1. Кратко въведение
Поради нарастващата инсталация на компютри от различни видове и марки в нашата среда, като работен инструмент за подпомагане на бизнес администрацията на компании, стана необходимо и съществено да се разработят системи за одит на стандарти и процедури.
Бързият технологичен напредък в разработването на нови техники или начини за обработка на данни (софтуер), както в машинното оборудване (хардуер), предполага загриженост за правилния контрол и обезопасяване на областта на информационните системи, поддържани от компютър, толкова важна за модернизация за насърчаване на растежа на дружествата, особено в сектора на търговията и индустрията.
2. Одит на компютърни системи
2.1. понятие
Това е правилната и щателна диагностика на състоянието на информационните системи, поддържани от електронно оборудване за обработка на данни.
2.2. важност
Необходимо е постоянно да се следи за правилното функциониране на компютъризирана информационна система предвид нейната сложност, концентрация и достоверност на данните, тъй като правилното функциониране и развитието на една компания до голяма степен зависи от тях.
3. Системни контроли в компютърен център
Вътрешният контрол може да бъде представен като: набор от организационен план, координирани методи и подходящи мерки, които са адаптирани в рамките на дадена компания с цел да запази активите си, да провери точността, отчитането и навременността на нейните счетоводни данни за подобряване на ефективността на дейността му и следи за спазването на политиките и стратегиите за управление.
Контролите в рамките на автоматизирана информационна система трябва да бъдат фокусирани върху три основни аспекта, които подробно описвам по-долу:
3.1. Честота на компютъра в организацията
Дори когато една компания е структурирана според разнообразието от съвременни влияния, линията на отговорност и авторитет трябва да бъдат ясно определени.
Разделението на функционалните отговорности трябва да се определя от:
да се. Функции за иницииране и упълномощаване на транзакцията.
б. Запис на транзакцията в писмен вид.
° С. Защита на получените активи.
Подобно разделение предполага специализация, осигуряваща по-голяма ефективност, избягва дублиране и пропиляване на усилията и повишава ефективността на управленския контрол.
Резултатът от централизирането на дейностите по обработка на данни и концентрацията на процесни функции, поражда забележителен ефект върху структурите на организацията от контролна гледна точка.
3.2. Общи контроли
3.2.1 Общи контроли
да се. Отделът за обработка на данни трябва да функционира организационно независимо от други отдели.
б. Персоналът за обработка на данни не трябва да упражнява пряк или косвен контрол върху активи или да прави промени в главните файлове без надлежно разрешение.
° С. Трябва да има ясно разделение на задълженията между:
• Проектиране и анализ на системи
• Програмиране
• Обработка
д. По отношение на обработката, функциите трябва да бъдат разделени на:
• Работа на оборудването
• Библиотекар
• Въвеждане на данни
• Извеждане на данни
и. Застраховката за прекъсване на бизнеса на Дружеството трябва да покрива прекъсванията в автоматичната обработка на данни.
F. Разумността на застраховката върху записи (файлове) на компютърното оборудване.
гр. Ниво на управление, което контролира ефективната функция на електронната обработка на данни чрез:
• Настройка на политиката
• Определяне на целите
• Настройка на приоритета
• Периодичен преглед на напредъка във вътрешното развитие и / или статистика на операциите
ч. Ниво и независимост от преглед и одобрение на ръководството, необходими за предложените счетоводни системи и за прегледи.
аз. Технически квалифициран персонал за преглед на новите предложени системи или промени, за да вземе предвид:
• Съответствие с фирмените политики
• Включване на адекватни контролни фактори
к. В случай, че обработващото оборудване е наето или използвано от непознати, трябва да се вземе предвид следното:
• Достатъчен контрол с приходите от такси за услуги, които се записват.
• Външните оператори нямат достъп до нашите програми и / или файлове.
к. Обоснованост на опасенията за алтернативен процес в случай на повреда на оборудването и:
• Честота, с която тези процеси се тестват в реални условия.
• Алтернативни съоръжения, разположени така, че да се сведе до минимум рискът от общо бедствие.
3.2.2. Специфични контроли
3.2.2.1. Физическа среда
да се. Оборудването за обработка на данни трябва да бъде инсталирано на едно място и разположено по такъв начин, че да осигурява физическа сегрегация между оперативната функция и контролната функция.
б. Ограничаване на достъпа от неоторизиран персонал до съоръжението.
° С. Адекватна защита на файловете, осигурена от инсталацията срещу пожар, кражба или друга катастрофа.
3.2.2.2. Защита на програмната логика
1. Трябва да има стандарти за документация за програми, процедури и процедури, които включват следното:
да се. Общо описание на системата и нейните цели, както и основния поток на информация през системата.
