每一个公司都应该设立一个公司内部的信息系统审查小组(或审计员),由该小组向高级的中立办公室汇报。信息系统审查工作人员的职责是确保生产信息系统的完整性。有三种不同的信息系统审查,它们是系统开发审查、工作情况审查和应用审查。
□ 系统开发审查
就系统开发审查而论,信息系统审查工作人员要担任开发项目组的顾问或充当其成员。他们的参加可保证在初始系统设计过程中就设置了相应的审查控制。信息系统审查小组参与的系统开发活动已在图9.2中指明。
□ 工作审查
对于信息服务那一部分工作要定期地进行工作审查,以保证正确的管理。如分散任务、轮换操作员和指定假期都是这种管理措施的例子。遵循分散任务的原则可排除同一人既提供输入、执行处理,又负责确认输出的可能性。通过经常地轮换操作员,系统控制将最终察觉操作员想欺骗系统的任何企图。当一名操作员单独负责运行一个特定的信息系统时,公司就容易受到损失。同理,许多公司有指定假期的政策,要求程序员和操作员在不少于两周的整段时间内度假。审计员采用这些管理措施以及若干其它技术可使乱用计算机系统的可能性和机会减到最少。
□ 应用审查
定期进行应用审查的目的是要确认采用计算机的系统的完整性。这类审查与上述定期的系统评价相比,其中有关当前和将来系统的需要与系统的有效性一样是关键的考虑事项。就应用审查来讲,信息系统的审计员要证实一个生产系统是否正按其设计规范进行工作。为了完成这个审查,审计员可能要追溯有关摘要报告的原始的事务处理情况,或者从原始处理来检查目前情况。为了检验系统的内部控制功能,他们故意试图中断系统或给系统设置故障。在信息系统审查过程中,可用专用审查软件来帮助进行应用审查。例如,审查程序可向审计员提供文件抽样能力的资料。审计员利用这些程序来检验记录的质量、完整性、准确性和效率。
