Chapitre 17 - Contrôles informatiques Partie III : Développement de systèmes, Changements de programme, et

Contrôles d'application

VRAI/FAUX

Les programmes dans leur état compilé sont très sensibles à la menace de modification non autorisée.

RÉPONSE : F

L'accès de maintenance aux systèmes augmente le risque que la logique soit corrompue soit par accident soit par
intention de frauder.

3. Les contrôles de la bibliothèque de programmes source devraient prévenir et détecter l'accès non autorisé à l'application
programmes.

RÉP: T

Un chiffre de contrôle est une méthode de détection des erreurs de codage des données.

5. Les contrôles d'entrée sont destinés à détecter les erreurs dans les données de transaction après traitement.

6. Une étiquette d'en-tête est une étiquette interne, lisible par machine.

R É

7. La procédure de test utilisateur et d'acceptation est le dernier point où l'utilisateur peut déterminer le système.
acceptabilité avant sa mise en service.

R É

8. Un contrôle de course à course est un exemple de contrôle de sortie.

RÉPONSE : F

Le déchiquetage des impressions d'ordinateur est un exemple de contrôle de sortie.

10. Dans un environnement CBIS, tous les contrôles d'entrée sont mis en œuvre après que les données ont été saisies.

R É

11. Atteindre les objectifs de contrôle des lots nécessite de regrouper des types similaires de transactions d'entrée (comme les ventes
commandes) ensemble par lots puis en contrôlant les lots tout au long du traitement des données.
 Réponse : T

12. Les tests de "boîte blanche" des contrôles de programme sont également connus sous le nom d'audit via l'ordinateur.

RÉPONSE : T

La présence d'un SPLMS garantit effectivement l'intégrité du programme.

RÉPONSE : F

14. Lors de l'utilisation de la méthode des données de test, la présence de plusieurs messages d'erreur indique un défaut dans le
préparation de transactions d'essai.

RÉPONSE : F

15. L'évaluation du système de cas de base est une variation de la méthode des données de test.

16. Le traçage est une méthode utilisée pour vérifier les opérations logiques exécutées par une application informatique.

17. Des packages de logiciels d'audit généralisés sont utilisés pour aider l'auditeur à effectuer des tests substantiels.

RÉPONSE : T

18. Les résultats d'une simulation parallèle sont comparés aux résultats d'une production afin de juger le
qualité des processus et des contrôles d'application.

19. Les entreprises avec un personnel d'audit interne indépendant peuvent réaliser des tests du cycle de vie du développement des systèmes
de manière continue.

20. Le tableau d'autorité du programmeur spécifiera les bibliothèques auxquelles un programmeur peut accéder.

L'utilisation de l'installation de test intégrée ne pose aucune menace aux fichiers de données organisationnels.

RÉPONSE : F

CHOIX MULTIPLES

1. Quelle affirmation n'est pas correcte ? La piste de vérification dans un environnement informatisé
un consiste en des enregistrements qui sont stockés séquentiellement dans un fichier d'audit
.
b trace les transactions de leur source à leur disposition finale
 .
c est une fonction de la qualité et de l'intégrité des programmes d'application
.
peut prendre la forme d'indicateurs, d'index et de clés intégrées
.

RÉPONSE : A

2. Quel contrôle n'est pas associé aux activités de développement de nouveaux systèmes ?
un programme de rapprochement des numéros de version
.
test de programme b
.
implication des utilisateurs
.
participation à l'audit interne
.

RÉPONSE : A

3. Les activités de maintenance régulière nécessitent tous les contrôles suivants sauf
des mises à jour de documentation
.
test A/B
.
c autorisation formelle
.
d'approbation de l'audit interne
.

RÉPONSE : D

4. Quelle déclaration est correcte ?

les programmes compilés sont très sensibles à la modification non autorisée
.
b la bibliothèque de programmes source stocke des programmes d'application sous forme de code source
.
des modifications sont apportées aux programmes en langage machine
.
le système de gestion de bibliothèque du programme source augmente l'efficacité opérationnelle
.

RÉPONSE : B

5. Quel contrôle ne fait pas partie du système de gestion de bibliothèque de programmes source?
utiliser des mots de passe pour limiter l'accès aux programmes d'application
.
en attribuant un nom de test à tous les programmes en cours de maintenance
 .
c combinant l'accès aux bibliothèques de test de développement et de maintenance
.
d'attribuer des numéros de version aux programmes pour enregistrer les modifications des programmes
.

Réponse : C

6. Quel contrôle garantit que les fichiers de production ne peuvent pas être accessibles sans autorisation spécifique ?
un Système de Gestion de Base de Données
.
Fonction des opérations de récupération
.
Système de gestion de bibliothèque de programmes source C
.
Fonction des services informatiques
.

