查看匯總：2013年注會《公司戰略與風險管理》基礎講義匯總 

第四節　與信息技術和信息系統相關的風險控制及其管理

　　一、信息技術與信息系統相關的風險控制(掌握)

　　1.信息安全控制

　　安全控制可以從以下四個方面進行界定：

　　● 預測性

　　● 預防性

　　● 偵察性

　　● 矯正性

　　2.信息技術/信息系統控制類型 (重點掌握)

 

　　信息系統控制

　　信息技術控制

　　3.崗位分工與授權審批的重要性

　　適當的崗位分工與授權審批為所有的信息系統或信息技術提供支撐，以確保有關控制能提供控制的有效性和力度。

　　系統開發和變更過程中不相容崗位(或職責)一般應包括：開發(或變更)立項、審批、編程、測試。系統訪問過程中不相容崗位(或職責)一般應包括：申請、審批、操作、監控。一般來說，企業計算機信息系統戰略規劃、重要信息系統政策等重大事項應當經由董事會(或者由企業章程規定的經理、廠長辦公會等類似的決策、治理機構，以下簡稱董事會)審批通過后，方可實施。財會部門負責信息系統中各項業務賬務處理的準確性和及時性;會計電算化制度的制定;財務系統操作規定等。

　　二、信息技術支持服務(熟悉)

　　信息技術部門的規模和結構取決于公司的規模、信息需求和對信息技術的需求程度，以及其信息技術系統是內部供應還是外包。

　　信息中心執行某些或以下所有職能滿足企業的信息系統戰略、信息技術戰略和信息管理戰略。包括：

　　1.服務臺以應用軟件解決用戶的問題，包括應用遠程診斷軟件，為用戶提供相關技術進展。

　　2.在硬件和軟件購買決策上提供建議，并為系統一體化的標準提供建議，特別是應用企業資源計劃系統、戰略性企業管理、決策支持系統和經理信息系統。

　　3.為應用開發提供建議，無論是內部還是使用外包承包商，包括與系統開發過程相關的建議。

　　4.監測網絡中央處理器和硬盤存儲的使用情況，以保障有足夠的能力進行日常數據的備份。

　　5.維護企業數據庫。

　　6.系統維護和測試、用戶培訓和系統地存儲用戶文檔。

　　7.維護信息技術安全。

　　三、信息技術基礎設施庫(掌握)

　　信息技術基礎設施庫協助企業調整其信息技術服務。它包括十個流程和一項功能。

　　其中有五個流程目的在于服務支持，包括配置管理、事件管理、變更管理、問題管理、發布管理;

　　五個流程側重于提供服務，包括服務級別管理、可用性管理、能力管理、信息技術服務持續性管理、財務管理。

　　服務臺的功能是對所有十個流程的功能接口提供了從客戶到信息技術的單點聯系。

　　【例題5·多選題】甲公司會計核算采用的是乙財務信息系統。下列各項乙財務信息系統的控制情形中，屬于應用控制的有(　)。【2011】

　　A.會計人員只能用自己的用戶名和密碼才能登記到乙財務信息系統中

　　B.已經被過入乙財務信息系統明細賬的會計記錄不能被任何人修改或刪除

　　C.會計人員通過乙財務信息系統傳輸數據需要在傳輸前將數據轉化為非可讀格式，在傳輸后重新轉換回來

　　D.會計人員在乙財務信息系統中編制的會計分錄出現借貸方金額不平衡時，系統將提示會計人員必須進行修改

　　『正確答案』BD

　　『答案解析』選項A屬于邏輯訪問控制，屬于一般控制;選項B屬于輸入控制;選項C屬于網絡控制;選項D屬于輸入控制。

　　【例題6·單選題】甲會計師事務所歷來特別重視對客戶資料的保密，除了要求員工恪守職業道德外，甲會計師事務所還在信息系統中加強了控制和管理。當甲會計師事務所員工利用電郵系統與客戶溝通時，有關信息與數據在傳輸前將被轉化成非可讀格式。甲會計師事務所電郵系統所實施的控制類別屬于(　)。【2010】

　　A.輸入控制

　　B.一般控制

　　C.設備控制

　　D.網絡控制

　　『正確答案』D

　　『答案解析』最常用的網絡控制措施有防火墻、數據加密、授權和病毒防護。其中數據加密，是指數據在傳輸前被轉化成非可讀格式，在傳輸后重新轉換回來。這些數據只能被匹配的解密接收器讀取。

　　【例題7·單選題】蘇州某民營企業擁有多家休閑服銷售連鎖店。為防止員工在銷售過程中未經允許給予顧客超出5%的價格折扣，該企業在電子付款系統中設置輸入控制，檢查售貨員輸入的價格折扣，確認在折扣允許限度內才可以進行交易，并打印發票。這種控制的類別是(　)。 【2009】

　　A.過程控制

　　B.一般控制

　　C.邏輯訪問控制

　　D.應用控制

　　『正確答案』D

　　『答案解析』輸入控制屬于應用控制。

　　● 復習時主要把相應控制的類別和含義準確掌握。