1、信息系统审计方法及操作指引刘丽萍 2019/012一、信息系统审计方法IT一般控制和应用控制审计概要3IT一般控制审计程序nIT一般控制概念一般控制概念信息技术广泛应用于信息技术广泛应用于企业日常交易处理中,是涉及整个财务报表交易流程企业日常交易处理中,是涉及整个财务报表交易流程的重要组成部分,它影响财务数据的一致性、完整性和准确性。随着信息的重要组成部分,它影响财务数据的一致性、完整性和准确性。随着信息科技日益发展,信息系统日趋复杂,使得业务风险增加,因此对科技日益发展,信息系统日趋复杂,使得业务风险增加,因此对IT控制进控制进行测试与评估就显得尤为重要。行测试与评估就显得尤为重要。IT一般
2、控制是指为保证在一段时期内应用控制持续有效性,而在系统变更一般控制是指为保证在一段时期内应用控制持续有效性,而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效,所以被称为集都有效,所以被称为“IT一般控制一般控制”。nIT一般控制分类一般控制分类变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权、变更管理:只允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。测试和批准的变更。逻辑访问:只有经过授权的人员,才可以访问数据和应用程序(包括程序、逻辑访问:只有经过授权的人
3、员,才可以访问数据和应用程序(包括程序、表和相关资源),并且他们只能执行明确授权的功能(例如:询问、执行表和相关资源),并且他们只能执行明确授权的功能(例如:询问、执行和更新)。和更新)。其他其他ITIT一般控制一般控制(包括(包括ITIT运行):正确备份支持财务信息数据,以便在发运行):正确备份支持财务信息数据,以便在发生系统中断或数据完整性问题时,能够准确、完整地恢复这类数据。按计生系统中断或数据完整性问题时,能够准确、完整地恢复这类数据。按计划执行程序,并及时识别和消除按计划处理时产生的偏差。及时识别、解划执行程序,并及时识别和消除按计划处理时产生的偏差。及时识别、解决、复核和分析决、复
4、核和分析ITIT运行问题或事故。运行问题或事故。4IT一般控制审计程序nIT一般控制包含控制流程一般控制包含控制流程主要包括三个方面变更管理逻辑访问其它IT一般控制平稳解决创新管理问题IT一般控制审计Enterprise datamodelMaster/reference dataTechnology and tools standards信息系统审计指南和标准用户账号变更管理用户账号变更管理超级用户访问授权超级用户访问授权关键系统资源和工具访问授权关键系统资源和工具访问授权权限定期检查权限定期检查超级用户日志超级用户日志职责分离职责分离安全参数设置安全参数设置远程访问远程访问网络安全网络安全
5、备份管理备份管理备份恢复备份恢复物理安全物理安全批处理批处理第三方管理第三方管理问题及应急事件处理问题及应急事件处理业务持续性计划灾业务持续性计划灾难恢复难恢复系统开发和重大变更系统开发和重大变更程序变更程序变更配置配置/参数变更参数变更基础架构变更基础架构变更紧急程序变更紧急程序变更数据修改数据修改5IT一般控制审计程序n变更管理变更管理1.2.1 IT环境技术组成要素环境技术组成要素在风险评估过程中,应确定在风险评估过程中,应确定IT环境中以下哪些技术组成要素会影环境中以下哪些技术组成要素会影响变更管理种类,并且在测试范围内:响变更管理种类,并且在测试范围内:应用程序应用程序 界面(界面(
6、IT控制)控制)数据库数据库操作系统操作系统/网络网络 1.2 影响变更管理测试性质和范围因素影响变更管理测试性质和范围因素仅允许对应用程序、界面、数据库和操作系统进行适当授权、仅允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。测试和批准的变更。1.1 总体目标总体目标6IT一般控制审计程序n影响变更管理测试性质和范围因素影响变更管理测试性质和范围因素(续续)1.2.2 变更类型变更类型要确定最适当的测试方法,了解和记录用于变更管理过程要确定最适当的测试方法,了解和记录用于变更管理过程,包括,包括针对以下变更类型和针对以下变更类型和ITIT环境技术组成要素过程:环境技术组
