IT內(nèi)部控制的分類、目標(biāo)和標(biāo)準(zhǔn)

2014-11-08 22:09:12 大云網(wǎng)　點(diǎn)擊量：評論 (0)

信息系統(tǒng)內(nèi)部控制是一個(gè)可以預(yù)防、檢測和糾正非法事件的系統(tǒng)的總稱。內(nèi)部控制包含一系列的相關(guān)組成部分，它們共同工作以達(dá)到一個(gè)共同的日標(biāo)。內(nèi)部控制的焦點(diǎn)是非法事件，輸入信息系統(tǒng)的數(shù)據(jù)出現(xiàn)異常〔如未授權(quán)、不準(zhǔn)確、不完整、無效或低效)或信息系統(tǒng)在處理輸入的數(shù)據(jù)也出現(xiàn)卜述異常時(shí)都會(huì)導(dǎo)致非法事件的產(chǎn)生。信息系統(tǒng)的內(nèi)部控制就是用來預(yù)防、檢測和糾正非法事件的，其目的是減少系統(tǒng)內(nèi)部非法事件帶來的損失。

　　1、信息系統(tǒng)內(nèi)部控制分類
　　信息系統(tǒng)的內(nèi)部控制分為般控制和應(yīng)用控制，其中一般控制又包括管理控制和運(yùn)行控制，如圖1所示。

內(nèi)部控制

　　(1) 管理控制:信息系統(tǒng)的管理控制對于實(shí)現(xiàn)資產(chǎn)安全、數(shù)據(jù)完整、系統(tǒng)的有效性和高效性具有重要意義。信息系統(tǒng)的管理控制涉及整個(gè)信息系統(tǒng)的決策、開發(fā)以及日常的使用和維護(hù)。主要包括高層管理控制、系統(tǒng)開發(fā)管理控制、程序編碼管理控制、數(shù)據(jù)資源管理控制、安全管理控制和質(zhì)量保證管理控制。
　　(2) 運(yùn)行控制:運(yùn)行控制負(fù)責(zé)系統(tǒng)硬件和軟件的日常運(yùn)行，保證應(yīng)用系統(tǒng)能完成工作目標(biāo)。運(yùn)行控制主要包括計(jì)算機(jī)操作控制、通信網(wǎng)絡(luò)控制、數(shù)據(jù)準(zhǔn)備和輸入控制、生產(chǎn)控制、系統(tǒng)數(shù)據(jù)的管理控制、文檔和程序的控制、員工培訓(xùn)和技術(shù)支持控制、性能監(jiān)視控制和外部采購控制。
　　(3)應(yīng)用控制:應(yīng)用控制保證各個(gè)應(yīng)用系統(tǒng)達(dá)到保護(hù)資產(chǎn)安全、數(shù)據(jù)完整、系統(tǒng)有效和高效的目標(biāo)。應(yīng)用控制有三個(gè)基本的特征，首先應(yīng)用控制的對象是硬件和軟件，其次應(yīng)用控制應(yīng)用于數(shù)據(jù)和數(shù)據(jù)的處理，第只應(yīng)用控制傾向于保護(hù)資產(chǎn)的安全和數(shù)據(jù)的完整性。應(yīng)用控制包括邊界控制、輸入控制、通信控制、處理控制、數(shù)據(jù)庫控制和輸出控制。
　　2、信息系統(tǒng)內(nèi)部控制的目標(biāo)
　　信息系統(tǒng)內(nèi)部控制有以下三個(gè)目標(biāo):
　　(1)與業(yè)務(wù)日標(biāo)一致:信息系統(tǒng)內(nèi)部控制要從組織目標(biāo)和信息化戰(zhàn)略中抽取信息需求和功能需求，形成總體的信息系統(tǒng)內(nèi)部控制框架，為系統(tǒng)的運(yùn)行提供保障，保證信息技術(shù)跟上持續(xù)變化的業(yè)務(wù)目標(biāo)。
　　(2) 有效利用信息資源:目前信息化工程超期、IT外部的需求沒有滿足、IT平臺(tái)支持業(yè)務(wù)應(yīng)用等問題較為突出，通過信自.系統(tǒng)內(nèi)部控制可以對信息資源進(jìn)行有一效管理，保護(hù)投資的回收，并支持決策。
　　(3)風(fēng)險(xiǎn)管理:由于組織越來越依賴于信息技術(shù)和網(wǎng)絡(luò)，新的風(fēng)險(xiǎn)不斷涌現(xiàn)。信息系統(tǒng)內(nèi)部控制強(qiáng)調(diào)風(fēng)險(xiǎn)管理，通過制定信息資源的保護(hù)級別，強(qiáng)調(diào)關(guān)鍵的信息技術(shù)資源，有效實(shí)施監(jiān)控和事故處理。信息系統(tǒng)內(nèi)部控制是使組織適應(yīng)外部環(huán)境變化;使組織內(nèi)部實(shí)現(xiàn)對業(yè)務(wù)流程中資源的有效利用，從而達(dá)到改善管理效率和水平的重要手段。
　　3、信息系統(tǒng)內(nèi)部控制的標(biāo)準(zhǔn)
　　信息系統(tǒng)內(nèi)部控制對組織業(yè)務(wù)目標(biāo)的實(shí)現(xiàn)是如此的重要，促使我們考慮如何進(jìn)行管理和控制。COBIT模型是信息系統(tǒng)管理和控制的一個(gè)開放性標(biāo)準(zhǔn)，目前已成為國際上公認(rèn)的最先進(jìn)、最權(quán)威的安全與信息技術(shù)管理和控制的標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)輔助管理層進(jìn)行有效的信息系統(tǒng)內(nèi)部控制，目前該標(biāo)準(zhǔn)己在一百多個(gè)國家的重要組織中應(yīng)用，用以指導(dǎo)這些組織有效利用信息資源，有效地管理與信息相關(guān)的風(fēng)險(xiǎn)。COBIT有不少成功案例。美國的一些州己把COBIT標(biāo)準(zhǔn)作為虛擬政府策略的一部分，用它來保持較低的成本并為它的客戶和委托人提供一定的服務(wù)質(zhì)量。戴爾公司把COBIT作為CSA (Control Self Assessment)策略的一部分，幫助公司保持高質(zhì)量。

責(zé)任編輯：葉雨田

免責(zé)聲明：本文僅代表作者個(gè)人觀點(diǎn)，與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，請讀者僅作參考，并請自行核實(shí)相關(guān)內(nèi)容。

我要收藏

個(gè)贊