信息系统内部控制综述.docx

1、信息系统内部控制综述南京审计学院国际审计学院课 程 论 文题目: 信息系统内部控制概述 姓名: 周广超 学号： MZ1301065 专业： 审计硕士 班级： 13级审计硕士班 2013年 12 月 23 日信息系统内部控制概述摘要：现代企业的运营越来越依赖信息系统,它正改变着企业经营管理的方式，企业在加强常规内部控制的同时，也不得不十分关注信息系统内部控制的建设。如何更好的利用信息系统来提升公司的经营管理水平，抢占未来信息化竞争环境下的优势先机，并且合理的防范信息系统给企业内部带来的新风险，已成为一个广泛关注的话题。关键词:信息系统；内部控制;IT治理一、信息系统概述信息系统是由计算机硬件、网

2、络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息为目的的人机一体系统。细心系统具有输入、输出、存储、处理和控制的功能。与其他系统不同，信息系统不从事某一具体的实物性工作，而是关系全局协调一致的总括。从信息系统的发展和系统特点来看,包括众多类型：数据处理系统、管理信息系统、决策支持系统、专家系统、虚拟办公室等。如今的信息系统已不仅仅是一个技术系统，更是一个社会系统，影响着经济社会的方方面面。二、信息系统风险信息系统存在脆弱性风险,这指信息系统特性中固有的弱点，对整个系统而言，其弱点是由系统各个要素的弱点的集中和再统一.首先，技术方面的脆弱性通常与数据的高速处理、数据的不可见

3、性、信息集中等有关。随着信息技术的发展，现今的信息系统所处理的数据量越来越大，因此系统对数据处理速度的要求也越来越高.在这种情况下很难对数据处理的正确性进行逐一跟踪确认；榆次同时,由于数据量庞大，一旦数据处理出现差错，要在短时间内找到问题也需要话费大量的人力与时间.数据的不可见性导致低数据的修改在很多情况下也是不可见的。除此之外，信息集中的结果使得大量数据都集中在信息中心,若信息中心被破坏，受到的损失必将是十分巨大的，这些都给信息系统带来的巨大的威胁。其次，从管理方面来看，脆弱性主要表现在内部控制制度的缺乏和不健全，监督功能不完善，从而引发信息系统的各种威胁。而且，目前大多数人的关注重点仍然停

4、留在具体的实务处理上,而忽略了信息系统工具本身可能寻在的问题和风险,顾此失彼,信息系统的安全性存在极大隐患。三、信息系统内部控制的重要性目前,信息系统已从纯粹的财务系统整合经企业的经营系统中。信息系统帮助企业控制业务流程、跟踪和记录在实时基础上进行的交易，通常还包括整合性的、在复杂环境中的系列经营行为。信息系统不仅要获取决策所需要的信息来影响控制，还被用来执行企业的战略决策。因此,信息系统中的信息必须是准确的、及时的、适当的和通畅的，以满足管理决策的需要，并通过这些信息实施有效的控制。信息系统形成的信息质量依赖于控制活动的有效实施。因为及时适当获得可靠的信息是影响和控制信息系统的关键,因此信息

5、系统自身也是内部控制的组成部分，并且也要被控制,而且这一控制还特别重要,在信息化企业中具有十分重大的意义。特别是随着互联网技术和信息技术的高速持续发展，信息系统变得越来越复杂化、大型化、多样化和网络化，企业的物流、信息流、资金流更加依赖于信息系统.可是信息系统在给人来带来便利的同时，本身也存在着极大风险，因此要特别加强对其的内部控制。四、信息系统内部控制典型模型COBIT模型COBIT是由美国信息系统审计与控制协会(ISACA）在1996年公布的，目前已经更新至第五版，是国际上公认的最权威、最先进的安全与信息技术管理和控制标准。COBIT是信息技术治理惯例的集大成者，为衡量、审计和控制信息系统

