《4 應(yīng)用控制審計(jì)》由會員分享，可在線閱讀，更多相關(guān)《4 應(yīng)用控制審計(jì)（29頁珍藏版）》請?jiān)谘b配圖網(wǎng)上搜索。

1、1 應(yīng)用控制審計(jì)概述2 應(yīng)用控制的關(guān)鍵控制活動3 應(yīng)用控制主要風(fēng)險(xiǎn)4 應(yīng)用控制審計(jì)5 我國社會保險(xiǎn)基金管理信息系統(tǒng)審計(jì)案例應(yīng)用控制是作用于具體應(yīng)用系統(tǒng)的控制，一般結(jié)合具體業(yè)務(wù)進(jìn)行設(shè)計(jì)，可以確保數(shù)據(jù)處理完整和正確。一個(gè)應(yīng)用系統(tǒng)一般由多個(gè)相關(guān)計(jì)算機(jī)程序組成，甚至還有可能是復(fù)雜的集成系統(tǒng)，牽涉到多個(gè)計(jì)算機(jī)程序和組織部門，與此相應(yīng)，它的應(yīng)用控制應(yīng)包括內(nèi)嵌在計(jì)算機(jī)程序中的自動化控制，以及與整體業(yè)務(wù)流程相關(guān)的人工控制。自動化控制應(yīng)與人工控制相結(jié)合使用，才能確保數(shù)據(jù)的正確性、完整性和一致性。應(yīng)用控制的目標(biāo)是確保： 計(jì)算機(jī)系統(tǒng)中僅有完整、準(zhǔn)確和有效的數(shù)據(jù)被輸入和更新； 處理過程完成了正確的事務(wù)； 處理結(jié)果與預(yù)

2、期目標(biāo)相符合； 可以記錄并能追蹤數(shù)據(jù)從輸入到存儲到最終輸出的整個(gè)處理過程。 一般，信息系統(tǒng)審計(jì)師可以采用如下步驟開展應(yīng)用控制審計(jì)： 確定重要的應(yīng)用系統(tǒng)，獲取相關(guān)資料或訪談相關(guān)操作人員充分理解系統(tǒng)中業(yè)務(wù)流程。 識別業(yè)務(wù)流程中關(guān)鍵風(fēng)險(xiǎn)點(diǎn)，開發(fā)合適測試方案與模擬數(shù)據(jù) 實(shí)施相應(yīng)的審計(jì)程序，測試控制的有效性 控制缺陷分析，評價(jià)相關(guān)控制目標(biāo)是否達(dá)到，形成相關(guān)審計(jì)結(jié)論。應(yīng)用控制的關(guān)鍵控制活動主要包括6個(gè)方面： 參數(shù)控制 應(yīng)用程序訪問與職責(zé)分離控制 輸入控制 處理控制 輸出控制 接口控制（1）參數(shù)控制 參數(shù)控制是對應(yīng)用系統(tǒng)重要參數(shù)的創(chuàng)建和維護(hù)進(jìn)行審批控制，以確保其正確性、完整性和一致性。（2）應(yīng)用程序訪問與職

3、責(zé)分離控制 應(yīng)用程序訪問與職責(zé)分離控制是確保應(yīng)用系統(tǒng)安全、防范人為舞弊風(fēng)險(xiǎn)而實(shí)施的控制活動。例如，業(yè)務(wù)系統(tǒng)的數(shù)據(jù)錄入、調(diào)整與審批職責(zé)分離、不同業(yè)務(wù)部門對應(yīng)用系統(tǒng)不同功能模塊的訪問權(quán)限設(shè)置等。（3）輸入控制 輸入控制是為了確保輸入應(yīng)用系統(tǒng)數(shù)據(jù)的真實(shí)性、完整性和準(zhǔn)確性而實(shí)施的控制活動，它必須保證每一筆被處理的事務(wù)能夠被正確完整的錄入與編輯，確保只有合法且經(jīng)授權(quán)的信息才能被輸入，而且只被輸入一次。（4）處理控制 處理控制是為了確保應(yīng)用系統(tǒng)數(shù)據(jù)處理的準(zhǔn)確性和可靠性而實(shí)施的控制活動。確保應(yīng)用系統(tǒng)按規(guī)定對數(shù)據(jù)進(jìn)行處理，例如：能夠?qū)I(yè)務(wù)進(jìn)行正常處理，業(yè)務(wù)數(shù)據(jù)在處理過程中沒有丟失、增加、重復(fù)或不恰當(dāng)?shù)母淖?，?/p>

