欢迎来到天天文库
浏览记录
ID:1763621
大小:29.50 KB
页数:6页
时间:2017-11-13
《管理学其它毕业论文 信息系统环境下内部控制评审内容和方法初探》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库。
1、湖南师范大学本科毕业论文考籍号:XXXXXXXXX姓名:XXX专业:管理学其它论文题目:信息系统环境下内部控制评审内容和方法初探指导老师:XXX二〇一一年十二月十日计算机数据处理与手工处理有许多不同,从而产生了新的内部控制内容和方式,研究计算机环境下的内部控制的评审内容及其方法,无疑对开展信息系统审计和审计质量的控制都是很有意义。 一、信息系统内部控制评审的主要内容 通常,计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险,这些风险系统地威胁到信息系统环境下所有应用程序的
2、完整性。应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统等),其风险来源于信息系统中应用系统本身的漏洞,直接威胁到数据的安全、准确。 (一)一般控制的评审包括两个方面: 1.对被审计单位信息系统背景信息评审。内容有: (1)被审计单位信息系统的规模; (2)硬件和网络的技术复杂性; (3)被审计单位信息系统会计核算和业务系统等应用软件取得的方式; (4)系统的管理情况; (5)被审计单位信息系统处理业务流程等。 通过对以上背景信息评审,基本收集了被审计单位信息系统硬件和
3、软件的基本情况,包括计算机系统的大小、使用软件的类型、技术复杂性,使得审计人员能够决定采取何种方法采集、转换、分析数据以及可能遇到的困难,提前采取相应措施,做到不打无准备之仗。 2.对被审计单位信息系统控制环境评审。评审的主要内容包括计算机操作、数据管理、系统维护等控制措施。具体来说有: (1)软件控制措施。是指已投入的应用软件,未经许可,不得擅自修改(包括软件供应商的补丁程序和被审计单位计算机专业人员对软件的修改)。主要测试系统投入使用后,运行中的应用软件是否被修改过?是否有适当的文字记录修改内
4、容及影响?软件的修改是否经过适当的审批? (2)不相容职能分离控制措施。测试内容有系统管理人员及操作人员是否有明确的管理制度及明确的职责权限?数据库管理人员是否不审批和处理经济业务?系统管理人员和操作人员是否不能接触有关应用程序文件?业务处理职能是否在多人之间分工? (3)访问控制措施。访问控制的目标是确保只有被授权的用户才能实现对特定数据和资源的访问。主要评审系统是否设有操作日志,记录系统操作情况?操作日志能否被删除,且不可恢复?操作日志如能被删除,有无制定需保留的最低期限?对数据库的访问是否有
5、严格的授权限制?系统管理员、操作人员的口令、密码是否定期更换等。 (4)系统的安全性和灾难恢复控制措施。硬件配置是否能够保证系统安全可靠地运行?使用的应用软件来源是否合法、是否经过有关部门认证?财务系统的计算机是否与外网实现物理隔离?计算机是否有防病毒措施并定期升级病毒库?是否建立了系统备份和系统恢复机制?备份的各种数据是否异地存储? 对信息系统控制环境的评审,主要目的是确定被审计单位信息系统总体控制环境中控制的健全性、合理性和有效性及其存在的风险。 (二)对信息系统应用控制的评审。其目的是检查
6、存在于各具体应用程序中的输入控制、处理控制和输出控制情况。 评审的主要内容有:输入控制是否能保证由原始凭证触发的(批处理)或由人工直接输入的(实时处理)的数据合法、准确和完整。输出控制是否能够确保系统的输出没有被丢失、误导、破坏以及数据不被非法侵犯。处理控制是否确保合法的输入经过准确无误的系统处理后输出符合要求的结果。 二、信息系统内部控制评审方法 《审计机关内部控制测评准则》第五条规定,审计人员进行内部控制测评分为下列四个步骤:一是对内部控制进行调查了解;二是对内部控制进行初步评价,评价控制风
7、险;三是对内部控制的执行情况进行符合性测试;四是提出内部控制测评结果,并利用测评结果确定实质性测试的性质、范围、重点和方法。在信息系统环境下,审计人员对信息系统的内部控制评审可以通过下列方法实现上述步骤: 1.调阅被审计单位的关于计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步了解。 2.通过与被审计单位相关人员座谈和实地观察,了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境。 3.检查被审计单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修
8、改记录、灾难恢复记录等。 以上方法适用于对信息系统内部控制的一般控制进行评审。审计人员也可以将上述有关内容设计成调查问卷,交由被审计单位据实填写,再进行检查核实,完成测评工作。 4.实行白箱法(通过计算机)对计算机系统应用控制的输入控制、处理控制和输出控制进行测试。 白箱法测试也称结构测试或逻辑驱动测试,其方法依赖于审计人员对被测应用程序的内部逻辑的深刻理解和根据被测应用程序的内部逻辑设计的测试用例。测试的是被审计单位应用软件内部每种操作是否符合要
此文档下载收益归作者所有