7、成要素过程:程序开发程序开发/采购采购 开发和实施新应用程序或界面。开发和实施新应用程序或界面。程序变更程序变更 对现有应用程序和界面进行的变更。对现有应用程序和界面进行的变更。系统软件维护系统软件维护 对数据库、操作系统和其他系统软件进对数据库、操作系统和其他系统软件进行的技术变更(例如:行的技术变更(例如:补丁程序和升级)。补丁程序和升级)。紧急变更紧急变更 在紧急情况下进行的变更。在紧急情况下进行的变更。配置配置/参数变更参数变更 对对ITIT环境各种技术组成要素总体配置和环境各种技术组成要素总体配置和参数设置进行的变更相关参数设置进行的变更相关,包括对新应用程序的配置设置,包括对新应用
8、程序的配置设置进行初始设置。进行初始设置。7IT一般控制审计程序n影响变更管理测试性质和范围因素影响变更管理测试性质和范围因素(续续)选择变更管理样本首选方法是:直接从表明自审计期间期初到测试日期实际进行全部变更的变更管理系统获取清单,并且确定变更清单是完整的、有效的。如果系统生成清单不可用,可以考虑以下组合:如果系统生成清单不可用,可以考虑以下组合:获取被审计公司变更清单(手工维护清单或来自自动跟踪系统清单);确定程序变更清单是完整的。通过查找编译日期在审计期间内的可执行模块来获取实际变更清单,从该清单中选择一个在此期间发生的变更样本,并验证从被审计机构那里获取的变更清单上是否存在该变更。如
9、果没有任何变更,则核实范围内技术组成要素最新编译日期不在审计期间内,以确定没有发生变更。1.2.3 识别对识别对ITIT环境进行的变更(测试总体)环境进行的变更(测试总体)根据确定的测试方法,获取从审计期间期初到测试日期以来根据确定的测试方法,获取从审计期间期初到测试日期以来ITIT环境相关组成要素变更完环境相关组成要素变更完整清单(变更管理清单)。应尽可能进一步分离变更管理清单,使其只包括在范围内的整清单(变更管理清单)。应尽可能进一步分离变更管理清单,使其只包括在范围内的那些那些ITIT环境变更和技术组成要素。环境变更和技术组成要素。应用以下与获取程序变更清单相关的方法:应用以下与获取程序
10、变更清单相关的方法:8IT一般控制审计程序n影响变更管理测试性质和范围因素影响变更管理测试性质和范围因素(续续)已授权 确定请求的变更已经过适当授权。根据被审计机构政策具体确定,某些情况下(如较小变更,可能被定义为那些需要程序员花费时间少于特定小时数的变更),变更可能不需要特定授权。已测试 确定用户是否执行了测试以确认变更按设计意图运行。否则,应确认确实进行了其他适当测试。有些情况下(如:基础结构变更),根据被审计机构政策,可以接受纯IT测试。已批准 确定在变更移入生产环境之前,应用程序所有者和IT人员是否批准了这些变更。有些情况下(如:基础结构变更),可以接受纯IT批准。1.2.4 授权、测
11、试和批准变更授权、测试和批准变更 1.2.5 变更管理职责分工补偿性控制变更管理职责分工补偿性控制由于组织结构或其他原因无法进行变更管理不相容职责分工情况下,补偿性控制可以用来保证不会发生未经授权的程序或数据变更。应将补偿性控制设计为发现何时因不相容职责分工问题而规避现有其他变更管理控制。补偿性IT一般控制示例有:变更日志复核,以确定只有批准的变更被移到生产环境中,同时确认变更日志是完整的。变更日志复核,以确定只有批准的变更被移到生产环境中,同时确认变更日志是完整的。变更控制会议,以讨论和跟进移入生产环境中的最新变更。变更控制会议,以讨论和跟进移入生产环境中的最新变更。9IT一般控制审计程序n
12、逻辑访问逻辑访问2.1 总体目标总体目标只允许授权人员访问数据和应用程序(包括程序、表格以及相关资只允许授权人员访问数据和应用程序(包括程序、表格以及相关资源),并且这些人员只能执行明确授权的功能(例如:询问、执行和源),并且这些人员只能执行明确授权的功能(例如:询问、执行和更新等)。更新等)。需要考虑需要考虑 ITGC 逻辑访问测试是否提供了有关适当的限制或不相容逻辑访问测试是否提供了有关适当的限制或不相容职责分工的足够证据。有些情况下,职责分工的足够证据。有些情况下,ITGC 测试不能为我们提供足够测试不能为我们提供足够的证据,以明确断定是否为各个交易适当限制或分离了逻辑访问。此的证据,以
