1.简介
由于在我们的环境中越来越多地安装了各种类型和品牌的计算机,作为协助公司进行业务管理的工作工具,开发系统审核标准和程序变得必要且必要。
机器设备(硬件)的新技术或数据处理方式(软件)的发展中技术的飞速发展,意味着关注适当控制和保护计算机支持的信息系统区域的重要性,这对于现代化以鼓励公司发展,特别是在工商业领域。
2.审计计算机系统
2.1。概念
它是由电子数据处理设备支持的信息系统的有序,细致的状态诊断。
2.2。重要性
鉴于计算机信息系统的复杂性,集中性和数据准确性,有必要不断监视其正常运行,因为公司的正常运行和发展在很大程度上取决于这些。
3.计算机中心中的系统控件
内部控制可以概念化为:一套组织计划,协调的方法和适当的措施,可以在公司内部进行调整,以保护公司的资产,验证其会计数据的准确性,核算和及时性,从而提高审计效率。其运营并监控对管理政策和策略的遵守情况。
自动化信息系统中的控制必须集中在以下三个基本方面:
3.1。计算机在组织中的发生率
即使一家公司根据各种现代影响进行组织架构,也必须明确界定责任和权限范围。
功能职责的划分应通过以下方式定义:
至。发起和授权交易的功能。
b。记录交易记录。
C。保护所得资产。
这种划分意味着专业化,提供更高的效率,避免重复和浪费精力,并提高管理控制的效率。
从控制的角度来看,集中数据处理活动和流程功能集中的结果对组织的结构产生了显着影响。
3.2。一般控制
3.2.1一般控制
至。数据处理部门必须在组织上独立于其他部门运作。
b。未经适当授权,数据处理人员不得对资产执行任何直接或间接控制或更改主文件。
C。在以下各项之间应明确划分职责:
•系统设计与分析
•编程
•加工
d。关于处理,功能必须分为:
•设备操作
•图书管理员
• 数据输入
•数据输出
和。公司的业务中断保险必须涵盖自动数据处理中的中断。
F。计算机设备的记录(文件)上保险的合理性。
G。通过以下方式控制电子数据处理的有效功能的管理级别:
•政策制定
•确定目标
•优先设定
•定期审查内部发展和/或业务统计的进展
H。提议的会计系统和审核所需的管理审核和批准的级别和独立性。
一世。具有技术资格的人员可以审查新提议的系统或更改,以考虑以下方面:
•遵守公司政策
•纳入适当的控制因素
j。如果加工设备由陌生人租用或使用,则应考虑以下几点:
•充分控制所记录的服务费收入。
•外部操作员无权访问我们的程序和/或文件。
k。在设备故障的情况下对替代过程的关注的合理性,以及:
•在实际条件下测试这些过程的频率。
•放置其他设施,以使发生一般灾难的风险降到最低。
3.2.2。具体控制
3.2.2.1。物理环境
至。数据处理设备应安装在一个地方,并以能够在操作功能和控制功能之间提供物理隔离的方式放置。
b。限制未经授权的人员进入设施。
C。安装为火灾,盗窃或其他灾难提供足够的文件保护。
3.2.2.2。程序逻辑保护
1.应该有程序,过程和例程的文档标准,其中包括以下内容:
至。系统及其目标的总体描述,以及通过系统的基本信息流。
b。一般系统流程图,以说明所描述的内容。
C。所执行功能的描述以及每个程序如何执行功能的概述。
d。方框图显示了程序执行的操作顺序。
和。记录的描述,显示中间文件的输入和输出的形式,内容和类型。
F。用符号语言列出的源程序。
G。程序操作说明,关机程序,输入源和输出布局。
2.充分划分以下职能:
•系统设计与分析
•编程
3.限制程序员和分析人员访问计算机的操作权限,但用于测试和删除程序的现金访问权限除外。
4.在有时间限制的情况下,评估后给予计量访问权限,以限制操作员进行无监督编程。
5.程序员和系统分析员将具有以下访问权限:
•主文件或交易
•操作程序:源或对象
•源文件
•退出文件
6.应该有足够水平的监督批准,以便编程人员可以访问正在运行的源程序。
7.修改操作程序的适当级别的授权,并且必须是书面的。
8.程序更改的授权必须受数字控制。
