【正文】 損失風(fēng)險(xiǎn)最大的威脅。例如，在表33中，最可能發(fā)生的威脅是設(shè)備盜竊，然而這種威脅卻是最小的損失暴露風(fēng)險(xiǎn)之一。 表33 威脅分析報(bào)告另一種會(huì)計(jì)信息安全風(fēng)險(xiǎn)評(píng)估方法是定性方法。這種方法僅僅列出系統(tǒng)脆弱性和威脅，根據(jù)它們對(duì)公司總損失風(fēng)險(xiǎn)的影響大小，主觀地將其分為各個(gè)等級(jí)。即業(yè)務(wù)中斷、軟件損失、數(shù)據(jù)損失、硬件損失、設(shè)備損失、服務(wù)與人員損失二、脆弱性和威脅威脅有兩種：主動(dòng)威脅和被動(dòng)威脅。主動(dòng)威脅包括會(huì)計(jì)信息系統(tǒng)舞弊和計(jì)算機(jī)破壞行為；被動(dòng)威脅包括系統(tǒng)故障和自然災(zāi)害，例如地震、洪水、火災(zāi)以及颶風(fēng)。統(tǒng)計(jì)表明，公司由于舞弊和貪污造成的損失在很大程度上超過由于行賄、入室盜竊和入店行竊引起損失的總和。表34 國際計(jì)算機(jī)安全法律三類人——會(huì)計(jì)信息系統(tǒng)的操作者、用戶和計(jì)算機(jī)竊密者——因其接近系統(tǒng)的能力不同而有所區(qū)別。系統(tǒng)管理員經(jīng)常引入威脅，因?yàn)樗麄兘?jīng)常獲得大范圍授權(quán)以接近敏感數(shù)據(jù)和程序。另一方面，用戶的接近路徑很有限，但他們?nèi)匀蝗ふ衣窂竭M(jìn)行欺詐。計(jì)算機(jī)竊密者不會(huì)獲得任何特權(quán)，但他們常常是有能力給組織帶來巨大損失的人。（1）輸入操作●　Union Dime銀行雇用的一個(gè)出納員被發(fā)現(xiàn)從銀行賬戶中揩油撈錢。他是通過會(huì)計(jì)信息系統(tǒng)處理時(shí)輸入虛假科目來達(dá)到目的的。警察在搜捕該出納員經(jīng)常接觸的一個(gè)賽馬賭徒時(shí)，發(fā)現(xiàn)這個(gè)出納員每周下的賭金都超過了30000美元，從而暴露出這項(xiàng)犯罪。銀行的損失超過了1000000美元。●　摩根擔(dān)保銀行收到了來自尼日利亞中央銀行的舞弊通報(bào)?；鹬械?0000000美元現(xiàn)金已經(jīng)通過電子轉(zhuǎn)賬至三家不同的銀行。但當(dāng)這筆錢試圖通過電子轉(zhuǎn)賬發(fā)到加利福尼亞圣安娜一個(gè)近期開戶的只有50美元的賬戶時(shí)，這筆轉(zhuǎn)賬被拒絕了。這使摩根擔(dān)保銀行在沒有受到任何損失的情況下發(fā)現(xiàn)了舞弊。●　另一個(gè)案件中，一名女性通過篡改輸入文件，在10年間不僅每月盜竊200美元，而且給自己發(fā)放雙份工資。●　一個(gè)倉儲(chǔ)部門里的系統(tǒng)分析師用自己的私人賬戶購買了一些貨物，隨后截取輸入文件，并給自己降低價(jià)格。（2）程序變更●　一名程序員通過給計(jì)算機(jī)編程來忽略自己賬戶上的透支額。當(dāng)計(jì)算機(jī)出現(xiàn)故障不得不手工處理這些記錄的時(shí)候，他的行為才被發(fā)現(xiàn)。（3）文檔直接變更●　華爾街十大經(jīng)紀(jì)人公司之一的沃特森公司的一名雇員，通過把一部分公司收入轉(zhuǎn)到他的個(gè)人賬戶上非法盜竊了278000美元。檢察官承認(rèn)，如果被告沒有認(rèn)罪，起訴是不會(huì)有證據(jù)的。●　Wells Fargo的一名營運(yùn)官，使用銀行計(jì)算機(jī)系統(tǒng)處理分行間交易科目的結(jié)算過程時(shí)，撤消從別的支行撥來的現(xiàn)金，并用偽造貸款填補(bǔ)撤消款空白。