信息系统审计方法与操作指引

1、信息系统审计方法与操作指信息系统审计方法与操作指引引2022-4-292一、信息系统审计方法IT一般控制和应用控制审计概要信息系统审计方法与操作指引2022-4-293IT一般控制审计程序nIT一般控制概念一般控制概念信息技术广泛应用于信息技术广泛应用于企业日常交易处理中，是涉及整个财务报表交易流程企业日常交易处理中，是涉及整个财务报表交易流程的重要组成部分，它影响财务数据的一致性、完整性和准确性。随着信息的重要组成部分，它影响财务数据的一致性、完整性和准确性。随着信息科技日益发展，信息系统日趋复杂，使得业务风险增加，因此对科技日益发展，信息系统日趋复杂，使得业务风险增加，因此对IT控制进控制

2、进行测试与评估就显得尤为重要。行测试与评估就显得尤为重要。IT一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更一般控制是指为保证在一段时期内应用控制持续有效性，而在系统变更和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据集都有效，所以被称为集都有效，所以被称为“IT一般控制一般控制”。 nIT一般控制分类一般控制分类变更管理：只允许对应用程序、界面、数据库和操作系统进行适当授权、变更管理：只允许对应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更。测试和批准的变更。 逻辑访问：只有经过授权

3、的人员，才可以访问数据和应用程序（包括程序、逻辑访问：只有经过授权的人员，才可以访问数据和应用程序（包括程序、表和相关资源），并且他们只能执行明确授权的功能（例如：询问、执行表和相关资源），并且他们只能执行明确授权的功能（例如：询问、执行和更新）。和更新）。其他其他ITIT一般控制一般控制（包括（包括ITIT运行）：正确备份支持财务信息数据，以便在发运行）：正确备份支持财务信息数据，以便在发生系统中断或数据完整性问题时，能够准确、完整地恢复这类数据。按计生系统中断或数据完整性问题时，能够准确、完整地恢复这类数据。按计划执行程序，并及时识别和消除按计划处理时产生的偏差。及时识别、解划执行程序，并

4、及时识别和消除按计划处理时产生的偏差。及时识别、解决、复核和分析决、复核和分析ITIT运行问题或事故。运行问题或事故。 信息系统审计方法与操作指引2022-4-294IT一般控制审计程序nIT一般控制包含控制流程一般控制包含控制流程主要包括三主要包括三个方面个方面变更管理变更管理逻辑访问逻辑访问其它其它IT一般控制一般控制平稳解决创平稳解决创新管理问题新管理问题IT一般控制审计一般控制审计Enterprise Enterprise datadatamodelmodelMaster/ Master/ reference reference datadataTechnology Technolog

5、y and tools and tools standardsstandards信息系统审计指南和标准信息系统审计指南和标准用户账号变更管理用户账号变更管理超级用户访问授权超级用户访问授权关键系统资源和工具访问授权关键系统资源和工具访问授权权限定期检查权限定期检查超级用户日志超级用户日志职责分离职责分离安全参数设置安全参数设置远程访问远程访问网络安全网络安全备份管理备份管理备份恢复备份恢复物理安全物理安全批处理批处理第三方管理第三方管理问题及应急事件处理问题及应急事件处理业务持续性计划灾业务持续性计划灾难恢复难恢复系统开发和重大变更系统开发和重大变更程序变更程序变更配置配置/ /参数变更参数变

6、更基础架构变更基础架构变更紧急程序变更紧急程序变更数据修改数据修改信息系统审计方法与操作指引2022-4-295IT一般控制审计程序n变更管理变更管理1.2.1 IT环境技术环境技术组成要素组成要素在风险评估过程中，应确定在风险评估过程中，应确定IT环境中以下哪些技术组成要素会影环境中以下哪些技术组成要素会影响变更管理种类，并且在响变更管理种类，并且在测试范围测试范围内：内：应用程序应用程序 界面（界面（IT控制）控制） 数据库数据库操作系统操作系统/ /网络网络 1.2 影响变更管理测试性质和影响变更管理测试性质和范围因素范围因素仅允许对应用程序、界面、数据库和操作系统进行适当授权、仅允许对

7、应用程序、界面、数据库和操作系统进行适当授权、测试和批准的变更测试和批准的变更。1.1 总体目标总体目标信息系统审计方法与操作指引2022-4-296IT一般控制审计程序n影响变更管理测试性质和范围因素影响变更管理测试性质和范围因素( (续续) )1.2.2 变更类型变更类型要确定最适当的测试方法，要确定最适当的测试方法，了解和记录用于变更管理过程了解和记录用于变更管理过程，包括，包括针对以下变更类型和针对以下变更类型和ITIT环境技术组成要素过程环境技术组成要素过程：程序开发程序开发/ /采购采购 开发和实施新应用程序或界面。开发和实施新应用程序或界面。 程序变更程序变更 对现有应用程序和界

