Problem 13.

1
r. Plan that describes how to resume business
operations after a major calamity, such as Hurricane
1. Business continuity plan (BCP)
Katrina, that destroys not only an organization’s data
center but also its headquarters.
i. Application control that ensures a customer’s ship to
2. Completeness check
address is entered in a sales order
3. Hash total n. Batch total that does not have any intrinsic meaning.
t. Daily backup procedure that copies only the activity
4. Incremental daily backup
that occurred on that particular day.
a. File used to store information for long periods of
5. Archive
time.
u. Data entry application control that could be used to
6. Field check
verify that only numeric data are entered into a field.
c. Application control that verifies that the quantity
7. Sign check
ordered is greater than 0.
h. Plan that, in the event the organization’s data center
is unavailable, contracts for use of an alternate site
8. Cold site
prewired for Internet connectivity but has no
computing or network equipment.
e. Application control that tests whether a customer is
9. Limit check
18 or older.
j. Application control that involves use of an account
10. Zero-balance test
that should not have a balance after processing.
m. Measure of the amount of data an organization is
11. Recovery point objective (RPO) willing to reenter or possibly lose in the event of a
disaster.
l. Measure of the length of time an organization is
12. Recovery time objective (RTO)
willing to function without its information system.
o. Batch total that represents the number of
13. Record count
transactions processed.
q. Application control that verifies an account number
14. Validity check entered in a transaction record matches an account
number in the related master file.
s. Data entry application control that verifies the
15. Check digit verification accuracy of an account number by recalculating the
last number as a function of the preceding numbers.

16. Closed-loop verification
17. Parity checking
18. Reasonableness test
19. Financial total
v. Data entry application control in which the system
displays the value of a data item and asks the user to
verify that the system has accessed the correct record.
d. Control that counts the number of odd or even bits
in order to verify that all data were transmitted
correctly
p. Application control that validates the correctness of
one data item in a transaction record by comparing it
to the value of another data item in that transaction
record.
w. Batch total that represents the total dollar value of a
set of transactions.

Problem 13.7
a. A company was planning on introducing fault tolerance into its system architecture but
had not finalized its decision yet. In the meantime, the IT department ensured that all
backups were made full backups every Friday night and daily incremental backups.
However, the main harddrive, housing all the company data, crashed. The IT department
secured a replacement hard drive, but they were unable to restore the company data.
a. Một công ty đang lên kế hoạch đưa khả năng chịu lỗi vào kiến trúc hệ thống của mình
nhưng vẫn chưa đưa ra quyết định cuối cùng. Trong khi đó, bộ phận CNTT đảm bảo rằng
tất cả các bản sao lưu đã được sao lưu đầy đủ vào mỗi tối thứ Sáu và tăng dần hàng ngày
dự phòng. Tuy nhiên, ổ cứng chính chứa tất cả dữ liệu của công ty đã bị hỏng. Bộ phận
CNTT đã bảo đảm một ổ cứng thay thế, nhưng họ không thể khôi phục dữ liệu của công
ty
=> Lưu trữ trên cả ổ cứng và đám mây để đảm bảo tính khả dụng củathông tin trong
trường hợp xảy ra rủi ro như trên.

b. A hospital's information system is affected when one of its hard drives crashes. The
Information system contained all patient related records like procedures, medication, and
allergies, and without It the medical staff do not have access to crucial patient
information.
b. Hệ thống thông tin của bệnh viện bị ảnh hưởng khi một trong các ổ cứng của nó bị
hỏng. Hệ thống thông tin chứa tất cả các hồ sơ bệnh nhân như quy trình, thuốc và dị ứng,
và không có nó, nhân viên y tế không có quyền truy cập vào thông tin quan trọng của
bệnh nhân.
=> Lưu trữ trên cả ổ cứng và đám mây để đảm bảo tính khả dụng của thông tin trong
trường hợp xảy ra rủi ro để thay ổ cứng và khắc phục kịp thời. Liên hệ người có quyền
truy cập cấp cao hơn để hỗ trợ trong trường hợp cần truy cập thông tin bệnh nhân khẩn
cấp.

c. An employee intended to apply for 30 days of unpaid leave due to personal reasons
through the company's online leave portal. When the employee received confirmation of
his leave being approved, he noticed that he had applied for 300 days, not 30.
c. Một nhân viên dự định xin nghỉ phép không lương 30 ngày vì lý do cá nhân thông qua
cổng thông tin nghỉ phép trực tuyến của công ty. Khi nhân viên nhận được xác nhận về
việc nghỉ phép của anh ta được chấp thuận, anh ta nhận thấy rằng anh ta đã nộp đơn cho
300 ngày chứ không phải 30 ngày.
=> Thực hiện các biện pháp kiểm soát tính toàn vẹn: kiểm tra giới hạn dữ liệu đầu vào,
kiểm tra dung lượng,...

d. A new inventory clerk entered a new stock item and indicated, by accident, that the
reorder level should be -20.
d. Một nhân viên kiểm kê mới đã nhập một mặt hàng mới trong kho và tình cờ chỉ ra rằng
mức đặt hàng lại phải là -20.
=> Thực hiện các biện pháp kiểm soát tính toàn vẹn: kiểm tra dấu, kiểm tra tính hợp lệ,...

e. Overnight, a fire broke out in the server room of a large company. Luckily the fire was
quickly contained since smoke detectors were triggered, spraying water and killing the
fire. The manager and IT staff member on standby were notified. They rushed to the
office to ensure that the disaster recovery plan was implemented. Since damage to the
server room was mostly superficial, it was possible to resume operations as soon as the
file servers were up and running again. The manager and IT staffmember on standby
could not agree on the process of getting everything up and running again.
e. Qua đêm, một đám cháy bùng phát trong phòng máy chủ của một công ty lớn. May
mắn là ngọn lửa nhanh chóng được khống chế vì máy dò khói được kích hoạt, phun nước
và dập tắt đám cháy. Người quản lý và nhân viên CNTT đã được thông báo. Họ vội vã
đến văn phòng để đảm bảo rằng kế hoạch khắc phục thảm họa đã được thực hiện. Vì hư
hỏng đối với phòng máy chủ chủ yếu là bề ngoài, nên có thể tiếp tục hoạt động ngay sau
khi máy chủ tệp hoạt động trở lại. Người quản lý và nhân viên CNTT không thể đồng ý
về quy trình thiết lập và chạy lại mọi thứ.
=> Thực hiện kiểm soát an ninh thông tin, cụ thể là huấn luyện nhân sự để hiểu rõ về quy
trình khắc phục thảm họa để đưa ra lựa chọn đúng đắn, tiết kiệm thời gian, tiền bạc.

f. You are instructed to process a vendor invoice and are given only the invoice. You are
told that the receiving report is not available and that you must simply make the payment.
f. Bạn được hướng dẫn xử lý hóa đơn của nhà cung cấp và chỉ được cung cấp hóa đơn.
Bạn được thông báo rằng báo cáo nhận hàng không có sẵn và bạn chỉ cần thực hiện thanh
toán.
=> Không thực hiện thanh toán khi không có sự ủy quyền từ người quản lí, hơn nữa phải
kiểm tra, đối chiếu hóa đơn và lô hàng thực nhận.

g. You need to do a credit check on a customer before they can complete the current
transaction and find the correct account number before the system will allow you to
approve the transaction.
g. Bạn cần kiểm tra tín dụng của khách hàng trước khi họ có thể hoàn tất giao dịch hiện
tại và tìm số tài khoản chính xác trước khi hệ thống cho phép bạn phê duyệt giao dịch
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra tính hợp lệ của thẻ tín dụng và tài khoản
ngân hàng.
=> Thực hiển kiểm soát xử lí: kiểm tra sự phù hợp của dữ liệu như thông báo có của ngân
hàng.

h. A company was taken to court by a former employee who accusedone of the payroll
staff members of inappropriately withholding taxinformation. This accusation was made
after the employee left the company, and was made based on events that had allegedly
occurred approximately five years prior to him leaving. The payroll manager requested
information from five years ago, but was informed that backups are only made of
information from the previous week. An accounts payable clerk paid the same invoice
twice.
h. Công ty đã bị một cựu nhân viên đưa ra tòa vì đã cáo buộc một trongnhững nhân viên
trong bảng lương cung cấp thông tin thuế khấu trừ không phù hợp. Lời buộc tội này được
đưa ra sau khi nhân viên rời công ty và được đưa ra dựa trên các sự kiện được cho là đã
xảy ra khoảng 5 năm trước khi anh ta rời đi. Người quản lý tiền lương đã yêu cầu thông
tin từ năm năm trước, nhưng được thông báo rằng các bản sao lưu chỉ được tạo từ thông
tin từ tuần trước. Một nhân viên tài khoản phải trả đã thanh toán cùng một hóa đơn hai
lần.
=> Lưu trữ trên cả ổ cứng và đám mây để đảm bảo tính khả dụng của thông tin trong
trường hợp xảy ra rủi ro như trên.
=> Thực hiện kiểm soát tính toàn vẹn: thực hiện kiểm soát nguồn dữ liệu là hủy bỏ và
bảo vệ chứng từ, kiểm soát xử lý theo cơ chế chống ghi tập tin để tránh hóa đơn được
thanh toán trùng lặp.

j. In several countries, electricity supply is often suspended, referred toas load-shedding

or rolling blackout, during specific set times to balance the supply-and-demand on the
power grid. Unfortunately, often the load-shedding is not managed according to the
schedule time, and companies face problems with their database servers.
j. Ở một số quốc gia, việc cung cấp điện thường bị tạm dừng, được gọi là cắt giảm phụ tải
hoặc mất điện luân phiên, trong thời gian quy định cụ thể để cân bằng cung-cầu trên lưới
điện. Thật không may, việc giảm tải thường không được quản lý theo thời gian biểu và
các công ty gặp phải sự cố với máy chủ cơ sở dữ liệu của họ.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra giới hạn, kiểm tra tính hợp lệ, kiểm tra sự
phù hợp của dữ liệu.
=> Nâng cấp hệ thống máy chủ.
k. A batch of sales transactions was sent to headquarters for processing overnight. Some
data transmission error occurred and one of the sheets containing sales transactions was
lost. This mistake was only identified three weeks later when two unrelated events
identified a problem: there was a random inventory check that identified a discrepancy
between actual inventory and inventory sold; and a customer wanted to return aproduct,
but even though the customer had his receipt, there was no record of the actual
transaction on the system.
k. Một lô giao dịch bán hàng đã được gửi đến trụ sở chính để xử lý qua đêm. Đã xảy ra
một số lỗi truyền dữ liệu và một trong các trang tính chứa các giao dịch bán hàng đã bị
mất. Sai lầm này chỉ được xác định ba tuần sau đó khi hai sự kiện không liên quan đã xác
định một vấn đề: có một cuộc kiểm tra hàng tồn kho ngẫu nhiên đã xác định được sự
khác biệt giữa hàng tồn kho thực tế và hàng tồn kho đã bán; và một khách hàng muốn trả
lại một sản phẩm, nhưng mặc dù khách hàng đã nhận được hóa đơn nhưng không có hồ
sơ về giao dịch thực tế trên hệ thống.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra sự phù hợp dữ liệu, đối chiếu dữ liệu giữ
hàng tồn kho và đơn đặt hàng của khách, số kiểm tra và xác nhận số kiểm tra giữa đơn
đặt hàng và hóa đơn.
=> Lưu trữ trên cả ổ cứng và đám mây để đảm bảo tính khả dụng của thông tin trong
trường hợp xảy ra rủi ro như trên.

l. A recently appointed data entry clerk was under pressure to finish off alarge batch of
payments. In several of the amounts that had to be entered, the clerk entered the letter T
instead of the number 1.
l. Một nhân viên nhập liệu được bổ nhiệm gần đây đã phải chịu áp lực phải hoàn thành
một lô hàng lớn của các khoản thanh toán. Trong một vài số tiền phải nhập, nhân viên
bán hàng đã nhập chữ T thay cho số 1.
=> Thực hiển kiểm soát tính toàn vẹn: kiểm tra kiểu dữ liệu, kiểm tra tính hợp lệ,...

m. Your company received notice that your account at one of your suppliers is over-due.
You do, however, have a record of the payment that was made. When you furnished the
supplier s accounting department with the proof of payment, the accounts receivable
clerk apologized and said there was a typing error where two digits of your account
number were transposed.
m. Công ty của bạn đã nhận được thông báo rằng tài khoản của bạn tại một trong những
nhà cung cấp của bạn đã quá hạn. Tuy nhiên, bạn có hồ sơ thanh toán đã được thực hiện.
Khi bạn cung cấp cho bộ phận kế toán của nhà cung cấp bằng chứng thanh toán, nhân
viên kế toán phải thu đã xin lỗi và nói rằng có một lỗi đánh máy trong đó hai chữ số trong
số tài khoản của bạn đã được hoán đổi.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra kiểu dữ liệu, kiểm tra tính hợp lệ, kiểm
tra sự phù hợp của dữ liệu,...

n. A credit bureau manager contacted you regarding their backup procedures. He

explained that one of the DVDS on which their full backups were made in plain text had
gone missing, and he is worried what might happen if the DVD fell in the wrong hands.
Two days later the disk was found under a desktop machine. What advice about controls
would be appropriate in this case?
n. Người quản lý văn phòng tín dụng đã liên hệ với bạn về các thủ tục dự phòng của họ.
Anh ấy nói rằng một trong những đĩa DVD mà các bản sao lưu đầy đủ của họ được tạo ở
dạng văn bản thuần túy đã bị mất và anh ấy lo lắng điều gì có thể xảy ra nếu đĩa DVD bị
rơi nhầm tay. Hai ngày sau, chiếc đĩa được tìm thấy dưới một chiếc máy tính để bàn. Lời
khuyên nào về kiểm soát sẽ phù hợp trong trường hợp này?
=> Thực hiện sao lưu dữ liệu trên đám mây bên cạnh đĩa DVD.
=> Thực hiện các biện pháp kiểm soát ngăn ngừa: đặt mật khẩu cho đĩa DVD, cất đĩa
DVD ở tủ có khóa (khóa vân tay, khóa mật khẩu,...) và chỉcấp quyền truy cập cho những
người có liên quan.

o. A newly appointed employee who had just emigrated from England was entering sales
data, including the date the sales were made. The employee was used to dates being in the
date-month-year format and entered all the dates accordingly. The system the employee
used had been set up to accept dates in the month-date-year format.
o. Một nhân viên mới được bổ nhiệm vừa mới di cư từ Anh đã bước vào nhập dữ liệu bán
hàng, bao gồm cả ngày bán hàng đã được thực hiện. Các nhân viên đã được sử dụng ngày
ở định dạng ngày-tháng-năm và nhập tất cả các ngày tương ứng. Hệ thống mà nhân viên
sử dụng đã được thiết lập để chấp nhận các ngày tháng-ngày- định dạng năm.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra giới hạn, kiểm tra dữ liệu, kiểm tra tính
hợp lý,...

p. A small business owner that manages his finances in a spreadsheet program asked if
you could assist him with some of his calculations. There was a recent case where the
value added tax (VAT) in the country was changed from 14% to 15%, and the business
owner said his accountant indicated that he had incorrect VAT values in his financial
reporting. He maintained that he had updated the VAT rate in his speadsheet.
p. Một chủ doanh nghiệp nhỏ quản lý tài chính của mình trong một chương trình bảng
tính đã hỏi liệu bạn có thể hỗ trợ anh ta với một số tính toán của anh ta. Có một trường
hợp gần đây khi thuế giá trị gia tăng (VAT) trong nước được thay đổi từ 14% thành 15%,
và chủ doanh nghiệp cho biết kế toán của anh ấy chỉ ra rằng anh ấy đã ghi sai giá trị VAT
trong báo cáo tài chính. Anh ấy khẳng định rằng anh ấy đã cập nhật thuế suất VAT trong
bảng tính của mình.
=> Thực hiện kiểm soát tính toàn vẹn: kiểm tra tính hợp lý, đối chiếu dữ liệu ngoài hệ
thống,..
.=> Thực hiện kiểm soát và bảo mật thông tin: kiểm soát quyền truy cập vào bảng tính.