专业 化太高 c0901 信息系统评估

信息系统评估 索引号： C0901 页次： 被审计单位： 编制人： 日期： 财务报表截止日/ 期间： 复核人： 日期： 1. 了解客户的信息系统/信息技术环境 - 取得背景信息 重要的信息技术联络人： 姓名 职位 职责 客户的信息处理系统和相关的支持活动的管理模式： 管理模式 是( 否) 描述 集中式管理 分散式管理 使用程度-主要财务系统： 应用项目 系统的提供者：供 应商/内部设计/终端用 户 系统平台：运行系 统及数据库 任何短期内的修 改? 财务分类账 采购订单处理流程 销售订单处理流程 存货 工资 固定资产 其它（请列明） 【注: 供应商可为Oracle，Sage ，SAP等等。内部设计指客户雇用程序设计师并且“拥有” 系统的原始代码。终 端用户所开发的系统为非信息技术人士所设计（例如：财务部门开发自己的发票数据库） 。 系统平台：被普遍使用的操作系统包括Unix、Windows 、VMS等等。被普遍使用的数据库包括 Oracle、 SQL。 “短期 ”的定义为在该会计年度期间之内。 】 客户的信息技术部门是否以规范（受控制）的方式运作？ 政策/程序 是否为现行的、且得到管理阶层批准的以及适当传播的？ 需要副本？ 信息系统/信息技术风险记录 是 信息系统/信息技术策略 否 是 2 信息系统/信息技术安全政策 否 是 合理的电子邮件/网络的使用政策 是 信息技术采购 是 系统发展/实施 是 客户端计算机使用需求 是 运行程序 是 设备管理程序 是 企业持续经营计划 是 信息技术灾难复原计划 是 【注：项目事务所至少应取得信息系统/信息技术策略及信息系统/信息技术安全政策的复印件，以了解 客户明年的计划。如欠缺以上两项政策的复印件，则应针对此提供有关建议。 】 2. 评估信息系统环境的复杂性 问题 非复杂 (1分) 复杂(4分) 评分 （1 4分） 信息技术部门： 是否有许多信息技术人员执行技术 性任务，以致财务应用程序或其数据的 完整性可能受到影响？ 【注：右栏的“支持 ”仅包含基本的 行政责任，如：增加及移除使用者，但 不包括技术上诸如更改数据库的数据的 类似任务。 】 【信息技术部 门拥有少于四位员 工支持第三者的应 用程序及计算机】 【信息技术部门 的规模较大（或具有 签定设备管理合约设 备）并且具备支持内 部设计应用程序的发 展能力】 系统整合： 各财务应用程序是否得到整合或集 中？ 【注：已整合的系统通常为现成的 软件包，如：CFACS或Sun accounts。ERP系统（例如：SAP及 Oracle）容许大量的系统更改，并被视 为复杂。 】 【具有涵括整 个关键财务流程的 财会程序（例如： 采购、销售、存货 及工资） 】 【透过五个或以 上的独立交易系统取 得财务数据（系统可 能分布于不同地点或 包括客户端所开发的 数据库及表格程序） 】 交易处理： 财务应用程序开始及核准交易至什 么程度？ 【注：租金计算可作为自动开始及 核准的例子】 【所有交易要 求人工核准】 【交易的开始并 不需要人工授权】 系统存取： 财务应用程序的存取（或潜在存取） 途径增加未经授权的存取风险。有多少 数目的计算机/终端机有可能进入拥有财 务应用程序的计算机系统？ 【注：” 潜在 ”意指非财务用户可经 【财务系统拥 有其独立网络，或 整个系统不允许远 程访问及连接少于 50部计算机】 【系统在主要业 务网络的上并连接广 大地区的远程用户， 例如：通过互联网。 【 利安达会计师事务所有限责任公司 3 由直接/间接的方式存取财会主机的数据。 