查看匯總:2013年注會(huì)《公司戰(zhàn)略與風(fēng)險(xiǎn)管理》基礎(chǔ)講義匯總
第四節(jié) 與信息技術(shù)和信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制及其管理
一、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制(掌握)
1.信息安全控制
安全控制可以從以下四個(gè)方面進(jìn)行界定:
● 預(yù)測(cè)性
● 預(yù)防性
● 偵察性
● 矯正性
2.信息技術(shù)/信息系統(tǒng)控制類型 (重點(diǎn)掌握)
信息系統(tǒng)控制
類型 | 具體類型 | 描述 |
一般控制 | 人員控制 | 涉及人員招募、訓(xùn)練和監(jiān)督的人員控制必須確保程序和數(shù)據(jù)職責(zé)完成。人員控制包括部門內(nèi)部職責(zé)的分離和數(shù)據(jù)處理部門的分離。例如,企業(yè)應(yīng)立即停止已離開公司職員所有的訪問權(quán)限。 |
邏輯訪問控制 | 邏輯訪問控制對(duì)未經(jīng)授權(quán)的訪問提供了安全保護(hù)。最普遍的安全訪問是使用密碼,可對(duì)密碼定義其格式、長(zhǎng)度、加密和常規(guī)的變化。 | |
設(shè)備控制 | 設(shè)備控制是對(duì)計(jì)算機(jī)設(shè)備進(jìn)行物理保護(hù),如把他們鎖在一間保護(hù)室或保護(hù)柜中,并使用報(bào)警系統(tǒng),如果計(jì)算機(jī)從其位置上發(fā)生移動(dòng),報(bào)警系統(tǒng)將被激活。 | |
業(yè)務(wù)連續(xù)性 | 在系統(tǒng)故障、設(shè)備操作系統(tǒng)、程序或數(shù)據(jù)丟失或毀壞的情況下,業(yè)務(wù)持續(xù)性或?yàn)?zāi)難恢復(fù)計(jì)劃可從信息系統(tǒng)中恢復(fù)關(guān)鍵的業(yè)務(wù)信息。 | |
應(yīng)用控制 | 輸入控制 | 交易前的數(shù)據(jù)錄入,如在發(fā)票與收到的貨物,文件和采購訂單相匹配后,核準(zhǔn)供應(yīng)商的發(fā)票。數(shù)據(jù)輸入屏幕的規(guī)定格式令使用者不得跳過強(qiáng)制輸入字段。輸入體系內(nèi)容的合理檢查,如檢查給予顧客的折扣是否在允許的限度內(nèi)。 |
過程控制 | 過程控制確保過程的發(fā)生按照公司的要求進(jìn)行,沒有被忽略或處理不當(dāng)?shù)慕灰装l(fā)生。最常見的控制是交易記錄、分批平衡和總量控制系統(tǒng)。 | |
輸出控制 | 輸出控制確保輸入和處理活動(dòng)已經(jīng)被執(zhí)行,而且生成的信息可靠并分發(fā)給用戶。主要的輸出控制形式是交易清單和例外報(bào)告等。 |
信息技術(shù)控制
類型 | 具體類型 | 描述 |
軟件控制和軟件盜版 | 軟件受著作權(quán)法和知識(shí)產(chǎn)權(quán)法的保護(hù)。軟件控制防止制作或安裝未經(jīng)授權(quán)的軟件拷貝,防止因非法使用造成經(jīng)濟(jì)處罰的風(fēng)險(xiǎn)。 | |
網(wǎng)絡(luò)控制 | 防火墻 | 它包括相應(yīng)的硬件和軟件,存在于企業(yè)內(nèi)部網(wǎng)和公共網(wǎng)絡(luò)之間。它是一套控制程序,即允許公眾訪問公司計(jì)算機(jī)系統(tǒng)的某些部分,同時(shí)限制其訪問其他部分 |
數(shù)據(jù)加密 | 數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式,在傳輸后重新轉(zhuǎn)換回來。這些數(shù)據(jù)只能被匹配的解密接收器讀取。 | |
