1. Trumpas įvadas
Dėl to, kad mūsų aplinkoje vis dažniau montuojami įvairių tipų ir prekės ženklų kompiuteriai, kaip darbo priemonė, padedanti administruoti įmones, tapo būtina ir būtina kurti sistemų audito standartus ir procedūras.
Sparti technologinė pažanga kuriant naujus duomenų apdorojimo metodus ar būdus (programinė įranga), kaip ir mašinų įrangoje (aparatinė įranga), reiškia rūpestį tinkamai valdyti ir apsaugoti kompiuterio palaikomų informacinių sistemų sritį, kuri yra svarbi modernizavimas, siekiant skatinti įmonių augimą, ypač prekybos ir pramonės sektoriuose.
2. Kompiuterizuotų sistemų auditas
2.1. Koncepcija
Tai yra tvarkinga ir kruopšta informacinių sistemų, palaikomų elektronine duomenų apdorojimo įranga, diagnozė.
2.2. Svarba
Būtina nuolat stebėti, ar tinkamai veikia kompiuterizuota informacinė sistema, atsižvelgiant į jos sudėtingumą, koncentraciją ir duomenų teisingumą, nes nuo to labai priklauso tinkamas įmonės veikimas ir raida.
3. Sistemos valdymas kompiuterio centre
Vidaus kontrolė gali būti suprantama kaip: organizacijos plano, suderintų metodų ir atitinkamų priemonių rinkinys, pritaikytas įmonėje siekiant apsaugoti jos turtą, patikrinti apskaitos duomenų tikslumą, apskaitą ir savalaikiškumą, kad būtų padidintas įmonės veiklos efektyvumas. savo operacijas ir stebėti, ar laikomasi valdymo politikos ir strategijų.
Automatizuotos informacijos sistemos valdymas turi būti sutelktas į tris pagrindinius aspektus, kuriuos išsamiau aprašau toliau:
3.1. Kompiuterio paplitimas organizacijoje
Net tada, kai įmonė organizaciniu požiūriu yra struktūrizuota atsižvelgiant į šiuolaikinės įtakos įvairovę, atsakomybės ir valdžios ribos turi būti aiškiai apibrėžtos.
Funkcinių atsakomybių pasiskirstymas turėtų būti apibrėžtas taip:
į. Sandorio inicijavimo ir įgaliojimo funkcijos.
b. Sandorio įrašas raštu.
c. Gauto turto apsauga.
Toks padalijimas reiškia specializaciją, užtikrinant didesnį efektyvumą, išvengiant pastangų dubliavimo ir eikvojimo bei padidinant valdymo kontrolės efektyvumą.
Centralizuoto duomenų tvarkymo veiklos rezultatas ir proceso funkcijų sutelkimas daro didelį poveikį organizacijos struktūroms kontrolės požiūriu.
3.2. Bendroji kontrolė
3.2.1 Bendrosios valdymo priemonės
į. Duomenų tvarkymo skyrius turi veikti organizaciniu požiūriu nepriklausomai nuo kitų skyrių.
b. Duomenų tvarkymo personalas neturėtų tiesiogiai ar netiesiogiai valdyti turto ar daryti pagrindinių bylų pakeitimus be tinkamo leidimo.
c. Reikėtų aiškiai atskirti pareigas:
• Sistemų projektavimas ir analizė
• Programavimas
• Apdorojimas
d. Apdorojimo funkcijos turi būti atskirtos į:
• Įrangos eksploatavimas
• Bibliotekininkė
• Duomenų įrašas
• Duomenų išvestis
ir. Bendrovės verslo nutraukimo draudimas turi apimti automatinio duomenų tvarkymo nutraukimus.
F. Kompiuterinės įrangos įrašų (bylų) draudimo pagrįstumas.
g. Valdymo lygis, kontroliuojantis efektyvią elektroninio duomenų tvarkymo funkciją:
• Politikos nustatymas
• Tikslų nustatymas
• Prioritetų nustatymas
• Periodiškas vidaus plėtros progreso ir (arba) operacijų statistikos peržiūra
h. Siūlomoms apskaitos sistemoms ir peržiūroms reikalingas vadovybės peržiūros ir patvirtinimo lygis ir nepriklausomumas.
i. Techninės kvalifikacijos personalas, kad peržiūrėtų naujas siūlomas sistemas ar pakeitimus, kad galėtų atsižvelgti į:
• Įmonės politikos laikymasis
• Tinkamų kontrolės veiksnių įtraukimas
j. Jei perdirbimo įrangą nuomojasi ar naudojasi nepažįstami žmonės, reikėtų atsižvelgti į šiuos dalykus:
• Pakankamai kontroliuojamos pajamos iš paslaugų mokesčių, kurios yra įrašomos.
