美国政府审计准则─电算化系统审计(2)
2017-05-08 01:19
导读:审计职员还应该检查数据文件的实物安全性;该项检查应保证,在可行的情况下,数据和文件档案资料由不能接触机和存取计算机程序的职员保管;文件档
审计职员还应该检查数据文件的实物安全性;该项检查应保证,在可行的情况下,数据和文件档案资料由不能接触机和存取计算机程序的职员保管;文件档案资料安全;计算机操纵员和其他职员不能随意接触文档资料;制订有文件备份的规定(包括另外存放备份文件的规定)。在文件联机存储的情况下,审计职员应该考虑是否采取了充分的存取授权控制措施以及备份文件是否有地进行拷贝。此外,审计职员还应检查数据备份文件是否做了适当的标志和标签、席计职员还需检查文件的以保证文件的完整性和正确性。对子程序备份文件也应建立同样严格的控制。
3.操纵系统控制。计算机系统通常由操纵系统(也常称为系统软件)控制。由于这些操纵系统通常具有数据治理、多道程序治理能力和文件标签检验,以及其他很多授权控制功能,因此,它们是计算机处理一般控制的组成部分。审计职员应该了解操纵系统能够执行的控制,并确定这些控制的利用程度以及未被利用的情况。审计职员应该知道哪些人维护操纵系统,或有能力修改操纵系统。这些人可能有意或无意地破坏操纵系统的控制,使其失效。
4.硬件控制。计算机硬件经常能够检查出硬件功能***而引起的错误。审计职员应该了解:(1)系统设施是如何依靠这些硬件控制的;(2)操纵系统如何利用这些硬件控制;(3)系统如何报告检查出的错误,以及纠正错误的程序。
二、电算化系统控制的检查
在对所有应用项目的数据处理的可靠性或完整性进行估计之前,必须对具体的应用控制和一般控制措施进行全面的评价。
依据这一准则进行审计工作有两个目的,兹分述如下:
(科教论文网 lw.nSeAc.com编辑发布)
1.与标准及批准的设计相符。第一个目的是确定建成的应用项目或系统是否符合适用的标准及最后批准的设计规格。审计职员遵循这一准则,可以为批准的规格,包括所有嵌进的内部控制(如输进、处理和输出控制),都已按要求装进系统,留有适当的文档资料,并经过了充分的测试提供公道的保证。
审计职员在测试数据的可靠性时,其测试应包括检查选择的测试业务的文档资料,测试业务记录与汇总的正确性,测试业务处理与控制手续的符合性。此外,审计职员可能希看通过测试选择的部分数据文件以确定可能的例外情况和数据转换或采集的正确性。假如数据文件以机器可读的形式保存,在适当的条件下,审计职员应当采用计算机辅助审计技术加以测试。
2.控制弱点的测试。第二个目的是测试内部控制和处理的数据的可靠性。在评价控制的充分性的基础上,这些测试可以发现应用项目或系统中的可能的弱点。这些审计应该具体考察应用项目或系统的优点和弱点、带来风险的环境等等。发现弱点后,审计职员应促使被审单位对应用系统进行纠正性修改,并趋于完善。此外,在实施测试时,审计职员还应留意,保证系同一贯按照最后批准的规格运行是非常困难的,因此,最重要的是以程序变动、程序文档以及操纵规程等进行充分的控制。尽管检查舞弊行为并非审计的首要目标,但审计职员必须对计算机系统中发现舞弊或其他分歧规行为的可能性保持高度的警惕。
