信息系统一般控制审计上
信息系统一般控制审计过程实例解析
信息系统一般控制审计过程实例解析
作者:张玉琳贺颖奇
来源:《财会学习》2013年第11期
随着信息技术在企业应用越来越广泛,信息系统控制和审计已经成为很多企业面临的迫切问题。信息系统控制包括一般控制和应用控制两部分,一般控制包括规划与组织控制、系统建设控制、日常运行控制等。应用控制与实际系统的业务有关,主要包括输入控制、处理控制、输出控制。对一般控制的审计就是要获取证据鉴证在被审期间企业有关的制度和规程是否健全,计算机信息系统是否按规定的制度和规程工作,控制的作用是否达到了预期的结果。
一、信息系统审计的计划阶段
计划阶段是信息系统审计过程的起点。计划阶段的主要任务是了解被审计单位以及业务和系统运营情况;识别风险和内部控制;以及确定审计的性质、范围和重点等。
(一)了解被审计单位业务和系统运营情况
审计人员首先需要了解被审单位的基本情况,主要包括业务和系统运营情况。通过对这些基本情况的调查了解,可以对被审单位审计的固有风险进行初步评价。
本文对信息系统一般控制的审计实例以一家提供医疗保险服务的公司(以下以R公司代称)为背景。R公司总部位于上海,在全国多地拥有分公司和业务部门。公司信息部负责整个公司信息系统的管理和维护工作。公司现在用的主要业务系统——医疗保险管理系统(HIMS)是由公司2003年自主研发的,系统于2005年进行测试,2006年3月正式运行使用。到今天系统经过了多次改版和升级。系统采用进行开发,后台数据库为SQL Server2005,医疗保险管理系统采用了B/s结构模式,现在服务器端操作系统为windows 7.0,客户端操作系统主要为Windows XP。公司每年都投入资金对其硬件环境进行升级改造,目前共有服务器10台、计算机1200多台、交换机87台、硬件防火墙6台,打印机103台。公司机房在上海总部办公大楼一楼,放置了温度、湿度探测器,同时配备了UPS不间断电源和自动灭火系统,为系统正常运行提供了保障。
《信息系统审计》 第3章
(2)场地(机房场地、信息存储场地)审查 审计内容:地址选择条件;温度、湿度条件; 照明、日志、电磁场干扰条件;接地、 建筑结构条件;防水、防火、防雷、防 磁、防尘措施等。 审计标准:标准GB/T 2887—2000
(3)机房审查 审计内容:防火、内部装修、供配电系统、 空调系统、火灾报警系统、消防设施、 防静电、防雷击等。 审计标准:标准GB 9361—1998(分为A、 B、C三类)
(4)物理保障审查 审计内容:电力供应、灾难应急等 审计标准:标准GB/T 2887—2000、 GB 9361—1998
二、信息系统硬件控制与审计 信息系统硬件包括? 主要包括:计算机、网络设备(交换机、集线器、 网关、路由器、中继器、桥接设备、调制解 调器等)、传输介质(同轴电缆、双绞线、 光纤、微波通信等)及转换器、输入/输出设 备、存储介质、监控设备等。
一、信息系统环境控制 信息系统环境:指保障信息系统正常运行的环境 条件。 信息系统环境?
主要包括:场地(机房场地、信息存储场地)、计算 机机房。 环境是信息系统正常运行的基本条件,环境风险主要 体现在: 自然灾害风险:如:水灾、火灾、地震等 环境故障风险:如:电力故障、设备故障、温 度故障、湿度故障、静电故障、接地故障、 恐怖袭击故障等。 如何防范信息系统环境风险? 防范环境风险主要考虑以下几方面: (1)电源供应规格是否控制在要求的范围内?
