浅析信息系统内部控制审计

　　一、信息系统内部控制审计

　　信息系统内部控制审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使组织的资源得到高效地使用等方面作出判断的过程。其审计内容及方法是通过对系统内部控制的审计，来判断和评价系统的可靠性、安全性、完整性、效果和效率等方面。

　　二、开展信息系统内部控制审计的程序和方法

　　（一）对信息系统内部控制进行初步了解与评价

　　审计人员可以通过询问被审计单位有关人员，查阅被审计单位的相关文件记录、观察被审计单位的业务活动及其运行情况等方法，围绕以下内容对信息系统内部控制的进行初步了解与判断：被审计单位的基本情况，被审计单位信息系统的情况，信息系统的网络和安全管理情况，影响信息系统的行业监管信息、组织内部制度要求等内外部因素等内容。通过了解这些内容，审计人员能够对被审计单位的信息系统关键程度、关键业务流程、内外的监管要求等有了初步了解，也就可以初步分析审计所面临的风险。

　　（二）对信息系统内部控制进行符合性测试

　　符合性测试是对内部控制制度的实施情况和遵循结果进行测试。对信息系统内部控制进行符合性测试可以分为一般控制符合性测试和应用控制符合性测试。有效的一般控制是保证应用控制有效的一个重要因素，它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱，将会严重地削弱相关的具体应用控制的可靠性。由此，对一般控制的符合性测试通常在应用控制符合性测试之前进行。

　　1.一般控制的符合性测试

　　目前，被审计对象一般是在日常运行的信息系统，因而，我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计，判断信息系统的安全性、可靠性。

　　组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括：系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。（2）操作控制。操作控制是用来控制信息系统的操作，以保证信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。

　　2.应用控制的符合性测试

　　信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和报告功能，通过对系统的应用控制功能审计，检查应用系统本身是否存在漏洞和功能缺陷，评价信息系统的可靠性、效果和效率等方面。（1）输入控制。输入控制确保输入数据的合法、准确和完整，包括：数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。审计人员采用与操作人员座谈、现场观察系统输入控制，可以初步了解系统输入控制情况。审计人员设计一些虚拟数据，提交系统进行处理，以测试系统输入控制是否存在。审计人员可以通过数据验证检查数据之间逻辑关系验证输入数据的正确性和保存数据的完整性，包括业务数据与财务数据对比验证和业务数据间主表与明细表核对。（2）处理控制。处理控制确保系统按规定对数据进行处理，包括：能够对经济业务进行正常处理；业务数据在处理过程中没有丢失、增加、重复或不恰当的改变；处理中错误能够发现并得到及时更正。审计人员从被审单位抽样若干经济业务数据，检查信息系统处理结果是否正确，以确定系统控制是否有效的执行。审计人员模拟被审单位对实际数据的处理要求设计一个程序，将被审计单位的真实数据用审计人员的程序重新处理一遍，检查信息系统控制功能是否有效。（3）输出控制。输出控制确保系统处理结果的完整性和正确性、输出结果提交给有权使用的人员。可采用面谈法、观察法和系统文档审阅法、平衡模拟法等审计方法检查系统输出控制。审计人员可以通过与系统管理员、操作人员座谈及系统文档审阅、系统查询测试等发现系统输出控制可能存在的欠缺。

　　（三）对信息系统内部控制系统进行总评

　　审计人员在对信息系统内部控制进行初评的基础上，根据符合性测试的结果，对被审计单位信息系统内部控制可信赖程度和风险水平进行评估，以确定将要执行的实质性测试程序的性质、时间和范围。评估中需要说明的问题主要包括内部控制系统中存在的薄弱环节或发挥作用的程度及内部控制的可信赖程度或风险水平。

　　三、加强信息系统内部控制审计的几点建议

　　（一）注重事前介入，从源头加强信息系统内部控制审计

　　内审部门要积极提前介入同级业务和技术部门的信息系统开发全过程，从系统开发从业务需求的提出，数据结构和内部控制的设计、程序代码的编写、软件的测试、运行到软件的验收、审计人员都应站在内审部门的角度从信息系统的合法合规性、安全可靠性、可维护性及内部控制机制的完善性等方面提出可行意见和建议，以便从系统开发的源头上防止系统出现漏洞和缺陷等安全隐患。

　　（二）完善相关建设，促进信息系统内部控制审计常态化

　　单位应建立健全相应的制度，将信息系统内控制度审计作为一条强制性规定明确下来，以推动计算机辅助审计方法的应用和信息系统内部控制审计的顺利实施，借助信息系统的审计接口、网络和一定的计算机辅助手段，审计人员就通过非现场监督手段系统，全面和连续的对在信息系统中流动着数据信息进行实时动态检查，做到既能检查数据的来源和结果，也能检查数据流动轨迹。

本文链接：http://www.qk112.com/lwfw/huijilunwen/shenjihuiji/146967.html