审计人员应该确定被审单位是否制订了有关计算机硬件、计算机程序、数据文件、数据传送、输入和输出资料以及人员的安全规定。该项检查应该不仅涉及中央处理站的计算机设备,还应包括其他地点的小型机、计算机终端、通讯设施及其他外围设备。
在检查计算机硬件的实物安全性时,审计人员应该考虑为在正常数据处理中断以后继续处理关键应用项目而制订的应急计划是否充分。该计划应包括应急电源和后备硬件的规定以及关于使用后备设备和将人员、程序、表格和数据文件转移到另外的处理地点的详细计划。审计人员还应该考虑该计划经过测试的程度以确定在实际紧急情况下能够继续进行数据处理的可能性。
审计人员还应该检查数据文件的实物安全性;该项检查应保证,在可行的情况下,数据和文件档案资料由不能接触计算机和存取计算机程序的人员保管;文件档案资料安全;计算机操作员和其他人员不能随意接触文档资料;制订有文件备份的规定(包括另外存放备份文件的规定)。在文件联机存储的情况下,审计人员应该考虑是否采取了充分的存取授权控制措施以及备份文件是否有规律地进行拷贝。此外,审计人员还应检查数据备份文件是否做了适当的标志和标签、席计人员还需检查文件的内容以保证文件的完整性和准确性。对子程序备份文件也应建立同样严格的控制。
3.操作系统控制。计算机系统通常由操作系统(也常称为系统软件)控制。由于这些操作系统通常具有数据管理、多道程序管理能力和文件标签检验,以及其他许多授权控制功能,因此,它们是计算机处理一般控制的组成部分。审计人员应该了解操作系统能够执行的控制,并确定这些控制的利用程度以及未被利用的情况。审计人员应该知道哪些人维护操作系统,或有能力修改操作系统。这些人可能有意或无意地破坏操作系统的控制,使其失效。
4.硬件控制。计算机硬件经常能够检查出硬件功能失常而引起的错误。审计人员应该了解:(1)系统设施是如何依赖这些硬件控制的;(2)操作系统如何利用这些硬件控制;(3)系统如何报告检查出的错误,以及纠正错误的程序。
二、电算化系统应用控制的检查
在对所有应用项目的数据处理的可靠性或完整性进行估计之前,必须对具体的应用控制和一般控制措施进行全面的评价。
依据这一准则进行审计工作有两个目的,兹分述如下:
1.与标准及批准的设计相符。第一个目的是确定建成的应用项目或系统是否符合适用的标准及最后批准的设计规格。审计人员遵循这一准则,可以为批准的规格,包括所有嵌入的内部控制(如输入、处理和输出控制),都已按要求装入系统,留有适当的文档资料,并经过了充分的测试提供合理的保证。
审计人员在测试数据的可靠性时,其测试应包括检查选择的测试业务的文档资料,测试业务记录与汇总的准确性,测试业务处理与控制手续的符合性。此外,审计人员可能希望通过测试选择的部分数据文件以确定可能的例外情况和数据转换或采集的准确性。如果数据文件以机器可读的形式保存,在适当的条件下,审计人员应当采用计算机辅助审计技术加以测试。
2.控制弱点的测试。第二个目的是测试内部控制和处理的数据的可靠性。在评价控制的充分性的基础上,这些测试可以发现应用项目或系统中的可能的弱点。这些审计应该详细考察应用项目或系统的优点和弱点、带来风险的环境等等。发现弱点后,审计人员应促使被审单位对应用系统进行纠正性修改,并趋于完善。此外,在实施测试时,审计人员还应注意,保证系统一贯按照最后批准的规格运行是非常困难的,因此,最重要的是以程序变动、程序文档以及操作规程等进行充分的控制。尽管检查舞弊行为并非审计的首要目标,但审计人员必须对计算机系统中发现舞弊或其他不合规行为的可能性保持高度的警惕。
