信息系统一般控制审计

（⼀）信息技术⼀般性控制审计信息系统⼀般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应⽤或控制模块具有普遍影响的控制措施。

信息技术⼀般控制通常会对实现部分或全部财务报告认定做出间接贡献。

有些情况下，信息技术⼀般控制也可能对实现信息处理⽬标和财务报告认定做出直接贡献。

这。

由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运⾏，注册会计师需要对上述三个领域实施控制测试。

信息技术⼀般控制包括程序开发、程序变更、程序和数据访问以及系统运⾏等四个⽅⾯。

1．程序开发程序开发领域的⽬标是确保系统的开发、配置和实施能够实现管理层的应⽤控制⽬标。

程序开发控制的⼀般要素包括:（1）对开发和实施活动的管理；（2）项⽬启动、分析和设计；（3）对程序开发实施过程的控制软件包的选择；（4）测试和质量确保；（5）数据迁移；（6）程序实施；（7）记录和培训；（8）职责分离。

2．程序变更程序变更领域的⽬标是确保对程序和相关基础组件的变更是经过请求、授权、执⾏、测试和实施的，以达到管理层的应⽤控制⽬标。

程序变更的⼀般包括以下要素：（1）对维护活动的管理；（2）对变更请求的规范、授权与跟踪；（3）测试和质量确保；（4）程序实施；（5）记录和培训；（6）职责分离。

3．程序和数据访问程序和数据访问这⼀领域的⽬标是确保分配的访问程序和数据的权限是经过⽤户⾝份认证并经过授权的。

程序和数据访问的⼦组件⼀般包括安全活动管理、安全管理、数据安全、操作系统安全、络安全和物理安全。

4．计算机运⾏计算机运⾏这⼀领域的⽬标是确保⽣产系统根据管理层的控制⽬标完整准确地运⾏，确保运⾏问题被完整准确地识别并解决，以维护财务数据的完整性。

计算机运⾏的⼦组件⼀般包括计算机运⾏活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。

信息系统一般控制审计过程实例解析作者：张玉琳贺颖奇来源：《财会学习》2013年第11期随着信息技术在企业应用越来越广泛，信息系统控制和审计已经成为很多企业面临的迫切问题。

信息系统控制包括一般控制和应用控制两部分，一般控制包括规划与组织控制、系统建设控制、日常运行控制等。

应用控制与实际系统的业务有关，主要包括输入控制、处理控制、输出控制。

对一般控制的审计就是要获取证据鉴证在被审期间企业有关的制度和规程是否健全，计算机信息系统是否按规定的制度和规程工作，控制的作用是否达到了预期的结果。

一、信息系统审计的计划阶段计划阶段是信息系统审计过程的起点。

计划阶段的主要任务是了解被审计单位以及业务和系统运营情况；识别风险和内部控制；以及确定审计的性质、范围和重点等。

（一）了解被审计单位业务和系统运营情况审计人员首先需要了解被审单位的基本情况，主要包括业务和系统运营情况。

通过对这些基本情况的调查了解，可以对被审单位审计的固有风险进行初步评价。

本文对信息系统一般控制的审计实例以一家提供医疗保险服务的公司（以下以R公司代称）为背景。

R公司总部位于上海，在全国多地拥有分公司和业务部门。

公司信息部负责整个公司信息系统的管理和维护工作。

公司现在用的主要业务系统——医疗保险管理系统（HIMS）是由公司2003年自主研发的，系统于2005年进行测试，2006年3月正式运行使用。

到今天系统经过了多次改版和升级。

系统采用进行开发，后台数据库为SQL Server2005，医疗保险管理系统采用了B/s结构模式，现在服务器端操作系统为windows 7.0，客户端操作系统主要为Windows XP。

公司每年都投入资金对其硬件环境进行升级改造，目前共有服务器10台、计算机1200多台、交换机87台、硬件防火墙6台，打印机103台。

公司机房在上海总部办公大楼一楼，放置了温度、湿度探测器，同时配备了UPS不间断电源和自动灭火系统，为系统正常运行提供了保障。

信息系统一般控制审计一、应用系统开发、测试与上线审计A.应用系统开发审计（一）业务概述组织的信息系统开发根据方式不同，通常包括自主开发、外委开发、或者二者兼有的开发方式。