授權(quán) | 客戶通過身份驗(yàn)證和密碼進(jìn)行注冊(cè)。 | |
病毒防護(hù) | 病毒是一種計(jì)算機(jī)程序,它能夠自我復(fù)制,并在被感染的計(jì)算機(jī)之間傳播。病毒能夠修改、刪除文件,甚至刪除計(jì)算機(jī)硬盤驅(qū)動(dòng)中的所有內(nèi)容。因此,使用病毒檢測(cè)和防護(hù)軟件掃描病毒,更改用戶和刪除病毒有助于避免計(jì)算機(jī)數(shù)據(jù)遭到破壞。 |
3.崗位分工與授權(quán)審批的重要性
適當(dāng)?shù)膷徫环止づc授權(quán)審批為所有的信息系統(tǒng)或信息技術(shù)提供支撐,以確保有關(guān)控制能提供控制的有效性和力度。
系統(tǒng)開發(fā)和變更過程中不相容崗位(或職責(zé))一般應(yīng)包括:開發(fā)(或變更)立項(xiàng)、審批、編程、測(cè)試。系統(tǒng)訪問過程中不相容崗位(或職責(zé))一般應(yīng)包括:申請(qǐng)、審批、操作、監(jiān)控。一般來說,企業(yè)計(jì)算機(jī)信息系統(tǒng)戰(zhàn)略規(guī)劃、重要信息系統(tǒng)政策等重大事項(xiàng)應(yīng)當(dāng)經(jīng)由董事會(huì)(或者由企業(yè)章程規(guī)定的經(jīng)理、廠長(zhǎng)辦公會(huì)等類似的決策、治理機(jī)構(gòu),以下簡(jiǎn)稱董事會(huì))審批通過后,方可實(shí)施。財(cái)會(huì)部門負(fù)責(zé)信息系統(tǒng)中各項(xiàng)業(yè)務(wù)賬務(wù)處理的準(zhǔn)確性和及時(shí)性;會(huì)計(jì)電算化制度的制定;財(cái)務(wù)系統(tǒng)操作規(guī)定等。
二、信息技術(shù)支持服務(wù)(熟悉)
信息技術(shù)部門的規(guī)模和結(jié)構(gòu)取決于公司的規(guī)模、信息需求和對(duì)信息技術(shù)的需求程度,以及其信息技術(shù)系統(tǒng)是內(nèi)部供應(yīng)還是外包。
信息中心執(zhí)行某些或以下所有職能滿足企業(yè)的信息系統(tǒng)戰(zhàn)略、信息技術(shù)戰(zhàn)略和信息管理戰(zhàn)略。包括:
1.服務(wù)臺(tái)以應(yīng)用軟件解決用戶的問題,包括應(yīng)用遠(yuǎn)程診斷軟件,為用戶提供相關(guān)技術(shù)進(jìn)展。
2.在硬件和軟件購買決策上提供建議,并為系統(tǒng)一體化的標(biāo)準(zhǔn)提供建議,特別是應(yīng)用企業(yè)資源計(jì)劃系統(tǒng)、戰(zhàn)略性企業(yè)管理、決策支持系統(tǒng)和經(jīng)理信息系統(tǒng)。
3.為應(yīng)用開發(fā)提供建議,無論是內(nèi)部還是使用外包承包商,包括與系統(tǒng)開發(fā)過程相關(guān)的建議。
4.監(jiān)測(cè)網(wǎng)絡(luò)中央處理器和硬盤存儲(chǔ)的使用情況,以保障有足夠的能力進(jìn)行日常數(shù)據(jù)的備份。
5.維護(hù)企業(yè)數(shù)據(jù)庫。
6.系統(tǒng)維護(hù)和測(cè)試、用戶培訓(xùn)和系統(tǒng)地存儲(chǔ)用戶文檔。
7.維護(hù)信息技術(shù)安全。
三、信息技術(shù)基礎(chǔ)設(shè)施庫(掌握)
信息技術(shù)基礎(chǔ)設(shè)施庫協(xié)助企業(yè)調(diào)整其信息技術(shù)服務(wù)。它包括十個(gè)流程和一項(xiàng)功能。
其中有五個(gè)流程目的在于服務(wù)支持,包括配置管理、事件管理、變更管理、問題管理、發(fā)布管理;
