客户应该有应对处理错误和故障的过程ITaudittraining.PPTVIP

输入、处理和输出控制 第15讲 目标 介绍计算机化的业务处理中的三个步骤 明确可能用于交易处理系统中的控制 明确金融系统中最新的发展能够怎样影响审计师评价应用控制的方法 应用控制为了什么？ 应用控制用于保证账目记录的完整性、精确性和有效性 每个阶段应用的控制： 输入控制 处理控制 输出控制 责任 谁对保证适当的应用软件控制负有责任？ IT审计师的角色是什么？ 应当提出什么程度的控制？ 什么人应当评价客户（IT）系统？ 理解和存档客户的财务程序 审计师需要证明他/她理解金融系统和现行的控制 通过存档完成： 系统的业务流程 应用于每个阶段的控制 审计师应当明确客户可能有的任何应用软件稳定行 输入控制目标 输入控制用于确保所有的业务： 正确输入的(M,V) 完全的(C) 有效的(O, RO) 被许可的(R) 进入了正确会计阶段(O) 给予正确的账目代码(D) 输入许可 许可控制减少了由错误，欺骗和不规则交易所造成的风险 传统上使用签名，人名的第一个字母或者许可印章 许可可以由用户的计算机编号和编号所赋予的特权来控制。 输入的完整性 确保数据接受和输入的完整性的控制包括： 交易传送日志 使用预先标号的输入形式 使用预习标号的批处理形式 批处理总数 预期和例行程序 批处理 将交易收集在一起成批 批处理标题用于记录： 批的数目 交易的数目 关键领域的总数－批控制总数 计算机对本身控制的总数和用户输入的批控制总数进行比较。 输入确认 可能人工或者自动 控制应当考虑以下的接受准则 减少了用户输入不正确数据所造成的风险 减少系统出错所造成的风险 输入确认：格式检查 保证数据以可处理的格式输入，例如，数据顺序，文字和数字的字符组合，空间的使用，逗点 典型地被应用于： 数量 日期 账目代码 输入确认：值域/限制检查 预排程序的数据有阈值，通常用数字表示 上界值和下界值 由领域或者用户设置 减少“大”错误造成的风险 输入确认：校验数字 用于检查变换、抄写和随机的错误 计算出一个校验数字（0－9），并加到输入数据的末尾 为了计算校验数字，需要的3个信息 输入数字 权重 模数 输入确认比较和兼容性检查 比较 有效性检查比较输入数据和已知数据 已知数据通常是主文件或者标准数据 如果不匹配，输入将被拒绝 将减少由于欺骗、不正确的数据输入和记录错误所造成的风险 兼容性 检查基于另一个领域的数据，这个领域的数据是合理的 重复交易 问题 过多的交易 它们很相像 缺少人的直觉 控制 标记交易 与现存记录比较 每个单元中交易的限制 文件和交易的匹配 比较一个文件和另一个文件中的相关数据 如果明显地不同，系统将产生不同报告 使用包括： 股票系统和购买系统中数据匹配 薪水系统和人事记录系统中数据匹配 拒绝输入数据 当控制发现有错误处理时将会发生什么？ 典型地，处理包括： 直接拒绝 悬而待决 处理控制 处理控制应当保证: 数据被适当处理； 所有的数据都被处理； 数据只被处理一次； 处理被应用到有效数据 R2R控制 基于由文件数据而来的总数，在处理工程中保持完整 比较“前”和“后”的总数 运行控制后可能接着一系列的处理进程 中心总数多次使用 杂乱的总数可以用于非数值数据 独立控制账户 用于外部数据可用以及这些数据记录在外部控制账户之处 外部数据用于预测处理数据 如果显著不同，应当调查原因 当处理了不正确的数据文件时，用于揭示错误 数据文件控制记录 保持对记录总数文件和关键数据总数文件的分开记录 例如，在100个记录之前，有总数$120。 在处理中，12个记录时加数值$15。 之后： 记录 100+12=112 总数 $120+15=135 软件应当加入记录并且进行比较 交易确认和协调控制 确认控制用于从一个处理阶段的输出＝另一个处理阶段的输入 例如，范围，合理性，确认，校验数字 协调控制 比较有相关信息的两个文件 像以前一样，客户应该有应对处理错误和故障的过程 输出控制 输出控制应当保证计算化的输出是： ? ?? ??? ???? 期望 期望 用户应当知道期望什么，以及什么时候期望输入的结果 能够通过寄出/收到日 志来补充 完全性控制 输出总数可以和独立控制账户或者数据文件记录的内容相比较 页码（连续的）（‘y’中的 ‘x’） “报告结束”标记 “零报告” 输出保护 输出常常是缓存的 例如，报告可能缓存在一个打印文件中，直到打印机可用 需要保护缓存文件 客户可能使用逻辑访问安全措施，包括加密 合理，合时和分配 合理 输出应当符合用户的预期 由用户或者IT部门负责计算机输出合理性的初始检查 最终责任在于用户 合时 在合理的时间内或者依照时间表，输出对于用户应当是可用的 分配 输出