信息系统应用控制审计(上)
信息系统应用控制审计(上)
佚名
【期刊名称】《中国注册会计师》
【年(卷),期】2018(000)007
【总页数】3页(P31-33)
【正文语种】中文
行业信息化专题
在审计计划阶段,注册会计师通过对拟依赖的信息系统应用控制和数据进行初步了解和识别,以辅助于审计范围和审计计划的确定。需要强调的是,信息系统应用控制范围的确定是一个由浅入深的过程,在审计初步计划阶段,注册会计师获取的只是应用控制的初步范围,详细审计范围的确定需要在详细审计计划阶段和审计执行初期,通过资深注册会计师对各业务流程进行端到端的了解过程才能逐步确定。因此,应用控制审计是一个循序渐进的过程,很难将审计计划阶段和执行阶段完全割裂开来。随着审计活动的深入,审计范围及计划往往伴随着修正和更新,以确保审计效果的优化和效率的提升。
一、应用控制的类型
应用控制(Application Controls)指的是企业内部控制系统中与系统相关的业务层面控制。应用控制具备以下两方面的特征:
(1)应用控制或多或少是在信息系统的参与下完成的;
(2)应用控制是存在于业务流程或交易层面和过程中的内部控制。
常见的信息系统应用控制包括以下几种基本类型:(1)自动控制;(2)系统报表;(3)自动计算;(4)访问控制;(5)系统接口。
下面分别对这几种应用控制类型进行详细解释及阐述。
(一)自动控制
系统自动控制是通过计算机应用系统后台逻辑或参数设置强制执行的控制。系统自动控制由于是系统自动实现的,少有人为干预而具有高度的一致性和稳定性。一旦设定成功,在系统没有发生变更并且运行维护正常的情况下,往往能持续地保证该功能和控制的正常有效运行。
2020年注册会计师《审计》知识点:信息技术的一般控制和应用控制测试
【导语】梦想在前⽅,努⼒在路上。⽆忧考为⼤家整理“2020年注册会计师《审计》知识点:信息技术的⼀般控制和应⽤控制测试”供考⽣参考。更多注册会计师考试内容,请关注⽆忧考注册会计师考试频道。祝⼤家备考顺利!
【内容导航】
信息技术中的⼀般控制和应⽤控制测试
【所属章节】
第五章信息技术对审计的影响
【知识点】信息技术的⼀般控制和应⽤控制测试
信息技术的⼀般控制和应⽤控制测试
对于⾃动控制,需要从信息技术⼀般控制审计、信息技术应⽤控制审计以及公司层⾯信息技术控制三⽅⾯进⾏考虑。
⼀、信息技术⼀般控制
(⼀)含义
信息系统⼀般控制:是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应⽤或控制模块具有普遍影响的控制措施。
(⼆)相关内容
1.信息技术⼀般控制通常会对实现部分或全部财务报表认定作出间接贡献。
2.在有些情况下,信息技术⼀般控制也可能对实现信息处理⽬标和财务报告认定作出直接贡献(原因:确保了应⽤系统控制和依赖计算机处理的⾃动会计程序得以持续有效地运⾏)。
3.如果注册会计师计划依赖⾃动应⽤控制、⾃动会计程序、或依赖系统⽣成信息的控制,他们就需要对相关的信息技术⼀般控制进⾏测试。
4.信息技术⼀般控制包括:程序开发、程序变更、程序和数据访问以及计算机运⾏等四个⽅⾯。
⼆、信息技术应⽤控制
1.信息技术应⽤控制⼀般要经过输⼊、处理及输出等环节。
2.和⼈⼯控制类似,系统⾃动控制关注的要素包括:完整性(系统处理数据的完整性)、准确性(系统运算逻辑的准确性)、存在和发⽣(信息系统相关的逻辑校验控制)等。
信息系统审计内容
信息系统审计内容
一、信息系统审计内容概述
信息系统审计对象,包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。
二、对组织层面信息技术控制的审计
组织层面信息技术控制审计的内容包括:
(一)控制环境
内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。
(二)风险评估
内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程,信息资产的分类及信
息资产所有者的职责,以及对信息系统的风险识别方法、风险评价标准、风险应对措施。
(三)控制活动
内部审计人员应当关注信息系统管理的方法和程序,主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。
(四)信息与沟通
内部审计人员应当关注组织决策层的信息沟通模式,信息系统对财务、业务流程的支持度,信息技术政策、信息安全制度传达与沟通等方面。
(五)内部监督
内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。
三、对信息系统一般性控制的审计