4、理中的錯誤能夠被發(fā)現(xiàn)并得到及時(shí)更正。（5）輸出控制 輸出控制是為了確保應(yīng)用系統(tǒng)輸出信息的準(zhǔn)確性，以及所交付使用者必須是經(jīng)過合理授權(quán)的用戶而實(shí)施的控制活動。（6）接口控制 接口是實(shí)現(xiàn)應(yīng)用程序與其他輸入輸出系統(tǒng)間信息交互的紐帶和橋梁，是整合業(yè)務(wù)的關(guān)鍵要素。接口控制是為了確保系統(tǒng)間數(shù)據(jù)傳遞和轉(zhuǎn)換的及時(shí)性、完整性、準(zhǔn)確性和安全性而實(shí)施的控制活動，可以手工執(zhí)行也可以自動執(zhí)行。應(yīng)用控制的作用具有一定的局限性，在某些特定情形下，應(yīng)用控制會存在失效的風(fēng)險(xiǎn)：即使很有效的控制措施，也可能因執(zhí)行人員的錯誤理解、粗心大意、疲勞或其他人為因素而失效；不相容職務(wù)的用戶相互勾結(jié)，串通舞弊，或用戶判斷錯誤，再好的控制也會失去

5、作用；系統(tǒng)的管理者如果逾越控制權(quán)限，濫用職權(quán)，系統(tǒng)控制也會形同虛設(shè)。應(yīng)用控制所面臨的風(fēng)險(xiǎn)貫穿于系統(tǒng)業(yè)務(wù)流程的各個(gè)環(huán)節(jié)，包括參數(shù)設(shè)置不合理，用戶訪問授權(quán)、職責(zé)分離不當(dāng)，以及系統(tǒng)輸入、處理、輸出和接口等各環(huán)節(jié)的風(fēng)險(xiǎn)。 系統(tǒng)參數(shù)設(shè)置不合理主要表現(xiàn)在：參數(shù)設(shè)置不符合政策規(guī)定，重要參數(shù)的新增與變更未經(jīng)合理授權(quán)、審批，未按照實(shí)際需求及時(shí)調(diào)整參數(shù)以應(yīng)對出現(xiàn)的問題和異常情況等。用戶訪問授權(quán)、職責(zé)分離不當(dāng)主要表現(xiàn)在：未按照要求，在應(yīng)用系統(tǒng)中進(jìn)行合理的用戶訪問控制和權(quán)限設(shè)置，導(dǎo)致用戶可以訪問未經(jīng)授權(quán)的功能或數(shù)據(jù)、擁有不相容業(yè)務(wù)環(huán)節(jié)或功能的操作權(quán)限，從而影響業(yè)務(wù)辦理的真實(shí)合法性，存在人為舞弊的風(fēng)險(xiǎn)，甚至?xí)斐芍卮筮`

6、規(guī)違紀(jì)問題的發(fā)生。輸入、處理和輸出等環(huán)節(jié)的控制風(fēng)險(xiǎn)主要表現(xiàn)在：未對數(shù)據(jù)采集和信息錄入進(jìn)行有效控制，導(dǎo)致未經(jīng)授權(quán)的、不準(zhǔn)確的、不完整的數(shù)據(jù)進(jìn)入系統(tǒng)；數(shù)據(jù)進(jìn)入系統(tǒng)后，信息系統(tǒng)數(shù)據(jù)處理邏輯存在錯誤，如勾稽關(guān)系、匯總排序、重復(fù)校驗(yàn)、篩選排序等錯誤；數(shù)據(jù)經(jīng)系統(tǒng)處理后輸出時(shí)，存在格式不正確、內(nèi)容不準(zhǔn)確、輸出信息被交付給未經(jīng)授權(quán)的接受者等問題，從而造成信息失真或泄密。接口控制風(fēng)險(xiǎn)主要是在接口處理過程中，由于異常數(shù)據(jù)、系統(tǒng)錯誤、通訊故障以及人為操作等原因，數(shù)據(jù)可能存在未被完整、準(zhǔn)確處理的情況，從而造成源系統(tǒng)與目標(biāo)系統(tǒng)接口數(shù)據(jù)不一致，影響業(yè)務(wù)正常運(yùn)行應(yīng)用控制審計(jì)是對被審計(jì)信息系統(tǒng)的應(yīng)用控制情況進(jìn)行全面審查與評價(jià)

