信息系統環(huán)境下內部控制評審內容和方法初探

機數據處理與手工處理有許多不同，從而產(chǎn)生了新的內部控制和方式，計算機環(huán)境下的內部控制的評審內容及其，無(wú)疑對開(kāi)展信息系統審計和審計質(zhì)量的控制都是很有意義�！　�一、信息系統內部控制評審的主要內容　　通常，計算機信息系統內部控制可分為一般控制和控制。一般控制適用于較寬范圍的風(fēng)險，這些風(fēng)險系統地威脅到信息系統環(huán)境下所有應用程序的完整性。應用控制是控制特定應用系統的風(fēng)險（如工資、應收賬款和采購應用系統等），其風(fēng)險來(lái)源于信息系統中應用系統本身的漏洞，直接威脅到數據的安全、準確�！　�（一）一般控制的評審包括兩個(gè)方面：　　1.對被審計單位信息系統背景信息評審。內容有：　�。�1）被審計單位信息系統的規模；　�。�2）硬件和的技術(shù)復雜性；　�。�3）被審計單位信息系統核算和業(yè)務(wù)系統等應用軟件取得的方式；　�。�4）系統的管理情況；　�。�5）被審計單位信息系統處理業(yè)務(wù)流程等�！　⊥ㄟ^(guò)對以上背景信息評審，基本收集了被審計單位信息系統硬件和軟件的基本情況，包括計算機系統的大小、使用軟件的類(lèi)型、技術(shù)復雜性，使得審計人員能夠決定采取何種方法采集、轉換、數據以及可能遇到的困難，提前采取相應措施，做到不打無(wú)準備之仗�！　�2.對被審計單位信息系統控制環(huán)境評審。評審的主要內容包括計算機操作、數據管理、系統維護等控制措施。具體來(lái)說(shuō)有：　�。�1）軟件控制措施。是指已投入的應用軟件，未經(jīng)許可，不得擅自修改（包括軟件供應商的補丁程序和被審計單位計算機專(zhuān)業(yè)人員對軟件的修改）。主要測試系統投入使用后，運行中的應用軟件是否被修改過(guò)？是否有適當的文字記錄修改內容及？軟件的修改是否經(jīng)過(guò)適當的審批？　�。�2）不相容職能分離控制措施。測試內容有系統管理人員及操作人員是否有明確的管理制度及明確的職責權限？數據庫管理人員是否不審批和處理業(yè)務(wù)？系統管理人員和操作人員是否不能接觸有關(guān)應用程序文件？業(yè)務(wù)處理職能是否在多人之間分工？　�。�3）訪(fǎng)問(wèn)控制措施。訪(fǎng)問(wèn)控制的目標是確保只有被授權的用戶(hù)才能實(shí)現對特定數據和資源的訪(fǎng)問(wèn)。主要評審系統是否設有操作日志，記錄系統操作情況？操作日志能否被刪除，且不可恢復？操作日志如能被刪除，有無(wú)制定需保留的最低期限？對數據庫的訪(fǎng)問(wèn)是否有嚴格的授權限制？系統管理員、操作人員的口令、密碼是否定期更換等�！　。�4）系統的安全性和災難恢復控制措施。硬件配置是否能夠保證系統安全可靠地運行？使用的應用軟件來(lái)源是否合法、是否經(jīng)過(guò)有關(guān)部門(mén)認證？財務(wù)系統的計算機是否與外網(wǎng)實(shí)現物理隔離？計算機是否有防病毒措施并定期升級病毒庫？是否建立了系統備份和系統恢復機制？備份的各種數據是否異地存儲？　　對信息系統控制環(huán)境的評審，主要目的是確定被審計單位信息系統總體控制環(huán)境中控制的健全性、合理性和有效性及其存在的風(fēng)險�！　�（二）對信息系統應用控制的評審。其目的是檢查存在于各具體應用程序中的輸入控制、處理控制和輸出控制情況。　　評審的主要內容有：輸入控制是否能保證由原始憑證觸發(fā)的（批處理）或由人工直接輸入的（實(shí)時(shí)處理）的數據合法、準確和完整。輸出控制是否能夠確保系統的輸出沒(méi)有被丟失、誤導、破壞以及數據不被非法侵犯。處理控制是否確保合法的輸入經(jīng)過(guò)準確無(wú)誤的系統處理后輸出符合要求的結果�！　�二、信息系統內部控制評審　　《審計機關(guān)內部控制測評準則》第五條規定，審計人員進(jìn)行內部控制測評分為下列四個(gè)步驟：一是對內部控制進(jìn)行調查了解；二是對內部控制進(jìn)行初步評價(jià)，評價(jià)控制風(fēng)險；三是對內部控制的執行情況進(jìn)行符合性測試；四是提出內部控制測評結果，并利用測評結果確定實(shí)質(zhì)性測試的性質(zhì)、范圍、重點(diǎn)和方法。在信息系統環(huán)境下，審計人員對信息系統的內部控制評審可以通過(guò)下列方法實(shí)現上述步驟：　　1.