信息系统的一般控制和应用控制分析
信息技术一般控制和应用控制
信息技术一般控制和应用控制信息技术一般控制和应用控制是信息系统安全管理中的两个重要方面。
它们旨在确保信息系统的可靠性、安全性和合规性。
本文将分别介绍信息技术一般控制和应用控制的概念、作用以及实施方法。
一、信息技术一般控制信息技术一般控制是指对信息系统整体进行管理和控制的措施。
它旨在确保信息系统的稳定运行、数据完整性和可靠性。
信息技术一般控制通常包括以下几个方面:1. 访问控制:通过身份验证、权限管理等手段,限制用户对系统和数据的访问,防止未经授权的访问和滥用。
2. 变更管理:对系统和数据的变更进行管理和控制,确保变更的合理性、可追溯性和风险可控性。
3. 安全管理:建立完善的安全策略和流程,包括信息安全政策、安全培训、安全事件响应等,确保信息系统的安全性。
4. 运维管理:对信息系统的日常运维进行管理和控制,包括硬件设备管理、软件配置管理、备份和恢复等,确保系统的可靠性和可用性。
5. 系统开发管理:对系统开发过程进行管理和控制,包括需求分析、设计、编码、测试等,确保系统的质量和安全性。
二、应用控制应用控制是指针对具体应用系统的管理和控制措施。
它主要关注应用系统的业务流程、数据处理和交互操作等方面,确保应用系统的合规性和有效性。
应用控制通常包括以下几个方面:1. 输入控制:对系统输入的数据进行验证和检查,确保数据的准确性和完整性。
2. 处理控制:对系统的数据处理过程进行控制和监测,确保数据的安全和正确性。
3. 输出控制:对系统输出的数据进行验证和检查,确保数据的准确性和完整性。
4. 审计跟踪:记录系统的操作活动和事件,包括用户登录、数据修改等,便于审计和追溯。
5. 授权管理:对系统的功能和数据进行授权管理,限制用户的操作权限,确保系统的合规性和安全性。
三、实施方法信息技术一般控制和应用控制的实施方法可以参考以下步骤:1. 评估风险:对信息系统进行风险评估,确定需要实施的控制措施和优先级。
2. 设计控制:根据风险评估结果,设计相应的控制措施,包括访问控制、变更管理、安全管理等。
《信息系统审计》 第3章
与传统手工控制相比,信息系统内部控制特点: 1、 控制的重点转向系统职能部门; 2、 控制的范围扩大; 3、 控制方式和操作手段由人工控制转为人工 控制与信息技术控制相结合。
内部控制分类: 从信息系统对象范围角度,信息系统可分为信息系 统环境和信息系统应用程序两部分组成。 因此,从该角度信息系统内部控制通常分为: 信息系统一般控制(即对信息系统环境的控制) 信息系统应用控制(即对应用程序的控制)
(2)场地(机房场地、信息存储场地)审查 审计内容:地址选择条件;温度、湿度条件; 照明、日志、电磁场干扰条件;接地、 建筑结构条件;防水、防火、防雷、防 磁、防尘措施等。 审计标准:标准GB/T 2887—2000
(3)机房审查 审计内容:防火、内部装修、供配电系统、 空调系统、火灾报警系统、消防设施、 防静电、防雷击等。 审计标准:标准GB 9361—1998(分为A、 B、C三类)
硬件控制与审计直接关系到信息系统的安全、可靠 的运行。其内部控制及其审计,主要涉及:
硬件设施的采购、运行、维护、监控和能力管 理等。 1、硬件基础设施采购控制 硬件基础设施采购控制应考虑的问题: 购买什么样的硬件?如何保障硬件的质量? 主要控制包括: (1)招标书(ITT)或请求建议书(RFP)控制 要求: 全面明确说明所需设备用途、 任务 和要求,及对设备所处环境的描述。
(4)硬件设备应具有的基本控制功能因素 计算机设备应具有控制功能:重复处理控制、 回波检验、设备校验、有效性校验等。 可以通过审核硬件厂家的文献资料和书面凭 证确定。
2、硬件基础设施维护与监控 目的:提供系统正常运行的硬件基础设施保障。 控制措施包括: 形成维护计划(维护程序)并得到管理层批准; 维护的落实与监督检查; 维护变更的控制。
第19章《企业内部控制应用指引第18号——信息系统》讲解
