四、COBIT框架会计信息系统获得与维护技术设施控制点的设置
会计信息系统获得和实施控制包含了获得和维护技术设施、开发和维护技术系统等。COBIT在进行控制的过程中,强调“获得和维护技术设施”过程必须为满足业务需求的业务应用软件系统提供合适的运行平台。COBIT在对“获得和维护技术设施”过程的控制中,重点要考虑的因素有:硬件设施的标准和未来的应用方向是否符合实际需要;硬件的评估;安装、维护和变更的控制;升级、切换和移植的计划管理;内部和外部技术设施和资源的使用;确认与硬件供应商的关系以及它们的相应责任;变更管理;硬件设施拥有总成本;系统软件的安全性。COBIT所提出各个方面的考虑覆盖了硬件设施从采购、安装调试到日常维护的整个过程。目前,国内的企业在硬件的采购和安装调试方面往往控制得比较好,但在系统应用过程中,维护和系统变更等方面没有规范可控的程序与其相适应,主要控制程序包括:
(1)计算机中心控制。计算中心控制主要是对系统的物理环境及设备可靠性的控制,目标是确保系统设备能实时地、连续地运转。常见措施有:一是系统资源使用的限制。系统资源包括程序库、数据库、全部硬件设备以及所有相关文字和打印记录。这些资源只能由规定人员使用。为达到这些目的可以将各种资源分派给专人保管,并做好使用记录报告,系统主管要经常检查使用报告。二是工作环境保护。对系统的自然环境进行控制,包括机房温度、湿度以及防火、防磁、防尘控制;作业环境控制,包括机房的工作人员的定员控制和机房出入控制;备用设备(备用电源、水源)控制。
(2)操作系统安全性控制。操作系统安全包含政策、程序及控制等,这些规定、程序和控制决定能够随意访问操作系统的人员,且可以访问诸多资源(文件、程序、打印机),以及进行各种操作。主要的控制措施有:登陆程序、访问标识、访问控制列表以及自主访问控制。其一,访问权限控制。用户访问的权限分配给可以使用系统的个人及整个工作组,权限规定了个人或小组可以访问哪些目录、文件、应用程序及其他资源,以及执行哪些操作,系统管理员或资源所有者可以分配权限,管理层要确保个人所享有的权限与其承担的职责不冲突。其二,口令控制。口令是由用户输入密码,从而得以访问系统、应用程序、数据文件或网络服务器等。口令控制方法主要有可重用口令和一次性口令。可重用口令指口令一经用户设定,就可在今后访问系统时重复使用,可重用口令提供的安全质量取决于口令自身的质量,一次性口令则指用户的口令不停地被更换。其三,抵御病毒及其他破坏性程序的控制。病毒之类的破坏性程序导致损失是巨大的,这些损失是依据数据错误或毁损、计算机性能降低、硬件损害、侵犯隐私及修复损害所耗费的人员时间表衡量,技术控制和管理程序相结合可以大大减少破坏性程序的威胁。其四,控制审计轨迹。审计轨迹的设计是用来登记系统、应用程序及用户层活动的记录,审计轨迹在恰当实施的情况下可以提供重要的检查控制。典型的审计轨迹由两类审计日志构成:每次键盘敲击的详细日志,包括记录用户的键盘敲击和系统地反应;由事件引发的日志,主要登记访问系统的所有用户的ID,访问和持续的时间,访问中执行的程序,以及访问过的文件、数据库、打印机和其他资源。其五,容错控制。容错是系统某个部分在出现硬件故障、应用程序错误或操作员错误而导致部分系统故障时,继续运行的能力。主要包括使用不间断电源与进行多重处理。其六,管理控制。主要有制定磁盘拷贝权限和制定保护制度等,防止未经检测的磁盘接入系统。新经济、新技术使企业的运行环境发生了根本性的变化,它给企业带来风险的同时也带来了控制风险的机会与工具。加强IT环境下的会计信息系统内部控制工作不是短期行为,它随着企业经营管理环境的变化而变化,并不断趋于完善。内部控制是动态的,是一个发现问题、解决问题、发现新问题、解决新问题的循环往复的过程,它需要会计理论界不断深入研究,需要企业界强化认识予以重视,在传统的控制观念基础上,充分利用和完善COBIT内部控制的基本框架,建立与时代相适应的内部控制制度,以满足企业管理的需要并为企业带来更大的价值。
在COBIT内部控制的基本框架等有关理论、方针政策指引和各方人员的共同努力下,IT环境下会计信息系统的内部控制也会得到不断丰富和逐步趋于完善。