7、，以確認(rèn)其是否恰當(dāng)、完整、準(zhǔn)確和有效，是否能夠充分保障系統(tǒng)業(yè)務(wù)處理的完整性與合規(guī)性。應(yīng)用控制審計(jì)主要包括6個(gè)方面內(nèi)容：參數(shù)控制審計(jì)、應(yīng)用程序訪問與職責(zé)分離控制審計(jì)、輸入控制審計(jì)、處理控制審計(jì)、輸出控制審計(jì)和接口控制審計(jì)。信息系統(tǒng)參數(shù)通常有三種：系統(tǒng)控制參數(shù)、業(yè)務(wù)控制參數(shù)和主數(shù)據(jù) 系統(tǒng)控制參數(shù)如ERP系統(tǒng)中用戶角色類型，賬套設(shè)置參數(shù)，員工編號規(guī)則等，這類參數(shù)一般在系統(tǒng)初始化時(shí)設(shè)置； 業(yè)務(wù)控制參數(shù)如ERP系統(tǒng)銷售訂單流程SO auto-numbering，order type setting等參數(shù)，社保系統(tǒng)中的社會平均工資、待遇享受標(biāo)準(zhǔn)、繳費(fèi)基數(shù)，醫(yī)院HIS系統(tǒng)中的醫(yī)療服務(wù)項(xiàng)目； 主數(shù)據(jù)如ERP系

8、統(tǒng)中的會計(jì)科目名稱、供應(yīng)商或客戶名稱，社保系統(tǒng)中的參保人信息、參保企業(yè)信息，醫(yī)院HIS系統(tǒng)中的住院病人信息等等。參數(shù)控制審計(jì)主要關(guān)注：參數(shù)設(shè)置是否符合國家相關(guān)法律法規(guī)和相關(guān)政策文件的規(guī)定；參數(shù)的修改是否得到嚴(yán)格審批和授權(quán)；參數(shù)調(diào)整是否有可追溯軌跡（參數(shù)調(diào)整需保存完整的記錄）。參數(shù)控制的審計(jì)程序如下： 訪談參數(shù)維護(hù)的管理人員，審查是否存在建立參數(shù)修改維護(hù)流程，并明確責(zé)任人；審查參數(shù)修改維護(hù)流程是否嚴(yán)格執(zhí)行； 審查系統(tǒng)中設(shè)置參數(shù)的正確合規(guī)性。首先結(jié)合業(yè)務(wù)政策和系統(tǒng)功能合理界定出需要重點(diǎn)審計(jì)的參數(shù)，然后通過檢查參數(shù)設(shè)置情況，以及數(shù)據(jù)驗(yàn)證兩種方法進(jìn)行仔細(xì)核查； 查閱參數(shù)調(diào)整記錄文檔，或?qū)彶橄到y(tǒng)中的參數(shù)

9、調(diào)整日志，確認(rèn)參數(shù)是否有可追溯軌跡，并注意核查異常參數(shù)調(diào)整記錄。應(yīng)用程序訪問和職責(zé)分離旨在保證：不同權(quán)限用戶，只能操作不同應(yīng)用程序模塊；不相容的職責(zé)由不同權(quán)限的用戶執(zhí)行。比如，ERP系統(tǒng)中客戶信用管理的操作人員不能兼具銷售合同審批的功能；出入庫管理的操作人員不能兼具盤點(diǎn)錄入調(diào)整功能；社保系統(tǒng)中負(fù)責(zé)錄入?yún)⒈Ｐ畔⒌牟僮魅藛T不能兼具待遇審核功能；基金繳存維護(hù)的操作人員不能兼具待遇發(fā)放的功能；醫(yī)院HIS系統(tǒng)中的現(xiàn)金收支的操作人員不能兼具日報(bào)表功能；醫(yī)療服務(wù)項(xiàng)目、藥品價(jià)格管理的操作人員不能兼具收費(fèi)記賬功能等。應(yīng)用程序訪問和職責(zé)分離控制的常見類型有：用戶權(quán)限管理和用戶操作日志。信息系統(tǒng)審計(jì)師審計(jì)應(yīng)用程序訪

