查看匯總:2013年注會《公司戰(zhàn)略與風(fēng)險管理》基礎(chǔ)講義匯總 
第四節(jié) 與信息技術(shù)和信息系統(tǒng)相關(guān)的風(fēng)險控制及其管理
一�����、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險控制(掌握)
1.信息安全控制
安全控制可以從以下四個方面進(jìn)行界定:
● 預(yù)測性
● 預(yù)防性
● 偵察性
● 矯正性
2.信息技術(shù)/信息系統(tǒng)控制類型 (重點掌握)
信息系統(tǒng)控制
| 類型 |
具體類型 |
描述 |
| 一般控制 |
人員控制 |
涉及人員招募�、訓(xùn)練和監(jiān)督的人員控制必須確保程序和數(shù)據(jù)職責(zé)完成���。人員控制包括部門內(nèi)部職責(zé)的分離和數(shù)據(jù)處理部門的分離��。例如�,企業(yè)應(yīng)立即停止已離開公司職員所有的訪問權(quán)限�����。 |
| 邏輯訪問控制 |
邏輯訪問控制對未經(jīng)授權(quán)的訪問提供了安全保護(hù)�����。最普遍的安全訪問是使用密碼,可對密碼定義其格式�����、長度�、加密和常規(guī)的變化����。 |
| 設(shè)備控制 |
設(shè)備控制是對計算機設(shè)備進(jìn)行物理保護(hù),如把他們鎖在一間保護(hù)室或保護(hù)柜中��,并使用報警系統(tǒng)����,如果計算機從其位置上發(fā)生移動,報警系統(tǒng)將被激活�����。 |
| 業(yè)務(wù)連續(xù)性 |
在系統(tǒng)故障�����、設(shè)備操作系統(tǒng)、程序或數(shù)據(jù)丟失或毀壞的情況下��,業(yè)務(wù)持續(xù)性或災(zāi)難恢復(fù)計劃可從信息系統(tǒng)中恢復(fù)關(guān)鍵的業(yè)務(wù)信息�����。 |
| 應(yīng)用控制 |
輸入控制 |
交易前的數(shù)據(jù)錄入,如在發(fā)票與收到的貨物���,文件和采購訂單相匹配后,核準(zhǔn)供應(yīng)商的發(fā)票�����。數(shù)據(jù)輸入屏幕的規(guī)定格式令使用者不得跳過強制輸入字段。輸入體系內(nèi)容的合理檢查�,如檢查給予顧客的折扣是否在允許的限度內(nèi)。 |
| 過程控制 |
過程控制確保過程的發(fā)生按照公司的要求進(jìn)行�,沒有被忽略或處理不當(dāng)?shù)慕灰装l(fā)生。最常見的控制是交易記錄����、分批平衡和總量控制系統(tǒng)�����。 |
| 輸出控制 |
輸出控制確保輸入和處理活動已經(jīng)被執(zhí)行,而且生成的信息可靠并分發(fā)給用戶����。主要的輸出控制形式是交易清單和例外報告等。 |
信息技術(shù)控制
| 類型 |
具體類型 |
描述 |
| 軟件控制和軟件盜版 |
軟件受著作權(quán)法和知識產(chǎn)權(quán)法的保護(hù)��。軟件控制防止制作或安裝未經(jīng)授權(quán)的軟件拷貝�����,防止因非法使用造成經(jīng)濟(jì)處罰的風(fēng)險�。 |
| 網(wǎng)絡(luò)控制 |
防火墻 |
它包括相應(yīng)的硬件和軟件��,存在于企業(yè)內(nèi)部網(wǎng)和公共網(wǎng)絡(luò)之間����。它是一套控制程序�����,即允許公眾訪問公司計算機系統(tǒng)的某些部分�,同時限制其訪問其他部分 |
| 數(shù)據(jù)加密 |
數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式,在傳輸后重新轉(zhuǎn)換回來�����。這些數(shù)據(jù)只能被匹配的解密接收器讀取����。 |
| 授權(quán) |
客戶通過身份驗證和密碼進(jìn)行注冊。 |
| 病毒防護(hù) |
病毒是一種計算機程序,它能夠自我復(fù)制��,并在被感染的計算機之間傳播。病毒能夠修改�����、刪除文件,甚至刪除計算機硬盤驅(qū)動中的所有內(nèi)容�。因此�����,使用病毒檢測和防護(hù)軟件掃描病毒,更改用戶和刪除病毒有助于避免計算機數(shù)據(jù)遭到破壞�����。 |
3.崗位分工與授權(quán)審批的重要性
適當(dāng)?shù)膷徫环止づc授權(quán)審批為所有的信息系統(tǒng)或信息技術(shù)提供支撐��,以確保有關(guān)控制能提供控制的有效性和力度。
系統(tǒng)開發(fā)和變更過程中不相容崗位(或職責(zé))一般應(yīng)包括:開發(fā)(或變更)立項、審批�、編程��、測試���。系統(tǒng)訪問過程中不相容崗位(或職責(zé))一般應(yīng)包括:申請�����、審批��、操作��、監(jiān)控�。一般來說�����,企業(yè)計算機信息系統(tǒng)戰(zhàn)略規(guī)劃���、重要信息系統(tǒng)政策等重大事項應(yīng)當(dāng)經(jīng)由董事會(或者由企業(yè)章程規(guī)定的經(jīng)理��、廠長辦公會等類似的決策���、治理機構(gòu)����,以下簡稱董事會)審批通過后�����,方可實施��。財會部門負(fù)責(zé)信息系統(tǒng)中各項業(yè)務(wù)賬務(wù)處理的準(zhǔn)確性和及時性;會計電算化制度的制定;財務(wù)系統(tǒng)操作規(guī)定等����。
