第七章 信息系统的风险、控制与安全

1、第七章 信息系统的风险、控制与安全教案 本章教学目的和要求通过本章的学习，使学生了解会计信息系统可能遇到的风险，掌握内部控制的概念、作用、功能和分类，掌握会计信息系统的控制技术，了解网络会计信息系统的安全技术。II 本章重点IT环境下信息系统的风险分析；会计信息系统的内部控制重点及其措施；会计信息系统的一般控制基本类型介绍；会计信息系统的应用控制；网络信息时代的内部控制理论。III 本章难点会计信息系统的一般控制与应用控制的区别；网络信息时代的内部控制理论；事件驱动会计信息系统的风险识别与控制；会计信息系统的安全策略。 本章计划使用教学课时：7课时（课堂讲授5课时，实践2课时）V 教学内容及教

2、学过程的组织教学方法：采用课堂讲授与实践调查相结合的方式教学内容引入信息技术是一把双刃剑，随着企业信息系统的应用和会计信息系统的普及，信息技术帮助企业改善了经营管理、强化了会计的反映和监控职能、整体提高了企业的营运效率和信息质量水平，这些都显现出了信息技术的有利一面；但与此同时，恶意的数据窃取、计算机舞弊、病毒侵袭、黑客的肆意妄为、非法的程序变更等现象屡见不鲜，这又折射出了信息技术的不利一面。严峻的现实告诉我们，信息系统安全问题已经成为企业实施信息化战略时不得不重视的一大问题，如何对信息系统的安全进行评价、如何对信息系统的风险进行科学评估并以此为基础构建高效、合理的风险控制体系已然成为每一个建

3、立信息系统的企业首先要面对的重大问题。第一节 风险与控制之间的关系信息系统的使用提高了工作效率和经济效益，充分发挥了信息资源的作用,但信息系统在发挥其作用的同时也导致了众多不安全因素的潜入,具有受到严重侵扰和损坏的风险，所以必须采取相应的策略进行系统控制，保证系统的安全。一、IT环境下信息系统的风险分析这里着重要讲清楚三个问题：到底什么是风险；信息系统可以防范手工系统下可能面临的哪些风险；IT环境下信息系统到底面临哪些风险。第一个问题已是老生常谈的问题，因此简单介绍即可，抓住关键两点：风险具有不确定性，风险可能导致损失。第二和第三个问题才是此处讲解的重点。由于采用了信息系统，它可以防范手工系统

4、下可能面临的以下风险：人工操作错误的风险、所加工的信息不能充分满足管理需求的风险以及数据传递慢容易出现差错的风险。但与此同时，信息系统也可能带来与手工环境下不同来源不同性质的风险，主要包括：1、信息安全风险，具体表现4个方面：（1）在信息系统环境下，如果对信息不加以特别保护，信息比较容易被非法修改、删除、转移和伪造且不留任何痕迹；（2）通过网络传输的信息比较容易被非法拦截、窃取和窜改；（3）数据档案往往存储在磁、光介质中，这些设备对环境要求较高，如果环境不能满足要求，比较容易遭受损害，并且如果不经常备份的话，也有可能会面临数据丢失的风险；（4）容易遭受计算机病毒的侵害与干扰从而导致信息系统中的

5、数据被破坏。2、信息处理差错反复所带来的风险。这主要是基于计算机程序控制错误或者根本就不起作用所导致的风险。讲解此点时，有必要提前简单提一下信息系统环境下的信息系统内部控制的主要方式。3、计算机交易授权风险。4、IT本身带来的风险。IT无论多么先进，难免有其自身的局限性或者缺陷，人们在这方面的教训也是深刻的。课堂提问如何看待IT的利与弊？既然IT会导致新风险，那我们为何还要热衷于运用IT改造传统会计？二、内部控制概述此处主要是回顾以前已经在其他课程上学过的一些基本概念，比如控制概念、内部控制的涵义、内部控制的组成要素。教学建议这些概念可以简单介绍一下其要点，比如理解控制概念必须涉及到控制要素（

6、控制标准、偏差识别、纠正差异），理解内部控制概念则必须知道其欲达成的目标（保护公司资产、提高公司营运效率、保证财务报告的准确可靠、保证严格遵循相关法令），而理解内部控制的组成要素则要结合COSO的内部控制要素模型来理解。三、会计信息系统内部控制此处需要讲解4个问题：第一个问题，如何理解会计信息系统内部控制这一概念，其目的和功能到底是什么？第二个问题，会计信息系统的内部控制到底呈现出了哪些新问题，其控制重点在哪里？；第三个问题，会计信息系统内部控制如何分类；第四个问题，会计信息系统内部控制固有的局限性表现在哪些方面。教学建议结合实际例子来讲解会计信息系统的内部控制的具体目的以及主要功能，重点讲解

