首页 - 网校 - 面授 - 团购 - 书城 - 视线 - 模拟考场 - 考友录 - 论坛 - 导航 -
首页考试吧论坛Exam8视线考试商城网络课程模拟考试考友录实用文档求职招聘论文下载
2013中考
法律硕士
2013高考
MBA考试
2013考研
MPA考试
在职研
中科院
考研培训 自学考试 成人高考
四 六 级
GRE考试
攻硕英语
零起点日语
职称英语
口译笔译
申硕英语
零起点韩语
商务英语
日语等级
GMAT考试
公共英语
职称日语
新概念英语
专四专八
博思考试
零起点英语
托福考试
托业考试
零起点法语
雅思考试
成人英语三级
零起点德语
等级考试
华为认证
水平考试
Java认证
职称计算机 微软认证 思科认证 Oracle认证 Linux认证
公 务 员
导游考试
物 流 师
出版资格
单 证 员
报 关 员
外 销 员
价格鉴证
网络编辑
驾 驶 员
报检员
法律顾问
管理咨询
企业培训
社会工作者
银行从业
教师资格
营养师
保险从业
普 通 话
证券从业
跟 单 员
秘书资格
电子商务
期货考试
国际商务
心理咨询
营 销 师
司法考试
国际货运代理人
人力资源管理师
广告师职业水平
卫生资格 执业医师 执业药师 执业护士
会计从业资格
基金从业资格
统计从业资格
经济师
精算师
统计师
会计职称
法律顾问
ACCA考试
注册会计师
资产评估师
审计师考试
高级会计师
注册税务师
国际内审师
理财规划师
美国注册会计师
一级建造师
安全工程师
设备监理师
公路监理师
公路造价师
二级建造师
招标师考试
物业管理师
电气工程师
建筑师考试
造价工程师
注册测绘师
质量工程师
岩土工程师
造价员考试
注册计量师
环保工程师
化工工程师
咨询工程师
结构工程师
城市规划师
材料员考试
监理工程师
房地产估价
土地估价师
安全评价师
房地产经纪人
投资项目管理师
环境影响评价师
土地登记代理人
缤纷校园 实用文档 英语学习 作文大全 求职招聘 论文下载 访谈|游戏
您现在的位置: 考试吧 > 注册会计师考试 > 复习指导 > 公司战略与风险管理 > 正文

2013年注会《公司战略与风险管理》基础讲义(55)

  查看汇总:2013年注会《公司战略与风险管理》基础讲义汇总 热点文章

第四节 与信息技术和信息系统相关的风险控制及其管理

  一、信息技术与信息系统相关的风险控制(掌握)

  1.信息安全控制

  安全控制可以从以下四个方面进行界定:

  ● 预测性

  ● 预防性

  ● 侦察性

  ● 矫正性

  2.信息技术/信息系统控制类型 (重点掌握)

 

  信息系统控制

类型 具体类型 描述
一般控制 人员控制 涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如,企业应立即停止已离开公司职员所有的访问权限。
逻辑访问控制 逻辑访问控制对未经授权的访问提供了安全保护。最普遍的安全访问是使用密码,可对密码定义其格式、长度、加密和常规的变化。
设备控制 设备控制是对计算机设备进行物理保护,如把他们锁在一间保护室或保护柜中,并使用报警系统,如果计算机从其位置上发生移动,报警系统将被激活。
业务连续性 在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下,业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息。
应用控制 输入控制 交易前的数据录入,如在发票与收到的货物,文件和采购订单相匹配后,核准供应商的发票。数据输入屏幕的规定格式令使用者不得跳过强制输入字段。输入体系内容的合理检查,如检查给予顾客的折扣是否在允许的限度内。
过程控制 过程控制确保过程的发生按照公司的要求进行,没有被忽略或处理不当的交易发生。最常见的控制是交易记录、分批平衡和总量控制系统。
输出控制 输出控制确保输入和处理活动已经被执行,而且生成的信息可靠并分发给用户。主要的输出控制形式是交易清单和例外报告等。

  信息技术控制

类型 具体类型 描述
软件控制和软件盗版 软件受著作权法和知识产权法的保护。软件控制防止制作或安装未经授权的软件拷贝,防止因非法使用造成经济处罚的风险。
网络控制 防火墙 它包括相应的硬件和软件,存在于企业内部网和公共网络之间。它是一套控制程序,即允许公众访问公司计算机系统的某些部分,同时限制其访问其他部分
数据加密 数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。
授权 客户通过身份验证和密码进行注册。
病毒防护 病毒是一种计算机程序,它能够自我复制,并在被感染的计算机之间传播。病毒能够修改、删除文件,甚至删除计算机硬盘驱动中的所有内容。因此,使用病毒检测和防护软件扫描病毒,更改用户和删除病毒有助于避免计算机数据遭到破坏。