RÉPONSE : C

7. Test de programme
cela implique uniquement des modules individuels, et non le système complet
.
b nécessite la création de données de test significatives
.
c n'a pas besoin d'être répété une fois le système mis en œuvre
.
d concerne principalement l'utilisabilité
.

RÉPONSE : B

8. Le bon numéro de bon de commande, 123456, a été enregistré de manière incorrecte comme indiqué dans les solutions. Tout de
les éléments suivants sont des erreurs de transcription sauf
a 1234567
.
b 12345
.
c 124356
.
d 123454
.

RÉPONSE : C

9. Laquelle des options suivantes est correcte ?

un chiffre de contrôle doit être utilisé pour tous les codes de données

.
 Les chiffres de contrôle b sont toujours placés à la fin d'un code de données.
.
les chiffres de contrôle n'affectent pas l'efficacité du traitement
.
Les chiffres de contrôle sont conçus pour détecter les erreurs de transcription et de transposition.
.

RÉPONSE : D

10. Quelle affirmation n'est pas correcte ? L'objectif des contrôles de lot est de s'assurer que pendant le traitemen
les transactions ne sont pas omises
.
les transactions b ne sont pas ajoutées
.
c transactions sont exemptes d'erreurs de secrétariat
.
un trace audit est créé
.

RÉPONSE : C

11. Un exemple de total de hachage est

un total de chèques de paie–12 315 $
.
b nombre total d'employés–10
.
c somme des numéros de sécurité sociale–12,555,437,251
.
d aucun de ce qui précède
.

RÉPONSE : C

12. Quelle affirmation n'est pas vraie ? Un enregistrement de contrôle de lot

a contient un code de transaction
.
b enregistre le nombre d'enregistrements

.
c contient un total de hachage
.
Les chiffres de contrôle dans le dossier peuvent être ajustés pendant le traitement.
.
Tout ce qui précède est vrai
.

RÉPONSE : E

13. Lequel des éléments suivants n'est pas un exemple de contrôle de traitement ?
 un total de hachage.
.
nombre d'enregistrements b.

.
c total de lot.
.
chiffre de contrôle
.

RÉPONSE : D

14. Lequel des éléments suivants est un exemple de test de contrôle des entrées ?
un contrôle de séquence
.
vérification de valeur zéro b

.
vérification de spooling c

.
vérification de plage
.

RÉPONSE : D

15. Quel contrôle d'entrée détecterait un paiement effectué à un fournisseur inexistant ?

une vérification des données manquantes

.
vérification numérique/alphabetique
.
vérification de la plage c

.
vérification de validité
.

ANS : D

16. L'employé a saisi "40" dans le champ "heures travaillées par jour". Quelle vérification détecterait cela ?
erreur involontaire ?
une vérification des données numériques/alphabétiques

.
vérification de la signature b

.
vérification de la limite c

.
vérification des données manquantes

RÉPONSE : C
17. Un enregistrement d'inventaire indique que 12 articles d'un produit spécifique sont en stock. Un client a acheté
deux des articles, mais lors de l'enregistrement de la commande, le saisisseur de données a par erreur enregistré 20 articles vendus.
Quel contrôle pourrait détecter cette erreur ?
une vérification des données numériques/alphabétiques

.
vérification de la limite b

.
vérification de plage c

.
vérification de la raisonnabilité
.

RÉP: B

18. Quel contrôle n'est pas un contrôle d'entrée ?

un contrôle de raisonabilité
.
vérification de la validité.

.
vérification du spooling c

.
vérification des données manquantes

RÉPONSE : C

19. Un opérateur d'ordinateur était pressé et a accidentellement utilisé le mauvais fichier maître pour traiter un
fichier de transaction. En conséquence, le fichier maître des comptes clients a été effacé. Quel contrôle pourrait
empêcher cela de se produire ?
une étiquette d'en-tête de vérification

.
vérification de la date d'expiration

.
vérification de la version c

.
vérification de validité
.

RÉPONSE : A

20. Les totaux de contrôle entre les courses peuvent être utilisés pour tout ce qui suit sauf
pour s'assurer que toutes les saisies de données sont validées
.
b pour s'assurer que seules des transactions de type similaire sont traitées
.
c pour s'assurer que les enregistrements sont en séquence et ne sont pas manquants
.
d'assurer qu'aucune transaction n'est omise
.
 RÉP: A

21. Les méthodes utilisées pour maintenir une piste de vérification dans un environnement informatisé incluent toutes les suivantes
sauf
un journal des transactions
.
b Annonces de transactions.
.
c chiffrement de données
.
journal des transactions automatiques
.

R : C

22. Expositions aux risques associées à la création d'un fichier de sortie comme étape intermédiaire dans le processus d'impression
(mise en file d'attente) inclure toutes les actions suivantes d'un criminel informatique sauf
accéder au fichier de sortie et modifier les valeurs de données critiques
.
en utilisant une imprimante distante et en engendrant des inefficacités opérationnelles
.
Cela consiste à faire une copie du fichier de sortie et à utiliser la copie pour produire des rapports de sortie illégaux.
.
imprimer une copie papier supplémentaire du fichier de sortie
.

RÉPONSE : B

23. Quelle affirmation n'est pas correcte ?

seules les transactions réussies sont enregistrées dans un journal des transactions
.
Les transactions échouées sont enregistrées dans un fichier d'erreur.
.
un journal de transactions est un fichier temporaire
.
une liste de transactions imprimée est fournie aux utilisateurs
.

ANS : C

24. Les contrôles d'entrée comprennent tout ce qui suit sauf

un chiffre de contrôle
.
vérification de limite.

.
vérification du spooling c

.
vérification des données manquantes

.
 ANS : C

25. Lequel des éléments suivants est un exemple d'une technique de correction d'erreurs d'entrée ?
une correction immédiate
.
rejet de lot
.
création de fichier d'erreur
.
Tous sont des exemples de techniques de correction des erreurs d'entrée.
.

RÉPONSE : D

26. Quel test de contrôle fournira des preuves que le système tel qu'il a été initialement implémenté était exempt de
erreurs matérielles et exempt de fraude ? L'examen de la documentation indique que
une analyse coût-bénéfice a été réalisée
.
la conception détaillée était une solution appropriée au problème de l'utilisateur
.
Des tests ont été effectués au niveau des modules individuels et du système total avant
. mise en œuvre
Les problèmes détectés pendant la période de conversion ont été corrigés lors de la phase de maintenance.
.

RÉPONSE : C

27. Quelle affirmation n'est pas vraie ?

Un objectif d'audit pour la maintenance des systèmes est de détecter les accès non autorisés à
. bases de données d'application.
Un objectif d'audit pour la maintenance des systèmes est de garantir que les applications sont exemptes de
. erreurs.
Un objectif d'audit pour la maintenance des systèmes est de vérifier que les demandes des utilisateurs pour
. maintenance réconcilier avec les numéros de version du programme.
Un objectif d'audit pour la maintenance des systèmes est de s'assurer que les bibliothèques de production sont
. protégé contre l'accès non autorisé.

RÉPONSE: A

28. Lorsque l'auditeur concilie les numéros de version du programme, quel objectif d'audit est en cours d'évaluation ?
protéger les applications contre les modifications non autorisées
.
s'assurer que les applications sont exemptes d'erreurs
.
c protéger les bibliothèques de production contre l'accès non autorisé
.
s'assurer que les fonctions incompatibles ont été identifiées et séparées
 .

RÉPONSE : A

29. Lorsque les auditeurs ne s'appuient pas sur une connaissance détaillée de la logique interne de l'application, ils sont
exécutant
un test en boîte noire des contrôles du programme
.
tests en boîte blanche des contrôles du programme
.
c tests de substance
.
test intuitif
.

ANS: A

30. Tous les concepts suivants sont associés à l'approche de boîte noire pour l'audit des ordinateurs.
applications sauf
l'application n'a pas besoin d'être retirée du service et testée directement
.
les auditeurs ne s'appuient pas sur une connaissance détaillée de la logique interne de l'application
.
l'auditeur rapproche les résultats de sortie précédemment produits avec les intrants de production
. transactions
cette approche est utilisée pour des transactions complexes qui reçoivent des entrées de nombreuses sources
.

RÉPONSE : D

31. Quel test n'est pas un exemple d'un test boîte blanche ?
déterminer la juste valeur des stocks
.
en s'assurant que les mots de passe sont valides
.
vérification que tous les taux de rémunération sont dans une fourchette spécifiée
.
la réconciliation des totaux de contrôle
.

RÉPONSE : A

32. Lors de l'analyse des résultats de la méthode de données de test, l'auditeur passerait le moins de temps
révision
les transactions de test
.
b rapports d'erreur
.
 fichiers maîtres mis à jour
.
rapports de sortie
.

Réponse : A

33. Tous les éléments suivants sont des avantages de la technique des données de test, sauf
les auditeurs ont besoin d'une expertise informatique minimale pour utiliser cette méthode

.
cette méthode cause une perturbation minimale des opérations de l'entreprise
.
les données de test sont facilement compilées
.
L'auditeur obtient des preuves explicites concernant les fonctions d'application
.

