06 什么是國際貿易實務活動中的基本內容(寸金國際貿易實務考試資料)

摘要同時傳給接收方

（4）接收方用發送方的公共密鑰對摘要進行解密，同時對收到的文件用SHA編碼加密產生又一摘要。

（5）將解密后的摘要和收到的文件在接受方重新加密產生的摘要相對比，如果兩者一致，則說明傳送過程中信息沒有被破壞或篡改過，否則不然。

42、數字證書定義

是證明網絡用戶身份的一系列數據，用來在網絡通訊中識別通訊各方的身份，即要在Inter買粉絲上解決“我是誰”的問題，如同現實生活中我們每一個人都要擁有一張證明個人身份的身份證一樣，以表明我們的身份或某種資格。

43、證書簽發者（CA）

數字證書是由某些權威性認證機構（CA）簽發的。(證書授權中心)

CA機構，又稱為證書授權中心，作為電子商務交易中受信任和具有權威性的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。

第九章

44、內部控制的概念、三個目標、五大要素（重點理解）

內部控制：是由企業董事會、經理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。

三個目標：經營的效果與效率；財務報告的真實與可靠；經營活動的合法與合規。

五大要素：控制環境、風險評估、控制行動、信息與溝通、監控。

45、自動化業務控制、信息系統控制概念

自動化業務控制：就是以信息技術實現的傳統控制活動。自動化業務控制的控制對象與傳統業務控制的控制對象是一致的，都是企業的生產經營過程。自動化業務控制的存在形式和控制手段發生了很大變化。它以計算機程序的形式嵌入企業的信息系統中，對業務的控制由計算機自動執行。

信息系統控制：信息系統控制是為了保證信息系統效率、安全性和完整一致性而采取的控制措施。

信息系統控制的控制目標服從于業務控制目標，包括以下三點：

效率：信息系統的全部資源應該被充分開發利用。

安全性：信息系統的軟、硬件和數據資源應得到最高水平的保護，敏感部位應防止未經授權的人員接觸。

完整一致性：信息系統的完整性一致性指信息系統的處理邏輯應該符合企業的商業規則，所輸出的信息精確而有效。

46、控制活動的變化（理解）

（1）交易授權：是將交易的執行限定給經過選擇的人。信息技術環境下的交易授權有以下幾點變化：1>交易授權自動化。2>授權過程不明顯。

（2）職責分離：職責分離通過將交易授權、交易記錄和資產監管等職責分配給不同的人得以實現。即：交易（業務）活動要得到授權；活動情況（結果）由另外的人記載（記賬）；負責交易的人不能監管資產；監管資產的人不能單獨記錄（記賬）資產增減。

（3）監管：監管是指管理者對員工的監視和管理。監管是針對職責分離不充分的一個補救措施。

（4）業務記錄：在信息技術環境下，業務記錄的載體由紙質變成了磁質。同時，紙質的交易軌跡不復存在，取而代之的是數據庫記錄和操作日志等磁記錄。信息技術在改變交易軌跡形式的同時也對交易軌跡的法律效力產生了影響。

（5）接觸控制：分為直接接觸和間接接觸兩種。在信息技術環境下，對直接接觸的控制基本沒有變化。間接接觸控制的控制對象和手段發生了變化。

（6）獨立稽核：獨立稽核是指驗證另一個人或另一個部門執行的工作。通過獨立稽核，管理層可以評估員工的業績、信息系統完整性和交易記錄的正確性。

47、交易控制、一般控制、應用控制的概念

交易控制：由一般控制和應用控制組成。目的是確保一個組織的內部控制的元素被用于實施某些應用系統，這些應用系統包含于組織的每個交易循環中。

一般控制：一般控制也即整體控制。實施一般控制的目的是為了確保信息系統的開發、實施、運行能在有序地、被控制的狀態下運行。一般控制作用于所有的應用系統，成為圍繞應用系統的保護層。

