2011年注冊會計師考試公司戰略與風險管理精講筆記53

第四節 與信息技術和信息系統相關的風險控制及其管理

　　一、信息技術與信息系統相關的鳳險控制

　　系統和數據很容易因以下的原因受到損失，即人為錯誤、蓄意的欺騙行為、技術性錯誤(如硬件或軟件故障)和自然災害(如火災、水災、爆炸和閃電)。因此，信息安全非常重要。為了保護公司的信息資源，需要進行風險評估和控制來減輕這些風險，信息技術行業有許多不同的控制方式。

　　(一)信息安全控制

　　安全控制可以從以下四個方面進行界定，以發揮其特性。

　　1.預測性。確定可能的問題并提出適當的控制。

　　2.預防性。將發生風險的可能降至最低，例如，防火墻可以防止未經授權的訪問。

　　3.偵察性。日志能夠保存那些未經授權的訪問記錄。

　　4.矯正性。對未經授權的訪問造成的后果提出修正的方法。

　　(二)信息技術/信息系統控制類型

　　信息系統中的控制可分為兩大類:一般控制和應用控制。而信息技術控制主要用于軟件和網絡的控制。

　　1.一般控制。

　　從總體上確保企業對其信息系統控制的有效性。一般控制的目標是保證計算機系統的正確使用和安全性，防止數據丟失。一般控制在人員控制、邏輯訪問控制、設備和業務連續性這些方面進行控制。

　　(1)人員控制

　　涉及人員招募、訓練和監督的人員控制必須確保程序和數據職責完成。人員控制包括部門內部職責的分離和數據處理部門的分離。例如，企業應立即停止已離開公司職員所有的訪問權限。

　　(2)邏輯訪問控制

　　邏輯訪問控制對未經授權的訪問提供了安全防范。最普遍的安全訪問是使用密碼，可對密碼定義其格式、長度、加密和常規的變化。

　　(3)設備控制

　　設備控制是對計算機設備進行物理保護，如把他們鎖在一間保護室或保護柜中，并使用報警系統，如果計算機從其位置上發生移動，報警系統將被激活。

　　(4)業務連續性

　　在系統故障、設備操作系統、程序或數據丟失或毀壞的情況下，業務持續性或災難恢復計劃可從信息系統中恢復關鍵的業務信息

　2.應用控制

　　應用控制與管理政策配合，對程序和輸入、處理和輸出數據進行適當的控制，可以彌補一般控制的某些不足。

　　(1)輸入控制

　　輸入控制的目的是發現和防止錯誤的交易數據的錄人，其中包括:

　　①交易前的數據錄人，如在發票與收到的貨物，文件和采購訂單相匹配后，核準供應商的發票。

　　②數據輸入屏幕的規定格式令使用者不得跳過強制輸入字段。

　　③輸入體系內容的合理檢查，如檢查給予顧客的折扣是否在允許的限度內。

　　(2)過程控制

　　過程控制確保過程的發生按照公司的要求進行，沒有被忽略或處理不當的交易發生。最常見的控制是交易記錄、分批平衡和總量控制系統。

　　(3)輸出控制

　　輸出控制確保輸入和處理活動已經被執行，而且生成的信息可靠并分發給用戶。主要的輸出控制形式是交易清單和例外報告等。

　　3.軟件控制和軟件盜版

　　軟件受著作權法和知識產權法的保護。軟件控制防止制作或安裝未經授權的軟件拷貝，防止因非法使用造成經濟處罰的風險。因此，從有信譽的經銷商處購買正版軟件是重要的控制方式，可以減小上述風險，并且維護好所有軟件的實物存盤是必不可少的。

　　4.網絡控制

　　計算機和數據安全的具體問題來自于數據處理和電子商務的增長。主要風險是黑客、計算機病毒、電子竊聽機密信息、計算機系統故障或自然災害。基于以上原因，控制必須存在，以防止未經授權的訪問，并確保數據的完整性。隨著電子商務的增加，這一點變得尤為重要。

　　最常用的網絡控制措施有防火墻、數據加密、授權和病毒防護。

　　(1)防火墻。它包括相應的硬件和軟件，存在于企業內部網和公共網絡之間。它是一套控制程序，即允許公眾訪問公司計算機系統的某些部分，同時限制其訪問其他部分。

　　(2)數據加密。數據在傳輸前被轉化成非可讀格式，在傳輸后重新轉換回來。這些數據只能被匹配的解密接收器讀取。

　　(3)授權。客戶通過身份驗證和密碼進行注冊。

　　(4)病毒防護。病毒是一種計算機程序，它能夠自我復制，并在被感染的計算機之間傳播。病毒能夠修改、刪除文件，甚至刪除計算機硬盤驅動中的所有內容。因此，使用病毒檢測和防護軟件掃描病毒，更改用戶和刪除病毒有助于避免計算機數據遭到破壞。

　　二、信息技術支持服務

　　信息技術部門的規模和結構取決于公司的規模、信息需求和對信息技術的需求程度，以及其信息技術系統是內部供應還是外包。一般來說，企業應有開發新系統的能力，維護和修改現有系統的能力，以及支持用戶和對新系統實施足夠控制的能力。信息中心已成為企業組織其信息技術職能最常見的方式。信息中心執行某些或以下所有職能滿足企業的信息系統戰略、信息技術戰略和信息管理戰略。這些內容包括:

　　1.服務臺以應用軟件解決用戶的問題，包括應用遠程診斷軟件，為用戶提供相關技術進展。

　　2.在硬件和軟件購買決策上提供建議，并為系統一體化的標準提供建議，特別是應用企業資源、計劃系統、戰略性企業管理、決策支持系統和經理信息系統。

　　3.為應用開發提供建議，無論是內部還是使用外包承包商，包括與系統開發過程相關的建議。

　　4.監測網絡中央處理器和硬盤存儲的使用情況，以保障有足夠的能力進行日常數據的備份。

　　5.維護企業數據庫。

　　6.系統維護和測試、用戶培訓和系統地存儲用戶文檔。

　　7.維護信息技術安全

三、信息技術基礎設施庫

　　信息技術基礎設施庫通過規劃指導商業用戶，以商業需求來提供和管理信息技術服務的質量。信息技術基礎設施庫協助企業調整其信息技術服務。它包括十個流程和一項功能。其中有五個流程目標在于服務支持，五個流程側重于提供服務。服務臺的功能是對所有十個流程的功能接口提供從客戶到信息技術的單點聯系。這五個服務支持流程和目標包括: