信息系統(tǒng)屬于內(nèi)控規(guī)范中的哪一個控制要素

1、竭誠為您提供優(yōu)質(zhì)文檔/雙擊可除信息系統(tǒng)屬于內(nèi)控規(guī)范中的哪一個控制要素篇一：信息系統(tǒng)內(nèi)部控制綜述南京審計學(xué)院國際審計學(xué)院課程論文題目：姓名：專業(yè)：信息系統(tǒng)內(nèi)部控制概述mz1301065審計碩士班級：13級審計碩士班20 xx年12月23日信息系統(tǒng)內(nèi)部控制概述摘要：現(xiàn)代企業(yè)的運(yùn)營越來越依賴信息系統(tǒng)，它正改變著企業(yè)經(jīng)營管理的方式，企業(yè)在加強(qiáng)常規(guī)內(nèi)部控制的同時，也不得不十分關(guān)注信息系統(tǒng)內(nèi)部控制的建設(shè)。如何更好的利用信息系統(tǒng)來提升公司的經(jīng)營管理水平，搶占未來信息化競爭環(huán)境下的優(yōu)勢先機(jī)，并且合理的防范信息系統(tǒng)給企業(yè)內(nèi)部帶來的新風(fēng)險，已成為一個廣泛關(guān)注的話題。關(guān)鍵詞：信息系統(tǒng)；內(nèi)部控制；it治理一、信息系統(tǒng)

2、概述信息系統(tǒng)是由計算機(jī)硬件、網(wǎng)絡(luò)和通信設(shè)備、計算機(jī)軟件、信息資源、信息用戶和規(guī)章制度組成的以處理信息為目的的人機(jī)一體系統(tǒng)。細(xì)心系統(tǒng)具有輸入、輸出、存儲、處理和控制的功能。與其他系統(tǒng)不同，信息系統(tǒng)不從事某一具體的實(shí)物性工作，而是關(guān)系全局協(xié)調(diào)一致的總括。從信息系統(tǒng)的發(fā)展和系統(tǒng)特點(diǎn)來看，包括眾多類型：數(shù)據(jù)處理系統(tǒng)、管理信息系統(tǒng)、決策支持系統(tǒng)、專家系統(tǒng)、虛擬辦公室等。如今的信息系統(tǒng)已不僅僅是一個技術(shù)系統(tǒng)，更是一個社會系統(tǒng)影響著經(jīng)濟(jì)社會的方方面面。二、信息系統(tǒng)風(fēng)險信息系統(tǒng)存在脆弱性風(fēng)險，這指信息系統(tǒng)特性中固有的弱點(diǎn)，對整個系統(tǒng)而言，其弱點(diǎn)是由系統(tǒng)各個要素的弱點(diǎn)的集中和再統(tǒng)一。首先，技術(shù)方面的脆弱性通常與

3、數(shù)據(jù)的高速處理、數(shù)據(jù)的不可見性、信息集中等有關(guān)。隨著信息技術(shù)的發(fā)展，現(xiàn)今的信息系統(tǒng)所處理的數(shù)據(jù)量越來越大，因此系統(tǒng)對數(shù)據(jù)處理速度的要求也越來越高。在這種情況下很難對數(shù)據(jù)處理的正確性進(jìn)行逐一跟蹤確認(rèn)；榆次同時，由于數(shù)據(jù)量龐大，一旦數(shù)據(jù)處理出現(xiàn)差錯，要在短時間內(nèi)找到問題也需要話費(fèi)大量的人力與時間。數(shù)據(jù)的不可見性導(dǎo)致低數(shù)據(jù)的修改在很多情況下也是不可見的。除此之外，信息集中的結(jié)果使得大量數(shù)據(jù)都集中在信息中心，若信息中心被破壞，受到的損失必將是十分巨大的，這些都給信息系統(tǒng)帶來的巨大的威脅。其次，從管理方面來看，脆弱性主要表現(xiàn)在內(nèi)部控制制度的缺乏和不健全，監(jiān)督功能不完善，從而引發(fā)信息系統(tǒng)的各種威脅。而且，

