處理和輸出控制課件

1、輸入、處理和輸出控制第15講目標(biāo) 介紹計(jì)算機(jī)化的業(yè)務(wù)處理中的三個(gè)步驟明確可能用于交易處理系統(tǒng)中的控制明確金融系統(tǒng)中最新的發(fā)展能夠怎樣影響審計(jì)師評(píng)價(jià)應(yīng)用控制的方法應(yīng)用控制為了什么？應(yīng)用控制用于保證賬目記錄的完整性、精確性和有效性每個(gè)階段應(yīng)用的控制：輸入控制處理控制輸出控制責(zé)任誰(shuí)對(duì)保證適當(dāng)?shù)膽?yīng)用軟件控制負(fù)有責(zé)任？IT審計(jì)師的角色是什么？應(yīng)當(dāng)提出什么程度的控制？什么人應(yīng)當(dāng)評(píng)價(jià)客戶（IT）系統(tǒng)？理解和存檔客戶的財(cái)務(wù)程序?qū)徲?jì)師需要證明他/她理解金融系統(tǒng)和現(xiàn)行的控制通過(guò)存檔完成：系統(tǒng)的業(yè)務(wù)流程應(yīng)用于每個(gè)階段的控制審計(jì)師應(yīng)當(dāng)明確客戶可能有的任何應(yīng)用軟件穩(wěn)定行輸入控制目標(biāo)輸入控制用于確保所有的業(yè)務(wù)：正確輸入的

2、(M,V)完全的(C)有效的(O, R&O)被許可的(R)進(jìn)入了正確會(huì)計(jì)階段(O)給予正確的賬目代碼(D)輸入許可許可控制減少了由錯(cuò)誤，欺騙和不規(guī)則交易所造成的風(fēng)險(xiǎn)傳統(tǒng)上使用簽名，人名的第一個(gè)字母或者許可印章許可可以由用戶的計(jì)算機(jī)編號(hào)和編號(hào)所賦予的特權(quán)來(lái)控制。輸入的完整性確保數(shù)據(jù)接受和輸入的完整性的控制包括：交易傳送日志使用預(yù)先標(biāo)號(hào)的輸入形式使用預(yù)習(xí)標(biāo)號(hào)的批處理形式批處理總數(shù)預(yù)期和例行程序批處理將交易收集在一起成批批處理標(biāo)題用于記錄：批的數(shù)目交易的數(shù)目關(guān)鍵領(lǐng)域的總數(shù)批控制總數(shù)計(jì)算機(jī)對(duì)本身控制的總數(shù)和用戶輸入的批控制總數(shù)進(jìn)行比較。輸入確認(rèn)可能人工或者自動(dòng)控制應(yīng)當(dāng)考慮以下的接受準(zhǔn)則減少了用戶輸入不

3、正確數(shù)據(jù)所造成的風(fēng)險(xiǎn)減少系統(tǒng)出錯(cuò)所造成的風(fēng)險(xiǎn)輸入確認(rèn)：格式檢查保證數(shù)據(jù)以可處理的格式輸入，例如，數(shù)據(jù)順序，文字和數(shù)字的字符組合，空間的使用，逗點(diǎn)典型地被應(yīng)用于：數(shù)量日期賬目代碼輸入確認(rèn)：值域/限制檢查預(yù)排程序的數(shù)據(jù)有閾值，通常用數(shù)字表示上界值和下界值由領(lǐng)域或者用戶設(shè)置減少“大”錯(cuò)誤造成的風(fēng)險(xiǎn)輸入超過(guò)界限請(qǐng)重試！輸入確認(rèn)：校驗(yàn)數(shù)字用于檢查變換、抄寫和隨機(jī)的錯(cuò)誤計(jì)算出一個(gè)校驗(yàn)數(shù)字（09），并加到輸入數(shù)據(jù)的末尾為了計(jì)算校驗(yàn)數(shù)字，需要的3個(gè)信息輸入數(shù)字權(quán)重模數(shù)輸入確認(rèn)比較和兼容性檢查比較有效性檢查比較輸入數(shù)據(jù)和已知數(shù)據(jù)已知數(shù)據(jù)通常是主文件或者標(biāo)準(zhǔn)數(shù)據(jù)如果不匹配，輸入將被拒絕將減少由于欺騙、不正確的數(shù)據(jù)

