【正文】 損失風(fēng)險最大的威脅。例如，在表33中，最可能發(fā)生的威脅是設(shè)備盜竊，然而這種威脅卻是最小的損失暴露風(fēng)險之一。 表33 威脅分析報告另一種會計信息安全風(fēng)險評估方法是定性方法。這種方法僅僅列出系統(tǒng)脆弱性和威脅，根據(jù)它們對公司總損失風(fēng)險的影響大小，主觀地將其分為各個等級。即業(yè)務(wù)中斷、軟件損失、數(shù)據(jù)損失、硬件損失、設(shè)備損失、服務(wù)與人員損失二、脆弱性和威脅威脅有兩種：主動威脅和被動威脅。主動威脅包括會計信息系統(tǒng)舞弊和計算機(jī)破壞行為；被動威脅包括系統(tǒng)故障和自然災(zāi)害，例如地震、洪水、火災(zāi)以及颶風(fēng)。統(tǒng)計表明，公司由于舞弊和貪污造成的損失在很大程度上超過由于行賄、入室盜竊和入店行竊引起損失的總和。表34 國際計算機(jī)安全法律三類人——會計信息系統(tǒng)的操作者、用戶和計算機(jī)竊密者——因其接近系統(tǒng)的能力不同而有所區(qū)別。系統(tǒng)管理員經(jīng)常引入威脅，因?yàn)樗麄兘?jīng)常獲得大范圍授權(quán)以接近敏感數(shù)據(jù)和程序。另一方面，用戶的接近路徑很有限，但他們?nèi)匀蝗ふ衣窂竭M(jìn)行欺詐。計算機(jī)竊密者不會獲得任何特權(quán)，但他們常常是有能力給組織帶來巨大損失的人。（1）輸入操作●　Union Dime銀行雇用的一個出納員被發(fā)現(xiàn)從銀行賬戶中揩油撈錢。他是通過會計信息系統(tǒng)處理時輸入虛假科目來達(dá)到目的的。警察在搜捕該出納員經(jīng)常接觸的一個賽馬賭徒時，發(fā)現(xiàn)這個出納員每周下的賭金都超過了30000美元，從而暴露出這項(xiàng)犯罪。銀行的損失超過了1000000美元?！瘛∧Ω鶕?dān)保銀行收到了來自尼日利亞中央銀行的舞弊通報。基金中的20000000美元現(xiàn)金已經(jīng)通過電子轉(zhuǎn)賬至三家不同的銀行。但當(dāng)這筆錢試圖通過電子轉(zhuǎn)賬發(fā)到加利福尼亞圣安娜一個近期開戶的只有50美元的賬戶時，這筆轉(zhuǎn)賬被拒絕了。這使摩根擔(dān)保銀行在沒有受到任何損失的情況下發(fā)現(xiàn)了舞弊?！瘛×硪粋€案件中，一名女性通過篡改輸入文件，在10年間不僅每月盜竊200美元，而且給自己發(fā)放雙份工資?！瘛∫粋€倉儲部門里的系統(tǒng)分析師用自己的私人賬戶購買了一些貨物，隨后截取輸入文件，并給自己降低價格。（2）程序變更●　一名程序員通過給計算機(jī)編程來忽略自己賬戶上的透支額。當(dāng)計算機(jī)出現(xiàn)故障不得不手工處理這些記錄的時候，他的行為才被發(fā)現(xiàn)。（3）文檔直接變更●　華爾街十大經(jīng)紀(jì)人公司之一的沃特森公司的一名雇員，通過把一部分公司收入轉(zhuǎn)到他的個人賬戶上非法盜竊了278000美元。檢察官承認(rèn)，如果被告沒有認(rèn)罪，起訴是不會有證據(jù)的?！瘛ells Fargo的一名營運(yùn)官，使用銀行計算機(jī)系統(tǒng)處理分行間交易科目的結(jié)算過程時，撤消從別的支行撥來的現(xiàn)金，并用偽造貸款填補(bǔ)撤消款空白。那家銀行在3年的時間里損失了2000多萬美元。 7節(jié)下（4）惡意破壞●　某信用卡公司數(shù)據(jù)中心的負(fù)責(zé)人，出于對最高管理層的不滿，洗去了總值數(shù)百萬美元的應(yīng)收賬款的電腦資料?！