IT内部控制的分类
IT内部控制的分类、目标和标准
来源:CIO时代网
信息系统内部控制是一个可以预防、检测和纠正非法事件的系统的总称。内部控制包含一系列的相关组成部分,它们共同工作以达到一个共同的日标。内部控制的焦点是非法事件,输入信息系统的数据出现异常〔如未授权、不准确、不完整、无效或低效)或信息系统在处理输入的数据也出现卜述异常时都会导致非法事件的产生。信息系统的内部控制就是用来预防、检测和纠正非法事件的,其目的是减少系统内部非法事件带来的损失。
1、信息系统内部控制分类
信息系统的内部控制分为般控制和应用控制,其中一般控制又包括管理控制和运行控制,如图1所示。
(1) 管理控制:信息系统的管理控制对于实现资产安全、数据完整、系统的有效性和高效性具有重要意义。信息系统的管理控制涉及整个信息系统的决策、开发以及日常的使用和维护。主要包括高层管理控制、系统开发管理控制、程序编码管理控制、数据资源管理控制、安全管理控制和质量保证管理控制。
(2) 运行控制:运行控制负责系统硬件和软件的日常运行,保证应用系统能完成工作目标。运行控制主要包括计算机操作控制、通信网络控制、数据准备和输入控制、生产控制、系统数据的管理控制、文档和程序的控制、员工培训和技术支持控制、性能监视控制和外部采购控制。
(3)应用控制:应用控制保证各个应用系统达到保护资产安全、数据完整、系统有效和高效的目标。应用控制有三个基本的特征,首先应用控制的对象是硬件和软件,其次应用控制应用于数据和数据的处理,第只应用控制倾向于保护资产的安全和数据的完整性。应用控制包括边界控制、输入控制、通信控制、处理控制、数据库控制和输出控制。
2、信息系统内部控制的目标
信息系统内部控制有以下三个目标:
(1)与业务日标一致:信息系统内部控制要从组织目标和信息化战略中抽取信息需求和功能需求,形成总体的信息系统内部控制框架,为系统的运行提供保障,保证信息技术跟上持续变化的业务目标。
(2) 有效利用信息资源:目前信息化工程超期、IT外部的需求没有满足、IT平台支持业务应用等问题较为突出,通过信自.系统内部控制可以对信息资源进行有一效管理,保护投资的回收,并支持决策。
(3)风险管理:由于组织越来越依赖于信息技术和网络,新的风险不断涌现。信息系统内部控制强调风险管理,通过制定信息资源的保护级别,强调关键的信息技术资源,有效实施
我要评论