13
5,ERP环境下 AIS职能的发展 —控
制与服务
在 ERP环境下,AIS面临着许多与其独立环境下不
同的角色和任务,这种角色转换,虽有对传统 AIS
职能的继承,但更多的是对新的职能的发展。由于
财务和业务的集成,企业原来的财务管理模式和组
织架构都要改变,除了日常的报销、核算发票处理
等与过去相同外,我们认为,在 ERP环境下,更突
出的是 AIS的 控制与服务 问题。因为在 ERP环境下
(企业信息化后) 原来的财务会计职能大大简
化,而控制问题变得异常严峻;原来不能做到的全
方位的信息服务现在可以做到并成为 AIS的重要职
能。
14
第一章
信息技术与会计信息系统概述
15
第一节 企业信息化与会计信息系统
? 信息 是组织起来的有用的数据,是正确决策的基础。
? 系统 是为了实现特定目标而相关的资源的集合。
? 组织 是追求共同目标的各决策单位的组合,可能是一个企
业,也可能是一个公司。作为一个系统实体,组织接受输
入并将其转化为产品和服务等形式的输出。
? 组织依靠信息系统来保持和提升其竞争力。
? 会计信息系统( AIS)是人和设备等资源的集合,目的在于
将财务数据和其它数据转化成信息,并将信息发送给各类
决策者。
16
企业信息化:
企业信息化是指企业在生产和经营、管理和决策、产
品研发和市场销售等各方面应用信息技术,调整或重构企
业的组织结构和业务模式,对一切可利用的资源进行最有
效的开发和利用,充分服务于企业的发展目标,提高企业
竞争力的过程。
推进企业信息化是落实“以信息化带动工业化,实现
社会生产力的跨越式发展”的重大举措。企业信息化的普
遍实施,将有力地促进国民经济的发展和社会进步,大幅
提升我国的综合国力和国际竞争力。
17
一、信息与信息系统
(一)数据、信息、知识
数据:
数据是对客观事物的性质、形态、结构、特征、
内容和含义的一种表达形式,它可能是数字、文
字或图形,可能是声音、光电或颜色,还可能是
一个眼神或一个动作。
信息:
信息是对人有用的、能够影响人们行为的数据。
是数据的含义,是人们对数据的理解,是数据加
工后的结果。数据是信息的载体,没有数据便没
有信息,因此信息不能单独存在。
18
各种组织系统都是通过资源配置的过程来追求目
标,依靠管理决策过程去实现目标。信息的经济
价值就在于它有助于资源配置决策,并且协助系
统来实现其目标。因此,信息可能算是最重要的
组织资源。
? 会计信息的使用者分两类:外部使用者和内部使用者
外部包括:股东、投资者、债权人、政府部门、工会
及公众。 内部包括:组织内各级管理者。
? 会计信息可分两大类:强制性的和自由选择性的
政府部门、立法部门等需求的信息是强制性的必须提
供,但要在满足可信性和有用性的要求时,使成本最
小化。内部管理部门需要的诸如预算报告、责任会计
报告等信息是可选择的,因此提供这类信息要注意成
本 —效益原则。
19
战略性
策略性
操作性
交易数据
信息加工与筛选
高层管理
中层管理
基层管理
图 1-1 企业内部信息的需求特征
在一个企业内,一般来说,地位越高的管理者
所需要的信息越需要加工和处理。图 1-1是企业中
的基层、中层和高层管理者对信息的需求特征。
20
知识:
从信息技术应用的角度看,知识是以各
种方式将一个或多个信息关联在一起的信
息结构,是对客观世界规律性的认识和总
结。它是对同类信息的积累,是为帮助实
现某种特定的目的而抽象化和一般化了的
信息。 因此,信息是知识的原料,而知识
是对信息的更高一级的抽象。 这种抽象可
以在信息系统环境中通过寻找各信息之间
的联系完成。由此也可以看出,知识的产
生需要自由地获取信息。
21
(二)系统、管理信息系统
1,系统
系统是由具有独立功能且相互联系、相互
制约、为共同完成系统总目标而存在的若
干元素构成的有机整体。
系统具有以下主要特性:
目的性、要素性、关联性、层次性、环境
适应性。
22
2.管理信息系统
管理信息系统( Management Information
System 简称 MIS)是以信息基础设施为基本运
行环境,由人、数据、设备、信息技术和运行规
程等要素组成的,通过数据处理产生企业进行各
项管理和决策所需信息的系统。随着近几年网络
信息技术的迅猛发展和企业信息化进程的加快,
MIS已经迎来了他的高级阶段 ERP。事实上,制
造资源计划( MRPⅡ )和企业资源计划( ERP)
系统都可认为是企业管理信息系统。只是 MRPⅡ
和 ERP更强调科学管理、资源整合、信息动态共
享与系统功能集成。
23
3.管理信息系统基本功能
管理信息系统要为信息使用者提供对决策
有用的信息,因此其基本功能就是处理数
据产生信息。具体说来包括对数据进行采
集、存储、加工、检索、维护、分析和传
输等功能,将其转换成信息并向使用者提
供信息。
24
4.管理信息系统分解
一个企业的管理活动十分复杂,因此与其对应的企业管
理信息系统也是非常庞大和复杂的,这给描述和开发这样
的系统都带来了一定困难,因此须将管理信息系统进行 分
解 。传统的管理信息系统一般按管理的层次结构和职能部
门把整体的系统分解为具有独立功能的若干子系统。例如,
生产管理、财务管理、人力资源管理、销售管理、采购管
理、仓储管理、质量管理等子系统。由于传统的管理信息
系统分解成具有独立功能子系统的模式有碍数据的充分共
享,影响整体业务高度协同,当今的大多 ERP系统 不再划
分功能独立的子系统,而是将企业的所有岗位和职能重新
梳理定义,称之为“职位”,然后根据各职位的职能、权
限编制相应功能的 程序模块儿 。这样从管理系统的软件来
看,ERP是一个大一统的软件包,内辖成百上千个程序模
块儿,每一模块儿都是 ERP的有机整体的一部分,它们共
享同一个中央数据库,高度协同运行,因此克服了传统的
功能子系统部门拥有,独立运行,边界森严,数据不易共
享和作业不易协同的弱点。
25
二,会计信息系统
会计信息系统( AIS)是人和信息、技术、设
备等资源的集合,目的在于将财务和与财务相
关的数据转化成信息,并将信息发送给各类决
策者或管理者。
(一)会计数据和会计信息
会计数据是用于描述经济业务活动所需的数
字、文字和专用符号,我们把会计用的“单、
证、账、表”上所有形式的符号都看作会计数
据。
会计信息是指会计数据经过加工处理后产生
的为会计管理和企业经营决策所需的经济信息。
26
会计信息的特点:
( 1)数量大、种类多、来源广
( 2)综合性
( 3)结构和处理逻辑的复杂性
( 4)客观、真实、公允性
( 5)全面、完整和一致性
( 6)安全、可靠性
( 7)处理的及时性
27
(二)会计信息系统的基本概念
1.会计信息系统
可以将其定义为:利用信息技术对会计数据
进行采集、存储和处理,完成会计核算任务,
并提供会计管理、分析、决策所需的辅助信息
的系统。其构成要素为:计算机硬件、软件、
数据、会计人员和会计信息系统的运行规程,
其核心部分是功能完备的融入 ERP系统的各会
计功能模块儿。在 ERP环境下,企业会计工作
中常规的、可程序化的任务都将由各个会计功
能模块儿自动处理,同时软件系统还会帮助会
计人员完成许多内部控制等管理任务。
28
2.会计信息系统的目标
会计信息系统是为企业服务的,是企业这
个有机体中不可缺少的组成部分,因此,
会计信息系统的目标应服从于企业、信息
系统、会计三者的目标。企业的目标是通
过为客户提供满意的产品或服务,获取更
多的利润;信息系统的目标是向信息的使
用者提供决策有用的信息;会计的目标是
帮助企业提高经济效益以获取更多的利润。
29
3.ERP与 AIS的关系
? ERP是集成了业务和财务系统的全系统。 在企业内部,再
也不应该有独立的分割的管理信息子系统,所有的业务、
管理、财务都是集成在一起的,通过 ERP实现物流、资金
流、信息流的统一。
? 财务管理始终是 ERP的核心模块和主要职能。 会计和财务
管理对象是企业的资金流,是企业运营效果和效率的衡量
和表现,传统的会计信息系统属于会计等式“资产 =负债
+所有者权益”的模式。 ERP系统则以业务为中心来组织,
根据物流、资金流、信息流的连续运动和反馈来设计,能
跨越职能领域的边界,实现整个企业信息的集成。会计信
息系统只是企业管理信息系统的一个有机组成部分,不是
作为一个专门的系统开发的。
30
(三) ERP环境下会计职能的发展
在 ERP环境下,AIS更突出的职能是控
制与服务问题
1,AIS 的管理控制问题
控制问题早已有之,但在 ERP环境下,
控制问题变得异常严峻。因为传统的风险
依然存在,同时信息化又带来了许多新的
风险。
31
2,AIS的信息服务问题
企业实施 ERP 后,由于业务与财务的集成,
在处理每一笔业务时将自动生成会计凭证,由
于数据共享,数据出错率也大大降低,财务人
员主要是根据预算和权限管理进行财务开支的
审核,这样,原来大量从事数据输入和审核任
务的财务人员工作量会大大减少。原来的结账、
对账、科目汇总、试算平衡、调账和出报表等,
在 ERP环境下都变得非常容易,原来的财务会
计职能大大简化,而管理会计的职能将大大增
强。财务分析与信息服务工作将占到财会工作
的 30%~40%,尤其信息服务将趋于职能化、专
门化。我们把 AIS对企业内部的财务信息服务分
成三个方面 ——部门级服务、企业级服务和专
业性服务。
32
第二节 业务流程
业务流程是一系列相关作业,这些作业包
括数据、组织单元和逻辑时间顺序。组织
内所有 与财务相关 的活动都可以看作其整
体业务流程的一部分。
一般组织都具有 九组 通用的基本业务流程。
分为主体性流程和支持性流程,前者直接
增加产品价值,后者间接增加产品价值。
33
基本业务流程和支持性业务流程共同构
成了企业业务活动的整个 价值链 。价值链
是通过分析竞争优势的方式衡量企业业务
活动的一种方法。他将业务活动分解为能
够根据企业的目标和战略单独进行优化的
组成部分。
34
第三节 业务处理循环
通常按惯例将企业活动分为经营活动四个
一般循环:
? 收入循环,向其它主体提供产品和服务并收款的有关事件。
? 支出循环,从其它主体获取产品和服务并付款的有关事件。
? 生产循环,将资源转变为产品和服务的相关事件。
? 财务循环,包括现金在内的资金管理的相关事件
外加一个财务报告循环,但它不是一个经
营循环。
35
一、销售与收入循环
1,销售与收入循环的概念
销售与收入循环包括向其它主体提供产品
和服务并收款的有关事件。具体活动有:
吸引客户关注,帮助客户了解和选择合适
的产品,与客户签署供货与服务协议,发
运产品或提供客户要求的服务,收款等。
36
2.销售与收入循环的目标
除了通过销售增加盈利与及时收回货款,销售与
收入循环还应努力达到以下目标:
? 缩短选择产品和服务与收款之间的时间间隔;
? 减少应收账款和坏账损失;
? 合理确定产品价格,寻求增加客户价值和本企
业盈利的平衡点。
销售与收入循环是企业与客户进行交流
的第一通道,如果销售与收入循环不能发
挥其应有的作用,即使其他循环非常有效,
企业也不能取得收入,这一循环是企业实
现经济增长和盈利的关键。
37
二、采购与支出循环
1,采购与支出循环的概念
采购与支出循环包括从其它主体获取产
品和服务并付款的有关事件。具体活动有:
询价、选择供应商、定购、收货、验货和
支付货款等。
38
2.采购与支出循环的目标
采购与支出循环的总目标是为组织的转换过程提
供必要的资源。该目标可分解为以下具体目标:
?确认所订购的商品和劳务为企业所需;
?确保所购得的商品或劳务性能、品质良好;
?确认发票所记载的数量、金额与实物相符;
?能按照企业需要的时间、地点和状态接收货物,做到
适时可用;
?确认所有现金支出均已得到授权。
目标决定了购货与付款过程的性质和范围,所
有会计流程和内部控制的设计都是为了达到这些
目标而设立的。
39
三、生产循环
1,生产循环的概念
生产循环包括将资源转变为产品和服务
的相关事件。具体活动有:生产控制和报
告、生产计划、生产进度、加工装配、产
成品计算、存货控制、成本会计和财产会
计处理等。
40
2,生产循环的目标
生产循环总的目标是利用本组织可利用的资源,
创造出市场需要的产品,该产品除了原材料以外
还物化了组织的专利、技术、人力、和人的创造
力。生产过程还要努力追求下列目标:
?最高的成品率;
?最低的能耗率;
?最高的生产率;
?最低的库存量;
?不断降低成本,不断推陈出新。
利用信息技术,实现准时制生产、精确制造是
今后生产循环的努力方向。
41
四、财务循环
1,财务循环的概念
财务循环包括现金在内的资金管理的相关
事件。具体活动有:现金管理和控制、债
务管理和控制、投融资管理和控制、职工
福利计划和管理等。
2,财务循环的目标
财务循环的目标是最优化地使用企业可使
用的资金。
42
第四节 会计与信息技术
当今的会计信息系统当然指计算机会计信息系统,它
包括使用最新的信息技术来给用户提供信息。信息技术包
括计算机技术、通讯技术和网络技术。
一,信息系统的职能体系
负责数据处理,产生信息。
随着企业信息化不断深化,每个企业都建立了
相应的信息化实施的职能部门和领导机构,有的
还聘请各方面有关专家成立顾问组,形成完整的
企业信息化职能体系,该体系的主管称为首席信
息官( CIO),顾问组称为指导委员会。图 1-2显
示了企业信息化职能体系。
43
首席信息官
指导委员会
系统分析经理 编程经理 运行经理 技术支持经理 用户支持经理
程序维护员 系统程序员
通信分析师
数据库管理员文档管理员 数据录入员 计算机操作员
应用分析员 应用程序员
图 1-2显示了企业信息化职能体系
44
二,最终用户计算( EUC)
在信息化工作中,最终用户 这一术语是
企业内部基本的业务职能(职位),而不
是要求信息系统实现的某种处理职能。比
如销售或营销职能(职位)是要求信息系
统提供销售报告、市场分析、销售预测、
销售预算的最终用户;会计职能(职位)
是要求对日记帐过账和报表准备进行计算
机处理的最终用户。
45
最终用户计算( EUC) 是指最终用户亲自动手驾
驭计算机完成本岗位的业务工作。出色的最终用
户可利用企业提供的硬件、软件和有权使用的全
部资源自己进行一些业务处理活动。因为任何先
进的信息系统,其功能无论怎样丰富和强大,为
每一个职位提供的业务处理功能都是常规的、有
限的,对一些特殊的、突发的业务处理或信息需
求,有时也是无能为力的,这就需要最终用户发
挥作用,即所谓的最终用户计算。一个常见的最
终用户计算的应用是使用数据库管理系统提供的
查询语言从企业的中央数据库中提取数据,然后
利用表处理软件(如 EXCEL)对数据作进一步加
工处理,获得信息提供给使用者。
46
我们还可以通过一个具体例子来进一步说明这
个问题,会计这个最终用户可以在企业的中央数
据库中找到应收帐款数据,并对其作进一步分析
处理,形成企业管理层关心的关于客户欠款的某
些情况的报告。这一过程由图 1-2所示。最终用户
通过使用自己开发的应用软件或工具软件并利用
授权使用的系统查询处理器完成自己的任务,而
不必动用信息系统专家。这种直接的、实际动手
的计算机应用提供了以前只能由计算机专家才能
完成的职能,这正是我们提倡的 EUC的意义所在。
企业在信息化过程中就是要培养和造就一大批具
有独立计算机处理能力的最终用户。
47
用户报告
提交查询请求
应收帐款
数据库
数据库访问
控制软件
最终用户 分
析处理软 件
语言查询
处理器
图 1-2 最终用户计算示例
48
三,快速反应技术
? 快速反应系统就是我们当前追求的信息化、
数字化、自动化、网络化系统。如:超市
购物、刷卡买饭、准时制生产、网络贸易
( EC)、电子数据交换( EDI)、计算机
集成制造( CIM)、电子资金转帐( EFT)
等。
? 快速反应系统的基础技术包括:
EDI ; INTERNET; POS; UPC ;虹膜
识别和指纹识别技术等。
49
四,会计人员与系统开发
今后企业信息化达到相当程度时,会计或
审计人员会经常介入系统开发活动。如
ERP实施过程中的二次开发、系统的日常
维护和修改都需会计人员参与。学会使用
下一章要讲的系统方法(图形符号语言工
具)是非常必要的,那是高级复合型会计
人才必备的知识。
50
五、信息技术环境下会计工作的变革
1,会计处理流程的变革
2,会计人员工作内容的变革
3,会计管理手段和管理方式的变革
4,出现了许多新的会计管理对象
51
第五节 本章总结
? 会计信息系统是基于计算机的,将会计数据转换
为会计信息的系统。本课中我们更广泛地使用会
计信息系统这一概念,使其包括业务处理循环、
信息技术的使用以及信息系统的开发和信息系统
的审计。
? 推进企业信息化是落实“以信息化带动工
业化,实现社会生产力的跨越式发展”的
重大举措。企业信息化的普遍实施,将有
力地促进国民经济的发展和社会进步,大
幅提升我国的综合国力和国际竞争力。
52
? 信息已经成为一种新的资源,在经济社会里,谁
能及时获得和拥有更多的有价值信息,谁就会在
竞争中处于主动,立于不败。
? 系统是由具有独立功能且相互联系、相互制约、
为共同完成系统总目标而存在的若干元素构成的
有机整体。
? 管理信息系统(简称 MIS)是以信息基础设施为
基本运行环境,由人、数据、设备、信息技术和
运行规程等要素组成的,通过数据处理产生企业
进行各项管理和决策所需信息的系统。具体说来
包括对数据进行采集、存储、加工、检索、维护、
分析和传输等功能,将其转换成信息并向使用者
提供信息。
53
? 大多数组织经历着类似的经济事件,这些
事件产生的活动可以分为 5个主要业务流程
(内部管理、外部管理、运作、营销和服
务)和 4个支持性业务流程(采购、技术开
发、组织和人力资源管理、企业架构)。
? 三种技术相互作用使得快速反应系统切实
可行。它们是,EDI(INTERNET),UPC、
POS。
54
? 按照各项经济业务的关联程度,我们把一
些对外相对独立、内部之间发生日常联系
的一组事件称为一个交易循环
( Transaction Cycles)。一般企业的经
济业务活动都可分为四个一般循环:销售
与收入循环、采购与支付循环、生产循环
和财务循环。
55
? ERP是指建立在信息技术基础上,以系统化的管
理思想,为企业决策层及员工提供决策运行手段
的管理平台。 ERP系统集信息技术与先进的管理
思想于一身,成为现代企业的运行模式,反映时
代对企业合理调配资源、最大化地创造社会财富
的要求,成为企业在信息时代生存,发展的基石。
对于企业来说,ERP首先应该是管理思想,其次
是管理手段与信息系统。管理思想是 ERP的灵魂,
不能正确认识 ERP的管理思想就不可能很好地去
实施和应用 ERP系统。
56
? 最终用户计算( EUC)是指最终用户亲自
动手驾驭计算机完成本岗位上遇到的一些
额外的业务处理或信息需求工作。
57
本章作业:
1,ERP与 AIS的根本区别与本质联系是什么?
2,ERP环境下的 AIS的主要职能已发展为控
制与服务,为什么?
3,怎样理解组织依靠信息系统来保持其竞争
力?
