【摘要】本文對信息系統(tǒng)內(nèi)部控制與信息系統(tǒng)內(nèi)部控制審計進行了介紹，并對加強信息系統(tǒng)內(nèi)部控制審計的重要性做了闡述。

【關(guān)鍵詞】信息系統(tǒng) 內(nèi)部控制 重要性 程序 方法

一、信息系統(tǒng)內(nèi)部控制審計

信息系統(tǒng)內(nèi)部控制審計是一個通過收集和評價審計證據(jù)，對信息系統(tǒng)是否能夠保護資產(chǎn)的安全、維護數(shù)據(jù)的完整、使被審計單位的目標得以有效地實現(xiàn)、使組織的資源得到高效地使用等方面作出判斷的過程。其審計內(nèi)容及方法是通過對系統(tǒng)內(nèi)部控制的審計，來判斷和評價系統(tǒng)的可靠性、安全性、完整性、效果和效率等方面。

二、開展信息系統(tǒng)內(nèi)部控制審計的程序和方法

（一）對信息系統(tǒng)內(nèi)部控制進行初步了解與評價

審計人員可以通過詢問被審計單位有關(guān)人員，查閱被審計單位的相關(guān)文件記錄、觀察被審計單位的業(yè)務(wù)活動及其運行情況等方法，圍繞以下內(nèi)容對信息系統(tǒng)內(nèi)部控制的進行初步了解與判斷：被審計單位的基本情況，被審計單位信息系統(tǒng)的情況，信息系統(tǒng)的網(wǎng)絡(luò)和安全管理情況，影響信息系統(tǒng)的行業(yè)監(jiān)管信息、組織內(nèi)部制度要求等內(nèi)外部因素等內(nèi)容。通過了解這些內(nèi)容，審計人員能夠?qū)Ρ粚徲媶挝坏男畔⑾到y(tǒng)關(guān)鍵程度、關(guān)鍵業(yè)務(wù)流程、內(nèi)外的監(jiān)管要求等有了初步了解，也就可以初步分析審計所面臨的風險。

（二）對信息系統(tǒng)內(nèi)部控制進行符合性測試

符合性測試是對內(nèi)部控制制度的實施情況和遵循結(jié)果進行測試。對信息系統(tǒng)內(nèi)部控制進行符合性測試可以分為一般控制符合性測試和應(yīng)用控制符合性測試。有效的一般控制是保證應(yīng)用控制有效的一個重要因素，它提供應(yīng)用系統(tǒng)運行和應(yīng)用控制實施的環(huán)境。如果一般控制薄弱，將會嚴重地削弱相關(guān)的具體應(yīng)用控制的可靠性。由此，對一般控制的符合性測試通常在應(yīng)用控制符合性測試之前進行。

1.一般控制的符合性測試

目前，被審計對象一般是在日常運行的信息系統(tǒng)，因而，我們重點是對信息系統(tǒng)的組織控制、操作控制和災(zāi)難恢復控制進行審計，判斷信息系統(tǒng)的安全性、可靠性。

組織控制。組織控制主要是通過不相容職責的分離來實現(xiàn)。審計內(nèi)容包括：系統(tǒng)管理人員及操作人員是否有明確的管理制度及明確的職責權(quán)限、數(shù)據(jù)庫管理人員是否不審批和處理經(jīng)濟業(yè)務(wù)、系統(tǒng)管理人員和操作人員是否不能接觸有關(guān)應(yīng)用程序文件、業(yè)務(wù)處理中不相容職能是否分離等。（2）操作控制。操作控制是用來控制信息系統(tǒng)的操作，以保證信息系統(tǒng)僅用于經(jīng)授權(quán)的用途和只有經(jīng)授權(quán)的人員才能操作信息系統(tǒng)。

