1、刘丽萍 2013/01,2019/10/30,2,一、信息系统审计方法 IT一般控制和应用控制审计概要,2019/10/30,3,IT一般控制审计程序,IT一般控制概念 信息技术广泛应用于企业日常交易处理中,是涉及整个财务报表交易流程的重要组成部分,它影响财务数据的一致性、完整性和准确性。随着信息科技日益发展,信息系统日趋复杂,使得业务风险增加,因此对IT控制进行测试与评估就显得尤为重要。 IT一般控制是指为保证在一段时期内应用控制持续有效性,而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效,所以被称为“IT一般控制”。 IT一般控制分类 变更管理:只允许对
2、应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。 逻辑访问:只有经过授权的人员,才可以访问数据和应用程序(包括程序、表和相关资源),并且他们只能执行明确授权的功能(例如:询问、执行和更新)。 其他IT一般控制(包括IT运行):正确备份支持财务信息数据,以便在发生系统中断或数据完整性问题时,能够准确、完整地恢复这类数据。按计划执行程序,并及时识别和消除按计划处理时产生的偏差。及时识别、解决、复核和分析IT运行问题或事故。,2019/10/30,4,IT一般控制审计程序,IT一般控制包含控制流程,2019/10/30,5,IT一般控制审计程序,变更管理,1.2.1 IT环境技术组成
3、要素 在风险评估过程中,应确定IT环境中以下哪些技术组成要素会影响变更管理种类,并且在测试范围内: 应用程序 界面(IT控制) 数据库 操作系统/网络,1.2 影响变更管理测试性质和范围因素,仅允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。,1.1 总体目标,2019/10/30,6,IT一般控制审计程序,影响变更管理测试性质和范围因素(续),1.2.2 变更类型 要确定最适当的测试方法,了解和记录用于变更管理过程,包括针对以下变更类型和IT环境技术组成要素过程: 程序开发/采购 开发和实施新应用程序或界面。 程序变更 对现有应用程序和界面进行的变更。 系统软件维护 对
4、数据库、操作系统和其他系统软件进行的技术变更(例如:补丁程序和升级)。 紧急变更 在紧急情况下进行的变更。 配置/参数变更 对IT环境各种技术组成要素总体配置和参数设置进行的变更相关,包括对新应用程序的配置设置进行初始设置。,2019/10/30,7,IT一般控制审计程序,影响变更管理测试性质和范围因素(续),选择变更管理样本首选方法是:直接从表明自审计期间期初到测试日期实际进行全部变更的变更管理系统获取清单,并且确定变更清单是完整的、有效的。 如果系统生成清单不可用,可以考虑以下组合: 获取被审计公司变更清单(手工维护清单或来自自动跟踪系统清单); 确定程序变更清单是完整的。通过查找编译日期
5、在审计期间内的可执行模块来获取实际变更清单,从该清单中选择一个在此期间发生的变更样本,并验证从被审计机构那里获取的变更清单上是否存在该变更。 如果没有任何变更,则核实范围内技术组成要素最新编译日期不在审计期间内,以确定没有发生变更。,1.2.3 识别对IT环境进行的变更(测试总体) 根据确定的测试方法,获取从审计期间期初到测试日期以来IT环境相关组成要素变更完整清单(变更管理清单)。应尽可能进一步分离变更管理清单,使其只包括在范围内的那些IT环境变更和技术组成要素。 应用以下与获取程序变更清单相关的方法:,2019/10/30,8,IT一般控制审计程序,影响变更管理测试性质和范围因素(续),已
6、授权 确定请求的变更已经过适当授权。根据被审计机构政策具体确定,某些情况下(如较小变更,可能被定义为那些需要程序员花费时间少于特定小时数的变更),变更可能不需要特定授权。 已测试 确定用户是否执行了测试以确认变更按设计意图运行。否则,应确认确实进行了其他适当测试。有些情况下(如:基础结构变更),根据被审计机构政策,可以接受纯IT测试。 已批准 确定在变更移入生产环境之前,应用程序所有者和IT人员是否批准了这些变更。有些情况下(如:基础结构变更),可以接受纯IT批准。,1.2.4 授权、测试和批准变更,1.2.5 变更管理职责分工补偿性控制 由于组织结构或其他原因无法进行变更管理不相容职责分工情
