信息系统的风险控制与安全概要.doc

第七章 信息系统风险、控制与安全 教案 Ⅰ 本章教学目和规定 通过本章学习，使学生理解会计信息系统也许碰到风险，掌握内部控制概念、作用、功能和分类，掌握会计信息系统控制技术，理解网络会计信息系统安全技术。 II 本章重点 IT环境下信息系统风险分析；会计信息系统内部控制重点及其措施；会计信息系统一般控制基本类型简介；会计信息系统应用控制；网络信息时代内部控制理论。 III 本章难点 会计信息系统一般控制与应用控制区别；网络信息时代内部控制理论；事件驱动会计信息系统风险识别与控制；会计信息系统安全方略。 Ⅳ 本章计划使用教学课时：7课时（课堂讲授5课时，实践2课时） V 教学内容及教学过程组织 教学措施：采用课堂讲授与实践调查相结合方式 〖教学内容引入〗信息技术是一把双刃剑，伴随企业信息系统应用和会计信息系统普及，信息技术协助企业改善了经营管理、强化了会计反应和监控职能、整体提高了企业营运效率和信息质量水平，这些都显现出了信息技术有利一面；但与此同步，恶意数据窃取、计算机舞弊、病毒侵袭、黑客肆意妄为、非法程序变更等现象屡见不鲜，这又折射出了信息技术不利一面。严峻现实告诉我们，信息系统安全问题已经成为企业实行信息化战略时不得不重视一大问题，怎样对信息系统安全进行评价、怎样对信息系统风险进行科学评估并以此为基础构建高效、合理风险控制体系已然成为每一种建立信息系统企业首先要面对重大问题。 第一节 风险与控制之间关系 信息系统使用提高了工作效率和经济效益，充足发挥了信息资源作用,但信息系统在发挥其作用同步也导致了众多不安全原因潜入,具有受到严重侵扰和损坏风险，因此必须采用对应方略进行系统控制，保证系统安全。 一、IT环境下信息系统风险分析 这里着重要讲清晰三个问题：究竟什么是风险；信息系统可以防备手工系统下也许面临哪些风险；IT环境下信息系统究竟面临哪些风险。第一种问题已是老生常谈问题，因此简朴简介即可，抓住关键两点：风险具有不确定性，风险也许导致损失。第二和第三个问题才是此处讲解重点。 由于采用了信息系统，它可以防备手工系统下也许面临如下风险：人工操作错误风险、所加工信息不能充足满足管理需求风险以及数据传递慢轻易出现差错风险。 但与此同步，信息系统也也许带来与手工环境下不一样来源不一样性质风险，重要包括：1、信息安全风险，详细体现4个方面： （1）在信息系统环境下，假如对信息不加以尤其保护，信息比较轻易被非法修改、删除、转移和伪造且不留任何痕迹； （2）通过网络传播信息比较轻易被非法拦截、窃取和窜改； （3）数据档案往往存储在磁、光介质中，这些设备对环境规定较高，假如环境不能满足规定，比较轻易遭受损害，并且假如不常常备份话，也有也许会面临数据丢失风险； （4）轻易遭受计算机病毒侵害与干扰从而导致信息系统中数据被破坏。 2、信息处理差错反复所带来风险。 这重要是基于计算机程序控制错误或者主线就不起作用所导致风险。讲解此点时，有必要提前简朴提一下信息系统环境下信息系统内部控制重要方式。 3、计算机交易授权风险。 4、IT自身带来风险。 IT无论多么先进，难免有其自身局限性或者缺陷，人们在这方面教训也是深刻。 〖课堂提问〗怎样看待IT利与弊？既然IT会导致新风险，那我们为何还要热衷于运用IT改造老式会计？ 二、内部控制概述 此处重要是回忆此前已经在其他课程上学过某些基本概念，例如控制概念、内部控制涵义、内部控制构成要素。 〖教学提议〗这些概念可以简朴简介一下其要点，例如理解控制概念必须波及到控制要素（控制原则、偏差识别、纠正差异），理解内部控制概念则必须懂得其欲到达目（保护企业资产、提高企业营运效率、保证财务汇报精确可靠、保证严格遵照有关法令），而理解内部控制构成要素则要结合COSO内部控制要素模型来理解。 