】 特别事件： 出现特别的信息系统/信息技术的事 件，如：: 系统的修改或重要信息技术人 员的更换; 系统操作失败，而并没有立刻 恢复 发现舞弊或黑客入侵 【该年并没有 发生严重事件】 【发生对系统完 整性有重要影响的事 件】 总分 【在此部份，财务应用程序包括所有用作取得财务信息的企业应用程序（并不仅限于分类账） 】 3. 评估信息系统对业务的重要性 对业务的重要性 非常重要 重要 不重要 请描述如果计算机系统不能运行而 给业务造成的中断程度。如果没有 计算机公司能合理地运营多久？ 请说明如果系统处理发生重大错误 会有哪些短期和长期的影响？错误 的发现需要多久？以及该错误将如 何影响业务？ 为了及时和准确地处理业务，业务 对计算机的依赖程度如何？每天所 做的决策是否基于计算机系统的数 据？ 4.评估信息系统/信息技术风险对事务所审计风险的影响 风险不良的信息系统/信息技术行政管理会降低信息技术部门执行其职责的能力 增加风险的因素 减低风险的控制 证明控制营运已完成 工作 控制设计及营运是否与风险密切配合？ 【注： 在第一栏填上增加此风险的可能性或影响此风险的事项。可能包含的例子如下： 4 -组织的规模 -监管措施，如侵略性风险管理程序 在第二栏填上客户为管理或降低风险所做的事项。可能包含的例子如下： -连接资深管理阶层/行政人员/董事会的信息技术部门报告专线 -管理此业务的专业机构（例：指导委员会） -信息技术部门内的分工（例：信息技术人士为“正常业务程序”的一部份） -根据业务需求而配备信息技术员工 在第三栏描述取得此信息的途径。例子如下： -与信息技术管理阶层的讨论 在第四栏做出判断。负面因素与正面因素是否平衡？风险是否迟早会发生？公司是否控制过度？风险过 度的控制对公司造成的伤害可能并不亚于不足的控制。 】 风险 - 系统的完整性可因更改而受破坏 增加风险的因素 减低风险的控制 证明控制营运已 完成工作 控制设计及营运是否与风险密切配合？ 【注： 在第一栏填上增加此风险的可能性或影响此风险的事项。例子如下： -系统更改的次数 -信息技术开发小组的规模 -内部信息技术发达程度与对外界厂商的依赖程度的比较 在第二栏填上客户为管理或减低风险所做的事项。例子如下： -管理层/指导委员会批准及优先处理的系统重要更改 -使用明确的计划管理方法（例：PRINCE2）做出更改 -已建立正式的程序/数据更改的控制程序，以避免出现未经批准的临时更改 -与外界厂商签订转移风险或指明对数据/系统有限度存取的合约 在第三栏描述取得此资料的途径。例子如下： -与信息技术管理层的讨论 在第四栏做出判断。负面因素与正面因素是否平衡？风险是否迟早会发生？公司是否控制过度？风险过 度的控制对公司的伤害可能并不亚于不足的控制。 】 风险-不适当的服务提供方式因而增加失败的风险 增加风险的因素 减低风险的控制 证明控制营运已完成 工作 控制设计及营运 是否与风险密切配合？ 【注： 利安达会计师事务所有限责任公司 5 在第一栏填上增加此风险的可能性或影响此风险的事项。例子如下： -信息系统/系统支持的复杂程度 -系统对企业营运的重要性 -客户迅速发现错误的能力 在第二栏填上客户为管理或减低风险所做的事项。例子如下： -明确订立及遵循正式准则、政策及程序 -对活动做出监督 -并非仅依赖一名重要工作人员的知识 在第三栏描述取得此资料的途径。例子如下： -与信息系统管理层的讨论 在第四栏做出判断。负面因素与正面因素是否平衡？风险是否迟早会发生？公司是否控制过度？风险过 度的控制对公司的伤害可能并不亚于不足的控制。 】 风险 - 存取控制不能防止对财务数据不适当的存取 增加风险的因素 减低风险的控制 证明控制营运已完成工作 控制设计及营运是 否与风险密切配合？ 