調閱被審計單位的關(guān)于機信息系統的各項管理制度和相關(guān)文件，對內部控制的健全性和合理性初步了解�！　�2.通過(guò)與被審計單位相關(guān)人員座談和實(shí)地觀(guān)察，了解硬件配置、軟件運行及維護、相關(guān)人員操作經(jīng)驗等計算機信息系統使用環(huán)境�！　�3.檢查被審計單位內部控制過(guò)程中形成的文件和記錄，包括各種操作日志、軟件修改記錄、災難恢復記錄等�！　∫陨戏椒ㄟm用于對信息系統內部控制的一般控制進(jìn)行評審。審計人員也可以將上述有關(guān)設計成調查問(wèn)卷，交由被審計單位據實(shí)填寫(xiě)，再進(jìn)行檢查核實(shí)，完成測評工作�！　�4.實(shí)行白箱法（通過(guò)計算機）對計算機系統控制的輸入控制、處理控制和輸出控制進(jìn)行測試�！　“紫浞�測試也稱(chēng)結構測試或邏輯驅動(dòng)測試，其方法依賴(lài)于審計人員對被測應用程序的內部邏輯的深刻理解和根據被測應用程序的內部邏輯設計的測試用例。測試的是被審計單位應用軟件內部每種操作是否符合要求。具體方法有：　�。�1）檢測數據法。是指審計人員用一批預先設計好的檢測數據（包括正常的、有效的業(yè)務(wù)和不正常的、無(wú)效的業(yè)務(wù)數據），利用被審程序加以處理，并把處理的結果與預期的結果作比較，以確定被審程序的控制與處理功能是否恰當。主要適用于下列三種情況：被審系統的關(guān)鍵控制建立在計算機程序中；被審系統的可見(jiàn)審計軌跡有缺陷；難以由輸入直接跟蹤到輸出�！　。�2）授控處理法。是指審計人員通過(guò)被審程序對被審計單位實(shí)際業(yè)務(wù)的處理進(jìn)行監控，查明被審程序的處理和控制功能是否恰當有效。如審計人員可通過(guò)檢查輸入錯誤的更正與重新輸入的過(guò)程，判別被審程序輸入控制的有效性；通過(guò)檢查錯誤清單和輸出打印結果來(lái)判斷被審程序處理控制和功能的可靠性；通過(guò)核實(shí)對輸出與輸入來(lái)判別輸出控制的可靠性。這種方法技術(shù)簡(jiǎn)單、省時(shí)省力，不需要較高的計算機知識，但審計人員首先要對輸入的數據進(jìn)行查驗，并建立審計控制，然后親自處理或監督處理這些數據�！　。�3）平行模擬法。是指審計人員從外部獲取一份與被審程序副本或利用通用審計軟件建立與被審程序相同處理和控制功能的模擬程序（模擬程序通常沒(méi)有它所模擬的原始程序那么復雜，只包括與具體審計目標有關(guān)的程序處理、計算和控制），來(lái)處理當前的實(shí)際數據，把處理的結果與被審程序的處理結果進(jìn)行比較，以評價(jià)被審程序的處理和控制功能是否可靠或被修改�！　∫陨现皇呛�(jiǎn)單地敘述了計算機應用控制評審的幾種方法，當然，這些方法不是孤立的，在實(shí)際應用中它們需要相互補充，具體采用那一種方法，要針對計算機系統實(shí)際情況而定�！　�三、評價(jià)內部控制評審結果以確定實(shí)質(zhì)性測試范圍　　在實(shí)施完對信息系統內部控制評審后，審計人員要對內部控制作出評價(jià)，以確定內部控制是否真正發(fā)揮作用。如果認為內部控制沒(méi)有得到執行，或執行表明內部控制存在重大隱患，此時(shí)，審計人員應提出審計中是否依賴(lài)已有的控制。另外，審計人員應當提出一個(gè)概括反映信息系統內部控制弱點(diǎn)的屬性和程度的報告，并將報告列入審計底稿。對報告可以從以下三個(gè)方面加以利用：一是確定實(shí)質(zhì)性審計的范圍、重點(diǎn)和措施。二是將被審計單位信息系統的控制弱點(diǎn)納入審計意見(jiàn)，以便其改進(jìn)工作。三是為確定具體使用何種計算機輔助審計技術(shù)提供依據。

【信息系統環(huán)境下內部控制評審內容和方法初探】相關(guān)文章：

企業(yè)內部控制評審的內容與方法03-24

信息系統內部控制審計初探03-21

電算化信息系統環(huán)境下內部控制的研究03-19

風(fēng)險導向內部審計與內部控制結合初探（下）03-22

內部控制評審主體研究03-23

內部控制審計評價(jià)初探01-10

高校內部控制審計初探03-23

網(wǎng)絡(luò )環(huán)境下企業(yè)內部控制研究03-24