计算机信息系统的控制及其审计xgl.docx

《计算机信息系统的控制及其审计xgl.docx》由会员分享，可在线阅读，更多相关《计算机信息系统的控制及其审计xgl.docx（71页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、计算机信息系统统的控制及其其审计 内容提要 当信息处理理的方式由手手工转向计算算机后,为了确保输输出信息的及及时、准确和和完整，为防防止或及时发发现差错及舞舞弊行为的发发生，信息系系统的控制就就显得尤为重重要。本章专专门研究计算算机信息系统统的一般控制制及应用控制制的各种控制制措施和管理理制度及其审审计问题。本本章最后还介介绍了控制矩矩阵及其在信信息系统控制制审计中的应应用。第一节 信息系系统控制的重重要性信息系统所提供供的信息是投投资者、债权权人及企业经经营管理者作作出投资决策策以及生产经经营决策的重重要依据，因因此，如何才才能确保信息息的有效、准准确、及时、完完整和安全，是是我们在设计计和

2、运行信息息系统时所需需考虑的一个个重要问题，而而这一问题的的关键在于如如何完善信息息系统的控制制。 一、控控制的定义 对一个个企业来说，所所谓控制是指指企业经营管管理者为了维维护企业资产产的安全、资资源的有效利利用和提高企企业财会和管管理信息的真真实、正确性性，确保企业业方针政策的的贯彻执行，促促进各项工作作与企业经营营效率的提高高而实施的各各项措施。内内部控制由控控制环境、风风险评估、控控制活动、信信息与沟通和和监督五部分分构成。一个个良好的企业业控制系统应应具有以下44个方面的功功能： 1. 确保企业各各种经济资源源的安全。一一个企业，如如果没有一套套良好的控制制企业经济资资源的措施，就就

3、会发生各种种经济资源的的损毁、贪污污、浪费、盗盗窃、丢失等等现象，使企企业蒙受损失失。所以，要要采取有力的的控制措施，有有效地提高企企业各种经济济资源的安全全，保护企业业所有者的利利益。2. 确保各种种经济信息、尤尤其是财会信信息的准确、完完整和及时性性。只有及时时、准确、完完整的经济信信息，才能引引导企业经营营管理者正确确地作出各种种经济预测和和决策，圆满满实现企业的的经营目标；反之，则会会对企业的生生产经营起误误导作用，使使企业在面临临各种问题时时，作出错误误的选择。可可见，建立良良好的信息系系统控制，是是保证信息质质量的重要途途径。 3.促促进企业各部部门工作效率率的提高，使使企业保持良

4、良好的运行效效率。提高企企业各部门工工作效率是保保证企业良好好运行，顺利利实现企业经经营目标的重重要途径。因因此，在企业业内建立一套套有效的业绩绩考核和评估估体系，使企企业内形成一一种相互激励励，相互约束束的竟争机制制，可以大大大提高企业对对各种经济资资源、人力资资源的利用率率，使企业保保持良好的运运行效率。4. 确保企业业方针政策的的贯彻执行，促促进企业经济济效益的提高高。设计企业业的控制系统统，其最终目目的是为了促促进企业经营营管理活动的的合理化，促促进企业经济济效益的提高高。因此，一一个有效的控控制系统，应应能确保企业业方针政策的的贯彻执行，促促进经济效益益的提高。一个企业的控制制包括对

5、经营营子系统、管管理子系统和和信息子系统统的控制。本本章主要是讨讨论对信息系系统的控制，也也有时涉及一一些经营、管管理系统的相相关控制。二、计算机信息息系统控制所所面临的新问问题 当信息息处理的方式式由手工处理理向计算机处处理转变后，信信息处理工作作所面临的环环境发生了很很大的变化，给给信息系统的的控制带来了了许多新的课课题。归纳起起来，主要有有以下几个方方面： （一）如何对使用用者进行身份份识别和权限限控制 当信息息系统由手工工处理数据转转化为计算机机进行数据处处理后，原来来人与人之间间的联系在很很多方面会转转变为人与计计算机之间的的联系。为了了有效地防止止数据被篡改改、破坏、窃窃取等现象的

6、的发生，就要要求信息系统统具有识别使使用者身份并并对其进行权权限控制的能能力。只有具具有特定权限限的使用者才才能接触信息息系统，执行行相应的操作作，从而达到到有力地保护护系统信息安安全的目的。因因此，如何才才能对使用者者进行身份识识别和权限控控制，是由手手工处理数据据转变为计算算机处理数据据后所带来的的新的课题之之一。 （二）业业务授权问题题 业务授授权（Traansacttion AAuthorrizatiion）是保保证员工处理理的仅是他们们职权内有权权处理的业务务的控制措施施。在计算机机信息系统中中，许多授权权往往是由程程序进行控制制的。例如，采采购系统中可可设计好存货货低于多少就就自动