三、会计信息系统内部控制 此处需要讲解4个问题：第一种问题，怎样理解会计信息系统内部控制这一概念，其目和功能究竟是什么？第二个问题，会计信息系统内部控制究竟展现出了哪些新问题，其控制重点在哪里？；第三个问题，会计信息系统内部控制怎样分类；第四个问题，会计信息系统内部控制固有局限性表目前哪些方面。 〖教学提议〗结合实际例子来讲解会计信息系统内部控制详细目以及重要功能，重点讲解第二个问题和第三个问题，合适理解第四个问题。 第二节 会计信息系统一般控制与应用控制 〖教学内容引入〗计算机信息处理环境下内部控制分类从“控制怎样执行”观点来看，可分为人工控制（虽然用者控制）和程序控制；而从“控制执行范围”来看，则可分为一般控制（general control）与应用控制（application control）。那么，究竟什么是一般控制？一般控制又可细分为哪些控制类型？应用控制又是指什么控制？它又包括哪些细分控制类型呢？其控制目与措施又是什么呢？ 一、一般控制 一般控制一般是指各个应用系统均通用控制，也叫基础控制或者环境控制，而应用控制则专指那些专为某个应用系统设计且执行控制。 （一）组织控制 组织控制基本目是减少发生错误和舞弊也许性，其基本规定是职责分离，重要内容包括3个方面，即电算部门与顾客部门职责分离、电算部门内部职责分离以及人事控制。电算部门重要负责业务记录及对数据进行处理和控制，而顾客部门重要负责同意执行多种业务交易。电算部门与顾客部门详细职责分离可从5个方面去理解，而电算部门内部职责分离重要是做好两个方面职责分离（对系统开发职能与数据处理职能进行分离、对数据处理职能进行合适分离）。 组织控制首先可以规章制度形式明确每个部门及人员职责，另首先可通过会计软件中口令控制和授权管理防止越权行为发生。 〖教学提议〗教师可引导学生去理解电算部门与顾客部门为何要进行职责分离？怎样进行职责分离？电算部门内部又为何要进行一定职责分离？应怎样分离？ （二）操作控制 操作控制实际上是对会计信息系统使用操作进行规范控制制度设计，一般，可采用如下某些详细操作控制措施：制定工作计划并严格按章操作；管理人员和操作人员都应严格遵守有关规定（包括上机守则和操作规程等）；作好日志记录登记；制定应急预案和物理安全规则。 〖教学提议〗这方面实践性很强，讲课时只需操作控制重要目以及重要控制措施，引起学生此后在实际工作中对此问题加以重视。 （三）硬件及系统软件控制 〖教学提议〗这方面内容可不作详细讲解。 （四）系统开发控制 〖教学提议〗讲课时，要讲清晰系统开发控制重要用于什么场所，可采用哪些详细控制措施。 （五）系统文档控制 系统文档包括计算机会计信息系统中证、账、表以及所有系统开发中产生数据文档，如系统阐明书，数据流程图，源程序、系统使用手册及编程阐明等。系统文档控制就是指要建立文档管理制度及安全保密制度。系统文档控制重要规则包括4个方面。 〖教学提议〗这方面内容可着重点讲解。 二、应用控制 应用控制应结合详细业务，但由于会计数据处理都是由输入、处理和输出三个阶段构成，因此一般将应用控制分为输入控制、处理控制和输出控制。应用控制由手工控制和程序化控制构成，但以程序化控制为主。 （一）输入控制 这里，可合适简介完整数据输入过程（包括数据产生阶段、数据传递阶段、数据准备阶段以及数据输入阶段）；重点简介输入控制可以采用经典措施（可从数据采集方面和数据输入方面分别讲解）。 