2023年计算机信息系统的控制及其审计

计算机信息系统的控制及其审计

［内容提要］当信息处理的方式由手工转向计算机后，为了确保输出信息的及时、准确

和完整，为防止或及时发现差错及舞弊行为的发生，信息系统的控制就显得尤为重要。本章

专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。

本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。

第一节信息系统控制的重要性

信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营

决策的重要依据，因此，如何才能确保信息的有效、准确、及时、完整和安全，是我们在设

计和运行信息系统时所需考虑的一个重要问题，而这一问题的关键在于如何完善信息系统的

控制。

一、控制的定义

对一个企业来说，所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效

利用和提高企业财会和管理信息的真实、正确性，确保企业方针政策的贯彻执行，促进各项

工作与企业经营效率的提高而实施的各项措施。内部控制由控制环境、风险评估、控制活动、

信息与沟通和监督五部分构成。一个良好的企业控制系统应具有以下4个方面的功能：

1.确保企业各种经济资源的安全。一个企业，如果没有一套良好的控制企业经济资源

的措施，就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象，使企业蒙受损失。

所以，要采取有力的控制措施，有效地提高企业各种经济资源的安全，保护企业所有者的利

益。

2.确保各种经济信息、尤其是财会信息的准确、完整和及时性。只有及时、准确、完

整的经济信息，才能引导企业经营管理者正确地作出各种经济预测和决策，圆满实现企业的

经营目标；反之，则会对企业的生产经营起误导作用，使企业在面临各种问题时，作出错误

的选择。可见，建立良好的信息系统控制，是保证信息质量的重要途径。

3.促进企业各部门工作效率的提高，使企业保持良好的运行效率。提高企业各部门工作

效率是保证企业良好运行，顺利实现企业经营目标的重要途径。因此，在企业内建立一套有

效的业绩考核和评估体系，使企业内形成一种相互激励，相互约束的竞争机制，可以大大提

高企业对各种经济资源、人力资源的利用率，使企业保持良好的运行效率。

4.确保企业方针政策的贯彻执行，促进企业经济效益的提高。设计企业的控制系统，

其最终目的是为了促进企业经营管理活动的合理化，促进企业经济效益的提高。因此，一个

有效的控制系统，应能确保企'也方针政策的贯彻执行，促进经济效益的提高。

一个企业的控制包括对经营子系统、管理子系统和信息子系统的控制。本章主要是讨论

对信息系统的控制，也有时涉及一些经营、管理系统的相关控制。

二、计算机信息系统控制所面临的新问题

当信息处理的方式由手工处理向计算机处理转变后，信息处理工作所面临的环境发生了

很大的变化，给信息系统的控制带来了许多新的课题。归纳起来，主要有以下几个方面：

(-)如何对使川者进行身份识别和权限控制

当信息系统由手工处理数据转化为计算机进行数据处理后，原来人与人之间的联系在很

多方面会转变为人与计算机之间的联系。为了有效地防止数据被篡改、破坏、窃取等现象的

发生，就要求信息系统具有识别使用者身份并对其进行权限控制的能力。只有具有特定权限

的使用者才能接触信息系统，执行相应的操作，从而达到有力地保护系统信息安全的目的。

因此，如何才能对使用者进行身份识别和权限控制，是由手工处理数据转变为计算机分理数

据后所带来的新的课题之一。

(二)业务授权问题

业务授权(TransactonAuthorization)是保证员工处理的仅是他们职权内有权处理

的业务的控制措施。在计算机信息系统中，许多授权往往是由程序进行控制的。例如，采购

系统中可设计好存货低于多少就自动打印订单，订多少、向那个供应商订货理论上计算机都

可全部自动按程序执行，无需人工的参与。但是，如果没有良好的控制，可能会出现不合理

的订货，浪费企业大量的资金。因此，信息系统中的业务授权处理程序的准确性、完整性十

分重要，只有这样，才能保证业务的自动授权是可以接受的、可行的。

(三)职责分离(SegregationofDuties)问题

不相容任务的职责分离，即应由不同的人员分担不相容的工作任务或职务，是手工系统

计中十分重要的控制措施。其一般原则是：业务审批、执行人员与业务记录人员职责分离；

资产记录人员和资产保管人员职责分离；根据业务处理过程和记录的性质，再按不同的账、

不同的处理进一步分离，例如，记明细账的和记总账的职货分离、材料订购与材料验收的职

责分离，等等。通过恰当的职责分离，实现互相牵制、互相核对，使有作弊企图者必须串通

多人才能作弊。

在计算机信息系统中，原有的一些分工没有了。例如，启动、批准、处理采购订单，收

到发票后登记应付账款，自动打印付款凭证和支票等业务全都可由计算机自动完成。信息系

统的应用程序一般在系统的整个生命周期内都在使用，影响很大。因此，在计算机信息处理

环境下，既然有些业务的处理不能分离，应转而把职责分离的着眼点放到计算机系统的开发、

使用和维护工作上。

(四)监督(Supervision)问题

监督对于小单位或者大单位的小部门十分重要，因为这些部门的职员往往一人担负了多

个不相容的职责。在手工条件下，监督通常是部门负责人的责任之一，且职员都在同一个地

方工作，相互之间也有监督作用。在计算机环境下，监督的任务更复杂了，因为计算机技术

