计算机信息系统的控制及其审计
[内容提要] 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确和
完整,为防止或及时发现差错及舞弊行为的发生,信息系统的控制就显得尤为重要。本章专
门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。本
章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。
第一节 信息系统控制的重要性
信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营
决策的重要依据,因此,如何才能确保信息的有效、准确、及时、完整和安全,是我们在设
计和运行信息系统时所需考虑的一个重要问题,而这一问题的关键在于如何完善信息系统的
控制。
一、控制的定义
对一个企业来说,所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效
利用和提高企业财会和管理信息的真实、正确性,确保企业方针政策的贯彻执行,促进各项
工作与企业经营效率的提高而实施的各项措施。内部控制由控制环境、风险评估、控制活动、
信息与沟通和监督五部分构成。一个良好的企业控制系统应具有以下 4 个方面的功能:
1. 确保企业各种经济资源的安全。一个企业,如果没有一套良好的控制企业经济资源的
措施,就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象,使企业蒙受损失。
所以,要采取有力的控制措施,有效地提高企业各种经济资源的安全,保护企业所有者的利
益。
2. 确保各种经济信息、尤其是财会信息的准确、完整和及时性。只有及时、准确、完整
的经济信息,才能引导企业经营管理者正确地作出各种经济预测和决策,圆满实现企业的经
营目标;反之,则会对企业的生产经营起误导作用,使企业在面临各种问题时,作出错误的
选择。可见,建立良好的信息系统控制,是保证信息质量的重要途径。
3.促进企业各部门工作效率的提高,使企业保持良好的运行效率。提高企业各部门工作
效率是保证企业良好运行,顺利实现企业经营目标的重要途径。因此,在企业内建立一套有
效的业绩考核和评估体系,使企业内形成一种相互激励,相互约束的竟争机制,可以大大提
高企业对各种经济资源、人力资源的利用率,使企业保持良好的运行效率。
4. 确保企业方针政策的贯彻执行,促进企业经济效益的提高。设计企业的控制系统,其
最终目的是为了促进企业经营管理活动的合理化,促进企业经济效益的提高。因此,一个有
效的控制系统,应能确保企业方针政策的贯彻执行,促进经济效益的提高。
一个企业的控制包括对经营子系统、管理子系统和信息子系统的控制。本章主要是讨论
对信息系统的控制,也有时涉及一些经营、管理系统的相关控制。
二、计算机信息系统控制所面临的新问题
当信息处理的方式由手工处理向计算机处理转变后,信息处理工作所面临的环境发生了
很大的变化,给信息系统的控制带来了许多新的课题。归纳起来,主要有以下几个方面:
(一)如何对使用者进行身份识别和权限控制
当信息系统由手工处理数据转化为计算机进行数据处理后,原来人与人之间的联系在很
多方面会转变为人与计算机之间的联系。为了有效地防止数据被篡改、破坏、窃取等现象的
发生,就要求信息系统具有识别使用者身份并对其进行权限控制的能力。只有具有特定权限
的使用者才能接触信息系统,执行相应的操作,从而达到有力地保护系统信息安全的目的。
因此,如何才能对使用者进行身份识别和权限控制,是由手工处理数据转变为计算机处理数
据后所带来的新的课题之一。
(二)业务授权问题
业务授权(Transaction Authorization)是保证员工处理的仅是他们职权内有权处理的业
务的控制措施。在计算机信息系统中,许多授权往往是由程序进行控制的。例如,采购系统
中可设计好存货低于多少就自动打印订单,订多少、向那个供应商订货理论上计算机都可全
部自动按程序执行,无需人工的参与。但是,如果没有良好的控制,可能会出现不合理的订
货,浪费企业大量的资金。因此,信息系统中的业务授权处理程序的准确性、完整性十分重
要,只有这样,才能保证业务的自动授权是可以接受的、可行的。
(三)职责分离(Segregation of Duties)问题
不相容任务的职责分离,即应由不同的人员分担不相容的工作任务或职务,是手工系统
计中十分重要的控制措施。其一般原则是:业务审批、执行人员与业务记录人员职责分离;
资产记录人员和资产保管人员职责分离;根据业务处理过程和记录的性质,再按不同的账、
不同的处理进一步分离,例如,记明细账的和记总账的职责分离、材料订购与材料验收的职
责分离,等等。通过恰当的职责分离,实现互相牵制、互相核对,使有作弊企图者必须串通
多人才能作弊。
在计算机信息系统中,原有的一些分工没有了。例如,启动、批准、处理采购订单,收
到发票后登记应付账款,自动打印付款凭证和支票等业务全都可由计算机自动完成。信息系
统的应用程序一般在系统的整个生命周期内都在使用,影响很大。因此,在计算机信息处理
环境下,既然有些业务的处理不能分离,应转而把职责分离的着眼点放到计算机系统的开发、
使用和维护工作上。
(四)监督(Supervision)问题
监督对于小单位或者大单位的小部门十分重要,因为这些部门的职员往往一人担负了多
个不相容的职责。在手工条件下,监督通常是部门负责人的责任之一,且职员都在同一个地
方工作,相互之间也有监督作用。在计算机环境下,监督的任务更复杂了,因为计算机技术
人员计算机知识水平高,有些人负责了重要的工作岗位,可直接访问系统的程序和数据,且
人员的流动性比较大,有些人还可能单独在很远的终端上工作,管理人员与同事不能直接看
到他们在做什么,难以进行直接有效的监督。因此在计算机环境下,应把许多在人工环境下
的直接监督融合到系统程序中去,由程序来实现监督和控制。
(五)会计记录与信息安全问题
手工的会计资料包括原始凭证、日记账、明细分类账、总账和会计报表,这些资料给审
计提供了审计线索。在计算机条件下,有些系统并没有日记账和明细账文件,而只是把原始
凭证上的重要数据项保存在数据文件中,有关的会计信息可能通过分散在多个不同磁盘、不
同文件的数据临时加工得到,文件之间通过关键字、指针、索引等发生联系。要审查这些信
息的正确性,审计人员要十分熟悉系统所用的数据库管理系统,给审计带来了较大的困难。
而且,计算机信息系统中的各种数据文件是以肉眼不可见的,很容易被篡改或删去而不留下
任何痕迹。因此,信息的安全可靠性有很多隐患。如何确保系统信息的安全,是我们在设计
和运行信息系统时所需考虑的又一重要问题。
(六)访问控制(Access Control)的问题
企业资产的接触控制分为直接接触控制和间接接触控制。建围墙、设保安、自动报警系
统、房间加锁等是直接接触控制。间接接触指通过阅读或篡改会计资料而获得有关资产的情
况,甚至侵吞有关资产,例如通过破坏、涂改相关的销售业务和应收账款记录而实现贪污。
在手工条件下,这样的问题可通过防止随便接触账簿记录、对登记这些账簿的人员实行职责
分离,如销售明细账、应收账款明细账、总账由不同的人员登记进行控制。在计算机环境下,
所有会计资料均集中存储在数据处理中心的大存储容量的设备上,从而容易作弊或受到灾害
的损毁;另外,对程序的非法访问也危及到用户资产和信息的安全。因此,限制对计算机数
据和程序的访问,对机房或数据处理中心提供物理安全措施,保证正确的数据备份等,都十
分重要。有些访问控制是技术性的,有些靠职责分离实现,但其基本原则是:无论允许或限
制一个人访问什么程序或什么数据,都必须根据其所分配的工作的需要来作出决定。
(七)独立复核(Independent Verification)问题
监督是事中控制,而复核是一种事后的控制。独立复核是由不直接参与该业务处理的人
员进行复核。通过复核,管理人员可以评估工作人员的业绩,评估处理的完整性和会计信息
的准确性。在计算机信息系统中,原来经多道手续由多人完成的业务处理变为由计算机集中
统一进行处理,原来在手工处理中所存在的相互核对的约束机制不复存在。所以,我们在设
计信息系统时,必须着重考虑如何才能提高信息系统自身对经济业务处理的审查、复核能力,
以减少信息系统在处理数据时发生错误的可能性。如果在设计信息系统时忽略了这一点,则
可能会由于采集或输入数据的错误,或软件本身的错误而导致输出信息的错误,从而误导信
息使用者。因此,在计算机信息系统中,复核控制的重点变为系统的开发和维护审计以及程
序的逻辑审查。
(八)电子商务和网络经营中的特殊的安全问题
电子商务给企业带来了前所未有的商机,同时也带来了前所未有的风险。在传统的经营
条件下,企业资产和经营的安全可以通过建立健全的内部控制得以保证。在电子商务条件下,
企业的计算机信息系统是一个开放系统,计算机病毒和黑客随时可以通过 Internet 威胁到企
业资产和经营的安全。因为电磁信息可以删改且不留痕迹,企业在电子商务中要面对如何解
决交易的确认、经确认的文件不可修改和不可否认、网上信息传递的保密等问题。这些安全
问题不是企业内部所能完全控制的,必须针对其固有的风险建立全新的控制。
(九)软件开发的质量问题
一个信息系统能否正常运转,合法、正确地处理各项经济业务,保持较高的运行效率,
节省运行成本等,很大程度上取决于所开发软件的质量。在信息系统中,计算机担负着企业
绝大部分的信息处理任务,一旦软件中某个环节出现问题而无法正常工作,或者被人为破坏,
就有可能导致整个信息系统数据处理的一连串错误,甚至导致系统停止运转,给企业的经营
和管理带来不可估量的损失。因此,企业应对信息系统的开发工作进行有效的控制,以确保
所开发软件的质量。
三、加强信息系统控制的重要意义
通过上面的阐述我们可以看出,当信息的处理方式由手工处理转变为计算机处理之后,
就给信息系统的控制带来了许多新的问题,使得信息系统所潜在的风险比手工系统更大、更
复杂。同时,由于信息系统所产生的信息日益增多,没有健全的控制措施,就很难保证信息
的收集、传递、处理能够及时、准确、完整和不会出现无意的差错或有意的舞弊。事实证明,
如果计算机信息系统的控制出现漏洞,将会对企业造成比手工系统更为严重的损失,这种例
子屡见不鲜。所以,当我们在设计和运行信息系统时,必须把加强对信息系统的控制放在十
分重要的地位,认真抓紧抓好这项工作,以保证信息系统能安全、可靠地工作。
当然,最完善的控制系统也有其固有的局限,如:企业在制订控制制度时,要考虑成本
效益原则;控制制度可能会由于执行人员的错误理解、疏忽大意或串通舞弊而失效等。所以,
尽管我们强调要加强信息系统的控制,但也应清楚知道绝对的安全是没有的,控制也不是越
多越严密越好。衡量控制系统的恰当性最根本的标准是考虑企业的经济效益和社会效益,应
以此作为掌握控制制度宽严的尺度。
四、计算机信息系统的控制的总框架
在电子商务与网络经营环境下,企业计算机信息系统的构成和总的控制框架如图 3-1 所
示:
图 3-1 信息系统总的控制框架
针对计算机信息系统的构成和控制框架,可把信息系统的控制划分为以下八个方面:
1.组织控制。
2.数据资源控制。
3.系统开发与维护控制。
4.计算中心的安全控制。
5.数据通信控制。
6.电子商务的安全控制。
供应商
客户
操作系统
系统开发
系统维护 ...
