信息系统一般控制审计上
信息系统安全审计管理规定
信息系统安全审计管理制度第一章工作职责安排第一条安全审计员的职责是:1.制定信息安全审计的范围和日程;2.管理具体的审计过程;3.分析审计结果并提出对信息安全管理体系的改进意见;4.召开审计启动会议和审计总结会议;5.向主管领导汇报审计的结果及建议;6.为相关人员提供审计培训;第二条评审员由审计负责人指派,协助主评审员进行评审,其职责是:1.准备审计清单;2.实施审计过程;3.完成审计报告;4.提交纠正和预防措施建议;5.审查纠正和预防措施的执行情况;第三条受审员来自相关部门,其职责是:1.配合评审员的审计工作;2.落实纠正和预防措施;3.提交纠正和预防措施的实施报告;第二章审计计划的制订第四条审计计划应包括以下内容:1.审计的目的;2.审计的范围;3.审计的准则;4.审计的时间;5.主要参与人员及分工情况;第五条制定审计计划应考虑以下因素:1.每年应进行至少一次涵盖所有部门的审计;2.当进行重大变更后如架构、业务方向等,需要进行一次涵盖所有部门的审计;第三章安全审计实施第六条审计的准备:1.评审员需事先了解审计范围相关的安全策略、标准和程序;2.准备审计清单,其内容主要包括:1)需要访问的人员和调查的问题;2)需要查看的文档和记录包括日志;3)需要现场查看的安全控制措施;第七条在进行实际审计前,召开启动会议,其内容主要包括:1.评审员与受审员一起确认审计计划和所采用的审计方式,如在审计的内容上有异议,受审员应提出声明例如:限制可访问的人员、可调查的系统等;2.向受审员说明审计通过抽查的方式来进行;第八条审计方式包括面谈、现场检查、文档的审查、记录包括日志的审查;第九条评审员应详细记录审计过程的所有相关信息;在审计记录中应包含下列信息:1.审计的时间;2.被审计的部门和人员;3.审计的主题;4.观察到的违规现象;5.相关的文档和记录,比如操作手册、备份记录、操作员日志、软件许可证、培训记录等;6.审计参考的文档,比如策略、标准和程序等;7.参考所涉及的标准条款;8.审计结果的初步总结;第十条如怀疑与相关安全标准有不符合项的情况,审计员应记录所观察到的详细信息如在何处、何时,所涉及的人员、事项,和具体的情况等并描述其为什么不符合;关于不符合的情况应与受审员达成共识;第十一条在每项审计结束时应准备审计报告,审计报告应包括:1.审计的范围;2.审计所覆盖的安全领域;3.审计结果的总结;4.不符合项,不符合项的具体描述和相关证据;5.纠正和预防措施的建议;第十二条不符合项是指与等级保护基本要求不一致的情况;产生不符合项可能是由于与相关的规定不一致,包括:1.等级保护基本要求;2.信息安全策略;3.相关标准和程序;4.相关法律条款;5.本单位的相关规定;6.任何其它在客户合同中规定的要求;第十三条不符合项可以细分为“主要”或“次要”;如果所发现的不符合项属于下列任何一种情况,此不符合项应被分类为“主要”的:1.会导致系统、程序或控制措施整体失效;2.操作过程没有形成标准的文档;3.累计多个同一类型的“次要”不符合项;4.对信息安全管理体系的未授权变更;如果所发现的不符合项属于个别事件,此不符合项将被分类为“次要”的,例如:1.未标识信息安全分类的文档;2.没有被管理层审阅的事故报告;3.不完整的变更记录;4.不完整的机房进出记录;第十四条造成不符合项的原因可以分为以下几种:1.其文档化的标准和程序与信息安全策略不一致;2.实际的操作与文档化的标准和程序要求不一致;3.实际的操作没有达到预期效果;第四章安全审计汇报第十五条召开审计总结会议;应总结汇报以下内容:1.审计的目标和范围;2.审计的时间;3.参与审计的人员;4.审计报告包括纠正和预防措施的建议;5.