第14章信息系统的内部控制PPT资料.ppt
《第14章信息系统的内部控制PPT资料.ppt》由会员分享,可在线阅读,更多相关《第14章信息系统的内部控制PPT资料.ppt(18页珍藏版)》请在冰豆网上搜索。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束14.1.214.1.2信息系统面临的新威胁信息系统面临的新威胁通讯网络可以将不同地点的计算机信息系统连在一起,这使得未经许可的数据存取、滥用,或发生错误的可能性不仅限于单个计算机,而是在网络的每一点上都可能发生。
此外,通讯网络要求更复杂多变的软硬件支持,以及组织和人事上的管理和安排,这给数据滥用创造了新的机会。
计算机网上的“黑客”(Hacker)是指那些为了某种利益、个人兴趣或犯罪目的未经许可在计算机网上存取信息的人,这些“入侵者”潜在的危害是惊人的。
除了通过计算机网络传播外,计算机病毒还可由外部信息源带来的受病毒感染的软盘,或通过受到感染的机器,甚至通过在线电子布告板等途径,侵入计算机信息系统。
计算机软件的发展增加了信息系统误用和滥用的机会,因为使用第四代语言,用户自己可以编程,而不一定需要专门的技术人员。
用户自己写的程序可能会无意地产生些错误,也可能出于非法的目的修改系统的数据。
另外,越来越多地使用数据库系统,也增加了系统的脆弱性。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束14.1.314.1.3系统开发者和用户的关注系统开发者和用户的关注首先,由于火灾、停电和其他一些灾害的发生,可能使计算机系统的硬件、程序、数据文件和其他设备被毁坏,从而导致信息系统的正常运行中断,甚至整个组织工作瘫痪。
第二点要考虑的是安全性问题,安全性是指制定政策、规章制度和技术措施,防止在未经许可的情况下,修改系统,盗窃信息,或进行物理破坏等。
最后一点是系统可能出现的错误,计算机可能在错误的指令或环境下运行,严重干扰或破坏了组织信息系统的数据记录和运行。
中国经典MBA系列教材配套电子教案系列上页下页末页首页14.2.114.2.1一般控制一般控制结束14.214.2建立控制环境建立控制环境第14章信息系统的内部控制14.2.214.2.2应用控制应用控制14.2.314.2.3制定控制策略:
制定控制策略:
成本和效益分析成本和效益分析中国经典MBA系列教材配套电子教案系列上页下页末页首页结束14.2.114.2.1一般控制一般控制1.系统实施控制实施控制是指在各个关键点上审计系统开发过程,确保整个过程受到严格的控制和管理。
2.软件控制软件控制就是监控计算机系统软件的使用过程,防止未经许可的人访问系统软件或应用程序,软件控制又分为系统软件控制和应用程序安全控制。
系统软件控制负责对操作系统软件实施控制,以及对编译程序、实用程序、运行报告、文件建立和传输等进行控制。
应用程序安全控制针对已经投入运行的系统的程序实施控制,防止对程序进行未经许可的修改。
3.硬件控制硬件控制可确保系统物理安全性,使计算机硬件正确运行。
计算机硬件在物理上应当是安全的,使只有许可使用的人才能接触到硬件。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束13.2.2群体决策支持系统群体决策支持系统(GDSS)4.计算机操作控制计算机操作控制包括:
计算机处理程序安装控制,运行软件的控制,计算机运行控制以及异常中断情况时数据及程序的备份和恢复控制。
5.数据安全控制数据安全控制是数据文件在使用和存储时实施的各种控制,确保在计算机存储介质上的各种有价值的商业数据文件不被非法存取、修改或破坏。
在在线或实时处理系统中,当计算机终端处于数据可输入状态时,必须防止未经许可的人输入数据。
为此,需在各个层次采取保护措施:
(1)限制计算机终端只有经过许可的人可以接近;
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束
(2)可在系统软件中使用口令,口令只授予允许使用系统的人,软件检查用户的口令,确保没有合法口令的人不能进入系统;
(3)在上述两层控制的基础上,还需为一些特殊的系统或应用制定另外一组口令和安全限制。
6.管理控制管理控制通过制定正式的控制标准、规则、工作规程和制度,保证组织的一般控制和应用控制的贯彻落实和实施。
最重要的管理控制有三点:
职责分解,制定工作标准和管理规章制度,监督管理。
职责分解是所有组织进行内部控制的基本方法,从本质上讲,工作职责的划分应使出错或欺骗性操作的风险最小。
为了控制信息系统的运行,必须建立正式的控制标准,制定工作程序和规章制度。
控制规程中还应包括监督管理,确保信息系统的控制有目的地贯彻落实。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束14.2.214.2.2应用控制应用控制1.输入控制
(1)数据输入的权限。
当要将原始文档的数据输入计算机时,输入操作必须严格地审核、记录和监控。
(2)数据转换。
原始输入必须按要求转换成计算机事务,从一个表格改写到另一个表格要保证没有错误发生,如果输入事务是从原始文档直接输入计算机的,则可避免或减少抄写错误。