ANS : C

34. Tous les éléments suivants sont des inconvénients de la technique des données de test sauf
la technique de données de test nécessite une expertise informatique approfondie de la part de l'auditeur
.
le vérificateur ne peut pas être sûr que l'application testée est une copie de l'actuelle
application utilisée par le personnel des services informatiques
l'auditeur ne peut pas être sûr que l'application testée est la même application utilisée
tout au long de l'année
La préparation des données de test prend du temps
.

RÉPONSE : A

35. Toutes les affirmations suivantes sont vraies concernant l'établissement de test intégré (ITF), sauf
les rapports de production sont affectés par les transactions ITF
.
Les bases de données ITF contiennent des enregistrements « fictifs » intégrés avec des enregistrements légitimes.

.
c ITF permet l'audit d'application en cours
.
la DITF ne perturbe pas les opérations et ne nécessite pas l'intervention des services informatiques
. personnel

RÉPONSE : A

36. Quelle affirmation n'est pas vraie ? Les modules d'audit intégrés
un peut être allumé et éteint par l'auditeur.
.
b réduire l'efficacité opérationnelle.
.
 c peut perdre leur viabilité dans un environnement où les programmes sont modifiés fréquemment.
.
d'identifier les transactions à analyser à l'aide de tests en boîte blanche.
.

RÉS: D

37. Les logiciels de vérification généralisés effectuent toutes les tâches suivantes sauf
un recalcul des champs de données
.
b comparer des fichiers et identifier les différences
.
échantillons statistiques stratifiés
.
d'analyser les résultats et de formuler des opinions
.

RÉPONSE : D

RÉPONSE COURTE

1. Contrastez le système de gestion de bibliothèque de programme source (SPL) avec le système de gestion de base de données
(SGBD).

RÉPONSE :
Le logiciel SPL gère les fichiers de programme et le SGBD gère les fichiers de données.

2. Décrivez deux méthodes utilisées pour contrôler la bibliothèque de programmes source.

RÉPONSE :
mots de passe, séparation des programmes de développement des programmes de maintenance, gestion de programme
rapports, numéros de version du programme, commandes de maintenance de contrôle

3. Les contrôles d'activité de développement de nouveaux systèmes doivent se concentrer sur l'autorisation, le développement, et
mise en œuvre de nouveaux systèmes et leur maintenance. Discutez d'au moins cinq activités de contrôle qui sont
trouvé dans un cycle de vie de développement système efficace.

RÉPONSE :
Les activités d'autorisation des systèmes garantissent que tous les systèmes sont correctement autorisés pour garantir leur économique
justification et faisabilité.

Les activités de spécification des utilisateurs ne devraient pas être étouffées par des problèmes techniques. Les utilisateurs peuvent fournir un écrit
description des besoins logiques qui doivent être satisfaits par le système.

Les activités de conception technique doivent aboutir à des spécifications qui répondent aux besoins des utilisateurs. La documentation est à la fois une

contrôle et preuve de contrôle.

L'implication de l'audit interne devrait se produire tout au long du processus pour garantir que le système servira.
besoins de l'utilisateur.
 Le test de programme consiste à vérifier que les données sont traitées comme prévu.

4. Quelles sont les trois grandes catégories de contrôles d'application ?

RÉPONSE :
contrôles d'entrée, de traitement et de sortie

5. Comment la confidentialité est-elle liée au contrôle de la sortie ?

RÉPONSE :
Si la confidentialité de certains types de données, par exemple, des informations sensibles sur des clients ou des consommateurs, une entreprise
pourrait être légalement exposé.

6. Quelles sont les trois catégories de contrôle de traitement ?

RÉPONSE :
Contrôles de lot, contrôles d'un exécution à l'autre et contrôles de traçabilité.

7. Quel problème de contrôle est lié à la réintroduction des enregistrements d'erreurs corrigés dans un système de traitement par lots ?
Quelles sont les deux méthodes pour faire cela ?

Réponse :
Les erreurs détectées lors du traitement nécessitent une gestion soigneuse, car ces enregistrements peuvent déjà être
traité partiellement. Il suffit de soumettre à nouveau les enregistrements corrigés à l'étape d'entrée des données, ce qui peut entraîner
traitement de portions de ces transactions deux fois.

Deux méthodes sont : (1) annuler les effets des transactions partiellement traitées et les soumettre à nouveau.
des enregistrements corrigés à l'étape de saisie des données. La seconde méthode consiste à réinsérer les enregistrements corrigés dans le
étape de traitement à laquelle l'erreur a été détectée.

