【正文】 有效以及數(shù)據(jù)輸入的合法性的情況。 輸入控制的審計(jì)的主要內(nèi)容包括： （ 1）輸入權(quán)限控制； （ 2）輸入完整性控制； （ 3）數(shù)據(jù)有效性控制； （ 4）輸入格式檢查； （ 5）輸入數(shù)據(jù)范圍檢查； （ 6）校驗(yàn)； （ 7）有效性檢查； （ 8）相容性檢查； （ 9）數(shù)據(jù)重復(fù)控制； （ 10）數(shù)據(jù)相關(guān)性檢查； （ 11）輸入異常處理 。 目 錄 上一頁 下一頁 退 出 117 CAIS內(nèi)部控制的審計(jì) 處理控制的審計(jì) 目的：審查處理控制是否能確保數(shù)據(jù)被正確的處理、 所有數(shù)據(jù)都被處理、數(shù)據(jù)未被重復(fù)處理、處 理的數(shù)據(jù)是有效的，等。 處理控制的審計(jì)的主要內(nèi)容包括： （ 1）數(shù)據(jù)被處理前后保持一致； （ 2）數(shù)據(jù)有效性檢查； （ 3）處理與數(shù)據(jù)的非相關(guān)檢查； （ 4）數(shù)據(jù)處理的完整性與一致性； （ 5）處理的有效性； （ 6）文件訪問沖突控制； （ 7）錯(cuò)誤控制。 目 錄 上一頁 下一頁 退 出 118 CAIS內(nèi)部控制的審計(jì) 輸出控制的審計(jì) 目的：審查輸出數(shù)據(jù)控制是否能確保輸出數(shù)據(jù)的完整、有效、保密等。 處理控制的審計(jì)的主要內(nèi)容包括： （ 1）輸出異常的處理； （ 2）數(shù)據(jù)輸出完整性； （ 3）輸出數(shù)據(jù)的保護(hù)； （ 4）輸出結(jié)果符合要求； （ 5）輸出數(shù)據(jù)的及時(shí)性； （ 6）輸出被合適地發(fā)布。 目 錄 上一頁 下一頁 退 出 119 CAIS內(nèi)部控制的審計(jì)步驟 (一 )了解并描述內(nèi)部控制 調(diào)查方法：詢問、觀察、查閱文檔資料、檢測(cè)工具 描述方法：文字描述法、內(nèi)部控制調(diào)查表法、流程 圖法 (二 )符合性測(cè)試 人工控制審查方法：詢問、觀察、檢查文檔資料、 發(fā)放調(diào)查問卷等 程序控制審查方法：人工控制審查方法、計(jì)算機(jī)輔 助審計(jì)技術(shù) (三 )評(píng)價(jià)內(nèi)部控制 評(píng)價(jià)目標(biāo)：確定被審單位的內(nèi)部控制是否達(dá)到了電算化條件下應(yīng)有的控制目標(biāo)，內(nèi)部控制是否有重大缺陷，有無過控 或欠控之處，已設(shè)立的控制是否有效執(zhí)行。 結(jié)果處理：對(duì)被審單位控制的薄弱環(huán)節(jié)提出管理建議，并形成文檔 ——管理建議書； 調(diào)整。 目 錄 上一頁 下一頁 退 出 120 CAIS內(nèi)部控制的審計(jì)步驟 內(nèi)部控制評(píng)價(jià)指標(biāo)簡介： 內(nèi)部控制的審計(jì)評(píng)價(jià)指標(biāo)通常分為一般性指標(biāo)和具體指標(biāo) （一）信息系統(tǒng)內(nèi)部控制審計(jì)評(píng)價(jià)的一般性指標(biāo) 指為保證信息系統(tǒng)安全運(yùn)行所制定的內(nèi)部控制制度應(yīng)遵 循的原則和達(dá)到的目標(biāo)，包括： 信息系統(tǒng)內(nèi)部控制的完整性； 信息系統(tǒng)內(nèi)部控制的合理性； 信息系統(tǒng)內(nèi)部控制的有效性。 （二）信息系統(tǒng)內(nèi)部控制審計(jì)評(píng)價(jià)的具體指標(biāo) 指對(duì)信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容方面的審計(jì)評(píng)價(jià)指標(biāo)， 是對(duì)信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容的具體評(píng)價(jià)。 