信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序,目标是保护数据与应用程序的安全,并确保异常中断情况下计算机信息系统能持续
运行。信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。信息系统一般性控制审计应当重点考虑下列控制活动:
信息系统一般控制审计
信息系统一般控制审计
一、应用系统开发、测试与上线审计
A.应用系统开发审计
(一)业务概述
组织的信息系统开发根据方式不同,通常包括自主开发、外委开发、或者二者兼有的开发方式。组织在进行信息系统开发时,应当根据自身技术力量、资金状况、发展目标等实际情况,选择适合自身的开发方式和合作伙伴。
应用系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。
(二)审计目标和内容
审计目标:通过规范开发程序,提高信息系统开发的可控性、安全性、可靠性和经济性,揭示信息系统开发环节存在的风险及问题,提出完善信息系统开发控制的审计意见和建议,实现组织目标。
审计内容:开发组织机构设置、资源配置情况。开发过程中与业务部门的沟通情况。系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、
安全管理情况。
(三)常见问题和风险
组织自主开发方式下的应用系统主要存在以下常见问题及风险:
1.组织未成立专门的开发建设项目组,可能导致信息系统开发建设责任制未落实的风险。
2.信息系统开发工作缺乏必要支持。组织内部无专业技术人员或是缺乏必要的财务支持,导致开发失败的风险。
3.信息系统开发过程没有业务部门人员参与,未定期与业务部门共同审核信息系统的开发建设情况,未及时发现系统不能满足业务的需要,可能导致与业务需求不相符的风险。
4.组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系,不能有效控制开发质量;开发过程中未进行必要的安全控制,未对源代码进行有效管理和严格审查可能导致的风险。
信息系统审计第二章
硬件基础设施维护与监控
➢ 信息系统硬件基础设施必须进行日常清洁和保养以保证其 正常运行。 ➢ 在对该维护过程进行审计时,IS审计师应该确定已形成正 式的维护计划并得到管理层的批准 ➢ 信息系统审计还要检查硬件监控过程,可考虑的参数和报 告有:
硬件错误报告 可用性报告 利用率报告
硬件基础设施能力管理
3.3 系统基础设施控制及其审计
3.3.1 信息系统环境控制 3.3.2 信息系统硬件控制与审计 3.3.3 系统软件控制
3.3.1 信息系统环境控制
➢ 环境风险 ➢ 对环境风险的控制
环境风险
➢ 环境风险可能来源于自然灾害,或电力故障、设备故障等 方面。其中对信息系统影响最大的就是计算机和支持系统的 电力故障。 ➢ 对于信息系统内部控制人员来说,检查环境风险应着重考 虑以下问题:
第三章 信息系统一般控制及审计
3.1 信息系统一般控制概述 3.2 管理控制及其审计 3.3 系统基础设施控制及其审计 3.4 系统访问控制及其审计 3.5 系统网络架构控制及其审计 3.6 灾难恢复控制及其审计
3.1 信息系统一般控制概述
信息系统内部控制是一个单位在信息系统环境下,为了 保证业务活动的有效进行,保护资产的安全与完整,防止、 发现、纠正错误与舞弊,确保信息系统提供信息的真实、 合法、完整,而制定和实施的一系列政策与程序措施。信 息系统内部控制分为一般控制和应用控制。
联网审计中被审计单位一般控制对电子审计证据的影响
控。 联 网审 计在 审计 观 念和 方法 上和传 统 审计模 式 的不 同 3 . 1 信 息 系 统 管理 部 门 的设 立对 电子 审 计 证据 的 影 主要 表 现在 : 响 信 息 系统 管 理部 门 的主 要 职 责 是 制定 和 实施 公 司信 ① 联 网 审计 通 过 与 被 审计 单位 的计 算 机 之 间 的相 互 联接来实现对于财务 、 业 务 资 料 的采 集 、 传输 、 分析 和 整 息化 建 设 目标 和 任 务 : 组 织 公 司信 息化 项 目的持 续 改进 与 理, 而传 统 审计 则 是委 派 审计 人 员到被 审计 单 位 的现 场去 日常 维护 等。如果 被 审计单 位信 息 系统管理 部 门缺 乏独 立
联 网审计 中被 审计单位 一般控 制对 电子审计证据 的影 响
熊・ 临 ( 南 京审计学院)
摘要 : 审 计 工 作 的 核 心 是采 集和 评 价 审计 证据 , 企 业 的信 息 化 引 通 过 手工 方式进 行 审计。
起 了 审计 模 式 的改 变 ,传 统 的审 计 模 式 已经 无 法跟 进企 业发 展 的步
