专业化太高C0091信息系统评估.docVIP

信息系统评估 被审计单位： 索引号： C0901 页次： 编制人： 日期： 财务报表截止日/期间： 复核人： 日期： 1. 了解客户的信息系统/信息技术环境 - 取得背景信息 重要的信息技术联络人： 姓名 职位 职责 客户的信息处理系统和相关的支持活动的管理模式： 管理模式 是(否) 描述 集中式管理 分散式管理 使用程度-主要财务系统： 应用项目 系统的提供者：供应商/内部设计/终端用户 系统平台：运行系统及数据库 任何短期内的修改? 财务分类账 采购订单处理流程 销售订单处理流程 存货 工资 固定资产 其它（请列明） 【注:供应商可为Oracle，Sage，SAP等等。内部设计指客户雇用程序设计师并且“拥有”系统的原始代码。终端用户所开发的系统为非信息技术人士所设计（例如：财务部门开发自己的发票数据库）系统平台：被普遍使用的操作系统包括Unix、Windows、VMS等等。被普遍使用的数据库包括Oracle、SQL“短期”的定义为在该会计年度期间之内。】客户的信息技术部门是否以规范（受控制）的方式运作？ 政策/程序 是否为现行的、且得到管理阶层批准的以及适当传播的？ 需要副本？ 信息系统/信息技术风险记录 信息系统/信息技术策略 是 信息系统/信息技术安全政策 是 合理的电子邮件/网络的使用政策 信息技术采购 系统发展/实施 客户端计算机使用需求 运行程序 设备管理程序 企业持续经营计划 信息技术灾难复原计划 【注：项目事务所至少应取得信息系统/信息技术策略及信息系统/信息技术安全政策的复印件，以了解客户明年的计划。如欠缺以上两项政策的复印件，则应针对此提供有关建议。】2. 评估信息系统环境的复杂性 问题 非复杂 (1分) 复杂 (4分) 评分 （1 – 4分） 信息技术部门： 是否有许多信息技术人员执行技术性任务，以致财务应用程序或其数据的完整性可能受到影响？ 【注：右栏的“支持”仅包含基本的行政责任，如：增加及移除使用者，但不包括技术上诸如更改数据库的数据的类似任务。】 【信息技术部门拥有少于四位员工支持第三者的应用程序及计算机】 【信息技术部门的规模较大（或具有签定设备管理合约设备）并且具备支持内部设计应用程序的发展能力】 系统整合： 各财务应用程序是否得到整合或集中？ 【注：已整合的系统通常为现成的软件包，如：CFACS或Sun accounts。ERP系统（例如：SAP及Oracle）容许大量的系统更改，并被视为复杂。】 【具有涵括整个关键财务流程的财会程序（例如：采购、销售、存货及工资）】 【透过五个或以上的独立交易系统取得财务数据（系统可能分布于不同地点或包括客户端所开发的数据库及表格程序）】 交易处理： 财务应用程序开始及核准交易至什么程度？ 【注：租金计算可作为自动开始及核准的例子】 【所有交易要求人工核准】 【交易的开始并不需要人工授权】 系统存取： 财务应用程序的存取（或潜在存取）途径增加未经授权的存取风险。有多少数目的计算机/终端机有可能进入拥有财务应用程序的计算机系统？ 【注：”潜在”意指非财务用户可经由直接/间接的方式存取财会主机的数据。】 【财务系统拥有其独立网络，或整个系统不允许远程访问及连接少于50部计算机】 【系统在主要业务网络的上并连接广大地区的远程用户，例如：通过互联网。【 特别事件： 出现特别的信息系统/信息技术的事件，如：: 系统的修改或重要信息技术人员的更换; 系统操作失败，而并没有立刻恢复 发现舞弊或黑客入侵 【该年并没有发生严重事件】 【发生对系统完整性有重要影响的事件】 总分 【在此部份，财务应用程序包括所有用作取得财务信息的企业应用程序（并不仅限于分类账）】3. 评估信息系统对业务的重要性 对业务的重要性 非常重要 重要 不重要 请描述如果计算机系统不能运行而给业务造成的中断程度。如果没有计算机公司能合理地运营多久？ 请说明如果系统处理发生重大错误会有哪些短期和长期的影响？错误的发现需要多久？以及该错误将如何影响业务？ 为了及时和准确地处理业务，业务对计算机的依赖程度如何？每天所做的决策是否基于计算机系统的数据？ 4.评估信息系统/信息技术风险对事务所审计风险的影响 风险–不良的信息系统/信息技术行政管理会降低信息技术部门执行其职责的能力 增加风险的因素 减低风险的控制 证明控制营运已完成工作 控制设计及营运是否与风险密切配合？ 【注在第一栏填上增加此风