會計(jì)信息系統(tǒng)-ERP基礎(chǔ)章節(jié)練習(xí)題第9章 習(xí)題（參考答案）

1、口基本訓(xùn)練一、選擇題（選項(xiàng)有一個或幾個正確，請把正確的填在括號內(nèi)）L信息系統(tǒng)內(nèi)部控制按照如何執(zhí)行控制的觀點(diǎn)，可以分為（AB）OA.人工控制 B.程序控制 C.一般控制 D.應(yīng)用控制.信息系統(tǒng)內(nèi)部控制按照控制執(zhí)行范圍的要求，可分為（CD）OA.人工控制 B.程序控制 C.一般控制 D.應(yīng)用控制.系統(tǒng)開發(fā)與維護(hù)控制是對新系統(tǒng)的分析、設(shè)計(jì)、實(shí)施以及現(xiàn)有系統(tǒng)的改進(jìn)與維護(hù)實(shí)施 的控制。有關(guān)內(nèi)容說法正確的有（ABC）oA.內(nèi)部審計(jì)人員可以參與系統(tǒng)開發(fā)，促使系統(tǒng)中嵌入內(nèi)部控制措施和審計(jì)功能B.系統(tǒng)維護(hù)往往會牽一發(fā)而動全身，程序、文件、代碼的任何修改都是非同小可C.系統(tǒng)檔案是系統(tǒng)開發(fā)留下的痕跡，是系統(tǒng)維護(hù)的指

2、南，是開發(fā)人員與用戶交流的工具D.通過密碼和身份鑒別對訪問數(shù)據(jù)庫的人進(jìn)行限制，可以確定保證數(shù)據(jù)庫的平安4.應(yīng)用控制可以由人工實(shí)施控制，也可以由計(jì)算機(jī)程序?qū)嵤┳詣踊刂?。按照處理信?的步驟，我們可以將應(yīng)用控制分為（A）、處理控制和輸出控制。A.輸入控制B.處理控制 C.人工控制D.輸出控制5.信息孤島分（ABCD）幾種類型。A.數(shù)據(jù)孤島B.系統(tǒng)孤島 C.業(yè)務(wù)孤島D.管控孤島6,以下說法不正確的選項(xiàng)是（D）。A.如果被審計(jì)單位已經(jīng)實(shí)現(xiàn)信息化，那么還要考慮信息技術(shù)環(huán)境對審計(jì)結(jié)果的影響B(tài).計(jì)算機(jī)審計(jì)是一種以計(jì)算機(jī)為先進(jìn)的審計(jì)工具的審計(jì)方式C.計(jì)算機(jī)審計(jì)的審計(jì)目標(biāo)與手工審計(jì)的目標(biāo)是一致的D.計(jì)算機(jī)審計(jì)

3、是針對計(jì)算機(jī)開展的審計(jì)業(yè)務(wù)7,計(jì)算機(jī)輔助審計(jì)包含兩個層次的含義，它們分別是（BD）OA.擴(kuò)展了審計(jì)的內(nèi)容與范圍B.利用專門的輔助審計(jì)軟件進(jìn)行工程審計(jì)C.增強(qiáng)了審計(jì)信息的反應(yīng)能力D.利用計(jì)算機(jī)工具提升審計(jì)效率、增加準(zhǔn)確性8,以下說法不正確的選項(xiàng)是（C ）。A.計(jì)算機(jī)審計(jì)解決審計(jì)的工具問題，審計(jì)的對象與傳統(tǒng)審計(jì)沒有區(qū)別B.計(jì)算機(jī)審計(jì)的主要內(nèi)容包括，被審計(jì)單位的信息技術(shù)環(huán)境C.審計(jì)軟件的主要代表是專用審計(jì)軟件D.信息系統(tǒng)審計(jì)與傳統(tǒng)審計(jì)的對象不同，有各自的技術(shù)和方法9,下面（B ）不屬于審計(jì)軟件。A.現(xiàn)場作業(yè)軟件B.會計(jì)軟件C.專用審計(jì)軟件D.審計(jì)管理軟件10.以下有關(guān)審計(jì)軟件的說法正確的有（A）。A

