Helena公司是從事外匯實時交易的公司,計算機系統(tǒng)是由一個程序員進行的設計并研發(fā)的,在上線的時候進行了平行測試和先導測試。該程序員同時兼任操作員。Helena公司有大量外匯交易。同時Helena公司對于該公司計算機系統(tǒng)訪問控制的要求是口頭的,沒有書面的文件。但公司非常自信自身信息系統(tǒng)的穩(wěn)定性和安全性,認為不可能有災難性的情況出現(xiàn)。該公司內審部正在對該公司的信息系統(tǒng)職能進行內審,對于計算機的應用控制提出了一些意見和建議。Helena公司隨后進行了外部審計,外部審計事務所對該公司的風險進行了評估。
  1、請指出Helena公司的信息系統(tǒng)內部控制的缺陷?
  2、一個企業(yè)的計算機系統(tǒng)訪問控制良好表現(xiàn)在什么方面?
  3、假設Helena公司出現(xiàn)災難性的情況,應當如何進行自身信息系統(tǒng)的挽救工作?
  4、計算機的應用控制包括哪幾種?
  5、外部審計對于Helena的風險評估應當是什么樣,為什么?
  試題解析
  問題一:請指出Helena公司的信息系統(tǒng)內部控制的缺陷?
  內部控制的缺陷包括:該系統(tǒng)由一個程序員進行研發(fā),該程序員又兼任操作員,
  訪問控制文件缺失。
  問題二:一個企業(yè)的計算機系統(tǒng)訪問控制良好表現(xiàn)在什么方面?
  良好的訪問控制需要大家熟練記憶和掌握,它包括:
  1、訪問人員應當?shù)玫绞跈嗪蟛拍茉L問
  2、管理人員可以限制訪問人員的訪問權限,內容和時間
  3、管理人員可以按照訪問的時間,地點和內容發(fā)現(xiàn)或者判別非授權訪問或者非法訪問的情況
  問題三:假設Helena公司出現(xiàn)災難性的情況,應當如何進行自身信息系統(tǒng)的挽救工作?
  1、確定災后數(shù)據(jù)恢復小組及其領導,獲取*6領導支持,參與者明確其所要負責的事項及責任;
  2、進行風險評估,分析災難對企業(yè)運營的影響、數(shù)據(jù)恢復的成本及數(shù)據(jù)恢復速度對企業(yè)的影響等;
  3、遇到災難,很可能臨時組織的資源是有限的,因此要分出任務的輕重緩急、優(yōu)先次序,先做最重要的。
  4、確定災后數(shù)據(jù)恢復的流程和程序,需要時對相關人進行緊急培訓;
  5、應及時、透明的和員工交流.如需要也要做好公共關系方面的工作.
  6、確定數(shù)據(jù)恢復所需要的設備包括硬件和軟件、技術支持等,必要時尋求熱站或冷站
  7、搜集備份的數(shù)據(jù)以進行恢復
  問題四:計算機的應用控制包括哪幾種?
  應用控制目的是設計用來合理地保證系統(tǒng)在特定的應用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報告功能。它是計算機被應用過程中出現(xiàn)的控制行為。包括輸入控制、處理控制(processcontrol又叫過程控制)和輸出控制。
  問題五:外部審計對于Helena的風險評估應當是什么樣,為什么?
  外部審計是參照AICPA的三個風險要素進行評估的
  從風險的類型來看,有以下幾類:
  固有風險:是天生的,與內部控制有否無關
  控制風險:公司的內部控制存在,但控制無效的可能性
  失偵風險:某項錯誤或欺詐未被審計程序所察覺的可能性(雖然審計了也沒有查出問題)
  外部審計針對一個公司進行風險評估時候,要考察該公司的固有風險和控制風險。
  該企業(yè)的兩個風險都很大,原因是:
  1、該企業(yè)有大量外匯交易,這樣會存在外匯轉換風險,固有風險較大
  2、該企業(yè)的內部控制本身有各種問題,控制風險很大