《(内部管理)【精品文档-管理学】信息系统环境下内部控制评审内容和方法初探》由会员分享,可在线阅读,更多相关《(内部管理)【精品文档-管理学】信息系统环境下内部控制评审内容和方法初探(7页珍藏版)》请在金锄头文库上搜索。
1、信息系统环境下内部控制评审内容和方法初探_其它管理论文-毕业论文作者:网络收集下载前请注意:1:本文档是版权归原作者所有,下载之前请确认。2:如果不晓得侵犯了你的利益,请立刻告知,我将立刻做出处理3:可以淘宝交易,七折时间:2010-06-10 20:59:45计算机数据处理与手工处理有许多不同,从而产生了新的内部控制内容和方式,研究计算机环境下的内部控制的评审内容及其方法,无疑对开展信息系统审计和审计质量的控制都是很有意义。一、信息系统内部控制评审的主要内容通常,计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险,这些风险系统地威胁到信息系统环境下所有应用程序的完整
2、性。应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统等),其风险来源于信息系统中应用系统本身的漏洞,直接威胁到数据的安全、准确。(一)一般控制的评审包括两个方面:1.对被审计单位信息系统背景信息评审。内容有:(1)被审计单位信息系统的规模;(2)硬件和网络的技术复杂性;(3)被审计单位信息系统会计核算和业务系统等应用软件取得的方式;(4)系统的管理情况;(5)被审计单位信息系统处理业务流程等。通过对以上背景信息评审,基本收集了被审计单位信息系统硬件和软件的基本情况,包括计算机系统的大小、使用软件的类型、技术复杂性,使得审计人员能够决定采取何种方法采集、转换、分析数据以及可能遇到
3、的困难,提前采取相应措施,做到不打无准备之仗。2.对被审计单位信息系统控制环境评审。评审的主要内容包括计算机操作、数据管理、系统维护等控制措施。具体来说有:(1)软件控制措施。是指已投入的应用软件,未经许可,不得擅自修改(包括软件供应商的补丁程序和被审计单位计算机专业人员对软件的修改)。主要测试系统投入使用后,运行中的应用软件是否被修改过?是否有适当的文字记录修改内容及影响?软件的修改是否经过适当的审批?(2)不相容职能分离控制措施。测试内容有系统管理人员及操作人员是否有明确的管理制度及明确的职责权限?数据库管理人员是否不审批和处理经济业务?系统管理人员和操作人员是否不能接触有关应用程序文件?
4、业务处理职能是否在多人之间分工?(3)访问控制措施。访问控制的目标是确保只有被授权的用户才能实现对特定数据和资源的访问。主要评审系统是否设有操作日志,记录系统操作情况?操作日志能否被删除,且不可恢复?操作日志如能被删除,有无制定需保留的最低期限?对数据库的访问是否有严格的授权限制?系统管理员、操作人员的口令、密码是否定期更换等。(4)系统的安全性和灾难恢复控制措施。硬件配置是否能够保证系统安全可靠地运行?使用的应用软件来源是否合法、是否经过有关部门认证?财务系统的计算机是否与外网实现物理隔离?计算机是否有防病毒措施并定期升级病毒库?是否建立了系统备份和系统恢复机制?备份的各种数据是否异地存储?
