应用系统输入控制审计—第3205号内部审计实务指南第四章第2节
2021-01-25
一、数据录入和导入控制审计
(一)业务概述
数据录入和导入控制,是指为确保信息系统的数据录入、导入等数据采集功能符合国家、行业或者组织规范标准,数据采集者的身份与权限合理有效所采取的一系列控制措施。
(二)审计目标和内容从合规性、安全性、完整性和准确性方面,检查:
1、系统的数据录入、导入接口是否符合国家、行业或组织自身规范,是否制定数据录入、导入的制度规范;是否在系统中建立用户账号和权限管理机制,并根据设定的权限使用数据录入、导入功能,以及监督操作的规范性。
2、系统是否存在未经许可的数据录入、导入接口,以及是否能阻止非授权用户的数据录入和导入操作,同时具备日志记录功能。
3、系统是否具备数据准确性检查功能。
(三)常见问题和风险
1、数据录入、导入的系统账号与权限管理机制不存在或不健全。
2、系统功能不完善,无法记录用户的数据录入、导入操作,或日志功能未开启,造成记录信息缺失。
3、系统的数据录入、导入接口不符合国家、行业或组织规范标准,或存在未经许可的数据录入、导入接口。
4、数据录入、导入结果不准确、不完整,或错误的数据被录入、导入到系统中。
5、导入的数据文件格式不符合要求或数据类型不符合规范标准。
(四)审计的主要方法和程序
1、审阅组织制度流程、岗位职责和用户授权文档,确认涉及数据录入和导入的岗位及其职责与权限;检查系统的访问控制列表,了解系统对数据录入和导入功能权限的设定与规定是否相符;对比国家、行业或者单位规范,检查组织设置的数据录入、导入接口是否符合国家、行业或者单位规范。
2、设定不同权限的测试用户,对系统进行穿行测试,检查系统是否严格限定只有满足权限要求的用户使用数据录入和导入功能;检查系统日志是否按照规定记录了用户的数据录入和导入的操作;
3、检查系统是否提供了输入值约束功能,以保证输入数据的准确性。
二、数据修改和删除控制审计
(一)业务概述
数据修改和删除控制,是指对系统中的数据修改和删除功能通过授权管理、限制操作等手段,确保其符合国家、行业或组织的相关安全规范,同时,确保数据修改或删除功能符合组织自身的业务管理需要。
(二)审……
