内部审计学第6章资料.pptVIP

第六章 主要内容 （4）广阔的电信网络支持，组织内部各个角落的网络终端直接连接与中央计算机系统或间接连接与外部网络。 （5）具有输入输出控制环节，数据处理以批处理模式进行，能控制数据输出速度。 （6）配备专业的数据安全负责人、通信分析师或质量控制专家等。 （一）一般控制（General Controls） 与所有的或者绝大多数的信息技术环境下的活动都相关的控制，包括信息系统处理的可靠性、数据和程序的完整性、数据处理的持续性以及对计算机设备以及数据文件使用的授权控制等。 一般控制包括以下几项： 组织控制、操作控制、文书控制、系统开发与编程控制、 硬件和系统软件控制、接触档案和档案资料保管控制。 1.组织控制 使用EDP的组织中，各部门间的职责分工应尽可能保留实行EDP之前的模式，或者是原有模式的扩展； EDP部门主要负责业务的记录及其相关的数据处理； EDP部门与用户部门的职责尽量分离，形成一种互相稽核、互相监督、互相制约的关系； 所有经EDP系统处理的业务都应经过适当授权，业务的筹划、执行和计算机处理审计之间应明确责任划分； EDP内部也应明确职责分工，保证不相容职责由不同的人承担并保证一个人能对其他人的工作进行检查； 在EDP中应适当进行人事监督和审计，适时考核评价，周期性轮换工作。 2.操作控制 EDP管理人员制定上机守则和操作规程，经常性进行检查，EDP管理人员应将手工日志与系统生成日志结合用于检查系统的日常工作情况； EDP操作人员执行操作控制，用于保证现行规章和实务处理规程得到遵守； 冗余技术对付硬件损坏、数据文件的丢失毁损等，实现异常状态下的数据恢复； EDP部门应制定年度工作计划和相应日程安排，保证系统运作。 冗余技术又称储备技术，它是利用系统的并联模型来提高系统可靠性的一种手段。 冗余分为：工作冗余和后备冗余。 工作冗余：是一种两个或以上的单元并行工作的并联模型。平时，由各处单元平均负担工作，因此工作能力有冗余。 后备冗余：平时只需一个单元工作，另一个单元是冗余的，用于待机备用。 实例：以计算机为例，其服务器及电源等重要设备，都采用”一用二备” 甚至”一用三备”的配置。正常工作时，几台服务器同时工作，互为备用。电源也是这样。一旦遇到停电或者机器故障，自动转到正常设备上继续运行。确保系统不停机，数据不丢失。　 3.文书控制 文书的编撰是信息处理系统中重要元素交流的手段。 文档编写应规范化，管理应该系统化、制度化。 力求文书做到： ——向管理层提供改进的应用系统的全貌； ——向客户提供说明材料； ——向新的使用者提供以前系统的背景知识，引导新系统的使用； ——为信息系统的使用提供必要的数据资料 4.系统开发与编程控制 首先，需要一个开发EDP系统的完整计划，制定合理目标，确定工作阶段和开发进度，进行资金筹措和费用预算，合理配备人员； 其次，开发过程中处理好人员的工作安排和责任划分，做好系统的整体规划，需求调查、性能检测、试运行、文档管理和审计控制等工作； 最后，静态测试与动态测试结合起来进行编程控制。 5.硬件与系统软件控制 硬件控制是构筑在计算机硬件设备内部的一种控制，用来检测并处理设备故障和错误，加强系统的可靠性。 ——奇偶检验：确保信息在不同设备之间传送时不被改变。 ——响应检查：保证在磁性介质读写工作完毕后作出相关回应。 系统软件： ——访问控制、隔离控制、加密变换和日志控制。 6.接触控制和档案资料保管控制（安全控制） 登录软件、序列号、系统口令等方法，保证资料的安全； 利用杀毒软件和安装系统检测程序防止病毒的侵入，慎用公用软件、外来软件和共享软件，定期检查系统，经常性备份。 （二）应用控制 应用控制与EDP所执行的特别任务有关，其目的在于确保应用系统对电子数据资产安全的保护，对数据一致性的保证以及对数据进行有效的加工。其功能是恰当地保证数据的记录、加工和报告过程的正确进行。 输入控制 处理控制 输出控制 1.输入控制 美国执业会计师协会认为：输入控制是指正式确认为进行电子数据处理(EDP)所可接受的数据，将其转换为机器能够感知的形态，并能为机器识别，而且要合理的保证数据没丢失、删除、外加、重复或不应有的变更。 输入控制包括对不正确的初始数据予以拒绝，或者给予修正后重新提供这方面的控制。 首先，制定适当制度以适当授权，严禁未授权的人员输入文件资料； 其次，做好输入的数据文件的审批工作，这种审批独立于信息系统部门之外，遵守职责分工。数据一经输入后就对其进行测试。 最后，纠正在测试中出现的问题的输入，并删除重复的无用的输入，添加必要的输入，保证输入的完整性与正确性。 处理控制 对计算机系统进行的内部数据处理活动的控制措施。处理控