那家銀行在3年的時(shí)間里損失了2000多萬美元。 7節(jié)下（4）惡意破壞●　某信用卡公司數(shù)據(jù)中心的負(fù)責(zé)人，出于對(duì)最高管理層的不滿，洗去了總值數(shù)百萬美元的應(yīng)收賬款的電腦資料?！瘛】死蛱m市某制造商的一名有不滿情緒的雇員，在其單獨(dú)滯留于數(shù)據(jù)儲(chǔ)存室的幾分鐘時(shí)間內(nèi)，用手中的一塊磁鐵洗去了許多數(shù)據(jù)資料，從而導(dǎo)致了公司的破產(chǎn)。三、災(zāi)難風(fēng)險(xiǎn)管理預(yù)防災(zāi)難的發(fā)生是災(zāi)難風(fēng)險(xiǎn)管理的第一步。研究顯示下列災(zāi)難發(fā)生的概率為：自然災(zāi)害 30%蓄意破壞 45% 人為錯(cuò)誤 25%這些數(shù)據(jù)表明，通過貫徹良好而全面的安全政策，能夠減免很大一部分的災(zāi)難損失。制定災(zāi)難恢復(fù)計(jì)劃的第一步是取得高級(jí)管理層的支持，并應(yīng)成立專門的計(jì)劃委員會(huì)，在計(jì)劃制定完成之后，災(zāi)難恢復(fù)計(jì)劃必須被完整存檔并且由這些人員批準(zhǔn)，對(duì)會(huì)計(jì)信息系統(tǒng)尤其如此。在《會(huì)計(jì)法》中明確規(guī)定：“……未按照規(guī)定保管會(huì)計(jì)資料，致使會(huì)計(jì)資料毀損、滅失的?！婪ㄗ肪啃淌仑?zé)任”。 第五節(jié) 會(huì)計(jì)信息系統(tǒng)中安全系統(tǒng)的構(gòu)建 有一種被廣泛接受的關(guān)于會(huì)計(jì)信息系統(tǒng)的理論指出，某些主動(dòng)威脅不可能被阻止，因?yàn)檫^度地保證系統(tǒng)的安全性會(huì)使系統(tǒng)喪失實(shí)用性，而且，如果沒有一個(gè)總體的誠實(shí)和安全謹(jǐn)慎的氣氛，安全系統(tǒng)便沒有價(jià)值。一、控制環(huán)境構(gòu)造安全系統(tǒng)的第一個(gè)也是最重要的一個(gè)活動(dòng)，是制造高漲的士氣和有利于系統(tǒng)安全的良好氛圍。二、對(duì)主動(dòng)威脅進(jìn)行控制 三、對(duì)被動(dòng)威脅進(jìn)行控制（四）Internet安全●　操作系統(tǒng)及其配置●　網(wǎng)絡(luò)服務(wù)器及其配置●　內(nèi)部網(wǎng)絡(luò)及其配置●　各種各樣的服務(wù)程序●　主要的安全步驟 【本章小結(jié)】會(huì)計(jì)信息系統(tǒng)的運(yùn)行管理包括建立健全會(huì)計(jì)信息系統(tǒng)的崗位責(zé)任制度、操作管理制度、維護(hù)管理制度和會(huì)計(jì)檔案管理制度。只有制定和嚴(yán)格執(zhí)行會(huì)計(jì)信息系統(tǒng)內(nèi)部管理制度，才能保證會(huì)計(jì)信息系統(tǒng)工作的成功。會(huì)計(jì)軟件的選擇包括六大步驟和七大標(biāo)準(zhǔn)。會(huì)計(jì)信息系統(tǒng)的評(píng)價(jià)指標(biāo)有經(jīng)濟(jì)指標(biāo)、性能指標(biāo)和應(yīng)用指標(biāo)，評(píng)價(jià)方法有結(jié)果觀察法、模擬法、對(duì)比法和專家打分法等。會(huì)計(jì)信息系統(tǒng)的安全管理主要是如何建立安全系統(tǒng)防范脆弱性和威脅以及如何進(jìn)行災(zāi)難風(fēng)險(xiǎn)管理?！締栴}思考】。？ 