信息系统内部控制测评研究.docVIP

信息系统内部控制测评研究 2009-10-16 10:48:34 来源: 作者: 【大 中 小】 浏览:439次 评论:0条 　　信息系统内部控制是一个单位在信息系统环境下，为了保证业务活动的有效进行，保护资产的安全与完整，防止、发现、纠正错误与舞弊，合理确保信息系统提供信息的真实、合法、完整，而制定和实施的一系列政策与程序措施。它是规范秩序、防范风险、遏制腐败、合理确保信息系统功效的有效途径，从而更好地确保组织目标的实现。凡是与信息系统的建立、运行维护、管理和业务处理有关的部门、人员和活动，都属于信息系统内部控制的对象。信息系统内部控制分为一般控制和应用控制。　　对信息系统内部控制测评的组织和实施方式依不同审计目标而定。当开展财务审计需要对信息系统内部控制进行调查时，制订的财务审计工作方案应包括信息系统内部控制测评的内容，相关组织和实施也作为整个财务审计工作的组成部分，有机地结合进行，审计报告中包括对信息系统内部控制评价的内容。当独立开展信息系统内部控制专项审计调查时，根据专项审计调查的程序进行组织和实施，需要进行审前调查，单独制定调查方案，调查结束后，写成专项审计调查报告。　　信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制，其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。有效的一般控制是保证应用控制有效的一个重要因素，它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱，将会严重地削弱相关的具体应用控制的可靠性。由此，对一般控制的评价通常在应用控制评价之前进行。对一般控制的测评内容包括：单位整体范围安全计划和管理、访问控制、应用软件开发和变更控制、系统软件控制、职能分离控制、服务持续性控制。　　信息系统应用控制是被用于对具体应用系统的控制，一个应用系统一般由多个相关计算机程序组成，有些应用系统可能是复杂的综合系统，牵涉到多个计算机程序和组织单元，与此相应，应用控制包括包含在计算机编码中的日常控制及与用户活动相关的政策和流程。对信息系统应用控制的测评内容包括各项业务的授权控制、完整性控制、准确性控制。　　我国审计机关在信息系统审计方面已进行了一些有益的尝试，今后需要进一步深化和规范对信息系统内部控制的测评。一是开展信息系统及其内部控制现状专项调查，根据不同行业的特点，选择部分有代表的单位，开展专项调查，了解信息系统的建设及其内部控制的开展情况，一方面通过调查向有关政策制定和管理部门反映情况，另一方面为研究制定信息系统内部控制规范及信息系统审计项目安排提供信息；二是根据专项审计调查情况及国外经验，总结我国自身经验，充分征求有关方面的意见，制定我国信息系统内部控制调查规范，在内容上不必追求一开始就面面俱到，可以有所侧重，抓住重要环节，通过实践逐步完善；三是有针对性地开展对信息系统审计及内部控制测评，对于企业和金融单位，可以进行全面的信息系统审计及内部控制测评，对于行政事业单位则可以就其与财务核算相关的信息系统内部控制进行测评，除了与财务审计相关的信息系统内部控制测试，必要时也可以进行完全独立的信息系统绩效审计。 内部控制如何评价 ■宋燕冰/文 中国会计报 2012-04-20 17:17:20 ? ?究竟如何对内部控制有效性进行最终评价？加拿大特许会计师协会对此进行了研究，一个特别的结论值得注意，即证据不仅仅是事实的集合，而且是审计人员所了解的每一件事的整合。证据不是以整齐的先后顺序出现的—— —它是非线性的、零散的，必须进行整理、归类和综合。一些证据是具体的事实，可以客观地证实，但大多是所见、所听或所感的印象，它包括组织中人们的态度和意图、组织文化和道德论调。在有意或无意的过程中，人们会考虑所有这些因素—— —当形成结论时，把它们作为证据。 人们习惯于把内部控制评价的内容分为整体层面控制评价和业务层面控制评价。整体层面控制评价，就是对整体层面控制有效性的评价过程，是一个流程。这个流程包括：确定整体层面控制是否创建了一个使业务层面控制有效执行的总体环境；识别整体层面控制的弱点，这些弱点会影响业务层面控制测试的设计。整体层面控制评价不是内部控制总体评价，内部控制总体评价，是对各种控制过程与 因素的综合考虑，从而得出一个总体的评论。整体层面控制的测试是针对具体的控制目标，但评价时应将控制作为一个整体，而不是单独的控制目标，如一个控制领域的弱点，可通过其他领域有效控制的设计和执行予以弥补。 内部控制需有多可靠才能被认为是有效的？整体层面控制必须达到最高水平的可靠性才能有效吗？在决策时，企业应考虑以下事项：一是整体考虑。最终的内部控制有效性应以系统整体而不是单个组成要素来评估。在设计系统时，企业应进行权衡，是改进系统中某些要素抑或