【正文】 計(jì)算機(jī)信息系統(tǒng)的控制及其審計(jì) [內(nèi)容提要] 當(dāng)信息處理的方式由手工轉(zhuǎn)向計(jì)算機(jī)后,為了確保輸出信息的及時(shí)、準(zhǔn)確和完整，為防止或及時(shí)發(fā)現(xiàn)差錯(cuò)及舞弊行為的發(fā)生，信息系統(tǒng)的控制就顯得尤為重要。本章專門(mén)研究計(jì)算機(jī)信息系統(tǒng)的一般控制及應(yīng)用控制的各種控制措施和管理制度及其審計(jì)問(wèn)題。本章最后還介紹了控制矩陣及其在信息系統(tǒng)控制審計(jì)中的應(yīng)用。第一節(jié) 信息系統(tǒng)控制的重要性信息系統(tǒng)所提供的信息是投資者、債權(quán)人及企業(yè)經(jīng)營(yíng)管理者作出投資決策以及生產(chǎn)經(jīng)營(yíng)決策的重要依據(jù)，因此，如何才能確保信息的有效、準(zhǔn)確、及時(shí)、完整和安全，是我們?cè)谠O(shè)計(jì)和運(yùn)行信息系統(tǒng)時(shí)所需考慮的一個(gè)重要問(wèn)題，而這一問(wèn)題的關(guān)鍵在于如何完善信息系統(tǒng)的控制。 一、控制的定義 對(duì)一個(gè)企業(yè)來(lái)說(shuō)，所謂控制是指企業(yè)經(jīng)營(yíng)管理者為了維護(hù)企業(yè)資產(chǎn)的安全、資源的有效利用和提高企業(yè)財(cái)會(huì)和管理信息的真實(shí)、正確性，確保企業(yè)方針政策的貫徹執(zhí)行，促進(jìn)各項(xiàng)工作與企業(yè)經(jīng)營(yíng)效率的提高而實(shí)施的各項(xiàng)措施。內(nèi)部控制由控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通和監(jiān)督五部分構(gòu)成。一個(gè)良好的企業(yè)控制系統(tǒng)應(yīng)具有以下4個(gè)方面的功能： 1. 確保企業(yè)各種經(jīng)濟(jì)資源的安全。一個(gè)企業(yè)，如果沒(méi)有一套良好的控制企業(yè)經(jīng)濟(jì)資源的措施，就會(huì)發(fā)生各種經(jīng)濟(jì)資源的損毀、貪污、浪費(fèi)、盜竊、丟失等現(xiàn)象，使企業(yè)蒙受損失。所以，要采取有力的控制措施，有效地提高企業(yè)各種經(jīng)濟(jì)資源的安全，保護(hù)企業(yè)所有者的利益。2. 確保各種經(jīng)濟(jì)信息、尤其是財(cái)會(huì)信息的準(zhǔn)確、完整和及時(shí)性。只有及時(shí)、準(zhǔn)確、完整的經(jīng)濟(jì)信息，才能引導(dǎo)企業(yè)經(jīng)營(yíng)管理者正確地作出各種經(jīng)濟(jì)預(yù)測(cè)和決策，圓滿實(shí)現(xiàn)企業(yè)的經(jīng)營(yíng)目標(biāo)；反之，則會(huì)對(duì)企業(yè)的生產(chǎn)經(jīng)營(yíng)起誤導(dǎo)作用，使企業(yè)在面臨各種問(wèn)題時(shí)，作出錯(cuò)誤的選擇。可見(jiàn)，建立良好的信息系統(tǒng)控制，是保證信息質(zhì)量的重要途徑。 ，使企業(yè)保持良好的運(yùn)行效率。提高企業(yè)各部門(mén)工作效率是保證企業(yè)良好運(yùn)行，順利實(shí)現(xiàn)企業(yè)經(jīng)營(yíng)目標(biāo)的重要途徑。