来源:蜘蛛抓取(WebSpider)
时间:2016-12-03 10:45
标签:
审计师和会计师的区别
信息技术风险和控制-中华会计网校
信息技术、风险、控制的基本概念
信息技术风险和控制主要从审计人员应该了解和关注的问题这个角度,介绍信息技术的内容,信息技术带来的风险,以及控制这些风险我们可以采取的措施。三个部分的内容。
信息技术(IT)飞速发展给社会带来了巨大的影响,也给审计领域带来了巨大的冲击。信息技术对传统业务流程的再造,以促进更加高效的运营,并加强企业内部、企业与其客户和供货商之间的沟通。但是这种技术同时也导致了需要有专门的内部控制措施才能加以控制新的风险,也需要有新的技术来评估控制的有效性,确保企业数据以及生成这些数据的信息系统的安全性和准确性。我们先来看一个新技术带来新的风险的例子。
案例:新技术带来的风险(USB存储设备特点和风险)
如今,似乎所有人都在使用USB数据存储设备来存储数据, USB设备,通常也被称作USB驱动器、闪存、U盘、拇指盘等,具有很大的优势。他们不仅存储量大(目前最大超过8G),而且价格低廉,容易使用(只需要插入到计算机的USB端口上,计算机就可以自行识别)。这类设备面临的风险一部分与过去传统的可移动存储设备如软盘,光盘等面临的风险相同,另外还有一些审计师应该知道的不同的风险。
新的第三代智能U盘的出现,对于信息和系统的机密性,完整性和可用性更是增加了潜在的风险。开放标准的的U3平台是由美国的DanDisk和M-System联合开发,在运行windows2000/XP操作系统并具有USB接口的计算机上,支持用户在其USB驱动器上安装和运行程序,而不考虑用户是否具有管理员权限。U3驱动器的4MB的只读系统分区可以被系统认为是CD-ROM驱动器,而数据分区可以被视作传统的U盘。Windows将系统分区作为CD来处理,U3可以使用windows系统中自动运行的属性,自动运行U3的载入平台(LaunchPad),并对驱动器的数据分区进行解锁操作。
如果有恶意用户试图非授权访问应用程序或者网络,他/她可以很容易在网络的计算机上使用支持U3的USB设备。
USB驱动器可以安装以下的程序:
密钥窃取工具(Key catcher program):可以捕获所有通过键盘输入的字符,包括搜集用户ID和密码。
密码收集程序:可以搜索windows的密码。
病毒:计算机安全公司报导了使用USB设备进行穿透测试的例子,他们把通过把含有恶意程序的驱动器随便的仍在公司的停车场,毫无戒备的职员达到停车场后,发现了被感染的驱动器,捡起来并插到自己的计算机上以检验这个驱动器是否还可以使用。于是这样,他们的计算机甚至整个网络都被感染了。
弱点扫描程序:可以对网络上的设备进行弱点扫描,收集信息并用于非授权访问
另一种影响重大的风险是用户随意处置或者无意丢失了储存有重要信息的USB驱动器。这些设备容易导致泄密,如果他们没有被物理保护的话。
要减少这些风险的影响,重要的是制定政策。组织应该让大家清楚的知道如何正确的使用USB存储盘。这部分政策应该是整个“可移动介质”政策的组成部分,其制定的基础是组织的风险评估。政策应该指明:
(1)根据组织的数据分类政策的规定,确定和批准可以被存储在可移动介质上的数据类型
(2)加密要求
(3)密码要求
(4)用户安全意识培训
组织有可能试图禁用所有的USB端口,但是这种做法并不现实,因为还有其他的USB设备需要用到这些端口,例如键盘和鼠标。有许多可行的技术解决方案能够对USB存储设备进行控制,并减少USB存储设备的风险。可以使用一些特殊的第三方安全工具。
另外,microsoft在windows vista操作系统中提供了对可移动介质的另外的控制手段,管理员在这种环境下可以:
(1)禁止用户安装任何设备
(2)只允许用户安装许可列表中允许的设备
(3)禁止用户安装“禁止”列表中的设备
(4)拒绝用户对可移动设备或者使用可移动介质的设备进行读取和写入访问的操作。
从中我们可以看出对于新技术,审计人员应该有基本的了解,以便建立必要的风险意识。虽然并不要求审计人员必须成为信息技术方面的专家,因为需要的时候可以借助于外部专家的帮助。但是了解技术的基本知识,有助于审计人员识别风险,以便判断是否需要外界帮助。
下面我们先来介绍一组与我们这个讲座主题有关的概念。
信息技术、风险、控制的基本概念
1.什么是信息技术:
信息技术是指有关信息的收集、识别、提取、变换、存贮、传递、处理、检索、检测、分析和利用等的技术。信息技术(Information Technology,简称IT),是主要用于管理和处理信息所采用的各种技术的总称。它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。它也常被称为信息和通信技术(Information
and Communications Technology, ICT)。
信息技术的研究包括科学、技术、工程以及管理等学科,这些学科在信息的管理,传递和处理中的应用,相关的软件和设备及其相互作用。
信息技术的应用包括计算机硬件和软件,网络和通讯技术,应用软件开发工具等。计算机和互联网的普及,使人们日益普遍的使用计算机来生产、处理、交换和传播各种形式的信息(如书籍、商业文件、报刊、唱片、电影、电视节目、语音、图形、影像等)。
在企业,学校和其它组织中,信息技术体系结构是一个为达成战略目标而采用和发展信息技术的综合结构。它包括管理和技术的成分。其管理成分包括使命、职能与信息需求、系统配置、和信息流程;技术成分包括用于实现管理体系结构的信息技术标准、规则等。由于计算机是信息管理的中心,计算机部门通常被称为“信息技术部门”。有些公司称这个部门为“信息中心”(IT)或“管理信息服务”(MIS)。另一些企业选择外包信息技术部门,以获得更好的效益。
具体来讲,信息技术主要包括以下几方面技术:
1)感测与识别技术:它的作用是扩展人获取信息的感觉器官功能。它包括信息识别、信息提取、信息检测等技术。这类技术的总称是“传感技术”。它几乎可以扩展人类所有感觉器官的传感功能。传感技术、测量技术与通信技术相结合而产生的遥感技术,更使人感知信息的能力得到进一步的加强。
信息识别包括文字识别、语音识别和图形识别等。通常是采用一种叫做“模式识别”的方法。
2)信息传递技术:它的主要功能是实现信息快速、可靠、安全的传递。各种通信技术都属于这个范畴。广播技术也是一种传递信息的技术。由于存储、记录可以看成是从“现在”向“未来”或从“过去”向“现在”传递信息的一种活动,因而也可将它看作是信息传递技术的一种。
3)信息处理与再生技术:信息处理包括对信息的编码、压缩、加密等。在对信息进行处理的基础上,还可形成一些新的更深层次的决策信息,这称为信息的“再生”。信息的处理与再生都有赖于现代电子计算机的超凡功能。
4)信息应用技术:是信息过程的最后环节。它包括控制技术、显示技术等。
信息技术是人们用来获取信息,传输信息,保存信息和分析,处理信息的技术。
1.信息技术和信息系统
信息系统:对信息进行采集、处理、存储、管理、检索,并在必要时能向有关人员提供有用信息的系统。广义上来说任何系统中进行信息加工处理的系统都可以视为信息系统。
信息系统是与信息加工,信息传递,信息存贮以及信息利用等有关的系统。信息系统可以不涉及计算机等现代技术,甚至可以是纯人工的。但是,现代通信与计算机技术的发展,使信息系统的处理能力得到很大的提高。在现在各种信息系统中已经离不开现代通信与计算机技术,所以现在所说的信息系统一般均指人、机共存的系统。信息系统一般包括数据处理系统,管理信息系统、决策支持系统和办公自动化系统。
(1)数据处理系统是由设备、方法、过程,以及人所组成并完成特定的数据处理功能的系统。它包括对数据进行收集、存储、传输或变换等过程。例如,在数据变换这一范围内就有一系列操作都属于数据处理,像数据的识别、复制、比较、分类、压缩、变形及计算活动等。一个数据处理系统可能包含几个子系统,其中有些子系统本身就是数据处理系统。
(2)管理信息系统是收集、存储和分析信息,并向组织中的管理人员提供有用信息的系统。它的特点是面向管理工作,提供管理所需要的各种信息。由于现代管理工作的复杂性,管理信息系统一般都是以电子计算机为基础的。按照它所面向的管理工作的级别,可以分为面向高层管理、面向中层管理和面向操作级管理的三种类型。按其组织和存取数据的方式,可以分为使用文件的系统和使用数据库的系统两种类型。按其处理作业方式,可以分为批处理和实时处理的系统两种类型。按其各部分之间的联系方式,可以分集中式和分布式两种类型。管理信息系统的基本特征是具有协助各级管理者的一个信息中心,具有结构化的信息组织和信息流动,可以按职能统一集中电子数据处理作业,通常拥有数据库,具有较强的询问和报告生成能力。管理信息系统的设计是在切实了解客观系统中信息处理的全面实际状况的基础上,合理地改善信息处理的组织方式与技术手段,以达到提高信息处理的效率、提高管理水平的目的。从60年代后期开始,逐步发展了管理信息方面各种系统分析和系统设计的方法与工具。管理信息系统的广泛建立,有效地改善了各种组织管理,提高了电子计算机的应用水平。
(3)决策支持系统是把数据处理的功能和各种模型等决策工具结合起来,以帮助决策的电子计算机信息处理系统。它能够在复杂的迅速变化的外部环境中,给各级管理人员或决策者提供有关的信息资料,并协助决策者制定和分析决策。决策支持系统使用的电子计算机技术是数据库、模型库以及可能进行实时处理的计算机网络系统。其基本特征是能够协助管理者或决策者,特别是协助高层管理者制定决策;系统的重点在于易变性、适应性以及快速的响应和回答;系统允许用户自己启动和控制。决策支持系统面对的是决策过程,它的核心部分是模型体系的建立,它提供了方便用户使用的接口。广泛地建立和应用决策支持系统,将极大地提高决策的科学水平。
(4)办公自动化系统是由计算机、办公自动化软件、通信网络、工作站等设备组成使办公过程实现自动化的系统。计算机也叫办公处理机,它是整个系统的核心,包括硬件设备、操作系统;数据库和网络软件等。办公自动化软件具有办公、信息管理以及决策支持等功能。通信网络:可采用用局域网、以太网或其他网络,以适于不同部门、不同区域的需要。
工作站:可以是简单的字符终端或图形终端,也可以是数据、文字、图像、语音相结合的多功能的工作站。一个比较完整的办公自动化系统,即含有信息采集、信息加工、信息传输、信息保存四个基本环节,其核心任务是向它的各层次的办公人员提供所需的信息,所以该系统综合体现了人、机、信息资源三者之间的关系。
信息技术和信息系统是有所不同的,作为审计工作人员的角度来看,更多的情况下针对的是信息系统,要关注的也是信息系统各个组成部分,包括涉及到的人员可能引发的风险。这也是我们通常把审计人员根据此目的开展的审计称为信息系统审计(IS)的原因,但是IT审计,也就是信息技术审计关注的问题实质上更接近问题的本质。因为信息系统的问题,实质上是信息技术在应用过程中引发的问题。目前在很多情况下,对于IT审计,IS审计,信息系统审计,信息技术审计往往会替代使用,不做严格区别。这里,以信息技术审计作为我们探讨的范畴。对于信息系统审计也适用。比如,我们这里探讨的信息技术风险和控制,适用于信息系统。
2.风险有关概念:
威胁:可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
薄弱点:资产中能被威胁利用的弱点。如员工缺乏信息安全意识、使用简短容易被猜测的口令、操作系统本身的安全漏洞等。威胁是利用薄弱点对资产或组织造成损害的。
风险:特定的威胁利用资产的一种薄弱点,导致资产丢失或破坏的潜在的可能性。也就是特定威胁事件发生的可能性与后果的结合。
风险评估:对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评估。风险评估也就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定资产风险等级和优先控制顺序。风险评估也可称为风险分析。
影响:有害事故的结果,即威胁一旦发生给组织带来的直接和间接损失。
3.控制有关概念:
控制:有关的政策程序和组织结构,设计控制是对业务目标实现以及防范,检查或纠正不合理事件提供合理的保证。
控制活动:是为了确保处理企业内已发现的风险被妥善处理而采取的适当政策和程序。控制活动可以分为两类:计算机控制和物理控制。
计算机控制是我们关心的主要问题,与信息技术和信息技术审计有特殊关系的控制包括两大部分:一般控制和应用控制。一般控制属于企业整体层次的控制活动,如对数据中心、数据库、系统开发和程序维护的控制。应用控制用来确保特定系统(如销售系统,应付账款,工资系统)的完整性。另一个更为基础的问题是物理控制问题。
物理控制:这类控制活动主要与应用手工操作程序的传统会计系统有关,但是对于这一控制概念的理解同样有助于理解与IT环境相关的风险和控制。
物理控制包括六个传统类别:交易授权,职责分离,监督,会计记录,访问控制,独立核查。
交易授权:确保由信息系统处理的所有重大交易是合法的,并与管理目标一致。有一般授权和特殊授权两种。一般授权允许操作人员完成日常操作,特殊授权处理与非日常交易有关的事宜,如放宽某个特定客户的信用额度。特殊授权是管理层的责任。
IT环境中,交易授权由计算机程序中的编码规则确定,自动完成,达成交易授权控制目标完全要依赖于执行这些任务的程序的准确性和完整性。
职责分离:员工的职责分离是最重要的控制活动之一,可以尽可能减少不相容职责相互作用的机会。如资产保管与记录相分离,交易的授权与交易的执行相分离。
IT环境下,职责分离仍然发挥作用。如:程序开发、程序操作和程序维护是关键的IT功能,必须充分分离。
新华社日晚报专电:江苏省某市某银行软件维护员孙某只在银行存过10元钱,却凭借自己的计算机技术改动存款记录,半年来从银行共取走了33.8万元。后法院以贪污罪判处其有期徒刑5年。
监督:通过监督弥补分离控制不足的缺陷,比如对于实施充分职责分离困难的小规模企业。
IT环境下监督控制更加复杂,IT环境中管理层可能没有能力充分观察员的表现,在高风险领域中,管理层可能无法监督对于重要程序和数据的访问。
会计记录:原始凭证,日记账和分类账,反映业务的经济本质并提供了经济事项的审计轨迹。一是这种信息对于企业日常运行是需要,用于管理者决策。第二在财务审计中可以发挥作用。
IT环境下,自动化会计记录使得审计轨迹不可见,甚至可能没有原始凭证。要求审计师掌握数据库的操作原理,了解数据库对于会计记录的影响。
访问控制:保证只有经过合法授权的人才可以接触公司的财产,如果未经授权人员接触到公司财产,则公司财产可能被盗窃或者破坏。因此访问控制对于保护财产安全非常重要。既要防止直接接触,也要防止间接接触。例如:一个可以接触到所有会计记录的人完全可以销毁某笔销售业务的审计轨迹,由于包括应收账款余额的交易记录被删除,这笔交易可能永远不会被结算。为包括会计记录而采取的访问控制措施取决于会计系统的技术特点。手工环境中,会计记录是以实物形态存在的,往往分别保存在几个不同的地方。对间接访问的控制,可以通过控制文件和记录的使用,分离人员职责来完成。
IT环境下,财务记录往往集中在数据处理中心的大规模存储设备中,数据集中面临两种威胁:一是计算机舞弊,二是在灾难中受损。
舞弊:如果一个人既掌握了足够的技术又可以不受限制的访问会计记录,就有条件进行计算机舞弊,数据集中存放,无需进入不同地点,就更容易达到舞弊的目的。
灾难:火灾,地震,世贸中心爆炸,以及电脑硬盘故障都可能引起一家机构的会计记录的损坏。如果公司无法恢复重要的数据记录,可能就无法继续经营下去。如果公司的应收账款文件被毁,那么公司就无法确认曾经提供商品和服务的客户欠了多少钱。IT环境下的访问控制也包括电脑设备的物理安全。既然将鸡蛋放到一个篮子里面,那么就必须保证篮子也要安全。
IT 环境下一个特有的问题是对电脑程序的接触控制。在开发阶段,电脑程序要经过大量测试发现其中的逻辑错误,开始使用系统后,我们还要关系其他应用程序的完整性。在运行和维护阶段,错误和舞弊行为是最容易发生的,在随后的整个运行时间内,一般的程序都可能被修改或升级数十次,这段时间里,错误可能被无意地写入程序,计算机犯罪人员也可能通过非法修改程序进行舞弊。
IT环境中的访问控制涵盖多种层次的风险,针对这些风险的控制包括在技术层面限制个人访问权限的技术,限制访问电脑程序,数据处理中心的物理安全,保证数据文档充足的备份,提供灾难后恢复的能力等。有些访问控制要求技术程序和特殊设备,有些访问控制通过职责分离就可以实现。但是要注意的是,所有访问控制技术的基本原则是“知所必需”的原则。即只有表明雇员确实有与其分配任务相关的需要,才能授权访问相应数据和程序,这是永远不变的原则。
独立核查:就是对会计系统进行独立的检查,以找出错误和误报之处。核查和监督是不同的,因为核查是事后由一名未直接参与被审查业务的人员执行的,而监督是在业务进行过程中,由对业务直接负责的监督者执行的。通过独立核查,管理层可以评估雇员的个人表现,业务处理系统的完整性,会计记录中数据的准确性等。具体的独立核查工作有:
●比较实物资产和会计记录是否相符
●核对分类账和总账
●审查总结业务活动的管理报告(计算机生成和人工撰写)
人工环境下由于雇员会犯错误或者忘记履行某些必要职责,所以需要独立核查,IT环境下,许多例行任务是计算机程序完成的,作为精确的机器,计算机可以无误地执行程序命令。所以如果程序设计准确完整,就没有必要在工作过程中对电脑功能进行独立核查,此时需要关注的是程序的完整性。在IT环境下,IT审计师独立审核的工作就是评估系统开发和维护活动的控制是否得当,偶尔也要检查一下程序的内部逻辑是否正确。
