![信息系統環境下內部控制評審內容和方法初探]( "信息系統環境下內部控制評審內容和方法初探")
機數據處理與手工處理有許多不同,從而產生了新的內部控制和方式,
計算機環境下的內部控制的評審內容及其,無疑對開展信息系統審計和審計質量的控制都是很有意義。
一、信息系統內部控制評審的主要內容 通常,計算機信息系統內部控制可分爲一般控制和控制。一般控制適用於較寬範圍的風險,這些風險系統地威脅到信息系統環境下所有應用程序的完整性。應用控制是控制特定應用系統的風險(如工資、應收賬款和採購應用系統等),其風險來源於信息系統中應用系統本身的漏洞,直接威脅到數據的安全、準確。
(一)一般控制的評審包括兩個方面: 1.對被審計單位信息系統背景信息評審。內容有: (1)被審計單位信息系統的規模; (2)硬件和的
技術複雜性; (3)被審計單位信息系統覈算和業務系統等應用軟件取得的方式; (4)系統的管理情況; (5)被審計單位信息系統處理業務流程等。 通過對以上背景信息評審,基本收集了被審計單位信息系統硬件和軟件的基本情況,包括計算機系統的大小、使用軟件的類型、技術複雜性,使得審計
人員能夠決定採取何種方法採集、轉換、數據以及可能遇到的困難,提前採取相應措施,做到不打無準備之仗。 2.對被審計單位信息系統控制環境評審。評審的主要內容包括計算機操作、數據管理、系統維護等控制措施。具體來說有: (1)軟件控制措施。是指已投入的應用軟件,未經許可,不得擅自修改(包括軟件供應商的補丁程序和被審計單位計算機專業人員對軟件的修改)。主要測試系統投入使用後,運行中的應用軟件是否被修改過?是否有適當的文字記錄修改內容及?軟件的修改是否經過適當的審批? (2)不相容職能分離控制措施。測試內容有系統管理人員及操作人員是否有明確的管理
制度及明確的職責權限?數據庫管理人員是否不審批和處理業務?系統管理人員和操作人員是否不能接觸有關應用程序文件?業務處理職能是否在多人之間分工? (3)訪問控制措施。訪問控制的目標是確保只有被授權的用戶才能實現對特定數據和資源的訪問。主要評審系統是否設有操作日誌,記錄系統操作情況?操作日誌能否被刪除,且不可恢復?操作日誌如能被刪除,有無制定需保留的最低期限?對數據庫的訪問是否有嚴格的授權限制?系統管理員、操作人員的口令、密碼是否定期更換等。 (4)系統的安全性和災難恢復控制措施。硬件配置是否能夠保證系統安全可靠地運行?使用的應用軟件來源是否合法、是否經過有關部門認證?財務系統的計算機是否與外網實現物理隔離?計算機是否有防病毒措施並定期升級病毒庫?是否建立了系統備份和系統恢復機制?備份的各種數據是否異地存儲? 對信息系統控制環境的評審,主要目的'是確定被審計單位信息系統總體控制環境中控制的健全性、合理性和有效性及其存在的風險。
(二)對信息系統應用控制的評審。其目的是檢查存在於各具體應用程序中的輸入控制、處理控制和輸出控制情況。 評審的主要內容有:輸入控制是否能保證由原始憑證觸發的(批處理)或由人工直接輸入的(實時處理)的數據合法、準確和完整。輸出控制是否能夠確保系統的輸出沒有被丟失、誤導、破壞以及數據不被非法侵犯。處理控制是否確保合法的輸入經過準確無誤的系統處理後輸出符合要求的結果。
二、信息系統內部控制評審 《審計機關內部控制測評準則》第五條規定,審計人員進行內部控制測評分爲下列四個步驟:一是對內部控制進行調查瞭解;二是對內部控制進行初步評價,評價控制風險;三是對內部控制的執行情況進行符合性測試;四是提出內部控制測評結果,並利用測評結果確定實質性測試的性質、範圍、重點和方法。在信息系統環境下,審計人員對信息系統的內部控制評審可以通過下列方法實現上述步驟: 1.調閱被審計單位的關於機信息系統的各項管理制度和相關文件,對內部控制的健全性和合理性初步瞭解。 2.通過與被審計單位相關人員座談和實地觀察,瞭解硬件配置、軟件運行及維護、相關人員操作經驗等計算機信息系統使用環境。 3.檢查被審計單位內部控制過程中形成的文件和記錄,包括各種操作日誌、軟件修改記錄、災難恢復記錄等。 以上方法適用於對信息系統內部控制的一般控制進行評審。審計人員也可以將上述有關設計成調查問卷,交由被審計單位據實填寫,再進行檢查覈實,完成測評工作。 4.實行白箱法(通過計算機)對計算機系統控制的輸入控制、處理控制和輸出控制進行測試。 白箱法測試也稱結構測試或邏輯驅動測試,其方法依賴於審計人員對被測應用程序的內部邏輯的深刻理解和根據被測應用程序的內部邏輯設計的測試用例。測試的是被審計單位應用軟件內部每種操作是否符合要求。具體方法有: (1)檢測數據法。是指審計人員用一批預先設計好的檢測數據(包括正常的、有效的業務和不正常的、無效的業務數據),利用被審程序加以處理,並把處理的結果與預期的結果作比較,以確定被審程序的控制與處理功能是否恰當。主要適用於下列三種情況:被審系統的關鍵控制建立在計算機程序中;被審系統的可見審計軌跡有缺陷;難以由輸入直接跟蹤到輸出。 (2)授控處理法。是指審計人員通過被審程序對被審計單位實際業務的處理進行監控,查明被審程序的處理和控制功能是否恰當有效。如審計人員可通過檢查輸入錯誤的更正與重新輸入的過程,判別被審程序輸入控制的有效性;通過檢查錯誤清單和輸出打印結果來判斷被審程序處理控制和功能的可靠性;通過覈實對輸出與輸入來判別輸出控制的可靠性。這種方法技術簡單、省時省力,不需要較高的計算機知識,但審計人員首先要對輸入的數據進行查驗,並建立審計控制,然後親自處理或監督處理這些數據。 (3)平行模擬法。是指審計人員從外部獲取一份與被審程序副本或利用通用審計軟件建立與被審程序相同處理和控制功能的模擬程序(模擬程序通常沒有它所模擬的原始程序那麼複雜,只包括與具體審計目標有關的程序處理、計算和控制),來處理當前的實際數據,把處理的結果與被審程序的處理結果進行比較,以評價被審程序的處理和控制功能是否可靠或被修改。 以上只是簡單地敘述了計算機應用控制評審的幾種方法,當然,這些方法不是孤立的,在實際應用中它們需要相互補充,具體採用那一種方法,要針對計算機系統實際情況而定。