7、况下,补偿性控制可以用来保证不会发生未经授权的程序或数据变更。应将补偿性控制设计为发现何时因不相容职责分工问题而规避现有其他变更管理控制。补偿性IT一般控制示例有: 变更日志复核,以确定只有批准的变更被移到生产环境中,同时确认变更日志是完整的。 变更控制会议,以讨论和跟进移入生产环境中的最新变更。,2019/10/30,9,IT一般控制审计程序,逻辑访问,2.1 总体目标 只允许授权人员访问数据和应用程序(包括程序、表格以及相关资源),并且这些人员只能执行明确授权的功能(例如:询问、执行和更新等)。 需要考虑 ITGC 逻辑访问测试是否提供了有关适当的限制或不相容职责分工的足够证据。有些情况下
8、,ITGC 测试不能为我们提供足够的证据,以明确断定是否为各个交易适当限制或分离了逻辑访问。此时,应用程序层次的访问控制对于我们的风险评估而言可能至关重要。在这种情况下,作为应用控制测试的一部分,我们将对应用程序层次访问或不相容职责分工控制执行特定测试。,2019/10/30,10,IT一般控制审计程序,2.2 影响逻辑访问测试性质和范围因素,对于ITGC审计范围每个应用程序,应确定用于保护财务系统程序和数据访问的逻辑访问路径每个技术组成要素关键程度。逻辑访问路径可能的技术组成要素包括:,2.2.1 逻辑访问路径,应用程序 操作系统,包括使用安全软件 数据库 网络 互联网/远程访问 穿行测试应
9、记录逻辑访问路径中的哪些位置存在不同授权访问过程。在大多数环境中: 所有逻辑访问ITGC均应用于应用程序层次; 并非所有逻辑访问ITGC都应用于操作系统和数据库层次; 只有极少数逻辑访问ITGC可能应用于网络、远程访问或互联网层次。,2019/10/30,11,IT一般控制审计程序,影响逻辑访问测试性质和范围因素(续),与离职和调动用户相关的ITGC通常是补偿性控制,用于弥补定期用户访问复核过程的缺陷。如果审计方法表明需要测试离职和调动用户,我们应考虑以下程序:,2.2.2 定期用户权限复核控制的补偿性控制,测试程序 离职用户:获取审计期间离职职员清单,并确定它是完整的、有效的。选择适当样本,
10、确定是否及时删除或撤消了系统访问权限。测试程序 调动用户:获取审计期间调动职员清单,并确定它是完整的、有效的。确定用户访问对于其工作职能来说是否适当,其以前的系统访问权限是否已被删除或撤消。,2019/10/30,12,IT一般控制审计程序,其他IT一般控制备份和恢复:正确备份支持财务信息的数据,以便在出现系统中断或数据完整性问题时,可以准确完整地恢复此类数据。 任务排程:按计划执行程序,及时识别并消除按计划处理时产生的偏差。 批处理:正确维护批处理过程,持续监控批处理,以保证数据安全。 问题和事件管理及监控:及时识别、解决、复核和分析IT运行问题或事件。,3.1 总体目标,3.2 影响其他I
11、T一般控制测试性质和范围因素,3.2.1 IT环境技术组成要素 在风险评估过程中,我们应确定IT环境中以下哪些技术组成要素会影响其他IT一般控制,并且在测试范围内: 应用程序 数据库 操作系统/网络,IT一般控制审计程序方法论,测试方法 测试人员需要根据具体情况,决定采用不同测试方法,包括:询问、观察、检查、重新执行四种。注意:对某一个控制点测试可能需要结合各种不同测试方法,譬如用户账号管理流程关于用户初始密码必须及时更改这个控制点。,询问:通过向相关人员访谈了解各个系统是否存在用户初始密码更改控制,由什么岗位负责这项工作,是否有制度对初始密码作出规定等。观察:观察一个系统新用户初次登陆时,系
12、统是否提示修改密码。检查:检查系统安全参数设置,确保使用正确的参数强制用户在初次登录后修改密码。重新执行:申请一个测试账号,在系统中初次登录时查看系统是否强制要求修改密码。,2019/10/30,13,IT一般控制审计程序方法论,2019/10/30,14,为了解IT流程,参与评估人员需要在内控文档中对如下内容进行关注: 5个W(WHO, WHEN, WHAT,WHERE, WHY )与1个H( HOW ),谁来做的-Who,何时做的-When,做的什么- What,在哪做的- Where,做的原因- Why,如何做的- How,了解IT流程方法,IT一般控制审计程序方法论,2019/10/3
13、0,15,IT一般控制测试流程,缺陷报告,整改,控制矩阵,测试,访谈,再评估,IT一般控制审计程序方法论,2019/10/30,16,IT一般控制流程主要关注点举例-用户账户维护流程,注:所列内容仅为简单样例,需求部门 如何提出 用户账户 维护申请,该申请由 谁来授权, 如何授权 以及授权 哪些内容,需求申请及 授权确认 记录在哪里,具体谁负责 执行 及如何执行,负责人 完成维护 操作后, 如何通知 需求部门 或授权人,启动,授权,记录,流程处理,汇报,2019/10/30,17,IT一般控制审计方法论,流程描述/ 流程图,IT一般控制评估,风险控制 矩阵,系统配置 清单,测试模板,穿行、控制
