信息系统控制的内容5
2.
信息系统控制的内容
信息系统内部控制领域
内容
公司层面
管理层控制 信息与IT公司治理相关的控制: ? IT组织,IT规划 ? IT 风险管理 ? IT管理制度体系 ? IT内部审计等
应用层面 一般控制层面
技术一般控制 IT一般控制:
? 系统开发与程序变更管理 ? 系统访问安全管理 ? IT日常操作管理 ? 物理安全管理等
自动化应用控制 业务流程中通过系统实现的应用程序 控制:
? 输入控制 ? 验证控制 ? 接口控制
? 权限控制,职责分工等
10
信息系统控制的内容(续)
? 公司层面的信息系统控制
IT战略规划
IT组织与职责分工
IT风险管理
IT管理制度体系 IT内审
内部环境 子 业 公 IT风险评估 业 务 司公 公 务 单司 控制活动 司 分 元 面层
层 部 信息与沟通 面 内部监督 11
信息系统控制的内容(续)
信息技术一般控制与自动化应用控制之间的关系
? 应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制,例 如:
√ 许多应用系统中根据业务的需求(“业务规则”)设置了很多编辑检查 来帮助确保录入数据的准确性,编辑检查可能包括格式检查(如:日期 格式或数字格式),存在性检查(如:客户编码存在于客户主数据文档 之中),或合理性检查(如:最大支付金额)
? 如果在录入数据时某一项“业务规则”未通过编辑检查,那么系统可能拒绝 录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中,留待 后续跟进和处理
? 如果企业依赖带有关键编辑检查功能的应用系统支持业务,那这些应用控制 的有效性必须建立在信息系统一般控制的基础之上
客户主数据:封死管理,不可更改,CFO或财务总监授权,检查日志看是否有修改
12