中国移动内部审计培训(ppt 37)
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息技术整体控制(续)
系统运行 审计目标
建立足够的系统运行相关的控制,以确保系统/程序的运行经过适当的授权及 安排,并且异常情况得到及时发现和解决。
控制目标
确定管理层已实施了相关程序,以确保与财务报告相关的系统作业处理(包括 批处理作业和系统接口作业)的准确性、完整性和及时性。 确定管理层已采取了适当的控制程序,以确保财务报告所需的系统和数据进行 定期备份,并使相关的数据、交易和程序能够在需要时得以恢复。 确定管理层已采取了有效的控制程序,定期测试与财务报告所需的系统和数据 有关的恢复程序的有效性及备份介质的质量。 确定管理层已采取了适当的控制程序,对备份介质进行访问控制。 确定管理层已制定并实施了问题管理程序,以及时记录、分析和解决与财务报 告流程相关的系统和应用程序所发生的事故、问题及差错。
信息技术整体控制(续)
程序变更管理 审计目标
建立足够的程序变更管理控制,以确保对现有系统/程序的变更经过授权、测 试、批准、实施,并相应记录。
控制目标
确定被审计单位已采取控制措施,以确保用于控制财务报告流程的系统/应用 程序的任何变更经过相应管理层的适当批准。 确定被审计单位已采取控制措施,以确保与财务报告相关的系统和应用程序的 变更在上线前均已经过测试、验证和批准。 确定被审计单位已采取控制措施,以确保将与财务报告流程相关的系统和应用 程序的变更迁移至生产环境时设有适当的权限控制。 确定被审计单位已采取控制措施,以确保与财务报告相关的系统和应用程序的 配置变更均已经过验证、批准和测试。 确定被审计单位已对与系统/程序的配置有关的紧急变更采取适当控制措施。
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
信息技术整体控制
信息技术审计范围的确定 确定关键会计科目 确定影响关键会计科目的重要业务流程 确定支持重要业务流程的信息系统,作为信息技术审计测 试范围内的系统
信息技术整体控制(续)
审计内容 对程序和数据的访问 程序变更管理 程序开发管理 系统运行 终端用户计算
批价
风险:话单批价和计费不准确、不及时 控制目标:合理确保话单批价及资费计算准确 性、及时性 控制举例:
计费信息、用户资料、产品信息的同步 批价前后话单的平衡性检查 信息和资料无法匹配导致无法批价的话单的 处理和记录
流程层面的控制(续)
月出账
风险:出账(月出账)数据不及时,账单金额 不准确、不完整 控制目标:合理确保出账(月出账)数据的准 确性、完整性、及时性 控制举例:
中国移动内部审计培训
内容概要
财务审计中的IT审计 IT内审
内容概要
财务审计中的IT审计 IT内审
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
公司层面的控制
控制环境 风险评估 信息及沟通 监控
财务审计中的IT审计
公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍
信息技术整体控制(续)
对程序和数据的访问 审计目标
建立足够的对程序和数据的访问控制,以降低被审计单位与财务报告 相关的应用系统或数据遭到未经授权访问或不当访问所带来的风险。
控制目标
确定信息安全是否得到管理以指导安全措施的一贯实施,以及确定信 息系统使用者是否了解与财务报告数据相关的企业信息安全政策。 确定被审计单位已通过设置用户身份的识别、认证和授权等管理机制 来适当限定信息技术资源的逻辑访问和物理访问。 确定被审计单位已建立相关制度,及时对用户帐号进行增、删、改。 确定被审计单位已对与财务报告相关的应用系统或数据的权限维护进 行监控。 确定被审计单位已在关键流程设置和执行了适当的职责分离控制。
查重 二次批价 出帐
无效话 单
错单
数据统计
结算处理
互联互通协 议
错单回收 对帐报告
客服
前台服务
SIM卡管理
HLR
帐务处理
固定费
合帐
停机工单
详单库
功能 费
营帐库
手工 MIS总帐
流程层面的控制(续)
采集 预处理 批价 月出账 财务数据生成
流程层面的控制(续)
采集
风险:话单数据采集不真实、不完整、不准确、 不及时 控制目标:合理确保计费话单数据采集的真实 性、准确性、完整性和及时性 控制举例:
批量销账的平衡性检查 系统自动按参数设置出账 余额不足时部分扣减的设置 销账规则设置
流程层面的控制(续)
财务数据生成
风险:传递到MIS财务系统中的计费账务数据的 不真实、不准确、不完整性和不及时 控制目标:合理确保传递到MIS财务系统中的计 费账务数据的真实性、准确性、完整性和及时性 控制举例:
数据生成、传输、导入的权限设置 接口文件的完整性校验 BOSS与MIS代码不匹配时的错误报告 对匹配规则及财务数据的审阅
信息技术整体控制(续)
程序开发管理 审计目标:
建立足够的程序开发相关的控制,以确保新系统/程序的开发或购置经过授权、 测试、批准、实施,并相应记录。
控制目标:
确定被审计单位已采取控制措施,以确保新开发或购置的系统或应用程序已经 过相应级别的信息技术管理人员及业务部门管理人员的审批。 确定被审计单位已制定了恰当的程序开发方法,且将其运用于与财务报告流程 相关的系统或应用程序的开发或购置过程。 确定被审计单位已采取控制措施,以确保与财务报告流程相关的系统或应用程 序在开发或购置过程中已经过充分测试,并且该测试结果已经过相应级别的信 息技术管理人员及业务部门管理人员的批准。 确定被审计单位已采取控制措施,以确保与财务报告流程相关的新旧系统或应 用程序在进行数据移植操作时,数据的完整性。
流程层面的控制
集团 漫游话单
1860
通信机
计费表
客户数据库
部ຫໍສະໝຸດ Baidu话单
FTAM MSC TCP/IP
采集机
。
GMSC
。
DC
。
N
。 DD
。
N
。
采集 服务器(
备份)
采集 服务器
SMSC
网间话单 FTP
计费参数 局数据
预处理 计费
错单回收
预处理、计费
预处理 一次批价 分检
查重 二次批价 出帐
预处理 一次批价 分检
话单文件连续生成 采集监控 拨打测试
流程层面的控制(续)
预处理
风险:话单数据预处理不真实、不完整、不准 确、不及时 控制目标:合理确保计费话单数据采集及预处 理的真实性、准确性、完整性和及时性 控制举例:
格式转换前后话单文件的平衡性检查 分拣前后话单的平衡性检查 错单、重单、异常话单的处理和记录
流程层面的控制(续)