通用信息系統(tǒng)控制—2025年cma考試p1基礎(chǔ)知識點
最慢的步伐不是跬步,,而是徘徊,,最快的腳步不是沖刺,而是堅持,。cma是美國注冊管理會計師,,其考試科目包含P1財務(wù)規(guī)劃、績效與分析,,P2戰(zhàn)略財務(wù)管理,。下面整理了P1《財務(wù)規(guī)劃、績效與分析》科目知識點,,一起學(xué)習(xí)一下,。
【所屬章節(jié)】
第五章 內(nèi)部控制
【知識點】
通用信息系統(tǒng)控制
一、組織和人員控制
1. 職責(zé)分離
負(fù)責(zé)信息技術(shù)(以下簡稱IT)職責(zé)的部門需要和企業(yè)其他部門分離,,單獨設(shè)立,,不能劃歸到其他任何職能部門中,CIO需直接向CEO匯報工作,。
在IT部門內(nèi)部,,具體的職位也需要進(jìn)行職責(zé)分離,如授權(quán),、開發(fā),、操作和技術(shù)支持、監(jiān)督等職能需要職責(zé)分離,,同時在運營過程中任何對數(shù)據(jù)文件的調(diào)整均要獲得授權(quán)才可進(jìn)行,。
職能 | 人員 |
系統(tǒng)開發(fā) | 開發(fā)項目分析師:確定應(yīng)開發(fā)的軟件 應(yīng)用程序開發(fā)員:根據(jù)設(shè)計,對具體程序開發(fā),、編碼 |
系統(tǒng)運行,、維護(hù) | 計算機(jī)操作員:負(fù)責(zé)程序的有效運行,進(jìn)行數(shù)據(jù)輸入,、處理,、輸出管理,對整體系統(tǒng)進(jìn)行監(jiān)督和維護(hù) |
系統(tǒng)技術(shù)支持 | 數(shù)據(jù)庫管理員:負(fù)責(zé)企業(yè)所有數(shù)據(jù)的儲存 網(wǎng)絡(luò)管理員:負(fù)責(zé)數(shù)據(jù)在硬件,、軟件上的安全傳輸和使用 安全管理員:負(fù)責(zé)分配和控制訪問權(quán)限 系統(tǒng)程序員:把控操作和存儲系統(tǒng)的使用,、分類 |
【小貼士】
IT部門僅負(fù)責(zé)數(shù)據(jù)的處理、儲存和傳遞,,用戶擁有信息和數(shù)據(jù)所有權(quán),。
2. 強(qiáng)制休假
·通過強(qiáng)制人員休假,,可識別數(shù)據(jù)管理中的欺詐風(fēng)險。
3. 電腦訪問限制
·只有授權(quán)人員才能使用系統(tǒng),。
·管理員可以追蹤每個使用者的登錄時間,、登錄地點、查看信息,、使用時間等,,以發(fā)現(xiàn)異常狀況。
二,、系統(tǒng)開發(fā)階段控制
系統(tǒng)開發(fā)前首先要針對系統(tǒng)開發(fā)的所有階段(需求分析,、系統(tǒng)設(shè)計、系統(tǒng)運行,、系統(tǒng)維護(hù))制定開發(fā)標(biāo)準(zhǔn),。整個開發(fā)過程均須嚴(yán)格控制,保證信息的可靠性,、數(shù)據(jù)的完整性,。
需求分析
目的:
·理解整個系統(tǒng)。
·確定設(shè)計細(xì)節(jié)要求,。
內(nèi)容:
·本階段要組建項目小組,成員應(yīng)包括信息系統(tǒng)和新系統(tǒng)的管理人員和最終用戶,。
·項目小組在理解現(xiàn)有系統(tǒng)的基礎(chǔ)上,,找到需要解決的問題,滿足使用的要求,。
系統(tǒng)設(shè)計
目的:
·理解當(dāng)前系統(tǒng)功能,,確認(rèn)新系統(tǒng)開發(fā)需求,即應(yīng)具備的功能,。
