中国移动内部审计培训

中国移动内部审计培训 财务审计中的 IT审计 IT内审 内容概要 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 财务审计中的 IT审计 IT内审 内容概要 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍 财务审计中的 IT审计 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 控制环境 风险评估 信息及沟通 监控 公司层面的控制 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍 财务审计中的 IT审计 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 G M S CM S C计 费 表预 处 理计 费结 算 处 理对 帐 报 告计 费 参 数客 服合 帐帐 务 处 理M I S 总 帐S M S C采 集 机。客 户 数 据 库采 集服 务 器通 信 机集 团1 8 6 0手 工预 处 理 一 次 批 价 分 检 查 重 二 次 批 价 出 帐预 处 理 一 次 批 价 分 检 查 重 二 次 批 价 出 帐错 单错 单 回 收详 单 库局 数 据错 单 回 收互 联 互 通 协议数 据 统 计F T A MT C P / I PD CND DN漫 游 话 单网 间 话 单F T P部 分 话 单采 集服 务 器 (备 份 )无 效 话单功 能费固 定 费营 帐 库前 台 服 务 S I M 卡 管 理预 处 理 、 计 费H L R停 机 工 单流程层面的控制 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 采集 预处理 批价 月出账 财务数据生成 流程层面的控制 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 采集 风险：话单数据采集不真实、不完整、不准确、不及时 控制目标：合理确保计费话单数据采集的真实性、准确性、完整性和及时性 控制举例： 话单文件连续生成 采集监控 拨打测试 流程层面的控制 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 预处理 风险：话单数据预处理不真实、不完整、不准确、不及时 控制目标：合理确保计费话单数据采集及预处理的真实性、准确性、完整性和及时性 控制举例： 格式转换前后话单文件的平衡性检查 分拣前后话单的平衡性检查 错单、重单、异常话单的处理和记录 流程层面的控制 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 批价 风险：话单批价和计费不准确、不及时 控制目标：合理确保话单批价及资费计算准确性、及时性 控制举例： 计费信息、用户资料、产品信息的同步 批价前后话单的平衡性检查 信息和资料无法匹配导致无法批价的话单的处理和记录 流程层面的控制 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 月出账 风险：出账（月出账）数据不及时，账单金额不准确、不完整 控制目标：合理确保出账（月出账）数据的准确性、完整性、及时性 控制举例： 批量销账的平衡性检查 系统自动按参数设臵出账 余额不足时部分扣减的设臵 销账规则设臵 流程层面的控制 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 财务数据生成 风险：传递到 MIS财务系统中的计费账务数据的不真实、不准确、不完整性和不及时 控制目标：合理确保传递到 MIS财务系统中的计费账务数据的真实性、准确性、完整性和及时性 控制举例： 数据生成、传输、导入的权限设臵 接口文件的完整性校验 BOSS与 MIS代码不匹配时的错误报告 对匹配规则及财务数据的审阅 流程层面的控制 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍 财务审计中的 IT审计 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 信息技术 审计范围的确定 确定关键会计科目 确定影响关键会计科目的 重要业务流程 确定支持重要业务流程的信息系统，作为信息技术审计测试范围内的系统 信息技术整体控制 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 审计内容 对程序和数据的访问 程序变更管理 程序开发管理 系统运行 终端用户计算 信息技术整体控制（续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 对程序和数据的访问 审计目标 建立足够的对程序和数据的访问控制，以降低被审计单位与财务报告相关的应用系统或数据遭到未经授权访问或不当访问所带来的风险。 