14、测试报告,缺陷报告、 整改计划,使用相关流程描述方法表示被评估单位某个具体业务处理过程。,风险控制矩阵是对风险所导致负面影响的量化,从严重性、发生概率和所涉及范围等方面进行描述,使得对风险的刻画更为有效和清晰。,识别出关键系统的系统配置,包括系统描述、应用系统来源、计算机平台、操作系统、数据库名称和版本等有关系统的信息。,根据对信息系统的初步了解,设计出相应的测试模板,包括风险点、控制点、测试范围、测试时间、测试步骤等信息,对相关风险点所针对的每个控制进行测试,并得出结论(即:确定ITGC是否有效)。测试结论所依赖的审计证据一定要真实可靠。,对所测试的控制 未按照设计方式运行的情况进行总结归纳
15、;同时找出原因和影响范围,并对其提出整改意见。,IT一般控制审计程序方法论,2019/10/30,18,流程描述/流程图 系统变更,流程适用范围-针对XXX系统 需求申请 需求可行性分析 业务需求文档编写 系统开发 测试 上线 上线后跟进,IT一般控制审计程序方法论,2019/10/30,19,风险控制矩阵 风险控制矩阵是对风险所导致负面影响的量化,从严重性、发生概率和所涉及范围等方面进行描述,使得对风险的刻画更为有效和清晰。包括风险点、控制点、控制存在的证明性资料、实际控制描述等信息。,IT一般控制审计程序方法论,2019/10/30,20,穿行测试、控制测试定义,穿行测试:追踪交易实际执行
16、或在信息系统中的处理过程,并检查文件存档和信息流,以确定是否按照规定的制度完成。穿行测试不是单独的一种审计程序,而是将多种审计程序按特定审计需要结合运用的方法。通过追踪交易处理过程,证实审计人员对控制的了解、评价控制设计有效性以及确定控制是否得到执行。,控制测试:测试被审计单位系统控制设计合理性和执行有效性。在测试控制运行有效性时,应当从下列方面获取关于控制是否有效运行的审计证据: 控制在所审计期间不同时点是如何运行的; 控制是否得到一贯执行; 控制由谁执行; 控制以何种方式运行(如人工控制或自动控制)。,穿行测试:评价控制设计有效性。穿行测试主要是在了解内部控制时运用,但在执行穿行测试时,也
17、能获取部分控制运行有效性的审计证据。 控制测试:评价控制设计有效性并确定控制是否得到有效执行。,穿行测试、控制测试区别,IT一般控制审计程序方法论,2019/10/30,21,穿行测试样本量,穿行测试是随机选择审计期间的一个样本进行测试。,控制测试样本量,在制定用于执行控制测试的测试策略时,应考虑这样一个事实:执行足够多程序是为了作出控制有效运行结论。下表汇总了我们在下列情况下针对某个特定控制执行控制测试的基本测试范围指引:,* 某些控制可能是频繁执行的,但不是每天都执行。对于这种控制,应使用上面指引推算样本量。通常,对于在一年中出现 50 至 250 次的控制,使用上面表格推算的最低样本量大
18、约是发生数量的10%。,IT一般控制审计程序方法论,2019/10/30,22,测试模板,根据对被审计单位信息系统的初步了解,设计出相应的测试模板,包括风险点、控制点、测试范围、测试时间、测试步骤等信息。,IT一般控制审计程序方法论,2019/10/30,23,缺陷报告、整改计划,对所测试的控制没有按照设定方式运行情况进行总结归纳;同时找出原因和影响范围,并对其提出有针对性的整改意见。,IT一般控制审计程序方法论,2019/10/30,24,IT一般控制与应用控制关系,人工控制,自动控制,(纯)人工控制,应用程序控制,人工依赖IT控制,IT一般控制,人工 检查性 控制,人工 预防性 控制,IT
19、应用控制审计方法论,2019/10/30,25,IT应用控制概念,应用控制是在应用系统中由程序执行的控制,用以替代很多由人工完成的基础性检查工作。由于应用控制普遍适用于各种交易处理,所以应用控制是否有效对于财务报表完整性和正确性以及公司内部控制有效性有着极为重要的影响。,IT应用控制类型,2019/10/30,26,IT应用控制审计方法论,流程描述/ 流程图,应用控制层面评估,系统规划图,风险控制 矩阵,穿行、控制测试报告,缺陷报告、 整改计划,使用既定的流程描述方法表示被审计机构某个具体业务处理过程。,描述各个系统之间信息传递关系和系统与系统相关接口。,对已选择风险点所针对的每个控制进行测试