8節(jié)上第四章 會(huì)計(jì)信息系統(tǒng)審計(jì) 【理論知識(shí)目標(biāo)】 l 理解會(huì)計(jì)信息系統(tǒng)審計(jì)的含義、特點(diǎn)、基本框架以及產(chǎn)生的必然性。l 熟悉會(huì)計(jì)信息系統(tǒng)內(nèi)部控制的特點(diǎn)、功能及其審計(jì)評(píng)價(jià)的目標(biāo)。l 掌握會(huì)計(jì)信息系統(tǒng)數(shù)據(jù)庫的審計(jì)方法、內(nèi)容以及常用審計(jì)工具。第一節(jié) 會(huì)計(jì)信息系統(tǒng)審計(jì)概述一、會(huì)計(jì)信息系統(tǒng)審計(jì)的含義電子數(shù)據(jù)審計(jì)、電子數(shù)據(jù)處理（Electronic Data Processing，EDP）審計(jì)、電算化審計(jì)、計(jì)算機(jī)輔助審計(jì)、信息系統(tǒng)審計(jì)等。從發(fā)展趨勢(shì)來看，計(jì)算機(jī)審計(jì)稱為IT審計(jì)更為恰當(dāng)，但在我國，計(jì)算機(jī)審計(jì)還處于發(fā)展初期，對(duì)信息系統(tǒng)的審計(jì)目前基本局限于對(duì)會(huì)計(jì)信息系統(tǒng)的審計(jì)，另外，也為了便于會(huì)計(jì)專業(yè)的學(xué)生理解，因此本章把計(jì)算機(jī)審計(jì)稱為會(huì)計(jì)信息系統(tǒng)審計(jì)。二、會(huì)計(jì)信息系統(tǒng)審計(jì)的主要特點(diǎn)、增強(qiáng)和維護(hù)會(huì)計(jì)信息系統(tǒng)的可靠性、安全性和有效性傳統(tǒng)審計(jì)是以鑒證財(cái)務(wù)信息的合法性和公允性為主要目標(biāo)的。會(huì)計(jì)電算化后，會(huì)計(jì)信息系統(tǒng)審計(jì)把促進(jìn)、增強(qiáng)和維護(hù)系統(tǒng)的可靠性、安全性和有效性作為審計(jì)的主要目標(biāo)。傳統(tǒng)審計(jì)取證的切入點(diǎn)為內(nèi)部控制制度與風(fēng)險(xiǎn)因素。在信息化環(huán)境下，審計(jì)取證的切入點(diǎn)演變?yōu)闀?huì)計(jì)信息系統(tǒng)、內(nèi)部控制與底層電子數(shù)據(jù)。創(chuàng)建審計(jì)中間表是實(shí)現(xiàn)計(jì)算機(jī)審計(jì)的關(guān)鍵技術(shù)，是審計(jì)人員進(jìn)行數(shù)據(jù)分析的新型審計(jì)工具。構(gòu)建模型，用模型對(duì)審計(jì)數(shù)據(jù)進(jìn)行分析，而不再主要依靠個(gè)人的經(jīng)驗(yàn)判斷，是計(jì)算機(jī)審計(jì)的又一個(gè)基本特點(diǎn)，也是計(jì)算機(jī)審計(jì)區(qū)別于傳統(tǒng)手工審計(jì)的一個(gè)主要標(biāo)志。會(huì)計(jì)信息系統(tǒng)審計(jì)打破了手工審計(jì)“部分→整體”的思維方式，強(qiáng)調(diào)以系統(tǒng)論為核心，其思維方式是:整體→部分→整體。由于數(shù)據(jù)采集轉(zhuǎn)換風(fēng)險(xiǎn)產(chǎn)生原因的復(fù)雜性，對(duì)該風(fēng)險(xiǎn)的識(shí)別與控制需要審計(jì)人員具有更高的專業(yè)素質(zhì)和計(jì)算機(jī)能力。三、會(huì)計(jì)信息系統(tǒng)審計(jì)的產(chǎn)生與發(fā)展1. 