6、提供了一个普遍适用的控制模型，能够指导企业有效利用信息资源，有效管理与信息相关的风险。COBIT通过信息技术过程管理信息技术资源，以交付满足业务和治理要求的信息，实现控制目标。COBIT包括34个通用的信息技术流程,没一个处理过程都是一系列关联的IT活动或任务.按照信息系统生命周期，将IT过程分为四个领域:策划与组织、获取与实施、交付与支持、监控与评价，这些领域就是规划、实施、运行维护和监控四项传统的职责领域。COBIT在34个通用的IT流程基础上进一步细化发展了318个控制目标。策划与组织主要从战略的高度对企业信息系统进行全面规划，致力于识别IT为实现业务目标作出最佳贡献的途径。在该阶段需要

7、明确信息系统的目标和范围,对IT项目的风险进行评估，从技术、经济和管理等方面对系统规划方案进行可行性研究,做好资源的规划获取与实施阶段涵盖了信息系统分析与设计的部分过程，为实现IT战略，确认、开发、实施IT解决方案并将其整合到业务流程中去.同时该阶段指出了现有系统的变更与维护如何能确保持续满足业务目标。交付与支持阶段主要关注所需服务的实际交付情况，涵盖了业务交付安全和持续性管理用户服务支持数据与操作设施管理等领域，对IT服务的交付质量进行严格控制。监控与评价主要定期评估所有IT流程的质量以及与控制要求的符合程度。该阶段涉及绩效管理、内部控制的监督、合规和治理等内容。COBIT的控制域及处理过程

8、1、规划与组织2、获取与实施3、交付与支持4、监控与评价定义IT战略规划定义IT战略规划，确定自动化的解决方案定义并管理服务水平过程监控定义信息体系结构获取并维护应用程序软件管理第二方的服务评价内部控制的适当性确定技术方向获取并维护技术基础设施管理性能与容量获取定义IT组织与关系程序开发与维护确保服务的连续性提供独立的审计管理IT投资程序安装与鉴定确保系统安全传达管理目标和方向更新管理确定并分配成本人力资源管理教育并培训客户确保与外部需求一致信息技术咨询风险评估配置管理项目管理处理问题和突发事件质量管理数据管理设施管理运营管理COBIT考虑了企业自身的战略规划，对业务环境、业务战略进行分析定位

9、，并将战略规划所产生的目标、政策、行动计划作为信息技术的关键环境，由此确定IT准则.在IT准则指导下，控制和管理信息资源，同时引入审计指南,从而保证IT资源管理的安全性、可靠性和有效性。COBIT的优点如下：（1）COBIT是一个非常有用的工具，而且易于理解和实施，可以帮助在管理层、IT与审计之间搭建桥梁，提供彼此沟通的语言。（2）COBIT提供了一个共同的标准,使得IT处理过程实施者更容易与其他组织的IT处理过程的实施者,以及提供各种不同IT服务的个人或厂商彼此相互沟通。（3）通过实施COBIT，增加了管理层对控制的感知和支持.（4）COBIT使信息系统内部控制的工作简化，减轻对复杂信息系统

10、内部控制的工作的难度，并且可以应用在每天都发生的各种新问题中.（5）为IT处理过程的实施者提供一个完整的理论指导，使他们可以对IT处理过程中的相关活动实施管理和控制，满足企业对信息系统的安全、可靠与有效的需求,为企业达成其目标提供合理保障.（6）COBIT提供了一个国际通用的信息系统内部控制方案，普遍使用于各种不同的业务项目和审计，并且它既包括了现在的情况，也提供了未来可能会使用的指导方案。（7）COBIT模型可以帮助决定过程责任,提高信息系统内部控制的水平.由此可以看出,COBIT模型实现了企业战略与IT战略的互动，并形成持续改进的良性循环机制，为企业提供具有一定参考价值的解决方，同时对推动

11、我国信息技术的发展和应用具有十分重要的现实意义。五、IT治理随着对信息系统依赖性的增加,IT治理对于组织的成功是至关重要的.IT治理是指导与控制IT应用的体系，对于组织信息技术价值的实现和风险控制有重要意义，是应用信息系统内部控制的前提。（1）IT治理是公司治理的重要组成部分。IT治理是IT决策的权责利安排，它从企业整体利益出发构建IT系统,力求实现业务与信息的集成，可使公司经营活动过程变得更加透明，还可提高公司信息质量披露，减少利益相关者之间的信息不对称问题，起到了驱动和支撑公司治理的作用。（2）IT治理是提高内部控制的有效手段。信息系统是管理者编制财务报告和披露相关信息的工具，基于权利制约