4、輸入和記錄錯(cuò)誤所造成的風(fēng)險(xiǎn)兼容性檢查基于另一個(gè)領(lǐng)域的數(shù)據(jù)，這個(gè)領(lǐng)域的數(shù)據(jù)是合理的重復(fù)交易問(wèn)題過(guò)多的交易它們很相像缺少人的直覺(jué) 控制標(biāo)記交易與現(xiàn)存記錄比較每個(gè)單元中交易的限制文件和交易的匹配比較一個(gè)文件和另一個(gè)文件中的相關(guān)數(shù)據(jù)如果明顯地不同，系統(tǒng)將產(chǎn)生不同報(bào)告使用包括：股票系統(tǒng)和購(gòu)買系統(tǒng)中數(shù)據(jù)匹配薪水系統(tǒng)和人事記錄系統(tǒng)中數(shù)據(jù)匹配 拒絕輸入數(shù)據(jù)當(dāng)控制發(fā)現(xiàn)有錯(cuò)誤處理時(shí)將會(huì)發(fā)生什么？典型地，處理包括：直接拒絕 懸而待決處理控制處理控制應(yīng)當(dāng)保證:數(shù)據(jù)被適當(dāng)處理；所有的數(shù)據(jù)都被處理；數(shù)據(jù)只被處理一次；處理被應(yīng)用到有效數(shù)據(jù)R2R控制基于由文件數(shù)據(jù)而來(lái)的總數(shù)，在處理工程中保持完整比較“前”和“后”的總數(shù)運(yùn)行控

5、制后可能接著一系列的處理進(jìn)程中心總數(shù)多次使用雜亂的總數(shù)可以用于非數(shù)值數(shù)據(jù)獨(dú)立控制賬戶用于外部數(shù)據(jù)可用以及這些數(shù)據(jù)記錄在外部控制賬戶之處外部數(shù)據(jù)用于預(yù)測(cè)處理數(shù)據(jù)如果顯著不同，應(yīng)當(dāng)調(diào)查原因當(dāng)處理了不正確的數(shù)據(jù)文件時(shí)，用于揭示錯(cuò)誤數(shù)據(jù)文件控制記錄保持對(duì)記錄總數(shù)文件和關(guān)鍵數(shù)據(jù)總數(shù)文件的分開記錄例如，在100個(gè)記錄之前，有總數(shù)$120。在處理中，12個(gè)記錄時(shí)加數(shù)值$15。 之后： 記錄 100+12=112 總數(shù) $120+15=135軟件應(yīng)當(dāng)加入記錄并且進(jìn)行比較交易確認(rèn)和協(xié)調(diào)控制確認(rèn)控制用于從一個(gè)處理階段的輸出另一個(gè)處理階段的輸入例如，范圍，合理性，確認(rèn)，校驗(yàn)數(shù)字協(xié)調(diào)控制比較有相關(guān)信息的兩個(gè)文件像以前

6、一樣，客戶應(yīng)該有應(yīng)對(duì)處理錯(cuò)誤和故障的過(guò)程輸出控制輸出控制應(yīng)當(dāng)保證計(jì)算化的輸出是：?期望期望用戶應(yīng)當(dāng)知道期望什么，以及什么時(shí)候期望輸入的結(jié)果能夠通過(guò)寄出/收到日 志來(lái)補(bǔ)充我的報(bào)告哪里去了完全性控制輸出總數(shù)可以和獨(dú)立控制賬戶或者數(shù)據(jù)文件記錄的內(nèi)容相比較頁(yè)碼（連續(xù)的）（y中的 x）“報(bào)告結(jié)束”標(biāo)記“零報(bào)告”End of reportPage 1輸出保護(hù)輸出常常是緩存的例如，報(bào)告可能緩存在一個(gè)打印文件中，直到打印機(jī)可用需要保護(hù)緩存文件客戶可能使用邏輯訪問(wèn)安全措施，包括加密緩存文件合理，合時(shí)和分配合理輸出應(yīng)當(dāng)符合用戶的預(yù)期由用戶或者IT部門負(fù)責(zé)計(jì)算機(jī)輸出合理性的初始檢查最終責(zé)任在于用戶合時(shí)在合理的時(shí)間內(nèi)

