新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

　IT尤其是網(wǎng)絡(luò)IT的高速發(fā)展與廣泛應(yīng)用，改變了企業(yè)的管理環(huán)境與管理理念，拓寬了企業(yè)管理的范圍和內(nèi)容，而這一切又影響并改變著企業(yè)內(nèi)部控制要素的具體內(nèi)容，導(dǎo)致企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制內(nèi)容、方法手段等發(fā)生變化。傳統(tǒng)會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制已不能滿足IT環(huán)境的要求，因此迫切需要建立健全的IT環(huán)境下會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制，以滿足新環(huán)境對(duì)企業(yè)內(nèi)部控制的要求。
　　
　　一、IT環(huán)境下會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的必要性
　　
　　在IT環(huán)境下企業(yè)會(huì)計(jì)核算和會(huì)計(jì)管理的環(huán)境發(fā)生了很大的變化，對(duì)企業(yè)會(huì)計(jì)信息系統(tǒng)內(nèi)部控制造成了極大地沖擊，原有的內(nèi)部控制形式已滿足不了新環(huán)境需求。內(nèi)部控制關(guān)系到企業(yè)財(cái)產(chǎn)物資的安全完整，關(guān)系到會(huì)計(jì)信息系統(tǒng)對(duì)企業(yè)經(jīng)濟(jì)活動(dòng)反映的正確性、安全性、可靠性，企業(yè)為實(shí)現(xiàn)既定的管理目標(biāo)，必須建立一整套與IT環(huán)境相適應(yīng)的會(huì)計(jì)信息系統(tǒng)控制體系，以保證企業(yè)健康、有序地發(fā)展。首先，IT的應(yīng)用使企業(yè)交易的處理與相關(guān)作業(yè)程序都必須依賴于會(huì)計(jì)信息系統(tǒng)。會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的好壞將直接影響企業(yè)的營(yíng)運(yùn)與發(fā)展，如會(huì)計(jì)信息被記錄在磁盤等磁性介質(zhì)中會(huì)失去其直觀性；同時(shí)，系統(tǒng)的透明度較高，而會(huì)計(jì)數(shù)據(jù)的安全性、保密性等控制對(duì)企業(yè)而言變得更為重要。其次，會(huì)計(jì)信息系統(tǒng)中的數(shù)據(jù)處理是在一個(gè)封閉的系統(tǒng)中進(jìn)行，數(shù)據(jù)處理的準(zhǔn)確性完全取決于應(yīng)用程序和硬件的可靠程度，會(huì)計(jì)人員無(wú)法直接參與控制。由于rr環(huán)境下會(huì)計(jì)信息系統(tǒng)的特殊性，如計(jì)算機(jī)的資源共享性增加管理控制難度、計(jì)算機(jī)信息系統(tǒng)的自動(dòng)化改變牽制形式、權(quán)限分工、計(jì)算機(jī)無(wú)限延伸性和多攻擊點(diǎn)擴(kuò)大了信息系統(tǒng)的風(fēng)險(xiǎn)和控制的范圍。最后，隨著IT在會(huì)計(jì)工作中的普遍應(yīng)用，管理部門對(duì)由計(jì)算機(jī)產(chǎn)生的各種數(shù)據(jù)、報(bào)表等會(huì)計(jì)信息的依賴程度越來(lái)越大，這些會(huì)計(jì)信息的產(chǎn)生只有在嚴(yán)格的控制下才能保證其可靠性和準(zhǔn)確性，才能預(yù)防和減少計(jì)算機(jī)犯罪的可能性。目前，我國(guó)對(duì)內(nèi)部控制的研究大多處于傳統(tǒng)的手工會(huì)計(jì)階段，因此IT環(huán)境下的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的研究具有一定的現(xiàn)實(shí)意義。
