新用戶掃碼下載
掃碼下載APP
及時接收最新考試資訊及
備考信息
人民銀行計算機信息系統內部控制的審計評價
根據計算機信息系統內部控制的內容,對其內部控制的審計評價指標通常分為一般性指標和具體指標。
(一)計算機信息系統內部控制審計評價的一般性指標
計算機信息系統內部控制審計評價的一般性指標,指為保證信息系統安全運行所制定的內部控制制度應遵循的原則和達到的目標,包括:信息系統內部控制的完整性、合理性及有效性。
1、計算機信息系統內部控制的完整性計算機信息系統內部控制的完整性包含兩個方面:一是指信息系統的使用部門根據系統安全運行的需要,應建立的有關內部控制制度的健全和完善;二是指對信息系統所涉及的中央銀行業務活動的全過程進行自始至終的控制。
根據以上兩個方面的內容,在對計算機信息系統內部控制的完整性進行審計評價時,首先對建立與系統相關的內部控制制度的健全和完善進行評價,即是否能夠充分保證系統的安全運行,是否能夠對系統功能上的不足之處進行有效的彌補,以保證系統涉及的業務活動的安全性;其次是建立的有關內部控制制度是否能夠貫穿于信息系統所涉及的業務活動的全過程。
2、計算機信息系統內部控制的合理性計算機信息系統內部控制的合理性是指為保證系統安全運行而建立的有關內部控制制度的可操作性和適用性。
在對計算機信息系統內部控制的合理性進行審計評價時,要在其完整性的基礎上,充分考慮其適用性。從各項內控制度適用性的角度出發,評價其對使用部門的操作人員、運行環境等方面的要求是否具有可操作性和適用性。
3、計算機信息系統內部控制的有效性內部控制的有效性是指其在系統運行時所涉及的中央銀行業務活動中,能否得到貫徹執行并發揮作用,實現其為保證中央銀行資金安全,為社會提供高效的金融服務的目標。
在對計算機信息系統內部控制的有效性進行評價時,主要是對內部控制在系統運行過程中能否有效地防止各類案件和錯誤的發生進行評價。
以上三個指標屬于審計評價計算機信息系統內部控制的一般性指標,完整性是合理性和有效性的基礎,合理性是對內部控制更深一層次的要求,有效性是內部控制的精髓,如果一種內部控制不能實現“有效控制”,則實質上就不存在什么內部控制了。
(二)計算機信息系統內部控制審計評價的具體指標
計算機信息系統內部控制審計評價的具體指標是指對信息系統內部控制相關內容方面的審計評價指標,是對信息系統內部控制相關內容的具體評價,包括以下幾個方面:
1、對組織與管理控制的評價:包括兩層涵義:一方面是對與信息系統相關的內部管理制度、組織機構的健全和完善及其適用性做出審計評價,即是否制定了較完善的工作制度、崗位職責,是否建立并落實崗位責任制和風險防范責任制,是否建立了內部監督機制和考核機制等;另一方面是對系統操作人員控制的審計評價:一是對管理人員控制的評價。一般情況下,信息系統中高級別操作員在系統的使用部門具有一定的職位,如《中央銀行會計核算系統》(以下簡稱《核算系統》)中四級別操作員即會計主管通常情況下由會計營業部門負責人擔任。因此,在對信息系統管理人員的控制進行審計評價時,關鍵要評價其在系統的內部控制中,是否存在對管理人員的控制隨其地位的升高而減弱的現象;二是對一般人員風險防范控制的審計評價,即系統的崗位設置和人員分工是否科學合理,崗位設置是否齊全,不相容崗位是否做到了完全分離,是否能夠達到相互牽制、互相制約、防止風險發生的目的。
2、對系統用戶及操作員權限控制的評價:即對按照系統的規定設置的各個用戶及口令、操作員代碼及口令的管理情況做出審計評價。即是否按規定設置系統用戶及口令,是否按操作員所管轄的業務范圍設置操作員級別等。如《核算系統》中,是否按規定設置開機口令和“KJZW”用戶口令,是否按照崗位職責和處理權限設置操作員級別,各級別操作員是否按規定設置代碼及口令,口令管理是否符合規定等。
3、對系統維護控制的評價:即對科技人員是否按規定對系統的軟、硬件進行的安裝、補丁、升級和備份、系統的應急處理方案是否詳細可行等方面做出審計評價。
4、對系統運行環境控制的評價:一是對系統的供電系統是否符合要求、系統運行場所的防火報警系統、防雷電系統、防電磁干擾系統是否有效做出評價;二是對系統的軟、硬件環境是否符合系統的要求做出評價;三是對系統的病毒防范措施是否具體有效做出評價;四是對系統網絡的數據保密、訪問控制、身份識別、數據傳輸等安全性指標設置是否合理做出評價。
5、對系統輸入控制的評價:即對輸入系統的數據在輸入系統前是否進行了認真的審核,數據的傳遞方式、采取的審核措施是否有效,是否能夠保證數據的準確無誤,數據的輸入是否實時輸入、換人復核等做出評價。
6、對系統輸出控制的評價:即對是否按系統的要求及時完成系統結果的輸出,對系統輸出結果的準確性、可靠性是否采取了有效的措施,系統數據輸出的操作權限、輸出日志及輸出份數是否符合規定等做出評價。
7、對系統數據存儲控制的評價:即對系統的數據是否按規定進行備份、對儲存數據的各種存儲介質是否做好必要的標識、并定期復制、異地存放等做出評價。
8、對風險導向型控制的評價,即在對系統所固有的風險和系統內部控制機制進行評價和分析的基礎上,對信息系統的高風險點和薄弱環節是否進行重點檢查和控制等做出評價。
計算機信息系統內部控制審計評價的具體指標對于不同的信息系統各有其自身的特點,因此在對計算機信息系統的內部控制進行審計評價時,在此基礎上,可根據不同的計算機信息系統本身的特點,制定出具體的內部控制審計評價指標,以對信息系統的內部控制做出客觀的審計評價。
(一)計算機信息系統內部控制審計評價的一般性指標
計算機信息系統內部控制審計評價的一般性指標,指為保證信息系統安全運行所制定的內部控制制度應遵循的原則和達到的目標,包括:信息系統內部控制的完整性、合理性及有效性。
1、計算機信息系統內部控制的完整性計算機信息系統內部控制的完整性包含兩個方面:一是指信息系統的使用部門根據系統安全運行的需要,應建立的有關內部控制制度的健全和完善;二是指對信息系統所涉及的中央銀行業務活動的全過程進行自始至終的控制。
根據以上兩個方面的內容,在對計算機信息系統內部控制的完整性進行審計評價時,首先對建立與系統相關的內部控制制度的健全和完善進行評價,即是否能夠充分保證系統的安全運行,是否能夠對系統功能上的不足之處進行有效的彌補,以保證系統涉及的業務活動的安全性;其次是建立的有關內部控制制度是否能夠貫穿于信息系統所涉及的業務活動的全過程。
2、計算機信息系統內部控制的合理性計算機信息系統內部控制的合理性是指為保證系統安全運行而建立的有關內部控制制度的可操作性和適用性。
在對計算機信息系統內部控制的合理性進行審計評價時,要在其完整性的基礎上,充分考慮其適用性。從各項內控制度適用性的角度出發,評價其對使用部門的操作人員、運行環境等方面的要求是否具有可操作性和適用性。
3、計算機信息系統內部控制的有效性內部控制的有效性是指其在系統運行時所涉及的中央銀行業務活動中,能否得到貫徹執行并發揮作用,實現其為保證中央銀行資金安全,為社會提供高效的金融服務的目標。
在對計算機信息系統內部控制的有效性進行評價時,主要是對內部控制在系統運行過程中能否有效地防止各類案件和錯誤的發生進行評價。