13、明确断定是否为各个交易适当限制或分离了逻辑访问。此时,应用程序层次的访问控制对于我们的风险评估而言可能至关重要。时,应用程序层次的访问控制对于我们的风险评估而言可能至关重要。在这种情况下,作为应用控制测试的一部分,我们将对应用程序层次在这种情况下,作为应用控制测试的一部分,我们将对应用程序层次访问或不相容职责分工控制执行特定测试。访问或不相容职责分工控制执行特定测试。10IT一般控制审计程序2.2 影响影响逻辑访问逻辑访问测试性质和范围因素测试性质和范围因素对于ITGC审计范围每个应用程序,应确定用于保护财务系统程序和数据访问的逻辑访问路径每个技术组成要素关键程度。逻辑访问路径可能的技术组成要
14、素包括:2.2.1 逻辑访问路径逻辑访问路径应用程序应用程序 操作系统,操作系统,包括使用安全软件包括使用安全软件 数据库数据库 网络网络 互联网互联网/远程访问远程访问 穿行测试应记录逻辑访问路径中的哪些位置存在不同授权访问过程。在大多数环境中:所有逻辑访问所有逻辑访问ITGC均应用于应用程序层次均应用于应用程序层次;并非所有逻辑访问并非所有逻辑访问ITGC都应用于操作系统和都应用于操作系统和数据库层次;数据库层次;只有极少数逻辑访问只有极少数逻辑访问ITGC可能应用于网络、远程访问或互联网层次。可能应用于网络、远程访问或互联网层次。11IT一般控制审计程序n影响影响逻辑访问逻辑访问测试性质
15、和范围因素测试性质和范围因素(续续)与离职和调动用户相关的ITGC通常是补偿性控制,用于弥补定期用户访问复核过程的缺陷。如果审计方法表明需要测试离职和调动用户,我们应考虑以下程序:2.2.2 定期用户权限复核控制的补偿性控制定期用户权限复核控制的补偿性控制测试程序测试程序 离职用户:获取审计期间离职用户:获取审计期间离职职员离职职员清单,并确定它是完整清单,并确定它是完整的、有效的。选择适当样本的、有效的。选择适当样本,确定是否及时删除或撤消了系统,确定是否及时删除或撤消了系统访问权限。访问权限。测试程序测试程序 调动用户:获取审计期间调动用户:获取审计期间调动职员调动职员清单,并确定它是完清
16、单,并确定它是完整整的、有效的。的、有效的。确定确定用户访问用户访问对于其工作职能来说是否适当,其以前的系对于其工作职能来说是否适当,其以前的系统统访问权限是否访问权限是否已被删除或撤消。已被删除或撤消。12IT一般控制审计程序n其他IT一般控制备份和恢复:正确备份支持财务信息的数据,以便在出现系统中断或数据完整性问题时,可以准确完整地恢复此类数据。任务排程:按计划执行程序,及时识别并消除按计划处理时产生的偏差。批处理:正确维护批处理过程,持续监控批处理,以保证数据安全。问题和事件管理及监控:及时识别、解决、复核和分析IT运行问题或事件。3.1 总体目标总体目标3.2 影响其他影响其他IT一般
17、控制测试性质和范围因素一般控制测试性质和范围因素3.2.1 IT环境技术组成要素环境技术组成要素在风险评估过程中,我们应确定在风险评估过程中,我们应确定ITIT环境中以下哪些技术组成要素会影响其环境中以下哪些技术组成要素会影响其他他ITIT一般控制,并且在测试范围内:一般控制,并且在测试范围内:应用程序应用程序 数据库数据库 操作系统操作系统/网络网络 13IT一般控制审计程序方法论n测试方法测试方法测试人员需要根据具体情况,决定采用不同测试方法,包括:询问、观察测试人员需要根据具体情况,决定采用不同测试方法,包括:询问、观察、检查、重新执行四种。注意:对某一个控制点测试可能需要结合各、检查、
18、重新执行四种。注意:对某一个控制点测试可能需要结合各种不同测试方法,譬如用户账号管理流程关于用户初始密码必须及时种不同测试方法,譬如用户账号管理流程关于用户初始密码必须及时更改这个控制点。更改这个控制点。询问:通过向相关人员访谈了解各个系统是否存在用户初始密码更改控询问:通过向相关人员访谈了解各个系统是否存在用户初始密码更改控制,由什么岗位负责这项工作,是否有制度对初始密码作出规定等。制,由什么岗位负责这项工作,是否有制度对初始密码作出规定等。观察:观察一个系统新用户初次登陆时,系统是否提示修改密码。观察:观察一个系统新用户初次登陆时,系统是否提示修改密码。检查:检查系统安全参数设置,确保使用
19、正确的参数强制用户在初次检查:检查系统安全参数设置,确保使用正确的参数强制用户在初次登录后修改密码。登录后修改密码。重新执行:申请一个测试账号,在系统中初次登录时查看系统是否强重新执行:申请一个测试账号,在系统中初次登录时查看系统是否强制要求修改密码。制要求修改密码。14IT一般控制审计程序方法论为了解为了解IT流程,参与评估人员需要在内控文档中对如下内容进行关注:流程,参与评估人员需要在内控文档中对如下内容进行关注:5个个W(WHO,WHEN,WHAT,WHERE,WHY)与与1个个H(HOW)谁来做的谁来做的-Who何时做的何时做的-When-When做的什么做的什么-What-What在
