信息系統(tǒng)屬于內(nèi)控規(guī)范中的哪一個(gè)控制要素

1、竭誠(chéng)為您提供優(yōu)質(zhì)文檔/雙擊可除信息系統(tǒng)屬于內(nèi)控規(guī)范中的哪一個(gè)控制要素篇一：信息系統(tǒng)內(nèi)部控制綜述南京審計(jì)學(xué)院國(guó)際審計(jì)學(xué)院課程論文題目：姓名：專(zhuān)業(yè)：信息系統(tǒng)內(nèi)部控制概述mz1301065審計(jì)碩士班級(jí)：13級(jí)審計(jì)碩士班20 xx年12月23日信息系統(tǒng)內(nèi)部控制概述摘要：現(xiàn)代企業(yè)的運(yùn)營(yíng)越來(lái)越依賴(lài)信息系統(tǒng)，它正改變著企業(yè)經(jīng)營(yíng)管理的方式，企業(yè)在加強(qiáng)常規(guī)內(nèi)部控制的同時(shí)，也不得不十分關(guān)注信息系統(tǒng)內(nèi)部控制的建設(shè)。如何更好的利用信息系統(tǒng)來(lái)提升公司的經(jīng)營(yíng)管理水平，搶占未來(lái)信息化競(jìng)爭(zhēng)環(huán)境下的優(yōu)勢(shì)先機(jī)，并且合理的防范信息系統(tǒng)給企業(yè)內(nèi)部帶來(lái)的新風(fēng)險(xiǎn)，已成為一個(gè)廣泛關(guān)注的話(huà)題。關(guān)鍵詞：信息系統(tǒng)；內(nèi)部控制；it治理一、信息系統(tǒng)

2、概述信息系統(tǒng)是由計(jì)算機(jī)硬件、網(wǎng)絡(luò)和通信設(shè)備、計(jì)算機(jī)軟件、信息資源、信息用戶(hù)和規(guī)章制度組成的以處理信息為目的的人機(jī)一體系統(tǒng)。細(xì)心系統(tǒng)具有輸入、輸出、存儲(chǔ)、處理和控制的功能。與其他系統(tǒng)不同，信息系統(tǒng)不從事某一具體的實(shí)物性工作，而是關(guān)系全局協(xié)調(diào)一致的總括。從信息系統(tǒng)的發(fā)展和系統(tǒng)特點(diǎn)來(lái)看，包括眾多類(lèi)型：數(shù)據(jù)處理系統(tǒng)、管理信息系統(tǒng)、決策支持系統(tǒng)、專(zhuān)家系統(tǒng)、虛擬辦公室等。如今的信息系統(tǒng)已不僅僅是一個(gè)技術(shù)系統(tǒng)，更是一個(gè)社會(huì)系統(tǒng)影響著經(jīng)濟(jì)社會(huì)的方方面面。二、信息系統(tǒng)風(fēng)險(xiǎn)信息系統(tǒng)存在脆弱性風(fēng)險(xiǎn)，這指信息系統(tǒng)特性中固有的弱點(diǎn)，對(duì)整個(gè)系統(tǒng)而言，其弱點(diǎn)是由系統(tǒng)各個(gè)要素的弱點(diǎn)的集中和再統(tǒng)一。首先，技術(shù)方面的脆弱性通常與

3、數(shù)據(jù)的高速處理、數(shù)據(jù)的不可見(jiàn)性、信息集中等有關(guān)。隨著信息技術(shù)的發(fā)展，現(xiàn)今的信息系統(tǒng)所處理的數(shù)據(jù)量越來(lái)越大，因此系統(tǒng)對(duì)數(shù)據(jù)處理速度的要求也越來(lái)越高。在這種情況下很難對(duì)數(shù)據(jù)處理的正確性進(jìn)行逐一跟蹤確認(rèn)；榆次同時(shí)，由于數(shù)據(jù)量龐大，一旦數(shù)據(jù)處理出現(xiàn)差錯(cuò)，要在短時(shí)間內(nèi)找到問(wèn)題也需要話(huà)費(fèi)大量的人力與時(shí)間。數(shù)據(jù)的不可見(jiàn)性導(dǎo)致低數(shù)據(jù)的修改在很多情況下也是不可見(jiàn)的。除此之外，信息集中的結(jié)果使得大量數(shù)據(jù)都集中在信息中心，若信息中心被破壞，受到的損失必將是十分巨大的，這些都給信息系統(tǒng)帶來(lái)的巨大的威脅。其次，從管理方面來(lái)看，脆弱性主要表現(xiàn)在內(nèi)部控制制度的缺乏和不健全，監(jiān)督功能不完善，從而引發(fā)信息系統(tǒng)的各種威脅。而且，

