信息系统控制的测试

1、信息系统控制的测试,议题,信息系统与内部控制信息系统控制的内容信息技术一般控制自动化应用控制测试与评价信息系统内部控制,2,议题,信息系统与内部控制,3,内部控制和财务报表认定的关系,4,信息系统与内部控制,目前企业的信息化程度越来越高，企业的业务、财务流程对信息系统的依赖日益加深，众多企业实施了ERP系统，由于ERP系统的集成度较高，因此无论在ERP的实施阶段还是在后期系统运行维护阶段均为企业的信息化管理带来了新的挑战。信息技术已成为支持公司业务、财务、管理的重要基础构架，提供内部、外部、第三方等用户对公司信息的访问。,5,信息系统与内部控制（续）,6,信息系统与内部控制（续）,如果缺乏适当

2、的信息系统内部控制，公司将面临业务、财务等方面的风险，例如：舞弊风险：信息化加快了公司的效率，提供方便的业务处理同时必须注意到在信息化的公司环境中，舞弊也因为信息系统而变得更加容易如果缺乏适当的IT控制，例如没有严格责任分离或者不适当的用户授权，都将增加舞弊现象存在的可能,7,信息系统与内部控制（续）,未授权数据修改的风险：公司最重要的资产之一就是信息和数据如果没有适当的IT内部控制，例如对数据修改的严格管理或对数据库访问用户不合适授权、没有使用入侵检测系统等，业务、财务、客户数据信息则有可能被未授权的用户或者入侵者修改、删除、复制，从而给公司带来巨大的损失,8,信息系统与内部控制（续）,根据

3、一家国际机构的数据统计，自2004年至2008年6月30日，在内控无效的美国上市公司中，大约17%25%的公司在信息系统内部控制方面存在重大缺陷。导致内控无效的信息系统方面重大控制缺陷主要有以下几种类型：程序控制上的缺陷软件开发/实施职责分离用户对系统的访问授权对数据访问的监管和控制,9,议题,信息系统控制的内容,10,信息系统控制的内容,11,信息技术一般控制与自动化应用控制之间的关系,应用控制是设计在计算机应用系统中的有助于达到信息处理目标的控制，例如：许多应用系统中根据业务的需求（“业务规则”）设置了很多编辑检查来帮助确保录入数据的准确性，编辑检查可能包括格式检查（如：日期格式或数字格式

4、），存在性检查（如：客户编码存在于客户主数据文档之中），或合理性检查（如：最大支付金额）,12,信息技术一般控制与自动化应用控制之间的关系,如果在录入数据时某一项“业务规则”未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据包括在系统生成的例外报告之中，留待后续跟进和处理如果企业依赖带有关键编辑检查功能的应用系统支持业务，那这些应用控制的有效性必须建立在信息系统一般控制的基础之上,13,议题,信息技术一般控制,14,信息技术一般控制,15,信息技术一般控制（续）,16,信息技术一般控制（续）,如果计算机环境发现了信息技术一般控制的缺陷，则会影响系统整体的可信程度例如：程序变更控制

5、缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，导致系统接受不准确的录入数据与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作,17,信息技术一般控制所包括的范围,信息系统的开发和实施：开发与实施活动的管理、项目发起、分析与设计、自开发系统的建设与软件包的选择、测试和质量保证、数据转换、上线、文档与培训等信息系统的变更和维护：维护活动的管理、规格说明、授权和跟踪变更申请、系统编程、测试和质量保证、迁移到生产环境的授权、文档和培训等,18,信息技术一般控制所包括的范围,信息系统的操作和运行：

6、对系统操作的总体控制、工作计划和批处理、备份管理、管理数据中心环境、从操作失败中恢复、用户帮助部门的功能、服务水平协议等程序和数据的接触安全：安全组织和管理、安全政策和流程、应用系统的安全管理、数据安全、操作系统安全、内部网络安全、边界网络安全、物理安全等,19,信息技术一般控制：信息系统的开发和实施,目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标，包括考虑：程序开发活动的全面管理项目启动控制应当确保项目的计划、资源配置和启动可以支持实现管理层的应用控制目标,具体控制领域包括：用户需求测试和质量确保数据迁移程序实施记录和培训职责分离,20,信息技术一般控制：信息系统的变更和维护,