第十九章 《企业内部控制应用指引第18号——信息系统》讲解《企业内部控制应用指引第18号——信息系统》中所指信息系统,是指企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。
信息系统内部控制的目标是促进企业有效实施内部控制,提高企业现代化管理水平,减少人为操纵因素;同时,增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性,为建立有效的信息与沟通机制提供支持保障。
信息系统内部控制的主要对象是信息系统,由计算机硬件、软件、人员、信息流和运行规程等要素组成。
信息系统内部控制包括一般控制和应用控制。
一般控制,是指对企业信息系统开发、运行和维护的控制;应用控制,是指利用信息系统对业务处理实施的控制(见图19-1)。
现代企业的运营越来越依赖于信息系统。
比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等,没有信息系统的支撑,业务开展就会举步维艰、难以为继,企业经营就很可能陷入瘫痪状态。
还有一些新兴产业和新兴企业,其商业模式完全依赖信息系统,比如各种网络公司(新浪、网易、百度)、各种电子商务公司(比如阿里巴巴、卓越公司),没有信息系统,这些企业可能会失去生存之基。
鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用,加之信息系统本身的复杂性和高风险特征,《企业内部控制应用指引第18号——信息系统》规定,企业负责人对信息系统建设工作负责。
换言之,信息系统建设是“一把手”工程。
只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作,才能统一思想、提高认识、加强协调配合,从而推动信息系统建设在整合资源的前提下高效、协调推进。
企业应当重视信息系统在内部控制中的作用,根据内部控制要求,结合组织架构、业务范围、地域分布、技术能力等因素,制定信息系统建设总体规划,加大投入力度,有序组织信息系统开发、运行与维护,优化管理流程,防范经营风险,全面提升企业现代化管理水平。
会计信息系统的一般控制与应用控制
会计信息系统的一般控制与应用控制会计信息系统是企业中非常重要的一部分,它负责收集、处理和报告企业的财务信息。
为了保证会计信息系统的安全、可靠和有效,需要进行一系列的控制措施,包括一般控制和应用控制。
一、一般控制一般控制是指应用于整个会计信息系统的控制措施,它们对整个系统起着基础性的作用。
一般控制主要包括以下几个方面:1. 访问控制:通过用户身份验证、权限管理和访问日志记录等措施,限制只有授权的用户才能访问会计信息系统。
这样可以确保只有合法的用户才能对系统进行操作,防止未经授权的人员篡改或窃取财务信息。
2. 变更控制:对于会计信息系统中的重要配置、程序或数据的变更,需要进行严格的控制和审批。
变更前需要进行充分的测试,变更后需要进行验证,以确保变更不会对系统的安全性和稳定性产生负面影响。
3. 物理安全:会计信息系统的服务器和存储设备需要放置在安全可靠的机房中,只有授权人员才能进入。
此外,还需要定期备份数据,并将备份数据存放在安全的地方,以防止数据丢失或损坏。
4. 灾备和容灾:为了应对各种灾害和意外情况,需要建立完善的灾备和容灾机制。
包括定期备份数据、建立备份数据中心、制定灾难恢复计划等,以确保在系统遭受损坏或停运时,能够及时恢复正常运行。
二、应用控制应用控制是指应用于会计信息系统中具体应用程序和业务流程的控制措施。
应用控制主要包括以下几个方面:1. 输入控制:确保通过输入数据的准确性和完整性。
包括数据验证、合理性检查、输入限制等,以防止误输入或恶意输入数据,影响系统的准确性和可靠性。
2. 处理控制:确保系统能够正确处理和计算各种业务事项。
包括事务处理的完整性、一致性和及时性控制,以及对异常情况的处理和纠正措施。
3. 输出控制:确保会计信息系统能够生成准确、完整和可信的财务报表和管理报告。