因此，在企業(yè)內(nèi)建立一套有效的業(yè)績(jī)考核和評(píng)估體系，使企業(yè)內(nèi)形成一種相互激勵(lì)，相互約束的竟?fàn)帣C(jī)制，可以大大提高企業(yè)對(duì)各種經(jīng)濟(jì)資源、人力資源的利用率，使企業(yè)保持良好的運(yùn)行效率。4. 確保企業(yè)方針政策的貫徹執(zhí)行，促進(jìn)企業(yè)經(jīng)濟(jì)效益的提高。設(shè)計(jì)企業(yè)的控制系統(tǒng)，其最終目的是為了促進(jìn)企業(yè)經(jīng)營(yíng)管理活動(dòng)的合理化，促進(jìn)企業(yè)經(jīng)濟(jì)效益的提高。因此，一個(gè)有效的控制系統(tǒng)，應(yīng)能確保企業(yè)方針政策的貫徹執(zhí)行，促進(jìn)經(jīng)濟(jì)效益的提高。一個(gè)企業(yè)的控制包括對(duì)經(jīng)營(yíng)子系統(tǒng)、管理子系統(tǒng)和信息子系統(tǒng)的控制。本章主要是討論對(duì)信息系統(tǒng)的控制，也有時(shí)涉及一些經(jīng)營(yíng)、管理系統(tǒng)的相關(guān)控制。二、計(jì)算機(jī)信息系統(tǒng)控制所面臨的新問(wèn)題 當(dāng)信息處理的方式由手工處理向計(jì)算機(jī)處理轉(zhuǎn)變后，信息處理工作所面臨的環(huán)境發(fā)生了很大的變化，給信息系統(tǒng)的控制帶來(lái)了許多新的課題。歸納起來(lái)，主要有以下幾個(gè)方面： （一）如何對(duì)使用者進(jìn)行身份識(shí)別和權(quán)限控制 當(dāng)信息系統(tǒng)由手工處理數(shù)據(jù)轉(zhuǎn)化為計(jì)算機(jī)進(jìn)行數(shù)據(jù)處理后，原來(lái)人與人之間的聯(lián)系在很多方面會(huì)轉(zhuǎn)變?yōu)槿伺c計(jì)算機(jī)之間的聯(lián)系。為了有效地防止數(shù)據(jù)被篡改、破壞、竊取等現(xiàn)象的發(fā)生，就要求信息系統(tǒng)具有識(shí)別使用者身份并對(duì)其進(jìn)行權(quán)限控制的能力。只有具有特定權(quán)限的使用者才能接觸信息系統(tǒng)，執(zhí)行相應(yīng)的操作，從而達(dá)到有力地保護(hù)系統(tǒng)信息安全的目的。因此，如何才能對(duì)使用者進(jìn)行身份識(shí)別和權(quán)限控制，是由手工處理數(shù)據(jù)轉(zhuǎn)變?yōu)橛?jì)算機(jī)處理數(shù)據(jù)后所帶來(lái)的新的課題之一。 （二）業(yè)務(wù)授權(quán)問(wèn)題 業(yè)務(wù)授權(quán)（Transaction Authorization）是保證員工處理的僅是他們職權(quán)內(nèi)有權(quán)處理的業(yè)務(wù)的控制措施。在計(jì)算機(jī)信息系統(tǒng)中，許多授權(quán)往往是由程序進(jìn)行控制的。例如，采購(gòu)系統(tǒng)中可設(shè)計(jì)好存貨低于多少就自動(dòng)打印訂單，訂多少、向那個(gè)供應(yīng)商訂貨理論上計(jì)算機(jī)都可全部自動(dòng)按程序執(zhí)行，無(wú)需人工的參與。但是，如果沒(méi)有良好的控制，可能會(huì)出現(xiàn)不合理的訂貨，浪費(fèi)企業(yè)大量的資金。