应用
数据资源
通
信
计 算 中 心
通信和电子商务
终端
终端
7.微机系统的控制。
8.各个应用系统的控制。
在第三节将对它们逐一进行较详细的讨论。
第二节 计算机信息系统控制的分类
平常人们讲到信息系统的控制常会有很多不同的提法,往往是按不同的分类来讨论信息
系统的控制。为了让读者明确各种控制的关系,切实掌握计算机信息系统应有的控制,在具
体讨论信息系统的控制措施前,我们先简单介绍一下信息系统内部控制的分类。信息系统的
控制可以按不同的方式进行分类,最常见的有下列几种分类方法。
一、按实施的范围和对象分类
按控制实施的范围和对象分,信息系统的内部控制可分为一般控制(general control)和
应用控制(application control)。国际上常见的教科书在讨论信息系统的控制时多按这种分类,
本书在下一节也将按这种分类来讨论信息系统的控制措施。
一般控制是指对计算机信息系统的构成要素(包括人、计算机、通信线路、系统软件、
应用程序、数据文件等)和系统环境(包括组织结构、系统开发与维护、环境安全等)实施
的控制。一般控制适用于整个计算机信息系统,它为信息系统提供良好的工作条件和必要的
安全保证,是应用控制的基础。
应用控制是指针对信息系统的各功能子系统(或称功能模块)的输入、处理和输出过程
中的敏感环节和控制要求所实施的控制,上一节所述的控制框架中的第 8 项就是应用控制。
应用控制包括输入控制、处理控制和输出控制。不同的计算机应用(如帐务处理、工资核算、
固定资产管理等等),其敏感环节和控制要求不同,因此应用控制也不尽相同。应用控制用
以确保特定的子系统(或称功能模块)的输入、处理和输出的安全、正确。应用控制必须在
有效的一般控制基础上才能发辉作用。
二、按控制的目标分类
按控制实施的目标进行分类,计算机信息系统的内部控制又可以分为预防性控制
(preventive control)、探测性控制(detective control)以及纠正性控制(corrective control)。
预防性控制是指为预防和阻止信息系统可能出现的各种差错或舞弊行为的发生而采用
的各种控制措施。其控制目标在防止错弊的发生。例如,在计算中心设置门卫和大门上锁,
终端加锁,系统用户要经注册,设置密码权限控制,系统程序员、操作员、数据库管理员、
文档保管员要职责分离等等,都是预防性控制的一些典型例子。
探测性控制是指为及时发现系统内正在或已经发生的各种差错和舞弊行为,以便能及时
制止和纠正之而采取的各种控制措施。其控制目标不是预防而是及时探测并发现错弊的情况。
例如装设电子探测器;对处理结果进行平衡检验、合理性检验;系统设置操作日志,并有安
全员经常检查日志等,都是探测性控制措施的例子。
纠正性控制是指为了对于各种已经发生于系统内的差错和舞弊,在检测出来后能及时予
以纠正而采取的控制措施。其控制目标主要是及时发现并纠正系统中已发生的差错。例如,
使用 UPS 电源,烟雾探测器与自动灭火系统,系统状态检测与数据自动恢复等都是纠正性控
制措施中的例子。
三、按控制实现的方法分类
按控制实现的方法来分,计算机信息系统的内部控制可分为程序控制和人工控制。
程序控制又常称程序化控制,是指编写在系统程序中,由计算机运行时自动执行的控制。
内部控制程序化是计算机信息系统的一个重要特点。例如,密码权限的检验、在输入、处理
和输出各环节由计算机执行的记录数点计、控制总数核对、平衡检验、合理性检验、顺序检
验、完整性检验等都是程序控制控制的例子。
所谓人工控制是指由有关的人员按制度的规定执行的、无需通过计算机系统执行的控制。
要特别说明的是,即使在电子商务与网络经营的条件下,信息系统的内部控制也并非全部为
程序控制,还有一些重要的控制是不通过计算机系统执行的制度控制,例如组织控制、系统
的开发与维护控制、系统的档案管理控制等都属人工控制。
人工控制往往是通过一系列的控制制度来规范和约束,所以有时又叫制度控制。各单位
可根据内部控制的目标和构成,根据自己的具体情况制定各种控制制度。一般来说,会计电
算化的内部管理制度应包括岗位责任制、系统操作管理制度、计算机硬软件和数据管理制度
和电算化会计档案管理制度等。
第三节 计算机信息系统的控制措施
本节将详细地讨论计算机信息系统应有的控制措施。尽管计算机信息系统的内部控制有
多种分类方法,下面我们还是按国际上教科书常见的分类方法,分别就一般控制和应用控制
讨论信息系统的具体控制措施。
一、一般控制(General Control)
在上一节所述的控制框架中 8 个方面的控制中的 1–7 项属于一般控制,下面我们逐一讨
论这些控制的控制措施。
(一)组织控制(Organizational Control)
一般控制中的组织控制是指信息系统在进行业务处理时,必须保证系统内不相容职责的
相互分离以及信息处理部门与企业其它业务部门的相互独立,以有效地减少信息系统内发生
错误和舞弊的可能性。但在计算机信息处理环境中,由于业务的授权、处理、记录等同一个
业务的多个任务都是由一个计算机程序来完成的,其职责分离比手工的差了。因此,计算机
环境下的职责分离的重点已不是在业务处理层次上,而是放在组织结构这一更高的层次上,
以实现系统开发、系统维护、系统操作、数据库管理这些大的工作任务之间的分离。这些组
织结构的分离对于不同处理模式的企业又有所不同。
1.集中式处理企业的职责分离
此类企业设有计算中心或电子数据处理部门(EDP 部门),所有与计算机信息处理有关
的工作都集中由该部门负责。为实现一定的职责分离,其通常的组织结构如图 3-2 所示。由
图可见,主要从组织结构上保证了以下的重要分离:
(1)信息系统部门与其它业务部门的职责分离。
业务部门负责批准和执行手工处理业务和保管企业财产,而信息处理有关的工作交由计
算机信息部门去完成。
(2)计算机信息处理部门内部的职责分离。
由于集中式处理的特点之一是把一个企业大量的信息集中起来统一进行处理,使得原来
在手工处理时相互分离的不相容职责没有得到恰当的分离。因此,在信息处理部门内部,应
有适当的分工,以有效防止在数据处理过程中越权行为的发生,避免舞弊、犯罪行为以及差
错的出现,保证系统安全可靠地运行。总的来说,信息系统内部的职责分离主要包括五个方
面的内容:即系统分析设计、系统维护、系统操作、文档资料保管以及系统数据库管理的相
互分离。
图 3-2 集中式处理企业的职责分离
�系统的开发人员在系统正式投入运行后,未经批准不得擅自接触系统,更不能兼任系
统的操作人员。因为系统开发人员对系统的逻辑结构、程序编码非常了解,其在系统使用中
要作弊非常容易,作弊后还可以再把有关参数改回去,不留任何痕迹。
�系统的维护和开发也要分离。如果不分离,有可能系统开发人员在系统开发时就嵌进
一些作弊程序,有人来审查时他可以把这些作弊程序暂时去掉,审查完后又把它们恢复。另
外,由于其对系统逻辑和程序很熟悉,也可能会在进行系统维护时把作弊程序加进去。再者,
如果系统的开发人员也是维护人员,很可能在开发时懒得骗写完整规范的系统文档资料,一
旦其离开该单位,没有完整的系统资料,接手的维护人员将很难正确地维护系统,给系统安
全和正常使用带来隐患。如果系统开发人员是独立的,就会比较自觉地编好各种文档资料并
移交给用户,才能结束开发的任务。
�系统操作人员只负责使用、操作系统,不能接触除操作手册以外的系统文档资料,操
作人员可以提出对系统改进的建议和要求,但不得修改系统。
�系统文档资料的保管和系统操作人员也必须分离。如果没有专职的资料保管人员,系统
大量的资料很难正确地保管好。例如备份的磁盘、磁带非常之多,每一卷都应正确编号、标
上外部文件名、写上正确的备份日期、时间、内容,借还要详细登记、及时追收,经常检查、
整理保持其正确的存放位置,以防用时拿错。如果由一个操作员兼任保管工作,很可能工作
总经理
营销副总经理 财务副总经理 信息副总经理 行政副总经理 经营副总经理
系统开发经理 数据处理经理数据库管理员
新系统开发 系统维护 数据控制 数据准备 处理操作 资料保管
一忙,许多该做的登记、整理、检查工作都免了,用完后不能及时送回,随手放在机房的某
个角落,容易损坏、被盗、别人要用时找不着。另外,由于不是专职的保管,对于那些磁带
磁盘已过时,那些备份可以洗掉了,往往记得不准确,很容易把不该清洗的洗去,国外曾发
生过一次错误地清洗掉上百盘磁带的事故。
�数据库管理员与其它人员分离。数据库管理员的职责包括建立数据库模式、创建用户
子模式、分配用户权限、监视数据库的使用、规划数据库未来的扩展等。为了数据库的安全,
应有专职的人员负责。
2.分散式处理企业的组织控制
一个企业的计算机处理业务不是集中于计算中心,而是分散在各个职能部门,是为分散
处理模式,是目前许多单位的实际处理模式。在这种模式中,计算机的服务是由各部门的用
户自己控制的。分散模式容易产生以下的控制问题:
(1)不兼容性(Incompatibility)。分散模式会使各部门购买的硬软件不兼容。如机型、
技术平台、操作系统、字处理软件、表处理软件、数据库等。这将大大削弱各部门间数据传
送和工作协调的能力。
(2)冗余(Reduntancy)。许多相同的程序会在不同部门中重复编制,许多相同的数据
各部门重复输入,容易产生冗余和数据不一致性。
(3)不相容活动的合并(Consolidating Incompatible activities)。特别是在小单位中,合
理的职责分离难以做到,几乎是同一人既是程序员,又是操作员,又是维护人员。
(4)高质量专业人员的聘用问题(Acquiring Qualified Professionals)。各部门中专业人员
职位不象集中式的那么多,因而晋升机会少,不容易招聘到合格的专业人才。
(5)缺乏标准(Lack of Standards)。各分散部门可能很少制订完整的系统开发、文档资料
骗制、系统评价等各种标准。即使有也很简单,不规范。
针对这些问题,企业可以成立一个较集中式小的企业级的计算机服务中心,其主要职责
是:
(1)集中规划和测试要购买的硬软件。评估各供应商的硬软件的质量,按行业和企业
本身的标准评估其系统特性,控制好坏和兼容性。评估或测试的结果可分发到各部门,作为
各部门购买硬软件的指引性标准。
(2)用户服务。对用户硬软件的购买、安装、调试提供指导帮助,处理硬、软件重大
故障而产生的严重问题,为用户提供培训,发布公共信息,推荐用户开发的好程序给大家共
享等。
(3)制订标准。如系统开发、程序设计、文档资料编制等标准,供各部门遵照执行。