　　
　　二、IT治理參考(COBIT)框架選擇的原因
　　
　　目前，我國(guó)對(duì)信息系統(tǒng)的管理和控制的了解和應(yīng)用還處于起步階段，必須有一個(gè)好的參考標(biāo)準(zhǔn)予以指導(dǎo)。如美國(guó)的COSO、英國(guó)的Cadbury、加拿大的CoCo、南非的King等業(yè)務(wù)控制模型以及英國(guó)貿(mào)易和工商部(DTI)的SecurityCode of Conduct、加拿大會(huì)計(jì)師事務(wù)所(CICA)的Information Technology Control Guidelines與美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)局(NIST)的Security Handbook等大量的IT方面的控制模型，但這些都不能為組織的業(yè)務(wù)處理過程提供一個(gè)全面而有用的IT控制模型，確保能夠成功、有效地整合信息系統(tǒng)與業(yè)務(wù)流程。COBIT的目的就是為這種整合提供基礎(chǔ)，從而在業(yè)務(wù)需求和IT控制之間建立聯(lián)系。COBIT使IT環(huán)境的會(huì)計(jì)信息系統(tǒng)管理工作簡(jiǎn)易并量化，從而減輕對(duì)復(fù)雜信息系統(tǒng)管理工作的難度。COBIT提供了一種國(guó)際通用的IT環(huán)境的會(huì)計(jì)信息系統(tǒng)管理及問題解決方案，普遍適用于各種不同的商業(yè)項(xiàng)目和審計(jì)，它既包容了當(dāng)前的情況，也提供將來(lái)可能會(huì)使用到的指導(dǎo)方針。COBIT框架能夠幫助確定過程責(zé)任，提高IT環(huán)境的會(huì)計(jì)信息系統(tǒng)治理水平。通過采用該框架，可以將其作為對(duì)一個(gè)責(zé)任矩陣分析的基礎(chǔ)，可以做到基于角色的IT環(huán)境的會(huì)計(jì)信息系統(tǒng)管理，定義過程措施，更好地確保客戶利益。
　　筆者認(rèn)為，針對(duì)我國(guó)信息化存在的問題，借鑒COBIT的IT環(huán)境的會(huì)計(jì)信息系統(tǒng)治理思想和框架，科學(xué)、系統(tǒng)地對(duì)信息及相關(guān)技術(shù)進(jìn)行管理，逐步試行建立IT環(huán)境的會(huì)計(jì)信息系統(tǒng)治理機(jī)制，對(duì)推動(dòng)我國(guó)IT環(huán)境的會(huì)計(jì)信息系統(tǒng)的發(fā)展和應(yīng)用都具有十分重要的現(xiàn)實(shí)意義。
　　
　　三、IT治理參考標(biāo)準(zhǔn)(COBIT)使用應(yīng)注意的問題
　　
　　框架鑒于COBIT的通用性，它忽略了各個(gè)信息系統(tǒng)的特殊性，因此不能照搬COBIT的一套控制目標(biāo)體系，而應(yīng)根據(jù)實(shí)際情況將其具體化。首先，組織在應(yīng)用COBIT前必須先了解其指導(dǎo)思想，COBIT是為了有效地整合組織的業(yè)務(wù)流程與信息系統(tǒng)，必須理解從IT資源的規(guī)劃、信息的產(chǎn)生到整個(gè)業(yè)務(wù)流程的循環(huán)中，需要投入的IT資源，可以達(dá)到的IT目標(biāo)，以及如何使每個(gè)rr處理過程有效運(yùn)轉(zhuǎn)、相互協(xié)調(diào)。