12、和岗位分工的内部控制发展成为以信息流为基础的IT内部控.IT治理将合理的制度安排、控制程序嵌入到IT系统中，使得IT系统具备内在的控制机制,减少了信息生成过程中的错误与舞弊行为。（3）IT治理是控制经营成本，提高企业价值的驱动力。企业在IT系统方面的投资比重越来越大,巨额IT系统运营成本和维护费用也成为企业管理层必须考虑的因素。IT管理是公司的信息及信息系统的运营，确定IT目标以及实现此目标所采取的行动；而IT治理是指最高管理层利用它来监督管理层在IT战略上的过程、结构和联系,以确保这种运营处于正确的轨道之上。IT治理规定了整个企业IT运作的基本框架，因此，要想有一个具体、有效的信息系统内部控

13、制，就必须有一个统一、科学的IT治理框架来确定原则、指明方向。目前IT治理理论研究发现的IT治理机制主要有治理结构、治理流程与关系沟通机制，如下图所示：典型IT治理机制治理结构治理流程关系沟通机制IT治理委员会IT架构委员会IT战略委员会IT指导委员会IT部门项目指导委员会IT投资建议与评估流程架构例外流程IT平衡积分卡战略信息系统规划COBIT与ITIL服务水平协议IT治理成熟度建立广泛的决策相关者参与机制建立业务部门与IT部门合作伙伴关系激励机制有效的冲突解决机制跨部门的业务与IT培训、岗位轮换机制高层管理者公告正式委员会会议IT治理一般包括良好的IT机构、科学的IT战略规划和IT外包治理

14、制度.（一)IT机构由于组织业务和规模的不同,组织间IT部门结构和职责会有不同结构，下图描述了比较常见的一种IT机构结构图：(二）IT战略规划IT战略规划是关于组织信息化建设的长远发展计划，是企业战略规划的一个重要部分。IT战略规划通常包括如下内容：（1）组织的战略目标、政策和约束、计划和指标的分析；（2）信息化建设的目标、约束以及计划指标的分析；（3）各应用系统的功能、信息系统的组织、人员、管理和运行等；（4）信息化建设的效益分析和实施计划等。（三）IT外包治理IT外包是允许组织把某些IT服务交付转由第三方提供的机制.IT外包虽然将服务交付转移，但其责任仍属于组织内部管理层。IT外包治理是一

15、系列责任角色、流程和控制机制,用来管理第三方服务的引入、维护、绩效和成本控制。节省成本和使用先进经验提高质量是IT外包的主要动力.通常外包出去的IT服务有应用程序管理、基础设施管理、数据中心管理等。六、信息系统内部控制内容信息系统是一个复杂、庞大的广泛集合,因此，信息系统的内部控制也要顾及到整个系统的方方面面，包括硬件、软件、人和管理制度等.本文将信息系统的具体内部控制统分为一般控制和应用控制两个主要的大方面.（一）一般控制信息系统一般控制是应用于一个单位信息系统全部或较大范围的内部控制具体措施的集合，其基本目标是保证数据安全，保护计算机的应用系统，防止系统被非法入侵，保证在意外中断情况下继续

16、运行等，有效的一般控制是保证应用控制有效的一个重要因素，它提供应用系统运行和应用控制实施的环境。1、管理控制信息系统的管理控制一般包括制定合理的信息安全方针与策略、风险评估、控制目标与方式选择、制定规范的操作流程、对员工进行安全意识培训等一系列工作，通过在安全方针策略、组织安全、资产分类与控制、人员安全、物理与环境安全、通信与运营安全、访问控制、系统开发与维护、业务持续性管理、符合法律法规要求等领域内建立管理控制措施，来保证组织信息资产的安全与业务的连续性.信息系统的管理控制的主要目标是实现职责分离和人员管理。首先要制定一套科学、合理、有效的信息系统的安全政策、标准和指南，这些制度层面的文件对