目 錄 上一頁 下一頁 退 出 121 第六節(jié) 內(nèi)部控制審計(jì)實(shí)例 一、被審單位基本情況 二、被審電算化系統(tǒng) —— 銷售和收款系統(tǒng)說明 三、系統(tǒng)的內(nèi)部控制制度 四、收集審計(jì)證據(jù) 五、審計(jì)證據(jù)的分析與報(bào)告 目 錄 上一頁 下一頁 退 出 122 實(shí)例 某審計(jì)機(jī)構(gòu)對(duì)對(duì)某酒店開展了信息系統(tǒng)審計(jì)。 審計(jì)目的：酒店信息系統(tǒng)的安全性、可靠性 審計(jì)步驟： 計(jì)劃階段。 通過了解情況、評(píng)估內(nèi)部控制等環(huán)節(jié)，根據(jù)審計(jì)目的，確定了： 審計(jì)重點(diǎn)：年審日?qǐng)?bào)匯總系統(tǒng)、會(huì)議團(tuán)體客房轉(zhuǎn)賬和業(yè)務(wù)系統(tǒng)與財(cái) 務(wù)核算系統(tǒng)手工傳輸數(shù)據(jù)三個(gè)系統(tǒng)模塊作為對(duì)信息系統(tǒng)進(jìn)行安 全性、可靠性測(cè)試的重點(diǎn)。 涉及方法：繪制組織機(jī)構(gòu)圖、系統(tǒng)流程圖和現(xiàn)場(chǎng)走訪等方式。 審計(jì)實(shí)施。 （ 1）通過詳細(xì)了解信息系統(tǒng)的數(shù)據(jù)庫結(jié)構(gòu)，對(duì)比數(shù)據(jù)庫中表文件的記錄數(shù)量大小和字段完整程度，確定需要查詢的數(shù)據(jù)庫表文件，將主表的數(shù)據(jù)完整性作為重點(diǎn)的測(cè)試目標(biāo)。 目 錄 上一頁 下一頁 退 出 123 實(shí)例 （ 2）通過測(cè)試數(shù)據(jù)的真實(shí)完整性來審計(jì)信息系統(tǒng)的安全性和可靠性。 （ 3）通過摸清酒店的業(yè)務(wù)流程，跟蹤基礎(chǔ)數(shù)據(jù)流在業(yè)務(wù)流程中的走向，鎖定數(shù)據(jù)的大量運(yùn)算點(diǎn)，從而確定審計(jì)方向的關(guān)鍵。 （ 4）針對(duì)數(shù)據(jù)在運(yùn)算、自動(dòng)傳輸和手工傳輸過程中存在發(fā)生錯(cuò)誤和被調(diào)整修改的可能性，因此利用計(jì)算機(jī)輔助審計(jì)技術(shù)進(jìn)行了驗(yàn)證。 （ 5）在驗(yàn)證過程中，通過分步驟編寫查詢語句和程序，調(diào)出數(shù)據(jù)生成中間表進(jìn)行比對(duì)，發(fā)現(xiàn)疑點(diǎn)，根據(jù)疑點(diǎn)特征繼續(xù)比對(duì)，直到發(fā)現(xiàn)錯(cuò)誤點(diǎn)。 審計(jì)完成 通過審計(jì)測(cè)試，發(fā)現(xiàn)信息系統(tǒng)在數(shù)據(jù)傳輸和運(yùn)算上存在錯(cuò)誤，通過數(shù)據(jù)驗(yàn)證，證明錯(cuò)誤產(chǎn)生的原因是由信息系統(tǒng)本身缺陷造成的。 上述審計(jì)結(jié)果得到了被審計(jì)單位的認(rèn)可，促使被審計(jì)單位更換了信息系統(tǒng)，提高了計(jì)算機(jī)管理水平。 目 錄 上一頁 下一頁 退 出 124 思考題 1． CAIS的內(nèi)部控制與傳統(tǒng)控制相比有何變化 ？ 2． CAIS的內(nèi)部控制有哪些分類標(biāo)準(zhǔn) ? 3． CAIS的風(fēng)險(xiǎn)有哪些 ?如何理解計(jì)算機(jī)環(huán)境下的審計(jì)風(fēng)險(xiǎn) ？ 4． CAIS的一般控制有哪些 ? 5． CAIS的應(yīng)用控制有哪些 ？ 6． 如何對(duì) CAIS的內(nèi)部控制進(jìn)行審計(jì) ? 目 錄 上一頁 下一頁 退 出 125 練習(xí)題 MMI是一個(gè)制藥公司，通過直接郵寄的方式折價(jià)銷售處方藥。