IT環(huán)境下內(nèi)部控制評審內(nèi)容與方法

申請免費試用、咨詢電話：400-8352-114

計算機數(shù)據(jù)處理與手工處理有許多不同，從而產(chǎn)生了新的內(nèi)部控制內(nèi)容和方式，研究計算機環(huán)境下的內(nèi)部控制的評審內(nèi)容及其方法，無疑對開展信息系統(tǒng)審計和審計質(zhì)量的控制都是很有意義。

一、信息系統(tǒng)內(nèi)部控制評審的主要內(nèi)容

通常，計算機信息系統(tǒng)內(nèi)部控制可分為一般控制和應(yīng)用控制。一般控制適用于較寬范圍的風險，這些風險系統(tǒng)地威脅到信息系統(tǒng)環(huán)境下所有應(yīng)用程序的完整性。應(yīng)用控制是控制特定應(yīng)用系統(tǒng)的風險（如工資、應(yīng)收賬款和采購應(yīng)用系統(tǒng)等），其風險來源于信息系統(tǒng)中應(yīng)用系統(tǒng)本身的漏洞，直接威脅到數(shù)據(jù)的安全、準確。

（一）一般控制的評審包括兩個方面：

1．對被審計單位信息系統(tǒng)背景信息評審。內(nèi)容有：（1）被審計單位信息系統(tǒng)的規(guī)模；（2）硬件和網(wǎng)絡(luò)的技術(shù)復(fù)雜性；（3）被審計單位信息系統(tǒng)會計核算和業(yè)務(wù)系統(tǒng)等應(yīng)用軟件取得的方式；（4）系統(tǒng)的管理情況；（5）被審計單位信息系統(tǒng)處理業(yè)務(wù)流程等。

通過對以上背景信息評審，基本收集了被審計單位信息系統(tǒng)硬件和軟件的基本情況，包括計算機系統(tǒng)的大小、使用軟件的類型、技術(shù)復(fù)雜性，使得審計人員能夠決定采取何種方法采集、轉(zhuǎn)換、分析數(shù)據(jù)以及可能遇到的困難，提前采取相應(yīng)措施，做到不打無準備之仗。

2．對被審計單位信息系統(tǒng)控制環(huán)境評審。評審的主要內(nèi)容包括計算機操作、數(shù)據(jù)管理、系統(tǒng)維護等控制措施。具體來說有：

（1）軟件控制措施。是指已投入的應(yīng)用軟件，未經(jīng)許可，不得擅自修改（包括軟件供應(yīng)商的補丁程序和被審計單位計算機專業(yè)人員對軟件的修改）。主要測試系統(tǒng)投入使用后，運行中的應(yīng)用軟件是否被修改過？是否有適當?shù)奈淖钟涗浶薷膬?nèi)容及影響？軟件的修改是否經(jīng)過適當?shù)膶徟?/P>

（2）不相容職能分離控制措施。測試內(nèi)容有系統(tǒng)管理人員及操作人員是否有明確的管理制度及明確的職責權(quán)限？數(shù)據(jù)庫管理人員是否不審批和處理經(jīng)濟業(yè)務(wù)？系統(tǒng)管理人員和操作人員是否不能接觸有關(guān)應(yīng)用程序文件？業(yè)務(wù)處理職能是否在多人之間分工？

（3）訪問控制措施。訪問控制的目標是確保只有被授權(quán)的用戶才能實現(xiàn)對特定數(shù)據(jù)和資源的訪問。主要評審系統(tǒng)是否設(shè)有操作日志，記錄系統(tǒng)操作情況？操作日志能否被刪除，且不可恢復(fù)？操作日志如能被刪除，有無制定需保留的最低期限？對數(shù)據(jù)庫的訪問是否有嚴格的授權(quán)限制？系統(tǒng)管理員、操作人員的口令、密碼是否定期更換等。

（4）系統(tǒng)的安全性和災(zāi)難恢復(fù)控制措施。硬件配置是否能夠保證系統(tǒng)安全可靠地運行？使用的應(yīng)用軟件來源是否合法、是否經(jīng)過有關(guān)部門認證？財務(wù)系統(tǒng)的計算機是否與外網(wǎng)實現(xiàn)物理隔離？計算機是否有防病毒措施并定期升級病毒庫？是否建立了系統(tǒng)備份和系統(tǒng)恢復(fù)機制？備份的各種數(shù)據(jù)是否異地存儲？

對信息系統(tǒng)控制環(huán)境的評審，主要目的是確定被審計單位信息系統(tǒng)總體控制環(huán)境中控制的健全性、合理性和有效性及其存在的風險。

（二）對信息系統(tǒng)應(yīng)用控制的評審。其目的是檢查存在于各具體應(yīng)用程序中的輸入控制、處理控制和輸出控制情況。

評審的主要內(nèi)容有：輸入控制是否能保證由原始憑證觸發(fā)的（批處理）或由人工直接輸入的（實時處理）的數(shù)據(jù)合法、準確和完整。輸出控制是否能夠確保系統(tǒng)的輸出沒有被丟失、誤導(dǎo)、破壞以及數(shù)據(jù)不被非法侵犯。處理控制是否確保合法的輸入經(jīng)過準確無誤的系統(tǒng)處理后輸出符合要求的結(jié)果。