17、于维护企业的信息系统的安全、正常运转以及约束操作人员的不合规行为具有十分重要的意义。信息系统安全政策、标准和指南都是对企业信息系统的指导性规定，只不过是对具体操作的说明的详细程度不同罢了，现以信息系统安全政策为例卓明应有的内部控制措施。信息系统安全政策一般要包括目标和责任、系统采购与开发、访问终端、设备与信息安全、服务部门方案等全面的覆盖。由于安全政策一般需要由董事会批准,而董事会又不能随时开会予以表决,因此在制定信息系统安全政策时不应该过于详细，以防止安全政策需要经常变更而带来的不稳定.比如，该政策不应指明具体的控制手段，如密码所需最小字符数和取消一个用户密码之前可以尝试的最大失败登陆次数，

18、否则，高级管理人员可能需要经常向董事会提交政策表更请求，这些具体的信息系统控制徐晓秋包括在标准或指南中即可。其次，信息系统安全控制要实现职责分离和人员的管理。信息系统中的职责分离主要包括系统的开发职务与操作职务、系统的输入职务和审核职务以及系统操作职务和文档管理职务之间的职责分离。信息系统人员管理的控制对象是人员及其工作的整个过程，包括人员的招聘、工作的分配、培训、离岗和离职等.2、系统基础设施控制系统举出设施是指保障信息系统工作所必需的设施与条件，信息系统的一般控制要针对系统基础设施，设计必要的控制措施,以保障信息系统安全、可靠地运行.系统基础设施控制重点是信息系统环境以及信息系统软硬件的采

19、购、配置、运行与管理.(1）信息系统环境控制环境风险无处不在，既可能来源于自然灾害,比如地震、台风等，也可能来源于电力故障、设备故障等。其中对信息系统映像最大的就是计算机和支持系统的电力故障,因此,要对信息系统环境的安全性建立控制，加强保障。为了有效控制信息处理设施的环境风险,对于信息处理设施的物理位置需要进行认真的考虑，如为了避免水淹的威胁，计算机机房不可设置在地下室。如果在多层建筑物中,研究表明3至6层是最佳的计算机机房位置,可降低水灾、烟雾及火灾的危险。当需要放置计算机设施时，对相邻组织的活动要特别注意,比如应当避免把计算机设施放置在化学工厂、机场附近，以免面临环境风险。针对可能存在的环

20、境风险，通常应安装使用报警控制面板、水灾探测器、自动灭火系统、备用发电机及不间断电源系统等有效的技术手段来防范风险（2）信息系统硬件控制硬件基础设施是信息系统的重要组成部分，是系统运行的重要保障，对于信息系统硬件设施的控制,是保证信息系统安全性的重要措施,对于硬件基础设施的内部控制，主要考虑硬件设施的采购、运行、维护、监控和能力管理等方面。硬件基础设施采购控制硬件基础设施的采购一般以招标书或者请求建议书的形式送达供应商并充分考虑各种因素，进行评标,包括供应商的财务状况、供应商维护的支持能力等。企业应有一套明确的采购流程和标准加控制。硬件基础设施维护与监控信息系统硬件基础设施必须进行日常清洁和保

21、养以保证其正常运行。维护需求随系统复杂性和运行负载的不同而不同。信息系统的维护应该制定维护计划并经过管理层批准，包括系统的日常维护的系统功能的改进及扩充，严格控制维护开销，遵守维护程序.硬件基础设施能力控制能力管理是对计算机资源的计划和监控，其目标是根据总体业务的增长或减少动态地增减资源，以确保可用资源的有效利用。能力计划应包括被以往经验所证实的预测,并同时考虑现有业务的潜在增长和未来业务的扩充,重点应考虑CPU的利用、计算机存储的利用、远程通信和广域网宽带的利用等。（3）系统软件控制计算机系统具有层次性的体系结构，其底层是计算机硬件和固件，上一层则是操作系统，操作系统是系统软件中最重要的部件

