内部控制手册调研工作培训资料-毕马威

1、审计 税务 咨询中国移动（香港）有限公司内部控制手册调研工作培训资料毕马威华振会计师事务所风险咨询服务部0信息技术控制介绍主要内容知识财产限制本所特别为中国移动（香港）有限公司编撰本文件，当中载有毕马威的机密或专有资料。向任何人士透露这些资料都可能会使其处于竞争优势。除衡量本所的工作外，本文件不得用于其它用途。未经本所书面同意，不得披露和引述本文件的全部和部分内容。上述限制适用于本文件内的一切资料。1为什么信息技术在萨班斯法案 中占重要地位审计准则 #50 审计准则 #40 “ 需要测试的控制包括其它控制所依赖的信息技术整体控制” “ 程序开发，程序变更，系统运行，程序和数据访问等方面的控制保

2、证了业务处理的有效进行” 审计准则 #75 “AU sec. 319 即 Consideration of Internal Control in a Financial Statement Audit的16段至20段, 30 段至32段, 77段至79段, 讨论了信息技术对财务报告的内控作用”审计准则 #85审计准则 #85 “ 不足的预防型控制可由有效的发现型控制弥补”“ 对财务报告有效的内部控制包括事前预防型控制和事后发现型控制的结合，审计师通常将这两种控制结合在一起测试” 审计准则 #98 “.审计师测试控制的时间段随控制的性质和发生频率而改变” 审计准则 #43-45 “公司应对与会

3、计报表认定相关的会计科目和披露设计相应的控制。记录该类控制设计的文档是管理层对财务报告内控有效性评估的证明记录控制设计的文档不充分为公司财务报告内控的缺陷”上市公司会计监管委员会第2号审计准则2为什么信息技术在萨班斯法案 中占重要地位上市公司会计监管委员会第2号审计准则审计准则 #47, 79 “追踪与财务报告相关的信息系统的交易数据” 审计准则 #105“ 在信息技术整体控制有效的前提下，仅测试一个自动的控制应可以充分保证控制的有效执行” PCAOB 问题与解答 (11/04)#A-35 审计准则 A-38“ 审计师不能使用管理层或其它人员对期末财务报告流程控制的测试，包括将交易总金额录入总

4、帐系统的流程的控制，与财务报告认定相关的重大会计科目和披露的开始、记录、处理和报告”“无效的信息技术整体控制的设计或执行也是不足之处 。 应用程序控制可以是信息技术执行的自动控制程序（举例：计算、入账、生成报表、输入及控制程序）。应用程序控制也可以是有赖于信息技术的手工控制。当信息技术被用于开立，授权，记录，处理，报告流程或其它财务报告中的财务数据时，系统和程序可能包括与重大会计科目或披露认定相关的自动的应用程序控制” 审计准则 #77“ 审计师应评估信息技术在期末财务报告生成流程中的参与程度” 信息技术是萨班斯法案整体要求的不可缺少的一部分3什么是信息技术控制信息技术控制主要指对信息系统的整

5、体控制及对业务系统中特定风险的基于信息系统的控制措施：公司层面信息技术控制信息技术整体控制应用系统控制4什么是信息技术控制（续）公司层面信息系统控制公司层面信息系统控制相关问题，例如信息技术组织结构信息技术计划、战略规划信息技术整体控制信息技术整体控制，例如对程序及数据的访问控制、程序变更控制、程序开发控制、系统运行控制及最终用户运算应用系统控制基于应用系统的控制，例如话单采集完整性检查计费系统出账时自动平衡性检查信息技术相关的手工控制信息技术相关的手工控制，例如对自动错误报告的跟进调查对系统产生的帐龄报告的分析5什么是信息技术控制（续）信息技术整体控制应用系统控制业务流程财务报告重要会计科目