10、問和職責(zé)分離控制時(shí)，主要關(guān)注被審計(jì)應(yīng)用系統(tǒng)是否只有經(jīng)過授權(quán)的人員才可以訪問，并且只能執(zhí)行授權(quán)范圍內(nèi)的程序功能、只能處理授權(quán)范圍內(nèi)的數(shù)據(jù)；系統(tǒng)敏感數(shù)據(jù)的錄入、修改與審核的職責(zé)是否正確分離；應(yīng)用系統(tǒng)是否合理記錄用戶登錄時(shí)間、操作內(nèi)容，從而確保操作的可追溯性。應(yīng)用程序訪問和職責(zé)分離的審計(jì)程序如下： 訪談安全主管和業(yè)務(wù)部門主管，了解用戶權(quán)限授權(quán)審批管理制度； 調(diào)閱用戶權(quán)限申請表，核查用戶權(quán)限審批制度是否嚴(yán)格執(zhí)行，權(quán)限申請是否得到業(yè)務(wù)部門和IT部門主管審批，用戶權(quán)限申請是否基于用戶工作崗位和職責(zé)； 理解應(yīng)用系統(tǒng)關(guān)鍵流程，確定關(guān)鍵應(yīng)分離的職責(zé)，建立不相容職責(zé)分離矩陣； 運(yùn)行系統(tǒng)權(quán)限報(bào)表，或執(zhí)行SQL語句從

11、權(quán)限表中直接取出權(quán)限數(shù)據(jù)； 基于關(guān)鍵系統(tǒng)權(quán)限和導(dǎo)出的權(quán)限數(shù)據(jù)，檢查用戶權(quán)限設(shè)置的合理性； 基于確定的應(yīng)分離權(quán)限/功能，檢查職責(zé)分離的合理性； 現(xiàn)場觀察應(yīng)用程序的操作，核查是否嚴(yán)格按相關(guān)職責(zé)規(guī)定執(zhí)行業(yè)務(wù)流程。輸入控制在整個(gè)信息系統(tǒng)的控制中占有非常重要的地位，只有健全有效的輸入控制才能確保進(jìn)入應(yīng)用系統(tǒng)的數(shù)據(jù)是完整和準(zhǔn)確的，輸入控制失效就可能會影響業(yè)務(wù)的正常運(yùn)行，導(dǎo)致違規(guī)數(shù)據(jù)的產(chǎn)生。常見輸入控制類型主要包括：數(shù)據(jù)格式控制，數(shù)據(jù)數(shù)值范圍控制，數(shù)據(jù)數(shù)量控制，數(shù)據(jù)重復(fù)控制，數(shù)據(jù)邏輯關(guān)系控制，輸入數(shù)據(jù)的自動處理控制（如采購編號自動生成，發(fā)票號自動關(guān)聯(lián)銷售訂單），輸入錯誤糾正控制等等。輸入控制審計(jì)就是通過審查

12、輸入權(quán)限、輸入格式、輸入范圍以及自動處理等系列輸入控制措施，判斷系統(tǒng)是否對輸入數(shù)據(jù)的完整性、準(zhǔn)確性和唯一性進(jìn)行了適當(dāng)控制，分析數(shù)據(jù)輸入是否符合規(guī)定流程并經(jīng)過合理授權(quán)、審批，從而對系統(tǒng)輸入控制情況做出評價(jià)。 輸入控制審計(jì)的主要關(guān)注點(diǎn)如下：一是審計(jì)數(shù)據(jù)輸入政策健全性及執(zhí)行情況；二是審計(jì)數(shù)據(jù)輸入規(guī)則設(shè)計(jì)的合理性，包括數(shù)據(jù)格式、內(nèi)容等方面設(shè)計(jì)；三是審計(jì)應(yīng)用程序的數(shù)據(jù)輸入檢驗(yàn)機(jī)制是否健全有效，包括數(shù)據(jù)唯一性控制、必填字段控制、數(shù)據(jù)格式和范圍控制、數(shù)據(jù)精度控制、鉤稽關(guān)系控制等方面審查；四是審計(jì)應(yīng)用程序數(shù)據(jù)輸入錯誤處理功能是否健全有效，包括錯誤提示、跟蹤、報(bào)告和處理等方面。輸入控制審計(jì)可遵循如下程序與方法：