22、。对于一个完整的信息系统而言,系统软件还包括数据库管理系统、通信软件、数据管理软件、作业调度软件、程序库管理软件和系统工具软件。这些系统软件为业务系统的正常运行提供系统级的保障。系统软件的获取与实施管理层应保证组织内使用的系统软件具有最新的版本，以保证组织的竞争能力。非最新版本的系统软件可能逐渐过时并不再被供应商所支持；可能不具备最新的应用程序所要求的技术特征;同时开放互联系统也使得非最新版本的系统更易于受到安全威胁.管理层应制定短期和长期的计划，以便及时将操作系统及相关的系统软件迁移到更新、更有效率和效益的版本上.系统软件的获取也需要相应的招标和评价过程。系统软件的实施需要制定组织内使用的标

23、准配置，包括功能特征、配置选项和控制方法。系统软件的变更控制系统软件的实施涉及大量的变更，变更控制程序用来保证变更已经得到授权，管理层和相关人员清楚并参与到系统软件的变更过程中，确保变更不会破坏现有处理流程。变更控制程序应保证变更对生产系统的影响已经得到适当的评估，在系统软件安装失败时这一评估尤为重要。变更控制程序还应通知所有可能受变更影响的相关人员，并保证这些人员已经对变更在各自领域可能产生的影响做了适当的评估。在将变更后续系统投入实际运行前，应确保所有测试结果已进行记录、审查并得到相关领域专家的认可。系统软件的版权与许可对于应用信息系统进行日常业务处理的组织来说，盗版软件会损害组织利益,导

24、致感染计算机病毒、木马，造成业务损失的不可忽视的因素,而且大量盗版软件也使组织面临诉讼风险。为预防或检测对软件版权的侵犯,管理层或审计部门需要制定相应的政策与管理手段，保证组织为其信息系统部门建立了标准的计算机桌面环境和软件许可策略.防止在同一网络中的多台计算机上非法复制软件的一个控制是和软件服务商签署站点许可协议，其基于访问网络的用户数目，而不是针对特定的用户或机器。在考虑成本效益的情况下，为了限制许可成本，企业还可以选择并发许可协议.并发许可协议允许一定数目的用户同时访问网络中的软件,还可以帮助网络管理员确定软件的使用率,可以判断是否购买更多的许可。操纵系统软件控制参数许多系统软件产品，尤

25、其是操作系统提供参数和选项,用于系统裁剪和特征激活。参数的重要性在于它决定了系统的设置和行为特征，从而可以使一个标准的系统软件适合各种不同的环境.对操作系统的不适当的实施和参数设置会导致隐藏的错误和数据毁坏，以及非授权的访问和不准确的日志等。操作系统完整性依赖于管理层对授权技术的使用，管理层应防止非授权用户获取执行特权指令的能力并进而控制整个系统。在评估操作系统完整性时，应检查系统控制选项及保存在系统目录中的参数.计算机病毒控制有效的病毒防范方法一是要建立规范严谨的管理策略与程序,而是要采取一定的技术方法，如防病毒软件，来检测和预防计算机病毒.检测病毒的方法有两种,一种是检查计算机是否已感染病

26、毒；另一种是用于监测异常指令的执行,可疑指令只有在得到用户确认后才能被执行。防范病毒的技术手段包括硬件和软件两种，如使用启动型病毒保护可以保护计算机再重新启动后恢复到一个安全的状态;对于联网的工作站可以采用无盘方式的远程启动；对计算机等设备采用基于硬件的口令也是阻断病毒入侵的路径之一;而采用有写保护的软盘可以防止病毒通过软盘传播；对于计算机网络可以利用防火墙阻止不安全的协议进入.3、系统访问控制系统访问就是利用计算机资源达到一定目的的能力，对计算机化的信息资源的访问可以基于逻辑方式,也可以基于物理方式。用户访问能力一般是由安全管理员按照一系列既定规则来实施的,这些规则定义了用户以什么样的级别访