包括报表的格式控制、数据的合理性检查和报表的审核等,以确保报表的准确性和可信度。
4. 审计跟踪:对会计信息系统中的操作和事件进行跟踪和记录,以便审计人员对系统的操作进行审计。
计算机会计信息系统内部控制
浅析计算机会计信息系统内部控制摘要:由于会计信息处理方式和方法的计算机自动化,使得会计业务处理程序和工作组织发生了根本性质上的变化,并由此引发会计信息系统内部控制体系也出现了一些新的特点和变化。
本文从计算机会计信息系统内部控制特点出发,针对其内部控制体系的新特点新变化,就如何建立、加强和完善计算机会计信息系统的内部控制提出了建议。
关键词:计算机会计;内部控制;信息系统中图分类号:f23 文献标识码:a 文章编号:1001-828x(2013)02-0-01一、计算机会计信息系统内部控制的主要内容:(一)一般控制一般控制又称管理控制,是指对计算机会计信息系统的组织、开发、应用环境等控制。
其目的是建立对计算机信息系统活动整体控制的框架,并对达到内部控制的整体目标提供合理的依赖程序。
计算机会计信息系统一般控制主要包括系统的组织与管理控制、操作控制、系统安全控制、系统开发控制和系统维护控制等相互配合的系统运行环境方面的控制。
(二)应用控制应用控制是系统会计应用方面的具体控制,即为适应会计处理的特殊要求而建立及实施的控制。
应用控制在一般控制的基础上进行了一定的深化,可以在一般控制基础上,直接深入具体的业务进行处理,从而确保全部的经济业务都经过授权和记录,并进行完整、准确和及时的处理。
应用控制主要包括输入控制、数据采集控制、数据输入控制。
二、计算机会计信息系统内部控制特征(一)内部控制的措施和方式发生了变化首先,手工操作下的一些内部控制措施在计算机会计信息系统下已经没有存在的必要。
如编制科目、凭证汇总表、核对总账、明细账等。
原因在除非计算机病毒侵袭和非法操作,自动汇总一般不会出现差错。
同时由于计算机会计信息系统下的内部控制的形式已由原来的制度控制变为制度和程序软件控制,也导致传统手工会计环境下的内部控制的人员牵制制度的重要程度下降。
其次,计算机操作人员在录入数据后系统会自动生成核算结果并形成操作记录,替换了大量原来核算过程中必须进行的核对工作环节。
信息系统一般控制审计
信息系统一般控制审计一、应用系统开发、测试与上线审计A.应用系统开发审计(一)业务概述组织的信息系统开发根据方式不同,通常包括自主开发、外委开发、或者二者兼有的开发方式。
组织在进行信息系统开发时,应当根据自身技术力量、资金状况、发展目标等实际情况,选择适合自身的开发方式和合作伙伴。
应用系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。
(二)审计目标和内容审计目标:通过规范开发程序,提高信息系统开发的可控性、安全性、可靠性和经济性,揭示信息系统开发环节存在的风险及问题,提出完善信息系统开发控制的审计意见和建议,实现组织目标。
审计内容:开发组织机构设置、资源配置情况。
开发过程中与业务部门的沟通情况。
系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、安全管理情况。
(三)常见问题和风险组织自主开发方式下的应用系统主要存在以下常见问题及风险:1.组织未成立专门的开发建设项目组,可能导致信息系统开发建设责任制未落实的风险。
2.信息系统开发工作缺乏必要支持。
组织内部无专业技术人员或是缺乏必要的财务支持,导致开发失败的风险。
3.信息系统开发过程没有业务部门人员参与,未定期与业务部门共同审核信息系统的开发建设情况,未及时发现系统不能满足业务的需要,可能导致与业务需求不相符的风险。
4.组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系,不能有效控制开发质量;开发过程中未进行必要的安全控制,未对源代码进行有效管理和严格审查可能导致的风险。
