Problem 13.

1
r. Plan that describes how to resume business
operations after a major calamity, such as
1. Business continuity plan
Hurricane Katrina, that destroys not only an
(BCP)
organization’s data center but also its
headquarters.
i. Application control that ensures a customer’s
2. Completeness check
ship to address is entered in a sales order
n. Batch total that does not have any intrinsic
3. Hash total
meaning.
t. Daily backup procedure that copies only the
4. Incremental daily backup
activity that occurred on that particular day.
a. File used to store information for long
5. Archive
periods of time.
u. Data entry application control that could be
6. Field check used to verify that only numeric data are
entered into a field.
c. Application control that verifies that the
7. Sign check
quantity ordered is greater than 0.
h. Plan that, in the event the organization’s
data center is unavailable, contracts for use of
8. Cold site an alternate site prewired for Internet
connectivity but has no computing or network
equipment.
e. Application control that tests whether a
9. Limit check
customer is 18 or older.
j. Application control that involves use of an
10. Zero-balance test account that should not have a balance after
processing.
m. Measure of the amount of data an
11. Recovery point objective
organization is willing to reenter or possibly
(RPO)
lose in the event of a disaster.
l. Measure of the length of time an
12. Recovery time objective
organization is willing to function without its
(RTO)
information system.
o. Batch total that represents the number of
13. Record count
transactions processed.

14. Validity check
15. Check digit verification
16. Closed-loop verification
17. Parity checking
18. Reasonableness test
19. Financial total
q. Application control that verifies an account
number entered in a transaction record matches
an account number in the related master file.
s. Data entry application control that verifies
the accuracy of an account number by
recalculating the last number as a function of
the preceding numbers.
v. Data entry application control in which the
system displays the value of a data item and
asks the user to verify that the system has
accessed the correct record.
d. Control that counts the number of odd or
even bits in order to verify that all data were
transmitted correctly
p. Application control that validates the
correctness of one data item in a transaction
record by comparing it to the value of another
data item in that transaction record.
w. Batch total that represents the total dollar
value of a set of transactions.

Problem 13.7
a. A company was planning on introducing fault tolerance into its system
architecture but had not finalized its decision yet. In the meantime, the IT
department ensured that all backups were made full backups every Friday night
and daily incremental backups. However, the main harddrive, housing all the
company data, crashed. The IT department secured a replacement hard drive, but
they were unable to restore the company data.
a. Một công ty đang lên kế hoạch đưa khả năng chịu lỗi vào kiến trúc hệ thống của
mình nhưng vẫn chưa đưa ra quyết định cuối cùng. Trong khi đó, bộ phận CNTT
đảm bảo rằng tất cả các bản sao lưu đã được sao lưu đầy đủ vào mỗi tối thứ Sáu và
tăng dần hàng ngày dự phòng. Tuy nhiên, ổ cứng chính chứa tất cả dữ liệu của
công ty đã bị hỏng. Bộ phận CNTT đã bảo đảm một ổ cứng thay thế, nhưng họ
không thể khôi phục dữ liệu của công ty
=> Lưu trữ trên cả ổ cứng và đám mây để đảm bảo tính khả dụng củathông tin
trong trường hợp xảy ra rủi ro như trên.

b. A hospital's information system is affected when one of its hard drives crashes.
The Information system contained all patient related records like procedures,
medication, and allergies, and without It the medical staff do not have access to
crucial patient information.
b. Hệ thống thông tin của bệnh viện bị ảnh hưởng khi một trong các ổ cứng của nó
bị hỏng. Hệ thống thông tin chứa tất cả các hồ sơ bệnh nhân như quy trình, thuốc
và dị ứng, và không có nó, nhân viên y tế không có quyền truy cập vào thông tin
quan trọng của bệnh nhân.
=> Lưu trữ trên cả ổ cứng và đám mây để đảm bảo tính khả dụng của thông tin
trong trường hợp xảy ra rủi ro để thay ổ cứng và khắc phục kịp thời. Liên hệ người
có quyền truy cập cấp cao hơn để hỗ trợ trong trường hợp cần truy cập thông tin
bệnh nhân khẩn cấp.