人员计算机知识水平高，有些人负责了重要的工作岗位，可直接访问系统的程序和数据，且

人员的流动性比较大，有些人还可能单独在很远的终端上工作，管理人员与同事不能直接看

到他们在做什么，难以进行直接有效的监督。因此在计算机环境下，应把许多在人工环境下

的直接监督融合到系统程序中去，由程序来实现监督和控制。

(五)会计记录与信息安全问题

手工的会计资料包括原始凭证、日记账、明细分类账、总账和会计报表，这些资料给审

计提供了审计线索。在计算机条件下，有些系统并没有日记账和明细账文件，而只是把原始

凭证上的重要数据项保存在数据文件中，有关的会计信息可能通过分散在多个不同磁盘、不

同文件的数据临时加工得到，文件之间通过关键字、指针、索引等发生联系。要审查这些信

息的正确性，审计人员要十分熟悉系统所用的数据库管理系统，给审计带来了较大的困难。

而且，计算机信息系统中的各种数据文件是以肉眼不可见的，很容易被篡改或删去而不留下

任何痕迹。因此，信息的安全可症性有很多隐患。如何确保系统信息的安全，是我们在设计

和运行信息系统时所需考虑的又一重要问题。

（六）访问控制（AccessControl）的问题

企业资产的接触控制分为直接接触控制和间接接触控制。建围墙、设保安、自动报警系

统、房间加锁等是直接接触控制。间接接触指通过阅读或篡改会计资料而获得有关资产的情

况，甚至侵吞有关资产，例如通过破坏、涂改相关的销售业务和应收账款记录而实现贪污。

在手工条件下，这样的问题可通过防止随便接触账簿记灵、对登记这些账簿的人员实行职责

分离，如销售明细账、应收账款明细账、总账由不同的人员登记进行控制。在计算机环境下，

所有会计资料均集中存储在数据处理中心的大存储容量的设备上，从而容易作弊或受到灾害

的损毁；另外，对程序的非法访问也危及到用户资产和信息的安全。因此，限制对计算机数

据和程序的访问，对机房或数据处理中心提供物理安全措施，保证正确的数据备份等，都十

分重要。有些访问控制是技术性的，有些靠职责分离实现，但其基本原则是：无论允途或限

制一个人访问什么程序或什么数据，都必须根据其所分配的工作的需要来作出决定。

（七）独立复核（IndependentVerification）问题

监督是事中控制，而复核是一种事后的控制。独立复核是由不直接参与该业务处理的人

员进行好核。通过更核，管理人员可以评估工作人员的业绩，评估处理的完整性和会计信息

的准确性。在计算机信息系统中，原来经多道手续由多人完成的业务处理变为由计算机集中

统一进行处理，原来在手工处理中所存在的相互核对的约束机制不复存在。所以，我们在设

计信息系统时，必须着重考虑如何才能提高信息系统自身对经济业务处理的审查、复核能力,

以减少信息系统在处理数据时发生错误的可能性。如果在设计信息系统时忽略了这一点，则

可能会由于采集或输入数据的错误，或软件本身的错误而导致输出信息的错误，从而误导信

息使用者。因此，在计算机信息系统中，兔核控制的重点变为系统的开发和维护审计以及程

序的逻辑审查。

（A）电子商务和网络经营中的特殊的安全问题

电子商务给企业带来了前所未有的商机，同时也带*了前所未有的风险。在传统的经营

条件下，企业资产和经营的安全可以通过建立健全的内部控制得以保证。在电子商务条件下,

企业的计算机信息系统是-一个开放系统，计算机病毒和黑客随时可以通过Internet威胁到企

业资产和经营的安全。囚为电磁信息可以删改且不留痕迹，企业在电子商务中要面对如何解

决交易的确认、经确认的文件不可修改和不可否认、网上信息传递的保密等问题。这些安全

问题不是企业内部所能完全控制的，必须针对其固有的风险建立全新的控制。

（九）软件开发的质量问题

一个信息系统能否正常运转，合法、正确地处理各项经济业务，保持较高的运行效率，

节省运行成本等，很大程度上取决于所开发软件的质量。在信息系统中，计算机担负着企业

绝大部分的信息处理任务，一旦软件中某个环节出现问题而无法正常工作，或者被人为破坏,

就有可能导致整个信息系统数据处理的一连串错误，甚至导致系统停止运转，给企业的经营

和管理带来不可估量的损失。因此，企业应对信息系统的开发工作进行有效的控制，以确保

所开发软件的质量。

三、加强信息系统控制的重要意义

通过上面的阐述我们可以看出，当信息的处理方式由手工处理转变为计算机处理之后，

就给信息系统的控制带来了许多新的问题，使得信息系统所潜在的风险比手T.系统更大、更

复杂。同时，由于信息系统所产生的信息日益增多，没有健全的控制措施，就很难保证信息

的收集、传递、处理能够及时、准确、完整和不会出现无意的差错或有意的舞弊。事实证明，

如果计算机信息系统的控制出现漏洞，将会对企业造成比手工系统更为严重的损失，这种例

子屡见不鲜。所以，当我们在设计和运行信息系统时，必须把加强对信息系统的控制放在十

分重要的地位，认真抓紧抓好这项工作，以保证信息系统能安全、可靠地工作。

当然，最完善的控制系统也有其固有的局限，如：企业在制订控制制度时，要考虑成本

效益原则；控制制度可能会由于执行人员的错误理解、疏忽大意或串通舞弊而失效等。所以，

尽管我们强调要加强信息系统的控制，但也应清楚知道绝对的安全是没有的，控制也不是越

多越严密越好。衡量控制系统的恰当性最根本的标准是考虑企业的经济效益和社会效益，应

以此作为掌握控制制度宽严的尺度。

四、计算机信息系统的控制的总框架

在电子商务与网络经营环境下，企业计算机信息系统的构成和总的控制框架如图3-1所

示：

图3-1信息系统总的控制框架

针对计算机信息系统的构成和控制框架，可把信息系统的控制划分为以下八个方面:

1.组织控制。

2.数据资源控制。

3.系统开发与维护控制。

4.计算中心的安全控制。

5.数据通信控制。

6.电子商务的安全控制。

7.微机系统的控制。

8.各个应用系统的控制。

在第三节将对它们逐一进行较详细的讨论。

第二节计算机信息系统控制的分类

平常人们讲到信息系统的控制常会有很多不同的提法，往往是按不同的分类来讨论信息

系统的控制。为了让读者明确各种控制的关系，切实掌握计算机信息系统应有的控制，在具

体讨论信息系统的控制措施前，我们先简单介绍一下信息系统内部控制的分类。信息系统的

控制可以按不同的方式进行分类，最常见的有下列几种分类方法。

一、按实施的范围和对象分类

按控制实施的范围和对象分，信息系统的内部控制可分为一般控制（generalcontrol）

和应用控制（applicationcontrol）。国际上常见的教科书在讨论信息系统的控制时多按这

种分类，本书在下一节也将按这种分类来讨论信息系统的控制措施。

一般控制是指对计算机信息系统的构成要素（包括人、计算机、通信线路、系统软件、

应用程序、数据文件等）和系统环境（包括组织结构、系统开发与维护、环境安全等）实施

的控制。一般控制适用于整个计算机信息系统，它为信息系统提供良好的工作条件和必要的

安全保证，是应用控制的基础。

应用控制是指针对信息系统的各功能子系统（或称功能模块）的输入、处理和输出过程

中的敏感环节和控制要求所实施的控制，上一节所述的控制框架中的第8项就是应用控制。

应用控制包括输入控制、处理控制和输出控制。不同的计算机应用（如帐务处理、工资核算、

固定资产管理等等），其敏感环节和控制要求不同，因此应用控制也不尽相同。应用控制用

以确保特定的子系统（或称功能模块）的输入、处理和输出的安全、正确。应用控制必须在

有效的一般控制基础上才能发辉作用。

二、按控制的目标分类

按控制实施的目标进行分类，计算机信息系统的内部控制乂可以分为预防性控制

（preventivecontrol探测性控制（detectivecontrol）以及纠正性控制（corrective

control）o

预防性控制是指为预防和阻止信息系统可能出现的各种差错或舞弊行为的发生而采用

的各种控制措施。其控制目标在防止错弊的发生。例如，在计算中心设置门卫和大门上锁，

终端加锁，系统用户要经注册，设置密码权限控制，系统程序员、操作员、数据库管理员、

文档保管员要职责分离等等，都是预防性控制的一些典型例子。

探测性控制是指为及时发现系统内正在或已经发生的各种差错和舞弊行为，以便能及时

制止和纠正之而采取的各种控制措施。其控制目标不是预防而是及时探测并发现错弊的情况。

例如装设电子探测器；对处理结果进行平衡检验、合理性检验；系统设置操作日志，井有安

全员经常检杳日志等，都是探测性控制措施的例子。

纠正性控制是指为了对于各种已经发生于系统内的差错和舞弊，在检测出来后能及时予

以纠正而采取的控制措施。其控制目标主要是及时发现并纠正系统中已发生的差错。例如，

使用UPS电源，烟雾探测器与自动灭火系统，系统状态检测与数据自动恢复等都是纠正性控

制措施中的例子。

三、按控制实现的方法分类

按控制实现的方法来分，计算机信息系统的内部控制可分为程序控制和人工控制。

程序控制又常称程序化控制，是指编写在系统程序中，由计算机运行时自动执行的控制。

内部控制程序化是计算机信息系统的一个重要特点。例如，密码权限的检验、在输入、处理

和输出各环节由计算机执行的记录数点计、控制总数核对、平衡检验、合理性检验、顺序检

验、完整性检验等都是程序控制控制的例子。

所谓人工控制是指由有关的人员按制度的规定执行的、无需通过计算机系统执行的控制。

要特别说明的是，即使在电子商务与网络经营的条件下，信息系统的内部控制也并非全部为

程序控制，还有一些重要的控制是不通过计算机系统执行的制度控制，例如组织控制、系统

的开发与维护控制、系统的档案管理控制等都属人工控制。

人工控制往往是通过•系列的控制制度来规范和约束，所以有时又叫制度控制。各单位

可根据内部控制的目标和构成，根据自己的具体情况制定各种控制制度。一般来说，会计电

算化的内部管理制度应包括岗位责任制、系统操作管理制度、计算机硬软件和数据管理制度

和电算化会计档案管理制度等。

第三节计算机信息系统的控制措施

本节将详细地讨论计算机信息系统应有的控制措施。尽管计算机信息系统的内部控制有

多种分类方法，下面我们还是按国际上教科书常见的分类方法，分别就一般控制和应用控制

讨论信息系统的具体控制措施。

一、一般控制（GeneralControl）

在上一节所述的控制惬架中8个方面的控制中的项属于一般控制，下面我们逐一讨

论这些控制的控制措施。

（一）组织控制（OrganizationalControl）

一般控制中的组织控制是指信息系统在进行'业务处理时，必须保证系统内不相容职责的

相互分离以及信息处理部门与企业其它业务部门的相互独立，以有效地减少信息系统内发生

错误和舞弊的可能性。但在计算机信息处理环境中，由于业务的授权、处理、记录等同一个

业务的多个任务都是由一个计算机程序来完成的，其职责分离比手工的差了。因此，计算机

环境下的职责分离的重点己不是在业务处理层次上，而是放在组织结构这一更高的层次上，

以实现系统开发、系统维护、系统操作、数据库管理这些大的工作任务之间的分离。这些组

织结构的分离对于不同处理模式的企业又有所不同。

1.集中式处理企业的职责分离

此类企业设有计算中心或电子数据处理部门（EDP部门），所有与计算机信息处理有关的

工作都集中由该部门负责为实现一定的职责分离，其通常的组织结构如图3-2所示。由图

可见，主要从组织结构上保证了以下的重要分离：

（1）信息系统部门与其它业务部门的职责分离。

业务部门负责批准和执行手工处理业务和保管企业财产，而信息处理有关的工作交由计

算机信息部门去完成。

(2)计算机信息处理部门内部的职责分离。

由于集中式处理的特点之一是把一个企业大量的信息集中起来统一进行处理，使得原来

在手工处理时相互分高的不相容职责没有得到恰当的分岗。因此，在信息处理部门内部，应

有适当的分工，以有效防止在数据处理过程中越权行为的发生，避免舞弊、犯罪行为以及差