4、目前大多數(shù)人的關(guān)注重點(diǎn)仍然停留在具體的實(shí)務(wù)處理上，而忽略了信息系統(tǒng)工具本身可能尋在的問(wèn)題和風(fēng)險(xiǎn)，顧此失彼，信息系統(tǒng)的安全性存在極大隱患。三、信息系統(tǒng)內(nèi)部控制的重要性目前，信息系統(tǒng)已從純粹的財(cái)務(wù)系統(tǒng)整合經(jīng)企業(yè)的經(jīng)營(yíng)系統(tǒng)中。信息系統(tǒng)幫助企業(yè)控制業(yè)務(wù)流程、跟蹤和記錄在實(shí)時(shí)基礎(chǔ)上進(jìn)行的交易，通常還包括整合性的、在復(fù)雜環(huán)境中的系列經(jīng)營(yíng)行為。信息系統(tǒng)不僅要獲取決策所需要的信息來(lái)影響控制，還被用來(lái)執(zhí)行企業(yè)的戰(zhàn)略決策。因此，信息系統(tǒng)中的信息必須是準(zhǔn)確的、及時(shí)的、適當(dāng)?shù)暮屯〞车?，以滿(mǎn)足管理決策的需要，并通過(guò)這些信息實(shí)施有效的控制。信息系統(tǒng)形成的信息質(zhì)量依賴(lài)于控制活動(dòng)的有效實(shí)施。因?yàn)榧皶r(shí)適當(dāng)獲得可靠的信息是影響和

5、控制信息系統(tǒng)的關(guān)鍵，因此信息系統(tǒng)自身也是內(nèi)部控制的組成部分，并且也要被控制，而且這一控制還特別重要，在信息化企業(yè)中具有十分重大的意義。特別是隨著互聯(lián)網(wǎng)技術(shù)和信息技術(shù)的高速持續(xù)發(fā)展，信息系統(tǒng)變得越來(lái)越復(fù)雜化、大型化、多樣化和網(wǎng)絡(luò)化，企業(yè)的物流、信息流、資金流更加依賴(lài)于信息系統(tǒng)?？墒切畔⑾到y(tǒng)在給人來(lái)帶來(lái)便利的同時(shí)，本身也存在著極大風(fēng)險(xiǎn)，因此要特別加強(qiáng)對(duì)其的內(nèi)部控制。四、信息系統(tǒng)內(nèi)部控制典型模型一一cobit模型cobit是由美國(guó)信息系統(tǒng)審計(jì)與控制協(xié)會(huì)（isaca）在1996年公布的，目前已經(jīng)更新至第五版，是國(guó)際上公認(rèn)的最權(quán)威、最先進(jìn)的安全與信息技術(shù)管理和控制標(biāo)準(zhǔn)。cobit是信息技術(shù)治理慣例的集大

6、成者，為衡量、審計(jì)和控制信息系統(tǒng)提供了一個(gè)普遍適用的控制模型，能夠指導(dǎo)企業(yè)有效利用信息資源，有效管理與信息相關(guān)的風(fēng)險(xiǎn)。cobit通過(guò)信息技術(shù)過(guò)程管理信息技術(shù)資源，以交付滿(mǎn)足業(yè)務(wù)和治理要求的信息，實(shí)現(xiàn)控制目標(biāo)。cobit包括34個(gè)通用的信息技術(shù)流程，沒(méi)一個(gè)處理過(guò)程都是一系列關(guān)聯(lián)的it活動(dòng)或任務(wù)。按照信息系統(tǒng)生命周期，將it過(guò)程分為四個(gè)領(lǐng)域：策劃與組織、獲取與實(shí)施、交付與支持、監(jiān)控與評(píng)價(jià)，這些領(lǐng)域就是規(guī)劃、實(shí)施、運(yùn)行維護(hù)和監(jiān)控四項(xiàng)傳統(tǒng)的職責(zé)領(lǐng)域。cobit在34個(gè)通用的it流程基礎(chǔ)上進(jìn)一步細(xì)化發(fā)展了318個(gè)控制目標(biāo)。策劃與組織主要從戰(zhàn)略的高度對(duì)企業(yè)信息系統(tǒng)進(jìn)行全面規(guī)劃，致力于識(shí)別it為實(shí)現(xiàn)業(yè)務(wù)目標(biāo)