〖教学提议〗输入控制是应用控制中非常重要一类控制，因此，它是计算机会计处理区别于手工会计处理一种重要方面，正由于输入控制重要性，在会计信息系统程序设计时，一般会把基本输入控制关系考虑进去，这样既以便顾客操作，又可提高输入数据对性和可靠性。因此，输入控制措施也必要在实践教学中去运用，通过运用加深理解。 （二）处理控制 数据输入计算机后，按照预定程序进行加工处理，在数据处理过程中很少人工干预，一般控制和输入控制对保证数据处理对和可靠起着非常重要作用。不过针对计算错误、用错文献、用错记录、用错程序、输入数据错误在输入过程中没检查出来等状况，还必须在处理过程中设置处理控制。这些处理控制措施大都为纠正性和检查性控制，并且多是程序控制。 处理控制包括重要内容（即处理控制包括详细控制措施或手段）：业务时序控制、数据有效性检查、程序化处理有效性检查、错误改正控制、断点技术、数据合理性检查、平衡及钩稽关系校验等。 〖教学提议〗注意区别输入控制中某些控制措施与处理控制某些控制措施之间不一样。 （三）输出控制 合适讲解输出控制目，重点讲解输出控制内容。 输出控制重要包括对输出内容和格式控制和对输出信息传送过程控制。详细可以采用手段包括：输出授权控制；输入过程控制总数与输出得到控制总数相查对；审校输出成果，检查对性、完整性；将正常业务汇报与例外汇报中有关数据做分析对比；设置输出汇报发送登记簿，记录汇报发送份数、时间、接受人等事项；制定输出错误纠正和对重要数据进行处理规定；在会计报表输出前，由计算机检查报表间应有钩稽关系与否满足，若不满足，则给出错误信息。 〖教学提议〗输出控制作合适简介即可。 不一样单位和不一样计算机会计信息系统内部控制技术措施会有很大差异。应用控制大部分通过程序实现，因此选用会计软件不一样，应用控制实现方式也不一样。不过，不管系统应用控制采用哪种技术措施，都必须保留审计线索。 第三节 网络信息时代内部控制理论 〖教学内容引入〗对老式内部控制进行回忆。 老式会计和审计控制观点是基于如下概念和实践： 1.大量使用硬拷贝文档来搜集会计交易信息,频繁打印会计过程中会计交易中间成果。大量使用纸张来记录、处理和维护历史信息。这种做法符合大多数人习惯,由于他们可以看到处理过程。 2.职责分离,使一种人检查另一种人工作。只要业务活动和信息处理都由人来执行,这种措施就是可行。 3.会计数据反复记录和反复数据大量调整工作。现行信息系统中充斥着反复数据。同样销售事件信息记录在销售发票、销售日志中,并在总账中汇集,若该销售波及信用,则分类账中也记录了该销售信息。并且,销售部门常常在自己系统中按产品和地区保留销售记录。此外,人事部门也保留了同样销售数据,以便于精确支付销售人员佣金。 4.注册会计师认为其角色是独立、反应性和检查性。独立概念正日益深入到会计各个领域,这对会计师验证职能非常重要。会计师反应性要多于积极性,检查性要多于防止性。 5.严重依赖年末对财务报表检查,所需控制较多。 6.相对于运行效率而言，愈加重视内部控制。这重要是由于外部财务报表审计规定，促使会计师们重要考虑影响财务报表精确性财务控制。 7.避开信息技术进步。尽管会计首先大量使用计算机,使会计处理自动化,会计师们在开发IT应用能力方面仍落在了背面。 老式控制观点没有考虑IT对与业务运行、对规则复合程度和信息过程有关风险影响。在网络信息时代，需要建立起一种新控制观念，将IT有效集成到业务和信息过程中，把保护组织和增进组织有机结合起来。为此，可从如下几方面加以贯彻。 