4、目前大多數(shù)人的關(guān)注重點(diǎn)仍然停留在具體的實(shí)務(wù)處理上，而忽略了信息系統(tǒng)工具本身可能尋在的問題和風(fēng)險，顧此失彼，信息系統(tǒng)的安全性存在極大隱患。三、信息系統(tǒng)內(nèi)部控制的重要性目前，信息系統(tǒng)已從純粹的財務(wù)系統(tǒng)整合經(jīng)企業(yè)的經(jīng)營系統(tǒng)中。信息系統(tǒng)幫助企業(yè)控制業(yè)務(wù)流程、跟蹤和記錄在實(shí)時基礎(chǔ)上進(jìn)行的交易，通常還包括整合性的、在復(fù)雜環(huán)境中的系列經(jīng)營行為。信息系統(tǒng)不僅要獲取決策所需要的信息來影響控制，還被用來執(zhí)行企業(yè)的戰(zhàn)略決策。因此，信息系統(tǒng)中的信息必須是準(zhǔn)確的、及時的、適當(dāng)?shù)暮屯〞车模詽M足管理決策的需要，并通過這些信息實(shí)施有效的控制。信息系統(tǒng)形成的信息質(zhì)量依賴于控制活動的有效實(shí)施。因?yàn)榧皶r適當(dāng)獲得可靠的信息是影響和

5、控制信息系統(tǒng)的關(guān)鍵，因此信息系統(tǒng)自身也是內(nèi)部控制的組成部分，并且也要被控制，而且這一控制還特別重要，在信息化企業(yè)中具有十分重大的意義。特別是隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的高速持續(xù)發(fā)展，信息系統(tǒng)變得越來越復(fù)雜化、大型化、多樣化和網(wǎng)絡(luò)化，企業(yè)的物流、信息流、資金流更加依賴于信息系統(tǒng)。可是信息系統(tǒng)在給人來帶來便利的同時，本身也存在著極大風(fēng)險，因此要特別加強(qiáng)對其的內(nèi)部控制。四、信息系統(tǒng)內(nèi)部控制典型模型一一cobit模型cobit是由美國信息系統(tǒng)審計與控制協(xié)會（isaca）在1996年公布的，目前已經(jīng)更新至第五版，是國際上公認(rèn)的最權(quán)威、最先進(jìn)的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。cobit是信息技術(shù)治理慣例的集大

6、成者，為衡量、審計和控制信息系統(tǒng)提供了一個普遍適用的控制模型，能夠指導(dǎo)企業(yè)有效利用信息資源，有效管理與信息相關(guān)的風(fēng)險。cobit通過信息技術(shù)過程管理信息技術(shù)資源，以交付滿足業(yè)務(wù)和治理要求的信息，實(shí)現(xiàn)控制目標(biāo)。cobit包括34個通用的信息技術(shù)流程，沒一個處理過程都是一系列關(guān)聯(lián)的it活動或任務(wù)。按照信息系統(tǒng)生命周期，將it過程分為四個領(lǐng)域：策劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控與評價，這些領(lǐng)域就是規(guī)劃、實(shí)施、運(yùn)行維護(hù)和監(jiān)控四項傳統(tǒng)的職責(zé)領(lǐng)域。cobit在34個通用的it流程基礎(chǔ)上進(jìn)一步細(xì)化發(fā)展了318個控制目標(biāo)。策劃與組織主要從戰(zhàn)略的高度對企業(yè)信息系統(tǒng)進(jìn)行全面規(guī)劃，致力于識別it為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)

7、作出最佳貢獻(xiàn)的途徑。在該階段需要明確信息系統(tǒng)的目標(biāo)和范圍，對it項目的風(fēng)險進(jìn)行評估，從技術(shù)、經(jīng)濟(jì)和管理等方面對系統(tǒng)規(guī)劃方案進(jìn)行可行性研究，做好資源的規(guī)劃獲取與實(shí)施階段涵蓋了信息系統(tǒng)分析與設(shè)計的部分過程，為實(shí)現(xiàn)it戰(zhàn)略，確認(rèn)、開發(fā)、實(shí)施it解決方案并將其整合到業(yè)務(wù)流程中去。同時該階段指出了現(xiàn)有系統(tǒng)的變更與維護(hù)如何能確保持續(xù)滿足業(yè)務(wù)目標(biāo)。交付與支持階段主要關(guān)注所需服務(wù)的實(shí)際交付情況，涵蓋了業(yè)務(wù)交付安全和持續(xù)性管理用戶服務(wù)支持?jǐn)?shù)據(jù)與操作設(shè)施管理等領(lǐng)域，對it服務(wù)的交付質(zhì)量進(jìn)行嚴(yán)格控制。監(jiān)控與評價主要定期評估所有it流程的質(zhì)量以及與控制要求的符合程度。該階段涉及績效管理、內(nèi)部控制的監(jiān)督、合規(guī)和治理等內(nèi)

8、容。篇二：淺議信息系統(tǒng)的內(nèi)控體系建設(shè)淺議信息系統(tǒng)的內(nèi)控體系建設(shè)briefanalysisofinternalinformationsystemconstruction賈君君，李為衛(wèi)，楊揚(yáng)（中國石油集團(tuán)石油管工程技術(shù)研究院,陜西西安710065）摘要：中國石油從20 xx年起開始全面建設(shè)內(nèi)控體系，本文通過對中國石油信息系統(tǒng)內(nèi)控體系建設(shè)的探索，闡述了信息系統(tǒng)內(nèi)控體系建設(shè)的內(nèi)容及實(shí)施的意義，對其他單位信息系統(tǒng)內(nèi)控體建設(shè)有較好的借鑒意義。abstract:cnpchasbegantobuildatotalinternalsystemsince20 xx.thisarticlesetsforththec

9、ontentofthetotalinternalsystemanditsimplementarysignificancebyexploringtheinnersystemconstructioninthecnpc.therefore,ithassignificantlymeaningforotherenterprisesinbuildingtheinternalinformationsystem.關(guān)鍵字：信息系統(tǒng)、內(nèi)控體系、五要素、意義keywords:informationsystem、internalsystem、fivefactors、significance引言美國安然與世通事件引發(fā)社

10、會對保護(hù)投資者利益的關(guān)注,20 xx年美國國會出臺了薩班斯-奧克斯利法案（sarbanes-oxley法案）,該法案目的在于提升民眾對美國金融市場及上市公司財務(wù)報告的信心。法案提出必須使用一個內(nèi)部控制框架作為內(nèi)控有效性評估的基礎(chǔ)，同時明確了內(nèi)部控制的整體框架構(gòu)成。中國石油集團(tuán)內(nèi)控體系建設(shè)項目源于薩班斯-奧克斯利法案。20 xx年，中國石油以coso（thecommitteeofsponsoringorganizationsofthenationalcommissionofFraudulentFinancialReporting,全國虛假財務(wù)報告委員會下屬的發(fā)起人委員會）內(nèi)部控制整體框架為基礎(chǔ)，

11、融合coso企業(yè)風(fēng)險管理整體框架的主要內(nèi)容，結(jié)合國家監(jiān)管部門的基本要求，全面開展了內(nèi)部控制體系建設(shè)內(nèi)部控制體系概述中國石油內(nèi)控體系建設(shè)覆蓋全部業(yè)務(wù)和部門。建立了包括控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)督五要素的內(nèi)部控制體系。其中：（1）控制環(huán)境（controlenvironment）是指企業(yè)的基調(diào)、氛圍，直接影響企業(yè)員工的控制意識，是內(nèi)部控制的基礎(chǔ)。（2）風(fēng)險評估（riskappraisal）就是識別、分析相關(guān)風(fēng)險以實(shí)現(xiàn)既定目標(biāo)，是風(fēng)險管理的基礎(chǔ)。（3）控制活動（controlactivity）指那些有助于管理層決策順利實(shí)施的政策和程序，是針對風(fēng)險采取的控制措施。包括批準(zhǔn)、授權(quán)、查證、

12、核對、復(fù)核經(jīng)營業(yè)績、資產(chǎn)保護(hù)和職責(zé)分工等活動。（4）信息與溝通（informationandcommunication）是指企業(yè)經(jīng)營管理所需信息必須被識別、獲得并以一定形式及時傳遞，以便員工履行職責(zé)。（5）監(jiān)督（monitoring）是對內(nèi)部控制系統(tǒng)有效性進(jìn)行評估的過程，它實(shí)際上是內(nèi)部控制的一種再控制。包括持續(xù)監(jiān)督、獨(dú)立評估和缺陷報告等，通過監(jiān)督活動的實(shí)施，可以使內(nèi)部控制系統(tǒng)保持其有效性。內(nèi)部控制五要素共同配合和相互聯(lián)系，共同對企業(yè)的各經(jīng)營部門和業(yè)務(wù)活動發(fā)揮作用。信息系統(tǒng)內(nèi)部控制簡介信息系統(tǒng)內(nèi)部控制五要素具體為：（1）控制環(huán)境：提高員工的組織影響控制意識，主要因素包括數(shù)據(jù)的保密性、真實(shí)性、政策