因此，信息系統(tǒng)中的業(yè)務(wù)授權(quán)處理程序的準(zhǔn)確性、完整性十分重要，只有這樣，才能保證業(yè)務(wù)的自動(dòng)授權(quán)是可以接受的、可行的。 （三）職責(zé)分離（Segregation of Duties）問(wèn)題 不相容任務(wù)的職責(zé)分離，即應(yīng)由不同的人員分擔(dān)不相容的工作任務(wù)或職務(wù)，是手工系統(tǒng)計(jì)中十分重要的控制措施。其一般原則是：業(yè)務(wù)審批、執(zhí)行人員與業(yè)務(wù)記錄人員職責(zé)分離；資產(chǎn)記錄人員和資產(chǎn)保管人員職責(zé)分離；根據(jù)業(yè)務(wù)處理過(guò)程和記錄的性質(zhì)，再按不同的賬、不同的處理進(jìn)一步分離，例如，記明細(xì)賬的和記總賬的職責(zé)分離、材料訂購(gòu)與材料驗(yàn)收的職責(zé)分離，等等。通過(guò)恰當(dāng)?shù)穆氊?zé)分離，實(shí)現(xiàn)互相牽制、互相核對(duì)，使有作弊企圖者必須串通多人才能作弊。 在計(jì)算機(jī)信息系統(tǒng)中，原有的一些分工沒(méi)有了。例如，啟動(dòng)、批準(zhǔn)、處理采購(gòu)訂單，收到發(fā)票后登記應(yīng)付賬款，自動(dòng)打印付款憑證和支票等業(yè)務(wù)全都可由計(jì)算機(jī)自動(dòng)完成。信息系統(tǒng)的應(yīng)用程序一般在系統(tǒng)的整個(gè)生命周期內(nèi)都在使用，影響很大。因此，在計(jì)算機(jī)信息處理環(huán)境下，既然有些業(yè)務(wù)的處理不能分離，應(yīng)轉(zhuǎn)而把職責(zé)分離的著眼點(diǎn)放到計(jì)算機(jī)系統(tǒng)的開(kāi)發(fā)、使用和維護(hù)工作上。 （四）監(jiān)督（Supervision）問(wèn)題 監(jiān)督對(duì)于小單位或者大單位的小部門(mén)十分重要，因?yàn)檫@些部門(mén)的職員往往一人擔(dān)負(fù)了多個(gè)不相容的職責(zé)。在手工條件下，監(jiān)督通常是部門(mén)負(fù)責(zé)人的責(zé)任之一，且職員都在同一個(gè)地方工作，相互之間也有監(jiān)督作用。在計(jì)算機(jī)環(huán)境下，監(jiān)督的任務(wù)更復(fù)雜了，因?yàn)橛?jì)算機(jī)技術(shù)人員計(jì)算機(jī)知識(shí)水平高，有些人負(fù)責(zé)了重要的工作崗位，可直接訪問(wèn)系統(tǒng)的程序和數(shù)據(jù)，且人員的流動(dòng)性比較大，有些人還可能單獨(dú)在很遠(yuǎn)的終端上工作，管理人員與同事不能直接看到他們?cè)谧鍪裁?，難以進(jìn)行直接有效的監(jiān)督。因此在計(jì)算機(jī)環(huán)境下，應(yīng)把許多在人工環(huán)境下的直接監(jiān)督融合到系統(tǒng)程序中去，由程序來(lái)實(shí)現(xiàn)監(jiān)督和控制。 （五）會(huì)計(jì)記錄與信息安全問(wèn)題 手工的會(huì)計(jì)資料包括原始憑證、日記賬、明細(xì)分類(lèi)賬、總賬和會(huì)計(jì)報(bào)表，這些資料給審計(jì)提供了審計(jì)線索。