二�����、信息技術(shù)支持服務(wù)(熟悉)
信息技術(shù)部門的規(guī)模和結(jié)構(gòu)取決于公司的規(guī)模����、信息需求和對信息技術(shù)的需求程度,以及其信息技術(shù)系統(tǒng)是內(nèi)部供應(yīng)還是外包���。
信息中心執(zhí)行某些或以下所有職能滿足企業(yè)的信息系統(tǒng)戰(zhàn)略��、信息技術(shù)戰(zhàn)略和信息管理戰(zhàn)略�。包括:
1.服務(wù)臺以應(yīng)用軟件解決用戶的問題,包括應(yīng)用遠(yuǎn)程診斷軟件��,為用戶提供相關(guān)技術(shù)進(jìn)展��。
2.在硬件和軟件購買決策上提供建議��,并為系統(tǒng)一體化的標(biāo)準(zhǔn)提供建議�,特別是應(yīng)用企業(yè)資源計劃系統(tǒng)、戰(zhàn)略性企業(yè)管理�����、決策支持系統(tǒng)和經(jīng)理信息系統(tǒng)����。
3.為應(yīng)用開發(fā)提供建議,無論是內(nèi)部還是使用外包承包商�,包括與系統(tǒng)開發(fā)過程相關(guān)的建議。
4.監(jiān)測網(wǎng)絡(luò)中央處理器和硬盤存儲的使用情況�����,以保障有足夠的能力進(jìn)行日常數(shù)據(jù)的備份�。
5.維護(hù)企業(yè)數(shù)據(jù)庫。
6.系統(tǒng)維護(hù)和測試、用戶培訓(xùn)和系統(tǒng)地存儲用戶文檔���。
7.維護(hù)信息技術(shù)安全����。
三��、信息技術(shù)基礎(chǔ)設(shè)施庫(掌握)
信息技術(shù)基礎(chǔ)設(shè)施庫協(xié)助企業(yè)調(diào)整其信息技術(shù)服務(wù)��。它包括十個流程和一項功能���。
其中有五個流程目的在于服務(wù)支持,包括配置管理��、事件管理����、變更管理、問題管理���、發(fā)布管理;
五個流程側(cè)重于提供服務(wù)��,包括服務(wù)級別管理���、可用性管理�、能力管理��、信息技術(shù)服務(wù)持續(xù)性管理���、財務(wù)管理��。
服務(wù)臺的功能是對所有十個流程的功能接口提供了從客戶到信息技術(shù)的單點聯(lián)系��。
【例題5·多選題】甲公司會計核算采用的是乙財務(wù)信息系統(tǒng)�����。下列各項乙財務(wù)信息系統(tǒng)的控制情形中���,屬于應(yīng)用控制的有( )����!2011】
A.會計人員只能用自己的用戶名和密碼才能登記到乙財務(wù)信息系統(tǒng)中
B.已經(jīng)被過入乙財務(wù)信息系統(tǒng)明細(xì)賬的會計記錄不能被任何人修改或刪除
C.會計人員通過乙財務(wù)信息系統(tǒng)傳輸數(shù)據(jù)需要在傳輸前將數(shù)據(jù)轉(zhuǎn)化為非可讀格式����,在傳輸后重新轉(zhuǎn)換回來
D.會計人員在乙財務(wù)信息系統(tǒng)中編制的會計分錄出現(xiàn)借貸方金額不平衡時����,系統(tǒng)將提示會計人員必須進(jìn)行修改
『正確答案』BD
『答案解析』選項A屬于邏輯訪問控制�����,屬于一般控制;選項B屬于輸入控制;選項C屬于網(wǎng)絡(luò)控制;選項D屬于輸入控制���。
【例題6·單選題】甲會計師事務(wù)所歷來特別重視對客戶資料的保密����,除了要求員工恪守職業(yè)道德外�����,甲會計師事務(wù)所還在信息系統(tǒng)中加強了控制和管理��。當(dāng)甲會計師事務(wù)所員工利用電郵系統(tǒng)與客戶溝通時���,有關(guān)信息與數(shù)據(jù)在傳輸前將被轉(zhuǎn)化成非可讀格式。甲會計師事務(wù)所電郵系統(tǒng)所實施的控制類別屬于( )�。【2010】
A.輸入控制
B.一般控制
C.設(shè)備控制
D.網(wǎng)絡(luò)控制
『正確答案』D
『答案解析』最常用的網(wǎng)絡(luò)控制措施有防火墻�����、數(shù)據(jù)加密、授權(quán)和病毒防護(hù)���。其中數(shù)據(jù)加密�����,是指數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式��,在傳輸后重新轉(zhuǎn)換回來��。這些數(shù)據(jù)只能被匹配的解密接收器讀取���。
【例題7·單選題】蘇州某民營企業(yè)擁有多家休閑服銷售連鎖店。為防止員工在銷售過程中未經(jīng)允許給予顧客超出5%的價格折扣�,該企業(yè)在電子付款系統(tǒng)中設(shè)置輸入控制,檢查售貨員輸入的價格折扣�,確認(rèn)在折扣允許限度內(nèi)才可以進(jìn)行交易,并打印發(fā)票���。這種控制的類別是( )����。 【2009】
A.過程控制
B.一般控制
C.邏輯訪問控制
D.應(yīng)用控制
『正確答案』D
『答案解析』輸入控制屬于應(yīng)用控制。
● 復(fù)習(xí)時主要把相應(yīng)控制的類別和含義準(zhǔn)確掌握����。
