计算机信息系统的控制及其审计(41页DOC).docx

《计算机信息系统的控制及其审计(41页DOC).docx》由会员分享，可在线阅读，更多相关《计算机信息系统的控制及其审计(41页DOC).docx（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、最新资料推荐计算机信息系统的控制及其审计 内容提要 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确和完整，为防止或及时发现差错及舞弊行为的发生，信息系统的控制就显得尤为重要。本章专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。第一节 信息系统控制的重要性信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营决策的重要依据，因此，如何才能确保信息的有效、准确、及时、完整和安全，是我们在设计和运行信息系统时所需考虑的一个重要问题，而这一问题的关键在于如何完善信息系统的控制

2、。 一、控制的定义 对一个企业来说，所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效利用和提高企业财会和管理信息的真实、正确性，确保企业方针政策的贯彻执行，促进各项工作与企业经营效率的提高而实施的各项措施。内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五部分构成。一个良好的企业控制系统应具有以下4个方面的功能： 1. 确保企业各种经济资源的安全。一个企业，如果没有一套良好的控制企业经济资源的措施，就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象，使企业蒙受损失。所以，要采取有力的控制措施，有效地提高企业各种经济资源的安全，保护企业所有者的利益。2. 确保各种经济信

3、息、尤其是财会信息的准确、完整和及时性。只有及时、准确、完整的经济信息，才能引导企业经营管理者正确地作出各种经济预测和决策，圆满实现企业的经营目标；反之，则会对企业的生产经营起误导作用，使企业在面临各种问题时，作出错误的选择。可见，建立良好的信息系统控制，是保证信息质量的重要途径。 3.促进企业各部门工作效率的提高，使企业保持良好的运行效率。提高企业各部门工作效率是保证企业良好运行，顺利实现企业经营目标的重要途径。因此，在企业内建立一套有效的业绩考核和评估体系，使企业内形成一种相互激励，相互约束的竟争机制，可以大大提高企业对各种经济资源、人力资源的利用率，使企业保持良好的运行效率。4. 确保企

4、业方针政策的贯彻执行，促进企业经济效益的提高。设计企业的控制系统，其最终目的是为了促进企业经营管理活动的合理化，促进企业经济效益的提高。因此，一个有效的控制系统，应能确保企业方针政策的贯彻执行，促进经济效益的提高。一个企业的控制包括对经营子系统、管理子系统和信息子系统的控制。本章主要是讨论对信息系统的控制，也有时涉及一些经营、管理系统的相关控制。二、计算机信息系统控制所面临的新问题 当信息处理的方式由手工处理向计算机处理转变后，信息处理工作所面临的环境发生了很大的变化，给信息系统的控制带来了许多新的课题。归纳起来，主要有以下几个方面： （一）如何对使用者进行身份识别和权限控制 当信息系统由手工

5、处理数据转化为计算机进行数据处理后，原来人与人之间的联系在很多方面会转变为人与计算机之间的联系。为了有效地防止数据被篡改、破坏、窃取等现象的发生，就要求信息系统具有识别使用者身份并对其进行权限控制的能力。只有具有特定权限的使用者才能接触信息系统，执行相应的操作，从而达到有力地保护系统信息安全的目的。因此，如何才能对使用者进行身份识别和权限控制，是由手工处理数据转变为计算机处理数据后所带来的新的课题之一。 （二）业务授权问题 业务授权（Transaction Authorization）是保证员工处理的仅是他们职权内有权处理的业务的控制措施。在计算机信息系统中，许多授权往往是由程序进行控制的。例

6、如，采购系统中可设计好存货低于多少就自动打印订单，订多少、向那个供应商订货理论上计算机都可全部自动按程序执行，无需人工的参与。但是，如果没有良好的控制，可能会出现不合理的订货，浪费企业大量的资金。因此，信息系统中的业务授权处理程序的准确性、完整性十分重要，只有这样，才能保证业务的自动授权是可以接受的、可行的。 （三）职责分离（Segregation of Duties）问题 不相容任务的职责分离，即应由不同的人员分担不相容的工作任务或职务，是手工系统计中十分重要的控制措施。其一般原则是：业务审批、执行人员与业务记录人员职责分离；资产记录人员和资产保管人员职责分离；根据业务处理过程和记录的性质，

