1、Page0信息系统应用控制概述信息系统应用控制概述 -内部培训资料内部培训资料 20092009年年7 7月月Page1 第三部分:信息系统应用控制的分类第三部分:信息系统应用控制的分类第二部分:应用系统范围和控制如何确定第二部分:应用系统范围和控制如何确定 第一部分:信息系统应用控制介绍第一部分:信息系统应用控制介绍培训内容培训内容分为四大部分:分为四大部分:第四部分:应用控制与一般性控制的关系第四部分:应用控制与一般性控制的关系Page2 第一部分:信息系统应用控制介绍第一部分:信息系统应用控制介绍Page3第一部分:信息系统应用控制介绍第一部分:信息系统应用控制介绍应用系统是处理业务交易
2、的系统软件,比如工资系统、存货系统、计费系应用系统是处理业务交易的系统软件,比如工资系统、存货系统、计费系统,以及集成度较高的统,以及集成度较高的ERPERP系统等。这些系统内置了企业的业务流程、交系统等。这些系统内置了企业的业务流程、交易规则、复杂的计算逻辑以及相关的财务报表处理等。易规则、复杂的计算逻辑以及相关的财务报表处理等。单机版区域版集团版部署结构部署结构只能在单台计算机上独立运行的应用软件,比如久其报只能在单台计算机上独立运行的应用软件,比如久其报表系统表系统网络版应用软件,根据职能划分区域管理,比如各省公网络版应用软件,根据职能划分区域管理,比如各省公司单独运行司单独运行网络版应
3、用软件,全集团集中管理,各分支机构以客户网络版应用软件,全集团集中管理,各分支机构以客户端的身份接入端的身份接入在企业实际使用中,有不同部署的结构:在企业实际使用中,有不同部署的结构:Page4第一部分:信息系统应用控制介绍第一部分:信息系统应用控制介绍基础服务基础服务-计算机网络、硬件设备等计算机网络、硬件设备等数据服务数据服务-提供数据存储,提供数据存储,Oracle/Oracle/SqlSql Server Server 等等应用服务应用服务-提供业务逻辑、计算规则等提供业务逻辑、计算规则等接入服务接入服务-提供用户界面和入口访问提供用户界面和入口访问大多数用户通过提供的系统大多数用户通
4、过提供的系统登录界面统一进行权限验证登录界面统一进行权限验证访问资源访问资源包含了业务流程和交易规则,包含了业务流程和交易规则,比如财务数据、服务流程等,比如财务数据、服务流程等,以及复杂的计算公式等以及复杂的计算公式等极少数用户拥有直接访问极少数用户拥有直接访问数据库的权限,比如管理数据库的权限,比如管理员权限员权限主要是网络安全服务,包主要是网络安全服务,包括内网与外网的安全访问括内网与外网的安全访问Page5第一部分:信息系统应用控制介绍第一部分:信息系统应用控制介绍应用系统财务报表销售管理存货管理固定资产管理收款管理付款管理。存存 在在 风风 险险业务流程:流转是否合理业务流程:流转是
5、否合理数据规则:计算是否正确数据规则:计算是否正确权限划分:分配是否适当权限划分:分配是否适当报表处理:处理是否准确报表处理:处理是否准确财务报表财务报表的重要科目的重要科目和信息和信息 存存 在在 影响影响Page6第一部分:信息系统应用控制介绍第一部分:信息系统应用控制介绍应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统应用控制是控制特定应用系统的风险(如工资、应收账款和采购应用系统等)的一系列控制活动,用来避免或者降低风险至可接受程度。等)的一系列控制活动,用来避免或者降低风险至可接受程度。业务流程:流转是否合理业务流程:流转是否合理数据规则:计算是否正确数据规则:计算是
6、否正确权限划分:分配是否适当权限划分:分配是否适当报表处理:处理是否准确报表处理:处理是否准确从设计上审阅其合理性,比如不同级别审批的内容不一样从设计上审阅其合理性,比如不同级别审批的内容不一样比如增加平衡校验比如增加平衡校验比如职责分离、定期审阅用户权限比如职责分离、定期审阅用户权限比如业会核对、报表平衡检查比如业会核对、报表平衡检查Page7第一部分:信息系统应用控制介绍第一部分:信息系统应用控制介绍一般情况下,应用系统在设计初期乃至设计运行后,对风险和内控的考虑很少,尽管在某种程度上满足了业务操作要求,但却不能满足内控以及风险管理的要求。所以,完善应用系统控制符合内控要求是一种趋势。Pa
7、ge8第一部分:信息系统应用控制介绍第一部分:信息系统应用控制介绍高高低低成本控制成本控制环境蓝图环境蓝图设计设计开发开发/二次开发二次开发测试测试用户接受测试(用户接受测试(UATUAT)实施实施上线上线开发期间开发期间实施前实施前实施后实施后开始开始完成完成Page9 第二部分:应用系统范围和控制如何确定第二部分:应用系统范围和控制如何确定Page10第二部分:应用系统范围和控制如何确定第二部分:应用系统范围和控制如何确定当你审计应用系统时,遇到的第一个问题就是:当你审计应用系统时,遇到的第一个问题就是:哪些系统需要做应用系统审计或控制测试呢?哪些系统需要做应用系统审计或控制测试呢?究竟对
