信息系统审计方法及操作指引.pdf

信息系统审计方法及操作指引 刘丽萍 2013/01 一、信息系统审计方法 IT一般控制和应用控制审计概要 2014-3-27 2 IT一般控制审计程序 n IT一般控制概念 信息技术广泛应用于企业日常交易处理中，是涉及整个财务报表交易流程 的重要组成部分，它影响财务数据的 致性、完整性和准确性。随着信息 科技日益发展，信息系统日趋复杂，使得业务风险增加，因此对IT控制进 行测试与评估就显得尤为重要。 IT一般控制是指为保证在 段时期内应用控制持 有效性，而在系统变更 和数据访问等方面的系统控制。因为这些控制对一个以上应用程序和数据 集都有效，所以被称为 “IT 般控制”。 n IT一般控制分类 变更管理：只允许对应用程序、界面、数据库和操作系统进行适当授权、 测试和批准的变更。 逻辑访问：只有经过授权的人员，才可以访问数据和应用程序（包括程序、 表和相关资源），并且他们只能执行明确授权的功能（例如：询问、执行 和更新）。 其他IT 般控制 （包括IT运行）：正确备份支持财务信息数据，以便在发 生系统中断或数据完整性问题时，能够准确、完整地恢复这类数据。按计 划执行程序，并及时识别和消除按计划处理时产生的偏差。及时识别、解 决、复核和分析IT运行问题或事故。 2014-3-27 3 IT一般控制审计程序 n IT一般控制包 控制流程 IT一般控制审计 主要包括三个方面 变更管理 逻辑访问 其它IT一般控制 •用户账号变更管理 •备份管理 •系统开发和重大变更 Master/ •超级用户访问授权 •备份恢复 reference •程序变更 •关键系统资源和工具访问授权 data •物理安全 •配置/参数变更 •权限定期检查 •批处理 •超级用户日志 Enterprise Technology •基础架构变更 平稳解决创 •第三方管理 •职责分离 data and tools •问题及应急事件处理 新管理问题 model standards •紧急程序变更 •安全参数设置 •业务持 性计划／灾 •数据修改