7、再按不同的账、不同的处理进一步分离，例如，记明细账的和记总账的职责分离、材料订购与材料验收的职责分离，等等。通过恰当的职责分离，实现互相牵制、互相核对，使有作弊企图者必须串通多人才能作弊。 在计算机信息系统中，原有的一些分工没有了。例如，启动、批准、处理采购订单，收到发票后登记应付账款，自动打印付款凭证和支票等业务全都可由计算机自动完成。信息系统的应用程序一般在系统的整个生命周期内都在使用，影响很大。因此，在计算机信息处理环境下，既然有些业务的处理不能分离，应转而把职责分离的着眼点放到计算机系统的开发、使用和维护工作上。 （四）监督（Supervision）问题 监督对于小单位或者大单位的小部

8、门十分重要，因为这些部门的职员往往一人担负了多个不相容的职责。在手工条件下，监督通常是部门负责人的责任之一，且职员都在同一个地方工作，相互之间也有监督作用。在计算机环境下，监督的任务更复杂了，因为计算机技术人员计算机知识水平高，有些人负责了重要的工作岗位，可直接访问系统的程序和数据，且人员的流动性比较大，有些人还可能单独在很远的终端上工作，管理人员与同事不能直接看到他们在做什么，难以进行直接有效的监督。因此在计算机环境下，应把许多在人工环境下的直接监督融合到系统程序中去，由程序来实现监督和控制。 （五）会计记录与信息安全问题 手工的会计资料包括原始凭证、日记账、明细分类账、总账和会计报表，这些

9、资料给审计提供了审计线索。在计算机条件下，有些系统并没有日记账和明细账文件，而只是把原始凭证上的重要数据项保存在数据文件中，有关的会计信息可能通过分散在多个不同磁盘、不同文件的数据临时加工得到，文件之间通过关键字、指针、索引等发生联系。要审查这些信息的正确性，审计人员要十分熟悉系统所用的数据库管理系统，给审计带来了较大的困难。而且，计算机信息系统中的各种数据文件是以肉眼不可见的，很容易被篡改或删去而不留下任何痕迹。因此，信息的安全可靠性有很多隐患。如何确保系统信息的安全，是我们在设计和运行信息系统时所需考虑的又一重要问题。 （六）访问控制（Access Control）的问题 企业资产的接触控

10、制分为直接接触控制和间接接触控制。建围墙、设保安、自动报警系统、房间加锁等是直接接触控制。间接接触指通过阅读或篡改会计资料而获得有关资产的情况，甚至侵吞有关资产，例如通过破坏、涂改相关的销售业务和应收账款记录而实现贪污。在手工条件下，这样的问题可通过防止随便接触账簿记录、对登记这些账簿的人员实行职责分离，如销售明细账、应收账款明细账、总账由不同的人员登记进行控制。在计算机环境下，所有会计资料均集中存储在数据处理中心的大存储容量的设备上，从而容易作弊或受到灾害的损毁；另外，对程序的非法访问也危及到用户资产和信息的安全。因此，限制对计算机数据和程序的访问，对机房或数据处理中心提供物理安全措施，保证

11、正确的数据备份等，都十分重要。有些访问控制是技术性的，有些靠职责分离实现，但其基本原则是：无论允许或限制一个人访问什么程序或什么数据，都必须根据其所分配的工作的需要来作出决定。 （七）独立复核（Independent Verification）问题 监督是事中控制，而复核是一种事后的控制。独立复核是由不直接参与该业务处理的人员进行复核。通过复核，管理人员可以评估工作人员的业绩，评估处理的完整性和会计信息的准确性。在计算机信息系统中，原来经多道手续由多人完成的业务处理变为由计算机集中统一进行处理，原来在手工处理中所存在的相互核对的约束机制不复存在。所以，我们在设计信息系统时，必须着重考虑如何才能

12、提高信息系统自身对经济业务处理的审查、复核能力，以减少信息系统在处理数据时发生错误的可能性。如果在设计信息系统时忽略了这一点，则可能会由于采集或输入数据的错误，或软件本身的错误而导致输出信息的错误，从而误导信息使用者。因此，在计算机信息系统中，复核控制的重点变为系统的开发和维护审计以及程序的逻辑审查。 （八）电子商务和网络经营中的特殊的安全问题 电子商务给企业带来了前所未有的商机，同时也带来了前所未有的风险。在传统的经营条件下，企业资产和经营的安全可以通过建立健全的内部控制得以保证。在电子商务条件下，企业的计算机信息系统是一个开放系统，计算机病毒和黑客随时可以通过 Internet 威胁到企业