Les contrôles de sortie garantissent que la sortie n'est pas perdue, mal orientée ou corrompue et que la vie privée n'est pas violée.
Quelles sont quelques expositions de sortie ou situations où la production est à risque ?

RÉPONSE :
mise en file d'attente de la sortie

9. Les contrôles d'entrée sont des procédures programmées (routines) qui effectuent des tests sur les transactions.
données pour s'assurer qu'elles sont exemptes d'erreurs. Nommez quatre contrôles d'entrée et décrivez ce qu'ils testent

RÉPONSE :
1. Les vérifications alphanumériques recherchent le bon type de contenu de caractère dans un champ, des chiffres ou
lettres
2. Les vérifications de limite s'assurent que les valeurs sont dans des limites prédéfinies ;
3. Les vérifications de plage vérifient que les valeurs se situent dans une plage acceptable
4. Le contrôle de raisonnabilité détermine si une valeur dans un champ, qui a déjà passé un contrôle de limite et
un contrôle de plage est raisonnable lorsqu'il est considéré avec les données dans d'autres champs de l'enregistrement.

10. Une fraude __________________________ touche un grand nombre de victimes mais le préjudice pour chaque
semble être très petit.

RÉPONSE :
salami
 11. Décrivez un test de contrôles qui fournirait des preuves que seule la maintenance des programmes autorisée est effectuée.
se produisant.

RÉPONSE :
réconcilier les numéros de version du programme, confirmer les autorisations de maintenance

12. Les auditeurs ne s'appuient pas sur une connaissance détaillée de la logique interne de l'application lorsqu'ils utilisent le
Approche __________________________ pour l'audit des applications informatiques.

Réponse :
boîte noire ou audit autour de l'ordinateur

13. Décrivez la simulation parallèle.

Réponse :
L'auditeur écrit un programme qui simule l'application en cours de révision. La simulation est utilisée pour
retraiter les transactions de production qui ont été précédemment traitées par l'application de production.
les résultats de la simulation sont comparés aux résultats de la production originale.

14. Que signifie auditer autour de l'ordinateur par rapport à auditer à travers l'ordinateur ? Pourquoi est-ce ainsi ?
important ?

RÉPONSE :
L'audit autour de l'ordinateur implique des tests en boîte noire dans lesquels les auditeurs ne se fient pas à un
connaissance détaillée de la logique interne de l'application. L'entrée est rapprochée de la sortie correspondante.
L'audit via l'ordinateur implique d'acquérir une compréhension approfondie de la logique interne de
l'application informatique. Alors que les transactions deviennent de plus en plus automatisées, les entrées et les sorties peuvent
devenir de moins en moins visible. Ainsi, l'importance de comprendre les composants de programmation de
le système est crucial.

15. Qu'est-ce qu'un module d'audit intégré ?

Réponse :
Les techniques EAM utilisent un ou plusieurs modules spécialement programmés intégrés dans une application hôte pour
sélectionner et enregistrer des types de transactions prédéterminés pour une analyse ultérieure. Cette méthode permet
Les transactions matérielles doivent être capturées tout au long de la période d'audit. La tâche de test substantiel de l'auditeur
est ainsi facilité puisqu'ils n'ont pas à identifier des transactions significatives pour les tests substantiels.

16. Quels sont les objectifs de l'audit en ce qui concerne le développement des systèmes ?

RÉPONSE :
Les objectifs de l'auditeur sont de s'assurer que (1) les activités de développement des systèmes sont appliquées de manière cohérente
et conformément aux politiques de la direction pour tous les projets de développement de systèmes ; (2) le système comme
initialement mis en œuvre était exempt d'erreurs matérielles et de fraude ; (3) le système a été jugé nécessaire
et justifiée à divers points de contrôle tout au long du SDLC ; et (4) la documentation du système est
suffisamment précis et complet pour faciliter les activités d'audit et de maintenance.

ESSAI

1. Définir les six activités contrôlables liées au développement de nouveaux systèmes

 ANS
Activités d'autorisation des systèmes : Tous les systèmes doivent être correctement autorisés pour garantir leur économie
justification et faisabilité. Cela nécessite un environnement formel dans lequel les utilisateurs soumettent des demandes à
professionnels des systèmes sous forme écrite.

Activités de spécification des utilisateurs : Les utilisateurs doivent être activement impliqués dans le processus de développement des systèmes.
Les utilisateurs doivent créer une description écrite détaillée de leurs besoins. Elle doit décrire la perspective de l'utilisateur sur
le problème, ce n'est pas celui des professionnels des systèmes.