关键 词 : 联 网 审计 电子 审计 证 据 一 般 控Βιβλιοθήκη Baidu制 影 响
一
信 息 系统 的一 般控 制 是 可 以应 用在 整 个 单 位 的信 息 为 了增 加 所 获 证 据 的相 关 性 、 可靠 性 和 有效 性 , 审计 人 员 往 往 需 要在 事前 做 好充 分 的准 备工作 , 选择 需 要 审计 的对 系统 中 的 内部 控 制 ,其基 本 目标 是 保 证所 存 储 数据 的安 保 护计 算机 应 用 程序 不 被 损 毁 、 防 止程 序 系 统被 非 法 象和 范 围 ,而在 事 中需要根 据 范 围进 行数据 采 集 与整理 , 全、 保 证在 意 外 中断情 况下 能够 在 最短 的 时 间内恢 复运 最 后 再 对所 采集 的数据 进行 分析 、 核 对 和验 证 。 这一理 念 入 侵 、 行 主 要业务 等 。 有 效 的一般控 制 是保 证应用 控制 有效 的 关 体 现 了联 网审计 的时效 性 。 键 要 素 , 它 为企业 的应 用 系统 和应 用 控制 提供 了良好 的运 然 而 由于 对 网 络 的稳 定 性 、 安全性、 可信 性 等 方面 特 质 的完 善过 程还 在 不 断的探 索 中进 行 , 联 网审计 中采集 的 行 和 实 施 平 台。 一 般 控制 从 总体 上控 制 信 息 系统 的有 效 保 证计 算 机 系 统 的正确 使 用和 安 全性 , 防 止数 据 丢 失 电子 审计 证据 的质 量也 受 到 了许 多 方面 的影 响。 本 文将着 性 , 重于 分 析 被 审计 单 位 信 息 系统 一 般 控制 的完 善性 对 电子 和 泄 露 。 3 联 网审计 中被 审 计 单位 信 息 系统 一般 控 制 对 电 子 审计 证据 的影 响。从 一般 控 制 的分 类和 实施 出发 , 有 的放 审计 证据 的影 响 矢, 分析 不 同控 制程 序 对 电子审计 证据 的影 响。 联 网审计 的 实现 模 式是 审计 系统 与 被 审计 单 位 信 息 1 联 网 审计 的涵义 与特 点 联 网审 计 是 由于 网络 技 术 在 审计 中 的应 用 而 形 成 的 系统 的互联 , 在 互联 的基础 上 完成 对被 审计 单位 的信 息 采 种 新 的审计 模 式 , 它通 过 网络 采集 被 审计 单位 的 电子 数 集和 分析 。其 中一个 很重 要 的载体 就是被 审计 单位 的信 息 我 们 可 以从 整 体 据, 进行 连 续 、 全 面 的分析 , 及 时发现 被 审计 单位 存在 的问 系统 。 通过 分析 被 审计 单位 的一般 控 制 , 题, 为现 场 审 计 提供 线 索和 资料 , 从 而 使得 审 计 工作 实 现 上 了解 被 审计 单位 信息 系 统 的安全 性 , 从 而分析 由此系 统 网络化 、 远程 化 。 ( 陈伟 , 2 0 1 1 ) 联 网 审计 是持 续 审计 的 一 导 出的 电子 审 计 证据 是 否 具 有可 靠 性 、 可 用性 以及 相 关 种, 它通过 实 时 的从被 审计 单 位采 集 数据 来进 行 分析 与监 性。
计算机信息系统的控制及其审计
计算机信息系统的控制及其审计
[内容提要] 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确和完整,为防止或及时发现差错及舞弊行为的发生,信息系统的控制就显得尤为重要。本章专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。
第一节信息系统控制的重要性
信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营决策的重要依据,因此,如何才能确保信息的有效、准确、及时、完整和安全,是我们在设计和运行信息系统时所需考虑的一个重要问题,而这一问题的关键在于如何完善信息系统的控制。
一、控制的定义
对一个企业来说,所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效利用和提高企业财会和管理信息的真实、正确性,确保企业方针政策的贯彻执行,促进各项工作与企业经营效率的提高而实施的各项措施。内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五部分构成。一个良好的企业控制系统应具有以下4个方面的功能:
1. 确保企业各种经济资源的安全。一个企业,如果没有一套良好的控制企业经济资源的措施,就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象,使企业蒙受损失。所以,要采取有力的控制措施,有效地提高企业各种经济资源的安全,保护企业所有者的利益。