提交审计报告的副本供受审员参考;第十六条在总结会议上,受审员应阐述任何疑问;第五章纠正和预防措施第十七条纠正和预防措施应该包括问题描述、根本原因、应急措施可选、纠正措施以及预防措施;第十八条受审员必须制定纠正和预防措施的实施计划;第十九条受审员应在规定时间内向评审员提交纠正和预防措施的实施报告;第六章审计纠正和预防措施的实施状况第二十条评审员应在受审员提交报告的3个月内,审计纠正和预防措施的实施状况;第二十一条审计纠正和预防措施应包括:面谈、现场检查、文档的审查以及记录包括日志的审查;第二十二条评审员根据受审员提交的纠正和预防措施实施报告,收集、记录和审查相关证据;第七章审计结果的审阅第二十三条安全审计员应审阅和分析所有审计结果;第二十四条受审员的领导在审阅审计结果时,应分析的事件包括审计计划、此次审计结果和上次审计结果的比较、纠正和预防措施;第八章附则第二十五条本制度由某某单位负责解释;第二十六条本制度自发布之日起生效执行;。
信息系统审计指南
信息系统审计指南信息系统审计是对组织的信息系统进行全面评估和检查的过程,旨在确保系统的安全性、可靠性和合规性。
它不仅仅关注技术方面,还包括审查相关政策和程序,以及评估组织在信息系统管理方面的整体表现。
本文将介绍信息系统审计的基本原则和步骤,帮助读者理解并开展有效的信息系统审计。
一、审计目标和范围在进行信息系统审计之前,首先需要明确审计的目标和范围。
审计目标可以是发现和解决安全漏洞、保障数据隐私、提高系统性能等。
审计范围可以包括系统架构、网络安全、数据管理、访问控制等方面。
明确目标和范围有助于审计人员有针对性地收集和评估相关信息。
二、确定审计方法和工具信息系统审计需要使用一系列方法和工具来收集和处理审计数据。
常用的审计方法包括问卷调查、文件和记录审查、系统抽样、技术测试等。
审计人员还可以借助专业的审计工具,如数据分析软件、网络嗅探器、安全性评估工具等。
选择合适的方法和工具能够提高审计效率和准确性。
三、收集审计证据审计依据事实和数据进行,因此收集审计证据非常重要。
审计人员可以通过访谈相关人员、观察业务流程、检查文件和记录、分析系统日志等方式获取证据。
确保收集的证据具有可靠性和完整性,以支持后续的评估和结论。
四、评估合规性和安全性在收集到足够的审计证据后,需要对信息系统的合规性和安全性进行评估。
合规性评估包括审查是否符合相关法律法规和行业标准,如个人信息保护法、ISO 27001等。
安全性评估则包括对系统的漏洞、脆弱性和风险进行分析和评估。
评估结果应该结合具体情况,提出合理的建议和改进建议。
五、编写审计报告审计报告是审计的最终输出,它对审计过程、评估结果和建议进行总结和归档。
报告应该具备清晰、准确、完整的特点,能够让读者理解审计的基本情况和重要发现。
报告结构要合理,可以包括简介、目标和范围、方法和工具、评估结果、建议和改进建议等部分。
同时,报告应该按照机构的要求进行格式和样式的规范。
六、跟进和监督改进信息系统审计并非一次性的任务,而是需要定期进行,以确保系统的持续改进和合规性。
信息系统审计
信息系统审计在当今数字化的时代,信息系统已经成为企业和组织运营的核心支撑。
从日常的业务流程管理到关键的决策制定,信息系统的作用无处不在。
然而,随着信息系统的日益复杂和重要性的不断提升,其面临的风险也与日俱增。
这就使得信息系统审计成为了一项至关重要的工作。
那什么是信息系统审计呢?简单来说,信息系统审计就是对组织的信息系统进行审查和评估,以确定其是否能够有效保护资产、维持数据完整性、提供可靠的信息,并高效地实现组织目标。
信息系统审计涵盖了多个方面。
首先,要审查信息系统的内部控制。
这包括访问控制、数据备份和恢复策略、系统变更管理等。
例如,访问控制就像是给信息系统的各个房间设置不同的钥匙,只有拥有相应权限的人才能进入。
如果访问控制设置不当,就可能导致敏感信息被未经授权的人员获取。
其次,要评估信息系统的安全性。
这包括网络安全、应用程序安全、操作系统安全等。
如今,网络攻击日益猖獗,黑客们可能会试图入侵企业的信息系统,窃取重要数据或者破坏系统运行。
因此,信息系统的安全性审计至关重要。
再者,信息系统的性能审计也不能忽视。
比如,系统的响应时间是否满足业务需求,系统的处理能力是否能够应对业务的增长等。