信息技术、风险、控制的基本概念
记录学习笔记
课件形式:
知识点测试
信息技术风险和控制主要从审计人员应该了解和关注的问题这个角度,介绍信息技术的内容,信息技术带来的风险,以及控制这些风险我们可以采取的措施。三个部分的内容。
信息技术(IT)飞速发展给社会带来了巨大的影响,也给审计领域带来了巨大的冲击。信息技术对传统业务流程的再造,以促进更加高效的运营,并加强企业内部、企业与其客户和供货商之间的沟通。但是这种技术同时也导致了需要有专门的内部控制措施才能加以控制新的风险,也需要有新的技术来评估控制的有效性,确保企业数据以及生成这些数据的信息系统的安全性和准确性。我们先来看一个新技术带来新的风险的例子。
案例:新技术带来的风险(USB存储设备特点和风险)
如今,似乎所有人都在使用USB数据存储设备来存储数据, USB设备,通常也被称作USB驱动器、闪存、U盘、拇指盘等,具有很大的优势。他们不仅存储量大(目前最大超过8G),而且价格低廉,容易使用(只需要插入到计算机的USB端口上,计算机就可以自行识别)。这类设备面临的风险一部分与过去传统的可移动存储设备如软盘,光盘等面临的风险相同,另外还有一些审计师应该知道的不同的风险。
新的第三代智能U盘的出现,对于信息和系统的机密性,完整性和可用性更是增加了潜在的风险。开放标准的的U3平台是由美国的DanDisk和M-System联合开发,在运行windows2000/XP操作系统并具有USB接口的计算机上,支持用户在其USB驱动器上安装和运行程序,而不考虑用户是否具有管理员权限。U3驱动器的4MB的只读系统分区可以被系统认为是CD-ROM驱动器,而数据分区可以被视作传统的U盘。Windows将系统分区作为CD来处理,U3可以使用windows系统中自动运行的属性,自动运行U3的载入平台(LaunchPad),并对驱动器的数据分区进行解锁操作。
如果有恶意用户试图非授权访问应用程序或者网络,他/她可以很容易在网络的计算机上使用支持U3的USB设备。
USB驱动器可以安装以下的程序:
密钥窃取工具(Key catcher program):可以捕获所有通过键盘输入的字符,包括搜集用户ID和密码。
密码收集程序:可以搜索windows的密码。
病毒:计算机安全公司报导了使用USB设备进行穿透测试的例子,他们把通过把含有恶意程序的驱动器随便的仍在公司的停车场,毫无戒备的职员达到停车场后,发现了被感染的驱动器,捡起来并插到自己的计算机上以检验这个驱动器是否还可以使用。于是这样,他们的计算机甚至整个网络都被感染了。
弱点扫描程序:可以对网络上的设备进行弱点扫描,收集信息并用于非授权访问
另一种影响重大的风险是用户随意处置或者无意丢失了储存有重要信息的USB驱动器。这些设备容易导致泄密,如果他们没有被物理保护的话。
要减少这些风险的影响,重要的是制定政策。组织应该让大家清楚的知道如何正确的使用USB存储盘。这部分政策应该是整个“可移动介质”政策的组成部分,其制定的基础是组织的风险评估。政策应该指明:
(1)根据组织的数据分类政策的规定,确定和批准可以被存储在可移动介质上的数据类型
(2)加密要求
(3)密码要求
(4)用户安全意识培训
组织有可能试图禁用所有的USB端口,但是这种做法并不现实,因为还有其他的USB设备需要用到这些端口,例如键盘和鼠标。有许多可行的技术解决方案能够对USB存储设备进行控制,并减少USB存储设备的风险。可以使用一些特殊的第三方安全工具。
另外,microsoft在windows vista操作系统中提供了对可移动介质的另外的控制手段,管理员在这种环境下可以:
(1)禁止用户安装任何设备
(2)只允许用户安装许可列表中允许的设备
(3)禁止用户安装“禁止”列表中的设备
(4)拒绝用户对可移动设备或者使用可移动介质的设备进行读取和写入访问的操作。
从中我们可以看出对于新技术,审计人员应该有基本的了解,以便建立必要的风险意识。虽然并不要求审计人员必须成为信息技术方面的专家,因为需要的时候可以借助于外部专家的帮助。但是了解技术的基本知识,有助于审计人员识别风险,以便判断是否需要外界帮助。
下面我们先来介绍一组与我们这个讲座主题有关的概念。
信息技术、风险、控制的基本概念
1.什么是信息技术:
信息技术是指有关信息的收集、识别、提取、变换、存贮、传递、处理、检索、检测、分析和利用等的技术。信息技术(Information Technology,简称IT),是主要用于管理和处理信息所采用的各种技术的总称。它主要是应用计算机科学和通信技术来设计、开发、安装和实施信息系统及应用软件。它也常被称为信息和通信技术(Information
and Communications Technology, ICT)。
信息技术的研究包括科学、技术、工程以及管理等学科,这些学科在信息的管理,传递和处理中的应用,相关的软件和设备及其相互作用。
信息技术的应用包括计算机硬件和软件,网络和通讯技术,应用软件开发工具等。计算机和互联网的普及,使人们日益普遍的使用计算机来生产、处理、交换和传播各种形式的信息(如书籍、商业文件、报刊、唱片、电影、电视节目、语音、图形、影像等)。
在企业,学校和其它组织中,信息技术体系结构是一个为达成战略目标而采用和发展信息技术的综合结构。它包括管理和技术的成分。其管理成分包括使命、职能与信息需求、系统配置、和信息流程;技术成分包括用于实现管理体系结构的信息技术标准、规则等。由于计算机是信息管理的中心,计算机部门通常被称为“信息技术部门”。有些公司称这个部门为“信息中心”(IT)或“管理信息服务”(MIS)。另一些企业选择外包信息技术部门,以获得更好的效益。
具体来讲,信息技术主要包括以下几方面技术:
1)感测与识别技术:它的作用是扩展人获取信息的感觉器官功能。它包括信息识别、信息提取、信息检测等技术。这类技术的总称是“传感技术”。它几乎可以扩展人类所有感觉器官的传感功能。传感技术、测量技术与通信技术相结合而产生的遥感技术,更使人感知信息的能力得到进一步的加强。
信息识别包括文字识别、语音识别和图形识别等。通常是采用一种叫做“模式识别”的方法。
2)信息传递技术:它的主要功能是实现信息快速、可靠、安全的传递。各种通信技术都属于这个范畴。广播技术也是一种传递信息的技术。由于存储、记录可以看成是从“现在”向“未来”或从“过去”向“现在”传递信息的一种活动,因而也可将它看作是信息传递技术的一种。
3)信息处理与再生技术:信息处理包括对信息的编码、压缩、加密等。在对信息进行处理的基础上,还可形成一些新的更深层次的决策信息,这称为信息的“再生”。信息的处理与再生都有赖于现代电子计算机的超凡功能。
4)信息应用技术:是信息过程的最后环节。它包括控制技术、显示技术等。
信息技术是人们用来获取信息,传输信息,保存信息和分析,处理信息的技术。
1.信息技术和信息系统
信息系统:对信息进行采集、处理、存储、管理、检索,并在必要时能向有关人员提供有用信息的系统。广义上来说任何系统中进行信息加工处理的系统都可以视为信息系统。
信息系统是与信息加工,信息传递,信息存贮以及信息利用等有关的系统。信息系统可以不涉及计算机等现代技术,甚至可以是纯人工的。但是,现代通信与计算机技术的发展,使信息系统的处理能力得到很大的提高。在现在各种信息系统中已经离不开现代通信与计算机技术,所以现在所说的信息系统一般均指人、机共存的系统。信息系统一般包括数据处理系统,管理信息系统、决策支持系统和办公自动化系统。
(1)数据处理系统是由设备、方法、过程,以及人所组成并完成特定的数据处理功能的系统。它包括对数据进行收集、存储、传输或变换等过程。例如,在数据变换这一范围内就有一系列操作都属于数据处理,像数据的识别、复制、比较、分类、压缩、变形及计算活动等。一个数据处理系统可能包含几个子系统,其中有些子系统本身就是数据处理系统。
(2)管理信息系统是收集、存储和分析信息,并向组织中的管理人员提供有用信息的系统。它的特点是面向管理工作,提供管理所需要的各种信息。由于现代管理工作的复杂性,管理信息系统一般都是以电子计算机为基础的。按照它所面向的管理工作的级别,可以分为面向高层管理、面向中层管理和面向操作级管理的三种类型。按其组织和存取数据的方式,可以分为使用文件的系统和使用数据库的系统两种类型。按其处理作业方式,可以分为批处理和实时处理的系统两种类型。按其各部分之间的联系方式,可以分集中式和分布式两种类型。管理信息系统的基本特征是具有协助各级管理者的一个信息中心,具有结构化的信息组织和信息流动,可以按职能统一集中电子数据处理作业,通常拥有数据库,具有较强的询问和报告生成能力。管理信息系统的设计是在切实了解客观系统中信息处理的全面实际状况的基础上,合理地改善信息处理的组织方式与技术手段,以达到提高信息处理的效率、提高管理水平的目的。从60年代后期开始,逐步发展了管理信息方面各种系统分析和系统设计的方法与工具。管理信息系统的广泛建立,有效地改善了各种组织管理,提高了电子计算机的应用水平。
