【精品文档-管理学】信息系统环境下内部控制评审内容和方法初探1545.docx

《【精品文档-管理学】信息系统环境下内部控制评审内容和方法初探1545.docx》由会员分享，可在线阅读，更多相关《【精品文档-管理学】信息系统环境下内部控制评审内容和方法初探1545.docx（7页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Evaluation Warning: The document was created with Spire.Doc for .NET.信息系统环环境下内内部控制制评审内容容和方法法初探_其它管管理论文-毕业论论文作者：网络络收集下载前请注注意：1：本文档档是版权权归原作作者所有有，下载载之前请确认。2：如果不不晓得侵犯犯了你的的利益，请立刻告知，我将立刻做出处理3：可以淘淘宝交易易，七折折时间：20010-06-10 20:59:45计算机数据据处理与手手工处理有许多不同同，从而而产生了新新的内部部控制内内容和方方式，研研究计算机环境下的的内部控控制的评评审内容容及其方方法，无无疑对开展信

2、信息系统统审计和和审计质质量的控控制都是是很有意意义。一、信信息系统统内部控控制评审审的主要要内容通常，计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险，这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险（如工资、应收账款和采购应用系统等），其风险来源于信息系统中应用系统本身的漏洞，直接威胁到数据的安全、准确。（一）一一般控制制的评审审包括两两个方面面：1.对对被审计单单位信息息系统背景信信息评审审。内容容有：（1）被被审计单单位信息息系统的规模；（2）硬硬件和网网络的技术复杂性；（3）被被审计单单位信息息系统会计核算和和业务系

3、统等应用软件取得得的方式式；（4）系系统的管理理情况；（5）被被审计单单位信息息系统处处理业务流程程等。通过对对以上背背景信息息评审，基基本收集集了被审审计单位位信息系系统硬件和和软件的基基本情况况，包括括计算机系系统的大小小、使用用软件的类型、技技术复杂性，使使得审计计人员能够决定采采取何种种方法采采集、转转换、分分析数据据以及可可能遇到到的困难难，提前前采取相相应措施，做做到不打打无准备备之仗。2.对对被审计单单位信息息系统控制环境评审。评审的主主要内容容包括计计算机操操作、数数据管理理、系统统维护等等控制措措施。具具体来说说有：（1）软件控制制措施。是是指已投投入的应应用软件，未未经许可

4、，不不得擅自自修改（包包括软件供应商的补丁程序序和被审审计单位位计算机专业业人员对软软件的修修改）。主主要测试试系统投入使使用后，运运行中的的应用软件是否否被修改改过？是否否有适当当的文字字记录修改改内容及及影响？软件的修修改是否否经过适当当的审批？（2）不不相容职职能分离离控制措措施。测测试内容容有系统统管理人人员及操作作人员是否有有明确的的管理制制度及明明确的职职责权限限？数据据库管理人人员是否不不审批和处理经济业业务？系系统管理人人员和操作作人员是否不不能接触触有关应应用程序序文件？业务处处理职能是否否在多人人之间分工？（3）访问控制制措施。访问控制的目标是确保只有被授权的用户才能实现对

5、特定数据和资源的访问。主要评审系统是否设有操作日志，记录系统操作情况？操作日志能否被删除，且不可恢复？操作日志如能被删除，有无制定需保留的最低期限？对数据库的访问是否有严格的授权限制？系统管理员、操作人员的口令、密码是否定期更换等。（4）系系统的安全全性和灾灾难恢复控控制措施施。硬件件配置是是否能够够保证系统安全可可靠地运运行？使使用的应应用软件来源源是否合合法、是是否经过过有关部部门认证证？财务系统的计算机是是否与外外网实现现物理隔隔离？计计算机是是否有防防病毒措措施并定定期升级级病毒库？是否否建立了了系统备备份和系系统恢复机机制？备备份的各各种数据据是否异异地存储储？对信息息系统控制环境的

6、评审审，主要要目的是是确定被被审计单单位信息息系统总总体控制制环境中控控制的健健全性、合合理性和和有效性性及其存存在的风风险。（二）对信息系统应用控制的评审。其目的是检查存在于各具体应用程序中的输入控制、处理控制和输出控制情况。评审的的主要内内容有：输入控制制是否能能保证由原始始凭证触发的（批批处理）或或由人工工直接输输入的（实实时处理理）的数数据合法法、准确确和完整整。输出控制制是否能能够确保系系统的输出没有有被丢失、误导导、破坏坏以及数数据不被被非法侵侵犯。处处理控制制是否确确保合法法的输入经过准确确无误的系统处处理后输出符合合要求的的结果。 !二、信信息系统统内部控控制评审审方法审计计机

