第七章 信息系統(tǒng)的風險、控制與安全

1、第七章 信息系統(tǒng)的風險、控制與安全教案 本章教學目的和要求通過本章的學習，使學生了解會計信息系統(tǒng)可能遇到的風險，掌握內(nèi)部控制的概念、作用、功能和分類，掌握會計信息系統(tǒng)的控制技術(shù)，了解網(wǎng)絡(luò)會計信息系統(tǒng)的安全技術(shù)。II 本章重點IT環(huán)境下信息系統(tǒng)的風險分析；會計信息系統(tǒng)的內(nèi)部控制重點及其措施；會計信息系統(tǒng)的一般控制基本類型介紹；會計信息系統(tǒng)的應用控制；網(wǎng)絡(luò)信息時代的內(nèi)部控制理論。III 本章難點會計信息系統(tǒng)的一般控制與應用控制的區(qū)別；網(wǎng)絡(luò)信息時代的內(nèi)部控制理論；事件驅(qū)動會計信息系統(tǒng)的風險識別與控制；會計信息系統(tǒng)的安全策略。 本章計劃使用教學課時：7課時（課堂講授5課時，實踐2課時）V 教學內(nèi)容及教

2、學過程的組織教學方法：采用課堂講授與實踐調(diào)查相結(jié)合的方式教學內(nèi)容引入信息技術(shù)是一把雙刃劍，隨著企業(yè)信息系統(tǒng)的應用和會計信息系統(tǒng)的普及，信息技術(shù)幫助企業(yè)改善了經(jīng)營管理、強化了會計的反映和監(jiān)控職能、整體提高了企業(yè)的營運效率和信息質(zhì)量水平，這些都顯現(xiàn)出了信息技術(shù)的有利一面；但與此同時，惡意的數(shù)據(jù)竊取、計算機舞弊、病毒侵襲、黑客的肆意妄為、非法的程序變更等現(xiàn)象屢見不鮮，這又折射出了信息技術(shù)的不利一面。嚴峻的現(xiàn)實告訴我們，信息系統(tǒng)安全問題已經(jīng)成為企業(yè)實施信息化戰(zhàn)略時不得不重視的一大問題，如何對信息系統(tǒng)的安全進行評價、如何對信息系統(tǒng)的風險進行科學評估并以此為基礎(chǔ)構(gòu)建高效、合理的風險控制體系已然成為每一個建

3、立信息系統(tǒng)的企業(yè)首先要面對的重大問題。第一節(jié) 風險與控制之間的關(guān)系信息系統(tǒng)的使用提高了工作效率和經(jīng)濟效益，充分發(fā)揮了信息資源的作用,但信息系統(tǒng)在發(fā)揮其作用的同時也導致了眾多不安全因素的潛入,具有受到嚴重侵擾和損壞的風險，所以必須采取相應的策略進行系統(tǒng)控制，保證系統(tǒng)的安全。一、IT環(huán)境下信息系統(tǒng)的風險分析這里著重要講清楚三個問題：到底什么是風險；信息系統(tǒng)可以防范手工系統(tǒng)下可能面臨的哪些風險；IT環(huán)境下信息系統(tǒng)到底面臨哪些風險。第一個問題已是老生常談的問題，因此簡單介紹即可，抓住關(guān)鍵兩點：風險具有不確定性，風險可能導致?lián)p失。第二和第三個問題才是此處講解的重點。由于采用了信息系統(tǒng)，它可以防范手工系統(tǒng)