內(nèi)容:
·系統(tǒng)設(shè)計包括概念設(shè)計和物理設(shè)計,。
·企業(yè)各部門人員均可參與系統(tǒng)設(shè)計環(huán)節(jié),明確所需系統(tǒng)的規(guī)格要求,,開發(fā)前詳細(xì)記錄歸檔,。
·這一步驟又可進(jìn)一步分為模型設(shè)計、編程和質(zhì)量測試,。
系統(tǒng)運行
當(dāng)新的系統(tǒng)經(jīng)過測試認(rèn)可,,并被授權(quán)使用后,編程人員將系統(tǒng)文檔轉(zhuǎn)給系統(tǒng)管理員,,由系統(tǒng)管理員將數(shù)據(jù)從原有系統(tǒng)導(dǎo)入新系統(tǒng),。
系統(tǒng)維護(hù)
系統(tǒng)維護(hù)人員需要隨時監(jiān)控系統(tǒng),確保整個系統(tǒng)按照既定目標(biāo)運轉(zhuǎn),。系統(tǒng)的定期升級和維護(hù)需要在非系統(tǒng)使用高峰期完成,。
三,、網(wǎng)絡(luò)、硬件和設(shè)施控制
信息系統(tǒng)的保護(hù)不僅局限于信息本身,,還包括對儲存和運行數(shù)據(jù)信息的網(wǎng)絡(luò),、硬件、周圍設(shè)施的保護(hù)和控制,。
1. 設(shè)施和硬件控制措施
①存放信息的地點要求
·信息中心需要安置于遠(yuǎn)離公眾的場所,;
·信息中心需要防范非授權(quán)人員進(jìn)入,如設(shè)置安全密碼或生物類辨識系統(tǒng),;
·信息中心要注意周圍環(huán)境的安全保證,,防止火災(zāi)、水災(zāi)以及人為破壞的可能性,;
·信息中心還需關(guān)注空調(diào)設(shè)備,、室內(nèi)濕度和能源供應(yīng)。
②信息保護(hù)要求
·需要對高峰使用和備用能源提前做出安排,;
·針對信息中心需要的硬件,,提前準(zhǔn)備備用元件,一旦出現(xiàn)硬件問題可以及時替換,。
③使用者方面
·使用者必須使用復(fù)雜程度高的安全密碼,,并定期更換;
·使用者要確保自身設(shè)備中信息的安全性,,這一點在移動辦公時代尤為重要,。
2. 網(wǎng)路控制措施
數(shù)據(jù)傳輸:
是指依照適當(dāng)規(guī)程,經(jīng)過一條或多條線路,,將信息從一處傳輸?shù)搅硪惶幍牟僮鬟^程,。
存在威脅:
·現(xiàn)代互聯(lián)網(wǎng)的信息傳輸風(fēng)險大于僅使用電腦傳遞的風(fēng)險。
·互聯(lián)網(wǎng)時代企業(yè)可能受到黑客攻擊,,信息被盜取的威脅增大,,其他的惡意軟件如病毒、蠕蟲,、木馬,、垃圾郵件等也給企業(yè)帶來信息安全威脅,當(dāng)前日益流行的云計算技術(shù)更是增加了信息保障的難度,。
控制思路:
·網(wǎng)絡(luò)控制要確保只有授權(quán)的員工可使用企業(yè)信息和程序,,避免信息被黑客入侵或篡改。
常用措施:
·建立內(nèi)部網(wǎng)絡(luò),;
·加強(qiáng)數(shù)據(jù)和傳輸安全保護(hù),;
·防止病毒入侵和采用防火墻保護(hù)。
(1)建立內(nèi)部網(wǎng)絡(luò)
小型企業(yè)可以選取有線或無線的局域網(wǎng)(LAN)來共享企業(yè)內(nèi)部數(shù)據(jù),、應(yīng)用軟件和其他網(wǎng)絡(luò)資源,。
