第14章信息系统的内部控制

1、中国经典MBA系列教材配套电子教案系列14.2 14.2 建立控制环境建立控制环境 14.1 14.1 为什么要控制信息系统为什么要控制信息系统14.3 14.3 信息系统审计信息系统审计 中国经典MBA系列教材配套电子教案系列14.1.1 14.1.1 计算机信息系统是脆弱的计算机信息系统是脆弱的 14.1 14.1 为什么要控制为什么要控制 信息系统信息系统14.1.2 14.1.2 信息系统面临的新威胁信息系统面临的新威胁 14.1.3 14.1.3 系统开发者和用户的关注系统开发者和用户的关注中国经典MBA系列教材配套电子教案系列14.1.1 14.1.1 计算机信息系统是脆弱的计算机

2、信息系统是脆弱的 计算机信息系统最常受到的威胁有：计算机硬件故障计算机软件故障人员安排不当终端存取控制不利数据盗窃，服务不好火灾供电系统问题用户使用错误程序变化通讯问题 中国经典MBA系列教材配套电子教案系列计算机系统对上述威胁的防御能力不强是由下述原因造成的：(1)一个复杂的信息系统是不能用手工重复的，因为大多数信息无法打印出来，或者是因为数量大，无法用手工处理；(2)通常计算机系统的处理是无法以可见的方式跟踪的，因为计算机的记录只有计算机能够读懂；(3)计算机程序是不可见的，不易理解或审计；(4)计算机信息系统的开发和运行需要专门的技术和方法，这些技术和方法用户是不精通的；(5)尽管计算机

3、信息系统灾难发生的机会并不比手工系统更大，但计算机系统灾难所产生的影响要大得多，有时可能会使系统所有的记录受到破坏或全部丢失；(6)大多数计算机系统是由多人使用的，信息虽然容易收集但却更难控制了；(7)在线实时计算机系统甚至更难控制，因为在这种情况下，数据文件可以直接在计算机终端上存取。 中国经典MBA系列教材配套电子教案系列14.1.2 14.1.2 信息系统面临的新威胁信息系统面临的新威胁通讯网络可以将不同地点的计算机信息系统连在一起，这使得未经许可的数据存取、滥用，或发生错误的可能性不仅限于单个计算机，而是在网络的每一点上都可能发生。此外，通讯网络要求更复杂多变的软硬件支持，以及组织和人

4、事上的管理和安排，这给数据滥用创造了新的机会。计算机网上的“黑客”(Hacker)是指那些为了某种利益、个人兴趣或犯罪目的未经许可在计算机网上存取信息的人，这些“入侵者”潜在的危害是惊人的。除了通过计算机网络传播外，计算机病毒还可由外部信息源带来的受病毒感染的软盘，或通过受到感染的机器，甚至通过在线电子布告板等途径，侵入计算机信息系统。计算机软件的发展增加了信息系统误用和滥用的机会，因为使用第四代语言，用户自己可以编程，而不一定需要专门的技术人员。用户自己写的程序可能会无意地产生些错误，也可能出于非法的目的修改系统的数据。另外，越来越多地使用数据库系统，也增加了系统的脆弱性。 中国经典MBA系

5、列教材配套电子教案系列14.1.3 14.1.3 系统开发者和用户的关注系统开发者和用户的关注 首先，由于火灾、停电和其他一些灾害的发生，可能使计算机系统的硬件、程序、数据文件和其他设备被毁坏，从而导致信息系统的正常运行中断，甚至整个组织工作瘫痪。第二点要考虑的是安全性问题，安全性是指制定政策、规章制度和技术措施，防止在未经许可的情况下，修改系统，盗窃信息，或进行物理破坏等。最后一点是系统可能出现的错误，计算机可能在错误的指令或环境下运行，严重干扰或破坏了组织信息系统的数据记录和运行。 中国经典MBA系列教材配套电子教案系列14.2.1 14.2.1 一般控制一般控制14.2 14.2 建立控

6、制环境建立控制环境14.2.2 14.2.2 应用控制应用控制14.2.3 14.2.3 制定控制策略：制定控制策略： 成本和效益分析成本和效益分析中国经典MBA系列教材配套电子教案系列14.2.1 14.2.1 一般控制一般控制1.系统实施控制实施控制是指在各个关键点上审计系统开发过程，确保整个过程受到严格的控制和管理。2.软件控制软件控制就是监控计算机系统软件的使用过程,防止未经许可的人访问系统软件或应用程序,软件控制又分为系统软件控制和应用程序安全控制。系统软件控制负责对操作系统软件实施控制，以及对编译程序、实用程序、运行报告、文件建立和传输等进行控制。应用程序安全控制针对已经投入运行的

7、系统的程序实施控制，防止对程序进行未经许可的修改。3.硬件控制硬件控制可确保系统物理安全性，使计算机硬件正确运行。计算机硬件在物理上应当是安全的，使只有许可使用的人才能接触到硬件。 中国经典MBA系列教材配套电子教案系列13.2.2 群体决策支持系统群体决策支持系统(GDSS)4.计算机操作控制计算机操作控制包括：计算机处理程序安装控制，运行软件的控制，计算机运行控制以及异常中断情况时数据及程序的备份和恢复控制。5.数据安全控制数据安全控制是数据文件在使用和存储时实施的各种控制，确保在计算机存储介质上的各种有价值的商业数据文件不被非法存取、修改或破坏。在在线或实时处理系统中，当计算机终端处于数

