第14章信息系統(tǒng)的內(nèi)部控制

1、中國經(jīng)典MBA系列教材配套電子教案系列14.2 14.2 建立控制環(huán)境建立控制環(huán)境 14.1 14.1 為什么要控制信息系統(tǒng)為什么要控制信息系統(tǒng)14.3 14.3 信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì) 中國經(jīng)典MBA系列教材配套電子教案系列14.1.1 14.1.1 計(jì)算機(jī)信息系統(tǒng)是脆弱的計(jì)算機(jī)信息系統(tǒng)是脆弱的 14.1 14.1 為什么要控制為什么要控制 信息系統(tǒng)信息系統(tǒng)14.1.2 14.1.2 信息系統(tǒng)面臨的新威脅信息系統(tǒng)面臨的新威脅 14.1.3 14.1.3 系統(tǒng)開發(fā)者和用戶的關(guān)注系統(tǒng)開發(fā)者和用戶的關(guān)注中國經(jīng)典MBA系列教材配套電子教案系列14.1.1 14.1.1 計(jì)算機(jī)信息系統(tǒng)是脆弱的計(jì)算機(jī)

2、信息系統(tǒng)是脆弱的 計(jì)算機(jī)信息系統(tǒng)最常受到的威脅有：計(jì)算機(jī)硬件故障計(jì)算機(jī)軟件故障人員安排不當(dāng)終端存取控制不利數(shù)據(jù)盜竊，服務(wù)不好火災(zāi)供電系統(tǒng)問題用戶使用錯(cuò)誤程序變化通訊問題 中國經(jīng)典MBA系列教材配套電子教案系列計(jì)算機(jī)系統(tǒng)對上述威脅的防御能力不強(qiáng)是由下述原因造成的：(1)一個(gè)復(fù)雜的信息系統(tǒng)是不能用手工重復(fù)的，因?yàn)榇蠖鄶?shù)信息無法打印出來，或者是因?yàn)閿?shù)量大，無法用手工處理；(2)通常計(jì)算機(jī)系統(tǒng)的處理是無法以可見的方式跟蹤的，因?yàn)橛?jì)算機(jī)的記錄只有計(jì)算機(jī)能夠讀懂；(3)計(jì)算機(jī)程序是不可見的，不易理解或?qū)徲?jì)；(4)計(jì)算機(jī)信息系統(tǒng)的開發(fā)和運(yùn)行需要專門的技術(shù)和方法，這些技術(shù)和方法用戶是不精通的；(5)盡管計(jì)算機(jī)

3、信息系統(tǒng)災(zāi)難發(fā)生的機(jī)會(huì)并不比手工系統(tǒng)更大，但計(jì)算機(jī)系統(tǒng)災(zāi)難所產(chǎn)生的影響要大得多，有時(shí)可能會(huì)使系統(tǒng)所有的記錄受到破壞或全部丟失；(6)大多數(shù)計(jì)算機(jī)系統(tǒng)是由多人使用的，信息雖然容易收集但卻更難控制了；(7)在線實(shí)時(shí)計(jì)算機(jī)系統(tǒng)甚至更難控制，因?yàn)樵谶@種情況下，數(shù)據(jù)文件可以直接在計(jì)算機(jī)終端上存取。 中國經(jīng)典MBA系列教材配套電子教案系列14.1.2 14.1.2 信息系統(tǒng)面臨的新威脅信息系統(tǒng)面臨的新威脅通訊網(wǎng)絡(luò)可以將不同地點(diǎn)的計(jì)算機(jī)信息系統(tǒng)連在一起，這使得未經(jīng)許可的數(shù)據(jù)存取、濫用，或發(fā)生錯(cuò)誤的可能性不僅限于單個(gè)計(jì)算機(jī)，而是在網(wǎng)絡(luò)的每一點(diǎn)上都可能發(fā)生。此外，通訊網(wǎng)絡(luò)要求更復(fù)雜多變的軟硬件支持，以及組織和人