控制目标 确定信息安全是否得到管理以指导安全措施的一贯实施，以及确定信息系统使用者是否了解与财务报告数据相关的企业信息安全政策。 确定被审计单位已通过设臵用户身份的识别、认证和授权等管理机制来适当限定信息技术资源的逻辑访问和物理访问。 确定被审计单位已建立相关制度，及时对用户帐号进行增、删、改。 确定被审计单位已对与财务报告相关的应用系统或数据的权限维护进行监控。 确定被审计单位已在关键流程设臵和执行了适当的职责分离控制。 信息技术整体控制（续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 程序变更管理 审计目标 建立足够的程序变更管理控制，以确保对现有系统 /程序的变更经过授权、测试、批准、实施，并相应记录。 控制目标 确定被审计单位已采取控制措施，以确保用于控制财务报告流程的系统 /应用程序的任何变更经过相应管理层的适当批准。 确定被审计单位已采取控制措施，以确保与财务报告相关的系统和应用程序的变更在上线前均已经过测试、验证和批准。 确定被审计单位已采取控制措施，以确保将与财务报告流程相关的系统和应用程序的变更迁移至生产环境时设有适当的权限控制。 确定被审计单位已采取控制措施，以确保与财务报告相关的系统和应用程序的配臵变更均已经过验证、批准和测试。 确定被审计单位已对与系统 /程序的配臵有关的紧急变更采取适当控制措施。 信息技术整体控制（续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 程序开发管理 审计目标： 建立足够的程序开发相关的控制，以确保新系统 /程序的开发或购臵经过授权、测试、批准、实施，并相应记录。 控制目标： 确定被审计单位已采取控制措施，以确保新开发或购臵的系统或应用程序已经过相应级别的信息技术管理人员及业务部门管理人员的审批。 确定被审计单位已制定了恰当的程序开发方法，且将其运用于与财务报告流程相关的系统或应用程序的开发或购臵过程。 确定被审计单位已采取控制措施，以确保与财务报告流程相关的系统或应用程序在开发或购臵过程中已经过充分测试，并且该测试结果已经过相应级别的信息技术管理人员及业务部门管理人员的批准。 确定被审计单位已采取控制措施，以确保与财务报告流程相关的新旧系统或应用程序在进行数据移植操作时，数据的完整性。 信息技术整体控制（续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 系统运行 审计目标 建立足够的系统运行相关的控制，以确保系统 /程序的运行经过适当的授权及安排，并且异常情况得到及时发现和解决。 控制目标 确定管理层已实施了相关程序，以确保与财务报告相关的系统作业处理（包括批处理作业和系统接口作业）的准确性、完整性和及时性。 确定管理层已采取了适当的控制程序，以确保财务报告所需的系统和数据进行定期备份，并使相关的数据、交易和程序能够在需要时得以恢复。 确定管理层已采取了有效的控制程序，定期测试与财务报告所需的系统和数据有关的恢复程序的有效性及备份介质的质量。 确定管理层已采取了适当的控制程序，对备份介质进行访问控制。 确定管理层已制定并实施了问题管理程序，以及时记录、分析和解决与财务报告流程相关的系统和应用程序所发生的事故、问题及差错。 信息技术整体控制（续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 终端用户计算 审计目标： 建立足够的政策及程序，以确保信息技术整体控制被有效应用于终端用户计算。 控制目标： 确定管理层已实施了适当的政策和程序，以确保信息技术一般性控制恰当应用于最终用户计算环境，包括控制： 程序及数据的访问权限 程序变更管理 程序开发管理，以及 系统运行 信息技术整体控制（续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 公司层面的控制 流程层面的控制 信息技术整体控制 控制类型及测试方法介绍 财务审计中的 IT审计 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 控制类型介绍 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 各控制类型分别是预防性还是侦探性？ 