58
The end
59
第二 章
系统方法及其应用
60
第 2 章 系统方法及其应用
系统方法是用于分析、设计信息系统及表达系
统与子系统之间关系、描述业务处理流程和各职
位之间数据传递路径的工具,也是编制各种审计
文档的有力工具。它是由一系列图形符号及其用
法构成的表达语言。
会计人员与系统设计人员、业务人员交流应用
系统设计思路;审计人员与会计人员交流内部控
制效果都要以系统(图)方法为工具。
61
第一节 系统方法
系统方法是人们在生产生活实践中创造和
积累起来的若干图形符号语言。它可以直
观、简练、清晰地表达和反映使用者的思
想和意图,起到语言文字达不到的表现力
与效果,它不受民族、国籍和母语的限制,
在世界范围内广泛流传和使用。
62
一、流程图
? 流程图符号( ANSI X3.5-1970)
输入 / 输出
处理
流程线
注解
图 2-1 基本符号
63
? 更具体的输入 /输出专门符号
穿孔卡片
磁盘
文档
手工输入
联机存储
显示
通信链接
脱机存储
图 2.2 输入 /输出专门符号
64
? 处理专门符号
A
判断、决策
预定义处理
准备
手工操作
终端
辅助操作
合并
抽取
排序
连接器
图 2-3 专门的处理符号
65
? 流程图中的符号使用
发票 检查与 核准
购买订单
请购单
订购单
核准的发票
发票检查与 核准核准的发票
A
A
订购单
供应商
档案
准备下订单和
更新供应商档案
正常流向
反向箭头
连接符的使用 双向箭头
图 2.4 符号的应用举例
66
二、数据流图
数据流图( DFD)也称逻辑数据流程图,主要由系统开发人员使用。
(一)数据就图的基本符号
名称 符号 含义
外部项 描述数据的来源或去向
处理 描述加工或处理操作
数据存储(文
件)
表示一个文档的存储
(一般指磁盘文件)
数据流 表示一组按特定方向流动的数据
67
外部项 是指不受本 DFD(系统)控制的人、机构或另一
个 DFD(系统),是本 DFD外部的数据来源或最终去处,
表达本 DFD与外部的数据交换,数据从源端进入系统,经
过一系列的加工由终端离开系统。例如统计员、财务科、
银行、经理、应收账款模块儿都可以作为外部项。 处理 也
称加工,表示对数据进行加工处理与变换的功能,即把流
向他的一组数据流加工(变换)成另一组数据流。在复杂
的 DFD中有很多加工,因此应该对加工编号。 数据存储 又
叫文件,用右端开口的长方形表示。在 DFD中数据存储不
涉及具体的存储介质,只是对数据存储的逻辑描述。 数据
流 由一组成分固定的数据项组成,表示一组按特定方向流
动的数据。
68
? 在 DFD中,所有的数据流都必须与加工有
联系。可以从外部项流入加工或从加工流
入外部项,可以从一个加工流到另一个加
工,也可以从文件流入加工或从加工流入
文件,但不能从文件流入文件。
? DFD的几个绘制要点:
DFD应完全由 DFD符号表示;
DFD的每一个符号包括数据流,都要注释;
逻辑的流向应该清晰,DFD上的所有数据来源
和去向都应注明。
69
(二)数据流图的用法
我们通过一个结构化系统分析的实例,来展示 DFD的用法。所谓
结构化系统分析是将复杂的问题通过分解的办法自上而下、化大为小、
分而治之。
薪酬处理主模块的 DFD:
计时部 雇员薪酬处理
薪酬数据文件
薪酬
数据
工资
支票
薪酬
数据
薪酬
数据
图 2-7薪酬处理的 DFD
70
通过对图 2-7薪酬处理的 DFD不断提炼,产生更
加深入的系统描述。如图 2-8所示:
计时部 核实薪酬 数据 计算工资 雇员
雇员数据
有效的薪酬数据
薪酬
数据 工资支票
实时状态 净工资和扣减
有
效
数
据
待
处
理
数
据
图 2-8 薪酬处理 DFD的扩展
P2P1
71
P2模块还可进一步分解细化:如图 2-9
雇员数据
更新
雇员
文件
处理
工资分
类帐
计算
净工资
雇员预提数据
有效薪酬数据
分类账数据
P2计算工资
图 2-9 P2 处理的分解
净工资和扣减
税率和扣减
待处理数据
净
工
资
和
扣
减
工
资
支
票
实时数据 详情
72
三、模块结构图
? 所谓模块就是系统中的一个处理过程,软
件中的一段程序,是构成大系统的基本单
元。模块具有输入、输出、逻辑功能、处
理过程、内部数据及运行环境等特性。结
构化系统设计就是通过分解把系统设计成
具有层次和调用关系的模块结构。
? 表达软件结构常用的系统方法有两种,一
种称为层次图,另一种称为模块结构图。
73
(一)层次图
层次图按自顶向下、逐步求精的原则设计,表
示软件分解的层次结构。层次图着眼于软件具备
的处理功能,所以也叫系统功能图或功能结构图。
图 2-8 是一个小的薪酬系统的层次图。
层次图(功能图)表达了系统各模块的层次关
系,每个模块对应一项处理功能,但没有表达模
块之间的控制与通讯联系,需要用 IPO( Input-
Process-Output)图来补充描述这些特性。如对
上述薪酬系统中的“计算累计工时”模块可以用
图 2-9的 IPO图来描述。
74
薪酬系统
数据准备 处理 审查
计算
毛支付
计算
净支付
计算
累积工时
寻找对应
支付率
计算
毛支付
图 2.8 薪酬处理层次图
1.0
1.1 1.2 1.3
1.2.1 1.2.2
1.2.1.1 1.2.1.2 1.2.1.3
75
系统名称:薪酬系统 设计者,****
模块名称:计算累计工时 设计日期,2006-03-20
被哪些模块调用:计算毛支付 直接调用模块:无
输入文件名:工时卡文件
输出文件名:累计工时清单文件
处理逻辑:
********
********
********
图 2-9,计算累计工时”模块的 IPO图
76
(二)模块结构图
层次图与 PIO图着眼于模块的层次调用关系,
不能清晰地表达整个系统中各模块的控制与通讯
等问题,除非仔细阅读完所有的 PIO图,才能清
楚整个系统中模块之间的控制及数据间的复杂联
系,因此用层次图表达系统的结构是不充分的。
模块结构图 MSC(Model Structure Chart) 也
称为模块控制结构图。它对系统模块的表达更充
分,考虑的因素也更多,能明确表达系统的结构
和模块之间的通讯及循环、判断等控制。因此更
适用于表达系统结构,是系统总体设计出色的表
达工具。
77
X
A B
m
n
p
q
图 2-10 模块调用
78
X
A
X
A CBA
X
C
图 2-11选择调用和循环调用
B
79
四 分析流程图
分析流程图可以用来分析文档在一个组织
中的流转,这些图都分成若干个栏目来分
类表示每个 实体 的处理职能。通过这些代
表组织中各个实体的栏目来绘制流程图是
评价职责分离的一个有效方法。流程图的
这一形式还能突出不同实体间的界面,因
为这些界面是一个应用系统中重要的控制
点。
80
? 分析流程图示例
分析流程图确定了一个应用系统中所有重要的处理流程,并重点
分析需要实施控制的任务流程。图分栏绘制,如图 2-10
已通过的
卖主列表
订购
报价
询价请求
询价请求
选择
卖主
准备询价
准备订购选择中标者
采购部门 供应商
报价
订购
图 2-10 分析流程图
81
五、文档流程图
文档流程图的目的是列出应用系统中所使用的全部文档并确定这些
文档组织、分布和最终处置的控制点。图中每个文档符号代表一批文
档而不是一个文档。
应付帐款 订购代理 收货 仓储
订购单 订购单
购买订单
购买订单
购买订单
购买订单
2 订购单1 1
2
2
3
4
5
6
1
3
5
4
图 2-11 文档流程图
给卖主
82
六、决策表
决策表技术也是系统设计人员和会计、
审计人员经常使用的一种系统方法。最常
见的例子是在算法设计或分配方案设计过
程中,当遇到复杂的问题需要多重逻辑判
断时,任何其他方法都不能清晰地表述问
题的逻辑关系,而决策表却能很容易做到
这一点。我们通过一个具体实例来说明决
策表的用法,并展示她的魅力。
83
示例:
某公司规定推销员的薪酬与业绩挂钩,按推销产品收入
额提成,上不封顶,下不保底,费用自理。具体为每月推
销额 10万元以上(含 10万元,下同),回款比例达 80%
且推销的新产品占 5成以上者,按推销额的 6%提成;新产
品不足 5成则按 5%提成;若回款比例在 40%~80%之间且
新产品占 5成以上按 5%提成;新产品不足 5成;若回款比
例低于 40%,则按 3%提成。推销额不足 10万,回款比例
在 80%以上者则按 4%提成;回款比例在 40%~80%之间则
按 3%提成,不足 40%则按 2%提成。
这种复杂的处理逻辑如果用决策表来描述会变得非常清
晰。在薪酬政策中有三个条件:一是推销额,用 TXE表示;
二是回款比例,用 HK表示;三是新产品比例,用 XCP表
示,可拟定一个条件与取值符号表见表 2-2。然后构造决
策表,见表 2-3。
84
条件与取值符号表
条件 取值符号 符号含义
C1:推销额 (TXE)
C 超过 10万元 /月
D 低于 10万元 /月
C2:回款 ( HK)
G 超过 80%
Z 40%~80%之间
D 不足 40%
C3:新产品 (XCP)
X 新产品占 50%以上
L 新产品不足 50%
表 2-2
85
薪酬处理决策表
1 2 3 4 5 6 7 8 9 10 11 12
C1:TXE C C C C C C D D D D D D
C2:HK G G Z Z D D G G Z Z D D
C3:XCP X L X L X L X L X L X L
A1:6% √
A2:5% √ √
A3:4% √ √ √
A4:3% √ √ √ √
A5:2% √ √
表 2-3
根据本例处理逻辑,决策表还可以简化成下面的形式 …
86
简化的决策表
1 2 3 4 5/6 7/8 9/10 11/12
C1:TXE C C C C C D D D
C2:HK G G Z Z D G Z D
C3:XCP X L X L — — — —
A1:6% √
A2:5% √ √
A3:4% √ √
A4:3% √ √
A5:2% √
87
七、问题分析图
问题分析图( Problem Analysis
Diagram)简称 PAD图,是又一种支持结
构化算法设计的图形表达工具,也是一种
用于业务流程描述的系统方法。其基本符
号如图 2-19所示。
88
S1
s2
s1
s2
s1
s2
sn
.,
.
s3
(a) 顺序结构 (b) 条件结构 (c) 选择结构
C s
c1
c2
cn
(d) 循环结构
C
89
PAD图融系统的层次结构和过程特征于
一体,横向表达系统的嵌套层次结构;纵
向(同一条控制竖线)自上而下表达某一
处理的过程特征,思维可以纵横驰骋而不
受限制,因此可以对系统的处理细节进行
深入的刻画和雕琢。我们用一个实例来说
明 PAD图的用法。
90
会计信息系统中常将所使用的会计科
目及其代码汇集成一张表存到系统里,称
为科目汇总表文件。该文件内容也会有变
化,所以需要维护,现在我们用 PAD图来描
述维护的作业流程。经分析我们知道:正
在使用的会计科目不能修改其代码,更不
能删除。修改和删除只能在本会计年度结
束,新会计年度尚未开始前进行。平时的
维护只能修改科目名称或增加新科目。因
此科目维护过程如图 2-20 所示。
91
图 2-20 科目文件维护 PAD图
92
第二节 系统方法的应用
一、审计工作中系统方法的应用
1,内部控制评价中的应用
评价内部控制时,审计人员一般关注一个应用系统
中的文档处理和分配的流程。由于职责的划分与隔离
是内部控制的重要手段,所以业务处理模式和文档流
转路径会人为地变得复杂化。因此审计人员就需要使
用专门的技术(系统方法)来分析和描述个人的或部
门间文档的流转路径和职责划分后形成的业务处理模
式(系统)。常用的系统方法有:分析流程图、文档
流程图、和决策表等。
93
2,符合性测试中的应用
审计人员通过符合性测试来确认决定可信度
的那些内控措施是否存在,评价其作用,检查
其运作的连续性和有效性。若被测的控制是信
息系统的组成部分时,审计人员就必须了解信
息系统的一些开发技术,这就要求审计人员必
须理解信息系统开发过程中常用的系统方法。
如:层次图,IPO 图、模块结构图,PAD图和
决策表等。
94
3,工作底稿中的应用
工作底稿是审计人员在审计过程中进
行审查、测试、获得信息和做结论的原
始记载。审计准则要求保留工作底稿,
因为底稿构成了审计工作的主要记录。
审计人员常用系统方法来编制文档和
分析工作底稿中的内容。如分析流程图、
系统流程图和决策表就经常在底稿中出
现。
95
二、系统开发中系统方法应用
系统开发包括三个阶段的工作:系统
分析、系统设计和系统实施。系统开发
人员包括系统分析员、系统设计员和程
序员。系统分析阶段主要是提出系统的
整体解决方案,系统设计是将系统分析
阶段提出的解决方案具体化,系统实施
是将具体的解决方法和步骤付诸运行的
过程,这一过程主要是编程与测试。
96
1.系统分析中的应用
系统分析的主要任务是理解和表达,理
解是通过调研完全弄清系统的功能要求,
而表达是用系统方法描述系统的功能,构
建系统的逻辑模型。分层的 DFD图是最重
要的系统逻辑模型的表达工具。
97
2,系统设计中的应用
系统设计分总体设计和详细设计两部
分,总体设计主要是设计系统的总体结构,
这要用到层次图,IPO图和模块结构图等
系统方法。详细设计是确定模块的具体算
法,PAD图是当前描述算法最好的系统方
法。
98
3.系统实施中的应用
系统实施中也要用系统方法作为程
序员的分析工具和测试流程描述工具。
如:程序流程图和决策表。
99
第三节 总结
本章介绍的系统方法,主要是会计审计
人员和系统分析人员用作分析与文档化的
表达工具,尤其信息系统分析与设计中强
调的结构化地分析与设计方法必须使用系
统方法。这种图形化的符号语言不仅具有
直观、简练、清晰、易理解、好掌握的优
点,而且容易形成标准全世界通用。流程
图本身不仅是一种科学,而画流程图还是
一种艺术。
100
本章作业:
1,在分析流程图中怎样确定实体和栏目?
2,用 PAD图描述:让计算机打印出 100以内
的自然数中的所有质数的处理逻辑(程
序)。
101
The end
102
第 四 章
网络技术与电子商务
103
计算机网络是用电子方式通过网络技术
连接起来的计算机的集合。凭借这个网络,
企业可以方便地汇集分散在世界各地的交
易数据,实现跨地域的信息交换。电子商
务就是计算机网络应用的产物。
104
第一节 网络技术
一、计算机网络的基本概念
(一)计算机网络的定义
计算机网络是计算机技术和通信技术
相结合的产物,它将位于不同地域的多
台具有独立处理功能的计算机设备,用
某种通信介质连接起来,并由网络软件
协调管理,形成一个可以相互通讯的网
络,通过网上传递,实现网络资源(包
括数据)的共享。
105
(二)计算机联网的目的
计算机为什么要联网?联网会产生什
么作用呢?计算机联网的根本目的是摆
脱分立的计算机在地理位置上的束缚,
实现全网范围内的数据交换和资源共享。
主要表现在以下几方面:
1,软资源共享
2,硬资源共享
3,信息传递和交换
106
(三)计算机网络的分类
计算机网络可以从不同的角度进行分
类,其中按网络所跨越的距离分类是最
常见的分类形式。如,广域网 WAN
( wide area network)也称远程网,局
域网 LAN (local area network)和 城域网
MAN(municipal area network)。
107
二、企业计算机网络的组建
企业中最常用的计算机网络就是局域网,我们以局域
网为例来介绍企业计算机网络的建设。
(一)局域网的硬件设备
从硬件角度讲,一个局域网( LAN)通常由服务器、
工作站、网卡、集线器、、电缆或光缆以及其他网络
配件组成,为了扩展网络范围,还要引入路由器、网
桥、网关和通信服务器等网络部件。由这些设备可组
成相应的局域网的硬件环境。
(二)局域网的操作系统
网络操作系统是运行在计算机网络上的高层软件,他
执行网络协议、负责计算机间数据交换、对网上资源
进行统一管理。
108
三、互联网技术及应用发展
(一) INTERNET 技术
1,INTERNET的概念
INTERNET(互联网)是一个由各种不
同类型和规模的独立运行与管理的计算机
网络组成的全球范围的计算机网络。组成
INTERNET的计算机网络包括局域网
( LAN)、城域网 (MAN)以及大规模的广
域网 (WAN),因此,我们说互联网是网络
的网络。
109
? 关于互联网的两个构想:
美国兰德公司承担了 INTERNET的研发
工作,在研发之初,兰德公司提出了两个
令人惊讶的构想:一是这个网络不应有任
何命令和控制中心;二是 这个网络从建成
之初就应该能在分散的状态下运行。他们
采用了一套通用的通信标准 ——TCP/IP协
议,最终实现了这两种构想。
110
2.INTERNET的特点
Internet之所以发展如此迅速,被称为
二十世纪末最伟大的发明,是因为
Internet具有如下特点:
开放性
共享性
平等性
低廉性
交互性
111
3,IP地址和域名
( 1) IP地址的概念
我们知道网络上的两台计算机在相互通信时,
在它们所传送的数据包里都会含有某些附加信息,
这些附加信息就是发送数据的计算机的地址和接
受数据的计算机的地址。象这样,人们为了通信
的方便,给每一台计算机都事先分配一个类似我
们日常生活中电话号码一样的标识地址就是 IP地
址。根据 TCP/IP协议规定,IP地址是由 32位二进
制数组成,而且在 INTERNET范围内是唯一的。
例如,互联网上某台计算机的 IP地址可能为:
11010010 01001001 10001100 00000010
112
( 2)域名的概念
由数字构成的 IP地址太长且难以记忆,能
够代替 IP地址又能方便记忆的域名被开发
出来。例如,域名 www.bodhop.ais.com
可替代 131.91.120.68的 IP地址使用。域名
与 IP地址具有一一对应关系,这个对应关
系表保存在互联网上的域名服务器上。域
名是给人看的,通过域名寻址时,系统还
是要通过对应关系表找到相应的 IP地址,
通过 IP地址来寻址,当然这一操作是自动
完成的。
113
(二) INTRANET 技术
1,INTRANET的概念
INTRANET称为 企业内部网,它是将
INTERNET技术应用到企业内部信息管理和交换平
台的产物,它基于 TCP/IP协议和 WWW技术规范,
通过简单的浏览界面,方便地提供电子邮件、文件
传输、电子公告和新闻、数据库查询等服务。通过
防火墙等安全措施,INTRANET还可与 INTERNET
连接,以实现企业内部网上的用户对 INTERNET进
行浏览、查询,同时对外提供信息服务,发布本企
业信息。 INTERNET是 INTRANET的技术基础,
INTRANET是 INTERNET在企业内部信息系统的应
用和延伸。
114
2,INTRANET特点
?INTRANET一个重要的特点是简单易用、见效快、回
报率高。
?INTRANET跨平台,兼容性好,保护企业原有投资。
?INTRANET建成以后,企业的信息系统维护成本降低。
INTRANET采用 W/B(网页 /浏览器)结构,用户端采
用标准的、通用的软件 ——浏览器。不必为
INTRANET的前端用户开发专用的软件。这种结构不
仅降低开发费用、节省开发时间,而且减少了系统出
错的可能性、降低了维护成本。运行中如果出现问题
只需维护好服务器端即可。
?基于 INTRANET的企业信息系统为企业各部门之间、
企业与客户之间的紧密协作提供了统一的信息交换平
台,使人们突破部门、组织、地域和时间的限制,真
正以企业的目标、客户的需求为中心展开协作。
115
3.企业应用 INTRANET的意义
INTRANET在企业中应用的好处有以下几个方
面,一是 INTERNET是全球网,只要和它相连,
便可与世界上几乎所有的地方建立联系,而通信
费用只是电话的几分之一或几十分之一,因此,
为企业提供了一个强大而非常经济的通信手段。
二是随着这种通信方式的兴起,INTERNET上的
信息爆炸性增长,科研和产品研发人员可以方便
快捷地查阅最新科技成果,可以随时检索取之不
尽的文献资料。三是由 INTRANET构建的企业级
的信息集成和信息服务平台,为企业各部门业务
处理高度协同创造了一个良好的技术环境。
116
(三) EXTRANET 技术
? EXTRANET 称为企业外部网,它是利用
INTERNET技术搭建的、由多个企业内部网
INTRANET相连组成的网络应用系统,因此可以
说 EXTRANET是 INTRANET向外扩展的产物。
? 企业在利用 INTERNET技术构建 INTRANET获利
后,开始尝试在企业之间应用 INTERNET技术构
建应用系统 EXTRANET。它使企业与其他客户、
其他企业相连来完成其共同目标并组织成交互合
作网络。
117
?三网的区别和联系
INTERNET,INTRANET和 EXTRANET三
者的区别和联系在于,INTERNET是基础,
是 网 络 基 础 和 包 括 I N T R A N E T 和
E XT RANET在内的各种应用的集合;
INTRANET强调企业内部各部门的联系,
业务范围仅限于企业内; EXTRANET强调
企业间的联系, 业务范围包括贸易伙伴,
合作对象, 零售商, 消费者和认证机构 。
由此可见, INTERNET的业务范围最大,
EXTRANET次之, INTRANET最小 。
118
第二节 电子商务
一、电子商务的概念
人们对于电子商务的理解和定义大致有广义和狭义之分,
广义的电子商务是指利用整个 IT技术对整个商务活动实
现电子化。利用 INTERNET,EXTRANET和
INTRANET等各种不同形式网络在内的一切计算机网络
以及其他信息技术进行的所有的企业活动都归属于电子
商务,称为 E-Business。狭义的电子商务特指运用互
联网开展的交易或与交易直接相关的活动,它仅仅把基
于 INTERNET进行的交易活动归属于电子商务,称之为
E-Commerce。而 E-Business要比 E-Commerce意思
宽泛得多,因为后者仅指简单的商务交易应用,即单指
在网上做买卖。而 E-Business是存在企业与企业之间、
企业与政府职能部门之间、企业与客户之间、企业内部
的一种联系网络,他贯穿于企业行为的全过程。
119
二、电子商务的主要功能
? 交易活动管理
? 市场调研
? 广告宣传与信息发布
? 咨询洽谈
? 网上购物
? 网上支付
? 网上金融服务
? 商品传递
120
三、电子商务的主要特点
电子商务将传统商务中的物流、资金流和信息
流通过网络进行整合,直接与分布各地的客户、员
工、供应商和经销商连接,创造出更具竞争力的经
营优势。与传统商务相比,电子商务具有以下突出
特点:
? 业务全球化
? 服务个性化
? 业务集成性
? 商机均等性
121
四、电子商务中的服务器
互联网一旦为商务所用,对它的要求便
陡然增加,不仅其安全性、稳定性、可靠
性、和连续工作性必须有所保障,而且相
应的一些技术服务也必须跟上,才能具备
一个开展电子商务的良好环境。在这个环
境中,服务器扮演了非常重要的角色。
122
? 服务器与客户端
服务器实质是一种自动机型的程序,它不停地
在被称作服务器的计算机上运行并与需要该程序
的用户交换信息。用户的用来访问服务器并交换
信息的程序被称为客户端。在互联网上运作的商
业事务就是在客户端 ——服务器的环境下实现的。
原因可能是:
1,作为机器人,服务器不须按小时计费,也不要求加班费。
2,在某一时段,服务器可以同时处理数以千计甚至万计的客户
的事务。而在人工情况下,每个人每时只能接待一个个户。
3,服务器可以在一天中的任何时刻,世界上的任何地点被使用,
不需要按分钟收取信息交换费用。
123
在互联网上有很多种服务器,下面我们分
别介绍这些服务器。
? 邮件服务器,它保存着发来的电子邮件直
到用户打开信箱查看;同时保存着发出的
邮件直到接收者的邮件服务系统接收该邮
件。邮件服务器普遍使用 POP协议,因此
经常被称为 POP服务器。用户使用邮件服
务器通常需要账号和密码,有了这些,服
务器就会接收所有的新邮件并发出要寄出
邮件。
124
? 文件服务器,文件服务器主要是以文件储
藏所的形式存在,它允许被授权的用户从
远程的计算机上获取本服务器文件库中的
文件。比如,某公司可以使用文件服务器
将其年度报告公之于众(授权用户)。文
件服务器也可以接收文件,比如,老师可
以将各自指导的学生论文上传给教务处教
务管理服务器。
文件服务器使用的程序最常见的是 FTP,
使用这种程序的文件服务器就叫 FTP服务器。
125
? 网络服务器,网络服务器允许用户从远程计算机
上获取存储在该服务器上的程序并运行这个程序。
网络服务器是运行万维网( WWW)的载体。有
了网络服务器,万维网上所有的文档、和软件就
都可以使用了。使用网络服务器的客户端叫做网
络浏览器,Microsoft Internet Emplorer和
Netscape Navigator 就是当前最著名的浏览器。
网站是在网管控制下的相关文档的集合 。一个
网络服务器可以容纳很多不同的网站,每一个网
站都由它自己的网管管理。类似地,一个 FPT服
务器也可以包含不只一个 FPT站点。很多网络服
务器有 FPT的功能,所以没有必要将网络服务器
和 FPT服务器分开。
126
? 商业服务器,商业服务器是运行一些具有商业特
色的程序的特殊网络服务器。这些特色包括:
1,支持安全电子交易( SET)协议,这项协议保护客
户端与服务器之间的通信,保证交易的安全,使其
不受攻击和泄露。
2,支持特殊类型的客户端与服务器的确认,比如,通
过数字证书来确认客户端与服务器相互之间的身份。
3,支持与外部程序的连接,比如支持客户端使其能够
使用存储在服务器上的会计软件等。
4,提高系统的安全水平,如多级安全存取和详细的处
理记录等。
5,在线信用卡确认或银行确认等。
127
五、电子支付系统
? 电子支付系统的概念
电子支付指的是以金融电子化网络为基础,
以商用电子化机具和各类交易卡为媒介,
以计算机技术和通信技术为手段,以电子
数据形式存储在银行的计算机系统中,并
通过计算机网络系统以电子信息传递形式
实现流通和支付。
128
?电子支付系统的类型
有三种不同类型的支付系统,即预支付系
统、即时支付系统和后支付系统。 在预支
付或后支付交易中,对银行的访问是在实
际购买程序执行之前或之后才做的。
129
? 电子支付的发展阶段
? 第一阶段是银行利用计算机处理银行之间的业务,办理结算;
? 第二阶段是利用计算机与其他机构的计算机之间资金的结算,
如代发工资等业务;
? 第三阶段是银行利用网络终端向客户提供各项金融服务,如
客户在自动柜员机( ATM)上进行存、取款操作等;
? 第四阶段是银行利用销售终端( POS)向客户提供自动的扣
款服务,如校园一卡通系统。这是现阶段一种重要的电子支
付方式;
? 第五阶段即最新发展阶段,可以随时随地通过互联网进行直
接转帐支付,形成真正的电子商务环境。这是正在发展的支
付形式,我们把这一阶段的电子支付形式称为网上支付。网
上支付的具体形式称为网上支付工具,主要有信用卡、数字
现金、电子支票等。
130
第三节 电子商务中的安全技术
随着电子商务的不断推广与应用,电子商
务的安全问题也变得越来越突出。如何建
立一个安全、可靠、便捷的电子商务应用
环境,对商务信息提供足够的保护,已经
成为商家和用户极为关心的问题。因此,
交易安全问题已经成为充分开展电子商务
的核心问题,解决这个核心问题的基本技
术是加密技术。
131
一、加密技术
采用加密技术对信息进行加密,是最常见
的安全手段。加密技术是一种主动的信息
安全防范措施,其原理是利用一定的加密
算法,将明文转换成为无意义的密文,阻
止非法用户理解原始数据,从而确保数据
的保密性。明文变成密文的过程称为加密,
由密文还原为明文的过程称为解密,加密
和解密的规则称为加密算法,在加、解密
过程中使用的可变参数叫做密钥。
132
加密,就是指对数据进行编码(代换)使其看
起来毫无意义,同时仍保持其可恢复的形式。
简单示例:
若对可读的文字 ACE加密,假定字母表中的每一
个字母分别与一个数字相对应,A对应 1,C对应 3,
依此类推。这样 ACE的数字形式就是 135。现在
假定用数字 2来加密,最简单的方法就是把 2加到
135的每一位上,这样就造出了新的数字号码 357,
他转回字母就形成密码文字 CEG,这里 ACE称为
明文,CEG称为密文,2是密钥。
133
? 加密系统的类型
有两种类型的加密体系:
保密密钥加密(对称密钥)和 公共密钥加密(非对称密钥)
? 保密密钥加密(对称密钥)
对称密钥加密体系对信息加密和对信息解密都用同一把密钥。因此密钥
必须安全传递给接收者,但安全传递难以做到。
? 公共密钥加密(非对称密钥)
公共密钥加密构想的要点是:使用一个加密算法 E,使用一个解密算法
D,一但选定了 E 和 D,哪怕获得了 E的完全描述,要推导 D也是不可能
的。
这类算法须具备下述 3个条件:
1,D(E(P))=P,即若在一个加密报文 E(P)中应用 D,则可以得到原来的明文报文
P;
2,从 E 推导 D 很难;
3,用一个选定的密文攻击不能破译 D。
134
满足上述 3个条件的一切加密体制,其中的 E 完全
可以向电话号码一样予以公开。任何人或组织要想秘
密接收报文,先要获得符合上述 3个条件的两个算法 E
和 D,然后将加密算法 E公开,自己保管解密算法 D。
任何想与秘密密钥持有者进行秘密通信的人均可在公
开的文件中查到他的加密算法 E,然后用这个 E对所发
报文进行加密发出,接收者收到密文后,用自己所持
的秘密密钥将其解密即可。公钥密码体制解决了任何
人与秘密密钥持有者进行秘密通信的问题。
麻省理工学院( MIT—Massachusetts Institute
of Technogy)三位青年数学家 R,L,Rivest,A,
Shamir和 L, Adleman基于数论方面的一些原理开发
了一个符合上述原理的加密算法,称为 MIT算法,后
来被广泛称之为 RSA 体制。
135
RSA 体制:
? 选择两个质数 p 和 q 均大于 10100 ;
? 计算 n=p× q 和 z=(p- 1)× (q- 1) ;
? 选择一个与 z 有关的质数,令其为 d ;
? 找到一个 e 使满足 e× d= 1(模 z) 。
计算好一组符合要求的参数密钥对儿 [(e,n),(d,n)],
就可用作加密了,先将明文划分成块儿,每个明文块儿
对应的数值 m必须落在 0<m<n 之间,这可通过存储映
像将明文分成具有 k 位的块儿,这里 k 是使 2k < n 的最
大整数。
136
加密一个报文 m,计算 c=me (mod
n),解密 c,计算 m=cd (mod n)。为实
现加密,需要 e和 n,为实现解密需
要 d 和 n 。所以公开密钥由 (e,n) 组成,
秘密密钥由( d,n)组成,p和 q不再需
要,可以销毁。
能够证明,MIT算法的加密函数和解
秘函数是互逆的,即加密密钥和解密
密钥可以互换。
137
密钥对儿实例:
① p= 7,q=17,e=5,d=77,n=119
[( 5,119),( 77,119) ]
② p=43,q=73,e=211,d=43,n=3139
[( 211,3139),( 43,3139) ]
③ p=67,q=53,e=391,d= 79,n=3551
[( 391,3551),( 79,3551) ]
④ p=23,q=97,e=119,d=71,n=2231
[( 119,2231),( 71,2231) ]
注意,m<n
138
? 公共密钥加密体系的安全问题
公共密钥加密方法也可能遭受各种类型的攻击。
1 密码分析攻击
最简单的方法是猜测纯文本攻击,例如:攻击者可能会
在中途将已加密的信息拦截,猜测它的原来的真实内容可
能是“项目已被批准”。攻击者用接收者的公共密钥将
“项目已被批准”加密,然后,把得到的加密结果与拦截
到的加密信息进行比较,如果两者相符,攻击者的猜测就
是正确的。
这种攻击可通过在信息的末尾加上一些随机文字来防范。
139
2 分解因数攻击
大家知道,公共密钥加密体制中的密钥
对儿是以两个很大的质数的乘积为基础而
得到的,因此理论上,私钥可以通过将公
钥分解因数的方法而得到。当前公共密钥
加密的安全性完全依赖于攻击者不能将两
个很大的质数的乘积分解因数。因为,利
用目前最快的计算机把两个 1000位的二进
制的质数的乘积分解因数需时要成百上千
年,甚至成千上万年。
140
数字信封
对称密钥加密因为计算较少所以速度要快
一些,但安全系数低;非对称密钥加密因
需求幂求模运算所以速度要慢一些;但安
全系数高。数字信封就是同时使用对称密
钥和非对称密钥来加密,目的是分别利用
两种体制的优点摒弃其缺点,使加密工作
又快又安全。具体做法如下:
141
数字信封操作步骤:
1,信息的发送者设计一个对称加密算法,并确定
一个保密密钥。
2,信息的发送者用这个对称加密算法和确定的密
钥来加密待发送的信息。
3,发送者用接收者的公开密钥来加密这个对称密
钥,就好像用信封封起来了。
4,发送者同时发送被加密了的信息和密钥。
5,接收者用自己的私钥来解密已加密了的对称密
钥。
6,接收者用得到的对称密钥来解密信息。
数字信封又被称为双密钥加密或混合加密。
142
二、数字签名
? 数字签名的概念
数字签名以加密技术为基础,其核心是采
用加密技术的加、解密算法来实现对网上
报文的数字签名。数字签名本身是含有发
送者身份、地址、时间和报文内容等信息
的秘密数字串。
143
? 数字签名的功能
1)收方可以确认发方的真实身份。这一功能十分
必要,如一个顾客(公司)在网上发订单,委托
他的代理银行购买 1吨黄金时,这家银行就必须
确保发出订单者一定是将来要从其账号中
收回资金的那家公司。
2)发送方事后不能否认发送过该报文。这一功能
的必要性在于防止银行被诈骗。否则,若银行为
其买入了黄金,且黄金价格马上大跌,当银行从
其账户扣款时,发送方可能声明:自己从未发过
要银行买黄金的订单而进行抵赖。
3)接收方或非法者不能伪造、篡改报文。
144
? 秘密密钥的数字签名
秘密密钥的加密技术是指发方和收方依照事先约定
的密钥进行加密和解密的算法。加密和解密都用
同一个密钥,双方都知道这一密钥,这就可能产
生否认和篡改报文的欺诈行为,因此必须引入第
三方参与,并采用迂回做法加以控制。
设 BB为管理密钥的权威认证机构作为第三方,在进
行网络通信前,发方 A和收方 B各选一个自己的密
钥 KA与 KB,然后连同各自的姓名 N、地址 D等都
报给 BB,但发方 A和收方 B可以不知道对方的密钥,
这是为了有利于身份鉴别。
可按下述步骤实施数字签名(如图 3-1所示)。
145
引入第三方的数字签名
BB
BA
1,KA(P)
2.KBB(N+D+T+P)
4.KBB(N+D+T+P)
3.KBB(N+D+T+P)
5,KB(N+D+T+P)
图 3-1 引入第三方的数字签名
146
上述步骤中由于只有发方和收方才知道自
己的密钥而不知道对方的密钥,所以密钥
管理权威机构能够鉴别发方的身份。同时,
发方和收方在发送和接收报文时都像 BB进
行了确认,因而也防止双方否认报文的可
能性。又因为只有 BB才知道密钥 KBB,因
而也防止了发方、收方或非法者改动或还
原报文的可能性。
秘密密钥管理不够方便,密钥传来传去也
不安全,此外,密钥的数量可能会相当大,
因为人们往往因不同的目的而使用不同的
密钥,这就形成一人具有多个密钥。
147
? 数字摘要的数字签名
数字摘要
数字摘要是采用单向 Hash(杂凑)函数对报文中
若干重要元素进行某种变换运算得到 固定长度
( 128bit) 的摘要码,即数字指纹( Finger
print),并在传输报文时将之加入到报文一起送给
接收方,接收方收到报文后,用相同的方法进行变
换运算,若得到的结果与发送来的摘要码相同,则
可断定报文未被篡改,否则不然。因为对不同的明
文按同一 Hash函数处理得到的摘要,其结果总是
不同的,而同样的明文其摘要必定一致。这样这串
摘要便可以成为验证明文是否是“真身”的“指纹”
了。
148
? 在传统的商务活动中,人们通过对商务文件进行
签名来保证文件的真实有效性,对签字方进行约
束的同时,也防止其抵赖。在电子商务活动中,
则对电子文档进行数字签名,商务文档与数字签
名一起发送,以作日后查证的依据,从而为电子
商务提供不可否认服务。
? 把 HASH函数与公钥算法结合起来,在保证数据
的完整性的同时,也可以保证数据的真实性。完
整性是指传输的数据未被修改,而真实性则保证
是由确定的合法者产生的 HASH,而不是由其他
人假冒。把这两种机制结合起来便产生所谓数字
摘要的数字签名,其原理为:
续:
149
数字摘要的数字签名原理:
① 发送方对被发送文件用 Hash编码法 SHA(Secure
Hash Algorithm)编码加密产生 128bit的数字摘
要;
②发送方用自己的私人密钥对摘要再加密,这就形
成了数字签名;
③将原文、加密的摘要和 SHA同时传给接收方;
④接收方用发送方的公共密钥对摘要进行解密,同
时对收到的文件用 SHA编码加密产生又一摘要;
⑤将解密后的摘要和收到的文件在接收方重新加密
产生的摘要相对比,如果两者一致,则说明传送
过程中信息没有被破坏或篡改过,否则不然。
150
数字摘要的数字签名原理图
SHA Private Key
加密 加密
数字签名
信息
信息
摘要
摘要
解密
确认信息
比较
一致
发送方 接收方
摘要
图 3-2 数字摘要的数字签名原理图
下图表示了整个数字摘要的数字签名过程。
151
数字签名的用途与合法性
? 人们相信数字签名比普通的手写签名更安全。手
写签名很容易被伪造,数字签名不容易被伪造。
进一步讲,数字签名不仅能证明信息签名者本人
的身份而且能证明信息没有被任何更改。这是因
为如果被数字签名过的信息被更改,它的摘要将
不再与解密的签名相一致。因此数字签名有很多
用途,比如,一所大学可以发放显示毕业者姓名、
专业、毕业日期、毕业院校等的经数字签名的毕
业证书,任何人都能鉴别毕业证书的真伪。
? 中国的数字签名法已于 2005.4.1宣布生效。
152
密钥的管理
对公共密钥系统的攻击大部分是在私钥的管理
层面。攻击者很可能想方设法获取私钥,一旦得
手,它就能轻而易举地破译任何用相应的公钥加
密的信息。因此,任何控制措施都是重点保护私
钥。存储于电脑的易受攻击的私钥,常用以下几
种方法加以保护:
1,通过门锁等限制可能的物理接近。
2,该电脑设置启动密码。
3,密钥本身用密码加以保护。
4,经常更换密钥。
153
数字证书及其应用
数字证书就是 证明网络用户身份的一系列数据,
用来在网络通讯中识别通讯各方的身份,即要在
Internet上解决 "我是谁 "的问题,如同现实生活
中我们每一个人都要拥有一张证明个人身份的身
份证一样,以表明我们的身份或某种资格。 数字
证书是由某些权威性认证机构( CA)签发的。例
如,雇主会向他的雇员、银行向他的用户、俱乐
部向其会员发放数字证书。这些证书可以存储在
个人电脑中以便在因特网上使用,也可以被译成
密码存储在能被机器识别,用于各类得到授权的
身份证上。
154
数字证书以加密技术为基础,CA用公共
密钥加密技术签发一个包含被证人姓名、
身份和该证件有效期的文件,就等于创建
了一个数字证书。见图 4-5。可以通过验证
数字证书上的数字签名,来证实该证书确
属某发证机关签发的。
155
证书号,24112
数字证书
阳光公司签发
发给:张虹莉
张虹莉的公共密钥,uht3%b7+esy
张虹莉的公共密钥有效期至,2008.05.01
证书有效期至,2007.01.01
证书签发日期,2006.03.20
阳光公司数字签名,a48hqppegft5!m
每个相关的人必须知道 CA的公共密钥,数字证书才会有用。因
此,CA的公共密钥要在网上广泛公布,使人们很容易获得。在多
数情况下,两个人第一次做生意时要交换数字证书,数字证书会
证明某一公共密钥确属其人。
图 4-5 数字证书
156
本章作业:
1,何谓加密?何谓对称加密?何谓非对称加
密?这两者各有何优缺点?
2,何谓数字信封?数字信封用意何在?
3,何谓数字签名?数字签名有何作用?
157
THE END
158
第五章
交易处理介绍
159
第一节 交易流概览
交易处理即业务处理,包括一个组织维持
其日常运转必须进行的各种活动。图 5.1是
一个制造业企业交易流的逻辑数据流程图
( DFD)。图中 方框 代表实体; 圆 代表处
理行为,它可能是手工的,也可能是电脑
的一个程序模块,这些行为常被确定为一
个业务处理环节。图中每一个 箭头 都代表
了从一个实体或处理过程到另一个实体或
处理过程的交易流(物流,资金流,信息
流)。
160
装运
顾客
仓储 收货
销售
订单
账单
处理
应收
账款
生产
采购
生产
计划
现金
支出
薪酬
处理 应付帐款
供应商
职工
图 5.1 生产企业中的业务流程
2
1
3
5
4
7
6
9
8
10
12
11
13
15
14
16
17
19
18
20
22
21
24
23
26
25
28
27
30
29
31
银行
记账 财务报告 会计信息 使用者
34
35
36 37
32
33
161
图 5.1 说明
1.订购单 2.确认订购单 3.账单备忘录作开票依
据 4.开具账单 5.开票通知 6.欠款报表 7.装运单
8.生产通知单 9.生产通知单 ( 若需要 ) 10.装运单
11.供货 12,产成品; 13,缺货订单; 14,发送
货物; 15,生产进度表 16.生产状况表 17.采买
需求 18.劳动报告 19.收货通知 20.购买订单 21.
购买通知 22.采买的商品 23.采购发票 24.收货凭
证 25.货物入库 26.采购付款通知 27.通知银行付
款 28.支付货款 29.付款记录 30.支付薪酬 31.薪
酬记录 32,销售回款 33.收入回款通知 34.回款送
存银行 35.存款记录 36.编制财务报告数据 37.报
告财务报告信息。
162
销售 采购 生产 财务
1
2
3
4
5
6
7
10
11
14
17
19
20
21
22
23
24
25
28
30
8
9
12
13
15
16
18
26
27
29
31
32
33
34
35
36
37
图 5.1是一个比较典型的企业业务处理流程。在现实中,尽管没有两个
企业的业务是完全相同的,但是大多数企业都经历和处理相似的业务流
程。图 5.1提供了一个业务处理系统的分析框架,其中 37个业务流可以做
表 5—1那样的分类。
表 5—1 对制造业企业主要业务流程的分类
163
处理过程(职位 /部门 /岗位)的设定:
绝大多数生产企业都应有一个销售订单处理过程
(职位 /部门 /岗位),一个账单处理过程,一个应
收账款处理过程和图 5-1中的其他过程。之所以如
此,出于两点考虑:第一点是 业务专门化 。例如,
随着越来越多的账单需要准备,设立一个独立准
备帐单的职位 —账单过程,专门处理客户订单,
开票、发开票通知等日常产生的文件都是非常合
适的。第二点是 内部控制 。一个普通的控制原则
是要保证操作行为职能与相关的记录职能相分离。
图 5-1中体现了账单处理过程(操作行为)和应收
账款过程(相关的记录职能)的分离。
164
第二节 交易处理系统的构成
交易处理系统的主要作业成分从系统的角度抽象地看就是
输入、处理、存储和输出。
一,输入
基本业务活动产生的原始文件如客户定单、销售凭证、发
票、采买订单和员工工时卡等,都是交易处理系统中的输
入凭证。他们有以下用途:
? 获得数据。
? 传递数据并触发流程中下一个运作,使运作协同。
? 说明要记录什么数据和采取哪些行为使运作标准化。
? 如果这些原始文件被保留,会为将来的分析提供一份永久
的历史数据文档。
为了使用方便和准确获得数据,这些原始文件的格式都作
了精心设计。
165
二,处理
处理包括对日记账和登记簿的使用,提供了一个
永久的按时间顺序排列的输入记录。日记账用于
记录财务账目,登记簿用于记录与财务无直接关
系的其它数据。
日记账提供了一个按时间顺序排列的财务处理的
记录。以下是一些通用专门日记账:
?销售日记账:汇总赊销账目;
?采购日记账:汇总赊购账目;
?现金收入日记账:汇总现金收入;
?现金支出日记账:汇总现金支出;
这四种日记账常与一个独立的总日记账联合使用,
以提供一个完整的簿记系统。
166
三,存储
分类账及其文档在人工处理和计算机处理
系统中提供数据存储,账相当于数据库。
总帐、应付帐款和应收账款分类账是最终
的账户记录。他们提供了公司财务会计处
理的汇总情况。所有的账目处理都要在总
分类账中反映出来。 每个处理都要有借贷
科目的输入 。传统上把这一过程称为过账。
总账提供了一个试算平衡来测试各分类账
所有记录的正确性。
167
四,输出
一个交易处理系统有很多输出,系统中产生的任
何一个文档都是一个输出。常见的有:试算平衡
表、财务报表、运营报告、薪金支票、提单和付
款凭单式支票等。
试算平衡表列示了所有总分类账中的账户的余额,
并且检验了记录的准确性。因此它是财务控制和
准备财务报表的基础。
财务报表汇总了交易处理的结果并且表述了这些
结果与财务报告准则的一致性。两种常见的财务
报表是资产负债表和损益表。
168
第三节 复式记账系统的设计
本节内容为阅读内容。
169
第四节 表格设计与记录留存的考虑因素
在企业复式记账中的许多应用系统都是建立在
一个 比较简单的模式 上:产生和处理表格是应用
系统的主要功能。如:账单处理系统用来处理发
票,销售订单系统用来处理顾客的订单。在这些
过程中,表格用来收集信息和提供证据,以证实
系统操作的执行情况 。表格要设计成统一的体系
化的格式,使整个组织的数据处理的输入和输出
标准化。表格可以是纸张文档,也可以是计算机
输入、输出设备提供的电子表格,如视频终端。
一个完整的表格被称为数据处理系统的记录。
170
一、表格的功能
会计相关表格和表格文件有许多功能。主要体
现在以下三个方面:
1,会计相关表格及其文件作为一种媒介用来存储
和传送数据。
2,会计相关表格及其文件作为一种媒介可以促进
企业加强经营管理。
3,会计相关表格及其文件作为一种媒介可以使企
业的经营管理标准化。
171
二、表格设计应予考虑的因素
1,应考虑使用者在 使用上的方便 。例如在表格中设计出清
晰的帮助填写的提示、给分录的编制留有适当的空间、
在不需要由报表的填写者填写的区域中用阴影加以指示
等,
2,纸制 表格的特色要与表格的使用目的综合考虑 。一般应
考虑如下几个因素:( 1)表格的处理次数。( 2)存储
时间或活动用途。( 3)传输方式 ——手工或机器;( 4)
使用数量;( 5)一式多份的所有表格在预印信息和纸
原料方面是否相同。
3,应考虑 表格设计和控制系统工作性质的一致性 。打印好
的表格或显示在屏幕上的表格,都反映了或正在反映着
一定的业务内容以及控制标准等,因而它们在指示工作
流程时常常比那些已成文的程序规定更有意义。
172
三、记录留存上应考虑的因素
在会计系统中必须考虑记录的 留存 问题,包括
原始凭证、账户的记录和表格记录的留存等。会
计法规中对以上这些方面的留存内容、保管者、
保管的期限等都有具体的规定和法律要求,企业
应当按照这些规定和要求做好记录留存工作。此
外,记录留存还必须从内部信息存储和使用的角
度给予充分考虑。既要考虑留存记录的重要性、
完整性和安全性,又要考虑这些存储信息在未来
调用时的方便性。有些非本质的过时的表格不仅
占据空间,还可能影响更多重要信息的获取。
173
第五节 代码设计
一、代码的概念
代码是按照一定规律用数字、字母或其他字符来
代替被处理对象的名称、属性、状态等特征的字
符串。代码系统是所有数据处理系统的基础。
二,代码的作用
?标识识别。用简单的字符序列标识处理对象,位数
少容易确认、记录、存储和识别。
?有规律的代码组合便于计算机分类、汇总、检索和
排序,可提高系统的运行效率和处理精度。
?好的代码体系,便于系统内外信息传递、交换与共
享,充分发挥信息资源的价值。
174
三,代码设计的原则
? 唯一性;
? 标准化和通用性;
? 稳定性和可扩充性;
? 简单性;
? 便于识别和记忆。
四,代码的分类
? 顺序码
按一定的规则,如编码对象发生的顺序、数值的大小
和次序等特性,为编码对象分配相同位数的连续号码。
如:辽宁 —01;吉林 —02;黑龙江 — 03; ……
优点:简单、简短便于处理。
缺点:无逻辑含义,难记忆,信息含量低。
175
?区段码
根据编码对象的特点,将代码分成大小任意的
若干区段,在各区段内分配顺序号码。
如:将全厂部门按“管理”、“生产”和“辅助”
分成三类部门,总数不超 100个,部门编码采
用两位数字的区段码即可,规定 01~39分配给
管理部门; 40~79分配给生产部门; 80~99分
配给辅助部门。
优点:以较少的码位代表不同的对象。
缺点:不能满足复杂的分类。
176
? 层次码
也称组别分类码,它将编码对象按一定的属性特
征分成若干个层次,然后自左至右为每一层次分
配若干位代码,依次对各层次对象分别编码,组
成一个有层次及隶属关系的逐级展开的分类体系。
图 4--2 层次码示意图。
XX XX XXX
小分类
中分类
大分类
图 4-2 层次码示意图
177
举例:
如材料代码( 4位码)
1000
1100
1110
1111
1112
金属材料
黑色金属
钢材
钢板
角钢
2000
2100
2110
2111
2112
化工材料
无机化工
碱类
烧碱
纯碱
其中:第一位是大分类,,1”表示金属材料,,2”表示化工材料;
第二位是中分类,在金属材料下,1”表示黑色金属,,2”表示有色金属;
第三四位为小分类,,11”为钢板 ………
178
层次码的优缺点
优点:
?分类标准明确,有严格隶属关系;
?每一位代码有特定含义;
?便与计算机分类、检索、统计和处理。
缺点:
?码位容易变长;
?不易记忆。
179
? 助记码
将编码对象的名称、规格等特性作为代码的一部
分或全部的编码称为助记码。例如,
KG 千克
MT 米
TV-C-34
2005-12-24
34寸彩色电视机
日期代码,表示 2005年 12月 24日
优点:有表意作用,通过联想可使其易读易记易理解;
缺点:位数较多,不便于计算机处理。
180
五、代码设计
设计步骤:
1,确定编码对象,明确编码目的
2,分析编码对象,确定编码方法
① 决定代码种类
② 决定代码位数
3,编写代码设计书
4,编写代码
181
六,代码维护
代码体系设计和建立后,同样需要维
护。代码维护应该方便、灵活、可靠,
不影响代码体系的正常使用。一般要
编设代码维护软件,使其具备代码查
询、打印、增加、删除、修改、备份
和恢复等功能。
182
本章作业:
1,纸制表格的特色设计成本与其使用目的应当
怎样综合考虑?
