通常,计算机信息系统内部控制可分为一般控制和应用控制。一般控制适用于较宽范围的风险,这些风险系统地威胁到信息系统环境下所有应用程序的完整性。应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统等),其风险来源于信息系统中应用系统本身的漏洞,直接威胁到数据的安全、准确。(一)一般控制的评审包括两个方面: 1.对被审计单位信息系统背景信息评审。内容有:(1)被审计单位信息系统的规模;(2)硬件和网络的技术复杂性;(3)被审计单位信息系统会计核算和业务系统等应用软件取得的方式;(4)系统的管理情况;(5)被审计单位信息系统处理业务流程等。通过对以上背景信息评审,基本收集了被审计单位信息系统硬件和软件的基本情况,包括计算机系统的大小、使用软件的类型、技术复杂性,使得审计人员能够决定采取何种方法采集、转换、分析数据以及可能遇到的困难,提前采取相应措施,做到不打无准备之仗。2.对被审计单位信息系统控制环境评审。评审的主要内容包括计算机操作、数据管理、系统维护等控制措施。具体来说有:(1)软件控制措施。是指已投入的应用软件,未经许可,不得擅自修改(包括软件供应商的补丁程序和被审计单位计算机专业人员对软件的修改)。主要测试系统投入使用后,运行中的应用软件是否被修改过?是否有适当的文字记录修改内容及影响?软件的修改是否经过适当的审批?(2)不相容职能分离控制措施。测试内容有系统管理人员及操作人员是否有明确的管理制度及明确的职责权限?数据库管理人员是否不审批和处理经济业务?系统管理人员和操作人员是否不能接触有关应用程序文件?业务处理职能是否在多人之间分工?(3)访问控制措施。访问控制的目标是确保只有被授权的用户才能实现对特定数据和资源的访问。主要评审系统是否设有操作日志,记录系统操作情况?操作日志能否被删除,且不可恢复?操作日志如能被删除,有无制定需保留的最低期限?对数据库的访问是否有严格的授权限制?系统管理员、操作人员的口令、密码是否定期更换等。
温馨提示:答案为网友推荐,仅供参考