7、第二个问题和第三个问题，适当了解第四个问题。 第二节 会计信息系统的一般控制与应用控制教学内容引入计算机信息处理环境下内部控制分类从“控制如何执行”的观点来看，可分为人工控制（即使用者控制）和程序控制；而从“控制执行的范围”来看，则可分为一般控制（general control）与应用控制（application control）。那么，到底什么是一般控制？一般控制又可细分为哪些控制类型？应用控制又是指的什么控制？它又包括哪些细分的控制类型呢？其控制目的与措施又是什么呢？一、一般控制一般控制通常是指各个应用系统均通用的控制，也叫基础控制或者环境控制，而应用控制则专指那些专为某个应用系统设计且执

8、行的控制。（一）组织控制组织控制的基本目标是减少发生错误和舞弊的可能性，其基本要求是职责分离，主要内容包括3个方面，即电算部门与用户部门的职责分离、电算部门内部的职责分离以及人事控制。电算部门主要负责业务记录及对数据进行处理和控制，而用户部门主要负责批准执行各种业务交易。电算部门与用户部门的具体职责分离可从5个方面去理解，而电算部门内部职责分离主要是做好两个方面的职责分离（对系统开发职能与数据处理职能进行分离、对数据处理职能进行适当分离）。组织控制一方面可以规章制度的形式明确每个部门及人员的职责，另一方面可通过会计软件中口令控制和授权管理防止越权行为的发生。教学建议教师可引导学生去理解电算部门

9、与用户部门为何要进行职责分离？怎样进行职责分离？电算部门内部又为何要进行一定的职责分离？应如何分离？（二）操作控制操作控制实际上是对会计信息系统的使用操作进行规范控制的制度设计，通常，可采取以下一些具体操作控制措施：制定工作计划并严格按章操作；管理人员和操作人员都应严格遵守相关规定（包括上机守则和操作规程等）；作好日志记录的登记；制定应急预案和物理安全规则。教学建议这方面实践性很强，授课时只需操作控制的主要目的以及主要控制措施，引起学生今后在实际工作中对此问题加以重视。（三）硬件及系统软件控制教学建议这方面的内容可不作详细讲解。（四）系统开发控制教学建议授课时，要讲清楚系统开发控制主要用于什么

10、场合，可采取哪些具体的控制措施。（五）系统文档控制系统文档包括计算机会计信息系统中的证、账、表以及所有系统开发中产生的数据文档，如系统说明书，数据流程图，源程序、系统使用手册及编程说明等。系统文档控制就是指要建立文档管理制度及安全保密制度。系统文档控制的主要规则包括4个方面。教学建议这方面内容可着重点讲解。二、应用控制应用控制应结合具体的业务，但由于会计数据处理都是由输入、处理和输出三个阶段构成，所以一般将应用控制分为输入控制、处理控制和输出控制。应用控制由手工控制和程序化控制构成，但以程序化控制为主。（一）输入控制这里，可适当介绍完整的数据输入过程（包括数据产生阶段、数据传递阶段、数据准备阶

11、段以及数据输入阶段）；重点介绍输入控制可以采取的典型方法（可从数据采集方面和数据输入方面分别讲解）。教学建议输入控制是应用控制中的非常重要的一类控制，因此，它是计算机会计处理区别于手工会计处理的一个重要方面，正因为输入控制的重要性，在会计信息系统程序设计时，通常会把基本的输入控制关系考虑进去，这样既方便用户操作，又可提高输入数据的正确性和可靠性。因此，输入控制措施也必要在实践教学中去运用，通过运用加深理解。（二）处理控制数据输入计算机后，按照预定的程序进行加工处理，在数据处理过程中极少人工干预，一般控制和输入控制对保证数据处理的正确和可靠起着非常重要的作用。但是针对计算错误、用错文件、用错记录

12、、用错程序、输入数据错误在输入过程中没检查出来等情况，还必须在处理过程中设置处理控制。这些处理控制措施大都为纠正性和检查性控制，而且多是程序控制。处理控制包括的主要内容（即处理控制包括的具体控制措施或手段）：业务时序控制、数据有效性检验、程序化处理有效性检验、错误更正控制、断点技术、数据合理性检查、平衡及钩稽关系校验等。教学建议注意区别输入控制中的某些控制措施与处理控制的某些控制措施之间的不同。（三）输出控制适当讲解输出控制的目的，重点讲解输出控制的内容。输出控制主要包括对输出内容和格式的控制和对输出信息的传送过程的控制。具体可以采取的手段包括：输出授权控制；输入过程的控制总数与输出得到的控制