4、事上的管理和安排，這給數(shù)據(jù)濫用創(chuàng)造了新的機(jī)會(huì)。計(jì)算機(jī)網(wǎng)上的“黑客”(Hacker)是指那些為了某種利益、個(gè)人興趣或犯罪目的未經(jīng)許可在計(jì)算機(jī)網(wǎng)上存取信息的人，這些“入侵者”潛在的危害是驚人的。除了通過計(jì)算機(jī)網(wǎng)絡(luò)傳播外，計(jì)算機(jī)病毒還可由外部信息源帶來的受病毒感染的軟盤，或通過受到感染的機(jī)器，甚至通過在線電子布告板等途徑，侵入計(jì)算機(jī)信息系統(tǒng)。計(jì)算機(jī)軟件的發(fā)展增加了信息系統(tǒng)誤用和濫用的機(jī)會(huì)，因?yàn)槭褂玫谒拇Z言，用戶自己可以編程，而不一定需要專門的技術(shù)人員。用戶自己寫的程序可能會(huì)無意地產(chǎn)生些錯(cuò)誤，也可能出于非法的目的修改系統(tǒng)的數(shù)據(jù)。另外，越來越多地使用數(shù)據(jù)庫系統(tǒng)，也增加了系統(tǒng)的脆弱性。 中國經(jīng)典MBA系

5、列教材配套電子教案系列14.1.3 14.1.3 系統(tǒng)開發(fā)者和用戶的關(guān)注系統(tǒng)開發(fā)者和用戶的關(guān)注 首先，由于火災(zāi)、停電和其他一些災(zāi)害的發(fā)生，可能使計(jì)算機(jī)系統(tǒng)的硬件、程序、數(shù)據(jù)文件和其他設(shè)備被毀壞，從而導(dǎo)致信息系統(tǒng)的正常運(yùn)行中斷，甚至整個(gè)組織工作癱瘓。第二點(diǎn)要考慮的是安全性問題，安全性是指制定政策、規(guī)章制度和技術(shù)措施，防止在未經(jīng)許可的情況下，修改系統(tǒng)，盜竊信息，或進(jìn)行物理破壞等。最后一點(diǎn)是系統(tǒng)可能出現(xiàn)的錯(cuò)誤，計(jì)算機(jī)可能在錯(cuò)誤的指令或環(huán)境下運(yùn)行，嚴(yán)重干擾或破壞了組織信息系統(tǒng)的數(shù)據(jù)記錄和運(yùn)行。 中國經(jīng)典MBA系列教材配套電子教案系列14.2.1 14.2.1 一般控制一般控制14.2 14.2 建立控

6、制環(huán)境建立控制環(huán)境14.2.2 14.2.2 應(yīng)用控制應(yīng)用控制14.2.3 14.2.3 制定控制策略：制定控制策略： 成本和效益分析成本和效益分析中國經(jīng)典MBA系列教材配套電子教案系列14.2.1 14.2.1 一般控制一般控制1.系統(tǒng)實(shí)施控制實(shí)施控制是指在各個(gè)關(guān)鍵點(diǎn)上審計(jì)系統(tǒng)開發(fā)過程，確保整個(gè)過程受到嚴(yán)格的控制和管理。2.軟件控制軟件控制就是監(jiān)控計(jì)算機(jī)系統(tǒng)軟件的使用過程,防止未經(jīng)許可的人訪問系統(tǒng)軟件或應(yīng)用程序,軟件控制又分為系統(tǒng)軟件控制和應(yīng)用程序安全控制。系統(tǒng)軟件控制負(fù)責(zé)對操作系統(tǒng)軟件實(shí)施控制，以及對編譯程序、實(shí)用程序、運(yùn)行報(bào)告、文件建立和傳輸?shù)冗M(jìn)行控制。應(yīng)用程序安全控制針對已經(jīng)投入運(yùn)行的