在計(jì)算機(jī)條件下，有些系統(tǒng)并沒(méi)有日記賬和明細(xì)賬文件，而只是把原始憑證上的重要數(shù)據(jù)項(xiàng)保存在數(shù)據(jù)文件中，有關(guān)的會(huì)計(jì)信息可能通過(guò)分散在多個(gè)不同磁盤(pán)、不同文件的數(shù)據(jù)臨時(shí)加工得到，文件之間通過(guò)關(guān)鍵字、指針、索引等發(fā)生聯(lián)系。要審查這些信息的正確性，審計(jì)人員要十分熟悉系統(tǒng)所用的數(shù)據(jù)庫(kù)管理系統(tǒng)，給審計(jì)帶來(lái)了較大的困難。而且，計(jì)算機(jī)信息系統(tǒng)中的各種數(shù)據(jù)文件是以肉眼不可見(jiàn)的，很容易被篡改或刪去而不留下任何痕跡。因此，信息的安全可靠性有很多隱患。如何確保系統(tǒng)信息的安全，是我們?cè)谠O(shè)計(jì)和運(yùn)行信息系統(tǒng)時(shí)所需考慮的又一重要問(wèn)題。 （六）訪問(wèn)控制（Access Control）的問(wèn)題 企業(yè)資產(chǎn)的接觸控制分為直接接觸控制和間接接觸控制。建圍墻、設(shè)保安、自動(dòng)報(bào)警系統(tǒng)、房間加鎖等是直接接觸控制。間接接觸指通過(guò)閱讀或篡改會(huì)計(jì)資料而獲得有關(guān)資產(chǎn)的情況，甚至侵吞有關(guān)資產(chǎn)，例如通過(guò)破壞、涂改相關(guān)的銷(xiāo)售業(yè)務(wù)和應(yīng)收賬款記錄而實(shí)現(xiàn)貪污。在手工條件下，這樣的問(wèn)題可通過(guò)防止隨便接觸賬簿記錄、對(duì)登記這些賬簿的人員實(shí)行職責(zé)分離，如銷(xiāo)售明細(xì)賬、應(yīng)收賬款明細(xì)賬、總賬由不同的人員登記進(jìn)行控制。在計(jì)算機(jī)環(huán)境下，所有會(huì)計(jì)資料均集中存儲(chǔ)在數(shù)據(jù)處理中心的大存儲(chǔ)容量的設(shè)備上，從而容易作弊或受到災(zāi)害的損毀；另外，對(duì)程序的非法訪問(wèn)也危及到用戶資產(chǎn)和信息的安全。因此，限制對(duì)計(jì)算機(jī)數(shù)據(jù)和程序的訪問(wèn)，對(duì)機(jī)房或數(shù)據(jù)處理中心提供物理安全措施，保證正確的數(shù)據(jù)備份等，都十分重要。有些訪問(wèn)控制是技術(shù)性的，有些靠職責(zé)分離實(shí)現(xiàn)，但其基本原則是：無(wú)論允許或限制一個(gè)人訪問(wèn)什么程序或什么數(shù)據(jù)，都必須根據(jù)其所分配的工作的需要來(lái)作出決定。 （七）獨(dú)立復(fù)核（Independent Verification）問(wèn)題 監(jiān)督是事中控制，而復(fù)核是一種事后的控制。獨(dú)立復(fù)核是由不直接參與該業(yè)務(wù)處理的人員進(jìn)行復(fù)核。通過(guò)復(fù)核，管理人員可以評(píng)估工作人員的業(yè)績(jī)，評(píng)估處理的完整性和會(huì)計(jì)信息的準(zhǔn)確性。在計(jì)算機(jī)信息系統(tǒng)中，原來(lái)經(jīng)多道手續(xù)由多人完成的業(yè)務(wù)處理變?yōu)橛捎?jì)算機(jī)集中統(tǒng)一進(jìn)行處理，原來(lái)在手工處理中所存在的相互核對(duì)的約束機(jī)制不復(fù)存在。