2. 确保各种经济信息、尤其是财会信息的准确、完整和及时性。只有及时、准确、完整的经济信息,才能引导企业经营管理者正确地作出各种经济预测和决策,圆满实现企业的经营目标;反之,则会对企业的生产经营起误导作用,使企业在面临各种问题时,作出错误的选择。可见,建立良好的信息系统控制,是保证信息质量的重要途径。
信息系统一般控制审计过程实例解析
R公 司信 息 部 对 公 司信 息 系 统 硬 件 、 软 管 理 规 范进 行;
业 务有关, 主 要 包 括 输 入 控 制、 处 理 控 制、 输 式 运 行 使 用。 到 今 天 系统 经 过 了 多次 改 版 和 务 需 求 。 在一般控 制方面, R公 司 制定 了 信
出控 制。 对 一 般 控 制 的审 计 就 是 要 获 取 证 升 级 。 系统 采 用VS . NE T进 行 开 发 , 后 台数 据 息 系统 软 件 基 本 功 能 规 范 》 , 对 系统 操 作 和 据 鉴 证 在 被 审 期 间企 业 有 关 的制 度 和 规 程 库 为 S QL S e r v e r 2 0 0 5 。 医 疗 保 险管 理 系统 维 护 进 行 制 度 管 理 ; 也 制定 了 机 房 管 理 制 是否健 全 , 计 算 机 信 息 系 统 是 否 按 规 定 的 采 用 了B / S 结构模式, 现 在 服 务 器 端 操 作 系 度 , 对机房安全和维护进行管理。 在 系统 开
本 情 况, 主要 包括业 务和系统运营 情况。 通 尤 其 是 信 息 系 统 内部 控 制 , 对 内部 控 制的 健 执 行 和 监督 ;
过 对 这 些 基 本 情 况的 调 查 了解 , 可 以对 被 审 全 性 和 有 效 性 进 行 评 估 , 初 步 确定 控 制风险
信息系统审计方法与操作指引
穿行、控制测试报告
对相关风险点所针对的每个控制进 行测试,并得出结论(即:确定 ITGC是否有效)。测试结论所依赖 的审计证据一定要真实可靠。
2019/12/5
缺陷报告、 整改计划
对所测试的控制 未按照设计方式 运行的情况进行 总结归纳;同时 找出原因和影响 范围,并对其提 出整改意见。
17
IT一般控制审计程序方法论
根据确定的测试方法,获取从审计期间期初到测试日期以来IT环境相关组成要素变更完 整清单(变更管理清单)。应尽可能进一步分离变更管理清单,使其只包括在范围内的 那些IT环境变更和技术组成要素。 应用以下与获取程序变更清单相关的方法:
选择变更管理样本首选方法是:直接从表明自审计期间期初到测试日
期实际进行全部变更的变更管理系统获取清单,并且确定变更清单是 完整的、有效的。
1.2.5 变更管理职责分工补偿性控制
由于组织结构或其他原因无法进行变更管理不相容职责分工情况下,补偿性控
制可以用来保证不会发生未经授权的程序或数据变更。应将补偿性控制设计为 发现何时因不相容职责分工问题而规避现有其他变更管理控制。补偿性IT一般 控制示例有:
► 变更日志复核,以确定只有批准的变更被移到生产环境中,同时确认变更日志是完整的。 ► 变更控制会议,以讨论和跟进移入生产环境中的最新变更。
制要求修改密码。
2019/12/5
公司内部控制审计工作底稿-实施阶段-信息系统测试模版
信息系统一般控制(ITGC)测试(穿行测试)
索引号:ITGC-1
被审计单位:编制人:编制日期:
截止日期:复核人:复核日期:
一、ITGC测试目的
对每个相关ITGC(IT GENERAL CONTROL)种类进行穿行测试。我们进行ITGC穿行测试以确认我们对于IT
二、ITGC穿行测试程序
由于多个应用程序间存在通用的ITGC,因此,通常会对支持一组通用ITGC的IT技术环境执行穿行测试
例子包括:跨越多个应用程序的通用管理变更控制、支持多个应用程序的技术平台,或拥有特定区域支持的应用程序通用的一组ITGC的数据中心。
在下面的空白处,识别由此项穿行测试所涵盖的“IT 技术环境”及与“IT 技术环境”相关的“应用程序”。
注:信息系统环境的技术构成包括:应用系统、数据库管理系统、操作系统、网络和互联网/远程访问
常见的应用系统包括:金蝶、用友、SAP、Oracle Financials或者企业自行开发的应用系统等
常见的数据库管理系统包括:Oracle、DB2、Microsoft SQL Server等
网络是指共同分享沟通的计算机群和相关设备,通常共享存储在计算机服务器上的资源
互联网/远程访问是指把应用系统用户从外部资源链接到信息系统环境的方法、流程和技术
对于计划依赖ITGC的应用程序,我们应对能够达到每个相关“ITGC 种类”目标的ITGC执行穿行测试。