13、资产和经营的安全。因为电磁信息可以删改且不留痕迹，企业在电子商务中要面对如何解决交易的确认、经确认的文件不可修改和不可否认、网上信息传递的保密等问题。这些安全问题不是企业内部所能完全控制的，必须针对其固有的风险建立全新的控制。 （九）软件开发的质量问题 一个信息系统能否正常运转，合法、正确地处理各项经济业务，保持较高的运行效率，节省运行成本等，很大程度上取决于所开发软件的质量。在信息系统中，计算机担负着企业绝大部分的信息处理任务，一旦软件中某个环节出现问题而无法正常工作，或者被人为破坏，就有可能导致整个信息系统数据处理的一连串错误，甚至导致系统停止运转，给企业的经营和管理带来不可估量的损失。因

14、此，企业应对信息系统的开发工作进行有效的控制，以确保所开发软件的质量。 三、加强信息系统控制的重要意义 通过上面的阐述我们可以看出，当信息的处理方式由手工处理转变为计算机处理之后，就给信息系统的控制带来了许多新的问题，使得信息系统所潜在的风险比手工系统更大、更复杂。同时，由于信息系统所产生的信息日益增多，没有健全的控制措施，就很难保证信息的收集、传递、处理能够及时、准确、完整和不会出现无意的差错或有意的舞弊。事实证明，如果计算机信息系统的控制出现漏洞，将会对企业造成比手工系统更为严重的损失，这种例子屡见不鲜。所以，当我们在设计和运行信息系统时，必须把加强对信息系统的控制放在十分重要的地位，认真

15、抓紧抓好这项工作，以保证信息系统能安全、可靠地工作。当然，最完善的控制系统也有其固有的局限，如：企业在制订控制制度时，要考虑成本效益原则；控制制度可能会由于执行人员的错误理解、疏忽大意或串通舞弊而失效等。所以，尽管我们强调要加强信息系统的控制，但也应清楚知道绝对的安全是没有的，控制也不是越多越严密越好。衡量控制系统的恰当性最根本的标准是考虑企业的经济效益和社会效益，应以此作为掌握控制制度宽严的尺度。 四、计算机信息系统的控制的总框架在电子商务与网络经营环境下，企业计算机信息系统的构成和总的控制框架如图3-1所示：计 算 中 心供应商 操作系统数据资源通信和电子商务通信系统开发客户 终端 终端应

16、用系统维护图3-1 信息系统总的控制框架 针对计算机信息系统的构成和控制框架，可把信息系统的控制划分为以下八个方面： 1组织控制。 2数据资源控制。 3系统开发与维护控制。 4计算中心的安全控制。 5数据通信控制。 6电子商务的安全控制。7微机系统的控制。8各个应用系统的控制。在第三节将对它们逐一进行较详细的讨论。第二节 计算机信息系统控制的分类平常人们讲到信息系统的控制常会有很多不同的提法，往往是按不同的分类来讨论信息系统的控制。为了让读者明确各种控制的关系，切实掌握计算机信息系统应有的控制，在具体讨论信息系统的控制措施前，我们先简单介绍一下信息系统内部控制的分类。信息系统的控制可以按不同的

17、方式进行分类，最常见的有下列几种分类方法。一、按实施的范围和对象分类按控制实施的范围和对象分，信息系统的内部控制可分为一般控制（general control）和应用控制(application control)。国际上常见的教科书在讨论信息系统的控制时多按这种分类，本书在下一节也将按这种分类来讨论信息系统的控制措施。一般控制是指对计算机信息系统的构成要素（包括人、计算机、通信线路、系统软件、应用程序、数据文件等）和系统环境（包括组织结构、系统开发与维护、环境安全等）实施的控制。一般控制适用于整个计算机信息系统，它为信息系统提供良好的工作条件和必要的安全保证，是应用控制的基础。应用控制是指针对

