當(dāng)前位置：東奧會(huì)計(jì)在線 > CMA美國(guó)注冊(cè)管理會(huì)計(jì)師 > 財(cái)務(wù)規(guī)劃績(jī)效與分析 > 正文

通用信息系統(tǒng)控制—2025年cma考試p1基礎(chǔ)知識(shí)點(diǎn)

來(lái)源：東奧會(huì)計(jì)在線責(zé)編：zhangfan2025-05-28 10:01:28

最慢的步伐不是跬步，而是徘徊，最快的腳步不是沖刺，而是堅(jiān)持。cma是美國(guó)注冊(cè)管理會(huì)計(jì)師，其考試科目包含P1財(cái)務(wù)規(guī)劃、績(jī)效與分析，P2戰(zhàn)略財(cái)務(wù)管理。下面整理了P1《財(cái)務(wù)規(guī)劃、績(jī)效與分析》科目知識(shí)點(diǎn)，一起學(xué)習(xí)一下。

【所屬章節(jié)】

第五章內(nèi)部控制

【知識(shí)點(diǎn)】

通用信息系統(tǒng)控制

一、組織和人員控制

1. 職責(zé)分離

負(fù)責(zé)信息技術(shù)（以下簡(jiǎn)稱IT）職責(zé)的部門需要和企業(yè)其他部門分離，單獨(dú)設(shè)立，不能劃歸到其他任何職能部門中，CIO需直接向CEO匯報(bào)工作。

在IT部門內(nèi)部，具體的職位也需要進(jìn)行職責(zé)分離，如授權(quán)、開發(fā)、操作和技術(shù)支持、監(jiān)督等職能需要職責(zé)分離，同時(shí)在運(yùn)營(yíng)過程中任何對(duì)數(shù)據(jù)文件的調(diào)整均要獲得授權(quán)才可進(jìn)行。

職能	人員
系統(tǒng)開發(fā)	開發(fā)項(xiàng)目分析師：確定應(yīng)開發(fā)的軟件應(yīng)用程序開發(fā)員：根據(jù)設(shè)計(jì)，對(duì)具體程序開發(fā)、編碼
系統(tǒng)運(yùn)行、維護(hù)	計(jì)算機(jī)操作員：負(fù)責(zé)程序的有效運(yùn)行，進(jìn)行數(shù)據(jù)輸入、處理、輸出管理，對(duì)整體系統(tǒng)進(jìn)行監(jiān)督和維護(hù)
系統(tǒng)技術(shù)支持	數(shù)據(jù)庫(kù)管理員：負(fù)責(zé)企業(yè)所有數(shù)據(jù)的儲(chǔ)存網(wǎng)絡(luò)管理員：負(fù)責(zé)數(shù)據(jù)在硬件、軟件上的安全傳輸和使用安全管理員：負(fù)責(zé)分配和控制訪問權(quán)限系統(tǒng)程序員：把控操作和存儲(chǔ)系統(tǒng)的使用、分類

【小貼士】

IT部門僅負(fù)責(zé)數(shù)據(jù)的處理、儲(chǔ)存和傳遞，用戶擁有信息和數(shù)據(jù)所有權(quán)。

2. 強(qiáng)制休假

·通過強(qiáng)制人員休假，可識(shí)別數(shù)據(jù)管理中的欺詐風(fēng)險(xiǎn)。

3. 電腦訪問限制

·只有授權(quán)人員才能使用系統(tǒng)。

·管理員可以追蹤每個(gè)使用者的登錄時(shí)間、登錄地點(diǎn)、查看信息、使用時(shí)間等，以發(fā)現(xiàn)異常狀況。

二、系統(tǒng)開發(fā)階段控制

系統(tǒng)開發(fā)前首先要針對(duì)系統(tǒng)開發(fā)的所有階段（需求分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)運(yùn)行、系統(tǒng)維護(hù)）制定開發(fā)標(biāo)準(zhǔn)。整個(gè)開發(fā)過程均須嚴(yán)格控制，保證信息的可靠性、數(shù)據(jù)的完整性。

系統(tǒng)開發(fā)階段

需求分析

目的：

·理解整個(gè)系統(tǒng)。

·確定設(shè)計(jì)細(xì)節(jié)要求。

內(nèi)容：

·本階段要組建項(xiàng)目小組，成員應(yīng)包括信息系統(tǒng)和新系統(tǒng)的管理人員和最終用戶。

·項(xiàng)目小組在理解現(xiàn)有系統(tǒng)的基礎(chǔ)上，找到需要解決的問題，滿足使用的要求。

系統(tǒng)設(shè)計(jì)