8、面进行的变更。对现有应用程序和界面进行的变更。 系统软件维护系统软件维护 对数据库、操作系统和其他系统软件进对数据库、操作系统和其他系统软件进行的技术变更（例如：行的技术变更（例如：补丁程序和升级）。补丁程序和升级）。 紧急变更紧急变更 在紧急情况下进行的变更。在紧急情况下进行的变更。 配置配置/ /参数变更参数变更 对对ITIT环境各种技术组成要素总体配置和环境各种技术组成要素总体配置和参数设置进行的变更相关参数设置进行的变更相关，包括对新应用程序的配置设置，包括对新应用程序的配置设置进行初始设置。进行初始设置。信息系统审计方法与操作指引2022-4-297IT一般控制审计程序n影响变更管理

9、测试性质和范围因素影响变更管理测试性质和范围因素( (续续) )选择变更管理样本首选方法是：直接从表明自审计期间期初到测试日期实际进行全部变更的变更管理系统获取清单，并且确定变更清单是完整的、有效的。 如果系统生成清单不可用，可以考虑以下组合：如果系统生成清单不可用，可以考虑以下组合： 获取被审计公司变更清单（手工维护清单或来自自动跟踪系统清单）； 确定程序变更清单是完整的。通过查找编译日期在审计期间内的可执行模块来获取实际变更清单，从该清单中选择一个在此期间发生的变更样本，并验证从被审计机构那里获取的变更清单上是否存在该变更。 如果没有任何变更，则核实范围内技术组成要素最新编译日期不在审计期

10、间内，以确定没有发生变更。1.2.3 识别对识别对ITIT环境进行的变更（测试总体）环境进行的变更（测试总体）根据确定的测试方法，获取从审计期间期初到测试日期以来根据确定的测试方法，获取从审计期间期初到测试日期以来ITIT环境相关组成要素环境相关组成要素变更完整变更完整清单（变更管理清单）。应尽可能进一步分离变更管理清单，使其只包括在范围内的那些清单（变更管理清单）。应尽可能进一步分离变更管理清单，使其只包括在范围内的那些ITIT环境变更和技术组成要素。环境变更和技术组成要素。 应用应用以下与获取程序变更清单相关的方法：以下与获取程序变更清单相关的方法：信息系统审计方法与操作指引2022-4-

11、298IT一般控制审计程序n影响变更管理测试性质和范围因素影响变更管理测试性质和范围因素( (续续) )已授权 确定请求的变更已经过适当授权。根据被审计机构政策具体确定，某些情况下（如较小变更，可能被定义为那些需要程序员花费时间少于特定小时数的变更），变更可能不需要特定授权。 已测试 确定用户是否执行了测试以确认变更按设计意图运行。否则，应确认确实进行了其他适当测试。有些情况下（如：基础结构变更），根据被审计机构政策，可以接受纯IT测试。 已批准 确定在变更移入生产环境之前，应用程序所有者和IT人员是否批准了这些变更。有些情况下（如：基础结构变更），可以接受纯IT批准。1.2.4 授权、测试和

12、批准变更授权、测试和批准变更 1.2.5 变更管理职责分工补偿性控制变更管理职责分工补偿性控制由于组织结构或其他原因无法进行变更管理不相容职责分工情况下，补偿性控制可以用来保证不会发生未经授权的程序或数据变更。应将补偿性控制设计为发现何时因不相容职责分工问题而规避现有其他变更管理控制。补偿性IT一般控制示例有：变更日志复核，以确定只有批准的变更被移到生产环境中，同时确认变更日志是完整的。变更日志复核，以确定只有批准的变更被移到生产环境中，同时确认变更日志是完整的。 变更控制会议，以讨论和跟进移入生产环境中的最新变更。变更控制会议，以讨论和跟进移入生产环境中的最新变更。 信息系统审计方法与操作指

13、引2022-4-299IT一般控制审计程序n逻辑访问逻辑访问2.1 总体目标总体目标只只允许授权人员访问数据和应用程序（包括程序、表格以及相关资允许授权人员访问数据和应用程序（包括程序、表格以及相关资源），并且这些人员只能执行明确授权的功能（例如：询问、执行和源），并且这些人员只能执行明确授权的功能（例如：询问、执行和更新等）。更新等）。 需要考虑需要考虑 ITGC 逻辑访问测试是否提供了有关适当的限制或不相容逻辑访问测试是否提供了有关适当的限制或不相容职责分工的足够证据。有些情况下，职责分工的足够证据。有些情况下，ITGC 测试不能为我们提供足够测试不能为我们提供足够的证据，以明确断定是否为