如果一个电商平台在促销活动期间因为系统性能不佳而频繁崩溃,那将会给企业带来巨大的经济损失和声誉损害。
此外,信息系统审计还要关注数据的质量和完整性。
数据是信息系统的核心资产,如果数据不准确、不完整或者过时,那么基于这些数据做出的决策可能会出现偏差。
进行信息系统审计具有诸多重要意义。
它有助于发现潜在的风险和漏洞,提前采取措施进行防范和修复,从而降低组织面临的损失风险。
通过审计,可以确保信息系统的合规性,满足法律法规和行业标准的要求。
这对于一些受到严格监管的行业,如金融、医疗等,尤为重要。
同时,信息系统审计能够提高信息系统的效率和效益。
通过优化系统配置、改进业务流程,可以使信息系统更好地支持组织的业务发展,提升组织的竞争力。
《信息系统审计》 第3章
与传统手工控制相比,信息系统内部控制特点: 1、 控制的重点转向系统职能部门; 2、 控制的范围扩大; 3、 控制方式和操作手段由人工控制转为人工 控制与信息技术控制相结合。
内部控制分类: 从信息系统对象范围角度,信息系统可分为信息系 统环境和信息系统应用程序两部分组成。 因此,从该角度信息系统内部控制通常分为: 信息系统一般控制(即对信息系统环境的控制) 信息系统应用控制(即对应用程序的控制)
(2)场地(机房场地、信息存储场地)审查 审计内容:地址选择条件;温度、湿度条件; 照明、日志、电磁场干扰条件;接地、 建筑结构条件;防水、防火、防雷、防 磁、防尘措施等。 审计标准:标准GB/T 2887—2000
(3)机房审查 审计内容:防火、内部装修、供配电系统、 空调系统、火灾报警系统、消防设施、 防静电、防雷击等。 审计标准:标准GB 9361—1998(分为A、 B、C三类)
硬件控制与审计直接关系到信息系统的安全、可靠 的运行。其内部控制及其审计,主要涉及:
硬件设施的采购、运行、维护、监控和能力管 理等。 1、硬件基础设施采购控制 硬件基础设施采购控制应考虑的问题: 购买什么样的硬件?如何保障硬件的质量? 主要控制包括: (1)招标书(ITT)或请求建议书(RFP)控制 要求: 全面明确说明所需设备用途、 任务 和要求,及对设备所处环境的描述。
(4)硬件设备应具有的基本控制功能因素 计算机设备应具有控制功能:重复处理控制、 回波检验、设备校验、有效性校验等。 可以通过审核硬件厂家的文献资料和书面凭 证确定。
2、硬件基础设施维护与监控 目的:提供系统正常运行的硬件基础设施保障。 控制措施包括: 形成维护计划(维护程序)并得到管理层批准; 维护的落实与监督检查; 维护变更的控制。
信息系统审计制度
信息系统审计制度信息系统审计制度是指在信息系统中对安全性、完整性、可靠性和合规性进行评估和监控的一系列制度和程序。
随着信息技术的迅猛发展,信息系统在企业和组织中扮演着越来越重要的角色,但同时也带来了许多安全风险和隐患。
信息系统审计制度的建立可以有效地保障信息系统的安全性和可靠性,减少信息泄露和数据风险,维护企业的利益和声誉。
一、信息系统审计制度的目的信息系统审计制度的目的是确保信息系统的合规性。
通过对信息系统的安全控制、合规流程、操作规范等方面进行审计和监控,可以促使企业和组织遵循相关的法规和规范,防止信息的非法泄露和未经授权的访问。
此外,信息系统审计制度还能提供有效的检测和防范措施,及时发现和纠正安全漏洞和问题,为企业的持续经营和发展提供稳定的信息保障。
二、信息系统审计制度的内容1. 审计标准和指南:信息系统审计制度需要明确审计的标准和指南,根据国内外的相关法律法规、行业标准和最佳实践,制定适用于企业和组织的信息系统审计准则。
这些准则应该涵盖信息系统的安全性、完整性、可靠性等方面的要求,帮助企业建立合规的信息系统。
2. 审计流程和程序:信息系统审计制度需要明确审计的流程和程序。
包括审计计划的制定、内部和外部审计资源的调配、审计任务的分配和执行等。
审计过程应该具备独立性和客观性,确保审计结果的真实可靠。
3. 安全控制和风险评估:信息系统审计制度需要包括对安全控制的评估和监控。
