AICPA Free Notes
AICPA筆記分享

【AICPA美國會計師】ISC重點筆記整理 | S2-資訊系統、數據管理、重要考點提示

美會筆記分享!這是ISC系列的第二篇,介紹IT架構、常見IT系統、COSO、系統有效性&風險、data蒐集&儲存、SQL...等,並分享一些S2重要考點。Understanding IT Infrastructure, Cloud Computing, ERP, COSO, System Availability, Data Collection and Storage, Database Design...

延伸閱讀:上一篇講了ISC各主要章節內容及準備方式,還沒看過的話建議先去看那篇👉【AICPA美國會計師】ISC重點筆記整理 | S1-ISC準備方式、六大準則介紹、重要考點提示

S2章節概要

▨ 前情提要:這系列重點筆記是我讀完Becker教材內容後,從寫題目的經驗中整理出來的考點。純為個人讀書心得,且非所有考試範圍詳細內容。Blog分享的這個版本較適合作為最後應試前的總複習。考試準備仍要以Becker教材或AICPA官方公告為準~~

補充資源:
如果需要更詳細的各章節重點筆記PDF電子檔,可以參考我當時做的Outline筆記👉點此連結
Outline筆記完整收錄重要表格、各章節單字、細節解釋…等,更適合剛開始讀ISC的人準備考試使用

S2主要在介紹IT的架構、企業常用的資訊系統、data的整理。這是四個章節中內容偏多、考題也不少的一章。當中的ERPSQL部分與事務所IT審計工作很相關,文內也有分享一點我的實務心得,希望讓大家在讀落落長的這章時不要太無聊(⁠´⁠°̥̥̥̥⁠ω⁠°̥̥̥̥⁠`⁠)

下面就趕快來看看這章有哪些重點和考點吧~~

S2重點整理

IT Infrastructure

Hardware的種類

  • modems(數據機)
  • routers→管理traffic,使data的流通更efficient
  • switches→把signal分散出去,讓多個devices都可以連接到
  • gateways→不同network或protocol(Ex.TCP, IP)之間的轉接(convert)關卡,可用於檢查過境的data
  • firewalls→也可以是software;可保護(protect)使用者activity以及流通的data,還可共享IP位址來掩蓋真實的專用位址;包含network address translation firewalls、circuit-level gateway…
  • edge-enabled devices→有compute或execute的functions,可以decentralize computing power,讓程序在更靠近原始device處進行加快反應時間
  • servers→協調網路中的電腦、程式和data,大多數business networks使用client/server model,其中客戶端向servers發送請求,servers再提供回應或執行某些操作

Software的種類

  • operating system(OS)(作業系統)→一種system-based software,可協調global function,控制軟體在硬體上的運作方式及資源分配的方式
  • firmware(韌體)
  • mobile tech→包含物聯網(IoT)
  • the mobile range of connectivity

Network Topology

網路拓璞結構最常見的有四種:

  • bus topology→linear or tree,最簡單,但當中一個點壞掉就會全部壞掉
  • ring topology→也是linear但會形成一個環(可以是單一或多重方向),一個點壞掉就會全部壞掉
  • star topology→中心hub不只一個,優點為容易找到問題點、缺點為與該hub相關的連結都會一起癱瘓
  • mesh topology→有多個節點(nodes),一個壞掉其他都仍可持續運作,故優點為流量可更大且最redundant、缺點為較貴

✏ 考點:各database schema和topology的結構

Cloud Computing

  • 供應的產品分4個種類:
    • IaaS→供應商只提供基礎建設如servers, storage, hardware, networking services等,其他都企業自己處理⇒企業自己建得最健全
    • PaaS→供應商負責產品的uptime;除了基礎建設外也提供一些企業可以自行調整的管理工具等服務,能用來完成一個商業目的
    • SaaS→供應商負責軟體、資料庫或應用的維護(包含uptime)、更新、和資安,使用者只能應用(application);可以用來輔助某個企業的流程
    • BPaaS→可以用來完成企業的core operations如payroll, accounting等

✏ 考點:很常考某個cloud service是屬於哪個type→建議把使用者自主性由高至低的順續背起來

  • 供應的方式分4種(每種都可能由第三方cloud service provider提供):
    • private→只有一個組織在用
    • hybrid→融合private和public
    • public→多個組織共用(只要有付$就可以用)
    • community→多個組織共用(一些有共同目的或同產業的組織共享資源的方式)