(4)人员审查。如各部门要招进计算机技术人才时,可由企业的计算机服务部门从技
术资格角度进行评估。
(二)数据资源控制(Data Resource Control)
信息系统的数据资源是用户的重要资源,为保证系统数据资源的安全可靠必须要作好数
据备份和数据的访问控制。
1. 备份控制(Backup Control)
备份控制是指对系统的软件和数据文件必须建立备份,以防万一系统或有关文件被损毁
时,可以利用备份文件把系统恢复到正常的工作状态。
系统至少应建立两份后备拷贝,并分别存放在不同的地点,有一份必须远离机房存放,
最好能放在另一幢楼内保管。
对系统数据要定期备份。一般每天结束时对已经修改过的数据进行备份,每周、每月再
做一次全面的备份,重要的数据要保留三代。有些重要的处理过程,如过账或结帐等,在开
始处理前也要先备份,以便在处理过程中出现意外时,系统可自动恢复到处理前的状态,重
新进行处理。备份文件要做好保管工作。
2.访问控制(Access Control)
访问控制指在信息系统内建立严格的控制措施,禁止未经批准的人员读写系统的数据文
件。常用的访问控制措施有:
(1)密码与权限控制。通过对使用者进行身份识别和权限控制,可以有效地防止无关
人员使用系统,不同权限的人只能使用限定的功能模块和使用数据库的某一部分的数据。
(2)建立操作日志。对进入系统的人员、其所调用的功能模块、所访问的文件、所作
的操作等情况进行详细记录,以留下审计线索。若日后发现错弊现象、数据丢失或被窃取,
通过操作日志的检查可帮助追查与发现问题。
(3)职责分离。系统分析、设计、文档资料管理及系统的专职运行管理人员不得兼任
系统的操作员,不得访问系统的数据资源。
(4)对高度敏感的数据,如产品配方、密码文件、人员基本工资等,可以加密的方式
存储。有些高敏感数据的访问要求验证用户签字手迹或指纹、声音等,以确保这些数据的安
全。
(三)系统开发与维护控制(System Development & Maintenance Control)
信息系统的开发控制是指系统开发从授权、执行到系统测试和验收等开发的全过程各方
面的控制。只有做好信息系统的开发控制,才能保证开发出来的系统合规合法,满足用户的
要求,具有及时发现和修正错误及防止舞弊行为,保证信息准确、完整等功能。信息系统正
式投入使用后就一成不变是少有的,若要对系统进行修改、完善,即对系统进行维护,必须
要有严格的控制,才能防止系统被无意修改的错误或有意的非法篡改。
1.系统开发授权
用户要开发一个新系统时,应呈交正式的开发申请报告,由企业领导和专家一起审查、
论证。对目标系统的开发进行可行性分析,在技术、经济和管理实施各方面条件都具备,且
能取得较好效益的情况下,经正式批准立项,以保证系统开发的合法性、权威性、可靠性。
2.用户代表参与
不管什么系统,不管所用技术如何先进复杂,在系统的开发的各阶段中,都应有用户的
代表参与,从用户实际需求的角度提出对系统的需求说明,以便系统开发人员设计时结合技
术考虑最优的系统实现方法和设计出全面、完整的系统功能,使所开发的系统软件能够充分
满足用户的需求。
3.内审人员参与
内审人员参与系统开发十分重要,特别是在用户缺乏系统开发的相关知识的情况下,内
审人员可充当用户和专业人员的中介作用,把用户需求转变为专业设计的相关规定。内审人
员除要向系统开发人员提出审计部门对系统功能的需求外,还要就系统控制功能和保留审计
线索提出合理建议。此外,内审人员要在系统开发的各个阶段监督检查系统开发控制的执行。
4.程序与模块测试
对编好的程序,针对其应有的功能假设一些业务数据逐个进行测试,其结果应与预计的
结果相一致。如有差异,应找到原因,予以纠正。当整个功能模块(或子系统)的程序都编
写并测试过后,要把它们联起来,进行模块(或子系统)的分调。一般来说,程序的测试由
程序员负责,而模块(或子系统)的分调必须要有用户代表和内审人员的参加。
5.系统的统调和验收
在每个功能模块(或子系统)测试全部通过后,要进行系统各模块间的统调。由用户、
开发人员、审计人员一起进行系统的总体测试。测试应在与实际应用尽可能相同的条件下进
行,应包括手工准备、计算机处理和人机的联接。经检测满意的新系统,要经过与原系统并
行试运行规定的时间(通常是 3–6 个月),考核系统运行的结果是否令人满意,实际运行结
果与原设计指标间的差异是否合理或可以接受。如果发现错误或系统功能、性能不符合要求,
要由系统开发人员检查修改,直到一切均符合要求,用户的系统开发领导小组可组织系统的
正式验收工作,验收除由用户代表、开发人员、审计人员参加外,可以邀请财政与税务部门
代表和有关专家参加。系统通过试运行和验收后才能正式投入使用。系统的总体测试和验收
被许多人视为最重要的系统开发控制之一。
6.系统文档资料的检查与控制
系统开发的每一阶段都应有相应规范的文档资料,包括技术设计文档资料,编写与审
批有关的文档是对系统开发的一种控制。系统的文档资料可为日后系统的维护改进以及审计
人员对系统的认识和审查提供必要的资料,也可以为系统使用人员的培训提供必要的资料。
在系统通过验收前,一定要检查系统文档资料的完整规范性,文档资料不全,系统不能通过
验收。
系统的文档资料对系统的处理与控制作了详尽的描述,因此,它是极重要和机密的,一
定要由专人妥善保管,只有经授权的人且工作需要时才能接触这些资料。操作人员只能接触
操作手册或用户手册,不得接触此外的系统设计文档。否则,操作员利用工作之便篡改程序
或数据的可能性较大。当系统维护后编制了新的文档,旧的文档应妥善保管或销毁,不可随
便丢弃。
7.系统维护控制
正式投入运行的系统,若要进行维护修改,必须经申请、批准后才能进行;维护修改后
必须进行严格的测试、作好文档记录,并经批准后方可正式投入使用。维护人员应独立于系
统操作人员,最好也能独立于系统开发员。实用的系统中只保留经编译的程序,系统的源程
序要有严格的控制和妥善的保管,只有经授权且工作需要的人经登记才能接触系统的源程序。
程序经维护修改后,要注意复制并保存最新版本的源程序,以免下次修改时用到的不是最新
的源程序版本。
(四)计算中心的安全和控制(Computer Center Security and Control)
日常重要业务由计算机处理的单位是不能承受数据处理中心受到灾难性事故破坏的。火
灾、水灾、风暴、人为破坏、地震和掉电等均可产生灾难性的破坏,使得资产和数据损失,
严重的可使企业无法生存下去。计算中心应有的安全控制措施如下:
(1)物理位置的选择。计算中心应远离人造和自然灾害多发的地方,例如加油站、储
气站、蓄水池、机场、低洼地带、高犯罪率地区等。
(2)建筑最好是单层的坚固建筑(防地震),电线电缆等应埋入地下,窗户应紧闭,装
上空气过滤器以防尘,安装空调机、抽湿机等。
(3)访问控制。要锁门及设门卫,进出登记,有闭路电视或摄像系统、报警系统等监
视,防止未经授权的人进入。
(4)火灾监控。安装烟雾探测器和自动报警系统,并连到专职防火责任人或消防站,
火灾一旦发生,即有救火人员知道。重要之处放上灭火装置。
(5)电源控制。计算中心应配备稳压电源和配备不间断电源,以保证系统电压的稳定,
以及万一外电路掉电或电压低于一定值时,不间断电源能自动向系统以额定电压供电,保证
系统正常运行。
(6)灾难恢复计划。灾难恢复计划是一些成文的、经过试验可行的在灾难发生之前、
之中和之后应采取的行动的详细的陈述。事先做好计划与指引,能保证计算中心受到灾难性
损毁后能继续经营,可使损失降到最低。其基本内容包括:
�后备的第二工作场所。建立后备的第二工作场所对于重要的企业和重要的业务是必要
的,可采取的形式有:
A)互助合约(Mutual Aid Pact)。几个业务和计算机设备相近的单位之间订立合约,当一
个单位发生灾难时可利用另一个单位的计算机设备和场所继续重要的业务。这时,提供场所
和设备的单位可能需把自己原来的一些较次要的工作暂停。但这种方式在平时成本是低的,
没有场地和设备闲置。
B)空壳(The Empty Shell)。几个企业合买或租用一个建筑,改建成计算中心模式,但不安
装计算机设备。一旦灾难发生,则可利用此场所装上必要的设备恢复重要的工作。这需要相
关的硬件供应商承诺,一旦灾难发生时保证及时供应所需的硬件设备。另一个问题是当水灾
地震等大范围的灾害发生时,可能几个公司同时受灾,都要使用这个空壳,形成竞争和冲突。
因此,事先必须订好协议,合用空壳的单位不要太多。
C)恢复运作中心(The Recovery Operations Center)。与空壳不同,这种中心安装了必要的
计算机硬软件,成本较高。可以较多的公司合建一个恢复中心,或者大家按月交费。这种方
式的优点是遇到灾害时短时间内即可恢复工作。
D)内部后备(Internal Provided Backup)。单位内部有多个计算中心的,可在各中心适当增
加某一应用的处理能力的硬软件,其中一个计算中心灾难发生时即可在另外的计算中心上进
行有关的业务处理。
�确定重要的应用。灾难发生时短时间内只能先恢复一些最重要的应用系统,因此事前
必须确定好本单位的重要应用是什么。通常,应是一些对现金流入影响较大的应用,以保证
有足够的现金支付各种所需。如销售、应收账款管理、生产和促销决策、采购、各分公司间
的通信系统等。一个企业的重要应用会随企业的发展而改变,因此应由领导、计算机专业人
员、用户一起经常审查确定企业的重要业务,在发生灾难时首先恢复这些应用。
�后备物品并远离机房存放。用于恢复的后备物品包括备份的数据文件、程序、系统开
发的文档资料、必要的办公用品、空白单据等。这些都应该在远离机房的地方保管。
�建立灾难恢复队伍。事先必须建立好灾难恢复队伍,一旦发生灾难,可以有条不紊地
指挥和进行恢复工作。一个企业的恢复队伍可参考图 3-3 所列。
这里没有控制部门和某些职责分离。在灾难发生时职责分离不是最重要的,重要的是能
尽快正确地恢复工作。因之队伍成员应是专家、专业人员,平时经常实践过相应的工作。
计划负责人 系统开发负责人 数据控制负责人
厂房工程师 系统维护负责人 数据转换负责人
计算机安装负责人 高级系统程序员 数据转换监督员
远程处理负责人 高级维护程序员 用户部门代表
用户部门代表 内审人员代表
内审人员代表
图 3-3 灾难恢复队伍组成
(五)数据通信控制(Data Communications Controls)
网络环境下数据通信所受到的威胁可归于两大类:一是人为的破坏,二是设备故障。前