8、这些应用系统做哪些控制测试呢?究竟对这些应用系统做哪些控制测试呢?第二个问题就是:第二个问题就是:Page11控制识别及测试控制识别及测试范围确定范围确定第二部分:应用系统范围和控制如何确定第二部分:应用系统范围和控制如何确定确定应用系统范围和控制的方法论:确定应用系统范围和控制的方法论:确定重确定重要科目要科目确定重确定重要流程要流程确定重确定重要系统要系统了解系了解系统流程统流程识别风识别风险和控险和控制制控制活控制活动描述动描述开展控开展控制测试制测试Page12第二部分:应用系统范围和控制如何确定第二部分:应用系统范围和控制如何确定控制识别:控制识别:第一步:了解并理解这些应用系统所运
9、转的业务功能或者活动。可以通过第一步:了解并理解这些应用系统所运转的业务功能或者活动。可以通过一些学习与研究,或者通过访谈一些学习与研究,或者通过访谈第二步:识别潜在风险(与业务功能第二步:识别潜在风险(与业务功能/活动相关),可能出错的地方是什活动相关),可能出错的地方是什么?出错的可能性有多大?么?出错的可能性有多大?第三步:这些风险是如何被处理和应对的,针对这些风险采取的措施是什第三步:这些风险是如何被处理和应对的,针对这些风险采取的措施是什么?(即控制是什么)。么?(即控制是什么)。所以,对信息系统审计师来讲,需要知道它的业务以及流程,此时需要的所以,对信息系统审计师来讲,需要知道它的
10、业务以及流程,此时需要的知识背景是复杂的,不单单是信息技术方面的知识。知识背景是复杂的,不单单是信息技术方面的知识。Page13 第三部分:信息系统应用控制分类第三部分:信息系统应用控制分类Page14第三部分:应用控制分类第三部分:应用控制分类半自动半自动/手手工控制工控制 依赖于自动的应用控制或者自动的会计处理过程的手工应用控制自动的应自动的应用控制用控制 已经设计在计算机应用程序中 用来实现信息处理目标自动的自动的会会计程序计程序 已经设计在计算机应用程序中 不需要人工干预的会计处理过程手工的应手工的应用控制用控制 手工执行 主要在业务流程操作层面执行,确保信息处理目标的实现Page15
11、应用控制举例应用控制举例自动应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制,自动应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制,例如:例如:许多应用系统中根据业务的需求(许多应用系统中根据业务的需求(“业务规则业务规则”)设置了很多编辑检查来帮助)设置了很多编辑检查来帮助确保录入数据的准确性,编辑检查可能包括格式检查(如:日期格式或数确保录入数据的准确性,编辑检查可能包括格式检查(如:日期格式或数字格式),存在性检查(如:客户编码存在于客户主数据文档之中),或字格式),存在性检查(如:客户编码存在于客户主数据文档之中),或合理性检查(如:最大支付金额)合理性检查
12、(如:最大支付金额)如果在录入数据时某一项如果在录入数据时某一项“业务规则业务规则”未通过编辑检查,那么系统可能拒绝录入未通过编辑检查,那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中,留待后续跟该数据或系统可能将该录入数据包括在系统生成的例外报告之中,留待后续跟进和处理进和处理Page16第三部分:应用控制分类第三部分:应用控制分类单机版区域版集团版部署结构部署结构对测试范围内的应用系统分别采取单点测试对测试范围内的应用系统分别采取单点测试采取区域集中测试,比如省公司集中的系统,可以在采取区域集中测试,比如省公司集中的系统,可以在省公司集中测试;同时还要考虑总部集
13、团的系统测试省公司集中测试;同时还要考虑总部集团的系统测试采取总部集团统一测试,对测试范围内的分支机构采取总部集团统一测试,对测试范围内的分支机构展开流程控制测试展开流程控制测试Page17 第四部分:应用控制与一般控制的关系第四部分:应用控制与一般控制的关系Page18第四部分第四部分 应用控制与一般控制的关系应用控制与一般控制的关系信息系统一般性控制信息系统一般性控制(ITGCITGC,Information Technology General ControlsInformation Technology General Controls)是指为)是指为了保证信息系统的安全,对整个信息系
14、统以及外部各种环境要素实施的、对所了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施有的应用或控制模块具有普遍影响的控制措施信息系统运行安全信息系统运行安全对程序和数据对程序和数据的访问权限的访问权限信息系统信息系统控制环境控制环境信息系统开发信息系统开发信息系统变更信息系统变更Page19第四部分第四部分 应用控制与一般控制的关系应用控制与一般控制的关系财务报表的重要科目、财务报表的重要科目、信息信息资产负债表资产负债表损益表损益表现金流量表现金流量表报表附注报表附注其他其他业务流程业务流程/交易分类交易分类收入收入支出支出应用系统应
