1. Краткое введение
В связи с растущей установкой компьютеров различных типов и брендов в нашей среде, в качестве рабочего инструмента, помогающего в управлении бизнесом компаний, стало необходимым и необходимым разработать стандарты и процедуры для системного аудита.
Быстрый технический прогресс в разработке новых методов или методов обработки данных (Программное обеспечение), как в машинном оборудовании (Аппаратное обеспечение), подразумевает заботу о надлежащем контроле и защите области информационных систем, поддерживаемых компьютером, столь важной для модернизация, чтобы стимулировать рост компании, особенно в торговле и промышленности.
2. Аудит компьютеризированных систем
2.1. концепция
Это упорядоченная и тщательная диагностика состояния информационных систем, поддерживаемых оборудованием электронной обработки данных.
2.2. значение
Необходимо постоянно контролировать правильное функционирование компьютеризированной информационной системы, учитывая ее сложность, концентрацию и достоверность данных, поскольку от этого во многом зависит правильное функционирование и развитие компании.
3. Системы управления в компьютерном центре
Внутренний контроль может быть концептуализирован как: набор организационного плана, скоординированных методов и соответствующих мер, которые адаптированы внутри компании для защиты ее активов, проверки точности, учета и своевременности ее учетных данных для повышения эффективности ее деятельность и контроль за соблюдением политики и стратегий управления.
Средства управления в автоматизированной информационной системе должны быть сосредоточены на трех важных аспектах, которые я подробно опишу ниже:
3.1. Заболеваемость компьютерами в организации
Даже когда компания структурирована в соответствии с разнообразием современных влияний, линии ответственности и полномочия должны быть четко определены.
Разделение функциональных обязанностей должно определяться:
к. Функции для инициирования и авторизации транзакции.
б. Запись сделки в письменном виде.
с. Защита получаемых активов.
Такое разделение подразумевает специализацию, обеспечивая большую эффективность, избегает дублирования и растраты усилий и повышает эффективность управленческого контроля.
Результат централизации операций по обработке данных и концентрации функций процесса оказывает заметное влияние на структуры организации с точки зрения контроля.
3.2. Общий контроль
3.2.1 Общий контроль
к. Отдел обработки данных должен функционировать организационно независимо от других отделов.
б. Персонал по обработке данных не должен осуществлять прямой или косвенный контроль над активами или вносить изменения в основные файлы без надлежащего разрешения.
с. Должно быть четкое разделение обязанностей между:
• Проектирование и анализ систем
• программирование
• обработка
д. Что касается обработки, функции должны быть разделены на:
• Эксплуатация оборудования
• библиотекарь
• Ввод данных
• вывод данных
и. Страхование прерывания деятельности Компании должно покрывать перерывы в автоматической обработке данных.
F. Разумность страхования на записи (файлы) компьютерного оборудования.
грамм. Уровень управления, который контролирует эффективную функцию электронной обработки данных посредством:
• Настройка политики
• определение целей
• Настройка приоритета
• Периодический обзор прогресса в области внутреннего развития и / или статистики операций.
час Уровень и независимость управленческого анализа и одобрения требуется для предлагаемых систем бухгалтерского учета и для проверок.
я. Технически квалифицированный персонал для рассмотрения новых предлагаемых систем или изменений для рассмотрения:
• соблюдение политики компании
• Включение адекватных факторов контроля
к. В случае, если технологическое оборудование арендовано или используется незнакомцами, следует учитывать следующее:
• Достаточный контроль с записью доходов от платы за услуги.
• Внешние операторы не имеют доступа к нашим программам и / или файлам.
к. Обоснованность опасений за альтернативный процесс в случае отказа оборудования и:
• Частота, с которой эти процессы тестируются в реальных условиях.
• Альтернативные объекты, расположенные таким образом, чтобы минимизировать риск общей катастрофы.
3.2.2. Особые элементы управления
3.2.2.1. Физическая среда
к. Оборудование для обработки данных должно быть установлено в одном месте и расположено таким образом, чтобы обеспечить физическое разделение между оперативной функцией и функцией управления.
б. Ограничение доступа посторонних лиц к объекту.
с. Адекватная защита файлов обеспечивается установкой от пожара, кражи или другой катастрофы.
3.2.2.2. Защита логики программы
1. Должны быть стандарты документации для программ, процедур и процедур, которые включают следующее:
к. Общее описание системы и ее целей, а также основной поток информации через систему.
