信息系统的内部控制资料.ppt

中国经典MBA系列教材配套电子教案系列 14.2 建立控制环境 第14章 信息系统的内部控制 14.1 为什么要控制信息系统 14.3 信息系统审计 上 页 下页 末页 首 页 14.1.1 计算机信息系统是脆弱的 结 束 14.1 为什么要控制 信息系统 第14章 信息系统的 内部控制 14.1.2 信息系统面临的新威胁 14.1.3 系统开发者和用户的关注 上 页 下页 末页 首 页 结 束 14.1.1 计算机信息系统是脆弱的 计算机信息系统最常受到的威胁有： ①计算机硬件故障 ②计算机软件故障 ③人员安排不当 ④终端存取控制不利 ⑤数据盗窃，服务不好 ⑥火灾 ⑦供电系统问题 ⑧用户使用错误 ⑨程序变化 ⑩通讯问题 上 页 下页 末页 首 页 结 束 计算机系统对上述威胁的防御能力不强是由下述原因造成的： (1)一个复杂的信息系统是不能用手工重复的，因为大多数信息无法打印出来，或者是因为数量大，无法用手工处理； (2)通常计算机系统的处理是无法以可见的方式跟踪的，因为计算机的记录只有计算机能够读懂； (3)计算机程序是不可见的，不易理解或审计； (4)计算机信息系统的开发和运行需要专门的技术和方法，这些技术和方法用户是不精通的； (5)尽管计算机信息系统灾难发生的机会并不比手工系统更大，但计算机系统灾难所产生的影响要大得多，有时可能会使系统所有的记录受到破坏或全部丢失； (6)大多数计算机系统是由多人使用的，信息虽然容易收集但却更难控制了； (7)在线实时计算机系统甚至更难控制，因为在这种情况下，数据文件可以直接在计算机终端上存取。 上 页 下页 末页 首 页 结 束 14.1.2 信息系统面临的新威胁 ☆通讯网络可以将不同地点的计算机信息系统连在一起，这使得未经许可的数据存取、滥用，或发生错误的可能性不仅限于单个计算机，而是在网络的每一点上都可能发生。此外，通讯网络要求更复杂多变的软硬件支持，以及组织和人事上的管理和安排，这给数据滥用创造了新的机会。 ☆计算机网上的“黑客”(Hacker)是指那些为了某种利益、个人兴趣或犯罪目的未经许可在计算机网上存取信息的人，这些“入侵者”潜在的危害是惊人的。 ☆除了通过计算机网络传播外，计算机病毒还可由外部信息源带来的受病毒感染的软盘，或通过受到感染的机器，甚至通过在线电子布告板等途径，侵入计算机信息系统。 ☆计算机软件的发展增加了信息系统误用和滥用的机会，因为使用第四代语言，用户自己可以编程，而不一定需要专门的技术人员。 ☆用户自己写的程序可能会无意地产生些错误，也可能出于非法的目的修改系统的数据。 ☆另外，越来越多地使用数据库系统，也增加了系统的脆弱性。 上 页 下页 末页 首 页 结 束 14.1.3 系统开发者和用户的关注 首先，由于火灾、停电和其他一些灾害的发生，可能使计算机系统的硬件、程序、数据文件和其他设备被毁坏，从而导致信息系统的正常运行中断，甚至整个组织工作瘫痪。 第二点要考虑的是安全性问题，安全性是指制定政策、规章制度和技术措施，防止在未经许可的情况下，修改系统，盗窃信息，或进行物理破坏等。 最后一点是系统可能出现的错误，计算机可能在错误的指令或环境下运行，严重干扰或破坏了组织信息系统的数据记录和运行。 上 页 下页 末页 首 页 14.2.1 一般控制 结 束 14.2 建立控制环境 第14章 信息系统的 内部控制 14.2.2 应用控制 14.2.3 制定控制策略： 成本和效益分析 上 页 下页 末页 首 页 结 束 14.2.1 一般控制 1.系统实施控制 实施控制是指在各个关键点上审计系统开发过程，确保整个过程受到严格的控制和管理。 2.软件控制 软件控制就是监控计算机系统软件的使用过程,防止未经许可的人访问系统软件或应用程序,软件控制又分为系统软件控制和应用程序安全控制。 ☆系统软件控制负责对操作系统软件实施控制，以及对编译程序、实用程序、运行报告、文件建立和传输等进行控制。 ☆应用程序安全控制针对已经投入运行的系统的程序实施控制，防止对程序进行未经许可的修改。 3.硬件控制 硬件控制可确保系统物理安全性，使计算机硬件正确运行。计算机硬件在物理上应当是安全的，使只有许可使用的人才能接触到硬件。 上 页 下页 末页 首 页 结 束 13.2.2 群体决策支持系统(GDSS) 4.计算机操作控制 计算机操作控制包括：计算机处理程序安装控制，运行软件的控制，计算机运行控制以及异常中断情况时数据及程序的备份和恢复控制。 5.数据安全控制 ☆数据安全控制是数据文件在使用和存储时实施的各种控制，确保在计算机存储介质上的各种有价值的商