其次，以COBIT的處理過程為模版，結(jié)合組織的業(yè)務(wù)流程和信息系統(tǒng)的具體情況，建立基于組織特殊要求的IT處理過程，然后提出每個(gè)IT處理過程的控制目標(biāo)。最后，在應(yīng)用COBIT的過程中，組織的業(yè)務(wù)流程、業(yè)務(wù)需求以及IT技術(shù)在不斷的變化發(fā)展中，COBIT本身也在不斷地更新，因此組織的IT處理過程及其控制目標(biāo)必須及時(shí)更新。

　　四、COBIT框架會(huì)計(jì)信息系統(tǒng)獲得與維護(hù)技術(shù)設(shè)施控制點(diǎn)的設(shè)置
　　
　　會(huì)計(jì)信息系統(tǒng)獲得和實(shí)施控制包含了獲得和維護(hù)技術(shù)設(shè)施、開發(fā)和維護(hù)技術(shù)系統(tǒng)等。COBIT在進(jìn)行控制的過程中，強(qiáng)調(diào)“獲得和維護(hù)技術(shù)設(shè)施”過程必須為滿足業(yè)務(wù)需求的業(yè)務(wù)應(yīng)用軟件系統(tǒng)提供合適的運(yùn)行平臺(tái)。COBIT在對(duì)“獲得和維護(hù)技術(shù)設(shè)施”過程的控制中，重點(diǎn)要考慮的因素有：硬件設(shè)施的標(biāo)準(zhǔn)和未來(lái)的應(yīng)用方向是否符合實(shí)際需要；硬件的評(píng)估；安裝、維護(hù)和變更的控制；升級(jí)、切換和移植的計(jì)劃管理；內(nèi)部和外部技術(shù)設(shè)施和資源的使用；確認(rèn)與硬件供應(yīng)商的關(guān)系以及它們的相應(yīng)責(zé)任；變更管理；硬件設(shè)施擁有總成本；系統(tǒng)軟件的安全性。COBIT所提出各個(gè)方面的考慮覆蓋了硬件設(shè)施從采購(gòu)、安裝調(diào)試到日常維護(hù)的整個(gè)過程。目前，國(guó)內(nèi)的企業(yè)在硬件的采購(gòu)和安裝調(diào)試方面往往控制得比較好，但在系統(tǒng)應(yīng)用過程中，維護(hù)和系統(tǒng)變更等方面沒有規(guī)范可控的程序與其相適應(yīng)，主要控制程序包括：
　　(1)計(jì)算機(jī)中心控制。計(jì)算中心控制主要是對(duì)系統(tǒng)的物理環(huán)境及設(shè)備可靠性的控制
，目標(biāo)是確保系統(tǒng)設(shè)備能實(shí)時(shí)地、連續(xù)地運(yùn)轉(zhuǎn)。常見措施有：一是系統(tǒng)資源使用的限制。系統(tǒng)資源包括程序庫(kù)、數(shù)據(jù)庫(kù)、全部硬件設(shè)備以及所有相關(guān)文字和打印記錄。這些資源只能由規(guī)定人員使用。為達(dá)到這些目的可以將各種資源分派給專人保管，并做好使用記錄報(bào)告，系統(tǒng)主管要經(jīng)常檢查使用報(bào)告。二是工作環(huán)境保護(hù)。對(duì)系統(tǒng)的自然環(huán)境進(jìn)行控制，包括機(jī)房溫度、濕度以及防火、防磁、防塵控制；作業(yè)環(huán)境控制，包括機(jī)房的工作人員的定員控制和機(jī)房出入控制；備用設(shè)備(備用電源、水源)控制。