18、信息系统的各功能子系统（或称功能模块）的输入、处理和输出过程中的敏感环节和控制要求所实施的控制，上一节所述的控制框架中的第8项就是应用控制。应用控制包括输入控制、处理控制和输出控制。不同的计算机应用（如帐务处理、工资核算、固定资产管理等等），其敏感环节和控制要求不同，因此应用控制也不尽相同。应用控制用以确保特定的子系统（或称功能模块）的输入、处理和输出的安全、正确。应用控制必须在有效的一般控制基础上才能发辉作用。二、按控制的目标分类按控制实施的目标进行分类，计算机信息系统的内部控制又可以分为预防性控制（preventive control）、探测性控制(detective control)以及

19、纠正性控制(corrective control)。预防性控制是指为预防和阻止信息系统可能出现的各种差错或舞弊行为的发生而采用的各种控制措施。其控制目标在防止错弊的发生。例如，在计算中心设置门卫和大门上锁，终端加锁，系统用户要经注册，设置密码权限控制，系统程序员、操作员、数据库管理员、文档保管员要职责分离等等，都是预防性控制的一些典型例子。探测性控制是指为及时发现系统内正在或已经发生的各种差错和舞弊行为，以便能及时制止和纠正之而采取的各种控制措施。其控制目标不是预防而是及时探测并发现错弊的情况。例如装设电子探测器；对处理结果进行平衡检验、合理性检验；系统设置操作日志，并有安全员经常检查日志等，

20、都是探测性控制措施的例子。 纠正性控制是指为了对于各种已经发生于系统内的差错和舞弊，在检测出来后能及时予以纠正而采取的控制措施。其控制目标主要是及时发现并纠正系统中已发生的差错。例如，使用UPS电源，烟雾探测器与自动灭火系统，系统状态检测与数据自动恢复等都是纠正性控制措施中的例子。三、按控制实现的方法分类按控制实现的方法来分，计算机信息系统的内部控制可分为程序控制和人工控制。程序控制又常称程序化控制，是指编写在系统程序中，由计算机运行时自动执行的控制。内部控制程序化是计算机信息系统的一个重要特点。例如，密码权限的检验、在输入、处理和输出各环节由计算机执行的记录数点计、控制总数核对、平衡检验、合

21、理性检验、顺序检验、完整性检验等都是程序控制控制的例子。所谓人工控制是指由有关的人员按制度的规定执行的、无需通过计算机系统执行的控制。要特别说明的是，即使在电子商务与网络经营的条件下，信息系统的内部控制也并非全部为程序控制，还有一些重要的控制是不通过计算机系统执行的制度控制，例如组织控制、系统的开发与维护控制、系统的档案管理控制等都属人工控制。人工控制往往是通过一系列的控制制度来规范和约束，所以有时又叫制度控制。各单位可根据内部控制的目标和构成，根据自己的具体情况制定各种控制制度。一般来说，会计电算化的内部管理制度应包括岗位责任制、系统操作管理制度、计算机硬软件和数据管理制度和电算化会计档案管

22、理制度等。 第三节 计算机信息系统的控制措施 本节将详细地讨论计算机信息系统应有的控制措施。尽管计算机信息系统的内部控制有多种分类方法，下面我们还是按国际上教科书常见的分类方法，分别就一般控制和应用控制讨论信息系统的具体控制措施。 一、一般控制（General Control）在上一节所述的控制框架中8个方面的控制中的17项属于一般控制，下面我们逐一讨论这些控制的控制措施。（一）组织控制（Organizational Control） 一般控制中的组织控制是指信息系统在进行业务处理时，必须保证系统内不相容职责的相互分离以及信息处理部门与企业其它业务部门的相互独立，以有效地减少信息系统内发生错误

23、和舞弊的可能性。但在计算机信息处理环境中，由于业务的授权、处理、记录等同一个业务的多个任务都是由一个计算机程序来完成的，其职责分离比手工的差了。因此，计算机环境下的职责分离的重点已不是在业务处理层次上，而是放在组织结构这一更高的层次上，以实现系统开发、系统维护、系统操作、数据库管理这些大的工作任务之间的分离。这些组织结构的分离对于不同处理模式的企业又有所不同。 1集中式处理企业的职责分离 此类企业设有计算中心或电子数据处理部门（EDP部门），所有与计算机信息处理有关的工作都集中由该部门负责。为实现一定的职责分离，其通常的组织结构如图3-2所示。由图可见，主要从组织结构上保证了以下的重要分离：