大型企業(yè)則可以應(yīng)用廣域網(wǎng)(WAN),,也就是更大范圍的私人網(wǎng)絡(luò)連接,以及虛擬私人網(wǎng)絡(luò)(VPNs),。
這些局域網(wǎng)和廣域網(wǎng)的安全性高于傳統(tǒng)互聯(lián)網(wǎng),,相對而言被外界截取信息的風(fēng)險會降低。
(2)數(shù)據(jù)傳輸安全保護(hù)
可用保護(hù)措施:
①數(shù)據(jù)加密,。
·數(shù)據(jù)加密是將數(shù)據(jù)從易讀的本地語言轉(zhuǎn)換為只能由擁有正確解密密鑰的人員才能讀取的代碼,。
·目的是防止信息被不應(yīng)獲得的人得到。
②路由驗證,。
·路由驗證中輸出信息內(nèi)包括一個地址編碼,,可與接收系統(tǒng)的編碼對照,用于確保傳輸數(shù)據(jù)被送達(dá)正確地址,。
·雙重傳輸和返回檢查技術(shù)也可用于輔助路由驗證,。
③確認(rèn)應(yīng)答。
·確認(rèn)應(yīng)答是指在數(shù)據(jù)傳輸中發(fā)送一個驗證信息,,幫助接收端確認(rèn)所有信息均已傳遞完成,。
·一旦發(fā)現(xiàn)傳輸錯誤,可重新傳遞數(shù)據(jù),,保證數(shù)據(jù)的完整性和準(zhǔn)確性,。
(3)病毒防護(hù)和防火墻
病毒和黑客是網(wǎng)絡(luò)信息安全防護(hù)的重要威脅。
基本防護(hù)措施:
·防病毒軟件定期掃描,;
·不允許安裝未經(jīng)IT部門批準(zhǔn)的軟件,;
·現(xiàn)有軟件的安裝和更新須通過IT部門完成;
·使用防火墻防止企業(yè)外部未授權(quán)人員接觸本企業(yè)信息,;
·內(nèi)部系統(tǒng)的防火墻阻止未授權(quán)人員接觸如薪酬等敏感信息。
防火墻中可包括以下加強(qiáng)防控措施:
·安裝多重防火墻以增強(qiáng)安全性,;
·用戶輸入錯誤密碼一定次數(shù)后自動切斷連接或向中樞送達(dá)警示消息,;
·安裝系統(tǒng)更改控制軟件,顯示對文檔更改的記錄,,留下審計證據(jù),;
·安裝網(wǎng)絡(luò)控制日志,記錄電腦中所有信息的傳遞,,以發(fā)現(xiàn)信息錯誤源頭或未授權(quán)登錄的地點,,也可以記錄內(nèi)部對信息的不合理使用的狀況;
·安裝系統(tǒng)入侵檢測系統(tǒng),,獲知非法訪問情況,,并將此類事件集中記錄在安全事項日志內(nèi),提醒管理人員系統(tǒng)受外界攻擊的情況,。
四,、業(yè)務(wù)持續(xù)方案
可業(yè)務(wù)持續(xù)方案是一種識別企業(yè)所面臨的內(nèi)部和外部威脅的政策,,它將企業(yè)的關(guān)鍵資源和資產(chǎn)集中在一起,對其加以保護(hù)并確保在發(fā)生重大不利事件或災(zāi)害時,,企業(yè)能維持經(jīng)營并有效恢復(fù),。
保護(hù)信息存儲的兩個重要措施為:
1. 數(shù)據(jù)備份
定義:
數(shù)據(jù)備份是指為防止企業(yè)在出現(xiàn)病毒入侵、自然災(zāi)害,、硬件損壞,、軟件故障以及數(shù)據(jù)被盜取、刪除時丟失數(shù)據(jù),,而將數(shù)據(jù)存儲到其他介質(zhì)的過程,。
備份思路:
·備份的數(shù)據(jù)應(yīng)被放置于離線的數(shù)據(jù)媒介上,最好和基本信息中心分離放置,,以防在企業(yè)出現(xiàn)自然災(zāi)害時同時損毀,;