13、总数相核对；审校输出结果，检查正确性、完整性；将正常业务报告与例外报告中有关数据做分析对比；设置输出报告发送登记簿，记录报告发送份数、时间、接受人等事项；制订输出错误纠正和对重要数据进行处理的规定；在会计报表输出前，由计算机检查报表间应有的钩稽关系是否满足，若不满足，则给出错误信息。教学建议输出控制作适当介绍即可。不同的单位和不同的计算机会计信息系统内部控制的技术方法会有很大差异。应用控制大部分通过程序实现，所以选用的会计软件不同，应用控制的实现方式也不同。但是，不管系统的应用控制采用哪种技术方法，都必须保留审计线索。第三节 网络信息时代的内部控制理论教学内容引入对传统内部控制进行回顾。传统的

14、会计和审计控制观点是基于以下的概念和实践：1.大量使用硬拷贝文档来收集会计交易的信息,频繁打印会计过程中会计交易的中间结果。大量使用纸张来记录、处理和维护历史信息。这种做法符合大多数人的习惯,因为他们可以看到处理过程。2.职责分离,使一个人检查另一个人的工作。只要业务活动和信息处理都由人来执行,这种方法就是可行的。3.会计数据的重复记录和重复数据的大量调整工作。现行的信息系统中充满着重复数据。同样的销售事件信息记录在销售发票、销售日志中,并在总账中汇集,若该销售涉及信用,则分类账中也记录了该销售信息。而且,销售部门常常在自己的系统中按产品和地区保留销售记录。另外,人事部门也保留了同样的销售数据

15、,以便于准确支付销售人员的佣金。4.注册会计师认为其角色是独立的、反映性的和检查性的。独立的概念正日益深入到会计的各个领域,这对会计师的验证职能非常重要。会计师的反映性要多于主动性,检查性要多于预防性。5.严重依赖年末对财务报表的检查,所需控制较多。6.相对于运行效率而言，更加注重内部控制。这主要是由于外部财务报表审计的要求，促使会计师们主要考虑影响财务报表准确性的财务控制。7.避开信息技术的进步。尽管会计首先大量使用计算机,使会计处理自动化,会计师们在开发IT的应用能力方面仍落在了后面。传统的控制观点没有考虑IT对与业务运行、对规则的复合程度和信息过程相关的风险的影响。在网络信息时代，需要建

16、立起一种新的控制观念，将IT有效的集成到业务和信息过程中，把保护组织和促进组织有机结合起来。为此，可从以下几方面加以落实。一、明确预防商业风险是会计师的首要职责二、正确对待风险和特定控制程序之间的关系三、内部控制程序的设计应达到保护与高效并重的效果四、IT可能带来风险，但它更是控制风险的工具五、信息的可见性与风险水平无关六、小型组织同样也可充分运用信息技术强化内部控制七、网络信息时代内部控制观点总结八、事件驱动会计信息系统的风险识别与控制教学建议此八点是本章的学习重点，也是学习难点，授课时，需要进行较为深入的讲解分析。第四节 信息系统的安全影响因素分析一、信息系统安全的含义此处关键是理解信息系

17、统安全的具体含义，适当与信息安全这个概念加以区分。从系统过程与控制角度看，信息系统安全就是信息在存取、处理、集散和传输中保持其机密性、完整性、可用性、可审计性和抗抵赖性的系统识别、控制、策略和过程。信息系统安全是一个多维、多层次、多因素、多目标的体系，虽然信息系统安全的唯一和最终目标是保障信息内容在系统内的任何地方、任何时间和任何状态下的机密性，完整性和可用性，但是离开了信息系统安全的体系，孤立的和单纯的寻求直接保护信息内容的方法，显然是舍本逐末。二、影响信息系统安全性的主要因素信息系统本身由于系统主体和客体的原因可能存在不同程度的脆弱性，这就为各种动机的攻击提供了入侵、骚扰和破坏信息系统可利

18、用的途径和方法。影响信息系统安全的因素要有以下几个方面：硬件组织、软件组织、网络和通信协议以及管理者。教学建议授课时，需要分别讲清楚上述四个方面的影响因素是如何影响信息系统的安全性的。第五节 会计信息系统的安全问题及保障技术一、会计信息系统安全问题的具体表现会计信息系统是一种特殊的信息系统，它除了一般信息系统的安全特征外，还具有自身的一些安全特点。会计信息系统的安全风险是指由于人为的或非人为的因素使会计信息系统保护安全的能力的减弱，从而产生系统的信息失真、失窃，使单位的财产遭受损失，或系统的硬件、软件无法正常运行等结果发生的可能性。会计信息系统的安全风险主要表现在以下几个方面：会计信息的真实性、可靠性得不到保证；企业重要的数据泄密；会计信息存在被窜改的可能性。教学建议实际上，会计信息系统的安全风险表现在许多方面，这里只是择其重要方面进行介绍，教师可引导学生思考是否有其他方面的表现。二、会计信息系统的安全策略所谓对症下药，会计信息系统的安全策略当然要针对其所面临的主要安全问题以及安全风险的具体表现来采