7、打印订订单，订多少少、向那个供供应商订货理理论上计算机机都可全部自自动按程序执执行，无需人人工的参与。但但是，如果没没有良好的控控制，可能会会出现不合理理的订货，浪浪费企业大量量的资金。因因此，信息系系统中的业务务授权处理程程序的准确性性、完整性十十分重要，只只有这样，才才能保证业务务的自动授权权是可以接受受的、可行的的。 （三）职职责分离（SSegreggationn of DDutiess）问题 不相容容任务的职责责分离，即应应由不同的人人员分担不相相容的工作任任务或职务，是是手工系统计计中十分重要要的控制措施施。其一般原原则是：业务务审批、执行行人员与业务务记录人员职职责分离；资资产记录

8、人员员和资产保管管人员职责分分离；根据业业务处理过程程和记录的性性质，再按不不同的账、不不同的处理进进一步分离，例例如，记明细细账的和记总总账的职责分分离、材料订订购与材料验验收的职责分分离，等等。通通过恰当的职职责分离，实实现互相牵制制、互相核对对，使有作弊弊企图者必须须串通多人才才能作弊。 在计算算机信息系统统中，原有的的一些分工没没有了。例如如，启动、批批准、处理采采购订单，收收到发票后登登记应付账款款，自动打印印付款凭证和和支票等业务务全都可由计计算机自动完完成。信息系系统的应用程程序一般在系系统的整个生生命周期内都都在使用，影影响很大。因因此，在计算算机信息处理理环境下，既既然有些业

9、务务的处理不能能分离，应转转而把职责分分离的着眼点点放到计算机机系统的开发发、使用和维维护工作上。 （四）监监督（Suppervission）问问题 监督对对于小单位或或者大单位的的小部门十分分重要，因为为这些部门的的职员往往一一人担负了多多个不相容的的职责。在手手工条件下，监监督通常是部部门负责人的的责任之一，且且职员都在同同一个地方工工作，相互之之间也有监督督作用。在计计算机环境下下，监督的任任务更复杂了了，因为计算算机技术人员员计算机知识识水平高，有有些人负责了了重要的工作作岗位，可直直接访问系统统的程序和数数据，且人员员的流动性比比较大，有些些人还可能单单独在很远的的终端上工作作，管理

10、人员员与同事不能能直接看到他他们在做什么么，难以进行行直接有效的的监督。因此此在计算机环环境下，应把把许多在人工工环境下的直直接监督融合合到系统程序序中去，由程程序来实现监监督和控制。 （五）会会计记录与信信息安全问题题 手工的的会计资料包包括原始凭证证、日记账、明明细分类账、总总账和会计报报表，这些资资料给审计提提供了审计线线索。在计算算机条件下，有有些系统并没没有日记账和和明细账文件件，而只是把把原始凭证上上的重要数据据项保存在数数据文件中，有有关的会计信信息可能通过过分散在多个个不同磁盘、不不同文件的数数据临时加工工得到，文件件之间通过关关键字、指针针、索引等发发生联系。要要审查这些信信

11、息的正确性性，审计人员员要十分熟悉悉系统所用的的数据库管理理系统，给审审计带来了较较大的困难。而而且，计算机机信息系统中中的各种数据据文件是以肉肉眼不可见的的，很容易被被篡改或删去去而不留下任任何痕迹。因因此，信息的的安全可靠性性有很多隐患患。如何确保保系统信息的的安全，是我我们在设计和和运行信息系系统时所需考考虑的又一重重要问题。 （六）访访问控制（AAccesss Conttrol）的的问题 企业资资产的接触控控制分为直接接接触控制和和间接接触控控制。建围墙墙、设保安、自自动报警系统统、房间加锁锁等是直接接接触控制。间间接接触指通通过阅读或篡篡改会计资料料而获得有关关资产的情况况，甚至侵吞

12、吞有关资产，例例如通过破坏坏、涂改相关关的销售业务务和应收账款款记录而实现现贪污。在手手工条件下，这这样的问题可可通过防止随随便接触账簿簿记录、对登登记这些账簿簿的人员实行行职责分离，如如销售明细账账、应收账款款明细账、总总账由不同的的人员登记进进行控制。在在计算机环境境下，所有会会计资料均集集中存储在数数据处理中心心的大存储容容量的设备上上，从而容易易作弊或受到到灾害的损毁毁；另外，对对程序的非法法访问也危及及到用户资产产和信息的安安全。因此，限限制对计算机机数据和程序序的访问，对对机房或数据据处理中心提提供物理安全全措施，保证证正确的数据据备份等，都都十分重要。有有些访问控制制是技术性的的