目的：

·理解當(dāng)前系統(tǒng)功能，確認(rèn)新系統(tǒng)開發(fā)需求，即應(yīng)具備的功能。

內(nèi)容：

·系統(tǒng)設(shè)計(jì)包括概念設(shè)計(jì)和物理設(shè)計(jì)。

·企業(yè)各部門人員均可參與系統(tǒng)設(shè)計(jì)環(huán)節(jié)，明確所需系統(tǒng)的規(guī)格要求，開發(fā)前詳細(xì)記錄歸檔。

·這一步驟又可進(jìn)一步分為模型設(shè)計(jì)、編程和質(zhì)量測(cè)試。

系統(tǒng)運(yùn)行

當(dāng)新的系統(tǒng)經(jīng)過測(cè)試認(rèn)可，并被授權(quán)使用后，編程人員將系統(tǒng)文檔轉(zhuǎn)給系統(tǒng)管理員，由系統(tǒng)管理員將數(shù)據(jù)從原有系統(tǒng)導(dǎo)入新系統(tǒng)。

系統(tǒng)維護(hù)

系統(tǒng)維護(hù)人員需要隨時(shí)監(jiān)控系統(tǒng)，確保整個(gè)系統(tǒng)按照既定目標(biāo)運(yùn)轉(zhuǎn)。系統(tǒng)的定期升級(jí)和維護(hù)需要在非系統(tǒng)使用高峰期完成。

三、網(wǎng)絡(luò)、硬件和設(shè)施控制

信息系統(tǒng)的保護(hù)不僅局限于信息本身，還包括對(duì)儲(chǔ)存和運(yùn)行數(shù)據(jù)信息的網(wǎng)絡(luò)、硬件、周圍設(shè)施的保護(hù)和控制。

1. 設(shè)施和硬件控制措施

①存放信息的地點(diǎn)要求

·信息中心需要安置于遠(yuǎn)離公眾的場(chǎng)所；

·信息中心需要防范非授權(quán)人員進(jìn)入，如設(shè)置安全密碼或生物類辨識(shí)系統(tǒng)；

·信息中心要注意周圍環(huán)境的安全保證，防止火災(zāi)、水災(zāi)以及人為破壞的可能性；

·信息中心還需關(guān)注空調(diào)設(shè)備、室內(nèi)濕度和能源供應(yīng)。

②信息保護(hù)要求

·需要對(duì)高峰使用和備用能源提前做出安排；

·針對(duì)信息中心需要的硬件，提前準(zhǔn)備備用元件，一旦出現(xiàn)硬件問題可以及時(shí)替換。

③使用者方面

·使用者必須使用復(fù)雜程度高的安全密碼，并定期更換；

·使用者要確保自身設(shè)備中信息的安全性，這一點(diǎn)在移動(dòng)辦公時(shí)代尤為重要。

2. 網(wǎng)路控制措施

數(shù)據(jù)傳輸：

是指依照適當(dāng)規(guī)程，經(jīng)過一條或多條線路，將信息從一處傳輸?shù)搅硪惶幍牟僮鬟^程。

存在威脅：

·現(xiàn)代互聯(lián)網(wǎng)的信息傳輸風(fēng)險(xiǎn)大于僅使用電腦傳遞的風(fēng)險(xiǎn)。

·互聯(lián)網(wǎng)時(shí)代企業(yè)可能受到黑客攻擊，信息被盜取的威脅增大，其他的惡意軟件如病毒、蠕蟲、木馬、垃圾郵件等也給企業(yè)帶來(lái)信息安全威脅，當(dāng)前日益流行的云計(jì)算技術(shù)更是增加了信息保障的難度。

控制思路：

·網(wǎng)絡(luò)控制要確保只有授權(quán)的員工可使用企業(yè)信息和程序，避免信息被黑客入侵或篡改。

常用措施：

·建立內(nèi)部網(wǎng)絡(luò)；

·加強(qiáng)數(shù)據(jù)和傳輸安全保護(hù)；

·防止病毒入侵和采用防火墻保護(hù)。

（1）建立內(nèi)部網(wǎng)絡(luò)

小型企業(yè)可以選取有線或無(wú)線的局域網(wǎng)（LAN）來(lái)共享企業(yè)內(nèi)部數(shù)據(jù)、應(yīng)用軟件和其他網(wǎng)絡(luò)資源。