以上三個指標屬于審計評價計算機信息系統內部控制的一般性指標,完整性是合理性和有效性的基礎,合理性是對內部控制更深一層次的要求,有效性是內部控制的精髓,如果一種內部控制不能實現“有效控制”,則實質上就不存在什么內部控制了。
(二)計算機信息系統內部控制審計評價的具體指標
計算機信息系統內部控制審計評價的具體指標是指對信息系統內部控制相關內容方面的審計評價指標,是對信息系統內部控制相關內容的具體評價,包括以下幾個方面:
1、對組織與管理控制的評價:包括兩層涵義:一方面是對與信息系統相關的內部管理制度、組織機構的健全和完善及其適用性做出審計評價,即是否制定了較完善的工作制度、崗位職責,是否建立并落實崗位責任制和風險防范責任制,是否建立了內部監督機制和考核機制等;另一方面是對系統操作人員控制的審計評價:一是對管理人員控制的評價。一般情況下,信息系統中高級別操作員在系統的使用部門具有一定的職位,如《中央銀行會計核算系統》(以下簡稱《核算系統》)中四級別操作員即會計主管通常情況下由會計營業部門負責人擔任。因此,在對信息系統管理人員的控制進行審計評價時,關鍵要評價其在系統的內部控制中,是否存在對管理人員的控制隨其地位的升高而減弱的現象;二是對一般人員風險防范控制的審計評價,即系統的崗位設置和人員分工是否科學合理,崗位設置是否齊全,不相容崗位是否做到了完全分離,是否能夠達到相互牽制、互相制約、防止風險發生的目的。
2、對系統用戶及操作員權限控制的評價:即對按照系統的規定設置的各個用戶及口令、操作員代碼及口令的管理情況做出審計評價。即是否按規定設置系統用戶及口令,是否按操作員所管轄的業務范圍設置操作員級別等。如《核算系統》中,是否按規定設置開機口令和“KJZW”用戶口令,是否按照崗位職責和處理權限設置操作員級別,各級別操作員是否按規定設置代碼及口令,口令管理是否符合規定等。
3、對系統維護控制的評價:即對科技人員是否按規定對系統的軟、硬件進行的安裝、補丁、升級和備份、系統的應急處理方案是否詳細可行等方面做出審計評價。
4、對系統運行環境控制的評價:一是對系統的供電系統是否符合要求、系統運行場所的防火報警系統、防雷電系統、防電磁干擾系統是否有效做出評價;二是對系統的軟、硬件環境是否符合系統的要求做出評價;三是對系統的病毒防范措施是否具體有效做出評價;四是對系統網絡的數據保密、訪問控制、身份識別、數據傳輸等安全性指標設置是否合理做出評價。
5、對系統輸入控制的評價:即對輸入系統的數據在輸入系統前是否進行了認真的審核,數據的傳遞方式、采取的審核措施是否有效,是否能夠保證數據的準確無誤,數據的輸入是否實時輸入、換人復核等做出評價。
6、對系統輸出控制的評價:即對是否按系統的要求及時完成系統結果的輸出,對系統輸出結果的準確性、可靠性是否采取了有效的措施,系統數據輸出的操作權限、輸出日志及輸出份數是否符合規定等做出評價。
7、對系統數據存儲控制的評價:即對系統的數據是否按規定進行備份、對儲存數據的各種存儲介質是否做好必要的標識、并定期復制、異地存放等做出評價。
8、對風險導向型控制的評價,即在對系統所固有的風險和系統內部控制機制進行評價和分析的基礎上,對信息系統的高風險點和薄弱環節是否進行重點檢查和控制等做出評價。
計算機信息系統內部控制審計評價的具體指標對于不同的信息系統各有其自身的特點,因此在對計算機信息系統的內部控制進行審計評價時,在此基礎上,可根據不同的計算機信息系統本身的特點,制定出具體的內部控制審計評價指標,以對信息系統的內部控制做出客觀的審計評價。
下一篇:市場經濟下的企業內部控制制度
學員討論(0)
實務學習指南
距6月報稅結束還有天
新用戶掃碼下載
京公網安備 11010802044457號