13、，有些靠职职责分离实现现，但其基本本原则是：无无论允许或限限制一个人访访问什么程序序或什么数据据，都必须根根据其所分配配的工作的需需要来作出决决定。 （七）独立复复核（Inddependdent VVerifiicatioon）问题 监督是是事中控制，而而复核是一种种事后的控制制。独立复核核是由不直接接参与该业务务处理的人员员进行复核。通通过复核，管管理人员可以以评估工作人人员的业绩，评评估处理的完完整性和会计计信息的准确确性。在计算算机信息系统统中，原来经经多道手续由由多人完成的的业务处理变变为由计算机机集中统一进进行处理，原原来在手工处处理中所存在在的相互核对对的约束机制制不复存在。所所以

14、，我们在在设计信息系系统时，必须须着重考虑如如何才能提高高信息系统自自身对经济业业务处理的审审查、复核能能力，以减少少信息系统在在处理数据时时发生错误的的可能性。如如果在设计信信息系统时忽忽略了这一点点，则可能会会由于采集或或输入数据的的错误，或软软件本身的错错误而导致输输出信息的错错误，从而误误导信息使用用者。因此，在在计算机信息息系统中，复复核控制的重重点变为系统统的开发和维维护审计以及及程序的逻辑辑审查。 （八）电电子商务和网网络经营中的的特殊的安全全问题 电子商商务给企业带带来了前所未未有的商机，同同时也带来了了前所未有的的风险。在传传统的经营条条件下，企业业资产和经营营的安全可以以通

15、过建立健健全的内部控控制得以保证证。在电子商商务条件下，企企业的计算机机信息系统是是一个开放系系统，计算机机病毒和黑客客随时可以通通过 Intternett 威胁到企企业资产和经经营的安全。因因为电磁信息息可以删改且且不留痕迹，企企业在电子商商务中要面对对如何解决交交易的确认、经经确认的文件件不可修改和和不可否认、网网上信息传递递的保密等问问题。这些安安全问题不是是企业内部所所能完全控制制的，必须针针对其固有的的风险建立全全新的控制。 （九）软件开发的的质量问题 一个信信息系统能否否正常运转，合合法、正确地地处理各项经经济业务，保保持较高的运运行效率，节节省运行成本本等，很大程程度上取决于于所

16、开发软件件的质量。在在信息系统中中，计算机担担负着企业绝绝大部分的信信息处理任务务，一旦软件件中某个环节节出现问题而而无法正常工工作，或者被被人为破坏，就就有可能导致致整个信息系系统数据处理理的一连串错错误，甚至导导致系统停止止运转，给企企业的经营和和管理带来不不可估量的损损失。因此，企企业应对信息息系统的开发发工作进行有有效的控制，以以确保所开发发软件的质量量。 三、加加强信息系统统控制的重要要意义 通过上上面的阐述我我们可以看出出，当信息的的处理方式由由手工处理转转变为计算机机处理之后，就就给信息系统统的控制带来来了许多新的的问题，使得得信息系统所所潜在的风险险比手工系统统更大、更复复杂。

17、同时，由由于信息系统统所产生的信信息日益增多多，没有健全全的控制措施施，就很难保保证信息的收收集、传递、处处理能够及时时、准确、完完整和不会出出现无意的差差错或有意的的舞弊。事实实证明，如果果计算机信息息系统的控制制出现漏洞，将将会对企业造造成比手工系系统更为严重重的损失，这这种例子屡见见不鲜。所以以，当我们在在设计和运行行信息系统时时，必须把加加强对信息系系统的控制放放在十分重要要的地位，认认真抓紧抓好好这项工作，以以保证信息系系统能安全、可可靠地工作。当然，最完善的的控制系统也也有其固有的的局限，如：企业在制订订控制制度时时，要考虑成成本效益原则则；控制制度度可能会由于于执行人员的的错误理