7、系統(tǒng)的程序?qū)嵤┛刂?，防止對程序進(jìn)行未經(jīng)許可的修改。3.硬件控制硬件控制可確保系統(tǒng)物理安全性，使計(jì)算機(jī)硬件正確運(yùn)行。計(jì)算機(jī)硬件在物理上應(yīng)當(dāng)是安全的，使只有許可使用的人才能接觸到硬件。 中國經(jīng)典MBA系列教材配套電子教案系列13.2.2 群體決策支持系統(tǒng)群體決策支持系統(tǒng)(GDSS)4.計(jì)算機(jī)操作控制計(jì)算機(jī)操作控制包括：計(jì)算機(jī)處理程序安裝控制，運(yùn)行軟件的控制，計(jì)算機(jī)運(yùn)行控制以及異常中斷情況時(shí)數(shù)據(jù)及程序的備份和恢復(fù)控制。5.數(shù)據(jù)安全控制數(shù)據(jù)安全控制是數(shù)據(jù)文件在使用和存儲(chǔ)時(shí)實(shí)施的各種控制，確保在計(jì)算機(jī)存儲(chǔ)介質(zhì)上的各種有價(jià)值的商業(yè)數(shù)據(jù)文件不被非法存取、修改或破壞。在在線或?qū)崟r(shí)處理系統(tǒng)中，當(dāng)計(jì)算機(jī)終端處于數(shù)

8、據(jù)可輸入狀態(tài)時(shí)，必須防止未經(jīng)許可的人輸入數(shù)據(jù)。為此，需在各個(gè)層次采取保護(hù)措施：(1)限制計(jì)算機(jī)終端只有經(jīng)過許可的人可以接近； 中國經(jīng)典MBA系列教材配套電子教案系列(2)可在系統(tǒng)軟件中使用口令，口令只授予允許使用系統(tǒng)的人，軟件檢查用戶的口令，確保沒有合法口令的人不能進(jìn)入系統(tǒng)；(3)在上述兩層控制的基礎(chǔ)上，還需為一些特殊的系統(tǒng)或應(yīng)用制定另外一組口令和安全限制。6.管理控制管理控制通過制定正式的控制標(biāo)準(zhǔn)、規(guī)則、工作規(guī)程和制度，保證組織的一般控制和應(yīng)用控制的貫徹落實(shí)和實(shí)施。最重要的管理控制有三點(diǎn)：職責(zé)分解，制定工作標(biāo)準(zhǔn)和管理規(guī)章制度,監(jiān)督管理。職責(zé)分解是所有組織進(jìn)行內(nèi)部控制的基本方法，從本質(zhì)上講，工

9、作職責(zé)的劃分應(yīng)使出錯(cuò)或欺騙性操作的風(fēng)險(xiǎn)最小。為了控制信息系統(tǒng)的運(yùn)行，必須建立正式的控制標(biāo)準(zhǔn)，制定工作程序和規(guī)章制度。控制規(guī)程中還應(yīng)包括監(jiān)督管理，確保信息系統(tǒng)的控制有目的地貫徹落實(shí)。 中國經(jīng)典MBA系列教材配套電子教案系列14.2.2 14.2.2 應(yīng)用控制應(yīng)用控制 1.輸入控制(1)數(shù)據(jù)輸入的權(quán)限。當(dāng)要將原始文檔的數(shù)據(jù)輸入計(jì)算機(jī)時(shí)，輸入操作必須嚴(yán)格地審核、記錄和監(jiān)控。(2) 數(shù)據(jù)轉(zhuǎn)換。原始輸入必須按要求轉(zhuǎn)換成計(jì)算機(jī)事務(wù)，從一個(gè)表格改寫到另一個(gè)表格要保證沒有錯(cuò)誤發(fā)生，如果輸入事務(wù)是從原始文檔直接輸入計(jì)算機(jī)的，則可避免或減少抄寫錯(cuò)誤。(3)校驗(yàn)審核。應(yīng)在數(shù)據(jù)處理前執(zhí)行各種例行程序校驗(yàn)輸入數(shù)據(jù)是否有