24、（1）信息系统部门与其它业务部门的职责分离。 业务部门负责批准和执行手工处理业务和保管企业财产，而信息处理有关的工作交由计算机信息部门去完成。 （2）计算机信息处理部门内部的职责分离。 由于集中式处理的特点之一是把一个企业大量的信息集中起来统一进行处理，使得原来在手工处理时相互分离的不相容职责没有得到恰当的分离。因此，在信息处理部门内部，应有适当的分工，以有效防止在数据处理过程中越权行为的发生，避免舞弊、犯罪行为以及差错的出现，保证系统安全可靠地运行。总的来说，信息系统内部的职责分离主要包括五个方面的内容：即系统分析设计、系统维护、系统操作、文档资料保管以及系统数据库管理的相互分离。总经理信息

25、副总经理数据库管理员数据处理经理系统开发经理经营副总经理行政副总经理财务副总经理营销副总经理资料保管处理操作数据准备数据控制系统维护新系统开发图3-2 集中式处理企业的职责分离 系统的开发人员在系统正式投入运行后，未经批准不得擅自接触系统，更不能兼任系统的操作人员。因为系统开发人员对系统的逻辑结构、程序编码非常了解，其在系统使用中要作弊非常容易，作弊后还可以再把有关参数改回去，不留任何痕迹。 系统的维护和开发也要分离。如果不分离，有可能系统开发人员在系统开发时就嵌进一些作弊程序，有人来审查时他可以把这些作弊程序暂时去掉，审查完后又把它们恢复。另外，由于其对系统逻辑和程序很熟悉，也可能会在进行系

26、统维护时把作弊程序加进去。再者，如果系统的开发人员也是维护人员，很可能在开发时懒得骗写完整规范的系统文档资料，一旦其离开该单位，没有完整的系统资料，接手的维护人员将很难正确地维护系统，给系统安全和正常使用带来隐患。如果系统开发人员是独立的，就会比较自觉地编好各种文档资料并移交给用户，才能结束开发的任务。 系统操作人员只负责使用、操作系统，不能接触除操作手册以外的系统文档资料，操作人员可以提出对系统改进的建议和要求，但不得修改系统。 系统文档资料的保管和系统操作人员也必须分离。如果没有专职的资料保管人员，系统大量的资料很难正确地保管好。例如备份的磁盘、磁带非常之多，每一卷都应正确编号、标上外部文

27、件名、写上正确的备份日期、时间、内容，借还要详细登记、及时追收，经常检查、整理保持其正确的存放位置，以防用时拿错。如果由一个操作员兼任保管工作，很可能工作一忙，许多该做的登记、整理、检查工作都免了，用完后不能及时送回，随手放在机房的某个角落，容易损坏、被盗、别人要用时找不着。另外，由于不是专职的保管，对于那些磁带磁盘已过时，那些备份可以洗掉了，往往记得不准确，很容易把不该清洗的洗去，国外曾发生过一次错误地清洗掉上百盘磁带的事故。 数据库管理员与其它人员分离。数据库管理员的职责包括建立数据库模式、创建用户子模式、分配用户权限、监视数据库的使用、规划数据库未来的扩展等。为了数据库的安全，应有专职的

28、人员负责。 2分散式处理企业的组织控制 一个企业的计算机处理业务不是集中于计算中心，而是分散在各个职能部门，是为分散处理模式，是目前许多单位的实际处理模式。在这种模式中，计算机的服务是由各部门的用户自己控制的。分散模式容易产生以下的控制问题： （1）不兼容性（Incompatibility）。分散模式会使各部门购买的硬软件不兼容。如机型、技术平台、操作系统、字处理软件、表处理软件、数据库等。这将大大削弱各部门间数据传送和工作协调的能力。 （2）冗余（Reduntancy）。许多相同的程序会在不同部门中重复编制，许多相同的数据各部门重复输入，容易产生冗余和数据不一致性。 （3）不相容活动的合并（

29、Consolidating Incompatible activities）。特别是在小单位中，合理的职责分离难以做到，几乎是同一人既是程序员，又是操作员，又是维护人员。 （4）高质量专业人员的聘用问题(Acquiring Qualified Professionals)。各部门中专业人员职位不象集中式的那么多，因而晋升机会少，不容易招聘到合格的专业人才。 （5）缺乏标准(Lack of Standards)。各分散部门可能很少制订完整的系统开发、文档资料骗制、系统评价等各种标准。即使有也很简单，不规范。 针对这些问题，企业可以成立一个较集中式小的企业级的计算机服务中心，其主要职责是： （1）