者如有意窃取所传送的信息,黑客的进攻,通过 Internet 等未经许可的入侵访问,传播病毒
等;后者如通信线路、设备的故障等。为防止或及时发现这些问题,可采用下列控制措施:
1.针对人为破坏的控制
(1)防火墙(Firewall)。它是置于一个单位内部网与外部网之间,用于防止外部访问者
入侵系统的软件或硬软件组合,可检查内部网外来的访问者的权限级别而自动堵塞或引导到
相应的程序、数据和服务器上,也可分隔局网内不同部分之间的访问。防火墙一般分过滤型
和代理服务器型。过滤型防火墙通过截获要进入本单位内部网的信息包,检查其源地址、目
的地址、路由和数据内容等特性,过滤出可疑的东西,拒绝一切未经授权的信息与访问的企
图。但黑客可以通过IP地址的循询方法而把自己伪装成合法的用户攻入内部网。代理服务
器型防火墙不允许外部信息直接进入内部网,而只能到达代理服务器,数据通过时代理服务
器要求要完成准确的注册与鉴定,对访问提供控制与过滤作用,生成报告以报告非授权的活
动,从而提高内部网的安全性。防火墙的控制授权功能越复杂、高级,灵活性就越差,影响
对外来信息访问的方便性,严重的会影响企业的电子商务能力,所以必须全面考虑安装何种
级别的防火墙为宜。
防火墙能提高内部网的安全性,但不能防范内部用户的误操作产生的威胁,也不能防范
因口令、账号等泄密被外部用户攻击,不能完全防止病毒的传播。
灾难恢复负责人
第二场所设备组 程 序 和 数 据 备 份
组
数据转换和控制组
(2)一次性口令(One-time Password)。采用这种控制,访问网络的用户需使用一个智
能卡,它与存储在服务器上的相应软件同步地每60秒产生一个相同的密码,不同的用户的
智能卡有不同的同步密码,且每次产生的密码是不同的。当用户访问网络时,首先必须输入
用户标识PIN(Personal Identification Number),然后输入自己智能卡上当前显示的密码。
这样黑客即使使用循询方法,也很难得到你当时的准确密码。某人即使检到了你的智能卡,
但他不知道你的PIN,也无法冒充你。
另一种一次性口令的产生方法是所谓挑战/应战方式。当用户登录网络时,网络防火墙的
授权软件发出一个 6 位的挑战字给用户的计算机,用户的智能卡可接收挑战字,经智能卡的
内置密码生成程序产生一个即时应战密码于显示屏上,用户键入此密码即可登录网络。
(3)对轰炸式进攻的控制(Controlling Denial-of-Service Attacks)。Internet 上通过 TCP/IP
协议访问一个目标时其应答过程是这样的:访问者首先发出一个同步信号 SYN 给被访者,
被访服务器发回一个 SYN/ACK 的确认信号,最后访问者再发一个 ACK 信号确认,开始通
信。如果一个黑客一直发送 SYN 信号给某目标服务器,但总不发 ACK 确认信号给该服务器,
则该服务器一直发 SYN/ACK 信息给黑客所在服务器,使其他用户的访问请求无法进入该服
务器,形成堵塞状态。被炸的服务器端的防火墙很难查出黑客所在地址,因为他会使用不断
变更的 IP 地址(已有这种软件),使轰炸似乎是来自整个 Internet 的。解决的办法是安装半
开放的连接软件,当检查到只有 SYN 信号而没有 ACK 回音的访问者时,屏蔽其访问。
(4)数据加密(Data Encription)。数据加密是重要数据传输中必用的控制方法,以防止
中途被人窃取。今天 Internet 上的电子商务活动往往涉及许多高度保密的信息,如身份证号
码、信用卡号码、个人签名等,通常都要加密传送。常用的数据加密方法是标准数据加密 DES
(Data Encription Standard)和公共密钥加密(Public Key Encription)和混合加密法。
�标准数据加密 DES。又称通用密码体制或单密码体制、对称加密法,是加密和解密钥
匙(即密码字)相同的密码体制。通信的双方用相同的加密、解密密钥,但接收方的解密算
法是发送方加密算法的逆运算。它是美国商业部 1977 年制定的,是目前普遍应用的加密方
法。它把明文按 64 位分组,经加密算法变为 64 位的密文,接收方用相反变换解密。如图 3-4
所示:
发方 收方
加密钥 K 解密钥 K
明文 密文 明文
图 3-4 对称加密法
因为一个发信者与不同的收信者通信应使用不同的密钥,所以他必须保存有许多不同的
密钥,以便能跟许多用户通信(如供应商对客户)。同样,每一个收信者要接收许多不同信
源发来的信息,他也必须保存有每一个发信者的密钥(如客户必须有每一个供应商的加密密
钥)。就是说,网络上的每个用户都要记住许多密钥,并且不能泄露出去,这是单密钥体制
加密算法 E(K) 解密算法 D(K)
的致命缺点。
�公共密钥加密。典型的是 RSA(Revest ,Shamir,Adleman 三人所共同发明)非对称
密码体制或称双钥体制。这种加密体制加密与解密的密钥不同,其加密钥匙 Ke 为 e,n 两个整
数,解密钥匙 Kd 为 d,n 两个整数,n 足够大。明文 M 加密的算法为:密文 C=Me MOD
(n), 解密算法为:明文 M=Cd MOD(n)。由此两式可见,若用 d,n 作为加密匙对明文C
进行加密得密文M,用 e,n 对密文M解密,也会得到明文C。公共密钥体制正是利用了这种
互换性,使两个不相同的密钥,用一个加密,则另外一个可以解密,反之亦然。实用上每个
用户拥有自己的一对密钥,把其中一个密钥公开作为公共密钥,而另一个则由用户自己保管
成为私钥。若发信方不想别人知道其所发的信息,可以用收信方的公开密钥对发送的信息加
密,接收方收到密文后可用自己的私钥解密,别人由于不掌握私钥,将无法窃取传送的信息。
如果不仅要防止信息失密,而且要证实发送方的身份,发送方可先用自己的私钥对要发送的
信息加密,然后再用接收方的公钥对密文再次加密后发送。接收方收到密文后先用自己的私
钥进行第一层解密,再用发送方的公钥再次解密得到明文,如图 3-5 所示:
发方 发方 收方 收方 发方 收方
私钥 公钥 私钥 公钥
明文 密文 明文 明文
密
文
图 3-5 实用的非对称加密法
这样,由于私钥是唯一的,上图的过程保证了一个网上传送的信息只有唯一的一个用户
可以对其解密,其他人即使截获了这个信息也无法对其解密,同时也保证了所收到的信息必
然是拥有发方私钥的用户所发出的,实现了两个用户之间的保密通信,但又不必保管很多密
码,仅需保管好自己的私有密钥,再在自己的网页或其他媒体上公布一个自己的公开密钥即
可与任何一个伙伴进行秘密通信。
�混合加密法。上述的双钥加密的公钥体制在加解密速度上比单钥的对称加解密方法要
慢,不适宜对长文件加密。为克服两者的缺点,充分利用两者的优点,可把两种方法结合起
来,用对称的单钥加密法加密要传送的主信息,用非对称的双钥体制加密单钥制的加密钥匙
本身。接收方收到信息后先用自己的私钥解密,得到对称加密的解密钥匙,再用它解出传送
的主信息,如图 3-6 所示。
非对称法加密钥 非对称法解密钥
对称法密钥 对称密钥密文
发方 收方
对称法密钥
主信息明文 主信息密文 主信息明文
图 3-6 混合加密法
加密算法 加密算法 解密算法 解密算法
非对称加密算法 非对称解密算法
对称加密算法 对称解密算法
(5)信息顺序编号(Message Sequence Numbering)。信息破坏者可能会改变、复制或删
除正在线路上传输的信息元,以破坏接收方收到的正确信息元顺序,使其无法阅读,达到破
坏信息的目的。通过对每一信息元加上顺序号,接收方则可知道收到的信息是否完整,顺序
是否正确。如不完整,可通知发送方重发。
(6)信息收发记录(Message Transaction Log)。入侵者往往能成功侵入企业的系统中窃
取机密。通过自动登记收发业务,把每次的收发信息和入侵者的用户名、终端地址、电话号
码、入侵时间等自动记录下来,可抓住恶意的入侵者。
(7)回叫机制(Call-back Device)。一旦入侵者攻入了企业的内部网络,上述的许多控制
方法都无效了。回叫机制是当发信息者呼叫时,接收方收到呼叫信号后暂时断开与呼叫方的
连接通路,审查其用户名、口令、终端地址都无误后再回叫原呼叫方,建立一个新的连接进
行通信。这种控制可防止别人盗用账号、口令在其他终端上作案。
2.对线路故障问题的控制
线路上设备故障通常是由于线路上的躁音等引起信号位改变、信号丢失等,通常用探测
收到数据是否正确来控制,常用的控制方法有:
(1)回波检测(Echo Check)。接收方收到信息后立即把收到的信息发回给发送方,发送
方把对方发回来的与发送时留下的发送副本比较,如有不一致,则说明信息传送有误,重发
该信息。
(2)奇偶校验(Parity Check)。每个信息元设置校验位,根据每个信元中的 1 的个数若是
奇数则校验位值为 0,是偶数则校验位为 1。接收方收到信息时以同样的算法检验之,以确
定传输过程中有无改变了信元中一个位的值。
(六)电子商务的控制( Electronic Commerce Control)
电子商务按其网络平台分,可分为基于电子数据交换(Electronic Data Interchange -EDI)的
电子商务和基于 Internet 的电子商务。前者是双方通过直接连接的专用线路或通过第三方的
增值网 VAN(Value-added Network)进行商务数据(订货单、发货单、付款单等)通信的商
务方式。后者是通过 Internet 进行类似的商务活动。两者有许多相同或相似的控制问题。电
子商务除要有上述的通信控制外,还要有下列主要控制:
1.业务授权和有效性控制(Transaction Authorization and validation Control)。
网上交易双方都必须确信对方是合法有效的交易伙伴,并且所收到和正在处理的交易业
务是完整和有效的,不可篡改和抵赖的。确认方法有:
(1)数字签名技术。纸性文件可通过签名盖章的方式作为发方对文件有效性、文件内
容完整正确性的一种承诺、证明。在电子商务中,由于所有商务文件(如采购单、付款单、
发票等)以电子方式传送,为了使收方确信收到的文件是发方有效的、承担法律责任的不可
抵赖的文件,并确信传输过程中文件内容没有受到增、删、改,广泛使用数字签名技术。这
种技术是图 3-5 中的非对称加密传送技术加上文件Hash 函数技术的综合运用。其要点是:�
发文方用HASH函数对待发文件产生一个位数不长(如128位)的文件摘要;�把文件
摘要用私钥加密后即是数字签名,再与文件正文一起用对称加密法加密传给收方;�同时把
