信息系統內部控制評價是內部控制評價業務層面的重要內容之一,是對信息系統內部控制設計及運行有效性的評價。因此,加強信息系統內部控制評價工作,有利于促使企業建立健全和有效執行信息系統內部控制,從而有效控制信息系統風險。
評價目標及評價依據
信息系統內部控制評價目標,就是保證信息系統內部控制設計和運行的有效性,促使企業預防和控制信息系統風險。
信息系統內部控制評價依據是國家關于信息系統管理方面的法律法規、企業制定的信息系統管理制度及《企業內部控制手冊》中有關信息系統部分的內容。具體依據因評價單位的不同而有所不同。
一般來說,國家法律法規層面的評價依據包括《計算機信息系統安全保護條例》(國務院147號令)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發〔2003〕27號)、《關于信息安全等級保護工作的實施意見》(公通字〔2004〕66號)和《信息安全等級保護管理辦法》(公通字〔2007〕43號)、《信息安全技術 信息系統安全等級保護實施指南》以及《企業內部控制基本規范》、《企業內部控制應用指引第18號——信息系統》等;評價單位層面的評價依據包括《信息系統管理制度》、《信息系統授權制度和審核批準制度》、《信息系統的崗位責任制》;《企業內部控制管理手冊》中的《信息系統內部控制矩陣》既是內部控制評價的對象,也是評價最為直接的依據。
評價內容
信息系統內部控制評價內容,總體來說就是評價信息系統內部控制設計和運行的有效性,包括過程和結果兩個層面,具體評價范圍包括信息系統的開發、信息系統的運行與維護主要信息系統活動。具體評價內容因評價單位開展內部信息傳遞評價工作和被評價單位內部控制成熟度的不同而不同。
(一)設計有效性評價。信息系統內部控制設計有效性評價包括設計過程和設計結果兩個層面。信息系統內部控制設計結果有效性的前提是設計過程要有效,因此,要重視信息系統內部控制設計過程有效性的評價,不能僅對信息系統內部控制設計結果的有效性進行評價。實際操作上,根據中天恒3C框架內部控制設計標準,信息系統內部控制設計有效性評價包括:
現狀梳理。現狀梳理是信息系統內部控制設計的基礎性工作。評價要點是:是否首先進行了信息系統現狀梳理;是否梳理了現有信息系統管理制度或相關文件并編制了《信息系統內部管理制度或相關文件情況表》;是否進行信息系統業務現狀描述并編制了《信息系統流程目錄》、《信息系統業務現狀流程圖》等;信息系統現狀梳理的結果是否符合企業信息系統業務、管理現狀等。常用評價方法為調查問卷和審閱的方法,需要編制的評價工作底稿是調查問卷、審閱及訪談記錄表等等。
風險評估。評估要點包括:是否進行了信息系統風險評估工作;是否識別了信息系統風險并編制了《信息系統風險及其描述表》;是否分析了主要信息系統風險并編制了《信息系統風險分析表》;是否評價了信息系統風險并編制了《信息系統風險評價表》;是否確定了信息系統風險應對策略并編制了《信息系統風險應對策略表》;是否匯總分析了信息系統風險評估結果并編制了《信息系統業務風險數據庫》;是否提出了信息系統重大風險解決方案;信息系統風險評估結果是否合理有效等。常用評價方法為調查、詢問、審閱和抽樣執行穿行測試或重新執行程序,評價工作底稿是調查問卷、審閱及訪談記錄表、抽查底稿等。
控制要點確定。評價要點包括:是否劃分了信息系統內部控制的控制環節;每個控制環節是否確定了控制要點和關鍵控制并編制了《信息系統控制要點及其關鍵控制表》;信息系統控制環節、控制要點及其關鍵控制的確定結果是否有效。常用評價方法為調查問卷和審閱的方法,評價工作底稿是調查問卷、審閱及訪談記錄表等。
控制目標分解。評價要點包括:是否分析確定了信息系統內部控制的總體控制目標;是否分解了總體控制目標并編制了《信息系統內部控制目標表》;信息系統內部控制目標的分析、分解結果是否有效。常用評價方法為調查問卷和審閱的方法,評價工作底稿是調查問卷、審閱及訪談記錄表等。
控制措施確定。評價要點包括:是否確定了信息系統內部控制的總體控制措施,總體控制措施確定是否有效等;信息系統業務層的控制措施是否具體有效,是否編制了《信息系統內部控制措施表》。常用評價方法為調查問卷、審閱、穿行測試、重新執行等方法,評價工作底稿是調查問卷、審閱及訪談記錄表、跟單測試工作底稿等。
控制證據設計。信息系統控制證據是多種多樣的,評價要點是:是否設計了信息系統內部控制的控制證據,是否編制了《信息系統控制證據表》,設計的控制證據是否有效等。常用評價方法為調查問卷和審閱等方法,評價工作底稿是調查問卷、審閱及訪談記錄表等。
