电脑系统风险的特征-系统风险具有什么特征

2024-08-28 12:28:51

1.系统性风险和非系统性风险包括哪些

2.操作风险的主要特点有

3.与计算机信息系统有关的特别风险

4.操作风险管理的特征

系统性风险和非系统性风险包括哪些

电脑系统风险的特征-系统风险具有什么特征

非系统性风险包括财务风险、经营风险、信用风险、偶然风险等。系统性风险包括政策风险、经济周期性波动风险、利率风险、购买力风险、汇率风险等。系统性风险包括政策风险、经济周期性波动风险、利率风险、购买力风险、汇率风险。其中政策和宏观的变化交互影响市场的流动性。系统性风险的诱因多发生在企业等经济实体外部，企业等经济实体作为市场参与者，能够发挥一定作用，但由于受多种因素的影响，本身又无法完全控制它，其带来的波动面一般都比较大，有时也表现出一定的周期性。

1、系统性风险即市场风险，即指由整体政治、经济、社会等环境因素对证券价格所造成的影响。系统性风险包括政策风险、经济周期性波动风险、利率风险、购买力风险、汇率风险等。对系统性风险的识别就是对一个国家一定时期内宏观的经济状况作出判断。就是指对整个股票市场或绝大多数股票普遍产生不利影响。一般包括经济等方面的关系全局的因素。如世界经济或某国经济发生严重危机、持续高涨的通货膨胀、特大自然灾害等。整体风险造成的后果带有普遍性，其主要特征是所有股票均下跌，不可能通过购买其他股票保值。在这种情况下，投资者都要遭受很大的损失，其中许多人都要竭力抛出手中的股票。

2、系统性风险特征，它是由共同因素引起的。经济方面的如利率、现行汇率、通货膨胀、宏观经济政策与货币政策、能源危机、人口趋势、经济周期循环等。政治方面的如更迭、战争冲突等。它对市场上所有的股票持有者都有影响，只不过有些股票比另一些股票的敏感程度高一些而已。如基础性行业、原材料行业等，其股票的系统风险就可能更高。它无法通过分散投资来加以消除。由于系统风险是个别企业或行业所不能控制的，是社会、经济政治大系统内的一些因素所造成的，它影响着绝大多数企业的运营，所以股民无论如何选择投资组合都无济于事。

操作风险的主要特点有

操作风险的主要特点有：风险来源以内生为主。操作风险包括的范围广泛，具有普遍性。风险与收益的不对称性。操作风险损失数据呈现厚尾特征。

操作风险是指由于信息系统或内部控制缺陷导致意外损失的风险。引起操作风险的原因包括:人为错误、电脑系统故障、工作程序和内部控制不当，等等。

操作风险受到国际银行业界的高度重视。

这主要是因为，银行机构越来越庞大，它们的产品越来越多样化和复杂化，银行业务对以计算机为代表的IT技术的高度依赖，还有金融业和金融市场的全球化的趋势，使得一些“操作”上的失误，可能带来很大的甚至是极其严重的后果。过去一二十年里，这方面已经有许多惨痛的教训。

与计算机信息系统有关的特别风险

国际信息系统审计准则

国际会计师联合会（IFAC）下设的国际审计实务委员会（IAPC）对计算机信息系统环境下的审计的研究较早，先后发布了一系列的相关准则。到目前为止颁布了六个有关计算机信息系统环境下审计内容的国际审计准则。它们分别就单机、联机和数据库系统下的电子数据处理环境对会计制度和有关内部控制的研究和评价产生的影响作出补充规定。现将这几个准则规范的内容作一汇总介绍。

第一，《信息系统环境下的审计》。该准则明确了在计算机信息系统环境下审计的目的与范围，技术与能力的要求，审计的考虑，内部控制研究、评价及风险评估的影响，制定与实施审计程序应关注的方面等。该准则只是为在计算机信息系统环境下的审计制定一般原则和指导，其他五个准则或实务公告均为该准则的补充或扩展。