对称加密的密钥用收方公钥加密传给收方;�收方用自己的私钥对对称加密密钥的密文解密
后得到对称加密密钥,再用它对文件正文的密文解密后得到文件正文和数字签名;�对数字
签名用发方公钥解密,得文件摘要;�对文件正文用HASH函数作用后再产生一个文件摘
要;�对两个文件摘要进行比较,如果一样,则说明文件内容没有被修改过,是原发的有效
文件。数字签名是用发送方的私钥加密的,象纸上签名一样,确认了发送方在发送文件中的
承诺。数字签名原理如图 3-7 所示:
发方 收方
发方 发方
私钥 对称 公钥
文件 数字 密钥 数字 文件
文件正文 摘要 签名 签名 摘要
文件正文 文件
摘要
对称密钥
对称密钥 对称密钥密文
公钥 私钥
收方 收方
公钥 私钥
图 3-7 数字签名原理
(2)认证中心和数字证书。理论上,上述的图 3-5 或图 3-7 的加密方法和数字签名技
术可保证发文单位的确认,保证收到的文件是该单位发出的,不可抵赖的。但是如果发方单
位的公开密钥的可靠性不能肯定,则发方单位是否真实存在、合法可信,是否有法律责任能
力等就不那么确定了。为了使交易各方得以确定对方确是客观存在的、合法的、有法律责任
能力的单位,要求设立权威的独立机构对此作出确认,这个权威机构称为认证中心(CA-
Certificate Authority)。它负责证实申请者的身份,并为其颁发数字证书(Digital Certificate)。
数字证书的内容包括:�证书所有者的姓名。�证书所有者的公钥。�公钥及证书的有效期。
�颁发证书的单位名称。�数字证书的序列号。�颁发证书单位的数字签名。数字证书发布于
用户自己的网页上,供交易对手查阅,从而确信交易对手的合法性。
(3)VAN 网和 Extranet 均有检查客户 ID 和密码的功能,合法的客户 ID 和口令存储在
一个有效的客户文件中,如不匹配的客户,则业务被拒绝。
(4)对于电子购物中的个人客户,也可以向认证中心申请认证,领取自己的数字证书。
但更多的是购物前先向商家注册登记,通常商家会要求客户把自己的真实姓名、地址、电话、
电子邮件地址、身份证号、工作单位等特征信息提供给商家存储起来,并通过电话、邮件等
对客户身份进行确认,以确保个人客户是有效的。
HASH
函数
对称
加密 比
较
非对
称加
密
对称
解密
非对
称解
密
HASH
函数
非对
称加
密
非对
称解
密
2.业务处理控制(Transactions Processing control)
业务处理控制指收到交易伙伴业务文件,对文件处理的控制,主要包括:
(1)企业数据库中应保存着交易伙伴的 ID 和口令,在把收到的业务文件进行翻译处理
时首先检查其 ID 和口令,如不匹配,不进行翻译处理。
(2)业务处理应用程序在正式处理该业务时也先检查客户 ID 和口令,如不匹配,不进
行该业务的正式处理。
3.电子商务的安全协议与网上付款的安全控制
通过网上自动支付交易款项,是电子商务一项重要的内容,但必须有严密的安全控制才
能顺利实施。一要保证收付双方收、付的是准确的应收、应付款数;二要保证双方的机密信
息,如银行的账号、密码,信用卡密码等不会泄露;三要保证付款后能及时收到所购的商品。
为网上支付的安全,目前电子商务系统常用的安全控制协议有:
(1)SSL(Secure Sockets Layer)安全套接层协议。采用此安全协议,客户首先把购物
意向通知商家,得到商家的确定回应后,客户把正式订单和自己的银行信息发往商家;商家
再把客户信息发往银行要求银行付款,银行验证客户身份并划款后通知商家;商家再通知客
户购买成功并发货给客户。显然,这种安全协议保障了商家的利益,但对客户没有保障。其
基点是商家承诺对客户信息保密且收到款项后要发货。它是电子商务发展初期,商家是信誉
较高的大公司,客户基于对商家的信赖而采用。随着进入电子商务的商家增加,SSL 协议的
缺点已充分暴露,SSL 协议正逐步被 SET 协议取代。
(2)SET(Secure Electronic Transfer Protoco)安全电子交易协议。该协议由两大信用卡
组织 VISA 和 Mastercard 联合开发。采用此协议的交易过程如下:
(A)消费者提出电子订货。
(B)商家应答消费者请求。
(C)消费者把自己的信用卡号、密码等支付授权资料用发卡公司的公钥加密,与正式
订单加上自己的数字签名发给商家。
(D)商家接受订单后,通过支付网关向自己的开户银行传送消费者支付授权资料,开
户行把资料送到发卡行请求支付认可,发卡行审核后把确认信息返回商家开户行,开户行再
把确认信息返回商家。
(E)商家确认订单并发货,同时把发货证明送开户银行通知请求付款。
(F)开户银行把有关资料通知发卡行,发卡行根据授予权划款。
此协议可保证客户资料加密打包后通过商家到银行,但商家看不到客户的帐户和密码;
可保证信息在网上安全传输;不仅对商家进行保障,对消费者也有保障。它可在不同的硬件
与操作平台上运行。
(3)网上支付系统及其控制原理
在上述电子商务安全协议的基础上,一些公司建立了自己的网上支付系统,以解决电子
商务的网上支付问题。下面是目前流行的一些网上支付系统及其控制原理。
�CyberCash 网上结算公司。该公司给客户一个专用的加密软件。客户购物时把给商家
的订单和用该软件加密的信用卡信息和支付授权一起发送给商家,商家要把客户信用卡信息
和支付授权转送至 CyberCash 服务器解密后发往商家开户银行,银行再把客户信用卡信息和
支付授权送发卡银行请求支付,发卡行核对确认后把支付(或拒绝)指令发给 Cybercash 服
务器,由它通知商家发货和通知客户已付款。采用此结算方法,商家不可能知道客户的信用卡
信息,付款安全性较好。
�CyberCharge 网上收费公司。CyberCharge 的作用象银行网络和微软商家服务器(Microsoft
Merchant Server)之间的中介,是微软为 Web 上销售而开发的。有了它,消费者不需专门的
客户软件。CyberCharge 使用高速连接技术把安装有微软商家服务器软件的用户(商家)与
联邦银行网络连接起来。当消费者通过商家网站购物并输入支付信息后,自动被加密送到
CyberCharge 服务器,再送往银行网络,通过 CyberCharge 主干网实现按授权直接把资金从客
户帐户转入商家的银行帐户,并通知商家发货。
�DigiCash 数字现金支付。采用此支付方式,首先客户要告知银行把一定金额转为电子
现金,银行按要求把客户一定数额的银行存款转为电子现金(有银行的数字签字),装入电
子信封(即用客户的公钥加密)发送给客户。客户网上购物时以电子现金付款给商家,就象
用现金或支票购物一样,无需给信用卡号码和密码了。商家可以把电子现金向银行换回实际
货币。
�First Virtual Internet Payment System 第一网上虚拟支付系统。使用此支付系统,客户和
商家首先都要申请一个唯一的身份识别号码(Virtual PIN), 与他们自己的信用卡号码一起存
于 First Virtual 公司才能访问的计算机上。顾客购物时,发给商家的除订单外是自己的 Virtual
PIN 号码,不是信用卡号码。商家把自己的和客户的 Virtual PIN 一起发给 First Virtual 公司,
First Virtual 核对后从客户帐上划出货款存入商家帐号,并通知顾客款项已支付,通知供应商
发货。
4.访问控制(Access Control)
在电子数据交换中,往往有时需要访问对方的数据库,如客户向供应商下订单前,可能
要查找供应商的存货数据库中有关存货编号、名称、规格型号、价格等资料,有些经常向该
供应商订货的资料客户可能会想下载到自己数据库中,以方便以后订货时查阅。这样,当供
应商的某些参数(如价格)改变后他可能希望能自动及时地让客户知道,因而想直接把数据
送到客户的数据库上并修改之。双方能访问对方的那些数据,有何种访问权限,需要双方事
前订好合同,按合同设置好访问参数。
5.审计线索(Audit Trail)
EDI 或 Internet 上的电子商务由于没有了纸性的原始凭证,审计线索没有了,这对审计、
税收征管等都带来风险。解决的办法是在电子商务的接收、处理软件中加上自动登记收到业
务和各阶段业务处理的记录,存于业务登记文件中,以备查阅,并保证了收到的业务都能及
时完整地进行处理。
(七)微机系统的控制
微机可以单用户、单任务地独立使用,或者装上多用户多任务的操作系统作为独立平台
供多用户使用,更多的是连接到网络上作为终端使用。这里提的微机系统包括微机或微机局
域网应用系统,其主要控制为:
1.访问控制
微机的设计理念是方便用户使用,因此其数据安全性控制功能较弱,任何人都可访问、
修改硬盘上的程序、数据。因此,要用数据加密、微机加锁、运行程序需要密码口令等方法
加以控制。
2.对缺乏恰当的职责分离的控制
在许多小单位,采用微机进行业务处理,由于单位小,职责分离很不严格,往往系统开
发人员又是操作人员,不相容的业务(如处理订单、应付、应收、总账等)都可能是同一人
操作,这会产生很多作弊机会。对缺乏恰当的职责分离,控制方法主要是使用品质好的员工。
另外设置多级口令,有些重要目录、文件、数据的口令由管理人员自己掌握,限制员工对某
些程序和数据的访问。
3.程序与数据的后备控制
完善的主机和网络系统中,备份是由系统管理员通过专门的硬软件定期或由系统自动进
行的。微机系统的备份则是由用户自己执行,往往有些用户对备份的重要性和正确方法认识
不足,微机也常会由于硬盘故障而引起数据或程序的破坏。只有做好程序与数据备份,才能
事后补救。微机系统常用的备份方法有:�软盘备份。�内部硬盘备份。同一硬盘上不同的
目录上备份或者安装一个专用的备份硬盘。�外部可拆卸硬盘备份。其优点是速度快、满了
可更换、可保管在远离机房的地方。�磁带备份。便宜、容量大。用户应根据业务量的多少
和处理的时间进行备份,至少应有一份备份保存在机房以外的地方。
4.对缺乏恰当的系统开发与维护控制的补偿
由于微机操作系统性能的局限和开发、使用、维护分工的不严格,微机应用系统的开发、
维护控制通常较差,管理者可用下面的技术方法予以补偿:
(1)购买商品化软件。其开发控制、程序控制都会较好。选购商品化软件应按以下步
骤以加强控制:�认真分析要解决的问题和所需软件的功能。�向供应商招标。�比较各供应
商产品适合企业需要的程度,请专家帮助分析。�向使用过此种软件的用户了解使用情况。�
了解供应商售后服务的情况。�评分、排队选择之。