7、作出最佳貢獻(xiàn)的途徑。在該階段需要明確信息系統(tǒng)的目標(biāo)和范圍，對(duì)it項(xiàng)目的風(fēng)險(xiǎn)進(jìn)行評(píng)估，從技術(shù)、經(jīng)濟(jì)和管理等方面對(duì)系統(tǒng)規(guī)劃方案進(jìn)行可行性研究，做好資源的規(guī)劃獲取與實(shí)施階段涵蓋了信息系統(tǒng)分析與設(shè)計(jì)的部分過(guò)程，為實(shí)現(xiàn)it戰(zhàn)略，確認(rèn)、開(kāi)發(fā)、實(shí)施it解決方案并將其整合到業(yè)務(wù)流程中去。同時(shí)該階段指出了現(xiàn)有系統(tǒng)的變更與維護(hù)如何能確保持續(xù)滿(mǎn)足業(yè)務(wù)目標(biāo)。交付與支持階段主要關(guān)注所需服務(wù)的實(shí)際交付情況，涵蓋了業(yè)務(wù)交付安全和持續(xù)性管理用戶(hù)服務(wù)支持?jǐn)?shù)據(jù)與操作設(shè)施管理等領(lǐng)域，對(duì)it服務(wù)的交付質(zhì)量進(jìn)行嚴(yán)格控制。監(jiān)控與評(píng)價(jià)主要定期評(píng)估所有it流程的質(zhì)量以及與控制要求的符合程度。該階段涉及績(jī)效管理、內(nèi)部控制的監(jiān)督、合規(guī)和治理等內(nèi)

8、容。篇二：淺議信息系統(tǒng)的內(nèi)控體系建設(shè)淺議信息系統(tǒng)的內(nèi)控體系建設(shè)briefanalysisofinternalinformationsystemconstruction賈君君，李為衛(wèi)，楊揚(yáng)（中國(guó)石油集團(tuán)石油管工程技術(shù)研究院,陜西西安710065）摘要：中國(guó)石油從20 xx年起開(kāi)始全面建設(shè)內(nèi)控體系，本文通過(guò)對(duì)中國(guó)石油信息系統(tǒng)內(nèi)控體系建設(shè)的探索，闡述了信息系統(tǒng)內(nèi)控體系建設(shè)的內(nèi)容及實(shí)施的意義，對(duì)其他單位信息系統(tǒng)內(nèi)控體建設(shè)有較好的借鑒意義。abstract:cnpchasbegantobuildatotalinternalsystemsince20 xx.thisarticlesetsforththec

9、ontentofthetotalinternalsystemanditsimplementarysignificancebyexploringtheinnersystemconstructioninthecnpc.therefore,ithassignificantlymeaningforotherenterprisesinbuildingtheinternalinformationsystem.關(guān)鍵字：信息系統(tǒng)、內(nèi)控體系、五要素、意義keywords:informationsystem、internalsystem、fivefactors、significance引言美國(guó)安然與世通事件引發(fā)社

10、會(huì)對(duì)保護(hù)投資者利益的關(guān)注,20 xx年美國(guó)國(guó)會(huì)出臺(tái)了薩班斯-奧克斯利法案（sarbanes-oxley法案）,該法案目的在于提升民眾對(duì)美國(guó)金融市場(chǎng)及上市公司財(cái)務(wù)報(bào)告的信心。法案提出必須使用一個(gè)內(nèi)部控制框架作為內(nèi)控有效性評(píng)估的基礎(chǔ)，同時(shí)明確了內(nèi)部控制的整體框架構(gòu)成。中國(guó)石油集團(tuán)內(nèi)控體系建設(shè)項(xiàng)目源于薩班斯-奧克斯利法案。20 xx年，中國(guó)石油以coso（thecommitteeofsponsoringorganizationsofthenationalcommissionofFraudulentFinancialReporting,全國(guó)虛假財(cái)務(wù)報(bào)告委員會(huì)下屬的發(fā)起人委員會(huì)）內(nèi)部控制整體框架為基礎(chǔ)，