б. Общая блок-схема системы для иллюстрации описанного описания.
с. Описание выполняемых функций и обзор того, как каждая программа выполняет их.
д. Блок-схема, показывающая последовательность операций, выполняемых программой.
и. Описание записей с указанием формы, содержания и типа входов и выходов промежуточных файлов.
F. Список исходной программы на символическом языке.
грамм. Запрограммируйте инструкции по эксплуатации, процедуры отключения, источники входного сигнала и схему вывода.
2. Адекватное разделение функций:
• Проектирование и анализ систем
• программирование
3. Ограничить доступ к работе компьютера для программистов и аналитиков, кроме доступа к денежным средствам для тестирования и удаления программ.
4. Ограничьте операторов в отношении неконтролируемого программирования, после того как оценка предоставит дозированный доступ, насколько это возможно.
5. Программисты и системные аналитики будут иметь контролируемый доступ к:
• Основные файлы или транзакции
• Операционные программы: источник или объект
• Исходная документация
• Выездная документация
6. Должен быть достаточный уровень надзорного одобрения, чтобы у программистов был доступ к рабочим исходным программам.
7. Соответствующий уровень авторизации для изменения действующих программ, и это должно быть в письменной форме.
8. Полномочия на изменения программы должны контролироваться, например, численно.
9. Изменения в программах должны быть сделаны на уровне исходной программы, компиляция с получением новой объектной программы и нового списка сообщений.
10. При внесении изменений в программы они должны быть датированы документами программиста с указанием причины изменения формы его ленты, ее названия, чтобы обеспечить хронологическую историю системы.
11. Расширение процедур тестирования, которые эффективно применяются для новых и пересмотренных программ, должно продолжаться:
к. Процедуры испытаний будут включать параллельные прогоны текущих и / или прошлых данных для более чем одного цикла обработки.
б. Процедуры должны обеспечивать совместимость всех программ, которые образуют единую систему.
с. Результаты испытаний и процедуры должны быть рассмотрены:
- Технически квалифицированный отдел внутреннего аудита
- Технически подходящий руководитель
- Управление пользовательским отделом
д. Процедуры тестирования для модификаций программ должны быть такими же, как и для новых программ.
12. Несанкционированная запись изменений программы и введенных данных должна быть предотвращена или обнаружена системой безопасности.
3.2.2.3. Эксплуатация оборудования
к. Адекватный и достаточный надзорный контроль для операторов для соблюдения установленных процедур надзора.
б. Вести контрольный журнал использования консолей и субконсолей с указанием их типа работы и даты.
с. Журнал пульта управления должен быть отдельно указан отдельно:
• Время выполнения
• Время подготовки команды
• Время простоя (в ожидании или неожиданное ожидание)
• время обслуживания
д. Должен храниться письменный отчет о времени простоя, который может возникнуть во время обработки, и он должен содержать:
• Полное описание ситуации и предпринятых действий.
• Vo.Bo. o Квалификация ответственного надзорного лица.
и. Операторы должны вращаться между сменами и рабочими местами, чтобы избежать постоянного назначения на определенные рабочие места.
F. Требовать от обслуживающего персонала периодических отпусков.
грамм. Предоставьте операторам инструкции по эксплуатации системы для процедур, соответствующих мерам, которые необходимо предпринять в случае возникновения ошибок и / или остановок в процессе.
час Иметь упорядоченные и адекватные руководства по эксплуатации, которые будут служить руководством по процессу, а также дополнительные копии, имеющиеся у библиотекаря.
я. Использование внутренних и внешних меток файлов, которые должны быть обработаны, и они должны быть распознаны процедурами обработки заявки.
к. Создайте систему безопасности с использованием паролей (пользователя и пароля), чтобы избежать несанкционированных процедур.
к. Наблюдательный контроль за работой машины с помощью соответствующих письменных записей.
л. Вести журнал контроля операционной системы компьютера, набрав:
• Контроль изменений
• Обновление системы
• Создание системных файлов
• Производительность
ll) Проверка контроля над операциями в разные смены.
m) Подготовка расписания процесса с пользовательскими областями и обеспечение их строгого соблюдения.
3.2.2.4. Библиотеки
1. Библиотекарь отдела электронной обработки данных отвечает за:
к. Контроль деликатных документов (чеков, электронных таблиц и т. Д.) И всех файлов и программ как для пользователей, так и для системы.
б. Доставьте в эксплуатацию то, что необходимо для каждого конкретного задания обработки.