18、解、疏疏忽大意或串串通舞弊而失失效等。所以以，尽管我们们强调要加强强信息系统的的控制，但也也应清楚知道道绝对的安全全是没有的，控控制也不是越越多越严密越越好。衡量控控制系统的恰恰当性最根本本的标准是考考虑企业的经经济效益和社社会效益，应应以此作为掌掌握控制制度度宽严的尺度度。 四、计计算机信息系系统的控制的的总框架在电子商务与网网络经营环境境下，企业计计算机信息系系统的构成和和总的控制框框架如图3-1所示：计 算 中 心供应商 操作系统数据资源通信和电子商务通信系统开发客户 终端 终端应用系统维护图3-1 信息息系统总的控控制框架 针对计计算机信息系系统的构成和和控制框架，可可把信息系统统的控

19、制划分分为以下八个个方面： 1组组织控制。 2数数据资源控制制。 3系系统开发与维维护控制。 4计计算中心的安安全控制。 5数数据通信控制制。 6电电子商务的安安全控制。7微机系统的的控制。8各个应用系系统的控制。在第三节将对它它们逐一进行行较详细的讨讨论。第二节 计算算机信息系统统控制的分类类平常人们讲到信信息系统的控控制常会有很很多不同的提提法，往往是是按不同的分分类来讨论信信息系统的控控制。为了让让读者明确各各种控制的关关系，切实掌掌握计算机信信息系统应有有的控制，在在具体讨论信信息系统的控控制措施前，我我们先简单介介绍一下信息息系统内部控控制的分类。信信息系统的控控制可以按不不同的方式

20、进进行分类，最最常见的有下下列几种分类类方法。一、按实施的范范围和对象分分类按控制实施的范范围和对象分分，信息系统统的内部控制制可分为一般般控制（geenerall conttrol）和和应用控制(appliicatioon conntrol)。国际上常常见的教科书书在讨论信息息系统的控制制时多按这种种分类，本书书在下一节也也将按这种分分类来讨论信信息系统的控控制措施。一般控制是指对对计算机信息息系统的构成成要素（包括括人、计算机机、通信线路路、系统软件件、应用程序序、数据文件件等）和系统统环境（包括括组织结构、系系统开发与维维护、环境安安全等）实施施的控制。一一般控制适用用于整个计算算机信息

21、系统统，它为信息息系统提供良良好的工作条条件和必要的的安全保证，是是应用控制的的基础。应用控制是指针针对信息系统统的各功能子子系统（或称称功能模块）的的输入、处理理和输出过程程中的敏感环环节和控制要要求所实施的的控制，上一一节所述的控控制框架中的的第8项就是是应用控制。应应用控制包括括输入控制、处处理控制和输输出控制。不不同的计算机机应用（如帐帐务处理、工工资核算、固固定资产管理理等等），其其敏感环节和和控制要求不不同，因此应应用控制也不不尽相同。应应用控制用以以确保特定的的子系统（或或称功能模块块）的输入、处处理和输出的的安全、正确确。应用控制制必须在有效效的一般控制制基础上才能能发辉作用。

22、二、按控制的目目标分类按控制实施的目目标进行分类类，计算机信信息系统的内内部控制又可可以分为预防防性控制（pprevenntive contrrol）、探探测性控制(detecctive contrrol)以及及纠正性控制制(corrrectivve conntrol)。预防性控制是指指为预防和阻阻止信息系统统可能出现的的各种差错或或舞弊行为的的发生而采用用的各种控制制措施。其控控制目标在防防止错弊的发发生。例如，在在计算中心设设置门卫和大大门上锁，终终端加锁，系系统用户要经经注册，设置置密码权限控控制，系统程程序员、操作作员、数据库库管理员、文文档保管员要要职责分离等等等，都是预预防性控制的

23、的一些典型例例子。探测性控制是指指为及时发现现系统内正在在或已经发生生的各种差错错和舞弊行为为，以便能及及时制止和纠纠正之而采取取的各种控制制措施。其控控制目标不是是预防而是及及时探测并发发现错弊的情情况。例如装装设电子探测测器；对处理理结果进行平平衡检验、合合理性检验；系统设置操操作日志，并并有安全员经经常检查日志志等，都是探探测性控制措措施的例子。 纠正性控控制是指为了了对于各种已已经发生于系系统内的差错错和舞弊，在在检测出来后后能及时予以以纠正而采取取的控制措施施。其控制目目标主要是及及时发现并纠纠正系统中已已发生的差错错。例如，使使用UPS电电源，烟雾探探测器与自动动灭火系统，系系统状

24、态检测测与数据自动动恢复等都是是纠正性控制制措施中的例例子。三、按控制实现现的方法分类类按控制实现的方方法来分，计计算机信息系系统的内部控控制可分为程程序控制和人人工控制。程序控制又常称称程序化控制制，是指编写写在系统程序序中，由计算算机运行时自自动执行的控控制。内部控控制程序化是是计算机信息息系统的一个个重要特点。例例如，密码权权限的检验、在在输入、处理理和输出各环环节由计算机机执行的记录录数点计、控控制总数核对对、平衡检验验、合理性检检验、顺序检检验、完整性性检验等都是是程序控制控控制的例子。所谓人工控制是是指由有关的的人员按制度度的规定执行行的、无需通通过计算机系系统执行的控控制。要特别