大型企業(yè)則可以應(yīng)用廣域網(wǎng)（WAN），也就是更大范圍的私人網(wǎng)絡(luò)連接，以及虛擬私人網(wǎng)絡(luò)（VPNs）。

這些局域網(wǎng)和廣域網(wǎng)的安全性高于傳統(tǒng)互聯(lián)網(wǎng)，相對(duì)而言被外界截取信息的風(fēng)險(xiǎn)會(huì)降低。

（2）數(shù)據(jù)傳輸安全保護(hù)

可用保護(hù)措施：

①數(shù)據(jù)加密。

·數(shù)據(jù)加密是將數(shù)據(jù)從易讀的本地語(yǔ)言轉(zhuǎn)換為只能由擁有正確解密密鑰的人員才能讀取的代碼。

·目的是防止信息被不應(yīng)獲得的人得到。

②路由驗(yàn)證。

·路由驗(yàn)證中輸出信息內(nèi)包括一個(gè)地址編碼，可與接收系統(tǒng)的編碼對(duì)照，用于確保傳輸數(shù)據(jù)被送達(dá)正確地址。

·雙重傳輸和返回檢查技術(shù)也可用于輔助路由驗(yàn)證。

③確認(rèn)應(yīng)答。

·確認(rèn)應(yīng)答是指在數(shù)據(jù)傳輸中發(fā)送一個(gè)驗(yàn)證信息，幫助接收端確認(rèn)所有信息均已傳遞完成。

·一旦發(fā)現(xiàn)傳輸錯(cuò)誤，可重新傳遞數(shù)據(jù)，保證數(shù)據(jù)的完整性和準(zhǔn)確性。

（3）病毒防護(hù)和防火墻

病毒和黑客是網(wǎng)絡(luò)信息安全防護(hù)的重要威脅。

基本防護(hù)措施：

·防病毒軟件定期掃描；

·不允許安裝未經(jīng)IT部門批準(zhǔn)的軟件；

·現(xiàn)有軟件的安裝和更新須通過IT部門完成；

·使用防火墻防止企業(yè)外部未授權(quán)人員接觸本企業(yè)信息；

·內(nèi)部系統(tǒng)的防火墻阻止未授權(quán)人員接觸如薪酬等敏感信息。

防火墻中可包括以下加強(qiáng)防控措施：

·安裝多重防火墻以增強(qiáng)安全性；

·用戶輸入錯(cuò)誤密碼一定次數(shù)后自動(dòng)切斷連接或向中樞送達(dá)警示消息；

·安裝系統(tǒng)更改控制軟件，顯示對(duì)文檔更改的記錄，留下審計(jì)證據(jù)；

·安裝網(wǎng)絡(luò)控制日志，記錄電腦中所有信息的傳遞，以發(fā)現(xiàn)信息錯(cuò)誤源頭或未授權(quán)登錄的地點(diǎn)，也可以記錄內(nèi)部對(duì)信息的不合理使用的狀況；

·安裝系統(tǒng)入侵檢測(cè)系統(tǒng)，獲知非法訪問情況，并將此類事件集中記錄在安全事項(xiàng)日志內(nèi)，提醒管理人員系統(tǒng)受外界攻擊的情況。

四、業(yè)務(wù)持續(xù)方案

可業(yè)務(wù)持續(xù)方案是一種識(shí)別企業(yè)所面臨的內(nèi)部和外部威脅的政策，它將企業(yè)的關(guān)鍵資源和資產(chǎn)集中在一起，對(duì)其加以保護(hù)并確保在發(fā)生重大不利事件或?yàn)?zāi)害時(shí)，企業(yè)能維持經(jīng)營(yíng)并有效恢復(fù)。

保護(hù)信息存儲(chǔ)的兩個(gè)重要措施為：

保護(hù)信息存儲(chǔ)

1. 數(shù)據(jù)備份

定義：

數(shù)據(jù)備份是指為防止企業(yè)在出現(xiàn)病毒入侵、自然災(zāi)害、硬件損壞、軟件故障以及數(shù)據(jù)被盜取、刪除時(shí)丟失數(shù)據(jù)，而將數(shù)據(jù)存儲(chǔ)到其他介質(zhì)的過程。

備份思路：

·備份的數(shù)據(jù)應(yīng)被放置于離線的數(shù)據(jù)媒介上，最好和基本信息中心分離放置，以防在企業(yè)出現(xiàn)自然災(zāi)害時(shí)同時(shí)損毀；