• Išoriniai operatoriai neturi prieigos prie mūsų programų ir (arba) failų.
k. Nerimo dėl alternatyvaus proceso pagrįstumas, jei įranga sugenda ir:
• Šių procesų tikrinimo dažnis realiomis sąlygomis.
• Alternatyvūs įrenginiai, išdėstyti taip, kad būtų kuo mažesnė bendros nelaimės rizika.
3.2.2. Konkreti kontrolė
3.2.2.1. Fizinė aplinka
į. Duomenų apdorojimo įranga turėtų būti sumontuota vienoje vietoje ir išdėstyta taip, kad būtų galima fiziškai atskirti darbinę ir valdymo funkciją.
b. Apribotas pašalinių asmenų patekimas į objektą.
c. Įrenginyje užtikrinama tinkama bylų apsauga nuo gaisro, vagysčių ar kitų katastrofų.
3.2.2.2. Programos logikos apsauga
1. Turėtų būti programų, procedūrų ir įprastų dokumentų standartai, į kuriuos įeina:
į. Visas sistemos ir jos tikslų aprašymas, taip pat pagrindinis informacijos srautas per sistemą.
b. Bendroji sistemos schema aprašytam aprašymui iliustruoti.
c. Atliekamų funkcijų aprašymas ir apžvalga, kaip kiekviena programa jas vykdo.
d. Blokinė schema, rodanti veiksmų, kuriuos vykdo programa, seką.
ir. Įrašų, nurodančių tarpinių failų įvesties ir išvesties formą, turinį ir tipą, aprašymas.
F. Šaltinio programos sąrašas simboline kalba.
g. Programos naudojimo instrukcijos, išjungimo procedūros, įvesties šaltiniai ir išvesties išdėstymas.
2. Tinkamas funkcijų atskyrimas:
• Sistemų projektavimas ir analizė
• Programavimas
3. Apribokite prieigą prie kompiuterio veikimo programuotojams ir analitikams, išskyrus prieigą prie grynųjų pinigų programoms išbandyti ir išplėsti.
4. Apribokite operatorių neprižiūrimą programavimą, po įvertinimo suteiksite galimybę naudotis skaitikliu tiek, kiek yra laiko.
5. Programuotojai ir sistemų analitikai turės kontroliuojamą prieigą prie:
• Pagrindinės bylos ar operacijos
• Veikimo programos: šaltinis arba objektas
• Šaltinio dokumentacija
• Išeikite iš dokumentacijos
6. Programavimo personalui turėtų būti suteiktas tinkamas priežiūros patvirtinimas, kad jis galėtų naudotis veikiančiomis šaltinio programomis.
7. Tinkamo lygio leidimas modifikuoti operacines programas ir tai turi būti raštu.
8. Programos pakeitimų autorizacijos turi būti kontroliuojamos, pavyzdžiui, skaitine tvarka.
9. Programų pakeitimai turėtų būti daromi šaltinio programos lygiu, kompiliacijai gaunant naują objektų programą ir naują įrašų sąrašą.
10. Atliekant programų pakeitimus, jie turi būti pažymėti data, programuotojo dokumentai, kuriuose nurodoma juostos formos, pavadinimo pasikeitimo priežastis, kad būtų chronologinė sistemos istorija.
11. Tęsiant naujas ir patikslintas programas veiksmingai taikomos bandymo procedūros turėtų būti tęsiamos:
į. Testavimo procedūros apims lygiagrečius esamų ir (arba) ankstesnių duomenų vykdymą daugiau nei vienam apdorojimo ciklui.
b. Procedūros turi užtikrinti visų programų, kurios sudaro vieną sistemą, suderinamumą.
c. Testo rezultatus ir procedūras turėtų peržiūrėti:
- Techninės kvalifikacijos vidaus audito skyrius
- Techniškai tinkamas vadovas
- Vartotojo skyriaus valdymas
d. Programų modifikacijų bandymo procedūros turėtų būti tokios pačios kaip ir naujų programų.