能对会计报表或披露产生影响时,应包括“其他ITGC”种类。选出应当执行穿行测试的“ ITGC 种类”
三、ITGC穿行测试
(一)管理变更
1、管理变更穿行测试
企业内部控制体系中信息系统审计的内容和方法
企业内部控制体系中信息系统审计的内容和方法一、在内部控制体系中开展信息系统审计的内容
信息系统审计通常包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计,或者根据企业实际情况可以分为总体控制和应用控制(如图1所示)。
图1在内部控制体系中开展信息系统审计内容
1、信息系统总体控制制度体系,旨在保证整个公司范围内更加科学、规范地应用信息技术,提高企业在信息技术开发、实施、运营活动方面的控制能力,增强日常信息工作效率,更好地保护信息资产,提高信息技术对业务的支持力度,其目标是对信息技术管理和运行有效性的检查。信息系统总体控制审计目的是通过全面准确的信息系统内部控制制度的评价,保证其有效地发挥作用。信息系统总体控制审计应重点关注六个方面:一是控制环境。包括信息系统总体控制环境、信息与沟通、风险评估、监控等。二是信息安全情况。包括信息安全管理组织、逻辑安全、物理安全、网络安全、计算机病毒防护、第三方安全管理、信息安全事件响应等。三是项目建设管理。包括项目建设方法论、项目立项审批、商业软件及硬件的外购、项目启动、项目需求分析、项目设计、系统开发实施、系统测试、数据移植、系统上线、项目验收和上线后评估、用户培训等。四是系统变更管理。包括变更管理、日常变更流程、紧急变更流程等。五是信息系统
日常运作。包括机房环境控制、系统日常运作监控、批处理作业调度管理、备份与恢复、问题管理等。六是最终用户操作。包括最终用户计算机操作安全制度、电子表格管理等。其中,对最终用户操作的检查,并在关键环节建立关键控制点,通过手工测试或者开发计算机软件来证明其内部控制的有效性。由于目前电子表格越来越多的应用在办公系统、财务报表和财务处理过程,且越来越复杂。但是电子表格使用存在一些缺点,91%的电子表格存在错误,超过200行的表格将100%地存在错误。这些问题可能导致巨大的风险,因此,必须关注与财务报表相关的电子表格,即电子表格将直接或间接影响财务报表或信息披露事项。(1)表格可能包括Excel、Access、文本文件等,根据电子表格的用途,可以分为:一是操作型。指用来对流程进行审核、跟踪和监控的电子表格,如订单列表、未开出的发票列表等。通常这些信息已经在纸质文件或其他系统中存在,用电子表格来监控财务交易执行的准确性和完整性。二是分析/管理型。指用来进行分析和管理决策的电子表格。通常用来评估财务数据的合理性和准确性。三是财务型。指直接用于财务报表交易数据和余额的电子表格,并导入到总账和/或财务报表中。(2)表格可能很简单,也可能很复杂。简单电子表格,一般作为电子日志、数据输入和信息跟踪等,如待处理订单、存货清单等。复杂电子表格,包括复杂的计算公式和计算模型,如税务计算、成本摊销、计算存货周转、金融衍生计算等。通常需要把这类型的电子表格作为一个独立的应用系统看待。(3)表格的管理流程。第一,制定电子表格的总体策略,对电子表格进行分类;登记电子表格,登记内容包括名称、版本、负责人、用户、开发人、变更频率和程度、电子表格内容概要和影
信息系统审计方法与操作指引
认确实进行了其他适当测试。有些情况下(如:基础结构变更),根据被审计 机构政策,可以接受纯IT测试。
➢ 已批准 — 确定在变更移入生产环境之前,应用程序所有者和IT人员是否批准
了这些变更。有些情况下(如:基础结构变更),可以接受纯IT批准。
➢ 穿行测试应记录逻辑访问路径中的哪些位置存在不同授权访问过程。
在大多数环境中:
► 所有逻辑访问ITGC均应用于应用程序层次; ► 并非所有逻辑访问ITGC都应用于操作系统和数据库层次; ► 只有极少数逻辑访问ITGC可能应用于网络、远程访问或互联网层次。
信息系统审计方法与操作指引
10
IT一般控制审计程序
开始
SAF
本部/事业部
初步分析/需求整 合修改 SAF
确认进行 N
可行性分析 需求申请
N
需求分析与业务需求文档编写
根据确定的测试方法,获取从审计期间期初到测试日期以来IT环境相关组成要素变更完 整清单(变更管理清单)。应尽可能进一步分离变更管理清单,使其只包括在范围内的 那些IT环境变更和技术组成要素。 应用以下与获取程序变更清单相关的方法:
➢ 选择变更管理样本首选方法是:直接从表明自审计期间期初到测试日
期实际进行全部变更的变更管理系统获取清单,并且确定变更清单是 完整的、有效的。
审计业务底稿之了解和评价信息系统一般控制
签名
编制索引号P221-10
复核页次 1
工作指引:
1. 完成信息系统主要负责人员调查表。
2. 完成重大业务流程和信息系统匹配表,根据信息系统调查问卷,具体评估各项信息系统
复杂程度的调查问卷。
3. 确定信息系统控制审计的范围。
4. 针对信息系统一般控制在控制环境、程序开发、程序变更、程序和数据访问以及计算机
运行等方面进行了解。
(二) 重大业务流程和信息系统匹配表
编制说明:
1.“系统名称”填写系统的名称,如费用支付系统。系统可以是商业软件系统,或是企
业自己开发、定制的系统,也可以包括其他终端用户所使用的重要工具,如利用 Excel 等
电子表格编制的模型、填报工具等。
2. “系统平台”填写系统的操作平台,如Microsoft、Unix等。
3. “设备所在地点”填写系统的所在地点,如分布各省公司
4. “上线年份”填写初始上线年份。
5.“所支持的业务流程/科目”填写流程名称,如采购、费用支付流程等。
6. “复杂程度”根据各项信息系统调查的结果评价系统的复杂程度,填写高或低。对信息系统的评估不是一个纯粹客观的过程,也需要依靠注册会计师的职业判断。
7. “是否纳入测试范围”根据系统的复杂程度明确系统是否纳入测试范围,填写是或否。
(三) ××信息系统调查
编制说明:
重大业务流程和信息系统匹配表中列示的各项信息系统均应填制本表,作为评价其复杂程度的依据。
信息系统审计内容及重点、步骤和方法
信息系统审计内容及重点、步骤和
方法
一、审计内容
(一)信息系统一般控制情况
1.信息系统总体控制情况;
2.信息安全技术控制情况;
3.信息安全管理控制情况。
(二)信息系统应用控制情况
1.信息系统业务流程控制情况;
2.数据输入、处理和输出控制情况;
3.信息共享和业务协同情况。
二、审计重点及审计步骤和方法
(一)一般控制审计
1.总体控制审计
审计思路:通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等,分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险,形成信息系统总体控制的审计评价和结论。
审计方法:召开座谈会、发放调查问卷、查阅文件等。
审计步骤:
(1)战略规划评价。检查被审计单位是否建立了信息系统战略发展规划,是否明确了战略目标、整体规划、实现指标和相应的实施机制。
(2)组织架构评价。检查被审计单位是否建立了与信
息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构,以及行业内各层级的信息化工作机构,是否建立了各类机构的权力责任和制约机制。
(3)制度体系评价。检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等。
4)岗位职责评价。检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责。
(5)内部监督评价。检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制,是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效控制和监督。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息系统一般控制审计(上)
(来源:《中国注册会计师》,2018-09-12)
编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。
注册会计师在完成信息系统审计工作计划之后,就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。
信息系统一般控制是整个信息系统审计的基础和内核,对被审计单位的应用控制和数据保驾护航,对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行,依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡,无法对财务报表提供有效的支撑。因此,如果信息系统一般控制和应用控制均在审计范围内,我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下,再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效,我们需要评估无效的控制点对依
赖其上的应用控制的影响,确认是否仍然可以依赖该应用控制点,以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。