2.應(yīng)用控制的符合性測試

信息系統(tǒng)的應(yīng)用控制是設(shè)計用來合理地保證系統(tǒng)在特定的應(yīng)用方面能夠正確地完成數(shù)據(jù)的記錄、處理和報告功能，通過對系統(tǒng)的應(yīng)用控制功能審計，檢查應(yīng)用系統(tǒng)本身是否存在漏洞和功能缺陷，評價信息系統(tǒng)的可靠性、效果和效率等方面。（1）輸入控制。輸入控制確保輸入數(shù)據(jù)的合法、準確和完整，包括：數(shù)據(jù)正確地存儲、業(yè)務(wù)數(shù)據(jù)沒有丟失、增加、重復和改變、錯誤的業(yè)務(wù)數(shù)據(jù)能夠被拒絕、改正并及時地重新提交處理。審計人員采用與操作人員座談、現(xiàn)場觀察系統(tǒng)輸入控制，可以初步了解系統(tǒng)輸入控制情況。審計人員設(shè)計一些虛擬數(shù)據(jù)，提交系統(tǒng)進行處理，以測試系統(tǒng)輸入控制是否存在。審計人員可以通過數(shù)據(jù)驗證檢查數(shù)據(jù)之間邏輯關(guān)系驗證輸入數(shù)據(jù)的正確性和保存數(shù)據(jù)的完整性，包括業(yè)務(wù)數(shù)據(jù)與財務(wù)數(shù)據(jù)對比驗證和業(yè)務(wù)數(shù)據(jù)間主表與明細表核對。（2）處理控制。處理控制確保系統(tǒng)按規(guī)定對數(shù)據(jù)進行處理，包括：能夠?qū)?jīng)濟業(yè)務(wù)進行正常處理；業(yè)務(wù)數(shù)據(jù)在處理過程中沒有丟失、增加、重復或不恰當?shù)母淖?；處理中錯誤能夠發(fā)現(xiàn)并得到及時更正。審計人員從被審單位抽樣若干經(jīng)濟業(yè)務(wù)數(shù)據(jù)，檢查信息系統(tǒng)處理結(jié)果是否正確，以確定系統(tǒng)控制是否有效的執(zhí)行。審計人員模擬被審單位對實際數(shù)據(jù)的處理要求設(shè)計一個程序，將被審計單位的真實數(shù)據(jù)用審計人員的程序重新處理一遍，檢查信息系統(tǒng)控制功能是否有效。（3）輸出控制。輸出控制確保系統(tǒng)處理結(jié)果的完整性和正確性、輸出結(jié)果提交給有權(quán)使用的人員?？刹捎妹嬲劮ā⒂^察法和系統(tǒng)文檔審閱法、平衡模擬法等審計方法檢查系統(tǒng)輸出控制。審計人員可以通過與系統(tǒng)管理員、操作人員座談及系統(tǒng)文檔審閱、系統(tǒng)查詢測試等發(fā)現(xiàn)系統(tǒng)輸出控制可能存在的欠缺。

（三）對信息系統(tǒng)內(nèi)部控制系統(tǒng)進行總評

審計人員在對信息系統(tǒng)內(nèi)部控制進行初評的基礎(chǔ)上，根據(jù)符合性測試的結(jié)果，對被審計單位信息系統(tǒng)內(nèi)部控制可信賴程度和風險水平進行評估，以確定將要執(zhí)行的實質(zhì)性測試程序的性質(zhì)、時間和范圍。評估中需要說明的問題主要包括內(nèi)部控制系統(tǒng)中存在的薄弱環(huán)節(jié)或發(fā)揮作用的程度及內(nèi)部控制的可信賴程度或風險水平。

三、加強信息系統(tǒng)內(nèi)部控制審計的幾點建議

（一）注重事前介入，從源頭加強信息系統(tǒng)內(nèi)部控制審計

內(nèi)審部門要積極提前介入同級業(yè)務(wù)和技術(shù)部門的信息系統(tǒng)開發(fā)全過程，從系統(tǒng)開發(fā)從業(yè)務(wù)需求的提出，數(shù)據(jù)結(jié)構(gòu)和內(nèi)部控制的設(shè)計、程序代碼的編寫、軟件的測試、運行到軟件的驗收、審計人員都應(yīng)站在內(nèi)審部門的角度從信息系統(tǒng)的合法合規(guī)性、安全可靠性、可維護性及內(nèi)部控制機制的完善性等方面提出可行意見和建議，以便從系統(tǒng)開發(fā)的源頭上防止系統(tǒng)出現(xiàn)漏洞和缺陷等安全隱患。

（二）完善相關(guān)建設(shè)，促進信息系統(tǒng)內(nèi)部控制審計常態(tài)化

單位應(yīng)建立健全相應(yīng)的制度，將信息系統(tǒng)內(nèi)控制度審計作為一條強制性規(guī)定明確下來，以推動計算機輔助審計方法的應(yīng)用和信息系統(tǒng)內(nèi)部控制審計的順利實施，借助信息系統(tǒng)的審計接口、網(wǎng)絡(luò)和一定的計算機輔助手段，審計人員就通過非現(xiàn)場監(jiān)督手段系統(tǒng)，全面和連續(xù)的對在信息系統(tǒng)中流動著數(shù)據(jù)信息進行實時動態(tài)檢查，做到既能檢查數(shù)據(jù)的來源和結(jié)果，也能檢查數(shù)據(jù)流動軌跡。

【參考文獻】

[1] 羅燁.信息系統(tǒng)內(nèi)部控制審計方法研究[J].會計師，2011（11）.

作者簡介：方來麗（1984-）女，漢族，安徽省安慶市人，辦事員/審計師、會計師、南通市海安縣審計局、會計與審計理論研究。