错的出现，保证系统安全可靠地运行。总的来说，信息系统内部的职责分离主要包括五个方

面的内容：即系统分析设计、系统维护、系统操作、文档资料保管以及系统数据库管理的相

互分离。

图3-2集中式处理企业的职责分离

口系统的开发人员在系统正式投入运行后，未经批准不得擅自接触系统，更不能兼任系统

的操作人员。因为系统开发人员对系统的逻辑结构、程序编码非常了解，其在系统使用中要

作弊非常容易，作弊后还可以再把有关参数改回去，不留任何痕迹。

II系统的维护和开发也要分离。如果不分离，有可能系统开发人员在系统开发时就嵌进一

些作弊程序，有人来审查时他可以把这些作弊程序暂时去掉，审查完后又把它们恢复。另外，

由于其对系统逻辑和程序很熟悉，也可能会在进行系统维护时把作弊程序加进去。再者，如

果系统的开发人员也是维护人员，很可能在开发时懒得骗写完整规范的系统文档资料，一旦

其离开该单位，没有完整的系统资料，接手的维护人员将很难正确地维护系统，给系统安全

和正常使用带来隐患。如果系统开发人员是独立的，就会比较自觉地编好各种文档资料并移

交给用户，才能结束开发的任务。

』系统操作人员只负责使用、操作系统，不能接触除操作手册以外的系统文档资料，操作

人员可以提出对系统改进的建议和要求，但不得修改系统。

系统文档资料的保管和系统操作人员也必须分离。如果没有专职的资料保管人员，系

统大量的资料很难正确地;呆管好。例如备份的磁盘、磁带非常之多，每一卷都应正确编号、

标上外部文件名、写上正确的备份口期、时间、内容，借还要详细登记、及时追收，经常检

查、整理保持其正确的存放位置，以防用时拿错。如果由一个操作员兼任保管工作，很可能

工作一忙，许多该做的登记、整理、检查工作都免了，月完后不能及时送回，随手放在机房

的某个角落，容易损坏、被盗、别人要用时找不着。另外，由于不是专职的保管，对于那些

磁带磁盘已过时，那些备份可以洗掉了，往往记得不准确，很容易把不该清洗的洗去，国外

曾发生过一次错误地清洗掉上百盘磁带的事故。

~数据库管理员与其它人员分离。数据库管理员的职责包括建立数据库模式、创建用户

了•模式、分配用户权限、监视数据库的使用、规划数据库未来的犷展等。为了数据库的安全，

应有专职的人员负责。

2.分散式处理企业的组织控制

一个企业的计算机处理业务不是集中于计算中心，而是分散在各个职能部门，是为分散

处理模式，是目前许多单位的实际处理模式。在这种模式中，计算机的服务是由各部门的用

户自己控制的。分散模式容易产生以下的控制问题：

(1)不兼容性(Incompatibility)o分散模式会使各部门购买的硬软件不兼容。如机

型、技术平台、操作系统、字处理软件、表处理软件、数据库等。这将大大削弱各部门间数

据传送和工作协调的能力C

(2)冗余(Reduntancy)。许多相同的程序会在不同部门中重复编制，许多相同的数据

各部门重复输入，容易产生冗余和数据不一致性。

(3)不相容活动的合并(ConsolidatingIncompatibleactivities)。特别是在小单

位中，合理的职责分离难以做到，几乎是同一人既是程序员，又是操作员，又是维护人员。

(4)高质量专业人员的聘用问题(AcquiringQualifiedProfessionals)。各部门中专

业人员职位不象集中式的那么多，因而晋升机会少，不容易招聘到合格的专业人才。

(5)缺乏标准(LackofStandards)。各分散部门可能很少制订完整的系统开发、文档

资料骗制、系统评价等各种标准。即使有也很简单.，不规范。

针对这些问题，企业可以成立一个较集中式小的企业级的计算机服务中心，其主要职责

是：

(1)集中规划和测试要购买的硬软件。评估各供应商的硬软件的质量，按行业和企业

本身的标准评估其系统特性，控制好坏和兼容性。评估或测试的结果可分发到各部门，作为

各部门购买硬软件的指引性标准。

(2)用户服务。对用户硬软件的购买、安装、调试提供指导帮助，处理硬、软件重大

故障而产生的严重问题，为用户提供培训，发布公共信息，推荐用户开发的好程序给大家共

享等。

(3)制订标准。如系统开发、程序设计、文档资料编制等标准，供各部门遵照执行。

(4)人员审查。如各部门要招进计算机技术人才归，可由企业的计算机服务部门从技

术资格角度进行评估。

(二)数据资源控制(DataResourceControl)

信息系统的数据资源是用户的重要资源，为保证系统数据资源的安全可靠必须要作好数

据备份和数据的访问控制C

1.备份控制(BackupControl)

备份控制是指对系统的软件和数据文件必须建立备份，以防万一系统或有关文件被损毁

时，可以利用备份文件把系统恢复到正常的工作状态。

系统至少应建立两份后备拷贝，并分别存放在不同的地点，有一份必须远离机房存放，

最好能放在另一幢楼内保管。

对系统数据要定期备份。一般每天结束时对已经修改过的数据进行备份，每周、每月再

做一次全面的备份，重要的数据要保留三代。有些重要的处理过程，如过账或结帐等，在开

始处理前也要先备份，以便在处理过程中出现意外时，系统可自动恢复到处理前的状态，重

新进行处理。备份文件要做好保管工作。

2.访问控制(AccessControl)

访问控制指在信息系统内建立严格的控制措施，禁I二未经批准的人员读写系统的数据文

件。常用的访问控制措施有：

(1)密码与权限控制。通过对使用者进行身份识别和权限控制，可以有效地防止无关

人员使用系统，不同权限的人只能使用限定的功能模块和使用数据库的某•部分的数据。

(2)建立操作日志。对进入系统的人员、其所调用的功能模块、所访问的文件、所作

的操作等情况进行详细记录，以留下审计线索。若日后发现错弊现象、数据丢失或被窃取，

通过操作日志的检查可帮助追查与发现问题。

(3)职责分离。系统分析、设计、文档资料管理及系统的专职运行管理人员不得兼任

系统的操作员，不得访问系统的数据资源。

(4)对高度敏感的数据，如产品配方、密码文件、人员基本工资等，可以加密的方式

存储。有些高敏感数据的访问要求验证用户签字手迹或指纹、声音等，以确保这些数据的安

全。

(三)系统开发与维护控制(SystemDevelopment&MaintenanceControl)