會(huì)計(jì)信息系統(tǒng)審計(jì)產(chǎn)生的必然性（1）在會(huì)計(jì)電算化系統(tǒng)中，傳統(tǒng)的賬簿、相關(guān)的文字記錄被磁盤和磁帶取代，會(huì)計(jì)處理集中由計(jì)算機(jī)按程序自動(dòng)完成，傳統(tǒng)的審計(jì)線索大部分在這里消失，審計(jì)人員難以像在手工會(huì)計(jì)中那樣對(duì)經(jīng)濟(jì)業(yè)務(wù)進(jìn)行追蹤、審查。 8節(jié)下（2）手工會(huì)計(jì)處理逐步由計(jì)算機(jī)自動(dòng)處理所代替，審查計(jì)算機(jī)會(huì)計(jì)程序是否正確，處理是否合法、合規(guī)、合理就顯得更加重要。（3）實(shí)現(xiàn)會(huì)計(jì)電算化后，必須結(jié)合計(jì)算機(jī)自動(dòng)控制來實(shí)現(xiàn)內(nèi)部控制的目標(biāo)，必須直接對(duì)計(jì)算機(jī)硬件、軟件以及其他有關(guān)設(shè)備制定許多控制措施，內(nèi)部控制能否有效執(zhí)行直接受到計(jì)算機(jī)技術(shù)的影響。（4）在會(huì)計(jì)信息系統(tǒng)中，會(huì)計(jì)數(shù)據(jù)處理結(jié)果是否真實(shí)可靠，不僅僅取決于會(huì)計(jì)人員的業(yè)務(wù)水平和工作態(tài)度等因素，更取決于會(huì)計(jì)處理過程中所使用的計(jì)算機(jī)硬件系統(tǒng)和軟件系統(tǒng)是否準(zhǔn)確可靠，操作運(yùn)行及處理流程是否符合要求等，這為判斷是否存在舞弊行為增加了難度，從而產(chǎn)生了對(duì)會(huì)計(jì)信息系統(tǒng)進(jìn)行審計(jì)的需求。（5）高度集成的企業(yè)信息系統(tǒng)改變了傳統(tǒng)的管理方式與業(yè)務(wù)流程，一般的財(cái)務(wù)審計(jì)知識(shí)已無法滿足對(duì)系統(tǒng)和系統(tǒng)控制進(jìn)行了解及測(cè)試的需要。審計(jì)人員只有對(duì)企業(yè)的整個(gè)信息系統(tǒng)全面了解，才能把握審計(jì)對(duì)象的總體情況。1. 國外會(huì)計(jì)信息系統(tǒng)審計(jì)的產(chǎn)生與發(fā)展歷程（1）20世紀(jì)60年代——會(huì)計(jì)信息系統(tǒng)審計(jì)萌芽期，出現(xiàn)了電子數(shù)據(jù)處理審計(jì)（EDP 審計(jì)）。（2）20世紀(jì)70年代——會(huì)計(jì)信息系統(tǒng)審計(jì)發(fā)展期，電子數(shù)據(jù)處理、管理信息系統(tǒng)等在企業(yè)中廣泛普及，信息系統(tǒng)審計(jì)的理論與實(shí)務(wù)都得到了快速發(fā)展。（3）20 世紀(jì) 80 年代——會(huì)計(jì)信息系統(tǒng)審計(jì)的成熟期，美國、日本等發(fā)達(dá)國家先后發(fā)布信息系統(tǒng)審計(jì)標(biāo)準(zhǔn)，信息系統(tǒng)審計(jì)進(jìn)入了成熟發(fā)展期并從此走上了專業(yè)化的發(fā)展軌道。（4）20世紀(jì)90年代——會(huì)計(jì)信息系統(tǒng)審計(jì)普及期。在發(fā)達(dá)國家IT審計(jì)已得到了普及，許多重要單位逐步實(shí)現(xiàn)了網(wǎng)絡(luò)審計(jì)。2. 