【正文】 有效以及數(shù)據(jù)輸入的合法性的情況。 輸入控制的審計的主要內(nèi)容包括： （ 1）輸入權(quán)限控制； （ 2）輸入完整性控制； （ 3）數(shù)據(jù)有效性控制； （ 4）輸入格式檢查； （ 5）輸入數(shù)據(jù)范圍檢查； （ 6）校驗； （ 7）有效性檢查； （ 8）相容性檢查； （ 9）數(shù)據(jù)重復控制； （ 10）數(shù)據(jù)相關(guān)性檢查； （ 11）輸入異常處理 。 目 錄 上一頁 下一頁 退 出 117 CAIS內(nèi)部控制的審計 處理控制的審計 目的：審查處理控制是否能確保數(shù)據(jù)被正確的處理、 所有數(shù)據(jù)都被處理、數(shù)據(jù)未被重復處理、處 理的數(shù)據(jù)是有效的，等。 處理控制的審計的主要內(nèi)容包括： （ 1）數(shù)據(jù)被處理前后保持一致； （ 2）數(shù)據(jù)有效性檢查； （ 3）處理與數(shù)據(jù)的非相關(guān)檢查； （ 4）數(shù)據(jù)處理的完整性與一致性； （ 5）處理的有效性； （ 6）文件訪問沖突控制； （ 7）錯誤控制。 目 錄 上一頁 下一頁 退 出 118 CAIS內(nèi)部控制的審計 輸出控制的審計 目的：審查輸出數(shù)據(jù)控制是否能確保輸出數(shù)據(jù)的完整、有效、保密等。 處理控制的審計的主要內(nèi)容包括： （ 1）輸出異常的處理； （ 2）數(shù)據(jù)輸出完整性； （ 3）輸出數(shù)據(jù)的保護； （ 4）輸出結(jié)果符合要求； （ 5）輸出數(shù)據(jù)的及時性； （ 6）輸出被合適地發(fā)布。 目 錄 上一頁 下一頁 退 出 119 CAIS內(nèi)部控制的審計步驟 (一 )了解并描述內(nèi)部控制 調(diào)查方法：詢問、觀察、查閱文檔資料、檢測工具 描述方法：文字描述法、內(nèi)部控制調(diào)查表法、流程 圖法 (二 )符合性測試 人工控制審查方法：詢問、觀察、檢查文檔資料、 發(fā)放調(diào)查問卷等 程序控制審查方法：人工控制審查方法、計算機輔 助審計技術(shù) (三 )評價內(nèi)部控制 評價目標：確定被審單位的內(nèi)部控制是否達到了電算化條件下應有的控制目標，內(nèi)部控制是否有重大缺陷，有無過控 或欠控之處，已設(shè)立的控制是否有效執(zhí)行。 結(jié)果處理：對被審單位控制的薄弱環(huán)節(jié)提出管理建議，并形成文檔 ——管理建議書； 調(diào)整。 目 錄 上一頁 下一頁 退 出 120 CAIS內(nèi)部控制的審計步驟 內(nèi)部控制評價指標簡介： 內(nèi)部控制的審計評價指標通常分為一般性指標和具體指標 （一）信息系統(tǒng)內(nèi)部控制審計評價的一般性指標 指為保證信息系統(tǒng)安全運行所制定的內(nèi)部控制制度應遵 循的原則和達到的目標，包括： 信息系統(tǒng)內(nèi)部控制的完整性； 信息系統(tǒng)內(nèi)部控制的合理性； 信息系統(tǒng)內(nèi)部控制的有效性。 （二）信息系統(tǒng)內(nèi)部控制審計評價的具體指標 指對信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容方面的審計評價指標， 是對信息系統(tǒng)內(nèi)部控制相關(guān)內(nèi)容的具體評價。 目 錄 上一頁 下一頁 退 出 121 第六節(jié) 內(nèi)部控制審計實例 一、被審單位基本情況 二、被審電算化系統(tǒng) —— 銷售和收款系統(tǒng)說明 三、系統(tǒng)的內(nèi)部控制制度 四、收集審計證據(jù) 五、審計證據(jù)的分析與報告 目 錄 上一頁 下一頁 退 出 122 實例 某審計機構(gòu)對對某酒店開展了信息系統(tǒng)審計。 審計目的：酒店信息系統(tǒng)的安全性、可靠性 審計步驟： 計劃階段。 通過了解情況、評估內(nèi)部控制等環(huán)節(jié)，根據(jù)審計目的，確定了： 審計重點：年審日報匯總系統(tǒng)、會議團體客房轉(zhuǎn)賬和業(yè)務系統(tǒng)與財 務核算系統(tǒng)手工傳輸數(shù)據(jù)三個系統(tǒng)模塊作為對信息系統(tǒng)進行安 全性、可靠性測試的重點。 