信息系统的开发控制是指系统开发从授权、执行到系统测试和验收等开发的全过程各方

面的控制。只有做好信息系统的开发控制，才能保证开发出来的系统合规合法，满足用户的

要求，具有及时发现和修正错误及防止舞弊行为，保证信息准确、完整等功能。信息系统正

式投入使用后就一成不变是少有的，若要对系统进行修改、完善，即对系统进行维护，必须

要有严格的控制，才能防止系统被无意修改的错误或有意的非法篡改。

1.系统开发授权

用户要开发一个新系统时，应呈交正式的开发申请也告，由企业领导和专家一起审查、

论证。对目标系统的开发进行可行性分析•，在技术、经济和管理实施各方面条件都具备，且

能取得较好效益的情况下，经正式批准立项，以保证系统开发的合法性、权威性、可靠性。

2.用户代表参与

不管什么系统，不管所用技术如何先进复杂，在系统的开发的各阶段中，都应有用户的

代表参与，从用户实际需求的角度提出对系统的需求说明，以便系统开发人员设计时结合技

术考虑最优的系统实现方法和设计出全面、完整的系统功能，使所开发的系统软件能够充分

满足用户的需求。

3.内审人员参与

内审人员参与系统开发十分重要，特别是在用户缺乏系统开发的相关知识的情况下，内

审人员可充当用户和专业人员的中介作用，把用户需求转变为专业设计的相关规定。内审人

员除要向系统开发人员提出审计部门对系统功能的需求外，还要就系统控制功能和保留审计

线索提出合理建议.此外，内审人员要在系统开发的各个阶段监督检查系统开发控制的执行。

4.程序与模块测试

对编好的程序，针对其应有的功能假设一些业务数据逐个进行测试，其结果应与预计的

结果相一致。如有差异，应找到原因，予以纠正。当整个功能模块（或子系统）的程序都编

写并测试过后，要把它们联起来，进行模块（或子系统）的分调。•般来说，程序的测试由

程序员负责，而模块（或子系统）的分调必须要有用户代表和内审人员的参加。

5.系统的统调和验收

在每个功能模块（或子系统）测试全部通过后，要进行系统各模块间的统调。由用户、

开发人员、审计人员一起进行系统的总体测试。测试应在与实际应用尽可能相同的条件下进

行，应包括手工准备、计算机处理和人机的联接。经检测满意的新系统，要经过与原系统并

行试运行规定的时间（通常是3-6个月），考核系统运行的结果是否令人满意，实际运行结

果与原设计指标间的差异是否合理或可以接受。如果发现错误或系统功能、性能不符合要求，

要由系统开发人员检查修改，直到一切均符合要求，用户的系统开发领导小组可组织系统的

正式验收工作，验收除由用户代表、开发人员、审计人员参加外，可以邀请财政与税务部门

代表和有关专家参加。系统通过试运行和验收后才能正式投入使用。系统的总体测试和验收

被许多人视为最重要的系统开发控制之一。

6.系统文档资料的检查与控制

系统开发的每一阶段都应有相应规范的文档资料，包括技术设计文档资料，编写与审

批有关的文档是对系统开发的一种控制。系统的文档资料可为日后系统的维护改进以及审计

人员对系统的认以和审查泥供必要的资料，也可以为系统使用人员的培训提供必要的资料。

在系统通过验收前，一定要检查系统文档资料的完整规范性，文档资料不全，系统不能通过

验收。

系统的文档资料对系统的处理与控制作了详尽的描述，因此，它是极重要和机密的，一

定要由专人妥善保管，只有经授权的人且工作需要时才能接触这些资料。操作人员只能接触

操作手册或用户手册，不得接触此外的系统设计文档。否则，操作员利用工作之便篡改程序

或数据的可能性较大。当系统维护后编制了新的文档，旧的文档应妥善保管或销毁，不可随

便丢弃。

7.系统维护控制

正式投入运行的系统，若要进行维护修改，必须经日请、批准后才能进行；维护修改后

必须进行严格的测试、作好文档记录，并经批准后方可正式投入使用。维护人员应独立于系

统操作人员，最好也能独立于系统开发员。实用的系统中只保留经编译的程序，系统的源程

序要有严格的控制和妥善的保管，只有经授权且工作需要的人经登记才能接触系统的源程序。

程序经维护修改后，要注意复制并保存最新版本的源程序，以免下次修改时用到的不是最新

的源程序版本。

（四）计算中心的安全和控制（ComputerCenterSecurityandControl）

日常重要业务由计算机处理的单位是不能承受数据处理中心受到灾难性事故破坏的。火

灾、水灾、风暴、人为破坏、地震和掉电等均可产生灾难性的破坏，使得资产和数据损失，

严重的可使企业无法生存下去。计算中心应有的安全控制措施如下：

（1）物理位置的选择。计算中心应远离人造和自然灾害多发的地方，例如加油站、储

气站、蓄水池、机场、低洼地带、高犯罪率地区等。

（2）建筑最好是单层的坚固建筑（防地震），电线电缆等应埋入地卜，窗户应紧闭，装

上空气过滤器以防尘，安装空调机、抽湿机等。

（3）访问控制。要锁门及设门卫，进出登记，有闭路电视或摄像系统、报警系统等监

视，防止未经授权的人进入。

（4）火灾监控。安装烟雾探测器和自动报警系统，并连到专职防火责任人或消防站，

火灾一旦发生，即有救火人员知道。重要之处放上灭火装置。

（5）电源控制。计算中心应配备稳压电源和配备不间断电源，以保证系统电压的稳定，

以及万一外电路掉电或电压低于一定值时，不间断电源能自动向系统以额定电压供电，保证

系统正常运行。

（6）灾难恢复计划。灾难恢复计划是一些成文的、经过试验可行的在灾难发生之前、

之中和之后应采取的行动的详细的陈述。事先做好计划与指引，能保证计算中心受到灾难性

损毁后能继续经营，可使损失降到最低。其基本内容包括：

①后备的第二工作场所。建立后备的第二工作场所对于重要的企业和重:要的业务是必要

的，可采取的形式有：

A）互助合约（MutualAidPact）.几个业务和计算机设备相近的单位之间订立合约，当

一个单位发生灾难时可利用另一个单位的计算机设备和场所继续重要的业务。这时，提供场

所和设备的单位可能需把自己原来的一些较次要的工作暂停。但这种方式在平时成本是低的,

没有场地和设备闲置。

B）空壳（TheEmptyShell）<,几个企业合买或租用一个建筑，改建成计算中心模式，但

不安装计算机设备。一旦灾难发生，则可利用此场所装上必要的设备恢复重要的工作。这需

要相关的硬件供应商承诺，一旦灾难发生时保证及时供应所需的硬件设备。另一个问题是当

水灾地震等大范围的灾害发生时，可能几个公司同时受灾，都要使用这个空壳，形成竞争和

冲突。因此，事先必须订好协议，合用空壳的单位不要太多。

C）恢复运作中心中heRecoveryOperationsCenter）。与空壳不同,这种中心安装了必

要的计算机硬软件，成本较高。可以较多的公司合建一人恢复中心，或者大家按月交费。这

种方式的优点是遇到灾害时短时间内即可恢复工作。

D）内部后备（InternalProvidedBackup）o单位内部有多个计算中心的，可在各中心适

当增加某一应用的处理能力的硬软件，其中一个计算中心灾难发生时即可在另外的计算中心

上进行有关的业务处理。

②确定重要的应用。灾难发生时短时间内只能先恢复一些最重要的应用系统，因此事前

必须确定好本单位的重要应用是什么。通常，应是一些对现金流入影响较大的应用，以保证

有足够的现金支付各种所需。如销售、应收账款管理、生产和促销决策、采购、各分公司间

的通信系统等。一个企业的重要应用会随企业的发展而改变，因此应由领导、计算机专业人

员、用户一起经常审查确定企业的重要业务，在发生灾难时首先恢复这些应用。

③后备物品并远离机房存放。用于恢复的后备物品包括备份的数据文件、程序、系统开

发的文档资料、必要的办公用品、空白单据等。这些都应该在远离机房的地方保管。

④建立灾难恢复队伍。事先必须建立好灾难恢复队伍，一旦发生灾难，可以有条不紊地

指挥和进行恢复工作。一个企业的恢复队伍可参考图3-3所列。

这里没有控制部门和某些职责分离。在灾难发生时职责分离不是最重要的，重要的是能

尽快正确地恢复工作。因之队伍成员应是专家、专业人员，平时经常实践过相应的工作。

图3-3灾难恢复队伍组成

（五）数据通信控制（DataCommunicationsControls）

网络环境下数据通信所受到的威胁可归于两大类：一是人为的破坏，二是设备故随。前

者如有意窃取所传送的信息，黑客的进攻，通过Internet等未经许可的入侵访问，传播病

毒等；后者如通信线路、设备的故障等。为防止或及时发现这些问题，可采用下列控制措施：

1.针对人为破坏的控制

