《信息系统环境下内部控制评审内容和方法初探》由会员分享,可在线阅读,更多相关《信息系统环境下内部控制评审内容和方法初探(4页珍藏版)》请在装配图网上搜索。
1、信息系统环境下内部控制评审内容和方法初探计算机数据处理与手工处理有许多不同,从而产生了新的内部控制内容和方式,研究计算机环境下的内部控制的评审内容及其方法,无疑对开展信息系统审计和审计质量的控制都是很有意义。一、信息系统内部控制评审的主要内容通常,计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险,这些风险系统地威胁到信息系统环境下所有应用程序的完好性。应用控制是控制特定应用系统的风险如工资、应收账款和采购应用系统等,其风险来源于信息系统中应用系统本身的破绽,直接威胁到数据的平安、准确。一一般控制的评审包括两个方面:1.对被审计单位信息系统背景信息评审。内容有:1被审
2、计单位信息系统的规模;2硬件和网络的技术复杂性;3被审计单位信息系统会计核算和业务系统等应用软件获得的方式;4系统的管理情况;5被审计单位信息系统处理业务流程等。通过对以上背景信息评审,根本搜集了被审计单位信息系统硬件和软件的根本情况,包括计算机系统的大孝使用软件的类型、技术复杂性,使得审计人员可以决定采取何种方法采集、转换、分析数据以及可能遇到的困难,提早采取相应措施,做到不打无准备之仗。2.对被审计单位信息系统控制环境评审。评审的主要内容包括计算机操作、数据管理、系统维护等控制措施。详细来说有:1软件控制措施。是指已投入的应用软件,未经答应,不得擅自修改包括软件供给商的补丁程序和被审计单位
3、计算机专业人员对软件的修改。主要测试系统投入使用后,运行中的应用软件是否被修改正?是否有适当的文字记录修改内容及影响?软件的修改是否经过适当的审批?2不相容职能别离控制措施。测试内容有系统管理人员及操作人员是否有明确的管理制度及明确的职责权限?数据库管理人员是否不审批和处理经济业务?系统管理人员和操作人员是否不能接触有关应用程序文件?业务处理职能是否在多人之间分工?3访问控制措施。访问控制的目的是确保只有被受权的用户才能实现对特定数据和资源的访问。主要评审系统是否设有操作日志,记录系统操作情况?操作日志能否被删除,且不可恢复?操作日志如能被删除,有无制定需保存的最低期限?对数据库的访问是否有严
4、格的受权限制?系统管理员、操作人员的口令、密码是否认期更换等。4系统的平安性和灾难恢复控制措施。硬件配置是否可以保证系统平安可靠地运行?使用的应用软件来源是否合法、是否经过有关部门认证?财务系统的计算机是否与外网实现物理隔离?计算机是否有防病毒措施并定期晋级病毒库?是否建立了系统备份和系统恢复机制?备份的各种数据是否异地存储?对信息系统控制环境的评审,主要目的是确定被审计单位信息系统总体控制环境中控制的健全性、合理性和有效性及其存在的风险。二对信息系统应用控制的评审。其目的是检查存在于各详细应用程序中的输入控制、处理控制和输出控制情况。评审的主要内容有:输入控制是否能保证由原始凭证触发的批处理
5、或由人工直接输入的实时处理的数据合法、准确和完好。输出控制是否可以确保系统的输出没有被丧失、误导、破坏以及数据不被非法进犯。处理控制是否确保合法的输入经过准确无误的系统处理后输出符合要求的结果。二、信息系统内部控制评审方法?审计机关内部控制测评准那么?第五条规定,审计人员进展内部控制测评分为以下四个步骤:一是对内部控制进展调查理解;二是对内部控制进展初步评价,评价控制风险;三是对内部控制的执行情况进展符合性测试;四是提出内部控制测评结果,并利用测评结果确定本质性测试的性质、范围、重点和方法。在信息系统环境下,审计人员对信息系统的内部控制评审可以通过以下方法实现上述步骤:1.调阅被审计单位的关于
6、计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步理解。2.通过与被审计单位相关人员座谈和实地观察,理解硬件配置、软件运行及维护、相关人员操作经历等计算机信息系统使用环境。3.检查被审计单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修改记录、灾难恢复记录等。以上方法适用于对信息系统内部控制的一般控制进展评审。审计人员也可以将上述有关内容设计成调查问卷,交由被审计单位据实填写,再进展检查核实,完成测评工作。4.实行白箱法通过计算机对计算机系统应用控制的输入控制、处理控制和输出控制进展测试。白箱法测试也称构造测试或逻辑驱动测试,其方法依赖于审计人员对被测应用程序的内
7、部逻辑的深入理解和根据被测应用程序的内部逻辑设计的测试用例。测试的是被审计单位应用软件内部每种操作是否符合要求。详细方法有:1检测数据法。是指审计人员用一批预先设计好的检测数据包括正常的、有效的业务和不正常的、无效的业务数据,利用被审程序加以处理,并把处理的结果与预期的结果作比拟,以确定被审程序的控制与处理功能是否恰当。主要适用于以下三种情况:被审系统的关键控制建立在计算机程序中;被审系统的可见审计轨迹有缺陷;难以由输入直接跟踪到输出。2授控处理法。是指审计人员通过被审程序对被审计单位实际业务的处理进展监控,查明被审程序的处理和控制功能是否恰当有效。如审计人员可通过检查输入错误的更正与重新输入
8、的过程,判别被审程序输入控制的有效性;通过检查错误清单和输出打印结果来判断被审程序处理控制和功能的可靠性;通过核实对输出与输入来判别输出控制的可靠性。这种方法技术简单、省时省力,不需要较高的计算机知识,但审计人员首先要对输入的数据进展查验,并建立审计控制,然后亲自处理或监视处理这些数据。3平行模拟法。是指审计人员从外部获取一份与被审程序副本或利用通用审计软件建立与被审程序一样处理和控制功能的模拟程序模拟程序通常没有它所模拟的原始程序那么复杂,只包括与详细审计目的有关的程序处理、计算和控制,来处理当前的实际数据,把处理的结果与被审程序的处理结果进展比拟,以评价被审程序的处理和控制功能是否可靠或被
9、修改。以上只是简单地表达了计算机应用控制评审的几种方法,当然,这些方法不是孤立的,在实际应用中它们需要互相补充,详细采用那一种方法,要针对计算机系统实际情况而定。三、评价内部控制评审结果以确定本质性测试范围在施行完对信息系统内部控制评审后,审计人员要对内部控制作出评价,以确定内部控制是否真正发挥作用。假如认为内部控制没有得到执行,或执行说明内部控制存在重大隐患,此时,审计人员应提出审计中是否依赖已有的控制。另外,审计人员应当提出一个概括反映信息系统内部控制弱点的属性和程度的总结报告,并将报告列入审计底稿。对报告可以从以下三个方面加以利用:一是确定本质性审计的范围、重点和措施。二是将被审计单位信息系统的控制弱点纳入审计意见,以便其改良工作。三是为确定详细使用何种计算机辅助审计技术提供根据。
信息系统环境下内部控制评审内容和方法初探
