КАТЕГОРИИ:
Архитектура-(3434)Астрономия-(809)Биология-(7483)Биотехнологии-(1457)Военное дело-(14632)Высокие технологии-(1363)География-(913)Геология-(1438)Государство-(451)Демография-(1065)Дом-(47672)Журналистика и СМИ-(912)Изобретательство-(14524)Иностранные языки-(4268)Информатика-(17799)Искусство-(1338)История-(13644)Компьютеры-(11121)Косметика-(55)Кулинария-(373)Культура-(8427)Лингвистика-(374)Литература-(1642)Маркетинг-(23702)Математика-(16968)Машиностроение-(1700)Медицина-(12668)Менеджмент-(24684)Механика-(15423)Науковедение-(506)Образование-(11852)Охрана труда-(3308)Педагогика-(5571)Полиграфия-(1312)Политика-(7869)Право-(5454)Приборостроение-(1369)Программирование-(2801)Производство-(97182)Промышленность-(8706)Психология-(18388)Религия-(3217)Связь-(10668)Сельское хозяйство-(299)Социология-(6455)Спорт-(42831)Строительство-(4793)Торговля-(5050)Транспорт-(2929)Туризм-(1568)Физика-(3942)Философия-(17015)Финансы-(26596)Химия-(22929)Экология-(12095)Экономика-(9961)Электроника-(8441)Электротехника-(4623)Энергетика-(12629)Юриспруденция-(1492)Ядерная техника-(1748)
Документування комп’ютерних систем
|
|
|
|
Якщо аудит заплановано в департаменті з високим рівнем автоматизації систем, перед вами постає необхідність визначити пов’язані з комп’ютерними системами ризики та засоби контролю, вбудовані в програмне забезпечення, які допомагають зменшити існуючі ризики. Таке завдання може виявитися достатньо складним, тому даний Посібник розглядає тільки загальні питання.
Звичайно внутрішні засоби контролю програмного пакету дозволяють контролювати такі чотири основні ризики, пов’язані з автоматизованими інформаційними системами:
1. Доступ неуповноважених осіб до операційної системи та системи обліку даних з метою отримання конфіденційної інформації або недозволеного внесення змін до інформації, що зберігається в системі. Аудитори повинні перевірити, чи забезпечує програмний пакет наступні види контролю:
· наявність індивідуальних паролів ідентифікації користувача для входу в систему, відомих тільки відповідному користувачеві;
· паролі мають необхідну кількість знаків та регулярно оновлюються;
· обмеження доступу користувачів тільки до тих функцій системи, якими вони користуються для виконання своїх службових обов’язків;
· система щоденно роздруковує звіт про спроби неуповноваженого доступу до системи, який перевіряється відповідними службами.
2. Операції та дані в режимі очікування, що вводяться в систему для подальшої обробки, можуть бути неправильними, неповними або введеними більше одного разу. Для зменшення таких ризиків програмний пакет повинен забезпечувати наступні види контролю:
· контроль на етапі редагування екрану та перевірки на правильність – під даним видом контролю звичайно розуміють контроль типу знаків, що можуть бути введені в певному полі – наприклад, тільки літери або тільки цифри;
|
|
|
· контроль пакетного вводу – наприклад, якщо рахунки фактури вводять в систему пакетом, автоматизована система може контролювати загальну суму по пакету в цілому, яка повинна збігатися з сумарною цифрою, отриманою шляхом підрахунку вручну;
· ключовий аспект системи контролю полягає в тому, щоб забезпечити можливість аудиту по всьому ланцюжку обробки операції таким чином, щоб уможливити виявлення та виправлення помилок.
3. Неможливість відокремлення, аналізу та виправлення операцій, відхилених системою, та сум на рахунках до з’ясування. Для зменшення ризиків такого типу правильно сконфігурований прикладний пакет повинен підтримувати такі види контролю:
· всі операції, відхилені системою, заносяться на тимчасовий рахунок до з’ясування і повинні вчасно, наприклад, на щоденній основі, виправлятися уповноваженим персоналом;
· ведеться облік руху коштів на рахунку до з’ясування, а загальні суми, що проходять через даний рахунок, підлягають звірці;
· система регулярно видає звіти про не з’ясовані операції.
4. Правильні операції, введені в систему для обробки або генеровані системою, можуть загубитися, пройти неповний цикл обробки, виявитися не включеними до звіту, виданого системою; можуть бути неправильно обробленими системою; обробленими та включеними до звіту за інший звітний період. Найбільш поширеними видами контролю такого типу ризиків є наступні:
· нумерація вихідних документів (ручна або автоматична), що попередить зникнення операцій в процесі їх обробки;
· контроль на рівні пакету, що дозволить звіряти баланс поточного дня (періоду) з балансом попереднього дня (баланс попереднього дня/ періоду плюс загальна сума по операціях, введених протягом поточного дня/ періоду);
|
|
|
· контроль на етапі передачі даних; такий вид контролю необхідний у випадку, коли інформація передається від віддаленого користувача засобами телефонного зв’язку. Засоби системного контролю повинні забезпечити отримання інформації по операціях у повному обсязі і у відповідному форматі обліку. Як правило, контролюється загальна кількість та загальна сума по переданих з віддаленого відділення операціях. У разі виявлення помилок відправнику інформації надсилається запит на повторну передачу інформації.
· контроль на етапі закриття звітного періоду. Повинен забезпечити віднесення операцій у правильний звітний період, тобто, система не повинна дозволити користувачеві вводити операції в той звітний період (наприклад, місяць), який вже було закрито.
|
|
|
|
|
Дата добавления: 2014-12-23; Просмотров: 528; Нарушение авторских прав?; Мы поможем в написании вашей работы!