瘛】死蛱m市某制造商的一名有不滿情緒的雇員，在其單獨(dú)滯留于數(shù)據(jù)儲存室的幾分鐘時間內(nèi)，用手中的一塊磁鐵洗去了許多數(shù)據(jù)資料，從而導(dǎo)致了公司的破產(chǎn)。三、災(zāi)難風(fēng)險管理預(yù)防災(zāi)難的發(fā)生是災(zāi)難風(fēng)險管理的第一步。研究顯示下列災(zāi)難發(fā)生的概率為：自然災(zāi)害 30%蓄意破壞 45% 人為錯誤 25%這些數(shù)據(jù)表明，通過貫徹良好而全面的安全政策，能夠減免很大一部分的災(zāi)難損失。制定災(zāi)難恢復(fù)計劃的第一步是取得高級管理層的支持，并應(yīng)成立專門的計劃委員會，在計劃制定完成之后，災(zāi)難恢復(fù)計劃必須被完整存檔并且由這些人員批準(zhǔn)，對會計信息系統(tǒng)尤其如此。在《會計法》中明確規(guī)定：“……未按照規(guī)定保管會計資料，致使會計資料毀損、滅失的。……依法追究刑事責(zé)任”。 第五節(jié) 會計信息系統(tǒng)中安全系統(tǒng)的構(gòu)建 有一種被廣泛接受的關(guān)于會計信息系統(tǒng)的理論指出，某些主動威脅不可能被阻止，因?yàn)檫^度地保證系統(tǒng)的安全性會使系統(tǒng)喪失實(shí)用性，而且，如果沒有一個總體的誠實(shí)和安全謹(jǐn)慎的氣氛，安全系統(tǒng)便沒有價值。一、控制環(huán)境構(gòu)造安全系統(tǒng)的第一個也是最重要的一個活動，是制造高漲的士氣和有利于系統(tǒng)安全的良好氛圍。二、對主動威脅進(jìn)行控制 三、對被動威脅進(jìn)行控制（四）Internet安全●　操作系統(tǒng)及其配置●　網(wǎng)絡(luò)服務(wù)器及其配置●　內(nèi)部網(wǎng)絡(luò)及其配置●　各種各樣的服務(wù)程序●　主要的安全步驟 【本章小結(jié)】會計信息系統(tǒng)的運(yùn)行管理包括建立健全會計信息系統(tǒng)的崗位責(zé)任制度、操作管理制度、維護(hù)管理制度和會計檔案管理制度。只有制定和嚴(yán)格執(zhí)行會計信息系統(tǒng)內(nèi)部管理制度，才能保證會計信息系統(tǒng)工作的成功。會計軟件的選擇包括六大步驟和七大標(biāo)準(zhǔn)。會計信息系統(tǒng)的評價指標(biāo)有經(jīng)濟(jì)指標(biāo)、性能指標(biāo)和應(yīng)用指標(biāo)，評價方法有結(jié)果觀察法、模擬法、對比法和專家打分法等。會計信息系統(tǒng)的安全管理主要是如何建立安全系統(tǒng)防范脆弱性和威脅以及如何進(jìn)行災(zāi)難風(fēng)險管理?！締栴}思考】。？ 8節(jié)上第四章 會計信息系統(tǒng)審計 【理論知識目標(biāo)】 l 理解會計信息系統(tǒng)審計的含義、特點(diǎn)、基本框架以及產(chǎn)生的必然性。l 熟悉會計信息系統(tǒng)內(nèi)部控制的特點(diǎn)、功能及其審計評價的目標(biāo)。l 掌握會計信息系統(tǒng)數(shù)據(jù)庫的審計方法、內(nèi)容以及常用審計工具。第一節(jié) 會計信息系統(tǒng)審計概述一、會計信息系統(tǒng)審計的含義電子數(shù)據(jù)審計、電子數(shù)據(jù)處理（Electronic Data Processing，EDP）審計、電算化審計、計算機(jī)輔助審計、信息系統(tǒng)審計等。