所以，我們?cè)谠O(shè)計(jì)信息系統(tǒng)時(shí)，必須著重考慮如何才能提高信息系統(tǒng)自身對(duì)經(jīng)濟(jì)業(yè)務(wù)處理的審查、復(fù)核能力，以減少信息系統(tǒng)在處理數(shù)據(jù)時(shí)發(fā)生錯(cuò)誤的可能性。如果在設(shè)計(jì)信息系統(tǒng)時(shí)忽略了這一點(diǎn)，則可能會(huì)由于采集或輸入數(shù)據(jù)的錯(cuò)誤，或軟件本身的錯(cuò)誤而導(dǎo)致輸出信息的錯(cuò)誤，從而誤導(dǎo)信息使用者。因此，在計(jì)算機(jī)信息系統(tǒng)中，復(fù)核控制的重點(diǎn)變?yōu)橄到y(tǒng)的開(kāi)發(fā)和維護(hù)審計(jì)以及程序的邏輯審查。 （八）電子商務(wù)和網(wǎng)絡(luò)經(jīng)營(yíng)中的特殊的安全問(wèn)題 電子商務(wù)給企業(yè)帶來(lái)了前所未有的商機(jī)，同時(shí)也帶來(lái)了前所未有的風(fēng)險(xiǎn)。在傳統(tǒng)的經(jīng)營(yíng)條件下，企業(yè)資產(chǎn)和經(jīng)營(yíng)的安全可以通過(guò)建立健全的內(nèi)部控制得以保證。在電子商務(wù)條件下，企業(yè)的計(jì)算機(jī)信息系統(tǒng)是一個(gè)開(kāi)放系統(tǒng)，計(jì)算機(jī)病毒和黑客隨時(shí)可以通過(guò) Internet 威脅到企業(yè)資產(chǎn)和經(jīng)營(yíng)的安全。因?yàn)殡姶判畔⒖梢詣h改且不留痕跡，企業(yè)在電子商務(wù)中要面對(duì)如何解決交易的確認(rèn)、經(jīng)確認(rèn)的文件不可修改和不可否認(rèn)、網(wǎng)上信息傳遞的保密等問(wèn)題。這些安全問(wèn)題不是企業(yè)內(nèi)部所能完全控制的，必須針對(duì)其固有的風(fēng)險(xiǎn)建立全新的控制。 （九）軟件開(kāi)發(fā)的質(zhì)量問(wèn)題 一個(gè)信息系統(tǒng)能否正常運(yùn)轉(zhuǎn)，合法、正確地處理各項(xiàng)經(jīng)濟(jì)業(yè)務(wù)，保持較高的運(yùn)行效率，節(jié)省運(yùn)行成本等，很大程度上取決于所開(kāi)發(fā)軟件的質(zhì)量。在信息系統(tǒng)中，計(jì)算機(jī)擔(dān)負(fù)著企業(yè)絕大部分的信息處理任務(wù)，一旦軟件中某個(gè)環(huán)節(jié)出現(xiàn)問(wèn)題而無(wú)法正常工作，或者被人為破壞，就有可能導(dǎo)致整個(gè)信息系統(tǒng)數(shù)據(jù)處理的一連串錯(cuò)誤，甚至導(dǎo)致系統(tǒng)停止運(yùn)轉(zhuǎn)，給企業(yè)的經(jīng)營(yíng)和管理帶來(lái)不可估量的損失。因此，企業(yè)應(yīng)對(duì)信息系統(tǒng)的開(kāi)發(fā)工作進(jìn)行有效的控制，以確保所開(kāi)發(fā)軟件的質(zhì)量。 三、加強(qiáng)信息系統(tǒng)控制的重要意義 通過(guò)上面的闡述我們可以看出，當(dāng)信息的處理方式由手工處理轉(zhuǎn)變?yōu)橛?jì)算機(jī)處理之后，就給信息系統(tǒng)的控制帶來(lái)了許多新的問(wèn)題，使得信息系統(tǒng)所潛在的風(fēng)險(xiǎn)比手工系統(tǒng)更大、更復(fù)雜。