IT内部控制的分类.pdfVIP

IT内部控制的分类、目标和标准 来源：CIO时代网 信息系统内部控制是一个可以预防、检测和纠正非法事件的系统的总称。内部控制包含 一系列的相关组成部分，它们共同工作以达到一个共同的日标。内部控制的焦点是非法事件， 输入信息系统的数据出现异常〔如未授权、不准确、不完整、无效或低效)或信息系统在处 理输入的数据也出现卜述异常时都会导致非法事件的产生。信息系统的内部控制就是用来预 防、检测和纠正非法事件的，其目的是减少系统内部非法事件带来的损失。 1、信息系统内部控制分类 信息系统的内部控制分为般控制和应用控制，其中一般控制又包括管理控制和运行控制， 如图1所示。 (1) 管理控制:信息系统的管理控制对于实现资产安全、数据完整、系统的有效性和高效 性具有重要意义。信息系统的管理控制涉及整个信息系统的决策、开发以及日常的使用和维 护。主要包括高层管理控制、系统开发管理控制、程序编码管理控制、数据资源管理控制、 安全管理控制和质量保证管理控制。 (2) 运行控制:运行控制负责系统硬件和软件的日常运行，保证应用系统能完成工作目标。 运行控制主要包括计算机操作控制、通信网络控制、数据准备和输入控制、生产控制、系统 数据的管理控制、文档和程序的控制、员工培训和技术支持控制、性能监视控制和外部采购 控制。 (3)应用控制:应用控制保证各个应用系统达到保护资产安全、数据完整、系统有效和高 效的目标。应用控制有三个基本的特征，首先应用控制的对象是硬件和软件，其次应用控制 应用于数据和数据的处理，第只应用控制倾向于保护资产的安全和数据的完整性。应用控制 包括边界控制、输入控制、通信控制、处理控制、数据库控制和输出控制。 2、信息系统内部控制的目标 信息系统内部控制有以下三个目标: (1)与业务日标一致:信息系统内部控制要从组织目标和信息化战略中抽取信息需求和功 能需求，形成总体的信息系统内部控制框架，为系统的运行提供保障，保证信息技术跟上持 续变化的业务目标。 (2) 有效利用信息资源:目前信息化工程超期、IT外部的需求没有满足、IT平台支持业务 应用等问题较为突出，通过信自.系统内部控制可以对信息资源进行有一效管理，保护投资 的回收，并支持决策。 (3)风险管理:由于组织越来越依赖于信息技术和网络，新的风险不断涌现。信息系统内 部控制强调风险管理，通过制定信息资源的保护级别，强调关键的信息技术资源，有效实施 监控和事故处理。信息系统内部控制是使组织适应外部环境变化;使组织内部实现对业务流 程中资源的有效利用，从而达到改善管理效率和水平的重要手段。 3、信息系统内部控制的标准 信息系统内部控制对组织业务目标的实现是如此的重要，促使我们考虑如何进行管理和 控制。COBIT 模型是信息系统管理和控制的一个开放性标准，目前已成为国际上公认的最先 进、最权威的安全与信息技术管理和控制的标准。该标准辅助管理层进行有效的信息系统 部控制，目前该标准己在一百多个国家的重要组织中应用，用以指导这些组织有效利用信息 资源，有效地管理与信息相关的风险。COBIT 有不少成功案例。美国的一些州己把COBIT 标 准作为虚拟政府策略的一部分，用它来保持较低的成本并为它的客户和委托人提供一定的服 务质量。戴尔公司把COBIT 作为CSA (Control Self Assessment) 策略的一部分，帮助公司保持 高质量。