c. An employee intended to apply for 30 days of unpaid leave due to personal

reasons through the company's online leave portal. When the employee received
confirmation of his leave being approved, he noticed that he had applied for 300
days, not 30.
c. Một nhân viên dự định xin nghỉ phép không lương 30 ngày vì lý do cá nhân
thông qua cổng thông tin nghỉ phép trực tuyến của công ty. Khi nhân viên nhận
được xác nhận về việc nghỉ phép của anh ta được chấp thuận, anh ta nhận thấy
rằng anh ta đã nộp đơn cho 300 ngày chứ không phải 30 ngày.
=> Thực hiện các biện pháp kiểm soát tính toàn vẹn: kiểm tra giới hạn dữ liệu đầu
vào, kiểm tra dung lượng,...

d. A new inventory clerk entered a new stock item and indicated, by accident, that
the reorder level should be -20.
d. Một nhân viên kiểm kê mới đã nhập một mặt hàng mới trong kho và tình cờ chỉ
ra rằng mức đặt hàng lại phải là -20.
=> Thực hiện các biện pháp kiểm soát tính toàn vẹn: kiểm tra dấu, kiểm tra tính
hợp lệ,...

e. Overnight, a fire broke out in the server room of a large company. Luckily the
fire was quickly contained since smoke detectors were triggered, spraying water
and killing the fire. The manager and IT staff member on standby were notified.
They rushed to the office to ensure that the disaster recovery plan was
implemented. Since damage to the server room was mostly superficial, it was
possible to resume operations as soon as the file servers were up and running
again. The manager and IT staffmember on standby could not agree on the process
of getting everything up and running again.
e. Qua đêm, một đám cháy bùng phát trong phòng máy chủ của một công ty lớn.
May mắn là ngọn lửa nhanh chóng được khống chế vì máy dò khói được kích hoạt,
phun nước và dập tắt đám cháy. Người quản lý và nhân viên CNTT đã được thông
báo. Họ vội vã đến văn phòng để đảm bảo rằng kế hoạch khắc phục thảm họa đã
được thực hiện. Vì hư hỏng đối với phòng máy chủ chủ yếu là bề ngoài, nên có thể
tiếp tục hoạt động ngay sau khi máy chủ tệp hoạt động trở lại. Người quản lý và
nhân viên CNTT không thể đồng ý về quy trình thiết lập và chạy lại mọi thứ.
=> Thực hiện kiểm soát an ninh thông tin, cụ thể là huấn luyện nhân sự để hiểu rõ
về quy trình khắc phục thảm họa để đưa ra lựa chọn đúng đắn, tiết kiệm thời gian,
tiền bạc.

f. You are instructed to process a vendor invoice and are given only the invoice.
You are told that the receiving report is not available and that you must simply
make the payment.
f. Bạn được hướng dẫn xử lý hóa đơn của nhà cung cấp và chỉ được cung cấp hóa
đơn. Bạn được thông báo rằng báo cáo nhận hàng không có sẵn và bạn chỉ cần thực
hiện thanh toán.
=> Không thực hiện thanh toán khi không có sự ủy quyền từ người quản lí, hơn
nữa phải kiểm tra, đối chiếu hóa đơn và lô hàng thực nhận.

g. You need to do a credit check on a customer before they can complete the
current transaction and find the correct account number before the system will
allow you to approve the transaction.
g. Bạn cần kiểm tra tín dụng của khách hàng trước khi họ có thể hoàn tất giao dịch
hiện tại và tìm số tài khoản chính xác trước khi hệ thống cho phép bạn phê duyệt
giao dịch
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra tính hợp lệ của thẻ tín dụng và tài
khoản ngân hàng.
=> Thực hiển kiểm soát xử lí: kiểm tra sự phù hợp của dữ liệu như thông báo có
của ngân hàng.