4、.審計(jì)軟件必須能從會計(jì)軟件提取會計(jì)數(shù)據(jù)B.審計(jì)單位的信息系統(tǒng)應(yīng)當(dāng)具備符合國家標(biāo)準(zhǔn)或者行業(yè)標(biāo)準(zhǔn)的數(shù)據(jù)接口C.利用審計(jì)軟件對會計(jì)電子數(shù)據(jù)處理和轉(zhuǎn)換，對會計(jì)軟件信息有破壞作用D.審計(jì)軟件具有查詢、查賬、分析等功能二、思考簡答題.簡要回答信息系統(tǒng)脆弱性引發(fā)的風(fēng)險(xiǎn)企業(yè)信息系統(tǒng)的運(yùn)行依賴于計(jì)算機(jī)軟硬件、通信技術(shù)、網(wǎng)絡(luò)技術(shù)等信息技術(shù)，信息技術(shù) 難免會有缺陷而被非法入侵或利用，從而引發(fā)風(fēng)險(xiǎn)。企業(yè)的數(shù)據(jù)集中存儲和管理，一旦出現(xiàn)硬件故障，比方主機(jī)系統(tǒng)損壞，可能導(dǎo)致數(shù)據(jù) 喪失甚至造成毀滅性的災(zāi)難。業(yè)務(wù)數(shù)據(jù)和財(cái)務(wù)數(shù)據(jù)集成以后，內(nèi)部管理上權(quán)限控制是重新分配的，新的控制措施跟 不上，就有可能造成控制的漏洞。也就是說，信息

5、化后，企業(yè)的許多管理規(guī)那么變了，權(quán)限配 置也變了，原來有效的控制規(guī)那么在新的業(yè)務(wù)系統(tǒng)里可能得不到充分的實(shí)現(xiàn)。對技術(shù)人員尤其是系統(tǒng)管理人員的控制問題變得異常突出。這些人員在極端情況下， 可能會造成機(jī)器毀壞或整個系統(tǒng)癱瘓。信息在互聯(lián)網(wǎng)上傳輸，產(chǎn)生了易泄露的風(fēng)險(xiǎn)，還有各級權(quán)限密碼保存、改動不當(dāng)或者 喪失都可能造成重大損失。.針對對于信息系統(tǒng)的一般控制，簡述數(shù)據(jù)資源管理控制。數(shù)據(jù)庫中的數(shù)據(jù)是企業(yè)的重要資源，數(shù)據(jù)庫的正確使用及數(shù)據(jù)的完整性、平安性是整個 信息系統(tǒng)運(yùn)行和為企業(yè)提供決策的重要環(huán)節(jié)。因此，對其應(yīng)實(shí)施以下控制：(1)訪問控制首先，通過密碼和身份鑒別對訪問數(shù)據(jù)庫的人進(jìn)行限制；其次，通過權(quán)限設(shè)置對數(shù)

6、據(jù)庫 數(shù)據(jù)的訪問范圍進(jìn)行限制。(2)建立數(shù)據(jù)備份和恢復(fù)制度軟、硬件故障、操作失誤、人為攻擊都會影響數(shù)據(jù)庫中數(shù)據(jù)的正確性，甚至導(dǎo)致數(shù)據(jù)全 部喪失，因此，必須設(shè)定和實(shí)施適當(dāng)?shù)暮笤突謴?fù)策略，一旦發(fā)生故障，可在最短時間內(nèi)恢 復(fù)數(shù)據(jù)庫的正常狀態(tài)。.舉例說明，如何防范系統(tǒng)入侵。為了防止外來非法用戶入侵本組織的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，可采用以下兩種措施：第一，建立防火墻。為了有效防范外來非法用戶入侵本組織的網(wǎng)絡(luò)應(yīng)用系統(tǒng)，可設(shè)置防 火墻。防火墻能夠過濾每個進(jìn)入內(nèi)部網(wǎng)的信息包，以保證其來源是經(jīng)過授權(quán)的。具體方法是 通過IP地址過濾，經(jīng)授權(quán)的訪問者的IP地址存放在由網(wǎng)絡(luò)管理員保管的訪問控制列表中， 對于每次來訪的信息包，