2,怎样理解表格设计和控制系统工作性质的一
致性?
3,对于记录的留存应考虑哪些方面的因素?
4,解释层次代码的设计原理及优、缺点。
183
The end
184
第六章
销售与收现循环
185
第一节 销售与收现循环概述
销售与收现循环是企业价值实现的重要
环节,是企业经营的重要组成部分。大多
数经营组织,都需要通过周而复始的产品
销售或提供服务获取营业收入。销售与收
现循环包括向其它主体提供产品和服务并
收款的有关事件。
186
一,销售与收现循环的内容
销售与收现循环包含三项基本的经营活
动,即 销售货物, 应收账款处理 和 现金收
取 。这一循环起始于接受客户订单、确定
销售条件(如赊销或收现以及销货折扣与
客户信用审核)、发运物品或提供客户所
需要的服务、开列销货发票或账单、登录
应收账款及定期对账,直到收回客户支付
的货款和应收账款。具体包括如下操作事
项:
187
1,回应客户的询问,响应客户需求。
2,为提供产品和服务,与客户达成提供产品
或服务的协议。
3,提供服务或装运货物给客户。
4,提供货物或服务的确认。
5,收现。
6,将现金存入银行。
7,报告。
188
销售与收现循环中有三个可变因素,或称
三个可变特征,即 订货方法, 付款时间 和
付款形式 。根据这三个可变特征可以定义
一个公司的销售与收款业务处理模式。书
中表 6.1概括了销售与收入循环中各可变因
素可选择的处理方式,并列出了每种选择
相应的要求。
189
二,销售与收现循环有关的业务文档
1,客户订单
2,销售单
3,提货单
4,发运凭证
5,销售发票
6,汇款通知单
7,收款凭证
8,客户支票
9,未实现销售订单
10,未结清销售发票
190
三、销售与收现循环业务流程介绍
1,销售业务流程
( 1)销售部
销货交易始于销售部门收受来自客户的口头、书面或
电子传递的订单。由于不同客户的订单并无标准格式,
销售部职员必须填制本企业的正式销货单,详细列明客
户姓名与编号、通讯地址、订购产品或劳务种类、数量
与性能要求等,销货单通常为多联式,以备不同目的的
使用。销货单的一联存档于销售部门,放进“待处理客
户订单文档”,以备于日后查阅。“待处理客户订单文
档”必须按客户姓氏字母或编号顺序排列,便于嗣后及
时查阅与答复客户的查询。 见图 6-3。
191
图 6-3 销售部门销售处理
192
( 2)信用审核部
信用审核部的责任在于审批客户信用以及授权销货交
易。信用部职员根据销售部转来的销货单,查阅客户的信
用记录,确定赊销信用条件与限额。对新客户往往需要执
行较详细的信用状况调查,核定其赊销信用额度。对老客
户则着重审阅其货款支付历史记录以及其订货金额是否超
出原先核定的信用限额。经信用审批之后的销货单将退回
销售部,授权把其他各联销货单分送相关的部门处理。
两联销货单(或称为拣货通知)将送至仓储部门,注明
所需的物品品种、数量及提货地点。仓管人员必须签署拣
货单,表明拣货作业的完成以及确认有关资料的正确性。
一联拣货单随物品转送发运部,一联在仓储部存档。仓储
人员应录入存货进出仓备忘录,反映有关存货物品的减少
量。见图 6-4。
193
图 6-4 信用部门销售处理
194
( 3)发运部
销售部先将发运单和装货单(包含若干空白数
字栏)送至发运部。待收到仓储部转来的物品和
出货单之后,经核点拣货单与装运单上列示的品
种与数量并且核实物品、填妥装货单,随物品送
交客户。同时,发运部职员将填制一份交运单,
列明交运物品品种、数量、运输方式、运费,以
及交运物品的所有权和运输责任等资料,送交运
输机构启运物品。随后要:①登录发运备忘簿;
②把拣货单和发运单转送开单部;③将一联交运
单存档。见图 6-5
195
图 6-5 发运部的订销售处理
196
( 4)开单部
这一部门负责对客户开出与寄送销货发票或账
单,同时执行对销货交易资料的调节、核验与汇
总。开单部职员根据销售部和发运部转来的各种
销货交易原始凭证,执行下列的作业:
① 核对销货发票和拣货单与发运通知上的有关资料;
② 在销货发票有关栏次填人单价、税项和运费等资料;
③ 确定销货折扣和货款支付方式;
④ 把销货发票寄送给客户;
⑤ 把已完成销货交易的退回销售部,以便于其结清
“待处理客户订单档”;
⑥ 登录销货日记账;
⑦ 填制一联销货记账凭证转送应收账款部门;
⑧ 把拣货单送往存货控制部。见图 6-6
197
图 6-6 开单部的销售处理
198
( 5)存货控制部
存货控制部依据拣货单资料更新存货明细账记录(反映
有关存货项目的减少),并将拣货单存档,在各个期末,
编制本期存货数量减少汇总,或填制一张记账凭证,送往
总账部门过账。见图 6-7
图 6-7 存货控制部的销售处理
199
( 6)应收账款
应收账款职员负责客户往来户的
登录。依据销货单或销货记账凭
证等资料,登录按客户分设的应
收账款明细账,列明受销货交易
影响的客户姓名(或编号)、地
址、信用资料、交易日期。销货
发票号码、货款金额、销售折让
与退货等资料。在各个期末,编
制应收账款明细账户汇总表或记
账凭证,送往总账部门过账。见
图 6-8
图 6-8应收帐款的销售处理
200
( 7)总账部
在销货交易完成之前,总账部已经收到
来自开单部、存货控制和应收账款职员填
制的交易汇总或记账凭证。总账处理职员
据以分别过入销货、应收账款、存货和销
货成本等总账账户,并且核对有关总账账
户与其所属明细账户的余额,检查过账的
正确性。见图 6-9
201
图 6-9 总账部销售处理
202
2,收现业务流程
( 1)收发室
收发员核对客户寄来的付款支票和缴款通
知回执的项目与金额是否一致,然后把两
者分离,同时编制收款单中第一联收款单
和客户付款支票送往现金收入部门;缴款
回执和第二联收款单送往应收账款部门。
见图 6-11
203
图 6-11收发室收现处理
204
( 2)现金收入
图 6-12 出纳部门收现处理
现金出纳员核对收
款单和客户付款支票,
编制银行送存单。在
各个工作日结束之前,
把客户付款支票和两
联送存单送往银行办
理存款;另一联送存
单和客户寄回的缴款
回执则予以存档。见
图 6-12
205
( 3)应收账款
应收账款职员核对缴款回执和收款单,通过终端机
键入有关资料,产生“现金收入交易档”,然后把缴款回
执和收款单一起存档。
图 6-13 应收账款职员收现处理
206
( 4)总会计师
为确保现金收入交易处理的正确性,总会计师或者一位
不参与现金收入交易的职员,定期(如每周或月)核对由
收发室职员编制的收款单及经银行退回的送存单,检验收
到的客户付款支票是否已如数地送存银行。
图 6-14 总会计师收现处理
207
第二节 计算机系统的销售与收现循环
我们顺序地讨论了销售与收现业务活动,但销售与收现
循环并不是线性和静态的,而是动态的,销售收现业务过
程中的活动与其他业务过程中的活动是相互联系的。 在
MIS阶段,销售与收现循环的许多环节虽然也有相应的软
件系统,但信息技术的应用是不充分的而且存在以下一些
缺陷:
1.多系统
2.过程的子集
3.业务数据没有实时记录和处理
4.数据采集的有限性
5.信息的综合
208
一,销货交易计算机处理系统
在 ERP环境下,企业采用中央计算机系统处理
销货交易。对客户订单处理一般有 三种处理方式,
( 1)整批处理与顺序更新;( 2)整批处理与直
接更新;( 3)实时处理与整批更新。
这里我们仅详细讨论第三种方式。
? 实时处理与整批更新数据资料文档
销货系统采用实时输入与输出,对交易资料档
采取整批更新处理的方式,其系统流程可见图 6-
17所示。
209
图 6-17 实时处理与整批更新系统流程图
210
销货交易实时处理与整批更新系统的主要作业步骤包括:
1.销货交易处理
在实时系统中,销售部职员在收到客户订单时立即把
交易资料输入与主机系统相连接的终端机,然后依次执
行下列作业:
( l)直接读取内置于主机系统中的信用资料档,自动执行
客户信用审核(批准或拒绝对特定客户的赊销);
( 2)直接读取存货控制资料档,检索是否有客户订购的物
品,其存量是否充足。由于每一笔销货交易都将即时自
动减少存货库存的数量,所以实时系统中的存货控制资
料档可随时提供可供销售库存存货数量的信息。
( 3)随时查阅“待处理客户订单”的执行状态。“待处理
客户订单”中包括一个“完成状态”的标记,分别显示
,Y”和,N”。未处理或尚未完成销货作业的客户订单
记录中将显示,N”。如果显示,Y”,则表示销售物品
已经发运,继而将自动对客户开出账单(销货发票),
因此提高销货交易处理的时效性。
211
2.仓储与发运
ERP系统将客户订购的物品和数量等资料同时
传送至仓储部和发运部。仓储部员工根据终端机
显示或打印的拣货单,挑选所需物品并且转送至
发运部。此时,发运部员工通过终端机打印出装
运单,核实物品,选择适当的运输机构,再打印
交运单,办理物品的交运。随后,发运部员工将
发出物品的日期、数量和运费等资料键入终端机,
传送回主机系统,实时更新“待处理客户订单”
的标记,反映销货交易已完成的状态(即在记录
中显示,Y”值)。
212
3.更新交易数据资料
每个工作日结束时,系统的整批更新程
序将自动查阅“待处理客户订单”,依据
已标记,Y”的订单中的有关数据来 更新 应
收账款、存货控制、销货与销货成本等交
易数据文件。系统还将打印客户往来账对
账单,以供对外寄送。此外,必须把已执
行的客户订单的记录从“待处理客户订单”
文件中转出并存入“已完成销货单”文件,
后者的作用类似于人工处理系统中的销货
日记账,也是重要的审计线索。
213
实时处理系统具有以下一些优点:
? 缩短销货处理的作业周期
? 提高企业的竞争能力
在实时处理系统中,存货记录处于实时状态,销售部门职员
随时可以确定是否存在客户订购品种与数量的存货,改进企
业的销售服务品质,有利于留住老客户和增加新客户。
? 增强交易处理的准确性
在实时系统中,实时输入的编辑程序可以在差错发生时立即
发现(如由终端机屏幕实时显示),在销货交易执行之前即
可得以更正,防止或减少不必要的损失。
? 实时系统可减少纸质交易凭证或文件
214
二、收现系统的计算机处理
现金收入交易一般是采用整批处理。虽
然各项销货交易是连续地依次发生的,但
是货款回收(现金收入)则属于非连续性
事项。客户的付款支票往往由邮件整批寄
达,其中可能包含来自同一客户不同批次
的付款或者不同客户的付款。而且,企业
收入现金或货款支票通常是在每个工作日
结束之前整批地送存银行。基于这些特征,
现金收入交易的 实时处理 并不具有明显的
优点。
215
我们以整批处理与直接更新数据资料的工作模式来描述
现金收入的计算机处理步骤:参见图 6-18
1.收发室。收发员核对客户寄来的付款支票和缴款通知回执
的金额与计算机存储数据是否一致,同时编制收款单和
输入客户付款支票;编辑打印或传输缴款回执和收款单。
2.现金收入。现金出纳员核对收款单和客户付款支票,编制
银行送存单。此外,通过终端机产生每个工作日内现金
收入的整批总和。在各个工作日结束之前,把客户付款
支票和存单送往银行办理存款;存单和客户寄回的缴款
回执则予以存档。
3.应收账款。应收账款职员核对缴款回执和收款单,通过终
端机键入有关资料,产生“现金收入”文件,然后把缴
款回执和收款单一起存档。
216
4.信息处理。每日工作结束之前,整批处理计算机
程序将自动核对控制总和文件记录和现金收入
文件记录,依据直接更新方式对应收账款明细
账和总账过账。此后,计算机系统将产生一份
过账作业清单,送往应收账款部门以 复核过账
处理结果 。
5.总会计师。为确保现金收入交易处理的正确性,
定期(如每周或月)核对由收发室职员编制的
收款单及经银行返回的送存单,以检验收到的
客户付款支票是否已如数地送存银行。
217
218
第三节 销售与收现循环的风险与内部控制
销售与收现过程可能面临下述风险:
1.将产品赊给信用不良的用户。
2.出货错误。
3.存货失窃。
4.出货时未开列账单。
5.开单错误。
6.现金失窃。
7.更新应收账款时,过账错误。
8.资料毁损。
9.业绩不佳。
219
针对以上风险,销售与收现循环中应强化
以下各环节的内部控制:
1,适当的职责分离
① 接受客户定单的人员不能同时是负责最后核准
付款条件的人员 ;
② 发货通知单的编制人员不能同时负责货款的收
取,产品的包装和托运工作;
③ 填制发票人员不能同时担任发票的复核工作;
④ 办理退货实物验收工作的人员必须同退货账务
记录分离;
⑤ 应收账款的记账人员不能同时成为应收账款的
核实人员。
220
2.正确的授权审批
授权审批是指每一项经济业务的执行必须经过
一定形式的授权或批准。销售业务中主要有以
下三个审批环节:
① 在销货发生之前,赊销业务经正确审批;
② 非经正当审批,不得发出货物;
③ 销售价格、销售条件、运费、折扣等必须经过审
批。
前两项控制防止企业可能向虚构的或者无力
支付货款的顾客发货而遭受损失,价格审批控
制则保证销货业务按照企业政策规定的价格开
票收款。
221
3.充分的凭证和记录
充分的凭证与记录是现代企业内部会计控制的重要因
素,是记录和反映经济业务的载体,也是其他控制形式
的有效保证。凭证与记录需预先连续编号,检查全部有
编号凭证与记录是否按规定处理,这是检查完整性的重
要控制措施,可以有效地防止经济业务的遗漏和重复,
并可根据完整性检查发现是否存在舞弊现象。
例如,企业在收到顾客订货单之后,立即编制一份预
先编号的一式多联销售通知单,分别用于批准赊销、审
批发货、记录发货数量以及向顾客开具销售发票的控制
制度,会比企业仅仅在发货以后才编制销售发票大大减
少漏开销售发票的情况
222
4.资料接近控制
在信息化了的企业中,大部分交易资料和会计
记录都存储于磁性载体,极易受到未授权的擅
自接近,存在产生舞弊或毁损的风险。在实时
交易处理系统中,这一风险程度更高,因为许
多交易资料并不存在纸质的后备记录或资料。
为加强磁性载体上业务记录的防护,必须建立
必要的制度,严格限制对交易文件或资料以及
各种计算机应用程序的接近。
223
5.内部核查程序
由内部审计人员或其他独立人员核查销货业
务处理过程和处理记录,是实现内部控制各项
目标所不可缺少的一项控制措施。由于计算机
系统集中执行销货与收现交易的多项处理职能,
省略了一些传统的常规的独立核验控制过程,
故有必要采用其他一些弥补性控制,如核对每
次运算处理后产生的整批总和与原始凭证控制
总和,及时输出差错报告,提示使用者检验更
正。另外,计算机程序处理结果输出报告,可
送呈使用部门核验,以保证交易资料处理的正
确性。
224
本章作业:
1,销售收现循环涉及那些主要的单据,这些
单据在手工系统和计算机系统中有什么不
同?
2,销售与收现过程可能存在那些风险,针对
这些风险应该实施哪些内部控制?