　　(2)操作系統(tǒng)安全性控制。操作系統(tǒng)安全包含政策、程序及控制等，這些規(guī)定、程序和控制決定能夠隨意訪問操作系統(tǒng)的人員，且可以訪問諸多資源(文件、程序、打印機(jī))，以及進(jìn)行各種操作。主要的控制措施有：登陸程序、訪問標(biāo)識(shí)、訪問控制列表以及自主訪問控制。其一，訪問權(quán)限控制。用戶訪問的權(quán)限分配給可以使用系統(tǒng)的個(gè)人及整個(gè)工作組，權(quán)限規(guī)定了個(gè)人或小組可以訪問哪些目錄、文件、應(yīng)用程序及其他資源，以及執(zhí)行哪些操作，系統(tǒng)管理員或資源所有者可以分配權(quán)限，管理層要確保個(gè)人所享有的權(quán)限與其承擔(dān)的職責(zé)不沖突。其二，口令控制?？诹钍怯捎脩糨斎朊艽a，從而得以訪問系統(tǒng)、應(yīng)用程序、數(shù)據(jù)文件或網(wǎng)絡(luò)服務(wù)器等?？诹羁刂品椒ㄖ饕锌芍赜每诹詈鸵淮涡钥诹?。可重用口令指口令一經(jīng)用戶設(shè)定，就可在今后訪問系統(tǒng)時(shí)重復(fù)使用，可重用口令提供的安全質(zhì)量取決于口令自身的質(zhì)量，一次性口令則指用戶的口令不停地被更換。其三，抵御病毒及其他破壞性程序的控制。病毒之類的破壞性程序?qū)е聯(lián)p失是巨大的，這些損失是依據(jù)數(shù)據(jù)錯(cuò)誤或毀損、計(jì)算機(jī)性能降低、硬件損害、侵犯隱私及修復(fù)損害所耗費(fèi)的人員時(shí)間表衡量，技術(shù)控制和管理程序相結(jié)合可以大大減少破壞性程序的威脅。其四，控制審計(jì)軌跡。審計(jì)軌跡的設(shè)計(jì)是用來(lái)登記系統(tǒng)、應(yīng)用程序及用戶層活動(dòng)的記錄，審計(jì)軌跡在恰當(dāng)實(shí)施的情況下可以提供重要的檢查控制。典型的審計(jì)軌跡由兩類審計(jì)日志構(gòu)成：每次鍵盤敲擊的詳細(xì)日志，包括記錄用戶的鍵盤敲擊和系統(tǒng)地反應(yīng)；由事件引發(fā)的日志，主要登記訪問系統(tǒng)的所有用戶的ID，訪問和持續(xù)的時(shí)間，訪問中執(zhí)行的程序，以及訪問過的文件、數(shù)據(jù)庫(kù)、打印機(jī)和其他資源。其五，容錯(cuò)控制。容錯(cuò)是系統(tǒng)某個(gè)部分在出現(xiàn)硬件故障、應(yīng)用程序錯(cuò)誤或操作員錯(cuò)誤而導(dǎo)致部分系統(tǒng)故障時(shí)，繼續(xù)運(yùn)行的能力。主要包括使用不間斷電源與進(jìn)行多重處理。其六，管理控制。主要有制定磁盤拷貝權(quán)限和制定保護(hù)制度等，防止未經(jīng)檢測(cè)的磁盤接入系統(tǒng)。新經(jīng)濟(jì)、新技術(shù)使企業(yè)的運(yùn)行環(huán)境發(fā)生了根本性的變化，它給企業(yè)帶來(lái)風(fēng)險(xiǎn)的同時(shí)也帶來(lái)了控制風(fēng)險(xiǎn)的機(jī)會(huì)與工具。加強(qiáng)IT環(huán)境下的會(huì)計(jì)信息系統(tǒng)內(nèi)部控制工作不是短期行為，它隨著企業(yè)經(jīng)營(yíng)管理環(huán)境的變化而變化，并不斷趨于完善。內(nèi)部控制是動(dòng)態(tài)的，是一個(gè)發(fā)現(xiàn)問題、解決問題、發(fā)現(xiàn)新問題、解決新問題的循環(huán)往復(fù)的過程，它需要會(huì)計(jì)理論界不斷深入研究，需要企業(yè)界強(qiáng)化認(rèn)識(shí)予以重視，在傳統(tǒng)的控制觀念基礎(chǔ)上，充分利用和完善COBIT內(nèi)部控制的基本框架，建立與時(shí)代相適應(yīng)的內(nèi)部控制制度，以滿足企業(yè)管理的需要并為企業(yè)帶來(lái)更大的價(jià)值。　　
　　在COBIT內(nèi)部控制的基本框架等有關(guān)理論、方針政策指引和各方人員的共同努力下，IT環(huán)境下會(huì)計(jì)信息系統(tǒng)的內(nèi)部控制也會(huì)得到不斷豐富和逐步趨于完善。