7、都要先查其IP地址是否在控制列表里，如果不在那么拒絕訪問，從 而擋住了 一欠非法入侵。第二，設(shè)置代理服務(wù)器。企業(yè)內(nèi)部網(wǎng)使用的另一種平安設(shè)備是代理服務(wù)器。代理服務(wù)器 作為所有流出請求信息的過濾器，所有訪問公司外部地址的請求都被發(fā)送到代理服務(wù)器，然 后代理服務(wù)器分析每一個請求，以判斷它是否是由有權(quán)限的人發(fā)往互聯(lián)網(wǎng)上的經(jīng)授權(quán)的站點(diǎn) 的，因?yàn)楸皇跈?quán)的個人或站點(diǎn)名單已登錄在控制列表中。如果請求合法，它會被代理服務(wù)器 通過，否那么請求會被拒絕。代理服務(wù)器可用于相反的方向，過濾流入的請求，從而阻止對企 業(yè)內(nèi)部一些特定區(qū)域的訪問。.簡要回答什么是預(yù)防性、檢查性和矯正性。按照內(nèi)部控制程序執(zhí)行的時間點(diǎn)可以分為預(yù)防

8、性、檢查性和矯正性三種控制。預(yù)防性控制可以在錯誤和欺詐發(fā)生之前加以預(yù)防，是一種事前的觀念。不過，基于本錢 效益原那么的考慮以及實(shí)務(wù)上的限制，預(yù)防性控制很難完全防止所有的問題。企業(yè)在設(shè)計(jì)控制 程序時，必須加入適當(dāng)?shù)臋z查性控制，以便在錯誤和欺詐發(fā)生時，能夠迅速發(fā)覺，并立即通 知相關(guān)的人員采取補(bǔ)救或改正的行動，檢查性控制是一種事中的觀念。矯正性控制可以對已 有的錯誤進(jìn)行補(bǔ)救或者更正，以確保組織順利的運(yùn)作，達(dá)成既定的目標(biāo)。矯正性控制包括三 個程序：第一，找出造成問題的成因，可能由檢查性控制提供相關(guān)的信息；第二，改正已發(fā) 生的錯誤或欺詐；第三，修改現(xiàn)有的控制制度或程序，以消除或降低未來發(fā)生類似問題的可

9、能性。.簡要回答數(shù)據(jù)式審計(jì)與信息系統(tǒng)審計(jì)的區(qū)別。首先，信息系統(tǒng)的審計(jì)對象是信息系統(tǒng)，包括基礎(chǔ)設(shè)施、軟硬件管理、信息平安、網(wǎng)絡(luò) 管理和通信等，主要關(guān)注系統(tǒng)的運(yùn)行現(xiàn)狀，在某種情況下，直接參與工程的開發(fā)或變更過程， 以保證足夠的控制得以順利實(shí)施。其次，數(shù)據(jù)式審計(jì)側(cè)重于數(shù)據(jù)之間的關(guān)聯(lián)，主要審計(jì)數(shù)據(jù)的結(jié)果，而信息系統(tǒng)審計(jì)主要 關(guān)注數(shù)據(jù)的真實(shí)完整性，通過測試數(shù)據(jù)的真實(shí)性、完整性來審計(jì)系統(tǒng)的平安性、可靠性。數(shù)據(jù)式審計(jì)模式是一種全新的審計(jì)模式。審計(jì)人員應(yīng)加強(qiáng)對被審計(jì)單位系統(tǒng)內(nèi)部控制環(huán) 境和財(cái)務(wù)數(shù)據(jù)的了解，利用數(shù)據(jù)式審計(jì)創(chuàng)新的技術(shù)和方法實(shí)施以適應(yīng)信息時代的開展。 三、開放論述題L討論信息系統(tǒng)審計(jì)的必要性。信息技

10、術(shù)的廣泛應(yīng)用，一方面改變了經(jīng)濟(jì)、社會、文化的結(jié)構(gòu)和運(yùn)行方式，電子商務(wù)、 網(wǎng)上銀行、網(wǎng)上證券、網(wǎng)上政府等相繼出現(xiàn)，信息資源的作用得到充分發(fā)揮，人們的生活、 工作越來越依賴信息技術(shù)。另一方面利用信息技術(shù)攻擊信息系統(tǒng)，竊取機(jī)密，非法獲得利益 的現(xiàn)象也日益增多。這讓人們更加關(guān)注信息的平安、完整和真實(shí)，關(guān)注產(chǎn)生、處理和傳遞信 息的信息系統(tǒng)本身的平安、可靠和有效，關(guān)注企業(yè)如何評估其面臨的風(fēng)險(xiǎn)，并采取相應(yīng)措施 預(yù)防和監(jiān)控。信息系統(tǒng)確實(shí)為企業(yè)的經(jīng)營管理帶來了許多便利。然而，信息系統(tǒng)又有許多脆弱的方 面：信息系統(tǒng)的平安可能沒有得到足夠的保證。如對人員接觸缺乏控制，對外來入侵者或 病毒缺乏控制等，都會給企業(yè)帶來很