從發(fā)展趨勢來看，計算機(jī)審計稱為IT審計更為恰當(dāng)，但在我國，計算機(jī)審計還處于發(fā)展初期，對信息系統(tǒng)的審計目前基本局限于對會計信息系統(tǒng)的審計，另外，也為了便于會計專業(yè)的學(xué)生理解，因此本章把計算機(jī)審計稱為會計信息系統(tǒng)審計。二、會計信息系統(tǒng)審計的主要特點(diǎn)、增強(qiáng)和維護(hù)會計信息系統(tǒng)的可靠性、安全性和有效性傳統(tǒng)審計是以鑒證財務(wù)信息的合法性和公允性為主要目標(biāo)的。會計電算化后，會計信息系統(tǒng)審計把促進(jìn)、增強(qiáng)和維護(hù)系統(tǒng)的可靠性、安全性和有效性作為審計的主要目標(biāo)。傳統(tǒng)審計取證的切入點(diǎn)為內(nèi)部控制制度與風(fēng)險因素。在信息化環(huán)境下，審計取證的切入點(diǎn)演變?yōu)闀嬓畔⑾到y(tǒng)、內(nèi)部控制與底層電子數(shù)據(jù)。創(chuàng)建審計中間表是實(shí)現(xiàn)計算機(jī)審計的關(guān)鍵技術(shù)，是審計人員進(jìn)行數(shù)據(jù)分析的新型審計工具。構(gòu)建模型，用模型對審計數(shù)據(jù)進(jìn)行分析，而不再主要依靠個人的經(jīng)驗(yàn)判斷，是計算機(jī)審計的又一個基本特點(diǎn)，也是計算機(jī)審計區(qū)別于傳統(tǒng)手工審計的一個主要標(biāo)志。會計信息系統(tǒng)審計打破了手工審計“部分→整體”的思維方式，強(qiáng)調(diào)以系統(tǒng)論為核心，其思維方式是:整體→部分→整體。由于數(shù)據(jù)采集轉(zhuǎn)換風(fēng)險產(chǎn)生原因的復(fù)雜性，對該風(fēng)險的識別與控制需要審計人員具有更高的專業(yè)素質(zhì)和計算機(jī)能力。三、會計信息系統(tǒng)審計的產(chǎn)生與發(fā)展1. 會計信息系統(tǒng)審計產(chǎn)生的必然性（1）在會計電算化系統(tǒng)中，傳統(tǒng)的賬簿、相關(guān)的文字記錄被磁盤和磁帶取代，會計處理集中由計算機(jī)按程序自動完成，傳統(tǒng)的審計線索大部分在這里消失，審計人員難以像在手工會計中那樣對經(jīng)濟(jì)業(yè)務(wù)進(jìn)行追蹤、審查。 8節(jié)下（2）手工會計處理逐步由計算機(jī)自動處理所代替，審查計算機(jī)會計程序是否正確，處理是否合法、合規(guī)、合理就顯得更加重要。（3）實(shí)現(xiàn)會計電算化后，必須結(jié)合計算機(jī)自動控制來實(shí)現(xiàn)內(nèi)部控制的目標(biāo)，必須直接對計算機(jī)硬件、軟件以及其他有關(guān)設(shè)備制定許多控制措施，內(nèi)部控制能否有效執(zhí)行直接受到計算機(jī)技術(shù)的影響。（4）在會計信息系統(tǒng)中，會計數(shù)據(jù)處理結(jié)果是否真實(shí)可靠，不僅僅取決于會計人員的業(yè)務(wù)水平和工作態(tài)度等因素，更取決于會計處理過程中所使用的計算機(jī)硬件系統(tǒng)和軟件系統(tǒng)是否準(zhǔn)確可靠，操作運(yùn)行及處理流程是否符合要求等，這為判斷是否存在舞弊行為增加了難度，從而產(chǎn)生了對會計信息系統(tǒng)進(jìn)行審計的需求。（5）高度集成的企業(yè)信息系統(tǒng)改變了傳統(tǒng)的管理方式與業(yè)務(wù)流程，一般的財務(wù)審計知識已無法滿足對系統(tǒng)和系統(tǒng)控制進(jìn)行了解及測試的需要。