9.必须在源程序级别对程序进行更改,编译才能获得新的目标程序和新的帖子列表。
10.在更改程序时,这些程序必须注明日期,并由程序员提供文件说明,以改变磁带形式,名称来说明其原因,以便提供系统的时间顺序历史记录。
11.应当继续有效地扩展适用于新的和经修订的程序的测试程序:
至。测试程序将并行运行当前和/或过去的数据并超过一个处理周期。
b。该程序应确保构成一个系统的所有程序的兼容性。
C。测试结果和程序应由以下人员审查:
-具有技术资格的内部审计部门
-技术上合适的主管
-用户部门的管理
d。程序修改的测试步骤应与新程序相同。
12.安全系统必须防止或检测未经授权的程序更改输入和所执行的数据。
3.2.2.3。设备操作
至。足够和充分的监督控制,以使操作员遵守既定的监督程序。
b。维护控制台和子控制台使用的控制日志,以指示其工作类型和日期。
C。控制台控制日志还应另外详细说明:
• 运行
•团队准备时间
•停机时间(等待或意外等待)
•维修时间
d。必须保留处理期间可能发生的停机时间的书面报告,并且必须包含:
•完整描述情况和采取的措施。
•Vo.Bo。o负责人的资格。
和。操作员应在轮班和工作之间轮换,以避免永久分配给特定工作。
F。要求操作人员定期休假。
G。向操作员提供系统的操作说明,以适应在出现错误情况和/或过程中停止时应采取的措施。
H。拥有有序且适当的操作手册,以作为过程指南,以及图书馆员的所有其他副本。
一世。使用要处理的文件的内部和外部标签,并由应用程序处理过程识别。
j。使用密码(用户名和密码)建立安全系统,以避免未经授权的操作。
k。通过适当的书面记录对机器性能进行监督控制。
l。通过键入以下内容来维护计算机操作系统的控制日志:
•控制变更
•升级系统
•创建系统文件
•表现
ll)验证不同班次中操作控制的监督。
m)与用户区域一起制定处理时间表,并确保严格遵守它们。
3.2.2.4。图书馆
1.电子数据处理部门的图书馆员应负责:
至。控制用户和系统的精致文档(支票,电子表格等)以及所有文件和程序。
b。为每个特定的处理作业提供必要的操作。
C。控制每个流程作业生成的文件,库,源和对象(原始文件和备份文件)。
d。正确保存软盘和软盘。
和。定期检查文件的物理状态。
F。维护适当的文件保留程序,直到第三代为止都需要保留文件。
G。保持足够多的色带和连续表格库存。
2.维护主文件和事务文件以防止重建。
3.前段提到的文件必须保存在防火,防盗,地震或其他防灾的合适环境中。
4.在所有文件上使用外部标签来标识:
•日期
•应用
•音量
5.通过适当的监督程序,分配最后一个源程序或操作对象及其相应文档的最新副本。
6.维护系统手册的技术库,以便在出现问题时进行参考。
7.保持足够的库存文件,手册等清单。
3.2.2.5。数据流
至。数据输入控制程序,以确保它们完整且正确(数据数量,控制总数),并且已由一致性程序验证,即这些程序为书面形式。
b。签发数据验证报告(一致性),以便将错误的原始单据返回原产地,以便进行必要的更正。
C。纠正先前由来源,次要或替代验证检查过的缺陷数据的程序,以及及时获取纠正程序的例程,以便及时,充分地真实地执行应用程序。
d。在用户区域中分发必要信息的适当过程。
4.使用电子数据设备评估信息系统审计的意见或准则
至。我们对电子数据处理功能的测试将受到管理层执行既定控制和程序的能力的影响。通常,高级管理人员在职能监督中的参与程度与对内部控制程序的遵守程度之间存在直接关系。
b。审核和批准最好是管理层,使用它的部门的代表和EDP的代表的共同努力,并且每个人都应该了解其他人的职能。
C。实际情况下的定期测试可确保在备用站点上对设备或程序没有重大更改,而这将妨碍适当的处理。
d。计算机程序控制着所有处理。只要不更改程序,这些操作就会执行并重复执行,但是更改可能会发生并且不会引起注意。因此,内部控制系统应保护程序的完整性,也就是说,程序不应受到错误或未经授权的意外更改的影响。
