Helena公司是從事外匯實時交易的公司,計算機系統(tǒng)是由一個程序員進行的設(shè)計并研發(fā)的,在上線的時候進行了平行測試和先導(dǎo)測試。該程序員同時兼任操作員。Helena公司有大量外匯交易。同時Helena公司對于該公司計算機系統(tǒng)訪問控制的要求是口頭的,沒有書面的文件。但公司非常自信自身信息系統(tǒng)的穩(wěn)定性和安全性,認(rèn)為不可能有災(zāi)難性的情況出現(xiàn)。該公司內(nèi)審部正在對該公司的信息系統(tǒng)職能進行內(nèi)審,對于計算機的應(yīng)用控制提出了一些意見和建議。Helena公司隨后進行了外部審計,外部審計事務(wù)所對該公司的風(fēng)險進行了評估。
  1、請指出Helena公司的信息系統(tǒng)內(nèi)部控制的缺陷?
  2、一個企業(yè)的計算機系統(tǒng)訪問控制良好表現(xiàn)在什么方面?
  3、假設(shè)Helena公司出現(xiàn)災(zāi)難性的情況,應(yīng)當(dāng)如何進行自身信息系統(tǒng)的挽救工作?
  4、計算機的應(yīng)用控制包括哪幾種?
  5、外部審計對于Helena的風(fēng)險評估應(yīng)當(dāng)是什么樣,為什么?
  試題解析:
  問題一:請指出Helena公司的信息系統(tǒng)內(nèi)部控制的缺陷?
  內(nèi)部控制的缺陷包括:該系統(tǒng)由一個程序員進行研發(fā),該程序員又兼任操作員,
  訪問控制文件缺失。
  問題二:一個企業(yè)的計算機系統(tǒng)訪問控制良好表現(xiàn)在什么方面?
  良好的訪問控制需要大家熟練記憶和掌握,它包括:
  1、訪問人員應(yīng)當(dāng)?shù)玫绞跈?quán)后才能訪問
  2、管理人員可以限制訪問人員的訪問權(quán)限,內(nèi)容和時間
  3、管理人員可以按照訪問的時間,地點和內(nèi)容發(fā)現(xiàn)或者判別非授權(quán)訪問或者非法訪問的情況
  問題三:假設(shè)Helena公司出現(xiàn)災(zāi)難性的情況,應(yīng)當(dāng)如何進行自身信息系統(tǒng)的挽救工作?
  1、確定災(zāi)后數(shù)據(jù)恢復(fù)小組及其領(lǐng)導(dǎo),獲取*6領(lǐng)導(dǎo)支持,參與者明確其所要負(fù)責(zé)的事項及責(zé)任;
  2、進行風(fēng)險評估,分析災(zāi)難對企業(yè)運營的影響、數(shù)據(jù)恢復(fù)的成本及數(shù)據(jù)恢復(fù)速度對企業(yè)的影響等;
  3、遇到災(zāi)難,很可能臨時組織的資源是有限的,因此要分出任務(wù)的輕重緩急、優(yōu)先次序,先做最重要的。
  4、確定災(zāi)后數(shù)據(jù)恢復(fù)的流程和程序,需要時對相關(guān)人進行緊急培訓(xùn);
  5、應(yīng)及時、透明的和員工交流.如需要也要做好公共關(guān)系方面的工作.
  6、確定數(shù)據(jù)恢復(fù)所需要的設(shè)備包括硬件和軟件、技術(shù)支持等,必要時尋求熱站或冷站
  7、搜集備份的數(shù)據(jù)以進行恢復(fù)
  問題四:計算機的應(yīng)用控制包括哪幾種?
  應(yīng)用控制目的是設(shè)計用來合理地保證系統(tǒng)在特定的應(yīng)用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報告功能。它是計算機被應(yīng)用過程中出現(xiàn)的控制行為。包括輸入控制、處理控制(processcontrol又叫過程控制)和輸出控制。
  問題五:外部審計對于Helena的風(fēng)險評估應(yīng)當(dāng)是什么樣,為什么?
  外部審計是參照AICPA的三個風(fēng)險要素進行評估的
  從風(fēng)險的類型來看,有以下幾類:
  固有風(fēng)險:是天生的,與內(nèi)部控制有否無關(guān)
  控制風(fēng)險:公司的內(nèi)部控制存在,但控制無效的可能性
  失偵風(fēng)險:某項錯誤或欺詐未被審計程序所察覺的可能性(雖然審計了也沒有查出問題)
  外部審計針對一個公司進行風(fēng)險評估時候,要考察該公司的固有風(fēng)險和控制風(fēng)險。該企業(yè)的兩個風(fēng)險都很大,原因是:
  1、該企業(yè)有大量外匯交易,這樣會存在外匯轉(zhuǎn)換風(fēng)險,固有風(fēng)險較大
  2、該企業(yè)的內(nèi)部控制本身有各種問題,控制風(fēng)險很大