20、哪做的在哪做的-Where-Where做的原因做的原因-Why-Why如何做的如何做的-How-Hown了解了解IT流程方法流程方法15IT一般控制审计程序方法论IT一般控制测试流程一般控制测试流程缺陷报告文档整改控制矩阵测试访谈再评估16IT一般控制审计程序方法论IT一般控制流程主要关注点举例一般控制流程主要关注点举例-用户账户维护流程用户账户维护流程 注:所列内容仅为简单样例需求部门需求部门如何提出如何提出用户账户用户账户维护申请维护申请该申请由该申请由谁来授权,谁来授权,如何授权如何授权以及授权以及授权哪些内容哪些内容需求申请及需求申请及授权确认授权确认记录在哪里记录在哪里具体谁负责具体
21、谁负责执行执行及如何执行及如何执行 负责人负责人完成维护完成维护操作后,操作后,如何通知如何通知需求部门需求部门或授权人或授权人启动授权授权记录记录流程处理流程处理汇报汇报询问、观察和检查询问、观察和检查询问、观察和检查询问、观察和检查询问、观察和检查17IT一般控制审计方法论了解被评估单位的IT一般控制流程根据流程描述,识别风险与控制的关系根据应用系统配置清单,判断测试范围根据测试范围设计测试方法执行穿行测试/控制测试根据测试结果,进行控制评价填写缺陷报告、制定整改计划流程描述流程描述/流程图流程图IT一般控制评估风险控制风险控制矩阵矩阵系统配置系统配置清单清单测试模板测试模板穿行、控制测试
22、报告穿行、控制测试报告缺陷报告、缺陷报告、整改计划整改计划使用相关流使用相关流程描述方法程描述方法表示被评估表示被评估单位某个具单位某个具体业务处理体业务处理过程。过程。风险控制矩阵是风险控制矩阵是对风险所导致负对风险所导致负面影响的量化,面影响的量化,从严重性、发生从严重性、发生概率和所涉及范概率和所涉及范围等方面进行描围等方面进行描述,使得对风险述,使得对风险的刻画更为有效的刻画更为有效和清晰。和清晰。识别出关键系统识别出关键系统的系统配置,包的系统配置,包括系统描述、应括系统描述、应用系统来源、计用系统来源、计算机平台、操作算机平台、操作系统、数据库名系统、数据库名称和版本等有关称和版本
23、等有关系统的信息。系统的信息。根据对信息系统根据对信息系统的初步了解,设的初步了解,设计出相应的测试计出相应的测试模板,包括风险模板,包括风险点、控制点、测点、控制点、测试范围、测试时试范围、测试时间、测试步骤等间、测试步骤等信息信息对相关风险点所针对的每个控制进对相关风险点所针对的每个控制进行测试,并得出结论(即:确定行测试,并得出结论(即:确定ITGCITGC是否有效)。测试结论所依赖是否有效)。测试结论所依赖的审计证据一定要真实可靠。的审计证据一定要真实可靠。对所测试的控制对所测试的控制 未按照设计方式未按照设计方式运行的情况进行运行的情况进行总结归纳;同时总结归纳;同时找出原因和影响找
24、出原因和影响范围,并对其提范围,并对其提出整改意见。出整改意见。18IT一般控制审计程序方法论n流程描述流程描述/流程图流程图系统变更系统变更流程适用范围流程适用范围-针对针对XXXXXX系统系统需求需求申请申请需求可行性分析需求可行性分析 业务需求文档编写业务需求文档编写系统开发系统开发测试测试上线上线上线后跟进上线后跟进19IT一般控制审计程序方法论n风险控制矩阵风险控制矩阵风险控制矩阵是对风险所导致负面影响的量化,从严重性、发生概率和所涉及风险控制矩阵是对风险所导致负面影响的量化,从严重性、发生概率和所涉及范围等方面进行描述,使得对风险的刻画更为有效和清晰。包括风险点、范围等方面进行描述
25、,使得对风险的刻画更为有效和清晰。包括风险点、控制点、控制存在的证明性资料、实际控制描述等信息。控制点、控制存在的证明性资料、实际控制描述等信息。20IT一般控制审计程序方法论n穿行穿行测试测试、控制测试定义、控制测试定义穿行测试:穿行测试:追踪交易实际执行或在信息系统中的处理过程,并检查文件存档和信息追踪交易实际执行或在信息系统中的处理过程,并检查文件存档和信息流,以确定是否按照规定的制度完成。穿行测试不是单独的一种审计程序,而是将流,以确定是否按照规定的制度完成。穿行测试不是单独的一种审计程序,而是将多种审计程序按特定审计需要结合运用的方法。通过追踪交易处理过程,证实审计多种审计程序按特定
