信息系统环境下内部控制评审内容和方法初探
一、信息系统内部控制评审的主要内容
通常,计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险,这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统等),其风险来源于信息系统中应用系统本身的漏洞,直接威胁到数据的安全、准确。
(一)一般控制的评审包括两个方面:
1.对被审计单位信息系统背景信息评审。内容有:
(1)被审计单位信息系统的规模;
(2)硬件和网络的技术复杂性;
(3)被审计单位信息系统会计核算和业务系统等应用软件取得的方式;
(4)系统的管理情况;
(5)被审计单位信息系统处理业务流程等。
通过对以上背景信息评审,基本收集了被审计单位信息系统硬件和软件的基本情况,包括计算机系统的大小、使用软件的类型、技术复杂性,使得审计人员能够决定采取何种方法采集、转换、分析数据以及可能遇到的困难,提前采取相应措施,做到不打无准备之仗。
2.对被审计单位信息系统控制环境评审。评审的主要内容包括计算机操作、数据管理、系统维护等控制措施。具体来说有:
(1)软件控制措施。是指已投入的应用软件,未经许可,不得擅自修改(包括软件供应商的补丁程序和被审计单位计算机专业人员对软件的修改)。主要测试系统投入使用后,运行中的应用软件是否被修改过?是否有适当的文字记录修改内容及影响?软件的修改是否经过适当的审批?
(2)不相容职能分离控制措施。测试内容有系统管理人员及操作人员是否有明确的管理制度及明确的职责权限?数据库管理人员是否不审批和处理经济业务?系统管理人员和操作人员是否不能接触有关应用程序文件?业务处理职能是否在多人之间分工?
(3)访问控制措施。访问控制的目标是确保只有被授权的用户才能实现对特定数据和资源的访问。主要评审系统是否设有操作日志,记录系统操作情况?操作日志能否被删除,且不可恢复?操作日志如能被删除,有无制定需保留的最低期限?对数据库的访问是否有严格的授权限制?系统管理员、操作人员的口令、密码是否定期更换等。
(4)系统的安全性和灾难恢复控制措施。硬件配置是否能够保证系统安全可靠地运行?使用的应用软件来源是否合法、是否经过有关部门认证?财务系统的计算机是否与外网实现物理隔离?计算机是否有防病毒措施并定期升级病毒库?是否建立了系统备份和系统恢复机制?备份的各种数据是否异地存储?
对信息系统控制环境的评审,主要目的是确定被审计单位信息系统总体控制环境中控制的健全性、合理性和有效性及其存在的风险。
(二)对信息系统应用控制的评审。其目的是检查存在于各具体应用程序中的输入控制、处理控制和输出控制情况。
评审的主要内容有:输入控制是否能保证由原始凭证触发的(批处理)或由人工直接输入的(实时处理)的数据合法、准确和完整。输出控制是否能够确保系统的输出没有被丢失、误导、破坏以及数据不被非法侵犯。处理控制是否确保合法的输入经过准确无误的系统处理后输出符合要求的结果。
- 上一篇:加强内控建设
- 下一篇:对内部控制建设的若干思考