7、关内内部控制制测评准则第五五条规定，审计计人员进行内内部控制制测评分为下列四四个步骤骤：一是是对内部控控制进行调查了解解；二是是对内部控控制进行初步步评价，评价控制制风险；三三是对内部控控制的执执行情况况进行符合合性测试试；四是是提出内内部控制制测评结结果，并并利用测测评结果果确定实实质性测试的性性质、范围、重点点和方法法。在信信息系统统环境下下，审计计人员对信息息系统的内部部控制评评审可以以通过下列方方法实现现上述步步骤：1.调调阅被审计单单位的关关于计算机信信息系统统的各项管理制制度和相相关文件件，对内部控控制的健健全性和和合理性性初步了了解。2.通通过与被审计计单位相相关人员员座谈和实地

8、观察，了了解硬件件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境。3.检检查被审计单单位内部部控制过过程中形形成的文文件和记记录，包包括各种种操作日日志、软软件修改改记录、灾灾难恢复记录录等。以上方方法适用用于对信息系系统内部控控制的一一般控制制进行评审。审计人员也可以以将上述述有关内内容设计计成调查问问卷，交交由被审审计单位位据实填写，再再进行检查核实，完成成测评工作作。4.实实行白箱箱法（通通过计算机机）对计计算机系系统应用控控制的输输入控制制、处理控制制和输出控制制进行测试。白箱法法测试也称称结构测试或逻辑驱驱动测试试，其方方法依赖赖于审计人员对被测应用程程序的内内部逻辑

9、辑的深刻刻理解和和根据被被测应用程程序的内内部逻辑辑设计的的测试用例例。测试试的是被被审计单单位应用软件内部部每种操操作是否否符合要要求。具具体方法法有：（1）检测数据据法。是是指审计计人员用一批批预先设计好的的检测数据据（包括括正常的的、有效效的业务务和不正正常的、无无效的业业务数据据），利利用被审审程序加加以处理，并并把处理的结果与预期的结果作比比较，以确确定被审审程序的的控制与与处理功能能是否恰恰当。主主要适用用于下列列三种情情况：被被审系统的关键控制建建立在计计算机程程序中；被审系统的可见审审计轨迹迹有缺陷陷；难以由输入直接接跟踪到到输出。（2）授授控处理法。是是指审计计人员通过被审程

10、序对被审计单单位实际业业务的处理进行监控，查明被审程序的的处理和控控制功能能是否恰恰当有效效。如审审计人员可通过检检查输入入错误的更更正与重重新输入的过程，判判别被审程序输入控制制的有效效性；通通过检查查错误清清单和输出打印印结果来判判断被审审程序处理控制制和功能能的可靠靠性；通通过核实对输输出与输入来判判别输出控控制的可可靠性。这种方法技术简单、省时省力，不需要较高的计算机知识，但审计人员首先要对输入的数据进行查验，并建立审计控制，然后亲自处理或监督处理这些数据。（3）平平行模拟拟法。是是指审计计人员从外部部获取一份份与被审审程序副副本或利利用通用用审计软软件建立立与被审审程序相相同处理和控

11、控制功能能的模拟拟程序（模模拟程序通通常没有有它所模模拟的原始始程序那那么复杂杂，只包包括与具具体审计计目标有关的的程序处处理、计算和控控制），来来处理当前前的实际际数据，把把处理的结果与被被审程序的的处理结果进行比较，以评价被审程序的的处理和控控制功能能是否可可靠或被被修改。以上只只是简单单地叙述述了计算机应用控制制评审的几几种方法法，当然然，这些方法法不是孤孤立的，在在实际应应用中它它们需要相相互补充，具具体采用用那一种种方法，要要针对计计算机系系统实际际情况而而定。三、评评价内部部控制评评审结果果以确定定实质性测试范围在实施施完对信息系系统内部控控制评审审后，审计计人员要对内部控控制作出出评价，以以确定内内部控制制是否真真正发挥挥作用。如如果认为为内部控控制没有有得到执执行，或或执行表明明内部控控制存在在重大隐隐患，此此时，审计人员应提出出审计中是是否依赖赖已有的的控制。另另外，审审计人员应当提提出一个个概括反反映信息息系统内部控控制弱点点的属性性和程度度的总结结报告，并并将报告列入入审计底稿稿。对报报告可以以从以下下三个方方面加以以利用：一是确确定实质质性审计的范范围、重点点和措施施。二是是将被审审计单位位信息系系统的控制制弱点纳纳入审计意见，以便便其改进进工作。三三是为确定具具体使用用何种计计算机辅助审计技术提供依依据。 ! 上海纺织