26、审计需要结合运用的方法。通过追踪交易处理过程,证实审计人员对控制的了解、评价控制设计有效性以及确定控制是否得到执行。人员对控制的了解、评价控制设计有效性以及确定控制是否得到执行。控制测试:控制测试:测试被审计单位系统控制设计合理性和执行有效性。在测试控制运行测试被审计单位系统控制设计合理性和执行有效性。在测试控制运行有效性时,应当从下列方面获取关于控制是否有效运行的审计证据:有效性时,应当从下列方面获取关于控制是否有效运行的审计证据:控制在所审计期间不同时点是如何运行的;控制在所审计期间不同时点是如何运行的;控制是否得到一贯执行;控制是否得到一贯执行;控制由谁执行;控制由谁执行;控制以何种方式
27、运行(如人工控制或自动控制)。控制以何种方式运行(如人工控制或自动控制)。穿行测试:评价控制设计有效性。穿行测试:评价控制设计有效性。穿行测试主要是在了解内部控制时运用,但在执行穿行测试主要是在了解内部控制时运用,但在执行穿行测试时,也能获取部分控制运行有效性的审计证据。穿行测试时,也能获取部分控制运行有效性的审计证据。控制测试控制测试:评价控制设计有效性并确定控制是否得到有效执行。:评价控制设计有效性并确定控制是否得到有效执行。n穿行测试、控制测试区别穿行测试、控制测试区别21IT一般控制审计程序方法论n穿行测试穿行测试样本量样本量穿行测试是随机选择审计期间的一个样本进行测试。穿行测试是随机
28、选择审计期间的一个样本进行测试。n控制测试样本量控制测试样本量在制定用于执行控制测试的测试策略时,应考虑这样一个事实:执行足够多程序是在制定用于执行控制测试的测试策略时,应考虑这样一个事实:执行足够多程序是为了作出控制有效运行结论。下表汇总了我们在下列情况下针对某个特定控制执行为了作出控制有效运行结论。下表汇总了我们在下列情况下针对某个特定控制执行控制测试的基本测试范围指引:控制测试的基本测试范围指引:控制性质及执行频率全面控制测试-要测试的最少样本数量(控制测试范围)每天执行许多次的手工控制25每天执行一次的手工控制*25每周执行一次的手工控制5每月执行一次的手工控制2每季执行一次的手工控制
29、2每年执行一次的手工控制1自动控制1(区别不同交易类型)*某些控制可能是频繁执行的,但不是每天都执行。对于这种控制,应使用上面指引推算样本量。通常,对于在一年某些控制可能是频繁执行的,但不是每天都执行。对于这种控制,应使用上面指引推算样本量。通常,对于在一年中出现中出现 50 50 至至 250 250 次的控制,使用上面表格推算的最低样本量大约是发生数量的次的控制,使用上面表格推算的最低样本量大约是发生数量的10%10%。22IT一般控制审计程序方法论n测试模板测试模板根据对被审计单位信息系统的初步了解,设计出相应的测试模板,包括风险点、控根据对被审计单位信息系统的初步了解,设计出相应的测试
30、模板,包括风险点、控制点、测试范围、测试时间、测试步骤等信息。制点、测试范围、测试时间、测试步骤等信息。23IT一般控制审计程序方法论n缺陷报告、整改计划缺陷报告、整改计划对所测试的控制没有按照设定方式运行情况进行总结归纳;同时找出原因和影响范对所测试的控制没有按照设定方式运行情况进行总结归纳;同时找出原因和影响范围,并对其提出有针对性的整改意见。围,并对其提出有针对性的整改意见。24IT一般控制审计程序方法论IT一般控制与应用控制关系一般控制与应用控制关系人工控制自动控制(纯)人工控制应用程序控制人工依赖IT控制人工检查性控制人工预防性控制25IT应用控制审计方法论nIT应用控制概念应用控制
31、概念应用控制是在应用系统中由程序执行的控制,用以替代很多由人工完成的基础应用控制是在应用系统中由程序执行的控制,用以替代很多由人工完成的基础性检查工作。由于应用控制普遍适用于各种交易处理,所以应用控制是否有效性检查工作。由于应用控制普遍适用于各种交易处理,所以应用控制是否有效对于财务报表完整性和正确性以及公司内部控制有效性有着极为重要的影响。对于财务报表完整性和正确性以及公司内部控制有效性有着极为重要的影响。nIT应用控制类型应用控制类型26IT应用控制审计方法论了解了解核心核心应用系统相应用系统相关的关的重要业重要业务流程务流程确定业确定业务流程与务流程与应用系统应用系统的对应关的对应关系系