14、各个交易适当限制或分离了逻辑访问。此的证据，以明确断定是否为各个交易适当限制或分离了逻辑访问。此时，应用程序层次的访问控制对于我们的风险评估而言可能至关重要。时，应用程序层次的访问控制对于我们的风险评估而言可能至关重要。在这种情况下，作为应用控制测试的一部分，我们将对应用程序层次在这种情况下，作为应用控制测试的一部分，我们将对应用程序层次访问或不相容职责分工控制执行特定测试。访问或不相容职责分工控制执行特定测试。信息系统审计方法与操作指引2022-4-2910IT一般控制审计程序2.2 影响影响逻辑访问逻辑访问测试性质和范围因素测试性质和范围因素对于ITGC审计范围每个应用程序,应确定用于保护

15、财务系统程序和数据访问的逻辑访问路径每个技术组成要素关键程度。逻辑访问路径可能的技术组成要素包括：2.2.1 逻辑访问路径逻辑访问路径应用程序应用程序 操作系统，操作系统，包括使用安全软件包括使用安全软件 数据库数据库 网络网络 互联网互联网/ /远程访问远程访问 穿行测试应记录逻辑访问路径中的哪些位置存在不同授权访问过程。在大多数环境中：所有逻辑访问所有逻辑访问ITGC均应用于应用程序层次均应用于应用程序层次；并非所有逻辑访问并非所有逻辑访问ITGC都应用于操作系统和都应用于操作系统和数据库层次；数据库层次； 只有极少数逻辑访问只有极少数逻辑访问ITGC可能应用于网络、远程访问或互联网层次。

16、可能应用于网络、远程访问或互联网层次。 信息系统审计方法与操作指引2022-4-2911IT一般控制审计程序n影响影响逻辑访问逻辑访问测试性质和范围因素测试性质和范围因素( (续续) )与离职和调动用户相关的ITGC通常是补偿性控制，用于弥补定期用户访问复核过程的缺陷。如果审计方法表明需要测试离职和调动用户，我们应考虑以下程序：2.2.2 定期用户权限复核控制的补偿性控制定期用户权限复核控制的补偿性控制测试程序测试程序 离职用户：获取审计期间离职用户：获取审计期间离职职员离职职员清单，并确定它是完整清单，并确定它是完整的、有效的。选择适当样本的、有效的。选择适当样本，确定是否及时删除或撤消了系

17、统，确定是否及时删除或撤消了系统访问权限。访问权限。测试程序测试程序 调动用户：获取审计期间调动用户：获取审计期间调动职员调动职员清单，并确定它是完整清单，并确定它是完整的、有效的。的、有效的。确定确定用户访问用户访问对于其工作职能来说是否适当，其以前的系统对于其工作职能来说是否适当，其以前的系统访问权限是否访问权限是否已被删除或撤消。已被删除或撤消。信息系统审计方法与操作指引2022-4-2912IT一般控制审计程序n其他其他IT一般控制一般控制备份和恢复：正确备份支持财务信息的数据，以便在出现系统中断或数据完备份和恢复：正确备份支持财务信息的数据，以便在出现系统中断或数据完整性问题时，可以

18、准确完整地恢复此类数据。整性问题时，可以准确完整地恢复此类数据。 任务排程：按计划执行程序，及时识别并消除按计划处理时产生的偏差。任务排程：按计划执行程序，及时识别并消除按计划处理时产生的偏差。 批处理：正确维护批处理过程，持续监控批处理，以保证数据安全。批处理：正确维护批处理过程，持续监控批处理，以保证数据安全。问题和事件管理及监控：及时识别、解决、复核和分析问题和事件管理及监控：及时识别、解决、复核和分析ITIT运行问题或事件。运行问题或事件。3.1 总体目标总体目标3.2 影响其他影响其他IT一般控制测试性质和一般控制测试性质和范围因素范围因素3.2.1 IT环境技术环境技术组成要素组成

19、要素在风险评估过程中，我们应确定在风险评估过程中，我们应确定ITIT环境中以下哪些技术组成要素会影响其环境中以下哪些技术组成要素会影响其他他ITIT一般控制，并且在一般控制，并且在测试范围测试范围内：内：应用程序应用程序 数据库数据库 操作系统操作系统/ /网络网络 信息系统审计方法与操作指引IT一般控制审计程序方法论n测试方法测试方法测试人员需要根据具体情况，决定采用不同测试方法，包括：询问、测试人员需要根据具体情况，决定采用不同测试方法，包括：询问、观察、检查、重新执行四种。注意：对某一个控制点测试可能需要结观察、检查、重新执行四种。注意：对某一个控制点测试可能需要结合各种不同测试方法，譬