Activités de conception technique : Les activités de conception technique traduisent les spécifications de l'utilisateur en un ensemble de
spécifications techniques détaillées pour un système qui répond aux besoins de l'utilisateur. L'étendue de ces activités
comprend l'analyse des systèmes, l'analyse de faisabilité et la conception détaillée des systèmes.

Participation de l'audit interne : Pour répondre aux attentes liées à la gouvernance de la direction dans le cadre de la loi SOX,
Le département d'audit interne d'une organisation doit être indépendant, objectif et technique.
qualifié. En tant que tel, l'auditeur interne peut jouer un rôle important dans le contrôle des systèmes
activités de développement.

Tests de programme : Tous les modules de programme doivent être soigneusement testés avant d'être mis en œuvre.
implique la création de fichiers maîtres hypothétiques et de fichiers de transactions qui sont traités par les modules
être testé. Les résultats des tests sont ensuite comparés à des résultats prédéterminés pour identifier
erreurs de programmation et de logique.

Procédures de test utilisateur et d'acceptation : Avant la mise en œuvre du système, les modules individuels de
Le système doit être testé formellement et rigoureusement dans son ensemble. L'équipe de test devrait être composée d'utilisateurs.
personnel, professionnels des systèmes et auditeurs internes. Les détails des tests effectués et leur
les résultats doivent être formellement documentés et analysés. Une fois que l'équipe de test est satisfaite que le système
répond à ses exigences déclarées, le système peut être transféré à l'utilisateur.

2. Expliquez les trois méthodes utilisées pour corriger les erreurs de saisie des données.

RÉPONSE :
Correction immédiate. Dans l'approche de validation des données directe, la détection et la correction des erreurs ont lieu.
Lors de la saisie des données. Lorsqu'une erreur ou une relation illogique est saisie, le système doit arrêter les données.
procédure d'entrée jusqu'à ce que l'erreur soit corrigée.

Création d'un fichier d'erreurs. Dans l'approche de validation des données retardée, les erreurs sont signalées et placées dans un
fichier d'erreur. Les enregistrements avec des erreurs ne seront pas traités tant que l'erreur n'aura pas été examinée et corrigée.

Rejet de l'ensemble du lot. Certaines erreurs sont associées à l'ensemble du lot et ne sont pas attribuables
à des enregistrements individuels. Un exemple de ceci est un total de contrôle qui ne s'équilibre pas. L'ensemble du lot est
placé dans le fichier d'erreurs et sera retraité lorsque l'erreur sera corrigée.

3. La présence d'une trace de vérification est essentielle à l'intégrité du système d'information comptable. Discutez.
trois des techniques utilisées pour préserver la piste de vérification.

RÉPONSE :
Les journaux de transactions répertorient toutes les transactions traitées avec succès par le système et servent de journaux.
enregistrements permanents. Les transactions qui n'ont pas été traitées avec succès devraient être enregistrées dans une erreur
fichier.
 Après le traitement des transactions, une liste de transactions papier doit être produite et utilisée par les personnes appropriées.
utilisateurs pour rapprocher l'entrée.

Des journaux et des listes de transactions automatiques doivent être produits pour les transactions reçues ou initiées
internement par le système.

La liste des erreurs doit documenter toutes les erreurs et être envoyée aux utilisateurs appropriés pour soutenir la correction des erreurs.

4. Définissez chacun des contrôles d'entrée suivants et donnez un exemple de leur utilisation :
a. Vérification des données manquantes
b. Vérification des données numériques/alphanumériques
c. Vérification de limite
d. Vérification de la plage
e. Vérification de la raisonnabilité
v.Vérification de validité

RÉPONSE :
Vérification des données manquantes. Certains langages de programmation sont restrictifs quant à la justification (à droite ou à gauche)
des données dans le domaine. Si les données ne sont pas correctement justifiées ou si un caractère manque (a été remplacé
avec un espace vide), la valeur du champ sera mal traitée. Par exemple, la présence d'espaces
dans un champ de données numériques peut provoquer une défaillance du système. Lorsque la routine de contrôle détecte un blanc là où il
s'attend à voir une valeur de données, l'erreur est signalée.

Contrôle alphanumérique. Ce contrôle identifie lorsque les données dans un champ particulier sont incorrectes.
forme. Par exemple, le solde du compte d'un client ne devrait pas contenir de données alphabétiques et la présence
cela provoquera une erreur de traitement des données. Par conséquent, si des données alphabétiques sont détectées, le drapeau d'enregistrement d'erreur
est réglé.

Vérification des limites. Les vérifications de limites sont utilisées pour identifier les valeurs de champ qui dépassent une limite autorisée.
Par exemple, supposons que la politique de l'entreprise soit qu'aucun employé ne travaille plus de 44 heures par semaine. Le
le programme de contrôle des saisies du système de paie peut tester le champ des heures travaillées dans les enregistrements de paie hebdomadaires pour

valeurs supérieures à 44.

