信息系统内部控制审计初探VIP免费

信息系统内部控制审计初探随着社会信息化进程的迅速推进，信息系统成为不少被审单位内部管理与控制的关键工具。因此，信息系统的可靠性、安全性已经直接影响着审计工作效率和质量。在此背景下，《审计署2006至20XX年审计工作发展规划》提出“逐步开展对关系国计民生的重大行业、部门的联网审计和信息系统审计，全面提高计算机应用水平”。日前，令狐安副审计长在南京特派办调研时指出：系统审计应成为今后审计工作的一个重点。信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。从该定义可以看出，其审计内容及方法是通过对系统内部控制的审计，来判断和评价系统的安全性、完整性、效果和效率等方面。通常，信息系统内部控制可分为一般控制和应用控制。下面结合我们在失业保险基金、养老保险基金、公路养路费等多个审计项目中尝试信息系统内部控制审计的实践，就相关审计内容与方法谈一下肤浅的认识。一、信息系统的一般控制及审计方法信息系统的一般控制是指为合理保证信息系统安全、可靠的控制措施。包括组织控制、操作控制、系统开发和维护控制、硬件和系统软件控制、灾难恢复控制。目前，被审计对象一般是在日常运行的信息系统，因而，我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计，判断信息系统的安全性、可靠性。1.组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括：系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。审计可以采用查阅被审单位相关内控制度和检查信息系统中操作用户权限表等方法。如在养路费审计项目中，使用该方法发现信息系统中部分用户的不相容的操作权限未予分离，征费员既有收费等征收第1页共4页管理的权限，又有车辆类型管理、费率设置、修改缴费标准等权限。2.操作控制。操作控制是用来控制信息系统的操作，以保证信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。审计内容包括：系统的操作日志设置及管理情况、操作人员是否经过授权、在人员岗位变更时，操作权限是否妥善地进行、密码保护措施等。审计可以采用检查操作用户权限与被审单位内控制度、现场观察实际操作用户和分析系统的操作日志等方法。如在养路费项目中，使用该方法发现存在操作人员使用其他用户进行操作信息系统的情况，操作控制不严，有3名协管员于2005年10月至2006年6月期间，擅自使用领导的用户名及密码先后8次私自减免5辆汽车养路费滞纳金。3.灾难恢复控制。灾难恢复控制是在系统遭受无法抗拒的、突如其来的灾难时，为了将灾害的损失降低最小的程度所采取的措施。审计内容与方法主要是检查系统备份制度及执行情况、灾难发生后的应急恢复安排等。二、信息系统的应用控制及审计方法信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和报告功能，包括输入控制、处理控制和输出控制。通过对系统的应用控制功能审计，检查应用系统本身是否存在漏洞和功能缺陷，评价信息系统的可靠性、效果和效率等方面。1.输入控制。输入控制确保输入数据的合法、准确和完整，包括：数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。审计可以采用以下方法检查系统输入控制。（1）面谈法、观察法。审计人员采用与操作人员座谈、现场观察系统输入控制，可以初步了解系统输入控制情况。（2）测试数据法。审计人员设计一些虚拟数据，提交系统进行处理，以测试系统输入控制是否存在。如在社保审计中，审计人员通过测试数据法，发现存在参保人员重复开户问题，系统输入控制不严，进而发现重复征收失业保险费、养老保险费等问题。第2页共4页（3）数据验证法。主要是通过检查数据之间逻辑关系验证输入数据的正确性和保存数据的完整性，包括业务数据与财务数据对比验...