13、 調(diào)閱被審計(jì)單位制定的與輸入控制有關(guān)的政策文件。審查是否制定了適當(dāng)?shù)恼咭?guī)定，以確保數(shù)據(jù)輸入符合規(guī)定流程、并經(jīng)過審核和批準(zhǔn)。同時(shí)，通過人員訪談、輸入文件檢查等方式，審查政策規(guī)定是否被有效執(zhí)行； 獲取數(shù)據(jù)輸入規(guī)則，如信息采集的標(biāo)準(zhǔn)要求等，審查設(shè)計(jì)能否滿足實(shí)際業(yè)務(wù)需要； 識別主要輸入控制項(xiàng)、確認(rèn)輸入方式。通過研究業(yè)務(wù)政策、訪談經(jīng)辦人員、現(xiàn)場實(shí)際觀察等方法，識別應(yīng)用系統(tǒng)主要輸入項(xiàng)及輸入方式（手工錄入或批量導(dǎo)入），明確審計(jì)核查重點(diǎn)； 檢查系統(tǒng)關(guān)鍵輸入項(xiàng)控制情況，得出審計(jì)結(jié)論。針對所確定的輸入控制審查點(diǎn)，采用軟件測試和數(shù)據(jù)分析相結(jié)合的方式進(jìn)行核查：一是采用測試用例法，設(shè)計(jì)測試數(shù)據(jù)，審查輸入控制是否健全；

14、二是采用數(shù)據(jù)驗(yàn)證法，通過檢查關(guān)鍵字段格式是否規(guī)范、內(nèi)容是否正確完整以及數(shù)據(jù)之間邏輯關(guān)系等方面，發(fā)現(xiàn)系統(tǒng)數(shù)據(jù)問題，然后反推輸入控制漏洞。處理控制用來保證應(yīng)用系統(tǒng)數(shù)據(jù)處理的完整性和準(zhǔn)確性，處理控制是應(yīng)用控制的關(guān)鍵難點(diǎn)之一，直接影響應(yīng)用系統(tǒng)數(shù)據(jù)的完整與準(zhǔn)確。處理控制的薄弱與誤差直接影響應(yīng)用系統(tǒng)中所有交易運(yùn)行的結(jié)果。 常見的處理控制有流程控制（未審核訂單不能入庫，社保系統(tǒng)中未工傷受理的不能認(rèn)定，未認(rèn)定的不能鑒定，未鑒定的不能工傷待遇審核支付等），自動計(jì)算（如根據(jù)銷售單價(jià)和數(shù)量自動計(jì)算銷售金額，根據(jù)醫(yī)療參保人員條件，病種等自動計(jì)算醫(yī)療報(bào)銷金額，根據(jù)銀行還款記錄，公積金繳納情況自動計(jì)算公積金提取額等）和自

15、動處理（采購入庫以后自動生成會計(jì)憑證）等等。處理控制審計(jì)是應(yīng)用控制審計(jì)的核心和難點(diǎn)，目的是通過對系列處理控制措施進(jìn)行審查，以判斷控制措施是否能夠確保系統(tǒng)完整準(zhǔn)確的處理數(shù)據(jù)，保障業(yè)務(wù)的正常運(yùn)行，從而對應(yīng)用控制的有效性做出審計(jì)評價(jià)。信息系統(tǒng)審計(jì)師開展處理控制審計(jì)，需要重點(diǎn)關(guān)注三個(gè)方面：系統(tǒng)業(yè)務(wù)處理流程，業(yè)務(wù)數(shù)據(jù)處理邏輯正確性控制，處理錯誤的識別、記錄與解決機(jī)制。 熟悉國家、行業(yè)相關(guān)法律法規(guī)制度，熟悉被審單位業(yè)務(wù)流程管理制度，明確被審系統(tǒng)的關(guān)鍵控制目標(biāo)； 查閱系統(tǒng)設(shè)計(jì)文檔，訪談系統(tǒng)管理員和業(yè)務(wù)部門操作人員，了解應(yīng)用系統(tǒng)的業(yè)務(wù)流程，取得或繪制業(yè)務(wù)流程圖； 識別應(yīng)用系統(tǒng)中的關(guān)鍵業(yè)務(wù)流程，明確該流程涉及到