30、集中规划和测试要购买的硬软件。评估各供应商的硬软件的质量，按行业和企业本身的标准评估其系统特性，控制好坏和兼容性。评估或测试的结果可分发到各部门，作为各部门购买硬软件的指引性标准。 （2）用户服务。对用户硬软件的购买、安装、调试提供指导帮助，处理硬、软件重大故障而产生的严重问题，为用户提供培训，发布公共信息，推荐用户开发的好程序给大家共享等。 （3）制订标准。如系统开发、程序设计、文档资料编制等标准，供各部门遵照执行。 （4）人员审查。如各部门要招进计算机技术人才时，可由企业的计算机服务部门从技术资格角度进行评估。 （二）数据资源控制（Data Resource Control） 信息系统的数

31、据资源是用户的重要资源，为保证系统数据资源的安全可靠必须要作好数据备份和数据的访问控制。 1 备份控制（Backup Control） 备份控制是指对系统的软件和数据文件必须建立备份，以防万一系统或有关文件被损毁时，可以利用备份文件把系统恢复到正常的工作状态。系统至少应建立两份后备拷贝，并分别存放在不同的地点，有一份必须远离机房存放，最好能放在另一幢楼内保管。 对系统数据要定期备份。一般每天结束时对已经修改过的数据进行备份，每周、每月再做一次全面的备份，重要的数据要保留三代。有些重要的处理过程，如过账或结帐等，在开始处理前也要先备份，以便在处理过程中出现意外时，系统可自动恢复到处理前的状态，重

32、新进行处理。备份文件要做好保管工作。 2访问控制（Access Control） 访问控制指在信息系统内建立严格的控制措施，禁止未经批准的人员读写系统的数据文件。常用的访问控制措施有： （1）密码与权限控制。通过对使用者进行身份识别和权限控制，可以有效地防止无关人员使用系统，不同权限的人只能使用限定的功能模块和使用数据库的某一部分的数据。 （2）建立操作日志。对进入系统的人员、其所调用的功能模块、所访问的文件、所作的操作等情况进行详细记录，以留下审计线索。若日后发现错弊现象、数据丢失或被窃取，通过操作日志的检查可帮助追查与发现问题。 （3）职责分离。系统分析、设计、文档资料管理及系统的专职运行

33、管理人员不得兼任系统的操作员，不得访问系统的数据资源。 （4）对高度敏感的数据，如产品配方、密码文件、人员基本工资等，可以加密的方式存储。有些高敏感数据的访问要求验证用户签字手迹或指纹、声音等，以确保这些数据的安全。 (三)系统开发与维护控制(System Development & Maintenance Control) 信息系统的开发控制是指系统开发从授权、执行到系统测试和验收等开发的全过程各方面的控制。只有做好信息系统的开发控制，才能保证开发出来的系统合规合法，满足用户的要求，具有及时发现和修正错误及防止舞弊行为，保证信息准确、完整等功能。信息系统正式投入使用后就一成不变是少有的，若要

34、对系统进行修改、完善，即对系统进行维护，必须要有严格的控制，才能防止系统被无意修改的错误或有意的非法篡改。 1系统开发授权 用户要开发一个新系统时，应呈交正式的开发申请报告，由企业领导和专家一起审查、论证。对目标系统的开发进行可行性分析，在技术、经济和管理实施各方面条件都具备，且能取得较好效益的情况下，经正式批准立项，以保证系统开发的合法性、权威性、可靠性。 2用户代表参与 不管什么系统，不管所用技术如何先进复杂，在系统的开发的各阶段中，都应有用户的代表参与，从用户实际需求的角度提出对系统的需求说明，以便系统开发人员设计时结合技术考虑最优的系统实现方法和设计出全面、完整的系统功能，使所开发的系

35、统软件能够充分满足用户的需求。 3内审人员参与 内审人员参与系统开发十分重要，特别是在用户缺乏系统开发的相关知识的情况下，内审人员可充当用户和专业人员的中介作用，把用户需求转变为专业设计的相关规定。内审人员除要向系统开发人员提出审计部门对系统功能的需求外，还要就系统控制功能和保留审计线索提出合理建议。此外，内审人员要在系统开发的各个阶段监督检查系统开发控制的执行。 4程序与模块测试 对编好的程序，针对其应有的功能假设一些业务数据逐个进行测试，其结果应与预计的结果相一致。如有差异，应找到原因，予以纠正。当整个功能模块（或子系统）的程序都编写并测试过后，要把它们联起来，进行模块（或子系统）的分调。