32、根据业根据业务流程描务流程描述,识别述,识别风险与控风险与控制制执行穿行执行穿行测试测试/控制控制测试测试 根据测根据测试结果,试结果,进行控制进行控制评价评价 填写缺填写缺陷报告,陷报告,制定整改制定整改计划计划流程描述流程描述/流程图流程图应用控制层面评估应用控制层面评估系统规划图系统规划图风险控制风险控制矩阵矩阵穿行、控制测试报告穿行、控制测试报告缺陷报告、缺陷报告、整改计划整改计划使用既定的使用既定的流程描述方流程描述方法表示被审法表示被审计机构某个计机构某个具体业务处具体业务处理过程。理过程。描述各个系统之描述各个系统之间信息传递关系间信息传递关系和系统与系统相和系统与系统相关接口。
33、关接口。对已选择风险点所针对的每个控制对已选择风险点所针对的每个控制进行测试,并得出结论。测试结论进行测试,并得出结论。测试结论所依赖的审计证据一定要真实可靠。所依赖的审计证据一定要真实可靠。对所测试的控制对所测试的控制并未按照针对该并未按照针对该交易或控制运行交易或控制运行发生而设计的方发生而设计的方式运行进行总结式运行进行总结归纳;同时找出归纳;同时找出原因和影响范围,原因和影响范围,并对其提出整改并对其提出整改意见。意见。风险控制矩阵是风险控制矩阵是对风险所导致负对风险所导致负面影响的量化,面影响的量化,从严重性、发生从严重性、发生概率和所涉及范概率和所涉及范围等方面进行描围等方面进行描
34、述,使得对风险述,使得对风险的刻画更为有效的刻画更为有效和清晰。和清晰。27IT应用控制审计方法论风险控制矩阵也是流程层面控制矩阵的一部分,其中包括人工控制、系统自动控风险控制矩阵也是流程层面控制矩阵的一部分,其中包括人工控制、系统自动控制和人工依赖制和人工依赖ITIT系统控制三类控制。样例如下:系统控制三类控制。样例如下:存在存在/发生、完整性、权发生、完整性、权利和义务、计价和分摊、利和义务、计价和分摊、准确性、截止、分类准确性、截止、分类28二、信息系统审计准则与操作指引29信息系统审计准则与操作指引 行业内控指引行业内控指引商业银行内部控制指引商业银行内部控制指引证券公司内部控制指引证
35、券公司内部控制指引寿险公司内部控制评价办法寿险公司内部控制评价办法上市公司内控指引上市公司内控指引上交所内控指引上交所内控指引深交所内控指引深交所内控指引证券交易所证券交易所行业监管机构行业监管机构企业内部控制基本规范企业内部控制基本规范财政部财政部证监会证监会审计署审计署银监会银监会保监会保监会企业内部控制评价指引企业内部控制审计指引证券交易所、行业监管机构均出台了一系列内部控证券交易所、行业监管机构均出台了一系列内部控制指引,为企业建立和实施内部控制制度提供一些制指引,为企业建立和实施内部控制制度提供一些行业性指引。行业性指引。中国注册会计师审计准则第中国注册会计师审计准则第1211号号了
36、解被审了解被审计单位及其环境并评估重大错报风险计单位及其环境并评估重大错报风险要求注册会要求注册会计师了解计师了解信息技术对内部控制产生的特定风险信息技术对内部控制产生的特定风险,并,并且应当且应当了解与信息处理有关的控制活动,包括信息了解与信息处理有关的控制活动,包括信息技术一般控制和应用控制。技术一般控制和应用控制。财政部牵头五部委出台财政部牵头五部委出台企业内部控制基本规范企业内部控制基本规范,为企业提供了完整和公认的内部控制框架,同时,为企业提供了完整和公认的内部控制框架,同时以法规的形式要求上市公司对本公司内部控制的有以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。效性
37、进行自我评价。企业内部控制评价指引企业内部控制评价指引具体规范了内控评价的具体规范了内控评价的内容和标准,评价的程序和方法,内控缺陷的认定内容和标准,评价的程序和方法,内控缺陷的认定,以及规定了评价报告的相关内容。,以及规定了评价报告的相关内容。企业内部控制应用指引企业内部控制应用指引在每个具体流程中规定在每个具体流程中规定了该指引的目的,相关定义,该流程的主要风险,了该指引的目的,相关定义,该流程的主要风险,岗位分工及授权批准,及主要流程的控制程序。岗位分工及授权批准,及主要流程的控制程序。企业内部控制审计指引企业内部控制审计指引为指导注册会计师执行为指导注册会计师执行内部控制审计业务的具体
38、指引。内部控制审计业务的具体指引。企业内部控制应用指引30企业内部控制基本规范-信息系统控制企业内部控制基本规范企业内部控制基本规范第五章中第四十一条对第五章中第四十一条对信息系统内部控制进行了要求:信息系统内部控制进行了要求:“企业应当利用信息技术促进信息的集成与共享,企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全
