广告服务 新浪微博 腾讯微博 微信公众号 欢迎投稿
首页 | 资讯 内控 财会 文库 服务 考试 法规 图片 视频 投稿信箱:tougao@shenji.cn 设为首页 | 收藏本站
文库频道
计算机信息系统交易数据输入控制 的审计方法

      就信息系统而言,交易数据输入控制是应用控制的核心。在信息系统审计的事项选择中,输入控制审计应作为必选事项,因为系统所承载的数据都需要录入或者导入,如果一个系统的输入控制设置不合规、不合理、不完整,那么系统源数据就得不到有效控制,系统所承载的数据就无法达到其真实性、完整性和可靠性,对该事项进行审计就是为了确保输入的数据真实、完整和准确。

      要完成该审计目标,就必须明确该事项的测评内容。根据《审计署关于印发信息系统审计指南--计算机审计实务公告第34号的通知》(审计发﹝2012〕11号)第二十三条 数据输入控制审计事项测评指标:数据录入和导入控制测评、数据修改和删除控制测评、数据校验控制测评、数据入库控制测评、数据共享与交换控制测评、备份与恢复数据接收控制测评。审计过程主要检查的是系统是否存在有不符合国家、行业或者单位规范的数据录入、导入、修改、删除、校验控制、共享与交换、备份与恢复等,同时检查操作用户身份与授权否合理、有效。具体审计内容如下简图:

具体审计步骤如下:

1.审计调查。

      首先调查被审计单位的管理情况,查看相应单位信息管理制度是否完善,系统数据的录入、导入、修改、删除人员权限是否明确,授权过程是如何处理的;其次是调查该系统的设计情况,调查设计满足国家、行业标准情况,满足单位管理及业务流程需要情况,调查模块功能,重点调查每个有数据录入导入或修改删除的模块;调查该系统数据备份及存放模式,为数据采集做准备,调查系统日志是否完整。

2.收集资料。

      收集管理类文件,包括单位的组织架构图、信息管理制度、人员权限设置情况;收集标准规范类文件,主要收集与该单位系统所承载的主要业务数据相关的国家、行业规范及标准,收集单位管理该业务的管理类文件并收集该单位的业务流程图;收集采购该系统的采购协议,系统设计的相关文件;采集与录入、导入、修改、删除有关的模块数据;采集系统授权数据;采集系统维护日志。

3.测试方法。

⑴查阅资料,系统调查,实地访谈。

      查阅该业务涉及到的国家、行业标准及单位的管理规定,了解单位的业务流程情况,查阅系统设计资料;系统调查设计满足国家设计标准和业务流程情况;实地访谈相关数据录入权限情况,输入错误预警控制情况,了解各个模块的运行情况,确定需要测试的内容,制作初步调查表。

⑵现场测试。测试非授权用户是否能对数据进行录入、导入、修改、删除;测试当数据录入错误时系统是否有提示,测试必填字段、数据精度等数据输入规则。

⑶数据查询。

      数据查询主要是在采集到相关的模块数据后从以下四方面进行查询。第一数据输入身份认证和权限控制的查询:通过对采集到的系统授权数据及模块数据进行查询比对,查看非认证用户是否存在具有数据输入或者越权输入等控制缺失;第二输入规则控制的查询:对采集到的模块数据进行查询,看是否存在不符合数据唯一性控制、必填字段控制、数据格式和范围控制、数据精度控制等数据输入控制缺失;第三输入校验控制查询:主要查看模块数据是否存在不符合数据范围控制、勾稽关系控制等控制缺失;第四是输入错误预警控制的查询:通过查询系统维护日志,数据输入错误预警中是否存在数据输入错误提示、跟踪、报告、处理等方面的数据输入控制缺失。(龚红琼 师宗县审计局)

 

                                 

  • 上一条文章:

  • 下一条文章:
  • 热点新闻
    国家级期刊论文写作指导及发表
    公开刊号、公开发行、国家出版总局可查
    联系人:徐老师、林老师
    电话:020-29008322
    在线交流: 点击这里给我发消息 点击这里给我发消息
    中国审计网中文网址:审计网.中国 中文域名:中国审计网.com
    电信与信息服务业务与电子公告BBS经营许可证:B2-20050153号
    Copyright @ 2000-2014 www.shenji.cn All Rights Reserved.