我國會(huì)計(jì)信息系統(tǒng)審計(jì)的產(chǎn)生與發(fā)展在2000年前，由于受制于會(huì)計(jì)電算化的普及程度，其發(fā)展非常緩慢，但隨著2002年“金審工程”的啟動(dòng)，我國的會(huì)計(jì)信息系統(tǒng)審計(jì)快速地經(jīng)歷了從無到有、從簡單到復(fù)雜、從局部探索到逐步走向普及的歷程。截止到2007年5月，現(xiàn)場(chǎng)審計(jì)實(shí)施系統(tǒng)(AO)已在全國審計(jì)機(jī)關(guān)下發(fā)近7萬套，審計(jì)管理系統(tǒng)(OA)中央版已在審計(jì)署、18個(gè)特派辦、25個(gè)派出局得到了全面部署應(yīng)用；聯(lián)網(wǎng)審計(jì)實(shí)施系統(tǒng)建設(shè)方面，已經(jīng)完成了審計(jì)署中央預(yù)算執(zhí)行聯(lián)網(wǎng)審計(jì)系統(tǒng)建設(shè)，已經(jīng)連通了28家中央部委單位，取得了初步成效，發(fā)揮了重要作用。與此同時(shí)，審計(jì)軟件市場(chǎng)的發(fā)展也經(jīng)歷了從無到有、從少到多、從簡單到高級(jí)的發(fā)展過程，已先后出現(xiàn)了包括審計(jì)之星、中審審易軟件、中普審計(jì)管理平臺(tái)，現(xiàn)場(chǎng)審計(jì)實(shí)施系統(tǒng)（Auditor Office，簡稱AO系統(tǒng)）、通審、金劍、易通、審計(jì)直通車等一大批優(yōu)秀的通用審計(jì)軟件。四、會(huì)計(jì)信息系統(tǒng)審計(jì)的基本框架1. 會(huì)計(jì)信息系統(tǒng)審計(jì)的主體為專門的審計(jì)機(jī)構(gòu)和專業(yè)人員。2. 會(huì)計(jì)信息系統(tǒng)審計(jì)的對(duì)象除了需對(duì)紙介質(zhì)賬表文件和其他與經(jīng)濟(jì)活動(dòng)有關(guān)的資料和資產(chǎn)進(jìn)行審查以外，還需對(duì)會(huì)計(jì)信息系統(tǒng)的開發(fā)過程、內(nèi)部控制、應(yīng)用軟件以及數(shù)據(jù)庫進(jìn)行重點(diǎn)審計(jì)。（1）通用審計(jì)軟件包通用審計(jì)軟件包是用于審計(jì)的工具軟件，是根據(jù)經(jīng)濟(jì)業(yè)務(wù)的共性來設(shè)計(jì)，并與大多數(shù)用戶的計(jì)算機(jī)系統(tǒng)兼容的，具有強(qiáng)大審計(jì)功能的計(jì)算機(jī)程序，往往由軟件公司進(jìn)行開發(fā)和維護(hù)。（2）測(cè)試數(shù)據(jù)法首先設(shè)計(jì)測(cè)試用例和測(cè)試數(shù)據(jù)，然后輸入測(cè)試數(shù)據(jù)讓被測(cè)試的系統(tǒng)處理，把處理得到的結(jié)果與預(yù)先結(jié)果比較，證明其正確性。 （3）程序比較與邏輯檢查包括：觸發(fā)性交易法、插入性程序、照相法、系統(tǒng)監(jiān)視法、平等模擬法、延展性記錄、系統(tǒng)分析法等。（1）繞過計(jì)算機(jī)審計(jì)(Audit around the Computer)模式繞過計(jì)算機(jī)審計(jì)又稱為“黑盒”審計(jì)或間接審計(jì)，這種審計(jì)模式把計(jì)算機(jī)視為接受數(shù)據(jù)輸入、產(chǎn)生信息輸出的“黑箱”，審計(jì)人員在審計(jì)時(shí)不審查會(huì)計(jì)信息系統(tǒng)如何處理和控制數(shù)據(jù)，也不審查計(jì)算機(jī)內(nèi)的各種數(shù)據(jù)文件，只對(duì)輸入數(shù)據(jù)和打印輸出資料及其管理辦法加以審核，并且將兩者結(jié)果加以核對(duì)，用以推斷程序中是否存在必要的控制措施及其可靠性，查明會(huì)計(jì)數(shù)據(jù)處理是否適當(dāng)。