金审工程服务网站
 
首页  |  工程建设  |  审计信息化  |  咨询室  |  学习园地  |  下载区  |  关于我们
当前位置: 首页  >  学习园地 > 正文
 
计算机信息系统交易数据输入控制的审计方法
 
【时间:2017年08月25日】 【来源:云南省师宗县审计局】字号: 【大】 【中】 【小】

    就信息系统而言,交易数据输入控制是应用控制的核心。在信息系统审计的事项选择中,输入控制审计应作为必选事项,因为系统所承载的数据都需要录入或者导入,如果一个系统的输入控制设置不合规、不合理、不完整,那么系统源数据就得不到有效控制,系统所承载的数据就无法达到其真实性、完整性和可靠性,对该事项进行审计就是为了确保输入的数据真实、完整和准确。

      要完成该审计目标,就必须明确该事项的测评内容。根据《审计署关于印发信息系统审计指南--计算机审计实务公告第34号的通知》(审计发﹝2012〕11号)第二十三条 数据输入控制审计事项测评指标:数据录入和导入控制测评、数据修改和删除控制测评、数据校验控制测评、数据入库控制测评、数据共享与交换控制测评、备份与恢复数据接收控制测评。审计过程主要检查的是系统是否存在有不符合国家、行业或者单位规范的数据录入、导入、修改、删除、校验控制、共享与交换、备份与恢复等,同时检查操作用户身份与授权否合理、有效。

具体审计步骤如下:

1.审计调查。

      首先调查被审计单位的管理情况,查看相应单位信息管理制度是否完善,系统数据的录入、导入、修改、删除人员权限是否明确,授权过程是如何处理的;其次是调查该系统的设计情况,调查设计满足国家、行业标准情况,满足单位管理及业务流程需要情况,调查模块功能,重点调查每个有数据录入导入或修改删除的模块;调查该系统数据备份及存放模式,为数据采集做准备,调查系统日志是否完整。

2.收集资料。

      收集管理类文件,包括单位的组织架构图、信息管理制度、人员权限设置情况;收集标准规范类文件,主要收集与该单位系统所承载的主要业务数据相关的国家、行业规范及标准,收集单位管理该业务的管理类文件并收集该单位的业务流程图;收集采购该系统的采购协议,系统设计的相关文件;采集与录入、导入、修改、删除有关的模块数据;采集系统授权数据;采集系统维护日志。

3.测试方法。

⑴查阅资料,系统调查,实地访谈。

      查阅该业务涉及到的国家、行业标准及单位的管理规定,了解单位的业务流程情况,查阅系统设计资料;系统调查设计满足国家设计标准和业务流程情况;实地访谈相关数据录入权限情况,输入错误预警控制情况,了解各个模块的运行情况,确定需要测试的内容,制作初步调查表。

⑵现场测试。测试非授权用户是否能对数据进行录入、导入、修改、删除;测试当数据录入错误时系统是否有提示,测试必填字段、数据精度等数据输入规则。

⑶数据查询。

      数据查询主要是在采集到相关的模块数据后从以下四方面进行查询。第一数据输入身份认证和权限控制的查询:通过对采集到的系统授权数据及模块数据进行查询比对,查看非认证用户是否存在具有数据输入或者越权输入等控制缺失;第二输入规则控制的查询:对采集到的模块数据进行查询,看是否存在不符合数据唯一性控制、必填字段控制、数据格式和范围控制、数据精度控制等数据输入控制缺失;第三输入校验控制查询:主要查看模块数据是否存在不符合数据范围控制、勾稽关系控制等控制缺失;第四是输入错误预警控制的查询:通过查询系统维护日志,数据输入错误预警中是否存在数据输入错误提示、跟踪、报告、处理等方面的数据输入控制缺失。(文章来源:云南省师宗县审计局 作者:龚红琼 )

【关闭】    【打印】
 
管理员信箱 | 版权信息
主办单位:中华人民共和国审计署办公厅  技术支持:审计署计算机技术中心 审计署总机:010-50991000  金审工程网站服务电话:010-50992000
地址:北京市丰台区金中都南街17号(邮编:100073) 备案编号:京ICP备05071733号  建议使用分辨率:1024×768