第14章信息系統(tǒng)的內(nèi)部控制

1、中國經(jīng)典MBA系列教材配套電子教案系列14.2 14.2 建立控制環(huán)境建立控制環(huán)境 14.1 14.1 為什么要控制信息系統(tǒng)為什么要控制信息系統(tǒng)14.3 14.3 信息系統(tǒng)審計信息系統(tǒng)審計 中國經(jīng)典MBA系列教材配套電子教案系列14.1.1 14.1.1 計算機信息系統(tǒng)是脆弱的計算機信息系統(tǒng)是脆弱的 14.1 14.1 為什么要控制為什么要控制 信息系統(tǒng)信息系統(tǒng)14.1.2 14.1.2 信息系統(tǒng)面臨的新威脅信息系統(tǒng)面臨的新威脅 14.1.3 14.1.3 系統(tǒng)開發(fā)者和用戶的關(guān)注系統(tǒng)開發(fā)者和用戶的關(guān)注中國經(jīng)典MBA系列教材配套電子教案系列14.1.1 14.1.1 計算機信息系統(tǒng)是脆弱的計算機

2、信息系統(tǒng)是脆弱的 計算機信息系統(tǒng)最常受到的威脅有：計算機硬件故障計算機軟件故障人員安排不當終端存取控制不利數(shù)據(jù)盜竊，服務(wù)不好火災(zāi)供電系統(tǒng)問題用戶使用錯誤程序變化通訊問題 中國經(jīng)典MBA系列教材配套電子教案系列計算機系統(tǒng)對上述威脅的防御能力不強是由下述原因造成的：(1)一個復(fù)雜的信息系統(tǒng)是不能用手工重復(fù)的，因為大多數(shù)信息無法打印出來，或者是因為數(shù)量大，無法用手工處理；(2)通常計算機系統(tǒng)的處理是無法以可見的方式跟蹤的，因為計算機的記錄只有計算機能夠讀懂；(3)計算機程序是不可見的，不易理解或?qū)徲嫞?4)計算機信息系統(tǒng)的開發(fā)和運行需要專門的技術(shù)和方法，這些技術(shù)和方法用戶是不精通的；(5)盡管計算機

3、信息系統(tǒng)災(zāi)難發(fā)生的機會并不比手工系統(tǒng)更大，但計算機系統(tǒng)災(zāi)難所產(chǎn)生的影響要大得多，有時可能會使系統(tǒng)所有的記錄受到破壞或全部丟失；(6)大多數(shù)計算機系統(tǒng)是由多人使用的，信息雖然容易收集但卻更難控制了；(7)在線實時計算機系統(tǒng)甚至更難控制，因為在這種情況下，數(shù)據(jù)文件可以直接在計算機終端上存取。 中國經(jīng)典MBA系列教材配套電子教案系列14.1.2 14.1.2 信息系統(tǒng)面臨的新威脅信息系統(tǒng)面臨的新威脅通訊網(wǎng)絡(luò)可以將不同地點的計算機信息系統(tǒng)連在一起，這使得未經(jīng)許可的數(shù)據(jù)存取、濫用，或發(fā)生錯誤的可能性不僅限于單個計算機，而是在網(wǎng)絡(luò)的每一點上都可能發(fā)生。此外，通訊網(wǎng)絡(luò)要求更復(fù)雜多變的軟硬件支持，以及組織和人

4、事上的管理和安排，這給數(shù)據(jù)濫用創(chuàng)造了新的機會。計算機網(wǎng)上的“黑客”(Hacker)是指那些為了某種利益、個人興趣或犯罪目的未經(jīng)許可在計算機網(wǎng)上存取信息的人，這些“入侵者”潛在的危害是驚人的。除了通過計算機網(wǎng)絡(luò)傳播外，計算機病毒還可由外部信息源帶來的受病毒感染的軟盤，或通過受到感染的機器，甚至通過在線電子布告板等途徑，侵入計算機信息系統(tǒng)。計算機軟件的發(fā)展增加了信息系統(tǒng)誤用和濫用的機會，因為使用第四代語言，用戶自己可以編程，而不一定需要專門的技術(shù)人員。用戶自己寫的程序可能會無意地產(chǎn)生些錯誤，也可能出于非法的目的修改系統(tǒng)的數(shù)據(jù)。另外，越來越多地使用數(shù)據(jù)庫系統(tǒng)，也增加了系統(tǒng)的脆弱性。 中國經(jīng)典MBA系