(2)选用品质好的人开发、使用、维护。
(3)管理者或内审人员经常审查输出的报表等。
二、应用控制(Application Control)
应用控制是针对某个具体应用系统(如工资系统、采购系统、销售系统等)的敏感环节
和控制要求,为加强具体应用的输入、处理和输出的正确可靠性而建立的控制。应用控制依
系统或应用项目和具体数据处理方式的不同而不同。但是,任何应用系统,不管其应用领域,
数据处理的方式是多么不同,其应用控制按其特性都可划分为输入控制、处理控制和输出控
制三个部分。应用控制措施虽然也有手工控制和程序控制,但与一般控制相比,其程序控制
更多。
(一)输入控制
输入控制的目的是要防止未经审核的、无效的数据输入计算机系统内,并保证经审核的
数据能完整、准确地输入并转换为机器可读的形式。常见的输入控制措施主要有以下几种:
1. 凭证的审核与输入准备。使用事先顺序编号的凭证,不用时锁好,只有经授权的人才
能接触、使用凭证,定期审核已用、未用、作废的凭证数,如不符应及时报告、追查。一切
业务凭证输入前必须经必要的审核,经审核的业务要按操作手册的规定准备就绪。经过审核
和准备,可以有效地保证输入信息系统内的原始数据的有效性、正确性,尽可能地把差错消
除在输入之前。
2. 输入操作及核对控制。此控制要求只有经批准的人才能进行输入操作并要作操作记录,
输入数据要经复核才能处理。常用的核对方法有二次输入核对(即把要输入的资料两个人分
别输入,由计算机对两次输入的资料进行核对)、把已输入资料打印输出与应输入资料核对、
由另一操作员在屏幕显示的已输入资料与应输入资料核对等。
3. 计算机校验。由计算机对输入的数据进行检查,以发现数据输入的错误,这是重要的
程序控制。常见的计算机校验技术有:业务数点计,控制总数核对,代码的有效性检验,借
贷平衡检验,编号顺序检验,数据合理性检验、数据类型与完整性检验等等。
(1) 业务数点计。此检验技术主要用于批输入的系统。在数据准备时,每批要输入的
业务凭单先由人工点计,并填在批首表上。数据输入后,由计算机再次点计输入的业务数或
凭单数,并与批首表上的业务数核对,若发现差异,计算机将给出错误信息。这种控制能防
止凭证在输入过程中的遗漏、丢失或重复等错误。
(2)控制总数核对。此控制主要用于批输入的系统。在数据准备时,每批要输入的凭
单先由人工计算批控制总数(一般用金额总数,也可用非金额的重要字段如凭证号、支票号、
客户编号等的总数),并填在批首表上。数据输入后,由计算机再次汇总输入凭单的控制总
数,并与批首表上的控制总数核对,若发现差异,计算机将给出错误信息。这种控制能防止
数据在输入过程中的遗漏、丢失、重复或作为控制总数的数据项输错。
(3)代码的有效性检验。此控制是在数据输入时,由计算机对重要的代码字段的值进
行检查,查找代码对照表是否存在此代码或代码是否在预定的范围内,如果不是,计算机将
给出错误信息。这种控制能防止代码输入的常见错误。但如果输错的是在预定的范围内的、
代码对照表中存在的其他代码,错误可能不能发现。这些错误的控制最好是加校验位加以控
制,如代码的各位分别乘以某权重,相加再除以 11 取其余数作为校验位置于原代码的末尾
一起输入,输入后计算机再用相同的算法计算校验位,核对两校验位,如不相符,则输入有
位错误。但校验检验太麻烦,只对特别重要的输入才使用。
(4)平衡检验。此控制是指在数据输入时,由计算机检查输入的数据是否满足应有的
平衡关系。如借贷记帐应有平衡关系:有借必有贷,借贷必相等。如果检查输入的记帐凭证
借贷不平,计算机将给出错误信息。此技术可以每输入一笔业务马上检验一次,也可以一批
业务全部输入后,再对整批业务进行检验。这种控制能防止有关数据输入的错误,如“借或贷”
及金额等数据输入的错误或一借多贷、一贷多借分录某些记录的漏输或重输。
(5)编号顺序检验。在经济业务中,有不少单据是顺序编号、顺序使用的,例如:销
售发票、支票、记帐凭证等。“编号顺序检验”是指在数据输入后,由计算机检查输入单据的有
关编号是否满足应有的顺序关系,如果发现重号或缺号,计算机将给出错误信息。这种控制
能防止单据在输入过程中的遗漏、丢失、重输或编号输入错误。
(6)数据合理性检验。此控制是指在系统中预先设定了各重要或敏感量的上下限,数
据输入时,由计算机检查有关量的输入值是否超出规定的极限。如果超出,说明有不合理的
情况,计算机将给出错误信息。这种控制能一定程度防止重要或敏感数据输入的错误或可能
的作弊,即使出现错弊也把错弊限制在一定范围之内。
(7) 数据类型与完整性检验。输入的数据有几种基本类型:如数字型、字符型、日期型、
逻辑型等。有的数据只能是数字型,如单价、销售量等;而有的则只能是字符型,如厂名、
品名等。因此在程序设计时就应考虑此类控制,使得当输入数据类型发生错误时,计算机将
给出错误信息。另外,各种业务和单据中,都有一些是不可缺少的数据项,如记帐凭证中的
凭证号、日期、科目、金额等等,输入时计算机检查并控制这些数据项不能直接跳过留空,
保证输入数据的完整性。
4.错误的检查、改正与重提。凡在计算机检查中被计算机发现的错误,应由操作员检
查错误的原因,交由出错的人改正后重新向系统提交。
(二)处理控制
信息系统的处理控制是对系统数据处理的准确性、完整性和可靠性等方面进行的控制。
其目标是要保证信息系统对已输入的数据能按既定的要求准确、完整地处理。常用的处理控
制主要有以下几个方面的内容:
1. 只有经批准的人才能执行处理操作,并要作好操作记录。系统应设立操作日志,自动
记录所执行过的操作。操作日志的内容应包括操作者的姓名、操作时间、密码、所调用的功
能模块等。
2. 处理条件的检查与控制。有些处理并不是无条件执行的,例如,对输入的凭证,未经
审核签字的才能修改,只有经审核才能记帐,每月只有全部凭证已审核记帐才能结帐等等。
这些处理条件就是防范错弊的重要控制。执行这些处理时,系统必须首先检查处理的条件是
否满足,确保只有在条件满足的情况下才能进行处理。
3.系统要有防止或及时发现在处理过程中数据丢失、重复或出错的措施。常用的措施
有:记录数点计、控制总数核对、平衡检验、合理性检验、溢出检验、常数检验等。
(1)记录数点计是指在重要的处理后,由计算机对处理的记录数进行点计,并与输入的记
录数核对,以保证每一个经输入的记录均已被处理。此控制一般用于批处理情况。
(2)控制总数核对是指在重要的处理后,由计算机累计已处理的记录的控制总数,并与输
入记录的控制总数核对,以保证每一个经输入的记录均已被处理。此控制也一般用于批处理
情况。
(3)平衡检验是指在重要的处理后,检验处理后应有的平衡关系是否满足。例如,登帐后
检查借方余额是否等于贷方余额,以防处理出错。
(4)合理性检验是指在重要的处理后,检验某些重要量处理后的结果是否有超出合理的范
围。例如,检查处理得到的实发工资数有无超出正常范围,以防处理出错或有舞弊行为发生。
(5)溢出检验是指在处理时如果发生溢出情况,系统要给出错误信息,以防处理结果出错。
(6)常数检验是指某些数据处理的结果应与某个常数相一致。利用此特点,可以对数据处
理进行控制。例如,固定资产的净值和累计折旧之和应当与其原值相等,计提折旧处理后可
检查此关系是否满足,以防处理的错误。
4. 文件检查
保证用于处理的文件确是所要处理的文件,不要用错了文件。文件检查包括操作人员对
文件外部标签的检查和计算机对文件内部标签的检查。特别是在处理磁带文件的情况,可能
会拿错磁带。为了避免此类错误,磁带文件除有明显的外部文件标签外,还应在其开头存有
内部文件名,处理程序在处理前先检查其内部文件名,正确才进行处理。有时可能会拿错文
件版本,如数据恢复时,故处理时不仅要检查文件名,也要进行版本检查、建立时间检查等。
(三)输出控制
信息系统的输出如果出错或者输出资料被未经授权的人窃取或接触,都可能使企业遭受
损失,例如,打印出的支票丢失、有错、或送错地方,可能造成应付款项未付或错付,会使
企业信用和折扣等受损;机密(如交易机密、机密配方、市场调研成果等)外泄不仅可能使
企业经济受损,甚至会严重影响企业目标的实现,所以输出必须要有严格的控制。信息系统
的输出控制目的是要保证系统能准确、完整地输出经处理的信息,输出的信息要能满足管理
部门的需要,并保证输出的资料能及时送到规定的用户,禁止未经批准的人接触系统的输出
资料。常用的输出控制措施主要有:
1. 控制只有经批准的人才能执行输出操作,并要登记操作记录。尤其是对电子商务这样
的开放系统,一定要把信息严格分类,可对外公开的信息与内部使用信息严格分开,对信息
的输出进行严密的权限与密码管理,防止不具有权限的人通过网络输出系统的信息。
2. 在会计报表打印输出前由计算机检查报表间应有的勾稽关系是否满足,若不满足,给
出错误信息。
3. 对打印输出的资料要进行登记,并经有关人员检查后签章才送出使用或按会计档案的
要求保管,未经批准的人不得接触系统的输出资料。
4.对敏感的重要输出资料应有人监督整个操作过程,输出后立即送到使用者手上,或
者输出后立即放到其本人专有的保险箱;或者其本人直接到输出点签收;或者输送到专门的
保密室打印输出。有些机密文件的打印可用双层纸打印。其上层是全黑的看不清内容的,送
到合法阅读人手上后撕去上层才能阅读。
5.打错作废的机密资料应即时销毁或用碎纸机切成碎片后才放进废纸箱。
6.网络上多个用户共用一台打印机的情况下,多个用户的打印资料往往变成打印队列
文件先存在硬盘上再按序打印。要防止有人窜改队列文件内的数据,如金额、客户名等。
7.输出资料的使用者发现资料上有错误、可疑之处应报告系统管理员,以便查清错误
是由于程序开发、维护或数据输入、输出过程中产生的,追究责任。
第四节 信息系统内部控制的审计
一、信息系统内部控制审计的目的、内容和步骤
信息系统内部控制的审计是指审计人员对系统有关的内部控制措施进行审查、测试和评
价,作出审计意见。其目的是确定系统的内部控制设置是否完善适当;已有的控制是否恰当
地发挥了作用,达到了原来的设计目标;针对系统控制的缺陷和薄弱环节提出改进的建议,
并以此为依据调整下一步实质性测试阶段的范围、内容和深度。
信息系统内部控制审计的内容包括对系统一般控制和应用控制的完善性和有效性进行
审计,即上一节中所讨论的各个方面的控制问题的审计。在计算机信息处理条件下,审计人
员对内部控制的审查与评价的步骤与手工会计条件下的基本相同,按以下三步进行:
(一)了解并描述内部控制
审计人员应通过询问、观察、查阅系统的文档资料,跟踪一些业务的处理等方法了解被