通过对信息系统的安全策略、权限管理、防火墙配置、加密算法等进行检查和评估,发现潜在的风险和漏洞,并采取相应的措施进行修复和防范。
4. 日志审计和事件管理:信息系统审计制度需要对日志审计和事件管理进行规范。
包括对系统日志的监控和分析、对异常事件的报告和处理、对安全漏洞的跟踪和修复等。
日志审计和事件管理是发现和应对安全事件的重要手段。
5. 人员培训和意识教育:信息系统审计制度需要重视人员培训和意识教育。
只有企业和组织的员工具备相关的知识和技能,才能更好地执行信息系统审计工作。
信息系统审计管理办法
信息系统审计管理办法第一章总则第一条为加强和规范公司信息系统审计工作,明确审计职责及工作范围,根据《内部审计具体准则第2203号-信息系统审计》等有关规定和要求,制定本办法。
第二条信息系统审计是指由公司审计部或外部审计机构对公司的信息系统及其相关的信息技术内部控制和流程所进行的审查与评价活动。
第三条信息系统审计的目的是通过实施信息系统审计,对公司是否实现信息技术管理目标进行审查和评价,提出管理建议,协助信息技术管理人员有效地履行职责。
公司的信息技术管理目标主要包括:(一)保证公司的信息技术战略充分反映公司整体战略目标;(二)提高公司信息系统的可靠性、稳定性、安全性及数据处理的完整性和准确性;(三)提高信息系统运行的效率与效果,合理保证信息系统的运行符合法律法规及监管机构的要求。
第四条信息系统审计可以作为独立的审计项目组织实施,也可以作为综合性内部审计项目的组成部分实施。
第五条本规定适用于公司对内开展的有关信息系统审计的各项活动。
第二章审计机构、人员及职责第六条信息系统审计工作可由审计部组织实施,也可聘请具备相关资质的外部审计机构开展。
第七条公司在审计部设立信息审计岗位,负责信息科技审计制度制订和信息系统审计工作。
第八条根据工作需要,经公司管理层批准,可以聘请外部审计机构开展信息系统审计,所聘请的外部审计机构应具备足够的独立性、客观性和专业胜任能力,并遵守公司审计作业管理规定。
公司按照采购规定进行外部审计机构选聘工作,审计部负责协调外部审计人员实施信息系统审计工作。
第九条从事信息系统审计的审计人员应当具备必要的信息技术及信息系统审计专业知识、技能和经验,以及应有的职业审慎。
第十条信息系统审计人员责任包括计划、实施信息系统审计工作并按要求出具审计报告。
第十一条信息技术部门应积极配合信息系统审计人员开展相关审计工作,其他相关部门应按要求协助开展信息系统审计工作。
第十二条公司应定期或不定期组织内部审计人员开展有关信息系统及技术的专业知识培训,培训方式可采用自主或委外方式开展。
信息系统审计的操作流程
安全漏洞测试
审计人员将测试系统的安全漏洞,包括网络攻击、 恶意软件等,以确保系统的安全性。
日志分析
审计人员将分析系统的日志,以检测异常活动和 安全事件。
审计结果报告
审计结果报告将总结审计的发现和建议。报告应包括对系统的弱点和脆弱性 的详细描述,并提出改进和修复建议。
结果分析及建议
审计团队将分析审计结果,并提出改进和修复建议。这些建议应根据系统的弱点和脆弱性,以及组织的需求和 目标进行定制。
信息系统审计的操作流程
信息系统审计是评估和验证一个信息系统内控的过程。它包括信息收集、审 查和评估、内控测试、审计结果报告、结果分析及建议以及结论。
审计的定义和重要性
审计是一个关键的过程,用于评估信息系统的有效性、安全性和合规性。它 帮助组织确保其信息系统的可靠性,保护敏感信息,并遵守相关法规和标准。
结论
审计是一个持续的过程,需要定期进行,以确保信息系统的安全性和有效性。通过遵循审计过程,组织可以提 高其信息系统的安全性和合规性。
信息收集阶段
在信息收集阶段,审计团队会收集关于信息系统的相关信息,包括系统架构、安全策略、访问控制措施等。这 些信息将为后续的审查和评估提供基础。
审查和评估阶段
1
系统配置
审计人员将审查系统配置,包括硬件、
安全漏洞评估
2
软件、网络设置等,以确保其符合最佳 实践和安全标准。