5.项目需求说明书阐述业务范围及内容不清晰,未能结合需求制定出最优化的技术设计方案的风险。
开发环境、测试环境和生产环境未分离,网络未有效隔离,设备未独立于生产系统,开发人员直接接触生产系统,直接使用未经批准并脱敏的生产数据,导致泄密或造成生产系统受损的风险。
财务人(或投资人)必须掌握的11个财务舞弊领域及应对措施
财务人(或审计)必须掌握的11个财务舞弊领域及应对措施一、货币资金相关舞弊风险应对措施(一)针对虚构货币资金相关舞弊风险。
一是严格实施银行函证程序,保持对函证全过程的控制,恰当评价回函可靠性,深入调查不符事项或函证程序中发现的异常情况;二是关注货币资金的真实性和巨额货币资金余额以及大额定期存单的合理性;三是了解企业开立银行账户的数量及分布,是否与企业实际经营需要相匹配且具有合理性,检查银行账户的完整性和银行对账单的真实性;四是分析利息收入和财务费用的合理性,关注存款规模与利息收入是否匹配,是否存在“存贷双高”现象;五是关注是否存在大额境外资金,是否存在缺少具体业务支持或与交易金额不相匹配的大额资金或汇票往来等异常情况。
(二)针对大股东侵占货币资金相关舞弊风险。
一是识别企业银行对账单中与实际控制人、控股股东或高级管理人员的大额资金往来交易,关注是否存在异常的大额资金流动,关注资金往来是否以真实、合理的交易为基础,关注利用无商业实质的购销业务进行资金占用的情况;二是分析企业的交易信息,识别交易异常的疑似关联方,检查企业银行对账单中与疑似关联方的大额资金往来交易,关注资金或商业汇票往来是否以真实、合理的交易为基础;三是关注期后货币资金重要账户的划转情况以及资金受限情况;四是通过公开信息等可获取的信息渠道了解实际控制人、控股股东财务状况,关注其是否存在资金紧张或长期占用企业资金等情况,检查大股东有无高比例股权质押的情况。
(三)针对虚构现金交易相关舞弊风险。
一是结合企业所在行业的特征恰当评价现金交易的合理性,检查相关内部控制是否健全、运行是否有效,是否保留了充分的资料和证据;二是计算月现金销售收款、现金采购付款的占比,关注现金收、付款比例是否与企业业务性质相匹配,识别现金收、付款比例是否存在异常波动,并追查波动原因;三是了解现金交易对方的情况,关注使用现金结算的合理性和交易的真实性;四是检查大额现金收支,追踪来源和去向,核对至交易的原始单据,关注收付款方、收付款金额与合同、订单、出入库单相关信息是否一致;五是检查交易对象的相关外部证据,验证其交易真实性;六是检查是否存在洗钱等违法违规行为。
信息系统审计内容
信息系统审计内容一、信息系统审计内容概述信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。
信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。
二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括:(一)控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。
(二)风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息资产的分类及信息资产所有者的职责,以及对信息系统的风险识别方法、风险评价标准、风险应对措施。
(三)控制活动内部审计人员应当关注信息系统管理的方法和程序,主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。
(四)信息与沟通内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支持度,信息技术政策、信息安全制度传达与沟通等方面。
(五)内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。
三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续运行。