和。最新,详细的客户文档的存在大大增强了确定,遍历,评估和测试系统的能力。严格的文档标准的存在表明客户采用了良好的内部控制程序。
流程图,叙述性说明和其他客户文档都可以用作审核文档,应重点放在获取副本上。
F。操作员仅在编译程序时才有权访问源程序;并仅在运行程序时才对它们进行目标处理。
G。由于在新的或修改的程序中程序逻辑可能存在错误,因此必须对其进行测试以确保它们按计划工作。
应在最大可能范围内使用真实数据在真实操作条件下进行测试。
还应包括错误数据,以便正确测试所有部分和所有程序检查例程。客户检查和测试结果的评估应由所有有关部门(包括内部审核员)的有能力的代表进行,以确保已考虑到测试结果的所有影响。
H。审核员应意识到操作控制因班次而异的可能性。
一世。程序列表通常会指示是否使用内部文件标签。
j。使用制造商提供的主管程序(操作系统)可以避免在处理过程中需要人工干预。
k。适当的内部控制系统应包括程序,以保护公司免遭主文件或数据的意外破坏或错误或未经授权的更改。与手动准备的记录相比,这些文件需要更严格的控制,因为它们更容易被破坏或损坏,并且其内容的不可见性使得滥用或滥用难以检测。
l。正常的磁带文件处理可提供自动复制。但是,必须将磁盘文件复制(通常复制到磁带)以允许最终重建。
米 程序框图,代码表和其他程序文档(如果有的话)提供了某些程序支持,但源程序和目标程序的重复副本允许更快地重建。
5.制定计算机审核程序
计算机向审核员提供一系列资源,以便确定处理系统生成的信息的质量,以便对其进行评估和分析。
在开发计算机审核程序时,必须考虑四个基本要素:
5.1。确定目标和审核程序
拥有程序支持的审计员是根据公认的法律审计标准定义目标和程序的人,是确定要验证的主记录或交易中的数据的人。
5.2。制定系统行程图
定义了过程和目标之后,将准备系统运行图,指示要通过审核程序获取的结果输入和输出的文件。
5.3。程序图的准备
通过它们,它们指示如何处理数据,指示特定的操作和决策以及程序中要遵循的顺序。此图还将显示程序的逻辑和功能。该图将实质上提供:
5.3.1。解决问题的图形图像
5.3.2。确定是否已考虑所有可能条件的程序编码和测试指南
5.3.3。用于说明和修改程序的文档
可以使用决策表来评估程序的行程图,以评估在这种情况下可以采取的措施。
5.4。编码,编译和测试程序
此阶段不需要进一步的注释,因为它像普通程序一样进行。
6.使用计算机审核程序
本质上,有三种使用计算机审核程序的方式:
6.1。分析和异常报告
审核员可以制定程序以:
•分析文件详细信息
•探索您感兴趣的方面或属性
•搜索文件中的违规行为
程序预期的规则和标准的例外情况将作为输出打印。
6.2。样品选择
审核员可以制定程序以随机或根据他们认为适当的标准选择样本。
6.3。计算和详细测试
审核员可以开发程序来执行以前手动执行的测试或计算(计算)。
7.最终分析
7.1。审核员使用计算机的优势
7.1.1。更好地了解客户的程序和控制系统。
7.1.2。专业活动领域更大。
7.1.3。审计的最基本成就仍在继续。
7.1.4。更好地使用异常原理。
7.2。问题
7.2.1。费用
测试数据和审核程序的使用必须以减少与手动审核相比的时间为依据,并获得更定性的审核。他们应该分析:准备测试和程序数据的成本,运营成本与获得的收益的价值。
7.2.2。技术要求
评估计算机支持的信息系统和开发审核程序所需的新技术需要在处理阶段进行详细,逻辑和明确的计划。
7.2.3。需要提前计划
审核员应了解最初在计算机设施中进行审核所需的大量时间,客户在执行工作之前应了解这些时间,并且还应告知客户评估系统所需的时间,以及制定审核计划。
7.2.4。转换次数
由于审核期间进行了任何转换,因此它可能会面临:
•缺乏有意义的文档
•程序员的工作量,使其难以访问。
•频繁的程序更改会阻碍评估和系统审查。
7.3。结论
至。审计技术受公司信息系统中计算机的作用显着影响。