5、对信息系统控制环境的评审,主要目的是确定被审计单位信息系统总体控制环境中控制的健全性、合理性和有效性及其存在的风险。(二)对信息系统应用控制的评审。其目的是检查存在于各具体应用程序中的输入控制、处理控制和输出控制情况。评审的主要内容有:输入控制是否能保证由原始凭证触发的(批处理)或由人工直接输入的(实时处理)的数据合法、准确和完整。输出控制是否能够确保系统的输出没有被丢失、误导、破坏以及数据不被非法侵犯。处理控制是否确保合法的输入经过准确无误的系统处理后输出符合要求的结果。 !二、信息系统内部控制评审方法审计机关内部控制测评准则第五条规定,审计人员进行内部控制测评分为下列四个步骤:一是对内部控
6、制进行调查了解;二是对内部控制进行初步评价,评价控制风险;三是对内部控制的执行情况进行符合性测试;四是提出内部控制测评结果,并利用测评结果确定实质性测试的性质、范围、重点和方法。在信息系统环境下,审计人员对信息系统的内部控制评审可以通过下列方法实现上述步骤:1.调阅被审计单位的关于计算机信息系统的各项管理制度和相关文件,对内部控制的健全性和合理性初步了解。2.通过与被审计单位相关人员座谈和实地观察,了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境。3.检查被审计单位内部控制过程中形成的文件和记录,包括各种操作日志、软件修改记录、灾难恢复记录等。以上方法适用于对信息系统内部
7、控制的一般控制进行评审。审计人员也可以将上述有关内容设计成调查问卷,交由被审计单位据实填写,再进行检查核实,完成测评工作。4.实行白箱法(通过计算机)对计算机系统应用控制的输入控制、处理控制和输出控制进行测试。白箱法测试也称结构测试或逻辑驱动测试,其方法依赖于审计人员对被测应用程序的内部逻辑的深刻理解和根据被测应用程序的内部逻辑设计的测试用例。测试的是被审计单位应用软件内部每种操作是否符合要求。具体方法有:(1)检测数据法。是指审计人员用一批预先设计好的检测数据(包括正常的、有效的业务和不正常的、无效的业务数据),利用被审程序加以处理,并把处理的结果与预期的结果作比较,以确定被审程序的控制与处
8、理功能是否恰当。主要适用于下列三种情况:被审系统的关键控制建立在计算机程序中;被审系统的可见审计轨迹有缺陷;难以由输入直接跟踪到输出。(2)授控处理法。是指审计人员通过被审程序对被审计单位实际业务的处理进行监控,查明被审程序的处理和控制功能是否恰当有效。如审计人员可通过检查输入错误的更正与重新输入的过程,判别被审程序输入控制的有效性;通过检查错误清单和输出打印结果来判断被审程序处理控制和功能的可靠性;通过核实对输出与输入来判别输出控制的可靠性。这种方法技术简单、省时省力,不需要较高的计算机知识,但审计人员首先要对输入的数据进行查验,并建立审计控制,然后亲自处理或监督处理这些数据。(3)平行模拟
9、法。是指审计人员从外部获取一份与被审程序副本或利用通用审计软件建立与被审程序相同处理和控制功能的模拟程序(模拟程序通常没有它所模拟的原始程序那么复杂,只包括与具体审计目标有关的程序处理、计算和控制),来处理当前的实际数据,把处理的结果与被审程序的处理结果进行比较,以评价被审程序的处理和控制功能是否可靠或被修改。以上只是简单地叙述了计算机应用控制评审的几种方法,当然,这些方法不是孤立的,在实际应用中它们需要相互补充,具体采用那一种方法,要针对计算机系统实际情况而定。三、评价内部控制评审结果以确定实质性测试范围在实施完对信息系统内部控制评审后,审计人员要对内部控制作出评价,以确定内部控制是否真正发
10、挥作用。如果认为内部控制没有得到执行,或执行表明内部控制存在重大隐患,此时,审计人员应提出审计中是否依赖已有的控制。另外,审计人员应当提出一个概括反映信息系统内部控制弱点的属性和程度的总结报告,并将报告列入审计底稿。对报告可以从以下三个方面加以利用:一是确定实质性审计的范围、重点和措施。二是将被审计单位信息系统的控制弱点纳入审计意见,以便其改进工作。三是为确定具体使用何种计算机辅助审计技术提供依据。 !工艺与装备设计的基本要求必须牢牢树立质量、生产、经济三大观念。质量观念:药品用于防病、治病,药品的质量关系到患者的身体健康,而伪劣药品直接危及用药者的健康甚至生命,因此我国政府非常关注药品的质量