12. Apsaugos sistema turi užkirsti kelią neteisėtam programos pakeitimų įvedimui ir įdiegtiems duomenims.
3.2.2.3. Įrangos eksploatavimas
į. Tinkama ir pakankama operatorių priežiūros kontrolė, kad būtų laikomasi nustatytų priežiūros procedūrų.
b. Tvarkykite konsolių ir pultų naudojimo kontrolės žurnalą, nurodydami jų darbo tipą ir datą.
c. Konsolės valdymo žurnale papildomai nurodoma:
• Bėgimo laikas
• Komandos pasiruošimo laikas
• Neveikimo laikas (laukiama arba netikėtai laukiama)
• Priežiūros laikas
d. Turi būti saugoma rašytinė prastovų, kurios gali atsirasti apdorojant, ataskaita, kurioje turi būti:
• Išsamus situacijos ir atliktų veiksmų aprašymas.
• Vo.Bo. o atsakingo prižiūrinčio asmens kvalifikacija.
ir. Operatoriai turėtų būti keičiami tarp pamainų ir darbų, kad būtų išvengta nuolatinio priskyrimo konkretiems darbams.
F. Reikalaukite, kad aptarnaujantis personalas imtųsi periodinių atostogų.
g. Pateikite operatoriams sistemos naudojimo instrukcijas, skirtas procedūroms, kurių reikia imtis, kilus klaidoms ir (arba) sustabdžius procesą.
h. Turėkite tvarkingus ir tinkamus naudojimo vadovus, kurie tarnautų kaip proceso vadovas, taip pat bibliotekininko turimas papildomas kopijas.
i. Apdorojamų failų vidinių ir išorinių etikečių naudojimas, kurios turi būti atpažįstamos programų apdorojimo procedūrose.
j. Sukurkite saugos sistemą naudodami slaptažodžius (vartotoją ir slaptažodį), kad išvengtumėte neteisėtų procedūrų.
k. Prižiūrima mašinos eksploatavimo kontrolė, naudojant atitinkamus rašytinius dokumentus.
l. Tvarkykite kompiuterio operacinės sistemos valdymo žurnalą įvesdami:
• pakeitimų kontrolė
• Atnaujinkite sistemą
• Sistemos failų kūrimas
• Spektaklis
ll) Operacijų kontrolės priežiūros patikrinimas skirtingomis pamainomis.
m) Parengti proceso laiko grafiką su vartotojo sritimis ir įsitikinti, kad jų griežtai laikomasi.
3.2.2.4. Bibliotekos
1. Elektroninio duomenų tvarkymo skyriaus bibliotekininkas yra atsakingas už:
į. Delikačių dokumentų (čekių, skaičiuoklių ir tt) ir visų failų ir programų, skirtų vartotojams ir sistemai, valdymas.
b. Pristatykite tai, kas būtina kiekvienam konkrečiam apdorojimo darbui.
c. Failų, bibliotekų, šaltinio ir objekto, kuriuos sukuria kiekviena proceso užduotis, kontrolė (originalūs failai ir atsarginės bylos).
d. Tinkamas diskelių ir pakuočių išsaugojimas.
ir. Periodiškas failų fizinės būklės patikrinimas.
F. Palaikyti tinkamą failų išsaugojimo programą, reikalaujant failų išsaugojimo iki trečiosios kartos.
g. Laikykite pakankamas ir pakankamas spausdinimo juostelių ir ištisinių formų atsargas.
2. Prižiūrėkite pagrindinius ir operacijų failus, kad išvengtumėte atstatymo.
3. Ankstesniame punkte minimos bylos turi būti laikomos tinkamoje aplinkoje, kurioje nėra gaisro, vagysčių, žemės drebėjimo ar kitų nelaimių.
4. Naudokite išorines žymas visuose failuose, kad nustatytumėte:
• Data
• Taikymas
• garsumas
5. Paskirkite, naudodamiesi tinkama ir prižiūrima procedūra, kad būtų atnaujinta paskutinės šaltinio programos ar operatyvinio objekto kopija ir jos atitinkami dokumentai.
6. Prižiūrėkite techninę sistemos vadovų biblioteką, kad iškiltų problemų, jei reikia.
7. Tvarkykite tinkamą bibliotekos failų, vadovėlių ir kt. Inventorių.
3.2.2.5. Duomenų srautas
į. Duomenų įvedimo kontrolės procedūra siekiant užtikrinti, kad duomenys būtų išsamūs ir teisingi (dokumentų skaičius, kontrolinės sumos) duomenų šaltinyje, taip pat, kad jie būtų patikrinti naudojant nuoseklumo programas, tai yra, kad šios procedūros yra rašytinės.
b. Duomenų patvirtinimo ataskaitų (nuoseklumų) išdavimas, kad klaidingi šaltinio dokumentai būtų grąžinti į jų kilmės vietą, kad būtų galima atlikti reikiamus pataisymus.
c. Neteisingų duomenų, anksčiau patikrintų pagal kilmės šaltinį, ištaisymo procedūra, antrinis ar alternatyvus patvirtinimas, taip pat įpročiai laiku gauti ištaisymus, kad paraiškų teikimo procedūra būtų atlikta laiku ir pakankamai teisingai.
d. Tinkama reikiamos informacijos paskirstymo vartotojams sritis.