7、目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标,具体控制领域包括：对维护活动的管理对变更请求的规范、授权与跟踪对程序变更实施过程的控制测试和质量确保程序实施记录和培训职责分离,21,信息技术一般控制：信息系统的操作和运行,目标是确保生产系统根据管理层的控制目标、完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性,具体控制领域包括：计算机运行活动的总体管理批处理实时处理备份和问题管理灾难恢复重要电子表格,22,信息技术一般控制：程序和数据的接触安全,目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的,具

8、体控制领域包括：安全活动管理安全管理数据安全操作系统安全网络安全物理安全,23,信息技术一般控制（续）,信息技术一般控制举例：1.1系统开发和重大变更流程:控制点：用户需求文档以及其他系统设计文档应该经过用户所在部门管理层审批并妥善保存。变更在被移植到生产环境前被测试。测试的级别应当和变更的大小相当。系统的开发和测试环境必须与生产环境分离；相冲突的职责被适当分离。制定并保存详细的数据迁移计划，计划应涵盖具体的数据迁移步骤。数据迁移的过程应当在原始位置和目的地之间进行测试，确保数据的完整，准确和有效。对于外包的IT项目，公司的项目管理组应该对服务商的运作以及控制的有效性进行检查。管理层应在系统上

9、线前对其进行检查和审批。,24,信息技术一般控制举例,系统日常变更流程控制点：一般的程序变更请求需要由用户部门管理层审批并存档保留在移植到生产环境前，应当对程序变更进行测试。测试的级别与变更的大小相当在程序变更过程中对相冲突的职责实施有效的分离程序变更上线之前需要经过管理层的检查和审批开发和测试环境在逻辑或物理上与生产环境分离,25,信息技术一般控制举例,用户账号管理用户创建/修改/删除的授权审批控制点：重要系统和应用程序中用户帐号的创建/修改必须由管理部门进行审批关于删除离职或调职用户的权限，被评估机构确立了正式的流程,26,信息技术一般控制举例,用户账号管理权限定期检查控制点：用户部门管理

10、层应该定期检查系统中用户帐号和授权，并根据检查结果进行帐号清理,27,信息技术一般控制举例,备份管理-备份检查控制点：对重要数据（包括支持重要财务信息和应用程序的数据）进行适当的备份，并及时检查备份完成情况问题及应急事件处理控制点：信息系统运行问题或事件应该及时进行识别、解决、审核和分析,28,议题,自动化应用控制,29,自动化应用控制,应用系统是提供业务功能的软件，从而用户可以：与电脑之间产生互动输入和取出数据执行业务处理功能等应用系统能够支持业务活动，并且允许用户更加有效率地履行他们的职责有些应用系统可以被用于访问和修改业务及财务信息，因此，保护对于这些应用程序的访问权限至关重要，从而降低

11、任何与对于关键业务与财务相关数据拥有不合理的访问权限相关的风险,30,自动化应用控制类型的划分,31,应用程序控制类型：实时校验和编辑检查,也称为系统录入控制，此类控制主要是系统自动控制。这类控制点的主要作用是确保录入到系统中的数据的准确性，在进行业务录入时系统会对重要字段的合理性、合规性和准确性进行检查，以防止一些非法的或不真实的数据被系统接受，造成系统数据的不真实和大量垃圾数据的产生。举例：会计科目维护时系统存在录入控制，对科目代码进行校验，限制过长或过短的科目代码。系统设定了录入信息模板，只能按照模板规定的格式录入信息。,32,应用程序控制类型：登陆权限/岗位分离,应用系统中用户的权限设

12、置是否合理，是否按照职责需要进行授权，是否考虑到岗位分离的情况。举例：会计凭证在ERP系统中的录入，一般此项操作需要一人制单，一人复核及过账。,33,应用程序控制类型：自动计算,系统根据设定的业务逻辑进行自动计算，此类控制多为系统自动控制。此类控制一般在程序开发时已经嵌入到系统中举例：ERP系统正确计算物料的当月采购平均单价。ERP系统每月将当月所有入库单自动汇总成本计算单_汇总显示。,34,应用程序控制类型：配置控制,主要关注的是系统中维护的重要参数是否准确，这些参数对于系统的运行和业务处理的正确性起着非常重要的作用，此类控制多属于人工依赖系统控制举例：财务管理部会计进行采购发票勾稽并做外购