11、,而质量的优劣首先是设计,之后是生产出来的。因此在设计过程中第一应当关心的是工艺与装置设计能否确保投产后药品的生产质量,诸如洁净室的设置、 据悉,通过推动地方立法或党政制定下发文件,提供机制和法律保障,是各地推动工资集体协商工作的共同“法宝”。目前,全国有13个省(区、市)以党委或政府名义下发文件,推动开展工资集体协商工作;23个省(区、市)人大制定了“集体合同规定”或“集体合同条例”等地方性法规。北京市委下发的关于加强和改进工会工作的意见提出,到2012年,已建工会企业集体合同签订率达到95以上,建立工资集体协商制度的比例达到75以上的目标。 据了解,各级工会积极推进工资集体协商工作,特别是
12、以行业性工资集体协商为突破口,破解了工资集体协商中协商主体缺位的难点和科学确定劳动定额、工时工价的重点问题,切实提高了工作的针对性和实效性。上海纺织工会以完善行业劳动定额标准为切入点,采取借助工会联合会、行业三方协商机制和行业工会主动寻找协商伙伴,使工资集体协议覆盖了市纺织行业绝大部分企业 相关的不同等级洁净区之间人物流关系的合理安排、适合于洁净室的选进工艺及机器设备的选用等都是首先要考虑的。生产观念: 工艺与装置设计是否利于生产的组织与运行是工艺与装置设计要又一个需要认真考虑的问题。从设计一开始就应将方便生产、确保生产过程的顺利进行作为要达到的目标加以考虑。例如多效逆流萃取工艺,因为萃取液的
13、多次套提,物流错综复杂,在流程设计时考虑一定数量的中间贮罐十分必要;为保证准确的多效逆流操作,避免操作者的人为失误,采用计算机程控智能化操作也是设计者应当考虑的确方案之一。经济观念:企业的生命首先在于经济效益,成006年12月20水)Japan0明日日本行!楽2006年12月1 (水)Receive K今日初漢字見。貰?8.今日勉強年休。休普通平日出来思、医者行。一石二鳥。、英語全同表現、killi济三大观念。质量观念:药品用于防病、治病,药品的质量关系到患者的身体健康,而伪劣药品直接危及用药者的健康甚至生命,因此我国政府非常关注药品的质量,而质量的优要是工艺和装备的设计,而对中药厂工艺与装备
14、设计的基本要求必须牢牢树立质量、生产、经济三大观念。质量观念:药品用于防病、治病,药品的质量关系到患者的身体健康,而伪劣药品直接危及用药者的健康甚至生命,因此我国政府非常关注药品的质量,而质量的优劣首先是设计,之后是生产出来的。因此在设计过程中第一应当关心的是工艺与装置设计能否确保投产后药品的生产质量,诸如洁净室的设置、相关的不同等级洁净区之间人物流关系的合理安排、适合于洁净室的选进工艺及机器设备的选用等都是首先要考虑的。生产观念: 工艺与装置设计是否利于生产的组织与运行是工艺与装置设计要又一个需要认真考虑的问题。从设计一开始就应将方便生产、确保生产过程的顺利进行作为要达到的目标加以考虑。例如
15、多效逆流萃取工艺,因为萃取液的多次套提,物流错综复杂,在流程设计时考虑一定数量的中间贮罐十分必车间设计主要是工艺和装备的设计,而对中药厂工艺与装备设计的基本要求必须牢牢树立质量、生产、经济三大观念。质量观念:药品用于防病、治病,药品的质量关系到患者的身体健康,而伪劣药品直接危及用药者的健康甚至生命,因此我国政府非常关注药品的质量,而质量的优劣首先是设计,之后是生产出来的。因此在设计过程中第一应当关心的是工艺与装置设计能否确保投产后药品的生产质量,诸如洁净室的设置、相关的不同等级洁净区之间人物流关系的合理安排、适合于洁净室的选进工艺及机器设备的选用等都是首先要考虑的。生产观念: 工艺与装置设计是否利于生产的组织与运行是工艺与装置设计要又一个需要认真考虑的问题。从设计一开始就应将方便生产、确保生产过程的顺利进行作为要达到的目标加以考虑。例如多效逆流萃取工艺,因为萃取液的多次套提,物流错综复杂,在流程设计时考虑一定数量的中间贮罐本过高、劳动生产率低下、产品滞销或无利可图将危害及企业的生存。当前我国有许多企业通过内部挖潜,降低成本来获得产品的竞争能力。工艺路线、装置的多个方案比较、选择往往最终体现为较低的生产成本与较高的经济效益。例如中药材提取液的多效浓缩,其目的就
