Helena公司是從事外匯實時交易的公司,計算機系統(tǒng)是由一個程序員進行的設(shè)計并研發(fā)的,在上線的時候進行了平行測試和先導測試。該程序員同時兼任操作員。Helena公司有大量外匯交易。同時Helena公司對于該公司計算機系統(tǒng)訪問控制的要求是口頭的,沒有書面的文件。但公司非常自信自身信息系統(tǒng)的穩(wěn)定性和安全性,認為不可能有災(zāi)難性的情況出現(xiàn)。該公司內(nèi)審部正在對該公司的信息系統(tǒng)職能進行內(nèi)審,對于計算機的應(yīng)用控制提出了一些意見和建議。Helena公司隨后進行了外部審計,外部審計事務(wù)所對該公司的風險進行了評估。
  1、請指出Helena公司的信息系統(tǒng)內(nèi)部控制的缺陷?
  2、一個企業(yè)的計算機系統(tǒng)訪問控制良好表現(xiàn)在什么方面?
  3、假設(shè)Helena公司出現(xiàn)災(zāi)難性的情況,應(yīng)當如何進行自身信息系統(tǒng)的挽救工作?
  4、計算機的應(yīng)用控制包括哪幾種?
  5、外部審計對于Helena的風險評估應(yīng)當是什么樣,為什么?
  試題解析
  問題一:請指出Helena公司的信息系統(tǒng)內(nèi)部控制的缺陷?
  內(nèi)部控制的缺陷包括:該系統(tǒng)由一個程序員進行研發(fā),該程序員又兼任操作員,
  訪問控制文件缺失。
  問題二:一個企業(yè)的計算機系統(tǒng)訪問控制良好表現(xiàn)在什么方面?
  良好的訪問控制需要大家熟練記憶和掌握,它包括:
  1、訪問人員應(yīng)當?shù)玫绞跈?quán)后才能訪問
  2、管理人員可以限制訪問人員的訪問權(quán)限,內(nèi)容和時間
  3、管理人員可以按照訪問的時間,地點和內(nèi)容發(fā)現(xiàn)或者判別非授權(quán)訪問或者非法訪問的情況
  問題三:假設(shè)Helena公司出現(xiàn)災(zāi)難性的情況,應(yīng)當如何進行自身信息系統(tǒng)的挽救工作?
  1、確定災(zāi)后數(shù)據(jù)恢復小組及其領(lǐng)導,獲取*6領(lǐng)導支持,參與者明確其所要負責的事項及責任;
  2、進行風險評估,分析災(zāi)難對企業(yè)運營的影響、數(shù)據(jù)恢復的成本及數(shù)據(jù)恢復速度對企業(yè)的影響等;
  3、遇到災(zāi)難,很可能臨時組織的資源是有限的,因此要分出任務(wù)的輕重緩急、優(yōu)先次序,先做最重要的。
  4、確定災(zāi)后數(shù)據(jù)恢復的流程和程序,需要時對相關(guān)人進行緊急培訓;
  5、應(yīng)及時、透明的和員工交流.如需要也要做好公共關(guān)系方面的工作.
  6、確定數(shù)據(jù)恢復所需要的設(shè)備包括硬件和軟件、技術(shù)支持等,必要時尋求熱站或冷站
  7、搜集備份的數(shù)據(jù)以進行恢復
  問題四:計算機的應(yīng)用控制包括哪幾種?
  應(yīng)用控制目的是設(shè)計用來合理地保證系統(tǒng)在特定的應(yīng)用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報告功能。它是計算機被應(yīng)用過程中出現(xiàn)的控制行為。包括輸入控制、處理控制(processcontrol又叫過程控制)和輸出控制。
  問題五:外部審計對于Helena的風險評估應(yīng)當是什么樣,為什么?
  外部審計是參照AICPA的三個風險要素進行評估的
  從風險的類型來看,有以下幾類:
  固有風險:是天生的,與內(nèi)部控制有否無關(guān)
  控制風險:公司的內(nèi)部控制存在,但控制無效的可能性
  失偵風險:某項錯誤或欺詐未被審計程序所察覺的可能性(雖然審計了也沒有查出問題)
  外部審計針對一個公司進行風險評估時候,要考察該公司的固有風險和控制風險。
  該企業(yè)的兩個風險都很大,原因是:
  1、該企業(yè)有大量外匯交易,這樣會存在外匯轉(zhuǎn)換風險,固有風險較大
  2、該企業(yè)的內(nèi)部控制本身有各種問題,控制風險很大