信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。
审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。
信息系统一般性控制审计应当重点考虑下列控制活动:(一)系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发所制定的系统目标以及预期功能是否合理,是否能够满足组织目标;系统开发的方法,开发环境、测试环境、生产环境的分离情况,系统的测试、审核、验收、移植到生产环境等环节的具体活动。
《内部审计学》第三版课后习题参考答案
《内部审计学》(第三版)课后习题参考答案时现等2017年4月第一章内部审计概述本章练习题1. D2. D3.D4.B5.D6.C7. D8. D9.A本章思考题1.建议从审计主体、审计客体、审计内容、审计标准、审计目标等方面进行分析。
2.建议从准则结构、准则内容、准则实施状况等进行比较。
内部审计发展的动因及影响内部审计发展的主要因素从外部环境、内部环境、管理层支持、内部审计自身等方面进行分析。
3.分别分析国际内部审计师协会和我国内部审计协会的定义。
4.内部审计的独立性主要是指组织上的独立,外部审计独立性包括组织上的独立性、业务上的独立性和经费上的独立性(形式上的独立与实质的独立)。
5.本题无标准答案,可以从企业价值分析入手,从价值链模型审计增值模型。
第二章内部审计程序本章练习题1.B2.C3.D4.B5.D6.B7.A8.B9.C 10.B 11.B 12.D 13.A 14.B 15.C 16.C 17.D第三章内部审计机构与内部审计人员本章练习题1.A 2.D 3. A 4. D 5.B 6. C 7. D 8.A 9.C 10.A 11.A 12.D本章思考题1.为完善风险管理、内部控制服务,促进组织科学有效的战略管理,监控组织的高管层。
2.监督指导内部审计、聘请外部审计、向董事会报告内部审计情况。
3.知识、技能和经验。
4.可以从内部审计的职能、权限、业务范围、职业道德、胜任能力、机构设置等方面设计。
第四章经营活动审计本章练习题一、单选题1.D2.C3.A4.C5.D6.B7.B8.A9.D 10.B 11.A 12.B 13.A 14.D 15.A二、多选题1.ABCD2. ABCD3. ABCD4. ABC5. ABD本章思考题1.筹资管理活动、投资管理活动、经营管理活动中的财务收支情况、企业分配引起的财务活动。
2.人力资源规划、员工招聘、用人机制、人力资源开发和培训、员工的绩效管理。
信息系统审计方法与操作指引
2019/12/5
5
IT一般控制审计程序
影响变更管理测试性质和范围因素(续)
1.2.2 变更类型 要确定最适当的测试方法,了解和记录用于变更管理过程,包括 针对以下变更类型和IT环境技术组成要素过程:
► 程序开发/采购 — 开发和实施新应用程序或界面。 ► 程序变更 — 对现有应用程序和界面进行的变更。 ► 系统软件维护 — 对数据库、操作系统和其他系统软件进
风险控制矩阵是 对风险所导致负 面影响的量化, 从严重性、发生 概率和所涉及范 围等方面进行描 述,使得对风险 的刻画更为有效 和清晰。
识别出关键系统 的系统配置,包 括系统描述、应 用系统来源、计 算机平台、操作 系统、数据库名 称和版本等有关 系统的信息。
测试模板
根据对信息系统 的初步了解,设 计出相应的测试 模板,包括风险 点、控制点、测 试范围、测试时 间、测试步骤等 信息
IT一般控制是指为保证在一段时期内应用控制持续有效性,而在系统变更 和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据 集都有效,所以被称为“IT一般控制”。
IT一般控制分类
变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权、 测试和批准的变更。
