信息系统属于内控规范中的哪一个控制要素

1、竭诚为您提供优质文档/双击可除信息系统属于内控规范中的哪一个控制要素篇一：信息系统内部控制综述南京审计学院国际审计学院课程论文题目：姓名：专业：信息系统内部控制概述mz1301065审计硕士班级：13级审计硕士班20 xx年12月23日信息系统内部控制概述摘要：现代企业的运营越来越依赖信息系统，它正改变着企业经营管理的方式，企业在加强常规内部控制的同时，也不得不十分关注信息系统内部控制的建设。如何更好的利用信息系统来提升公司的经营管理水平，抢占未来信息化竞争环境下的优势先机，并且合理的防范信息系统给企业内部带来的新风险，已成为一个广泛关注的话题。关键词：信息系统；内部控制；it治理一、信息系统

2、概述信息系统是由计算机硬件、网络和通信设备、计算机软件、信息资源、信息用户和规章制度组成的以处理信息为目的的人机一体系统。细心系统具有输入、输出、存储、处理和控制的功能。与其他系统不同，信息系统不从事某一具体的实物性工作，而是关系全局协调一致的总括。从信息系统的发展和系统特点来看，包括众多类型：数据处理系统、管理信息系统、决策支持系统、专家系统、虚拟办公室等。如今的信息系统已不仅仅是一个技术系统，更是一个社会系统影响着经济社会的方方面面。二、信息系统风险信息系统存在脆弱性风险，这指信息系统特性中固有的弱点，对整个系统而言，其弱点是由系统各个要素的弱点的集中和再统一。首先，技术方面的脆弱性通常与

3、数据的高速处理、数据的不可见性、信息集中等有关。随着信息技术的发展，现今的信息系统所处理的数据量越来越大，因此系统对数据处理速度的要求也越来越高。在这种情况下很难对数据处理的正确性进行逐一跟踪确认；榆次同时，由于数据量庞大，一旦数据处理出现差错，要在短时间内找到问题也需要话费大量的人力与时间。数据的不可见性导致低数据的修改在很多情况下也是不可见的。除此之外，信息集中的结果使得大量数据都集中在信息中心，若信息中心被破坏，受到的损失必将是十分巨大的，这些都给信息系统带来的巨大的威胁。其次，从管理方面来看，脆弱性主要表现在内部控制制度的缺乏和不健全，监督功能不完善，从而引发信息系统的各种威胁。而且，

4、目前大多数人的关注重点仍然停留在具体的实务处理上，而忽略了信息系统工具本身可能寻在的问题和风险，顾此失彼，信息系统的安全性存在极大隐患。三、信息系统内部控制的重要性目前，信息系统已从纯粹的财务系统整合经企业的经营系统中。信息系统帮助企业控制业务流程、跟踪和记录在实时基础上进行的交易，通常还包括整合性的、在复杂环境中的系列经营行为。信息系统不仅要获取决策所需要的信息来影响控制，还被用来执行企业的战略决策。因此，信息系统中的信息必须是准确的、及时的、适当的和通畅的，以满足管理决策的需要，并通过这些信息实施有效的控制。信息系统形成的信息质量依赖于控制活动的有效实施。因为及时适当获得可靠的信息是影响和

5、控制信息系统的关键，因此信息系统自身也是内部控制的组成部分，并且也要被控制，而且这一控制还特别重要，在信息化企业中具有十分重大的意义。特别是随着互联网技术和信息技术的高速持续发展，信息系统变得越来越复杂化、大型化、多样化和网络化，企业的物流、信息流、资金流更加依赖于信息系统。可是信息系统在给人来带来便利的同时，本身也存在着极大风险，因此要特别加强对其的内部控制。四、信息系统内部控制典型模型一一cobit模型cobit是由美国信息系统审计与控制协会（isaca）在1996年公布的，目前已经更新至第五版，是国际上公认的最权威、最先进的安全与信息技术管理和控制标准。cobit是信息技术治理惯例的集大

6、成者，为衡量、审计和控制信息系统提供了一个普遍适用的控制模型，能够指导企业有效利用信息资源，有效管理与信息相关的风险。cobit通过信息技术过程管理信息技术资源，以交付满足业务和治理要求的信息，实现控制目标。cobit包括34个通用的信息技术流程，没一个处理过程都是一系列关联的it活动或任务。按照信息系统生命周期，将it过程分为四个领域：策划与组织、获取与实施、交付与支持、监控与评价，这些领域就是规划、实施、运行维护和监控四项传统的职责领域。cobit在34个通用的it流程基础上进一步细化发展了318个控制目标。策划与组织主要从战略的高度对企业信息系统进行全面规划，致力于识别it为实现业务目标

7、作出最佳贡献的途径。在该阶段需要明确信息系统的目标和范围，对it项目的风险进行评估，从技术、经济和管理等方面对系统规划方案进行可行性研究，做好资源的规划获取与实施阶段涵盖了信息系统分析与设计的部分过程，为实现it战略，确认、开发、实施it解决方案并将其整合到业务流程中去。同时该阶段指出了现有系统的变更与维护如何能确保持续满足业务目标。交付与支持阶段主要关注所需服务的实际交付情况，涵盖了业务交付安全和持续性管理用户服务支持数据与操作设施管理等领域，对it服务的交付质量进行严格控制。监控与评价主要定期评估所有it流程的质量以及与控制要求的符合程度。该阶段涉及绩效管理、内部控制的监督、合规和治理等内