с. Контроль файлов, библиотек, источника и объекта, которые создаются каждым заданием процесса (исходные файлы и файлы резервных копий).
д. Правильная консервация дискет и пакетов.
и. Периодический обзор физического состояния файлов.
F. Поддержание адекватной программы хранения файлов, требующей сохранения файлов до третьего поколения.
грамм. Поддерживать достаточные и достаточные запасы печатных лент и непрерывных форм.
2. Поддерживайте основные файлы и файлы транзакций, чтобы предотвратить восстановление.
3. Файлы, упомянутые в предыдущем абзаце, должны храниться в подходящей среде, защищенной от пожара, кражи, землетрясения или других бедствий.
4. Используйте внешние теги для всех файлов, чтобы идентифицировать:
• Дата
• Заявка
• Объем
5. Назначьте с помощью соответствующей и контролируемой процедуры, чтобы была доступна обновленная копия последней исходной программы или операционного объекта и соответствующей документации.
6. Вести техническую библиотеку системных руководств, чтобы проконсультироваться в случае возникновения проблем.
7. Вести адекватный перечень библиотечных файлов, руководств и т. Д.
3.2.2.5. Поток данных
к. Процедура контроля ввода данных, чтобы убедиться, что они полны и правильны (количество документов, контрольные суммы) источника данных, а также что они проверены программами согласованности, то есть, что эти процедуры в письменной форме.
б. Выдача отчетов о проверке данных (непротиворечивости) с целью возврата ошибочных исходных документов к месту их происхождения с целью внесения необходимых исправлений.
с. Процедура исправления дефектных данных, ранее проверенных источником происхождения, вторичной или альтернативной проверки, а также процедуры для своевременного получения исправлений, чтобы процедура подачи заявки выполнялась своевременно и с достаточной правдивостью.
д. Адекватная процедура для распространения необходимой информации в пользовательских областях.
4. Комментарии или рекомендации по оценке аудита информационных систем с использованием электронного оборудования данных
к. Наши тесты функции электронной обработки данных будут зависеть от способности руководства обеспечивать соблюдение установленных мер контроля и процедур. Как правило, существует прямая связь между степенью участия высшего руководства в надзоре за функцией и степенью соблюдения процедур внутреннего контроля.
б. Рассмотрение и утверждение предпочтительно должны быть совместными усилиями руководства, представителей департаментов, которые его используют, и представителей EDP, и каждый из них должен знать функции других.
с. Периодическое тестирование в реальных условиях гарантирует, что на альтернативном объекте не было серьезных изменений в оборудовании или программах, которые могли бы помешать правильной обработке.
д. Компьютерные программы управляют всей обработкой. Операции выполняются и будут повторяться до тех пор, пока программа не будет изменена, но изменения могут произойти и остаться незамеченными. Поэтому система внутреннего контроля должна защищать целостность программ, то есть они не должны быть подвержены ошибочным или несанкционированным случайным изменениям.
и. Способность определять, проходить, оценивать и тестировать систему значительно расширяется благодаря наличию современной и подробной документации для клиентов. Наличие строгих стандартов документации свидетельствует о том, что клиент применяет хорошие процедуры внутреннего контроля.
Блок-схемы, описательные описания и другая клиентская документация могут использоваться в качестве аудиторской документации, и особое внимание следует уделять получению копий.
F. Операторы должны иметь доступ к исходным программам только при их компиляции; и возражать программам только тогда, когда они запускают программу.
грамм. Поскольку могут быть ошибки в логике программы, в новых или измененных программах, они должны быть проверены, чтобы убедиться, что они работают как запланировано.
Тестирование должно проводиться с использованием реальных данных в реальных рабочих условиях в максимально возможной степени.
Ошибочные данные также должны быть включены, чтобы все разделы и все процедуры проверки программ были должным образом протестированы. Проверка клиентов и оценка результатов испытаний должны проводиться компетентными представителями всех заинтересованных подразделений (включая внутренних аудиторов), чтобы гарантировать, что все последствия результатов испытаний были приняты во внимание.
час Аудитор должен знать о возможности изменения управления операциями от смены к смене.
я. В списках программ обычно указывается, используются ли внутренние теги файлов.
к. Использование предоставленной производителем программы супервизора (операционной системы) позволяет избежать большого вмешательства человека во время обработки.