應用控制：具體控制或微觀控制，它與具體的應用系統有關，是為了確保數據處理完整正確而實施的控制。應用控制可以由人工實施控制，也可以由計算機程序實施自動化控制。

48、一般控制的內容

（1）高層管理控制：為保證信息系統的有效運行，必須全力做好信息系統的管理控制工作。應通過下列手段對信息系統進行管理控制：

規劃，規劃工作建立一個組織的信息系統的目標。

組織，籌集、分配實現目標所需的人、財、物資源。

控制，對信息系統實施總體控制：確定系統所需費用；分析系統可創造價值；控制系統人員的業務活動。

（2）系統開發與維護控制：系統開發與維護控制是對新系統的分析、設計、實施以及現有系統的改進與維護實施的控制。具體包括三個方面：

系統開發控制：如有可能，內部審計人員應參與系統開發，除對開發過程進行監督，更重要的是促使技術人員完善系統中應當嵌入的內部控制措施和審計功能。

系統維護控制：系統維護往往會“牽一發而動全身”，程序、文件、代碼的任何修改都是非同小可的事情。所以必須嚴格控制，一切維護活動，都必須得到授權與批準。

系統檔案控制：系統檔案是系統開發留下的痕跡，是系統維護的指南，是開發人員與用戶交流的工具。必須妥善保管并制定措施確保文檔的一致性或分版本存檔。

（3）數據資源管理控制：數據庫中的數據是企業的重要資源，數據庫的正確使用及數據的完整性、安全性是整個信息系統運行和為企業提供決策的重要環節。因此對其應實施下列控制：

訪問控制：首先，通過密碼和身份鑒別對訪問數據庫的人進行限制，其次，通過權限設置對數據庫數據的訪問范圍進行限制。

建立數據備份和恢復制度：軟、硬件故障、操作失誤、人為攻擊都會影響數據庫中數據的正確性甚至全部丟失。因此，必須設定和實施適當的后援和恢復策略，一旦發生故障，可在最短時間內恢復數據庫的正常狀態。

（4）質量管理控制：為了確保信息系統達到特定的質量目標，信息系統的開發、實施和維護應遵守一系列的質量標準。因此，國外的一些組織中出現了信息系統質量保證角色，其職能包括：

制定信息系統的質量目標；制定、發布和維護信息系統標準；監控質量標準的執行情況；識別應當改進的方面；向管理者定期報告各項標準的執行情況。

（5）安全管理控制：安全管理控制的目的是為了確保信息系統的硬件、軟件、核數據資源受到妥善保護，不因自然和人為因素而遭到破壞，使信息系統能夠持續正常地運行。安全管理控制包括：設備安全控制、軟件安全控制、數據安全控制、系統入侵防范控制、通信安全控制、病毒防范控制。

（6）信息系統外包管理控制：外包指組織只專注于自己的特定業務，而將相關的信息系統業務承包給外部的信息服務機構。通過外包，企業可以提高對信息技術、信息人才的利用效率，顯著降低信息系統的運營成本，使企業可以將自己的力量集中于其核心競爭優勢方面，更加集中于實現企業的戰略目標。外包必須有特定的人員來負責監督控制，主要有：不斷評價外包商的財務能力；監督外包合同條款的執行；通過要求外包供應商定期提供一個第三方的審計報告或由客戶的內部審計人員和外部審計人員定期審計其控制，對外包商控制的可靠性進行監督，確保外包商提供安全可靠的信息系統資源；建立外包災難恢復控制，并定期評價這些控制，如果外包商發生災難事項，客戶也應設計自己的在難恢復程序。

（7）運行管理控制：運行管理控制是針對信息系統中硬件和軟件設施的日常運行而實施的控制。主要包括：訪問計算中心的控制、計算機操作控制、文件服務器控制、硬件設備維護控制、文檔資料與存儲媒體的控制、技術支持活動的控制、監控硬軟件的性能。