(3)决策支持系统是把数据处理的功能和各种模型等决策工具结合起来,以帮助决策的电子计算机信息处理系统。它能够在复杂的迅速变化的外部环境中,给各级管理人员或决策者提供有关的信息资料,并协助决策者制定和分析决策。决策支持系统使用的电子计算机技术是数据库、模型库以及可能进行实时处理的计算机网络系统。其基本特征是能够协助管理者或决策者,特别是协助高层管理者制定决策;系统的重点在于易变性、适应性以及快速的响应和回答;系统允许用户自己启动和控制。决策支持系统面对的是决策过程,它的核心部分是模型体系的建立,它提供了方便用户使用的接口。广泛地建立和应用决策支持系统,将极大地提高决策的科学水平。
(4)办公自动化系统是由计算机、办公自动化软件、通信网络、工作站等设备组成使办公过程实现自动化的系统。计算机也叫办公处理机,它是整个系统的核心,包括硬件设备、操作系统;数据库和网络软件等。办公自动化软件具有办公、信息管理以及决策支持等功能。通信网络:可采用用局域网、以太网或其他网络,以适于不同部门、不同区域的需要。
工作站:可以是简单的字符终端或图形终端,也可以是数据、文字、图像、语音相结合的多功能的工作站。一个比较完整的办公自动化系统,即含有信息采集、信息加工、信息传输、信息保存四个基本环节,其核心任务是向它的各层次的办公人员提供所需的信息,所以该系统综合体现了人、机、信息资源三者之间的关系。
信息技术和信息系统是有所不同的,作为审计工作人员的角度来看,更多的情况下针对的是信息系统,要关注的也是信息系统各个组成部分,包括涉及到的人员可能引发的风险。这也是我们通常把审计人员根据此目的开展的审计称为信息系统审计(IS)的原因,但是IT审计,也就是信息技术审计关注的问题实质上更接近问题的本质。因为信息系统的问题,实质上是信息技术在应用过程中引发的问题。目前在很多情况下,对于IT审计,IS审计,信息系统审计,信息技术审计往往会替代使用,不做严格区别。这里,以信息技术审计作为我们探讨的范畴。对于信息系统审计也适用。比如,我们这里探讨的信息技术风险和控制,适用于信息系统。
2.风险有关概念:
威胁:可能对资产或组织造成损害的事故的潜在原因。例如,组织的网络系统可能受到来自计算机病毒和黑客攻击的威胁。
薄弱点:资产中能被威胁利用的弱点。如员工缺乏信息安全意识、使用简短容易被猜测的口令、操作系统本身的安全漏洞等。威胁是利用薄弱点对资产或组织造成损害的。
风险:特定的威胁利用资产的一种薄弱点,导致资产丢失或破坏的潜在的可能性。也就是特定威胁事件发生的可能性与后果的结合。
风险评估:对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性的评估。风险评估也就是确认安全风险及其大小的过程,即利用适当的风险评估工具,包括定性和定量的方法,确定资产风险等级和优先控制顺序。风险评估也可称为风险分析。
影响:有害事故的结果,即威胁一旦发生给组织带来的直接和间接损失。
3.控制有关概念:
控制:有关的政策程序和组织结构,设计控制是对业务目标实现以及防范,检查或纠正不合理事件提供合理的保证。
控制活动:是为了确保处理企业内已发现的风险被妥善处理而采取的适当政策和程序。控制活动可以分为两类:计算机控制和物理控制。
计算机控制是我们关心的主要问题,与信息技术和信息技术审计有特殊关系的控制包括两大部分:一般控制和应用控制。一般控制属于企业整体层次的控制活动,如对数据中心、数据库、系统开发和程序维护的控制。应用控制用来确保特定系统(如销售系统,应付账款,工资系统)的完整性。另一个更为基础的问题是物理控制问题。
物理控制:这类控制活动主要与应用手工操作程序的传统会计系统有关,但是对于这一控制概念的理解同样有助于理解与IT环境相关的风险和控制。
物理控制包括六个传统类别:交易授权,职责分离,监督,会计记录,访问控制,独立核查。
交易授权:确保由信息系统处理的所有重大交易是合法的,并与管理目标一致。有一般授权和特殊授权两种。一般授权允许操作人员完成日常操作,特殊授权处理与非日常交易有关的事宜,如放宽某个特定客户的信用额度。特殊授权是管理层的责任。