【注: 在第一栏填上增加此风险的可能性或影响此风险的事项。例子如下： -被授权的（财务）使用者的规模及地点。 -网络的规模（使用网络的总人数） -产业（例：金融机构为较高风险的产业） 在第二栏填上客户为管理及减低风险所做的事项。例子如下： -财务服务器硬件被妥善保管。 -系统拥有良好质量的密码控制，以减低未经授权的存取风险 -系统记录各使用者的行动 -网络架构的设计明确的限制非财会人员存取财务系统 在第三栏描述取得此资料的途径。例子如下： -与信息技术管理层的讨论 在第四栏做出判断。负面因素与正面因素是否平衡？风险是否迟早会发生？公司是否控制过度？风险过 度的控制对公司的伤害可能并不亚于不足的控制。 】 5. 结论 复杂程度： 将第二部分的分数加起来。总分超过10分，被视为“复杂” 。 信息系统环境是否“复杂” （是或否）？ _ 使用程度： 根据第一部分被审计单位对信息系统的的使用范围，对被审计单位信息系统的使用程度进行评价 6 被审计单位信息系统的使用属于”广泛” 、 ”一般”、 ”局限”？ _ 对业务的重要性： 根据第三部分信息系统对业务的影响程度，对被审计单位信息系统对被审计单位业务的影响程度进行评 价 信息系统对被审计单位业务的影响是”非常重要” 、 ”重要”、 ”不重要” ？ _ 被审计单位使用计算机的整体分类评价： 基于上述的了解及评价，对被审计单位使用计算机的整体分类评价为: 描述 高度计算机化 中度计算机化 轻度计算机化 审计风险： 将第四部分的结论列在下面的表格： 风险范围 控制是否令 人满意？（是/ 否） 如答案为“否”，事务所应采取什么行动？ * 不良的信息系统/信息技术行政管理会 减低信息技术部门执行其职责的能力 系统的完整性可因更改而受破坏 非正式的提供服务方式增加失败的风 险 存取控制不能防止对财务数据不适当 的存取 根据你的判断，客户的信息系统控制是否不足，以致存在对事务所发表审计意见可能带来负面影响的重 大风险？ (是/否)？_ *行动可包括提出改善或建议信息系统审计团队成员与客户讨论有关问题。 【填表指引： 在填写本表格时我们应当记录所获取的信息和审计证据的来源。 本表格是对被审计单位计算机的使用程度、复杂程度及对业务的重要性进行了解及评估, 进而对被审计单位使用计算机的整体情况进行分类。被审计单位使用计算机情况的整体分类 为: 高度计算机化广泛使用计算机，计算机环境复杂，且计算机系统对业务非常重要。如 果被审计单位使用企业资源策划（ERP）系统，如 SAP、 PeopleSoft 或 Oracle Financials，或 利安达会计师事务所有限责任公司 7 者被审计单位拥有数据库技术（SQL、Oracle 等） ，那么这样的被审计单位通常都属于高度计 算机化客户。高度计算机化客户依赖于计算机进行日常运营。他们通常拥有一个或多于一个 的网络和/或计算机环境。他们的交易量较大且依赖计算机进行大多数决策。 中度计算机化使用计算机程度低于“高度”，但高于“ 轻度 ”。中度计算机化被审计单位 往往有到两种复杂的计算机系统，这到两种系统被广泛地使用而且对业务是重要的，但 就整体而言，被审计单位使用计算机的程度尚不足以归类为“高度”。如果被审计单位使用局 域网（LAN ）或互联网接入，则通常表明该客户是中度计算机化客户。如果应用程序是集成 化的，或使用自动接口程序，那么这个计算机环境通常至少是“中度”的。使用简单的总分类 账模块但依赖计算机进行库存管理或销售和订单管理的用户通常也属于中度计算机化。如果 被审计单位在多个地点使用各自的系统，也属于中度计算机化。 轻度计算机化使用计算机的范围局限于处理一些对业务不是十分重要且比较简