4. Informacinių sistemų audito, naudojant elektroninę duomenų įrangą, vertinimo komentarai arba gairės
į. Mūsų elektroninio duomenų apdorojimo funkcijos bandymams turės įtakos vadovybės sugebėjimas įgyvendinti nustatytą kontrolę ir procedūras. Paprastai yra tiesioginis ryšys tarp vyresniosios vadovybės dalyvavimo prižiūrint funkciją ir atitikties vidaus kontrolės procedūroms laipsnio.
b. Pageidautina, kad peržiūra ir patvirtinimas būtų bendros vadovybės, ją naudojančių departamentų atstovų ir PDP atstovų pastangos, kurių kiekvienas turėtų žinoti kitų funkcijas.
c. Periodiškas tikrinimas realiomis aplinkybėmis užtikrina, kad alternatyvioje vietoje nebuvo padaryta didelių įrangos ar programų pakeitimų, kurie trukdytų tinkamai juos tvarkyti.
d. Kompiuterių programos valdo visą duomenų tvarkymą. Operacijos bus vykdomos ir bus kartojamos tol, kol programa nebus pakeista, tačiau pokyčiai gali įvykti ir nepastebėti. Todėl vidaus kontrolės sistema turėtų apsaugoti programų vientisumą, tai yra, jos neturėtų būti jautrios klaidoms ar neteisėtiems atsitiktiniams pakeitimams.
ir. Galimybę nustatyti, peržvelgti, įvertinti ir išbandyti sistemą labai padidina atnaujinta ir išsami kliento dokumentacija. Griežtų dokumentų standartų buvimas rodo, kad klientas taiko geras vidaus kontrolės procedūras.
Kaip audito dokumentai gali būti naudojami schemos, aprašomieji aprašymai ir kita kliento dokumentacija, todėl pagrindinis dėmesys turėtų būti skiriamas kopijų gavimui.
F. Operatoriai turėtų turėti prieigą prie šaltinio programų tik sudarydami programą; ir prieštarauti programoms tik tada, kai jos vykdo programą.
g. Kadangi programų logikoje, naujose ar modifikuotose programose, gali būti klaidų, jos turi būti išbandytos, siekiant įsitikinti, kad jos veikia kaip planuota.
Testavimas turėtų būti atliekamas kiek įmanoma naudojant realius duomenis realiomis darbo sąlygomis.
Taip pat reikėtų įtraukti klaidingus duomenis, kad visi skyriai ir visos programos peržiūros būtų tinkamai išbandytos. Klientų peržiūras ir bandymų rezultatų vertinimą turėtų atlikti tinkami visų susijusių departamentų atstovai (įskaitant vidaus auditorius), kad įsitikintų, jog buvo atsižvelgta į visus bandymų rezultatų padarinius.
h. Auditorius turėtų žinoti apie galimybę, kad operacijų kontrolė skiriasi.
i. Programų sąrašuose paprastai nurodoma, ar naudojamos vidinės failų žymės.
j. Naudojant gamintojo pateiktą prižiūrėtojo programą (operacinę sistemą), perdirbimo metu nereikia daug žmogaus įsikišimo.
k. Tinkama vidaus kontrolės sistema turėtų apimti procedūrą, apsaugančią įmonę nuo netyčinio pagrindinių failų ar duomenų sunaikinimo ar klaidingo ar neleistino pakeitimo. Šiems failams reikalingas griežtesnis valdymas nei rankiniu būdu parengtiems įrašams, nes juos galima lengviau sunaikinti ar sugadinti, o dėl jų turinio nematomumo sunku aptikti piktnaudžiavimą ar piktnaudžiavimą.
l. Įprastas juostos failų apdorojimas suteikia automatinį kopijavimą. Tačiau disko failus reikia nukopijuoti (paprastai į juostą), kad būtų galima atlikti rekonstrukciją.
m. Tam tikrą programos palaikymą teikia blokų diagramos, kodų lapai ir kita programos dokumentacija, jei tokia yra, tačiau šaltinio ir objekto programų kopijos leidžia daug greičiau atstatyti.