4、下可能面臨的以下風險：人工操作錯誤的風險、所加工的信息不能充分滿足管理需求的風險以及數(shù)據(jù)傳遞慢容易出現(xiàn)差錯的風險。但與此同時，信息系統(tǒng)也可能帶來與手工環(huán)境下不同來源不同性質(zhì)的風險，主要包括：1、信息安全風險，具體表現(xiàn)4個方面：（1）在信息系統(tǒng)環(huán)境下，如果對信息不加以特別保護，信息比較容易被非法修改、刪除、轉(zhuǎn)移和偽造且不留任何痕跡；（2）通過網(wǎng)絡(luò)傳輸?shù)男畔⒈容^容易被非法攔截、竊取和竄改；（3）數(shù)據(jù)檔案往往存儲在磁、光介質(zhì)中，這些設(shè)備對環(huán)境要求較高，如果環(huán)境不能滿足要求，比較容易遭受損害，并且如果不經(jīng)常備份的話，也有可能會面臨數(shù)據(jù)丟失的風險；（4）容易遭受計算機病毒的侵害與干擾從而導致信息系統(tǒng)中的

5、數(shù)據(jù)被破壞。2、信息處理差錯反復所帶來的風險。這主要是基于計算機程序控制錯誤或者根本就不起作用所導致的風險。講解此點時，有必要提前簡單提一下信息系統(tǒng)環(huán)境下的信息系統(tǒng)內(nèi)部控制的主要方式。3、計算機交易授權(quán)風險。4、IT本身帶來的風險。IT無論多么先進，難免有其自身的局限性或者缺陷，人們在這方面的教訓也是深刻的。課堂提問如何看待IT的利與弊？既然IT會導致新風險，那我們?yōu)楹芜€要熱衷于運用IT改造傳統(tǒng)會計？二、內(nèi)部控制概述此處主要是回顧以前已經(jīng)在其他課程上學過的一些基本概念，比如控制概念、內(nèi)部控制的涵義、內(nèi)部控制的組成要素。教學建議這些概念可以簡單介紹一下其要點，比如理解控制概念必須涉及到控制要素（

6、控制標準、偏差識別、糾正差異），理解內(nèi)部控制概念則必須知道其欲達成的目標（保護公司資產(chǎn)、提高公司營運效率、保證財務(wù)報告的準確可靠、保證嚴格遵循相關(guān)法令），而理解內(nèi)部控制的組成要素則要結(jié)合COSO的內(nèi)部控制要素模型來理解。三、會計信息系統(tǒng)內(nèi)部控制此處需要講解4個問題：第一個問題，如何理解會計信息系統(tǒng)內(nèi)部控制這一概念，其目的和功能到底是什么？第二個問題，會計信息系統(tǒng)的內(nèi)部控制到底呈現(xiàn)出了哪些新問題，其控制重點在哪里？；第三個問題，會計信息系統(tǒng)內(nèi)部控制如何分類；第四個問題，會計信息系統(tǒng)內(nèi)部控制固有的局限性表現(xiàn)在哪些方面。教學建議結(jié)合實際例子來講解會計信息系統(tǒng)的內(nèi)部控制的具體目的以及主要功能，重點講解

7、第二個問題和第三個問題，適當了解第四個問題。 第二節(jié) 會計信息系統(tǒng)的一般控制與應用控制教學內(nèi)容引入計算機信息處理環(huán)境下內(nèi)部控制分類從“控制如何執(zhí)行”的觀點來看，可分為人工控制（即使用者控制）和程序控制；而從“控制執(zhí)行的范圍”來看，則可分為一般控制（general control）與應用控制（application control）。那么，到底什么是一般控制？一般控制又可細分為哪些控制類型？應用控制又是指的什么控制？它又包括哪些細分的控制類型呢？其控制目的與措施又是什么呢？一、一般控制一般控制通常是指各個應用系統(tǒng)均通用的控制，也叫基礎(chǔ)控制或者環(huán)境控制，而應用控制則專指那些專為某個應用系統(tǒng)設(shè)計且執(zhí)