Vérification de plage. Souvent, les données ont des limites supérieures et inférieures pour leurs valeurs acceptables. Par exemple, si
la plage des taux de rémunération pour les employés à l'heure dans une entreprise se situe entre 8 et 20 dollars, ce contrôle peut
examinez le champ du taux de rémunération de tous les dossiers de paie pour vous assurer qu'ils se situent dans cette plage.

Vérification de la raisonnabilité. Le test détermine si une valeur dans un champ, qui a déjà dépassé une limite
vérifier et un contrôle de plage, est raisonnable lorsqu'il est considéré avec les données dans d'autres champs de l'enregistrement.
Par exemple, supposons que le taux de salaire d'un employé de 18 dollars de l'heure soit acceptable.
Ce taux est excessif, cependant, par rapport au code de compétence de travail de l'employé 693;
les employés de cette catégorie de compétence ne devraient pas gagner plus de 12 dollars de l'heure.

Vérification de validité. Une vérification de validité compare les valeurs de champ réelles à des valeurs acceptables connues.
par exemple, ce contrôle peut être utilisé pour vérifier des éléments tels que des codes de fournisseur valides, des abréviations d'état ou
codes de compétences professionnelles des employés. Si la valeur dans le champ ne correspond pas à l'une des valeurs acceptables, le
l'enregistrement est signalé comme une erreur.

5. Après que les données ont été saisies dans le système, elles sont traitées. Un contrôle de traitement existe pour s'assurer que le
des choses correctes se produisent pendant le traitement. Discutez des contrôles de traitement.

ANS :
Les contrôles de traitement prennent trois formes : contrôles par lots, contrôles de course à course et contrôles de piste d'audit.
 Les contrôles de lot sont utilisés pour gérer le flux de volumes élevés de transactions via le traitement par lot.
systèmes. L'objectif du contrôle par lots est de concilier la production de sorties par le système avec l'entrée.
initialement enregistré dans le système. Cela garantit que :
_ Tous les enregistrements du lot sont traités.
_ Aucun enregistrement n'est traité plus d'une fois.
Un audit des transactions est créé depuis l'entrée jusqu'au traitement et à la sortie.
système.

Les contrôles de course à course utilisent des chiffres de lot et de nouveaux soldes pour surveiller le lot au fur et à mesure de son avancement.
système – c'est-à-dire d'exécution à exécution. Cela doit garantir qu'aucune transaction n'est perdue et que toutes sont traitées
complètement.

Les contrôles de piste de vérification sont conçus pour documenter le mouvement des transactions à travers le système.
les techniques les plus courantes incluent l'utilisation de journaux de transactions et de listes de transactions, uniques
identifiants de transaction, journaux et listes de transactions automatiques, et listes d'erreurs.

6. Si les contrôles d'entrée et de traitement sont adéquats, pourquoi les contrôles de sortie sont-ils nécessaires ?

RÉPONSE :
Les contrôles de sortie sont conçus pour garantir que la sortie du système n'est pas perdue, mal dirigée ou corrompue et que
la vie privée n'est pas violée. Un grand risque existe si les chèques sont mal dirigés, perdus ou volés. Certains types de données
doit être gardé secret – secrets commerciaux, brevets en attente, dossiers clients, etc.

7. Décrivez et comparez la méthode des données de test avec l'installation de test intégrée.

RÉPONSE :
Dans la méthode de données de test, un ensemble de données d'entrée spécialement préparé est traité ; les résultats du test sont
comparé aux attentes prédéterminées. Pour utiliser la méthode des données de test, une copie de la version actuelle de
l'application doit être obtenue. L'auditeur examinera les rapports imprimés, les listes de transactions, les erreurs
rapports, et fichiers maîtres pour évaluer la logique d'application et l'efficacité du contrôle. L'approche des données de test
résultats en une perturbation minimale des opérations de l'organisation et nécessite peu d'expertise informatique sur
la partie des auditeurs.

La structure de test intégrée (STI) est une approche automatisée qui permet aux auditeurs de tester une application.
logique et contrôles pendant son fonctionnement normal. Les bases de données ITF contiennent des enregistrements de test intégrés avec
enregistrements légitimes. Lors des opérations normales, des transactions de test sont intégrées au flux des transactions régulières
transactions de production et sont traitées par rapport aux enregistrements de test. Les transactions ITF ne sont pas
inclus avec les rapports de production mais sont signalés séparément à l'auditeur pour évaluation. Le
l'auditeur compare les résultats de l'ITF aux résultats attendus.

