2013注冊(cè)會(huì)計(jì)師《戰(zhàn)略風(fēng)險(xiǎn)》第十二章科目輔導(dǎo)(7)

第四節(jié)　與信息技術(shù)和信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制及其管理
 

　　一、信息技術(shù)與信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn)控制

　　系統(tǒng)和數(shù)據(jù)很容易因以下的原因受到損失，即人為錯(cuò)誤、蓄意的欺騙行為、技術(shù)性錯(cuò)誤(如硬件或軟件故障)和自然災(zāi)害(如火災(zāi)、水災(zāi)、爆炸和閃電)。因此，信息安全非常重要。為了保護(hù)公司的信息資源，需要進(jìn)行風(fēng)險(xiǎn)評(píng)估和控制來(lái)減輕這些風(fēng)險(xiǎn)，信息技術(shù)行業(yè)有許多不同的控制方式。
 

　　(一)信息安全控制

　　安全控制可以從以下四個(gè)方面進(jìn)行界定, 以發(fā)揮其特性。

　　1.預(yù)測(cè)性。確定可能的問(wèn)題并提出適當(dāng)?shù)目刂啤?/p>

　　2.預(yù)防性。將發(fā)生風(fēng)險(xiǎn)的可能降至最低，例如，防火墻可以防止未經(jīng)授權(quán)的訪問(wèn)。

　　3.偵察性。日志能夠保存那些未經(jīng)授權(quán)的訪問(wèn)記錄。

　　4.矯正性。對(duì)未經(jīng)授權(quán)的訪問(wèn)造成的后果提出修正的方法。
 

　　(二)信息技術(shù)/信息系統(tǒng)控制類型

　　信息系統(tǒng)中的控制可分為兩大類：一般控制和應(yīng)用控制。而信息技術(shù)控制主要用于軟件和網(wǎng)絡(luò)的控制。
 

　　1. 一般控制。從總體上確保企業(yè)對(duì)其信息系統(tǒng)控制的有效性。一般控制的目標(biāo)是保證計(jì)算機(jī)系統(tǒng)的正確使用和安全性，防止數(shù)據(jù)丟失。一般控制在人員控制、邏輯訪問(wèn)控制、設(shè)備和業(yè)務(wù)連續(xù)性這些方面進(jìn)行控制。
 

　　(1)人員控制

　　涉及到人員招募、訓(xùn)練和監(jiān)督的人員控制必須確保程序和數(shù)據(jù)職責(zé)完成。人員控制包括部門內(nèi)部職責(zé)的分離和數(shù)據(jù)處理部門的分離。例如，企業(yè)應(yīng)立即停止已離開(kāi)公司職員所有的訪問(wèn)權(quán)限。
 

　　(2)邏輯訪問(wèn)控制

　　邏輯訪問(wèn)控制對(duì)未經(jīng)授權(quán)的訪問(wèn)提供了安全保護(hù)。最普遍的安全訪問(wèn)是通過(guò)密碼，可對(duì)密碼定義其格式、長(zhǎng)度、加密和常規(guī)的變化。
 

　　(3)設(shè)備控制

　　設(shè)備控制是對(duì)計(jì)算機(jī)設(shè)備進(jìn)行物理保護(hù)，如把他們鎖在一間保護(hù)室或保護(hù)柜中，并使用報(bào)警系統(tǒng)，如果計(jì)算機(jī)從其位置上發(fā)生移動(dòng)，報(bào)警系統(tǒng)將被激活。
 

　　(4)業(yè)務(wù)連續(xù)性

　　在系統(tǒng)故障、設(shè)備操作系統(tǒng)、程序或數(shù)據(jù)丟失或毀壞的情況下，業(yè)務(wù)持續(xù)性或?yàn)?zāi)難恢復(fù)計(jì)劃可從信息系統(tǒng)中恢復(fù)關(guān)鍵的業(yè)務(wù)信息。
 

　　2. 應(yīng)用控制

　　應(yīng)用控制與管理政策配合，對(duì)程序和輸入、處理和輸出數(shù)據(jù)進(jìn)行適當(dāng)?shù)目刂?，可以彌補(bǔ)一般控制的某些不足。
 

　　(1) 輸入控制

　　輸入控制的目的是發(fā)現(xiàn)和防止錯(cuò)誤的交易數(shù)據(jù)的錄入，其中包括：

　　*9、交易前的數(shù)據(jù)錄入，如在發(fā)票與收到的貨物，文件和采購(gòu)訂單相匹配后，核準(zhǔn)供應(yīng)商的發(fā)票。

　　第二、數(shù)據(jù)輸入屏幕的規(guī)定格式令使用者不得跳過(guò)強(qiáng)制輸入字段。

　　第三、輸入體系內(nèi)容的合理檢查，如檢查給予顧客的折扣是否在允許的限度內(nèi)。