（1）防火墙（Fire幄11）。它是置于一个单位内部网与外部网之间，用于防止外部访问

者入侵系统的软件或硬软件组合，可检查内部网外来的访问者的权限级别而自动堵塞或引导

到相应的程序、数据和服务器上，也可分隔局网内不同部分之间的访问。防火墙一般分过滤

型和代理服务器型c过滤型防火墙通过截获要进入本单，'立内部网的信息包，检查其源如址、

目的地址、路由和数据内容等特性，过滤出可疑的东西，拒绝一切未经授权的信息与访问的

企图。但黑客可以通过IP地址的循询方法而把自己伪装成合法的用户攻入内部网。代理服

务器型防火墙不允许外部信息直接进入内部网，而只能到达代理服务器，数据通过时代理服

务器要求要完成准确的注册与鉴定，对访问提供控制与过滤作用，生成报告以报告非授权的

活动，从而提高内部网的安全性。防火墙的控制授权功能越复杂、高级，灵活性就越差，影

响对外来信息访问的方便性，严重的会影响企业的电子商务能力，所以必须全面考虑安装何

种级别的防火墙为宜。

防火墙能提高内部网的安全性，但不能防范内部用户的误操作产生的威胁，也不能防范

因口令、账号等泄密被外部用户攻击，不能完全防止病毒的传播。

(2)一次性口令(One-timePassword)o采用这种控制，访问网络的用户需使用一个

智能卡，它与存储在服务器上的相应软件同步地每6。秒产生一个相同的密码，不同的用户

的智能卡有不同的同步密玛，且每次产生的密码是不同的。当用户访问网络时，首先必须输

入用户标识PIN(PersonalIdentificationNumber),然后输入自己智能卡上当前显示

的密码。这样黑客即使使用循询方法，也很难得到你当时的准确密码。某人即使检到了你的

智能卡，但他不知道你的mIN,也无法冒充你。

另一种一次性口令的产生方法是所谓挑战/应战方式。当用户登录网络时，网络防火」啬

的授权软件发出一个6位的挑战字给用户的计算机，用户的智能卡可接收挑战字，经智能卡

的内置密码生成程序产生•个即时应战密码于显示屏上，用户键入此密码即可登录网络。

(3)对轰炸式进攻的控制(ControllingDenial-of-ServiceAttacks)0Internet上通

过TCP/IP协议访问一个目标时其应答过程是这样的：访问者首先发出一个同步信号SYN给

被访者，被访服务器发回•个SYN/ACK的确认信号，最后访问者再发一个ACK信号确认，开

始通信。如果一个黑客一直发送SYN信号给某目标服务器，但总不发ACK确认信号给该服务

器，则该服务器一直发SYN/ACK信息给黑客所在服务器，使其他用户的访问请求无法进入该

服务器，形成堵塞状态。被炸的服务器端的防火墙很难套出黑客所在地址，因为他会使用不

断变更的IP地址(已有这种软件)，使轰炸似乎是来自整个Internet的。解决的办法是安

装半开放的连接软件，当检查到只有SYN信号而没有ACK回音的访问者时，屏蔽其访问。

(4)数据加密(DataEncription)。数据加密是重要数据传输中必用的控制方法，以防

止中途被人窃取。今天Internet上的电子商务活动往往涉及许多高度保密的信息，如身份

证号码、信用卡号码、个人签名等，通常都要加密传送。常用的数据加密方法是标准数据加

密DES(DataEncriptionStandard)和公共密钥加密(PublicKeyEncription)和混合加密

法。

11标准数据加密DES。又称通用密码体制或单密码体制、对称加密法，是加密和解密钥匙

(即密码字)相同的密码体制。通信的双方用相同的加容、解密密钥，但接收方的解密算法

是发送方加密算法的逆运算。它是美国商业部1977年制定的，是目前普遍应用的加密方法。

它把明文按64位分组，经加密算法变为64位的密文，接收方用相反变换解密。如图3-4所

示：

发方।।收方

加密钥K解密钥K

图3-4对称加密法

因为一个发信者与不同的收信者通信应使用不同的密钥，所以他必须保存有许多不同的

密钥，以便能跟许多用户通信(如供应商对客户)。同样，每一个收信者要接收许多不同信

源发来的信息，他也必须保存有每一个发信者的密钥（如客户必须有每一个供应商的加密密

钥）。就是说，网络上的每个用户都要记住许多密钥，并且不能泄露出去，这是单密钥体制

的致命缺点。

II公共密钥加密。典型的是RSA（Revest,Shamir,Adleman三人所共同发明）非对称密

码体制或称双钥体制。这种加密体制加密与解密的密钥不同，其加密钥匙Ke为e,n两个整

数，解密钥匙Kd为d,n两个整数,n足够大。明文M加密的算法为:密文C=M°MOD（n）,解

密算法为：明文M:dMOD：n）。由此两式可见，若用d,n作为加密匙对明文C进行加密得密

文M,用。,n对密文M解密，也会得到明文C。公共密钥体制正是利用了这种互换性，使两

个不相同的密钥，用一个加密，则另外一个可以解密，反之亦然。实用上每个用户拥有自己

的一对密钥，把其中•个密钥公开作为公共密钥，而另一个则由用户自己保管成为私钥。若

发信方不想别人知道其所发的信息，可以用收信方的公开密钥对发送的信息加密，接收方收

到密文后可用自己的私钥解密，别人由于不掌握私钥，将无法窃取传送的信息。如果不仅要

防止信息失密，而且要证实发送方的身份，发送方可先用自己的私钥对要发送的信息加密，

然后再用接收方的公钥对密文再次加密后发送。接收方收到密文后先用自己的私钥进行第一

层解密，再用发送方的公钥再次解密得到明文，如图3-5所示：

发方

图3-5实用的非对称加密法

这样，由于私钥是唯一的，上图的过程保证了一个网上传送的信息只有唯一的一个用户

•'J以对其解密，其他人即使截获/这个信息也尢法对其解密，同时也保证。刑攵到的信息必

然是拥有发方私钥的用户所发出的，实现了两个用户之间的保密通信，但又不必保管很多密

码，仅需保管好自己的私有密钥，再在自己的网页或其他媒体上公布一个自己的公开密钥即

可与任何一个伙伴进行秘密通信。

11混合加密法。上述的双钥加密的公钥体制在加解密速度上比单钥的对称加解密方法要慢,

不适宜对长文件加密。为克服两者的缺点，充分利用两者的优点，可把两种方法结合起来，

用对称的单钥加密法加密要传送的主信息，用非对称的双钥体制加密单钥制的加密钥匙本身。

接收方收到信息后先用自己的私钥解密，得到对称加密的解密钥匙，再用它解出传送的主信

息，如图3-6所示。

发方收方

图3-6混合加密法

(5)信息顺序编号(MessageSequenceNumbering),>信息破坏者可能会改变、复制或

删除正在线路上传输的信息元，以破坏接收方收到的正确信息元顺序，使其无法阅读，达到

破坏信息的目的。通过对每•信息元加上顺序号，接收方则可知道收到的信息是否完整，顺

序是否正确。如不完整，可通知发送方重发。

(6)信息收发记录(MessageTransactionLog)。入侵者往往能成功侵入企业的系统中

窃取机密。通过自动登记收发业务，把每次的收发信息和入侵者的用户名、终端地址、电话

号码、入侵时间等自动记录下来，可抓住恶意的入侵者。

(7)回叫机制(Call-backDevice)o一旦入侵者攻入了企业的内部网络,上述的许多

控制方法都无效了。回叫机制是当发信息者呼叫时，接收方收到呼叫信号后暂时断开与呼叫

方的连接通路，审杳其用户名、口令、终端地址都无误后再回叫原呼叫方:建立一个新的连

接进行通信。这种控制可防止别人盗用账号、口令在其他终端上作案。

2.对线路故障问题的控制

线路上设备故障通常是由于线路上的躁音等引起信号位改变、信号丢失等，通常用探测

收到数据是否正确来控制，常用的控制方法有：

(1)回波检测(EchoCheck)。接收方收到信息后立即把收到的信息发回给发送方，发

送方把对方发回来的与发送时留下的发送副本比较，如有不一致，则说明信息传送有误，重

发该信息。

(2)奇偶校验(ParityCheck)o每个信息元设置校验位，根据每个信元中的1的个数

若是奇数则校验位值为0,是偶数则校验位为U接收方收到信息时以同样的算法检验之，

以确定传输过程中有无改变了信元中一个位的值。

(六)电子商务的控制(ElectronicCommerceControl)

电子商务按其网络平台分，可分为基于电子数据交换(ElectronicDataInterchange

-EDI)的电了•商务和基于Internet的电了•商务。前者是双方通过直接连接的专用线路或通过

第三方的增值网VAN(Value-addedNetwork)进行商务数据(订货单、发货单、付款单等)