8、行的控制。（一）組織控制組織控制的基本目標是減少發(fā)生錯誤和舞弊的可能性，其基本要求是職責分離，主要內(nèi)容包括3個方面，即電算部門與用戶部門的職責分離、電算部門內(nèi)部的職責分離以及人事控制。電算部門主要負責業(yè)務(wù)記錄及對數(shù)據(jù)進行處理和控制，而用戶部門主要負責批準執(zhí)行各種業(yè)務(wù)交易。電算部門與用戶部門的具體職責分離可從5個方面去理解，而電算部門內(nèi)部職責分離主要是做好兩個方面的職責分離（對系統(tǒng)開發(fā)職能與數(shù)據(jù)處理職能進行分離、對數(shù)據(jù)處理職能進行適當分離）。組織控制一方面可以規(guī)章制度的形式明確每個部門及人員的職責，另一方面可通過會計軟件中口令控制和授權(quán)管理防止越權(quán)行為的發(fā)生。教學建議教師可引導學生去理解電算部門

9、與用戶部門為何要進行職責分離？怎樣進行職責分離？電算部門內(nèi)部又為何要進行一定的職責分離？應如何分離？（二）操作控制操作控制實際上是對會計信息系統(tǒng)的使用操作進行規(guī)范控制的制度設(shè)計，通常，可采取以下一些具體操作控制措施：制定工作計劃并嚴格按章操作；管理人員和操作人員都應嚴格遵守相關(guān)規(guī)定（包括上機守則和操作規(guī)程等）；作好日志記錄的登記；制定應急預案和物理安全規(guī)則。教學建議這方面實踐性很強，授課時只需操作控制的主要目的以及主要控制措施，引起學生今后在實際工作中對此問題加以重視。（三）硬件及系統(tǒng)軟件控制教學建議這方面的內(nèi)容可不作詳細講解。（四）系統(tǒng)開發(fā)控制教學建議授課時，要講清楚系統(tǒng)開發(fā)控制主要用于什么

10、場合，可采取哪些具體的控制措施。（五）系統(tǒng)文檔控制系統(tǒng)文檔包括計算機會計信息系統(tǒng)中的證、賬、表以及所有系統(tǒng)開發(fā)中產(chǎn)生的數(shù)據(jù)文檔，如系統(tǒng)說明書，數(shù)據(jù)流程圖，源程序、系統(tǒng)使用手冊及編程說明等。系統(tǒng)文檔控制就是指要建立文檔管理制度及安全保密制度。系統(tǒng)文檔控制的主要規(guī)則包括4個方面。教學建議這方面內(nèi)容可著重點講解。二、應用控制應用控制應結(jié)合具體的業(yè)務(wù)，但由于會計數(shù)據(jù)處理都是由輸入、處理和輸出三個階段構(gòu)成，所以一般將應用控制分為輸入控制、處理控制和輸出控制。應用控制由手工控制和程序化控制構(gòu)成，但以程序化控制為主。（一）輸入控制這里，可適當介紹完整的數(shù)據(jù)輸入過程（包括數(shù)據(jù)產(chǎn)生階段、數(shù)據(jù)傳遞階段、數(shù)據(jù)準備階

11、段以及數(shù)據(jù)輸入階段）；重點介紹輸入控制可以采取的典型方法（可從數(shù)據(jù)采集方面和數(shù)據(jù)輸入方面分別講解）。教學建議輸入控制是應用控制中的非常重要的一類控制，因此，它是計算機會計處理區(qū)別于手工會計處理的一個重要方面，正因為輸入控制的重要性，在會計信息系統(tǒng)程序設(shè)計時，通常會把基本的輸入控制關(guān)系考慮進去，這樣既方便用戶操作，又可提高輸入數(shù)據(jù)的正確性和可靠性。因此，輸入控制措施也必要在實踐教學中去運用，通過運用加深理解。（二）處理控制數(shù)據(jù)輸入計算機后，按照預定的程序進行加工處理，在數(shù)據(jù)處理過程中極少人工干預，一般控制和輸入控制對保證數(shù)據(jù)處理的正確和可靠起著非常重要的作用。但是針對計算錯誤、用錯文件、用錯記錄