MMI有幾個(gè)系統(tǒng)程序員負(fù)責(zé)設(shè)計(jì)和編寫 MMI的客戶化軟件。 MMI經(jīng)歷了重大的銷售增長，與此同時(shí)，處方藥的成本在增長，銷售額增長的一個(gè)結(jié)果是 MMI自建了計(jì)算機(jī)硬件設(shè)施。計(jì)算機(jī)中心安裝在兩層總部大樓的底層，有巨大的玻璃窗戶展示公司成就以吸引客戶和投資者的關(guān)注。計(jì)算機(jī)區(qū)域安裝了高科技的防火設(shè)備和備用電力供應(yīng)設(shè)備。 MMI雇用了少量計(jì)算機(jī)運(yùn)維人員來維護(hù)計(jì)算機(jī)中心。 MMI系統(tǒng)和開發(fā)人員也在同一個(gè)樓里，他們可以進(jìn)入計(jì)算機(jī)中心，并在運(yùn)維人員不夠時(shí)自行測(cè)試新的程序并進(jìn)行程序變更。當(dāng)系統(tǒng)數(shù)量和開發(fā)人員數(shù)量都很少時(shí)，工作需求增長了，系統(tǒng)代碼開發(fā)文檔只在有時(shí)間的時(shí)候才會(huì)編寫。MMI對(duì)程序和數(shù)據(jù)定期進(jìn)行異地備份。很不幸，因?yàn)檫B續(xù)幾天的大雨， MMI的建筑遭受了嚴(yán)重的大水，一樓漫過幾英寸，影響到硬件設(shè)備、數(shù)據(jù)和程序。請(qǐng)指出 MMI的兩處與計(jì)算機(jī)相關(guān)的內(nèi)部控制缺陷，并提出糾正性措施。 目 錄 上一頁 下一頁 退 出 126 練習(xí)題 在一個(gè)計(jì)算機(jī)環(huán)境下，下列哪一種訪問設(shè)置是適當(dāng)?shù)模? 對(duì)生產(chǎn)數(shù)據(jù)的修改訪問權(quán) 對(duì)生產(chǎn)程序的修改訪問權(quán) 用戶擁有 應(yīng)用程序員擁有 用戶擁有 應(yīng)用程序員擁有 A、是 否 否 否 B、是 否 否 是 C、否 是 是 否 D、否 是 是 是 答案： A 解題思路： A、正確。用戶需要通過應(yīng)用程序修改數(shù)據(jù)。 B、不正確。應(yīng)用程序員應(yīng)不能直接修改生產(chǎn)程序，而應(yīng)該將修改內(nèi)容提交給變動(dòng)控制部門。 C、不正確。應(yīng)用程序員不能直接修改生產(chǎn)數(shù)據(jù)，用戶也不應(yīng)修改生產(chǎn)程序。 D、不正確。 目 錄 上一頁 下一頁 退 出 127 練習(xí)題 要防止將字母符號(hào)輸入到完全是數(shù)字識(shí)別的區(qū)域，可以應(yīng)用以下哪種技術(shù) Ａ、存在性檢驗(yàn) Ｂ、檢驗(yàn)數(shù)位 Ｃ、相關(guān)性檢驗(yàn) Ｄ、格式檢驗(yàn) 答案：Ｄ 解題思路：答案 A、 B、 C均不正確。見題解Ｄ。 答案Ｄ正確。格式檢驗(yàn)檢查字符內(nèi)容的特征，長度，或某個(gè)數(shù)據(jù)字段的符號(hào)。 目 錄 上一頁 下一頁 退 出 128 練習(xí)題 在一個(gè)大型組織里，信息中心幫助平臺(tái)沒有配備足夠人員的最大的風(fēng)險(xiǎn)是 Ａ、增加了實(shí)施應(yīng)用審計(jì)的難度 B、應(yīng)用系統(tǒng)缺乏足夠的文檔 C、增加了使用未經(jīng)授權(quán)的程序代碼的可能性 D、用戶操作系統(tǒng)時(shí)不斷出現(xiàn)錯(cuò)誤 答案： D 解題思路：答案 A、 B、 C均不正確。見題解 D。 答案 D正確。信息中心幫助平臺(tái)沒有配備足夠人員的最大風(fēng)險(xiǎn)是用戶在和系統(tǒng)交互過程中將無意識(shí)地持續(xù)出錯(cuò)。 目 錄 上一頁 下一頁 退 出 129 練習(xí)題 以下哪項(xiàng)是信息系統(tǒng)安全性有關(guān)的高層管理人員的重要責(zé)任。 A、評(píng)價(jià)風(fēng)險(xiǎn)； B、分配訪問特權(quán)； C、明確數(shù)據(jù)的所有權(quán)； D、就安全事項(xiàng)培訓(xùn)雇員。 