36、一般来说，程序的测试由程序员负责，而模块（或子系统）的分调必须要有用户代表和内审人员的参加。 5系统的统调和验收在每个功能模块（或子系统）测试全部通过后，要进行系统各模块间的统调。由用户、开发人员、审计人员一起进行系统的总体测试。测试应在与实际应用尽可能相同的条件下进行，应包括手工准备、计算机处理和人机的联接。经检测满意的新系统，要经过与原系统并行试运行规定的时间（通常是36个月），考核系统运行的结果是否令人满意，实际运行结果与原设计指标间的差异是否合理或可以接受。如果发现错误或系统功能、性能不符合要求，要由系统开发人员检查修改，直到一切均符合要求，用户的系统开发领导小组可组织系统的正式验收工

37、作，验收除由用户代表、开发人员、审计人员参加外，可以邀请财政与税务部门代表和有关专家参加。系统通过试运行和验收后才能正式投入使用。系统的总体测试和验收被许多人视为最重要的系统开发控制之一。 6系统文档资料的检查与控制 系统开发的每一阶段都应有相应规范的文档资料，包括技术设计文档资料，编写与审批有关的文档是对系统开发的一种控制。系统的文档资料可为日后系统的维护改进以及审计人员对系统的认识和审查提供必要的资料，也可以为系统使用人员的培训提供必要的资料。在系统通过验收前，一定要检查系统文档资料的完整规范性，文档资料不全，系统不能通过验收。 系统的文档资料对系统的处理与控制作了详尽的描述，因此，它是极

38、重要和机密的，一定要由专人妥善保管，只有经授权的人且工作需要时才能接触这些资料。操作人员只能接触操作手册或用户手册，不得接触此外的系统设计文档。否则，操作员利用工作之便篡改程序或数据的可能性较大。当系统维护后编制了新的文档，旧的文档应妥善保管或销毁，不可随便丢弃。 7系统维护控制 正式投入运行的系统，若要进行维护修改，必须经申请、批准后才能进行；维护修改后必须进行严格的测试、作好文档记录，并经批准后方可正式投入使用。维护人员应独立于系统操作人员，最好也能独立于系统开发员。实用的系统中只保留经编译的程序，系统的源程序要有严格的控制和妥善的保管，只有经授权且工作需要的人经登记才能接触系统的源程序。

39、程序经维护修改后，要注意复制并保存最新版本的源程序，以免下次修改时用到的不是最新的源程序版本。 （四）计算中心的安全和控制（Computer Center Security and Control） 日常重要业务由计算机处理的单位是不能承受数据处理中心受到灾难性事故破坏的。火灾、水灾、风暴、人为破坏、地震和掉电等均可产生灾难性的破坏，使得资产和数据损失，严重的可使企业无法生存下去。计算中心应有的安全控制措施如下： （1）物理位置的选择。计算中心应远离人造和自然灾害多发的地方，例如加油站、储气站、蓄水池、机场、低洼地带、高犯罪率地区等。 （2）建筑最好是单层的坚固建筑（防地震），电线电缆等应埋入

40、地下，窗户应紧闭，装上空气过滤器以防尘，安装空调机、抽湿机等。 （3）访问控制。要锁门及设门卫，进出登记，有闭路电视或摄像系统、报警系统等监视，防止未经授权的人进入。 （4）火灾监控。安装烟雾探测器和自动报警系统，并连到专职防火责任人或消防站，火灾一旦发生，即有救火人员知道。重要之处放上灭火装置。（5）电源控制。计算中心应配备稳压电源和配备不间断电源，以保证系统电压的稳定，以及万一外电路掉电或电压低于一定值时，不间断电源能自动向系统以额定电压供电，保证系统正常运行。（6）灾难恢复计划。灾难恢复计划是一些成文的、经过试验可行的在灾难发生之前、之中和之后应采取的行动的详细的陈述。事先做好计划与指引

