IT内部控制的分类、目标和标准
1、信息系统内部控制分类
信息系统的内部控制分为般控制和应用控制,其中一般控制又包括管理控制和运行控制,如图1所示。
(1) 管理控制:信息系统的管理控制对于实现资产安全、数据完整、系统的有效性和高效性具有重要意义。信息系统的管理控制涉及整个信息系统的决策、开发以及日常的使用和维护。主要包括高层管理控制、系统开发管理控制、程序编码管理控制、数据资源管理控制、安全管理控制和质量保证管理控制。
(2) 运行控制:运行控制负责系统硬件和软件的日常运行,保证应用系统能完成工作目标。运行控制主要包括计算机操作控制、通信网络控制、数据准备和输入控制、生产控制、系统数据的管理控制、文档和程序的控制、员工培训和技术支持控制、性能监视控制和外部采购控制。
(3)应用控制:应用控制保证各个应用系统达到保护资产安全、数据完整、系统有效和高效的目标。应用控制有三个基本的特征,首先应用控制的对象是硬件和软件,其次应用控制应用于数据和数据的处理,第只应用控制倾向于保护资产的安全和数据的完整性。应用控制包括边界控制、输入控制、通信控制、处理控制、数据库控制和输出控制。
2、信息系统内部控制的目标
信息系统内部控制有以下三个目标:
(1)与业务日标一致:信息系统内部控制要从组织目标和信息化战略中抽取信息需求和功能需求,形成总体的信息系统内部控制框架,为系统的运行提供保障,保证信息技术跟上持续变化的业务目标。
(2) 有效利用信息资源:目前信息化工程超期、IT外部的需求没有满足、IT平台支持业务应用等问题较为突出,通过信自.系统内部控制可以对信息资源进行有一效管理,保护投资的回收,并支持决策。
(3)风险管理:由于组织越来越依赖于信息技术和网络,新的风险不断涌现。信息系统内部控制强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,有效实施监控和事故处理。信息系统内部控制是使组织适应外部环境变化;使组织内部实现对业务流程中资源的有效利用,从而达到改善管理效率和水平的重要手段。
3、信息系统内部控制的标准
信息系统内部控制对组织业务目标的实现是如此的重要,促使我们考虑如何进行管理和控制。COBIT模型是信息系统管理和控制的一个开放性标准,目前已成为国际上公认的最先进、最权威的安全与信息技术管理和控制的标准。该标准辅助管理层进行有效的信息系统内部控制,目前该标准己在一百多个国家的重要组织中应用,用以指导这些组织有效利用信息资源,有效地管理与信息相关的风险。COBIT有不少成功案例。美国的一些州己把COBIT标准作为虚拟政府策略的一部分,用它来保持较低的成本并为它的客户和委托人提供一定的服务质量。戴尔公司把COBIT作为CSA (Control Self Assessment)策略的一部分,帮助公司保持高质量。