8、据可输入状态时，必须防止未经许可的人输入数据。为此，需在各个层次采取保护措施：(1)限制计算机终端只有经过许可的人可以接近； 中国经典MBA系列教材配套电子教案系列(2)可在系统软件中使用口令，口令只授予允许使用系统的人，软件检查用户的口令，确保没有合法口令的人不能进入系统；(3)在上述两层控制的基础上，还需为一些特殊的系统或应用制定另外一组口令和安全限制。6.管理控制管理控制通过制定正式的控制标准、规则、工作规程和制度，保证组织的一般控制和应用控制的贯彻落实和实施。最重要的管理控制有三点：职责分解，制定工作标准和管理规章制度,监督管理。职责分解是所有组织进行内部控制的基本方法，从本质上讲，工

9、作职责的划分应使出错或欺骗性操作的风险最小。为了控制信息系统的运行，必须建立正式的控制标准，制定工作程序和规章制度。控制规程中还应包括监督管理，确保信息系统的控制有目的地贯彻落实。 中国经典MBA系列教材配套电子教案系列14.2.2 14.2.2 应用控制应用控制 1.输入控制(1)数据输入的权限。当要将原始文档的数据输入计算机时，输入操作必须严格地审核、记录和监控。(2) 数据转换。原始输入必须按要求转换成计算机事务，从一个表格改写到另一个表格要保证没有错误发生，如果输入事务是从原始文档直接输入计算机的，则可避免或减少抄写错误。(3)校验审核。应在数据处理前执行各种例行程序校验输入数据是否有

10、误，不符合标准的事务拒绝执行，同时校验例行程序列出需改正的错误。最主要的校验技术有以下几种：合理性校验：有些数据可以预见其取值范围，这样的数据可以事先设置输入的上限和或下限，不在此范围内的数据拒绝接受。 中国经典MBA系列教材配套电子教案系列格式校验：格式校验负责检验输入数据的类型、长度等内容。存在性校验：将输入数据和专门的对照表或主文件中存储的输入参考数据比较，保证输入的数据是有效的。依赖性校验：对相同的事务的相关数据的输入应检验其相互的逻辑关系是否仍然存在，如果不是，则拒绝该事务。校验位：在输入数据的后面引入称为校验位的附加数字位，使其与输入的其他位的数据保持一定的数学关系。增加的校验位与

11、数据一起输入，计算机重新计算输入数据，计算结果与输入的校验位比较，比较结果相同，则接受输入数据。2.处理控制处理控制负责在数据修改过程中保证数据是完整和准确的。主要的处理控制有运行总数控制、计算机匹配、校验。 中国经典MBA系列教材配套电子教案系列运行总数控制是要保证输入数据项总数与已更新了相应文件的数据项的总数一致。计算机匹配把输入数据与主数据文件中的数据进行对比，将不匹配的数据项记录下来，并提示有关人员检查。编辑校验负责检查数据的合理性和一致性，多数校验在数据输入时进行，但有些应用也在数据修改时检验数据的合理性和独立性。3.输出控制输出控制是为了保证计算机的处理结果准确、完整和正确传输，输

12、出控制主要包括以下内容：(1)平衡输出总数及输入和处理总数。(2)复核计算机处理日志，检查是否所有该由计算机做的都已严格地执行了。(3)审核输出报告，确保结果的总数、格式和关键的细节是正确的，并且与输入是符合的。(4)审核授权专人接收输出报告、凭证或其他重要文档的正式的规章制度和文件。 中国经典MBA系列教材配套电子教案系列14.2.3 14.2.3 制定控制策略：成本和效益分析制定控制策略：成本和效益分析决定系统采用多少控制的标准之一是该系统数据的重要性。例如，金融和会计系统（像工资系统或股票交易系统）的控制标准必须高于雇员培训系统。系统的固定数据是指那些永久性数据和影响流入流出系统的事务的

13、数据，如产品编码数据，这些数据发生错误可能会影响多数的或所有读取这些数据的事务，因而它们要比单一孤立的事务有更严格的控制。控制的成本效率也将受控制技术的效率、复杂性和费用的影响决定系统采用什么控制另外要考虑的是如果某个处理或事务没有采取恰当控制的话，其风险是什么。 中国经典MBA系列教材配套电子教案系列14.3.1 14.3.1 审计在控制过程审计在控制过程 中的作用中的作用14.3 14.3 信息系统审计信息系统审计14.3.2 14.3.2 数据质量审计数据质量审计中国经典MBA系列教材配套电子教案系列14.3.1 14.3.1 审计在控制过程中的作用审计在控制过程中的作用审计人员需收集并

14、分析所有关于某个信息系统的资料，如用户手册、系统文档、输入输出实例以及完整性控制的有关文档等。审计人员通常要和操作员或使用系统的关键人员交谈，了解他们的工作内容和程序，检查各种应用控制、完整性控制以及各种控制规章制度。审计人员还应跟踪实例事务在整个系统中的处理流程，如果需要的话，可以使用自动化审计软件测试其结果。通过审计，找出所有控制环节的不足，对这些问题进行排序，并估计问题发生的几率，然后评价它们对组织管理和效益的影响。 中国经典MBA系列教材配套电子教案系列14.3.2 14.3.2 数据质量审计数据质量审计数据质量审计有3个途径：调查用户对数据质量的理解和认识，审查整个数据文件，检查数据文件中的数据。除非进行定期的数据质量审计，否则组织无法掌握其信息系统有多少不准确、不完整或模糊的信息。不准确、不及时或与其他信息源不一致的数据也会给组织信息系统的运行或企业的经济效益带来严重的问题。如果不良的数据在组织中传递却未被发现，则可能导致不良的决策，甚至造成经济上的损失。 中国经典MBA系列教材配套电子教案系列小小 结结(1)解释为什么自动化的信息系统如此脆弱，易于破坏、出错和滥用。(2)说明控制在保护信息系统中的作用。(3)区分一般控制和应用控制。一般控制用于控制整个设计过程、安全性，