涉及方法：繪制組織機構(gòu)圖、系統(tǒng)流程圖和現(xiàn)場走訪等方式。 審計實施。 （ 1）通過詳細了解信息系統(tǒng)的數(shù)據(jù)庫結(jié)構(gòu)，對比數(shù)據(jù)庫中表文件的記錄數(shù)量大小和字段完整程度，確定需要查詢的數(shù)據(jù)庫表文件，將主表的數(shù)據(jù)完整性作為重點的測試目標。 目 錄 上一頁 下一頁 退 出 123 實例 （ 2）通過測試數(shù)據(jù)的真實完整性來審計信息系統(tǒng)的安全性和可靠性。 （ 3）通過摸清酒店的業(yè)務流程，跟蹤基礎(chǔ)數(shù)據(jù)流在業(yè)務流程中的走向，鎖定數(shù)據(jù)的大量運算點，從而確定審計方向的關(guān)鍵。 （ 4）針對數(shù)據(jù)在運算、自動傳輸和手工傳輸過程中存在發(fā)生錯誤和被調(diào)整修改的可能性，因此利用計算機輔助審計技術(shù)進行了驗證。 （ 5）在驗證過程中，通過分步驟編寫查詢語句和程序，調(diào)出數(shù)據(jù)生成中間表進行比對，發(fā)現(xiàn)疑點，根據(jù)疑點特征繼續(xù)比對，直到發(fā)現(xiàn)錯誤點。 審計完成 通過審計測試，發(fā)現(xiàn)信息系統(tǒng)在數(shù)據(jù)傳輸和運算上存在錯誤，通過數(shù)據(jù)驗證，證明錯誤產(chǎn)生的原因是由信息系統(tǒng)本身缺陷造成的。 上述審計結(jié)果得到了被審計單位的認可，促使被審計單位更換了信息系統(tǒng)，提高了計算機管理水平。 目 錄 上一頁 下一頁 退 出 124 思考題 1． CAIS的內(nèi)部控制與傳統(tǒng)控制相比有何變化 ？ 2． CAIS的內(nèi)部控制有哪些分類標準 ? 3． CAIS的風險有哪些 ?如何理解計算機環(huán)境下的審計風險 ？ 4． CAIS的一般控制有哪些 ? 5． CAIS的應用控制有哪些 ？ 6． 如何對 CAIS的內(nèi)部控制進行審計 ? 目 錄 上一頁 下一頁 退 出 125 練習題 MMI是一個制藥公司，通過直接郵寄的方式折價銷售處方藥。MMI有幾個系統(tǒng)程序員負責設(shè)計和編寫 MMI的客戶化軟件。 MMI經(jīng)歷了重大的銷售增長，與此同時，處方藥的成本在增長，銷售額增長的一個結(jié)果是 MMI自建了計算機硬件設(shè)施。計算機中心安裝在兩層總部大樓的底層，有巨大的玻璃窗戶展示公司成就以吸引客戶和投資者的關(guān)注。計算機區(qū)域安裝了高科技的防火設(shè)備和備用電力供應設(shè)備。 MMI雇用了少量計算機運維人員來維護計算機中心。 MMI系統(tǒng)和開發(fā)人員也在同一個樓里，他們可以進入計算機中心，并在運維人員不夠時自行測試新的程序并進行程序變更。當系統(tǒng)數(shù)量和開發(fā)人員數(shù)量都很少時，工作需求增長了，系統(tǒng)代碼開發(fā)文檔只在有時間的時候才會編寫。MMI對程序和數(shù)據(jù)定期進行異地備份。很不幸，因為連續(xù)幾天的大雨， MMI的建筑遭受了嚴重的大水，一樓漫過幾英寸，影響到硬件設(shè)備、數(shù)據(jù)和程序。請指出 MMI的兩處與計算機相關(guān)的內(nèi)部控制缺陷，并提出糾正性措施。 目 錄 上一頁 下一頁 退 出 126 練習題 在一個計算機環(huán)境下，下列哪一種訪問設(shè)置是適當?shù)模? 對生產(chǎn)數(shù)據(jù)的修改訪問權(quán) 對生產(chǎn)程序的修改訪問權(quán) 用戶擁有 應用程序員擁有 用戶擁有 應用程序員擁有 A、是 否 否 否 B、是 否 否 是 C、否 是 是 否 D、否 是 是 是 答案： A 解題思路： A、正確。用戶需要通過應用程序修改數(shù)據(jù)。 B、不正確。應用程序員應不能直接修改生產(chǎn)程序，而應該將修改內(nèi)容提交給變動控制部門。 C、不正確。應用程序員不能直接修改生產(chǎn)數(shù)據(jù)，用戶也不應修改生產(chǎn)程序。 D、不正確。 