五個(gè)流程側(cè)重于提供服務(wù),包括服務(wù)級(jí)別管理、可用性管理、能力管理、信息技術(shù)服務(wù)持續(xù)性管理、財(cái)務(wù)管理。
服務(wù)臺(tái)的功能是對(duì)所有十個(gè)流程的功能接口提供了從客戶到信息技術(shù)的單點(diǎn)聯(lián)系。
【例題5·多選題】甲公司會(huì)計(jì)核算采用的是乙財(cái)務(wù)信息系統(tǒng)。下列各項(xiàng)乙財(cái)務(wù)信息系統(tǒng)的控制情形中,屬于應(yīng)用控制的有( )!2011】
A.會(huì)計(jì)人員只能用自己的用戶名和密碼才能登記到乙財(cái)務(wù)信息系統(tǒng)中
B.已經(jīng)被過入乙財(cái)務(wù)信息系統(tǒng)明細(xì)賬的會(huì)計(jì)記錄不能被任何人修改或刪除
C.會(huì)計(jì)人員通過乙財(cái)務(wù)信息系統(tǒng)傳輸數(shù)據(jù)需要在傳輸前將數(shù)據(jù)轉(zhuǎn)化為非可讀格式,在傳輸后重新轉(zhuǎn)換回來
D.會(huì)計(jì)人員在乙財(cái)務(wù)信息系統(tǒng)中編制的會(huì)計(jì)分錄出現(xiàn)借貸方金額不平衡時(shí),系統(tǒng)將提示會(huì)計(jì)人員必須進(jìn)行修改
『正確答案』BD
『答案解析』選項(xiàng)A屬于邏輯訪問控制,屬于一般控制;選項(xiàng)B屬于輸入控制;選項(xiàng)C屬于網(wǎng)絡(luò)控制;選項(xiàng)D屬于輸入控制。
【例題6·單選題】甲會(huì)計(jì)師事務(wù)所歷來特別重視對(duì)客戶資料的保密,除了要求員工恪守職業(yè)道德外,甲會(huì)計(jì)師事務(wù)所還在信息系統(tǒng)中加強(qiáng)了控制和管理。當(dāng)甲會(huì)計(jì)師事務(wù)所員工利用電郵系統(tǒng)與客戶溝通時(shí),有關(guān)信息與數(shù)據(jù)在傳輸前將被轉(zhuǎn)化成非可讀格式。甲會(huì)計(jì)師事務(wù)所電郵系統(tǒng)所實(shí)施的控制類別屬于( )!2010】
A.輸入控制
B.一般控制
C.設(shè)備控制
D.網(wǎng)絡(luò)控制
『正確答案』D
『答案解析』最常用的網(wǎng)絡(luò)控制措施有防火墻、數(shù)據(jù)加密、授權(quán)和病毒防護(hù)。其中數(shù)據(jù)加密,是指數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式,在傳輸后重新轉(zhuǎn)換回來。這些數(shù)據(jù)只能被匹配的解密接收器讀取。
【例題7·單選題】蘇州某民營企業(yè)擁有多家休閑服銷售連鎖店。為防止員工在銷售過程中未經(jīng)允許給予顧客超出5%的價(jià)格折扣,該企業(yè)在電子付款系統(tǒng)中設(shè)置輸入控制,檢查售貨員輸入的價(jià)格折扣,確認(rèn)在折扣允許限度內(nèi)才可以進(jìn)行交易,并打印發(fā)票。這種控制的類別是( )。 【2009】
A.過程控制
B.一般控制
C.邏輯訪問控制
D.應(yīng)用控制
『正確答案』D
『答案解析』輸入控制屬于應(yīng)用控制。
● 復(fù)習(xí)時(shí)主要把相應(yīng)控制的類別和含義準(zhǔn)確掌握。
北京 | 天津 | 上海 | 江蘇 | 山東 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
廣東 | 河北 | 湖南 | 廣西 | 河南 |
海南 | 湖北 | 四川 | 重慶 | 云南 |
貴州 | 西藏 | 新疆 | 陜西 | 山西 |
寧夏 | 甘肅 | 青海 | 遼寧 | 吉林 |
黑龍江 | 內(nèi)蒙古 |