审计人员将评估系统的安全漏洞,包括
潜在的漏洞、弱点和脆弱性,以确保系
统的安全性。
3
授权和访问控制
审计人员将审查系统的授权和访问控制 措施,包括用户权限、角色分配等,以 确保系统只能被授权的用户访问。
信息系统审计管理制度
信息系统审计管理制度1. 前言为了保证企业信息系统的安全运行,规范信息系统使用行为,防范信息泄露和偷窃风险,订立本《信息系统审计管理制度》。
本制度适用于企业内全部使用信息系统的员工、供应商以及合作伙伴。
2. 审计范围与目的2.1 审计范围本制度适用于企业全部信息系统,包含但不限于网络系统、应用系统、数据库系统等,无论是企业内部自建系统还是外部服务供应商供应的系统。
2.2 审计目的•确保信息系统的合法、安全、稳定运行;•防范和发现信息泄露、偷窃等安全风险;•规范企业内部各类信息系统审计行为;•提升企业信息系统管理水平。
3. 审计责任与权限3.1 审计责任•企业内部设立信息系统审计部门,并明确相关的管理职责与权限;•指定特地的审计人员负责信息系统审计工作,确保其独立性和客观性;•审计部门负责编制信息系统审计计划、开展审计工作、整理审计报告等相关工作。
3.2 审计权限•审计人员有权对企业信息系统的硬件、软件、网络等进行实施审计;•审计人员有权访问和检查企业信息系统的各类日志、记录和数据;•审计人员有权对内部员工的信息系统使用行为进行监督和检查。
4. 审计程序4.1 审计计划•审计部门依照肯定的时间周期订立年度、季度、月度等不同层级的审计计划;•审计计划中应包含审计目标、范围和时间布置等内容,并依据实际情况进行调整。
4.2 审计准备•审计人员在进行具体审计前,需向被审计部门提出审计准备要求,包含但不限于需要的料子、数据、权限等;•被审计部门应乐观搭配,供应所需信息和权限,并确保审计的顺利进行。
4.3 审计实施•审计人员依照审计计划和准备要求,对被审计对象进行现场或远程审计;•审计人员可以采用取证、抽样、测试等方法进行审计,确保审计结果的准确性。
4.4 审计报告•审计人员依据审计实施结果,编制审计报告;•审计报告应包含但不限于被审计对象信息、审计目的、审计发现与问题、建议改进措施等内容;•审计报告应由审计人员和被审计对象共同确认,并报送相关管理人员。
信息系统审计程序
信息系统审计程序信息系统审计程序一般包括审计准备、审计实施、审计报告和后续审计四个阶段。
一、审计准备(一)审前准备内部审计人员在实施信息系统审计前,需要根据信息系统审计目标,开展审前调查,收集法规、制度依据以及其他有关资料。
审前调查主要了解组织信息系统的治理管理体制、总体架构、规划和建设、应用管理情况等。
具体如下:1.治理、管理体制。
主要了解信息系统管理机构设置、管理职责、工作流程等。
2.系统总体架构(1)系统分布。
包括系统数量、规模和分布,绘制信息系统分布图。
(2)信息系统主要类型。
(3)各信息系统的基本情况和系统之间的关联关系。
(4)信息系统应用覆盖面及应用程度。
3.规划和建设情况(1)规划:信息系统发展规划以及规划、年度计划落实情况。
(2)建设:信息系统建设程序、投入、管理,了解已完成系统和在建系统。
(3)使用:信息系统应用管理制度、使用率、应用中存在的主要问题、困难和矛盾。
(二)编制审计工作方案根据审前准备情况,编制信息系统审计工作方案,方案内容包括但不限于被审计组织信息系统的基本情况。
包括信息系统项目建设及应用情况、审计目的、审计依据、审计对象与范围、审计内容重点及方法、审计步骤与时间安排、审计组与人员分工等。
在审计组组成环节,审计部门可以借助外部专家的力量,在审计组中应当有具备信息技术经验和知识的专兼职审计专家,便于补充提高审计组的胜任能力。
二、审计实施审计实施是内部审计人员依据审计计划实施现场审计的过程。
内部审计人员应结合审前准备了解的内容,按照被审计组织的信息化环境、业务流程、内控制度等方面的风险,明确具体项目审计目标、细化审计内容,突出审计重点。
