處理和輸出控制課件

1、輸入、處理和輸出控制第15講目標(biāo) 介紹計算機化的業(yè)務(wù)處理中的三個步驟明確可能用于交易處理系統(tǒng)中的控制明確金融系統(tǒng)中最新的發(fā)展能夠怎樣影響審計師評價應(yīng)用控制的方法應(yīng)用控制為了什么？應(yīng)用控制用于保證賬目記錄的完整性、精確性和有效性每個階段應(yīng)用的控制：輸入控制處理控制輸出控制責(zé)任誰對保證適當(dāng)?shù)膽?yīng)用軟件控制負(fù)有責(zé)任？IT審計師的角色是什么？應(yīng)當(dāng)提出什么程度的控制？什么人應(yīng)當(dāng)評價客戶（IT）系統(tǒng)？理解和存檔客戶的財務(wù)程序?qū)徲嫀熜枰C明他/她理解金融系統(tǒng)和現(xiàn)行的控制通過存檔完成：系統(tǒng)的業(yè)務(wù)流程應(yīng)用于每個階段的控制審計師應(yīng)當(dāng)明確客戶可能有的任何應(yīng)用軟件穩(wěn)定行輸入控制目標(biāo)輸入控制用于確保所有的業(yè)務(wù)：正確輸入的

2、(M,V)完全的(C)有效的(O, R&O)被許可的(R)進(jìn)入了正確會計階段(O)給予正確的賬目代碼(D)輸入許可許可控制減少了由錯誤，欺騙和不規(guī)則交易所造成的風(fēng)險傳統(tǒng)上使用簽名，人名的第一個字母或者許可印章許可可以由用戶的計算機編號和編號所賦予的特權(quán)來控制。輸入的完整性確保數(shù)據(jù)接受和輸入的完整性的控制包括：交易傳送日志使用預(yù)先標(biāo)號的輸入形式使用預(yù)習(xí)標(biāo)號的批處理形式批處理總數(shù)預(yù)期和例行程序批處理將交易收集在一起成批批處理標(biāo)題用于記錄：批的數(shù)目交易的數(shù)目關(guān)鍵領(lǐng)域的總數(shù)批控制總數(shù)計算機對本身控制的總數(shù)和用戶輸入的批控制總數(shù)進(jìn)行比較。輸入確認(rèn)可能人工或者自動控制應(yīng)當(dāng)考慮以下的接受準(zhǔn)則減少了用戶輸入不

3、正確數(shù)據(jù)所造成的風(fēng)險減少系統(tǒng)出錯所造成的風(fēng)險輸入確認(rèn)：格式檢查保證數(shù)據(jù)以可處理的格式輸入，例如，數(shù)據(jù)順序，文字和數(shù)字的字符組合，空間的使用，逗點典型地被應(yīng)用于：數(shù)量日期賬目代碼輸入確認(rèn)：值域/限制檢查預(yù)排程序的數(shù)據(jù)有閾值，通常用數(shù)字表示上界值和下界值由領(lǐng)域或者用戶設(shè)置減少“大”錯誤造成的風(fēng)險輸入超過界限請重試！輸入確認(rèn)：校驗數(shù)字用于檢查變換、抄寫和隨機的錯誤計算出一個校驗數(shù)字（09），并加到輸入數(shù)據(jù)的末尾為了計算校驗數(shù)字，需要的3個信息輸入數(shù)字權(quán)重模數(shù)輸入確認(rèn)比較和兼容性檢查比較有效性檢查比較輸入數(shù)據(jù)和已知數(shù)據(jù)已知數(shù)據(jù)通常是主文件或者標(biāo)準(zhǔn)數(shù)據(jù)如果不匹配，輸入將被拒絕將減少由于欺騙、不正確的數(shù)據(jù)

4、輸入和記錄錯誤所造成的風(fēng)險兼容性檢查基于另一個領(lǐng)域的數(shù)據(jù)，這個領(lǐng)域的數(shù)據(jù)是合理的重復(fù)交易問題過多的交易它們很相像缺少人的直覺 控制標(biāo)記交易與現(xiàn)存記錄比較每個單元中交易的限制文件和交易的匹配比較一個文件和另一個文件中的相關(guān)數(shù)據(jù)如果明顯地不同，系統(tǒng)將產(chǎn)生不同報告使用包括：股票系統(tǒng)和購買系統(tǒng)中數(shù)據(jù)匹配薪水系統(tǒng)和人事記錄系統(tǒng)中數(shù)據(jù)匹配 拒絕輸入數(shù)據(jù)當(dāng)控制發(fā)現(xiàn)有錯誤處理時將會發(fā)生什么？典型地，處理包括：直接拒絕 懸而待決處理控制處理控制應(yīng)當(dāng)保證:數(shù)據(jù)被適當(dāng)處理；所有的數(shù)據(jù)都被處理；數(shù)據(jù)只被處理一次；處理被應(yīng)用到有效數(shù)據(jù)R2R控制基于由文件數(shù)據(jù)而來的總數(shù)，在處理工程中保持完整比較“前”和“后”的總數(shù)運行控