27、问资源。安全管理员一旦受到信息所有者或管理人员递交上来的授权请求表后,通过调用适当的系统访问控制机制，授权特定用户可以访问和使用受保护的资源.应当对访问授权进行阶段性的审核，以保证授权规则在组织中一直是有效的。（1）逻辑访问控制逻辑访问控制是组织要采取的主要控制措施之一,通过逻辑访问控制把安全风险降到组织可接受的范围内。不充分的逻辑访问控制增加了暴露风险带来的潜在损失，这些暴露风险包括技术性暴露风险和计算机犯罪，它们都可以有意或者无意地利用逻辑访问控制的漏洞，对信息系统造成损害。 逻辑访问路径进入系统的逻辑访问可以通过不同路径，每种途径均应有适当的访问安全级别。进入组织前端或后端系统的常规进入

28、点与组织的网络与通信基础设施相关，通过对系统进入点的管理可以控制对信息资源的访问。网络连接访问模式下，要求通过域控制服务器进行用户身份的识别与验证；对一些特殊的应用系统或数据的访问可能需要在一个特定的服务器上进行用户身份的识别与验证。远程访问模式下的安全控制一般通过确认远程用户的个人账号和密码来实现。 身份识别与验证逻辑访问控制中的身份识别与验证是一种提供用户身份证明的过程,在这个过程中，用户向系统提交有效额身份证明，系统验证这个身份证明后向用户授予访问系统的权力。身份识别与验证是实现计算机安全的重要基础，它是绝大数类型的访问控制为建立用户责任的可确认性而采取的方法。身份识别与验证可以采用账号

29、与口令、令牌设备、生物测定技术与行为测定技术或是它们的结合使用.管理层要制定安全的备份方法，并建立控制措施，以保护样本数据和模板在传输过程中免受非法修改。 逻辑访问授权逻辑访问控制在正确识别用户身份后,要通过授权过程赋予用户对系统逻辑访问的能力，决定什么人能访问什么资源,并把授权内容正式记录在案，以便于在系统中执行及日后的检查审核。一般情况下，逻辑访问控制基于最小授权原则，只对因工作需要访问信息系统的人员进行必要的授权。计算机访问有多种级别控制，在逻辑访问授权时，应清楚用户在某一级别的访问能做什么,不能做什么。用户在组织变换工作角色或是离职时，应及时地更新授权。（2）物理访问控制系统用户或者相

30、关人员出入系统的关键区域，需要采用适当的物理访问控制，物理访问的风险可能引起组织的财务损失、法律诉讼、信誉受损或丧失竞争优势.物理访问风险原因可能来自对安全规定有意或无意的违反，这些风险包括XX进入信息处理场所，毁损、破坏或窃取设备、财产或文件，复制或偷看敏感的或有著作权的信息等等。信息系统的相关处理场所和实施都要纳入物理访问控制范围。另外，在整个组织范围内、组织办公场所边界处、外部机构、租赁出租场所等所有可能出现物理访问风险的地方，都要建立有效的控制措施。通用的物理访问控制包括门锁或是组合门锁、摄像监控、出入陪同、访问日志登记、自动报警系统等。组织需要针对不同的物理访问控制区域，选择合适的安

31、保措施，利用有效的物理访问控制技术,保障物理访问的安全。4、灾难恢复控制信息系统的灾难恢复是组织中总的业务持续计划和灾难恢复计划的重要组成部分。业务持续计划应该综合考虑关键信息系统处理设施和终端用户的业务功能两方面的内容。为满足短期的恢复需要，应当建立可替换的处理设施来满足应急运行的需要;如果为长期策略做打算，应当为灾难恢复建立永久性的信息处理场所与设施，使其能为组织长期提供连续性的信息处理服务。灾难恢复计划应当涉及业务流程中断后的所有相关问题，计划应当简洁并正式成文，便于所有人理解，并在异地备份场所存放一份计划的备份。在确定了灾难恢复计划后,灾难恢复计划的负责人必须组建合适的团队来实施恢复策略，并确定与各个团队相关的关键决策者、信息部门和终端用户的相关职责。对有关重要软件都应该按照当前的使用状态进行异地备份,重要的纸质文档也要进行异地备份。对数据与文件的备份应当周期性的进行,备份的时间周期要根据应用软件与系统软件的不同而有所差异.加强对异地备份库的控制,对异地信息处理设施的安全控制措施应当像组织内部的信息系统处理设施一样对待，提供足够的物理访问控制并进行环境控制与监测.（二)应用控制应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。应用控制涉及各种类型