2011年注册会计师考试公司战略与风险管理精讲笔记53

第四节 与信息技术和信息系统相关的风险控制及其管理

　　一、信息技术与信息系统相关的凤险控制

　　系统和数据很容易因以下的原因受到损失，即人为错误、蓄意的欺骗行为、技术性错误(如硬件或软件故障)和自然灾害(如火灾、水灾、爆炸和闪电)。因此，信息安全非常重要。为了保护公司的信息资源，需要进行风险评估和控制来减轻这些风险，信息技术行业有许多不同的控制方式。

　　(一)信息安全控制

　　安全控制可以从以下四个方面进行界定，以发挥其特性。

　　1.预测性。确定可能的问题并提出适当的控制。

　　2.预防性。将发生风险的可能降至最低，例如，防火墙可以防止未经授权的访问。

　　3.侦察性。日志能够保存那些未经授权的访问记录。

　　4.矫正性。对未经授权的访问造成的后果提出修正的方法。

　　(二)信息技术/信息系统控制类型

　　信息系统中的控制可分为两大类:一般控制和应用控制。而信息技术控制主要用于软件和网络的控制。

　　1.一般控制。

　　从总体上确保企业对其信息系统控制的有效性。一般控制的目标是保证计算机系统的正确使用和安全性，防止数据丢失。一般控制在人员控制、逻辑访问控制、设备和业务连续性这些方面进行控制。

　　(1)人员控制

　　涉及人员招募、训练和监督的人员控制必须确保程序和数据职责完成。人员控制包括部门内部职责的分离和数据处理部门的分离。例如，企业应立即停止已离开公司职员所有的访问权限。

　　(2)逻辑访问控制

　　逻辑访问控制对未经授权的访问提供了安全防范。最普遍的安全访问是使用密码，可对密码定义其格式、长度、加密和常规的变化。

　　(3)设备控制

　　设备控制是对计算机设备进行物理保护，如把他们锁在一间保护室或保护柜中，并使用报警系统，如果计算机从其位置上发生移动，报警系统将被激活。

　　(4)业务连续性

　　在系统故障、设备操作系统、程序或数据丢失或毁坏的情况下，业务持续性或灾难恢复计划可从信息系统中恢复关键的业务信息

　2.应用控制

　　应用控制与管理政策配合，对程序和输入、处理和输出数据进行适当的控制，可以弥补一般控制的某些不足。

　　(1)输入控制

　　输入控制的目的是发现和防止错误的交易数据的录人，其中包括:

　　①交易前的数据录人，如在发票与收到的货物，文件和采购订单相匹配后，核准供应商的发票。

　　②数据输入屏幕的规定格式令使用者不得跳过强制输入字段。

　　③输入体系内容的合理检查，如检查给予顾客的折扣是否在允许的限度内。

　　(2)过程控制

　　过程控制确保过程的发生按照公司的要求进行，没有被忽略或处理不当的交易发生。最常见的控制是交易记录、分批平衡和总量控制系统。

　　(3)输出控制

　　输出控制确保输入和处理活动已经被执行，而且生成的信息可靠并分发给用户。主要的输出控制形式是交易清单和例外报告等。

　　3.软件控制和软件盗版

　　软件受著作权法和知识产权法的保护。软件控制防止制作或安装未经授权的软件拷贝，防止因非法使用造成经济处罚的风险。因此，从有信誉的经销商处购买正版软件是重要的控制方式，可以减小上述风险，并且维护好所有软件的实物存盘是必不可少的。

　　4.网络控制

　　计算机和数据安全的具体问题来自于数据处理和电子商务的增长。主要风险是黑客、计算机病毒、电子窃听机密信息、计算机系统故障或自然灾害。基于以上原因，控制必须存在，以防止未经授权的访问，并确保数据的完整性。随着电子商务的增加，这一点变得尤为重要。

　　最常用的网络控制措施有防火墙、数据加密、授权和病毒防护。

　　(1)防火墙。它包括相应的硬件和软件，存在于企业内部网和公共网络之间。它是一套控制程序，即允许公众访问公司计算机系统的某些部分，同时限制其访问其他部分。

　　(2)数据加密。数据在传输前被转化成非可读格式，在传输后重新转换回来。这些数据只能被匹配的解密接收器读取。

　　(3)授权。客户通过身份验证和密码进行注册。

　　(4)病毒防护。病毒是一种计算机程序，它能够自我复制，并在被感染的计算机之间传播。病毒能够修改、删除文件，甚至删除计算机硬盘驱动中的所有内容。因此，使用病毒检测和防护软件扫描病毒，更改用户和删除病毒有助于避免计算机数据遭到破坏。

　　二、信息技术支持服务

　　信息技术部门的规模和结构取决于公司的规模、信息需求和对信息技术的需求程度，以及其信息技术系统是内部供应还是外包。一般来说，企业应有开发新系统的能力，维护和修改现有系统的能力，以及支持用户和对新系统实施足够控制的能力。信息中心已成为企业组织其信息技术职能最常见的方式。信息中心执行某些或以下所有职能满足企业的信息系统战略、信息技术战略和信息管理战略。这些内容包括:

　　1.服务台以应用软件解决用户的问题，包括应用远程诊断软件，为用户提供相关技术进展。

　　2.在硬件和软件购买决策上提供建议，并为系统一体化的标准提供建议，特别是应用企业资源、计划系统、战略性企业管理、决策支持系统和经理信息系统。

　　3.为应用开发提供建议，无论是内部还是使用外包承包商，包括与系统开发过程相关的建议。

　　4.监测网络中央处理器和硬盘存储的使用情况，以保障有足够的能力进行日常数据的备份。

　　5.维护企业数据库。

　　6.系统维护和测试、用户培训和系统地存储用户文档。

　　7.维护信息技术安全

三、信息技术基础设施库

　　信息技术基础设施库通过规划指导商业用户，以商业需求来提供和管理信息技术服务的质量。信息技术基础设施库协助企业调整其信息技术服务。它包括十个流程和一项功能。其中有五个流程目标在于服务支持，五个流程侧重于提供服务。服务台的功能是对所有十个流程的功能接口提供从客户到信息技术的单点联系。这五个服务支持流程和目标包括: