第四部分:信息技术
知识体系与学习方法
IT技术在企业迅速普及应用,并取得越来越重要的地位。企业的日常经营管理、战略决策均依赖于企业的现代信息技术。信息的可用性、质量、安全已经成为决定企业生存和发展的重要问题。于是有关信息及其相关技术的管理问题日见引起各方面的关注。在这种背景下,CIA将信息技术作为一项重要内容,包含在其资格认证考试的知识体系中。其知识点除在信息技术部分考题专门考察外,其他部分考题中也多有涉及。
有关IT管理控制,世界有美、英两大标准体系。其中美国以信息系统审计与控制组织的COBIT最为健全,成为事实的标准。美国注册会计师考试、内部审计师考试均以该体系作为参照。
COBIT认为企业的IT管理应该为企业的目标服务。支持该目标的信息应该具有以下特征:有效、效率、保密、完整、可用性、一致性、可靠性。
有效(effectiveness):是指将与业务处理过程有关的信息,以及时、正确、一贯、可用的方式传递。
效率(efficiency):通过优化使用资源的方式(高产、经济)提供信息。
保密(confidentiality):保护敏感信息防止未经授权泄漏。
完整(integrity):信息准确全面,并且从商业价值及期望的角度说是有效的。
可用性(availability):当商业过程需要信息,信息可以随时获得。因此考虑资源的安全保护。
一致性(compliance):指遵守法律、规章及有关协议。
可靠性(reliability):系统能够为管理人员就企业经营、为用户及管理当局提供财务报告时,能提供适当的信息。
信息的特征成为各项IT管理控制的目标。
IT资源是IT管理的对象,包括人员、应用系统、技术、设施、数据五部分。教材(黑皮书)中所描述的各项管理控制过程均是从这些角度进行的。
COBIT将IT管理过程划分为四部分:计划与组织、获取与实施、交付与支持、监督。每部分包含了数量不等的控制过程。CIA的各个知识点和考试重点散列于其中。
IT管理技术由于涉及较多IT专业知识,对多数审计、财会人员来说比较困难。同时IT管理技术又不同于纯粹的IT开发、应用技术,IT专业本科生也较少学习。因此都需要付出较多努力才行。对于这部分内容的学习可从三个层次展开。
第一步、认真将教材从头到尾阅读一遍。通过学习达到对考题中出现的名词能大致知道其含义。比如说,帧中继是一种广域网技术;SQL是一种数据库查询语言。
第二步、通过培训学习透彻理解、掌握重要的知识点及考点。做到不管其怎样变化,均能灵活应对。
第三步、通过教材所附光盘,大量做题,强化知识点。同时进一步扩充知识面。光盘及教材中所附试题难度要大于CIA考试试题。在做题的过程中,不要因此产生压力和畏难情绪。
各部分学习重点
在第一步仔细阅读教材的基础上,可以对一些重点考察内容进行学习掌握。这些内容包括:
1.2.2人力资源与实践
1.3信息系统运转的职能部门
1.4.1信息系统的类型
1.5新出现的技术
2.1.1.3常见计算机输入设备
2.1.3计算机存储介质
2.1.4个人计算机与大型机的连接
2.2计算机网络
2.3.4传输介质
3.2.2.3分布计算
3.3数据组织与不同类型文件
3.4.2数据库管理系统
3.4.4.2数据模型
3.5 EFT与EDI
4.1最终用户开发的风险
4.2系统维护与更改控制目标
4.3系统开发控制
4.4系统开发生命周期(了解,其中测试、系统转换部分重点)
4.5软件许可证问题
4.6.4面向对象开发模式
4.7系统开发的技术与工具
第5章各部分均为重点。
需要补充的一些资料
(一)IT操作
1、IT操作部门的角色与责任
IT操作部门的角色与责任包括以下几个方面:
(1)生产能力计划(capacity planning)
例如,确保计算机系统在较长期间内持续提供另人满意的性能水平服务。这要求IT操作人员必须预测将来的CPU性能要求、磁盘存储容量和网络负载容量等。
(2)性能监控(performance monitoring)
对系统的每日运转性能进行监控,对响应时间等指标进行测量。
(3)启动程序装载(initial program loading)
引导系统或安装新软件。
(4)存储介质管理(media management)
包括对磁盘、磁带、光盘等。
(5)任务计划(job scheduling)
一个任务通常是一次处理或者一个批处理序列。它们通常在晚上运行,或在系统后台运行,或者对文件进行修改等等。任务通常每天、每星期、每月、每个季度或者一年执行一次。
(6)备份与灾难恢复(back-ups and disaster recovery)
IT运营人员应定期进行数据和软件的备份。
(7)帮助平台和问题管理(help desk and problem management)
帮助平台是遇到信息技术难题的用户和IT部门日常联系的纽带。例如,打印机出现故障或用户忘记了口令等。这些问题包括软件、硬件、通信等各个方面。
(8)维护(maintenance)
包括对软件和硬件的维护。
(9)网络监控与管理(network monitoring and administration)
大部分商业或政府部门计算机都是连网的。IT运营职能负责保证通信连接的正常,及授权用户能够进行网络访问。当客户使用电子数据交换EDI系统后,网络尤为重要。
2、计算机运转控制不足所带来的风险
这些风险包括:
应用程序不能正确运转。例如,运行了错误的应用程序;使用了不正确的版本;输入了错误的配置参数等。
财务应用软件或基础数据被丢失或破坏。这可能源于错误或未经授权的使用系统工具。IT操作人员可能可能不知道怎样处理发现的问题或错误报告。他们可能旧的没修好,反而造成了更大的破坏。
业务处理的延迟和中断。可能会给某个任务以错误的优先权。
缺乏备份和意外事故计划增加了发生灾难时无法继续处理业务的风险。
系统能力不足。系统可能会因为过载而不能及时处理交易或因为缺乏存储空间而不能执行任何新的交易。
系统频繁停机修复错误。当系统不可用时,一笔订单可能会被阻塞,无法正常生成。
由于帮助平台不健全,致使用户问题持续无法得到解决。用户可能试图自己解决问题。
3、IT运转控制
(1)服务水平协议(Service level agreements)
IT部门与组织其他部门签订服务水平协议已经成为一种不约而同的趋势。谚语说得好,“你什么也不瞄准,那么什么也得不到”。
(2)管理控制、检查与监督
(3)培训与经验
(4)计算机维护
(5)操作文档
(6)问题管理
(7)网络管理与控制
(二)分布式数据库与复制数据库
分布式数据库让公司在如何组织和使用数据库方面拥有更大的灵活性。本地的办事处可创建、管理和使用他们自己的数据库,而其他地方办事处 的人员可存取和共享当地的数据库中的数据。让当地部门能更直接地访问到经常使用的数据可显著提高组织效力和效率。
例如位于巴尔的摩的向医药厂商提供临床数据的公司HCIA。快速对客户作出反应是HICA成功的关键。几年前,HCIA用的是大型计算机数据库及一个超过30 000个磁带的数据存储设备。这使得HCIA要花几个星期来找出并编辑回复所有客户询问的数据。HCIA决定改用分布式数据库。每个办公室都存有本地病人的数据,同时与巴尔的摩的中央数据库保持连接。分布式数据库提供了更便捷的存取,减少公司的响应时间90%,从而实现了快速响应客户的组织目标。
然而,分布处理在维护数据的安全性、准确性、及时性和符合标准等方面提出了额外的挑战。分布式数据库允许多个用户在不同的地点直接存取,这样要控制谁能访问和修改数据都有些困难了。而且由于分布式数据库依靠通信线路来传输数据,所以存取数据就会较慢。为了减少对通信线路的需求,有些组织建立了复制数据库。复制数据库中含有经常使用的数据的副本。在一天的开始,公司要将重要数据的副本发送到每个分布处理地点。一天结束后,不同地点又要将已变化了的数据传回并存储在主机数据库中。
分布式数据库引起的另一个挑战则涉及到集成几个不同的数据库。例如,在某些组织中,可能使用了多个数据库管理系统。一个大型公司的总部可能使用的是层次数据库管理系统,而各个地区办事处使用的是不同的关系型数据库管理系统。企业必须找出一个解决方案以便能在这些不同的DBMS中存取数据。
(三)最终用户计算的风险与控制
最终用户计算是一个并不严密的词语。其本质上是指用户拥有智能的计算机设备(例如有自己的CPU处理能力的计算机),以及允许用户开发自己的数据处理、报告系统的应用软件。
最终用户计算使得用户拥有了较大的数据处理和使用能力。同时最终用户计算减少了中心IT部门所执行的控制。
有四种类型的最终用户计算。它们是:
个人计算机;
查询生成报告的软件(例如,结构化查询语句SQL);
经理信息系统(主要由高层管理人员使用);
系统生成工具,例如计算机辅助软件工程工具CASE和第四代程序设计语言。
1.与最终用户计算相关的风险
从一开始,最终用户计算环境下的开发就处于失控状态。用户不愿意依照IT部门人员所使用的标准和经验进行开发。
这种失控的环境将,并且是已经导致了客户时间、精力、金钱上的浪费。这种情况引起了审计师的注意,特别是当最终用户处理财务交易时。
大部分最终用户计算问题和风险源自于历史上缺乏控制。用户将他们的计算机看作是自己的领地。他们实施自己的控制,做自己愿做的事情。这导致了一下几种特别的风险。
系统开发
IT部门的员工在计算机系统开发方面通常都非常有经验,并受过专门的培训。他们所受的培训和经验包括:
系统应该按什么标准进行开发;
需要什么文档;
新系统中应包含什么控制;
需要进行什么测试,以确保系统按照预期的方式实现功能。
最终用户计算允许用户开发自己的应用系统而没有IT部门的帮助。他们在没有相关技能和培训的情况下,开发自己的系统。
如果你的系统开发时缺乏标准,或由缺乏经验和培训的员工开发,那么你肯定会遇到麻烦。通常有以下几种:
系统不可靠,不能按照预期的方式处理数据,例如应用程序的基本逻辑没有考虑清楚或程序代码有错误。
系统未包括基本的控制,如数据完整性、输入、处理或输出控制等。
系统未经测试,不稳定。例如,如果系统未经测试不能确保发生错出输入时正常工作,那么一旦用户输入错误,系统就有可能崩溃或挂起。
系统缺乏文档。这将使系统的长期维护变得困难。IT审计师经常听到客户抱怨某个系统是一个员工五年前开发的,由于员工离职,没人能找到该系统文档,导致无法确切搞明白系统是如何工作的。
系统在没有任何控制的情况下被修改。无论什么时候发现自己开发的应用有问题,最终用户都会习惯于马上着手修改。他们不愿意遵守IT部门的变化控制过程。这导致变化未经深思熟虑和仔细编程。这些修改可能会对系统产生决定性决定性影响。例如,一个用户改变了表中的一个公式,而其他人不知道。这会在别的地方产生意外的影响。
信息的不一致和零碎。最终用户购买的系统可能与公司的系统不兼容,导致数据无法联机共享。最终用户系统中的数据不能及时更新,无法与中心系统中的数据同步。
重复劳动
最终用户负责开发他们的应用系统时,他们不愿意与组织中的其他部门人员进行讨论,很少将自己的成果与别人交流。由于两个不同部门都试图开发同一个应用系统以解决相同问题,而导致无效的重复劳动。其他问题也由此产生,当他们发现重复以后,没有人愿意停掉自己的项目。于是两个都继续开发,并投入了双倍的劳动去运行和维护系统。由于系统是由不同用户开发的,可能会就同一问题产生不同的答案。
数据不一致
不同用户部门之间的数据可能会存在矛盾。在传统到管理和报告级次下,修正后的信息在发给其他部门之前,需要首先报告给上一级部门。
当用户使用分布式系统时,数据矛盾现象会更为严重。
如果不同部门在自己的计算处理中都使用不同的标准和主文件数据,将会给审计师带来麻烦。例如,临时工的工资标准,或货物销售的单位成本,成本计算时的管理费用分摊比率等。
增加了占用资源、成本
经验表明,最终用户计算增加了多数组织的IT服务成本。所增加的成本不仅仅源自于用户所使用个人计算机的增多,还包括增加的培训需求和帮助平台需求。另外还有一些隐性成本,例如用户投入更多的时间解决个人和同事的IT问题。
最终用户系统在使用资源时有低效率的趋势,如CPU时间,网络和打印资源。例如报告生成器需要相当数量的处理能力,这可能导致系统其他功能反应变慢。一些组织中只允许用户在晚上运行生成这些报告。
集中信息的删除
用户可以使用自己开发的应用从中心系统中下载数据用于检查和处理。此时可能会引发问题。例如用户处理完数据以后,将数据回传给中心系统,并覆盖了原有文件。这增加了审计人员所需信息被错误信息覆盖到风险。另外,审计线索可能会丢失或被遮蔽起来。
遵守法律
没有IT部门的提示,用户很少能意识到有关计算机使用,个人信息存储,保密、版权等法律问题。
用户在自己办公桌上使用个人电脑时,往往试图复制和使用非法软件。“没有人知道我使用这个软件”成为大多数PC用户的共同态度。
组织甚至员工个人都喜欢以“不知道法律如何要求,没有人告诉我”为借口,逃避法律的追究。
丢失数据
IT部门一般都认识到数据的重要性,并定期备份数据,以确保发生问题时,系统和数据能重新恢复运作。不幸的是,最终用户计算环境下却很少这样做。
另一个与数据丢失有关的问题是不断增长的计算盗窃问题。计算机特别是高科技人员的计算机是贵重设备。他们的高昂价值使其成为计算机窃贼的目标。整个计算机可能会被偷走,与其一起丢失的包括计算机上存储的数据。
膝上电脑和笔记本电脑的可移动性形成了新的风险。他们所固有的可移动性增加了整个计算机丢失或失窃的风险。例如计算机被丢失在火车上或在旅馆房间中、行李架或机场中失窃。
逻辑与物理访问安全
大多数个人计算机使用DOS、Windows95、windows2000、Windows NT、OS/2或苹果机操作系统。这些操作系统都是为单个用户所设计的,很少设置逻辑访问控制以限制未经授权用户的访问。
于是理所当然地,就可以轻易绕过操作系统所使用到任何安全控制。任何一个稍有操作系统知识的人都能够直接访问数据文件和应用程序。
对桌面计算机的物理访问也通常少有控制。组织的大型机和小型机通常都安置在一个严格控制的环境中,通过上锁的门、联合密码锁、监视器等加强安全。而最终用户的计算机通常很少这样做。他们一般摆放在一般办公环境的办公桌上。
绕过简单的逻辑访问控制,可以破坏对PC机的物理访问控制。例如基本的Windows用户口令。数据可能存在软盘中,可以轻易被拷贝走。数据也可能被未授权用户修改或删除。
2.最终用户计算控制
如果一个组织对最终用户计算有较深入使用,审计师会发现综合控制(一般控制)环境比较薄弱。这种现象可以归因于缺乏员工职责分离,计算机用户缺乏培训,资源不足或管理人员没有制定出有效的标准和控制措施。
由于缺乏综合控制,增加了产生错误或失误的风险。当一个组织使用终端用户计算并且审计师需要评估计算机控制的可信任程度时,他更倾向于寻找存在的管理人员和管理控制措施,而不是计算机和应用软件中详细的技术控制措施。
客户在实施最终用户计算控制时,所遇上最大到问题是确保所有相关人员都能了解所必须执行的政策、标准和工作过程。这可以通过对系统用户的教育培训得以解决。这些信息可以通过通讯、公告和正式培训的方式加以传播。
系统开发控制
系统开控制包括为最终用户开发应用系统制定系统开发政策和标准。正式程度取决于应用系统对企业业务的重要程度。例如一个应用对商业非常重要,那么它的开发就应该正式并加以严格控制。从另一方面讲,如果一个应用并不重要,只是供一些员工使用,那么开发过程就没必要严格控制。
开发标准应确保重要应用系统的开发和修改经过授权并且有文档记录和充分测试。
如果客户有购买硬件和软件的政策和过程,那么与系统不兼容有关的问题也会减少。这些政策也可能包括购买资产的过程及资产位置的登记。
重复劳动
用户应该有一个就自己工作成果与组织中其他人沟通的机制。这可以通过中低层管理人员之间定期的会议来解决。会议中应就本地信息系统开发情况进行讨论和沟通。
数据矛盾
如果所修改的信息是重要信息,客户就应有确保系统所使用的数据有一个不断更新的备份。通常可以通过一个集中的数据来解决这个问题。最终用户所开发的系统可以使用该数据库中的数据,而不是存于本地计算机系统的过时信息。
客户还可以通过一些控制措施确保使用最新信息。例如拉出一个检查清单,提示用户使用最新信息。
如果用户可以访问中央数据库的信息,则应该只允许经过授权的用户访问。
法律
企业应制定政策确保最终用户能有意识地遵守相关法律。需要注意的包括以下几个方面:
软件失窃
诸如,个人未经授权复制或获取组织的软件和数据。
遵守健康和劳动法律
盗版及非法软件的使用
个人信息的收集使用和储存(隐私法)
数据损失
如果用户计算机中存有重要的应用和数据,应建立控制措施确保组织不会因这些计算机的灾难性事故而受到消极影响。
控制过程包括:
要求用户定期将应用程序、数据和文档进行备份,并将备份保存在安全的地方。备份的频度取决于数据的重要性、数据的时效以及在给定时间所发生的交易数量。
将数据存放在一个文件服务器中,而不是存放在本地硬盘或软盘上。文件服务器通常由IT部门管理,并定期备份。
逻辑和物理访问
应该鼓励用户采取必要的逻辑访问安全措施,例如设定BIOS口令。
尽可能将数据存放在网络文件服务器中。通常网络操作系统都能提供一定程度的保护,防止来自网络的未授权访问。
用户若使用移动电脑,应制定相应政策要求他们晚上保存在一个安全的环境中。例如上锁的抽屉或橱柜中。
若客户对风险有更高的考虑和要求,则应进一步安装安全软件。这将获得更强的逻辑访问控制,可以对敏感数据进行加密。
最终用户支持
最终用户计算持续增加,并将对将来产生有意义 的影响。企业应制定一个框架为用户提供支持。
最终用户支持通常由帮助平台职能完成。帮助平台是IT专业人员与用户沟通的纽带。通过帮助平台,用户的帮助请求得以传递给具有特别技能和知识到IT专家。
对计算机病毒的预防保护
使用防病毒软件
禁止使用软驱
控制使用来历不明的软件
备份
感染病毒后的处理措施