当在一个计算机信息系统环境下进行审计时，审计人员应当对约定中的计算机硬件、软件和处理系统有充分的了解，并且要了解计算机信息系统对内部控制的研究与评价以及对审计程序有怎样的影响，包括计算机审计技术。审计人员还应当对执行审计程序的计算机信息系统处理有足够的知识，这将视所用的具体的审计方法而定。

第二，《风险评估和内部控制--计算机信息系统环境特征和考虑因素》。该实务公告为第一项准则的补充，该公告明确了计算机信息系统环境的特征，计算机信息系统环境下内部控制的内容及评价方法。

审计人员应当收集与审计有关的计算机信息系统环境的资料，包括计算机信息系统的功能情况以及计算机处理的集中或分布程度、使用的计算机硬件和软件、数据重置情况等。

审计人员在编制全面时，应当考虑下列事项：在对内部控制的全面评价中确定对计算机信息系统控制的可信赖程度；制定关于怎样、何处与何时检查计算机信息系统功能的；制定关于利用计算机审计技术进行的审计程序。

第三，《计算机信息系统环境--独立微型计算机》。该实务公告为第一项准则的补充，该公告明确了微型计算机系统及其特征、在微型计算机环境下的内部控制、微型计算机环境对审计程序的影响等。

准则指出微机对会计制度的影响和有关的风险一般将由下列情况而定：微机使用于会计应用处理的范围；被处理的财务业务的类型和重要性；应用中运用的文件和程序性质。微机环境下的内部控制应当包括：管理部门对操作微型计算机的规定和控制；程序和数据安全；软件和数据的完整性控制；硬件、软件和数据备份控制。

第四，《计算机信息系统环境--联机计算机系统》。该实务公告为第一项准则的补充，该公告明确了联机计算机系统及其特征、在联机计算机环境下的内部控制、联机计算机环境对审计程序的影响等。

准则强调某些一般控制程序对联机处理特别重要，包括存取控制、控制方面的口令、系统开发和维护控制、程序编制以及业务记录控制。同时，对联机处理特别重要的应用控制包括：处理前的适当授权，终端设备编辑。合理性和其他确认测试、截止测试、文件控制、余额控制。

联机环境对会计制度的影响及其相关联的风险，一般将依下述而定：联机系统用干会计应用处理的范围；处理的财务业务的类型和重要性；使用的应用文件和程序性质。

第五，《计算机信息系统环境--数据库系统》。该实务公告为第一项准则的补充，该公告明确了数据库系统及其特征，在数据库系统下的内部控制，数据库环境对审计程序的影响等。

第六，《计算机审计技术》。该准则为第一项准则的扩展，该准则明确了审计软件和测试数据两种审计技术、利用计算机审计技术的范围及需要考虑的因素、注册会计师在计算机审计技术应用中的主要工作和控制手段等。

准则指出，在下列情况下，可应用计算机审计技术：在运用制度遵守性和数据真实性程序中缺少输入文件和缺乏可见的审计踪迹时；通过利用计算机审计技术可以改进审计程序的效果和效率时。

计算机审计技术有多种，国际审计准则说明其中的两种：用于审计目的的审计软件和数据测试技术。审计软件可以作为审计程序的一部分，以处理来源于单位会计制度的重要审计数据。数据测试技术是用在执行审计程序时将数据进入单位的计算机系统，并将获得的结果同预定的结果相比较。

在编制审计时，审计人员应当考虑手工和计算机审计技术的适当结合，在确定是否利用计算机审计技术时，需要考虑的因素包括：审计人员的计算机知识、专门技术和经验；计算机审计技术的可用性和合适的计算机设备；无法实行手工测试；效果与效率；时间因素。

信息系统审计的重点环节

[日期：2007-05-28] 来源：作者：审计署建设建材审计局张京奕 [字体：大中小]