12、、用錯程序、輸入數(shù)據(jù)錯誤在輸入過程中沒檢查出來等情況，還必須在處理過程中設(shè)置處理控制。這些處理控制措施大都為糾正性和檢查性控制，而且多是程序控制。處理控制包括的主要內(nèi)容（即處理控制包括的具體控制措施或手段）：業(yè)務(wù)時序控制、數(shù)據(jù)有效性檢驗、程序化處理有效性檢驗、錯誤更正控制、斷點技術(shù)、數(shù)據(jù)合理性檢查、平衡及鉤稽關(guān)系校驗等。教學建議注意區(qū)別輸入控制中的某些控制措施與處理控制的某些控制措施之間的不同。（三）輸出控制適當講解輸出控制的目的，重點講解輸出控制的內(nèi)容。輸出控制主要包括對輸出內(nèi)容和格式的控制和對輸出信息的傳送過程的控制。具體可以采取的手段包括：輸出授權(quán)控制；輸入過程的控制總數(shù)與輸出得到的控制

13、總數(shù)相核對；審校輸出結(jié)果，檢查正確性、完整性；將正常業(yè)務(wù)報告與例外報告中有關(guān)數(shù)據(jù)做分析對比；設(shè)置輸出報告發(fā)送登記簿，記錄報告發(fā)送份數(shù)、時間、接受人等事項；制訂輸出錯誤糾正和對重要數(shù)據(jù)進行處理的規(guī)定；在會計報表輸出前，由計算機檢查報表間應有的鉤稽關(guān)系是否滿足，若不滿足，則給出錯誤信息。教學建議輸出控制作適當介紹即可。不同的單位和不同的計算機會計信息系統(tǒng)內(nèi)部控制的技術(shù)方法會有很大差異。應用控制大部分通過程序?qū)崿F(xiàn)，所以選用的會計軟件不同，應用控制的實現(xiàn)方式也不同。但是，不管系統(tǒng)的應用控制采用哪種技術(shù)方法，都必須保留審計線索。第三節(jié) 網(wǎng)絡(luò)信息時代的內(nèi)部控制理論教學內(nèi)容引入對傳統(tǒng)內(nèi)部控制進行回顧。傳統(tǒng)的

14、會計和審計控制觀點是基于以下的概念和實踐：1.大量使用硬拷貝文檔來收集會計交易的信息,頻繁打印會計過程中會計交易的中間結(jié)果。大量使用紙張來記錄、處理和維護歷史信息。這種做法符合大多數(shù)人的習慣,因為他們可以看到處理過程。2.職責分離,使一個人檢查另一個人的工作。只要業(yè)務(wù)活動和信息處理都由人來執(zhí)行,這種方法就是可行的。3.會計數(shù)據(jù)的重復記錄和重復數(shù)據(jù)的大量調(diào)整工作?，F(xiàn)行的信息系統(tǒng)中充滿著重復數(shù)據(jù)。同樣的銷售事件信息記錄在銷售發(fā)票、銷售日志中,并在總賬中匯集,若該銷售涉及信用,則分類賬中也記錄了該銷售信息。而且,銷售部門常常在自己的系統(tǒng)中按產(chǎn)品和地區(qū)保留銷售記錄。另外,人事部門也保留了同樣的銷售數(shù)據(jù)

15、,以便于準確支付銷售人員的傭金。4.注冊會計師認為其角色是獨立的、反映性的和檢查性的。獨立的概念正日益深入到會計的各個領(lǐng)域,這對會計師的驗證職能非常重要。會計師的反映性要多于主動性,檢查性要多于預防性。5.嚴重依賴年末對財務(wù)報表的檢查,所需控制較多。6.相對于運行效率而言，更加注重內(nèi)部控制。這主要是由于外部財務(wù)報表審計的要求，促使會計師們主要考慮影響財務(wù)報表準確性的財務(wù)控制。7.避開信息技術(shù)的進步。盡管會計首先大量使用計算機,使會計處理自動化,會計師們在開發(fā)IT的應用能力方面仍落在了后面。傳統(tǒng)的控制觀點沒有考慮IT對與業(yè)務(wù)運行、對規(guī)則的復合程度和信息過程相關(guān)的風險的影響。在網(wǎng)絡(luò)信息時代，需要建

