第七章 信息系统的风险、控制与安全概要

第七章信息系统的风险、控制与安全

教案

Ⅰ本章教学目的和要求

通过本章的学习，使学生了解会计信息系统可能遇到的风险，掌握内部控制的概念、作用、功能和分类，掌握会计信息系统的控制技术，了解网络会计信息系统的安全技术。

II 本章重点

IT环境下信息系统的风险分析；会计信息系统的内部控制重点及其措施；会计信息系统的一般控制基本类型介绍；会计信息系统的应用控制；网络信息时代的内部控制理论。

III 本章难点

会计信息系统的一般控制与应用控制的区别；网络信息时代的内部控制理论；事件驱动会计信息系统的风险识别与控制；会计信息系统的安全策略。

Ⅳ本章计划使用教学课时：7课时（课堂讲授5课时，实践2课时）V 教学内容及教学过程的组织

教学方法：采用课堂讲授与实践调查相结合的方式

〖教学内容引入〗信息技术是一把双刃剑，随着企业信息系统的应用和会计信息系统的普及，信息技术帮助企业改善了经营管理、强化了会计的反映和监控职能、整体提高了企业的营运效率和信息质量水平，这些都显现出了信息技术的有利一面；但与此同时，恶意的数据窃取、计算机舞弊、病毒侵袭、黑客的肆意妄为、非法的程序变更等现象屡见不鲜，这又折射出了信息技术的不利一面。严峻的现实告诉我们，信息系统安全问题已经成为企业实施信息化战略时不得不重视的一大问题，如何对信息系统的安全进行评价、如何对信息系统的风险进行科学评估并以此为基础构建高效、合理的风险控制体系已然成为每一个建立信息系统的企业首先要面对的重大问题。

第一节风险与控制之间的关系

信息系统的使用提高了工作效率和经济效益，充分发挥了信息资源的作用,但信息系统在发挥其作用的同时也导致了众多不安全因素的潜入,具有受到严重侵扰和损坏的风险，所以必须采取相应的策略进行系统控制，保证系统的安全。

一、IT环境下信息系统的风险分析

这里着重要讲清楚三个问题：到底什么是风险；信息系统可以防范手工系统下可能面临的哪些风险；IT环境下信息系统到底面临哪些风险。第一个问题已是老生常谈的问题，因此简单介绍即可，抓住关键两点：风险具有不确定性，风险可能导致损失。第二和第三个问

题才是此处讲解的重点。

由于采用了信息系统，它可以防范手工系统下可能面临的以下风险：人工操作错误的风险、所加工的信息不能充分满足管理需求的风险以及数据传递慢容易出现差错的风险。

但与此同时，信息系统也可能带来与手工环境下不同来源不同性质的风险，主要包括：1、信息安全风险，具体表现4个方面：

（1）在信息系统环境下，如果对信息不加以特别保护，信息比较容易被非法修改、删除、转移和伪造且不留任何痕迹；

（2）通过网络传输的信息比较容易被非法拦截、窃取和窜改；

（3）数据档案往往存储在磁、光介质中，这些设备对环境要求较高，如果环境不能满足要求，比较容易遭受损害，并且如果不经常备份的话，也有可能会面临数据丢失的风险；

（4）容易遭受计算机病毒的侵害与干扰从而导致信息系统中的数据被破坏。

2、信息处理差错反复所带来的风险。

这主要是基于计算机程序控制错误或者根本就不起作用所导致的风险。讲解此点时，有必要提前简单提一下信息系统环境下的信息系统内部控制的主要方式。

3、计算机交易授权风险。

4、IT本身带来的风险。

IT无论多么先进，难免有其自身的局限性或者缺陷，人们在这方面的教训也是深刻的。

〖课堂提问〗如何看待IT的利与弊？既然IT会导致新风险，那我们为何还要热衷于运用IT改造传统会计？

二、内部控制概述

此处主要是回顾以前已经在其他课程上学过的一些基本概念，比如控制概念、内部控制的涵义、内部控制的组成要素。

〖教学建议〗这些概念可以简单介绍一下其要点，比如理解控制概念必须涉及到控制要素（控制标准、偏差识别、纠正差异），理解内部控制概念则必须知道其欲达成的目标（保护公司资产、提高公司营运效率、保证财务报告的准确可靠、保证严格遵循相关法令），而理解内部控制的组成要素则要结合COSO的内部控制要素模型来理解。

三、会计信息系统内部控制

此处需要讲解4个问题：第一个问题，如何理解会计信息系统内部控制这一概念，其目的和功能到底是什么？第二个问题，会计信息系统的内部控制到底呈现出了哪些新问题，其控制重点在哪里？；第三个问题，会计信息系统内部控制如何分类；第四个问题，会计信息系统内部控制固有的局限性表现在哪些方面。

〖教学建议〗结合实际例子来讲解会计信息系统的内部控制的具体目的以及

主要功能，重点讲解第二个问题和第三个问题，适当了解第四个问题。

第二节会计信息系统的一般控制与应用控制

〖教学内容引入〗计算机信息处理环境下内部控制分类从“控制如何执行”的观点来看，可分为人工控制（即使用者控制）和程序控制；而从“控制执行的范围”来看，则可分为一般控制（general control）与应用控制（application control）。那么，到底什么是一般控制？一般控制又可细分为哪些控制类型？应用控制又是指的什么控制？它又包括哪些细分的控制类型呢？其控制目的与措施又是什么呢？

一、一般控制

一般控制通常是指各个应用系统均通用的控制，也叫基础控制或者环境控制，而应用控制则专指那些专为某个应用系统设计且执行的控制。

（一）组织控制

组织控制的基本目标是减少发生错误和舞弊的可能性，其基本要求是职责分离，主要内容包括3个方面，即电算部门与用户部门的职责分离、电算部门内部的职责分离以及人事控制。电算部门主要负责业务记录及对数据进行处理和控制，而用户部门主要负责批准执行各种业务交易。电算部门与用户部门的具体职责分离可从5个方面去理解，而电算部门内部职责分离主要是做好两个方面的职责分离（对系统开发职能与数据处理职能进行分离、对数据处理职能进行适当分离）。

组织控制一方面可以规章制度的形式明确每个部门及人员的职责，另一方面可通过会计软件中口令控制和授权管理防止越权行为的发生。

〖教学建议〗教师可引导学生去理解电算部门与用户部门为何要进行职责分离？怎样进行职责分离？电算部门内部又为何要进行一定的职责分离？应如何分离？

（二）操作控制

操作控制实际上是对会计信息系统的使用操作进行规范控制的制度设计，通常，可采取以下一些具体操作控制措施：制定工作计划并严格按章操作；管理人员和操作人员都应严格遵守相关规定（包括上机守则和操作规程等）；作好日志记录的登记；制定应急预案和物理安全规则。

〖教学建议〗这方面实践性很强，授课时只需操作控制的主要目的以及主要控制措施，引起学生今后在实际工作中对此问题加以重视。