2、信息系统的操作运行方面
一套信息系统的优劣在操作运行过程中可以得到最大程度的体现,只有操作便捷科学、运行稳定可靠的系统,才可能为用户接受,并充分发挥信息系统的优越性。不相容职能相分离的控制制度。不相容职务设置是信息系统设置的基础,在内部控制制度建设处于比较核心和重要的地位。所谓不相容职务是指那些如果由一个人担任,有可能发生舞弊行为和掩盖其错误行为的职务。不相容职务相分离的关键点是内部人员的相互监督和牵制,相同的一项业务经过多个部门或人员的处理,使得单个人或部门的业务必须与其他人或部门的工作相互联系相互沟通,并受其监督和制约,不能由某个人或者某个单位对一项经济业务的全部过程实施操作和管理。其实一项经济业务由多个人员或者部门来完成,虽然可能相应的影响了工作的效率,在特定条件下会在一定程度上影响工作进度,但是那样做的好处不但能在一定程度上避免错误和舞弊的发生,而且还能广泛聚集多方面的意见和建议,保证了这项经济业务在最科学最安全的范围内进行。不相容职务对于解决舞弊的作用是也是受到限制和制约的,内部审计人员在对信息系统内部控制制度的审计过程中要着重对不相容职务的相关制度进行审查,要明确被审查单位存不存在不相容职务方面的内部控制制度,如果有,那么相关控制制度是否健全,各个相关制度是否互相衔接,在制度上是否能最大限度的涵盖整个可能发生错误的环节,更深入的就是要审查相关制度的合理性、经济性、科学性和有效性。
但是我们不得不承认,任何控制制度都是有漏洞和弊端的,内部控制制度的作用是在制度上最低限度的把风险降低,不可能彻底绝对的根除错误避免风险。既然不存在完美的一劳永逸的内部控制制度,作为内部控制制的一方面的不相容职务相分离制度也就不可能完全控制和避免错误和舞弊。不相容职务相分离制度其实就是管理层对人的不信任和担忧,这种不信任和担忧当然不是针对某个人或者某类人,而是基于人的本性,虽然人之初性本善,但是在经济社会强大的形形色色的诱惑下,人性也出现了分化。如果担任职务的人本来就是可以相信的话,那么不相容职务相分离制度的存在对这类人而言是可有可无的和多余的,相反如果担任相关职务的人本性就不值得别人的信任,那么再完善科学有效的内部控制制度都是显得无力和不够的。内部审计人员在对信息系统内部控制制度进行审查时,在明确相关制度存在并且理论上有效时,还要对相关职务的相关人员的性格特点和人格魅力进行了解,避免理论上很科学很完美的内部控制制度在他(们)身上完全失去或者相对失去控制监督作用。
访问授权控制措施。访问授权控制措施的目的是确保只有被授权的用户才能实现对特定数据和资源的访问,内部审计人员主要审查信息系统是否设有操作日志,能否完整直观地记录系统操作情况,操作日志能否被删除,如果能被删除,要明确是在什么情况下经过怎么样的程序才能被删除,还要明确什么记录是永远被删除什么记录是暂时删除,遇到特殊情况暂时被删除的记录通过什么样的方式能够被找回或者恢复。对数据库的访问是否有严格的授权限制,是不是不需要经过一定程序一般人员就可以轻易访问数据。系统管理员、操作人员的口令、密码是否定期更换,相关口令密码是否存在相同情况,有不有生日型电话号码型姓名的拼音缩写型或者简单的六个零六个一等等太过大众化简单化的账号密码。
3、信息系统的数据和资源的管理方面
内部审计人员在测评相关信息系统内部控制制度时,在完成了上述方面的工作后,还要特别注意被审查单位的内部控制制度在对系统数据和资源的管理方面的相关内容,保
- 上一篇:审计风险评估信息来源
- 下一篇:国际审计风险评估应用
- · 商业银行法律风险认识的三个误区
- · 合并控制在欧洲和德国的新发展
- · 同一企业合并控制的会计处理
- · 企业破产法对清偿顺序规定
- · 什么是豁免要约
- · 什么是集体企业
- · 股东会职权
- · 股东大会和股东会的区别
- · 为股东会制度纠偏
- · 隐名合伙的特征