信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的得到高效地使用等方面作出判断的过程。

信息系统审计的方法

信息系统审计过程与一般审计过程一样，分为准备阶段、实施阶段和报告阶段。其中，准备阶段和报告阶段所涉及的技术方法与财务审计所运用的技术方法区别不大，而实施阶段所涉及的技术方法则具有信息技术的特色。在实施阶段，针对被审计的信息系统，审计人员所开展的工作可以分为三个层次，即了解、描述和测试。

计算机信息系统环境下审计技术方法与手工环境下传统的审计技术方法相比，相应增加了计算机技术的内容。对信息系统审计的方法既包括一般方法即手工方法，也包括应用计算机审计的方法。信息系统审计的一般方法主要用于对信息系统的了解和描述，包括：面谈法、系统文档审阅法、观察法、计算机系统文字描述法、表格描述法、图形描述法等。应用计算机的方法一般用于对信息系统的控制测试，包括：测试数据法、平行模拟法、在线连续审计技术(通过嵌入审计模块实现)、综合测试法、受控处理法和受控再处理法等。应用计算机技术的审计方法主要是指计算机审计技术与工具的运用。但不能把计算机审计技术与工具的使用过程与信息系统审计等同起来。在信息系统审计的过程中，仍然需要运用大量的手工审计技术。

信息系统审计应关注的重点环节

1.数据环节

在审计中，必须使用一种方法能够向前、向后追踪单个交易和资产记录，以便使审计人员选择一些交易对其进行详细检查，确认交易记录是否符合一般的审计目标。如对会计事项信息的检查，要检查它的完整性、时效性、合规性和信息披露等方面，检查内容包括与本会计年度有关的交易是否全部记录在册；所有记录的交易是否都是合理发生的并与本会计年度有关；记录的交易是否数据准确，计算无误：记录的交易是否符合基本的和的法律规定，符合特定权威机构的要求；对记录的交易是否进行正确的分类，并符合信息对外披露的要求等。对财务报表信息的检查，要检查完整性、存在性、会计计量、所有权以及信息披露等方面，检查内容包括是否记录了所有的资产和负债：所有记录的资产和负债是否都是存在的；对资产和负债的计量是否精确，计算方法是否符合按合理性、一致的标准制定的会计政策的要求：确认资产是被审主体所有的、负债是被审主体应该承担的，并且资产和负债是否由合法的经济活动产生的；资产、负债、资本和存货是否都得到正确的披露。同时对信息系统提供的业务信息也要进行分析，例如每月的工资总数、某阶段的付款清单和订货信息等，要弄清基本的交易情况，并一直追踪到信息源。对上述信息的分析可以用计算机审计技术，按照特定的标准对数据进行汇总、分类、排序、比较和选择，并进行各种运算。

2.内部控制环节

内部控制一般而言是指组织经营管理者为了维护财产物资的安全、完整，保证会计信息的真实、可靠，保证经营管理活动的经济性、效率性和效果性以及各项法律和规范的遵守，而对经营管理活动进行调整、检查和制约所形成的内部管理机制，是组织为实现管理目标而形成的自律系统。计算机系统的内部控制主要分为应用控制、一般控制和管理控制等三个方面，在审计过程中要对被审计单位内控制度进行评价，包括电算化系统的内控制度。为了对系统的内控制度进行评价，审计人员必须验证内部控制系统是否存在，并能提供令人满意的证据，证明它正在有效地发挥作用。在计算机系统中，应检查以下方面来证明内控制度的有效性：(1)控制系统的存取。包括物理，例如终端、服务器、连接盒、相关文档等；还包括逻辑，如软件、系统文件和表、数据等。(2)控制系统的使用。用户应该只能对授权给他们的那些进行操作。(3)建立按用户职能分配的制度。把重要的任务功能按用户或用户组进行分离，以减少无意的误操作、滥用系统和对数据的非授权修改。(4)记录系统的使用情况。按时间顺序建立一个使用记录，记录内容应包括例外事例和与安全有关的是由谁触发的，财务信息的创建、修改和删除是由谁完成的。(5)确认处理过程的准确性。用产生财务控制信息，确认处理过程的准确完成。(6)管理人员对财务信息系统的修改。应该保证财务信息系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的，确认最后以一种有控制的方式投入使用。(7)保护财务信息系统免遭计算机的袭击。必须建立一套控制措施，检测，防止感染财务信息系统。