13、、程序和責(zé)任；（2）風(fēng)險評估：it風(fēng)險評估指it管理、數(shù)據(jù)安全、程序變更和開發(fā)以及計算機(jī)運(yùn)行it內(nèi)部控制戰(zhàn)略計劃；（3）控制活動：必要的政策和程序用來確定管理的指示正在被執(zhí)行，主要包括信息系統(tǒng)總體控制和應(yīng)用層面的控制；（4）信息和溝通：對于相關(guān)信息及時的鑒別，獲取和傳達(dá)以及訪問內(nèi)部和外部信息的權(quán)限控制；（5）監(jiān)督：評估信息系統(tǒng)的穩(wěn)定性，管理和監(jiān)督活動。其中控制活動是信息系統(tǒng)內(nèi)部控制的主要環(huán)節(jié)。針對信息系統(tǒng)總體控制與應(yīng)用控制，主要做了以下探索：（1）信息系統(tǒng)總體控制（generalcomputercontrol,簡稱gcc）。中國石油集團(tuán)公司制定了信息系統(tǒng)總體控制實(shí)施規(guī)范,適用于在信息技術(shù)的開發(fā)

14、、實(shí)施、運(yùn)行、維護(hù)及管理等方面的控制,主要包括六個方面：（1）信息系統(tǒng)控制環(huán)境。其包括總體控制環(huán)境、信息與溝通、風(fēng)險評估和監(jiān)控。（2）信息安全。由信息安全管理組織、邏輯安全、物理安全、網(wǎng)絡(luò)安全、計算機(jī)病毒防護(hù)和第三方安全管理組成。（3）信息系統(tǒng)項目建設(shè)管理。涵蓋了項目立項審批、項目建設(shè)方法、項目管理三項內(nèi)容。(4)信息系統(tǒng)變更管理。內(nèi)容涉及變更管理、日常變更流程、緊急變更流程。(5)信息系統(tǒng)日常運(yùn)維。范圍包括機(jī)房環(huán)境控制、系統(tǒng)日常運(yùn)作監(jiān)控、批處理作業(yè)調(diào)度管理、備份與恢復(fù)和問題管理。(6)最終用戶操作。由最終用戶計算機(jī)操作安全制度和電子表格管理兩項主要內(nèi)容。表1：中國石油信息系統(tǒng)總體控制(gcc

15、)實(shí)施表單目錄(2)應(yīng)用控制(applicationcontrol，簡稱ac)信息系統(tǒng)應(yīng)用控制包括應(yīng)用軟件中的電算化步驟以及用以控制不同種類交易處理的相關(guān)手工操作程序。這些控制結(jié)合在一起，可以保證系統(tǒng)中的安全性。主要包括：(1)完整性。包括所有的交易都經(jīng)過處理，且只處理一次；不允許數(shù)據(jù)的重復(fù)錄入和處理和例外情況的發(fā)現(xiàn)和解決。(2)準(zhǔn)確性。包括所有的數(shù)據(jù)(包括金額和賬戶)是正確和合理的；例外情況被及時發(fā)現(xiàn)以保證交易被記錄在正確的會計期間。(3)有效性。包括交易被適當(dāng)授權(quán)；系統(tǒng)不接受虛假交易；例外情況被發(fā)現(xiàn)和處理。(4)接觸控制。包括未經(jīng)授權(quán)，不得對數(shù)據(jù)進(jìn)行修改；數(shù)據(jù)的保密性；物理設(shè)備的保護(hù)等信息

16、系統(tǒng)總體控制和應(yīng)用控制是相互關(guān)聯(lián)的。信息系統(tǒng)總體控制是應(yīng)用系統(tǒng)控制的基礎(chǔ),應(yīng)用系統(tǒng)控制依賴于信息系統(tǒng)總體控制,信息系統(tǒng)總體控制和應(yīng)用控制共同保證信息處理的完整性和準(zhǔn)確性。信息系統(tǒng)內(nèi)部控制的意義信息系統(tǒng)內(nèi)部控制的實(shí)施，加強(qiáng)了企業(yè)在應(yīng)用信息技術(shù)上的科學(xué)性與規(guī)范性，提高了企業(yè)在信息技術(shù)的開發(fā)、實(shí)施及運(yùn)維管理等方面的控制能力，增強(qiáng)企業(yè)信息系統(tǒng)的運(yùn)行效力。主要體現(xiàn)在以下幾個方面：（1）從單一的制度建設(shè)向綜合性的管理體系轉(zhuǎn)變。通過完善控制環(huán)境，開展風(fēng)險辨識，明確控制主體及措施，建立暢通的溝通渠道和嚴(yán)格監(jiān)督機(jī)制，全面明確信息管理體系的具體要求和評價標(biāo)準(zhǔn)，為建立有效運(yùn)行的信息管理體系提供依據(jù)，代表了信息的管理目標(biāo)水平。（2）從傳統(tǒng)管理向風(fēng)險管理轉(zhuǎn)變。建立了信息風(fēng)險評估標(biāo)