20、如用户账号管理流程关于用户初始密码必须合各种不同测试方法，譬如用户账号管理流程关于用户初始密码必须及时更改这个控制点。及时更改这个控制点。询问：通过向相关人员访谈了解各个系统是否存在用户初始密码更改控询问：通过向相关人员访谈了解各个系统是否存在用户初始密码更改控制，由什么岗位负责这项工作，是否有制度对初始密码作出规定等。制，由什么岗位负责这项工作，是否有制度对初始密码作出规定等。 观察：观察一个系统新用户初次登陆时，系统是否提示修改密码。观察：观察一个系统新用户初次登陆时，系统是否提示修改密码。 检查：检查系统安全参数设置，确保使用正确的参数强制用户在初次检查：检查系统安全参数设置，确保使用正

21、确的参数强制用户在初次登录后修改密码。登录后修改密码。 重新执行：申请一个测试账号，在系统中初次登录时查看系统是否强重新执行：申请一个测试账号，在系统中初次登录时查看系统是否强制要求修改密码。制要求修改密码。2022-4-2913信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-2914为了解为了解IT流程流程，参与评估人员，参与评估人员需要在内控文档中对如下内容进行关注：需要在内控文档中对如下内容进行关注：5个个W(WHO, WHEN, WHAT,WHERE, WHY )与与1个个H( HOW )谁来做的谁来做的- -Who何时做的何时做的-When-When做的什么做的什么

22、- What- What在哪做的在哪做的- Where- Where做的原因做的原因- Why- Why如何做的如何做的- How- Hown了解了解IT流程方法流程方法信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-2915IT一般控制测试流程一般控制测试流程缺陷报告缺陷报告文文档档整改整改控制矩阵控制矩阵测试测试访谈访谈再评估再评估信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-2916IT一般控制流程主要关注点举例一般控制流程主要关注点举例- -用户账户维护流程用户账户维护流程 注：所列内容仅为注：所列内容仅为简单样简单样例例需求部门需求部门如何提出如

23、何提出用户用户账户账户维护申请维护申请该申请由该申请由谁来授权，谁来授权，如何授权如何授权以及以及授权授权哪些内容哪些内容需求申请及需求申请及授权确认授权确认记录在哪里记录在哪里具体谁负责具体谁负责执行执行及如何执行及如何执行 负责人负责人完成维护完成维护操作后，操作后，如何通知如何通知需求部门需求部门或授权人或授权人启动启动授权授权记录记录流程处理流程处理汇报汇报询问、观察询问、观察和检查和检查询问、观察询问、观察和检查和检查询问、观察询问、观察和检查和检查询问、观察询问、观察和检查和检查询问、观察询问、观察和检查和检查信息系统审计方法与操作指引2022-4-2917IT一般控制审计方法论了

24、解被评估了解被评估单位的单位的ITIT一一般控制流程般控制流程根据流程根据流程描述，识描述，识别风险与别风险与控制的关控制的关系系根据应用根据应用系统配置系统配置清单，判清单，判断测试范断测试范围围根据测试根据测试范围设计范围设计测试方法测试方法执行穿行执行穿行测试测试/ /控控制测试制测试根据测试根据测试结果，进结果，进行控制评行控制评价价填写缺陷填写缺陷报告、制报告、制定整改计定整改计划划流程描述流程描述/ /流程图流程图ITIT一般控制评估一般控制评估风险控制风险控制矩阵矩阵系统配置系统配置清单清单测试模板测试模板穿行、控制测试报告穿行、控制测试报告缺陷报告、缺陷报告、整改计划整改计划使

25、用相关流使用相关流程描述方法程描述方法表示被评估表示被评估单位某个具单位某个具体业务处理体业务处理过程。过程。 风险控制矩阵是风险控制矩阵是对风险所导致负对风险所导致负面影响的量化，面影响的量化，从严重性、发生从严重性、发生概率和所涉及范概率和所涉及范围等方面进行描围等方面进行描述，使得对风险述，使得对风险的刻画更为有效的刻画更为有效和清晰。和清晰。识别出关键系统识别出关键系统的系统配置，包的系统配置，包括系统描述、应括系统描述、应用系统来源、计用系统来源、计算机平台、算机平台、操作操作系统、数据库名系统、数据库名称称和版本等有关和版本等有关系统的信息。系统的信息。根据对信息系统根据对信息系统

26、的初步了解，设的初步了解，设计出相应的测试计出相应的测试模板，包括风险模板，包括风险点、控制点、测点、控制点、测试范围、测试时试范围、测试时间、测试步骤等间、测试步骤等信息信息对相关风险点所针对的每个控制进对相关风险点所针对的每个控制进行测试，并得出结论（即：确定行测试，并得出结论（即：确定ITGCITGC是否有效）。测试结论所依赖是否有效）。测试结论所依赖的审计证据一定要真实可靠。的审计证据一定要真实可靠。对所测试的控制对所测试的控制 未按照设计方式未按照设计方式运行的情况进行运行的情况进行总结归纳；同时总结归纳；同时找出原因和影响找出原因和影响范围，并对其提范围，并对其提出整改意见。出整改

