| 信息系统内部控制测评研究 |
| ——2008年第1期审计研究报告介绍 |
| 【时间:2008年02月14日】 【来源:审计署审计科研所】 【字号:大 中 小】 |
|
建立、健全内部控制是被审计单位规范、强化内部管理的重要手段,审计机构开展对被审单位内部控制测评,则是规范其财政财务收支行为,合理确保其财务报告真实、合法的有效途径。被审计单位信息计算机处理取代手工处理后,数据的存储介质和存储方式发生了变化,数据的生成、传递方式也发生了变化;联机实时系统中许多输入来自外部系统的直接转入,失去了原始的文字记录;磁性介质中保存的数据必须要借助于计算机硬件和软件才能读取;磁性介质上保存的数据容易被篡改而不留下痕迹;由于更新频率快,有些资料可能是暂存的,同时许多内部的运算可能不留痕迹和线索。因此如何开展对以计算机为基础的信息系统进行审计,特别是如何对信息系统中内部控制进行测评,是审计工作面临的一大课题。目前各级审计机关不同程度地开展的信息系统审计探索来看,对于大多数项目来看,进行的信息系统内部控制测评,表现为不够规范、不够深入、不够全面。这与我国对信息系统内部控制测评的研究不够深入、规范化建设不到位密切相关。所以开展这方面的研究具有重要的现实意义。
信息系统内部控制是一个单位在信息系统环境下,为了保证业务活动的有效进行,保护资产的安全与完整,防止、发现、纠正错误与舞弊,合理确保信息系统提供信息的真实、合法、完整,而制定和实施的一系列政策与程序措施。它是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径,从而更好地确保组织目标的实现。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动,都属于信息系统内部控制的对象。信息系统内部控制分为一般控制和应用控制。
对信息系统内部控制测评的组织和实施方式依不同审计目标而定。当开展财务审计需要对信息系统内部控制进行调查时,制订的财务审计工作方案应包括信息系统内部控制测评的内容,相关组织和实施也作为整个财务审计工作的组成部分,有机地结合进行,审计报告中包括对信息系统内部控制评价的内容。当独立开展信息系统内部控制专项审计调查时,根据专项审计调查的程序进行组织和实施,需要进行审前调查,单独制定调查方案,调查结束后,写成专项审计调查报告。
信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。由此,对一般控制的评价通常在应用控制评价之前进行。对一般控制的测评内容包括:单位整体范围安全计划和管理、访问控制、应用软件开发和变更控制、系统软件控制、职能分离控制、服务持续性控制。
信息系统应用控制是被用于对具体应用系统的控制,一个应用系统一般由多个相关计算机程序组成,有些应用系统可能是复杂的综合系统,牵涉到多个计算机程序和组织单元,与此相应,应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。对信息系统应用控制的测评内容包括各项业务的授权控制、完整性控制、准确性控制。
我国审计机关在信息系统审计方面已进行了一些有益的尝试,今后需要进一步深化和规范对信息系统内部控制的测评。一是开展信息系统及其内部控制现状专项调查,根据不同行业的特点,选择部分有代表的单位,开展专项调查,了解信息系统的建设及其内部控制的开展情况,一方面通过调查向有关政策制定和管理部门反映情况,另一方面为研究制定信息系统内部控制规范及信息系统审计项目安排提供信息;二是根据专项审计调查情况及国外经验,总结我国自身经验,充分征求有关方面的意见,制定我国信息系统内部控制调查规范,在内容上不必追求一开始就面面俱到,可以有所侧重,抓住重要环节,通过实践逐步完善;三是有针对性地开展对信息系统审计及内部控制测评,对于企业和金融单位,可以进行全面的信息系统审计及内部控制测评,对于行政事业单位则可以就其与财务核算相关的信息系统内部控制进行测评,除了与财务审计相关的信息系统内部控制测试,必要时也可以进行完全独立的信息系统绩效审计。
|
|
|
|