б. Обща схема на системата за илюстриране на описаното описание.
° С. Описание на изпълняваните функции и преглед на това как ги изпълнява всяка програма.
д. Блок-схема, показваща последователността на операциите, изпълнени от програмата.
и. Описание на записите, показващи формата, съдържанието и вида на входовете и изходите на междинните файлове.
F. Списък на изходната програма на символен език.
гр. Програмни инструкции за работа, процедури за изключване, входни източници и оформление на изхода.
2. Адекватна сегрегация на функциите на:
• Проектиране и анализ на системи
• Програмиране
3. Ограничете достъпа до работата на компютъра на програмисти и анализатори, с изключение на паричния достъп за тестване и освобождаване на програми.
4. Ограничете операторите във връзка с непроучвано програмиране, след като оценката им предостави дозиран достъп до степента, в която е налице времето.
5. Програмистите и системните анализатори ще имат контролиран достъп до:
• Главни файлове или транзакции
• Оперативни програми: Източник или обект
• Източна документация
• Излезте от документацията
6. Трябва да има адекватно ниво на одобрение от надзор за програмния персонал, за да има достъп до програми за операционни източници.
7. Разрешение на подходящо ниво за промяна на операционни програми и това трябва да бъде в писмена форма.
8. Разрешенията за промени в програмата трябва да се контролират например цифрово.
9. Промените в програмите трябва да се правят на ниво източник, компилация, получаване на нова обектна програма и нов списък с публикации.
10. При извършване на промяна в програмите те трябва да бъдат датирани, документи от програмиста, посочващи причината за промяната под формата на лентата, името му, за да се предостави хронологична история на системата.
11. Разширяването на процедурите за тестване, които се прилагат ефективно за нови и ревизирани програми, следва да продължи:
да се. Процедурите за изпитване включват паралелни изпълнения на текущи и / или минали данни за повече от един цикъл на обработка.
б. Процедурите гарантират съвместимостта на всички програми, които формират единна система.
° С. Резултатите и процедурите на теста трябва да бъдат прегледани от:
- Технически квалифициран отдел за вътрешен одит
- Технически годен ръководител
- Управление на потребителския отдел
д. Процедурите за тестване на модификации на програмата трябва да са същите като за новите програми.
12. Неправомерното въвеждане на промени в програмата и внедрените данни трябва да бъде предотвратено или открито от система за сигурност.
3.2.2.3. Работа на оборудването
да се. Адекватен и достатъчен надзорен контрол, за да могат операторите да се съобразят с установените процедури за надзор.
б. Поддържайте контролния дневник за използване на конзолите и подконзолите, посочвайки техния вид работа и дата.
° С. Дневникът за управление на конзолата трябва да детайлира отделно в допълнение:
• Време за изпълнение
• Време за подготовка на екипа
• Време на прекъсване (чакащо или неочаквано изчакване)
• Време за поддръжка
д. Трябва да се съхранява писмен отчет за престой, който може да възникне по време на обработката, и той трябва да съдържа:
• Пълно описание на ситуацията и предприетите действия.
• Vo.Bo. o Квалификация на отговорното контролиращо лице.
и. Операторите трябва да се въртят между смените и работните места, за да се избегне постоянното присвояване на конкретни работни места.
F. Изисквайте обслужващия персонал да прави периодичните си ваканции.
гр. Предоставете на операторите инструкциите за експлоатация на системата за процедури, подходящи за мерките, които трябва да бъдат предприети в случай на грешки и / или спиране в процеса.
ч. Да има подредени и адекватни ръководства за работа, които да служат като ръководство за процеса, както и допълнителни копия, които притежават библиотекаря.
аз. Използване на вътрешни и външни етикети на файлове, които трябва да бъдат обработени, и те да бъдат разпознати чрез процедурите за обработка на приложения.
к. Създайте система за сигурност с помощта на пароли (потребител и парола), за да избегнете неоторизирани процедури.
к. Надзорен контрол върху работата на машината чрез адекватни писмени записи.
л. Поддържайте контролния дневник на операционната система на компютъра, като въведете:
• Контрол на промените
• Система за надграждане
• Създаване на системни файлове
• Производителност
ll) Проверка на надзора за контрол на операциите в различните смени.
м) Изготвяне на график за време на процеса с потребителските зони и гарантира, че те се спазват стриктно.
3.2.2.4. библиотеки
1. Библиотекарят в отдел за електронна обработка на информация отговаря за:
да се. Контрол на деликатните документи (чекове, електронни таблици и т.н.) и всички файлове и програми както за потребителите, така и за системата.