25、别说明的是，即即使在电子商商务与网络经经营的条件下下，信息系统统的内部控制制也并非全部部为程序控制制，还有一些些重要的控制制是不通过计计算机系统执执行的制度控控制，例如组组织控制、系系统的开发与与维护控制、系系统的档案管管理控制等都都属人工控制制。人工控制往往是是通过一系列列的控制制度度来规范和约约束，所以有有时又叫制度度控制。各单单位可根据内内部控制的目目标和构成，根根据自己的具具体情况制定定各种控制制制度。一般来来说，会计电电算化的内部部管理制度应应包括岗位责责任制、系统统操作管理制制度、计算机机硬软件和数数据管理制度度和电算化会会计档案管理理制度等。 第三节 计算机信信息系统的控控制措施

26、 本节将将详细地讨论论计算机信息息系统应有的的控制措施。尽尽管计算机信信息系统的内内部控制有多多种分类方法法，下面我们们还是按国际际上教科书常常见的分类方方法，分别就就一般控制和和应用控制讨讨论信息系统统的具体控制制措施。 一、一一般控制（GGeneraal Conntrol）在上一节所述的的控制框架中中8个方面的的控制中的117项属于一一般控制，下下面我们逐一一讨论这些控控制的控制措措施。（一）组织控制制（Orgaanizattionall Conttrol） 一般控控制中的组织织控制是指信信息系统在进进行业务处理理时，必须保保证系统内不不相容职责的的相互分离以以及信息处理理部门与企业业其它

27、业务部部门的相互独独立，以有效效地减少信息息系统内发生生错误和舞弊弊的可能性。但但在计算机信信息处理环境境中，由于业业务的授权、处处理、记录等等同一个业务务的多个任务务都是由一个个计算机程序序来完成的，其其职责分离比比手工的差了了。因此，计计算机环境下下的职责分离离的重点已不不是在业务处处理层次上，而而是放在组织织结构这一更更高的层次上上，以实现系系统开发、系系统维护、系系统操作、数数据库管理这这些大的工作作任务之间的的分离。这些些组织结构的的分离对于不不同处理模式式的企业又有有所不同。 1集中式处处理企业的职职责分离 此类企企业设有计算算中心或电子子数据处理部部门（EDPP部门），所所有与计

28、算机机信息处理有有关的工作都都集中由该部部门负责。为为实现一定的的职责分离，其其通常的组织织结构如图33-2所示。由由图可见，主主要从组织结结构上保证了了以下的重要要分离： （1）信信息系统部门门与其它业务务部门的职责责分离。 业务部部门负责批准准和执行手工工处理业务和和保管企业财财产，而信息息处理有关的的工作交由计计算机信息部部门去完成。 （2）计计算机信息处处理部门内部部的职责分离离。 由于集中式处理理的特点之一一是把一个企企业大量的信信息集中起来来统一进行处处理，使得原原来在手工处处理时相互分分离的不相容容职责没有得得到恰当的分分离。因此，在在信息处理部部门内部，应应有适当的分分工，以有

29、效效防止在数据据处理过程中中越权行为的的发生，避免免舞弊、犯罪罪行为以及差差错的出现，保保证系统安全全可靠地运行行。总的来说说，信息系统统内部的职责责分离主要包包括五个方面面的内容：即即系统分析设设计、系统维维护、系统操操作、文档资资料保管以及及系统数据库库管理的相互互分离。总经理信息副总经理数据库管理员数据处理经理系统开发经理经营副总经理行政副总经理财务副总经理营销副总经理资料保管处理操作数据准备数据控制系统维护新系统开发图3-2 集集中式处理企企业的职责分分离 系统的的开发人员在在系统正式投投入运行后，未未经批准不得得擅自接触系系统，更不能能兼任系统的的操作人员。因因为系统开发发人员对系统