实施阶段主要应完成以下工作:(一)了解评估被审计组织的信息系统内部控制1.收集被审计组织信息系统的内部控制管理制度及流程,对被审计组织相关人员进行访谈,了解组织的信息系统决策及管理政策、方法、控制活动主要内容包括但不限于:(1)信息系统内部控制环境。
信息系统审计方法与操作指引
2019/12/5
5
IT一般控制审计程序
影响变更管理测试性质和范围因素(续)
1.2.2 变更类型 要确定最适当的测试方法,了解和记录用于变更管理过程,包括 针对以下变更类型和IT环境技术组成要素过程:
► 程序开发/采购 — 开发和实施新应用程序或界面。 ► 程序变更 — 对现有应用程序和界面进行的变更。 ► 系统软件维护 — 对数据库、操作系统和其他系统软件进
风险控制矩阵是 对风险所导致负 面影响的量化, 从严重性、发生 概率和所涉及范 围等方面进行描 述,使得对风险 的刻画更为有效 和清晰。
识别出关键系统 的系统配置,包 括系统描述、应 用系统来源、计 算机平台、操作 系统、数据库名 称和版本等有关 系统的信息。
测试模板
根据对信息系统 的初步了解,设 计出相应的测试 模板,包括风险 点、控制点、测 试范围、测试时 间、测试步骤等 信息
IT一般控制是指为保证在一段时期内应用控制持续有效性,而在系统变更 和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据 集都有效,所以被称为“IT一般控制”。
IT一般控制分类
变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权、 测试和批准的变更。
逻辑访问:只有经过授权的人员,才可以访问数据和应用程序(包括程序、 表和相关资源),并且他们只能执行明确授权的功能(例如:询问、执行 和更新)。
制要求修改密码。
2019/12/5
13
IT一般控制审计程序方法论
了解IT流程方法
为了解IT流程,参与评估人员需要在内控文档中对如下内容进行关注: 5个W(WHO, WHEN, WHAT,WHERE, WHY )与1个H( HOW )
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 信息系统一般控制审计(上) (来源:《中国注册会计师》,2018-09-12)
编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。 注册会计师在完成信息系统审计工作计划之后,就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。 信息系统一般控制是整个信息系统审计的基础和内核,对被审计单位的应用控制和数据保驾护航,对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行,依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡,无法对财务报表提供有效的支撑。因此,如果信息系统一般控制和应用控制均在审计范围内,我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下,再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效,我们需要评估无效的控制点对依2
赖其上的应用控制的影响,确认是否仍然可以依赖该应用控制点,以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。 简言之,应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此,信息系统一般控制审计在整个审计过程中具有举足轻重的作用。 一、系统建设 (一)系统建设活动中与审计相关的特定风险 注册会计师在执行财务报表审计时,需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如,信息系统建设活动是否与财务报表相关?