審計人員只有對企業(yè)的整個信息系統(tǒng)全面了解，才能把握審計對象的總體情況。1. 國外會計信息系統(tǒng)審計的產(chǎn)生與發(fā)展歷程（1）20世紀(jì)60年代——會計信息系統(tǒng)審計萌芽期，出現(xiàn)了電子數(shù)據(jù)處理審計（EDP 審計）。（2）20世紀(jì)70年代——會計信息系統(tǒng)審計發(fā)展期，電子數(shù)據(jù)處理、管理信息系統(tǒng)等在企業(yè)中廣泛普及，信息系統(tǒng)審計的理論與實(shí)務(wù)都得到了快速發(fā)展。（3）20 世紀(jì) 80 年代——會計信息系統(tǒng)審計的成熟期，美國、日本等發(fā)達(dá)國家先后發(fā)布信息系統(tǒng)審計標(biāo)準(zhǔn)，信息系統(tǒng)審計進(jìn)入了成熟發(fā)展期并從此走上了專業(yè)化的發(fā)展軌道。（4）20世紀(jì)90年代——會計信息系統(tǒng)審計普及期。在發(fā)達(dá)國家IT審計已得到了普及，許多重要單位逐步實(shí)現(xiàn)了網(wǎng)絡(luò)審計。2. 我國會計信息系統(tǒng)審計的產(chǎn)生與發(fā)展在2000年前，由于受制于會計電算化的普及程度，其發(fā)展非常緩慢，但隨著2002年“金審工程”的啟動，我國的會計信息系統(tǒng)審計快速地經(jīng)歷了從無到有、從簡單到復(fù)雜、從局部探索到逐步走向普及的歷程。截止到2007年5月，現(xiàn)場審計實(shí)施系統(tǒng)(AO)已在全國審計機(jī)關(guān)下發(fā)近7萬套，審計管理系統(tǒng)(OA)中央版已在審計署、18個特派辦、25個派出局得到了全面部署應(yīng)用；聯(lián)網(wǎng)審計實(shí)施系統(tǒng)建設(shè)方面，已經(jīng)完成了審計署中央預(yù)算執(zhí)行聯(lián)網(wǎng)審計系統(tǒng)建設(shè)，已經(jīng)連通了28家中央部委單位，取得了初步成效，發(fā)揮了重要作用。與此同時，審計軟件市場的發(fā)展也經(jīng)歷了從無到有、從少到多、從簡單到高級的發(fā)展過程，已先后出現(xiàn)了包括審計之星、中審審易軟件、中普審計管理平臺，現(xiàn)場審計實(shí)施系統(tǒng)（Auditor Office，簡稱AO系統(tǒng)）、通審、金劍、易通、審計直通車等一大批優(yōu)秀的通用審計軟件。四、會計信息系統(tǒng)審計的基本框架1. 會計信息系統(tǒng)審計的主體為專門的審計機(jī)構(gòu)和專業(yè)人員。2. 會計信息系統(tǒng)審計的對象除了需對紙介質(zhì)賬表文件和其他與經(jīng)濟(jì)活動有關(guān)的資料和資產(chǎn)進(jìn)行審查以外，還需對會計信息系統(tǒng)的開發(fā)過程、內(nèi)部控制、應(yīng)用軟件以及數(shù)據(jù)庫進(jìn)行重點(diǎn)審計。（1）通用審計軟件包通用審計軟件包是用于審計的工具軟件，是根據(jù)經(jīng)濟(jì)業(yè)務(wù)的共性來設(shè)計，并與大多數(shù)用戶的計算機(jī)系統(tǒng)兼容的，具有強(qiáng)大審計功能的計算機(jī)程序，往往由軟件公司進(jìn)行開發(fā)和維護(hù)。（2）測試數(shù)據(jù)法首先設(shè)計測試用例和測試數(shù)據(jù)，然后輸入測試數(shù)據(jù)讓被測試的系統(tǒng)處理，把處理得到的結(jié)果與預(yù)先結(jié)果比較，證明其正確性。 （3）程序比較與邏輯檢查包括：觸發(fā)性交易法、插入性程序、照相法、系統(tǒng)監(jiān)視法、平等模擬法、延展性記錄、系統(tǒng)分析法等。（1）繞過計算機(jī)審計(Audit around the Computer)模式繞過計算機(jī)審計又稱為“黑盒”審計或間接審計，這種審計模式把計算機(jī)視為接受數(shù)據(jù)輸入、產(chǎn)生信息輸出的“黑箱”，審計人員在審計時不審查會計信息系統(tǒng)如何處理和控制數(shù)據(jù)，也不審查計算機(jī)內(nèi)的各種數(shù)據(jù)文件，只對輸入數(shù)據(jù)和打印輸出資料及其管理辦法加以審核，并且將兩者結(jié)果加以核對，用以推斷程序中是否存在必要的控制措施及其可靠性，查明會計數(shù)據(jù)處理是否適當(dāng)。如圖41所示。審 計 原始數(shù)據(jù) 信息系統(tǒng) 輸出信息 9節(jié)上（2）穿過計算機(jī)審計(Audit through the Computer)模式穿過計算機(jī)審計又稱“白盒”審計或直接審計，這種審計模式不僅要求審查被審計單位的輸入數(shù)據(jù)與輸出信息，還要直接審查被審計單位會計信息系統(tǒng)本身，如圖42所示。審 計 原始數(shù)據(jù) 信息系統(tǒng) 輸出信息這一審計模式的顯著優(yōu)點(diǎn)是審計風(fēng)險低，但卻有如下缺點(diǎn)：①審計技術(shù)復(fù)雜；②易干擾被審計系統(tǒng)的正常工作。（3）利用計算機(jī)審計(Audit with the Computer)模式利用計算機(jī)審計又稱為計算機(jī)輔助審計，是指利用計算機(jī)技術(shù)和審計軟件對會計信息系統(tǒng)所進(jìn)行的審計，如圖43所示。審計軟件一般有兩種：一種是通用審計軟件，它是一組能夠幫助審計人員獲取、計算、分析電算化信息記錄的程序，適用于多種審計工作。另一種是專用審計軟件，它是為了某個特定的系統(tǒng)或某個審計項(xiàng)目而編寫的程序。（4）聯(lián)網(wǎng)審計(Audit on Line)模式聯(lián)網(wǎng)審計有狹義和廣義之分。狹義的聯(lián)網(wǎng)審計是指借助電子計算機(jī)的先進(jìn)數(shù)據(jù)處理及時和聯(lián)網(wǎng)技術(shù)，使審計工作與計算機(jī)網(wǎng)絡(luò)組成一個有機(jī)的整體，從而提高審計的現(xiàn)代化水平，即審計人員通過局域網(wǎng)實(shí)現(xiàn)審 計 原始數(shù)據(jù) 信息系統(tǒng) 信息系統(tǒng) 審 計 信息系統(tǒng) 輸出信息 原始數(shù)據(jù) 信息系統(tǒng) 審 計 審計軟件 圖43 利用計算機(jī)審計示意圖 小組現(xiàn)場協(xié)調(diào)審計作業(yè)，如審計軟件網(wǎng)絡(luò)的應(yīng)用。廣義的聯(lián)網(wǎng)審計是指審計人員將自己的計算機(jī)系統(tǒng)與被審計單位的計算機(jī)信息系統(tǒng)聯(lián)網(wǎng)，通過在被審計單位的信息系統(tǒng)中嵌入為執(zhí)行特定審計功能而涉及的程序段，在對被審計單位會計信息系統(tǒng)進(jìn)行測評和高效率的數(shù)據(jù)采集與分析的基礎(chǔ)上，對被審計單位財務(wù)以及計算機(jī)信息系統(tǒng)本身的真實(shí)、合法、效益，進(jìn)行適時、遠(yuǎn)程審計監(jiān)督的行為。案例：美國權(quán)益基金公司審計案例這是美國第一例上市公司電算化會計舞弊案件。在這件案