41、，能保证计算中心受到灾难性损毁后能继续经营，可使损失降到最低。其基本内容包括： 后备的第二工作场所。建立后备的第二工作场所对于重要的企业和重要的业务是必要的，可采取的形式有： A)互助合约（Mutual Aid Pact）。几个业务和计算机设备相近的单位之间订立合约，当一个单位发生灾难时可利用另一个单位的计算机设备和场所继续重要的业务。这时，提供场所和设备的单位可能需把自己原来的一些较次要的工作暂停。但这种方式在平时成本是低的，没有场地和设备闲置。 B)空壳(The Empty Shell)。几个企业合买或租用一个建筑，改建成计算中心模式，但不安装计算机设备。一旦灾难发生，则可利用此场所装上必

42、要的设备恢复重要的工作。这需要相关的硬件供应商承诺，一旦灾难发生时保证及时供应所需的硬件设备。另一个问题是当水灾地震等大范围的灾害发生时，可能几个公司同时受灾，都要使用这个空壳，形成竞争和冲突。因此，事先必须订好协议，合用空壳的单位不要太多。 C)恢复运作中心(The Recovery Operations Center)。与空壳不同，这种中心安装了必要的计算机硬软件，成本较高。可以较多的公司合建一个恢复中心，或者大家按月交费。这种方式的优点是遇到灾害时短时间内即可恢复工作。 D)内部后备(Internal Provided Backup)。单位内部有多个计算中心的，可在各中心适当增加某一应用

43、的处理能力的硬软件，其中一个计算中心灾难发生时即可在另外的计算中心上进行有关的业务处理。 确定重要的应用。灾难发生时短时间内只能先恢复一些最重要的应用系统，因此事前必须确定好本单位的重要应用是什么。通常，应是一些对现金流入影响较大的应用，以保证有足够的现金支付各种所需。如销售、应收账款管理、生产和促销决策、采购、各分公司间的通信系统等。一个企业的重要应用会随企业的发展而改变，因此应由领导、计算机专业人员、用户一起经常审查确定企业的重要业务，在发生灾难时首先恢复这些应用。 后备物品并远离机房存放。用于恢复的后备物品包括备份的数据文件、程序、系统开发的文档资料、必要的办公用品、空白单据等。这些都应

44、该在远离机房的地方保管。建立灾难恢复队伍。事先必须建立好灾难恢复队伍，一旦发生灾难，可以有条不紊地指挥和进行恢复工作。一个企业的恢复队伍可参考图3-3所列。 这里没有控制部门和某些职责分离。在灾难发生时职责分离不是最重要的，重要的是能尽快正确地恢复工作。因之队伍成员应是专家、专业人员，平时经常实践过相应的工作。程序和数据备份组灾难恢复负责人数据转换和控制组第二场所设备组 计划负责人 系统开发负责人 数据控制负责人 厂房工程师 系统维护负责人 数据转换负责人 计算机安装负责人 高级系统程序员 数据转换监督员 远程处理负责人 高级维护程序员 用户部门代表 用户部门代表 内审人员代表 内审人员代表

45、图3-3 灾难恢复队伍组成 （五）数据通信控制（Data Communications Controls） 网络环境下数据通信所受到的威胁可归于两大类：一是人为的破坏，二是设备故障。前者如有意窃取所传送的信息，黑客的进攻，通过Internet等未经许可的入侵访问，传播病毒等；后者如通信线路、设备的故障等。为防止或及时发现这些问题，可采用下列控制措施： 1针对人为破坏的控制 （1）防火墙（Firewall）。它是置于一个单位内部网与外部网之间，用于防止外部访问者入侵系统的软件或硬软件组合，可检查内部网外来的访问者的权限级别而自动堵塞或引导到相应的程序、数据和服务器上，也可分隔局网内不同部分之间的访问。防火墙一般分过滤型和代理服务器型。过滤型防火墙通过截获要进入本单位内部网的信息包，检查其源地址、目的地址、路由和数据内容等特性，过滤出可疑的东西，拒绝一切未经授权的信息与访问的企图。但黑客可以通过地址的循询方法而把自己伪装成合法的用户攻入内部网。代理服务器型防火墙不允许外部信息直接进入内部网，而只能到达代理服务器，数据通过时代理服务器要求要完成准确的注册与鉴定，对访问提供控制与过滤作用，生成报告以报告非授权的活动，从而提高内部网的安全性。防火墙的控制授权功能越复杂、高级，灵活性就越差，影响对外来信