处理和输出控制课件.ppt

1、IT audit trainingIT CONTROLS:S15/1forMarch 2007输入、处理和输出控制输入、处理和输出控制第15讲IT audit trainingIT CONTROLS:S15/2forMarch 2007目标目标 F介绍计算机化的业务处理中的三个步骤F明确可能用于交易处理系统中的控制F明确金融系统中最新的发展能够怎样影响审计师评价应用控制的方法IT audit trainingIT CONTROLS:S15/3forMarch 2007应用控制为了什么？应用控制为了什么？F应用控制用于保证账目记录的完整性、精确性和有效性F每个阶段应用的控制：V输入控制V处理控制

2、V输出控制IT audit trainingIT CONTROLS:S15/4forMarch 2007责任责任F谁对保证适当的应用软件控制负有责任？FIT审计师的角色是什么？F应当提出什么程度的控制？F什么人应当评价客户（IT）系统？IT audit trainingIT CONTROLS:S15/5forMarch 2007理解和存档客户的财务程序理解和存档客户的财务程序F审计师需要证明他/她理解金融系统和现行的控制F通过存档完成：V系统的业务流程V应用于每个阶段的控制F审计师应当明确客户可能有的任何应用软件稳定行IT audit trainingIT CONTROLS:S15/6forM

3、arch 2007输入控制目标输入控制目标F输入控制用于确保所有的业务：V正确输入的(M,V)V完全的(C)V有效的(O,R&O)V被许可的(R)V进入了正确会计阶段(O)V给予正确的账目代码(D)IT audit trainingIT CONTROLS:S15/7forMarch 2007输入许可输入许可F许可控制减少了由错误，欺骗和不规则交易所造成的风险F传统上使用签名，人名的第一个字母或者许可印章F许可可以由用户的计算机编号和编号所赋予的特权来控制。IT audit trainingIT CONTROLS:S15/8forMarch 2007输入的完整性输入的完整性F确保数据接受和输入的

4、完整性的控制包括：V交易传送日志V使用预先标号的输入形式V使用预习标号的批处理形式V批处理总数V预期和例行程序IT audit trainingIT CONTROLS:S15/9forMarch 2007批处理批处理F将交易收集在一起成批F批处理标题用于记录：V批的数目V交易的数目V关键领域的总数批控制总数F计算机对本身控制的总数和用户输入的批控制总数进行比较。IT audit trainingIT CONTROLS:S15/10forMarch 2007输入确认输入确认F可能人工或者自动F控制应当考虑以下的接受准则F减少了用户输入不正确数据所造成的风险F减少系统出错所造成的风险IT audi

5、t trainingIT CONTROLS:S15/11forMarch 2007输入确认输入确认：格式检查：格式检查F保证数据以可处理的格式输入，例如，数据顺序，文字和数字的字符组合，空间的使用，逗点F典型地被应用于：V数量V日期V账目代码IT audit trainingIT CONTROLS:S15/12forMarch 2007输入确认输入确认：值域值域/限制检查限制检查F预排程序的数据有阈值，通常用数字表示F上界值和下界值F由领域或者用户设置F减少“大”错误造成的风险输入超过界限请重试！IT audit trainingIT CONTROLS:S15/13forMarch 2007输

6、入确认输入确认：校验数字：校验数字F用于检查变换、抄写和随机的错误F计算出一个校验数字（09），并加到输入数据的末尾F为了计算校验数字，需要的3个信息V输入数字V权重V模数IT audit trainingIT CONTROLS:S15/14forMarch 2007输入确认输入确认比较和兼容性检查比较和兼容性检查比较F有效性检查比较输入数据和已知数据F已知数据通常是主文件或者标准数据F如果不匹配，输入将被拒绝F将减少由于欺骗、不正确的数据输入和记录错误所造成的风险兼容性F检查基于另一个领域的数据，这个领域的数据是合理的IT audit trainingIT CONTROLS:S15/15fo

7、rMarch 2007重复交易重复交易F问题V过多的交易V它们很相像V缺少人的直觉 F控制V标记交易V与现存记录比较V每个单元中交易的限制IT audit trainingIT CONTROLS:S15/16forMarch 2007文件和交易的匹配文件和交易的匹配F比较一个文件和另一个文件中的相关数据F如果明显地不同，系统将产生不同报告F使用包括：V股票系统和购买系统中数据匹配V薪水系统和人事记录系统中数据匹配 IT audit trainingIT CONTROLS:S15/17forMarch 2007拒绝输入数据拒绝输入数据F当控制发现有错误处理时将会发生什么？F典型地，处理包括：V直

8、接拒绝 V悬而待决IT audit trainingIT CONTROLS:S15/18forMarch 2007处理控制处理控制处理控制应当保证处理控制应当保证:F数据被适当处理；F所有的数据都被处理；F数据只被处理一次；F处理被应用到有效数据IT audit trainingIT CONTROLS:S15/19forMarch 2007R2R控制控制F基于由文件数据而来的总数，在处理工程中保持完整F比较“前”和“后”的总数F运行控制后可能接着一系列的处理进程F中心总数多次使用F杂乱的总数可以用于非数值数据IT audit trainingIT CONTROLS:S15/20forMarch

