1.评审企业信息系统内部控制成熟程度的内容
一般控制适用于较宽范围的风险,这些风险威胁到信息系统环境下所有应用程序的完整性。
应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统等),其风险来源于信息系统中应用系统本身的漏洞,直接威胁到数据的安全、准确。
被审查单位信息系统背景信息评审
被审查单位信息系统的规模。
硬件和网络的技术复杂性。
被审查单位信息系统会计核算和业务系统等应用软件取得的方式。
系统的管理情况。
被审查单位信息系统处理业务流程等。
结论
通过对以上背景信息评审,基本收集了被审查单位信息系统硬件和软件的基本情况,包括计算机系统的内存大小、使用软件的类型、技术的复杂性,使得审查人员能够决定采取何种方法采集、转换、分析数据以及可能遇到的困难,提前采取相应措施,做到不打无准备之仗。
2.对被审查单位信息系统控制环境评审
评审的主要内容包括计算机操作、数据管理、系统维护等控制措施。
是指已投入的应用软件,未经许可,不得擅自修改(包括软件供应商的补丁程序和被审查单位计算机专业人员对软件的修改)。
要测试系统投入使用后,运行中的应用软件是否被修改过?是否有适当的文字记录修改内容及影响?软件的修改是否经过适当的审批?
测试内容有系统管理人员及操作人员是否有明确的管理制度及明确的职责权限;数据库管理人员是否审批和处理经济业务。
系统管理人员和操作人员是否不能接触有关应用程序文件;业务处理职能是否在多人之间分工。
访问控制
措施
访问控制的目标是确保只有被授权的用户才能实现对特定数据和资源的访问。
主要评审系统是否设有操作日志,记录系统操作情况;操作日志能否被删除,和恢复;操作日志如能被删除,有无制定需保留的最低期限;对数据库的访问是否有严格的授权限制;系统管理员、操作人员的口令、密码是否定期更换等。
硬件配置是否能够保证系统安全可靠地运行,使用的应用软件来源是否合法、是否经过有关部门认证;财务系统的计算机是否与外网实现物理隔离;计算机是否有防病毒措施并定期升级病毒库;是否建立了系统备份和系统恢复机制;备份的各种数据是否异地存储。
作用
对信息系统控制环境的评审,主要目的是确定被审查单位信息系统总体控制环境中控制的健全性、合理性和有效性及其存在的风险。
3.对信息系统应用控制的评审