IT环境中,交易授权由计算机程序中的编码规则确定,自动完成,达成交易授权控制目标完全要依赖于执行这些任务的程序的准确性和完整性。
职责分离:员工的职责分离是最重要的控制活动之一,可以尽可能减少不相容职责相互作用的机会。如资产保管与记录相分离,交易的授权与交易的执行相分离。
IT环境下,职责分离仍然发挥作用。如:程序开发、程序操作和程序维护是关键的IT功能,必须充分分离。
新华社日晚报专电:江苏省某市某银行软件维护员孙某只在银行存过10元钱,却凭借自己的计算机技术改动存款记录,半年来从银行共取走了33.8万元。后法院以贪污罪判处其有期徒刑5年。
监督:通过监督弥补分离控制不足的缺陷,比如对于实施充分职责分离困难的小规模企业。
IT环境下监督控制更加复杂,IT环境中管理层可能没有能力充分观察员的表现,在高风险领域中,管理层可能无法监督对于重要程序和数据的访问。
会计记录:原始凭证,日记账和分类账,反映业务的经济本质并提供了经济事项的审计轨迹。一是这种信息对于企业日常运行是需要,用于管理者决策。第二在财务审计中可以发挥作用。
IT环境下,自动化会计记录使得审计轨迹不可见,甚至可能没有原始凭证。要求审计师掌握数据库的操作原理,了解数据库对于会计记录的影响。
访问控制:保证只有经过合法授权的人才可以接触公司的财产,如果未经授权人员接触到公司财产,则公司财产可能被盗窃或者破坏。因此访问控制对于保护财产安全非常重要。既要防止直接接触,也要防止间接接触。例如:一个可以接触到所有会计记录的人完全可以销毁某笔销售业务的审计轨迹,由于包括应收账款余额的交易记录被删除,这笔交易可能永远不会被结算。为包括会计记录而采取的访问控制措施取决于会计系统的技术特点。手工环境中,会计记录是以实物形态存在的,往往分别保存在几个不同的地方。对间接访问的控制,可以通过控制文件和记录的使用,分离人员职责来完成。
IT环境下,财务记录往往集中在数据处理中心的大规模存储设备中,数据集中面临两种威胁:一是计算机舞弊,二是在灾难中受损。
舞弊:如果一个人既掌握了足够的技术又可以不受限制的访问会计记录,就有条件进行计算机舞弊,数据集中存放,无需进入不同地点,就更容易达到舞弊的目的。
灾难:火灾,地震,世贸中心爆炸,以及电脑硬盘故障都可能引起一家机构的会计记录的损坏。如果公司无法恢复重要的数据记录,可能就无法继续经营下去。如果公司的应收账款文件被毁,那么公司就无法确认曾经提供商品和服务的客户欠了多少钱。IT环境下的访问控制也包括电脑设备的物理安全。既然将鸡蛋放到一个篮子里面,那么就必须保证篮子也要安全。
IT 环境下一个特有的问题是对电脑程序的接触控制。在开发阶段,电脑程序要经过大量测试发现其中的逻辑错误,开始使用系统后,我们还要关系其他应用程序的完整性。在运行和维护阶段,错误和舞弊行为是最容易发生的,在随后的整个运行时间内,一般的程序都可能被修改或升级数十次,这段时间里,错误可能被无意地写入程序,计算机犯罪人员也可能通过非法修改程序进行舞弊。
IT环境中的访问控制涵盖多种层次的风险,针对这些风险的控制包括在技术层面限制个人访问权限的技术,限制访问电脑程序,数据处理中心的物理安全,保证数据文档充足的备份,提供灾难后恢复的能力等。有些访问控制要求技术程序和特殊设备,有些访问控制通过职责分离就可以实现。但是要注意的是,所有访问控制技术的基本原则是“知所必需”的原则。即只有表明雇员确实有与其分配任务相关的需要,才能授权访问相应数据和程序,这是永远不变的原则。
独立核查:就是对会计系统进行独立的检查,以找出错误和误报之处。核查和监督是不同的,因为核查是事后由一名未直接参与被审查业务的人员执行的,而监督是在业务进行过程中,由对业务直接负责的监督者执行的。通过独立核查,管理层可以评估雇员的个人表现,业务处理系统的完整性,会计记录中数据的准确性等。具体的独立核查工作有:
●比较实物资产和会计记录是否相符
●核对分类账和总账
●审查总结业务活动的管理报告(计算机生成和人工撰写)
人工环境下由于雇员会犯错误或者忘记履行某些必要职责,所以需要独立核查,IT环境下,许多例行任务是计算机程序完成的,作为精确的机器,计算机可以无误地执行程序命令。所以如果程序设计准确完整,就没有必要在工作过程中对电脑功能进行独立核查,此时需要关注的是程序的完整性。在IT环境下,IT审计师独立审核的工作就是评估系统开发和维护活动的控制是否得当,偶尔也要检查一下程序的内部逻辑是否正确。