27、意见。信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-2918n流程描述流程描述/ /流程图流程图系统系统变更变更流程适用范围流程适用范围- -针对针对XXXXXX系统系统需求需求申请申请需求可行性分析需求可行性分析 业务需求文档编写业务需求文档编写系统开发系统开发测试测试上线上线上线后跟进上线后跟进信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-2919n风险控制风险控制矩阵矩阵风险风险控制矩阵是对风险所导致负面影响的量化，从严重性、发生概率和所涉及控制矩阵是对风险所导致负面影响的量化，从严重性、发生概率和所涉及范围等方面进行描述，使得对风险的刻画更为有效

28、和清晰。包括风险点、控制范围等方面进行描述，使得对风险的刻画更为有效和清晰。包括风险点、控制点、控制存在的证明性资料、实际控制描述等信息。点、控制存在的证明性资料、实际控制描述等信息。信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-2920n穿行穿行测试测试、控制测试定义控制测试定义穿行测试：追踪交易实际执行或在信息系统中的处理过程，并检查文件存档和信息穿行测试：追踪交易实际执行或在信息系统中的处理过程，并检查文件存档和信息流，以确定是否按照规定的制度完成。穿行测试不是单独的一种审计程序，而是将流，以确定是否按照规定的制度完成。穿行测试不是单独的一种审计程序，而是将多种审计程

29、序按特定审计多种审计程序按特定审计需要结合需要结合运用的方法。通过追踪运用的方法。通过追踪交易处理交易处理过程过程，证实，证实审计审计人员对控制的了解、评价控制人员对控制的了解、评价控制设计有效性设计有效性以及确定控制是否得到执行。以及确定控制是否得到执行。控制测试：测试被审计单位系统控制控制测试：测试被审计单位系统控制设计合理性设计合理性和和执行有效性执行有效性。在测试控制。在测试控制运行运行有效性有效性时，应当从下列方面获取关于控制是否有效运行的审计证据时，应当从下列方面获取关于控制是否有效运行的审计证据：控制在所审计期间不同时点是如何运行的；控制在所审计期间不同时点是如何运行的；控制控制

30、是否得到一贯执行是否得到一贯执行；控制控制由谁执行由谁执行；控制控制以何种方式运行（如人工控制或自动控制）。以何种方式运行（如人工控制或自动控制）。 穿行测试穿行测试：评价控制设计：评价控制设计有效性有效性。穿行测试主要是在了解内部控制时运用，但在执行穿行测试主要是在了解内部控制时运用，但在执行穿行测试时，也能获取部分控制运行有效性的审计证据。穿行测试时，也能获取部分控制运行有效性的审计证据。控制测试控制测试：评价：评价控制设计有效性并确定控制设计有效性并确定控制是否控制是否得到有效执行得到有效执行。n穿行测试、穿行测试、控制测试区别控制测试区别信息系统审计方法与操作指引IT一般控制审计程序方

31、法论2022-4-2921n穿行测试穿行测试样本量样本量穿行穿行测试是随机选择审计期间的一个样本进行测试。测试是随机选择审计期间的一个样本进行测试。n控制测试样本量控制测试样本量在制定用于执行控制测试的测试策略时，应考虑这样一个事实：执行足够多程序是在制定用于执行控制测试的测试策略时，应考虑这样一个事实：执行足够多程序是为了作出控制有效运行结论。下表汇总了我们在下列情况下针对某个特定控制执行为了作出控制有效运行结论。下表汇总了我们在下列情况下针对某个特定控制执行控制测试的基本测试范围指引：控制测试的基本测试范围指引：控制性质及执行频率控制性质及执行频率全面控制测试全面控制测试 - - 要测试的

32、最少样要测试的最少样本数量（控制测试范围）本数量（控制测试范围）每天执行许多次的手工控制每天执行许多次的手工控制2525每天执行一次的手工控制每天执行一次的手工控制* *2525每周执行一次的手工控制每周执行一次的手工控制5 5每月执行一次的手工控制每月执行一次的手工控制2 2每季执行一次的手工控制每季执行一次的手工控制2 2每年执行一次的手工控制每年执行一次的手工控制1 1自动控制自动控制1 1（区别不同交易类型）（区别不同交易类型）* 某些控制可能是频繁执行的，但不是每天都执行。对于这种控制，应使用某些控制可能是频繁执行的，但不是每天都执行。对于这种控制，应使用上面指引上面指引推算样本量。