(3)校验审核。
应在数据处理前执行各种例行程序校验输入数据是否有误,不符合标准的事务拒绝执行,同时校验例行程序列出需改正的错误。
最主要的校验技术有以下几种:
合理性校验:
有些数据可以预见其取值范围,这样的数据可以事先设置输入的上限和或下限,不在此范围内的数据拒绝接受。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束格式校验:
格式校验负责检验输入数据的类型、长度等内容。
存在性校验:
将输入数据和专门的对照表或主文件中存储的输入参考数据比较,保证输入的数据是有效的。
依赖性校验:
对相同的事务的相关数据的输入应检验其相互的逻辑关系是否仍然存在,如果不是,则拒绝该事务。
校验位:
在输入数据的后面引入称为校验位的附加数字位,使其与输入的其他位的数据保持一定的数学关系。
增加的校验位与数据一起输入,计算机重新计算输入数据,计算结果与输入的校验位比较,比较结果相同,则接受输入数据。
2.处理控制处理控制负责在数据修改过程中保证数据是完整和准确的。
主要的处理控制有运行总数控制、计算机匹配、校验。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束运行总数控制是要保证输入数据项总数与已更新了相应文件的数据项的总数一致。
计算机匹配把输入数据与主数据文件中的数据进行对比,将不匹配的数据项记录下来,并提示有关人员检查。
编辑校验负责检查数据的合理性和一致性,多数校验在数据输入时进行,但有些应用也在数据修改时检验数据的合理性和独立性。
3.输出控制输出控制是为了保证计算机的处理结果准确、完整和正确传输,输出控制主要包括以下内容:
(1)平衡输出总数及输入和处理总数。
(2)复核计算机处理日志,检查是否所有该由计算机做的都已严格地执行了。
(3)审核输出报告,确保结果的总数、格式和关键的细节是正确的,并且与输入是符合的。
(4)审核授权专人接收输出报告、凭证或其他重要文档的正式的规章制度和文件。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束14.2.314.2.3制定控制策略:
成本和效益分析制定控制策略:
成本和效益分析决定系统采用多少控制的标准之一是该系统数据的重要性。
例如,金融和会计系统(像工资系统或股票交易系统)的控制标准必须高于雇员培训系统。
系统的固定数据是指那些永久性数据和影响流入流出系统的事务的数据,如产品编码数据,这些数据发生错误可能会影响多数的或所有读取这些数据的事务,因而它们要比单一孤立的事务有更严格的控制。
控制的成本效率也将受控制技术的效率、复杂性和费用的影响决定系统采用什么控制另外要考虑的是如果某个处理或事务没有采取恰当控制的话,其风险是什么。
中国经典MBA系列教材配套电子教案系列上页下页末页首页14.3.114.3.1审计在控制过程审计在控制过程中的作用中的作用结束14.314.3信息系统审计信息系统审计第14章信息系统的内部控制14.3.214.3.2数据质量审计数据质量审计中国经典MBA系列教材配套电子教案系列上页下页末页首页结束14.3.114.3.1审计在控制过程中的作用审计在控制过程中的作用审计人员需收集并分析所有关于某个信息系统的资料,如用户手册、系统文档、输入输出实例以及完整性控制的有关文档等。
审计人员通常要和操作员或使用系统的关键人员交谈,了解他们的工作内容和程序,检查各种应用控制、完整性控制以及各种控制规章制度。
审计人员还应跟踪实例事务在整个系统中的处理流程,如果需要的话,可以使用自动化审计软件测试其结果。
通过审计,找出所有控制环节的不足,对这些问题进行排序,并估计问题发生的几率,然后评价它们对组织管理和效益的影响。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束14.3.214.3.2数据质量审计数据质量审计数据质量审计有3个途径:
调查用户对数据质量的理解和认识,审查整个数据文件,检查数据文件中的数据。
除非进行定期的数据质量审计,否则组织无法掌握其信息系统有多少不准确、不完整或模糊的信息。
不准确、不及时或与其他信息源不一致的数据也会给组织信息系统的运行或企业的经济效益带来严重的问题。
如果不良的数据在组织中传递却未被发现,则可能导致不良的决策,甚至造成经济上的损失。
中国经典MBA系列教材配套电子教案系列上页下页末页首页结束小小结结
(1)解释为什么自动化的信息系统如此脆弱,易于破坏、出错和滥用。
(2)说明控制在保护信息系统中的作用。
(3)区分一般控制和应用控制。
一般控制用于控制整个设计过程、安全性,以及组织作为一个整体如何使用计算机程序和数据文件。
一般控制包括物理硬件控制、系统软件控制、数据文件安全性控制、计算机操作控制、系统实施过程的控制和管理控制等。
应用控制专门负责对计算机化的应用进行控制。
它们主要集中在输入、修改和维护的完整性和准确性,以及信息在系统中的合法性控制等方面。
应用控制由输入控制、处理过程控制和输出控制组成。
(4)说明控制信息系统最重要的技巧。
(5)解释审计信息系统的重要性。
升级会员 