11、大損失。信息系統(tǒng)的數(shù)據(jù)處理可能不合邏輯。這種情 況在某些應(yīng)用系統(tǒng)中經(jīng)常出現(xiàn)，原因在于系統(tǒng)開發(fā)人員大多并非業(yè)務(wù)人員，對業(yè)務(wù)難以全面、 準(zhǔn)確地理解，導(dǎo)致開發(fā)出的信息系統(tǒng)不能準(zhǔn)確地提供反映業(yè)務(wù)實(shí)際情況的信息，從而導(dǎo)致管 理或決策的失誤。信息系統(tǒng)的可靠性可能得不到很好的保證。信息系統(tǒng)在運(yùn)行過程中可能 會出現(xiàn)多種故障，如計(jì)算機(jī)硬件故障，計(jì)算機(jī)軟件故障，操作失誤等。如果這些故障不能及 時發(fā)現(xiàn)并排除，就會影響企業(yè)日常業(yè)務(wù)。信息系統(tǒng)需要較高的資金投入，如果資金使用不 當(dāng)會產(chǎn)生很高的本錢，反而降低了企業(yè)的效益。信息系統(tǒng)經(jīng)常遭遇舞弊行為，而且舞弊手 法多樣而隱蔽，有時造成的損失令人驚訝。為了減少信息系統(tǒng)發(fā)生錯誤、

12、災(zāi)難及平安受到威脅的可能性，除了加強(qiáng)信息系統(tǒng)的管理 控制外，還必須定期對信息系統(tǒng)進(jìn)行審計(jì)。信息系統(tǒng)審計(jì)是審計(jì)業(yè)務(wù)的新拓展，在現(xiàn)實(shí)工作 中，已有很多關(guān)于信息系統(tǒng)的審計(jì)需求，如對信息技術(shù)應(yīng)用的管理控制進(jìn)行審計(jì)；對基礎(chǔ)設(shè) 施、數(shù)據(jù)中心、對外通訊進(jìn)行審計(jì)；對應(yīng)用系統(tǒng)進(jìn)行審計(jì)；對信息系統(tǒng)開發(fā)過程進(jìn)行審計(jì)； 對信息系統(tǒng)實(shí)施效果進(jìn)行審計(jì)，對信息系統(tǒng)內(nèi)部控制進(jìn)行審計(jì)等。.在信息化程度較高的企業(yè)中，傳統(tǒng)的手工業(yè)務(wù)控制活動完全被自動化業(yè)務(wù)控制活動所 取代。信息技術(shù)環(huán)境下控制活動：交易授權(quán)、職責(zé)別離、監(jiān)管、業(yè)務(wù)紀(jì)錄、接觸控制、獨(dú)立 稽核，舉例說明每項(xiàng)控制活動的變化。.按照內(nèi)部控制程序執(zhí)行的時間點(diǎn)可以分為預(yù)防性、檢查性和矯正性三種控制。舉例說 明預(yù)防性、檢查性和矯正性控制之間的關(guān)系。討論信息系統(tǒng)對三者的作用，以及導(dǎo)致三者關(guān) 系的變化。.計(jì)算機(jī)領(lǐng)域有句名言輸入的是垃圾輸出的仍然是垃圾，結(jié)合這句名言談?wù)勢斎肟刂?的方法和重要性。.信息孤島是指信息系統(tǒng)相互之間在功能上不關(guān)聯(lián)、信息不共享以及信息與業(yè)務(wù)流程和 應(yīng)用之間相互脫節(jié)。簡述信息孤島類型，并結(jié)合COBIT企業(yè)IT的治理和管理的五大關(guān)鍵原 那么，如何防止與消除信息孤島。四