- 1、本文档共16页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
- 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
- 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们。
- 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
- 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
信息系统一般控制和应用控制分析
信息系统的一般控制和应用控制分析
【摘 要】 文章在借鉴国内外学者观点的基础上,从信息系统生命周期和信息处理流程的角度,提出了对信息系统一般控制和应用控制的概念、重要风险以及关键控制活动的认识和应采取的措施。
【关键词】 内部控制; 信息系统; 一般控制; 应用控制
一、信息系统的一般控制
(一)概念定义
对于信息系统的一般控制,存在着不同的理解。
国内有学者认为:信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。
《日本内部控制评价与审计准则》在基本沿袭COSO报告框架的同时,结合日本实际情况,在COSO报告三个目标和五项基本要素的基础上各增加一项,规定为四个目标和六项基本要素。其第六项基本要素为“信息技术的应对”,并把对信息技术的控制活动分为信息技术相关的全面控制和业务处理控制。《日本内部控制评价与审计准则》认为:信息技术相关的全面控制,意味着为保证业务处理控制有效运行的环境而进行的控制活动,通常是指与多项业务处理控制相关的政策和手续。信息技术相关的全面控制,通常是以支持业务管理系统的信息技术基础(硬件、软件、网络等)作为单位构建的。
综合借鉴国内外学者的意见,笔者认为:信息系统的一般控制是指为保证各信息系统有效执行业务处理控制而对信息系统开发和应用环境进行的控制活动。包括职责分工与授权审批,信息系统开发、运行维护与变更控制,信息安全、硬件管理等,它作用于所有的信息系统。
(二)重要风险
在分析信息系统一般控制面临的风险时,可以从信息系统生命周期的角度分析信息系统开发和应用环境需要关注的重要风险。信息系统的生命周期大致可分为战略规划、计划、设计和开发、运行维护几个阶段,企业应该在对各阶段面临的风险进行风险评估的基础上,建??关键的信息系统和数据清单,确定其所有人和负责人,对其实施信息系统一般控制。
战略规划和计划阶段对应于COBIT框架中的策划和组织过程域;设计和开发阶段对应于COBIT框架中的获取与实施过程域;运行维护阶段对应于COBIT框架中的交付与支持过程域。COBIT框架中的监控与评价过程域所关注的风险和控制活动,贯穿于信息系统的生命周期。
在战略规划阶段,重要风险是由于缺乏信息战略规划或战略规划不当,导致信息战略规划与业务战略规划不匹配,容易出现信息系统重复建设、信息孤岛等问题,信息系统不能经济有效地支撑业务发展,影响企业目标的实现。
在计划阶段,重要风险是缺乏具体计划或者计划不合理,导致信息战略规划不能有效落实。
在设计和开发阶段,重要风险是没有有效实现业务处理和业务控制要求,出现汇总、排序、应计、待摊等计算错误,程序算法不够优化、系统响应时间和吞吐量达不到要求,处理环节间的钩稽验证机制缺失等问题,导致信息系统不能有效支持业务开展,不能有效预防和发现错误和舞弊。
在运行和维护阶段,重要风险包括信息安全风险、信息系统服务质量风险、信息系统的可持续性风险。信息安全风险主要是由于身份管理、用户账号管理、密钥管理、恶意软件的检测和纠正、网络传输安全、数据存储安全等方面缺乏有效控制而导致信息的真实完整、安全保密无法有效保证,恶意用户非法操作和舞弊;信息系统服务质量风险主要是由于系统性能、容量不能适应业务发展,或者用户培训不够,导致IT服务交付的质量级别不符合业务需要;信息系统的可持续性风险主要由于缺乏容灾和应急措施而导致信息系统的持续运行能力缺乏保障。
(三)关键控制活动
1.不相容职责定义
在定义不相容职责时,从信息系统生命周期的角度,不仅要考虑不同阶段之间的不相容职责,也要考虑同一阶段内的不同职责。主要有以下不相容职责。
系统开发与验收测试是不相容职责。系统开发主要是IT服务部门的工作职责;而验收测试则是检验系统是否满足用户需求的测试,要验证用户需求是否得到满足,就只能由用户部门执行测试。系统开发与验收测试不相容,体现了IT服务部门和业务部门的职责分离。
数据管理和应用程序管理是不相容职责。数据管理不局限于数据库管理,也包括excel文件之类的文档管理。应用程序管理不局限于源代码和开发文档管理,也包括可执行程序版本的管理。应用程序和数据是信息系统的核心,为保证数据的完整性和一致性,用户应尽量避免直接访问后台数据,而应通过应用程序提供的功能读写其访问权限内的数据。如果同一岗位既能通过修改代码或者替换运行程序版本等方式调整应用
您可能关注的文档
- 供求关系视角下持续高房价成因及其对策浅析.doc
- 供应链金融下农业小企业融资信用风险研究.doc
- 供求冲击与中国产业波动.doc
- 供电企业安全保卫工作现状与对策.doc
- 供电企业实施ERP系统集成性风险与对策.doc
- 供电企业实施全面预算管理思考.doc
- 供电企业废旧物资管理问题及对策.doc
- 供需视角下农村支付服务建设存在问题与建议.doc
- 依托ERP全面实施 探索资金管理新模式.doc
- 依托新会计准则理念推行作业成本法探讨.doc
- 人教版九年级英语全一册单元速记•巧练Unit13【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit9【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit11【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit14【单元测试·提升卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit8【速记清单】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit4【单元测试·提升卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit13【单元测试·基础卷】(原卷版+解析).docx
- 人教版九年级英语全一册单元速记•巧练Unit7【速记清单】(原卷版+解析).docx
- 苏教版五年级上册数学分层作业设计 2.2 三角形的面积(附答案).docx
- 人教版九年级英语全一册单元速记•巧练Unit12【单元测试·基础卷】(原卷版+解析).docx
文档评论(0)