政府經濟效益和項目成果審計的第五項檢查和評價準則是:
審計人員應當:
1.檢查數據處理系統中的一般控制,以確定:(a)設計的控制是否符合管理方針和法律要求;(b)控制能否有效地發揮作用,保證數據處理的可靠性和安全性;
2.檢查數據處理系統中的套用控制,並據此評價套用控制在保證數據處理的及時性、準確性和完整性方面的可靠程度;
除檢查一般控制和套用控制外,審計人員還應參與新數據處理系統或套用項目的設計與開發以及其後所進行的重大修改工作。
可能的情況是,開發出來的數據處理系統缺乏控制措施,因此管理人員和審計人員就不能依賴其完整性。所以,如果管理部門指望正在開發的系統在可審性和適當控制方面得到合理的保證,那么審計人員在系統設計與開發過程中的檢查就是至關重要的。要達到這一目標並不總是可行的,因為審計機構可能沒有檢查系統設計與開發所需的資源或人力。但是,這項檢查應當作為一個審計目標。
一、電算化系統一般控制的檢查
數據處理方式由機械處理向自動化處理的轉變,需要改進傳統的審計方法"自動化數據處理系統的複雜性和範圍的廣泛性,要求審計人員給予處理數據的系統和數據本身更多的關注。如果系統在安全性方面得到合理的保證並具有足夠的控制,審計人員就可以信賴被處理的報告的數據。審計人員應該區別一般控制和套用控制。"一般控制通常適用於系統進行的大部分數據處理,而套用控制則可能因套用項目而異,而要分別加以檢查。在檢查個別套用控制時,審計人員應考慮被查系統一般控制的效果;
1.組織控制。職權和責任的分配必須以能夠保證有效果、高效率地實現組織目標的方式進行。審計人員應該檢查被審單位的組織結構、職權和責任的分配與分工情況、其目的在於確定職責分工是否能夠提供有力的內部控制,例如,程式與系統開發、計算機操作、輸入數據的控制、以及保持套用控制的控制小組等職責,在可行的情況下應予以分離。同時,審計人員應從"整個系統"的角度加以考慮。
在檢查職責分工情況時,審計人員應該評價控制的強度並報告由於職責分工不夠而暴露的弱點。職工定期輪換工作崗位及強制性休假等制度有利於管理部門維持足夠的職責分工。審計人員應對這些制度的執行情況加以檢查。
2.設施、人員和安全控制,擁有足夠的實物設施和其他資源(如訓練有素的人員等)是一個單位實現其數據處理目標所必需的。審計人員應該確定被審單位是否擁有滿足數據處理需要的足夠資源。
人事管理,包括監督、激勵和員工的職業發展,是成功的數據處理的組成部分。審計人員應該評價有關的管理方針和慣例,以確定是否制訂了必要的方針及方針的執行情況。例如,由於整個計算機領域迅速發展,一個組織的人事管理部門需要制訂包括數據處理人員在內的教育和培訓計畫。該計畫應該能夠保證職工跟上最新發展,以使他們能夠以最佳效果和最高效率履行職責,並能夠在工作中採用已經證明為具有成本效益的新方法。數據處理人員培訓和發展計畫不當可能會阻礙組織目標的實現。
審計人員應該確定被審單位是否制訂了有關計算機硬體、電腦程式、數據檔案、數據傳送、輸入和輸出資料以及人員的安全規定。該項檢查應該不僅涉及中央處理站的計算機設備,還應包括其他地點的小型機、計算機終端、通訊設施及其他外圍設備。
在檢查計算機硬體的實物安全性時,審計人員應該考慮為在正常數據處理中斷以後繼續處理關鍵套用項目而制訂的應急計畫是否充分。該計畫應包括應急電源和後備硬體的規定以及關於使用後備設備和將人員、程式、表格和數據檔案轉移到另外的處理地點的詳細計畫。審計人員還應該考慮該計畫經過測試的程度以確定在實際緊急情況下能夠繼續進行數據處理的可能性。
審計人員還應該檢查數據檔案的實物安全性;該項檢查應保證,在可行的情況下,數據和檔案檔案資料由不能接觸計算機和存取電腦程式的人員保管;檔案檔案資料安全;計算機操作員和其他人員不能隨意接觸文檔資料;制訂有檔案備份的規定(包括另外存放備份檔案的規定)。在檔案在線上存儲的情況下,審計人員應該考慮是否採取了充分的存取授權控制措施以及備份檔案是否有規律地進行拷貝。此外,審計人員還應檢查數據備份檔案是否做了適當的標誌和標籤、席計人員還需檢查檔案的內容以保證檔案的完整性和準確性。對子程式備份檔案也應建立同樣嚴格的控制。
3.作業系統控制。計算機系統通常由作業系統(也常稱為系統軟體)控制。由於這些作業系統通常具有數據管理、多道程式管理能力和檔案標籤檢驗,以及其他許多授權控制功能,因此,它們是計算機處理一般控制的組成部分。審計人員應該了解作業系統能夠執行的控制,並確定這些控制的利用程度以及未被利用的情況。審計人員應該知道哪些人維護作業系統,或有能力修改作業系統。這些人可能有意或無意地破壞作業系統的控制,使其失效。
4.硬體控制。計算機硬體經常能夠檢查出硬體功能失常而引起的錯誤。審計人員應該了解:(1)系統設施是如何依賴這些硬體控制的;(2)作業系統如何利用這些硬體控制;(3)系統如何報告檢查出的錯誤,以及糾正錯誤的程式。