逻辑访问:只有经过授权的人员,才可以访问数据和应用程序(包括程序、 表和相关资源),并且他们只能执行明确授权的功能(例如:询问、执行 和更新)。
制要求修改密码。
2019/12/5
13
IT一般控制审计程序方法论
了解IT流程方法
为了解IT流程,参与评估人员需要在内控文档中对如下内容进行关注: 5个W(WHO, WHEN, WHAT,WHERE, WHY )与1个H( HOW )
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统的一般控制和应用控制分析
【摘要】文章在借鉴国内外学者观点的基础上,从信息系统生命周期和信息处理流程的角度,提出了对信息系统一般控制和应用控制的概念、重要风险以及关键控制活动的认识和应采取的措施。
【关键词】内部控制; 信息系统; 一般控制; 应用控制
一、信息系统的一般控制
(一)概念定义
对于信息系统的一般控制,存在着不同的理解。
国内有学者认为:信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制,其基本目标为保证数据安全、保护计算机应用程序、防止系统被非法侵入、保证在意外中断情况下的继续运行等。
有效的一般控制是保证应用控制有效的一个重要因素,它提供应用系统运行和应用控制实施的环境。
如果一般控制薄弱,将会严重地削弱相关的具体应用控制的可靠性。
《日本内部控制评价与审计准则》在基本沿袭COSO报告框架的同时,结合日本实际情况,在COSO报告三个目标和五项基本要素的基础上各增加一项,规定为四个目标和六项基本要素。
其第六项基本要素为“信息技术的应对”,并把对信息技术的控制活动分为信息技术相关的全面控制和业务处理控制。
《日本内部控制评价与审计准则》认为:信息技术相关的全面控制,意味着为保证业务处理控制有效运行的环境而进行的控制活动,通常是指与多项业务处理控制相关的政策和手续。
信息技术相关的全面控制,通常是以支持业务管理系统的信息技术基础(硬件、软件、网络等)作为单位构建的。
综合借鉴国内外学者的意见,笔者认为:信息系统的一般控制是指为保证各信息系统有效执行业务处理控制而对信息系统开发和应用环境进行的控制活动。
包括职责分工与授权审批,信息系统开发、运行维护与变更控制,信息安全、硬件管理等,它作用于所有的信息系统。
(二)重要风险
在分析信息系统一般控制面临的风险时,可以从信息系统生命周期的角度分析信息系统开发和应用环境需要关注的重要风险。
信息系统的生命周期大致可分为战略规划、计划、设计和开发、运行维护几个阶段,企业应该在对各阶段面临的风险进行风险评估的基础上,建立关键的信息系统和数据清单,确定其所有人和负责人,对其实施信息系统一般控制。
战略规划和计划阶段对应于COBIT框架中的策划和组织过程域;设计和开发
阶段对应于COBIT框架中的获取与实施过程域;运行维护阶段对应于COBIT框架中的交付与支持过程域。
COBIT框架中的监控与评价过程域所关注的风险和控制活动,贯穿于信息系统的生命周期。
在战略规划阶段,重要风险是由于缺乏信息战略规划或战略规划不当,导致信息战略规划与业务战略规划不匹配,容易出现信息系统重复建设、信息孤岛等问题,信息系统不能经济有效地支撑业务发展,影响企业目标的实现。
在计划阶段,重要风险是缺乏具体计划或者计划不合理,导致信息战略规划不能有效落实。
在设计和开发阶段,重要风险是没有有效实现业务处理和业务控制要求,出现汇总、排序、应计、待摊等计算错误,程序算法不够优化、系统响应时间和吞吐量达不到要求,处理环节间的钩稽验证机制缺失等问题,导致信息系统不能有效支持业务开展,不能有效预防和发现错误和舞弊。
在运行和维护阶段,重要风险包括信息安全风险、信息系统服务质量风险、信息系统的可持续性风险。
