信息系統(tǒng)環(huán)境下內(nèi)部控制評(píng)審內(nèi)容和方法初探

機(jī)數(shù)據(jù)處理與手工處理有許多不同，從而產(chǎn)生了新的內(nèi)部控制和方式，計(jì)算機(jī)環(huán)境下的內(nèi)部控制的評(píng)審內(nèi)容及其，無(wú)疑對(duì)開(kāi)展信息系統(tǒng)審計(jì)和審計(jì)質(zhì)量的控制都是很有意義�！　�一、信息系統(tǒng)內(nèi)部控制評(píng)審的主要內(nèi)容　　通常，計(jì)算機(jī)信息系統(tǒng)內(nèi)部控制可分為一般控制和控制。一般控制適用于較寬范圍的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)系統(tǒng)地威脅到信息系統(tǒng)環(huán)境下所有應(yīng)用程序的完整性。應(yīng)用控制是控制特定應(yīng)用系統(tǒng)的風(fēng)險(xiǎn)（如工資、應(yīng)收賬款和采購(gòu)應(yīng)用系統(tǒng)等），其風(fēng)險(xiǎn)來(lái)源于信息系統(tǒng)中應(yīng)用系統(tǒng)本身的漏洞，直接威脅到數(shù)據(jù)的安全、準(zhǔn)確�！　�（一）一般控制的評(píng)審包括兩個(gè)方面：　　1.對(duì)被審計(jì)單位信息系統(tǒng)背景信息評(píng)審。內(nèi)容有：　�。�1）被審計(jì)單位信息系統(tǒng)的規(guī)模；　�。�2）硬件和的技術(shù)復(fù)雜性；　　（3）被審計(jì)單位信息系統(tǒng)核算和業(yè)務(wù)系統(tǒng)等應(yīng)用軟件取得的方式；　　（4）系統(tǒng)的管理情況；　�。�5）被審計(jì)單位信息系統(tǒng)處理業(yè)務(wù)流程等�！　⊥ㄟ^(guò)對(duì)以上背景信息評(píng)審，基本收集了被審計(jì)單位信息系統(tǒng)硬件和軟件的基本情況，包括計(jì)算機(jī)系統(tǒng)的大小、使用軟件的類(lèi)型、技術(shù)復(fù)雜性，使得審計(jì)人員能夠決定采取何種方法采集、轉(zhuǎn)換、數(shù)據(jù)以及可能遇到的困難，提前采取相應(yīng)措施，做到不打無(wú)準(zhǔn)備之仗�！　�2.對(duì)被審計(jì)單位信息系統(tǒng)控制環(huán)境評(píng)審。評(píng)審的主要內(nèi)容包括計(jì)算機(jī)操作、數(shù)據(jù)管理、系統(tǒng)維護(hù)等控制措施。具體來(lái)說(shuō)有：　　（1）軟件控制措施。是指已投入的應(yīng)用軟件，未經(jīng)許可，不得擅自修改（包括軟件供應(yīng)商的補(bǔ)丁程序和被審計(jì)單位計(jì)算機(jī)專(zhuān)業(yè)人員對(duì)軟件的修改）。主要測(cè)試系統(tǒng)投入使用后，運(yùn)行中的應(yīng)用軟件是否被修改過(guò)？是否有適當(dāng)?shù)奈淖钟涗浶薷膬?nèi)容及？軟件的修改是否經(jīng)過(guò)適當(dāng)?shù)膶徟�？　�。?）不相容職能分離控制措施。測(cè)試內(nèi)容有系統(tǒng)管理人員及操作人員是否有明確的管理制度及明確的職責(zé)權(quán)限？數(shù)據(jù)庫(kù)管理人員是否不審批和處理業(yè)務(wù)？系統(tǒng)管理人員和操作人員是否不能接觸有關(guān)應(yīng)用程序文件？業(yè)務(wù)處理職能是否在多人之間分工？　�。�3）訪問(wèn)控制措施。訪問(wèn)控制的目標(biāo)是確保只有被授權(quán)的用戶(hù)才能實(shí)現(xiàn)對(duì)特定數(shù)據(jù)和資源的訪問(wèn)。主要評(píng)審系統(tǒng)是否設(shè)有操作日志，記錄系統(tǒng)操作情況？操作日志能否被刪除，且不可恢復(fù)？操作日志如能被刪除，有無(wú)制定需保留的最低期限？對(duì)數(shù)據(jù)庫(kù)的訪問(wèn)是否有嚴(yán)格的授權(quán)限制？系統(tǒng)管理員、操作人員的口令、密碼是否定期更換等�！　。�4）系統(tǒng)的安全性和災(zāi)難恢復(fù)控制措施。硬件配置是否能夠保證系統(tǒng)安全可靠地運(yùn)行？使用的應(yīng)用軟件來(lái)源是否合法、是否經(jīng)過(guò)有關(guān)部門(mén)認(rèn)證？財(cái)務(wù)系統(tǒng)的計(jì)算機(jī)是否與外網(wǎng)實(shí)現(xiàn)物理隔離？計(jì)算機(jī)是否有防病毒措施并定期升級(jí)病毒庫(kù)？是否建立了系統(tǒng)備份和系統(tǒng)恢復(fù)機(jī)制？備份的各種數(shù)據(jù)是否異地存儲(chǔ)？　　對(duì)信息系統(tǒng)控制環(huán)境的評(píng)審，主要目的是確定被審計(jì)單位信息系統(tǒng)總體控制環(huán)境中控制的健全性、合理性和有效性及其存在的風(fēng)險(xiǎn)�！　�（二）對(duì)信息系統(tǒng)應(yīng)用控制的評(píng)審。其目的是檢查存在于各具體應(yīng)用程序中的輸入控制、處理控制和輸出控制情況。　　評(píng)審的主要內(nèi)容有：輸入控制是否能保證由原始憑證觸發(fā)的（批處理）或由人工直接輸入的（實(shí)時(shí)處理）的數(shù)據(jù)合法、準(zhǔn)確和完整。輸出控制是否能夠確保系統(tǒng)的輸出沒(méi)有被丟失、誤導(dǎo)、破壞以及數(shù)據(jù)不被非法侵犯。處理控制是否確保合法的輸入經(jīng)過(guò)準(zhǔn)確無(wú)誤的系統(tǒng)處理后輸出符合要求的結(jié)果�！　�二、信息系統(tǒng)內(nèi)部控制評(píng)審　　《審計(jì)機(jī)關(guān)內(nèi)部控制測(cè)評(píng)準(zhǔn)則》第五條規(guī)定，審計(jì)人員進(jìn)行內(nèi)部控制測(cè)評(píng)分為下列四個(gè)步驟：一是對(duì)內(nèi)部控制進(jìn)行調(diào)查了解；二是對(duì)內(nèi)部控制進(jìn)行初步評(píng)價(jià)，評(píng)價(jià)控制風(fēng)險(xiǎn)；三是對(duì)內(nèi)部控制的執(zhí)行情況進(jìn)行符合性測(cè)試；四是提出內(nèi)部控制測(cè)評(píng)結(jié)果，并利用測(cè)評(píng)結(jié)果確定實(shí)質(zhì)性測(cè)試的性質(zhì)、范圍、重點(diǎn)和方法。在信息系統(tǒng)環(huán)境下，審計(jì)人員對(duì)信息系統(tǒng)的內(nèi)部控制評(píng)審可以通過(guò)下列方法實(shí)現(xiàn)上述步驟：　　1.調(diào)閱被審計(jì)單位的關(guān)于機(jī)信息系統(tǒng)的各項(xiàng)管理制度和相關(guān)文件，對(duì)內(nèi)部控制的健全性和合理性初步了解�！　�2.通過(guò)與被審計(jì)單位相關(guān)人員座談和實(shí)地觀察，了解硬件配置、軟件運(yùn)行及維護(hù)、相關(guān)人員操作經(jīng)驗(yàn)等計(jì)算機(jī)信息系統(tǒng)使用環(huán)境。　　3.檢查被審計(jì)單位內(nèi)部控制過(guò)程中形成的文件和記錄，包括各種操作日志、軟件修改記錄、災(zāi)難恢復(fù)記錄等�！　∫陨戏椒ㄟm用于對(duì)信息系統(tǒng)內(nèi)部控制的一般控制進(jìn)行評(píng)審。審計(jì)人員也可以將上述有關(guān)設(shè)計(jì)成調(diào)查問(wèn)卷，交由被審計(jì)單位據(jù)實(shí)填寫(xiě)，再進(jìn)行檢查核實(shí)，完成測(cè)評(píng)工作。　　4.實(shí)行白箱法（通過(guò)計(jì)算機(jī)）對(duì)計(jì)算機(jī)系統(tǒng)控制的輸入控制、處理控制和輸出控制進(jìn)行測(cè)試�！　“紫浞�測(cè)試也稱(chēng)結(jié)構(gòu)測(cè)試或邏輯驅(qū)動(dòng)測(cè)試，其方法依賴(lài)于審計(jì)人員對(duì)被測(cè)應(yīng)用程序的內(nèi)部邏輯的深刻理解和根據(jù)被測(cè)應(yīng)用程序的內(nèi)部邏輯設(shè)計(jì)的測(cè)試用例。測(cè)試的是被審計(jì)單位應(yīng)用軟件內(nèi)部每種操作是否符合要求。具體方法有：　�。�1）檢測(cè)數(shù)據(jù)法。