Enterprise and Accounting Information Systems

AIS

AIS由三大系統組成:

  • TPS→將「每天」的交易轉成財務紀錄;範圍僅限特定某個系統(循環);包含sales/conversion/expenditure/payroll cycle
  • FRS→統整所有財務/非財務data來達成即時管理和做成F/S
  • MRS→提供內部資訊給Mgt來做每天的決策

ERP

  • ERP彙總所有系統(循環)
  • 屬於centralized database
  • 使用起來通常費時(因為需要做很多upfront work)且昂貴

💡實務補充:實務上企業常用的ERP系統有國外的SAPOracle;和台灣本土開發的鼎新電腦。通常上市櫃或外商公司較常用前者、本土企業有時會用後者。而前者的軟體價格通常較貴,但也相對功能更強大、內容更多樣而複雜。所以當事務所電審組在審查SAP系統時,都會多做幾個測試、甚至有特定的底稿來專門應付!!

IT Systems Process Improvement – offshore

offshore的業務種類可以分4大類:

  • Information technology(IT) provided by a managed services provider(MSP)
  • Business processes→通常是basic functions,Ex.call centers, accounting, bookkeeping operations, tax compliance
  • Software research and development
  • Knowledge processes→processes requiring advanced knowledge and specialized skill sets, Ex.reading x-rays

✏ 考點:問題目敘述的業務是哪個大類

COSO Internal Control Framework

  • COSO是一個關於內控的framework,並提出內控五大要素(控風控資監);也可以套用在IT內控(Ex.blockchain)上
  • 邏輯測試(logic tests)不屬控制環境中的一般控制(general controls)
  • COSO Enterprise Risk Management(ERM)-Integrating with Strategy and Performance Framework把企業風險分成5大components,再下分20個principles
  • 針對cloud computing,COSO Enterprise Risk Management(ERM) for Cloud Computing有8個components:(1) Internal Environment, (2) Objective Setting, (3) Event Identification, (4) Risk Assessment, (5) Risk Response, (6) Control Activities, (7) Information and Communication, and (8) Monitoring

▼COSO架構圖

✏ 考點:components對應到哪個principles→所以要盡量把有哪5個components背起來

  • data的流程是先經過Purchasing and disbursement cycles(財務部門的事,包含檢查PO和憑證),才會到General ledger and reporting cycles(會計部門的事,只負責入分錄帳和結轉總帳)
  • BoD負責制定governance policies;Executives負責確定governance policies有在運作;Middle management負責實際執行governance policies

Availability, Resiliency, and Disaster Recovery

Availability

  • availability的控制:physical controls, IT infrastructure controls、UPS、redundancy(site之間要有一定距離以上,不然較容易全部一起壞)、system backup、capacity and monitoring
  • availability的指標:maximum tolerable downtime (MTD)、recovery point objective (RPO)…等

Disaster Recovery Plan

  • 強調復原
  • 可以是short-term或long-term
  • 必要條件:an alternate processing sitebackup procedures、test of the plan、(identification of critical applications)

✏ 考點:availability有哪些控制、這些控制要怎麼做

  • 維持IT持續運作的3種(backup) site
    • cold site→成本最低,有基礎建設(Ex.power、electronical connection)和空間,但沒有任何IT equipment(即hardware),因此更不會有processing capacity;通常需1~3天才能運作
    • warm site→有一點hardware;通常需0~3天才能運作
    • hot site→有所有必需的hardware,甚至也有重要data和program;立刻可以運作
  • Business Continuity Plan(BCP)→強調持續經營,包含所有企業的流程(不針對IT,範圍較disaster recovery更廣)
  • Business Impact Analysis(BIA)data可以依重要程度區分為low, medium, high三種
  • business resiliency program→範圍最廣,由disaster recovery plan、BCP、BIA、crisis management plan共同組成

Change Management

  • 套用新系統的方式包含Waterfall method和Agile method
  • 系統改變後的測試包含unit、integration(=thread=string)、system、acceptance testing
  • Continuous Software Development Model
    • 一種常見的測試方式
    • 開發人員透過centralized repositories定期將程式碼的變更合併到中央儲存庫中,而達到更快地識別錯誤、提高應用程式品質、並縮短發佈軟體更新所需的時間
    • 前端開發需較多時間以保持基礎穩定

