方案-信息系统内部控制审计初探

信息系统内部控制审计初探

'信息系统审计是一个通过收集和评价审计证据，对信息系统是否能够保护资产的安全、维护数据的完整、使被审计单位的目标得以有效地实现、使

的资源得到高效地使用等方面作出判断的过程。从该定义可以看出，其审计内容及方法是通过对系统内部控制的审计，来判断和评价系统的安全性、完整性、效果和效率等方面。通常，信息系统内部控制可分为一般控制和应用控制。下面结合我们在失业基金、养老保险基金、公路养路费等多个审计项目中尝试信息系统内部控制审计的

，就相关审计内容与方法谈一下肤浅的认识。

信息系统的一般控制是指为合理保证信息系统安全、可靠的控制措施。包括组织控制、操作控制、系统开发和维护控制、硬件和系统

控制、灾难恢复控制。目前，被审计对象一般是在日常运行的信息系统，因而，我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计，判断信息系统的安全性、可靠性。

1.组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容包括：系统管理人员及操作人员是否有明确的管理制度及明确的职责权限、数据库管理人员是否不审批和处理

业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。审计可以采用查阅被审单位相关内控制度和检查信息系统中操作用户权限表等方法。如在养路费审计项目中，使用该方法发现信息系统中部分用户的不相容的操作权限未予分离，征费员既有收费等征收管理的权限，又有车辆类型管理、费率设置、修改缴费标准等权限。

2.操作控制。操作控制是用来控制信息系统的操作，以保证信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。审计内容包括：系统的操作日志设置及管理情况、操作人员是否经过授权、在人员岗位变更时，操作权限是否妥善地进行、密码保护措施等。审计可以采用检查操作用户权限与被审单位内控制度、现场观察实际操作用户和分析系统的操作日志等方法。如在养路费项目中，使用该方法发现存在操作人员使用其他用户进行操作信息系统的情况，操作控制不严，有3名协管员于2005年10月至2006年6月期间，擅自使用领导的用户名及密码先后8次私自减免5辆汽车养路费滞纳金。

3.灾难恢复控制。灾难恢复控制是在系统遭受无法抗拒的、突如其来的灾难时，为了将灾害的损失降低最小的程度所采取的措施。审计内容与方法主要是检查系统备份制度及执行情况、灾难发生后的应急恢复安排等。

信息系统的应用控制是设计用来合理地保证系统在特定的应用方面能够正确地完成数据的记录、处理和

功能，包括输入控制、处理控制和输出控制。通过对系统的应用控制功能审计，检查应用系统本身是否存在漏洞和功能缺陷，评价信息系统的可靠性、效果和效率等方面。

1.输入控制。输入控制确保输入数据的合法、准确和完整，包括：数据正确地存储、业务数据没有丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时地重新提交处理。审计可以采用以下方法检查系统输入控制。

（1）面谈法、观察法。审计人员采用与操作人员座谈、现场观察系统输入控制，可以初步了解系统输入控制情况。'