39、运行。控制,保证信息系统安全运行。”31企业内部控制评价指引-信息系统控制32企业内部控制应用指引第18号-信息系统控制内容包括:信息系统开发(5条)信息系统运行与维护(6条)33中国注册会计师审计准则第1211号-了解被审计单位及其环境并评估重大错报风险了解被审计单位及其环境并评估重大错报风险第五十九条第五十九条 注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险:(一)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;一)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存;(二)在
40、未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经(二)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易;授权或不存在的交易,或不正确地记录了交易;(三)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;(三)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工;(四)未经授权改变主文档的数据;(四)未经授权改变主文档的数据;(五)未经授权改变系统或程序;(五)未经授权改变系统或程序;(六)未能对系统或程序作出必要的修改;(六)未能对系统或
41、程序作出必要的修改;(七)不恰当的人为干预;(七)不恰当的人为干预;(八)数据丢失的风险或不能访问所需要的数据。(八)数据丢失的风险或不能访问所需要的数据。第八十六条第八十六条 注册会计师应当了解与信息处理有关控制活动,包括信息技术一般控制和应用控制。注册会计师应当了解与信息处理有关控制活动,包括信息技术一般控制和应用控制。信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行信息技术一般控制是指与多个应用系统有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据
42、中心和网络,支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。维护控制。信息技术应用控制是指主要在业务流程层次运行人工或自动化程序,与用于生成、记录、处理、信息技术应用控制是指主要在业务流程层次运行人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设报告交易或其他财务数据程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和
43、数字序号的自动检查,以及对例外报告进行人工干预。置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。34信息系统审计准则与操作指引 n信息系统审计与控制协会(信息系统审计与控制协会(ISACA)制定并颁布了)制定并颁布了11大大类审计准则、类审计准则、29条审计指引和条审计指引和9条审计程序。条审计程序。审计指引审计准则审计程序审计准则:审计准则:IT审计准则是整个审计准则审计准则是整个审计准则体系总纲体系总纲,是是ITIT审计师的资格条件、执业行为的基本规范,是审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。制定审计指南和审计程序的基础依据。审计指引:审计
44、指引是依据审计准则制定的,是审审计指引:审计指引是依据审计准则制定的,是审计准则的具体化,它详细规定了计准则的具体化,它详细规定了ITIT审计师执行各项审计师执行各项审计业务、出具审计报告的具体指引,为审计师在审计业务、出具审计报告的具体指引,为审计师在执行审计业务中如何遵守审计准则提供指导。执行审计业务中如何遵守审计准则提供指导。审计程序:审计程序:IT审计程序是依据审计准则和审计指引审计程序是依据审计准则和审计指引制定的。它为审计师提供了一般审计业务的程序和制定的。它为审计师提供了一般审计业务的程序和步骤,是遵守审计准则和审计指引的一些通用审计步骤,是遵守审计准则和审计指引的一些通用审计程