30、统的逻辑结构构、程序编码码非常了解，其其在系统使用用中要作弊非非常容易，作作弊后还可以以再把有关参参数改回去，不不留任何痕迹迹。 系统的的维护和开发发也要分离。如如果不分离，有有可能系统开开发人员在系系统开发时就就嵌进一些作作弊程序，有有人来审查时时他可以把这这些作弊程序序暂时去掉，审审查完后又把把它们恢复。另另外，由于其其对系统逻辑辑和程序很熟熟悉，也可能能会在进行系系统维护时把把作弊程序加加进去。再者者，如果系统统的开发人员员也是维护人人员，很可能能在开发时懒懒得骗写完整整规范的系统统文档资料，一一旦其离开该该单位，没有有完整的系统统资料，接手手的维护人员员将很难正确确地维护系统统，给系统

31、安安全和正常使使用带来隐患患。如果系统统开发人员是是独立的，就就会比较自觉觉地编好各种种文档资料并并移交给用户户，才能结束束开发的任务务。 系统操操作人员只负负责使用、操操作系统，不不能接触除操操作手册以外外的系统文档档资料，操作作人员可以提提出对系统改改进的建议和和要求，但不不得修改系统统。 系统文档档资料的保管管和系统操作作人员也必须须分离。如果果没有专职的的资料保管人人员，系统大大量的资料很很难正确地保保管好。例如如备份的磁盘盘、磁带非常常之多，每一一卷都应正确确编号、标上上外部文件名名、写上正确确的备份日期期、时间、内内容，借还要要详细登记、及及时追收，经经常检查、整整理保持其正正确的

32、存放位位置，以防用用时拿错。如如果由一个操操作员兼任保保管工作，很很可能工作一一忙，许多该该做的登记、整整理、检查工工作都免了，用用完后不能及及时送回，随随手放在机房房的某个角落落，容易损坏坏、被盗、别别人要用时找找不着。另外外，由于不是是专职的保管管，对于那些些磁带磁盘已已过时，那些些备份可以洗洗掉了，往往往记得不准确确，很容易把把不该清洗的的洗去，国外外曾发生过一一次错误地清清洗掉上百盘盘磁带的事故故。 数据库库管理员与其其它人员分离离。数据库管管理员的职责责包括建立数数据库模式、创创建用户子模模式、分配用用户权限、监监视数据库的的使用、规划划数据库未来来的扩展等。为为了数据库的的安全，应

33、有有专职的人员员负责。 2分分散式处理企企业的组织控控制 一个企企业的计算机机处理业务不不是集中于计计算中心，而而是分散在各各个职能部门门，是为分散散处理模式，是是目前许多单单位的实际处处理模式。在在这种模式中中，计算机的的服务是由各各部门的用户户自己控制的的。分散模式式容易产生以以下的控制问问题： （1）不不兼容性（IIncomppatibiility）。分分散模式会使使各部门购买买的硬软件不不兼容。如机机型、技术平平台、操作系系统、字处理理软件、表处处理软件、数数据库等。这这将大大削弱弱各部门间数数据传送和工工作协调的能能力。 （2）冗冗余（Redduntanncy）。许许多相同的程程序会

34、在不同同部门中重复复编制，许多多相同的数据据各部门重复复输入，容易易产生冗余和和数据不一致致性。 （3）不不相容活动的的合并（Coonsoliidatinng Inccompattible activvitiess）。特别是是在小单位中中，合理的职职责分离难以以做到，几乎乎是同一人既既是程序员，又又是操作员，又又是维护人员员。 （4）高高质量专业人人员的聘用问问题(Acqquirinng Quaalifieed Proofessiionalss)。各部门门中专业人员员职位不象集集中式的那么么多，因而晋晋升机会少，不不容易招聘到到合格的专业业人才。 （5）缺缺乏标准(LLack oof Staa

35、ndardds)。各分分散部门可能能很少制订完完整的系统开开发、文档资资料骗制、系系统评价等各各种标准。即即使有也很简简单，不规范范。 针对这这些问题，企企业可以成立立一个较集中中式小的企业业级的计算机机服务中心，其其主要职责是是： （1）集集中规划和测测试要购买的的硬软件。评评估各供应商商的硬软件的的质量，按行行业和企业本本身的标准评评估其系统特特性，控制好好坏和兼容性性。评估或测测试的结果可可分发到各部部门，作为各各部门购买硬硬软件的指引引性标准。 （2）用用户服务。对对用户硬软件件的购买、安安装、调试提提供指导帮助助，处理硬、软软件重大故障障而产生的严严重问题，为为用户提供培培训，发布公

