0-信息技术控制测试

1、信息技术控制与测试1 .信息系统与内部控制2 .信息技术控制的内容3 .信息技术一般控制4 .自动化应用控制5 .测试与评价信息技术控制1.信息系统与内部控制Orcal、SAPERP:配置清单，数据库（比对原始配置，客户配置）为什么调整参数，理由是否支持调整Orcal重大缺陷：覆盖性数据库（超过一定期间，以前的数据被覆盖）。信息系统与内部控制（续）信息技术一般控制根据统计和分析，导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型:?程序控制上的缺陷?软件开发/实施?职责分离?用户对系统的访问授权?对数据访问的监管和控制3内容信息系统控制的内容信息系统内部控制领域13面层司公 面层制控般一

2、面层用应与IT公司治理相关的控制:? IT组织，IT规划? IT风险管理? IT管理制度体系? IT内部审计等IT 一般控制：?系统开发与程序变更管理?系统访问安全管理? IT日常操作管理?物理安全管理等 业务流程中通过系统实现的应用程序 控制：?输入控制?验证控制?接口控制?权限控制，职责分工等信息系统控制的内容（续）?公司层面的信息系统控制内部风险评估控制活动信息与沟通监督a环境子业MS司信息系统控制的内容（续）信息技术一般控制与自动化应用控制之间的关系?应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例 如：V许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查

3、 来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期 格式或数字格式），存在性检查（如：客户编码存在于客户主数据文档 之中），或合理性检查（如：最大支付金额）?如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝 录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待 后续跟进和处理?如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制 的有效性必须建立在信息系统一般控制的基础之上客户主数据：封死管理，不可更改， CF或财务总监授权，检查日志看是否有修 改3.信息技术一般控制1、网络安全：(1)取得网络拓朴图：(2)是否有防火墙：(3)物理隔

4、离：设备、厂家、清单(4)逻辑隔离：配置，研发人员不能有操作权限(5)物理环境是否外包2、操作系统：了解用什么，微软有漏洞?如果计算机环境发现了信息技术一般控制的缺陷，则会影响系统整体的可 信程度例如：7程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程 逻辑进行修改，导致系统接受不准确的录入数据V与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理 性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容 差范围的支付操作信息技术一般控制所包括的范围信息系统的开发和实施：? 开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和 质量保

5、证、数据转换、上线、文档与培训等信息系统的变更和维护：?维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产 环境的授权、文档和培训等信息系统的操作和运行：? 对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢 复、用户帮助部门的功能、服务水平协议等程序和数据的接触安全：?安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网 络安全、边界网络安全、物理安全等信息系统的开发和实施?目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，包括考虑：程序开发活动的全面管理项目启动控制应当确保项目的计划、

6、资源配置和启动可以支持实现管理层的应用 控制目标? 具体控制领域包括：用户需求测试和质量确保数据迁移程序实施记录和培训职责分离17信息技术一般控制（续）信息系统的变更和维护?目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、 测试和实施的，以达到管理层的应用控制目标? 具体控制领域包括：对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保程序实施记录和培训职责分离信息技术一般控制（续）信息系统的操作和运行?目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问 题被完整准确地识别并解决，以维护财务数据的完整性? 具体控制领域包括：计算机运行活

7、动的总体管理批处理实时处理备份和问题管理灾难恢复重要电子表格信息技术一般控制（续）程序和数据的接触安全?目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的? 具体控制领域包括：安全活动管理安全管理数据安全操作系统安全网络安全物理安全信息技术一般控制（续）信息技术一般控制举例：1.1 系统开发和重大变更流程：控制点：?用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保 存。?变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。?系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。?制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步

8、骤。数据迁移的过程应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。?对于外包的IT项目，公司的项目管理组应该对服务商的运作以及控制的有效性进 行检查。?管理层应在系统上线前对其进行检查和审批。信息技术一般控制（续）信息技术一般控制举例:1.2 系统日常变更流程：控制点：? 一般的程序变更请求需要由用户部门管理层审批并存档保留。?在移植到生产环境前，应当对程序变更进行测试。测试的级别与变更的大小相当?在程序变更过程中对相冲突的职责实施有效的分离。?程序变更上线之前需要经过管理层的检查和审批。?开发和测试环境在逻辑或物理上与生产环境分离。信息技术一般控制（续）信息技术一般控制举例：

9、2.1 用户账号管理一用户创建 /修改/删除的授权审批：控制点：重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批；关于删除离职或调职用户的权限，被评估机构确立了正式的流程；2.2 用户账号管理权限定期检查：控制点：用户部门管理层应该定期检查系统中用户帐号和授权，并根据检查结果进行帐号清理。信息技术一般控制（续）信息技术一般控制举例：3.1 备份管理-备份检查：控制点：对重要数据（包括支持重要财务信息和应用程序的数据）进行适当的备份，并及时检 查备份完成情况。3.2 问题及应急事件处理：控制点：IT运行问题或事件应该及时进行识别、解决、审核和分析。254,自动化应用控制自动化应用控