组织在进行信息系统开发时，应当根据自身技术力量、资金状况、发展目标等实际情况，选择适合自身的开发方式和合作伙伴。

应用系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。

（二）审计目标和内容审计目标：通过规范开发程序，提高信息系统开发的可控性、安全性、可靠性和经济性，揭示信息系统开发环节存在的风险及问题，提出完善信息系统开发控制的审计意见和建议，实现组织目标。

审计内容：开发组织机构设置、资源配置情况。

开发过程中与业务部门的沟通情况。

系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、安全管理情况。

（三）常见问题和风险组织自主开发方式下的应用系统主要存在以下常见问题及风险：1.组织未成立专门的开发建设项目组，可能导致信息系统开发建设责任制未落实的风险。

2.信息系统开发工作缺乏必要支持。

组织内部无专业技术人员或是缺乏必要的财务支持，导致开发失败的风险。

3.信息系统开发过程没有业务部门人员参与，未定期与业务部门共同审核信息系统的开发建设情况，未及时发现系统不能满足业务的需要，可能导致与业务需求不相符的风险。

4.组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系，不能有效控制开发质量；开发过程中未进行必要的安全控制，未对源代码进行有效管理和严格审查可能导致的风险。

5.项目需求说明书阐述业务范围及内容不清晰，未能结合需求制定出最优化的技术设计方案的风险。

开发环境、测试环境和生产环境未分离，网络未有效隔离，设备未独立于生产系统，开发人员直接接触生产系统，直接使用未经批准并脱敏的生产数据，导致泄密或造成生产系统受损的风险。

信息系统审计内容一、信息系统审计内容概述信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。

信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括：（一）控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

（二）风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

（三）控制活动内部审计人员应当关注信息系统管理的方法和程序，主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

（四）信息与沟通内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

（五）内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。

三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续运行。

信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。

审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。

信息系统一般性控制审计应当重点考虑下列控制活动：（一）系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发所制定的系统目标以及预期功能是否合理，是否能够满足组织目标；系统开发的方法，开发环境、测试环境、生产环境的分离情况，系统的测试、审核、验收、移植到生产环境等环节的具体活动。

IT审计概述：IT审计是分为：信息技术一般控制审计（ITGC)和应用层面控制审计（ITAC）1，ITAC（支持财审做对一些对具体余额的认定进行审计）ITAC即针对某一个应用软件的控制，例如对于银行来说，就有银行利息的计算软件。

那么审计这个计算过程对不对，就是ITAC了。

IT审计员会在系统中查看这个程序的源代码，看看利息是不是用借款乘以利率算出来的，另外，也会在系统中生成一个存款，然后看看系统计算的对不对。

2，ITGC（IT一般控制）但是我们知道，我们只能在一年中某已一个点来测试ITAC，如何保证在过去的一个财年内这个软件计算过程都是对的呢？这就需要ITGC是不是有效的，如果这个程序没有被乱篡改，所有的程序变更都事先得到了许可和授权，这个程序出问题的时候可以得到及时有效的解决，也就是ITGC有效的情况下，IT审计员就可以得出这个利率计算过程是有效的。

ITGC内容（可以先不看）：（1）ELC（entity level control）控制。

就是看看客户在IT治理方面的相关组织架构是否合理，书面的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及一些比较虚的总纲类的书面管理制度如《IT 管理制度》等等。

（2）系统开发和变更。

就是关注系统开发和系统后续小变更中的一些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看一看，再看系统开发是否经过了需求提出、可行性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取一些内控痕迹和表单，如《××系统需求报告》、《××系统可行性报告》、《××系统立项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更方面比较重要的就是《变更审批单》，这个一般来说还要进行抽样，而上面的开发流程一般来说做一两个穿行测试就行了。

IT审计简述IT审计概述：IT审计是分为：信息技术⼀般控制审计（ITGC)和应⽤层⾯控制审计（ITAC）1，ITAC（⽀持财审做对⼀些对具体余额的认定进⾏审计）ITAC即针对某⼀个应⽤软件的控制，例如对于银⾏来说，就有银⾏利息的计算软件。

