处理和输出控制课件

1、输入、处理和输出控制第15讲目标 介绍计算机化的业务处理中的三个步骤明确可能用于交易处理系统中的控制明确金融系统中最新的发展能够怎样影响审计师评价应用控制的方法应用控制为了什么？应用控制用于保证账目记录的完整性、精确性和有效性每个阶段应用的控制：输入控制处理控制输出控制责任谁对保证适当的应用软件控制负有责任？IT审计师的角色是什么？应当提出什么程度的控制？什么人应当评价客户（IT）系统？理解和存档客户的财务程序审计师需要证明他/她理解金融系统和现行的控制通过存档完成：系统的业务流程应用于每个阶段的控制审计师应当明确客户可能有的任何应用软件稳定行输入控制目标输入控制用于确保所有的业务：正确输入的

2、(M,V)完全的(C)有效的(O, R&O)被许可的(R)进入了正确会计阶段(O)给予正确的账目代码(D)输入许可许可控制减少了由错误，欺骗和不规则交易所造成的风险传统上使用签名，人名的第一个字母或者许可印章许可可以由用户的计算机编号和编号所赋予的特权来控制。输入的完整性确保数据接受和输入的完整性的控制包括：交易传送日志使用预先标号的输入形式使用预习标号的批处理形式批处理总数预期和例行程序批处理将交易收集在一起成批批处理标题用于记录：批的数目交易的数目关键领域的总数批控制总数计算机对本身控制的总数和用户输入的批控制总数进行比较。输入确认可能人工或者自动控制应当考虑以下的接受准则减少了用户输入不

3、正确数据所造成的风险减少系统出错所造成的风险输入确认：格式检查保证数据以可处理的格式输入，例如，数据顺序，文字和数字的字符组合，空间的使用，逗点典型地被应用于：数量日期账目代码输入确认：值域/限制检查预排程序的数据有阈值，通常用数字表示上界值和下界值由领域或者用户设置减少“大”错误造成的风险输入超过界限请重试！输入确认：校验数字用于检查变换、抄写和随机的错误计算出一个校验数字（09），并加到输入数据的末尾为了计算校验数字，需要的3个信息输入数字权重模数输入确认比较和兼容性检查比较有效性检查比较输入数据和已知数据已知数据通常是主文件或者标准数据如果不匹配，输入将被拒绝将减少由于欺骗、不正确的数据

4、输入和记录错误所造成的风险兼容性检查基于另一个领域的数据，这个领域的数据是合理的重复交易问题过多的交易它们很相像缺少人的直觉 控制标记交易与现存记录比较每个单元中交易的限制文件和交易的匹配比较一个文件和另一个文件中的相关数据如果明显地不同，系统将产生不同报告使用包括：股票系统和购买系统中数据匹配薪水系统和人事记录系统中数据匹配 拒绝输入数据当控制发现有错误处理时将会发生什么？典型地，处理包括：直接拒绝 悬而待决处理控制处理控制应当保证:数据被适当处理；所有的数据都被处理；数据只被处理一次；处理被应用到有效数据R2R控制基于由文件数据而来的总数，在处理工程中保持完整比较“前”和“后”的总数运行控

5、制后可能接着一系列的处理进程中心总数多次使用杂乱的总数可以用于非数值数据独立控制账户用于外部数据可用以及这些数据记录在外部控制账户之处外部数据用于预测处理数据如果显著不同，应当调查原因当处理了不正确的数据文件时，用于揭示错误数据文件控制记录保持对记录总数文件和关键数据总数文件的分开记录例如，在100个记录之前，有总数$120。在处理中，12个记录时加数值$15。 之后： 记录 100+12=112 总数 $120+15=135软件应当加入记录并且进行比较交易确认和协调控制确认控制用于从一个处理阶段的输出另一个处理阶段的输入例如，范围，合理性，确认，校验数字协调控制比较有相关信息的两个文件像以前

6、一样，客户应该有应对处理错误和故障的过程输出控制输出控制应当保证计算化的输出是：?期望期望用户应当知道期望什么，以及什么时候期望输入的结果能够通过寄出/收到日 志来补充我的报告哪里去了完全性控制输出总数可以和独立控制账户或者数据文件记录的内容相比较页码（连续的）（y中的 x）“报告结束”标记“零报告”End of reportPage 1输出保护输出常常是缓存的例如，报告可能缓存在一个打印文件中，直到打印机可用需要保护缓存文件客户可能使用逻辑访问安全措施，包括加密缓存文件合理，合时和分配合理输出应当符合用户的预期由用户或者IT部门负责计算机输出合理性的初始检查最终责任在于用户合时在合理的时间内

7、或者依照时间表，输出对于用户应当是可用的分配输出应该到达正确的人选，并且传输是安全的报表记录器现代金融软件一个通常的功用/特征允许用户从数据库中得到他们需要的信息用户可以由电子数据表下载报告在系统发展/获得过程中，用户应当详细说明他们需要什么样的标准报告 用户定义报告用户定义报告很可能会有错误可能的问题包括：逻辑错误使用不完整的数据使用过时的数据破坏安全（比如，泄漏了敏感信息）1+1=3报告书写控制(I)系统发展控制打印出报告的提取逻辑标准报告/准则更宽的范围限制对报告记录器的访问报告书写控制(II)使用监控日期/时间标志报告报告控制的总数和数据文件一致实时系统代替批处理系统因此抛弃了传统的批

8、处理控制可能的问题包括：丢失了审计标志 不能保证交易输入是完整的减少了错误报告的需要缺少从R2R完整性检查得到的控制总数当数据准备处理时，不能得到反馈缺乏对标准数据变化的控制实时系统的预防性控制逻辑访问控制实时输入确认报告安全事故的日志文件的使用完整性检查实时系统的检测性控制一对一检查回顾式的批处理异常报告悬而未决的账目报告和外部控制账户比较数据库系统保证数据库中交易数据的完整性依赖于通常IT环境中的控制软件控制数据库的“前门”，通常的控制限制从“后门”进入任命数据库管理员 数据库控制限制访问数据库的功能/工具在系统发展中数据库的严格检查数据库完整性检查保持数据字典更新不接受表面的数据库报告文件数据库备份和恢复检查备份和恢复程序数据库恢复检查点、转储、重开始控制回转和向前分布式系统越来越多地使用分布式系统数据分布在网络上，需要网络和通讯控制要求有效的逻辑访问控制和审计日志数据矛盾解决数据相容问题的机制本地副本中的数据更新所有的更新反映在所有文件中