49、應用控制的內容

（1）輸入控制：輸入控制是為保證輸入系統的數據正確、完整和可靠而設計的控制。具體包括：原始單據審核控制、輸入數據正確性控制、數據輸入完整性控制、數據邏輯控制、錯誤糾正控制。

（2）處理控制：處理控制是為了保證數據處理的正確性和完整性而實施的控制，這種控制是通過預先編好的計算機程序實現的。具體包括：處理權限控制、數據合理性檢驗控制、審計蹤跡控制、備份與恢復控制。

（3）輸出控制：輸出控制的主要目的是保證輸出信息的正確性，并確保只將其提供給經授權的使用者。具體包括：輸出數據的正確性控制、輸出數據審核控制、輸出權限控制、輸出資料的分發控制、差錯更正控制。

第十章

50、威脅的種類

主動威脅（利通信息系統舞弊和破壞）與被動威脅（系統故障和自然災害）

51、主動威脅的類型

（1）輸入操作：輸入操作是計算機舞弊采用最多的方法，因為這種方法要求最少的技術技能，一個不懂計算機系統操作的人也可以改變輸入內容。

（2）程序變更：程序變更可能是計算機舞弊中使用最少的方法，因為它需要掌握編程技術的人才能做到。

（3）文檔直接變更：在某些情況下，個人可以利用其他軟件如EXCEL 偽造數據文件并輸入到數據庫里。這種情況一旦發生，后果則是災難性的。

（4）數據竊取：重要數據的竊取是當今商務領域的一個嚴重問題。

（5）惡意破壞：惡意破壞對于任何信息系統都將是致命的威脅，尤其高度信息化了的企業，對其信息系統不論軟件還是硬件的破壞都足以導致該企業的破產。

51、主動威脅怎樣防范控制（理解）

預防主動威脅的主要辦法是用連續層面（多道關卡）來控制進入（接觸）敏感源。

分層進入控制的基本原理在于建立多層次的控制來隔離潛在犯罪者和他覬覦的目標。具體分為：站點進入控制、系統進入控制及文檔進入控制。

第十一章

52、計算機審計的概念

一是在信息技術環境下，審計人員以計算機為工具，對被審計單位的會計報表的合法性、公允性及會計處理方法運用的一貫性進行審查、評價并發表意見，一般稱之為計算機審計或信息技術環境下的審計。

二是指審計人員對被審計單位的計算機信息系統進行審查并發表意見，一般稱之為信息系統審計。

53、信息系統審計的概念

信息系統審計：是通過一定的技術手段采集審計證據，對被審計單位的計算機信息系統的安全性、可靠性、有效性和效率進行綜合審查與評價活動。

54、審計的工作（理解）

第一部分稱為過渡審計。其目標是確認企業的內部控制系統在多大程度上是可以信賴的，這通常要進行某種類型的符合性測試。

第二部分稱為財務報表審計。包含實質性測試。實質性測試是在過渡審計的保證下對內部控制給予一定程度的信賴，對財務報表數據進行直接證實和核查。

55、信息系統審計的目標（理解）

是對被審計單位的計算機信息系統的安全性、可靠性、有效性和運行效率進行審查與評價，并對存在的不足提出改進意見，使之更完善。

（1）系統的安全性：系統的安全性是指構成信息系統的硬件、軟件和數據資源是否得到妥善保護，不因自然或人為的因素而遭到破壞。

（2）系統的可靠性：是指在規定的時間內，在正常的條件下硬件設備的無故障率；軟件系統的可靠性是指在正常的運行環境中，在規定的運行時間內或規定的運行次數下，程序運行不同的測試用例的無差錯概率；數據的可靠性是指數據的真實、準確和及時，它取決于系統對數據的處理過程是否準確無誤，以及確保數據可靠性的控制措施是否有效。

（3）系統的有效性：系統的有效性是指系統能否實現既定的

很赞哦!（59）