信息系统内部控制及其审计综述.doc

信息系统内部控制及其审计综述【摘要】 在当今社会，随着信息化的进程的加快，企业的运营越来越依赖信息系统，信息系统正悄无声息的改变着企业运营方法，企业在加强常规内部控制的同时，也不得不十分关注信息系统内部控制的建设。内部控制的建设与完善有助于审计活动的顺利进行，推动审计活动的高质高效；审计活动的有效开展也能够促使其自身业务的完善，改善内部控制建设中的漏洞和不足。本文主要对信息系统内部控制及其审计进行综述。【关键词】信息系统；内部控制；审计Review of information system risk and internal controlAbstract In todays society, with the acceleration of the process of information, enterprise operation has become increasingly dependent on information system, information system is quietly changing method of business operations, enterprise in the strengthening of routine internal control at the same time, also had to pay close attention to very much information of the internal control system of the construction. The construction of internal control and improve contribute to the smooth progress of the audit activities, promote the audit activity with high quality and efficiency; audit activities effective development can also promote the perfection of its own business and reform internal control construction loopholes and shortcomings. This paper mainly on the information system of internal control and audit were reviewed.Key words Information system; internal control; audit引言内部控制与审计的渊源始于20世纪初期，但主要局限在企业内部控制方面。随着社会信息化进程的迅速推进，信息系统成为不少被审单位内部管理的一种主要方法。1、 信息系统内部控制概述信息系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息为目的的人机一体系统。信息系统具有输入、输出、存储、处理和控制等功能。与其他系统不同，信息系统不进行某一具体的实物性工作，而是对全局协调一致的总括。从信息系统的发展和系统特点上看，包括众多类型：数据处理系统、管理信息系统、决策支持系统、专家系统、虚拟办公室等。如今的信息系统不仅仅是一个技术系统，更是一个社会系统，影响着经济社会的方方面面。内部控制是为了达到经营活动的效率和效果，保证财务报表的可靠性，保护资产的安全和完整，以及确保有关法律、法规和规章制度的贯彻执行而制定和实施的一系列控制方法、措施和程序。内部控制是组织内部的主体，为了保证经济资源的安全完整，确保经济信息的正确可靠，协调经济行为、控制经济活动，规避经营风险，利用组织内部分工而产生的相互制约、相互联系的关系，形成一系列具有控制职能的方法、措施、程序，并予以规范化、系统化，使之成为一个严密的、较为完整的体系。2、 信息系统内部控制的重要性 目前，信息系统已从一个简单的财务系统整合经企业的经营系统中。信息系统帮助企业控制业务流程、跟踪和记录在实时基础上进行的交易，通常还包含整合性的、在复杂环境中的系列经营行为。信息系统不只要获取决策所需要的信息来影响控制，并且被用来执行企业的战略决策。因此，信息系统中的信息必须是准确的、及时的、适当的和通畅的，从而满足管理决策的需要，通过这些信息实施有效的控制。信息系统形成的信息质量依付于控制活动的有效实施。由于及时适当获得可靠的信息是对信息系统控制的关键，因此信息系统自身也是内部控制的组成部分，并且也要被控制，而且这一控制还特别重要，在信息化企业中具有十分重大的意义。特别是随着互联网技术和信息技术的高速持续发展，信息系统变得越来越复杂化、大型化、多样化和网络化，企业的物流、信息流、资金流更加依赖于信息系统。可是信息系统在给人来带来便利的同时，本身也存在着极大风险，因此要特别加强对其的内部控制。3、 信息系统内部控制的目标与特点（一）信息系统内部控制的目标（1）保证组织目标的实施。每个企业在它的组织结构内部都有其既定的目标，如何保证既定目标的实现，成了每个企业所要思考和研究的问题，为了实现这些目标，首先要充分并且合理的利用企业现有的资源，及时的进行整理和控制。那么这就需要整合管理部门与运营商之间的关系，保证其顺利实施，如果某些目标未能既定完成，那么必然忽略了资源与组织效能之间的关系，从而可以看出对资源的整合与控制起到了关键性的作用。（2）遵循相关法律法规，受相关部门监督与管理。一方面管理者与所有者在制定企业目标规划时要受相关部门的监督与管理。