CMAP冲刺讲义内部控制资料.ppt

VII.存储和备份 a.采用祖-父-子三级式进行存储和备份 b.使用在线备份 c.以交易日志的方式进行存储 d.备份的数据应异地存储 二.应用控制 I.输入控制 II.处理控制 III.输出控制 三.信息安全 I.数据传送 a.加密可以降低数据被窃听或盗窃的风险 b.加密的方式 在秘密-密钥加密中，对信息进行加密和解密都用来同样的密钥 在公共-密钥加密中，加密和解密使用两把不同的密钥，应用最普遍 II.防火墙 a.隔离外网与内网 b.限制了来自于外部的对公司服务器上的信息的访问 四.流程图 I.流程图的类型 a.系统流程图：确定整体和主要的运营流向，说明输入的产出和次序、处理模式 和输出的形式或内容 b.程序流程图：由系统开发人员使用，更关注详细的处理功能 c.分析流程图：确定一个应用系统中所有重要的处理程序，分析实施控制的任务流程 d.文件流程图：列出应用系统中所使用的所有文档并确定这些文档组织、分步和最终处置的控制点 5-9.以下哪项关于灾难恢复规划的陈述是不正确的？ A.灾难恢复计划必须在公司内的最低级别实施。 B.灾难恢复计划应完整地记录在册并获得批准。 C.灾难恢复计划的设计应包含对公司需求的评估、恢复优先顺序表以及一套恢复策略和规程。 D.灾难恢复计划的一个非常重要的环节是备份站点的指定。 题解：灾难恢复，A ? 灾难恢复计划在公司中应由董事会批准作为计算机安全计划的一个重要组成部分，并在公司的最高层级中贯彻执行 ? 灾后恢复计划应被完整存档并由管理高层和计划委员会批准 ? 关键数据、程序、操作系统和文档的异地存储 ? 一份包含灾难发生时应采取的详细步骤的计划文档 5-10.ABC公司由于意外进水导致了大量的数据丢失。虽然该公司采取了异地存储的备份模式，但是在从异地取回的数据备份中并没有发现备份的信息。为避免再次发生此类事件并能快速找到正确的备份磁带，公司应： A.附有详细说明的备份磁带 B.将文件备份到磁盘里，并用“祖-父-子”3级模式进行管理 C.将备份的磁带存放于不同的地方 D.以上均不正确 题解：数据备份原则的判断，选B ? 异地存储和3级式存储都是文件备份的基本原则 ? 虽然案例中的企业已经采取了异地存储的模式，但是依然无法获取备份的数据 ? 因此，必须采取“祖-父-子”3级的模式进行数据的备份 祝各位同学都能顺利通过考试！！！ 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * 第五章 内部控制 5.1 公司治理、风险与合规性 5.2 内部审计 5.3 系统控制与安全措施 5.1 公司治理、风险与合规性 一.内部控制的原则 I.内部控制只是手段，不是目的 II.内部控制只能提供合理保证，而非绝对保证 二.内部控制的目标 I.经营的效果和效率 II.财务报告的可靠性 III.遵守法律法规性 IV.资产的安全和组织目标的实现 三.内部控制的5个要素 I.控制环境 a.是其他要求的基础 b.构成要素 诚信和道德观 员工的胜任能力 董事会或审计委员会 管理哲学（原则）和经营风格 组织结构 分配权责 人力资源政策和措施 II.风险评估 a.风险是客观存货咋，任何控制方法只能降低风险，不能消除风险 b.风险分析和排序 风险的重要性：绝对的损失 风险的可能性：相对的可能 根据两者的乘积来对风险进行排序 c.风险的类型 固有风险：无控制，无审计 控制风险：有控制，无审计 检查风险：有控制，有审计 审计风险 = 固有风险 × 控制风险 × 检查风险 III.控制活动 a.基本的控制活动 职责划分：最有效但最费钱的控制方式；合谋会瓦解职责划分的效用 适当授权 对于资产和记录的保管 恰当的文件和记录：预编号码 独立核查 b.控制活动的类型 预防控制： 避免差错发生 成本效益高 检查控制： 识别已发的差错 用来检验预防控制 成本效益低 纠正控制：避免差错再次发生 指向控制：为了产生正面的控制结果 补偿控制：弥补控制系统中的缺陷 会计控制：确保资产的安全和财务报告的可靠性 管理控制：关注合规、运营的效率与效用和组织目标的实现 IV.信息和沟通 V.监督 四.相关法律 I.《海外反腐败法》 a.立法意图 禁止通过行贿来获得或维持商业利益 b.反行贿条款 禁止美国企业、美国公民和在美国上市的外国企业通过贿赂外国的官