h. A company was taken to court by a former employee who accusedone of the

payroll staff members of inappropriately withholding taxinformation. This
accusation was made after the employee left the company, and was made based on
events that had allegedly occurred approximately five years prior to him leaving.
The payroll manager requested information from five years ago, but was informed
that backups are only made of information from the previous week. An accounts
payable clerk paid the same invoice twice.
h. Công ty đã bị một cựu nhân viên đưa ra tòa vì đã cáo buộc một trongnhững nhân
viên trong bảng lương cung cấp thông tin thuế khấu trừ không phù hợp. Lời buộc
tội này được đưa ra sau khi nhân viên rời công ty và được đưa ra dựa trên các sự
kiện được cho là đã xảy ra khoảng 5 năm trước khi anh ta rời đi. Người quản lý
tiền lương đã yêu cầu thông tin từ năm năm trước, nhưng được thông báo rằng các
bản sao lưu chỉ được tạo từ thông tin từ tuần trước. Một nhân viên tài khoản phải
trả đã thanh toán cùng một hóa đơn hai lần.
=> Lưu trữ trên cả ổ cứng và đám mây để đảm bảo tính khả dụng của thông tin
trong trường hợp xảy ra rủi ro như trên.
=> Thực hiện kiểm soát tính toàn vẹn: thực hiện kiểm soát nguồn dữ liệu là hủy bỏ
và bảo vệ chứng từ, kiểm soát xử lý theo cơ chế chống ghi tập tin để tránh hóa đơn
được thanh toán trùng lặp.

j. In several countries, electricity supply is often suspended, referred toas load-

shedding or rolling blackout, during specific set times to balance the supply-and-
demand on the power grid. Unfortunately, often the load-shedding is not managed
according to the schedule time, and companies face problems with their database
servers.
j. Ở một số quốc gia, việc cung cấp điện thường bị tạm dừng, được gọi là cắt giảm
phụ tải hoặc mất điện luân phiên, trong thời gian quy định cụ thể để cân bằng
cung-cầu trên lưới điện. Thật không may, việc giảm tải thường không được quản lý
theo thời gian biểu và các công ty gặp phải sự cố với máy chủ cơ sở dữ liệu của họ.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra giới hạn, kiểm tra tính hợp lệ, kiểm
tra sự phù hợp của dữ liệu.
=> Nâng cấp hệ thống máy chủ.

k. A batch of sales transactions was sent to headquarters for processing overnight.

Some data transmission error occurred and one of the sheets containing sales
transactions was lost. This mistake was only identified three weeks later when two
unrelated events identified a problem: there was a random inventory check that
identified a discrepancy between actual inventory and inventory sold; and a
customer wanted to return aproduct, but even though the customer had his receipt,
there was no record of the actual transaction on the system.
k. Một lô giao dịch bán hàng đã được gửi đến trụ sở chính để xử lý qua đêm. Đã
xảy ra một số lỗi truyền dữ liệu và một trong các trang tính chứa các giao dịch bán
hàng đã bị mất. Sai lầm này chỉ được xác định ba tuần sau đó khi hai sự kiện
không liên quan đã xác định một vấn đề: có một cuộc kiểm tra hàng tồn kho ngẫu
nhiên đã xác định được sự khác biệt giữa hàng tồn kho thực tế và hàng tồn kho đã
bán; và một khách hàng muốn trả lại một sản phẩm, nhưng mặc dù khách hàng đã
nhận được hóa đơn nhưng không có hồ sơ về giao dịch thực tế trên hệ thống.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra sự phù hợp dữ liệu, đối chiếu dữ
liệu giữ hàng tồn kho và đơn đặt hàng của khách, số kiểm tra và xác nhận số kiểm
tra giữa đơn đặt hàng và hóa đơn.
=> Lưu trữ trên cả ổ cứng và đám mây để đảm bảo tính khả dụng của thông tin
trong trường hợp xảy ra rủi ro như trên.

l. A recently appointed data entry clerk was under pressure to finish off alarge
batch of payments. In several of the amounts that had to be entered, the clerk
entered the letter T instead of the number 1.
l. Một nhân viên nhập liệu được bổ nhiệm gần đây đã phải chịu áp lực phải hoàn
thành một lô hàng lớn của các khoản thanh toán. Trong một vài số tiền phải nhập,
nhân viên bán hàng đã nhập chữ T thay cho số 1.
=> Thực hiển kiểm soát tính toàn vẹn: kiểm tra kiểu dữ liệu, kiểm tra tính hợp lệ,...