相关程度如何?如果新建的信息系统与财务报表不相关(如工程辅助设计系统),注册会计师并不需要将其纳入审计范围。反之,注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险,如表1所示。 表1 信息系统建设生命周期各阶段的主要审计风险 系统建设阶段 主要风险 项目启动 系统建设活动偏离企业战略目标; 企业的项目治理混乱,项目间产生冲突。 系统分析与设计 设计方案偏离项目目标,不能完全反应真实的用户需求。 编码开发与配置 系统编码和配置可维护性差,增加出错概率; 系统编码和配置版本混乱,开发质量降低。 测试与质量保证 测试不充分,系统存在重大错误或缺陷; 系统实际表现与用户预期之间存在偏差,突出表现在自3
动控制机制、报表等方面。 数据清洗、转换与迁移 进入新系统的数据不准确、不完整。 程序实施 实施发布切换失败,系统不具备承接企业日常事务处理的能力; 培训不充分,用户未完全掌握系统操作技能。 (二)系统建设活动的重点关注领域 注册会计师应当根据对被审计单位信息技术环境的了解、财务报表对信息技术的依赖程度,以及可能使财务报表产生重大错报的信息技术相关风险评估情况,确定对财务报表认定有直接或间接影响的信息系统。如果被审计单位的系统建设活动涉及以下几类信息系统,注册会计师通常需要予以关注: 1. 财务系统:通常涵盖总账、固定资产、应收账款、应付账款等模块,是被审计单位日常会计核算的基础应用系统。其功能定位决定了这类信息系统对财务报表认定具有直接影响。因此,如果被审计单位在审计期间进行了财务系统的开发活动,注册会计师通常应当将财务系统纳入信息系统审计范围,并对与该系统开发相关的风险和控制的设计与执行给予充分的考虑和评估。 2. 报表平台:通常包括三类,一类是专门执行合并报表编制的平台,能够根据配置自动执行合并抵消,并出具合并层面的财务报表,如Oracle Hyperion产品;第二类是从业务系统抽取数据生成报表,供财务人员做账时查询;第三类是支持企业对外报送信息的系统,如根据税务法律法规,专门生成符合报税格式和规范的财务报表。如果4
注册会计师确定这类信息系统对财务报表认定具有直接影响,通常应当将其纳入信息系统审计范围。 3. 业务系统:通常是支撑被审计单位生产经营活动开展的事务处理与管控系统,具体表现形式多样。如制造业企业的ERP系统,零售企业的POS系统、进销存系统、客户关系管理系统,商业银行的贷款系统,电商的订单处理系统等。值得注意的是,在现代企业中,业务端与财务端在信息技术的推动下逐渐融合,如SAP、Oracle等ERP产品,财务相关的功能往往作为ERP系统的一个模块而存在;或者系统之间存在着自动化的接口,财务系统通过接口与业务系统同步数据并进行账务处理;或者业务系统能够生成相关的报表,供财务人员查询并做会计核算和账务处理。在这样的信息技术运用环境中,业务系统应当被认为对财务报表认定具有直接影响,通常应当将其纳入信息系统审计范围。 4. 工作流系统:通常能够根据用户角色和权限,以及工作流的配置和定义,自动触发并处理各类工作请求。常见的形式是办公自动化系统。注册会计师需要谨慎对待此类系统,并评估工作流处理的对象对于财务报表认定是否具有直接或间接影响。例如,主营业务的采购或销售合同条款的录入与审批在办公自动化系统中执行,审批通过后,合同条款自动经由数据接口同步进入ERP系统作为采购或销售事务结算的依据,在这种情形下,办公自动化系统处理的对象对于财务报表认定具有直接的影响。还有一类工作流系统,处理信息系统相关的工作请求,如系统变更、后台数据更正等。虽然与被审计单位开展5