·企業(yè)應(yīng)在業(yè)務(wù)處理的低峰期進(jìn)行備份;
·備份數(shù)據(jù)可定期通過電子傳輸?shù)姆绞奖4妫?/p>
·企業(yè)的內(nèi)部控制應(yīng)該包括備用系統(tǒng)的參數(shù)指標(biāo),。
備份方式:
①祖父-父親-兒子(GFS),。
·對最近3代(比如最近3天)的數(shù)據(jù)始終保留備份,一旦數(shù)據(jù)丟失或被更改,,可以從最近的備份文件中恢復(fù),。
②定時備份。
·系統(tǒng)檢查程序,,全天定時備份,,一旦系統(tǒng)故障信息丟失,可以及時從最近的檢查點恢復(fù)最近數(shù)據(jù),。
2. 災(zāi)難恢復(fù)系統(tǒng)
災(zāi)難恢復(fù)系統(tǒng)是在企業(yè)出現(xiàn)如自然災(zāi)害或其他影響經(jīng)營的緊急事件中,,恢復(fù)正常運營的應(yīng)急措施安排計劃。
災(zāi)難恢復(fù)系統(tǒng)應(yīng)包括的內(nèi)容:
·建立災(zāi)難恢復(fù)過程的優(yōu)先級,;
·識別軟件和硬件需要的關(guān)鍵過程,;
·識別災(zāi)難恢復(fù)過程的所有數(shù)據(jù)文件和程序文件;
·儲存文件的異地設(shè)備,;
·確定每種活動的負(fù)責(zé)人,,以及活動的先后順序;
·設(shè)置和檢查備份設(shè)施的安排,;
·測試和審查恢復(fù)計劃,。
企業(yè)需要定期對災(zāi)難恢復(fù)系統(tǒng)進(jìn)行測試、記錄,、檢查和更新,。所有相關(guān)工作人員也需要接受有關(guān)系統(tǒng)使用的全面培訓(xùn)。
【小貼士】
通常災(zāi)難過后最早恢復(fù)的應(yīng)為操作系統(tǒng),以幫助企業(yè)盡早恢復(fù)運營,。
恢復(fù)系統(tǒng)可以設(shè)計為熱站,、暖站和冷站的形式。
五,、會計系統(tǒng)控制
會計系統(tǒng)中可以實施的控制手段包括:
①批次合計,。
·在信息輸入時報送本批記錄的數(shù)字合計或金額合計,便于核查數(shù)字是否準(zhǔn)確的控制,。
②賬戶控制,。
·輸入時要確保被授權(quán)人員操作特定賬戶的控制。
·例如,,采購部門人員不可查閱人力資源部門的信息,。
③注銷控制。
·在每次支付完成后對發(fā)票和相關(guān)文件予以注銷或標(biāo)注,,防止泄露或再次處理的控制,。
④反饋控制。
·提供有關(guān)系統(tǒng)性能方面的信息,,幫助企業(yè)快速調(diào)整的控制,。
·反饋信息可以書面或口頭提供,也可以由系統(tǒng)自動生成的反饋報告,。
⑤前饋控制,。
·基于當(dāng)期企業(yè)行動或狀態(tài)預(yù)計未來可能結(jié)果的控制手段。
·預(yù)見會出現(xiàn)問題時,,企業(yè)提前采取措施防止問題出現(xiàn),,使預(yù)算差異的嚴(yán)重程度最小化。
注:以上內(nèi)容來自東奧Jenny Liu老師基礎(chǔ)班講義
以上就是整理好的cma考試知識點,,東奧會計在線整理發(fā)布,,僅供學(xué)習(xí)使用,禁止任何形式的轉(zhuǎn)載,。想要隨時了解更多關(guān)于cma考試等相關(guān)信息,,請關(guān)注東奧會計在線CMA頻道!
(本文為東奧會計在線原創(chuàng)文章,,僅供考生學(xué)習(xí)使用,,禁止任何形式的轉(zhuǎn)載)
津公網(wǎng)安備12010202000755號