7、或者依照時(shí)間表，輸出對(duì)于用戶應(yīng)當(dāng)是可用的分配輸出應(yīng)該到達(dá)正確的人選，并且傳輸是安全的報(bào)表記錄器現(xiàn)代金融軟件一個(gè)通常的功用/特征允許用戶從數(shù)據(jù)庫(kù)中得到他們需要的信息用戶可以由電子數(shù)據(jù)表下載報(bào)告在系統(tǒng)發(fā)展/獲得過(guò)程中，用戶應(yīng)當(dāng)詳細(xì)說(shuō)明他們需要什么樣的標(biāo)準(zhǔn)報(bào)告 用戶定義報(bào)告用戶定義報(bào)告很可能會(huì)有錯(cuò)誤可能的問(wèn)題包括：邏輯錯(cuò)誤使用不完整的數(shù)據(jù)使用過(guò)時(shí)的數(shù)據(jù)破壞安全（比如，泄漏了敏感信息）1+1=3報(bào)告書寫控制(I)系統(tǒng)發(fā)展控制打印出報(bào)告的提取邏輯標(biāo)準(zhǔn)報(bào)告/準(zhǔn)則更寬的范圍限制對(duì)報(bào)告記錄器的訪問(wèn)報(bào)告書寫控制(II)使用監(jiān)控日期/時(shí)間標(biāo)志報(bào)告報(bào)告控制的總數(shù)和數(shù)據(jù)文件一致實(shí)時(shí)系統(tǒng)代替批處理系統(tǒng)因此拋棄了傳統(tǒng)的批

8、處理控制可能的問(wèn)題包括：丟失了審計(jì)標(biāo)志 不能保證交易輸入是完整的減少了錯(cuò)誤報(bào)告的需要缺少?gòu)腞2R完整性檢查得到的控制總數(shù)當(dāng)數(shù)據(jù)準(zhǔn)備處理時(shí)，不能得到反饋缺乏對(duì)標(biāo)準(zhǔn)數(shù)據(jù)變化的控制實(shí)時(shí)系統(tǒng)的預(yù)防性控制邏輯訪問(wèn)控制實(shí)時(shí)輸入確認(rèn)報(bào)告安全事故的日志文件的使用完整性檢查實(shí)時(shí)系統(tǒng)的檢測(cè)性控制一對(duì)一檢查回顧式的批處理異常報(bào)告懸而未決的賬目報(bào)告和外部控制賬戶比較數(shù)據(jù)庫(kù)系統(tǒng)保證數(shù)據(jù)庫(kù)中交易數(shù)據(jù)的完整性依賴于通常IT環(huán)境中的控制軟件控制數(shù)據(jù)庫(kù)的“前門”，通常的控制限制從“后門”進(jìn)入任命數(shù)據(jù)庫(kù)管理員 數(shù)據(jù)庫(kù)控制限制訪問(wèn)數(shù)據(jù)庫(kù)的功能/工具在系統(tǒng)發(fā)展中數(shù)據(jù)庫(kù)的嚴(yán)格檢查數(shù)據(jù)庫(kù)完整性檢查保持?jǐn)?shù)據(jù)字典更新不接受表面的數(shù)據(jù)庫(kù)報(bào)告文件數(shù)據(jù)庫(kù)備份和恢復(fù)檢查備份和恢復(fù)程序數(shù)據(jù)庫(kù)恢復(fù)檢查點(diǎn)、轉(zhuǎn)儲(chǔ)、重開始控制回轉(zhuǎn)和向前分布式系統(tǒng)越來(lái)越多地使用分布式系統(tǒng)數(shù)據(jù)分布在網(wǎng)絡(luò)上，需要網(wǎng)絡(luò)和通訊控制要求有效的邏輯訪問(wèn)控制和審計(jì)日志數(shù)據(jù)矛盾解決數(shù)據(jù)相容問(wèn)題的機(jī)制本地副本中的數(shù)據(jù)更新所有的更新反映在所有文件中