中华会计网校

2013年内审师经营分析和信息技术:一般控制和应用控制

 

    应用控制与一般控制是两个不同层次的控制手段:

    一般控制(General Contr01)包括各种相对通用的控制手段和技术,包括:管理控制、计算机运行控制、系统实施控制、软件控制、硬件控制、访问控制和数据安全控制等。

    应用控制(Application Control)包括和特定应用相关的、为保障应用程序正确运行而设定的控制,如输入控制(input contr01)、处理控制(process control)、输出控制(output contr01)等。

    相对于应用控制,一般控制更为基础,且其有效性不受应用控制的影响。相反,应用控制的有效性则往往受到一般控制,尤其是操作系统访问控制的影响。

    一般控制包括:

    管理控制(administrative contr01)的主要目标是实现职责分离。常见的管理控制包括:系统分析员不应该接触计算机设备、数据和程序;计算机编程人员不应该接触计算机设备、数据和已交付使用的程序;操作员不应该参与系统设计或更改程序。

    运行控制(operations control)包括:

    软件控制(software control)是保证已投入运行的软件未经许可不得修改的控制;

    访问控制(access contr01)是确保只有 被授权用户才能实现对特定数据和资源进行访问的控制,通常特指逻辑访问控制(logical access control);

    系统实施控制(implementation control)是在系统开发实施过程的各个环节都建立控制点并编制文档以保证系统的实施是在适当的控制和管理之下,文档应从技术和应用两个角度说明系统是如何运行的;

    输入控制(input contr01)包括输入授权(input authorization)、数据转换(data conversion)和编辑检验(edit checks)。其中,编辑检验又包括合理性检验 (reasonableness checks)、格式检验(format checks)、存在性检验(existence checks)、依赖性检验(dependency checks) (又称相关性检验)、检验位 (check digit)、重新输入控制(reinput control)等。

    输出控制(output contr01)包括平衡总数(balancing totals)、复核处理日志(review of processing logs)、审核输出报告(audit of output report)、审核制度与文件(audit of procedures and documentation)。

    访问控制技术

    访问控制技术确保只有被授权用户才能实现对特定数据和资源的访问。访问控制技术可以应用在信息系统的不同层次,如操作系统访问控制、数据库访问控制、网页访问控制等。但访问控制技术的应用必须适当合理,尤其应注意系统安全性和系统可用性之间的平衡。

    访问日志(Access Log)对用户访问信息系统的时间、内容等进行记录,便于分析控制。安装访问日志系统属于检测性控制措施,它虽然可以发现未经授权的访问,但不能防止其发生。
 

中华会计网校课程免费试听7天
课程名称 老师 学费 试听 购买
经济法基础 叶 青 赵俊峰 500元
初级会计实务 杨闻萍 郭建华 500元
课程名称 老师 学费 试听 购买
中级会计实务 徐经长 郭建华 600元
经济法 游文丽 李玉华 600元
财务管理 陈华亭 黄 胜 600元