10、制?应用系统是提供业务功能的软件，从而用户可以：与电脑之间产生互动输入控制执行业务处理功能等输出控制：记应收，财务收款做预收，应收预收对冲?应用系统能够支持业务活动，并且允许用户更加有效率地履行他们的职责?有些应用系统可以被用于访问和修改业务及财务信息，因此，保护对于这些 应用程序的访问权限至关重要，从而降低任何与对于关键业务与财务相关数 据拥有不合理的访问权限相关的风险29目动化应用控制类型的划分/岗分离自动系统 接口 /对账 例行程序计算机 计算配置控制实时校验 编辑检查桁息系 统应用' 控制/,自动化应用控制（续）应用程序控制类型一实时校验和编辑检查?实时校验和编辑检查 也称为系

11、统录入控制，此类控制主要是系统自动控 制。这类控制点的主要作 用是确保录入到系统中的数据的准确性，在进行 业务录入时系统会对重要字段的合理性、合规性和准确性进行检查，以防 止一些非法的或不真实的数据被系统接受，造成系统数据的不真实和大量 垃圾数据的产生。举例：?会计科目维护时系统存在录入控制，对科目代码进行校验，限制过 长或过短的科目代码。?系统设定了录入信息模板，只能按照模板规定的格式录入信息#自动化应用控制（续）应用程序控制类型-登陆权限/岗位分离 ?登录权限/岗位分离应用系统中用户的权限设置是否合理，是否按照职责需要进行授权，是否考虑到岗位分离的情况。举例：?会计凭证在金蝶K/3系统中的

12、录入，一般此项操作需要一人制单，一人复 核及过账。应用程序控制类型一计算机计算?计算机计算系统根据设定的业务逻辑进行自动计算，此类控制多为系统自动控制。此类控 制一般在程序开发时已经嵌入到系统中举例：雄蝶K/3系统正确计算物料的当月采购平均单价。?K/3系统每月将当月所有入库单自动汇总成本计算单汇总显示。应用程序控制类型-配置控制?配置控制：主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着非常重要的作用，此类控制多属于人工依赖系统控制举例：期务管理部会计进行采购发票勾不I并做外购入库暂估冲回后，K/3系统自动将对应的暂估应付账款进行冲回。?系统能根据预先的

13、设置根据科目余额表余额生成资产负债表和利润表。应用程序控制类型-自动系统接口 /对账例行程序?自动系统接口/对账例行程序：主要关注不同应用系统之间传输数据的准确性和完整性，一般属于系统自动控制举例：?仓管员根据K/3系统销售出库单的出库或退库指令在仓库系统进行出库 或退库操作，确认信息由仓库系统上传到 K/3系统。自动化应用控制需要考虑的因素? 应用系统的复杂程度复杂的计算需求或业务规则 跨国或复杂的信息系统架构应用技术的采用信息系统所提供的功能信息系统在企业应用的广泛程度? 信息系统在企业的应用所需要关注的风险 所需要支持的业务 所需要设置的控制 所需要采用的技术 所需要参与的人员所支持的业

14、务交易 业务对系统的依赖程度 系统之间的链接?每个应用系统的控制都有所区别：企业的业务性质企业的组织和人员企业的管理需求所采用的技术其他的考虑，如监管要求等?应用控制要持续有效，必需有相关的配套支持：政策、制度人员（业务和信息技术）检查和维护机制（包括信息系统一般性控制）应用系统规划图应用系统规划图的主要目的是为了匹配业务财务流程与系统的对应关系，以确 定评估范围内的系统，样例如下：流程编号系统名称金蝶K/3系统SAP系统是否为关键系统是是流程名称1财务报表关账V2生成与存货流程V3销售流程V355.测试与评价信息系统内部控制37信息技术一般控制和财务报表认定的联系什么时候必须测试信息技术一般

15、控制？?有自动复杂计算功能的系统?系统技术落后，供应商已不在提供支持服务?没有被广泛应用的新兴技术?客户自行开发软件，或者对市场常规软件有重大修改的软件?企业资源规划系统（ERP）?系统与系统间存在大量自定义的接口?处理大量交易的系统?为一个复杂企业处理的系统?复杂的信息技术设施信息技术一般控制的特定风险?依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序?未经授权的数据访问会导致数据损坏或者被不正当的修改，包括未经授 权地记录不存在的交易或者不正确的交易?未经授权修改主数据库中的数据?未经授权修改系统或者程序?未能对系统或程序进行必要的修改?不恰当的人为干预?丢失数据的可能性39信息技术一般控制?访问程序和数据的权限?程序变更什么是与测试相关的？这两个方面总是与测试相关的，它们的复杂 程度和审计证据的类型在审计客户中是有巨 大的差异的。43以年试 制当测 控于要 部对需 内果不 告如就 艮rf O , 务关响 财相影 对试有 会测没 行与制 运才控 的部 统时内 系响告 新影报 当有务 有险财 只风和?程序开发?计算机运行只有在可以直接与重要账户的认定相关或者与特定风险相关 时，这项测试是相关的一（通常发生在交易量庞大，信息系统 复杂的行貌,比如银行）。我们需要考虑每个领域的风险，哪怕我们不打算获得系统有效性的