信息系统环境下内部控制评审内容和方法初探

　　一、信息系统内部控制评审的主要内容

　　通常，计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险，这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险（如工资、应收账款和采购应用系统等），其风险来源于信息系统中应用系统本身的漏洞，直接威胁到数据的安全、准确。

　　（一）一般控制的评审包括两个方面：

　　1.对被审计单位信息系统背景信息评审。内容有：

　　（1）被审计单位信息系统的规模；

　　（2）硬件和网络的技术复杂性；

　　（3）被审计单位信息系统会计核算和业务系统等应用软件取得的方式；

　　（4）系统的管理情况；

　　（5）被审计单位信息系统处理业务流程等。

　　通过对以上背景信息评审，基本收集了被审计单位信息系统硬件和软件的基本情况，包括计算机系统的大小、使用软件的类型、技术复杂性，使得审计人员能够决定采取何种方法采集、转换、分析数据以及可能遇到的困难，提前采取相应措施，做到不打无准备之仗。

　　2.对被审计单位信息系统控制环境评审。评审的主要内容包括计算机操作、数据管理、系统维护等控制措施。具体来说有：

　　（1）软件控制措施。是指已投入的应用软件，未经许可，不得擅自修改（包括软件供应商的补丁程序和被审计单位计算机专业人员对软件的修改）。主要测试系统投入使用后，运行中的应用软件是否被修改过？是否有适当的文字记录修改内容及影响？软件的修改是否经过适当的审批？

　　（2）不相容职能分离控制措施。测试内容有系统管理人员及操作人员是否有明确的管理制度及明确的职责权限？数据库管理人员是否不审批和处理经济业务？系统管理人员和操作人员是否不能接触有关应用程序文件？业务处理职能是否在多人之间分工？

　　（3）访问控制措施。访问控制的目标是确保只有被授权的用户才能实现对特定数据和资源的访问。主要评审系统是否设有操作日志，记录系统操作情况？操作日志能否被删除，且不可恢复？操作日志如能被删除，有无制定需保留的最低期限？对数据库的访问是否有严格的授权限制？系统管理员、操作人员的口令、密码是否定期更换等。

　　（4）系统的安全性和灾难恢复控制措施。硬件配置是否能够保证系统安全可靠地运行？使用的应用软件来源是否合法、是否经过有关部门认证？财务系统的计算机是否与外网实现物理隔离？计算机是否有防病毒措施并定期升级病毒库？是否建立了系统备份和系统恢复机制？备份的各种数据是否异地存储？

　　对信息系统控制环境的评审，主要目的是确定被审计单位信息系统总体控制环境中控制的健全性、合理性和有效性及其存在的风险。

　　（二）对信息系统应用控制的评审。其目的是检查存在于各具体应用程序中的输入控制、处理控制和输出控制情况。

　　评审的主要内容有：输入控制是否能保证由原始凭证触发的（批处理）或由人工直接输入的（实时处理）的数据合法、准确和完整。输出控制是否能够确保系统的输出没有被丢失、误导、破坏以及数据不被非法侵犯。处理控制是否确保合法的输入经过准确无误的系统处理后输出符合要求的结果。

　　二、信息系统内部控制评审方法

　　《审计机关内部控制测评准则》第五条规定，审计人员进行内部控制测评分为下列四个步骤：一是对内部控制进行调查了解；二是对内部控制进行初步评价，评价控制风险；三是对内部控制的执行情况进行符合性测试；四是提出内部控制测评结果，并利用测评结果确定实质性测试的性质、范围、重点和方法。在信息系统环境下，审计人员对信息系统的内部控制评审可以通过下列方法实现上述步骤：

　　1.调阅被审计单位的关于计算机信息系统的各项管理制度和相关文件，对内部控制的健全性和合理性初步了解。

　　2.通过与被审计单位相关人员座谈和实地观察，了解硬件配置、软件运行及维护、相关人员操作经验等计算机信息系统使用环境。

　　3.检查被审计单位内部控制过程中形成的文件和记录，包括各种操作日志、软件修改记录、灾难恢复记录等。

　　以上方法适用于对信息系统内部控制的一般控制进行评审。审计人员也可以将上述有关内容设计成调查问卷，交由被审计单位据实填写，再进行检查核实，完成测评工作。

　　4.实行白箱法（通过计算机）对计算机系统应用控制的输入控制、处理控制和输出控制进行测试。

　　白箱法测试也称结构测试或逻辑驱动测试，其方法依赖于审计人员对被测应用程序的内部逻辑的深刻理解和根据被测应用程序的内部逻辑设计的测试用例。测试的是被审计单位应用软件内部每种操作是否符合要求。具体方法有：

　　（1）检测数据法。是指审计人员用一批预先设计好的检测数据（包括正常的、有效的业务和不正常的、无效的业务数据），利用被审程序加以处理，并把处理的结果与预期的结果作比较，以确定被审程序的控制与处理功能是否恰当。主要适用于下列三种情况：被审系统的关键控制建立在计算机程序中；被审系统的可见审计轨迹有缺陷；难以由输入直接跟踪到输出。

　　（2）授控处理法。是指审计人员通过被审程序对被审计单位实际业务的处理进行监控，查明被审程序的处理和控制功能是否恰当有效。如审计人员可通过检查输入错误的更正与重新输入的过程，判别被审程序输入控制的有效性；通过检查错误清单和输出打印结果来判断被审程序处理控制和功能的可靠性；通过核实对输出与输入来判别输出控制的可靠性。这种方法技术简单、省时省力，不需要较高的计算机知识，但审计人员首先要对输入的数据进行查验，并建立审计控制，然后亲自处理或监督处理这些数据。

　　（3）平行模拟法。是指审计人员从外部获取一份与被审程序副本或利用通用审计软件建立与被审程序相同处理和控制功能的模拟程序（模拟程序通常没有它所模拟的原始程序那么复杂，只包括与具体审计目标有关的程序处理、计算和控制），来处理当前的实际数据，把处理的结果与被审程序的处理结果进行比较，以评价被审程序的处理和控制功能是否可靠或被修改。

　　以上只是简单地叙述了计算机应用控制评审的几种方法，当然，这些方法不是孤立的，在实际应用中它们需要相互补充，具体采用那一种方法，要针对计算机系统实际情况而定。

　　三、评价内部控制评审结果以确定实质性测试范围

　　在实施完对信息系统内部控制评审后，审计人员要对内部控制作出评价，以确定内部控制是否真正发挥作用。如果认为内部控制没有得到执行，或执行表明内部控制存在重大隐患，此时，审计人员应提出审计中是否依赖已有的控制。另外，审计人员应当提出一个概括反映信息系统内部控制弱点的属性和程度的总结报告，并将报告列入审计底稿。对报告可以从以下三个方面加以利用：一是确定实质性审计的范围、重点和措施。二是将被审计单位信息系统的控制弱点纳入审计意见，以便其改进工作。三是为确定具体使用何种计算机辅助审计技术提供依据。