答案： A 解題思路：答案 A正確。評(píng)價(jià)風(fēng)險(xiǎn)是信息系統(tǒng)安全性有關(guān)的高層管理人員的重要責(zé)任。 答案 B、 C、 D均不正確。見題解 A。 目 錄 上一頁 下一頁 退 出 130 練習(xí)題 在審查某公司對(duì)外出售已用過微機(jī)的政策時(shí)，審計(jì)人員最關(guān)心的是以下哪項(xiàng)內(nèi)容？ A、硬盤驅(qū)動(dòng)器上已經(jīng)刪除的文件是否徹底消除 B、電腦是否有病毒 C、電腦上的所有軟件是否獲得恰當(dāng)許可 D、電腦上是否存在終端仿真軟件 答案： A 解題思路：答案 A正確。多數(shù)刪除程序只是刪除文件的指針，而并不清除相關(guān)的數(shù)據(jù)，公司要徹底清除數(shù)據(jù)就必須使用特殊的工具，因?yàn)槲C(jī)上可能存有機(jī)密的數(shù)據(jù)，所以這樣做很重要。 答案 B、 C、 D均不正確。見題解 A。 131 第三章 會(huì)計(jì)信息系統(tǒng)開發(fā)審計(jì) 目 錄 上一頁 下一頁 退 出 目 錄 上一頁 下一頁 退 出 132 本 章 教學(xué)目的與要求 通過本章的教學(xué)要求學(xué)生達(dá)到下列要求： ⑴ 了解系統(tǒng)開發(fā)審計(jì)的目標(biāo) ⑵ 掌握系統(tǒng)開發(fā)審計(jì)的內(nèi)容 ⑶ 學(xué)會(huì)系統(tǒng)開發(fā)審計(jì)方法 ⑷ 了解相關(guān)規(guī)范與標(biāo)準(zhǔn) 目 錄 上一頁 下一頁 退 出 133 本 章 教學(xué)內(nèi)容 系統(tǒng)開發(fā)審計(jì)的目標(biāo) 系統(tǒng)開發(fā)各個(gè)階段的審計(jì)內(nèi)容與方法 CMMi、開發(fā)項(xiàng)目的管理規(guī)范 目 錄 上一頁 下一頁 退 出 134 本 章 教學(xué)的重點(diǎn) 為了實(shí)現(xiàn)本章教學(xué)目的，在教學(xué)過過程中應(yīng)以下列 內(nèi)容作為本章教學(xué)重點(diǎn)： ⑴ 系統(tǒng)開發(fā)各個(gè)階段的審計(jì)內(nèi)容 ⑵ 系統(tǒng)開發(fā)審計(jì)的方法及依據(jù) 目 錄 上一頁 下一頁 退 出 135 本 章 教學(xué)難點(diǎn) ⑴ 系統(tǒng)開發(fā)審計(jì)的內(nèi)容 ⑵ 如何進(jìn)行系統(tǒng)開發(fā)的審計(jì) 目 錄 上一頁 下一頁 退 出 136 第一節(jié) 系統(tǒng)開發(fā)審計(jì)的目標(biāo) 一、系統(tǒng)開發(fā)審計(jì)及其必要性 系統(tǒng)開發(fā)過程審計(jì) 指當(dāng)企業(yè)開始開發(fā)一個(gè)新的電算化會(huì)計(jì)信息系統(tǒng)時(shí)（需要指出的是，本章所講的系統(tǒng)更多時(shí)候指的是電算化的信息系統(tǒng)，其實(shí)并不是僅限于會(huì)計(jì)系統(tǒng)），或者當(dāng)企業(yè)對(duì)一個(gè)原有的電算化信息系統(tǒng)進(jìn)行較大修改時(shí)，審計(jì)人員需要對(duì)這個(gè)過程進(jìn)行審計(jì)。這里強(qiáng)調(diào)的是一種事前或事中的審計(jì)。 系統(tǒng)開發(fā)過程的審計(jì)可以由內(nèi)部審計(jì)人員或外部審計(jì)人員來做。因?yàn)橄到y(tǒng)開發(fā)過程周期比較長，內(nèi)部審計(jì)人員更可能全程參與，及時(shí)開展各種審計(jì)工作。外部審計(jì)人員的參與往往是在幾個(gè)重要的時(shí)點(diǎn)，如系統(tǒng)開發(fā)由一個(gè)階段轉(zhuǎn)向另一個(gè)階段、系統(tǒng)要交付實(shí)際運(yùn)行等。 目 錄 上一頁 下一頁