一、明确防止商业风险是会计师首要职责 二、对看待风险和特定控制程序之间关系 三、内部控制程序设计应到达保护与高效并重效果 四、IT也许带来风险，但它更是控制风险工具 五、信息可见性与风险水平无关 六、小型组织同样也可充足运用信息技术强化内部控制 七、网络信息时代内部控制观点总结 八、事件驱动会计信息系统风险识别与控制 〖教学提议〗此八点是本章学习重点，也是学习难点，讲课时，需要进行较为深入讲解分析。 第四节 信息系统安全影响原因分析 一、信息系统安全含义 此处关键是理解信息系统安全详细含义，合适与信息安全这个概念加以辨别。 从系统过程与控制角度看，信息系统安全就是信息在存取、处理、集散和传播中保持其机密性、完整性、可用性、可审计性和抗抵赖性系统识别、控制、方略和过程。 信息系统安全是一种多维、多层次、多原因、多目体系，虽然信息系统安全唯一和最终目是保障信息内容在系统内任何地方、任何时间和任何状态下机密性，完整性和可用性，不过离开了信息系统安全体系，孤立和单纯寻求直接保护信息内容措施，显然是舍本逐末。 二、影响信息系统安全性重要原因 信息系统自身由于系统主体和客体原因也许存在不一样程度脆弱性，这就为多种动机袭击提供了入侵、骚扰和破坏信息系统可运用途径和措施。影响信息系统安全原因要有如下几种方面：硬件组织、软件组织、网络和通信协议以及管理者。 〖教学提议〗讲课时，需要分别讲清晰上述四个方面影响原因是怎样影响信息系统安全性。 第五节 会计信息系统安全问题及保障技术 一、会计信息系统安全问题详细体现 会计信息系统是一种特殊信息系统，它除了一般信息系统安全特性外，还具有自身某些安全特点。会计信息系统安全风险是指由于人为或非人为原因使会计信息系统保护安全能力减弱，从而产生系统信息失真、失窃，使单位财产遭受损失，或系统硬件、软件无法正常运行等成果发生也许性。会计信息系统安全风险重要表目前如下几种方面：会计信息真实性、可靠性得不到保证；企业重要数据泄密；会计信息存在被窜改也许性。 〖教学提议〗实际上，会计信息系统安全风险表目前许多方面，这里只是择其重要方面进行简介，教师可引导学生思索与否有其他方面体现。 二、会计信息系统安全方略 所谓对症下药，会计信息系统安全方略当然要针对其所面临重要安全问题以及安全风险详细体现来采用对应方略，概括起来就是从内部控制制度和技术控制手段两方面着手处理影响会计信息系统安全问题，详细来说，就是首先要健全内部控制制度，另首先加强实行技术控制手段。技术控制手段重要包括防火墙、密匙技术、数字签名等。 〖教学提议〗讲课时，健全内部控制制度只需简朴简介一下，对实行技术控制手段中防火墙和数字签名技术可详细讲解，以便学生真正明白这些技术用途和工作原理，此后在实际工作中可以积极运用这些技术保证会计信息系统安全可靠。 三、网络会计信息系统安全性评估指标 此处网络会计信息系统是指建立在互联网环境基础上会计信息系统，是电子商务重要构成部分；它将协助企业实现财务与业务协同远程报表、报账、查账、审计等远程处理，事中动态会计核算与在线财务管理，支持电子单据与电子货币，变化财务信息获取与运用方式。 影响网络会计信息系统安全性原因诸多，对其惊醒评价时，重要考虑如下10个指标： 安全方针；安全组织；人员安全；物理与环境安全；计算机与网络管理；系统访问控制；系统开发与维护；业务持续管理；合规性。 〖教学提议〗网络会计信息系统所面临安全问题显然与一般会计信息系统是不一样样，教师在讲课时，可引导学生思索网络会计信息系统环境与一般会计信息系统环境有何不一样，从信息系统所处环境出发来理解上述10个指标评价作用和影响程度。 VI 本章小结 参见本章教学课件 VII 复习思索题 参见本章教学大纲 VIII 阅读资料 参见本课程配套教材第385页