16、的系統(tǒng)功能模塊和相關(guān)接口，并分析應(yīng)用系統(tǒng)關(guān)鍵業(yè)務(wù)流程設(shè)計(jì)的合理性； 依據(jù)業(yè)務(wù)流程圖，標(biāo)識流程中的關(guān)鍵風(fēng)險(xiǎn)控制點(diǎn)，包括手工控制流程和自動控制流程，并最終形成處理控制審計(jì)關(guān)鍵核查點(diǎn)一覽表； 基于所界定的關(guān)鍵核查點(diǎn)列表，編制風(fēng)險(xiǎn)控制測試矩陣，使用測試數(shù)據(jù)法，集成測試法，程序代碼檢查法和數(shù)據(jù)驗(yàn)證等方法，實(shí)施控制測試，并記錄測試結(jié)果。根據(jù)測試結(jié)果對應(yīng)用系統(tǒng)處理邏輯的健全性、有效性做出審計(jì)評價(jià)； 分析系統(tǒng)處理日志記錄，一是審查處理中遇到的錯誤或問題是否被及時(shí)準(zhǔn)確的記錄，二是審查是否及時(shí)調(diào)查并糾正處理中產(chǎn)生的錯誤信息，三是分析日志記錄，審查是否存在異?；蛭唇?jīng)授權(quán)的處理活動。根據(jù)審查結(jié)果，對錯誤處理機(jī)制進(jìn)行審

17、計(jì)評價(jià)。輸出控制是保障數(shù)據(jù)輸出完整準(zhǔn)確并被安全存儲和分發(fā)的重要措施，輸出控制失效必將影響輸出信息的準(zhǔn)確性，并可能會造成重要信息的泄密、濫用。常見的輸出控制類型主要包括： 輸出正確性控制，如合計(jì)數(shù)控制、抽樣統(tǒng)計(jì)控制、數(shù)據(jù)稽核控制等； 輸出權(quán)限控制，要求只有經(jīng)過授權(quán)的用戶才可以執(zhí)行輸出操作，輸出內(nèi)容必須與其擁有的權(quán)限相匹配，同時(shí)要在安全的地方登記和存儲重要輸出信息； 輸出資料分發(fā)控制，要求只能分發(fā)給有權(quán)接受資料的人，尤其系統(tǒng)輸出是另一系統(tǒng)輸入時(shí)，要重點(diǎn)檢查報(bào)告分發(fā)是否建立了相應(yīng)的人工控制環(huán)節(jié)，以防范非法篡改與信息泄密等等。輸出控制審計(jì)就是要通過審查被審計(jì)單位采取的系列輸出控制措施，分析輸出控制能否

18、保證輸出信息被及時(shí)正確發(fā)布、被合理授權(quán)使用、被安全備份存儲，從而對輸出控制在保證輸出結(jié)果完整、準(zhǔn)確和機(jī)密等方面的效果做出評價(jià)。輸出控制審計(jì)的主要關(guān)注點(diǎn)如下： 一是審計(jì)數(shù)據(jù)輸出政策健全性及執(zhí)行情況； 二是審計(jì)應(yīng)用系統(tǒng)輸出權(quán)限控制，關(guān)注用戶對輸出信息的查看、更新和輸出等操作是否與其權(quán)限相匹配； 三是審計(jì)數(shù)據(jù)輸出報(bào)告生成機(jī)制，關(guān)注輸出的計(jì)算機(jī)處理結(jié)果是否準(zhǔn)確無誤，包括內(nèi)容格式、輸出總數(shù)、數(shù)據(jù)勾稽關(guān)系和輸出合理性等；四是審計(jì)輸出信息分發(fā)和保存控制，關(guān)注輸出信息是否被分發(fā)給有權(quán)使用的人員、輸出信息保存與使用是否符合制度規(guī)定等。調(diào)閱被審計(jì)單位制定的與輸出控制有關(guān)的政策文件。審查政策規(guī)定的適當(dāng)性：是否規(guī)定了