那么审计这个计算过程对不对，就是ITAC了。

IT审计员会在系统中查看这个程序的源代码，看看利息是不是⽤借款乘以利率算出来的，另外，也会在系统中⽣成⼀个存款，然后看看系统计算的对不对。

2，ITGC（IT⼀般控制）但是我们知道，我们只能在⼀年中某已⼀个点来测试ITAC，如何保证在过去的⼀个财年内这个软件计算过程都是对的呢？这就需要ITGC是不是有效的，如果这个程序没有被乱篡改，所有的程序变更都事先得到了许可和授权，这个程序出问题的时候可以得到及时有效的解决，也就是ITGC有效的情况下，IT审计员就可以得出这个利率计算过程是有效的。

ITGC内容（可以先不看）：（1）ELC（entity level control）控制。

就是看看客户在IT治理⽅⾯的相关组织架构是否合理，书⾯的管理制度是不是健全，具体的审计程序就是获取客户的组织结构图，及⼀些⽐较虚的总纲类的书⾯管理制度如《IT 管理制度》等等。

（2）系统开发和变更。

就是关注系统开发和系统后续⼩变更中的⼀些控制，具体的审计程序就是获取系统开发及变更相关的管理制度典型的如《系统开发制度》《系统变更管理制度》等来看⼀看，再看系统开发是否经过了需求提出、可⾏性研究、领导层审批，系统上线之前是不是经过了充分的测试，获取⼀些内控痕迹和表单，如《××系统需求报告》、《××系统可⾏性报告》、《××系统⽴项审批单》、《××系统单元测试报告》、《××系统集成测试报告》、《××系统上线审批单》，然后变更⽅⾯⽐较重要的就是《变更审批单》，这个⼀般来说还要进⾏抽样，⽽上⾯的开发流程⼀般来说做⼀两个穿⾏测试就⾏了。

计算机信息系统的控制及其审计[内容提要] 当信息处理的方式由手工转向计算机后,为了确保输出信息的及时、准确和完整，为防止或及时发现差错及舞弊行为的发生，信息系统的控制就显得尤为重要。

本章专门研究计算机信息系统的一般控制及应用控制的各种控制措施和管理制度及其审计问题。

本章最后还介绍了控制矩阵及其在信息系统控制审计中的应用。

第一节信息系统控制的重要性信息系统所提供的信息是投资者、债权人及企业经营管理者作出投资决策以及生产经营决策的重要依据，因此，如何才能确保信息的有效、准确、及时、完整和安全，是我们在设计和运行信息系统时所需考虑的一个重要问题，而这一问题的关键在于如何完善信息系统的控制。

一、控制的定义对一个企业来说，所谓控制是指企业经营管理者为了维护企业资产的安全、资源的有效利用和提高企业财会和管理信息的真实、正确性，确保企业方针政策的贯彻执行，促进各项工作与企业经营效率的提高而实施的各项措施。

内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五部分构成。

一个良好的企业控制系统应具有以下4个方面的功能：1. 确保企业各种经济资源的安全。

一个企业，如果没有一套良好的控制企业经济资源的措施，就会发生各种经济资源的损毁、贪污、浪费、盗窃、丢失等现象，使企业蒙受损失。

所以，要采取有力的控制措施，有效地提高企业各种经济资源的安全，保护企业所有者的利益。

2. 确保各种经济信息、尤其是财会信息的准确、完整和及时性。

只有及时、准确、完整的经济信息，才能引导企业经营管理者正确地作出各种经济预测和决策，圆满实现企业的经营目标；反之，则会对企业的生产经营起误导作用，使企业在面临各种问题时，作出错误的选择。

可见，建立良好的信息系统控制，是保证信息质量的重要途径。

3.促进企业各部门工作效率的提高，使企业保持良好的运行效率。

提高企业各部门工作效率是保证企业良好运行，顺利实现企业经营目标的重要途径。

因此，在企业内建立一套有效的业绩考核和评估体系，使企业内形成一种相互激励，相互约束的竟争机制，可以大大提高企业对各种经济资源、人力资源的利用率，使企业保持良好的运行效率。