16、立起一種新的控制觀念，將IT有效的集成到業(yè)務(wù)和信息過程中，把保護組織和促進組織有機結(jié)合起來。為此，可從以下幾方面加以落實。一、明確預防商業(yè)風險是會計師的首要職責二、正確對待風險和特定控制程序之間的關(guān)系三、內(nèi)部控制程序的設(shè)計應達到保護與高效并重的效果四、IT可能帶來風險，但它更是控制風險的工具五、信息的可見性與風險水平無關(guān)六、小型組織同樣也可充分運用信息技術(shù)強化內(nèi)部控制七、網(wǎng)絡(luò)信息時代內(nèi)部控制觀點總結(jié)八、事件驅(qū)動會計信息系統(tǒng)的風險識別與控制教學建議此八點是本章的學習重點，也是學習難點，授課時，需要進行較為深入的講解分析。第四節(jié) 信息系統(tǒng)的安全影響因素分析一、信息系統(tǒng)安全的含義此處關(guān)鍵是理解信息系

17、統(tǒng)安全的具體含義，適當與信息安全這個概念加以區(qū)分。從系統(tǒng)過程與控制角度看，信息系統(tǒng)安全就是信息在存取、處理、集散和傳輸中保持其機密性、完整性、可用性、可審計性和抗抵賴性的系統(tǒng)識別、控制、策略和過程。信息系統(tǒng)安全是一個多維、多層次、多因素、多目標的體系，雖然信息系統(tǒng)安全的唯一和最終目標是保障信息內(nèi)容在系統(tǒng)內(nèi)的任何地方、任何時間和任何狀態(tài)下的機密性，完整性和可用性，但是離開了信息系統(tǒng)安全的體系，孤立的和單純的尋求直接保護信息內(nèi)容的方法，顯然是舍本逐末。二、影響信息系統(tǒng)安全性的主要因素信息系統(tǒng)本身由于系統(tǒng)主體和客體的原因可能存在不同程度的脆弱性，這就為各種動機的攻擊提供了入侵、騷擾和破壞信息系統(tǒng)可利

18、用的途徑和方法。影響信息系統(tǒng)安全的因素要有以下幾個方面：硬件組織、軟件組織、網(wǎng)絡(luò)和通信協(xié)議以及管理者。教學建議授課時，需要分別講清楚上述四個方面的影響因素是如何影響信息系統(tǒng)的安全性的。第五節(jié) 會計信息系統(tǒng)的安全問題及保障技術(shù)一、會計信息系統(tǒng)安全問題的具體表現(xiàn)會計信息系統(tǒng)是一種特殊的信息系統(tǒng)，它除了一般信息系統(tǒng)的安全特征外，還具有自身的一些安全特點。會計信息系統(tǒng)的安全風險是指由于人為的或非人為的因素使會計信息系統(tǒng)保護安全的能力的減弱，從而產(chǎn)生系統(tǒng)的信息失真、失竊，使單位的財產(chǎn)遭受損失，或系統(tǒng)的硬件、軟件無法正常運行等結(jié)果發(fā)生的可能性。會計信息系統(tǒng)的安全風險主要表現(xiàn)在以下幾個方面：會計信息的真實性、可靠性得不到保證；企業(yè)重要的數(shù)據(jù)泄密；會計信息存在被竄改的可能性。教學建議實際上，會計信息系統(tǒng)的安全風險表現(xiàn)在許多方面，這里只是擇其重要方面進行介紹，教師可引導學生思考是否有其他方面的表現(xiàn)。二、會計信息系統(tǒng)的安全策略所謂對癥下藥，會計信息系統(tǒng)的安全策略當然要針對其所面臨的主要安全問題以及安全風險的具體表現(xiàn)來采