20、,并得出结论。测试结论所依赖的审计证据一定要真实可靠。,对所测试的控制并未按照针对该交易或控制运行发生而设计的方式运行进行总结归纳;同时找出原因和影响范围,并对其提出整改意见。,风险控制矩阵是对风险所导致负面影响的量化,从严重性、发生概率和所涉及范围等方面进行描述,使得对风险的刻画更为有效和清晰。,2019/10/30,27,IT应用控制审计方法论,风险控制矩阵也是流程层面控制矩阵的一部分,其中包括人工控制、系统自动控制和人工依赖IT系统控制三类控制。样例如下:,存在/发生、完整性、权利和义务、计价和分摊、准确性、截止、分类,28,二、信息系统审计准则与操作指引,2019/10/30,信息系统
21、审计准则与操作指引,2019/10/30,29,行业内控指引 商业银行内部控制指引 证券公司内部控制指引 寿险公司内部控制评价办法,上市公司内控指引 上交所内控指引 深交所内控指引,证券交易所,行业监管机构,企业内部控制基本规范,财政部 证监会 审计署 银监会 保监会,企业内部控制评价指引,企业内部控制审计指引,证券交易所、行业监管机构均出台了一系列内部控制指引,为企业建立和实施内部控制制度提供一些行业性指引。 中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险要求注册会计师了解信息技术对内部控制产生的特定风险,并且应当了解与信息处理有关的控制活动,包括信息技术一般控制
22、和应用控制。,财政部牵头五部委出台企业内部控制基本规范,为企业提供了完整和公认的内部控制框架,同时以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。,企业内部控制评价指引具体规范了内控评价的内容和标准,评价的程序和方法,内控缺陷的认定,以及规定了评价报告的相关内容。 企业内部控制应用指引在每个具体流程中规定了该指引的目的,相关定义,该流程的主要风险,岗位分工及授权批准,及主要流程的控制程序。 企业内部控制审计指引为指导注册会计师执行内部控制审计业务的具体指引。,企业内部控制应用指引,2019/10/30,30,企业内部控制基本规范- 信息系统控制,企业内部控制基本规范第五章中第四十
23、一条对信息系统内部控制进行了要求:“企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全运行。”,2019/10/30,31,企业内部控制评价指引- 信息系统控制,32,企业内部控制应用指引第18号-信息系统,控制内容包括: 信息系统开发(5条) 信息系统运行与维护(6条),2019/10/30,33,中国注册会计师审计准则第1211号 -了解被审计单位及其环境并评估重大错报风险,第五十九条 注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险
24、: (一)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况同时并存; (二)在未得到授权情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易; (三)信息技术人员可能获得超越其履行职责以外的数据访问权限,破坏了系统应有的职责分工; (四)未经授权改变主文档的数据; (五)未经授权改变系统或程序; (六)未能对系统或程序作出必要的修改; (七)不恰当的人为干预; (八)数据丢失的风险或不能访问所需要的数据。,第八十六条 注册会计师应当了解与信息处理有关控制活动,包括信息技术一般控制和应用控制。 信息技术一般控制是指与多个应用系统
25、有关的政策和程序,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥,通常包括数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。 信息技术应用控制是指主要在业务流程层次运行人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据程序相关,通常包括检查数据计算准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检查,以及对例外报告进行人工干预。,2019/10/30,信息系统审计准则与操作指引,2019/10/30,34,信息系统审计与控制协会(ISACA)制定并颁布了11大类审