审系统的内部控制的措施有那些,其控制目标是什么,并在工作底稿中描述这些控制。手工
会计条件下的内部控制描述方法──文字描述法、内部控制调查表法和流程图法,同样适用于
计算机化和网络化的情况,只不过具体的控制措施不同,描述的内容当然会不相同。因为在
计算机化条件下,很多处理和控制由计算机执行,流程图中要用到一些手工条件下没有的符
号。图 3-8 是在计算机化条件下内部控制流程图常用的一些符号。
符号 意义 符号 意义
计算机处理 手工输入
手工处理 判 断
文 档 磁 带
磁 盘 开始/终止
输入/输出 数据文件
转出系统外 归 档
流 线 结 点
图 3-8 在计算机化条件下内部控制流程图常用的符号
(二)符合性测试
� 了解并初步评价了内部控制后,如果审计师希望依赖系统的内部控制,则要对内部控制
进行符合性测试。信息系统的内部控制包括由人工执行的制度控制和由计算机执行的程序控
制。对人工控制,一般采用人工审查的方法。审计人员可通过询问有关人员,观察有关业务
的实际执行情况,检查有关的凭证、记录或报告,测试有关的控制是否有效执行。对程序控
制,一般是在计算机系统功能审计中审查,常采用计算机辅助审计技术。对计算机系统功能
的审查方法在将在第五章介绍。
(三)评价内部控制
� 符合性测试后,审计人员可以评价被审单位的内部控制是否达到了电算化条件下应有的
控制目标,内部控制是否有重大缺陷,有无过控或欠控之处,已设立的控制是否有效执行;
根据信息系统应有的内部控制和被审单位控制的薄弱环节准备管理建议书要点,并恰当调整
实质性测试的计划。一般来说,内部控制越强,质量越高,其控制风险就越小,所需做的实
质性测试工作就越少,审计成本也会较低。
二、对电子商务控制的审计
电子商务的数据处理涉及到交易各方的信息系统和计算机网络的通信线路,基于Internet
的电子商务系统更是一个开放系统,交易中没有纸性的审计线索。电子商务的特点及其固有
风险确定了其控制的重要性和特殊性。电子商务控制的审计也与一般的信息系统控制审计不
全相同,所以我们这里特别对电子商务控制的审计进行一些讨论。
(一)电子商务控制审计的内容
上一节我们已讨论过数据通信控制和电子商务的控制,电子商务控制的审计就是对这些
有关控制的设置及执行情况进行审查。具体来说,电子商务控制审计包括对下列内容的审查。
1.审查所有电子数据交换和电子商务业务的授权、确认是否均符合企业的规定。
2.审查是否有控制确保未经授权的企业不能访问企业的数据库的记录,已授权的单位只
能访问批准其访问的数据。
3.审查为保留审计线索而设置的控制措施都在发挥其作用。
4.审查电子商务中数据通信的安全性和可靠性。
(二)电子商务控制的审查
1.授权和有效性测试。审查业务处理前是否先核对交易伙伴的标识码。审计人员应审查:
(1)交易伙伴是否都经认证机构认证,有无合法的数字证书或经其它途径所确认证明,
可作抽样审查。审查和评价各种Internet上加密技术、防火墙技术等网络安全控制措施的有效
性。但所有这些都由每个单位组织审查和评价是不实际的,也是不必要的。解决电子商务有
关单位(如网上认证机构、网上银行等)的真实、可靠性审计,可以由这些机构聘请信誉和
资质都较高的独立审计机构对这些单位的资格、能力、安全及可靠性进行审计,并出具报告,
各有关单位则依赖这些审计报告进行评价。对有关安全保密技术有效性的审查,同样可由有
信誉和技术水平较高的独立部门或机构对这些技术组织评审和鉴定,并提出评价报告,供审
计人员参考。
(2)数字凭证等业务文件有无数字签名,或系统中有无保证交易伙伴的信息是完整、正
确的功能。
(3)抽样检查交易伙伴文件的准确性、完整性。
2.审查访问控制。交易伙伴文件和交易数据库的安全是电子商务控制的核心,审计人员
应审查这些控制是否适当:
(1)是否经授权的人员才能访问交易伙伴文件,权限表和口令是否加密存储。
(2)交易伙伴访问企业数据库的程度(如存货水平、价格等)是否有合约规定,审计人
员应审查访问权限表的权限是否与合约的规定相符。
(3)模仿一些交易伙伴企图越权访问,看系统是否会拒绝。
3.审计线索控制的审查。
审查电子数据交换和电子商务业务各处理阶段的业务处理自动记录,看是否每个阶段的
关键字、关键数据都自动登记下来了。
4.审查系统中是否建有审计子系统,提供审计程序、审计工具和审计档案库,以便审计
人员进行网上审计。
5.对企业电子数据交换和电子商务管理制度的完善性和有效性进行审计。抽样审查看
这些控制是否都被严格遵守。
第五节 控制矩阵在内部控制审计中的应用
审计人员对计算机信息系统的内部控制进行审计时首先要审查清楚系统设置了那些控
制,其次要判别在这些控制中哪些控制是必需的、必不可少的;哪些是多余的或可有可无的;
控制是否充分、恰当,有无过控制或控制不足。因此,对信息系统的控制进行全面了解就显
得十分必要了。它的主要功能是检查系统中是否设置了适当的控制措施,发现并纠正系统中
多余或不足的控制,提出增加或减少某些控制措施的建议,以保证企业资产的安全,保证系
统对信息的处理符合有关法规和制度的规定,保证信息及时、准确、相关、完整、安全,而
又保持控制成本在合理、合适的范围内。这里引入控制矩阵的概念,介绍其编制方法及利用
其进行计算机审计的步骤,它将有助于改善和丰富对内部控制审计的思路和手段。
一、控制矩阵概述
(一)控制矩阵(control matrix)
控制矩阵是一个控制目标及其相关控制措施的列表,是为了帮助系统研究、开发、运行、
管理和审计人员全面、透彻地了解某一特定系统的控制情况,分析其优缺点,以便采取相应
措施来加强对系统的控制,以确保系统目标的顺利实现而采用的一种系统控制分析工具。通
过控制矩阵,可以为某一特定系统的控制情况建立起有效的评估标准,从而有利于我们对现
有系统控制的分析、评价及改进。一个完整的控制矩阵如图 3-9 所示,包括三个基本的元素:
(1)控制目标。分为经营系统的控制目标和信息系统的控制目标两类。
(2)控制措施。指为了确保系统目标的实现所应采取的各种合理、有效的控制措施。
(3)单元内容。在控制矩阵中,位于某项控制措施和控制目标的行和列的交汇处的矩
形方框,称为单元。依据单元中是否打勾,我们可以清晰地了解已有的每一个控制措施对哪
些控制目标是有效的;每一个控制目标已经有了哪些控制措施,或者根本没有;哪些控制目
标的控制措施过多,是否过控制了,可否去掉某些控制措施;哪些控制措施比较有效,能对
较多的控制目标起作用;哪些控制措施效果不大,只对少数目标起作用,是否可把它去掉不
用,以降低控制成本。
(二)控制矩阵的编制方法
一般来说,编制系统的控制矩阵,可以遵循以下步骤:
1.对系统进行全面、透彻的分析和深入的了解。
了解和分析的内容包括系统的功能、任务、目标、业务处理的程序、步骤以及易发生错
误和舞弊的环节。可通过分析系统流程图、数据流程图、功能结构图及对系统的有关文字描
述等方面而得出。
2. 定出系统控制目标。
在第一步完成后,列出为了保证系统总目标的实现,对系统进行控制所应达到的控制目
标,包括经营系统的控制目标和信息系统的控制目标。在列控制目标这项时,必须确保所列
的控制目标是为实现系统总目标服务的,不要将一些对实现系统总目标无关的控制目标列入
控制矩阵,更不能使系统的某些总目标没有相应的控制目标来保证其实现。控制目标的完整
列示对于保证所画的控制矩阵的准确和完整十分关键。
3.在对现有的信息系统进行调查分析的基础上,列出系统现有的控制措施。
4.根据每一项措施对那些控制目标其起作用,在相应的单元中打上“√”。
5.分析这些单元内容所反映的状况,判断控制系统是否恰当地对所有的控制目标进行
了必要的控制,把分析结果填入“原有控制措施分析底稿”上,如图 3-9 所示。最后反复推敲,
提出处置建议,填入分析底稿的处置建议栏。
6.针对分析底稿中要修改的控制措施,扩充控制矩阵的行数,增加修改后的控制措施
栏,填入修改后的控制措施,并根据每一项措施针对的控制目标,在相应的单元中打“√”。
7.针对系统控制的不足,提出需增加的控制措施,扩充控制矩阵填入新增加的措施,
并根据每一项措施针对的控制目标,在相应的单元中打“√”。
8.最后,在控制矩阵的底部,对需要说明的事项(如控制目标的详细内容等)以注释
的形式进行详细的说明。
(三)控制矩阵的作用和使用方法
控制矩阵是我们分析某一控制系统有效性、效率、完整性和可靠性等指标的一种有效的
系统控制分析工具,它具有简单、清晰、明了等特点。具体说来,有以下几个作用:
1.通过控制矩阵,可以了解现有控制系统的有效性、完整性。
控制系统有效性指的是系统的每一项控制目标都至少有一项控制措施来保证其能贯彻
实现,如果控制系统中存在某项控制目标没有控制措施来保证(即该列没有打�的单元),则
说明控制系统在有效性方面有所欠缺,需要采取措施加以完善。通过控制矩阵,可以很明了
地看出现有控制系统的每一项目标是否都有控制措施来加以保证,从而便于我们对现有控制
系统的有效性、完整性做出评价。
2. 通过控制矩阵,可以了解现有控制系统的控制效率。
当控制系统中的某项控制措施对多项控制目标有效时,则可定性地认为这项控制措施是
经济、高效、符合成本效益原则的。反之,当某项控制目标有多项措施保证时,除非每一控
制措施都是必不可少的,否则就表明了控制系统可能存在多余的控制措施,需要我们对该项
控制目标的每项控制措施加以认真的分析后,提出删改意见。通过控制矩阵,我们可以很快
地了解到每项控制目标的所有控制措施(同一列中打�的措施),从而有利于对现有控制系统
的控制效率做出评价。
3.通过控制矩阵,可以了解现有控制系统所存在的优缺点,以利于我们对控制系统进
一步加以改进、完善。
实际上,填列第一部分“原有控制措施”的过程,就是我们对现有控制系统的有效性和控制效
率进行评价的过程,我们可以清晰地看出现有系统已采用的控制措施,它们对目标的确保情
况。那些系统不可或缺的控制措施和能同时对多个目标起作用的控制措施,构成原有控制系
统的主要优点,那些过控制、控制不足或不符合成本效益原则的控制措施构成原有控制系统
的基本缺点;在我们对现有系统提出改进意见时,要注意保留原有的优点,对于缺点则根据
情况分别采取增、删、改三种方式,把修改后的控制措施和增加的控制措施分别填入第二部
分“修改后过的控制措施”和第三部分“增加的控制措施”,然后分析填列它们相应的单元内容,
最后就可以得到一个控制目标明确、控制措施完善的控制系统。
经营系统控制目标 信息系统控制目标
确保高
效操作
确保发票输
入
产品销售主
文件
客户文件
未核销应收
账款文件
控制目标
.