8、容。篇二：浅议信息系统的内控体系建设浅议信息系统的内控体系建设briefanalysisofinternalinformationsystemconstruction贾君君，李为卫，杨扬（中国石油集团石油管工程技术研究院,陕西西安710065）摘要：中国石油从20 xx年起开始全面建设内控体系，本文通过对中国石油信息系统内控体系建设的探索，阐述了信息系统内控体系建设的内容及实施的意义，对其他单位信息系统内控体建设有较好的借鉴意义。abstract:cnpchasbegantobuildatotalinternalsystemsince20 xx.thisarticlesetsforththec

9、ontentofthetotalinternalsystemanditsimplementarysignificancebyexploringtheinnersystemconstructioninthecnpc.therefore,ithassignificantlymeaningforotherenterprisesinbuildingtheinternalinformationsystem.关键字：信息系统、内控体系、五要素、意义keywords:informationsystem、internalsystem、fivefactors、significance引言美国安然与世通事件引发社

10、会对保护投资者利益的关注,20 xx年美国国会出台了萨班斯-奥克斯利法案（sarbanes-oxley法案）,该法案目的在于提升民众对美国金融市场及上市公司财务报告的信心。法案提出必须使用一个内部控制框架作为内控有效性评估的基础，同时明确了内部控制的整体框架构成。中国石油集团内控体系建设项目源于萨班斯-奥克斯利法案。20 xx年，中国石油以coso（thecommitteeofsponsoringorganizationsofthenationalcommissionofFraudulentFinancialReporting,全国虚假财务报告委员会下属的发起人委员会）内部控制整体框架为基础，

11、融合coso企业风险管理整体框架的主要内容，结合国家监管部门的基本要求，全面开展了内部控制体系建设内部控制体系概述中国石油内控体系建设覆盖全部业务和部门。建立了包括控制环境、风险评估、控制活动、信息与沟通、监督五要素的内部控制体系。其中：（1）控制环境（controlenvironment）是指企业的基调、氛围，直接影响企业员工的控制意识，是内部控制的基础。（2）风险评估（riskappraisal）就是识别、分析相关风险以实现既定目标，是风险管理的基础。（3）控制活动（controlactivity）指那些有助于管理层决策顺利实施的政策和程序，是针对风险采取的控制措施。包括批准、授权、查证、

12、核对、复核经营业绩、资产保护和职责分工等活动。（4）信息与沟通（informationandcommunication）是指企业经营管理所需信息必须被识别、获得并以一定形式及时传递，以便员工履行职责。（5）监督（monitoring）是对内部控制系统有效性进行评估的过程，它实际上是内部控制的一种再控制。包括持续监督、独立评估和缺陷报告等，通过监督活动的实施，可以使内部控制系统保持其有效性。内部控制五要素共同配合和相互联系，共同对企业的各经营部门和业务活动发挥作用。信息系统内部控制简介信息系统内部控制五要素具体为：（1）控制环境：提高员工的组织影响控制意识，主要因素包括数据的保密性、真实性、政策

13、、程序和责任；（2）风险评估：it风险评估指it管理、数据安全、程序变更和开发以及计算机运行it内部控制战略计划；（3）控制活动：必要的政策和程序用来确定管理的指示正在被执行，主要包括信息系统总体控制和应用层面的控制；（4）信息和沟通：对于相关信息及时的鉴别，获取和传达以及访问内部和外部信息的权限控制；（5）监督：评估信息系统的稳定性，管理和监督活动。其中控制活动是信息系统内部控制的主要环节。针对信息系统总体控制与应用控制，主要做了以下探索：（1）信息系统总体控制（generalcomputercontrol,简称gcc）。中国石油集团公司制定了信息系统总体控制实施规范,适用于在信息技术的开发

14、、实施、运行、维护及管理等方面的控制,主要包括六个方面：（1）信息系统控制环境。其包括总体控制环境、信息与沟通、风险评估和监控。（2）信息安全。由信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护和第三方安全管理组成。（3）信息系统项目建设管理。涵盖了项目立项审批、项目建设方法、项目管理三项内容。(4)信息系统变更管理。内容涉及变更管理、日常变更流程、紧急变更流程。(5)信息系统日常运维。范围包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复和问题管理。(6)最终用户操作。由最终用户计算机操作安全制度和电子表格管理两项主要内容。表1：中国石油信息系统总体控制(gcc

15、)实施表单目录(2)应用控制(applicationcontrol，简称ac)信息系统应用控制包括应用软件中的电算化步骤以及用以控制不同种类交易处理的相关手工操作程序。这些控制结合在一起，可以保证系统中的安全性。主要包括：(1)完整性。包括所有的交易都经过处理，且只处理一次；不允许数据的重复录入和处理和例外情况的发现和解决。(2)准确性。包括所有的数据(包括金额和账户)是正确和合理的；例外情况被及时发现以保证交易被记录在正确的会计期间。(3)有效性。包括交易被适当授权；系统不接受虚假交易；例外情况被发现和处理。(4)接触控制。包括未经授权，不得对数据进行修改；数据的保密性；物理设备的保护等信息

16、系统总体控制和应用控制是相互关联的。信息系统总体控制是应用系统控制的基础,应用系统控制依赖于信息系统总体控制,信息系统总体控制和应用控制共同保证信息处理的完整性和准确性。信息系统内部控制的意义信息系统内部控制的实施，加强了企业在应用信息技术上的科学性与规范性，提高了企业在信息技术的开发、实施及运维管理等方面的控制能力，增强企业信息系统的运行效力。主要体现在以下几个方面：（1）从单一的制度建设向综合性的管理体系转变。通过完善控制环境，开展风险辨识，明确控制主体及措施，建立畅通的沟通渠道和严格监督机制，全面明确信息管理体系的具体要求和评价标准，为建立有效运行的信息管理体系提供依据，代表了信息的管理目标水平。（2）从传统管理向风险管理转变。建立了信息风险评估标