6、相关重要业务流程相关重要信息系统包括财务报告生成过程中使用的各系统不能因系统规模小或复杂程度低而忽略系统可能不是所有的系统都在信息技术部的统一控制下必须与业务流程层面的信息技术控制一同考虑控制的有效性现有的组织形式/本地实际情况可能导致一些要求不能达到6信息技术控制的总体架构确定所有范围内的流程确定所有范围内的关键系统范围确定及记录关键流程的自动化控制所有范围内应用系统的信息技术整体控制，覆盖应用系统，操作系统、数据库、网络BOSS系统智能网系统MISC系统MIS系统终端用户开发的应用程序其它系统访问、编辑报告、系统配置、各个程序接口、分工等信息技术控制系统地 体现在三个方面: 整体控制环境中

7、信息技术的考虑 / 业务流程层面的信息技术控制 / 信息技术整体控制收入和计费流程营运支出资本性支出流程交易通过一个或多个系统考虑相关财务报表认定：C:完整性 E: 存在和发生 V:价值 和分摊 O:权利和义务 P：表述及披露对程序和数据的访问控制、程序变更、程序开发、系统运行7目前纳入范围内的应用系统 BOSS系统 MIS 财务系统 OA 系统 智能网系统 WAP系统网络和基础设施 MISC 系统 经营分析系统 彩铃系统 久其系统 交换机8信息技术整体控制信息系统整体控制并不针对某一特定应用系统，而强调的是信息系统所处的整体信息技术环境，是其他基于信息系统的应用控制措施的基础。其主要包括：对

8、程序和数据的访问控制程序变更管理程序开发系统运行最终用户计算9信息技术整体控制子流程对程序及数据的访问控制安全组织架构信息安全政策系统密码政策用户帐号申请变更删除管理超级用户管理用户系统权限分配用户权限审核网络安全病毒防范机房物理安全程序变更管理程序变更申请审批变更测试变更移植到生产环境管理配置变更管理日常变更管理紧急变更管理10信息技术整体控制子流程 （续）程序开发程序开发方法论项目审批项目管理系统测试和用户测试上线审批管理数据移植系统运行系统日常运作监控备份和恢复系统作业管理故障及问题管理最终用户计算最终用户计算时使用的程序和电子表格的管理，包括逻辑安全、程序变更、数据备份和操作复核11信

9、息技术整体控制控制目标对程序和数据的访问控制对于与财务报告相关的信息，公司应制定相关的安全管理办法并使员工意识到公司对信息安全重要性的重视。对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。建立相关流程以确保用户添加、修改、删除都经过管理层授权，及相关操作的准确性和及时性。确保定期对系统中的用户的访问权限进行审阅，以减少非法或不适当的对系统或数据进行访问而带来的风险。确保在关键流程中存在适当的职权分离。12信息技术整体控制控制目标（续）程序变更管理确保对财务报告有影响的系统或应用程序的任何变更都经过适当得

10、管理层的授权。确保在财务报表生成过程中涉及到的应用程序/系统的任何变更，在发布到生产环境运行之前经过了测试，校验和批准。确保财务报表生成过程中涉及到的系统和应用程序在迁移到生产环境过程中,没有非法的访问以避免对系统及数据的非法修改。确保在对生成财务报表产生涉及到的应用程序的变更被迁移至生产环境后，对应用系统文件/参数没有未经授权的变更。对系统、应用程序和基础架构配置的紧急变更，存在相应的控制管理流程。13信息技术整体控制控制目标（续）程序开发管理确保公司管理层有充分的控制保证新的应用系统及硬件基础架构的开发和采购是经过适当级别的信息技术和公司管理层的审批。确保在财务报告的过程中涉及到的系统有适