控制措施
A
�
B
�
确
保
资
源
使
用
效
率
�
确
保
资
源
安
全
�
IV
�
IC
�
IA
�
UC
�
UA
�
UC
�
UA
�
UC
�
UA
�
(1)审查客户信用后才开销货单 √
(2)开单后即输入计算机或输入
销售数据由计算机自动打印发
票
√ √ √ √ √ √ √
(3)提货时仓库依提货单输入出
库数据,计算机再与机内客户
文件中的数据核对
(4)发票输入经审核后才能过账
√ √ √
原
有
控
制
措
施
(5)资料登记制度,未经批准的
人不得接触系统的输出资料 √
(6)只有系统授权的操作员才可
在授权范围内使用系统
√
(7)业务数点计、控制总数核对、
编号顺序校验、数据合理性检
验、输入数据类型校验、溢出
校验、平衡校验
√ √ √ √ √ √ √ √ √
(8)通过程序严格控制不能对记
过账的凭证和相关数据库进行
直接修改
√ √ √
(9)错误检查、改正与重提
√ √
修
改
过
的
措
施
(10)提货时仓库依提货单输入
出库数据,计算机再与机内销
售凭证数据自动核对
√ √ √ √
(11)定期核对销售价和运杂费
和折扣标准等
√
(12)货物出库时与出库单核对
√
(13)按运输方式制定标准运送
时间,计算每次发货需要的时
间,据以衡量运输效率
√ √ √
(14)定期确定客户的余额,向客
户发送对账单和询证表
√ √ √
增
加
的
控
制
措
施 (15)核对提货单、装箱单和发运
单,对后开票系统三者相符才
能开票
√ √
A——及时开出发票,售出货物,以便加速资金周转。
B——让客户尽快提货或尽快把货物发运给客户,少占仓库,减少库存资金积压。
IV=输入的有效性(Input Validity)
IC=输入的完整性(Input Completeness)
IA=输入的准确性(Input Accuracy)
UA=更新的准确性(Update Accuracy)
UC=更新的完整性(Update Completeness)
图 3-9 ××公司销售与应收账款系统的控制矩阵
二、利用控制矩阵模型辅助信息系统控制审计
审计人员对信息系统进行审计的一个重要内容就是对它的控制系统进行分析和评价,并
提出改进完善意见。此时,控制矩阵模型就成为一个十分有效的工具。一般而言,利用控制
矩阵模型进行系统控制审计有以下几个步骤:
1.通过调查询问、查阅系统的文档资料、跟踪系统的一些业务处理等了解计算机信息
系统现有的内部控制,包括一般控制、应用控制,并用文字描述法、内部控制问卷法或流程
图法记录与描述系统的内部控制。
2.根据对系统控制的了解画出系统的控制矩阵。
3.分析控制矩阵,对各控制目标是否有完善的控制措施、已有的控制措施是否恰当进
行中肯的评价和提出恰当的建议。
4.根据上述建议修改、完善原控制矩阵。
5.对系统原有的必要控制措施进行符合性审计,确定这些控制的有效性。
6.对系统的内部控制提出审计意见,包括对系统内部控制(包括控制的强点与薄弱环
节)的评价和改进的建议(包括应增加与强化的控制和可减少的重复控制)。
下面我们以某公司的销售与应收账款系统为例,说明在信息系统内部控制审计的过程中
控制矩阵模型的使用。
首先,审计人员从公司有关管理部门和经营业务部门全面了解销售与应收账款系统及其
控制系统组成,从信息系统文档资料管理员获取销售系统的文档,进行认真的审阅后绘制出
系统流程图,通过对系统流程图和其他相关资料的分析填列销售与应收账款系统控制矩阵,
列示出了原有的 9 项控制措施,并通过单元内打“√”反映出了它们能够实现的控制目标,如
图 3-9 上半部。然后进一步对已有控制进行分析,发现第(3)个控制措施需要修改,此外未
发现多余的控制。同时,对原有控制措施的分析还发现了某些环节控制不足的问题。分析的
结果列示于分析底稿中,如图 3-10 所示。最后把修改的、增加的措施添加于矩阵内,形成了
现在我们看到的如图 3-9 的对于公司来说比较实用和完善的控制矩阵。
措施或目标 分析意见 处置建议
措施(1) 恰当 保留
措施(2) 恰当 保留
措施(3) 核对文件错误,无法对达到任何控制目标有用 修改,见措施(10)
措施(4) 恰当 保留
措施(5) 恰当 保留
措施(6) 恰当 保留
措施(7) 恰当 保留
措施(8) 恰当 保留
措施(9) 恰当 保留
目标(1) 控制措施不足,应加强 增加措施(13)
目标(2) 控制措施不足,应加强 增加措施(13)
目标(3) 控制措施不足,应加强 增加措施(13)
目标(4) 控制措施不足,应加强
增 加 措 施 ( 11 )、
(12)、(15)
目标(5) 控制措施不足,应加强 增加措施(14)、(15)
目标(6) 控制措施不足,应加强 增加措施(14)
目标(7) 控制措施不足,应加强 增加措施(14)
目标(8) 控制恰当
目标(9) 控制恰当
目标(10) 控制恰当
目标(11) 控制恰当
目标(12) 控制恰当
目标(13) 控制恰当
图 3-10 ××公司销售与应收账款系统原有控制措施分析底稿
复习题
1. 简述信息系统控制的重要性。
2. 信息系统控制的类型和措施都有哪些?各控制类型和措施分别针对系统控制的那些方
面?
3.计算机信息系统环境下的人员监督与手工下的有何不同?
4.有一个公司的 10 个分公司均在一个省内,每个分公司的数据存储于自己的计算机内;
另一公司也有 10 个子公司,分布于 5 个省,其数据集中存储于其中一个省会的公司总部的
主计算机内。那一种情况更易受到非授权访问的攻击,遇到灾难性灾害时损失更大?
5.比较灾难恢复的 4 种选择,即:互助合约、空壳、恢复运作中心、内部后备。按风
险和成本由大到小对它们进行排队。
6.应由谁决定那些是重要的应用?如何决定?多长时间重新决定?
7.远程通信的信息系统中有那些主要的威胁?
8.什么是防火墙?网络级和应用级防火墙主要区别何在?
9.下面那些是设备故障控制?那些是非法访问控制:
(1)信息授权。
(2)奇偶校验。
(3)回叫机制。
(4)回波检测。
(5)数据加密。
(6)应答技术。
10.电子商务中的业务有效性通过那几个处理时点上的控制来加以保证?
11.输入控制有那些主要类型?
12.批控制的主要目标是什么?
13.电子商务中业务登记的目的是什么?
14.简述信息系统的管理制度的内容。
15.简述控制矩阵的定义及其三要素。
练习题
1.用 P(Preventive)/D(Detective)/C(Corrective)标注下面的控制措施(如认为合适,可标
多于一个符号,并作出简单解释。)
(1)任务轮换并强制休假。_________
(2)订立忠诚契约。_________
(3)适当的人员监督。_________
(4)规范人员辞退程序。_________
(5)职责分离。_________
(6)授权表。_________
(7)操作日志。_________
(8)设置门卫、上锁、带徽章或身份卡等限制进入机房。_________
(9)进入应用系统的安全检查程序(用户名、口令、权限等的检查)。_________
(10)资料库控制。_________
(11)内外文件名。_________
(12)程序修改控制。_________
(13)水、火灾报警。_________
(14)水、火灾保险。_________
(15)UPS 电源。_________
(16)磁带按祖父、父亲、儿子三代存储。_________
(17)修改主文件前先备份。_________
(18)硬件完好性检查。_________
(19)系统使用手册。_________
(20)员工培训。_________
2.多选题:
(1)一个附于合法的程序上但并不自我复制的程序是属于:
A.病毒 B.寄生 C.特洛伊木马 D.逻辑炸弹
(2)下面那一个不是分布式数据处理要控制的问题:
A.数据冗余 B.用户满意 C.不兼容性 D.缺乏标准
(3)以下那种恢复技术在大范围的自然灾害中最不可取:
A.空壳 B.互助合约 C.内部后备 D.它们都同样好。
(4)以下那个对计算机硬件和外围设备不是一种潜在威胁:
A.低湿度 B.高湿度 C.二氧化碳灭火器 D.水灭火器
(5)应用控制的主要目标是:
A.确保有效地操作计算机系统
B. 保证特定应用的输入、文件、输出的准确性
C.保证不兼容功能的分离
D.控制硬件的功能
E.给系统备份和设备保护做计划
(6)鉴别一个用户是否有访问数据库中某部分数据的规定建立在:
A.操作系统中 B.操作手册中 C.数据库模式中 D.应用程序中
3.下面(1)-(10)的每一种情况发生时可能出现什么问题?用 A-L 的 12 种控制措施
的那一种能最好地加以防止?
10 种情况是:
(1)一个程序员在计算工资的程序中植入了一个逻辑炸弹,当他被解雇时,下月计算工
资将破坏工资文件的全部记录。
(2)一个程序员在获得访问工资文件时把自己的基本工资加大了。
(3)应付账款的磁带主文件在被错误地作为应收账款文件来登账时被破坏了。
(4)一群示威者趟入一个公用计算中心一整晚并损坏了几十万元的计算机设备。
(5)当正过银行存款日记账时电网突然受到干扰而失效瞬间,使该业务要从头重新开始,
至使计算机作业不能按时完成。
(6)一个机房操作员在晚上正在修改存货主文件时突然死机,他惊慌地叫醒了正在睡觉
的管理员帮助重新启动此作业。
(7)一个程序员在被告知将被辞退的两周内破坏了他受雇以来开发的程序的所有文档资
料。
(8)大火焼毁了机房的一部分和邻近的资料保管室,花了几个月的时间才从原始资料和
其它的备份中恢复系统。
(9)一个职员最近与头头不合,在中午吃饭时带了一块磁铁溜进机房,把它放在几卷磁
带文件附近,这些文件全被破坏了,花了几个小时才从备份恢复。
(10)一个高中学生编了一个能产生随机电话号码和密码的程序,在他的微机上通过调
制解调器访问了一个大国际公司的计算机系统。
A-L12 种控制措施:
A.程序数据备份文件远离机房保管。
B.内部和外部文件名。
C.人员辞退的步骤。
D.安全保卫。
E.程序修改控制。
F.操作手册。
G.资料库控制措施。
H.UPS 电源。
I.文件保护环。
J.人员佩戴标识徽章。
K.参观人员登记并带徽章。
L.设置安全模块监督企图破坏系统安全的操作。
4.对上题的确 1-10 种情况的每一种,再找一个本章提到或你想到的 A-L 以外的控制措
施,并说明其是预防、探测或纠正性控制措施。
5. 下列每种情况将会产生所列 A-I 的 9 种隐患的那一种或几种?并为每种情况找一个最
恰当的控制措施。
(1)吉某是全公司有名的努力工作的出纳,3 年后他患了胆囊炎几周不能上班,由财务
主管暂代他的工件,发现自吉工件以来挪用了几万元。
(2)上述事件后,财务主管说:“我早知他是有问题的,以他的工资不可能老到外面吃
饭。”
(3)某程序员修改自动打印订单程序,使编号为 1234 的材料每次到重订货点时产生两
个低于 500 公斤的订购记录,按规定无需主管批准。
(4)某公司雇用了一个已毕业 10 年以上的会计专业毕业的人员做会计师,一个月后,
财务主管问他有关每股红利报表的事,他无言以对。后来查明他是学机械工程的。
(5)一个夜班的生产调度员下班后用公司的他工作用的计算机给当地高尔夫俱乐部(他
是会员)计算赛马有关的问题。
(6)老师安排学生去参观一个大银行的 EDP 中心,一个学生的父亲原是该银行的职员,
但最近被解雇了。该学生参观后没把参观证章交回去,而是给了他父亲。他父亲用该证章进
入银行 EDP 中心,用磁性方法清洗了好几盘磁带。
(7)在雷雨时一个职员在销售订单录入终端上录入了一个多小时后,电闪使公司电源
停电。当恢复供电时,他要重新录入全部数据。
(8)应付账款部的用户手册没有填写批准凭证输入的表格的详细指引,使上月全部未
填到期日期,结果好些凭证少收了供应商允诺的折扣。
A-I 9 种可能的隐患:
A.记录错误。
B.不可接受的会计。
C.业务中断。
D.决策错误。
E.作弊或盗窃。
F.引起诉讼纠纷。
G.成本增加或减少收入。
H.资源丢失或毁损。
I.竞争不利。
6.试根据你对销售与采购业务的控制目标与控制措施的了解,分别画出销售与采购系
统的控制矩阵。