控制类型 预防性 /侦探性 授权及批准 预防性 系统设臵 /科目映射 预防性 职责分工 预防性 接口 /数据转换控制 预防性 系统访问权限 预防性 例外情况报告 侦测性 关键绩效指标 侦测性 管理层审阅 侦测性 核对 侦测性 预防性 侦测性 观察 观察内部控制运行的实际情况，例如，实地观察存货盘点； 询问 向相关人员询问内部控制运行的情况，例如：对于存货盘点的控制，可以询问财务部人员或仓库保管人员盘点的范围 、程序，以及对盘点差异将会采取的跟进措施； 重新执行控制 - 重新执行内部控制程序，证明其正确性，例如：重新执行对账程序，证明其结果是一致的； 检查 检查证明或支持内部控制运行的记录与文件，例如：检查机房访问日志，以作为内部控制有效实施的证据； 测试方法介绍 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 验证性询问 - 向企业中其他人员确认内部控制的实际情况，以验证应用程序的正确性和一致性以及内部控制是有效运行的。 能力评估 - 综合运用询问、文件检查和重新履行等手段，测试某个管理人员在某一领域的知识或其实施某项控制的胜任能力。 系统取证验证 - 测试信息系统中的自动控制，验证其运行的正确性，例如： 系统按照定义好的规则将例外情况检查出来，例外情况也会关联到验证输入的完整性和正确性和应用的输出。 系统中的权限设臵，实现必要的职责分工以保证业务处理的合理性。 测试方法介绍 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 控制 点测试举例 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 接口 /数据转换控制 控制点描述： BOSS系统，经营分析系统和 MIS系统间进行数据传输过程中，相关数据接口对传输的接口文件进行完整性校验，发生错误时系统会提示出错信息，由操作人员重新传输、以合理确保收入数据在传输过程中的完整性和准确性。 流程： 收入和计费业务流程 -计费账务业务子流程 流程目标： 合理确保传递到 MIS财务系统中的计费账务数据的真实性、准确性、完整性和及时性 风险： 传递到 MIS财务系统中的计费账务数据的不真实、不准确、不完整性和不及时 测试方法 : 设计有效性测试方法 询问关于数据文件从 BOSS到 BI或从 BOSS到 MIS传输中的错误检测机制。 获取并查阅相关文件，以确认数据文件从 BOSS到 BI或从 BOSS到 MIS传输过程中的错误检测机制。 执行有效性测试方法 根据接口数据的传输频率 获取并查阅系统日志，以确定数据是否得到正确传输。 获取并查阅跟踪处理记录 ，以确定关于数据传输异常处理的过程、方法及处理人均被完整正确记录下来。 控制 点测试举例 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 系统访问权限 控制点描述： 对于服务 /内容提供商提供的业务和产品，只有经过授权的服务 /内容提供商可以在相关的业务管理平台上提交资费申请。 流程： 收入和计费业务流程 -新业务与产品定价业务 子流程 流程目标： 合理确保资费标准被正确、及时和有效的执行 风险： 资费标准在系统中的设臵不及时、不准确 测试方法 : 设计有效性测试方法 询问有关负责人以获知服务提供商在新业务管理平台上提交费率增加 /变更申请的流程。 获取并查阅相关文档以确定移动公司是否建立了对新业务管理平台访问权限的限制措施的规范。 执行有效性测试方法 获取并查阅 具有在新业务管理平台上提交费率增加 /变更申请权限的服务提供商列表 。 从列表中选取 样本，获取服务提供商接入新业务管理平台的授权书，以确定他们是否经过正确的授权。 控制 点测试举例 （续） 2007 毕马威华振会计师事务所是瑞士合作组织毕马威国际的中国成员。版权所有，不得转载。中国印刷。 例外情况报告 控制点描述： 批价过程中，计费系统自动对计费资源信息、产品信息、用户资料等无法匹配的服务使用记录或服务使用记录错误进行单独处理和记录。 流程： 收入和计费业务流程 -计费账务业务子流程 流程目标： 合理确保话单批价及资费计算准确性、及时性 风险： 话单批价和计费不准确、不及时 测试方法 : 设计有效性测试方法 询问话单批价的工作流程以获取对错单监控和分析的了解。 获取并查阅关于批价流程的计费系统设计相关文档来确定这些文档是否规范了监控、分析和审阅错单文件的流程。 执行有效性测试方法 获取并查阅重单及错单的月分析报告来确定核对的结果，错单分析方法和结果以及管理层审阅是否得到合适的记录。 获取并查阅错单日志来确定是否无主话单已被回收。 财务审计中的 IT审计 IT内审 内容概要 2007 毕马威华振会计师事务所是瑞士合作组织