б. Предоставете на работа това, което е необходимо за всяка конкретна обработка.
° С. Контрол на файлове, библиотеки, източник и обект, които се произвеждат от всеки процес на работа (оригинални файлове и резервни файлове).
д. Правилна консервация на дискети и опаковки.
и. Периодичен преглед на физическото състояние на файловете.
F. Поддържане на адекватна програма за задържане на файлове, изискваща запазване на файлове до трето поколение.
гр. Поддържайте адекватни и достатъчни запаси от ленти за печат и непрекъснати формуляри.
2. Поддържайте главни и транзакционни файлове, за да предотвратите възстановяването.
3. Досиетата, споменати в предходния параграф, трябва да се съхраняват в подходяща среда, която е противопожарна, кражба, земетресение или други бедствия.
4. Използвайте външни тагове за всички файлове, за да идентифицирате:
• Дата
• Приложение
• Сила на звука
5. Възлага чрез подходяща и контролирана процедура да има актуално копие на последния източник на програма или оперативен обект и съответната му документация.
6. Поддържайте техническа библиотека от системни наръчници, за да се консултирате със случая, ако има проблеми.
7. Поддържайте адекватен опис на библиотечни файлове, наръчници и др.
3.2.2.5. Поток от данни
да се. Процедура за контрол на въвеждане на данни, за да се гарантира, че те са пълни и коректни (брой документи, контролни суми) на източника на данни, както и че те се проверяват чрез програми за съгласуваност, тоест тези процедури са в писмена форма.
б. Издаване на доклади за валидиране на данни (Съгласувания), за да се върнат грешните документи на източника на мястото им на произход, за да се направят необходимите корекции.
° С. Процедура за коригиране на дефектни данни, предварително проверени от източника на произход, вторично или алтернативно валидиране, както и рутинни процедури за своевременно получаване на корекции, така че процедурата за кандидатстване да се извърши навреме и с достатъчна достоверност.
д. Адекватна процедура за разпространение на необходимата информация в потребителските зони.
4. Коментари или насоки за оценка на одита на информационните системи с използване на електронно оборудване за данни
да се. Нашите тестове на функцията за електронна обработка на данни ще бъдат повлияни от способността на ръководството да прилага установени контроли и процедури. Обикновено съществува пряка връзка между степента на участие на висшето ръководство в надзора над функцията и степента на съответствие с процедурите за вътрешен контрол.
б. Прегледът и одобрението за предпочитане трябва да са съвместни усилия на ръководството, на представителите на отделите, които го използват, и на тези на ППД, всеки от които трябва да знае ролите на останалите.
° С. Периодичното тестване при реални обстоятелства гарантира, че не е имало големи промени в оборудването или програмите на алтернативния обект, което би възпрепятствало правилната обработка.
д. Компютърните програми управляват цялата обработка. Операциите се изпълняват и ще се повтарят, докато програмата не бъде променена, но промените могат да настъпят и да останат незабелязани. Следователно системата за вътрешен контрол трябва да защитава целостта на програмите, тоест те не трябва да са податливи на грешни или неоторизирани случайни промени.
и. Възможността за определяне, разглеждане, оценка и тестване на системата е значително подобрена от наличието на актуална и подробна документация за клиента. Наличието на строги стандарти за документация е показател, че клиентът използва добри процедури за вътрешен контрол.
Блок-схемите, описателните описания и друга документация на клиента могат да се използват като одитна документация и акцентът трябва да се постави върху получаването на копия.
F. Операторите трябва да имат достъп до изходните програми само когато съставят програма; и да възразявате програми само когато те изпълняват програма.
гр. Тъй като може да има грешки в логиката на програмата, в нови или модифицирани програми, те трябва да бъдат тествани, за да се гарантира, че те работят по план.
Тестването трябва да се извършва, като се използват реални данни при реални условия на работа до възможно най-голяма степен.
Трябва да се включат и грешни данни, така че всички раздели и всички процедури за преглед на програмата да бъдат тествани правилно. Прегледът на клиентите и оценката на резултатите от тестовете трябва да се извършват от способни представители от всички съответни отдели (включително вътрешни одитори), за да се гарантира, че всички последици от резултатите от тестовете са взети под внимание.
ч. Одиторът трябва да е наясно с възможността операциите за контрол да варират от смяна до смяна.
аз. Списъкът с програми обикновено показва дали се използват вътрешни файлови тагове.
к. Използването на предоставена от производителя програма за надзор (операционна система) избягва необходимостта от много човешка намеса по време на обработката.
