查看匯總:2013年注會《公司戰(zhàn)略與風險管理》基礎(chǔ)講義匯總 
第四節(jié) 與信息技術(shù)和信息系統(tǒng)相關(guān)的風險控制及其管理
一、信息技術(shù)與信息系統(tǒng)相關(guān)的風險控制(掌握)
1.信息安全控制
安全控制可以從以下四個方面進行界定:
● 預測性
● 預防性
● 偵察性
● 矯正性
2.信息技術(shù)/信息系統(tǒng)控制類型 (重點掌握)
信息系統(tǒng)控制
| 類型 |
具體類型 |
描述 |
| 一般控制 |
人員控制 |
涉及人員招募�、訓練和監(jiān)督的人員控制必須確保程序和數(shù)據(jù)職責完成。人員控制包括部門內(nèi)部職責的分離和數(shù)據(jù)處理部門的分離��。例如�����,企業(yè)應立即停止已離開公司職員所有的訪問權(quán)限�����。 |
| 邏輯訪問控制 |
邏輯訪問控制對未經(jīng)授權(quán)的訪問提供了安全保護�����。最普遍的安全訪問是使用密碼,可對密碼定義其格式��、長度����、加密和常規(guī)的變化。 |
| 設(shè)備控制 |
設(shè)備控制是對計算機設(shè)備進行物理保護���,如把他們鎖在一間保護室或保護柜中�����,并使用報警系統(tǒng)���,如果計算機從其位置上發(fā)生移動,報警系統(tǒng)將被激活�。 |
| 業(yè)務連續(xù)性 |
在系統(tǒng)故障、設(shè)備操作系統(tǒng)�����、程序或數(shù)據(jù)丟失或毀壞的情況下�����,業(yè)務持續(xù)性或災難恢復計劃可從信息系統(tǒng)中恢復關(guān)鍵的業(yè)務信息�。 |
| 應用控制 |
輸入控制 |
交易前的數(shù)據(jù)錄入,如在發(fā)票與收到的貨物����,文件和采購訂單相匹配后,核準供應商的發(fā)票����。數(shù)據(jù)輸入屏幕的規(guī)定格式令使用者不得跳過強制輸入字段。輸入體系內(nèi)容的合理檢查�,如檢查給予顧客的折扣是否在允許的限度內(nèi)。 |
| 過程控制 |
過程控制確保過程的發(fā)生按照公司的要求進行�����,沒有被忽略或處理不當?shù)慕灰装l(fā)生���。最常見的控制是交易記錄��、分批平衡和總量控制系統(tǒng)��。 |
| 輸出控制 |
輸出控制確保輸入和處理活動已經(jīng)被執(zhí)行�����,而且生成的信息可靠并分發(fā)給用戶��。主要的輸出控制形式是交易清單和例外報告等���。 |
信息技術(shù)控制
| 類型 |
具體類型 |
描述 |
| 軟件控制和軟件盜版 |
軟件受著作權(quán)法和知識產(chǎn)權(quán)法的保護�。軟件控制防止制作或安裝未經(jīng)授權(quán)的軟件拷貝���,防止因非法使用造成經(jīng)濟處罰的風險�����。 |
| 網(wǎng)絡(luò)控制 |
防火墻 |
它包括相應的硬件和軟件�,存在于企業(yè)內(nèi)部網(wǎng)和公共網(wǎng)絡(luò)之間��。它是一套控制程序�,即允許公眾訪問公司計算機系統(tǒng)的某些部分,同時限制其訪問其他部分 |
| 數(shù)據(jù)加密 |
數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式��,在傳輸后重新轉(zhuǎn)換回來�。這些數(shù)據(jù)只能被匹配的解密接收器讀取。 |
| 授權(quán) |
客戶通過身份驗證和密碼進行注冊��。 |
| 病毒防護 |
病毒是一種計算機程序�����,它能夠自我復制��,并在被感染的計算機之間傳播���。病毒能夠修改��、刪除文件�,甚至刪除計算機硬盤驅(qū)動中的所有內(nèi)容����。因此,使用病毒檢測和防護軟件掃描病毒��,更改用戶和刪除病毒有助于避免計算機數(shù)據(jù)遭到破壞�。 |
3.崗位分工與授權(quán)審批的重要性
適當?shù)膷徫环止づc授權(quán)審批為所有的信息系統(tǒng)或信息技術(shù)提供支撐,以確保有關(guān)控制能提供控制的有效性和力度�����。
系統(tǒng)開發(fā)和變更過程中不相容崗位(或職責)一般應包括:開發(fā)(或變更)立項���、審批�����、編程�����、測試�����。系統(tǒng)訪問過程中不相容崗位(或職責)一般應包括:申請��、審批��、操作����、監(jiān)控。一般來說���,企業(yè)計算機信息系統(tǒng)戰(zhàn)略規(guī)劃�����、重要信息系統(tǒng)政策等重大事項應當經(jīng)由董事會(或者由企業(yè)章程規(guī)定的經(jīng)理�、廠長辦公會等類似的決策、治理機構(gòu)���,以下簡稱董事會)審批通過后,方可實施����。財會部門負責信息系統(tǒng)中各項業(yè)務賬務處理的準確性和及時性;會計電算化制度的制定;財務系統(tǒng)操作規(guī)定等。