15、用系统财务管理财务管理资产管理资产管理人力资源人力资源信息技术基础架构信息技术基础架构数据库数据库操作系统操作系统网络网络应用应用控制控制完整性完整性准确性准确性有效性有效性访问控制等访问控制等信息系统一般信息系统一般控制控制控制环境控制环境系统开发系统开发系统变更系统变更系统安全访问系统安全访问信息系统运营信息系统运营Page20第四部分第四部分 应用控制与一般控制的关系应用控制与一般控制的关系自动应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制,自动应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制,例如:例如:许多应用系统中根据业务的需求(许多应用系统中根据业务
16、的需求(“业务规则业务规则”)设置了很多编辑检查来帮助)设置了很多编辑检查来帮助确保录入数据的准确性,编辑检查可能包括格式检查(如:日期格式或数确保录入数据的准确性,编辑检查可能包括格式检查(如:日期格式或数字格式),存在性检查(如:客户编码存在于客户主数据文档之中),或字格式),存在性检查(如:客户编码存在于客户主数据文档之中),或合理性检查(如:最大支付金额)合理性检查(如:最大支付金额)如果在录入数据时某一项如果在录入数据时某一项“业务规则业务规则”未通过编辑检查,那么系统可能拒绝录入未通过编辑检查,那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中,留待后续跟
17、该数据或系统可能将该录入数据包括在系统生成的例外报告之中,留待后续跟进和处理进和处理如果带有关键的编辑检查功能的应用系统是被审计师所依赖,作为支持审计工如果带有关键的编辑检查功能的应用系统是被审计师所依赖,作为支持审计工作的,那这些应用控制是否有效必须建立在作的,那这些应用控制是否有效必须建立在信息技术一般控制的基础之上信息技术一般控制的基础之上Page21第四部分第四部分 应用控制与一般控制的关系应用控制与一般控制的关系如果计算机环境发现了信息技术一般控制的缺陷,审计师可能就不能信赖上述如果计算机环境发现了信息技术一般控制的缺陷,审计师可能就不能信赖上述编辑检查功能按设计发挥作用编辑检查功能
18、按设计发挥作用例如:例如:程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改,导致系统接受不准确的录入数据辑进行修改,导致系统接受不准确的录入数据与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查在其他方面将使系统无法处理金额超过最大容差范检查,而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作围的支付操作Page22第四部分第四部分 应用控制与一般控制的关系应用控制与一般控制的关系自动会计
19、程序是由计算机系统代替人执行的计算、分类、评估、或其他会计程自动会计程序是由计算机系统代替人执行的计算、分类、评估、或其他会计程序,例如:序,例如:投资会计系统可能用来根据不同投资类型的业务规则计算该类型投资的市投资会计系统可能用来根据不同投资类型的业务规则计算该类型投资的市场价值,贷款系统可能根据用户录入的贷款期限自动运算分期偿还债务安场价值,贷款系统可能根据用户录入的贷款期限自动运算分期偿还债务安排,或应收帐款系统可能用来将应收帐款归入适当的帐龄组排,或应收帐款系统可能用来将应收帐款归入适当的帐龄组信息技术一般控制缺陷可能影响审计师依赖客户应用系统中的自动会计程序,信息技术一般控制缺陷可能
20、影响审计师依赖客户应用系统中的自动会计程序,例如:例如:如果缺失了重要的程序开发控制,除了实质性验证运算操作,审计师可能如果缺失了重要的程序开发控制,除了实质性验证运算操作,审计师可能难以确定管理层是否对该自动会计程序的按计划运行进行了适当测试难以确定管理层是否对该自动会计程序的按计划运行进行了适当测试如果控制缺陷导致非授权人员访问程序,那么管理层将有机会篡改自动会如果控制缺陷导致非授权人员访问程序,那么管理层将有机会篡改自动会计程序结果,而这可能影响审计师对于客户舞弊风险的评估结果计程序结果,而这可能影响审计师对于客户舞弊风险的评估结果Page23第三部分第三部分 应用控制与一般控制的关系应
21、用控制与一般控制的关系包括业务绩效审阅在内的系统生成报告常用于手工控制执行过程中包括业务绩效审阅在内的系统生成报告常用于手工控制执行过程中为评估使用系统生成报告的手工控制的有效性,审计师有必要了解与生成报告为评估使用系统生成报告的手工控制的有效性,审计师有必要了解与生成报告并保护报告数据的计算机环境相关的信息技术一般控制的有效性,例如:并保护报告数据的计算机环境相关的信息技术一般控制的有效性,例如:使用预先编号文档时的完整性控制使用预先编号文档时的完整性控制录入交易时,系统识别缺失或重复的文档编号并将其包括在例外报告之中,录入交易时,系统识别缺失或重复的文档编号并将其包括在例外报告之中,留待后续跟进和处理留待后续跟进和处理Page24问答问答Q&AQ&A?