同時(shí)，由于信息系統(tǒng)所產(chǎn)生的信息日益增多，沒(méi)有健全的控制措施，就很難保證信息的收集、傳遞、處理能夠及時(shí)、準(zhǔn)確、完整和不會(huì)出現(xiàn)無(wú)意的差錯(cuò)或有意的舞弊。事實(shí)證明，如果計(jì)算機(jī)信息系統(tǒng)的控制出現(xiàn)漏洞，將會(huì)對(duì)企業(yè)造成比手工系統(tǒng)更為嚴(yán)重的損失，這種例子屢見(jiàn)不鮮。所以，當(dāng)我們?cè)谠O(shè)計(jì)和運(yùn)行信息系統(tǒng)時(shí)，必須把加強(qiáng)對(duì)信息系統(tǒng)的控制放在十分重要的地位，認(rèn)真抓緊抓好這項(xiàng)工作，以保證信息系統(tǒng)能安全、可靠地工作。當(dāng)然，最完善的控制系統(tǒng)也有其固有的局限，如：企業(yè)在制訂控制制度時(shí)，要考慮成本效益原則；控制制度可能會(huì)由于執(zhí)行人員的錯(cuò)誤理解、疏忽大意或串通舞弊而失效等。所以，盡管我們強(qiáng)調(diào)要加強(qiáng)信息系統(tǒng)的控制，但也應(yīng)清楚知道絕對(duì)的安全是沒(méi)有的，控制也不是越多越嚴(yán)密越好。衡量控制系統(tǒng)的恰當(dāng)性最根本的標(biāo)準(zhǔn)是考慮企業(yè)的經(jīng)濟(jì)效益和社會(huì)效益，應(yīng)以此作為掌握控制制度寬嚴(yán)的尺度。 四、計(jì)算機(jī)信息系統(tǒng)的控制的總框架在電子商務(wù)與網(wǎng)絡(luò)經(jīng)營(yíng)環(huán)境下，企業(yè)計(jì)算機(jī)信息系統(tǒng)的構(gòu)成和總的控制框架如圖31所示：計(jì) 算 中 心供應(yīng)商 操作系統(tǒng)數(shù)據(jù)資源通信和電子商務(wù)通信系統(tǒng)開(kāi)發(fā)客戶 終端 終端．．．應(yīng)用系統(tǒng)維護(hù)圖31 信息系統(tǒng)總的控制框架 針對(duì)計(jì)算機(jī)信息系統(tǒng)的構(gòu)成和控制框架，可把信息系統(tǒng)的控制劃分為以下八個(gè)方面： 1．組織控制。 2．?dāng)?shù)據(jù)資源控制。 3．系統(tǒng)開(kāi)發(fā)與維護(hù)控制。 4．計(jì)算中心的安全控制。 5．?dāng)?shù)據(jù)通信控制。 6．電子商務(wù)的安全控制。7．微機(jī)系統(tǒng)的控制。8．各個(gè)應(yīng)用系統(tǒng)的控制。在第三節(jié)將對(duì)它們逐一進(jìn)行較詳細(xì)的討論。第二節(jié) 計(jì)算機(jī)信息系統(tǒng)控制的分類(lèi)平常人們講到信息系統(tǒng)的控制常會(huì)有很多不同的提法，往往是按不同的分類(lèi)來(lái)討論信息系統(tǒng)的控制。為了讓讀者明確各種控制的關(guān)系，切實(shí)掌握計(jì)算機(jī)信息系統(tǒng)應(yīng)有的控制，在具體討論信息系統(tǒng)的控制措施前，我們先簡(jiǎn)單介紹一下信息系統(tǒng)內(nèi)部控制的分類(lèi)。信息系統(tǒng)的控制可以按不同的方式進(jìn)行分類(lèi)，最常見(jiàn)的有下列幾種分類(lèi)方法。