的生产经营活动并不直接相关,但却是信息系统一般控制的基础管控平台,注册会计师通常应当予以充分考虑。 (三)系统建设审计领域相关控制的一般要素 注册会计师需要确定财务报表审计对信息系统的依赖程度,并在此基础上对纳入审计范围的信息系统的系统建设领域相关控制进行了解、评估和验证,系统建设审计领域相关控制的一般要素包括: 1. 对开发和实施活动的控制和管理; 2. 项目启动; 3. 系统分析与设计; 4. 编码开发与配置; 5. 测试与质量保证; 6. 数据清洗、转换与迁移; 7. 程序实施; 8. 记录和培训; 9. 职责分离。 系统建设各阶段面临的财务报表审计相关特定风险与控制目标、COBIT5模型及常见控制措施的对应关系如表2所示。 表2 风险与控制目标、COBIT5模型及常见控制措施的对应关系 系统建设阶段 风险 控制目标 与COBIT5模型的映射关系 常见控制措施
项目启动 系统建设活动偏离企业战略目保证系统开发活动与企AP002 企业制定完善的系统开发制度与6
标; 企业的项目治理混乱,项目间产生冲突。 业战略一致,且经过管理层的正式授权。 AP003 AP005 AP012 BAI01 规范,并贯彻执行。
企业对系统开发可行性进行充分研究,系统开发决策经过企业管理层的正式授权。 系统分析与设计 设计方案偏离项目目标,不能完全反应真实的用户需求。 保证系统的分析设计与用户需求保持一致。 AP012 BAI02 BAI03 BAI04 系统分析与设计方案需要得到用户的正式认可。
编码开发与配置 系统编码和配置可维护性差,增加出错概率; 系统编码和配置版本混乱,开发质量降低。 保证系统开发的高质量。 AP012 BAI03 BAI10 项目组制定并发布正式的程序编码规则。
项目管理人员执行开发质量复核。 7
利用技术工具建立源代码与配置管理库并执行版本控制。
建立配置基线。 测试与质量保证 测试不充分,系统存在重大错误或缺陷; 系统实际表现与用户预期之间存在偏差,突出表现在自动控制机制、报表等方面。 保证系统中不存在重大的错误或缺陷,能够达到用户的预期。 AP012 AP011 制定完善的系统测试计划。
测试中发现的问题应及时得到跟进与解决。
用户应参与最终的验收测试并做出正式的测试结论。 数据清洗、转换与迁移 进入新系统的数据不准确、不完整。 保证数据迁移的完整性、准确性与一致性。 AP012 AP011 制定完善的数据清洗、转换与迁移计划。
用户应参与数据8
迁移,由独立人员验证迁移前后数据的完整性、准确性与一致性并做正式记录。 程序实施 实施发布切换失败,系统不具备承接企业日常事务处理的能力; 培训不充分,用户未完全掌握系统操作技能。 保证系统上线的平稳有序。 AP012 BAI05 BAI06 BAI07 BAI08 DSS04 制定完善的程序实施计划,建立并测试应急回滚机制。
用户经过充分培训并考核合格。
开发环境、测试环境、生产环境严格分离。
严格控制生产环境的发布权限。 程序实施需要得到企业管理层的正式授权。 9
(四)系统建设审计领域控制测试的执行 根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》,注册会计师应当根据被审计单位的特定信息技术环境,对财务报表重大错报风险进行识别,了解并评价与财务报表审计相关的内部控制。就系统建设审计领域的内部控制而言,识别和了解与企业财务报告相关的内部控制,并确定控制测试的性质、时间安排和范围,通常需要关注内容见表3。 表3 确定系统建设审计领域控制测试时的考虑 对开发和实施活动的整理管理: 被审计单位是否对系统开发活动建立了正式的规章制度,是否有明确、成熟的系统开发方法论? 被审计单位是否对系统开发项目建立了完善的实施计划? 被审计单位是否明确了系统开发活动中所涉及的人员的角色和职责? 被审计单位如何确保业务负责人和信息技术负责人充分参与了系统开发的关键活动,如需求定义、测试计划制定,以及测试结果的评价与跟进? 管理层如何监督系统开发活动,以及相应的控制手段? 项目启动、系统分析与设计: 系统开发活动是否与被审计单位整体业务发展目标一致?是否与完善内部控制目标一致? 项目团队是否具备充分的业务、技术知识与能力?包括内部控制方面的知识与能力。 业务相关方和数据所有者是否已经充分识别?