10、誤，不符合標(biāo)準(zhǔn)的事務(wù)拒絕執(zhí)行，同時(shí)校驗(yàn)例行程序列出需改正的錯(cuò)誤。最主要的校驗(yàn)技術(shù)有以下幾種：合理性校驗(yàn)：有些數(shù)據(jù)可以預(yù)見其取值范圍，這樣的數(shù)據(jù)可以事先設(shè)置輸入的上限和或下限，不在此范圍內(nèi)的數(shù)據(jù)拒絕接受。 中國經(jīng)典MBA系列教材配套電子教案系列格式校驗(yàn)：格式校驗(yàn)負(fù)責(zé)檢驗(yàn)輸入數(shù)據(jù)的類型、長度等內(nèi)容。存在性校驗(yàn)：將輸入數(shù)據(jù)和專門的對照表或主文件中存儲(chǔ)的輸入?yún)⒖紨?shù)據(jù)比較，保證輸入的數(shù)據(jù)是有效的。依賴性校驗(yàn)：對相同的事務(wù)的相關(guān)數(shù)據(jù)的輸入應(yīng)檢驗(yàn)其相互的邏輯關(guān)系是否仍然存在，如果不是，則拒絕該事務(wù)。校驗(yàn)位：在輸入數(shù)據(jù)的后面引入稱為校驗(yàn)位的附加數(shù)字位，使其與輸入的其他位的數(shù)據(jù)保持一定的數(shù)學(xué)關(guān)系。增加的校驗(yàn)位與

11、數(shù)據(jù)一起輸入，計(jì)算機(jī)重新計(jì)算輸入數(shù)據(jù)，計(jì)算結(jié)果與輸入的校驗(yàn)位比較，比較結(jié)果相同，則接受輸入數(shù)據(jù)。2.處理控制處理控制負(fù)責(zé)在數(shù)據(jù)修改過程中保證數(shù)據(jù)是完整和準(zhǔn)確的。主要的處理控制有運(yùn)行總數(shù)控制、計(jì)算機(jī)匹配、校驗(yàn)。 中國經(jīng)典MBA系列教材配套電子教案系列運(yùn)行總數(shù)控制是要保證輸入數(shù)據(jù)項(xiàng)總數(shù)與已更新了相應(yīng)文件的數(shù)據(jù)項(xiàng)的總數(shù)一致。計(jì)算機(jī)匹配把輸入數(shù)據(jù)與主數(shù)據(jù)文件中的數(shù)據(jù)進(jìn)行對比，將不匹配的數(shù)據(jù)項(xiàng)記錄下來，并提示有關(guān)人員檢查。編輯校驗(yàn)負(fù)責(zé)檢查數(shù)據(jù)的合理性和一致性，多數(shù)校驗(yàn)在數(shù)據(jù)輸入時(shí)進(jìn)行，但有些應(yīng)用也在數(shù)據(jù)修改時(shí)檢驗(yàn)數(shù)據(jù)的合理性和獨(dú)立性。3.輸出控制輸出控制是為了保證計(jì)算機(jī)的處理結(jié)果準(zhǔn)確、完整和正確傳輸，輸

12、出控制主要包括以下內(nèi)容：(1)平衡輸出總數(shù)及輸入和處理總數(shù)。(2)復(fù)核計(jì)算機(jī)處理日志，檢查是否所有該由計(jì)算機(jī)做的都已嚴(yán)格地執(zhí)行了。(3)審核輸出報(bào)告，確保結(jié)果的總數(shù)、格式和關(guān)鍵的細(xì)節(jié)是正確的，并且與輸入是符合的。(4)審核授權(quán)專人接收輸出報(bào)告、憑證或其他重要文檔的正式的規(guī)章制度和文件。 中國經(jīng)典MBA系列教材配套電子教案系列14.2.3 14.2.3 制定控制策略：成本和效益分析制定控制策略：成本和效益分析決定系統(tǒng)采用多少控制的標(biāo)準(zhǔn)之一是該系統(tǒng)數(shù)據(jù)的重要性。例如，金融和會(huì)計(jì)系統(tǒng)（像工資系統(tǒng)或股票交易系統(tǒng)）的控制標(biāo)準(zhǔn)必須高于雇員培訓(xùn)系統(tǒng)。系統(tǒng)的固定數(shù)據(jù)是指那些永久性數(shù)據(jù)和影響流入流出系統(tǒng)的事務(wù)的