并根据国家相应法律法规进行后续调整和维护。另一方面企业内部组织制定的目标应在遵循国家政策制度下，以自己企业目标利益最大化来制定，当制定的目标与法规相冲突时，应及时作出调整，使其适应企业发展的需要。（3）保证资产安全，经济有效的利用既定的资源。所有的企业在资源利用时，首先要保证组织资源安全稳定，在安全的前提下来合理的利用资源。其次要在合理利用资源的基础上，使既有资源得到充分开发利用，并保证低成本，高效能。防止资源不合理的利用导致企业蒙受不必要的损失。（4）确保财务信息真实可靠，保证信息数据的质量。一方面企业在按照国家相应法律法规的基础上保证组织目标的既定实施的同时，要保证财务信息真实可靠，不可狗私舞弊，违背财务人员的职业操守。另一方面企业要保证信息数据的质量，决策层的决策、管理目标的实施与财务信息数据的质量有很大的关联，或者说很大的程度上起着决定性的作用。因此内部控制制度的实施应在确保财务信息真实可靠和保证财务数据质量的基础上来完成。(二)信息系统内部控制的特点（1）企业内部控制的自动化和程序化信息系统环境下的内部控制，除包括许多规章制度外，还包括不少以程序的形式建立在计算机系统中的控制。例如，在计算机会计信息系统中，会计凭证输入后，计算机可自动检查会计科目的编码是否合法、凭证编号是否重复、输入数据是否正确；在处理完一批凭证后，计算机可自动检查借方金额合计是否等于贷方金额合计，如果不等，计算机会给出错误信息，这些都是以程序的形式建立在系统中的控制（2）关于电子数据处理部门的控制。在手工操作业务中，每一项经济业务活动都可划分为授权、主办、核准、执行、记录和符合等步骤，并把这些步骤分别交给不同的部门或人员来办理。但在计算机信息系统中，大量的工作都集中到电子数据处理部门，一些职能部门往往只负责原始数据的生成、审核、编码以及分析处理计算机输出的报告。原始数据从输入计算机到记账、报表输出都由计算机自动处理，全部的责任与数据都高度集中于电子数据处理部门。因此，电子数据处理部门应是控制的重点。（3）信息系统开发研制阶段是其进行系统控制的前提.开发信息系统的成本是非常高的，如果设计出来的系统不能满足用户的要求或设计含有错误，那么，即使以后的各项控制措施是严密完善的，也会给单位带来巨大的损失，而且一旦系统投入使用，要修改将是非常困难并要耗费巨额成本的。因此，系统开发阶段必须实行强有力的控制，即使发现和修正错误，并在系统里建立必要的程序控制，在系统设计时，注意留下审计线索或嵌入审计程序，以保证幵发出来的系统能满足用户的需求以及今后审计的需要。（4）信息系统的控制要求更为严格，内容更加强大。信息系统数据处理比手工业务操作具有更大的风险，要求更加严格，控制的内容更加扩大，并覆盖系统开发、实施、维护、风险控制、灾难恢复等信息系统生命周期各阶段。例如，需要重新划分各种不相容的职务，管理和保护各种机器设备、机房设施以及为数众多的计算机程序和文件，否则，就会造成更大的危害。 四、信息系统的一般控制及审计方法 信息系统的一般控制是为了合理保证信息系统安全、可靠的控制措施。主要有组织控制、操作控制、系统开发和维护控制、硬件和系统软件控制、灾难恢复控制。现在，被审计对象主要还是企业内部正常工作的信息系统，因此，我们重点是对信息系统的组织控制、操作控制和灾难恢复控制进行审计，从而判断信息系统的安全性、可靠性。（1）组织控制。组织控制主要是通过不相容职责的分离来实现。审计内容主要有：系统管理人员及操作人员是否具备明确的管理制度及明确的职责权限、数据库管理人员是否不审核批准和处理经济业务、系统管理人员和操作人员是否不能接触有关应用程序文件、业务处理中不相容职能是否分离等。审计可以采用查阅被审单位相关内控制度和查检信息系统中操作用户权限表等方法。（2）操作控制。操作控制是控制信息系统的操作，以确保信息系统仅用于经授权的用途和只有经授权的人员才能操作信息系统。审计内容主要有：系统的操作日志设置及管理情况、操作人员是否经过授权、在人员岗位变更时，操作权限是否妥善地进行、密码保护措施等。审计可以采取检查操作用户权限与被审单位内控制度、现场观察实际操作用户和分析系统的操作日志等方法。（3）灾难恢复控制。灾难恢复控制为了将灾害造成的损失减少到最低而进行的一种恢复控制方法，是在系统遭受无法抗拒的、突如其来的灾难时进行的。审计内容与方法主要是检查系统备份制度和执行情况、灾难发生后的应急恢复安排等。五、信息系统内部控制审计的必然性实行信息系统内部控制审计的必然性主要体现在两个方面，一方面信息系统审计可以促进被审计单位更有效地融入到社会经济生活中，促进被审计草位改进内部控制，促进被审计单位会计信息系统内部控制制度的完善与健全，提高信息系统实现组织目标的效率、效果。通过信息系统审计可以找出信息系统内部控制制度的不足，找出薄弱环节，提出改进建议，促进信息系统内部控制制度的建立、更新与健全。另一方面，信息系统审计技术对信息系统的发展起到积极的促进作用。首先，信息系统审计保护了系统环境。审计人员通过对信息系统中的硬件资源、系统软件资源进行审计，对系统安全性、可靠性、稳定性、合法性等方面进行监督，从而揭露出存在的各种问题与不足，提出改进建议，可以促使会计信息系统向更高的层次和目标迈进。其次，信息系统审计保护了数据的真实、可靠。审计人员通过专门编制的审计程序和电算化软件本身的监控手段，对系统内的数据文件进行审计，可以有效防范系统处理过程中的不规范行为，对发现的问题可以提出改进建议，同时还可以防止非法数据录入，预防篡改、破坏、窃取会计资料等舞弊行为，提高数据的质量，通过审计内控加快对信息系统软件本身的不合法的监督与修正。小结 在最近这些年来说，随着信息技术及互联网技术快速发展，越来越多的企业开始根据它们自身的情况来采取信息系统内部控制审计来进行内