Data Collection & Data Life Cycle

Data Collection

  • 是Data Life Cycle中的第二步驟(capture/create)
  • 共有3種methods:
    • ETL
    • Active data collection→Ex. 用survey來回應特定問題
    • Passive data collection→Ex. Cookies

Data Life Cycle

Data Life Cycle共有8個步驟:define(決定需要的data還有要去哪裡找)→capture(=creation,data來自外部)→preparation(data來自內部)→(synthesis)→analytics and usage(內部使用)→publication(外部使用)→archive→purge

✏ 考點:Data Life Cycle有哪些步驟→建議要背起來

Data Storage & Database Design

Backup

  • incremental backup:
    • 備份上次更新到現在「有改變」的data
    • 備份最省時省錢但restore最費時
  • differential(=hybrid) backup→備份上次full backup到現在「累積的所有改變的」

Data Storage

  • data storage有4大type:
    • ODS→介於多個data source和data warehouse之間的儲存空間;非必須經過;這裡的data都是跟營業活動相關、很即時而且不斷隨交易更新而修改
    • data warehouse→centralize,用於report和analysis而非transport
    • data mart→跟data warehouse很像,但更focus在特定目的(Ex.marketing, logistics)
    • data lake→跟data warehouse很像,但容納了structured和unstructured(通常data以raw format來儲存)的data

Database Design

  • related table有3種column(=database key):
    • primary key→每個table都必須有,若無就須有composite primary key
    • foreign key→在別的table是primary key
    • descriptive attribute
  • normalization是一種降低redundancy的方式,有3步驟:
    • First normal form(1NF)→所有field都獨一無二
    • Second normal form(2NF)→所有field都跟primary key有關
    • Third normal form(3NF)→所有field都只跟primary key有關
  • 備份data進而提升redundancy的方式:
    • mirroring→備份到其他機器但仍是同個site(location)
    • replication→備份到其他site(Ex.其他地區或雲端)
  • Database schema有三種:
    • star schema→最簡單,中間有一個fact table連接所有周圍的dimension table
    • snowflake schema→介於中間,架構跟star schema很像但它的dimension table拆成很多個(更normalized也更複雜),也較star schema更靈活
    • normalized schema→最複雜
  • flowcharts→描述process或data flows,有很多template如BPMN和DFD(資訊較細節、使用的symbols較少)

Data Extraction – SQL Queries

  • SQL是一種專門用來和data互動的程式語言
  • 常見語法(SQL Commands)如SELECT, FROM, JOIN, GROUP BY, HAVING, WHERE, ORDER BY…
    • SELECT *→全選(wildcard)
    • INNER JOIN→雙向連結,兩邊都要有同樣的值對的到,才會被列出對到的結果
    • LEFT JOIN(=LEFT OUTER JOIN)→單向連結,發出端(即FROM後面接的那個table)的每列都會得到一個回傳值結果,如果另一端對不到,則會回傳NULL

✏ 考點:題目敘述的情境要用哪個command

💡實務補充:事務所IT審計的工作內容,有很大一部分都是要請客戶輸入指定的SQL語法來擷取資料,作為PBC給電審組檢查!這些時候,懂一點SQL真的會非常實用!!所以這裡的知識建議大家要認真記得唷~~如果想進一步了解電審組工作內容,可以參考這兩篇👉【四大事務所日記】 IT電審是什麼? | 基本工作概述篇【四大事務所日記】 IT電審是什麼? | IT知識篇

▼SQL使用者介面(輸入語法即會得到想擷取的data)

未完,記得看下篇喔~

延伸閱讀:
更多AICPA重點整理筆記全部彙整在👉AICPA分類
出國應考行前準備可以參考這篇👉【AICPA美國會計師】夏威夷考場&旅遊指南
還沒看過的人趕快去看看吧( ˶ˊᵕˋ)੭♡

如果你覺得這篇文章對你有幫助,歡迎

關注我的IG: @happyrainydayyyyy,我將發布更多工作、生活、及旅遊分享!
【訂閱文章】免費及時收看所有新發布的內容🥨
分享給身邊需要的人,讓文章發揮更大價值,也是給我最好的鼓勵❤️

----- Tags ----

相關文章

主機服務:金城事務所