如圖41所示。審 計(jì) 原始數(shù)據(jù) 信息系統(tǒng) 輸出信息 9節(jié)上（2）穿過計(jì)算機(jī)審計(jì)(Audit through the Computer)模式穿過計(jì)算機(jī)審計(jì)又稱“白盒”審計(jì)或直接審計(jì)，這種審計(jì)模式不僅要求審查被審計(jì)單位的輸入數(shù)據(jù)與輸出信息，還要直接審查被審計(jì)單位會(huì)計(jì)信息系統(tǒng)本身，如圖42所示。審 計(jì) 原始數(shù)據(jù) 信息系統(tǒng) 輸出信息這一審計(jì)模式的顯著優(yōu)點(diǎn)是審計(jì)風(fēng)險(xiǎn)低，但卻有如下缺點(diǎn)：①審計(jì)技術(shù)復(fù)雜；②易干擾被審計(jì)系統(tǒng)的正常工作。（3）利用計(jì)算機(jī)審計(jì)(Audit with the Computer)模式利用計(jì)算機(jī)審計(jì)又稱為計(jì)算機(jī)輔助審計(jì)，是指利用計(jì)算機(jī)技術(shù)和審計(jì)軟件對(duì)會(huì)計(jì)信息系統(tǒng)所進(jìn)行的審計(jì)，如圖43所示。審計(jì)軟件一般有兩種：一種是通用審計(jì)軟件，它是一組能夠幫助審計(jì)人員獲取、計(jì)算、分析電算化信息記錄的程序，適用于多種審計(jì)工作。另一種是專用審計(jì)軟件，它是為了某個(gè)特定的系統(tǒng)或某個(gè)審計(jì)項(xiàng)目而編寫的程序。（4）聯(lián)網(wǎng)審計(jì)(Audit on Line)模式聯(lián)網(wǎng)審計(jì)有狹義和廣義之分。狹義的聯(lián)網(wǎng)審計(jì)是指借助電子計(jì)算機(jī)的先進(jìn)數(shù)據(jù)處理及時(shí)和聯(lián)網(wǎng)技術(shù)，使審計(jì)工作與計(jì)算機(jī)網(wǎng)絡(luò)組成一個(gè)有機(jī)的整體，從而提高審計(jì)的現(xiàn)代化水平，即審計(jì)人員通過局域網(wǎng)實(shí)現(xiàn)審 計(jì) 原始數(shù)據(jù) 信息系統(tǒng) 信息系統(tǒng) 審 計(jì) 信息系統(tǒng) 輸出信息 原始數(shù)據(jù) 信息系統(tǒng) 審 計(jì) 審計(jì)軟件 圖43 利用計(jì)算機(jī)審計(jì)示意圖 小組現(xiàn)場(chǎng)協(xié)調(diào)審計(jì)作業(yè)，如審計(jì)軟件網(wǎng)絡(luò)的應(yīng)用。廣義的聯(lián)網(wǎng)審計(jì)是指審計(jì)人員將自己的計(jì)算機(jī)系統(tǒng)與被審計(jì)單位的計(jì)算機(jī)信息系統(tǒng)聯(lián)網(wǎng)，通過在被審計(jì)單位的信息系統(tǒng)中嵌入為執(zhí)行特定審計(jì)功能而涉及的程序段，在對(duì)被審計(jì)單位會(huì)計(jì)信息系統(tǒng)進(jìn)行測(cè)評(píng)和高效率的數(shù)據(jù)采集與分析的基礎(chǔ)上，對(duì)被審計(jì)單位財(cái)務(wù)以及計(jì)算機(jī)信息系統(tǒng)本身的真實(shí)、合法、效益，進(jìn)行適時(shí)、遠(yuǎn)程審計(jì)監(jiān)督的行為。案例：美國權(quán)益基金公司審計(jì)案例這是美國第一例上市公司電算化會(huì)計(jì)舞弊案件。在這件案