第四节 与信息技术和信息系统相关的风险控制及其管理
一、信息技术与信息系统相关的风险控制(掌握)
1.信息安全控制
安全控制可以从以下四个方面进行界定:
● 预测性
● 预防性
● 侦察性
● 矫正性
2.信息技术/信息系统控制类型 (重点掌握)
信息系统控制
类型 | 具体类型 | 描述 |
一般控制 | 人员控制 | 涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如,企业应立即停止已离开公司职员所有的访问权限。 |
逻辑访问控制 | 逻辑访问控制对未经授权的访问提供了安全保护。最普遍的安全访问是使用密码,可对密码定义其格式、长度、加密和常规的变化。 | |
设备控制 | 设备控制是对计算机设备进行物理保护,如把他们锁在一间保护室或保护柜中,并使用报警系统,如果计算机从其位置上发生移动,报警系统将被激活。 | |
业务连续性 | 在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下,业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。 | |
应用控制 | 输入控制 | 交易前的数据录入,如在发票与收到的货物,文件和采购订单相匹配后,核准供应商的发票。数据输入屏幕的规定格式令使用者不得跳过强制输入字段。输入体系内容的合理检查,如检查给予顾客的折扣是否在允许的限度内。 |
过程控制 | 过程控制确保过程的发生按照公司的要求进行,没有被忽略或处理不当的交易发生。最常见的控制是交易记录、分批平衡和总量控制系统。 | |
输出控制 | 输出控制确保输入和处理活动已经被执行,而且生成的信息可靠并分发给用户。主要的输出控制形式是交易清单和例外报告等。 |
信息技术控制
类型 | 具体类型 | 描述 |
软件控制和软件盗版 | 软件受著作权法和知识产权法的保护。软件控制防止制作或安装未经授权的软件拷贝,防止因非法使用造成经济处罚的风险。 | |
网络控制 | 防火墙 | 它包括相应的硬件和软件,存在于企业内部网和公共网络之间。它是一套控制程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其他部分 |
数据加密 | 数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。 | |
授权 | 客户通过身份验证和密码进行注册。 | |
病毒防护 | 病毒是一种计算机程序,它能够自我复制,并在被感染的计算机之间传播。病毒能够修改、删除文件,甚至删除计算机硬盘驱动中的所有内容。因此,使用病毒检测和防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏。 |
3.岗位分工与授权审批的重要性
适当的岗位分工与授权审批为所有的信息系统或信息技术提供支撑,以确保有关控制能提供控制的有效性和力度。
系统开发和变更过程中不相容岗位(或职责)一般应包括:开发(或变更)立项、审批、编程、测试。系统访问过程中不相容岗位(或职责)一般应包括:申请、审批、操作、监控。一般来说,企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)审批通过后,方可实施。财会部门负责信息系统中各项业务账务处理的准确性和及时性;会计电算化制度的制定;财务系统操作规定等。
二、信息技术支持服务(熟悉)
信息技术部门的规模和结构取决于公司的规模、信息需求和对信息技术的需求程度,以及其信息技术系统是内部供应还是外包。
信息中心执行某些或以下所有职能满足企业的信息系统战略、信息技术战略和信息管理战略。包括:
1.服务台以应用软件解决用户的问题,包括应用远程诊断软件,为用户提供相关技术进展。
2.在硬件和软件购买决策上提供建议,并为系统一体化的标准提供建议,特别是应用企业资源计划系统、战略性企业管理、决策支持系统和经理信息系统。
3.为应用开发提供建议,无论是内部还是使用外包承包商,包括与系统开发过程相关的建议。
4.监测网络中央处理器和硬盘存储的使用情况,以保障有足够的能力进行日常数据的备份。
5.维护企业数据库。
6.系统维护和测试、用户培训和系统地存储用户文档。
7.维护信息技术安全。
三、信息技术基础设施库(掌握)
信息技术基础设施库协助企业调整其信息技术服务。它包括十个流程和一项功能。
其中有五个流程目的在于服务支持,包括配置管理、事件管理、变更管理、问题管理、发布管理;
五个流程侧重于提供服务,包括服务级别管理、可用性管理、能力管理、信息技术服务持续性管理、财务管理。
服务台的功能是对所有十个流程的功能接口提供了从客户到信息技术的单点联系。
【例题5·多选题】甲公司会计核算采用的是乙财务信息系统。下列各项乙财务信息系统的控制情形中,属于应用控制的有( )。【2011】
A.会计人员只能用自己的用户名和密码才能登记到乙财务信息系统中
B.已经被过入乙财务信息系统明细账的会计记录不能被任何人修改或删除
C.会计人员通过乙财务信息系统传输数据需要在传输前将数据转化为非可读格式,在传输后重新转换回来
D.会计人员在乙财务信息系统中编制的会计分录出现借贷方金额不平衡时,系统将提示会计人员必须进行修改
『正确答案』BD
『答案解析』选项A属于逻辑访问控制,属于一般控制;选项B属于输入控制;选项C属于网络控制;选项D属于输入控制。
【例题6·单选题】甲会计师事务所历来特别重视对客户资料的保密,除了要求员工恪守职业道德外,甲会计师事务所还在信息系统中加强了控制和管理。当甲会计师事务所员工利用电邮系统与客户沟通时,有关信息与数据在传输前将被转化成非可读格式。甲会计师事务所电邮系统所实施的控制类别属于( )。【2010】
A.输入控制
B.一般控制
C.设备控制
D.网络控制
『正确答案』D
『答案解析』最常用的网络控制措施有防火墙、数据加密、授权和病毒防护。其中数据加密,是指数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。
【例题7·单选题】苏州某民营企业拥有多家休闲服销售连锁店。为防止员工在销售过程中未经允许给予顾客超出5%的价格折扣,该企业在电子付款系统中设置输入控制,检查售货员输入的价格折扣,确认在折扣允许限度内才可以进行交易,并打印发票。这种控制的类别是( )。 【2009】
A.过程控制
B.一般控制
C.逻辑访问控制
D.应用控制
『正确答案』D
『答案解析』输入控制属于应用控制。
● 复习时主要把相应控制的类别和含义准确掌握。
北京 | 天津 | 上海 | 江苏 | 山东 |
安徽 | 浙江 | 江西 | 福建 | 深圳 |
广东 | 河北 | 湖南 | 广西 | 河南 |
海南 | 湖北 | 四川 | 重庆 | 云南 |
贵州 | 西藏 | 新疆 | 陕西 | 山西 |
宁夏 | 甘肃 | 青海 | 辽宁 | 吉林 |
黑龙江 | 内蒙古 |