36、公共信息，推推荐用户开发发的好程序给给大家共享等等。 （3）制制订标准。如如系统开发、程程序设计、文文档资料编制制等标准，供供各部门遵照照执行。 （4）人人员审查。如如各部门要招招进计算机技技术人才时，可可由企业的计计算机服务部部门从技术资资格角度进行行评估。 （二）数数据资源控制制（Dataa Resoource Contrrol） 信息系系统的数据资资源是用户的的重要资源，为为保证系统数数据资源的安安全可靠必须须要作好数据据备份和数据据的访问控制制。 1 备份控制（BBackupp Conttrol） 备份控控制是指对系系统的软件和和数据文件必必须建立备份份，以防万一一系统或有关关文件被损

37、毁毁时，可以利利用备份文件件把系统恢复复到正常的工工作状态。系统至少应建立立两份后备拷拷贝，并分别别存放在不同同的地点，有有一份必须远远离机房存放放，最好能放放在另一幢楼楼内保管。 对系统统数据要定期期备份。一般般每天结束时时对已经修改改过的数据进进行备份，每每周、每月再再做一次全面面的备份，重重要的数据要要保留三代。有有些重要的处处理过程，如如过账或结帐帐等，在开始始处理前也要要先备份，以以便在处理过过程中出现意意外时，系统统可自动恢复复到处理前的的状态，重新新进行处理。备备份文件要做做好保管工作作。 2访访问控制（AAccesss Conttrol） 访问控控制指在信息息系统内建立立严格的

38、控制制措施，禁止止未经批准的的人员读写系系统的数据文文件。常用的的访问控制措措施有： （1）密密码与权限控控制。通过对对使用者进行行身份识别和和权限控制，可可以有效地防防止无关人员员使用系统，不不同权限的人人只能使用限限定的功能模模块和使用数数据库的某一一部分的数据据。 （2）建建立操作日志志。对进入系系统的人员、其其所调用的功功能模块、所所访问的文件件、所作的操操作等情况进进行详细记录录，以留下审审计线索。若若日后发现错错弊现象、数数据丢失或被被窃取，通过过操作日志的的检查可帮助助追查与发现现问题。 （3）职职责分离。系系统分析、设设计、文档资资料管理及系系统的专职运运行管理人员员不得兼任系

39、系统的操作员员，不得访问问系统的数据据资源。 （4）对对高度敏感的的数据，如产产品配方、密密码文件、人人员基本工资资等，可以加加密的方式存存储。有些高高敏感数据的的访问要求验验证用户签字字手迹或指纹纹、声音等，以以确保这些数数据的安全。 (三)系统开发与与维护控制(Systeem Devvelopmment & Mainttenancce Conntrol) 信息系系统的开发控控制是指系统统开发从授权权、执行到系系统测试和验验收等开发的的全过程各方方面的控制。只只有做好信息息系统的开发发控制，才能能保证开发出出来的系统合合规合法，满满足用户的要要求，具有及及时发现和修修正错误及防防止舞弊行为为

40、，保证信息息准确、完整整等功能。信信息系统正式式投入使用后后就一成不变变是少有的，若若要对系统进进行修改、完完善，即对系系统进行维护护，必须要有有严格的控制制，才能防止止系统被无意意修改的错误误或有意的非非法篡改。 1系系统开发授权权 用户要要开发一个新新系统时，应应呈交正式的的开发申请报报告，由企业业领导和专家家一起审查、论论证。对目标标系统的开发发进行可行性性分析，在技技术、经济和和管理实施各各方面条件都都具备，且能能取得较好效效益的情况下下，经正式批批准立项，以以保证系统开开发的合法性性、权威性、可可靠性。 2用用户代表参与与 不管什什么系统，不不管所用技术术如何先进复复杂，在系统统的开

41、发的各各阶段中，都都应有用户的的代表参与，从从用户实际需需求的角度提提出对系统的的需求说明，以以便系统开发发人员设计时时结合技术考考虑最优的系系统实现方法法和设计出全全面、完整的的系统功能，使使所开发的系系统软件能够够充分满足用用户的需求。 3内内审人员参与与 内审人人员参与系统统开发十分重重要，特别是是在用户缺乏乏系统开发的的相关知识的的情况下，内内审人员可充充当用户和专专业人员的中中介作用，把把用户需求转转变为专业设设计的相关规规定。内审人人员除要向系系统开发人员员提出审计部部门对系统功功能的需求外外，还要就系系统控制功能能和保留审计计线索提出合合理建议。此此外，内审人人员要在系统统开发的