简言之,应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此,信息系统一般控制审计在整个审计过程中具有举足轻重的作用。
一、系统建设
(一)系统建设活动中与审计相关的特定风险
注册会计师在执行财务报表审计时,需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如,信息系统建设活动是否与财务报表相关?相关程度如何?如果新建的信息系统与财务报表不相关(如工程辅助设计系统),注册会计师并不需要将其纳入审计范围。反之,注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险,如表1所示。
表1 信息系统建设生命周期各阶段的主要审计风险
(二)系统建设活动的重点关注领域
注册会计师应当根据对被审计单位信息技术环境的了解、财务报表对信息技术的依赖程度,以及可能使财务报表产生重大错报的信息技术相关风险评估情况,确定对财务报表认定有直接或间接影响的信息系统。如果被审计单位的系统建设活动涉及以下几类信息系统,注册会计师通常需要予以关注:
1. 财务系统:通常涵盖总账、固定资产、应收账款、应付账款等模块,是被审计单位日常会计核算的基础应用系统。其功能定位决定了这类信息系统对财务报表认定具有直接影响。因此,如果被审计单位在审计期间进行了财务系统的开发活动,注册会计师通常应当将财务系统纳入信息系统审计范围,并对与该系统开发相关的风险和控制的设计与执行给予充分的考虑和评估。
2. 报表平台:通常包括三类,一类是专门执行合并报表编制的平台,能够根据配置自动执行合并抵消,并出具合并层面的财务报表,如Oracle Hyperion产品;第二类是从业务系统抽取数据生成报表,供财务人员做账时查询;第三类是支持企业对外报送信息的系统,如根据税务法律法规,专门生成符合报税格式和规范的财务报表。如果
注册会计师确定这类信息系统对财务报表认定具有直接影响,通常应当将其纳入信息系统审计范围。
3. 业务系统:通常是支撑被审计单位生产经营活动开展的事务处理与管控系统,具体表现形式多样。如制造业企业的ERP系统,零售企业的POS系统、进销存系统、客户关系管理系统,商业银行的贷款系统,电商的订单处理系统等。值得注意的是,在现代企业中,业务端与财务端在信息技术的推动下逐渐融合,如SAP、Oracle等ERP 产品,财务相关的功能往往作为ERP系统的一个模块而存在;或者系统之间存在着自动化的接口,财务系统通过接口与业务系统同步数据并进行账务处理;或者业务系统能够生成相关的报表,供财务人员查询并做会计核算和账务处理。在这样的信息技术运用环境中,业务系统应当被认为对财务报表认定具有直接影响,通常应当将其纳入信息系统审计范围。
4. 工作流系统:通常能够根据用户角色和权限,以及工作流的配置和定义,自动触发并处理各类工作请求。常见的形式是办公自动化系统。注册会计师需要谨慎对待此类系统,并评估工作流处理的对象对于财务报表认定是否具有直接或间接影响。例如,主营业务的采购或销售合同条款的录入与审批在办公自动化系统中执行,审批通过后,合同条款自动经由数据接口同步进入ERP系统作为采购或销售事务结算的依据,在这种情形下,办公自动化系统处理的对象对于财务报表认定具有直接的影响。还有一类工作流系统,处理信息系统相关的工作请求,如系统变更、后台数据更正等。虽然与被审计单位开展
的生产经营活动并不直接相关,但却是信息系统一般控制的基础管控平台,注册会计师通常应当予以充分考虑。
(三)系统建设审计领域相关控制的一般要素
注册会计师需要确定财务报表审计对信息系统的依赖程度,并在此基础上对纳入审计范围的信息系统的系统建设领域相关控制进行了解、评估和验证,系统建设审计领域相关控制的一般要素包括:
1. 对开发和实施活动的控制和管理;
2. 项目启动;
3. 系统分析与设计;
4. 编码开发与配置;
5. 测试与质量保证;
6. 数据清洗、转换与迁移;
7. 程序实施;
8. 记录和培训;
9. 职责分离。
系统建设各阶段面临的财务报表审计相关特定风险与控制目标、COBIT5模型及常见控制措施的对应关系如表2所示。
表2 风险与控制目标、COBIT5模型及常见控制措施的对应关系
(四)系统建设审计领域控制测试的执行
根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》,注册会计师应当根据被审计单位的特定信息技术环境,对财务报表重大错报风险进行识别,了解并评价与财务报表审计相关的内部控制。就系统建设审计领域的内部控制而言,识别和了解与企业财务报告相关的内部控制,并确定控制测试的性质、时间安排和范围,通常需要关注内容见表3。
表3 确定系统建设审计领域控制测试时的考虑