管理制度優化。信息系統內部控制設計的過程實際上也是信息系統管理制度優化的過程,需要對信息系統管理的修訂和完善提出建設性的意見。評價要點是:是否提出了信息系統管理制度完善建議并編制了《信息系統制度完善建議表》,建議是否合理有效等。常用評價方法為調查問卷和審閱等方法,評價工作底稿是調查問卷、審閱及訪談記錄表等。
控制流程圖繪制。《信息系統內部控制流程圖》是信息系統內部控制設計的重要成果之一,對有效實施信息系統內部控制具有導航作用。評價要點是:是否繪制了《信息系統內部控制流程圖》并標注了風險點和控制點,控制流程圖是否有用等。常用評價方法為審閱、訪談的方法,評價工作底稿是審閱及訪談記錄表等。
控制矩陣編制。《信息系統內部控制矩陣》是信息系統內部控制設計的重要成果之一,也是企業內部控制管理手冊的重要組成部分。評價要點是:是否編制了《信息系統內部控制矩陣》,控制矩陣的格式要素是否基本齊全等。常用評價方法為審閱、訪談的方法,評價工作底稿是審閱及訪談記錄表等等。
(二)運行有效性評價。信息系統內部控制運行有效性評價包括運行的過程和結果兩個層面,總體說來,評價要點包括:已設計完成的信息系統內部控制及其相關的管理制度是否有效執行,是否有效控制了信息系統風險;已設計有效的信息系統各控制點的控制措施是否有效實施,是否有效防止了各控制環節的風險;是否建立信息系統內部控制標準執行情況文檔;是否根據業務、監管要求或法律法規等的變化持續改進信息系統內部控制等。
實踐中,信息系統內部控制運行層面普遍存在的問題是已有的控制在實際中沒有執行,內部控制形同虛設,信息系統風險未有效控制,導致虛增信息系統的開發收入、人為調節利潤、形成壞賬等。信息系統內部控制的運行有效性評價重點的是控制制度及其措施的執行情況。常用評價方法為調查問卷、審閱、穿行測試、重新執行等方法,評價工作底稿是調查問卷、審閱及訪談記錄表、跟單測試工作底稿等。
評價程序
信息系統內部控制評價程序,就實施階段來說,主要包括對信息系統內部控制進行調查了解、控制測試、缺陷認定、綜合評價等程序。
(一)調查了解。信息系統內部控制調查了解是評價實施階段的首要環節,涉及的具體內容很多,也因單位的不同而不同。值得注意的是,調查了解僅作為了解信息系統內部控制設計和運行的情況的手段,不能直接形成信息系統內部控制設計和運行有效性的結論。本階段工作常用方法有文字敘述法、調查表法、流程圖法、控制矩陣法等。這些方法各有特點,需要經常加以綜合運用。
(二)現場測試。信息系統內部控制現場測試,就是測試信息系統內部控制設計和運行的有效性。實際操作中,可以根據具體情況實施詳查或者抽樣測試,具體測試方式包括跟單測試和關鍵控制測試等。
評價人員在測試信息系統內部控制設計有效性時,應當綜合運用詢問適當人員、觀察經營活動和檢查相關文件等程序,一般采用跟單測試方式。
評價人員在測試信息系統內部控制運行有效性時,應當綜合運用審閱文件資料、詢問相關人員、觀察業務活動以及重新執行控制等程序。在此過程中,應將信息系統每個業務流程的每個控制點的測試程序、方法和結果記錄于內部控制執行有效性測試底稿。測試結束后,應將各個流程和控制點的執行有效性測試結果進行匯總,記錄于《內部控制執行有效性評估匯總表》。此種測試一般采用關鍵控制測試,即是建立樣本庫,再按照樣本發生頻率、樣本庫總量的大小區分,抽取相應數量的樣本進行測試。信息系統內部控制運行有效性測試重點是對關鍵控制測試。
(三)認定缺陷。信息系統內部控制認定缺陷,就是對信息系統內部控制設計和運行缺陷的認定,并按影響程度分為重大缺陷、重要缺陷和一般缺陷。在具體的認定過程中,評價人員應將已調查了解到的信息系統內部控制的系統現狀與事先確定的標準模式進行對照,以揭示哪些法規規定的控制程序未被采用,按照不同內容分類,匯集在《內部控制缺陷認定矩陣表》中記錄,并編制《信息系統內部控制缺陷認定表》。
(四)綜合評價。信息系統內部控制綜合評價,就是指在信息系統內部控制現場測試結果的基礎上對信息系統內部控制有效性做出的最終評價,主要工作是匯總前述評價結果。本階段工作應遵循整理資料、分析影響、形成結論、反饋意見等綜合評價的基本步驟。信息系統綜合評價的方法很多,比較常用的是評分法。實施過程中,可分別信息系統內部控制設計有效性和運行有效性進行評分,也可以進行綜合評分。綜合評價結果可編制成《評價結果匯總表》或繪制成《評價地圖》。