一、按實(shí)施的范圍和對(duì)象分類(lèi)按控制實(shí)施的范圍和對(duì)象分，信息系統(tǒng)的內(nèi)部控制可分為一般控制（general control）和應(yīng)用控制(application control)。國(guó)際上常見(jiàn)的教科書(shū)在討論信息系統(tǒng)的控制時(shí)多按這種分類(lèi)，本書(shū)在下一節(jié)也將按這種分類(lèi)來(lái)討論信息系統(tǒng)的控制措施。一般控制是指對(duì)計(jì)算機(jī)信息系統(tǒng)的構(gòu)成要素（包括人、計(jì)算機(jī)、通信線路、系統(tǒng)軟件、應(yīng)用程序、數(shù)據(jù)文件等）和系統(tǒng)環(huán)境（包括組織結(jié)構(gòu)、系統(tǒng)開(kāi)發(fā)與維護(hù)、環(huán)境安全等）實(shí)施的控制。一般控制適用于整個(gè)計(jì)算機(jī)信息系統(tǒng)，它為信息系統(tǒng)提供良好的工作條件和必要的安全保證，是應(yīng)用控制的基礎(chǔ)。應(yīng)用控制是指針對(duì)信息系統(tǒng)的各功能子系統(tǒng)（或稱功能模塊）的輸入、處理和輸出過(guò)程中的敏感環(huán)節(jié)和控制要求所實(shí)施的控制，上一節(jié)所述的控制框架中的第8項(xiàng)就是應(yīng)用控制。應(yīng)用控制包括輸入控制、處理控制和輸出控制。不同的計(jì)算機(jī)應(yīng)用（如帳務(wù)處理、工資核算、固定資產(chǎn)管理等等），其敏感環(huán)節(jié)和控制要求不同，因此應(yīng)用控制也不盡相同。應(yīng)用控制用以確保特定的子系統(tǒng)（或稱功能模塊）的輸入、處理和輸出的安全、正確。應(yīng)用控制必須在有效的一般控制基礎(chǔ)上才能發(fā)輝作用。二、按控制的目標(biāo)分類(lèi)按控制實(shí)施的目標(biāo)進(jìn)行分類(lèi)，計(jì)算機(jī)信息系統(tǒng)的內(nèi)部控制又可以分為預(yù)防性控制（preventive control）、探測(cè)性控制(detective control)以及糾正性控制(corrective control)。預(yù)防性控制是指為預(yù)防和阻止信息系統(tǒng)可能出現(xiàn)的各種差錯(cuò)或舞弊行為的發(fā)生而采用的各種控制措施。其控制目標(biāo)在防止錯(cuò)弊的發(fā)生。例如，在計(jì)算中心設(shè)置門(mén)衛(wèi)和大門(mén)上鎖，終端加鎖，系統(tǒng)用戶要經(jīng)注冊(cè)，設(shè)置密碼權(quán)限控制，系統(tǒng)程序員、操作員、數(shù)據(jù)庫(kù)管理員、文檔保管員要職責(zé)分離等等，都是預(yù)防性控制的一些典型例子。探測(cè)性控制是指為及時(shí)發(fā)現(xiàn)系統(tǒng)內(nèi)正在或已經(jīng)發(fā)生的各種差錯(cuò)和舞弊行為，以便能及時(shí)制止和糾正之而采取的各種控制措施。其控制目標(biāo)不是預(yù)防而是及時(shí)探測(cè)并發(fā)現(xiàn)錯(cuò)弊的情況。例如裝設(shè)電子探測(cè)器；對(duì)處理結(jié)果進(jìn)行平衡檢驗(yàn)、合理性檢驗(yàn)；系統(tǒng)設(shè)置操作日志，并有安全員經(jīng)常檢查日志等，都是探測(cè)性控制措施的例子。 糾正性控制是指為了對(duì)于各種已經(jīng)發(fā)生