美国政府审计准则：电算化系统审计

政府效益和项目成果审计的第五项检查和评价准则是:

审计职员应当:

1.检查数据处理系统中的一般控制，以确定:（a）设计的控制是否符合治理方针和要求；(b)控制能否有效地发挥作用，保证数据处理的可靠性和安全性;


2.检查数据处理系统中的控制，并据此评价应用控制在保证数据处理的及时性、正确性和完整性方面的可靠程度;

除检查一般控制和应用控制外，审计职员还应参与新数据处理系统或应用项目的设计与开发以及其后所进行的重大修改工作。

可能的情况是，开发出来的数据处理系统缺乏控制措施，因此治理职员和审计职员就不能依靠其完整性。所以，假如治理部分指看正在开发的系统在可审性和适当控制方面得到公道的保证，那么审计职员在系统设计与开发过程中的检查就是至关重要的。要达到这一目标并不总是可行的，由于审计机构可能没有检查系统设计与开发所需的资源或人力。但是，这项检查应当作为一个审计目标。

一、电算化系同一般控制的检查

数据处理方式由机械处理向自动化处理的转变，需要改进传统的审计"自动化数据处理系统的复杂性和范围的广泛性，要求审计职员给予处理数据的系统和数据本身更多的关注。假如系统在安全性方面得到公道的保证并具有足够的控制，审计职员就可以信赖被处理的报告的数据。审计职员应该区别一般控制和应用控制。"一般控制通常适用于系统进行的大部分数据处理，而应用控制则可能因应用项目而异，而要分别加以检查。在检查个别应用控制时，审计职员应考虑被查系同一般控制的效果;

1.组织控制。职权和责任的分配必须以能够保证有效果、高效率地实现组织目标的方式进行。审计职员应该检查被审单位的组织结构、职权和责任的分配与分工情况、其目的在于确定职责分工是否能够提供有力的内部控制，例如，程序与系统开发、机操纵、输进数据的控制、以及保持应用控制的控制小组等职责，在可行的情况下应予以分离。同时，审计职员应从"整个系统"的角度加以考虑。

在检查职责分工情况时，审计职员应该评价控制的强度并报告由于职责分工不够而暴露的弱点。职工定期轮换工作岗位及强制性休假等制度有利于治理部分维持足够的职责分工。审计职员应对这些制度的执行情况加以检查。

2.设施、职员和安全控制，拥有足够的实物设施和其他资源(如练习有素的职员等)是一个单位实现其数据处理目标所必须的。审计职员应该确定被审单位是否拥有满足数据处理需要的足够资源。

人事治理，包括监视、激励和员工的职业，是成功的数据处理的组成部分。审计职员应该评价有关的治理方针和惯例，以确定是否制订了必要的方针及方针的执行情况。例如，由于整个计算机领域迅速发展，一个组织的人事治理部分需要制订包括数据处理职员在内的和培训计划。该计划应该能够保证职工跟上最新发展，以使他们能够以最佳效果和最高效率履行职责，并能够在工作中采用已经证实为具有本钱效益的新方法。数据处理职员培训和发展计划不当可能会阻碍组织目标的实现。

审计职员应该确定被审单位是否制订了有关机硬件、计算机程序、数据文件、数据传送、输进和输出资料以及职员的安全规定。该项检查应该不仅涉及中心处理站的计算机设备，还应包括其他地点的小型机、计算机终端、通讯设施及其他外围设备。

在检查计算机硬件的实物安全性时，审计职员应该考虑为在正常数据处理中断以后继续处理关键项目而制订的应急计划是否充分。该计划应包括应急电源和后备硬件的规定以及关于使用后备设备和将职员、程序、表格和数据文件转移到另外的处理地点的具体计划。审计职员还应该考虑该计划经过测试的程度以确定在实际紧急情况下能够继续进行数据处理的可能性。