11、融合coso企業(yè)風(fēng)險(xiǎn)管理整體框架的主要內(nèi)容，結(jié)合國(guó)家監(jiān)管部門(mén)的基本要求，全面開(kāi)展了內(nèi)部控制體系建設(shè)內(nèi)部控制體系概述中國(guó)石油內(nèi)控體系建設(shè)覆蓋全部業(yè)務(wù)和部門(mén)。建立了包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)督五要素的內(nèi)部控制體系。其中：（1）控制環(huán)境（controlenvironment）是指企業(yè)的基調(diào)、氛圍，直接影響企業(yè)員工的控制意識(shí)，是內(nèi)部控制的基礎(chǔ)。（2）風(fēng)險(xiǎn)評(píng)估（riskappraisal）就是識(shí)別、分析相關(guān)風(fēng)險(xiǎn)以實(shí)現(xiàn)既定目標(biāo)，是風(fēng)險(xiǎn)管理的基礎(chǔ)。（3）控制活動(dòng)（controlactivity）指那些有助于管理層決策順利實(shí)施的政策和程序，是針對(duì)風(fēng)險(xiǎn)采取的控制措施。包括批準(zhǔn)、授權(quán)、查證、

12、核對(duì)、復(fù)核經(jīng)營(yíng)業(yè)績(jī)、資產(chǎn)保護(hù)和職責(zé)分工等活動(dòng)。（4）信息與溝通（informationandcommunication）是指企業(yè)經(jīng)營(yíng)管理所需信息必須被識(shí)別、獲得并以一定形式及時(shí)傳遞，以便員工履行職責(zé)。（5）監(jiān)督（monitoring）是對(duì)內(nèi)部控制系統(tǒng)有效性進(jìn)行評(píng)估的過(guò)程，它實(shí)際上是內(nèi)部控制的一種再控制。包括持續(xù)監(jiān)督、獨(dú)立評(píng)估和缺陷報(bào)告等，通過(guò)監(jiān)督活動(dòng)的實(shí)施，可以使內(nèi)部控制系統(tǒng)保持其有效性。內(nèi)部控制五要素共同配合和相互聯(lián)系，共同對(duì)企業(yè)的各經(jīng)營(yíng)部門(mén)和業(yè)務(wù)活動(dòng)發(fā)揮作用。信息系統(tǒng)內(nèi)部控制簡(jiǎn)介信息系統(tǒng)內(nèi)部控制五要素具體為：（1）控制環(huán)境：提高員工的組織影響控制意識(shí)，主要因素包括數(shù)據(jù)的保密性、真實(shí)性、政策

13、、程序和責(zé)任；（2）風(fēng)險(xiǎn)評(píng)估：it風(fēng)險(xiǎn)評(píng)估指it管理、數(shù)據(jù)安全、程序變更和開(kāi)發(fā)以及計(jì)算機(jī)運(yùn)行it內(nèi)部控制戰(zhàn)略計(jì)劃；（3）控制活動(dòng)：必要的政策和程序用來(lái)確定管理的指示正在被執(zhí)行，主要包括信息系統(tǒng)總體控制和應(yīng)用層面的控制；（4）信息和溝通：對(duì)于相關(guān)信息及時(shí)的鑒別，獲取和傳達(dá)以及訪(fǎng)問(wèn)內(nèi)部和外部信息的權(quán)限控制；（5）監(jiān)督：評(píng)估信息系統(tǒng)的穩(wěn)定性，管理和監(jiān)督活動(dòng)。其中控制活動(dòng)是信息系統(tǒng)內(nèi)部控制的主要環(huán)節(jié)。針對(duì)信息系統(tǒng)總體控制與應(yīng)用控制，主要做了以下探索：（1）信息系統(tǒng)總體控制（generalcomputercontrol,簡(jiǎn)稱(chēng)gcc）。中國(guó)石油集團(tuán)公司制定了信息系統(tǒng)總體控制實(shí)施規(guī)范,適用于在信息技術(shù)的開(kāi)發(fā)

