Helena公司是从事外汇实时交易的公司,计算机系统是由一个程序员进行的设计并研发的,在上线的时候进行了平行测试和先导测试。该程序员同时兼任操作员。Helena公司有大量外汇交易。同时Helena公司对于该公司计算机系统访问控制的要求是口头的,没有书面的文件。但公司非常自信自身信息系统的稳定性和安全性,认为不可能有灾难性的情况出现。该公司内审部正在对该公司的信息系统职能进行内审,对于计算机的应用控制提出了一些意见和建议。Helena公司随后进行了外部审计,外部审计事务所对该公司的风险进行了评估。
  1、请指出Helena公司的信息系统内部控制的缺陷?
  2、一个企业的计算机系统访问控制良好表现在什么方面?
  3、假设Helena公司出现灾难性的情况,应当如何进行自身信息系统的挽救工作?
  4、计算机的应用控制包括哪几种?
  5、外部审计对于Helena的风险评估应当是什么样,为什么?
  试题解析
  问题一:请指出Helena公司的信息系统内部控制的缺陷?
  内部控制的缺陷包括:该系统由一个程序员进行研发,该程序员又兼任操作员,
  访问控制文件缺失。
  问题二:一个企业的计算机系统访问控制良好表现在什么方面?
  良好的访问控制需要大家熟练记忆和掌握,它包括:
  1、访问人员应当得到授权后才能访问
  2、管理人员可以限制访问人员的访问权限,内容和时间
  3、管理人员可以按照访问的时间,地点和内容发现或者判别非授权访问或者非法访问的情况
  问题三:假设Helena公司出现灾难性的情况,应当如何进行自身信息系统的挽救工作?
  1、确定灾后数据恢复小组及其领导,获取*6领导支持,参与者明确其所要负责的事项及责任;
  2、进行风险评估,分析灾难对企业运营的影响、数据恢复的成本及数据恢复速度对企业的影响等;
  3、遇到灾难,很可能临时组织的资源是有限的,因此要分出任务的轻重缓急、优先次序,先做最重要的。
  4、确定灾后数据恢复的流程和程序,需要时对相关人进行紧急培训;
  5、应及时、透明的和员工交流.如需要也要做好公共关系方面的工作.
  6、确定数据恢复所需要的设备包括硬件和软件、技术支持等,必要时寻求热站或冷站
  7、搜集备份的数据以进行恢复
  问题四:计算机的应用控制包括哪几种?
  应用控制目的是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和报告功能。它是计算机被应用过程中出现的控制行为。包括输入控制、处理控制(processcontrol又叫过程控制)和输出控制。
  问题五:外部审计对于Helena的风险评估应当是什么样,为什么?
  外部审计是参照AICPA的三个风险要素进行评估的
  从风险的类型来看,有以下几类:
  固有风险:是天生的,与内部控制有否无关
  控制风险:公司的内部控制存在,但控制无效的可能性
  失侦风险:某项错误或欺诈未被审计程序所察觉的可能性(虽然审计了也没有查出问题)
  外部审计针对一个公司进行风险评估时候,要考察该公司的固有风险和控制风险。
  该企业的两个风险都很大,原因是:
  1、该企业有大量外汇交易,这样会存在外汇转换风险,固有风险较大
  2、该企业的内部控制本身有各种问题,控制风险很大