33、通常，对于在一年推算样本量。通常，对于在一年中出现中出现 50 50 至至 250 250 次的控制，使用次的控制，使用上面表格上面表格推算的最低样本量大约是发生数量的推算的最低样本量大约是发生数量的10%10%。信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-2922n测试模板测试模板根据对被审计单位信息系统的初步了解，设计出相应的测试模板，包括风险点、控根据对被审计单位信息系统的初步了解，设计出相应的测试模板，包括风险点、控制点、测试范围、测试时间、测试步骤等信息。制点、测试范围、测试时间、测试步骤等信息。信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-

34、2923n缺陷报告、整改计划缺陷报告、整改计划对所测试的控制没有按照设定方式运行情况进行总结归纳；同时找出原因和影响范对所测试的控制没有按照设定方式运行情况进行总结归纳；同时找出原因和影响范围，并对其提出有针对性的整改意见。围，并对其提出有针对性的整改意见。信息系统审计方法与操作指引IT一般控制审计程序方法论2022-4-2924IT一般控制与应用控制关系一般控制与应用控制关系人工控制人工控制自动控制自动控制（纯）人工控制（纯）人工控制应用程序控制应用程序控制人工依赖人工依赖IT控制控制IT一般控制一般控制人工人工检查性检查性控制控制人工人工预防性预防性控制控制信息系统审计方法与操作指引IT应

35、用控制审计方法论2022-4-2925nIT应用控制概念应用控制概念应用控制是在应用系统中由程序执行的控制，用以替代很多由人工完成的基础应用控制是在应用系统中由程序执行的控制，用以替代很多由人工完成的基础性检查工作。由于应用控制普遍适用于各种交易处理，所以应用控制是否有效性检查工作。由于应用控制普遍适用于各种交易处理，所以应用控制是否有效对于财务报表完整性和正确性以及公司内部控制有效性有着极为重要的影响。对于财务报表完整性和正确性以及公司内部控制有效性有着极为重要的影响。nIT应用控制类型应用控制类型信息系统审计方法与操作指引2022-4-2926IT应用控制审计方法论了解了解核心核心应用系统

36、相应用系统相关的关的重要重要业业务流程务流程确定业确定业务流程与务流程与应用系统应用系统的对应关的对应关系系根据业根据业务流程描务流程描述，识别述，识别风险与控风险与控制制执行穿行执行穿行测试测试/ /控制控制测试测试 根据测根据测试结果，试结果，进行控制进行控制评价评价 填写缺填写缺陷报告，陷报告，制定整改制定整改计划计划流程描述流程描述/ /流程图流程图应用控制层面评估应用控制层面评估系统规划图系统规划图风险控制风险控制矩阵矩阵穿行、控制测试报告穿行、控制测试报告缺陷报告、缺陷报告、整改计划整改计划使用既定的使用既定的流程描述方流程描述方法表示被审法表示被审计机构某个计机构某个具体业务处具

37、体业务处理过程。理过程。 描述各个系统之描述各个系统之间信息传递关系间信息传递关系和系统与系统相和系统与系统相关接口。关接口。对已选择风险点所针对的每个控制对已选择风险点所针对的每个控制进行测试，并得出结论。测试结论进行测试，并得出结论。测试结论所依赖的审计证据一定要真实可靠。所依赖的审计证据一定要真实可靠。对所测试的控制对所测试的控制并未按照针对该并未按照针对该交易或控制运行交易或控制运行发生而设计的方发生而设计的方式运行进行总结式运行进行总结归纳；同时找出归纳；同时找出原因和影响范围，原因和影响范围，并对其提出整改并对其提出整改意见。意见。风险控制矩阵是风险控制矩阵是对风险所导致负对风险所

38、导致负面影响的量化，面影响的量化，从严重性、发生从严重性、发生概率和所涉及范概率和所涉及范围等方面进行描围等方面进行描述，使得对风险述，使得对风险的刻画更为有效的刻画更为有效和清晰。和清晰。信息系统审计方法与操作指引2022-4-2927IT应用控制审计方法论风险控制矩阵也是流程层面控制矩阵的一部分，其中包括人工控制、系统自动控风险控制矩阵也是流程层面控制矩阵的一部分，其中包括人工控制、系统自动控制和人工依赖制和人工依赖ITIT系统控制三类控制。样例如下：系统控制三类控制。样例如下：存在存在/发生、完整性、权发生、完整性、权利和义务、计价和分摊、利和义务、计价和分摊、准确性、截止、分类准确性、

39、截止、分类信息系统审计方法与操作指引28二、信息系统审计准则与操作指引2022-4-29信息系统审计方法与操作指引信息系统审计准则与操作指引 2022-4-2929行业内控指引行业内控指引商业银行商业银行内部控制指引内部控制指引证券公司内部控制指引证券公司内部控制指引寿险公司内部控制评价办法寿险公司内部控制评价办法上市公司内控指引上市公司内控指引上交所内控指引上交所内控指引深交所内控指引深交所内控指引证券交易所证券交易所行业监管机构行业监管机构企业内部控制基本规范企业内部控制基本规范财政部财政部证监会证监会审计署审计署银监会银监会保监会保监会企业内部控制评价指引企业内部控制审计指引证券交易所、