目 錄 上一頁 下一頁 退 出 127 練習題 要防止將字母符號輸入到完全是數(shù)字識別的區(qū)域，可以應用以下哪種技術(shù) Ａ、存在性檢驗 Ｂ、檢驗數(shù)位 Ｃ、相關(guān)性檢驗 Ｄ、格式檢驗 答案：Ｄ 解題思路：答案 A、 B、 C均不正確。見題解Ｄ。 答案Ｄ正確。格式檢驗檢查字符內(nèi)容的特征，長度，或某個數(shù)據(jù)字段的符號。 目 錄 上一頁 下一頁 退 出 128 練習題 在一個大型組織里，信息中心幫助平臺沒有配備足夠人員的最大的風險是 Ａ、增加了實施應用審計的難度 B、應用系統(tǒng)缺乏足夠的文檔 C、增加了使用未經(jīng)授權(quán)的程序代碼的可能性 D、用戶操作系統(tǒng)時不斷出現(xiàn)錯誤 答案： D 解題思路：答案 A、 B、 C均不正確。見題解 D。 答案 D正確。信息中心幫助平臺沒有配備足夠人員的最大風險是用戶在和系統(tǒng)交互過程中將無意識地持續(xù)出錯。 目 錄 上一頁 下一頁 退 出 129 練習題 以下哪項是信息系統(tǒng)安全性有關(guān)的高層管理人員的重要責任。 A、評價風險； B、分配訪問特權(quán)； C、明確數(shù)據(jù)的所有權(quán)； D、就安全事項培訓雇員。 答案： A 解題思路：答案 A正確。評價風險是信息系統(tǒng)安全性有關(guān)的高層管理人員的重要責任。 答案 B、 C、 D均不正確。見題解 A。 目 錄 上一頁 下一頁 退 出 130 練習題 在審查某公司對外出售已用過微機的政策時，審計人員最關(guān)心的是以下哪項內(nèi)容？ A、硬盤驅(qū)動器上已經(jīng)刪除的文件是否徹底消除 B、電腦是否有病毒 C、電腦上的所有軟件是否獲得恰當許可 D、電腦上是否存在終端仿真軟件 答案： A 解題思路：答案 A正確。多數(shù)刪除程序只是刪除文件的指針，而并不清除相關(guān)的數(shù)據(jù)，公司要徹底清除數(shù)據(jù)就必須使用特殊的工具，因為微機上可能存有機密的數(shù)據(jù)，所以這樣做很重要。 答案 B、 C、 D均不正確。見題解 A。 131 第三章 會計信息系統(tǒng)開發(fā)審計 目 錄 上一頁 下一頁 退 出 目 錄 上一頁 下一頁 退 出 132 本 章 教學目的與要求 通過本章的教學要求學生達到下列要求： ⑴ 了解系統(tǒng)開發(fā)審計的目標 ⑵ 掌握系統(tǒng)開發(fā)審計的內(nèi)容 ⑶ 學會系統(tǒng)開發(fā)審計方法 ⑷ 了解相關(guān)規(guī)范與標準 目 錄 上一頁 下一頁 退 出 133 本 章 教學內(nèi)容 系統(tǒng)開發(fā)審計的目標 系統(tǒng)開發(fā)各個階段的審計內(nèi)容與方法 CMMi、開發(fā)項目的管理規(guī)范 目 錄 上一頁 下一頁 退 出 134 本 章 教學的重點 為了實現(xiàn)本章教學目的，在教學過過程中應以下列 內(nèi)容作為本章教學重點： ⑴ 系統(tǒng)開發(fā)各個階段的審計內(nèi)容 ⑵ 系統(tǒng)開發(fā)審計的方法及依據(jù) 目 錄 上一頁 下一頁 退 出 135 本 章 教學難點 ⑴ 系統(tǒng)開發(fā)審計的內(nèi)容 ⑵ 如何進行系統(tǒng)開發(fā)的審計 目 錄 上一頁 下一頁 退 出 136 第一節(jié) 系統(tǒng)開發(fā)審計的目標 一、系統(tǒng)開發(fā)審計及其必要性 系統(tǒng)開發(fā)過程審計 指當企業(yè)開始開發(fā)一個新的電算化會計信息系統(tǒng)時（需要指出的是，本章所講的系統(tǒng)更多時候指的是電算化的信息系統(tǒng)，其實并不是僅限于會計系統(tǒng)），或者當企業(yè)對一個原有的電算化信息系統(tǒng)進行較大修改時，審計人員需要對這個過程進行審計。這里強調(diào)的是一種事前或事中的審計。 系統(tǒng)開發(fā)過程的審計可以由內(nèi)部審計人員或外部審計人員來做。因為系統(tǒng)開發(fā)過程周期比較長，內(nèi)部審計人員更可能全程參與，及時開展各種審計工作。外部審計人員的參與往往是在幾個重要的時點，如系統(tǒng)開發(fā)由一個階段轉(zhuǎn)向另一個階段、系統(tǒng)要交付實際運行等。 目 錄 上一頁 下一頁