是指審計(jì)人員用一批預(yù)先設(shè)計(jì)好的檢測(cè)數(shù)據(jù)（包括正常的、有效的業(yè)務(wù)和不正常的、無(wú)效的業(yè)務(wù)數(shù)據(jù)），利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審程序的控制與處理功能是否恰當(dāng)。主要適用于下列三種情況：被審系統(tǒng)的關(guān)鍵控制建立在計(jì)算機(jī)程序中；被審系統(tǒng)的可見(jiàn)審計(jì)軌跡有缺陷；難以由輸入直接跟蹤到輸出�！　。�2）授控處理法。是指審計(jì)人員通過(guò)被審程序?qū)Ρ粚徲?jì)單位實(shí)際業(yè)務(wù)的處理進(jìn)行監(jiān)控，查明被審程序的處理和控制功能是否恰當(dāng)有效。如審計(jì)人員可通過(guò)檢查輸入錯(cuò)誤的更正與重新輸入的過(guò)程，判別被審程序輸入控制的有效性；通過(guò)檢查錯(cuò)誤清單和輸出打印結(jié)果來(lái)判斷被審程序處理控制和功能的可靠性；通過(guò)核實(shí)對(duì)輸出與輸入來(lái)判別輸出控制的可靠性。這種方法技術(shù)簡(jiǎn)單、省時(shí)省力，不需要較高的計(jì)算機(jī)知識(shí)，但審計(jì)人員首先要對(duì)輸入的數(shù)據(jù)進(jìn)行查驗(yàn)，并建立審計(jì)控制，然后親自處理或監(jiān)督處理這些數(shù)據(jù)�！　。�3）平行模擬法。是指審計(jì)人員從外部獲取一份與被審程序副本或利用通用審計(jì)軟件建立與被審程序相同處理和控制功能的模擬程序（模擬程序通常沒(méi)有它所模擬的原始程序那么復(fù)雜，只包括與具體審計(jì)目標(biāo)有關(guān)的程序處理、計(jì)算和控制），來(lái)處理當(dāng)前的實(shí)際數(shù)據(jù)，把處理的結(jié)果與被審程序的處理結(jié)果進(jìn)行比較，以評(píng)價(jià)被審程序的處理和控制功能是否可靠或被修改。　　以上只是簡(jiǎn)單地?cái)⑹隽擞?jì)算機(jī)應(yīng)用控制評(píng)審的幾種方法，當(dāng)然，這些方法不是孤立的，在實(shí)際應(yīng)用中它們需要相互補(bǔ)充，具體采用那一種方法，要針對(duì)計(jì)算機(jī)系統(tǒng)實(shí)際情況而定�！　�三、評(píng)價(jià)內(nèi)部控制評(píng)審結(jié)果以確定實(shí)質(zhì)性測(cè)試范圍　　在實(shí)施完對(duì)信息系統(tǒng)內(nèi)部控制評(píng)審后，審計(jì)人員要對(duì)內(nèi)部控制作出評(píng)價(jià)，以確定內(nèi)部控制是否真正發(fā)揮作用。如果認(rèn)為內(nèi)部控制沒(méi)有得到執(zhí)行，或執(zhí)行表明內(nèi)部控制存在重大隱患，此時(shí)，審計(jì)人員應(yīng)提出審計(jì)中是否依賴(lài)已有的控制。另外，審計(jì)人員應(yīng)當(dāng)提出一個(gè)概括反映信息系統(tǒng)內(nèi)部控制弱點(diǎn)的屬性和程度的報(bào)告，并將報(bào)告列入審計(jì)底稿。對(duì)報(bào)告可以從以下三個(gè)方面加以利用：一是確定實(shí)質(zhì)性審計(jì)的范圍、重點(diǎn)和措施。二是將被審計(jì)單位信息系統(tǒng)的控制弱點(diǎn)納入審計(jì)意見(jiàn)，以便其改進(jìn)工作。三是為確定具體使用何種計(jì)算機(jī)輔助審計(jì)技術(shù)提供依據(jù)。

【信息系統(tǒng)環(huán)境下內(nèi)部控制評(píng)審內(nèi)容和方法初探】相關(guān)文章：

企業(yè)內(nèi)部控制評(píng)審的內(nèi)容與方法03-24

信息系統(tǒng)內(nèi)部控制審計(jì)初探03-21

電算化信息系統(tǒng)環(huán)境下內(nèi)部控制的研究03-19

風(fēng)險(xiǎn)導(dǎo)向內(nèi)部審計(jì)與內(nèi)部控制結(jié)合初探（下）03-22

柔性?xún)?nèi)部控制初探03-21

內(nèi)部控制評(píng)審主體研究03-23

內(nèi)部控制審計(jì)評(píng)價(jià)初探01-10

高校內(nèi)部控制審計(jì)初探03-23

網(wǎng)絡(luò)環(huán)境下企業(yè)內(nèi)部控制研究03-24