40、行业监管机构均出台了一系列内部控证券交易所、行业监管机构均出台了一系列内部控制指引，为企业建立和实施内部控制制度提供一些制指引，为企业建立和实施内部控制制度提供一些行业性指引。行业性指引。中国注册会计师审计准则第中国注册会计师审计准则第1211号号了解被审了解被审计单位及其环境并评估重大错报风险计单位及其环境并评估重大错报风险要求注册会要求注册会计师了解计师了解信息技术对内部控制产生的特定风险信息技术对内部控制产生的特定风险，并，并且应当且应当了解与信息处理有关的控制活动，包括信息了解与信息处理有关的控制活动，包括信息技术一般控制和应用控制。技术一般控制和应用控制。财政部牵头五部委出台财政部牵

41、头五部委出台企业内部控制基本规范企业内部控制基本规范，为企业提供了完整和公认的内部控制框架，同时，为企业提供了完整和公认的内部控制框架，同时以法规的形式要求上市公司对本公司内部控制的有以法规的形式要求上市公司对本公司内部控制的有效性进行自我评价。效性进行自我评价。企业内部控制评价指引企业内部控制评价指引具体规范了内控评价的具体规范了内控评价的内容和标准，评价的程序和方法，内控缺陷的认定内容和标准，评价的程序和方法，内控缺陷的认定，以及规定了评价报告的相关内容。，以及规定了评价报告的相关内容。企业内部控制应用指引企业内部控制应用指引在每个具体流程中规定在每个具体流程中规定了该指引的目的，相关定义

42、，该流程的主要风险，了该指引的目的，相关定义，该流程的主要风险，岗位分工及授权批准，及主要流程的控制程序。岗位分工及授权批准，及主要流程的控制程序。企业内部控制审计指引企业内部控制审计指引为指导注册会计师执行为指导注册会计师执行内部控制审计业务的具体指引。内部控制审计业务的具体指引。企业内部控制应用指引信息系统审计方法与操作指引2022-4-2930企业内部控制基本规范- 信息系统控制企业内部控制基本规范企业内部控制基本规范第五章中第四十一条对第五章中第四十一条对信息系统内部控制进行了要求：信息系统内部控制进行了要求：“企业应当利用信息技术促进信息的集成与共享，企业应当利用信息技术促进信息的集

43、成与共享，充分发挥信息技术在信息与沟通中的作用。企业应充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全运行。控制，保证信息系统安全运行。”信息系统审计方法与操作指引2022-4-2931企业内部控制评价指引- 信息系统控制信息系统审计方法与操作指引32企业内部控制应用指引第18号-信息系统控制内容包括:信息系统开发（5条） 信息系统运行与维护（6条） 2022-4-29信息系统审计方法与操作指引33中国

44、注册会计师审计准则第1211号-了解被审计单位及其环境并评估重大错报风险了解被审计单位及其环境并评估重大错报风险第五十九条第五十九条 注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险：注册会计师应当从下列方面了解信息技术对内部控制产生的特定风险：（一）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；一）系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存；（二）在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经（二）在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，

45、或不正确地记录了交易；授权或不存在的交易，或不正确地记录了交易；（三）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；（三）信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工；（四）未经授权改变主文档的数据；（四）未经授权改变主文档的数据；（五）未经授权改变系统或程序；（五）未经授权改变系统或程序；（六）未能对系统或程序作出必要的修改；（六）未能对系统或程序作出必要的修改；（七）不恰当的人为干预；（七）不恰当的人为干预；（八）数据丢失的风险或不能访问所需要的数据。（八）数据丢失的风险或不能访问所需要的数据。第八十六条第八十六条 注册会

46、计师应当了解与信息处理有关控制活动，包括信息技术一般控制和应用控制。注册会计师应当了解与信息处理有关控制活动，包括信息技术一般控制和应用控制。信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括数据中心和网络，支持应用控制作用的有效发挥，通常包括数据中心和网络运行控制，系统软件的购置、修改及维护控制，接触或访问权限控制，应用系统的购置、开发及运行控制，系统软件的购置、修改及维护控

47、制，接触或访问权限控制，应用系统的购置、开发及维护控制。维护控制。信息技术应用控制是指主要在业务流程层次运行人工或自动化程序，与用于生成、记录、处理、信息技术应用控制是指主要在业务流程层次运行人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据程序相关，通常包括检查数据计算准确性，审核账户和试算平衡表，设报告交易或其他财务数据程序相关，通常包括检查数据计算准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。2022-4-29信息系统审计方法与操作指引信息系统审计准则与操作指引 2

