人民银行计算机信息系统内部控制的审计评价
来源: 《金融时报》·杨达然
2003-06-17
普通
根据计算机信息系统内部控制的内容,对其内部控制的审计评价指标通常分为一般性指标和具体指标。
(一)计算机信息系统内部控制审计评价的一般性指标
计算机信息系统内部控制审计评价的一般性指标,指为保证信息系统安全运行所制定的内部控制制度应遵循的原则和达到的目标,包括:信息系统内部控制的完整性、合理性及有效性。
1、计算机信息系统内部控制的完整性计算机信息系统内部控制的完整性包含两个方面:一是指信息系统的使用部门根据系统安全运行的需要,应建立的有关内部控制制度的健全和完善;二是指对信息系统所涉及的中央银行业务活动的全过程进行自始至终的控制。
根据以上两个方面的内容,在对计算机信息系统内部控制的完整性进行审计评价时,首先对建立与系统相关的内部控制制度的健全和完善进行评价,即是否能够充分保证系统的安全运行,是否能够对系统功能上的不足之处进行有效的弥补,以保证系统涉及的业务活动的安全性;其次是建立的有关内部控制制度是否能够贯穿于信息系统所涉及的业务活动的全过程。
2、计算机信息系统内部控制的合理性计算机信息系统内部控制的合理性是指为保证系统安全运行而建立的有关内部控制制度的可操作性和适用性。
在对计算机信息系统内部控制的合理性进行审计评价时,要在其完整性的基础上,充分考虑其适用性。从各项内控制度适用性的角度出发,评价其对使用部门的操作人员、运行环境等方面的要求是否具有可操作性和适用性。
3、计算机信息系统内部控制的有效性内部控制的有效性是指其在系统运行时所涉及的中央银行业务活动中,能否得到贯彻执行并发挥作用,实现其为保证中央银行资金安全,为社会提供高效的金融服务的目标。
在对计算机信息系统内部控制的有效性进行评价时,主要是对内部控制在系统运行过程中能否有效地防止各类案件和错误的发生进行评价。
以上三个指标属于审计评价计算机信息系统内部控制的一般性指标,完整性是合理性和有效性的基础,合理性是对内部控制更深一层次的要求,有效性是内部控制的精髓,如果一种内部控制不能实现“有效控制”,则实质上就不存在什么内部控制了。
(二)计算机信息系统内部控制审计评价的具体指标
计算机信息系统内部控制审计评价的具体指标是指对信息系统内部控制相关内容方面的审计评价指标,是对信息系统内部控制相关内容的具体评价,包括以下几个方面:
1、对组织与管理控制的评价:包括两层涵义:一方面是对与信息系统相关的内部管理制度、组织机构的健全和完善及其适用性做出审计评价,即是否制定了较完善的工作制度、岗位职责,是否建立并落实岗位责任制和风险防范责任制,是否建立了内部监督机制和考核机制等;另一方面是对系统操作人员控制的审计评价:一是对管理人员控制的评价。一般情况下,信息系统中高级别操作员在系统的使用部门具有一定的职位,如《中央银行会计核算系统》(以下简称《核算系统》)中四级别操作员即会计主管通常情况下由会计营业部门负责人担任。因此,在对信息系统管理人员的控制进行审计评价时,关键要评价其在系统的内部控制中,是否存在对管理人员的控制随其地位的升高而减弱的现象;二是对一般人员风险防范控制的审计评价,即系统的岗位设置和人员分工是否科学合理,岗位设置是否齐全,不相容岗位是否做到了完全分离,是否能够达到相互牵制、互相制约、防止风险发生的目的。
2、对系统用户及操作员权限控制的评价:即对按照系统的规定设置的各个用户及口令、操作员代码及口令的管理情况做出审计评价。即是否按规定设置系统用户及口令,是否按操作员所管辖的业务范围设置操作员级别等。如《核算系统》中,是否按规定设置开机口令和“KJZW”用户口令,是否按照岗位职责和处理权限设置操作员级别,各级别操作员是否按规定设置代码及口令,口令管理是否符合规定等。
3、对系统维护控制的评价:即对科技人员是否按规定对系统的软、硬件进行的安装、补丁、升级和备份、系统的应急处理方案是否详细可行等方面做出审计评价。
4、对系统运行环境控制的评价:一是对系统的供电系统是否符合要求、系统运行场所的防火报警系统、防雷电系统、防电磁干扰系统是否有效做出评价;二是对系统的软、硬件环境是否符合系统的要求做出评价;三是对系统的病毒防范措施是否具体有效做出评价;四是对系统网络的数据保密、访问控制、身份识别、数据传输等安全性指标设置是否合理做出评价。
5、对系统输入控制的评价:即对输入系统的数据在输入系统前是否进行了认真的审核,数据的传递方式、采取的审核措施是否有效,是否能够保证数据的准确无误,数据的输入是否实时输入、换人复核等做出评价。
6、对系统输出控制的评价:即对是否按系统的要求及时完成系统结果的输出,对系统输出结果的准确性、可靠性是否采取了有效的措施,系统数据输出的操作权限、输出日志及输出份数是否符合规定等做出评价。
7、对系统数据存储控制的评价:即对系统的数据是否按规定进行备份、对储存数据的各种存储介质是否做好必要的标识、并定期复制、异地存放等做出评价。
8、对风险导向型控制的评价,即在对系统所固有的风险和系统内部控制机制进行评价和分析的基础上,对信息系统的高风险点和薄弱环节是否进行重点检查和控制等做出评价。
计算机信息系统内部控制审计评价的具体指标对于不同的信息系统各有其自身的特点,因此在对计算机信息系统的内部控制进行审计评价时,在此基础上,可根据不同的计算机信息系统本身的特点,制定出具体的内部控制审计评价指标,以对信息系统的内部控制做出客观的审计评价。