42、各个个阶段监督检检查系统开发发控制的执行行。 4程程序与模块测测试 对编好好的程序，针针对其应有的的功能假设一一些业务数据据逐个进行测测试，其结果果应与预计的的结果相一致致。如有差异异，应找到原原因，予以纠纠正。当整个个功能模块（或或子系统）的的程序都编写写并测试过后后，要把它们们联起来，进进行模块（或或子系统）的的分调。一般般来说，程序序的测试由程程序员负责，而而模块（或子子系统）的分分调必须要有有用户代表和和内审人员的的参加。 5系系统的统调和和验收在每个功能模块块（或子系统统）测试全部部通过后，要要进行系统各各模块间的统统调。由用户户、开发人员员、审计人员员一起进行系系统的总体测测试。测

43、试应应在与实际应应用尽可能相相同的条件下下进行，应包包括手工准备备、计算机处处理和人机的的联接。经检检测满意的新新系统，要经经过与原系统统并行试运行行规定的时间间（通常是336个月），考考核系统运行行的结果是否否令人满意，实实际运行结果果与原设计指指标间的差异异是否合理或或可以接受。如如果发现错误误或系统功能能、性能不符符合要求，要要由系统开发发人员检查修修改，直到一一切均符合要要求，用户的的系统开发领领导小组可组组织系统的正正式验收工作作，验收除由由用户代表、开开发人员、审审计人员参加加外，可以邀邀请财政与税税务部门代表表和有关专家家参加。系统统通过试运行行和验收后才才能正式投入入使用。系统

44、统的总体测试试和验收被许许多人视为最最重要的系统统开发控制之之一。 6系统文档资资料的检查与与控制 系统开发的每每一阶段都应应有相应规范范的文档资料料，包括技术术设计文档资资料，编写与与审批有关的的文档是对系系统开发的一一种控制。系系统的文档资资料可为日后后系统的维护护改进以及审审计人员对系系统的认识和和审查提供必必要的资料，也也可以为系统统使用人员的的培训提供必必要的资料。在在系统通过验验收前，一定定要检查系统统文档资料的的完整规范性性，文档资料料不全，系统统不能通过验验收。 系统的的文档资料对对系统的处理理与控制作了了详尽的描述述，因此，它它是极重要和和机密的，一一定要由专人人妥善保管，只

45、只有经授权的的人且工作需需要时才能接接触这些资料料。操作人员员只能接触操操作手册或用用户手册，不不得接触此外外的系统设计计文档。否则则，操作员利利用工作之便便篡改程序或或数据的可能能性较大。当当系统维护后后编制了新的的文档，旧的的文档应妥善善保管或销毁毁，不可随便便丢弃。 7系系统维护控制制 正式投投入运行的系系统，若要进进行维护修改改，必须经申申请、批准后后才能进行；维护修改后后必须进行严严格的测试、作作好文档记录录，并经批准准后方可正式式投入使用。维维护人员应独独立于系统操操作人员，最最好也能独立立于系统开发发员。实用的的系统中只保保留经编译的的程序，系统统的源程序要要有严格的控控制和妥善

46、的的保管，只有有经授权且工工作需要的人人经登记才能能接触系统的的源程序。程程序经维护修修改后，要注注意复制并保保存最新版本本的源程序，以以免下次修改改时用到的不不是最新的源源程序版本。 （四）计计算中心的安安全和控制（Computer Center Security and Control） 日常重重要业务由计计算机处理的的单位是不能能承受数据处处理中心受到到灾难性事故故破坏的。火火灾、水灾、风风暴、人为破破坏、地震和和掉电等均可可产生灾难性性的破坏，使使得资产和数数据损失，严严重的可使企企业无法生存存下去。计算算中心应有的的安全控制措措施如下： （1）物物理位置的选选择。计算中中心应远离人人

47、造和自然灾灾害多发的地地方，例如加加油站、储气气站、蓄水池池、机场、低低洼地带、高高犯罪率地区区等。 （2）建建筑最好是单单层的坚固建建筑（防地震震），电线电电缆等应埋入入地下，窗户户应紧闭，装装上空气过滤滤器以防尘，安安装空调机、抽抽湿机等。 （3）访访问控制。要要锁门及设门门卫，进出登登记，有闭路路电视或摄像像系统、报警警系统等监视视，防止未经经授权的人进进入。 （4）火火灾监控。安安装烟雾探测测器和自动报报警系统，并并连到专职防防火责任人或或消防站，火火灾一旦发生生，即有救火火人员知道。重重要之处放上上灭火装置。（5）电源控制制。计算中心心应配备稳压压电源和配备备不间断电源源，以保证系系统电压的稳稳定，以及万万一外电路掉掉电或电压低低于一定值时时，不间断电电源能自动向向系统以额定定电压供电，保保证系统正常常运行。（6）灾难恢复复计划。灾难难恢复计划是是一些成文的的、经过试验验可行的在灾灾难发生之前前、之中和之