к. Адекватната система за вътрешен контрол трябва да включва процедури за защита на компанията от случайно унищожаване или погрешни или неразрешени промени в главните файлове или данни. Тези файлове изискват по-строги контроли от ръчно подготвените записи, тъй като те могат да бъдат по-лесно унищожени или повредени, а незабележимостта на съдържанието им затруднява злоупотребата или злоупотребата.
л. Нормалната обработка на лентови файлове осигурява автоматично дублиране. Въпреки това, дисковите файлове трябва да бъдат копирани (обикновено на лента), за да се позволи евентуална реконструкция.
м. Някои програмни поддръжки се осигуряват от блок-схеми, кодови листове и друга програмна документация, ако са налични, но дублиращите се копия на програмите източник и обект позволяват много по-бързо възстановяване.
5. Разработване на програми за компютърен одит
Компютърът предлага поредица от ресурси на одитора, за да определи качеството на информацията, генерирана от системата за обработка, за да я оцени и анализира.
Необходимо е да се разгледат четири основни елемента при разработването на програми за компютърен одит:
5.1. Определяне на целите и одитната процедура
Одиторът с програмната поддръжка е този, който определя целите и процедурите според общоприетите стандарти за правен одит, той е този, който определя данните в основните записи или транзакции, които иска да провери.
5.2. Разработване на диаграми за пътуване към системата
След като са дефинирани процедурите и целите, са подготвени диаграмите за стартиране на системата, в които се посочват файлове на получените входове и изходи, които трябва да бъдат получени чрез програмата за одит.
5.3. Изготвяне на програмни диаграми
Чрез тях те посочват как ще бъдат обработвани данните, като посочват конкретни операции и решения и последователността, която трябва да се следва в рамките на програмата. Също така тази диаграма ще покаже логиката и функциите на програмата. Тази схема по същество ще осигури:
5.3.1. Графично изображение на решението на проблема
5.3.2. Ръководство за кодиране и тестване на програмата, определящо дали са взети предвид всички възможни условия
5.3.3. Документация за вашето обяснение и модификация на програмата
Диаграмата за пътуване по програмата може да бъде попълнена с помощта на таблици с решения за оценка на алтернативи за действие, които могат да бъдат предприети при условията.
5.4. Програма за кодиране, компилиране и тестване
Тази фаза не изисква допълнителни коментари, тъй като протича точно като обикновена програма.
6. Използване на програми за компютърен одит
По същество има три начина за използване на компютърни програми за одит:
6.1. Доклади за анализ и изключения
Одиторът може да разработва програми за:
• Анализирайте данните за файла
• Изследвайте аспекти или атрибути, които ви интересуват
• Търсене на нередности във файловете
Изключенията от правилата и критериите, предвидени от програмата, ще бъдат отпечатани като изход.
6.2. Избор на проба
Одиторът може да разработва програми за подбор на извадки, произволно или според критериите, които сметне за подходящи.
6.3. Изчисления и подробни тестове
Одиторът може да разработва програми за извършване на тестове или изчисления (изчисления), които преди това са били извършвани ръчно.
7. Краен анализ
7.1. Предимства на използването на компютъра от одитора
7.1.1. По-добро познаване на процедурата и системата за контрол на клиента.
7.1.2. Много по-голяма област на професионална дейност.
7.1.3. Най-елементарното постижение на одита продължава.
7.1.4. По-добро използване на принципа за изключение.
7.2. проблеми
7.2.1. Разходи
Използването на данни от тестове и програми за одит трябва да бъде оправдано на базата на намаляване на времето в сравнение с ръчния одит, както и получаване на по-качествен одит. Те трябва да анализират: разходите за подготовка на тестови и програмни данни, разходи за експлоатация спрямо стойността на получените ползи.
7.2.2. Технически изисквания
Новата технология, необходима за оценка на компютърно поддържана информационна система и разработване на програма за одит, изисква подробно, логично и изрично планиране на етапите на обработка.
7.2.3. Необходимост от предварително планиране
Одиторът трябва да е наясно с голямото време, първоначално необходимо за извършване на одит в компютърно съоръжение, което клиентът трябва да знае, преди да извърши работата, както и да информира клиента за времето, необходимо за оценка на системата и разработват програми за одит.
7.2.4. конверсия
Поради всяко преобразуване по време на одитното му време, той може да се сблъска с:
• Липса на съдържателна документация
• Натоварване на програмисти, което затруднява достъпа до тях.
• Чести промени в програмата, които възпрепятстват оценката и прегледа на системата.
7.3. Заключения
да се. Техниките за одит са значително повлияни от ролята, която компютърът играе в рамките на информационните системи в компанията.