二��、信息技術(shù)支持服務(熟悉)
信息技術(shù)部門的規(guī)模和結(jié)構(gòu)取決于公司的規(guī)模�����、信息需求和對信息技術(shù)的需求程度�,以及其信息技術(shù)系統(tǒng)是內(nèi)部供應還是外包。
信息中心執(zhí)行某些或以下所有職能滿足企業(yè)的信息系統(tǒng)戰(zhàn)略����、信息技術(shù)戰(zhàn)略和信息管理戰(zhàn)略。包括:
1.服務臺以應用軟件解決用戶的問題���,包括應用遠程診斷軟件����,為用戶提供相關(guān)技術(shù)進展。
2.在硬件和軟件購買決策上提供建議���,并為系統(tǒng)一體化的標準提供建議��,特別是應用企業(yè)資源計劃系統(tǒng)�����、戰(zhàn)略性企業(yè)管理�����、決策支持系統(tǒng)和經(jīng)理信息系統(tǒng)����。
3.為應用開發(fā)提供建議�,無論是內(nèi)部還是使用外包承包商,包括與系統(tǒng)開發(fā)過程相關(guān)的建議����。
4.監(jiān)測網(wǎng)絡(luò)中央處理器和硬盤存儲的使用情況�,以保障有足夠的能力進行日常數(shù)據(jù)的備份�。
5.維護企業(yè)數(shù)據(jù)庫。
6.系統(tǒng)維護和測試����、用戶培訓和系統(tǒng)地存儲用戶文檔。
7.維護信息技術(shù)安全�����。
三���、信息技術(shù)基礎(chǔ)設(shè)施庫(掌握)
信息技術(shù)基礎(chǔ)設(shè)施庫協(xié)助企業(yè)調(diào)整其信息技術(shù)服務。它包括十個流程和一項功能��。
其中有五個流程目的在于服務支持�����,包括配置管理���、事件管理�、變更管理����、問題管理�、發(fā)布管理;
五個流程側(cè)重于提供服務����,包括服務級別管理、可用性管理��、能力管理�����、信息技術(shù)服務持續(xù)性管理��、財務管理����。
服務臺的功能是對所有十個流程的功能接口提供了從客戶到信息技術(shù)的單點聯(lián)系。
【例題5·多選題】甲公司會計核算采用的是乙財務信息系統(tǒng)��。下列各項乙財務信息系統(tǒng)的控制情形中���,屬于應用控制的有( )����。【2011】
A.會計人員只能用自己的用戶名和密碼才能登記到乙財務信息系統(tǒng)中
B.已經(jīng)被過入乙財務信息系統(tǒng)明細賬的會計記錄不能被任何人修改或刪除
C.會計人員通過乙財務信息系統(tǒng)傳輸數(shù)據(jù)需要在傳輸前將數(shù)據(jù)轉(zhuǎn)化為非可讀格式�,在傳輸后重新轉(zhuǎn)換回來
D.會計人員在乙財務信息系統(tǒng)中編制的會計分錄出現(xiàn)借貸方金額不平衡時,系統(tǒng)將提示會計人員必須進行修改
『正確答案』BD
『答案解析』選項A屬于邏輯訪問控制�����,屬于一般控制;選項B屬于輸入控制;選項C屬于網(wǎng)絡(luò)控制;選項D屬于輸入控制�����。
【例題6·單選題】甲會計師事務所歷來特別重視對客戶資料的保密���,除了要求員工恪守職業(yè)道德外,甲會計師事務所還在信息系統(tǒng)中加強了控制和管理����。當甲會計師事務所員工利用電郵系統(tǒng)與客戶溝通時,有關(guān)信息與數(shù)據(jù)在傳輸前將被轉(zhuǎn)化成非可讀格式�。甲會計師事務所電郵系統(tǒng)所實施的控制類別屬于( )����!2010】
A.輸入控制
B.一般控制
C.設(shè)備控制
D.網(wǎng)絡(luò)控制
『正確答案』D
『答案解析』最常用的網(wǎng)絡(luò)控制措施有防火墻、數(shù)據(jù)加密�����、授權(quán)和病毒防護。其中數(shù)據(jù)加密����,是指數(shù)據(jù)在傳輸前被轉(zhuǎn)化成非可讀格式,在傳輸后重新轉(zhuǎn)換回來���。這些數(shù)據(jù)只能被匹配的解密接收器讀取���。
【例題7·單選題】蘇州某民營企業(yè)擁有多家休閑服銷售連鎖店。為防止員工在銷售過程中未經(jīng)允許給予顧客超出5%的價格折扣�����,該企業(yè)在電子付款系統(tǒng)中設(shè)置輸入控制���,檢查售貨員輸入的價格折扣�����,確認在折扣允許限度內(nèi)才可以進行交易��,并打印發(fā)票��。這種控制的類別是( )��。 【2009】
A.過程控制
B.一般控制
C.邏輯訪問控制
D.應用控制
『正確答案』D
『答案解析』輸入控制屬于應用控制����。
● 復習時主要把相應控制的類別和含義準確掌握。