5、制后可能接著一系列的處理進(jìn)程中心總數(shù)多次使用雜亂的總數(shù)可以用于非數(shù)值數(shù)據(jù)獨立控制賬戶用于外部數(shù)據(jù)可用以及這些數(shù)據(jù)記錄在外部控制賬戶之處外部數(shù)據(jù)用于預(yù)測處理數(shù)據(jù)如果顯著不同，應(yīng)當(dāng)調(diào)查原因當(dāng)處理了不正確的數(shù)據(jù)文件時，用于揭示錯誤數(shù)據(jù)文件控制記錄保持對記錄總數(shù)文件和關(guān)鍵數(shù)據(jù)總數(shù)文件的分開記錄例如，在100個記錄之前，有總數(shù)$120。在處理中，12個記錄時加數(shù)值$15。 之后： 記錄 100+12=112 總數(shù) $120+15=135軟件應(yīng)當(dāng)加入記錄并且進(jìn)行比較交易確認(rèn)和協(xié)調(diào)控制確認(rèn)控制用于從一個處理階段的輸出另一個處理階段的輸入例如，范圍，合理性，確認(rèn)，校驗數(shù)字協(xié)調(diào)控制比較有相關(guān)信息的兩個文件像以前

6、一樣，客戶應(yīng)該有應(yīng)對處理錯誤和故障的過程輸出控制輸出控制應(yīng)當(dāng)保證計算化的輸出是：?期望期望用戶應(yīng)當(dāng)知道期望什么，以及什么時候期望輸入的結(jié)果能夠通過寄出/收到日 志來補充我的報告哪里去了完全性控制輸出總數(shù)可以和獨立控制賬戶或者數(shù)據(jù)文件記錄的內(nèi)容相比較頁碼（連續(xù)的）（y中的 x）“報告結(jié)束”標(biāo)記“零報告”End of reportPage 1輸出保護(hù)輸出常常是緩存的例如，報告可能緩存在一個打印文件中，直到打印機可用需要保護(hù)緩存文件客戶可能使用邏輯訪問安全措施，包括加密緩存文件合理，合時和分配合理輸出應(yīng)當(dāng)符合用戶的預(yù)期由用戶或者IT部門負(fù)責(zé)計算機輸出合理性的初始檢查最終責(zé)任在于用戶合時在合理的時間內(nèi)

7、或者依照時間表，輸出對于用戶應(yīng)當(dāng)是可用的分配輸出應(yīng)該到達(dá)正確的人選，并且傳輸是安全的報表記錄器現(xiàn)代金融軟件一個通常的功用/特征允許用戶從數(shù)據(jù)庫中得到他們需要的信息用戶可以由電子數(shù)據(jù)表下載報告在系統(tǒng)發(fā)展/獲得過程中，用戶應(yīng)當(dāng)詳細(xì)說明他們需要什么樣的標(biāo)準(zhǔn)報告 用戶定義報告用戶定義報告很可能會有錯誤可能的問題包括：邏輯錯誤使用不完整的數(shù)據(jù)使用過時的數(shù)據(jù)破壞安全（比如，泄漏了敏感信息）1+1=3報告書寫控制(I)系統(tǒng)發(fā)展控制打印出報告的提取邏輯標(biāo)準(zhǔn)報告/準(zhǔn)則更寬的范圍限制對報告記錄器的訪問報告書寫控制(II)使用監(jiān)控日期/時間標(biāo)志報告報告控制的總數(shù)和數(shù)據(jù)文件一致實時系統(tǒng)代替批處理系統(tǒng)因此拋棄了傳統(tǒng)的批

8、處理控制可能的問題包括：丟失了審計標(biāo)志 不能保證交易輸入是完整的減少了錯誤報告的需要缺少從R2R完整性檢查得到的控制總數(shù)當(dāng)數(shù)據(jù)準(zhǔn)備處理時，不能得到反饋缺乏對標(biāo)準(zhǔn)數(shù)據(jù)變化的控制實時系統(tǒng)的預(yù)防性控制邏輯訪問控制實時輸入確認(rèn)報告安全事故的日志文件的使用完整性檢查實時系統(tǒng)的檢測性控制一對一檢查回顧式的批處理異常報告懸而未決的賬目報告和外部控制賬戶比較數(shù)據(jù)庫系統(tǒng)保證數(shù)據(jù)庫中交易數(shù)據(jù)的完整性依賴于通常IT環(huán)境中的控制軟件控制數(shù)據(jù)庫的“前門”，通常的控制限制從“后門”進(jìn)入任命數(shù)據(jù)庫管理員 數(shù)據(jù)庫控制限制訪問數(shù)據(jù)庫的功能/工具在系統(tǒng)發(fā)展中數(shù)據(jù)庫的嚴(yán)格檢查數(shù)據(jù)庫完整性檢查保持?jǐn)?shù)據(jù)字典更新不接受表面的數(shù)據(jù)庫報告文件數(shù)據(jù)庫備份和恢復(fù)檢查備份和恢復(fù)程序數(shù)據(jù)庫恢復(fù)檢查點、轉(zhuǎn)儲、重開始控制回轉(zhuǎn)和向前分布式系統(tǒng)越來越多地使用分布式系統(tǒng)數(shù)據(jù)分布在網(wǎng)絡(luò)上，需要網(wǎng)絡(luò)和通訊控制要求有效的邏輯訪問控制和審計日志數(shù)據(jù)矛盾解決數(shù)據(jù)相容問題的機制本地副本中的數(shù)據(jù)更新所有的更新反映在所有文件中