信息安全风险主要是由于身份管理、用户账号管理、密钥管理、恶意软件的检测和纠正、网络传输安全、数据存储安全等方面缺乏有效控制而导致信息的真实完整、安全保密无法有效保证,恶意用户非法操作和舞弊;信息系统服务质量风险主要是由于系统性能、容量不能适应业务发展,或者用户培训不够,导致IT服务交付的质量级别不符合业务需要;信息系统的可持续性风险主要由于缺乏容灾和应急措施而导致信息系统的持续运行能力缺乏保障。
(三)关键控制活动
1.不相容职责定义
在定义不相容职责时,从信息系统生命周期的角度,不仅要考虑不同阶段之间的不相容职责,也要考虑同一阶段内的不同职责。
主要有以下不相容职责。
系统开发与验收测试是不相容职责。
系统开发主要是IT服务部门的工作职责;而验收测试则是检验系统是否满足用户需求的测试,要验证用户需求是否得到满足,就只能由用户部门执行测试。
系统开发与验收测试不相容,体现了IT服务部门和业务部门的职责分离。
数据管理和应用程序管理是不相容职责。
数据管理不局限于数据库管理,也包括excel文件之类的文档管理。
应用程序管理不局限于源代码和开发文档管理,也包括可执行程序版本的管理。
应用程序和数据是信息系统的核心,为保证数据的完整性和一致性,用户应尽量避免直接访问后台数据,而应通过应用程序提供的功能读写其访问权限内的数据。
如果同一岗位既能通过修改代码或者替换运行程序版本等方式调整应用程序运行,也能直接控制后台数据,就很容易在信息系统中舞弊而不被察觉。
系统管理职责和业务操作是不相容职责。
系统管理职责关注的是信息系统的性能调优、安全防护、运行监控等技术方面的工作,而业务操作职责关注的是利用信息系统的功能完成业务处理、辅助决策。
如果系统管理职责和业务操作职责合二为一,就可能发生系统管理员赋予自己极高的业务操作权限,发生不经业务管理者实际授权批准就自行执行非法业务操作、消除操作痕迹等舞弊行为。
开发职责和业务操作是不相容职责。
系统开发者熟悉系统内部细节,如果允许系统开发者操作信息系统处理业务,就可能发生系统开发者利用预设于系统中的后门执行非法业务操作的舞弊行为。
2.授权管理
为了实现有效的信息系统控制,需要建立并执行必要的组织机构、授权管理制度。
企业可以指定专门部门或岗位(以下统称归口部门)对信息系统实施归口管理,负责信息系统开发、运行维护和变更等工作。
用户部门应当根据本部门职能定位参与信息系统建设。
3.系统开发和应用过程控制
(1)信息系统开发阶段
信息系统开发阶段最大的风险就是没有规范、可行的开发流程管理制度,导致信息系统开发成本、质量、时间进度失控,因此有必要制定并不断修订完善开发流程管理制度。
虽然信息系统的开发方式有自行开发、外购调试、外包开发等多种方式,但基本流程都包含需求分析、设计、编程、测试、上线、评价与维护等环节。
在需求分析环节,重要风险是需求本身是否合理、需求文档表述是否准确、完整。
需求本身是否合理,是指对信息系统提出的功能、性能、安全性等方面的要求能否满足业务处理和控制的需要,技术上是否可行,经济上是否有益,法律规章方面是否合法合规。
用户部门应当对信息系统的功能、性能、安全性等提出明确需求,形成规范文档,建立并执行有效的需求评审制度。
在设计环节,重要风险是设计方案不能满足用户对系统的功能和性能需求。
因此,系统设计方应当就总体设计方案与用户部门进行沟通和讨论,说明方案对用户需求的响应情况。
如果存在多种设计方案,应当详细说明各方案在成本、建设时间和用户需求响应上的差异。
归口部门和用户部门应当对选定的设计方案予以书面确认。
在编程和测试环节,重要风险是编程与设计不符。
为了控制这方面的风险,需要加强测试工作。
信息系统上线前应当进行系统测试和用户验收测试,测试方应对测试结果予以书面确认。
在系统上线环节,重要风险是没有完整可行的上线计划导致人员培训不足、数据准备不合格,系统上线混乱无序,质量和进度无法保证。
因此,企业应当制定信息系统上线计划,并经归口部门和用户部门审核。
企业应当制定培训计划,对企业高管、业务操作人员、系统管理人员等进行培训。
如果信息系统上线涉及数据迁移,企业应当制定详细的数据迁移计划,并对迁移结果进行测试。
用户部门应当参与数据迁移过程,对迁移前、后的数据予以书面确认。