48、022-4-2934n信息系统审计与控制协会（信息系统审计与控制协会（ISACA）制定并颁布了）制定并颁布了11大大类审计准则、类审计准则、29条审计指引和条审计指引和9条审计程序。条审计程序。审计指引审计指引审计审计准则准则审计程序审计程序审计准则：审计准则：IT审计准则是整个审计准则审计准则是整个审计准则体系总纲体系总纲，是是ITIT审计师的资格条件、执业行为的基本规范，是审计师的资格条件、执业行为的基本规范，是制定审计指南和审计程序的基础依据。制定审计指南和审计程序的基础依据。审计指引：审计指引是依据审计准则制定的，是审审计指引：审计指引是依据审计准则制定的，是审计准则的具体化，它详细规

49、定了计准则的具体化，它详细规定了ITIT审计师执行各项审计师执行各项审计业务、出具审计报告的具体指引，为审计师在审计业务、出具审计报告的具体指引，为审计师在执行审计业务中如何遵守审计准则提供指导。执行审计业务中如何遵守审计准则提供指导。审计程序：审计程序：IT审计程序是依据审计准则和审计指引审计程序是依据审计准则和审计指引制定的。它为审计师提供了一般审计业务的程序和制定的。它为审计师提供了一般审计业务的程序和步骤，是遵守审计准则和审计指引的一些通用审计步骤，是遵守审计准则和审计指引的一些通用审计程序。审计程序为审计师提供了很好的工作范例。程序。审计程序为审计师提供了很好的工作范例。IT审计准则

50、框架审计准则框架信息系统审计方法与操作指引信息系统审计准则与操作指引 2022-4-2935nISACA信息系统审计准则信息系统审计准则审计审计章程章程独立性独立性职业道德和标准职业道德和标准专业胜任能力专业胜任能力审计计划审计计划实施审计工作实施审计工作报告报告后续审计后续审计违法和违规行为违法和违规行为ITIT治理治理在审计计划中使用风险在审计计划中使用风险评估方法评估方法信息系统审计方法与操作指引信息系统审计准则与操作指引 2022-4-2936nISACA信息系统审计准则（续）信息系统审计准则（续）审计审计章程章程审计审计章程中载明章程中载明ITIT审计目的审计目的、责任、权限和、责任

51、、权限和职责职责。独立性独立性独立性是指独立性是指ITIT审计活动独立与他们所审查的活动之外，可以理解为审计部门审计活动独立与他们所审查的活动之外，可以理解为审计部门的独立性和审计人员独立性。的独立性和审计人员独立性。ITIT审计审计部门是否获得独立性应考虑因素部门是否获得独立性应考虑因素ITIT审计审计部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层批准部门设置是否在经董事会、审计委员会、相关治理机构和高级管理层批准或认可的内审章程中做出规定或认可的内审章程中做出规定ITIT审计审计部门向谁负责和报告工作部门向谁负责和报告工作首席执行官能否与董事会、审计委员会或其他相关治理机构直

52、接交流和沟通信息，首席执行官能否与董事会、审计委员会或其他相关治理机构直接交流和沟通信息，能否参加有关审计、财务报告、机构治理和控制监控的监督职责会议能否参加有关审计、财务报告、机构治理和控制监控的监督职责会议首席审计执行官的任免首席审计执行官的任免由由何种层次的领导层决定何种层次的领导层决定审计委员会由何种人员组成审计委员会由何种人员组成职业道德和标准职业道德和标准职业道德和准则职业道德和准则职业审慎态度职业审慎态度信息系统审计方法与操作指引信息系统审计准则与操作指引 2022-4-2937nISACA信息系统审计准则（续）信息系统审计准则（续）专业胜任能力专业胜任能力审计是一门边缘性学科，

53、跨越传统审计理论、信息系统管理理论、行为科学审计是一门边缘性学科，跨越传统审计理论、信息系统管理理论、行为科学理论和计算机科学四个科学领域。理论和计算机科学四个科学领域。出色的口头和书面表达能出色的口头和书面表达能力，以便清楚有效地表达力，以便清楚有效地表达审计目的、审计评价工作、审计目的、审计评价工作、审计结论和审计建议审计结论和审计建议拥有良好的人际交流技能拥有良好的人际交流技能 接受后续专业教育，接受后续专业教育，以保持专业技以保持专业技术适应性术适应性其他其他必备技能，包括必备技能，包括对组织所在对组织所在行行业深入业深入了解，实施和改进财务和运了解，实施和改进财务和运营方面所涉及流程的知识和营方面所涉及流程的知识和技能技能审计师知识审计师知识、技能和专业技能和专业胜任能力胜任能力熟练应用内部审计实务标准、程序熟练应用内部审计实务标准、程序和技术，理解管理原则，深入领会和技术，理解管理原则，深入领会会计学、经济学、商法、