14、、實(shí)施、運(yùn)行、維護(hù)及管理等方面的控制,主要包括六個(gè)方面：（1）信息系統(tǒng)控制環(huán)境。其包括總體控制環(huán)境、信息與溝通、風(fēng)險(xiǎn)評(píng)估和監(jiān)控。（2）信息安全。由信息安全管理組織、邏輯安全、物理安全、網(wǎng)絡(luò)安全、計(jì)算機(jī)病毒防護(hù)和第三方安全管理組成。（3）信息系統(tǒng)項(xiàng)目建設(shè)管理。涵蓋了項(xiàng)目立項(xiàng)審批、項(xiàng)目建設(shè)方法、項(xiàng)目管理三項(xiàng)內(nèi)容。(4)信息系統(tǒng)變更管理。內(nèi)容涉及變更管理、日常變更流程、緊急變更流程。(5)信息系統(tǒng)日常運(yùn)維。范圍包括機(jī)房環(huán)境控制、系統(tǒng)日常運(yùn)作監(jiān)控、批處理作業(yè)調(diào)度管理、備份與恢復(fù)和問(wèn)題管理。(6)最終用戶(hù)操作。由最終用戶(hù)計(jì)算機(jī)操作安全制度和電子表格管理兩項(xiàng)主要內(nèi)容。表1：中國(guó)石油信息系統(tǒng)總體控制(gcc

15、)實(shí)施表單目錄(2)應(yīng)用控制(applicationcontrol，簡(jiǎn)稱(chēng)ac)信息系統(tǒng)應(yīng)用控制包括應(yīng)用軟件中的電算化步驟以及用以控制不同種類(lèi)交易處理的相關(guān)手工操作程序。這些控制結(jié)合在一起，可以保證系統(tǒng)中的安全性。主要包括：(1)完整性。包括所有的交易都經(jīng)過(guò)處理，且只處理一次；不允許數(shù)據(jù)的重復(fù)錄入和處理和例外情況的發(fā)現(xiàn)和解決。(2)準(zhǔn)確性。包括所有的數(shù)據(jù)(包括金額和賬戶(hù))是正確和合理的；例外情況被及時(shí)發(fā)現(xiàn)以保證交易被記錄在正確的會(huì)計(jì)期間。(3)有效性。包括交易被適當(dāng)授權(quán)；系統(tǒng)不接受虛假交易；例外情況被發(fā)現(xiàn)和處理。(4)接觸控制。包括未經(jīng)授權(quán)，不得對(duì)數(shù)據(jù)進(jìn)行修改；數(shù)據(jù)的保密性；物理設(shè)備的保護(hù)等信息

16、系統(tǒng)總體控制和應(yīng)用控制是相互關(guān)聯(lián)的。信息系統(tǒng)總體控制是應(yīng)用系統(tǒng)控制的基礎(chǔ),應(yīng)用系統(tǒng)控制依賴(lài)于信息系統(tǒng)總體控制,信息系統(tǒng)總體控制和應(yīng)用控制共同保證信息處理的完整性和準(zhǔn)確性。信息系統(tǒng)內(nèi)部控制的意義信息系統(tǒng)內(nèi)部控制的實(shí)施，加強(qiáng)了企業(yè)在應(yīng)用信息技術(shù)上的科學(xué)性與規(guī)范性，提高了企業(yè)在信息技術(shù)的開(kāi)發(fā)、實(shí)施及運(yùn)維管理等方面的控制能力，增強(qiáng)企業(yè)信息系統(tǒng)的運(yùn)行效力。主要體現(xiàn)在以下幾個(gè)方面：（1）從單一的制度建設(shè)向綜合性的管理體系轉(zhuǎn)變。通過(guò)完善控制環(huán)境，開(kāi)展風(fēng)險(xiǎn)辨識(shí)，明確控制主體及措施，建立暢通的溝通渠道和嚴(yán)格監(jiān)督機(jī)制，全面明確信息管理體系的具體要求和評(píng)價(jià)標(biāo)準(zhǔn)，為建立有效運(yùn)行的信息管理體系提供依據(jù)，代表了信息的管理目標(biāo)水平。（2）從傳統(tǒng)管理向風(fēng)險(xiǎn)管理轉(zhuǎn)變。建立了信息風(fēng)險(xiǎn)評(píng)估標(biāo)