怎样对信息系统进行内部控制审计

1、怎样对信息系统进行内部控制审计什么是信息系统内部控制审计？简单来说， 通过收集审计证据，对信 息系统是否足够安全作出的判断和评价。对于信息系统采取的审计内 容和方法是通过对系统内部控制的审计，来判断安全性和可靠性等。开展信息系统内部控制审计的程序和方法（一）对信息系统内部控制进行初步了解与评价审计人员可以通过询问被审计单位有关人员， 查阅被审计单位的相关 文件记录、观察被审计单位的业务活动及其运行情况等方法，围绕以下内容对信息系统内部控制的进行初步了解与判断： 被审计单位的基 本情况，被审计单位信息系统的情况，信息系统的网络和安全管理情 况，影响信息系统的行业监管信息、组织内部制度要求等内外部

2、因素 等内容。通过了解这些内容，审计人员能够对被审计单位的信息系统 关键程度、关键业务流程、内外的监管要求等有了初步了解，也就可 以初步分析审计所面临的风险。（二）对信息系统内部控制进行符合性测试符合性测试是对内部控制制度的实施情况和遵循结果进行测试。对信息系统内部控制进行符合性测试可以分为一般控制符合性测试和应 用控制符合性测试。 有效的一般控制是保证应用控制有效的一个重要 因素，它提供应用系统运行和应用控制实施的环境。 如果一般控制薄 弱，将会严重地削弱相关的具体应用控制的可靠性。由此，对一般控 制的符合性测试通常在应用控制符合性测试之前进行。1.一般控制的符合性测试目前， 被审计对象一般

3、是在日常运行的信息系统，因而， 我们重点是 对信息系统的组织控制、 操作控制和灾难恢复控制进行审计， 判断信 息系统的安全性、可靠性。（1）组织控制。组织控制主要是通过不相容职责的分离来实现。审 计内容包括：系统管理人员及操作人员是否有明确的管理制度及明确 的职责权限、 数据库管理人员是否不审批和处理经济业务、 系统管理 人员和操作人员是否不能接触有关应用程序文件、 业务处理中不相容 职能是否分离等。（2）操作控制。 操作控制是用来控制信息系统的操 作，以保证信息系统仅用于经授权的用途和只有经授权的人员才能操 作信息系统。2.应用控制的符合性测试信息系统的应用控制是设计用来合理地保证系统在特定

4、的应用方面 能够正确地完成数据的记录、 处理和报告功能， 通过对系统的应用控 制功能审计， 检查应用系统本身是否存在漏洞和功能缺陷， 评价信息 系统的可靠性、效果和效率等方面。 （1）输入控制。输入控制确保输 入数据的合法、准确和完整，包括：数据正确地存储、业务数据没有 丢失、增加、重复和改变、错误的业务数据能够被拒绝、改正并及时 地重新提交处理。 审计人员采用与操作人员座谈、 现场观察系统输入 控制，可以初步了解系统输入控制情况。 审计人员设计一些虚拟数据， 提交系统进行处理， 以测试系统输入控制是否存在。 审计人员可以通 过数据验证检查数据之间逻辑关系验证输入数据的正确性和保存数 据的完整

5、性，包括业务数据与财务数据对比验证和业务数据间主表与 明细表核对。（2）处理控制。 处理控制确保系统按规定对数据进行处 理，包括：能够对经济业务进行正常处理；业务数据在处理过程中没 有丢失、 增加、重复或不恰当的改变； 处理中错误能够发现并得到及 时更正。审计人员从被审单位抽样若干经济业务数据， 检查信息系统 处理结果是否正确， 以确定系统控制是否有效的执行。 审计人员模拟 被审单位对实际数据的处理要求设计一个程序， 将被审计单位的真实 数据用审计人员的程序重新处理一遍， 检查信息系统控制功能是否有 效。（3）输出控制。输出控制确保系统处理结果的完整性和正确性、 输出结果提交给有权使用的人员。

6、 可采用面谈法、 观察法和系统文档 审阅法、平衡模拟法等审计方法检查系统输出控制。 审计人员可以通 过与系统管理员、 操作人员座谈及系统文档审阅、 系统查询测试等发 现系统输出控制可能存在的欠缺。（三）对信息系统内部控制系统进行总评审计人员在对信息系统内部控制进行初评的基础上， 根据符合性测试 的结果，对被审计单位信息系统内部控制可信赖程度和风险水平进行 评估，以确定将要执行的实质性测试程序的性质、时间和范围。评估中需要说明的问题主要包括内部控制系统中存在的薄弱环节或发挥 作用的程度及内部控制的可信赖程度或风险水平。三、加强信息系统内部控制审计的几点建议（一）注重事前介入，从源头加强信息系统内部控制审计内审部门要积极提前介入同级业务和技术部门的信息系统开发全过 程，从系统开发从业务需求的提出， 数据结构和内部控制的设计、程 序代码的编写、软件的测试、运行到软件的验收、审计人员都应站在 内审部门的角度从信息系统的合法合规性、 安全可靠性、可维护性及 内部控制机制的完善性等方面提出可行意见和建议， 以便从系统开发 的源头上防止系统出现漏洞和缺陷等安全隐患。（二）完善相关建设，促进信息系统内部控制审计常态化 单位应建立健全相应的制度，将信息系统内控制度审计作为一条强制 性规定明确下来，以推动计算机辅助审计方法的应用和信息系统内部 控制审计的顺利实施，借助信息系统的审计接口、网络和