13、數(shù)據(jù)，如產(chǎn)品編碼數(shù)據(jù)，這些數(shù)據(jù)發(fā)生錯(cuò)誤可能會(huì)影響多數(shù)的或所有讀取這些數(shù)據(jù)的事務(wù)，因而它們要比單一孤立的事務(wù)有更嚴(yán)格的控制。控制的成本效率也將受控制技術(shù)的效率、復(fù)雜性和費(fèi)用的影響決定系統(tǒng)采用什么控制另外要考慮的是如果某個(gè)處理或事務(wù)沒有采取恰當(dāng)控制的話，其風(fēng)險(xiǎn)是什么。 中國經(jīng)典MBA系列教材配套電子教案系列14.3.1 14.3.1 審計(jì)在控制過程審計(jì)在控制過程 中的作用中的作用14.3 14.3 信息系統(tǒng)審計(jì)信息系統(tǒng)審計(jì)14.3.2 14.3.2 數(shù)據(jù)質(zhì)量審計(jì)數(shù)據(jù)質(zhì)量審計(jì)中國經(jīng)典MBA系列教材配套電子教案系列14.3.1 14.3.1 審計(jì)在控制過程中的作用審計(jì)在控制過程中的作用審計(jì)人員需收集并

14、分析所有關(guān)于某個(gè)信息系統(tǒng)的資料，如用戶手冊、系統(tǒng)文檔、輸入輸出實(shí)例以及完整性控制的有關(guān)文檔等。審計(jì)人員通常要和操作員或使用系統(tǒng)的關(guān)鍵人員交談，了解他們的工作內(nèi)容和程序，檢查各種應(yīng)用控制、完整性控制以及各種控制規(guī)章制度。審計(jì)人員還應(yīng)跟蹤實(shí)例事務(wù)在整個(gè)系統(tǒng)中的處理流程，如果需要的話，可以使用自動(dòng)化審計(jì)軟件測試其結(jié)果。通過審計(jì)，找出所有控制環(huán)節(jié)的不足，對這些問題進(jìn)行排序，并估計(jì)問題發(fā)生的幾率，然后評(píng)價(jià)它們對組織管理和效益的影響。 中國經(jīng)典MBA系列教材配套電子教案系列14.3.2 14.3.2 數(shù)據(jù)質(zhì)量審計(jì)數(shù)據(jù)質(zhì)量審計(jì)數(shù)據(jù)質(zhì)量審計(jì)有3個(gè)途徑：調(diào)查用戶對數(shù)據(jù)質(zhì)量的理解和認(rèn)識(shí)，審查整個(gè)數(shù)據(jù)文件，檢查數(shù)據(jù)文件中的數(shù)據(jù)。除非進(jìn)行定期的數(shù)據(jù)質(zhì)量審計(jì)，否則組織無法掌握其信息系統(tǒng)有多少不準(zhǔn)確、不完整或模糊的信息。不準(zhǔn)確、不及時(shí)或與其他信息源不一致的數(shù)據(jù)也會(huì)給組織信息系統(tǒng)的運(yùn)行或企業(yè)的經(jīng)濟(jì)效益帶來嚴(yán)重的問題。如果不良的數(shù)據(jù)在組織中傳遞卻未被發(fā)現(xiàn)，則可能導(dǎo)致不良的決策，甚至造成經(jīng)濟(jì)上的損失。 中國經(jīng)典MBA系列教材配套電子教案系列小小 結(jié)結(jié)(1)解釋為什么自動(dòng)化的信息系統(tǒng)如此脆弱，易于破壞、出錯(cuò)和濫用。(2)說明控制在保護(hù)信息系統(tǒng)中的作用。(3