3.数据传输转移环节

在信息系统中，有些数据需要在两个财务信息系统或财务信息系统与业务信息系统之间相互转移，在此过程中可能会出现一些问题，尤其是在需要手工重新录入时。因此在审计时要重点关注以下方面：在转移过程中数据可能会发生变化；新的科目代码表与老的可能不一样，需要在两个财务信息系统之间建立复杂的对应关系：中心数据库可能被一些地理上分散的服务器取代；当前财务信息系统中的数据质量不佳；当用一个总的信息系统取代一个预定财务信息系统时，需要补充许多新的数据。在检查这一环节时，一定要保证输出的消息是经过批准、完整和精确的，保证输出的消息在约定时间内准确地发送给指定的接收者，保证流人的消息是完整、准确和真实可靠的。

信息系统审计案例分析

2006年，在对某酒店开展的审计中，对酒店信息系统的安全性、可靠性进行了测试。测试结果发现信息系统在数据传输和运算上存在错误，通过数据验证，证明错误产生的原因是由信息系统本身缺陷造成的。上述审计结果得到了被审计单位的认可，促使被审计单位更换了信息系统，提高了计算机管理水平。

这次审计之所以能取得一定的效果，主要是注意从数据和内控制度入手，利用计算机审计技术和手工审计技术相结合开展信息系统审计。(1)在数据环节上，信息系统审计和数据审计对系统数据的利用角度是不一样的。数据审计侧重于数据之间的关联，是审计数据的结果；而信息系统审计侧重于数据的真实完整性，是通过测试数据的真实完整性来审计信息系统的安全性和可靠性。在审计中，通过详细了解信息系统的数据库结构，对比数据库中表文件的记录数量大小和字段完整程度，确定需要查询的数据库表文件，把主表的数据完整性作为重点的测试目标。(2)在内部控制和数据传输环节，通过绘制组织机构图、系统流程图和现场走访等方式，全面了解酒店的业务流程和工作特点。通过摸清酒店的业务流程，跟踪基础数据流在业务流程中的走向，锁定数据的大量运算点，是确定审计方向的关键。信息系统中所有业务活动的发生都集中体现在基础数据流上，基础数据流是一个信息系统的重要构成要素，数据的大量运算点是测试系统运行安全性和可靠性的关键点。在此基础上，确定了年审日报汇总、会议团体客房转账和业务系统与财务核算系统手工传输数据三个系统模块，作为对信息系统进行安全性、可靠性测试的重点。这三个模块是信息系统内数据大量运算和系统间传输数据的关键点，由于基础数据在运算、自动传输和手工传输过程中存在发生错误和被调整修改的可能性，因此利用计算机审计技术进行验证。

在验证过程中，通过分步骤编写查询语句和程序，调出数据生成中间表进行比对，发现疑点，根据疑点特征继续比对，直到发现错误点。在SQL语句不能保证完成大批量查询和比对任务的情况下，用计算能力更强、运算速度更快的JAVA来编写查询程序，起到了事半功倍的效果。

操作风险管理的特征

操作风险管理的特征如下：

一、全面性

操作风险管理涵盖了各个业务领域，包括但不限于银行业务、保险业务、证券业务等。在每个业务领域中，操作风险管理都涉及到了业务流程、信息系统、人员管理等多个方面。

二、预防性

操作风险管理的核心在于预防，通过制定和执行一系列标准和措施，降低潜在的风险发生的可能性，避免因操作失误、欺诈、内部腐败等行为带来的损失。

三、量化性

操作风险管理注重数据的收集和分析，通过对历史数据和信息的整理和分析，可以量化评估潜在的风险，并制定相应的应对策略。

四、动态性

随着业务发展和外部环境的变化，操作风险管理的策略和方法也需要不断调整和优化。因此，操作风险管理需要保持动态性，及时适应变化。

五、独立性