11、当的控制,以保证有合适的程序开发方法,并在开发和实施过程中遵守了相应的方法。确保在生成财务报表流程中涉及的系统/应用程序在开发或实施进行了充分的测试，并且该测试结果经过信息技术部门、用户和管理层的批准。确保系统的数据迁移过程中有足够的控制保证数据的完整性。14信息技术整体控制控制目标（续）系统运行确保管理层实施了适当的控制保证与财务报告相关的应用程序和数据的系统处理和接口的准确性，完整性和及时性。确保管理层实施了适当的备份和恢复程序保证对财务报告必要的数据，交易和程序能够在需要时进行恢复。对在财务报表生过程中使用的系统/数据进行定期的恢复测试，以保证备份数据的质量存在有效的程序。确保对财务报表

12、生成过程中涉及到的应用程序和系统的备份介质存在适当的控制，包括只有经授权的人才可以访问磁带和磁带存储库。确保管理层定义和实施了问题管理流程来及时记录、分析、解决在生成财务报表过程中涉及到的系统和应用程序中的问题和错误。15信息技术整体控制控制目标（续）最终用户计算管理层已经制定了相关政策和流程来确保最终用户计算坏境下已施行了信息技术整体控制。16信息技术整体控制举例分析业务流程子流程流程目标风险控制点描述业务流程名称子流程名称流程目标流程层面影响流程目标实现的风险内部控制点的描述信息技术整体控制对程序及数据的访问控制 对公司信息技术资源的物理访问及逻辑访问已建立起通过用户身份的识别，认证及授权

13、的管理机制，以降低由于对系统及数据的未经授权的访问所带来的风险。缺乏必要的物理访问及逻辑访问管理机制，导致对信息资源的未经授权的访问, 非法修改系统数据。信息技术部门对系统访问密码制定密码政策及规则，并根据对密码政策及规则在系统中进行相应设置，以避免用户使用弱密码。 17信息技术整体控制举例分析（续）业务流程子流程流程目标风险控制点描述业务流程名称子流程名称流程目标流程层面影响流程目标实现的风险内部控制点的描述信息技术整体控制程序变更管理确保在财务报表生成过程中涉及到的应用程序/系统的任何变更，在发布到生产环境运行之前经过了测试，校验和批准。对财务报告有影响的系统或应用程序的变更，在发布到生产

14、环境运行之前未经测试，变更后的程序功能不能满足用户需求，缺陷未被及时发现。变更程序开发完成后由信息技术部门及业务部门制定测试文档（包含测试用例），由信息技术部门和业务部门共同进行测试，并填写测试结果及签字确认。如未通过规定的测试，变更程序不得被移植入生产环境。18信息技术整体控制举例分析（续）业务流程子流程流程目标风险控制点描述业务流程名称子流程名称流程目标流程层面影响流程目标实现的风险内部控制点的描述信息技术整体控制程序开发确保在生成财务报表流程中涉及的系统/应用程序在开发或实施进行了充分的测试，并且该测试结果经过信息技术部门、用户和管理层的批准。开发的程序未经测试就投入使用，程序功能上的缺

15、陷未能及时发现，导致系统运行的不稳定。公司采用的系统开发方法论规定了系统上线前必须经过充分测试，包括系统测试和用户接收测试，测试完成后，由相关的信息技术人员和用户对测试结果进行签字确认，测试文档由项目管理部门进行归档保存。19信息技术整体控制举例分析（续）业务流程子流程流程目标风险控制点描述业务流程名称子流程名称流程目标流程层面影响流程目标实现的风险内部控制点的描述信息技术整体控制系统运行对在财务报表生过程中使用的系统/数据进行定期的恢复测试，以保证备份数据的质量。备份的数据未定期做恢复性测试，备份介质的质量无法保证，导致备份数据不可恢复。备份策略中明确规定对本地及异地磁带恢复性测试的要求和步