Contrairement à l'approche des données de test, la technique ITF favorise l'audit continu des applications et
n'interfère pas avec le travail normal des employés des services informatiques. Dans l'approche des données de test,
il y a un risque que l'auditeur puisse effectuer les tests sur une version de l'application autre que celle
version de production ; cela ne peut pas se produire dans l'approche ITF. Les deux versions sont relativement coûteuses à
mettre en œuvre. Le principal risque de l'approche ITF est que les données ITF pourraient être combinées avec des données en direct.
Les données et les rapports seraient mal déclarés ; cela ne peut pas se produire dans l'approche des données de test.

8. Contrastez les modules d'audit intégrés avec les logiciels d'audit généralisés.

RÉPONSE :
 Les deux techniques permettent aux auditeurs d'accéder, d'organiser et de sélectionner des données en soutien à la phase substantielle.
de l'audit. La technique du Module d'Audit Intégré (MAI) intègre des modules d'audit spéciaux dans
Les EAM saisissent des transactions spécifiques pour l'examen de l'auditeur. Les EAM réduisent les opérations.
efficacité et ne sont pas appropriés pour des environnements avec un niveau élevé de maintenance des programmes.

Le logiciel d'audit généralisé (GAS) permet aux auditeurs d'accéder électroniquement aux fichiers d'audit et d'effectuer
une variété de procédures d'audit. Par exemple, le GAS peut recalculer, stratifier, comparer, formater, et
imprimer le contenu des fichiers.

Le EAM est un programme interne qui est conçu et programmé dans l'application. Le GAS est un
paquet externe qui n'affecte pas l'efficacité opérationnelle du programme. Les GAS sont faciles à utiliser,
nécessitent peu de connaissances en informatique de la part de l'utilisateur, sont indépendants du matériel, peuvent être utilisés sans le
l'assistance des employés de service informatique, et ne sont pas spécifiques aux applications. D'un autre côté, les EAM.
sont programmés dans une application spécifique par des professionnels du service informatique.

9. Quel est le but de l'examen par l'auditeur de la documentation du SDLC ?

Réponse :
En examinant la documentation du SDLC, l'auditeur cherche à déterminer que les projets achevés sont maintenant dans
utiliser le respect des politiques du SDLC, y compris :
• autorisation appropriée du projet par les utilisateurs et la gestion des services informatiques,
• une étude de faisabilité préliminaire a montré que le projet avait du mérite,
• qu'une analyse détaillée des besoins des utilisateurs a été réalisée,
• qu'une analyse coût-bénéfice a été réalisée,
• que le projet peut être démontré pour résoudre le problème des utilisateurs, et
• que le système a été soigneusement testé.

10. Les microordinateurs ont traditionnellement été difficiles à contrôler, laissant aux auditeurs des problèmes spéciaux dans
vérification des contrôles physiques. Discutez des objectifs qu'un auditeur pourrait avoir en testant un microordinateur
contrôles.

RÉPONSE :
L'auditeur doit enquêter sur plusieurs choses : 1) que la supervision adéquate et les procédures opérationnelles
existent pour compenser le manque de séparation des tâches qui se produit lorsque les utilisateurs agissent également en tant que
programmeurs et opérateurs ; 2) que l'accès au matériel, aux données et aux logiciels est limité aux personnes autorisées
personnel ; 3) que des procédures de sauvegarde sont en place et mises en œuvre pour prévenir la perte de données et de programmes ;
et 4) que les procédures de sélection et d'acquisition de systèmes garantissent une haute qualité, sans erreur,
applications. Ce n'est pas du tout une situation idéale.

11. Contrast the approche "boîte noire" de l'audit IT et l'approche "boîte blanche". Laquelle est préférée ?

RÉPONSE :
L'approche boîte noire ne concerne pas le fonctionnement interne de l'application. L'auditeur
examine la documentation du système, interviewe le personnel et base l'évaluation sur la logique
la cohérence entre l'entrée et la sortie. Cette méthode est souvent appelée "auditer autour de la-
"ordinateur" parce qu'il n'y a pas d'examen des données au fur et à mesure de leur traitement.
L'approche boîte blanche, aussi appelée "audit à travers l'ordinateur", repose sur la connaissance de la
fonctionnement interne des systèmes et teste réellement l'application en action avec des données de test ayant
résultats connus. Plusieurs techniques de boîte blanche sont disponibles. Celles-ci incluent la méthode des données de test, base
évaluation de cas, traçage, l'installation de test intégrée, et simulation parallèle. Cette méthode rend le
l'ordinateur un outil de l'audit ainsi que sa cible.