225
THE END
226
第九章
信息技术环境下企业内部控制
227
任何企业在其经营活动中都会面临各种
各样的风险,企业的发展过程就是不断与
各种风险打交道并降低和避免各种风险的
过程。而信息技术的广泛应用,使企业的
生产、经营与管理模式产生了巨大的变化,
一方面信息技术应用为企业增强了竞争力
的同时带来了新的风险,另一方面信息技
术也能为控制风险提供新的手段。作为企
业管理重要组成部分的内部控制必须进行
改革,以适应新的情况,本章就来讨论这
些问题。
228
第一节 现代企业面临的风险
与内部控制的重要性
控制是针对风险而设立的,风险是导致
一个组织或机构发生损失的可能性,而控
制则是降低或减少风险的活动。风险损失
的大小是该风险事件发生的概率与该事件
可能造成的损失的乘积。风险不仅仅是由
于缺少控制而产生的,它是任何组织的经
营活动中固有的,其原因多种多样。控制
可以减少风险,但不能消除其起因。
229
一、企业在运营过程中面临的传统风险
过高的成本;不足的收入;资产的流失;
会计的失误;经营的中断;违规的处罚;
竞争的弱势;舞弊与盗用;白领犯罪;法
人犯罪。见图 9-1
230
不足的收入
过高的成本 资产流失
经营的中断
舞弊与窃取
会计的失误 竞争的弱势
违规被处罚
常见的风险
图 9-1 企业面临的传统风险
常见的
传统风险
法人犯罪
白领犯罪
231
? 白领犯罪
是指管理层犯罪,这类犯罪有别于其他非法活
动,它发生在犯罪人的工作中,当管理人员通过
某些欺骗手段将资产转移用途或隐瞒时,白领犯
罪就发生了。如会计作假账就是白领犯罪行为。
? 法人犯罪。
是指表面上看只是对企业或组织有利,不是对
犯罪者个人有利的白领犯罪,而实际上犯罪者个
人是间接受益的。法人犯罪给组织带来的风险可
能更大。
232
二、信息化后企业面临的新风险
1,计算机系统消除了手工的大部分交易处理痕迹
2,计算机系统中交易的授权和执行与手工系统有
很大不同
3,重新安排职责分离
4,对信息系统内控的依赖性,增加了差错多次发
生的可能性
5,更严峻的风险
① 数据集中存储和管理,一但出现硬件故障,比如主机系统
损坏,可能导致数据丢失甚至造成毁灭性的灾难。 ② 业务数据和财
务数据集成以后,内部管理上权限控制是重新分配的,新的控制措
施跟不上,就有可能造成控制的漏洞。 ③ 在信息技术环境下,对技
术人员尤其是系统管理人员的控制问题变得异常突出。这些人员在
极端情况下,可能会造成机器毁坏或整个系统瘫痪。 ④ 信息在互联
网上传输,产生了易泄露的风险,还有各级权限密码保存、改动不当甚或丢失都可能造成重大损失。
233
信息技术是双刃剑,有正面的价值,也有负面
的影响。我们的任务就是千方百计发挥和利用信
息技术的正面效用而减少或避免其负面影响,这
就为内部控制提出了新的挑战,我们必须认识这
一点。好在信息技术在内部控制工作中也可以大
有作为,甚至可以帮助完成人工不可能实现的控
制任务,这完全取决于我们的研究与探索。企业
信息化完全改变了原来业务处理的模式、秩序、
稳定性和安全性,需要我们建立一个全新的信息
技术环境下的以信息技术为工具的内部控制体系,
也就是要建立一个基于信息技术的具有稳定性、
安全性的新的业务处理模式。
234
第二节 信息技术环境下
企业内部控制的一般概念
一、内部控制的基本概念
美国 COSO委员会在, 内部控制 ——整
体框架, 中将内部控制定义为:内部控制
是由企业董事会、经理层和其他员工实施
的,为营运的效率效果、财务报告的可靠
性、相关法令的遵循性等目标的达成而提
供合理保证的过程。对此定义我们可作如
下理解:
235
1,内部控制是一个流程,受公司董事会、管
理层和员工行为的影响。内部控制流程中
一切活动的设计,都必须始终围绕实现下
列三个目标提供合理的保证:
? 经营的效果与效率;
? 财务报告的真实与可靠;
? 经营活动的合法与合规。
236
2,内部控制的实施基于两个前提:
? 第一个前提是 责任, 管理层和董事会有责任建立
并维持一个有效的内部控制流程。虽然具体的控
制活动的责任由某些下属承担,但最终的责任仍
属于最高管理层和董事会。尽管内部审计师最熟
系内部控制的知识,但内部控制并不是由审计师
负责,而是由管理层负责。审计师负责为管理层
提供有关内部控制如何运行的信息。
? 第二个前提是 合理合的保证,这与控制的成本和
收益有关,精明的管理层不会让花在控制上的钱
超过从控制上所能得到的收益。即控制的合算性。
237
3,内部控制还要受到外部法制环境和企业经
济环境的影响
? 任何企业都受制于国家发布的相关而具体的法律法
规。一个企业必须保证它的所有生产经营活动符合
国家颁布并已生效了的相关法律法规。否则,违规
违法都会遭受处罚,形成经济损失。内部控制就是
保证企业活动符合相关的法律法规的活动。
? 企业的内部控制流程将会随着某些情况的不同而改
变,这些情况包括企业的规模,组织结构,所有者
特征,传送、处理、保存和评价信息的方法、法律
法规的要求,经营的多样性和复杂程度等。比如,
小型企业中就可能没有足够的雇员来做到和大企业
同样程度的职责分离。
238
二、信息技术环境下的企业内部控制的目标
确定内部控制的目标是管理过程的一个重要组
成部分,是搞好内部控制的先决条件。内部控制
的目标决定了内部控制的要素、手段和具体实施
办法。控制是为了减少风险,在对企业的风险分
析中,常常结合经营活动的四个一般循环来进行,
每个交易循环都可能存在风险,那么管理层就应
该明确每个交易循环的具体控制目标,这些控制
目标为分析风险提供了一个基础,便于找到风险
并评估其大小,从而有针对性地设计控制措施。
图 9-2 列出了每个交易循环的典型控制目标。
239
典型的控制目标
收入循环
顾客应该是按管理层的标准认可的
所提供的货物和服务是按管理层的标准认可的
所提供的货物的装运应以给顾客的账单为结束
给顾客的通知单应被准确分类、总结和报告
支出循环
供货商应该是按管理层的标准认可的
雇员应该是按管理层的标准录取的
员工工资、费用记录应该是按管理层的标准批准的
报酬率和工资扣减应该是按管理层的标准认可的
付供应商的货款应该被批准、适当的分类、总结并报告
生产循环 生产计划应该是按管理层的标准认可的产品的生产成本应该被批准、适当的分类、总结并报告
财务循环 债务记录的金额及时间应该是按管理层的标准认可的接近现金及证券的行为应该是按管理层的标准批准的
图 9-2 交易 循环中典型的控制目标
240
三、内部控制的五大要素
一个企业的内部控制过程包括五个要素:
控制环境,风险评估,控制活动,信息与
沟通,监督。 COSO将内部控制要素以一个
金字塔结构提出,其中控制环境作为金字
塔的最底部,风险评估和控制活动位于上
一层次,信息和沟通接近顶部,监督处于
最顶端。如图 9-3所示。
241
控制环静
风险评估
控制活动
信息与沟通
监督
内
部
控
制
图 9-3 内部控制五要素
242
(一) 控制环境
一个组织的控制环境是控制系统中其他要素的
基础 。控制环境是 各种因素 共同作用的结果,这
些因素可以增强或弱化内控措施的实施效果。因
此,控制环境决定着组织的整体风格,左右着员
工的控制意识,直接影响控制效果。控制环境包
括企业文化;包括企业的经营重点和经营目标;
包括管理层的管理哲学和经营风格;包括企业实
施的权责分配方法和执行的人事政策;还包括员
工的职业道德、敬业精神和个人才能等。
243
构成控制环境的主要因素:
? 道德准则
? 企业文化
? 敬业精神
? 管理哲学
? 组织结构
? 董事会及下属委员会的职能
? 权责分配方式
? 人力资源政策与实施
244
?道德准则
潜在的道德违规对企业意味着重大的损失
风险。这些风险可能是缴纳巨额罚金,也
可能是企业行政官员被起诉。比如,美国
一家利用氰化物从胶卷中提取银的公司,
曾导致一名员工死亡。该公司被指控蓄意
营造危险工作环境,三位行政官员被判谋
杀罪定刑 25年监禁。
245
?企业文化
每个企业都有自己的企业文化,企业文化与全
体员工的一般信念、追求、价值取向、行为和态
度有关。企业文化可能促进也可能阻碍企业的道
德行为,进而影响内控的效果。如果企业文化存
在严重问题,内控效果就会大打折扣,一个健康
的企业文化会使内控事半功倍。
塑造一种具有高尚道德行为的企业文化十分困
难,它需要员工有较高的受教育程度,有较高的
觉悟和组织纪律性;需要管理者具有莫大的人文
关怀和公平、公正而又艺术的执政风格。
246
? 敬业精神
任何内部控制过程要想发挥作用,员工
的能力都是必不可少的。员工的品质、能
力和敬业精神保证了控制过程的执行。若
没有具有足够能力和起码觉悟的员工,任
何控制过程都不能发挥作用。
247
?管理哲学
一个组织中的有效控制基于并且依赖于
组织的管理风格。如果管理层相信控制是
重要的,那么他就应该实行监督使得控制
措施得到有效执行。如果管理层只把控制
的重要性停留在口头上,久而久之其下属
会觉察到管理层的真实态度 —说说而已,
从而使控制的目标得不到实现。
248
? 组织结构
一个组织的结构是由这个组织中的授权和责任类型决定的。如下图。
总 裁
生产副总裁 内部审计长主计长销售副总裁财务主管管理副总裁
生产控制
采购
装运
收获
存储
生产
成品
存货控制
预算
纳税筹划
会计经理
计时
开单
应收账款
应付帐款
成本会计
薪酬
费用分类账
总分类账
促销
顾客服务
销售订单
人事
效益
经营
办公室
收发室
信贷
出纳
保险
图 9-4 组织结构图
249
图中开单人对会计经理负责,会计经理对
会计主管负责,会计主管则对总裁负责。
一个企业需要建立科学而有效的组织结构,
使得权责分明,沟通渠道规范。如图中所
示,开账单的人不应该把行动的结果向生
产副总裁报告,否则就是非正常的组织结
构。
250
?董事会及委员会的职能
一个组织的董事会是连接组织的所有者 —股东
和组织的经营 管理层 的纽带。股东们通过董事会
及其下设的委员会对管理层进行控制。董事会通
常将专有的职能售给各种各样的委员会,其中最
为重要的就是 审计委员会 。审计委员会应独立于
组织的管理层,主要由董事会以外的人员组成,
其职能是对组织的财务报告负责,包括遵守现行
的法律法规。审计委员会任命执业会计师,与他
们讨论审计的范围和性质,并评价该组织的编制
的财务报告。为保持内部审计的独立性,内部审
计应直接向董事会下属的审计委员会报告。见图
9-5
251
董事会
董事会下属的
审计委员会
总裁
内部审计 其他人员
主计长
图 9-5 审计委员会
252
? 权责分配方式
一个组织的权责分配方式取决于组织内
部的管理风格和经营模式。如果只有口头
上的或非正式的权责分配形式,控制可能
会弱化或形同虚设。一张正式的组织结构
图或一份书面文件经常用来表明组织总体
的权责分配情况,组织结构图往往与正式
的 职责描述 和职责分配的陈述联合使用。
书面备忘录、政策手册和程序手册也是一
些组织常用的权责分配手段。
253
? 人力资源政策和实施
公司的正式职员应该是称职的,并且进行
过大量有关职责方面的培训。大量实践和
分析表明,职员在任何一个控制系统中都
是最为关键的因素。公司为每一个工作职
位建立的用人条款都应该反映与这个职位
相关的责任和具体要求,如:经验、才能
品质、奉献精神和领导能力。在用人政策
的实施中常采用以下控制措施:
254
? 忠诚保险
为职员的忠诚买保险,以便得到可靠的雇员。
? 职责分配
明确每一个员工职务和责任,界定职责范围。
? 监督
被授权的人对员工直接督察,确保职责按分配执行。
? 轮流工作和强制休假
令员工在某段时间内执行其他员工的任务,以检查和
校验其他人的业务。
? 双重控制
两个执行同一任务的员工必须经常相互检查同伴的工
作,建立责任共同体。
255
(二) 风险评估
风险评估是提高内部控制效率和效果的
关键。任何组织都会面临来自其内部和外
部的风险,各个组织都必须进行风险评估,
以识别、分析、管理风险。一般而言,风
险会随以下因素而产生或变化:经营环境
变化、改造和更换新的信息系统、新的员
工、新技术应用等。不健全或无效的内部
控制措施就是风险存在的信号。
256
(三) 控制活动
控制活动是指管理者为了确保管理指令能够得以
有效实施而制定并实行的各种政策和步骤。旨在为
组织中每个特定的控制目标的实现提供合理的保证,
这些特定的控制目标包括:
? 必须有任务分割以防止员工在其正常职责范围内作弊
并隐瞒 。(职责分离)
? 设计和使用适当的文档和记录以保证交易和事件的适
当记录 。(留迹)
? 只有得到管理层的授权才能接近资产 。(物理隔离)
? 对资产和工作情况的相关责任进行独立的检查。
? 对数据处理进行控制以保证交易的合理授权、业务数
据处理的准确性与完整性。
257
(四)信息与沟通
围绕在控制活动周围的是信息与沟通系统。该
系统使企业内部的员工能够取得他们在执行、管
理和控制企业经营过程中所需要的信息,并交换
这些信息,使企业内部的每一个员工都能够履行
其职责。有效沟通的含义包括:必须了解自己在
内部控制制度中扮演的角色,以及每个人的活动
如何影响他人的工作;必须具有相上沟通重要信
息的渠道和方法;还应向顾客、供应商、政府主
管机关和股东等进行有效沟通。健全的 信息系统
必须以标准化的文件、报表、政策手册、备忘录
等形式,有效地传输或沟通各种信息。
258
(五) 监督
监督是指长期评价内部控制质量、必要时还要
采取必要行动的一个不间断的过程。
监督是对内部控制的整体框架及其运行情况的
跟踪、监测和调节,以自始自终确保其有效性。
监督可以通过日常的监控活动来完成,也可通过
执行独立监督(内部审计和外部审计)或二者结
合起来实现。如内部审计的目标就是通过向管理
层提供对以下活动或系统的分析与评估的结果,
来为管理层服务:
? 组织的信息系统
? 组织的内部控制结构
? 对经营政策、程序和计划的遵守程度
? 公司员工的业绩质量
259
内部控制的三个目标之间具有直接联系,
他们代表了企业努力的目标;而五项要素
代表了实现这些目标的所需元素。所有五
项要素都与每一类目标相联系。为实现每
一类目标 ——如经营的效率和效果 ——需
要五项要素共同发挥作用,以说明经营的
内部控制是有效的。
这五项要素既相互独立又相互联系,
形成一个有机统一体,对不断变化的环
境自动作出反应。
260
(一)业务控制与信息系统控制的分离
信息技术的应用对内部控制五要素的影响
程度是不同的。其中,由于控制活动是实
现控制目标的规章制度、岗位设置和流程
定义等具体措施,而且依赖于企业的业务
流程,所以业务流程的自动化必然对控制
活动产生的影响最大。信息技术环境下的
控制活动分离出两个分支:自动化业务控
制和信息系统控制。
四、信息技术环境下内部控制的变化
261
1,自动化业务控制
自动化业务控制就是以信息技术实现的传统控
制活动,如机上授权,机上审批等。他的控制目
标与传统控制活动的控制目标一致,都是为了达
到营运的效率效果、财务报告的可靠性和相关法
令的遵循性等目标。自动化业务控制的控制对象
与传统业务控制的控制对象是一致的,都是企业
的生产经营过程。不过,自动化业务控制的存在
形式和控制手段发生了很大变化。它 以计算机程
序的形式嵌入企业的信息系统中,对业务的控制
由计算机自动执行。
262
2,信息系统控制
信息系统控制是为了保证信息系统效率、安全性和完整
一致性而采取的控制措施。信息系统控制的控制目标服从
于业务控制目标,包括以下三点:
? 效率
信息系统的全部资源应该被充分开发利用。
? 安全性
信息系统的软、硬件和数据资源应得到最高水平的保护,
敏感部位应防止未经授权的人员接触。
? 完整一致性
信息系统的完整性一致性指信息系统的处理逻辑应该符合
企业的商业规则,所输出的信息精确而有效。
263
信息技术环境下控制活动的结构:
264
(二)控制活动的变化
在信息化程度较高的企业中,传统的手工业
务控制活动完全由自动化业务控制活动所取代。
自动化业务控制与信息系统控制其控制活动有
许多不同的特点,具体变化如下:
1,交易授权
交易授权是将交易的执行限定给经过选择的
人。信息技术环境下的交易授权有以下几点变
化:( 1)交易授权自动化。( 2)授权过程不
明显。
265
2,职责分离
职责分离通过将 交易授权, 交易记录 和 资产
监管 等职责分配给不同的人得以实现。即:交
易(业务)活动要得到授权;活动情况(结果)
由另外的人记载(记账);负责交易的人不能
监管资产;监管资产的人不能单独记录(记账)
资产增减。
在信息技术环境下,能用计算机进行自动处
理的业务流程中的职责没有必要进行划分。因
为计算机没有私心,也不会倦怠,在其运行过
程中不会像人那样会犯错误或故意作弊,原来
手工环境下本不相容的职责,现在由一个程序
模块来执行也不会出问题。
266
3,监管
监管是指管理者对员工的监视和管理。监管是针对职责
分离不充分的一个补救措施。充分的职责分离需要企业有
大量的员工,这对中小型企业和一些缺少人手的部门来说
有一定困难,所以不充分的职责分离在所难免。为了避免
不充分的职责分离可能带来的损失,企业采用监管作为补
救的措施。在信息技术环境下,自动业务流程中的职责分
离大部分被计算机程序所取代,不存在职责分离是否充分
的问题,所以没必要针对自动业务流程进行监管。但是,
信息系统的开发、维护和处理操作等活动仍然存在着职责
分离,而且管理这些活动中的员工有一些新的难点,所以
对信息系统的监管十分重要,传统的监管手段也发生了一
定的变化。
267
4,业务记录
业务记录是指企业为了反应和控制各项生产经营业务以
文字形式对业务活动的发生、进展和结束等的全过程进行
记载,主要包括业务活动的授权记录、接受记录和会计记
录等。这些记录反映了经济业务的实质,并为内部控制和
审计提供了交易轨迹。
在信息技术环境下,业务记录的载体由纸质变成了磁质。
同时,纸质的交易轨迹不复存在,取而代之的是数据库记
录和操作日志等磁记录。信息技术在改变交易轨迹形式的
同时也对交易轨迹的法律效力产生了影响。员工在纸质凭
证上的签字可以证明确实是他对交易进行了授权或确认,
但在磁质交易记录上的操作员字段信息的法律效力却受信
息系统的完整性、正确性和安全性的影响。
268
5,接触控制
接触控制是保证只有经过授权的人才能
接触企业资产的控制行为,限制非授权者
接近资产,常用方法如下:
?现金登记簿和保险柜
?锁、保险库和禁区
?人力保卫
?监视器
?报警系统
当然,上述措施要配套:比如锁要有钥匙,
监视器要有人监视才行。
269
6,独立稽核
独立稽核是指验证另一个人或另一个部门执行的工作。
通过独立稽核,管理层可以评估员工的业绩、信息系统完
整性和交易记录的正确性。独立稽核是一种事后措施,不
同于监管。在手工环境下独立稽核是非常必要的,因为员
工处理业务时可能会失误,而失误可能没有被监管等措施
所发现,此时独立稽核便成为最后的防范措施。在信息技
术环境中,正常情况下计算机会始终如一地根据程序运行,
如果程序精确而完整,那就没有必要对程序运行的结果进
行日常性的检查,这也正是信息技术的应用会降低企业运
行成本的一个重要方面。但是这并不意味着企业没有必要
进行独立稽核。在信息系统维护或业务发生变化时,独立
稽核仍然是确保计算机系统运行正确性的重要控制措施。
270
由于上述种种变化,企业在制定内部控
制制度设计内部控制措施时,应该对五个
要素特别是控制活动要素充分考虑信息技
术应用带来的影响。因为原来合理的、有
效的控制措施,现在可能变得没有意义;
原来不存在问题的业务环节,现在由于处
理方式的改变可能风险陡增。这就需要认
真研究和识别控制对象与控制活动的变化,
设计相应的有针对性的控制措施。
271
第三节 信息技术环境下的交易处理控制
设计交易处理控制的目的是确保一个组
织的内部控制的元素被用于实施某些应用
系统,这些应用系统包含于组织的每个交
易循环中。交易处理控制由 一般控制 和 应
用控制 组成。一般控制影响全部的交易处
理;应用控制则被用于某些具体方面。
272
5.3.1 一般控制
一般控制也即整体控制。实施一般控制的
目的是为了确保信息系统的开发、实施、
运行能在有序地、被控制的状态下运行。
一般控制作用于所有的应用系统,成为围
绕应用系统的保护层。见图 5-7。
273
高层管理控制
应用控制
信息系统的管理控制
系统开发与维护控制
数据资源管理控制
质量管理控制
安全管理控制
信息系统外包管理控制
运行管理控制
图 5-7信息系统一般控制框架
274
① 高层管理控制
随着企业信息化不断深入,信息系统已经成
为企业提供有竞争力的产品和服务的一项基础设
施。因此,为保证信息系统的有效运行,必须全
力做好信息系统的管理控制工作。 CIO应通过下
列手段对信息系统进行管理控制:
? 规划 规划工作建立一个组织的信息系统的目标。
? 组织 筹集、分配实现目标所需的人、财、物资源。
? 控制 对信息系统实施总体控制:确定系统所需费
用;分析系统可创造价值;控制系统人员的
业务活动。
275
② 系统开发与维护控制
系统开发与维护控制是对新系统的分析、设计、实施以及现有系统
的改进与维护实施的控制。具体包括三个方面:
? 系统开发控制
如有可能,内部审计人员应参与系统开发,除对开发过程进行监督,更
重要的是促使技术人员完善系统中应当嵌入的内部控制措施和审计功能。
? 系统维护控制
系统维护往往会“牵一发而动全身”,程序、文件、代码的任何修改都
是非同小可的事情。所以必须严格控制,一切维护活动,都必须得到授
权与批准。
? 系统档案控制
系统档案是系统开发留下的痕迹,是系统维护的指南,是开发人员与用
户交流的工具。必须妥善保管并制定措施确保文档的一致性或分版本存
档。
276
③ 数据资源管理控制
数据库中的数据是企业的重要资源,数据库的正确使用
及数据的完整性、安全性是整个信息系统运行和为企业提
供决策的重要环节。因此对其应实施下列控制:
? 访问控制
首先,通过密码和身份鉴别对访问数据库的人进行
限制,其次,通过权限设置对数据库数据的访问范
围进行限制。
? 建立数据备份和恢复制度
软、硬件故障、操作失误、人为攻击都会影响数据
库中数据的正确性甚至全部丢失。因此,必须设定
和实施适当的后援和恢复策略,一旦发生故障,可
在最短时间内恢复数据库的正常状态。
277
④ 质量管理控制
为了确保信息系统达到特定的质量目标,
信息系统的开发、实施和维护应遵守一系
列的质量标准。因此,国外的一些组织中
出现了信息系统质量保证角色,其职能包
括:制定信息系统的质量目标;制定、发
布和维护信息系统标准;监控质量标准的
执行情况;识别应当改进的方面;向管理
者定期报告各项标准的执行情况。
278
⑤ 安全管理控制
安全管理控制的目的是为了确保信息系统的硬件、软件、
核数据资源受到妥善保护,不因自然和人为因素而遭到破
坏,使信息系统能够持续正常地运行。安全管理控制包括:
? 实体安全控制
? 软件安全控制
? 数据安全控制
? 数据安全控制
? 系统入侵防范控制
? 通信安全控制
? 病毒防范控制
279
⑥ 信息系统外包管理控制
由于信息系统更新换代的周期短,信息系统工作
人员的流动性高,人工费用与设备维修费用十分
昂贵,因此,近年来在先进的发达国家出现了利
用外包信息系统资源的方法,简称“外包”。外
包指组织只专注于自己的特定业务,而将相关的
信息系统业务承包给外部的信息服务机构。通过
外包,企业可以提高对信息技术、信息人才的利
用效率,显著降低信息系统的运营成本,使企业
可以将自己的力量集中于其核心竞争优势方面,
更加集中于实现企业的战略目标。
280
续:
外包必须有特定的人员来负责监督控制,
主要有:不断评价外包商的财务能力;监
督外包合同条款的执行;通过要求外包供
应商定期提供一个第三方的审计报告或由
客户的内部审计人员和外部审计人员定期
审计其控制,对外包商控制的可靠性进行
监督,确保外包商提供安全可靠的信息系
统资源;建立外包灾难恢复控制,并定期
评价这些控制,如果外包商发生灾难事项,
客户也应设计自己的在难恢复程序。
281
⑦ 运行管理控制
运行管理控制是针对信息系统中硬件和软件设施的
日常运行而实施的控制。主要包括:
? 访问计算中心的控制
? 计算机操作控制
? 文件服务器控制
? 硬件设备维护控制
? 文档资料与存储媒体的控制
? 技术支持活动的控制
? 监控硬软件的性能
282
5.3.2 应用控制
应用控制是具体控制或微观控制,它与
具体的应用系统有关,是为了确保数据处
理完整正确而实施的控制。应用控制可以
由人工实施控制,也可以由计算机程序实
施自动化控制。我们将应用控制分为输入
控制、处理控制和输出控制,三者之间的
关系如图 5-8所示。
283
使用者显示输出
打印输出
交易原始凭证 转换为机器 可读媒体
编
辑
程
序
数
据
处
理
磁盘输出输入终端操作员
使用者
使用者
输入控制 处理控制 输出控制
图 5-8 输入、处理和输出控制示意图
284
? 输入控制
输入控制是为保证输入系统的数据正确、
完整和可靠而设计的控制。具体包括:
① 原始单据审核控制
② 输入数据正确性控制
③ 数据输入完整性控制
④ 数据逻辑控制
⑤ 错误纠正控制
285
? 处理控制
处理控制是为了保证数据处理的正确性和
完整性而实施的控制,这种控制是通过预
先编好的计算机程序实现的。具体包括:
① 处理权限控制
② 参照检查控制
③ 数据合理性检验控制
④ 业务时序控制
⑤ 审计踪迹控制
⑥ 备份与恢复控制
286
? 输出控制
输出控制的主要目的是保证输出信息的正
确性,并确保只将其提供给经授权的使用
者。具体包括:
① 输出数据的正确性控制
② 输出数据审核控制
③ 输出权限控制
④ 由控制组进行控制
⑤ 输出资料的分发控制
⑥ 差错更正控制
287
第四节 内部控制的深层思考
一、人的因素第一
人是所有内部控制中最为重要的因素,首先,
人无完人,他们会疏忽、会犯错误;人有私心,
为谋取个人利益,可能会犯罪。如果人都是完美
的,那么内部控制就完全没有必要,只能是资源
的浪费。内部控制归根结底是对人的控制,它的
最基本的功能就是影响商业机构内人的行为。其
次,内部控制措施靠人来制定,靠人来实施。内
部控制过程许多情况下是一些人对另一些人工作
的检查过程,因此,制定和实施控制措施的人必
须具有较高的业务素质,才能使控制措施科学有
效、合规合算、好理解易操作。
288
二、控制的适度性
一个信息系统有多个目标,首要的目标是运
行效率,信息的可靠性和安全性也是重要
目标,这些目标之间往往会发生冲突,信
息系统的运行效率常会受到对信息可靠性
顾虑的限制。控制其实是一种重复劳动,
它们影响了运行效率,但增加了输出结果
的可靠性。过度考虑可靠性和安全性可能
会降低效率,但忽略可靠性与安全性只强
调效率也会牺牲可靠性与安全性,两者必
须权衡与兼顾。
289
三、内部控制过程分析
搞好内部控制,不仅要关注内部控制系统是如
何设计的,还要充分了解这个控制系统是如何运
作的。实际的运行过程可能与预期的过程不一致。
比如文档记录可能已经过期了,组织可能已经启
用了新的程序,还可能为了适应一些最初设计时
没有预料到的环境变化对程序作了非正式的修改。
这就需要定期调查了解收集信息,以检查责任或
权限是否转移,批准与核实是否得到执行。有关
内部控制责任的文档必须予以检查,以评价系统
运行的可靠性。设计一个内部控制过程只是问题
的一个方面,内部控制责任真正按照规定运行才
是问题的关键。
290
本章作业:
1,什么是法人犯罪?