45、序。审计程序为审计师提供了很好的工作范例。程序。审计程序为审计师提供了很好的工作范例。IT审计准则框架审计准则框架35信息系统审计准则与操作指引 nISACA信息系统审计准则信息系统审计准则审计审计章程章程独立性独立性职业道德和标准职业道德和标准专业胜任能力专业胜任能力审计计划审计计划实施审计工作实施审计工作报告报告后续审计后续审计违法和违规行为违法和违规行为ITIT治理治理在审计计划中使用风险在审计计划中使用风险评估方法评估方法36信息系统审计准则与操作指引 nISACA信息系统审计准则(续)信息系统审计准则(续)审计审计章程章程审计审计章程中载明章程中载明ITIT审计目的审计目的、责任、权
46、限和、责任、权限和职责职责。独立性独立性独立性是指独立性是指ITIT审计活动独立与他们所审查的活动之外,可以理解为审计部门审计活动独立与他们所审查的活动之外,可以理解为审计部门的独立性和审计人员独立性。的独立性和审计人员独立性。ITIT审计审计部门是否获得独立性应考虑因素部门是否获得独立性应考虑因素ITIT审计审计部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层批准部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层批准或认可的内审章程中做出规定或认可的内审章程中做出规定ITIT审计审计部门向谁负责和报告工作部门向谁负责和报告工作首席执行官能否与董事会、审计委员会或其他相关
47、治理机构直接交流和沟通信息,首席执行官能否与董事会、审计委员会或其他相关治理机构直接交流和沟通信息,能否参加有关审计、财务报告、机构治理和控制监控的监督职责会议能否参加有关审计、财务报告、机构治理和控制监控的监督职责会议首席审计执行官的任免首席审计执行官的任免由由何种层次的领导层决定何种层次的领导层决定审计委员会由何种人员组成审计委员会由何种人员组成职业道德和标准职业道德和标准职业道德和准则职业道德和准则职业审慎态度职业审慎态度37信息系统审计准则与操作指引 nISACA信息系统审计准则(续)信息系统审计准则(续)专业胜任能力专业胜任能力审计是一门边缘性学科,跨越传统审计理论、信息系统管理理论
48、、行为科学审计是一门边缘性学科,跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。理论和计算机科学四个科学领域。出色的口头和书面表达能出色的口头和书面表达能力,以便清楚有效地表达力,以便清楚有效地表达审计目的、审计评价工作、审计目的、审计评价工作、审计结论和审计建议审计结论和审计建议拥有良好的人际交流技能拥有良好的人际交流技能 接受后续专业教育,以保持专业技接受后续专业教育,以保持专业技术适应性术适应性其他必备技能,包括对组织所在行其他必备技能,包括对组织所在行业深入了解,实施和改进财务和运业深入了解,实施和改进财务和运营方面所涉及流程的知识和技能营方面所涉及流程的知识
49、和技能审计师知识、审计师知识、技能和专业技能和专业胜任能力胜任能力熟练应用内部审计实务标准、程序熟练应用内部审计实务标准、程序和技术,理解管理原则,深入领会和技术,理解管理原则,深入领会会计学、经济学、商法、税收、金会计学、经济学、商法、税收、金融和信息技术融和信息技术38信息系统审计准则与操作指引 nISACA信息系统审计准则(续)信息系统审计准则(续)计划计划以相应法律和审计准则为基础以相应法律和审计准则为基础基于风险审计方法基于风险审计方法制定详细审计计划制定详细审计计划制定审计程序和步骤制定审计程序和步骤审计工作实施审计工作实施审计人员受到适当监督审计人员受到适当监督获取证据获取证据审
50、计底稿审计底稿39信息系统审计准则与操作指引 nISACA信息系统审计准则(续)信息系统审计准则(续)报告报告IT审计人员完成审计工作后,应向委托者出具按照适当格式编制的审计报告。审计人员完成审计工作后,应向委托者出具按照适当格式编制的审计报告。审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。审计报告应当说明审计范围、审计目标、审计工作所涵盖期间及所执行审计工审计报告应当说明审计范围、审计目标、审计工作所涵盖期间及所执行审计工作性质和内容。作性质和内容。审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议审