19、符合業(yè)務(wù)要的信息輸出格式、內(nèi)容，是否有恰當(dāng)?shù)男畔l(fā)布程序、是否要求對發(fā)布信息進(jìn)行審核等；識別主要輸出項(xiàng)，分析審計(jì)關(guān)鍵核查點(diǎn)。通過查閱各種紙質(zhì)資料及報(bào)表、訪談經(jīng)辦人員、測試系統(tǒng)輸出模塊等方法，識別應(yīng)用系統(tǒng)主要輸出項(xiàng)，明確審計(jì)核查重點(diǎn)；針對確定的系統(tǒng)關(guān)鍵控制項(xiàng)，采用系統(tǒng)測試、數(shù)據(jù)分析等方式，審查輸出結(jié)果的正確性。一是審查系統(tǒng)權(quán)限配置表，結(jié)合人員業(yè)務(wù)職能分析權(quán)限配置合理性；二是通過交易數(shù)據(jù)測試、交易處理過程追蹤等方式，檢查系統(tǒng)輸出處理是否存在邏輯錯誤；三是將電子數(shù)據(jù)與紙質(zhì)資料相比較，分析有無非法修改數(shù)據(jù)的情況；四是依據(jù)業(yè)務(wù)性質(zhì)和需要，分析輸出結(jié)果能否滿足工作需要；通過資料調(diào)閱、人員訪談、現(xiàn)場觀察等方

20、式，審查輸出數(shù)據(jù)分發(fā)與保存的合理性。一是審查輸出資料分發(fā)與使用登記清單，并抽查詢問使用輸出結(jié)果的部分用戶，檢查資料接受者是否得到合適授權(quán)；二是審查輸出資料的保管過程，調(diào)閱數(shù)據(jù)備份記錄和備份數(shù)據(jù)使用登記表，并訪談相關(guān)業(yè)務(wù)管理人員，檢查是否及時(shí)備份重要輸出信息、是否有未經(jīng)授權(quán)人員接觸備份數(shù)據(jù)。接口控制是確保系統(tǒng)間信息傳遞完整和準(zhǔn)確的重要措施。從審計(jì)實(shí)踐來看，接口控制是比較容易出問題的地方，因接口控制不健全而造成系統(tǒng)重大風(fēng)險(xiǎn)、甚至導(dǎo)致違規(guī)違紀(jì)問題發(fā)生的例子也屢見不鮮。有效的接口控制可以協(xié)調(diào)源系統(tǒng)和目標(biāo)系統(tǒng)之間的控制信息，充分保證接口數(shù)據(jù)的及時(shí)、完整、準(zhǔn)確和安全，防止數(shù)據(jù)處理過程中發(fā)生增加、丟失和改變。常見的控制類型主要包括：數(shù)據(jù)傳輸控制、錯誤處理機(jī)制、接口權(quán)限控制、接口重啟和恢復(fù)控制等等。接口控制審計(jì)就是通過核查系統(tǒng)間接口數(shù)據(jù)提取、轉(zhuǎn)換和加載的控制活動和措施，評價(jià)系統(tǒng)是否實(shí)施了有效的接口處理程序，發(fā)現(xiàn)系統(tǒng)接口控制存在的風(fēng)險(xiǎn)。一般而言，接口控制審計(jì)的主要方法：審閱程序模塊和文檔資料、程序測試及接口數(shù)據(jù)分析。接口控制審計(jì)主要包括接口數(shù)據(jù)轉(zhuǎn)換機(jī)制、接口數(shù)據(jù)傳輸機(jī)制、接口錯誤處理、接口權(quán)限控制措施、接口重啟和恢復(fù)措施等5個(gè)審計(jì)子項(xiàng)。