通信的商务方式。后者是通过Internet进行类似的商务活动。两者有许多相同或相似的控

制问题。电子商务除要有上述的通信控制外，还要有下列主要控制：

1.业务授权和有效性控制(TransactionAuthorizationandvalidationControl)(>

网上交易双方都必须询信对方是合法有效的交易伙伴，并且所收到和正在处理的交易业

务是完整和有效的，不可篡改和抵赖的。确认方法有：

(1)数字签名技术。纸性文件可通过签名盖章的方式作为发方时文件有效性、文件内

容完整正确性的一种承诺、证明。在电子商务中，由于所有商务文件(如采购单、付款单、

发票等)以电子方式传送，为了使收方确信收到的文件是发方有效的、承担法律责任的不可

抵赖的文件，并确信传输过程中文件内容没有受到增、删、改，广泛使用数字签名技术。这

种技术是图3-5中的非对称加密传送技术加上文件Hash函数技术的综合运用。其要点是:

11发文方用HASH函数对待发文件产生一个位数不长(如128位)的文件摘要；II把文件

摘要用私钥加密后即是数字签名，再与文件正文一起用对称加密法加密传给收方；11同时把对

称加密的密钥用收方公钥加密传给收方；收方用自己的私钥对对称加密密钥的密文解密后

得到对称加密密钥，再用它对文件正文的密文解密后得到文件正文和数字签名：~对数字签

名用发方公钥解密，得文件摘要；~对文件正文用HASH函数作用后再产生一个文件摘要;

~对两个文件摘要进行比较，如果一样，则说明文件内容没有被修改过,是原发的有效文件。

数字签名是用发送方的私钥加密的，象纸上签名一样，确认了发送方在发送文件中的承诺。

数字签名原理如图3-7所示：

图3-7数字签名原理

（2）认证中心和数字证书。埋论上，上述的图3-5或图3-7的加密方法和数字签名技

术可保证发文单位的确认，保证收到的文件是该单位发出的，不可抵赖的。但是如果发方单

位的公开密钥的可靠性不能肯定，则发方单位是否真实存在、合法可信，是否有法律责任能

力等就不那么确定了。为了使交易各方得以确定对方确是客观存在的、合法的、有法律责任

能力的单位，要求设立权威的独立机构对此作出确认，这个权威机构称为认证中心（CA-

CertificateAuthority）。它负责证实申请者的身份，并为其颁发数字证书（DigitalCertificate）。

数字证书的内容包括：11证书所有者的姓名。II证书所有者的公钥。］］公钥及证书的有效期。

颁发证书的单位名称。~数字证书的序列号。〜颁发证书单位的数字签名。数字证书发布于

用户自己的网页上，供交易对手查阅，从而确信交易对手的合法性。

（3）VAN网和Extranet均有检查客户ID和密码的功能,合法的客户ID和口令存储在

一个有效的客户文件中，如不匹配的客户，则业务被拒绝。

（4）对于电子购物中的个人客户，也可以向认证中心申请认证，领取自己的数字证书。

但更多的是购物前先向商家注册登记，通常商家会要求客户把自己的真实姓名、地址、电话、

电子邮件地址、身份证号、工作单位等特征信息提供给商家存储起来，并通过电话、邮件等

对客户身份进行确认，以魂保个人客户是有效的。

2.业务处理控制(TransactionsProcessingcontrol)