(一)计算机信息系统内部控制审计评价的一般性指标
计算机信息系统内部控制审计评价的一般性指标,指为保证信息系统安全运行所制定的内部控制制度应遵循的原则和达到的目标,包括:信息系统内部控制的完整性、合理性及有效性。
1、计算机信息系统内部控制的完整性计算机信息系统内部控制的完整性包含两个方面:一是指信息系统的使用部门根据系统安全运行的需要,应建立的有关内部控制制度的健全和完善;二是指对信息系统所涉及的中央银行业务活动的全过程进行自始至终的控制。
根据以上两个方面的内容,在对计算机信息系统内部控制的完整性进行审计评价时,首先对建立与系统相关的内部控制制度的健全和完善进行评价,即是否能够充分保证系统的安全运行,是否能够对系统功能上的不足之处进行有效的弥补,以保证系统涉及的业务活动的安全性;其次是建立的有关内部控制制度是否能够贯穿于信息系统所涉及的业务活动的全过程。
2、计算机信息系统内部控制的合理性计算机信息系统内部控制的合理性是指为保证系统安全运行而建立的有关内部控制制度的可操作性和适用性。
在对计算机信息系统内部控制的合理性进行审计评价时,要在其完整性的基础上,充分考虑其适用性。从各项内控制度适用性的角度出发,评价其对使用部门的操作人员、运行环境等方面的要求是否具有可操作性和适用性。
3、计算机信息系统内部控制的有效性内部控制的有效性是指其在系统运行时所涉及的中央银行业务活动中,能否得到贯彻执行并发挥作用,实现其为保证中央银行资金安全,为社会提供高效的金融服务的目标。
在对计算机信息系统内部控制的有效性进行评价时,主要是对内部控制在系统运行过程中能否有效地防止各类案件和错误的发生进行评价。
以上三个指标属于审计评价计算机信息系统内部控制的一般性指标,完整性是合理性和有效性的基础,合理性是对内部控制更深一层次的要求,有效性是内部控制的精髓,如果一种内部控制不能实现“有效控制”,则实质上就不存在什么内部控制了。
(二)计算机信息系统内部控制审计评价的具体指标
计算机信息系统内部控制审计评价的具体指标是指对信息系统内部控制相关内容方面的审计评价指标,是对信息系统内部控制相关内容的具体评价,包括以下几个方面:
1、对组织与管理控制的评价:包括两层涵义:一方面是对与信息系统相关的内部管理制度、组织机构的健全和完善及其适用性做出审计评价,即是否制定了较完善的工作制度、岗位职责,是否建立并落实岗位责任制和风险防范责任制,是否建立了内部监督机制和考核机制等;另一方面是对系统操作人员控制的审计评价:一是对管理人员控制的评价。一般情况下,信息系统中高级别操作员在系统的使用部门具有一定的职位,如《中央银行会计核算系统》(以下简称《核算系统》)中四级别操作员即会计主管通常情况下由会计营业部门负责人担任。因此,在对信息系统管理人员的控制进行审计评价时,关键要评价其在系统的内部控制中,是否存在对管理人员的控制随其地位的升高而减弱的现象;二是对一般人员风险防范控制的审计评价,即系统的岗位设置和人员分工是否科学合理,岗位设置是否齐全,不相容岗位是否做到了完全分离,是否能够达到相互牵制、互相制约、防止风险发生的目的。
2、对系统用户及操作员权限控制的评价:即对按照系统的规定设置的各个用户及口令、操作员代码及口令的管理情况做出审计评价。即是否按规定设置系统用户及口令,是否按操作员所管辖的业务范围设置操作员级别等。如《核算系统》中,是否按规定设置开机口令和“KJZW”用户口令,是否按照岗位职责和处理权限设置操作员级别,各级别操作员是否按规定设置代码及口令,口令管理是否符合规定等。
3、对系统维护控制的评价:即对科技人员是否按规定对系统的软、硬件进行的安装、补丁、升级和备份、系统的应急处理方案是否详细可行等方面做出审计评价。
4、对系统运行环境控制的评价:一是对系统的供电系统是否符合要求、系统运行场所的防火报警系统、防雷电系统、防电磁干扰系统是否有效做出评价;二是对系统的软、硬件环境是否符合系统的要求做出评价;三是对系统的病毒防范措施是否具体有效做出评价;四是对系统网络的数据保密、访问控制、身份识别、数据传输等安全性指标设置是否合理做出评价。
5、对系统输入控制的评价:即对输入系统的数据在输入系统前是否进行了认真的审核,数据的传递方式、采取的审核措施是否有效,是否能够保证数据的准确无误,数据的输入是否实时输入、换人复核等做出评价。
6、对系统输出控制的评价:即对是否按系统的要求及时完成系统结果的输出,对系统输出结果的准确性、可靠性是否采取了有效的措施,系统数据输出的操作权限、输出日志及输出份数是否符合规定等做出评价。
7、对系统数据存储控制的评价:即对系统的数据是否按规定进行备份、对储存数据的各种存储介质是否做好必要的标识、并定期复制、异地存放等做出评价。
8、对风险导向型控制的评价,即在对系统所固有的风险和系统内部控制机制进行评价和分析的基础上,对信息系统的高风险点和薄弱环节是否进行重点检查和控制等做出评价。
计算机信息系统内部控制审计评价的具体指标对于不同的信息系统各有其自身的特点,因此在对计算机信息系统的内部控制进行审计评价时,在此基础上,可根据不同的计算机信息系统本身的特点,制定出具体的内部控制审计评价指标,以对信息系统的内部控制做出客观的审计评价。