16、骤，一般对于重要业务数据每季进行一次恢复性测试，测试完成后应由测试人员对测试结果进行记录。信息技术整体控制终端用户计算管理层已经制定了相关政策和流程来确保最终用户计算坏境下已施行了信息技术整体控制。对影响财务报表的重要电子表格和其他用户自编程序，及其处理的系统数据作经授权的访问和非法修改。各部门应对影响财务报表的重要电子表格的公式、格式等预设模版设定密码保护防止非授权人员进行更改。密码应由使用者以外的授权人员掌握，并负责对电子表格的维护更新进行监督。电子表格模版的维护更新必须经过部门主管的书面审批。20应用系统控制应用系统控制主要指重要业务流程中基于信息系统的控制措施。一般涵盖对某一特定系统功

17、能的访问权限，对数据输入，处理及输出的控制等。应用系统控制之有别于信息技术整体控制，在于其多针对某一特定业务流程/子流程，强调特定业务风险或财务报表风险。21应用系统控制类型针对各具体业务流程，应用系统控制可能包括：授权及批准系统/功能配置配置帐项映射控制系统异常情况报告和预警报告系统访问权限职责分工22应用系统控制举例分析-收入和计费业务流程应用系统控制类别子流程流程目标风险控制点描述授权及批准新业务与产品定价业务流程资费标准被正确、及时和有效的执行资费标准在系统中的设置不及时、不准确。服务/内容提供商所维护的资费标准，必须由具有相关权限的市场经营部门或数据业务管理部门人员在相关的业务管理平

18、台上进行审批。 系统访问权限与电信营运商结算业务流程确保网间结算收入和支出计算结果的准确性，同时确保相关财务处理的真实性、准确性、完整性和及时性网间结算收入和支出的计算不准确，相关财务处理不真实、不准确、不完整和不及时。只有计费账务部门的授权人员具有网间结算系统操作权限，在结算系统中进行网间结算报表的生成操作。系统设置计费及收入流程确保传递到MIS财务系统中的财务数据的真实性、准确性、完整性和及时性传递到MIS财务系统中的财务数据的不真实,不准确、不完整性和不及时在经营分析系统中通过系统设置禁止任何人对财务数据进行修改。23应用系统控制举例分析-收入和计费业务流程（续）应用系统控制类别子流程流

19、程目标风险控制点描述异常情况报告和预警报告计费及收入流程确保话单批价及资费计算准确性、及时性话单数据、批价和计费不准确、不及时计费系统自动对计费资源信息、产品信息、用户资料等无法匹配的服务使用记录或服务使用记录错误进行单独处理和记录。职责分工收款和应收账款管理确保收取现金被安全地保存收取的现金未得到安全保护营业员不能保存尾款；尾款清点的金额记录在交接本上由营业员与值班长/现金保管人员双方签字交接后存入保险柜/金库；由授权人员保管保险柜/金库钥匙。配置帐项映射控制系统业务受理业务流程确保业务及时、准确的开通、变更或取消。业务办理及系统执行不及时和不准确。短信内容与受理的业务类型通过BOSS系统或

20、业务管理平台中的对照表建立相互映射关系。发送的短信内容如不符合映射关系，相关业务不会被受理。 24 针对前一段集中记录工作结果，目前发现的信息系统控制缺失包括以下类型：内部审阅和监控程序的缺失 政策和流程的缺失信息技术系统缺陷信息技术控制缺陷分析25信息技术整体控制缺陷举例涉及的业务单元（总部或省公司）子流程缺陷类型控制缺陷建议总部和省公司 程序及数据访问内部审阅和监控程序的缺失在公司层面缺乏独立于信息系统运行部门的信息安全负责人，信息技术部门内部的安全管理员同时负责系统运行维护等不相容职责，缺乏职责分工。 在公司层面应考虑设立独立于信息系统运行部门的信息安全负责人，负责对各信息部门政策的审阅及各信息部门安全政策执行情况的监督。总部和省公司 程序及数据访问政策和流程的缺失 缺乏对机房门禁系统日志的定期审阅机制。安全管理员每月应对机房门禁日志/机房进出记录进行审阅，检查是否有异常进出情况。26信息技术整体控制缺陷举例（续）涉及