  3.岗位分工与授权审批的重要性

  适当的岗位分工与授权审批为所有的信息系统或信息技术提供支撑,以确保有关控制能提供控制的有效性和力度。

  系统开发和变更过程中不相容岗位(或职责)一般应包括:开发(或变更)立项、审批、编程、测试。系统访问过程中不相容岗位(或职责)一般应包括:申请、审批、操作、监控。一般来说,企业计算机信息系统战略规划、重要信息系统政策等重大事项应当经由董事会(或者由企业章程规定的经理、厂长办公会等类似的决策、治理机构,以下简称董事会)审批通过后,方可实施。财会部门负责信息系统中各项业务账务处理的准确性和及时性;会计电算化制度的制定;财务系统操作规定等。

  二、信息技术支持服务(熟悉)

  信息技术部门的规模和结构取决于公司的规模、信息需求和对信息技术的需求程度,以及其信息技术系统是内部供应还是外包。

  信息中心执行某些或以下所有职能满足企业的信息系统战略、信息技术战略和信息管理战略。包括:

  1.服务台以应用软件解决用户的问题,包括应用远程诊断软件,为用户提供相关技术进展。

  2.在硬件和软件购买决策上提供建议,并为系统一体化的标准提供建议,特别是应用企业资源计划系统、战略性企业管理、决策支持系统和经理信息系统。

  3.为应用开发提供建议,无论是内部还是使用外包承包商,包括与系统开发过程相关的建议。

  4.监测网络中央处理器和硬盘存储的使用情况,以保障有足够的能力进行日常数据的备份。

  5.维护企业数据库。

  6.系统维护和测试、用户培训和系统地存储用户文档。

  7.维护信息技术安全。

  三、信息技术基础设施库(掌握)

  信息技术基础设施库协助企业调整其信息技术服务。它包括十个流程和一项功能。

  其中有五个流程目的在于服务支持,包括配置管理、事件管理、变更管理、问题管理、发布管理;

  五个流程侧重于提供服务,包括服务级别管理、可用性管理、能力管理、信息技术服务持续性管理、财务管理。

  服务台的功能是对所有十个流程的功能接口提供了从客户到信息技术的单点联系。

  【例题5·多选题】甲公司会计核算采用的是乙财务信息系统。下列各项乙财务信息系统的控制情形中,属于应用控制的有( )。【2011】

  A.会计人员只能用自己的用户名和密码才能登记到乙财务信息系统中

  B.已经被过入乙财务信息系统明细账的会计记录不能被任何人修改或删除

  C.会计人员通过乙财务信息系统传输数据需要在传输前将数据转化为非可读格式,在传输后重新转换回来

  D.会计人员在乙财务信息系统中编制的会计分录出现借贷方金额不平衡时,系统将提示会计人员必须进行修改

  『正确答案』BD

  『答案解析』选项A属于逻辑访问控制,属于一般控制;选项B属于输入控制;选项C属于网络控制;选项D属于输入控制。

  【例题6·单选题】甲会计师事务所历来特别重视对客户资料的保密,除了要求员工恪守职业道德外,甲会计师事务所还在信息系统中加强了控制和管理。当甲会计师事务所员工利用电邮系统与客户沟通时,有关信息与数据在传输前将被转化成非可读格式。甲会计师事务所电邮系统所实施的控制类别属于( )。【2010】

  A.输入控制

  B.一般控制

  C.设备控制

  D.网络控制

  『正确答案』D

  『答案解析』最常用的网络控制措施有防火墙、数据加密、授权和病毒防护。其中数据加密,是指数据在传输前被转化成非可读格式,在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。

  【例题7·单选题】苏州某民营企业拥有多家休闲服销售连锁店。为防止员工在销售过程中未经允许给予顾客超出5%的价格折扣,该企业在电子付款系统中设置输入控制,检查售货员输入的价格折扣,确认在折扣允许限度内才可以进行交易,并打印发票。这种控制的类别是( )。 【2009】

  A.过程控制

  B.一般控制

  C.逻辑访问控制

  D.应用控制

  『正确答案』D

  『答案解析』输入控制属于应用控制。

  ● 复习时主要把相应控制的类别和含义准确掌握。

1 2  下一页
文章搜索
中国最优秀注册会计师名师都在这里!
徐经长老师
在线名师:徐经长老师
   中国人民大学教授,博士生导师。香港城市大学访问学者;美国加州大...[详细]
版权声明:如果注册会计师考试网所转载内容不慎侵犯了您的权益,请与我们联系800@exam8.com,我们将会及时处理。如转载本注册会计师考试网内容,请注明出处。