2,公认的是计算机处理增加了组织中发生负面事
件的风险,可为什么我们还要努力实现企业信
息化?
3,从控制和被控制两方面来说明人是所有内部控
制的重要因素。
291
THE END
292
第十章
信息系统安全
293
信息安全系统是控制与企业业务处
理信息系统有关的特别风险的系统。
是企业业务处理信息系统的伴随系统
或称影子系统,因为只要有信息系统,
就要建立信息安全系统。
294
第一节 信息系统安全概览
信息安全系统 和任何一个信息系统一样
有其基本构成要素:如硬件、数据库、处
理过程以及报告等。例如,涉及软件使用
的记录和违反安全的情况被实时收集,存
储于数据库,用于生成报告。
295
一,信息安全系统的生命周期
信息安全系统也是一种信息系统,也有自己的生命周
期。也要经历系统分析、设计、实施,以及运行、评
价和维护各生命阶段。它从生到死各阶段的目标如下
表所示:
生命周期阶段 各阶段目标
系统分析 分析信息系统的脆弱性和面临的威胁极其损失风险
系统设计 设计安全控制措施和制定偶然事件计划
系统实施 按照设计实施安全控制措施
系统运行、评价和
维护
运行安全系统并评估其效果和效率,对其存在的问题
和不足进行修正完善。
表 6-1 生命周期各阶段目标
296
二,组织中的信息安全系统
信息安全系统若想有效,必须由一位首席安全官 (cso)
来管理。为使其工作具有足够的独立性和少受干扰,
此人应当直接向董事会报告,以获批准。报告应分阶
段如下表所示:
生命周期阶段 给董事会的报告
系统分析 一份有关所有损失风险的总结
系统设计 控制风险的详细计划,包括信息安全系统的整体预算
系统实施,系统运行、
评价和维护
信息安全系统的实施细节,包括一个损失和安全破坏的
分条细目、一份符合性分析以及运行安全系统的成本
表 6-2 生命周期各阶段( cso )应提交的报告
297
三,信息系统的脆弱性与威胁分析
分析信息系统的脆弱性与威胁有两种方法:定量分析方法和定
性分析方法。
? 定量分析方法
每种损失风险由单个损失成本与其发生的可能性的乘积计算
而得。见下。
风险类型 潜在损失 风险系数 损失风险
数据窃取 700000000 0.050 35000000
舞弊与病毒攻击 1200000000 0.025 30000000
恶意破坏 2500000000 0.010 25000000
文档变更 400000000 0.050 20000000
程序变更 80000000 0.020 1600000
设备盗窃 15000000 0.100 1500000
自然灾害 100000000 0.008 800000
表 6-3威胁分析报告
298
? 定性分析方法
这种方法仅仅列出信息系统的各种脆弱性
和威胁,根据他们对组织总损失风险影响
的大小,主观地将其 分为各个等级 。有时
为了直观醒目,每种等级用一种颜色表示,
如:黑色、红色、橙色、黄色和绿色等。
不论哪种分析方法,以下几个方面都要进
行分析评估:业务中断;软件损失;数据
损失;硬件损失;设备损失;服务与人员
损失。
299
第二节 信息系统的 脆弱性与面临的威胁
脆弱性是指信息系统的薄弱环节,威胁是
利用这种脆弱性的可能性。威胁有两种:
主动威胁(利用信息系统舞弊和破坏)与
被动威胁(系统故障和自然灾害)。
一,信息系统舞弊的严重性
系统安全是一个国际问题,各国都吃过利
用计算机舞弊带来的苦果,因此纷纷制定
了严厉的相关法律。
300
二,把威胁引入信息系统的个人
对信息系统的成功攻击需要接近硬件、软件或
敏感数据。三类人最有可能将威胁引入信息系
统,他们是:计算机系统员工、用户和计算机
窃密者。
1,计算机系统员工
包括维护员、程序员、操作员、信息系统管理员和数
据控制员。维护员经常安装硬件和软件、维修硬件和修
改软件上的小错误。在任何情况下,维护人员都可能运
用这种权力非法浏览并修改数据和程序文档。程序员可
能对存在的程序作不良修改,或者编写不良的新程序。
301
网络操作员可以秘密地监控所有的网络通信
(包括用户的输入口令),以及存取系统里
的任何文档。系统管理员处于被充分信赖的
地位,通常有权接近安全秘密、文档和程序
等。如系统账户管理员有能力编造虚假会计
科目,或者泄露现有会计科目的密码。数据
控制员负责把数据手工或自动输入计算机,
他们可以欺诈性地操纵所输入的数据。
2,用户
在信息系统高度自动化情况下,用户可利用
远程终端或触摸屏等直接使用信息系统内的
一些敏感数据,并有可能向我们的竞争者披
露。
302
3,计算机窃密者
窃密者是指那些未经正当授权就使用设备、
电子数据或文档的人。他们通过搭线密听、
借道、模仿等非法欺诈手段,进入计算机信
息系统,窃取机密。这些人纯属主动的恶意
的破坏者。
303
三、信息系统主动威胁的类型
1,输入操作
输入操作是计算机舞弊采用最多的方法,
因为这种方法要求最少的技术技能,一个
不懂计算机系统操作的人也可以改变输入
内容。例如在美国的一个案例中,一名女
性通过篡改输入文件,在十年间不仅每月
盗窃 200美元,而且给自己发放双份工资。
304
2,程序变更
程序变更可能是计算机舞弊中使用最少的
方法,因为它需要掌握编程技术的人才能
做到。在美国,一名程序员通过给计算机
编程来忽略自己账户上的透支额。当计算
机出现故障不得不手工处理这些记录时,
他的行为才被发现。一家经纪人公司的数
据处理经理多年来盗窃金额达 81000美元,
其做法就是修改未被授权修改的程序。
305
3,文档直接变更
在某些情况下,个人可以利用其他软件如 EXCEL
伪造数据文件并输入到数据库里。这种情况一旦
发生,后果则是灾难性的。华尔街十大经纪人公
司之一的沃特森公司的一名雇员,通过把一部分
公司收入转到他的个人账户上非法盗窃了 278000
美元。事后,检察官承认,如果被告不认罪,起
诉是不会有证据的。
306
4,数据窃取
重要数据的窃取是当今商务领域的一个严
重问题。在许多高度竞争的行业中,对竞
争对手的定量和定性的信息挖掘从未停止
过。例如:据说大不列颠百科全书曾指控
其上晚班的电脑操作员从公司最具价值的
客户名单中复制了近 300万个名字,并将
其卖给一个电子邮件广告直销商。该公司
称被盗的名单价值 300万美元。我国天津
有一小伙儿,从网上盗卖天津私企老板的
私人电话号码牟利。
307
5,恶意破坏
恶意破坏对于任何信息系统都将是致命的威胁,
尤其高度信息化了的企业,对其信息系统不论软
件还是硬件的破坏都足以导致该企业的破产。在
某些情况下,舞弊者会通过恶意破坏引起混乱,
借以掩盖其舞弊行为。例如,某罪犯篡改了会计
数据,然后试图通过破坏电脑硬盘或其他载体来
加以掩饰。又如,某信用卡公司数据中心的负责
人,出于对最高管理层的不满,洗去了总值数百
万美元的应收账款的电脑资料。
308
第三节 信息系统的安全系统
实行安全措施和偶然事件计划可以对信息系统
的威胁进行控制。安全措施主要用于防止和发现
威胁,偶然事件计划主要用于补救威胁造成的后
果。一种被广泛接受的 理论认为,一是某些主动
威胁不可能被完全阻止,因为过度地保证系统的
安全性可能会丧失系统的实用性,也即安全控制
是有限度的;二是如果组织内没有一个总体诚实
和谐的气氛,再好的安全系统也不会有价值。
信息安全系统就是将已有的内部控制原则应用
于系统中的具体问题。
309
一、构建良好的人文控制环境
控制环境是保证安全系统有效性的基础。建立一个良好
的控制环境依赖于下列要素:
? 管理风格
构造安全系统的第一个也是最重要的活动是制造高昂的士气和有
利于系统安全的良好氛围。不断的安全教育可以使员工对于安全
问题取得共识,员工间良好的沟通可以减少问题的发生。
? 组织结构
企业信息化以后,一定要建立清晰的权责关系。不然系统分析员
和程序员可能被召集到一起去设计、编写和 实施 一个应收账款模
块,而一个会计师可能被要求对一个会计模块进行修改。对于这
样的活动,十分需要一条清晰地组织结构链来表明活动决策权的
归属。
310
? 董事会及下属委员会
董事会必须任命一个审计委员会,审计委员会任命一个内
部审计师。该审计师应该有计算机背景,并能起到首席计
算机安全官的作用,不论什么情况,都要负责定期向审计
委员会汇报计算机产权系统的状况。
? 管理控制活动
实施对所有计算机和信息系统资源的使用和责任划分的
控制十分重要。应该对所需购置的硬件、软件、日常运营
费用做好预算,然后将这三方面实际费用与预算费用进行
比较,对意外情况加以控制。
311
? 内部审计职能
必须经常审核计算机安全系统,然后根据公司的
要求进行改进。对安全方针及程序的一致性和有
效性都要测试,恶客的逮捕和法办往往成为安全
系统良好运作的证明;还要定期使用假想事件对
系统进行挑战性测试。
? 人事政策
职责分离、适当监督、岗位轮换、强制休假及双
重检查都是很好的人事政策实践。雇用和解雇的
人事政策的执行也很重要,用人要筛选,解雇要
谨慎。
312
? 外部影响
公司的信息系统必须遵从所有的法律法规。有
些历史资料、商业技术机密和某些个人资料可能
不允许向国外传递,否则可能被视为犯罪。
贯彻一套良好的内部控制措施防止使用盗版软
件、防止非法拷贝、禁止流传别人已被版权保护
的软件,以免引起法律纠纷。
313
二、对主动威胁进行控制
预防主动威胁的主要办法是用连续层面(多道
关卡)来控制进入(接触)敏感源。如果所有设
备、资料和数据等都管理得井井有条,现在考虑
的重点就可以集中在减少或避免未经授权的人对
敏感设备和资料的接触上,使作案的人没有机会。
也就是把有不良企图的人同他觊觎的目标隔离开
来。
分层进入控制的基本原理在于建立多层次的控
制来 隔离 潜在犯罪者和他觊觎的目标。具体分为:
站点进入控制、系统进入控制及文档进入控制。
314
? 站点进入控制
站点进入控制的目标是从物理上将未授权个体与
计算机资源隔离开来。 物理隔离 特别适用于硬件、
数据登记领域、数据库和连接线。常用的方法有:
? 出入存放计算机或敏感数据的房间要进行身份
认证。
? 门要上锁,最好是智能锁。
? 数据库和服务器所在地周围安装监视器,连续
监控接近者。
? 一切输出设备尽可能隐蔽保管,通过密码才能
使用。
315
? 系统进入控制
系统进入控制是一种用来阻止未被授权的使用
者进入系统软件的导向型控制,目的是通过用户
名、密码,IP地址和硬件配置等手段来鉴别使用
者。每一个内部使用者都可已从以下 9个级别上分
配到相应的用户名和密码:个人电脑或工作站级
别、网络级别、主机级别、文档服务器级别、文
档目录级别、程序级别、文档数据或数据库级别、
记录级别、数据领域级别。这些级别联合起来提
供了一个连续层面的保护,基本上可将窃密者与
敏感数据隔离。
316
? 文档进入控制
文档进入控制阻止对数据和程序文档的未经授权
的访问。最基本的文档进入控制是针对访问(看)
和改变(修改)文档建立一套授权模式和控制程
序。没有书面批准的情况下任何人包括系统维护
员均不得实施程序的修改,有书面授权的情况下
也只能在原程序的副本上进行正确的授权改动。
特别重要的程序都应该保存在加锁的文档中,这
就意味着这些程序只可以运行,但不能看,更不
能改。
317
三,对被动威胁进行控制
被动威胁包括供电系统和硬件系统的故障。对
此类问题的控制包括预防和修复两个方面。
? 容错系统
如果系统的一部分出现问题,一个冗余部分接替该部
分,使得系统继续运行而不致中断或只是暂短中断。
? 网络通过双重交互路径来建立容错机制。
? 存储采用双机热备建立容错机制。
? 电力供应采用不间断电源( UPS)建立容错机制。
? 文件备份(全备,增量备,差异备)是防数据混乱和
丢失的容错机制。
318
四、互联网安全
互联网是一个自由的、开放的网络,企业
的计算机连接到互联网上之后,便会成为
世界上所有主动威胁者潜在的攻击目标。
因此,我们要认识到与互联网有关的脆弱
性,然后采取可能的安全防范措施。互联
网的脆弱性主要有以下几个方面:
319
1,网络操作系统的脆弱性
网络服务器上运行的网络操作系统从本质上讲
是计算机操作系统的一个延伸。这就导致在操作
系统层面上的任何安全弱点都会在网络服务器上
产生相应的问题。同时,截止目前还没有任何操
作系统可以对外来攻击是完全免疫的。黑客们不
断寻找和发现新的系统安全隐患。因此,系统管
理员必须时刻注意由操作系统开发商或其代理商
发布的系统安全公告。例如,微软公司每天都在
自己的主页 http://www.microsoft.com/上发布新
的关于 windows的安全信息或软件补丁。
320
2,网络服务器的脆弱性
? 网络服务器和操作系统类似,需要时刻关注所发
布的关于安全的信息或系统配置的公告。因为网
络服务器与网络浏览器的升级比操作系统更加频
繁,而且,每一次升级几乎都意味着存在一个新
的隐患。网络服务器也是信息系统安全防范的第
一道防线,因为它是外来访问者最经常经过的入
口。
? 不恰当的配置会大大降低网络服务器的安全性。
一个最常见的问题是与运行脚本程序相关的文件
和路径的授权问题。
321
3,局域网络的脆弱性
连接了许多客户端的局域网有时也会面临一些
特别的风险,比如黑客可以从其中某一客户端的
计算机进入而攻击整个局域网。如果该客户端拥
有进入局域网服务器主机的权限,那么黑客就可
能以该客户端为突破口,攻击局域网服务器主机。
服务器管理员无力保证所有的客户端都具有足够
的安全性,因为在许多公司里,局域网上的用户
往往同时连接在互联网上,甚至经常运行一些来
自互联网上的陌生而不安全的程序,有时还对自
己的计算机进行不恰当的配置。
322
4,各种服务程序的脆弱性
许多网络服务器主机上不仅运行网络服
务程序,还提供一些其他服务。比如 FTP服
务(一种计算机间的文件传输服务)、电
子邮件服务和远程控制服务(允许合法用
户远程控制主机)等。网络服务器每增加
一项服务的同时,也就增加了一份系统的
安全隐患,相当于为网络黑客打开了一扇
大门,网络服务器主机上的程序和文件就
有可能受到攻击,甚至攻击连在同一局域
网内的其它计算机。
323
第四节 灾难风险管理
灾难总会发生,不依人的意志为转移。最近一
次大的意外灾难 ……,
灾难风险管理的实质是保证在灾难发生时,系
统能够正常工作。灾难风险管理包括灾难预防和
偶然事件计划两个方面。在某些灾难事件中保险
公司可帮助减低风险,但大多数保险商都不会为
大企业的经营中断损失承保,尤其那些没有完善
的灾难恢复计划的企业。
下面我们仅讨论灾难预防和偶然事件计划两个
方面。
324
一,预防灾难
研究显示下列灾难发生的比例为:
自然灾害 30%
蓄意破坏 45%
人为错误 25%
经验表明,良好的安全政策与计划可以
预防许多由于蓄意破坏或误操作引起的灾
难。计算机设备和数据集中放置在难以被
暴风雨、地震、洪水侵袭的建筑物中可以
减少许多自然灾害导致的灾难。
325
二,偶然事件防范预案
偶然事件防范预案在组织中必须被高度贯彻执
行。该预案必须作为计算机安全计划的一个重要
组成部分,在董事会上讨论通过。据估算,灾难
恢复计划所需的费用大概应占到整个信息系统预
算的 2%~10%。
偶然事件防范预案主要包括四个方面:评估企
业的关键需要;将关键需要按优先级列表;制定
恢复策略和替换过程规划。
326
? 评估企业的关键需要
所有负有关键使命的资源都要通过鉴定和确认,
其中包括硬件、软件、电力、建筑物、关键数据
和相关人力。
? 恢复优先级列表
恢复计划再完美,在短时间内想把一切都从灾
难中恢复过来也不太可能。因此,必须根据重要
程度对最需要恢复的资源评估优先级,列成表。
在表中列出各资源在信息系统中所负的关键使命
以及必须在什么时间内被恢复才行。
327
? 恢复的策略与过程
一份完整的恢复策略与过程非常关键。计划中
必须包含非常详细的规定,这样在遭受灾难之后,
组织马上可以知道应该做什么、由谁去做、怎么
做,应该在多长时间内完成。灾难发生时,所有
的计算机操作员、数据记录员马上组成紧急响应
小组,由一名紧急运营负责人带领,马上到事先
规划好的地点,成立紧急运营中心,指导整个恢
复计划。还要考虑在什么情况下将灾难进行公布,
应由谁来公布,向哪些对象公布。
328
? 替换过程规划
灾难恢复计划中最为重要的一环是在主计
算机系统被摧毁或者不能使用以后,启用
后备系统。可能的后备系统有三种,分别
称为:冷站点、热站点、飞启站点。冷站
点中只有计算机配置图,没有真正的机器;
热站点既有配置图也有机器设备;飞启站
点不但有配置图、实在的机器,而且已安
装了适当的软件并留有每天更新的数据备
份。它们完成恢复的时间分别为:几天;
几小时;几分钟甚至几秒钟。
329
本章作业:
1,请列出与计算机信息系统有关的特别风险。
2,什么是风险管理?
3,组织中的控制环境对信息系统安全有什么作用?
