信息系统的内部控制主要分为应用控制、一般控制和管理控制三个方面。在审计过程中,要对被审计单位内部控制进行评价。为了对系统的内部控制制度进行评价,审计师必须验证内部控制系统是否存在,并能提供令人满意的证据,证明它正在有效地发挥作用。
在信息系统中,应检查一下方面来证明内部控制制度的有效性:
- 控制系统资源的存取。包括物理资源(例如,终端、服务器等)和逻辑资源(例如,软件、系统文件、数据等)
- 控制系统资源的使用。用户应该只能对授权给他们的那些资源进行操作。
- 建立按用户只能分配资源的制度。把重要的任务功能按用户或用户组进行分离,以减少无意的误操作、滥用系统资源和对数据的非授权修改。
- 记录系统的使用情况。按时间顺序建立一个使用记录,记录内容应包括例外事例和与安全有关的事件是由谁触发的,信息的创建、修改和删除是由谁完成的。
- 确认处理过程的准确性。所有处理过程都要按照预定的算法准确完成。
- 管理人员对信息系统的修改。应该保证信息锡系统的所有修改都是经过授权、有文档记录、经过彻底(独立地)测试的,确认最后以一种有控制的方式投入使用。
- 保护信息系统免遭病毒和黑客的攻击。必须建立一套有效的控制措施,检测病毒和网络攻击,防止病毒感染信息系统,防止黑客的攻击。