26、计准则、29条审计指引和9条审计程序。,审计准则:IT审计准则是整个审计准则体系总纲,是IT审计师的资格条件、执业行为的基本规范,是制定审计指南和审计程序的基础依据。 审计指引:审计指引是依据审计准则制定的,是审计准则的具体化,它详细规定了IT审计师执行各项审计业务、出具审计报告的具体指引,为审计师在执行审计业务中如何遵守审计准则提供指导。 审计程序:IT审计程序是依据审计准则和审计指引制定的。它为审计师提供了一般审计业务的程序和步骤,是遵守审计准则和审计指引的一些通用审计程序。审计程序为审计师提供了很好的工作范例。,IT审计准则框架,信息系统审计准则与操作指引,2019/10/30,35,I
27、SACA信息系统审计准则,审计章程 独立性 职业道德和标准 专业胜任能力 审计计划 实施审计工作 报告 后续审计 违法和违规行为 IT治理 在审计计划中使用风险评估方法,信息系统审计准则与操作指引,2019/10/30,36,ISACA信息系统审计准则(续),审计章程,审计章程中载明IT审计目的、责任、权限和职责。,独立性,独立性是指IT审计活动独立与他们所审查的活动之外,可以理解为审计部门的独立性和审计人员独立性。 IT审计部门是否获得独立性应考虑因素 IT审计部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层批准或认可的内审章程中做出规定 IT审计部门向谁负责和报告工作 首席执行
28、官能否与董事会、审计委员会或其他相关治理机构直接交流和沟通信息,能否参加有关审计、财务报告、机构治理和控制监控的监督职责会议 首席审计执行官的任免由何种层次的领导层决定 审计委员会由何种人员组成,职业道德和标准,职业道德和准则 职业审慎态度,信息系统审计准则与操作指引,2019/10/30,37,ISACA信息系统审计准则(续),专业胜任能力,审计是一门边缘性学科,跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。,信息系统审计准则与操作指引,2019/10/30,38,ISACA信息系统审计准则(续),计划,以相应法律和审计准则为基础 基于风险审计方法 制定详细审计计
29、划 制定审计程序和步骤,审计工作实施,审计人员受到适当监督 获取证据 审计底稿,信息系统审计准则与操作指引,2019/10/30,39,ISACA信息系统审计准则(续),报告,IT审计人员完成审计工作后,应向委托者出具按照适当格式编制的审计报告。审计报告应当标明机构名称、审计报告报送对象以及报告使用限制。 审计报告应当说明审计范围、审计目标、审计工作所涵盖期间及所执行审计工作性质和内容。 审计报告应当说明审计人员执行审计工作中所发现的问题、形成的结论和建议以及审计师关于审计的任何保留意见。 IT审计人员应该有充分的、适当的审计证据来支持所报告的审计结论。 审计报告签发时,IT审计人员应该依据审
30、计章程或审计业务约定书中规定签名、签署日期再对外发放。,后续审计,检查审计发现问题 检查审计结论和建议 被审计单位是否及时妥善处理相关问题,信息系统审计准则与操作指引,2019/10/30,40,ISACA信息系统审计准则(续),违法和违规行为,在实施审计程序时,IT审计师应当保持一种职业质疑态度,考虑违法和违规行为存在可能性,并评价其带来的风险。 如果IT审计师识别出重大的违法和违规行为,或者是获得了其存在的信息,应当及时与适当的管理层进行沟通。 如果IT审计师识别出管理层或在内部控制中担任重要角色员工存在重大违法和违规行为,应当及时向适当的监督者报告。 对已向管理层、监督人员、执法机构或其
31、他人员报告的重大违法和违规行为,IT审计师应当记录所有与此相关的交流、计划、结果、评估和结论等信息。,IT治理,IT审计师应当检查与评估如下内容: 信息系统职能与组织使命、愿景、价值、目标和战略是否一致 针对信息系统资源与绩效管理过程有效性 与法律法规、环境质量、信息质量、信用及安全要求符合性 组织的控制环境 对信息环境有负面影响的风险,在审计计划中使用风险评估方法,信息系统审计准则与操作指引,2019/10/30,41,使用ISACA 信息系统审计指引,考虑审计指引,以决定怎样实施审计准则 在应用审计指引时,审计师必须有自己专业判断 有能力调整出现的偏离,信息系统审计准则与操作指引,2019/10/30,42,信息系统审计相关重要国际标准,CobiT,COSO,CMMI,ITIL,信息系统审计国际标准,公司层面,应用控制层面,一般控制层面,COSO和CobiT是国际通用的IT治理和风险管理基本框架,ITIL和CMMI分别是国际通用IT服务和项目管理方面的先进标准。,ISO27000系列是由国际标准组织(ISO)和国际电子技术委员会(IEC)联合制定关于信息安全管理的国际标准。,ISO27000系列,