4,什么是容错系统?请举例说明。
330
The end
331
第十一章
计算机审计与信息系统审计
332
对计算机信息系统 性能和效益的评价 与管理逐
渐成为信息系统应用中的一个突出问题。发达国
家从上个世纪 60年代后,逐渐发展起来一门相应
学科和管理技术,虽然统称为计算机审计,可是
却包含两方面内容:一是指在信息技术环境下,
审计人员 利用计算机对被审计单位的经济活动进
行的审计,一般称为 计算机审计 ;二是指审计人
员 对被审计单位的计算机信息系统进行审查并发
表意见,一般称之为 信息系统审计 。这两方面既
有区别又有联系,本章我们将对这两方面进行深
入讨论。
333
第一节 计算机审计的基本概念
一、计算机审计的概念
对于“计算机审计”这一概念一直存在着许多不同的认
识,比如,计算机审计是指审计人员利用计算机技术对电
算化会计信息系统处理结果所作的审计;或者是审计人员
将计算机作为审计工具对手工会计业务进行的审计;或者
是审计人员利用计算机技术对计算机信息系统本身进行的
审计,等等。我们认为,计算机审计这一概念在当前应该
包括两方面的含义:一是在信息技术环境下,审计人员以
计算机为工具,对被审计单位的会计报表的合法性、公允
性及会计处理方法运用的一贯性进行审查、评价并发表意
见,本书称之为计算机审计 或信息技术环境下的审计;二
是对被审计单位计算机信息系统保护资产的安全性、数据
的完整性及系统的有效性和效率进行审查、评价并发表意
见,本书称之为信息系统审计。
334
二、计算机审计的目标和任务
从计算机审计的概念中,我们可以看出计算机审计或者
说信息技术环境下的审计,其审计目标与手工审计的目标
是一致的 。以独立审计为例,信息技术环境下的独立审计
目标仍然是对被审计单位会计报表的合法性、公允性及会
计处理方法运用的一贯性发表意见,只是 还要考虑 信息技
术环境对审计的影响。因此,对审计师来说,计算机审计
的任务除了完成会计报表审计之外,还应该,( 1)审查
计算机信息系统的内部控制,评价现行信息系统内部控制
的设计是否科学、合理和适当;( 2)考虑利用计算机辅
助审计技术作为常用的审计手段来取得审计证据;( 3)
在审计的各个阶段都要考虑信息技术环境的影响因素,以
确保审计范围和审计结果不会因此受到限制。
335
三、计算机审计的对象、范围和内容
? 对象:
计算机审计的 对象是 被审计单位的全部或部分
的经济活动 。 审计 范围是 审计对象涉及的领域和
内容, 除此之外, 如果被审计单位的信息化程度
比较高, 还必须考察其信息技术环境, 以确保:
( 1) 信息系统中的基础性会计记录和有关资料所
包含的信息是可靠的; ( 2) 信息系统能够保证有
关的信息, 资料在会计报表中得到恰当的反应;
( 3) 信息系统的内部控制是恰当的可靠的 。
336
? 内容:
计算机审计的主要内容应该是:( 1)被
审计单位的财务收支及其有关的经营管理
活动;( 2)被审计单位的各种作为提供财
务收支及其有关经营管理活动信息载体的
会计资料及其相关资料;( 3)被审计单位
的信息技术环境。
337
总体上看,审计工作大致可以分为 两个
基本组成部分。第一部分称为 过渡审计,
其目标是 确认 企业的内部控制系统在多大
程度上是可以 信赖 的,这通常要进行某种
类型的符合性测试,其目的在于 确认存在
性, 评估有效性 以及 检验 内部控制措施的
操作 持续性 。第二部分称为 财务报表审计,
包含实质性测试。实质性测试是在过渡审
计的保证下对内部控制给予一定程度的信
赖,对财务报表数据进行直接证实和核查 。
338
举例:
如图 11.1所示,对现金余额的实质性测试包括对
银行账户余额的直接函证,对应收账款的实质性
测试包括对客户余额的直接函证。
交易 会计信息系统 财务报告
过渡审计
符合性测试:确认内控存在
性;有效性和持续性。
.
现金 银行
应收账款 顾客
,(确认余额)
.
财务报表审计
实质性测试:对财务报表
正确性确认图 11.1 财务报表审计的结构
339
四、计算机审计的优越性
审计人员对信息技术的应用不再是任意的,而是必须
的。审计人员面对的评估数据大部分都是电子版,为了
审计而将电子版转化为书面版除了浪费是没有任何意义
的。更何况考虑审计自身的竞争压力,运用信息技术提
高审计的工作效率也是完全必要的。因为计算机审计具
有如下优越性:
1,计算机生成的工作底稿更易读、更一致。这样的工作底稿更易存
储、访问和修改。
2,省去了手工合计、交叉合计及其他一些常规计算,省时又省力。
3,计算、比较和其他一些数据操作更加准确。
4,分析性的检查、计算能更加有效地进行,而且检查范围也可以放宽。
5,减少了花费在纸面上的工作时间,使工作效率得到提高。
6,电算化的审计方法和辅助审计程序,可以直接或稍作修改应用到
后续的审计工作中,因此可以持续地提高审计效率和降低审计成
本。
7,实现了相对于信息系统职员的更高的独立性。
340
五、计算机审计软件
审计软件指那些能使计算机成为审计工具的计
算机程序。对计算机进行编程,使其能从会计信
息系统的文件中阅读、选择、抽取和处理样本数
据。
能用于审计的软件分两大类:一类是专为审计
工作编制的所谓 通用辅助审计软件,当前这类软
件在国内外市场上已有很多种,设计这类专用软
件的目的是让几乎没有计算机专业知识的审计人
员也能轻松使用计算机完成与审计相关的数据处
理工作。另一类是 通用的工具软件,如微软公司
开发的办公自动化软件( office)。
341
? 人工智能软件
在审计过程中审计人员有时使用人工智能类型
的软件来辅助审计。最常见的是审计人员利用人
工智能软件帮助进行风险评估。该软件通常能够
把值得怀疑的交易和账户找出来,供审计人员进
行更深入的调查。因为再好的软件也不能代替审
计人员对审计事件做出 判断 。
用于审计的人工智能软件有 两种主要类型, 神
经网络 和 专家系统 。神经网络的分析基于模式识
别,因此可以把可能的不规则交易和账户数据标
识出来。比如,销售额常在月末 ( 25-30号) 发生
波动,若 20号左右起伏较大,就可能不正常,神
经网络软件会将其标识出来。
神经网络软件本身可捕捉规律,积累经验并在
使用中自学。
342
续:
专家系统 则需要 规则库,库中规则(经验)
是专家作决策时使用的。例如,某规则可
能是:若一个会计帐户的余额比过去 3年的
平均余额高 20%,就值得怀疑,需要调查
核实这个账户。
由于专家系统靠预定义的决策规则运行,
审计人员可以经常更新或充实决策规则,
所以它有更容易被审计人员驾驭的优点。
但与神经网络软件不同的是专家系统没有
自学能力。
343
六、开展计算机审计的重要意义
(一)计算机审计可以促进会计信息系统的发展与
完善
1,计算机审计可以保护会计信息系统环境的安全性。
通过审计,发现系统的安全隐患,即时建议,从而保
证系统环境的安全性。
2,计算机审计可以保证会计数据的可靠性和真实性。
由于数据存贮介质的改变,数据有被篡改、不准确的可
能,而计算机审计要对会计数据是否正确、公正、全面进
行审计。这可有效地防止利用计算机输入和篡改会计数
据等舞弊行为,从而提高会计数据的可靠性和真实性。
3,计算机审计可以促进信息技术环境下内部管理和控制制度
的不断完善。
计算机审计要根据计算机审计准则,通过各种有效的
方法和程序,包括对信息技术环境下内部管理和控制制度
进行研究和评价,指出内部管理和控制的薄弱环节,提出
改善意见,促使被审计单位加强内部管理和控制。
344
(二)开展计算机审计可以促进审计自身的发展
1,计算机审计的开展,发展和完善了审计方法与技术体系
2,扩展了审计的内容与范围
3,推动了审计工作规范化的进程
4,增强了审计信息的反馈能力
( 1)及时性。计算机审计给审计信息的利用提供了极大
的方便,手工条件下滞后的或需长期准备的常规审计信
息计算机都可实时提供 。
( 2)准确性。计算机审计不会发生像手工计算、整理、
复核、核对等容易出现的差错,所以审计人员可以选用
那些复杂的、工作量大的、但更为精确、实用的审计方
法,以使审计信息更加准确。
345
审计信息化是一场革命,能不能在这场
革命中掌握主动权,直接关系到审计事业
的发展,关系到审计工作的前途和命运,
审计人员不掌握计算机技术,就将失去审
计资格。国家审计署审计长李金华同志曾
经指出:计算机审计要坚定不移地抓下去,
这是中国审计的出路所在。要加强计算机
的开发运用。这条路子如果不走出来,审
计是没有出路的。
346
第二节 信息系统审计概述
一、信息系统审计的必要性
随着信息技术的高速发展和企业信息化进程的
不断加快,企业对信息系统的依赖日益增强,信
息系统已经成为企业的重要资产。同其他资产一
样,信息系统也需要严格管理与控制,并应定期
进行审计。通过审计可以发现信息系统本身及其
控制环节的不足与缺陷,以便及时改进与完善,
从而使信息系统在企业的生产、经营和管理工作
中发挥更大的作用。
347
信息系统审计是审计业务的新拓展,在
现实工作中,已有很多关于信息系统的审
计需求,如:对信息技术应用的管理控制
进行审计;对基础设施、数据中心、对外
通讯进行审计;对应用系统进行审计;对
信息系统开发过程进行审计;对信息系统
实施效果进行审计,对信息系统内部控制
进行审计等。
348
企业信息化就是利用信息技术建立实用的信息系统,以
信息系统推动企业的生产、经营和管理活动的进步。信息
系统提供的实时通讯能力、分析计算能力以及协同共享能
力已经成为现代企业生存与发展必不可少的工具。然而,
信息系统又有许多脆弱方面:( 1)信息系统的安全可能
没有得到足够的保证。( 2)信息系统的数据处理可能不
合逻辑。( 3)信息系统的可靠性可能得不到很好的保证。
(4)信息系统需要较高的资金投入,如果资金使用不当会
产生很高的成本,反而降低了企业的效益。( 5)信息系
统经常遭遇舞弊行为,而且舞弊手法多样而隐蔽,有时造
成的损失令人惊讶。
为了减少信息系统发生错误、灾难及其安全受到威胁的
可能性,除了加强信息系统的管理控制外,还必须定期对
信息系统进行审计。特别是随着我国企业信息化程度的提
高,开展信息系统审计就更为必要。
349
二、信息系统审计的定义和审计对象
信息系统审计是通过一定的技术手段采
集审计证据,对被审计单位的计算机信息
系统的安全性、可靠性、有效性和效率进
行综合审查与评价活动。
信息系统审计的对象是被审计单位的计
算机信息系统。
350
由于技术水平等原因,信息的使用者不能自己
验证信息的质量,因此急需独立的第三方出面对
信息的真实性、完整性,信息系统的安全有效性
做出鉴证,以合理保护信息使用者的利益。同时,
企业在信息化过程中也急需专业人士提供有效控
制信息系统风险,提高信息化效益的服务。由此,
真正意义上的信息系统审计应运而生。如今的信
息系统审计的业务已经超出了为财务报表审计提
供服务的范围,在很多大型会计公司内部,信息
系统审计部门已经成为一个独立的对外提供多种
服务的部门。
351
三、信息系统审计的目标
审计目标是指审计主体通过审计实践活
动所期望达到的境地或最终结果,或者说
是审计活动的目的和要求。信息系统审计
的目标是对被审计单位的计算机信息系统
的安全性、可靠性、有效性和运行效率进
行审查与评价,并对存在的不足提出改进
意见,使之更完善。
352
1,系统的安全性
系统的安全性是指构成信息系统的硬件、软件和数据
资源是否得到妥善保护,不因自然或人为的因素而遭到破
坏。
2,系统的可靠性
系统的可靠性是由其中的硬件系统、软件系统与数据的
可靠性等因素共同决定的。
3,系统的有效性
系统的有效性是指系统能否实现既定的目标,系统的各
项处理过程是否符合国家法律和有关规章制度的要求。
4,系统的效率
系统的效率是指系统能否充分利用各种资源快速处理并
及时输出用户所需的信息。
353
四、信息系统审计的特点
信息系统审计是审计工作的一个新领
域,它以计算机信息系统为审计对象,这
就决定了信息系统审计具有如下一些突出
特点:
1,信息系统审计具有较强的技术性
2,信息系统审计工作具有一定的复杂性
3,信息系统审计的取证具有动态性
354
第三节 信息系统审计技术
随着计算机会计信息系统的发展,信息
系统审计技术也随之发展起来,现在虽然
还没有哪一种审计技术可以全面解决所有
的审计问题,但是已经有了很多工具和技
术可以用来帮助完成相应的审计目标。
如:测试数据、整合测试工具、并行模
拟、嵌入式审计、抽点转存等。
355
一,测试数据法
测试数据是审计人员编制的一些包括有效数据
和无效数据在内的测试用例,用于测试程序运行
的准确性。在让被测的程序处理这些测试数据之
前,这些测试数据首先经过人工的处理,已经明
确了处理结果应该是什么样子。然后审计人员将
程序运行的结果与人工处理的结果相比较,如果
两个结果不一致,审计人员则试图找出问题的原
因,如图 11-2所示。
测试数据法是 通过 计算机进行审计的第一步,
尽管让审计人员明白计算机程序的逻辑不太现实,
但他们总可以明白系统的大致情况(功能),并
利用这些已掌握的知识来判断系统是否可行。
356
被测试程序
测试数据
(虚拟交易)
运行结果 人工处理结果
图 11-2 测试数据法
357
在使用测试数据法时必须针对 正在
使用 的程序,并保证测试数据不会对
系统中的文档产生任何影响。
作为一种审计技术,测试数据法有
些 局限 。因为测试只能在特定时点、
特定程序上运行,若程序变了,测试
数据也就过时了。而且审计人员无法
保证被测的程序是正在被使用的程序。
358
二,整合测试工具法
整合测试工具( ITF)法涉及测试数据的使用和
虚拟实体(如卖主、雇员、产品、账户)的创建。
这项技术是整合的,因为测试数据和真实的交易
数据 同时运行,而这有赖于包括真实实体和虚拟
实体的主文档。因此,审计的核对是必需的,用
来保证被检查的程序和运行实际数据的程序是一
致的。
真假数据混在一起输入并处理,看结果如何。
测试完成后要将假数据处理形成的结果清除。整
合测试工具法见图 11-3。
359
计算机
应用系统
交易数据 ITF交易数据
数据文件
不包含 ITF
数据的报告
包含 ITF
数据的报告
ITF数据
图 11-3 整合测试工具法
360
ITF法是一项应用较为普遍的技术, 如果
巧妙设计虚拟实体和测试数据, 花费也会
很小, 因为它不涉及特别的处理 。 ITF的 主
要缺点 是需要将虚拟数据处理产生的结果
清除, 显得很麻烦, 但这是一个不可避免
的过程, 因为这项技术就是要将测试数据
与实际数据同时运行。
361
三、并行模拟法
测试数据法和 ITF方法都是用真实的程序处
理测试数据。而并行模拟是 用审计人员编
写的 专门用于测试的程序处理真实数据,
然后 比较 模拟的输出和正常的输出以达到
控制的目的。自编的审计程序段承担的冗
余处理工作,其数量仅限于审计最关心的
部分。即 针对重要处理功能 再编一段处理
程序,然后与应用系统并行,比较输出结
果,以验证应用系统正确性。如图 11-4所
示。
362
交易
(业务数据)
并行模拟
程序段
业务报告 模拟报告
应用系统
比较
图 11-4 并行模拟
363
四、嵌入式审计程序
嵌入式审计程序是一种为了审计目的而改动计
算机程序的审计技术。他通过将专门的 审计例行
程序嵌入 正在使用的软件系统中实现的,从而使
交易数据或交易数据的一部分能用于审计分析。
在应用系统中嵌入审计程序段意味着应用程序
在做正常的业务处理的同时,完成了审计数据的
采集功能。即在应用系统的正常运行中,嵌入的
审计程序段也被运行而工作,并将测试到的不符
合常规的数据写到一个特殊文档中,事后审计人
员可以复查到这个特殊的文档的内容,并据此采
取相应的行动。见图 11-5。
审计程序段 往往是 在系统开发时嵌入的。
364
生产业务数据
生产报告
审计数据采集报告
生产业务处理系统
嵌入的
审计程序段
图 16-7 嵌入式审计程序
365
五,扩展纪录
扩展记录是为了给指定的业务处理事项提供一个
综合的审计线索,通过对计算机程序的修改来增加
某些文件的记录,用以保存审计关心的数据。尤其
许多不同的处理步骤被合并成一个程序时,介于期
间的产生审计线索的处理步骤常常会丢失。因此,
为了审查、跟踪某个具体的业务处理过程,有时不
得不核查许多不同的文档才能解决。
扩展记录技术就是为具体业务事项附加标注,即
在扩展记录中写入 介于期间的,通常不保存的处理
方式或有关数据,从而为审计提供尽可能完整的审
计线索。例如,对工资表处理程序进行修改,使工
资表文件增加一些记录,其中记载一些有关加班费
计算的说明类信息,以便审计加班费支付数据的真
实性时核查。
366
六,抽点转存 ( snap shot 快照)
抽点转存即试图提供在 特定时点 的程序运转情况
的综合图像。抽点转存是一种常见的利用程序来帮
助排除故障的技术。作为一种审计工具,实现抽点
转存的程序语句可以加在审计人员感兴趣的程序中,
产生一个 打印出 的审计线索。扩展记录法将抽点转
存的数据(审计关注的信息)写入扩展记录中,而
不是打印在纸上。
快照是指当应用系统处理某一事务时,让软件对
其进行“拍照”,通常是在应用系统的重要处理发
生点嵌入程序段,该程序段可捕捉处理发生点的 前
映像和后映像,通过对这些映像的分析检验,可以
对处理该事务的应用程序进行审查。
367
七,跟踪
跟踪也是一种审计技术,它最早是为程
序调试而发明的。跟踪提供了一个详细的
程序指令执行次序的清单。出于审计的目
的,跟踪常被用于检验应用程序中融入的
起内部控制作用 的指令是否被执行。跟踪
还可以显示出未被执行的程序语句。
高级语言如,BASIC 和 COBOL语言都
有专门的跟踪语句。
368
八、系统文档审核
审核关于信息系统的设计方案、流程图和程序
清单是早期应用过的 EDP审计技术,至今仍被用
于信息系统审计。这种方法尤其适用于信息系统
审计的初级阶段即技术准备阶段。
审核有多种形式,例如,审计人员可以要求信
息系统人员提供系统文档的一个完整副本来阅读;
可以要求提供信息系统源程序清单,审计人员可
以手工审核这些清单,也可以对程序进行桌面校
验;程序流程图也可以采用同样的方法进行审核。
系统文档的审核需要相当的专业技术和耐心。
369
九、控制流程图审核
信息系统内嵌入了许多内部控制措施,
在系统程序流程图中描绘了这些控制,或
许还有专门的控制流程图。为了对信息系
统内部控制性能的审计,就要对这些控制
流程图进行审核。常常参考分析流程图、
系统流程图、文档流程图来帮助完成信息
系统内部控制的审核。好在各种流程图对
于审计人员、使用者和计算机职员来说都
很容易理解,因此可以通过它进行各方交
流。
370
十、映像( Mapping)
映像是使用一种被称为软件测量包( software
measurement package)的专门软件来监控程
序的执行,该软件可以对被测程序中每一个语句
的执行次数进行计数,并提供有关资源利用的累
计统计数。对未被执行的语句则产生一个列表,
审计人员对未被执行的语句进行分析,已确定其
是否恰当。一些语句可能是为处理例外的特殊的
业务而设,但如果例外的特殊业务也没有执行它,
那就要怀疑这些通常不执行的语句可能是程序设
计人员的花招。
371
第四节 信息系统审计过程
审计过程是指审计工作从开始到结束的
整个过程。信息系统审计过程包括三个阶
段:计划阶段、实施审计阶段和审计完成
阶段。尽管信息系统审计同财务审计一样,
都包括上述三个阶段,但由于二者的审计
对象和审计目标不同,所以审计过程各阶
段的工作内容也有很大不同。
372
一、计划阶段
计划阶段是整个审计过程的初始阶段。正式
实施审计之前,制定科学合理的计划有助于信
息系统审计人员有条不紊地进行核查、取证,
有助于形成正确的审计结论,从而出色地完成
审计任务。计划阶段的主要工作包括:
1,了解被审计单位的基本情况
2,识别重要性
3,进行风险评估
4,了解内部控制
5,制订审计计划
373
二、实施审计阶段
实施审计阶段,是根据计划阶段确定的
范围、要点、步骤、方法,进行取证、评
价,最后形成审计结论实现审计目标的中
间阶段,是审计全过程的中间环节,其主
要工作包括:
1,对信息系统的现有控制进行符合性测试
2,实施实质性测试
374
三、审计完成阶段
审计完成阶段,信息系统审计人员必须运用专业知识判
断收集到的各种证据,以经过核实的审计证据为依据,形
成审计意见,做出审计报告。审计报告须说明审计范围、
审计目标、审计期间和所执行的审计工作的性质和范围。
审计报告中还应说明采用了那些计算机辅助审计技术和信
息系统审计技术以及与之有关的审计结果。审计人员在审
计过程中受到被审计单位条件或客观环境的限制而对某些
重要事项不能获得充分完整的资料,也应在审计报告中予
以说明。
在评价审计结果出具审计报告时,信息系统审计人员既
要考虑所发现的错误的重要性,又要考虑由于控制弱点而
产生潜在错误的重要性。
375
本章作业:
1,计算机审计与信息系统审计有何区别和联
系?
2,计算机审计的对象和目标是什么?
3,为什么要开展信息系统审计?
