第三章 战略选择-信息技术与信息系统相关的风险控制.pdfVIP

2015年注册会计师资格考试内部资料 公司战略与风险管理 第三章　战略选择 知识点：信息技术与信息系统相关的风险控制 ● 详细描述： 1.信息技术与信息系统相关的风险控制 （1）信息安全控制层面 ① 预测性。确定可能的问题并提出适当的控制。 ② 预防性。将发生风险的可能降至最低，例如，防火墙可以防止未经 授权的访问。 ③ 侦察性。日志能够保存那些未经授权的访问记录。 ④ 矫正性。对未经授权的访问造成的后果提出修正的方法。 （2）信息技术/信息系统控制类型 信息系统控制：一般控制 + 应用控制 类型 具体类型 描　述 一般 控制 人员控制 涉及人员招募、训练 和监督的人员控制。 人员控制包括部门内 部职责的分离和数据 处理部门的分离。例 如，企业应立即停止 已离开公司职员所有 的访问权限。 逻辑访问控制 逻辑访问控制对未经 授权的访问提供了安 全防范。最普遍的安 全访问是使用密码。 设备控制 包括物理保护及管理 。 ● 保护是指物理 保护，对计算机设备 进行物理保护，例如 ，把它们锁在一间保 护室或保护柜中，并 使用报警系统。 ● 管理是指将新增、报 废、流转的设备建档 登记，统一管理。 业务连续性 在系统故障、设备操 作系统、程序或数据 丢失或毁坏的情况下 ，业务持续性或灾难 恢复计划可从信息系 统中恢复关键的业务 信息。 类型 具体类型 描　述 应用控制 输入控制 输入控制的目的是发 现和防止错误的交易 数据的录入，其中包 括： A.交易前的数 据录入，如在发票与 收到的货物，文件和 采购订单相匹配后 ，核准供应商的发票 。 B.数据输入屏幕 的规定格式令使用者 不得跳过强制输入字 段。 C.输入体系内 容的合理检查，如检 查给予顾客的折扣是 否在允许的限度内。 应用控制 过程控制 过程控制确保过程的 发生按照公司的要求 进行，没有被忽略或 处理不当的交易发生 。最常见的控制是交 易记录、分批平衡和 总量控制系统。 输出控制 输出控制确保输入和 处理活动已经被执行 ，而且生成的信息可 靠并分发给用户。主 要的输出控制形式是 交易清单和例外报告 等。 类型 描　述 软件控制和软件盗版 防止制作或安装未经 类型 具体类型 授权的软件拷贝，防 止因非法使用造成经 济处罚的风险。因此 ，从有信誉的经销商 处购买正版软件是重 要的控制方式，可以 减小上述风险，并且 维护好所有软件的实 物存盘是必不可少的 。 描　述 网络控制 防火墙 它包括相应的硬件和 数据加密 软件，存在于企业内 部网和公共网络之间 传播。它是一套控制 程序，即允许公众访 问公司计算机系统的 某些部分，同时限制 其访问其他部分 数据在传输前被转化 授权 成非可读格式，在传 输后重新转换回来。 这些数据只能被匹配 的解密接收器读取。 客户通过身份验证和 病毒防护 密码进行注册。 例题： 1.甲会计师事务所受托对某写字楼地下停车场的收费进行审计，发现地下停 车场收费员既有收费等征收管理的权限，又有修改车辆缴费标准等权限。这 表明该地下停车场信息系统控制中的（）存在控制缺陷。 A.输入控制 B.人员控制 C.设备控制 D.网络控制 正确答案：B 解析：信息系统控制分为一般控制和应用控制。一般控制包括人员控制、逻 辑访问控制、设备控制和业务连续性控制，题中资料表明该地下停车场信息 系统一般控制中的人员控制存在控制缺陷。应用控制包括输人控制、过程控 制和输出控制。网络控制属于信息技术控制范畴。 2.某保险公司为了防范不可抗力可能损毁信息系统中的客户资料风险，采用 了在异地设立数据备份中心的措施。设立异地备份中心属于一般控制中的 （）。 A.设备控制 B.备份控制 C.业务连续性控制 D.逻辑访问控制 正确答案：C 解析：业务连续性是指企业在信息系统支持中断的情况下继续经营能力以及 发生灾难性事件情况下的生存能力。通过灾难备份和灾难恢复以确保业务的 连续性。灾难备份是指为了减 少灾难发生时或发生后造成的损失而采取的 各种防范措施，即：本地备份异地保存。灾难恢复是指在发生计算机系统灾 难后，在远离灾难现场的地方電新组织系统运行和恢复营业的过程。 3.企业的每位员工在进人自己的电脑系统的时候，都会输入自己的账户和密 码，并且企业要求每位员工设置的密码包含至少八位数值，且其中必须包含 数字、字母和符号，这属于信息系统控制的（）。 A.逻辑访问控制 B.应用控制 C.网络控制 D.输入控制 正确答案：A 解析：逻辑访问控制对未经授权的访问提供了安全防范。最普遍的安全访问 是使用密码，可对密码定义其格式、长度、加密和常规的变化，本题所述属 于逻辑访问控制，选项A是正确的。 4.下列各项关于信息技术和信息系统的相