5、列教材配套電子教案系列14.1.3 14.1.3 系統(tǒng)開發(fā)者和用戶的關(guān)注系統(tǒng)開發(fā)者和用戶的關(guān)注 首先，由于火災(zāi)、停電和其他一些災(zāi)害的發(fā)生，可能使計算機系統(tǒng)的硬件、程序、數(shù)據(jù)文件和其他設(shè)備被毀壞，從而導(dǎo)致信息系統(tǒng)的正常運行中斷，甚至整個組織工作癱瘓。第二點要考慮的是安全性問題，安全性是指制定政策、規(guī)章制度和技術(shù)措施，防止在未經(jīng)許可的情況下，修改系統(tǒng)，盜竊信息，或進行物理破壞等。最后一點是系統(tǒng)可能出現(xiàn)的錯誤，計算機可能在錯誤的指令或環(huán)境下運行，嚴重干擾或破壞了組織信息系統(tǒng)的數(shù)據(jù)記錄和運行。 中國經(jīng)典MBA系列教材配套電子教案系列14.2.1 14.2.1 一般控制一般控制14.2 14.2 建立控

6、制環(huán)境建立控制環(huán)境14.2.2 14.2.2 應(yīng)用控制應(yīng)用控制14.2.3 14.2.3 制定控制策略：制定控制策略： 成本和效益分析成本和效益分析中國經(jīng)典MBA系列教材配套電子教案系列14.2.1 14.2.1 一般控制一般控制1.系統(tǒng)實施控制實施控制是指在各個關(guān)鍵點上審計系統(tǒng)開發(fā)過程，確保整個過程受到嚴格的控制和管理。2.軟件控制軟件控制就是監(jiān)控計算機系統(tǒng)軟件的使用過程,防止未經(jīng)許可的人訪問系統(tǒng)軟件或應(yīng)用程序,軟件控制又分為系統(tǒng)軟件控制和應(yīng)用程序安全控制。系統(tǒng)軟件控制負責(zé)對操作系統(tǒng)軟件實施控制，以及對編譯程序、實用程序、運行報告、文件建立和傳輸?shù)冗M行控制。應(yīng)用程序安全控制針對已經(jīng)投入運行的

7、系統(tǒng)的程序?qū)嵤┛刂?，防止對程序進行未經(jīng)許可的修改。3.硬件控制硬件控制可確保系統(tǒng)物理安全性，使計算機硬件正確運行。計算機硬件在物理上應(yīng)當是安全的，使只有許可使用的人才能接觸到硬件。 中國經(jīng)典MBA系列教材配套電子教案系列13.2.2 群體決策支持系統(tǒng)群體決策支持系統(tǒng)(GDSS)4.計算機操作控制計算機操作控制包括：計算機處理程序安裝控制，運行軟件的控制，計算機運行控制以及異常中斷情況時數(shù)據(jù)及程序的備份和恢復(fù)控制。5.數(shù)據(jù)安全控制數(shù)據(jù)安全控制是數(shù)據(jù)文件在使用和存儲時實施的各種控制，確保在計算機存儲介質(zhì)上的各種有價值的商業(yè)數(shù)據(jù)文件不被非法存取、修改或破壞。在在線或?qū)崟r處理系統(tǒng)中，當計算機終端處于數(shù)

8、據(jù)可輸入狀態(tài)時，必須防止未經(jīng)許可的人輸入數(shù)據(jù)。為此，需在各個層次采取保護措施：(1)限制計算機終端只有經(jīng)過許可的人可以接近； 中國經(jīng)典MBA系列教材配套電子教案系列(2)可在系統(tǒng)軟件中使用口令，口令只授予允許使用系統(tǒng)的人，軟件檢查用戶的口令，確保沒有合法口令的人不能進入系統(tǒng)；(3)在上述兩層控制的基礎(chǔ)上，還需為一些特殊的系統(tǒng)或應(yīng)用制定另外一組口令和安全限制。6.管理控制管理控制通過制定正式的控制標準、規(guī)則、工作規(guī)程和制度，保證組織的一般控制和應(yīng)用控制的貫徹落實和實施。最重要的管理控制有三點：職責(zé)分解，制定工作標準和管理規(guī)章制度,監(jiān)督管理。職責(zé)分解是所有組織進行內(nèi)部控制的基本方法，從本質(zhì)上講，工