376
The end
377
第十二章:
会计模式的变革与发展
378
第十二章 会计模式的变革与发展
信息技术在会计中的应用,先是作为提
高效率的工具,随着信息技术的发展及其
应用的深入,渐渐地改变了会计的一些做
法,最后 将改变会计的基本工作模式并扩
展它的职能。
379
第一节 信息技术对会计信息系统的影响
计算机技术在会计工作中已经得到了普遍应用,
手工会计系统已被计算机会计信息系统所取代,
随着网络的普及和网络技术的发展,使人们对信
息技术带给会计工作的好处 有了更多的期待和想
象 。特别是信息技术与新的管理思想和管理方法
相结合,打破了传统的管理规则,创造出许多新
的组织结构形式和管理方式,网络环境给企业创
造了尝试多种形式的管理活动的空间,因此,也
必然影响到企业的会计工作。信息技术对会计工
作的 影响主要表现在会计理论 和 会计实务两个方
面 。
380
一、信息技术应用对会计理论的影响
1,对会计目标的影响
会计目标是会计理论体系的基础,会计目标主要体现
在向谁提供信息,应该提供哪方面的信息或提供哪些信
息等问题。传统会计把会计信息的使用者作为一个 整体,
提供通用的会计报表 来满足他们对信息的需求。在网络
经济时代,会计信息的需求者与会计信息的提供者可以
利用网络实时双向交流。比如,会计在了解了企业管理
层的决策模型之后,可以针对其需要,向其提供专门的
财务报告和相关信息。因此,信息技术与网络技术可以
使会计 能够提供适用于不同决策模型的含有不同内容的
专用财务报告。
381
2,对会计假设的影响
传统财务会计建立在会计主体、持续经营、
会计分期和货币计量四项基本假设的基础
上,因此,会计假设也称会计核算的基
本前提,是商品经济条件下进行会计活动
的基本环境和先决条件。如果不做这样的
假设,会计模式无法建立,许多处理无法
实现。而基于网络的会计往往不需要这样
的假设,或者说网络会计可以不受四项基
本假设的束缚。
382
( 1)对会计主体假设的影响
在网络经济环境下,企业可以借助网络进行短期联合或重组,形成
虚拟企业,从而导致会计主体具有可变性。
( 2)对持续经营假设的影响
在网络经济时代,企业可以根据需要,借助网络相互联合起来完成
一个项目,当项目完成之后,这种联合就会立即解散,企业持续经营的前提对他们不再适用。
( 3)对会计分期假设的影响
会计分期的目的是为了分阶段地提供会计信息,满足企业内部和外
部管理或决策的需要。限于处理能力,会计期间分为年度、季度和月
份。在网络经济时代,通过网络,企业内外部会计信息的需求者可以动态地得到企业 实时的 财务信息,没必要分期为月、季、年。
( 4)对货币计量假设的影响
在网络经济时代,全球已形成统一的大市场,经济活动的国内与国
外的界限变得模糊起来;国际贸易的剧增,使得币种多而且币值变动
大,这些都对货币计量假设提出了挑战。在网络环境下,完全可能拟
定一种全球一致的电子货币计量单位,用以准确反映企业的经营状况。
383
3,对会计要素的影响
传统财务会计把会计要素划分成反映财
务状况的会计要素(资产、负债、所有者
权益)和反映经营成果的会计要素(收入、
费用、利润)。随着信息技术的发展和应
用,信息加工的速度会越来越快,会计要
素划分会更加细密和更有层次,以便更加
准确地反映企业资金的运动状况。
384
4,对会计职能的影响
会计的基本职能是核算反映、监督控制、预测
与辅助决策。信息技术的充分应用使传统会计的
核算职能逐渐淡化,会计人员从日常繁琐的数据
处理工作中解脱出来,使其 更侧重于全方位内部
控制与深层次的更高水平的信息服务。 比如在企
业信息化过程中,会计人员将成为实施 ERP的主
力军。 ERP的二次开发或补充开发就需要企业的
会计、各环节的业务人员、内部审计人员与软件
开发人员一起分析、定义、确认新开发的部分,
使与该业务环节有关的会计业务处理功能、内部
控制措施正确融入这个业务处理模块中。
385
二、信息技术应用对会计实务的影响
面向供应链的管理理念与信息技术相结合,改变了传统
会计的信息“采集 -核算 -披露”流程的处理方式。所谓供
应链管理是指通过加强供应链中各活动和各实体间的信息
交流与协调,增大物流和资金流的流量和流速,使其畅通
并保持供需平衡。企业内部网( Intranet)通过防火墙,
一方面使企业与未授权的外部访问者隔离,另一方面允许
内部授权的活动延伸到企业外部,与关联企业如供应商、
经销商、客户和银行之间形成范围更广的网络应用系统,
人们称之为外部网( Extranet)。在这种情况下,不仅是
企业内部即使外部的经济活动发生端的数据采集,也不再
需要大量的财会人员根据原始凭证录入,而是系统的实时
处理性能使数据的采集伴随网上交易、结算活动及物资与
价值的流动同时完成。
386
2,对财务报告的影响
当前的财务报告有许多局限,无法反映非货币
化会计信息,无法反映企业发生的特殊经济业务,
如衍生金融工具等。在信息技术环境下财务报告
会突破上述限制,拓宽信息披露的范围,不仅提
供财务信息,还会提供非财务信息 。如风险信息、
不确定信息、前瞻性信息、创新金融工具信息、
企业管理信息等。充分揭示企业现金流量的变化、
财务状况的变动趋势,全面反映企业的经营状况,
满足不同信息使用者的要求。
387
第二节 电算化会计信息系统的局限性
电算化会计虽然也是会计的一次重大变革(主
要指工具),但现在看来,在网络技术环境下它
表现出以下一些局限:
一、电算化会计信息系统仅仅是一个模拟手工系统
二、未改变传统手工会计信息处理的程序和方法
三、未引起传统会计思想和观念的相应变革
四、系统体系结构只是采集业务数据的一个子集
五、数据不能被实时记录和处理
六、系统结构仅以汇总的方式重复采集与存储数据
七、系统存储的数据仅满足主要视图的需要
388
第三节 事件驱动的会计信息系统
随着经济全球化的进程不断加快,企业的管理
水平也在逐步提高,企业对信息的及时性和决策
的相关性提出比以往更高的要求,需要及时、准
确、跨职能领域的的信息,原来的会计信息系统
模式已经无法满足企业的需要,只有开发和构建
新的会计信息系统模式。新的会计模式必须克服
原来会计信息系统的局限,将企业的业务处理和
会计信息处理集成在一起,实现全方位的会计信
息服务,实现会计的事前预测、事中控制的目标。
而事件驱动的会计信息系统就是这样的一个新的
会计模式。
389
一、事件驱动会计信息系统的概念
所谓事件驱动是指由业务活动(在事件驱动的会计信息
系统中将其定义为业务事件)驱动信息处理过程,也就是
在业务活动发生时触发信息系统记录或存储该业务活动的
相关数据;而由用户提出信息需求时触发对业务活动的报
告过程。事件驱动的会计系统模型如图 12-1所示。
业务事件数据
业务事件处理器
( 业务与信息处理 规则 ) 业务数据仓库
信息报告工具
(信息处理规则)
用户所需信息报告
图 12-1 事件驱动的会计系统模型
390
与传统功能驱动会计信息系统相比,事件驱动会
计信息系统具有如下特征,
1,该系统面向业务事件本身,不再基于会计循环,在信息技术的支持下,
使业务流程和信息流程紧密结合。
2,集中处理业务事件,重新定义了会计的范围,不仅仅针对改变企业资
产、负债和所有者权益的业务事件,而是选择所有管理层想要规划、
控制和考核的业务事件,多角度地反映企业业务活动,使财务数据和
非财务数据有效集成在一起,允许在报告上有一定的弹性,提供更完
善、更代表企业当前运行状况的信息。
3,该系统集成了所有的业务数据,有效的数据集成有助于利用大量的数
据库技术,而且使数据更加一致和可靠地描述经济业务。数据集中存
储在支持所有用户的信息需求的同时,也减少了数据的冗余。
4,集成了信息流程和实时控制。流程集成涉及三个关键的信息活动:记
录、维护和报告,也涉及减少相关业务和信息处理风险的控制。流程
集成的目的就是要把信息流程融人到实际业务流程中,因此,在业务
活动发生时,信息技术既用来记载数据,也用于控制流程。
391
二、事件驱动会计的 REA/REAL模型
建立事件驱动的会计信息系统,需要分
析业务过程,识别重要的业务活动及其基
本特征,其主要表达手段应是图形、表格
或文字叙述。目前一种常用的描述业务事
件基本特征的方法是 REA/REAL模型。
392
1,REA模型
建立一个业务过程模型需要识别重要的战略性
业务活动和这些业务活动的基本特征,包括涉及
何人、涉及核物、何时、何地、为什么
( who,what,when,where,why)等。即在分析
业务过程时需要回答这样的问题:什么事发生了、
何时发生的、谁参与完成什么任务、使用了哪类
资源并使用了多少、事件发生在什么地方。也就
是对业务事件的基本特征进行描述。对事件的描
述还可以很深入,如回答事件为什么发生?事件
执行过程中有什么风险?程度如何?等等。
393
? REA模型描述了 资源( Resource), 事件( Event)
和 参与者( Agent) 三个 实体 以及三者之间的 联系 。其
中:
( 1)资源,被定义为稀缺的并为企业所控制的有形实物对象,它能
为企业带来经济价值而且可以辨认和受组织所控制。传统会计确认为
资产的大多数项目都属于资源,但该定义又不同于传统会计中资产的
定义,因为他不包括像应收帐款这样可以推导计算出来的资产。
( 2)业务事件,是指能从某方面影响组织资源变动的业务活动。生
产、交换、消费、分配方面的活动都是事件。事件不限于能够进入传
统会计簿记体系的经济事项,还包括其他不进行会计确认与计量的经
营活动,如市场调研活动等对管理决策提供所需信息的经营活动,但
不包括明显为纯信息处理或管理决策等事件,因为它们是对原始的经
营事件信息的操作或分析、选择,是由经营业务产生出的进一步的
“结果”。
( 3)参与者,参与者是参与事件的单位、部门或个人。组织收集与
他们相关的数据,目的是为了更好的计划、控制和评价其基本活动。
参与者包括组织内部参与者(如销售员、采购员、生产人员、生产或
业务部门等)和外部参与者(如客户、供应商等)。
394
?资源、事件和参与者这三个实体之间存在四种联系:
( 1)资源 —事件联系。又称存量 —流动关系( stock—flow)。其中资
源为存量,事件为流动,包括资源流入和流出的事件,用于表示那些
增加或减少资源的事件。
( 2)事件 —事件联系。这种联系称为二元联系,指组成一个业务循环
的导致两组资源一增一减的两组事件之间的关系,一组事件导致一组
资源流入,另一组事件导致另一组资源的流出,流入和流出的资源总
是相互联系。如销售与收款循环中,销售事件引起存货的减少,而收
款事件引起现金的增加,减少的存货与增加的现金相联系,销售事件
与收款事件的联系就是二元联系。
( 3)事件 —参与者联系。又称为控制关系。控制关系是内部参与者、
外部参与者和事件之间的多元联系。为便于理解,这种多元联系常常
被分解成两个二元联系:事件 —内部参与者联系和事件 —外部参与者
联系。
( 4)内部参与者 —内部参与者联系。这也是二元联系,又称为责任关
系。描述上级对下级进行管理和下级对上级负有责任的关系。
上述各种联系如图 12-2所示。
395
事件 ( - )
事件 (+)
资源
资源
流出
控制
控制
流入
外部参与者
内部参与者
外部参与者
触发
内部参与者
图 12-2 REA的实体基本联系图
396
? 采用 REA模型建立信息系统,要在采集业务数
据时收集基础经济事件多方面的信息(具体需要
采集哪方面的信息取决于经营管理的需要和成本
效益原则),而不是只记录汇总后的结果。例如,
不能把几张领料单汇总后记入系统,而应如实地
反映这几张领料单的发生及其具体内容。这样,
在集成的数据库中记录了经济事件多方面的数据
以后,通过专用或通用的报告过程(加工程序)
支持用户所需的信息视图(个性化或常规报表)
就非常简单了。因此,在基于 REA模型建立的信
息系统中,并不存在传统会计信息系统中的日记
帐、分类帐、会计科目表、借贷记账法等元素。
397
? 基于 REA模型建立的信息系统,组织不
仅能利用业务事件的详细数据生成财务报
表和报告,还可以允许信息用户自己定义
所需的信息视图,自己确定需要哪方面的
信息,汇总程度如何,以何种形式输出,
从而支持各种层次、各种职能领域的信息
需求。 REA模式不重复存储同一事件、资
源、参与者的属性数据,因此避免了数据
存储冗余和不一致。而传统会计模式一般
都要从所存储的原始事件的记录中再做会
计分录存入记帐凭证文件中,不但产生数
据冗余,而且增加了出错的可能性。
398
2,REAL模型
REAL模型是 REA模型的一个扩展型,它是在
REA模型中增加了一个新的要素:地点
( Location),即业务事件发生的位置。当今全
球经济一体化,跨区经营是再正常不过的事,经
济事件可能在任何地点发生,而管理者又需要收
集业务发生地点的信息,那么在模型中表示业务
事件发生的位置,在系统设计时就可以合理地决
定数据的采集地点、处理地点、使用地点和传输
路径,从而提高系统的效率。
图 12-3 表示了资源、事件、参与者、地点及其
它们之间联系的 REAL模型。
399
资 源
内部参与者
外部参与者控制
触发发生
动用
地 点
事 件
资 源
内部参与者
外部参与者控制
触发发生
动用
地 点
图 12-3 REAL模型
400
3,建立实用 REAL模型的方法
建立 REAL模型的依据是企业的生产经营
业务流程,一个业务流程由若干业务环节
上的事件组成。建立 REAL模型首先要界定
企业的业务流程,识别每一流程中重要的
战略性业务事件,然后对每一个业务流程
分别建立 REAL模型。
利用 REAL对企业业务流程建模的一般步
骤如下:
401
① 明确要建模的业务流程,确定流程的范围、起点和终点。
② 识别 应包括在 REAL模型中的 业务事件 。对要建模的业
务流程进行分析,找出需要把握的业务事件,包括主要
的事件和辅助的或次要的事件,但不包括纯信息处理、
管理或决策事件。因为记录的有关经营业务活动涉及的
资源、事件、参与者及其属性的数据,已经足以生成管
理与决策所需的信息。由这些实体及其属性所构成的数
据库和获取数据的有效方法,可以在将来产生各种管理
和决策所需要的全部信息。
③ 识别 进入 REAL模型中的事件动用的 资源、参与者和发
生地点。
④ 识别 事件、资源、参与者、地点之间的相互行为、特征、
和它们的 属性 。
⑤ 识别 资源、事件、参与者和地点之间的直接 联系 。
⑥ 根据上述分析和识别的结果,画出 业务过程实用的
REAL模型图 。
⑦ 与业务人员一起 推敲、验证、修改和完善业务过程的
REAL模型。
402
三、事件驱动会计信息系统设计思想
1,事件的分类
为了研究和描述事件,需要对事件进行分类。一般要按
业务过程进行分类,这种分类方法认为每一个企业可将其
整个业务活动分为几个业务过程,也即业务循环,而每一
个业务过程都由一系列事件组成。最重要的业务过程是:
( 1)采购与支付业务过程。指获取各种资源和为获取资源
支付款项的活动。主要包括订立采购合同事件、原材料购
买事件、原材料入库事件和货款支付事件,有时也将人力
资源的获取、财务资源的获取(如借款事件、股票发行事
件)和固定资产获取事件也包括进来。
( 2)生产业务过程。指将获取的资源转换为可供销售的商
品或劳务的活动。主要有领料事件、加工事件和产成品、
半成品入库事件等。
( 3)销售与收款业务过程。指销售商品和为顾客提供服务
并收取款项的活动。包括营销商品事件、发出商品事件、
收取货款事件等。
403
2,价值活动及其分类
为了从价值链的角度更深入地分析企业
各项业务活动,还可以将企业业务活动分
为价值链中的“主要价值活动”和“支持
性价值活动”(相当于本书第一章所讲的
业务流程中的基本业务流程和支持性业务
流程)两类。主要价值活动创造顾客价值,
是业务运作中的关键活动;支持性价值活
动的作用是促进主要价值活动的完成。
404
3,事件驱动会计信息系统设计思想
基于数据仓库的业务事件驱动会计信息
系统的基本思想是对企业的资源、经济事
件和参与者及其相互关系运用计算机进行
对象化、模型化处理,并按其实际语义而非
人为加工过的借贷分录的形式与资源、经
济事件和参与者相关的财务数据和非财务
数据进行确认、收集和存储。然后,根据用
户的不同需要设计相应的用户视图 (视图是
一种面向应用的逻辑数据结构 ),以提供管
理决策所需的通用或个性化的特定信息。
405
? 依据上述思想,基于数据仓库的业务事件驱动型会
计信息系统是指将会计信息的采集、存储、处理、
传输一起 嵌入到业务处理系统,从而能够在业务
发生时,实时采集财务信息和非财务信息,执行
处理和控制规则。这样就可以利用现代信息技术
和数据仓库技术的成就,实现财务信息和非财务
信息的实时采集、集中存储、即时处理、全面共
享和随意访问,从而使会计工作的重心由核算向
管理转变,为决策提供支持。
? 业务事件驱动型会计信息系统的核心是集成, 即
集成业务处理和信息处理,集成财务信息和非财
务信息,以及集成核算和管理。
406
当业务事件发生时,所有原始数据被适当加工
成 标准编码的源数据,记录业务事件的个体特征
和属性,集成于 一个业务事件数据仓库,而不是
听任数据分散、重复存储于多个低耦合的文件中。
业务事件数据仓库不仅记录符合会计事项定义的
业务事件,而且记录管理者想要的计划、控制和
评价的所有业务事件,存储业务活动中多方面的
细节信息。任何授权用户都可以通过业务事件数
据仓库所存储的数据来定义和获取所需的有用信
息,而分类、汇总和余额计算处理都放在报告查
询输出过程(程序)中。
407
4,基于数据仓库的事件驱动型会计信息系统的实现
(1) 运行平台
随着计算机网络技术的发展,基于网络的计算
机信息系统的体系结构也从早期的单一体系结构
发展到客户机 /服务器 (C/S)体系结构和比较新的
浏览器 /服务器 (B/S)体系结构。这种体系结构是
将物理上分散的有独立处理功能的多台计算机经
网络设备和通信线路联结起来,由相应的网络软
件进行管理而实现资源共享。其数据处理站点可
能是分散的,但会计数据资源却是共享的。
408
(2) 三库整合 ——管理数据,提供信息
基于数据仓库的业务事件驱动型会计信
息系统,需要设置三个基本库:事件库、
方法库和模型库。三库各自独立,并独立
于程序。但通过处理程序进行整合,使企
业原有的零散信息化零为整,为企业运营、
控制和决策提供整体统一的信息依据。
409
? 事件库的设计
在从业务事件到事件库的转换过程中,需对业务过程建
立 REAL模型,该模型要求识别“发生了什么事件”、
“事件何时发生”、“每个事件中的参与者是谁”、“涉
及那些资源涉及多少”和“事件在何处发生”等。
它把事件作为实体,事件与事件发生触发和被触发联系。
在每个事件过程中涉及的资源、参与者和地点也作为实体,
事件与资源、参与者、地点发生联系。利用关系数据库设
计原理可以将 REAL中的实体与联系转换为若干关系模式,
每个关系模式就是一个二维表文件,从而构建事件数据库。
值得注意的是不同的事件可以联系相同的资源、地点或
参与者。如采购商品事件和支付货款事件都涉及同一个供
应商。如图 12-4所示
410
L:仓库
E:采购商品
E:支付货款
L:银行
A:采购员
A:供应商
A:出纳员
R:现金
R:商品
图,12-4 两组关联的事件联系相同的参与者
411
? 方法库设计
方法库用于存放信息提取、业务处理和处理控
制的规则,以及不同的确认和计量规则 (包括会计
准则和关于非会计准则的规则,会计准则只是规
则中的一种方法 )。在信息使用者使用会计信息时,
系统可以根据不同目的,选择不同的确认和计量
规则,组合成与信息使用者决策最相关的会计信
息内容,而不是像传统会计信息系统那样将规则
固化在会计软件里。 此外,方法库中还包含一些
基本数学方法、数理统计方法、经济数学方法、
预测方法、评价方法、优化方法、仿真方法、决
策方法以及投入产出方法等。
412
续:
方法库是财务决策得以实现的一个基础。系统
要求有一个完善的方法库进行有效支撑。方法库
中的 方法和规则都有编码,而且这些编码都与事
件或事件类别相联系,一旦用户提出基于某种事
件的信息请求,系统就会自动显示与之相关的会
计方法供用户选择。例如,购置机器设备事件所
对应的折旧方法:直线法、工作量法、双倍余额
递减法等就会显示出来,供用户选择。
构建良好的方法库可以满足使用者的多样化需
求。
413
? 模型库设计
模型库是分析问题、提供合理决策方案的基础。
有效的决策模型应该能把科学的决策方法、决策
者的经验与知识集成在一起。模型库中存放有用
户 求解问题所需的各种模型,如专用模型、通用
模型以及在求解问题时所建立的临时模型等。这
些模型通常以数学模型或逻辑规则模型的方式存
在。根据求解问题的不同对象,它们又可以分为
战略模型、战术模型和操作模型。这样集成的模
型就构成了决策支持的共享资源。模型库中可能
包含有管理控制模型、筹资决策模型、投资决策
模型、企业经济价值评估模型、成本分析模型、
利润分析模型,还可能包含一些科技、经济、社
会发展的宏观决策中用到的数学模型等。
414
尽管基于数据仓库的业务事件驱动会计信息系
统并没有模仿传统的数据存储格式和处理流程,
但它依然能够完成传统会计信息系统的功能,对
外提供财务报告,对内进行财务管理和决策。具
体实现方法是以业务事件数据仓库中的基本数据
表为基础,依据会计准则定义视图。传统的会计
凭证、总分类账、会计报表成为事件驱动会计信
息系统的输出视图,不再作为数据结构实体存于
数据仓库中。在输出设计上,可以按我国会计准
则定义一套输出视图,还可以按其他国家的会计
准则定义不同的输出视图,从而使一套基本数据
可以产生多套报表。
415
基于数据仓库的事件驱动会计信息系统
能存储所有业务事件的原始数据,包括传
统会计信息系统不能确认和计量的经营活
动的数据,能够实时、动态地为用户提供
信息半成品、成品或相关的参考框架,将
真正的决策权赋予信息使用者自己。
416
四、事件驱动会计信息系统的主要特点
基于事件的会计信息系统的主要特点是将事件
作为会计分类的最小单元,在日常核算中,仅仅
把各项交易活动的事件进行存储与传递,而不进
行会计处理。会计信息的使用者根据各自的需要,
对事件数据进行必要的积累、计量,在需要的时
候将事件数据按相应的规则转化为适合于使用者
决策模型的各种会计信息,这就产生了传统会计
信息系统无法比拟的优越性。除此之外事件驱动
会计信息系统还有以下几个突出特点:
1,采用双向模式提供会计信息
2,为管理决策准备了非财务数据
3,消除传统会计信息系统形成的信息孤岛
4,增强会计信息的及时性
417
本章作业:
1,信息技术对会计工作的影响主要表现在哪些方
面?
2,了解 REA和 REAL模型的涵义,解释其中实体、
联系和属性的概念。
3,何谓事件库、方法库和模型库?这三库在事件
驱动会计信息系统中有何作用?
418
课程结束