·企業(yè)應(yīng)在業(yè)務(wù)處理的低峰期進(jìn)行備份；

·備份數(shù)據(jù)可定期通過電子傳輸?shù)姆绞奖４妫?/p>

·企業(yè)的內(nèi)部控制應(yīng)該包括備用系統(tǒng)的參數(shù)指標(biāo)。

備份方式：

①祖父-父親-兒子（GFS）。

·對(duì)最近3代（比如最近3天）的數(shù)據(jù)始終保留備份，一旦數(shù)據(jù)丟失或被更改，可以從最近的備份文件中恢復(fù)。

②定時(shí)備份。

·系統(tǒng)檢查程序，全天定時(shí)備份，一旦系統(tǒng)故障信息丟失，可以及時(shí)從最近的檢查點(diǎn)恢復(fù)最近數(shù)據(jù)。

2. 災(zāi)難恢復(fù)系統(tǒng)

災(zāi)難恢復(fù)系統(tǒng)是在企業(yè)出現(xiàn)如自然災(zāi)害或其他影響經(jīng)營(yíng)的緊急事件中，恢復(fù)正常運(yùn)營(yíng)的應(yīng)急措施安排計(jì)劃。

災(zāi)難恢復(fù)系統(tǒng)應(yīng)包括的內(nèi)容：

·建立災(zāi)難恢復(fù)過程的優(yōu)先級(jí)；

·識(shí)別軟件和硬件需要的關(guān)鍵過程；

·識(shí)別災(zāi)難恢復(fù)過程的所有數(shù)據(jù)文件和程序文件；

·儲(chǔ)存文件的異地設(shè)備；

·確定每種活動(dòng)的負(fù)責(zé)人，以及活動(dòng)的先后順序；

·設(shè)置和檢查備份設(shè)施的安排；

·測(cè)試和審查恢復(fù)計(jì)劃。

企業(yè)需要定期對(duì)災(zāi)難恢復(fù)系統(tǒng)進(jìn)行測(cè)試、記錄、檢查和更新。所有相關(guān)工作人員也需要接受有關(guān)系統(tǒng)使用的全面培訓(xùn)。

【小貼士】

通常災(zāi)難過后最早恢復(fù)的應(yīng)為操作系統(tǒng)，以幫助企業(yè)盡早恢復(fù)運(yùn)營(yíng)。

恢復(fù)系統(tǒng)可以設(shè)計(jì)為熱站、暖站和冷站的形式。

五、會(huì)計(jì)系統(tǒng)控制

會(huì)計(jì)系統(tǒng)中可以實(shí)施的控制手段包括：

①批次合計(jì)。

·在信息輸入時(shí)報(bào)送本批記錄的數(shù)字合計(jì)或金額合計(jì)，便于核查數(shù)字是否準(zhǔn)確的控制。

②賬戶控制。

·輸入時(shí)要確保被授權(quán)人員操作特定賬戶的控制。

·例如，采購(gòu)部門人員不可查閱人力資源部門的信息。

③注銷控制。

·在每次支付完成后對(duì)發(fā)票和相關(guān)文件予以注銷或標(biāo)注，防止泄露或再次處理的控制。

④反饋控制。

·提供有關(guān)系統(tǒng)性能方面的信息，幫助企業(yè)快速調(diào)整的控制。

·反饋信息可以書面或口頭提供，也可以由系統(tǒng)自動(dòng)生成的反饋報(bào)告。

⑤前饋控制。

·基于當(dāng)期企業(yè)行動(dòng)或狀態(tài)預(yù)計(jì)未來(lái)可能結(jié)果的控制手段。

·預(yù)見會(huì)出現(xiàn)問題時(shí)，企業(yè)提前采取措施防止問題出現(xiàn)，使預(yù)算差異的嚴(yán)重程度最小化。

注：以上內(nèi)容來(lái)自東奧Jenny Liu老師基礎(chǔ)班講義

以上就是整理好的cma考試知識(shí)點(diǎn)，東奧會(huì)計(jì)在線整理發(fā)布，僅供學(xué)習(xí)使用，禁止任何形式的轉(zhuǎn)載。想要隨時(shí)了解更多關(guān)于cma考試等相關(guān)信息，請(qǐng)關(guān)注東奧會(huì)計(jì)在線CMA頻道！

（本文為東奧會(huì)計(jì)在線原創(chuàng)文章，僅供考生學(xué)習(xí)使用，禁止任何形式的轉(zhuǎn)載）

贊
+1 打印