9、作職責(zé)的劃分應(yīng)使出錯或欺騙性操作的風(fēng)險最小。為了控制信息系統(tǒng)的運行，必須建立正式的控制標準，制定工作程序和規(guī)章制度?？刂埔?guī)程中還應(yīng)包括監(jiān)督管理，確保信息系統(tǒng)的控制有目的地貫徹落實。 中國經(jīng)典MBA系列教材配套電子教案系列14.2.2 14.2.2 應(yīng)用控制應(yīng)用控制 1.輸入控制(1)數(shù)據(jù)輸入的權(quán)限。當要將原始文檔的數(shù)據(jù)輸入計算機時，輸入操作必須嚴格地審核、記錄和監(jiān)控。(2) 數(shù)據(jù)轉(zhuǎn)換。原始輸入必須按要求轉(zhuǎn)換成計算機事務(wù)，從一個表格改寫到另一個表格要保證沒有錯誤發(fā)生，如果輸入事務(wù)是從原始文檔直接輸入計算機的，則可避免或減少抄寫錯誤。(3)校驗審核。應(yīng)在數(shù)據(jù)處理前執(zhí)行各種例行程序校驗輸入數(shù)據(jù)是否有

10、誤，不符合標準的事務(wù)拒絕執(zhí)行，同時校驗例行程序列出需改正的錯誤。最主要的校驗技術(shù)有以下幾種：合理性校驗：有些數(shù)據(jù)可以預(yù)見其取值范圍，這樣的數(shù)據(jù)可以事先設(shè)置輸入的上限和或下限，不在此范圍內(nèi)的數(shù)據(jù)拒絕接受。 中國經(jīng)典MBA系列教材配套電子教案系列格式校驗：格式校驗負責(zé)檢驗輸入數(shù)據(jù)的類型、長度等內(nèi)容。存在性校驗：將輸入數(shù)據(jù)和專門的對照表或主文件中存儲的輸入?yún)⒖紨?shù)據(jù)比較，保證輸入的數(shù)據(jù)是有效的。依賴性校驗：對相同的事務(wù)的相關(guān)數(shù)據(jù)的輸入應(yīng)檢驗其相互的邏輯關(guān)系是否仍然存在，如果不是，則拒絕該事務(wù)。校驗位：在輸入數(shù)據(jù)的后面引入稱為校驗位的附加數(shù)字位，使其與輸入的其他位的數(shù)據(jù)保持一定的數(shù)學(xué)關(guān)系。增加的校驗位與

11、數(shù)據(jù)一起輸入，計算機重新計算輸入數(shù)據(jù)，計算結(jié)果與輸入的校驗位比較，比較結(jié)果相同，則接受輸入數(shù)據(jù)。2.處理控制處理控制負責(zé)在數(shù)據(jù)修改過程中保證數(shù)據(jù)是完整和準確的。主要的處理控制有運行總數(shù)控制、計算機匹配、校驗。 中國經(jīng)典MBA系列教材配套電子教案系列運行總數(shù)控制是要保證輸入數(shù)據(jù)項總數(shù)與已更新了相應(yīng)文件的數(shù)據(jù)項的總數(shù)一致。計算機匹配把輸入數(shù)據(jù)與主數(shù)據(jù)文件中的數(shù)據(jù)進行對比，將不匹配的數(shù)據(jù)項記錄下來，并提示有關(guān)人員檢查。編輯校驗負責(zé)檢查數(shù)據(jù)的合理性和一致性，多數(shù)校驗在數(shù)據(jù)輸入時進行，但有些應(yīng)用也在數(shù)據(jù)修改時檢驗數(shù)據(jù)的合理性和獨立性。3.輸出控制輸出控制是為了保證計算機的處理結(jié)果準確、完整和正確傳輸，輸