к. Адекватная система внутреннего контроля должна включать процедуры для защиты компании от случайного уничтожения или ошибочных или несанкционированных изменений основных файлов или данных. Эти файлы требуют более строгого контроля, чем записи, подготовленные вручную, поскольку их легче уничтожить или повредить, а незаметность их содержимого затрудняет обнаружение злоупотреблений или злоупотреблений.
л. Обычная обработка файла ленты обеспечивает автоматическое дублирование. Тем не менее, файлы на диске должны быть скопированы (обычно на ленту) для возможного восстановления.
м. Некоторая программная поддержка обеспечивается блок-схемами, таблицами кодов и другой программной документацией, если текущие, но дублированные копии исходных и объектных программ позволяют значительно быстрее перестроить.
5. Разработка программ компьютерного аудита
Компьютер предлагает аудитору ряд ресурсов для определения качества информации, генерируемой системой обработки, для ее оценки и анализа.
При разработке программ компьютерного аудита необходимо учитывать четыре основных элемента:
5.1. Определение целей и процедуры аудита
Аудитор с поддержкой программирования - это тот, кто определяет цели и процедуры в соответствии с общепринятыми правовыми стандартами аудита, он тот, кто определяет данные в основных записях или транзакциях, которые он хочет проверить.
5.2. Разработка системных схем поездок
После определения процедур и целей составляются диаграммы выполнения системы с указанием файлов итоговых входных и выходных данных, которые должны быть получены с помощью программы аудита.
5.3. Подготовка программных схем
Через них они указывают, как будут обрабатываться данные, указывая конкретные операции и решения и последовательность, которой необходимо следовать в программе. Также эта диаграмма покажет логику и функции программы. Эта диаграмма по существу обеспечит:
5.3.1. Графическое изображение решения проблемы
5.3.2. Руководство по кодированию и тестированию программы, определяющее, были ли рассмотрены все возможные условия
5.3.3. Документация для вашего объяснения и модификации программы
Диаграмма хода программы может быть заполнена с использованием таблиц решений для оценки альтернатив действий, которые могут быть приняты в определенных условиях.
5.4. Программа для кодирования, компиляции и тестирования
Этот этап не требует дополнительных комментариев, потому что он проходит как обычная программа.
6. Использование программ компьютерного аудита
Существуют три основных способа использования программ компьютерного аудита:
6.1. Аналитические и исключительные отчеты
Аудитор может разрабатывать программы для:
• Анализировать данные файла
• Исследуйте аспекты или атрибуты, которые вас интересуют
• Поиск неровностей в файлах
Исключения из правил и критериев, предусмотренных программой, будут напечатаны как выходные данные.
6.2. Отбор проб
Аудитор может разрабатывать программы для отбора образцов либо случайным образом, либо в соответствии с критериями, которые они сочтут необходимыми.
6.3. Расчеты и детальные тесты
Аудитор может разрабатывать программы для выполнения тестов или вычислений (расчетов), которые ранее выполнялись вручную.
7. Окончательный анализ
7.1. Преимущества использования компьютера аудитором
7.1.1. Лучшее знание процедуры клиента и системы контроля.
7.1.2. Гораздо большая сфера профессиональной деятельности.
7.1.3. Самое элементарное достижение аудита продолжается.
7.1.4. Лучшее использование принципа исключения.
7.2. проблемы
7.2.1. Расходы
Использование данных испытаний и программ аудита должно быть обосновано на основе сокращения времени по сравнению с ручным аудитом, а также получения более качественного аудита. Они должны проанализировать: стоимость подготовки тестовых и программных данных, стоимость эксплуатации и стоимость полученных преимуществ.
7.2.2. Технические требования
Новая технология, необходимая для оценки поддерживаемой компьютером информационной системы и разработки программы аудита, требует подробного, логичного и четкого планирования на этапах обработки.
7.2.3. Необходимость предварительного планирования
Аудитор должен знать о большом количестве времени, первоначально необходимом для проведения аудита в компьютерном средстве, которое клиент должен знать перед выполнением работы, а также информировать клиента о времени, которое требуется для оценки системы и разработать программы аудита.
7.2.4. преобразование
Из-за любой конверсии во время аудита, он может столкнуться с:
• Недостаток содержательной документации
• Рабочая нагрузка программистов, затрудняющих доступ к ним.
• Частые программные изменения, которые мешают оценке и обзору системы.
7.3. Выводы
к. На методы аудита в значительной степени влияет роль компьютера в информационных системах компании.