业务处理控制指收到交易伙伴业务文件，对文件处理的控制，主要包括：

(1)企业数据库中应保存着交易伙伴的ID和口令，在把收到的业务文件进行翻译处理

时苜先检查其ID和口令，如不匹配，不进行翻译处理。

(2)'业务处理应用程序在正式处理该业务时也先检查客户ID和口令，如不匹配，不进

行该业务的正式处理。

3.电子商务的安全协议与网上付款的安全控制

通过网上自动支付交易款项，是电子商务•项重要的内容，但必须有严密的安全控制才

能顺利实施。一要保证收付双方收、付的是准确的应收、应付款数；二要保证双方的机密信

息，如银行的账号、密码，信用卡密码等不会泄露；三要保证付款后能及时收到所购的商品。

为网上支付的安全，目前电子商务系统常用的安全控制也,议有：

(1)SSL(SecureSocketsLayer)安全套接层协议。采用此安全协议，客户首先把购

物意向通知商家，得到商家的确定回应后，客户把正式订单和自己的银行信息发往商家；商

家再把客户信息发往银行要求银行付款，银行验证客户身份并划款后通知商家；商家再通知

客户购买成功并发货给客户。显然，这种安全协议保障了商家的利益，但对客户没有,呆障。

其基点是商家承诺对客户信息保密且收到款项后要发货。它是电子商务发展初期，商家是信

誉较高的大公司，客户基于对商家的信赖而采用。随着进入电子商务的商家增加，SSL协议

的缺点已充分暴露，SSL协议正逐步被SET协议取代。

(2)SET(SecureElectronicTransferProtoco)安全电子交易协议。该协议由两大

信用卡组织VISA和Mastercard联合开发。采用此协议的交易过程如下：

(A)消费者提出电子订货。

(B)商家应答消费者请求。

(C)消费者把自己的信用卡号、密码等支付授权费料用发卡公司的公钥加密，与正式

订单加上自己的数字签名发给商家。

(D)商家接受订单后，通过支付网关向自己的开户银行传送消费者支付授权资料，开

户行把资料送到发卡行请求支付认可，发卡行审核后把确认信息返回商家开户行，开户行再

把确认信息返回商家。

(E)商家确认订单并发货，同时把发货证明送开户银行通知请求付款。

(F)开户银行把有关资料通知发卡行，发卡行根据授予权划款。

此协议可保证客户资料加密打包后通过商家到银行，但商家看不到客户的帐户和密码；

可保证信息在网上安全传输；不仅对商家进行保障，对消费者也有保障。它可在不同的硬件

与操作平台上运行。

(3)网上支付系统及其控制原理

在上述电子商务安全协议的基础上，一些公司建立了自己的网上支付系统，以解决电子

商务的网上支付问题。下面是目前流行的一些网上支付系统及其控制原理。

UCyberCash网上结算公司。该公司给客户一个专用的加密软件。客户购物时把给商家的

订单和用该软件加密的信用卡信息和支付授权一起发送给商家，商家要把客户信用卡信息和

支付授权转送至CyberCasn服务器解密后发往商家开户银行，银行再把客户信用卡信息和支

付授权送发卡银行请求支付，发卡行核对确认后把支付（或拒绝）指令发给Cybcrcash服务

器，由它通知商家发货和通知客户已付款。采用此结算方法，商家不可能知道客户的信用卡

信息，付款安全性较好。

IlCyberCharge网上收费公司。CyberCharge的作用象银行网络和微软商家服务器

（MicrosoftMerchantServer）之间的中介，是微软为Web上销售而开发的。有了它，消

费者不需专门的客户软件,CyberCharge使用高速连接技术把安装有微软商家服务器软件的

用户（商家）与联邦银行网络连接起来。当消贽者通过商家网站购物并输入支付信息后，自

动被加密送到CyberCharge服务器，再送往银行网络，通过CyberCharge主干网实现按授权

直接把资金从客户帐户转入商家的银行帐户，并通知商家发货。

JlDigiCash数字现金支付。采用此支付方式，首先客户要告知银行把一定金额转为电子

现金，银行按要求把客户一定数额的银行存款转为电子现金（有银行的数字签字），装入电

子信封（即用客户的公钥加密）发送给客户。客户网上购物时以电子现金付款给商家，就象

用现金或支票购物一样，无需给信用卡号码和密码了。商家可以把电子现金向银行换回实际

货币。

FirstVirtualInternetPaymentSystem第一网上虚拟支付系统。使用此支付系统，

客户和商家首先都要申请一个唯一的身份识别号码（VirtualPIN）,与他们自己的信用卡

号码一起存于FirstVirtual公司才能访问的计算机上。顾客购物时，发给商家的除汇单外

是自己的VirtualPIN号码,不是信用卡号码。商家把自己的和客户的VirtualPIN一起发

给FirstVirtual公司,FirstVirtual核对后从客户帐上划出货款存入商家帐号,并通知

顾客款项已支付，通知供应商发货。

4.访问控制（AccessControl）

在电子数据交换中，往往有时需要访问对方的数据库，如客户向供应商下订单前，可能

要查找供应商的存货数据库中有关存货编号、名称、规格型号、价格等资料，有些经常向该

供应商订货的资料客户可能会想下载到自己数据库中，以方便以后订货时查阅。这样，当供

应商的某些参数（如价格〕改变后他可能希望能自动及时地让客户知道，因而想直接把数据

送到客户的数据库上并修改之。双方能访问对方的那些数据，有何种访问权限，需要双方事

前订好合同，按合同设置好访问参数。

5.审计线索（AuditTrai1）

EDI或Internet上的电子商务由于没有了纸性的原始凭证，审计线索没有了，这对审计、

税收征管等都带来风险。解决的办法是在电子商务的接收、处理软件中加上自动登记收到业

务和各阶段业务处理的记录，存于业务登记文件中，以各查阅，并保证了收到的业务都能及

时完整地进行处理。

（七）微机系统的控制

微机可以单用户、单任务地独立使用，或者装上多用户多任务的操作系统作为独立平台

供多用户使用，更多的是连接到网络上作为终端使用。这里提的微机系统包括微机或微机局

域网应用系统，其主要控制为：

1.访问控制

微机的设计理念是方便用户使用，因此其数据安全性控制功能较弱，任何人都可为问、

修改硬盘上的程序、数据c因此，要用数据加密、微机加锁、运行程序需要密码LI令等方法

加以控制。

2.对缺乏恰当的职责分离的控制

在许多小单位，采用微机进行业务处理，由于单位小，职责分离很不严格，往往系统开

发人员乂是操作人员，不相容的业务（如处理订单、应付、应收、总账等）都可能是同一人

操作，这会产生很多作弊机会。对缺乏恰当的职责分离，控制方法主要是使用品质好的员工。

另外设置多级口令，有些重要目录、文件、数据的口令日管理人员自己掌握，限制员工对某

些程序和数据的访问。

3.程序与数据的后备控制

完善的主机和网络系统中，备份是由系统管理员通过专门的硬软件定期或由系统自动进

行的。微机系统的备份则是由用户自己执行，往往有些用户对备份的重要性和正确方法认识

不足，微机也常会由于硬盘故障而引起数据或程序的破坏。只有做好程序与数据备份，才能

事后补救。微机系统常用的备份方法有：①软盘备份。②内部硬盘备份。同一硬盘上不同的

目录上备份或者安装一个专用的备份硬盘。③外部可拆卸硬盘备份。其优点是速度快、满了

可更换、可保管在远离机房的地方。④磁带备份。便宜、容量大。用户应根据业务量的多少

和处理的时间进行备份，至少应有一份备份保存在机房以外的地方。

4.对缺乏恰当的系统开发与维护控制的补偿

由于微机操作系统性能的局限和开发、使用、维护分工的不严格，微机应用系统的开发、

维护控制通常较差，管理者可用下面的技术方法予以补偿：

（1）购买商品化软件。其开发控制、程序控制都会较好。选购商品化软件应按以下步

骤以加强控制：11认真分析要解决的问题和所需软件的功能。II向供应商招标。11比较各供应商

产品适合企业需要的程度，请专家帮助分析。向使用过此种软件的用户了解使用情况。~

了解供应商售后服务的情况。~评分、排队选择之。

（2）选用品质好的人开发、使用、维护。

（3）管理者或内审人员经常审查输出的报表等。

二、应用控制（ApplicationControl）

应用控制是针对某个具体应用系统（如工资系统、兴购系统、销售系统等）的敏感环节

和控制要求，为加强具体应用的输入、处理和输出的正确可靠性而建立的控制。应用控制依

系统或应用项目和具体数据处理方式的不同而不同。但是，任何应用系统，不管其应用领域，

数据处理的方式是多么不同，其应用控制按其特性都可划分为输入控制、处理控制和输出控

制三个部分。应用控制措施虽然也有手工控制和程序控制，但与一般控制相比，其程序控制

更多。

（一）输入控制

输入控制的FI的是要防止未经审核的、无效的数据输入计算机系统内，并保证经审核的

数据能完整、准确地输入并转换为机器可读的形式。常见的输入控制措施主要有以下几利n

1.凭证的审核与输入准备。使用事先顺序编号的凭证，不用时锁好，只有经授权的人

才能接触、使用凭证，定期审核已用、未用、作废的凭证数，如不符应及时报告、追查。

切业务凭证输入前必须经必要的审核，经审核的业务要按操作手册的规定准备就绪。经过审

核和准备，可以有效地保证输入信息系统内的原始数据的有效性、正确性，尽可能地把差错

消除在输入之前。

2.输入操作及核对控制。此控制要求只有经批准的人才能进行输入操作并要作操作记

录，输入数据要经及核才能处理。常用的核对方法有二次输入核对（即把要输入的资料两个

人分别输入，由计算机对两次输入的资料进行核对）、把已输入资料打卬输出与应输入资料

核对、由另一操作员在屏幕显示的已输入资料与应输入资料核对等。

3.计算机校验。由计算机对输入的数据进行检查，以发现数据输入的错误，这是重要

的程序控制。常见的计算矶校验技术有：业务数点计，控制总数核对，代码的有效性脸验，

借贷平衡检验，编号顺序检验，数据合理性检验、数据类型与完整性检验等等。

（1）业务数点计。此检验技术主要用于批输入的系统。在数据准备时，每批要输入的

业务凭单先由人工点计，并填在批首表上。数据输入后，由计算机再次点计输入的业务数或

凭单数，并与批首表上的业务数核对，若发现差异，计算机将给出错误信息。这种控制能防

止凭证在输入过程中的遗漏、丢失或重复等错误。

（2）控制总数核对。此控制主要用于批输入的系统。在数据准备时，每批要输入的凭

单先由人工计算批控制总数（一般用金额总数，也可用非金额的重要字段如凭证号、支票号、

客户编号等的总数），并填在批首表上。数据输入后，由计算机再次汇总输入凭单的控制总

数，并与批首表上的控制总数核对，若发现差异，计算机将给出错误信息。这种控制能防止

数据在输入过程中的遗漏、丢失、重复或作为控制总数的数据项输错。

（3）代码的有效性