二、信息系統(tǒng)內(nèi)部控制評審方法

《審計機關(guān)內(nèi)部控制測評準則》第五條規(guī)定，審計人員進行內(nèi)部控制測評分為下列四個步驟：一是對內(nèi)部控制進行調(diào)查了解；二是對內(nèi)部控制進行初步評價，評價控制風險；三是對內(nèi)部控制的執(zhí)行情況進行符合性測試；四是提出內(nèi)部控制測評結(jié)果，并利用測評結(jié)果確定實質(zhì)性測試的性質(zhì)、范圍、重點和方法。在信息系統(tǒng)環(huán)境下，審計人員對信息系統(tǒng)的內(nèi)部控制評審可以通過下列方法實現(xiàn)上述步驟：

1．調(diào)閱被審計單位的關(guān)于計算機信息系統(tǒng)的各項管理制度和相關(guān)文件，對內(nèi)部控制的健全性和合理性初步了解。

2．通過與被審計單位相關(guān)人員座談和實地觀察，了解硬件配置、軟件運行及維護、相關(guān)人員操作經(jīng)驗等計算機信息系統(tǒng)使用環(huán)境。

3．檢查被審計單位內(nèi)部控制過程中形成的文件和記錄，包括各種操作日志、軟件修改記錄、災(zāi)難恢復(fù)記錄等。

以上方法適用于對信息系統(tǒng)內(nèi)部控制的一般控制進行評審。審計人員也可以將上述有關(guān)內(nèi)容設(shè)計成調(diào)查問卷，交由被審計單位據(jù)實填寫，再進行檢查核實，完成測評工作。

4．實行白箱法（通過計算機）對計算機系統(tǒng)應(yīng)用控制的輸入控制、處理控制和輸出控制進行測試。

白箱法測試也稱結(jié)構(gòu)測試或邏輯驅(qū)動測試，其方法依賴于審計人員對被測應(yīng)用程序的內(nèi)部邏輯的深刻理解和根據(jù)被測應(yīng)用程序的內(nèi)部邏輯設(shè)計的測試用例。測試的是被審計單位應(yīng)用軟件內(nèi)部每種操作是否符合要求。具體方法有：

（1）檢測數(shù)據(jù)法。是指審計人員用一批預(yù)先設(shè)計好的檢測數(shù)據(jù)（包括正常的、有效的業(yè)務(wù)和不正常的、無效的業(yè)務(wù)數(shù)據(jù)），利用被審程序加以處理，并把處理的結(jié)果與預(yù)期的結(jié)果作比較，以確定被審程序的控制與處理功能是否恰當。主要適用于下列三種情況：被審系統(tǒng)的關(guān)鍵控制建立在計算機程序中；被審系統(tǒng)的可見審計軌跡有缺陷；難以由輸入直接跟蹤到輸出。

（2）授控處理法。是指審計人員通過被審程序?qū)Ρ粚徲媶挝粚嶋H業(yè)務(wù)的處理進行監(jiān)控，查明被審程序的處理和控制功能是否恰當有效。如審計人員可通過檢查輸入錯誤的更正與重新輸入的過程，判別被審程序輸入控制的有效性；通過檢查錯誤清單和輸出打印結(jié)果來判斷被審程序處理控制和功能的可靠性；通過核實對輸出與輸入來判別輸出控制的可靠性。這種方法技術(shù)簡單、省時省力，不需要較高的計算機知識，但審計人員首先要對輸入的數(shù)據(jù)進行查驗，并建立審計控制，然后親自處理或監(jiān)督處理這些數(shù)據(jù)。

（3）平行模擬法。是指審計人員從外部獲取一份與被審程序副本或利用通用審計軟件建立與被審程序相同處理和控制功能的模擬程序（模擬程序通常沒有它所模擬的原始程序那么復(fù)雜，只包括與具體審計目標有關(guān)的程序處理、計算和控制），來處理當前的實際數(shù)據(jù)，把處理的結(jié)果與被審程序的處理結(jié)果進行比較，以評價被審程序的處理和控制功能是否可靠或被修改。

以上只是簡單地敘述了計算機應(yīng)用控制評審的幾種方法，當然，這些方法不是孤立的，在實際應(yīng)用中它們需要相互補充，具體采用那一種方法，要針對計算機系統(tǒng)實際情況而定。

三、評價內(nèi)部控制評審結(jié)果以確定實質(zhì)性測試范圍

在實施完對信息系統(tǒng)內(nèi)部控制評審后，審計人員要對內(nèi)部控制作出評價，以確定內(nèi)部控制是否真正發(fā)揮作用。如果認為內(nèi)部控制沒有得到執(zhí)行，或執(zhí)行表明內(nèi)部控制存在重大隱患，此時，審計人員應(yīng)提出審計中是否依賴已有的控制。另外，審計人員應(yīng)當提出一個概括反映信息系統(tǒng)內(nèi)部控制弱點的屬性和程度的總結(jié)報告，并將報告列入審計底稿。對報告可以從以下三個方面加以利用：一是確定實質(zhì)性審計的范圍、重點和措施。二是將被審計單位信息系統(tǒng)的控制弱點納入審計意見，以便其改進工作。三是為確定具體使用何種計算機輔助審計技術(shù)提供依據(jù)。（CIO時代網(wǎng)）