5. Kompiuterinio audito programų kūrimas
Kompiuteris auditoriui siūlo daugybę išteklių, kad galėtų nustatyti duomenų apdorojimo sistemos generuojamos informacijos kokybę, kad galėtų ją įvertinti ir išanalizuoti.
Kuriant kompiuterinio audito programas būtina atsižvelgti į keturis pagrindinius elementus:
5.1. Tikslų ir audito tvarkos nustatymas
Auditorius, turintis programavimo palaikymą, apibrėžia tikslus ir procedūras pagal visuotinai priimtus teisinius audito standartus. Jis nustato tas, kuris duomenis pagrindiniuose įrašuose ar operacijose nori patikrinti.
5.2. Sisteminių kelionių schemų sudarymas
Apibrėžus procedūras ir tikslus, parengiamos sistemos paleidimo schemos, nurodančios gaunamų įėjimų ir išėjimų, kuriuos reikia gauti per audito programą, failus.
5.3. Programų schemų paruošimas
Jie nurodo, kaip bus tvarkomi duomenys, nurodant konkrečias operacijas ir sprendimus bei seką, kurios reikia laikytis programoje. Ši schema taip pat parodys programos logiką ir funkcijas. Ši schema iš esmės pateiks:
5.3.1. Grafinis problemos sprendimo vaizdas
5.3.2. Programos kodavimo ir testavimo vadovas, nustatantis, ar buvo apsvarstytos visos įmanomos sąlygos
5.3.3. Dokumentacija, skirta paaiškinti ir modifikuoti programą
Programos vykdymo schemą galima užpildyti naudojant sprendimų lenteles, kad būtų galima įvertinti veiksmų alternatyvas, kurių galima imtis esant sąlygoms.
5.4. Kodavimo, sudarymo ir testavimo programa
Šis etapas nereikia daugiau komentuoti, nes jis vyksta kaip ir įprasta programa.
6. Kompiuterinio audito programų naudojimas
Iš esmės yra trys būdai, kaip naudoti kompiuterio audito programas:
6.1. Analizės ir išimčių ataskaitos
Auditorius gali kurti programas, skirtas:
• Išanalizuokite failo duomenis
• Ištirkite jus dominančius aspektus ar požymius
• Ieškokite pažeidimų bylose
Programos numatytų taisyklių ir kriterijų išimtys bus spausdinamos kaip išvestis.
6.2. Imties atranka
Auditorius gali sukurti programas, skirtas atrankai atsitiktinai arba pagal kriterijus, kuriuos, jų manymu, tinka.
6.3. Skaičiavimai ir išsamūs testai
Auditorius gali sukurti programas bandymams ar skaičiavimams (skaičiavimams) atlikti, kurie anksčiau buvo atlikti rankiniu būdu.
7. Galutinė analizė
7.1. Auditoriaus naudojimosi kompiuteriu privalumai
7.1.1. Geriau išmanyti kliento procedūrą ir kontrolės sistemą.
7.1.2. Daug didesnė profesinės veiklos sritis.
7.1.3. Tęsiamas pats svarbiausias audito pasiekimas.
7.1.4. Geriau naudoti išimties principą.
7.2. problemos
7.2.1. Išlaidos
Testo duomenų ir audito programų naudojimas turi būti pateisinamas tuo, kad sutrumpėja laikas, palyginti su rankiniu auditu, taip pat gaunamas kokybiškesnis auditas. Jie turėtų išanalizuoti: bandymo ir programos duomenų parengimo kainą, operacijos kainą palyginti su gautos naudos verte.
7.2.2. Techniniai reikalavimai
Naujai technologijai, reikalingai kompiuterio palaikomoje informacinėje sistemoje įvertinti ir audito programai sukurti, reikalingas išsamus, logiškas ir aiškus planavimas apdorojimo etapuose.
7.2.3. Išankstinio planavimo poreikis
Auditorius turėtų žinoti apie tai, kiek laiko reikia auditui atlikti kompiuterinėje įrangoje, kurį klientas turėtų žinoti prieš atlikdamas darbą, taip pat turėtų informuoti klientą apie sistemos ir sistemos vertinimą. kurti audito programas.
7.2.4. Konversija
Dėl bet kokio pertvarkymo audito metu ji gali susidurti:
• trūksta prasmingos dokumentacijos
• Programuotojų darbo krūvis, apsunkinantis prieigą prie jų.
• Dažni programos pakeitimai, trukdantys vertinti ir peržiūrėti sistemą.
7.3. Išvados
į. Audito metodams didelę įtaką daro kompiuterio vaidmuo įmonės informacinėse sistemose.