9、 2007独立控制账户独立控制账户F用于外部数据可用以及这些数据记录在外部控制账户之处F外部数据用于预测处理数据F如果显著不同，应当调查原因F当处理了不正确的数据文件时，用于揭示错误IT audit trainingIT CONTROLS:S15/21forMarch 2007数据文件控制记录数据文件控制记录F保持对记录总数文件和关键数据总数文件的分开记录F例如，在100个记录之前，有总数$120。在处理中，12个记录时加数值$15。之后：记录 100+12=112 总数$120+15=135软件应当加入记录并且进行比较IT audit trainingIT CONTROLS:S15/22fo

10、rMarch 2007交易确认和协调控制交易确认和协调控制F确认控制用于从一个处理阶段的输出另一个处理阶段的输入V例如，范围，合理性，确认，校验数字F协调控制V比较有相关信息的两个文件像以前一样，客户应该有应对处理错误像以前一样，客户应该有应对处理错误和故障的过程和故障的过程IT audit trainingIT CONTROLS:S15/23forMarch 2007输出控制输出控制输出控制应当保证计算化的输出是：V?V?V?V?.IT audit trainingIT CONTROLS:S15/24forMarch 2007期望期望期望F用户应当知道期望什么，以及什么时候期望输入的结果F能

11、够通过寄出/收到日 志来补充我的报告哪里去了IT audit trainingIT CONTROLS:S15/25forMarch 2007完全性控制完全性控制F输出总数可以和独立控制账户或者数据文件记录的内容相比较F页码（连续的）（y中的 x）F“报告结束”标记F“零报告”End of reportPage 1IT audit trainingIT CONTROLS:S15/26forMarch 2007输出保护输出保护F输出常常是缓存的例如，报告可能缓存在一个打印文件中，直到打印机可用F需要保护缓存文件F客户可能使用逻辑访问安全措施，包括加密缓存文件IT audit trainingIT

12、CONTROLS:S15/27forMarch 2007合理，合时和分配合理，合时和分配合理F输出应当符合用户的预期F由用户或者IT部门负责计算机输出合理性的初始检查F最终责任在于用户合时F在合理的时间内或者依照时间表，输出对于用户应当是可用的分配F输出应该到达正确的人选，并且传输是安全的IT audit trainingIT CONTROLS:S15/28forMarch 2007报表记录器报表记录器F现代金融软件一个通常的功用/特征F允许用户从数据库中得到他们需要的信息F用户可以由电子数据表下载报告F在系统发展/获得过程中，用户应当详细说明他们需要什么样的标准报告IT audit trai

13、ningIT CONTROLS:S15/29forMarch 2007 用户定义报告用户定义报告F用户定义报告很可能会有错误F可能的问题包括：V逻辑错误V使用不完整的数据V使用过时的数据V破坏安全（比如，泄漏了敏感信息）1+1=3IT audit trainingIT CONTROLS:S15/30forMarch 2007报告书写控制报告书写控制(I)F系统发展控制F打印出报告的提取逻辑F标准报告/准则更宽的范围F限制对报告记录器的访问IT audit trainingIT CONTROLS:S15/31forMarch 2007报告书写控制报告书写控制(II)F使用监控F日期/时间标志报告

14、F报告控制的总数和数据文件一致IT audit trainingIT CONTROLS:S15/32forMarch 2007实时系统实时系统F代替批处理系统F因此抛弃了传统的批处理控制F可能的问题包括：V丢失了审计标志 V不能保证交易输入是完整的V减少了错误报告的需要V缺少从R2R完整性检查得到的控制总数V当数据准备处理时，不能得到反馈V缺乏对标准数据变化的控制IT audit trainingIT CONTROLS:S15/33forMarch 2007实时系统的预防性控制实时系统的预防性控制F逻辑访问控制F实时输入确认F报告安全事故的日志文件的使用F完整性检查IT audit train

15、ingIT CONTROLS:S15/34forMarch 2007实时系统的检测性控制实时系统的检测性控制F一对一检查F回顾式的批处理F异常报告F悬而未决的账目报告F和外部控制账户比较IT audit trainingIT CONTROLS:S15/35forMarch 2007数据库系统数据库系统F保证数据库中交易数据的完整性依赖于通常IT环境中的控制F软件控制数据库的“前门”，通常的控制限制从“后门”进入F任命数据库管理员IT audit trainingIT CONTROLS:S15/36forMarch 2007 数据库控制数据库控制F限制访问数据库的功能/工具F在系统发展中数据库的

16、严格检查F数据库完整性检查F保持数据字典更新F不接受表面的数据库报告F文件IT audit trainingIT CONTROLS:S15/37forMarch 2007数据库备份和恢复数据库备份和恢复F检查备份和恢复程序F数据库恢复V检查点、转储、重开始控制V回转和向前IT audit trainingIT CONTROLS:S15/38forMarch 2007分布式系统分布式系统F越来越多地使用分布式系统F数据分布在网络上，需要网络和通讯控制F要求有效的逻辑访问控制和审计日志IT audit trainingIT CONTROLS:S15/39forMarch 2007数据矛盾数据矛盾解决数据相容问题的机制F本地副本中的数据更新V所有的更新反映在所有文件中 F数据中心存储和远程访问V所有的更新只反映在中央文件中IT audit trainingIT CONTROLS:S15/40forMarch 2007数据库的访问控制策略数据库的访问控制策略关系型关系型DBMS安全安全F视图的使用和控制F使用结构化查询语言(SQL)的GRANT和 REVOKE 语句F查询修改的使用IT audit trainingIT CONTROLS:S15/41forMarch 2007面向对象面向对象DBMS 安全安全FORION授权的模型：区分对象的访问F数据隐藏：允许执行F等等