控制、安全与审计

　　2.4.1 内控的功能、内部控制的目的(Turnbull)、内控控制步骤的分类及内容、内控的局限性、内控的8种方法、内部检查的定义及内容

　　*内控(包含内部检查)的功能：帮助组织应对风险、维持报告的质量、遵守法规、提供组织会完成目标的合理保证P232

　　*Turnbull报告中的内部控制的目的：P233

　　Effective & efficient operation帮助有效并高效运转

　　Ensure quality of internal & external reporting保证内外部报告的质量、

　　Compliance with applicable laws & regulations确保遵守适用法规(实现组织的目的)

　　*内控系统的内容：控制环境environment、控制程序procedures

　　控制环境：管理者的风格management style、公司文化culture、价值观value

　　受影响：对待控制的态度、公司的组织结构、员工的价值观及能力

　　控制程序分类及内容：

　　分类1：P234

　　Administration行政控制(涉及沟通渠道、报告的责任)

　　Accounting会计控制(提供准备会计记录、实现问责制)

　　Prevent防范控制(第一时间防止错误发生、例如检查发票信息是否正确)

　　Detect检测控制(错误一旦发生马上检测出来)

　　Correct正确控制(错误的影响最小化，如电脑输入的备份)

　　分类2：P235

　　自主控制(Discretionary人工检查、签字等)

　　非自主控制(Non-discretionary系统自动提供无法拒绝，输密码等)

　　自发控制(Voluntary组织选择的、为支持企业管理)

　　强制控制(Mandated法律要求、外部官方强制规定)

　　手动控制(Manual处理功能和控制时一对一)

　　自动控制(Automated程序步骤设置好了、为了防止、察觉、纠正错误)

　　一般控制(General减少电脑环境下的风险、与应用操作的环境有关、)

　　应用控制(Application减少电脑环境下的风险、用于防止、察觉、更正错误)

　　财务控制(Financial主要交易区域、资产的安全防护、合适的会计记录的维持、可靠的财务信息)

　　*内控的局限性：P238

　　Cost内控人员的工资成本

　　Possibility of error工作人员犯错的可能性

　　Collution与员工的勾结

　　Mngers override control越权管理层

　　*内控的8种方法：P236

　　PAPAMOSS/SPAMSOAP职责分离、物理、授权与准许、管理、监督、组织、算术与会计、人员

　　Physical(公司重地等的授权进入)、Authorization and approval(上级的授权许可)、Personnel(确保员工满足职位要求)、Arithmetical & Accounting(数字核算的准确性)、Management、Organization(职责划分明确)、Supervisory、Segregation(职权分立)、

　　*内部检查的定义/内容： P236-237

　　定义：检查日常交易day to day transaction、力度不如内部控制

　　内容：delegation/allocation of authority权利及工作的分配、division of work、method of recording transaction记录交易的方法、use of independently ascertained totals

　　数字检查：pre-list、post-list、control totals(三者一致)

　　2.4.2 IT系统的威胁、审查跟踪的定义、信息系统控制的分类、安全控制的内容(完整控制)

　　*IT系统(内控系统)的物理威胁：P246-247

　　火灾、水灾、天气、闪电、恐怖活动、意外损坏

　　*Audit Trail审查跟踪的定义：记录电脑上的操作P252

　　*ISC信息系统控制的分类：P249

　　安全控制security、完整控制integrity、紧急控制contingency

　　*安全控制的内容：P249

　　保护数据、防止意外或故意的损坏、造成未被授权的数据的披露或者损坏

　　*完整控制：分为data数据完整和system系统完整(system operation conforming to the design specification despite attempts to make it behave incorrectly)。输入控制保证准确性、完整性、正确性。处理控制(对准确性、完整性的处理)、输出控制、备份控制、归档(企业历史的归档，空出硬盘空间)、密码和逻辑通道系统、行政控制(人员选拔很重要)、审计跟踪(进入系统的人员记录及操作记录，用于识别错误、察觉欺诈)

　　*备份(Back-up)定义：与原文件分开保存、只有当原文件被损毁才能使用;需定期备份、存档、分开储存。

　　*存档(Archiving)概念：过程、把数据移离主要的存储地方、到长期储存的媒介上

　　*2.4.3 企业用于内控的信息科技和信息系统的种类(7个)

　　Executive Support System(ESS)— 主管支持系统 — 战略层系统(Strategic)

　　数据来源于内、外部、使用者为高级管理层、帮助做决策、信息来自MIS和DSS或者外部资源、长期

　　Management Information System(MIS)— 管理信息系统 — 管理层系统(Tactical)

　　信息来自内部、载体为报告、为管理层及时高效做决策

　　Decision Support System(DSS)— 决策支持系统 — 管理层系统(Tactical)

　　数据分析整合工具、不确定性较高时做决策

　　*Expert System(ES)— 专家系统

　　电脑程序、像专家一样提供专业知识技能、解决专业问题

　　Knowledge Work System(KWS)— 知识层系统(级别较低)

　　帮助知识分子(医生、科学家、工程师)研究发明新知识

　　例如：CAD(Computer Aided Design)、CAM(Computer Aided Manufacturing)、专业的财务软件用来分析交易情况(Specialized)

　　Office Automation System(OAS)— 知识层

　　办公自动化、提高工作效率

　　例如：Microsoft、Email、Video Conference

　　Transaction Processing System(TPS)— 内部事务处理系统 — 操作层(Operational)

　　处理日常交易