信息系统一般控制和应用控制分析.docVIP

信息系统的一般控制和应用控制分析 　　【摘 要】 文章在借鉴国内外学者观点的基础上,从信息系统生命周期和信息处理流程的角度,提出了对信息系统一般控制和应用控制的概念、重要风险以及关键控制活动的认识和应采取的措施。 　　【关键词】 内部控制; 信息系统; 一般控制; 应用控制 　　 　　一、信息系统的一般控制 　　 　　(一)概念定义 　　对于信息系统的一般控制,存在着不同的理解。 　　国内有学者认为:信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。 　　《日本内部控制评价与审计准则》在基本沿袭COSO报告框架的同时,结合日本实际情况,在COSO报告三个目标和五项基本要素的基础上各增加一项,规定为四个目标和六项基本要素。其第六项基本要素为“信息技术的应对”,并把对信息技术的控制活动分为信息技术相关的全面控制和业务处理控制。《日本内部控制评价与审计准则》认为:信息技术相关的全面控制,意味着为保证业务处理控制有效运行的环境而进行的控制活动,通常是指与多项业务处理控制相关的政策和手续。信息技术相关的全面控制,通常是以支持业务管理系统的信息技术基础(硬件、软件、网络等)作为单位构建的。 　　综合借鉴国内外学者的意见,笔者认为:信息系统的一般控制是指为保证各信息系统有效执行业务处理控制而对信息系统开发和应用环境进行的控制活动。包括职责分工与授权审批,信息系统开发、运行维护与变更控制,信息安全、硬件管理等,它作用于所有的信息系统。 　　(二)重要风险 　　在分析信息系统一般控制面临的风险时,可以从信息系统生命周期的角度分析信息系统开发和应用环境需要关注的重要风险。信息系统的生命周期大致可分为战略规划、计划、设计和开发、运行维护几个阶段,企业应该在对各阶段面临的风险进行风险评估的基础上,建??关键的信息系统和数据清单,确定其所有人和负责人,对其实施信息系统一般控制。 　　战略规划和计划阶段对应于COBIT框架中的策划和组织过程域;设计和开发阶段对应于COBIT框架中的获取与实施过程域;运行维护阶段对应于COBIT框架中的交付与支持过程域。COBIT框架中的监控与评价过程域所关注的风险和控制活动,贯穿于信息系统的生命周期。 　　在战略规划阶段,重要风险是由于缺乏信息战略规划或战略规划不当,导致信息战略规划与业务战略规划不匹配,容易出现信息系统重复建设、信息孤岛等问题,信息系统不能经济有效地支撑业务发展,影响企业目标的实现。 　　在计划阶段,重要风险是缺乏具体计划或者计划不合理,导致信息战略规划不能有效落实。 　　在设计和开发阶段,重要风险是没有有效实现业务处理和业务控制要求,出现汇总、排序、应计、待摊等计算错误,程序算法不够优化、系统响应时间和吞吐量达不到要求,处理环节间的钩稽验证机制缺失等问题,导致信息系统不能有效支持业务开展,不能有效预防和发现错误和舞弊。 　　在运行和维护阶段,重要风险包括信息安全风险、信息系统服务质量风险、信息系统的可持续性风险。信息安全风险主要是由于身份管理、用户账号管理、密钥管理、恶意软件的检测和纠正、网络传输安全、数据存储安全等方面缺乏有效控制而导致信息的真实完整、安全保密无法有效保证,恶意用户非法操作和舞弊;信息系统服务质量风险主要是由于系统性能、容量不能适应业务发展,或者用户培训不够,导致IT服务交付的质量级别不符合业务需要;信息系统的可持续性风险主要由于缺乏容灾和应急措施而导致信息系统的持续运行能力缺乏保障。 　　(三)关键控制活动 　　1.不相容职责定义 　　在定义不相容职责时,从信息系统生命周期的角度,不仅要考虑不同阶段之间的不相容职责,也要考虑同一阶段内的不同职责。主要有以下不相容职责。 　　系统开发与验收测试是不相容职责。系统开发主要是IT服务部门的工作职责;而验收测试则是检验系统是否满足用户需求的测试,要验证用户需求是否得到满足,就只能由用户部门执行测试。系统开发与验收测试不相容,体现了IT服务部门和业务部门的职责分离。 　　数据管理和应用程序管理是不相容职责。数据管理不局限于数据库管理,也包括excel文件之类的文档管理。应用程序管理不局限于源代码和开发文档管理,也包括可执行程序版本的管理。应用程序和数据是信息系统的核心,为保证数据的完整性和一致性,用户应尽量避免直接访问后台数据,而应通过应用程序提供的功能读写其访问权限内的数据。如果同一岗位既能通过修改代码或者替换运行程序版本等方式调整应用