13、入库暂估冲回后，K/3系统自动将对应的暂估应付账款进行冲回。系统能根据预先的设置根据科目余额表余额生成资产负债表和利润表。,35,应用程序控制类型自动系统接口/对账例行程序,主要关注不同应用系统之间传输数据的准确性和完整性，一般属于系统自动控制举例：仓管员根据K/3系统销售出库单的出库或退库指令在仓库系统进行出库或退库操作，确认信息由仓库系统上传到K/3系统。,36,自动化应用控制需要考虑的因素,应用系统的复杂程度复杂的计算需求或业务规则跨国或复杂的信息系统架构应用技术的采用信息系统所提供的功能信息系统在企业应用的广泛程度,信息系统在企业的应用所支持的业务交易业务对系统的依赖程度系统之间的链接

14、,37,自动化应用控制,每个应用系统的控制都有所区别：企业的业务性质企业的组织和人员企业的管理需求所采用的技术其他的考虑，如监管要求等,应用控制要持续有效，必需有相关的配套支持：政策、制度人员（业务和信息技术）检查和维护机制（包括信息系统一般性控制）,38,应用系统规划图,应用系统规划图的主要目的是为了匹配业务财务流程与系统的对应关系，以确定评估范围内的系统，样例如下：,39,议题,测试与评价信息系统内部控制,40,信息技术一般控制和财务报表认定的联系,41,什么时候必须测试信息技术一般控制？,有自动复杂计算功能的系统系统技术落后，供应商已不在提供支持服务没有被广泛应用的新兴技术客户自行开发软

15、件，或者对市场常规软件有重大修改的软件企业资源规划系统（ERP）系统与系统间存在大量自定义的接口处理大量交易的系统为一个复杂企业处理的系统复杂的信息技术设施,42,信息技术一般控制的特定风险,依赖不能正确处理数据或者处理出来的数据不正确的系统或者程序未经授权的数据访问会导致数据损坏或者被不正当的删改，包括未经授权地记录不存在的交易或者不正确的交易未经授权修改主数据库中的数据未经授权修改系统或者程序未能对系统或程序进行必要的修改不恰当的人为干预丢失数据的可能性,43,信息技术一般控制：什么是与测试相关的?,44,测试信息技术一般控制：性质、时间、范围,性质：询问、观察、检查、重新执行；也有审阅系

16、统参数设置时间：安排在应用系统控制测试之前范围：运用职业判断确定测试范围,45,信息技术一般控制的问题,46,评价信息技术一般控制缺陷,47,自动化应用控制,测试一个样本就足够了，但是要覆盖自动化控制中涉及的一系列属性如果信赖自动化应用控制,需要测试信息技术一般控制并得到满意的结果我们需要理解和审计针对管理层凌驾于控制之上风险而设计的控制,48,控制技术：分批总计处理,一组文档内的下述数据被汇总计算：文件数量合计金额哈希汇总把批总数输入系统并且与系统计算的结果相比较。,49,控制技术：顺序检查,由一定范围内连续的数据组成系统不接受重复的数据系统不接受无效数据对数据遗漏报告进行跟进调查,50,控

17、制技术：计算匹配,将文档的顺序号与可接受列表进行比较如果数据不相符，文档仅在授权后才可被处理不符项必须被跟进检查以确保控制技术的有效执行,51,控制技术：一对一检查,确保每一个文件都与经计算机处理的详细文件清单相符合成本高耗时长必须获得所有的原始数据,52,控制技术：编辑检查程序,合理性检查从属检查存在性检查格式检验极限检查数学精确度检验校验数位验证预录输入匹配,53,测试自动化控制,54,自动化控制是系统功能的一部分，因此如果它们被正确执行一次，理论上说它们会一直被正确地执行下去,为了评估自动化控制的运行效率，测试的样本数量通常只限于确保该控制的所有相关属性有效执行一次（即“测试一次”）,我

18、们往往可以通过穿行测试取得自动化控制的实施证据,举例,55,举例:自动化控制确保同一发票号码不会被重复录入,信息处理目标:完整性,测试步骤:在以下几种情况下测试运行中的控制:输入一个正确的发票号码输入一个重复的发票号码输入一个空的发票号码,通过执行以上测试，我们已经测试了这项控制的所有重要属性,执行异常还是控制缺陷?,56,控制执行异常未必会对审计产生影响，或者需要作为重大缺陷报告治理层,当我们发现控制执行异常时，审计小组应该:判断执行异常个体或者汇总是否被认定为内部控制的缺陷，或重大缺陷。所有的重大缺陷都必须与公司治理层沟通确定对审计方法的影响,确保所有在控制测试中发现的执行异常都被记录下来,问题探讨,如果信息技术一般控制失效，我们就不能依