m. Your company received notice that your account at one of your suppliers is
over-due. You do, however, have a record of the payment that was made. When
you furnished the supplier s accounting department with the proof of payment, the
accounts receivable clerk apologized and said there was a typing error where two
digits of your account number were transposed.
m. Công ty của bạn đã nhận được thông báo rằng tài khoản của bạn tại một trong
những nhà cung cấp của bạn đã quá hạn. Tuy nhiên, bạn có hồ sơ thanh toán đã
được thực hiện. Khi bạn cung cấp cho bộ phận kế toán của nhà cung cấp bằng
chứng thanh toán, nhân viên kế toán phải thu đã xin lỗi và nói rằng có một lỗi đánh
máy trong đó hai chữ số trong số tài khoản của bạn đã được hoán đổi.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra kiểu dữ liệu, kiểm tra tính hợp lệ,
kiểm tra sự phù hợp của dữ liệu,...

n. A credit bureau manager contacted you regarding their backup procedures. He

explained that one of the DVDS on which their full backups were made in plain
text had gone missing, and he is worried what might happen if the DVD fell in the
wrong hands. Two days later the disk was found under a desktop machine. What
advice about controls would be appropriate in this case?
n. Người quản lý văn phòng tín dụng đã liên hệ với bạn về các thủ tục dự phòng
của họ. Anh ấy nói rằng một trong những đĩa DVD mà các bản sao lưu đầy đủ của
họ được tạo ở dạng văn bản thuần túy đã bị mất và anh ấy lo lắng điều gì có thể
xảy ra nếu đĩa DVD bị rơi nhầm tay. Hai ngày sau, chiếc đĩa được tìm thấy dưới
một chiếc máy tính để bàn. Lời khuyên nào về kiểm soát sẽ phù hợp trong trường
hợp này?
=> Thực hiện sao lưu dữ liệu trên đám mây bên cạnh đĩa DVD.
=> Thực hiện các biện pháp kiểm soát ngăn ngừa: đặt mật khẩu cho đĩa DVD, cất
đĩa DVD ở tủ có khóa (khóa vân tay, khóa mật khẩu,...) và chỉcấp quyền truy cập
cho những người có liên quan.

o. A newly appointed employee who had just emigrated from England was entering
sales data, including the date the sales were made. The employee was used to dates
being in the date-month-year format and entered all the dates accordingly. The
system the employee used had been set up to accept dates in the month-date-year
format.
o. Một nhân viên mới được bổ nhiệm vừa mới di cư từ Anh đã bước vào nhập dữ
liệu bán hàng, bao gồm cả ngày bán hàng đã được thực hiện. Các nhân viên đã
được sử dụng ngày ở định dạng ngày-tháng-năm và nhập tất cả các ngày tương
ứng. Hệ thống mà nhân viên sử dụng đã được thiết lập để chấp nhận các ngày
tháng-ngày- định dạng năm.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra giới hạn, kiểm tra dữ liệu, kiểm tra
tính hợp lý,...

p. A small business owner that manages his finances in a spreadsheet program

asked if you could assist him with some of his calculations. There was a recent
case where the value added tax (VAT) in the country was changed from 14% to
15%, and the business owner said his accountant indicated that he had incorrect
VAT values in his financial reporting. He maintained that he had updated the VAT
rate in his speadsheet.
p. Một chủ doanh nghiệp nhỏ quản lý tài chính của mình trong một chương trình
bảng tính đã hỏi liệu bạn có thể hỗ trợ anh ta với một số tính toán của anh ta. Có
một trường hợp gần đây khi thuế giá trị gia tăng (VAT) trong nước được thay đổi từ
14% thành 15%, và chủ doanh nghiệp cho biết kế toán của anh ấy chỉ ra rằng anh
ấy đã ghi sai giá trị VAT trong báo cáo tài chính. Anh ấy khẳng định rằng anh ấy đã
cập nhật thuế suất VAT trong bảng tính của mình.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra tính hợp lý, đối chiếu dữ liệu ngoài
hệ thống,..
.=> Thực hiện kiểm soát và bảo mật thông tin: kiểm soát quyền truy cập vào bảng
tính.