12、出控制主要包括以下內(nèi)容：(1)平衡輸出總數(shù)及輸入和處理總數(shù)。(2)復(fù)核計算機處理日志，檢查是否所有該由計算機做的都已嚴格地執(zhí)行了。(3)審核輸出報告，確保結(jié)果的總數(shù)、格式和關(guān)鍵的細節(jié)是正確的，并且與輸入是符合的。(4)審核授權(quán)專人接收輸出報告、憑證或其他重要文檔的正式的規(guī)章制度和文件。 中國經(jīng)典MBA系列教材配套電子教案系列14.2.3 14.2.3 制定控制策略：成本和效益分析制定控制策略：成本和效益分析決定系統(tǒng)采用多少控制的標準之一是該系統(tǒng)數(shù)據(jù)的重要性。例如，金融和會計系統(tǒng)（像工資系統(tǒng)或股票交易系統(tǒng)）的控制標準必須高于雇員培訓(xùn)系統(tǒng)。系統(tǒng)的固定數(shù)據(jù)是指那些永久性數(shù)據(jù)和影響流入流出系統(tǒng)的事務(wù)的

13、數(shù)據(jù)，如產(chǎn)品編碼數(shù)據(jù)，這些數(shù)據(jù)發(fā)生錯誤可能會影響多數(shù)的或所有讀取這些數(shù)據(jù)的事務(wù)，因而它們要比單一孤立的事務(wù)有更嚴格的控制?？刂频某杀拘室矊⑹芸刂萍夹g(shù)的效率、復(fù)雜性和費用的影響決定系統(tǒng)采用什么控制另外要考慮的是如果某個處理或事務(wù)沒有采取恰當控制的話，其風(fēng)險是什么。 中國經(jīng)典MBA系列教材配套電子教案系列14.3.1 14.3.1 審計在控制過程審計在控制過程 中的作用中的作用14.3 14.3 信息系統(tǒng)審計信息系統(tǒng)審計14.3.2 14.3.2 數(shù)據(jù)質(zhì)量審計數(shù)據(jù)質(zhì)量審計中國經(jīng)典MBA系列教材配套電子教案系列14.3.1 14.3.1 審計在控制過程中的作用審計在控制過程中的作用審計人員需收集并

14、分析所有關(guān)于某個信息系統(tǒng)的資料，如用戶手冊、系統(tǒng)文檔、輸入輸出實例以及完整性控制的有關(guān)文檔等。審計人員通常要和操作員或使用系統(tǒng)的關(guān)鍵人員交談，了解他們的工作內(nèi)容和程序，檢查各種應(yīng)用控制、完整性控制以及各種控制規(guī)章制度。審計人員還應(yīng)跟蹤實例事務(wù)在整個系統(tǒng)中的處理流程，如果需要的話，可以使用自動化審計軟件測試其結(jié)果。通過審計，找出所有控制環(huán)節(jié)的不足，對這些問題進行排序，并估計問題發(fā)生的幾率，然后評價它們對組織管理和效益的影響。 中國經(jīng)典MBA系列教材配套電子教案系列14.3.2 14.3.2 數(shù)據(jù)質(zhì)量審計數(shù)據(jù)質(zhì)量審計數(shù)據(jù)質(zhì)量審計有3個途徑：調(diào)查用戶對數(shù)據(jù)質(zhì)量的理解和認識，審查整個數(shù)據(jù)文件，檢查數(shù)據(jù)文件中的數(shù)據(jù)。除非進行定期的數(shù)據(jù)質(zhì)量審計，否則組織無法掌握其信息系統(tǒng)有多少不準確、不完整或模糊的信息。不準確、不及時或與其他信息源不一致的數(shù)據(jù)也會給組織信息系統(tǒng)的運行或企業(yè)的經(jīng)濟效益帶來嚴重的問題。如果不良的數(shù)據(jù)在組織中傳遞卻未被發(fā)現(xiàn)，則可能導(dǎo)致不良的決策，甚至造成經(jīng)濟上的損失。 中國經(jīng)典MBA系列教材配套電子教案系列小小 結(jié)結(jié)(1)解釋為什么自動化的信息系統(tǒng)如此脆弱，易于破壞、出錯和濫用。(2)說明控制在保護信息系統(tǒng)中的作用。(3